Você está na página 1de 528

.

',
. , CISCO w

: 1-1-1-1-1

CCNAICND2
Guia Oficial de Certificao do Exame
Segunda Edio
-/ Oomine os tpicos dos exames ICN02 640-816 e CCNA 640-802 com este guia oficial de estudos -/ Teste seu conhecimento em diversas questes -/ Revise conceitos-chave com a Preparao para o Exame

ciscopress.com

Wendell Odom, CCIEN 1624


'~. -

e
I

.'
~

'.

CCNAICND2
Guia Oficial de Certificao do Exame
Segunda Edio

Wendell Odom, CCIE N. 1624 ii

Rio de Janeiro.2008

CC NA ICND2 Guia Oficial de Certificao do Exame, Segunda Edio


Do original CCNA ICND2 Official Exam Certification Guide, Second Editon Copyright 2008 da Editora Alta Books Ltda.

Authorized translation trom English Language edition, entitled CCNA ICND2 Official Exam Certification Guide, Second Editon, by Wendell Odom, published by Cisco Systems, Inc. Copyright 2008 by Cisco Systems, Inc. Portuguese Language edition published by Editora Alta Books, Copyright 2008 by Editora Alta Books.
Todos os direitos reservados e protegidos pela Lei 5988 de 14/12f73. Nenhuma parte deste livro, sem autorizao prvia por escrito da editora, poder ser reproduzida ou transmitida sejam quais forem os meios empregados: eletrnico, mecnico, fotogrfico, gravao ou quaisquer outros. Todo o esforo foi feito para fornecer a mais completa e adequada informao, contudo a editora e o(s) autor(es) no assumem responsabilidade pelos resultados e usos da informao fornecida. Recomendamos aos leitores testar a informao, bem como tomar todos os cu idados necessrios (como o backup), antes da efetiva utilizao. Este livro no contm CD-ROM , disquete ou qualquer outra mdia.

Erratas e atualizaes: Sempre nos esforamos para entregar a voc, leitor, um livro livre de erros tcnicos ou de contedo; porm, nem sempre isso conseguido, seja por motivo de alterao de software, interpretao ou mesmo quando alguns deslizes constam na verso original de alguns livros que traduzimos. Sendo assim, criamos em nosso site, www.altabooks.com.br. a seo Erratas, onde relataremos, com a devida correo, qualquer erro encontrado em nossos livros. Avisos e Renncia de Direitos: Este livro vendido como est, sem garantia de qualquer tipo, seja expressa ou impl cita. Marcas Registradas: Todos os termos mencionados e reconhecidos como Marca Registrada e/ou comercial so de responsabilidade de seus proprietrios. A Editora informa no estar associada a nenhum produto e/ou fomecedor apresentado no livro. No decorrer da obra, imagens, nomes de produtos e fabricantes podem ter sido utilizados, e desde j a Editora informa que o uso apenas ilustrativo e/ou educativo, no visando ao lucro, favorecimento ou desmerecimento do produto/ fabricante. Produo Editorial: Editora Alta Books Coordenao Editorial: Fernanda Silveira Traduo: Tibrio Novais e Lcia Kinoshita Reviso: Carolina Menegassi Reviso Tcnica: Miguel Molina Diagramao: BJ Carvalho Impresso no Brasil
O cdigo de propriedade intelectual de 1Q de Julho de 1992 probe expressamente o uso coletivo sem autorizao dos detentores do direito autoral da obra, bem como a cpia ilegal do original. Esta prtica generalizada nos estabelecimentos de ensino, provoca uma brutal baixa nas vendas dos livros a ponto de impossibilitar os autores de criarem novas obras.

Rua Viva Cludio, 291 - Jacar Rio de Janeiro - RJ . CEP: 20970-031 Tel: 21 3278-8069/ Fax: 3277-1253 www.altabooks.com .br e-mail: altabooks@altabooks.com.br

'.

'.

Sobre o autor
Wendell Odom, CCIE No 6614, j atua na indstria de comunicao em rede desde 1981. Atualmente, ensina as disciplinas de QoS, MPLS e CCNA para a Skyline Advanced Technology Services (http://www.skyline-ats.com). Wendell tambm trabalha como engenheiro de rede, consultor, engenheiro de sistemas, instrutor e desenvolvedor de cursos. autor de todas as edies anteriores do CCNA Guia de Certificao do Exame, bem como do Guia de Cisco QoS Exam Certification Guide, Second Edition, Computer Networking First-Step, CCIE Routing and Switching Official Exam Certification Guide, Second Edition, e CCNA Video Mentor, todos da Cisco Press.

VI

Sobre os revisores tcnicos


Teri Cook (CCSI, CCDP, CCNP, CCDA, CCNA, MCT e MCSE 2000/2003: Security) tem mais de 10 anos de experincia na indstria da TI, tendo trabalhado com diferentes tipos de organizaes nos setores privados e do Departamento de Defesa, oferecendo conhecimento tcnico avanado em segurana e rede no projeto e implementao de ambientes computacionais complexos. Desde a obteno de seus certificados, Teri tem se comprometido, como instrutora, a levar treinamentos de qualidade em TI a profissionais da rea. Como excelente instrutora que , utiliza a experincia da vida real para apresentar tecnologias complexas de comunicao em rede. Como instrutora de TI, Teri ministra cursos da Cisco h mais de cinco anos.

Stephen Kalman instrutor em segurana de dados e autor (ou editor tcnico) de mais de 20 livros, cursos e ttulos da CBT. Seu mais recente livro Web Security Field Guide, publicado pela Cisco Press. Alm dessas responsabilidades, ele administra uma empresa de consultoria, a Esquire Micro Consultants, especializada na avaliao e resoluo de problemas de segurana em rede. Kalman possui os certificados SSCP, CISSP, ISSMP, CEH, CHFI, CCNA, CCSA (Checkpoint), A+, Network+, and Security+ e membro da Ordem dos Advogados do Estado de Nova York.

VII

Dedicatrias
minha maravilhosa, amvel e dedicada esposa. Muito obrigado por todo seu apoio, incentivo, amor e respeito.

VIII

Agradecimentos
A equipe que ajudou a produzir este livro foi simplesmente brbara. Todos que vieram a dar seu toque ao livro contriburam para sua melhoria, e, de modo especial, toda a equipe foi de grande ajuda na deteco de erros que sempre fazem parte de um manuscrito. Teri e Steve realizaram excelentes trabalhos como editores tcnicos. A capacidade de Teri de ver cada frase no contexto de um captulo inteiro, ou de um livro inteiro, esplndida, ajudando a detectar coisas que nenhuma outra pessoa conseguiria perceber. Steve, como sempre, realizou seu excelente trabalho - algo como 5 ou 6 livros meus nos quais ele participou -, e, como de costume, acabo aprendendo muito ao ler os comentrios feitos por Steve. A profundidade das crticas sobre este livro foi muito melhor que qualquer outro livro meu graas a Teri eSteve; muito obrigado! Drew Cupp teve a "oportunidade" de desenvolver um de meus livros pela primeira vez em muito tempo. As vises e opinies de Drew funcionaram maravilhosamente, e este novo par de olhos sobre os materiais copiados da edio anterior serviu para fortalecer ainda mais essas partes. Tudo isso em meio aos malabarismos feitos dentro de um prazo apertado - obrigado, Drew, pelo excelente trabalho! A maravilhosa, e geralmente oculta, equipe de produo tambm desempenhou um esplndido trabalho. Ao perceber que tinha retrabalhado algo, eu imediatamente pensava "Por que no escrevi isso antes?", o que me fez valorizar a equipe que temos na Cisco Press. O processo de edio da cpia final, reviso de figuras e de pginas exigiu grande esforo - principalmente com relao s iniciativas adicionais de qualidade que foram implementadas. Muito obrigado a todos vocs! Brett Bartow novamente foi o editor executivo do livro, como em quase todos os livros que ajudei a escrever. Brett, como de costume, realizou seu excelente trabalho, com muita pacincia, sendo meu defensor de vrias maneiras. Brett, muito obrigado por todas as coisas que fez, em todos os nveis, para nos ajudar a obter o sucesso juntos. Alm disso, h outras pessoas que no trabalharam diretamente no livro, mas que tambm colaboraram para sua execuo. Obrigado a Frank Knox pelas discusses sobre os exames, sobre os motivos pelos quais eles so to difceis e como lidar com a resoluo de problemas. Obrigado a Rus Healy pela ajuda com a parte sobre "wireless" (sem fio). Obrigado a Mikes, da Skyline, por fazer com que eu conseguisse cumprir o meu prazo para finalizar este livro (e o livro ICNDl). Meus agradecimentos tambm s equipes de cursos e de exames da Cisco pela excelente comunicao e interao sobre as alteraes feitas nos cursos e exames. E, como sempre, minha gratido especial ao meu Senhor e Salvador Jesus Cristo - obrigado por me ajudar a regozijar-me em TI at mesmo no momento em que fazia a reviso final de 1400 pginas de manuscrito em apenas algumas semanas!

IX

Resumo do contedo
Prefcio Introduo
xxiii xxiv

Parte I: LAN Switching


Captulo 1 LANs virtuais Captulo 2 Protocolo Spanning Tree Captulo 3 Resolvendo problemas de LAN Switching

5 43 81

Parte 11: Roteamento IP


Captulo 4 Roteamento IP: rotas estticas e conectadas Captulo 5 VLSM e sumarizao de rotas Captulo 6 Listas de controle de acesso IP Captulo 7 Resolvendo problemas de roteamento IP 117 145 165 195

Parte 111: Configurao e resoluo de problemas relativos a protocolos de roteamento


Captulo Captulo Captulo Captulo 8 Teoria dos protocolos de roteamento 9 OSPF 10 EIGRP 11 Resolvendo problemas em protocolos de roteamento 221 249 273 295

Parte IV: Redes de longa distncia (WAN)


Captulo Captulo Captulo Captulo 12 WANs ponto-a-ponto 13 Conceitos de Frame Relay 14 Configurao e resoluo de problemas de Frame Relay 15 Redes privadas virtuais 315 333 351 379

Parte V: Escalando o espao de endereamento IP


Captulo 16 Traduo de endereos de rede Captulo 171P verso 6 393 415

Parte VI: Preparao final


Captulo 18 Preparao final
447

Parte VII: Apndices


Apndice A Respostas para os questionrios "Eu j conheo isto?" Apndice B Tabela de converso de decimal para binrio Apndice C Atualizaes no exame ICND2 Verso 1.0 Glossrio Indice Remissivo 455 465 469 471 484

Parte VII: (Disponvel no website da editora: www.altabooks.com.br)


Apndice D Subnetting Pratice (Disponvel em ingls) Apndice E Subnetting Reference Pages (Disponvel em ingls) Apndice F Additional Scenarios (Disponvel em ingls) Apndice G Sub-redes: 25 perguntas prticas (Disponvel em portugus) Apndice H Endereamento e Sub-redes IP (Disponvel em portugus) Apndice I Configurao de WAN (Disponvel em portugus) Apndice J Tabelas de Memria (Disponvel em portugus) Apndice K Resposta das Tabelas de Memria (Disponvel em portugus) Apndice L ICND2 Open-Ended Question (Disponvel em ingls)

Contedo
Prefcio ................................................................................................................................... xxiii Introduo ............................................................................................................................. xxiv

Parte I: LAN Switching


Captulo 1 LANs virtuais ............................................................................................. 5
" . ?" . ,. Quesllonano "Eu Ja co nheo IstO. .. .......................... ..................................................................................................... .. 5 Tpicos fundamentais .................................................................................................................................................... 7 . Conceitos de LANs virtuais ............................................................................................................................................... 8 Trunking com ISL e 802.1Q ........................................................................................... ................................................ 9 ISL ...................................................................................................................................................................... 10 IEEE 802.1Q ...................................................................................................................................................... 10 Comparao entre ISL e 802.1Q ........................................... ......................................................... .................... 11 Sub-redes IP e VLANs ...................................................................................................................................... 12 VLAN Trunking Protocol (VTP) (Protocolo de Trunking de VLAN) ............................................................... 12 Operao VTP normal utilizando os modos VTP servidor e cliente .................................................................. 13 Trs requisitos para que o VTP opere entre dois switches ................................................................................ 14 Evitando o VTP utilizando o modo VTP transparente ........................................................................................ 15 Armazenando a configurao da VLAN ........................................................................................................... 15 Verses VTP ............................................................................................................................................................. 16 VTP Pruning .............................................................................................................................................................. 16 Resumo dos recursos VTP ....................................................................................................................................... 17 Configurao e verificao de VLANs e Trunking de VLAN ............................................................................... ........ 17 Criando VLANs e atribuindo VLANs de acesso a uma interface ................... .... ....................................................... 18 Exemplo 1 de configurao de VLANs: configurao completa de VLANs ........................................................... 18 Exemplo 2 de configurao de VLANs: configurao resumida de VLANs ........................................................... 20 Configurao do Trunking de VLAN .......... .......... .................................................................................................... 21 Controlando quais VLANs podem ser aceitas em um trunk .................................................................................... 25 Trunking com Telefones Cisco IP ............................................................................................................................. 26 Protegendo VLANs e o Trunking ............................................................................................................................. 27 Configurao e verificao do VTP ................................................................................................................................ 28 Usando VTP: configurando servidores e clientes ........................................................................................................ 28 Cuidados ao sair da configurao VTP padro ...... ...................................................................................................... 31 Evitando o VTP: configurando o modo transparente ............................ ....................................................................... 32 Resolvendo problemas de VTP .................................................................................................................................... 32 Determinando por que o VTP no est funcionando atualmente .............................................................................. 33 Problemas ao conectar novos switches e criar trunks .............................................................................................. 37 Evitando problemas de VTP atravs das prticas ideais .......................................................................................... 38 Atividade de preparao para o exame ..................................................................................................................... 39 Revise todos os tpicos-chave .............. ........................................................................................................................... 39 Complete as tabelas e listas usando a memria ............................................................................................................... 40 Definies de termos-chave ............................................................................................................................................ 40
Referncia aos comandos para verificar sua memria ................................................................................................... 40

Captulo 2 Protocolo Spanning Tree (Spanning Tree Protocol) .............................. 43


Questionrio "Eu j conheo isto?" ................................................................................................................................. 43

Tpicos fundamentais .................................................................................................................................................. 45

XI
Protocolo Spanning Tree (IEEE 802.1d) ... ............ ........ ........ .. ... .... ........... ................ ....... ........ ........ .......... ...................... 46 A necessidade de Spanning Tree .................... .............. ...... ........... ...... ..... ......... ........................ ... ........ ........................ 46 A funo do IEEE 802.1d Spanning Tree ... ....... .... .... ........ ...................... ..................... .... ......................... ......... ... ...... 47 Como funciona o Spanning Tree ................................ ........ .......... .............. ................................................. ..... ............ 48 Bridge ID STP e Helio BPDU ................... ........ ...... ......... ... .......... .. ........ ........ ... ..... .......... ...... .......... ....................... 49 Escolhendo o switch raiz ....... .......... ........ .................................................................................... .................... .......... 50 Escolhendo a porta raiz de cada switch .. ........ .... ...... ............................................ .................... ............ .................... 51 Escolhendo a porta designada em cada segmento de LAN ...................................................................................... 52 Reagindo a mudanas na rede .................... ........ ........ ...... ..... .... ...... ................... ..... ..... .... ........ ................... ....... ...... 53 Recursos STP opcionais ............................................................................................................................................ 55 EtherChannel .................................... .......................... .... ..... .. .. ........... .......... ......... ........ .... ........................................ 55 PortFast .................. ........................................ ....... ... .... ........... .... ............ ....... ...... ....... ................. .... ........ ......... ........ 56 Segurana do STP .. ....... ................ .................... ....... ................. ........ .... ... ... ...... ...... ..... ... ... .. ..... ............ .................... 56 Rapid STP (IEEE 802.1w) .................... .... .... ............ .... ........ ..... .... ..................... ...... ......... ...... .... .... ............... ......... ........ 57 Tipos de links e edges RSTP ..................................... .............................. .... .... ..... ... ..... .... .............. .......... ... ....... .... .... .. 57 Estados das portas RSTP .. .... .... ..... ................... .... .. .. ... ...... ............. .... ... .......... ....... ..... ......... .......... ....................... .... .. 58 Funes das portas RSTP ...... .. .. ..................................... ........ .. ......... ......... .... ......... .... .... ............................................ 59 Convergncia do RSTP .... ................................................. .... ................. ............ ...... ... ............... .............. ... ........ .. ... .. .. 60 Comportamento do tipo edge e PortFast ................................................................................................................... 60 Tipo link compartilhado .. ................................ ........ ............. ...................... ..... ... .... ... .......... ...... ...... .......... ... ..... .......... 60 Tipo link ponto-a-ponto .......... ... ..... ........ ... ..... .... .... ....... .... .... .. ........ ......................... ........... ........ ...... ....... .. ........... ..... 60 Exemplo de convergncia RSTP .... ........ ................................................ ................. ... ..... ..... ..... ......... ....................... 61 Configurao e verificao do STP ................................................ .......... ............. ...... ... ....... ................... ......... .......... .... 63 Mltiplas instncias do STP ..... .......... ...... ..................... ............... .... .... ...................... ................. ......................... ........ 63 Opes de configurao que influenciam a topologia do Spanning Tree ............... .... ......................... ..... .................... 64 Extenso do bridge ID e do System ID .................................................................................................................... 64 Custos "per-VLAN" das portas ... ..... ....... .... .... ...... ................... .... ....... ....................................... ....... ............ ..... ...... 65 Resumo das opes de configurao do STP ................ ... ..... .......................... ....... ........ ........ .... ........ ........... ..... .... .. 65 Verificando a operao padro do STP .......... .......... ................................................................................................... 65 Configurando os custos das portas do STP e a prioridade do switch .. ............. .......... ...... ......... ............... .... ..... ........... 67 Configurando o PortFast e o BPDU Guard ..... ............ ....... ....... ........ ...... ... ........ ........................ ........ ................. ........ 69 Configurando o EtherChannel ......... ... .... .... ................ ................. .... ....... .... ...................... ........ .... ...... ...... .................... 69 Configurando o RSTP ........... ........ ............... .... ..... .... ...................... ...... ..... ...................... ....... ......... ................... ......... 70 Resolvendo problemas do STP ... .......... ............................... ... ... ............ ....... ...... ..... ... ........ ................... ..... ............. ... ..... 71 Determinando o switch raiz ........ ............................ ......... ........... ............. ........... ...... ... ................. .... ... ...... ......... ......... . 71 Determinando a porta de raiz em switches no-raiz ... .......... ............. .... .. ... .................... ............. ...................... ... ....... 72 Determinando a porta designada em cada segmento de LAN ................ ...... ...... ... ........... ........... .... .... .... ..... .............. 74 Convergncia do STP .... ....... ........................... .... ............ ................ ........... .................... .... ......... .................... ... ......... 75 Atividade de preparao para o exame ..................................................................................................................... 76 Revise todos os tpicos-chave ...... ......... ..................... ......... ... ... ... ........... ............. ................ ... ............ ............... .... ..... .... 75 Complete as tabelas e listas usando a memria ...................... ......... .... ... ...... ....... ...... ....... ................... .............. .............. 76 Definies de termos-chave ...... ...... ........ ...... .... ........ .... ... ........... ............. ...... ... ............... .......... ........ ...... ....... ................ 76 Referncia aos comandos para verificar sua memria ......... ......... ........ ........... ....... ...... ......... ........... ..................... ........ 77

Captulo 3 Resolvendo Problemas de Lan Switching ............................................. 81


., . . . ,. Queshonano "Eu Ja conh eo IstO ?" . ........ ........... ............. ................. ..... .............. ... ........ ................... ............ .... ... ...... ... .. 81

Tpicos fundamentais .................................................................................................................................................. 81


Metodologias generalizadas para resoluo de problemas .............. ... .... .............. ... .................. .................. ..... ..... .......... 81 Analisando e prevendo a operao normal da rede ........ ............. ... ....... ............ .. ..... .......... ...... ... ............ ......... ........... 82 Anlise do plano de dados ... ................... ....... ................ ..... ..... ......... ...... .. ......... ...... ....... ........... ........ ................. .. ..... 83 Anlise do plano de controle ... ....... .......... ....... ..... ........ ..... .. ..... ..... .............. ............ ........ ........... .. ...... .................. .. .. . 84 Prevendo operaes normais: resumo do processo ....... ......... ..... ........ .... ............. ....... ...... ............ .... ... ............. ....... 84

XII
Isolamento do problema ............................................................................................................................................... 84 Anlise da causa geradora ........................................................................................................................................... 85 O mundo real versus os exames ........................................................................................................................... ....... 86 Resolvendo problemas do plano de dados de LAN Switching ........................................................................................ 86 Viso geral do processo normal de encaminhamento dos switches ............................................................................. 86 Passo 1: ConfIrme os diagramas de rede utilizando CDP ............................................................................................ 88 Passo 2 : Isole os problemas de interface ............................................................................................................. ....... 89 Cdigos de status de interfaces e razes para os estados de no-funcionamento .................................................... 89 Estado notconnect e pinagem do cabeamento .......................................................................................................... 90 Questes sobre a velocidade da interface e do duplex ............................................................................................. 91 Passo 3: Isole problemas de fIltragem e de segurana de portas ................................................................................. 94 Passo 4 : Isole problemas de VLANS e de trunking .................................................................................................... 97 Assegurando que as interfaces de acesso corretas estejam nas VLANs corretas ..................................................... 97 VLANs de acesso no definidas ou ativas ............................................................................................................... 98 IdentifIque trunks e VLANs encaminhadas naqueles trunks .................................................................................... 98 Exemplo: resolvendo problemas do plano de dados ..................................................................................................... 99 Passo 1: verifIque a exatido do diagrama utilizando o CDP ..................................................................................... 100 Passo 2: verifIque a existncia de problemas de interfaces ....................................................................................... 102 Passo 3: verifIque a existncia de problemas de segurana de portas ....................................................................... 103 Passo 4: verifIque a existncia de problemas de VLANs e de trunks de VLANS ................................................... 105 Prevendo a operao normal do plano de dados do LAN Switching ............................................................................ 107 Broadcast de PC1 na VLAN 1 .................................................................................................................................. 107 Trajeto de encaminhamento: unicast de RI para PC1 ............................................................................................... 110 Atividade de preparao para o exame ................................................................................................................... 112 Revise todos os tpicos-chave ....................................................................................................................................... 112 Complete as tabelas e listas usando a memria .................................................................... ....... .................................. 113 Tpicos publicados do exame Cisco ICND2* ............................................................................................................ 114

Parte 11: Roteamento IP

Captulo 4 Roteamento IP: rotas estticas e diretamente conectadas ................ 117


., . ?" . ,. QuestIonano "Eu Ja cooheo IstO. . ............................................................................................................................. . 117 Tpicos fundamentais ................................................................................................................................................ 119 Roteamento e endereamento IP .................................................................................................................................. 119 Roteamento IP ........................................................................................................................................................... 119 Endereamento IP e criao de sub-redes ................................................................................................................. 122 Encaminhamento IP atravs da combinao com a rota mais especfIca ............................................................... 124 DNS, DHCP, ARP e ICMP ....................................................................................................................................... 125 Fragmentao e MTU ................................................................................................................................................ 127 Endereamento IP secundrio .................................................................................................................................... 128 Dando suporte a rotas conectadas sub-rede zero ................................................................................................... 129 ConfIgurao ISL e 802.1Q em roteadores ............................................................................................................... 130 Rotas estticas ........................................................................................................................................................... 132 ConfIgurando rotas estticas ................................................................................................................................... 133 Comando ping estendido .......................................................................................................................................... 134 Rotas estticas padro ................................................................................................................................................... 135 Rotas padro utilizando o comando ip route ............................................................................................................... 136 Rotas padro utilizando o comando ip default-network ........................................................................................... 137 Resumo sobre rotas padro ........................................................................................................................................ 138 Roteamento classful e classless ............................................................................................................................ ..... 138 Resumo do uso dos termos classless e classful ...................................................................................................... 138 Comparao entre roteamento classless e classful ............................................................................................ ..... 139

~ .

XIII
Atividade de preparao para o exame ................................................................................................................... Revise todos os tpicos-chave ....................................................................................................................................... Complete as tabelas e listas usando a memria ............................................................................................................. Definies de termos-chave ........................................................ .................................................................................. Referncia aos comandos para verificar sua memria ................................................................................................. 140 140 141 141 141

Captulo 5 VLSM e sumarizao de rotas ............................................................. 145


. , . ., . ?" Queshonano "Eu Ja conheo IstO. .............................................................................................................................. . 145 Tpicos fundamentais ................................................................................................................................................ 146 VLSM ........................................................................................................................................................................ 147 Protocolos de roteamento classless e classful ............................................................................................................ 148 Sub-redes VLSM sobrepostas ................................................................................................................................... 148 Projetando um esquema de sub-redes utilizando VLSM ............................................................................................ 149 Acrescentando uma nova sub-rede a um projeto existente ....................................................................................... 151 Configurao do VLSM ............................................................................................ ................................................. 152 Sumarizao manual de rotas ........................................................................................................................................ 152 Conceitos de sumarizao de rotas ............................................................................................................................ 153 Estratgias de sumarizao de rotas ................................................................. ......................................................... 155 Exemplo de "melhor" sumarizao em Seville ........................................................................................................ 156 Exemplo de "melhor" sumarizao em Yosemite .................................................................................................... 157 Sumarizao automtica e redes classful no-contguas ............................................................................................... 157 Exemplo de sumarizao automtica ................................................. ........................................................................ 158 Redes classful no-contguas ..................................................................................................................................... 159 Configurao e suporte sumarizao automtica .................................................................................................... 160 Atividade de preparao para o exame ................................................................................................................... 161 Revise todos os tpicos-chave ............................................................... ..................... ................................................... 161 Complete as tabelas e listas usando a memria ............................................................................................................. 161 Definies de termos-chave .......................................................................................................................................... 161 Leia os cenrios do Apndice F ...................................................................................................... ............................... 162 Referncia aos comandos para verificar sua memria ................................................................................................. 162

Captulo 6 Listas e controle de acesso IP ............................................................ 165


. ,. ., . . Queshonano "Eu Ja conheo IstO ? " .............................................................................................................................. . 165
Tpicos fundamentais ................................................................................................................................................ 167 Lista de controle de acesso IP padro ........................................................................................................................... 168 Conceitos das ACLs IP padro ..................................................................................................................................... 168 Mscaras curinga .......................................................................................................................................................... 170 Uma alternativa mais rpida para interpretar mscaras curinga ................................................................................... 171 Configurao da lista de acesso IP padro .................................................................................................................... 172 ACL IP padro: Exemplo 1 ............................................................................................................................................ 173 ACL IP padro: Exemplo 2 ............................................................................................................................................ 174 Lista de controle de acesso IP estendidas .................................................................. ................................................. .. 175 Conceitos das ACLs IP estendidas ................................................................................................................................ 176 Combinando os nmeros das portas TCP e UDP ............................................................................. ............................ 177 Configurao de ACLs IP estendidas ............................................................................................................................ 179 Listas de acesso IP estendidas: Exemplo 1 ................................................................................................................... 180 Listas de acesso IP estendidas: Exemplo 2 ................................................................................................................... 181 Avanos no gerenciamento da configurao de ACLs ................................................................................................. 182 Listas de acesso IP nomeadas ....................................................................................................................................... 182 Editando ACLs usando nmeros de sequncia .............................................................................................................. 184

XIV
Tpicos variados sobre ACLs ........................................................................................................................................ 186 Controlando o acesso Telnet e SSH com ACLs ......................................................................................................... 186 Consideraes sobre a implementao de uma ACL .................................................................................................... 187 Listas de controle de acesso reflexivas ......................................................................................................................... 188 ACLs dinmicas ......................................................................................................................................................... 189 ACLs baseadas em tempo ......................................................................................................................................... 190 Atividade de preparao para o exame ................................................................................................................... 190 Revise todos os tpicos-chave ......................................................................... .............................................................. 190 Complete as tabelas e listas usando a memria ............................................................................................................. 191 Leia os cenrios do Apndice F ..................................................................................................................................... 191 DefInies de termos-chave .......................................................................................................................................... 191 Referncia aos comandos para verifIcar sua memria ................................................................................................. 191

Captulo 7 Resolvendo problemas de roteamento IP .......................................... 195


., . ?" . , . Questlonano "Eu Ja co nh eo IstO. .............................................................................................................................. . 195 Tpicos fundamentais ................................................................................................................................................ 195 Os comandos ping e traceroute ..................................................................................................................................... 195 ICMP (Internet Control Message Protocol, ou Protocolo de Mensagem de Controle da Internet) ........................ 196 O comando ping e as mensagens Beho Request e Beho Reply do ICMP .............................................................. 196 A mensagem ICMP de Destino Inalcanvel ......................................................................................................... 196 A mensagem ICMP de Redirecionar ...................................................................................................................... 198 A mensagem ICMP de Tempo Excedido ............................................................................ .................................... 199 O comando traceroute ................................................................................................................................................... 200 Resolvendo problemas relativos ao processo de encaminhamento de pacotes ............................................................. 201 Isolando problemas de roteamento IP relacionados a hosts ....................................................................................... 201 Isolando problemas de roteamento IP relacionados a roteadores .............................................................................. 203 Resoluo de problemas: Cenrio 1: Problema relativo rota avante .................................................................... 204 Resoluo de problemas: Cenrio 2: Problema relativo rota inversa ................................................................... 206 Processo alternativo de isolamento de problemas para os Passos 3, 4 e 5 ............................................................. 208 Ferramentas e dicas para resoluo de problemas ........................................................................................................ 208 Ferramentas de roteamento de hosts ......................................................................................................................... 208 Dicas para resoluo de problemas relacionados a hosts ....................................................................................... 208 Suporte IP a switches ........................................................ ...................................................................................... 209 Referncia ao show ip route ................................................... ................................................................................... 210 Status da interface ......................... ............................................................................................................................. 211 Questes relativas ao VLSM ..................................................................................................................................... 211 Reconhecendo quando o VLSM utilizado ............................................................................................................ 211 ConfIgurando sub-redes VLSM sobrepostas .......................................................................................................... 212 Sintomas de sub-redes sobrepostas ......................................................................................................................... 213 Resumo para resoluo de problemas relativos ao VLSM ..................................................................................... 214 Redes no-contguas e sumarizao automtica ........................................................................................................ 214 Dicas para resoluo de problemas de listas de controle de acesso .......................................................................... 215 Atividade de preparao para o exame ................................................................................................................... 217 Revise todos os tpicos-chave ... ....................................................................... ............................................................. 217 Complete as tabelas e listas usando a memria ............................................................................................................. 217 DefInies de termos-chave .......................................................................................................................................... 217 Tpicos publicados do exame Cisco ICND2* .......................... ..................................................................................... 218

,.

xv
Parte 111: Configurao e resoluo de problemas relativos a protocolos de roteamento

Captulo 8 Teoria dos protocolos de roteamento .................................................. 221


' . ?" . ,. Questlonano "Eu J co nheo IstO. ............... ...... .................................................................................................... ..... . 221

Tpicos fundamentais ............................................................................................................................................... 223


Viso geral sobre os protocolos de roteamento dinmico .............................................................................. ................ 223 Funes do protocolo de roteamento .......................................................................................................................... 224 Protocolos de roteamento internos e externos ........................................................................................................... 225 Comparando IGPs ...................................................................................................................................................... 226 Algoritmos do protocolo de roteamento IGP ........................................................................................................... 226 Mtrica ............................................................................................................................................... ..................... 227 Comparaes do IGP: Resumo ............................................................................................................................... 228 Distncia administrativa ............................................................................................................................................. 229 Recursos do protocolo de roteamento vetor distncia ................................................................................................ 230 Conceito de distncia e de vetor ..................................... ........................................................................................... 230 Operao do vetor distncia em uma rede estvel ............ ........................................................................................ 231 Preveno de loops com o vetor distncia ................................................................................................................. 232 Route Poisoning (Envenenamento de rotas) ........................................................................................................... 232 Problema: contagem at o infInito em um nico link ............................................................................................... 233 Split Horizon .............................................................................. .............................................................................. 235 Poison Reverse e Triggered Updates ...................... ...................................................... .. ........................................ 236 Problema: contagem at o infInito em uma rede redundante .................................................................................. 237 O processo Holddowm e o Timer Holddown .............................. ............................................................................ 239 Resumo sobre vetor distncia .................................................................................................................................... 240 Recursos do protocolo de roteamento link-state ............................................................................................................ 240 Construindo o mesmo LSDB em todos os roteadores ............................................................................................... 241 Aplicando a matemtica Dijkstra SPF para encontrar as melhores rotas .................................................................. 242 Convergncia com os protocolos link-state ................................................................................................................ 243 Resumo e comparaes com relao aos protocolos vetor distncia ........................................................................ 244

Atividade de preparao para o exame ................................................................................................................... 244 Revise todos os tpicos-chave ............................................................................................... ........................................ 244
Complete as tabelas e listas usando a memria ................................... .......................................................................... 245 DefInies de termos-chave .............................................................................................................................. ............ 245 Referncia aos comandos para verificar sua memria ................................................................................................. 246

Captulo 9 OSPF .................................................................................................... 249


. ,. ., . ?" Questlonano "Eu que Ja conh eo IstO. ............................................................................. ........................................... 249
Tpicos fundamentais ................................................................................................................................................ 251 Protocolos OSPF ............................................................................ ............................................................................... 251 Vizinhos OSPF ....................................................... .................................................................................................... 251 IdentifIcando roteadores OSPF atravs do RIO (ID do roteador) ......... ................................................................ 252 Conhecendo e cumprimentando os vizinhos .................... ................................................................................ ........ 252 Possveis problemas ao se tomar um vizinho ................................................................................... ....................... 253 Estados entre vizinhos ............................................................................................................................................. 254 Troca de bancos de dados da topologia OSPF ........................................................................................................... 254 Viso geral do processo de troca de bancos de dados OSPF ................................................................................. 255 Escolhendo um roteador designado .................................................................................................................. ....... 255

XVI
Troca de bancos de dados ....................................................................................................................................... 256 Manuteno do LSDB estando completamente adjacente ..................................................................................... 256 Resumo dos estados entre vizinhos ......................................................................................................................... 257 Construindo a tabela de roteamento IP ...................................................................................................................... 257 Ajustando o OSPF atravs de um projeto hierrquico ........................................................ ....................................... 258 reas OSPF ............................................................................................................................................................ 259 Vantagens do projeto de reas OSPF ........................................................................................................................ 261 Configurao do OSPF .................................................................................................................................................. 261 Configurao do OSPF em uma nica rea ............................................................................................................... 261 Configurao do OSPF com vrias reas .................................................................................................................. 263 Configurando o RID CID do roteador) do OSPF ........................................................................................................ 265 Timers de Hello e Dead do OSPF .............................................................................................................................. 265 Mtrica do OSPF (Custo) ................................................................. ......................................................................... 266 Autenticao do OSPF ................................................................................................................................. .............. 267 Balanceamento de cargo OSPF ................................................................................................................................. 269 Atividade de preparao para o exame ................................................................................................................... 269 Revise todos os tpicos-chave ....................................................................................................................................... 269 Complete as tabelas e listas usando a memria ............................................................................................................. 270 Definies de termos-chave .......................................................................................................................................... 270 Referncia aos comandos para verificar sua memria ................................................................................................. 270

Captulo 10 EIGRP ................................................................................................ 273


., . . ,. ............................................................................................................................... . 273 Queshonano "Eu Ja conheo Isto "?

Tpicos fundamentais ................................................................................................................................................ 275 Conceitos e operao do EIGRP ................................................................................................................................... 275 Vizinhos EIGRP ......................................................................................................................................................... 275 Trocando informaes sobre topologia no EIGRP ..................................................................................................... 276 Calculando as melhores rotas para a tabela de roteamento ....................................................................................... 277 Feasible Distance e Reported Distance .................................................................................................................. 278 Cuidados com a largura da banda em enlaces seriais ............................................................................................. 278 Convergncia no EIGRP ............................................................................................................................................ 279 Sucessores e sucessores possveis no EIGRP ........................................................................................................ 279 O processo de query and reply ............................................................................................................................... 280 Resumo do EIGRP e comparaes com OSPF ......................................................................................................... 281 Configurao e verificao do EIGRP .......................................................................................................................... 281 Configurao bsica do EIGRP (feasible successors) ............................................................................................... 282 Mtricas, sucessores e sucessores possveis no EIGRP ............................................................................................ 284 Criando e vendo uma rota para sucessor possvel .................................................................................................. 285 Convergncia usando a rota para sucessor possvel ............................................................................................... 286 Autenticao no EIGRP ............................................................................................................................................. 287
Nmero mximo de caminhos e varincia no EIGRP ................................................................................................ 289 Ajustando o clculo da mtrica no EIGRP ................................................................................................................. 290 Atividade de preparao para o exame ................................................................................................................... 291 Revise todos os tpicos-chave ....................................................................................................................................... ~91 Complete as tabelas e listas usando a memria ............................................................................................................. 291 Definio de termos-chave ............................................................................................................................................ 292 Referncia aos comandos para verificar sua memria ................................................................................................. 292

XVII

Captulo 11 Resolvendo problemas em protocolos de roteamento .................... 295


. ,. . ?" u Ja Questlonano "E" co nheo Jsto. ............ ..................................... ............................................................................. . 295 Tpicos fundamentais ................................................................................................................................................ 295 Perspectivas sobre a resoluo de problemas em protocolos de roteamento ................................................................ 296 Interfaces habilitadas com um protocolo de roteamento ............................................................................................... 297 Exemplo de resoluo de problema em uma interface EIGRP .................................................................................. 297 Exemplo de resoluo de problemas em uma interface OSPF .................................................................................. 301 Relaes de vizinhana .................................................................................................................................................. 303 Requisitos para vizinhana no EIGRP ........................................................................................................................ 304 Requisitos para vizinhana no OSPF ................. ......................................................................................................... 306 Exemplo 1 de Vizinhana no OSPF ........................................................................................................................ 3m Exemplo 2 de Vizinhana no OSPF ........................................................................................................................ 308 O requisito de MTU idntico ................................................................................................................................... 309 Atividade de preparao para o exame ................................................................................................................... 310 Revise todos os tpicos-chave ....................................................................................................................................... 310 Complete as tabelas e listas usando a memria ............................................................................................................. 310 Referncia aos comandos para verificar sua memria .................................................. ............................................... 310

Parte IV: Redes de longa distncia (WANs) Captulo 12 WANs ponto-a-ponto ... ....................................................................... 315
., . . ,. Questlonano "Eu Ja co nh eo Isto "? ............................................................................................................................... . 315
Tpicos fundamentais ................................................................................................................................................ 317 Conceitos de PPP .......................................................................................................................................................... 317 Campo Protocolo do PPP .......................................................................................................................................... 317 O LCP (Link Control Protocol) do PPP ............................ ......................................................................................... 318 Deteco de loop em enlace ................................................................................................................................... 319 Deteco de aprimoramento de erro ...................................................................................................................... 319 MultilinkPPP .......................................................................................................................................................... 319 Autenticao no PPP .................................... .......................................................................................................... 320 Configurao do PPP .................................................................................................................................................... 321 Operao bsica do PPP ........................................................................................................................................ 321 Configurao e verificao do CHAP .................................................................................................................... 322 Configurao do PAP ............................................................................................................................................. 323 Resolvendo problemas em enlaces seriais ........ ................ ............................................................................................. 323 Resolvendo problemas de camada 1 .......................................................................................................................... 324 Resolvendo problemas de camada 2 .......................................................................................................................... 325 Falha no keepalive ................................................................................................................................................... 326 Falha na autenticao com PAP e CHAP .............................................................................................................. 327 Resolvendo problemas de camada 3 .......................................................................................................................... 328 Atividade de preparao para o exame ................................................................................................................... 329 Revise todos os tpicos-chave ....................................................................................................................................... 329 Complete as tabelas e listas usando a memria ............................................................................................................. 330 Deftnio de termos-chave ............................................................................................................................................ 330 Referncia aos comandos para verificar sua memria ................................................................................................. 330

. ,. ., . ................................................................................................................................ 333 Questlonano "Eu Ja conheo Isto"?

Captulo 13 Conceitos de Frame Relay ................................................................ 333

Tpicos fundamentais ................................................................................................................................................ 335 Viso geral do Frame Relay .......................................................................................................................................... 335 Padres Frame Relay ................................................................................................................................................. 337

XVIII
Circuitos virtuais ......................................................................................................................................................... 337 LMI e tipos de encapsulamento ................................................................................................................................. 339 Endereamento no Frame Relay ................................................................................................................................... 341 Endereamento local no Frame Relay ....................................................................................................................... 341 Endereamento global no Frame Relay ..................................................................................................................... 341 Problemas da camada de rede em relao Frame Relay ........................................................................................... 343 Endereamento de camada 3 no Frame Relay: uma sub-rede contendo todos os DTE' Frame Relay ..................... 344 Endereamento de camada 3 no Frame Relay: uma sub-rede por VC ..................................................................... 344 Endereamento de camada 3 no Frame Relay: abordagem hfbrida ........................................................................... 345 Manipulao de broadcast na camada 3 .................................................................................................................... 346 Controlando a velocidade e os descartes na nuvem Frame Relay ................................................................................ 347 FECN e BECN .......................................................................................................................................................... 347 O bit DE (Discard Eligibility) ...................................................................................................................................... 348 Atividade de preparao para o exame .................................................................................................................. 348 Revise todos os tpicos-chave ....................................................................................................................................... 348 Complete as tabelas e listas usando a memria ............................................................................................................. 349 Definio de termos-chave ............................................................................................................................................ 349

.1

Captulo 14 Configurao e resoluo de problemas de Frame Relay .............. . 351


., . . , . Quesuonano "Eu Ja cooheo lstO" ? ............................................................................................................................. .. 351 .

Tpicos fundamentais ................................................................................................................................................ 353


Configurao e verificao do Frame Relay ................................................................................................................. 353 Planejando uma configurao de Frame Relay .......................................................................................................... 353 Rede totalmente em malha com uma sub-rede IP ..................................................................................................... 354 Configurando o encapsulamento e o LMI .................................................................................................................. 356 Mapeamento de endereos Frame Relay .................................................................................................................. 357 ARP Inverso ............................................................................................................................................................ 359 Mapeamento esttico no Frame Relay ................................................................................................................... 359 Rede parcialmente em malha com uma sub-rede IP por VC .................................................................................... 360 Atribuindo um DLCI a uma determinada subinterface ........................................................................................... 362 Comentrios a respeito de endereamento global e local ....................................................................................... 362 Verificao no Frame Relay .................................................................................................................................... 363 Rede parcialmente em malha com algumas partes totalmente em malha .................................................................. 364 Resoluo de problemas de Frame Relay ..................................................................................................................... 367 Sugesto de processo para resoluo de problemas de Frame Relay ....................................................................... 367 Problemas de camada 1 no link de acesso (passo 1) ................................................................................................. 368 Problemas de camada 2 no link de acesso (passo 2) ................................................................................................. 369 Problemas e estado do PVC (passo 3) ...................................................................................................................... 370 Encontrar a sub-rede conectada e a interface de safda (passos 3a e 3b) ............................................................... 371 Encontrar os PVCs atribudos interface (Passo 3c) ............................................................... ............................. 371 Determinar qual PVC est sendo usado para alcanar um determinado vizinho (passo 3d) .................................. 372 Estado do PVC ....................................................................................................................................................... 373 Estado de subinterface ............................................................................................................................................ 374 Problemas de mapeamento no Frame Relay (passo 4) .............................................................................................. 375 Encapsulamento fim-a-fim (passo 5) .......................................................................................................................... 375 Nmeros de sub-rede diferentes (passo 6) ................................................................................................................ 376 Atividade de preparao para o exame ................................................................................................................... 376 Revise todos os tpicos-chave ....................................................................................................................................... 376 Complete as tabelas e listas usando a memria ............................................................................................................. 376 Leia os cenrios do apndice F ..................................................................................................................................... 377 Referncia aos comandos para verificar sua memria ........................................................................................ ......... 377

:J

:1 : :1 :1 :

-I

XIX

Captulo 15 Redes privadas virtuais ...................................................................... 379


. ,. ., . ............................................................................................................................... . 379 Queshonano "Eu Ja conheo Isto "? Tpicos fundamentais ................................................................................................................................................ 380 Fundamentos de VPN ................................................................................................................................................... 380 VPN s IPsec ................................................................................................................................................................... 383 Criptografia no IPsec ................................................................................................................................................. 383 Troca de chave no IPsec ............................................................................................................................................ 384 Autenticao e integridade de mensagem no IPsec .................................................................................................. 385 Protocolos de segurana ESP e AR ........................................................................................................................... 386 Consideraes sobre a implementao do IPsec ....................................................................................................... 386 VPNs SSL ....................................................................................................................... .............................................. 387 Atividade de preparao para o exame ................................................................................................................... 388 Revise todos os tpicos-chave ....................................................................................................................................... 388 Complete as tabelas e listas usando a memria ............................................................................................................. 389 Definio de termos-chave ............................................................................................................................................ 389

Parte V: Escalando o espao de endereamento IP


Captulo 16 Traduo de endereos de rede ....................................................... 393
., . . ,. . Queshonano "Eu Ja conh eo Isto"? .............................................................................................................................. . 393

Tpicos fundamentais ................................................................................................................................................ 395 Perspectivas a respeito da escalabilidade de endereamento no IPv4 .......................................................................... 395 CIDR .......................................................................................................................................................................... 396 Agregao de rotas para diminuir as tabelas de roteamento .................................................................................. 396 Conservao de endereos no IPv4 ........................................................................................................................ 397 Endereamento IP privado ......................................................................................................................................... 397 Conceitos de traduo de endereos de rede ................................................................................................................ 398 NAT esttico .............................................................................................................................................................. 398 NAT dinmico ............................................................................................................................................................ 400 Sobrecarregando o NAT com a Traduo de Endereos de Portas (PAT) ............................................................ 401 Traduzindo endereos sobrepostos .......................................................................................................................... 403 Configurao e resoluo de problemas de NAT .......................................................................................................... 404 Configurao do NAT esttico ................................................................................................................................... 404 Configurao do NAT dinmico ................................................................................................................................. 406 Configurao de sobrecarga do NAT (Configurao do PAT) .................................................................................. 409 Resoluo de problemas de NAT ............................................................................................................................... 411 Atividade de preparao para o exame ................................................................................................................... 412 Revise todos os tpicos-chave ....................................................................................................................................... 412 Complete as tabelas e listas usando a memria ............................................................................................................. 412 DefInio de termos-chave ............................................................................................................................................ 412 Referncia aos comandos para verifIcar sua memria ................................................................................................. 413

Captulo 17 IP verso 6 ......................................................................................... 415


., . . ,. ............................................................................................................................... . 415 Queshonano "Eu Ja conheo Isto"?

Tpicos fundamentais ................................................................................................................................................ 417 Endereamento unicast global, roteamento e diviso em sub-redes .............................................................................. 418 Agregao global de rotas para roteamento efIciente ................................................................................................ 418 Convenes para representar endereos IPv6 .......................................................................................................... 420 Convenes para escrever prefIxos IPv6 .................................................................................................................. 421 Exemplo de atribuio de prefIxo unicast global ........................................................................................ ................ 423

xx
Dividindo endereos IPv6 unicast globais dentro de uma empresa ........................................................................... 424 Terminologia para prefixos ......................................................................................................................................... 426 Protocolos e endereamento no IPv6 ............................................................................................................................ 426 DHCP para IPv6 ........................................................................................................................................................ 427 Atribuio de endereo de host no IPv6 .................................................................................................................... 427 lD de interface no IPv6 e o formato EUI-64 .......................................................................................................... 427 Configurao esttica de endereos IPv6 ............................................................................................................. .. 428 Autoconfigurao stateless e anncios do roteador ................................................................................................ 429 Resumo da configurao de endereos IPv6 .......................................................................................................... 430 Descobrindo o roteador default com NDP ................................................................................................................. 431 Aprendendo o(s) endereo(s) IP de servidores DNS ................................................................................................ 431 Endereos IPv6 .......................................................................................................................................................... 431 Endereos IPv6 unicast ........................................................................................................................................... 432 Endereos multicast e outros endereos especiais IPv6 ......................................................................................... 433 Resumo dos protocolos e endereamento IP ............................................................................................................. 433 Configurando o roteamento e os protocolos de roteamento IPv6 .................................................................................. 434 Protocolos de roteamento IPv6 .................................................................................................................................. 435 Configurao do IPv6 ................................................................................................................................................ 435 Opes de transio para IPv6 ..................................................................................................................................... 438 Pilha dupla IPv4IIPv6 ................................................................................................................................................. 438 Tunelamento ............................................................................................................................................................... 438 Fazendo tradues entre IPv4 e IPv6 com NAT-PT ................................................................................................. 440 Resumo da transio .................................................................................................................................................. 440 Atividade de preparao para o exame .................................................................................................................. 440 Revise todos os tpicos-chave ....................................................................................................................................... 440 Complete as tabelas e listas usando a memria ............................................................................................................. 441 Definio de termos-chave ............................................................................................................................................ 441 Referncia aos comandos para verificar sua memria .................................................. ............................................... 441

Parte VI: Preparao Final Captulo 18 Preparao Final ................................................................................ 447


Ferramentas para preparao final ................................................................................................................................ 447 O CCNA Prep Center da Cisco ................................................................................................................................. 447 Captulos adicionais sobre diviso em sub-redes, pginas de referncia e problemas prticos ................................. 447 Cenrios ..................................................................................................................................................................... 448 Plano de estudos .......................................................................................................................................... .................. 448 Recorde os fatos ........................................................................................................................................................ 448 Pratique a diviso em sub-redes ................................................................................................................................. 449 Desenvolva habilidades na resoluo de problemas atravs de cenrios .................................................................. 450 Resumo ....................................................................................................................................................................... 450

Parte VII: Apndices


Apndice A Respostas para os questionrios "Eu j conheo isto?" .................. 455
Captulo 1 .................................................................................................................................................................... 455 Captulo 2 .................................................................................................................................................................... 455 Captulo 4 .................................................................................................................................................................... 456 Captulo 5 .................................................................................................................................................................... 456 Captulo 6 ............................................................................... ..................................................................................... 457 Captulo 8 ............................................................................................ ........................................................................ 458 Captulo 9 .................................................................................................................................................................... 458

XXI
Captulo 10 .................................................................................................................................................................. 459 Captulo 12 .................................................................................................................................................................. 459 Captulo 13 .................................................................................................................................................................. 460 Captulo 14 .................................................................................................................................................................. 460 Captulo 15 .................................................................................................................................................................. 461 Captulo 16 .................................................................................................................................................................. 461 Captulo 17 .................................................................................................................................................................. 462

Apndice B Tabela de converso de decimal para binrio ................................... 465 Apndice C Atualizaes do Exame ICND2: Verso 1 ........................................ 469 Glossrio ................................................................................................................ 471 ndice Remissivo .................................................................................................... 484

': I
~,

I.

~ .

XXII

Introduo

Icones usados neste livro

Servidor Web

Navegador Web

PC

Laptop

Servidor

Impressora

Telefone

Telefone IP

Modem de Cabo

CSUIDSU

Roteador

Switch multi-servio

Switch

Switch ATM

Switch Frame Relay

PBX

Ponto de acesso

ASA

DSLAM

Switch WAN

~
Hub PIX Firewall Ponte Conexo sem fio

z
Conexo Ethemet Conexo de linha serial Circuito virtual

Nuvem de rede

Convenes de sintaxe de comandos


As convenes usadas para apresentar a sintaxe de comandos neste livro so as mesmas convenes usadas no lOS Command Reference. O Command Reference (Referncia a Comandos) descreve essas convenes da seguinte forma:
Negrito indica comandos e palavras-chave que so inseridos literalmente conforme mostrados. Em resultados e exemplos reais de configurao (no em sintaxe de comandos gerais), o negrito indica comandos que so manualmente inseridos pelo usurio (como, por exemplo, um comando show).
Itlico indica argumentos para os quais voc fornece valores reais.

Barras verticais (I) separam elementos alternativos e mutuamente excludentes. Colchetes [ ] indicam elementos opcionais. Chaves { } indicam uma escolha obrigatria. Chaves contidas em colchetes [{ }] indicam uma escolha obrigatria dentro de um elemento opcional.

.'


."

Prefcio
CCNA ICND2 Guia Oficial de Certificao do Exame, segunda edio, uma excelente fonte para o estudo autodidata para o exame CCNA ICND2. Passar no exame ICND2 significa validar o conhecimento e as habilidades necessrias para obter sucesso ao instalar, operar e identificar problemas em redes empresariais de pequeno a mdio porte. Este um de dois exames exigidos para a obteno da certificao CCNA.
A obteno da certificao em tecnologias Cisco essencial para o desenvolvimento educacional contnuo do atual profissional da rea de comunicao em rede. Atravs de programas de certificao, a Cisco valida as habilidades e a experincia exigidas para gerenciar de forma eficaz a moderna rede empresarial. Os guias de certificao para exames e materiais de preparao da Cisco Press oferecem acesso excepcional e flexvel ao conhecimento e s informaes necessrias para se manter atualizado em seu campo de atuao ou para obter novos conhecimentos. Quer seja usado como suplemento para um treinamento mais tradicional ou como fonte principal de aprendizado, estes materiais oferecem aos usurios as informaes e a validao de conhecimento necessrias para adquirir um novo entendimento e uma nova proficincia. Desenvolvido em conjunto com a equipe de treinamento e de certificaes da Cisco, os livros da Cisco Press so os nicos livros autodidatas autorizados pela Cisco, e oferecem aos estudantes uma srie de ferramentas para a realizao de exames simulados e materiais de recurso para assegurar que o aluno consiga assimilar completamente os conceitos e as informaes apresentadas. Na Cisco Learning Solutions Partners (Parceiros de Solues de Aprendizado Cisco), encontram-se cursos dados por instrutores, aprendizado eletrnico, laboratrios e simulaes adicionais autorizados pela Cisco. Para mais informaes visite a pgina http://www.cisco.com/go/training. Espero que estes materiais sejam uma parte enriquecedora e de grande utilidade durante o seu preparo para o exame.

Erik Ullanderson Gerente de Certificaes Globais Learning@Cisco Agosto, 2007

XXIV

Introduo

Introduo
Parabns! Se voc estiver manuseando este livro ao ponto de ler sua introduo, provvel que j tenha decidido partir em busca de uma certificao da Cisco. Se voc deseja obter sucesso como tcnico na indstria de comunicao em rede, preciso conhecer a Cisco. Ela dona de uma fatia extremamente grande do mercado na rea de roteadores e switches, com mais de 80 por cento do mercado em determinadas reas. Em muitos lugares e mercados ao redor do mundo, comunicao em rede sinnimo de Cisco. Se seu desejo ser reconhecido seriamente como engenheiro de rede, a certificao da Cisco faz total sentido. Historicamente falando, a primeira certificao Cisco para iniciantes a certificao Cisco Certified Network Associate (CCNA), oferecida pela primeira vez em 1998. As trs primeiras verses da certificao CCNA (1998, 2000 e 2002) exigiam que voc passasse em um nico exame para se tomar certificado. Entretanto, com o passar do tempo, o exame continuou crescendo, tanto em quantidade de material abordado quanto no nvel de dificuldade das questes. Portanto, para a quarta grande reviso dos exames, anunciada em 2003, a Cisco continuou com uma nica certificao (CCNA), mas passou a oferecer duas opes para que os exames fossem certificados: uma opo de exame nico e uma opo formada por dois exames. A opo de dois exames permitia que as pessoas estudassem aproximadamente metade do material, fizessem e passassem em um exame antes de seguir para o prximo. Emjunho de 2007, a Cisco anunciou mudanas na certificao CCNA e nos exames. Este anncio inclua vrias mudanas, principalmente: Os exames passam a abranger coletivamente uma gama mais ampla de tpicos. Os exames aumentam o foco na comprovao das habilidades do candidato (em comparao com somente o teste de conhecimento). A Cisco criou uma nova certificao para iniciantes: a certificao Cisco Certified Entry Network Technician (CCENT) Para as certificaes atuais, anunciadas em junho de 2007, a Cisco criou os exames rCND1 (640-822) e rCND2 (640812), junto com o exame CCNA (640-802). Para se certificar no CCNA, voc pode passar nos exames rCND1 e rCND2, oferecendo-lhe duas opes para a obteno da sua certificao Cisco. O caminho que envolve os dois exames oferece s pessoas menos experientes a chance de estudar para um conjunto menor de tpicos de cada vez, ao passo que, na opo de exame nico, o caminho apresenta mais vantagens para aqueles que desejam se preparar para todos os tpicos de uma s vez. Embora a opo de dois exames possa ser til para alguns candidatos certificao, a Cisco elaborou o exame rCND 1 com um objetivo muito mais importante em mente. A certificao CCNA cresceu ao ponto de testar o conhecimento e as habilidades alm do que um tcnico iniciante em rede precisaria ter. A Cisco precisava de uma certificao que refletisse melhor as habilidades exigidas para cargos iniciantes em comunicao em rede. Portanto, ela elaborou o seu curso Interconnecting Cisco Networking Devices 1 (ICND1), e o exame rCND1 (640-822) correspondente, de forma a incluir o conhecimento e as habilidades mais necessrios a um tcnico iniciante em uma pequena rede empresarial. Para mostrar que voc possui as habilidades necessrias para ocupar um cargo de iniciante, a Cisco criou uma nova certificao, a CCENT, que pode ser obtida com a aprovao no exame rCND 1. A Figura r-I mostra a organizao bsica das certificaes e dos exames usados para obter as certificaes CCENT e CCNA. (Observe que no existe nenhuma certificao separada para aprovao no exame rCND2.) Figura 1-1. Certificaes e Exames Cisco para lniciantes

Fazer exame ICND1 (640-822)

Se aprovado

Certificado TFazer exame CCENT - - - - - - + ICND2 (640-816)

1
Fazer exame Se aprovado Certificado CCNA (640-802) - - . . . . . . : . - - - - - - - - - - - - - - - - , CCNA

Se a,,","d,

,fJ.

it.

CCNA ICND2

XXV

Como voc pode ver na figura, embora a certificao CCENT possa ser obtida fazendo o exame ICND 1, no necessrio ter a certificao CCENT primeiro para obter a sua certificao CCNA - voc pode optar por fazer somente o exame CCNA sem ter de fazer o CCENT. Os exames ICNDI e ICND2 abrangem diversos conjuntos de tpicos, com muito pouca sobreposio de assuntos. Por exemplo, o ICNDI abrange endereamento IP e criao de sub-redes, enquanto o ICND2 abrange uma utilizao mais complicada de sub-redes chamada VLSM (mascaramento de sub-redes de compartilhamento varivel); portanto o ICND2 deve abranger sub-redes de alguma forma. O exame CCNA abrange todos os tpicos abordados nos exames ICNDI e ICND2. Embora a popularidade da certificao CCENT s poder ser vista com o passar de alguns anos, certamente a certificao CCNA da Cisco desfruta uma posio como programa mais popular de certificao para iniciantes em comunicao em rede. Uma certificao CCNA prova que voc possui um embasamento slido nos componentes mais importantes da linha de produtos Cisco, ou seja, roteadores e switches. Prova tambm que voc possui um amplo conhecimento de protocolos e tecnologias de rede.

Formato dos exames CCNA


Todos os exames ICNDI, ICND2 e CCNA seguem o mesmo formato geral. Ao chegar ao local de realizao do teste e confirmar sua presena, o responsvel por tomar conta da prova, aps dar-lhe algumas instrues gerais, o levar para uma sala silenciosa com um Pc. J em frente ao PC, h algumas coisas que vale a pena fazer antes que o cronmetro seja iniciado em seu exame. Voc pode, por exemplo, responder a um teste modelo, s para se acostumar com o PC e com o mecanismo do teste. Qualquer pessoa que tenha conhecimento de usurio no uso de PCs no dever ter problemas com o ambiente do teste. Alm disso, o Captulo 18, "Preparao Final", introduz um site Cisco onde pode ser vista uma demonstrao do mecanismo de testes da Cisco. Ao comear o exame, uma srie de questes lhe so apresentadas. Voc deve responder a cada questo e, em seguida, passar para a prxima. O mecanismo do exame no permite que voc volte e mude uma resposta dada. Sim, verdade - ao passar para a questo seguinte, a questo anterior considerada irreversvel. As questes do exame podem ter um dos seguintes formatos: Mltipla escolha

Testlets
Arrastar-e-soltar Laboratrio simulado

Simlets
Os trs primeiros tipos de questes so relativamente comuns em vrios ambientes de testes. O formato mltipla escolha simplesmente requer que voc aponte e clique em um crculo ao lado da resposta(s) correta(s). A Cisco tradicionalmente lhe diz quantas respostas voc precisa escolher, e o software do teste impede que voc escolha mais respostas do que necessrio. Testlets so questes que apresentam um cenrio geral, com vrias questes de mltipla escolha relativas a este cenrio geral. Questes do tipo Arrastar-e-soltar requerem que voc clique com o boto do mouse e o mantenha pressionado, mova um boto ou cone para outra rea, e solte o boto do mouse para colocar o objeto em outro lugar normalmente em uma lista. Portanto, em alguns casos, para acertar a questo, possvel que voc tenha que colocar uma lista de cinco itens na ordem adequada. Os dois ltimos tipos utilizam um simulador de rede para fazer perguntas. interessante notar que os dois tipos permitem que a Cisco avalie duas habilidades bastante diferentes. Primeiro, as questes do tipo Laboratrio Simulado geralmente descrevem um problema e a sua tarefa configurar um ou mais roteadores ou switches para consertar o problema. O exame ento pontua a questo com base na configurao que voc alterou ou acrescentou. Novamente, interessante notar que as questes do tipo Laboratrio Simulado so as nicas questes que a Cisco (at hoje) admite abertamente conceder pontuao parcial. As questes do tipo Simlet possivelmente so o estilo mais difcil de questo nestes exames. Este tipo de questo tambm utiliza um simulador de rede, mas, em vez de responder questo alterando a configurao, a questo inclui uma ou mais questes de mltipla escolha. As questes requerem a utilizao do simulador para examinar o comportamento atual de

XXVI

Introduo

uma rede, interpretando o resultado de sada de qualquer comando show do qual voc se lembre para responder questo. Enquanto as questes do tipo Laboratrio Simulado requerem que voc resolva problemas relacionados a uma configurao, as questes do tipo Simlet requerem que voc analise redes em funcionamento normal e redes com problemas, correlacionando os resultados de sada dos comandos show com seu conhecimento de teoria sobre redes e comandos de configurao.

o que cai

nos Exames CCNA?

Desde os meus tempos de escola, sempre que o professor anunciava que em breve teramos um teste, algum sempre perguntava: o que vai cair no teste? Mesmo j na universidade, todos tentavam obter mais informaes sobre o que cairia nos exames. No fundo, o objetivo saber o que deve ser estudado com mais afinco, o que deve ser estudado mais superficialmente, e o que no deve ser estudado. A Cisco deseja que o pblico conhea a variedade de tpicos e tenha uma idia sobre os tipos de conhecimento e habilidades necessrios para cada tpico, para cada exame de certificao da Cisco. Com este propsito, a Cisco publica um conjunto de objetivos para cada exame. Os objetivos relacionam os tpicos especficos, como endereamento IP, RIP e VLANs. Os objetivos tambm indicam os tipos de habilidades necessrias para aquele tpico. Um objetivo, por exemplo, poderia comear com "Descrever... " e outro com "Descrever, configurar e resolver... ". O segundo objetivo deixa claro que voc precisa ter um entendimento profundo e completo daquele tpico. Ao relacionar os tpicos e o nvel de conhecimento, a Cisco nos ajuda a preparar para os exames. Embora os objetivos do exame ajudem bastante, tenha em mente que a Cisco deixa claro que os tpicos relacionados para todos os seus exames de certificao so apenas diretrizes. A Cisco se esfora em manter as questes do exame dentro dos limites dos objetivos apresentados, e, por experincia prpria, em conversas com pessoas envolvidas no processo, sei que todas as questes so analisadas quanto ao seu enquadramento dentro dos tpicos de exame apresentados.

Tpicos do exame ICND1


A Tabela I-I relaciona os tpicos do exame ICND1. Os tpicos do exame ICND2 so apresentados logo a seguir na Tabela 1-2. Embora os tpicos de exame apresentados no sejam enumerados na Cisco.com, a Cisco Press, na verdade, enumera os tpicos dos exames para facilitar a referncia. A tabela tambm apresenta as sees do livro nas quais abordado cada tpico do exame. Como os tpicos podem mudar com o tempo, verifique-os conforme relacionados em Cisco.com (especificamente, em http://www.cisco.comlgo/ccna). Se a Cisco vier a realmente acrescentar tpicos dos exames posteriormente, observe o Apndice C deste livro que descreve como ir at a pgina http://www.ciscopress.com e baixar as informaes adicionais referentes aos tpicos recm acrescentados.

Observao A tabela inclui partes destacadas em cinza que sero explicadas na prxima seo "Tpicos do Exame CCNA". Tabela I-I. Tpicos do Exame ICNDJ Nmero de referncia Sees do livro ICND1 onde o tpico abordado Tpico do exame

Descrever a operao das redes de dados

1
2

Descrever o propsito e as funes de vrios dispositivos de rede Selecionar os componentes necessrios para satisfazer a uma determinada especificao de rede Utilizar os modelos OSI e TCPIIP e seus protocolos associados para explicar como os dados fluem em uma rede

I, lI, III

e l e
r

CCNA ICND2 XXVII

Descrever aplicativos de rede comuns incluindo aplicativos Web Descrever o propsito e a operao bsica dos protocolos nos modelos OSI e TCP Descrever o impacto de aplicativos (Voice Over IP e Video Over IP) em uma rede Interpretar diagramas de rede Determinar o trajeto entre dois hosts dentro de uma rede Descrever os componentes necessrios para comunicao na rede e na Internet Identificar e corrigir problemas de rede comuns nas camadas 1, 2, 3 e 7 utilizando uma abordagem de modelos em camadas Diferenciar entre operaes e recursos LAN/WAN Implementar uma pequena rede de switches

7 8

I-IV I-IV

I, m , IV

10

I-IV

11

II, m

12

II

Selecionar as mdias, cabos, portas e conectores adequados para conectar switches a outros dispositivos e hosts de rede Explicar a tecnologia e o mtodo de controle de acesso ao meio para tecnologia Ethernet Explicar segmentao de rede e conceitos bsicos de gerenciamento de trfego Explicar a operao dos switches Cisco e conceitos bsicos de switching Executar, salvar e verificar as tarefas de configurao inicial do switch, incluindo o gerenciamento de acesso remoto Verificar o status da rede e a operao do switch utilizando recursos bsicos (incluindo: ping, traceroute, telnet, SSH, arp, ipconfig), e comandos SHOW & DEBUG Implementar e verificar a segurana bsica de um switch (segurana da porta, desativao de portas) Identificar, prescrever e resolver questes comuns relativas a redes de switches, questes de configurao, negociao automtica e falhas no hardware de switches Implementar um esquema de endereamento IP e servios IP para satisfazer as exigncias de rede para um pequeno escritrio empresarial

13

II

14

II

15

II

16

II

17

II

18

II

19

II

XXVIII

Introduo

20 21 22

I, III

Descrever a necessidade e o papel do endereamento em redes Criar e aplicar um esquema de endereamento a uma rede Designar e verificar endereos IP vlidos para hosts, servidores e dispositivos de rede em um ambiente de LAN Explicar os usos bsicos e a operao do NAT em uma pequena rede conectando a um ISP Descrever e verificar a operao DNS Descrever a operao e os benefcios de se utilizaro endereamento IP pblico e privado Ativar o NAT para uma pequena rede com um nico ISP e uma nica conexo utilizando SDM e verificar a operao utilizando CU eping Configurar, verificar e resolver problemas nas operaes DHCP e DNS em um roteador. (incluindo: CLIISDM) Implementar servios de endereamento esttico e dinmico para hosts em um ambiente deLAN Identificar e corrigir endereamento IP questes de

I, III

III

23 24

IV

I, III III,IV

25
26

III, IV

27

III

28

UI

29

III

Implementar uma pequena rede roteada

30

I, III

Descrever conceitos bsicos de roteamento (incluindo: encaminhamento de pacotes, processo de consulta a roteadores) Descrever a operao de roteadores Cisco (incluindo: processo de inicializao de roteadores, POST, componentes de roteadores) Selecionar as mdias, cabos, portas e conectores adequados para conectar roteadores a outros dispositivos e hosts de rede Configurar, verificar e resolver problemas de RIPv2 Acessar e utilizar o roteador CLI para estabelecer parmetros bsicos Conectar, configurar e verificar o status das operaes da interface com um dispositivo

31

lU

32

I, III

33 34

III
III

35

III

CCNA ICND2 XXIX


Tabela l-I Tpicos do Exame ICNDI (Continuao)

36 37 38 39
40
41

III

Verificar a configurao dos dispositivos e a conectividade de rede utilizando ping, traceroute, telnet, SSH ou outros recursos Executar e verificar as tarefas de configurao de roteamento para uma rota esttica ou padro de acordo com certos requisitos especficos de roteamento Gerenciar arquivos de configurao lOS (incluindo: salvar, editar, atualizar, restaurar) Gerenciar o Cisco lOS Implementar senhas e segurana fsica Verificar o status de rede e a operao dos roteadores utilizando recursos bsicos (incluindo: ping, traceroute, telnet, SSH, arp, ipconfig) e comandos SHOW & DEBUG Explicar e selecionar
~s

III
III III III III

tarefas administrativas adequadas exigidas para uma WLAN

42

11
II

Descrever padres associados com meios de comunicao sem fio (incluindo: IEEE, WI-FI Alliance, ITUIFCC) Identificar e descrever o propsito dos componentes em uma pequena rede de comunicao sem fio (incluindo: SSID, BSS, ESS) Identificar os parmetros bsicos a serem configurados em uma rede sem fio para garantir que os dispositivos se conectem ao ponto de acesso correto Comparar e contrastar caractersticas de segurana de comunicao sem fio e capacidades de segurana WPA (incluindo: open, WEP, WPA-1I2) Identificar questes comuns com a implementao de redes de comunicao sem fio Identificar ameaas de segurana para uma rede e descrever mtodos gerais para mitigar essas ameaas

43

44

11 11 11

45 46

47
48

Explicar as crescentes ameaas atuais segurana de redes e a necessidade de implementar uma poltica de segurana abrangente para mitigar as ameaas Explicar mtodos gerais para mitigar ameaas comuns segurana de dispositivos, hosts e aplicativos de rede Descrever as funes de instrumentos e aplicativos de segurana comuns

49
50

I, n, III Descrever as prticas recomendadas de segurana incluindo os passos iniciais para se ter dispositivos de rede seguros Implementar e verificar links WAN

51 52

IV IV

Descrever diversos mtodos para conexo com uma WAN Configurar e verificar uma conexo WAN serial

Tpicos do exame ICND2


A Tabela 1-2 relaciona os tpicos do exame ICND2 (640-816), junto com as sees do livro no Guia Oficial de Certificao do Exame CCNA ICND2 nas quais cada tpico abordado.

xxx

Introduo

Tabela 1-2 Tpicos do Exame ICND2


Nmero de referncia Sees do livro ICND2 onde o tpico abordado Tpico do exame

Configurar, verificar e resolver problemas de um switch com VLANs e comunicao interswitch

101 102 103


104

I I

Descrever tecnologias avanadas de switching (incluindo: VTP, RSTP, VLAN, PVSTP, 802.1q) Descrever como as VLANs criam redes logicamente separadas e a necessidade de roteamento entre elas Configurar, verificar e resolver problemas relativos a VLANs Configurar, verificar e resolver problemas relativos a trunking em switches Cisco Configurar, verificar e resolver problemas relativos a roteamento interVLAN Configurar, verificar e resolver problemas relativos a VTP Configurar, verificar e resolver problemas relativos operao RSTP Interpretar o resultado de vrios comandos show e debug para verificar o status operacional de uma rede de switches Cisco Implementar a segurana bsica de switches (incluindo: segurana de portas, portas no atribudas, acesso a tronco, etc)

I I
11

105
106

I I I

107 108 109

Implementar um esquema de endereamento IP e de servios IP para satisfazer as exigncias de rede em uma rede empresarial de porte mdio
110 111 11 11 Calcular e aplicar um projeto de endereamento IP VLSM a uma rede Determinar o esquema adequado de endereamento classless utilizando VLSM e sumarizao para satisfazer as exigncias de endereamento em urna LAN/WAN Descrever as exigncias tecnolgicas para executar o IPv6 (incluindo: protocolos, pilha dupla, tunneling, etc) Descrever endereos IPv6 Identificar e corrigir problemas comuns associados com o endereamento IP e configuraes de hosts

112

113 114

V 11, III

Configurar e resolver problemas bsicos de operao e roteamento em dispositivos Cisco


115 116 117 118 119 120 111 111 111 11, III 11, III 11, I1I, IV Comparar e contrastar mtodos de roteamento e protocolos de roteamento Configurar, verificar e resolver problemas relativos a OSPF Configurar, verificar e resolver problemas relativos a EIGRP Verificar a configurao e a conectividade utilizando ping, traceroute, telnet ou SSH Resolver problemas relativos a questes de implementao de roteamento Verificar a operao do hardware e do software de roteadores utilizando comandos SHOW & DEBUG Implementar a segurana bsica de roteadores

121

11

CCNA ICND2 XXXI

Implementar, verificar e resolver problemas relativos a NAT e ACLs em uma rede empresarial de mdio porte 122 123 II II II II II V
V

Descrever o propsito e os tipos de listas de controle de acesso Configurar e aplicar listas de controle de acesso com base nas exigncias de filtragem de rede Configurar e aplicar uma lista de controle de acesso para limitar o acesso telnet e SSH a roteadores Verificar e monitorar ACLs em um ambiente de rede Resolver problemas relativos a questes de implementao ACL Explicar a operao bsica do NAT Configurar o Network Address Translation (Traduo de Endereos de Rede) para determinadas exigncias de rede utilizando CU Resolver problemas relativos a questes de implementao do NAT

124
125 126 127 128

129

Implementar e verificar links WAN

130 131
132

IV IV IV IV

Configurar e verificar Frame Relay em roteadores Cisco Resolver problemas relativos a questes de implementao da WAN Descrever a tecnologia VPN (incluindo: importncia, benefcios, funo, impacto, componentes) Configurar e verificar a conexo com o PPP entre roteadores Cisco

133

Tpicos do exame CCNA


Na verso anterior dos exames, o exame CCNA abrangia boa parte do que constava no exame ICND (640-811), acrescido da abordagem de tpicos no exame INTRO (640-821). O novo exame CCNA (640-802) abrange todos os tpicos dos exames ICND1 (640-822) e ICND2 (640-816). Um dos motivos para uma abordagem mais equilibrada nos exames que alguns dos tpicos que costumavam aparecer no segundo exame passaram a fazer parte do primeiro. O novo exame CCNA (640-802) abrange todos os tpicos dos exames ICND1 e ICND 2. Os tpicos oficiais do exame CCNA 640-802, apresentados na pgina http://www.cisco.com. incluem todos os tpicos relacionados na Tabela 1-2 para o exame ICND2, acrescido da maior parte dos tpicos do exame ICND1, relacionados na Tabela I-L Os nicos tpicos de exame dessas duas tabelas que no so relacionados como tpicos do exame CCNA so os tpicos destacados em cinza na Tabela I-L Entretanto, observe que os tpicos em cinza ainda so abordados no exame CCNA 640-802. Estes tpicos s no esto relacionados entre os tpicos do exame CCNA porque um dos tpicos do exame ICND2 se refere aos mesmos conceitos.

Esboo do curso ICND1 e ICND2


Outra forma de se direcionar em relao aos tpicos dos exames olhar o esboo do curso relativo aos cursos desejados. A Cisco oferece dois cursos autorizados relacionados ao CCNA: o Interconnecting Cisco Network Devices 1 (ICND1) (lnterconectando Dispositivos de Rede Cisco 1) e o Interconnecting Cisco Network Devices 2 (ICND2) (Interconectando Dispositivos de Rede Cisco 2). A Cisco autoriza a CLSP (Certified Learning Solutions Providers, ou Provedores Certificados para Solues de Aprendizado) e a CLP (Certified Learning Partners, ou Parceiros de Aprendizado Cisco) a ministrar essas aulas. Essas empresas autorizadas podem tambm criar apostilas de cursos customizadas utilizando este material, em alguns casos para ministrar aulas voltadas para a aprovao no exame CCNA.

XXXII

Introduo

Sobre o Guia Oficial de Certificao do Exame CCENT/CCNA ICND1 e o Guia Oficial de Certificao do Exame CCNA ICND2
Conforme mencionado anteriormente, a Cisco separou o contedo abordado pelo exame CCNA em duas partes: tpicos normalmente utilizados por engenheiros que trabalham em uma rede empresarial pequena (ICNDl), com os tpicos adicionais normalmente utilizados por engenheiros de empresas de porte mdio sendo abordados pelo exame ICND2. Da mesma forma, a srie Guia de Certificao do Exame CCNA inclui dois livros para o CCNA - CCENT/CCNA fCNDI Guia Oficial de Certificao do Exame e o CCNA fCND2 Guia Oficial de Certificao do Exame. Estes dois livros abrangem a gama de tpicos em cada exame, normalmente com um pouco mais de profundidade do que exigido para os exames, simplesmente para assegurar que os livros preparem o candidato para as questes mais difceis do exame. As sees apresentadas a seguir relacionam a variedade de recursos existentes neste livro e no CCENT/CCNA Guia Oficial de Certificao do Exame. Ambos os livros possuem os mesmos recursos bsicos; portanto, se estiver lendo este livro e o livro ICNDl, voc no precisar ler a introduo dos dois livros. Alm disso, para aqueles que estejam usando ambos os livros para se preparar para o exame CCNA 640-802 (em vez de realizar a opo de dois exames), ao final desta introduo ser apresentada uma sugesto de plano de leitura.

Objetivos e mtodos

o objetivo mais importante e, de certa forma, bvio deste livro ajud-lo a passar no exame ICND2 e no exame CCNA. De fato, se o objetivo principal deste livro fosse diferente, o seu ttulo seria enganoso! Entretanto, os mtodos utilizados neste livro para ajud-lo a passar nos exames tambm so elaborados para que voc adquira um conhecimento muito maior sobre como realizar seu trabalho.
Este livro utiliza vrias metodologias importantes para ajud-lo a descobrir os tpicos do exame que precisam de mais revises, para ajud-lo a entender por completo e lembrar-se destes detalhes, e para ajud-lo a provar a si mesmo que assimilou seu conhecimento sobre estes tpicos. Portanto, este livro no pretende ajud-lo a passar em exames simplesmente atravs da memorizao, mas atravs de um verdadeiro aprendizado e entendimento dos tpicos. A certificao CCNA a base para a obteno de muitas certificaes profissionais da Cisco, e seria uma desconsiderao a voc se este livro no o ajudasse a verdadeiramente aprender a matria. Por isso, este livro o ajuda a passar no exame CCNA utilizando os seguintes mtodos: Ajudando-o a descobrir quais tpicos do exame voc ainda no domina Proporcionando explicaes e informaes para preencher as lacunas do seu conhecimento Fornecendo exerccios que aprimoram a sua capacidade de lembrar e deduzir respostas s questes do teste

Caractersticas do livro
Para ajud-lo a customizar seu tempo de estudo utilizando estes livros, os captulos principais possuem vrios recursos que o ajudam a tirar maior proveito do seu tempo:

Questionrios ''Eu j conheo isto?": Cada captulo comea com um questionrio que o ajuda a determinar quanto tempo ser necessrio para estudar o captulo. Tpicos fundamentais: Essas so as principais sees de cada captulo. Elas explicam os protocolos, os conceitos e a configurao referentes aos tpicos discutidos no captulo. Atividades de Preparao para o Exame: Ao final da seo Tpicos Fundamentais de cada captulo, a seo Atividades de Preparao para o Exame relaciona uma srie de atividades de estudo que devem ser realizadas ao final do captulo. Cada captulo inclui as atividades que fazem mais sentido para o estudo dos tpicos do captulo. Dentre as atividades, incluem-se as seguintes: Reviso dos Tpicos Principais: O cone Tpicos Principais mostrado prximo aos itens mais importantes na seo Tpicos Fundamentais do captulo. A atividade Reviso dos Tpicos Principais relaciona os tpicos principais daquele captulo e o nmero da pgina. Como o contedo do captulo inteiro pode cair no exame, voc deve, com certeza, saber as informaes relacionadas em cada tpico principal. Por isso, elas devem ser revisadas.

CCNA ICND2 XXXIII

Completar Tabelas e Listas Usando a Memria: para ajud-lo a exercitar sua memria e memorizar algumas listas de fatos , muitas das listas e tabelas mais importantes do captulo so includas no Apndice J. Este documento relaciona somente informaes parciais, permitindo que voc complete a tabela ou a lista. O Apndice K relaciona as mesmas tabelas e listas, preenchidas, para facilitar a comparao. Definio dos Termos Principais: Embora seja improvvel que nos exames caiam perguntas do tipo "Defina este termo", os exames CCNA requerem que voc aprenda e saiba vrias terminologias de comunicao em rede. Esta seo relaciona os termos mais importantes do captulo, pedindo que voc escreva uma pequena definio e compare sua resposta com o glossrio apresentado no fmal do livro. Tabelas de Referncia a Comandos: Alguns captulos do livro abordam uma grande quantidade de comandos de configurao e EXEC. Essas tabelas relacionam os comandos introduzidos no captulo, junto com uma explicao. Para se preparar para o exame, use-as como referncia, mas tambm leia as tabelas uma vez quando estiver executando as Atividades de Preparao para o Exame para assegurar-se de que voc se lembre de tudo que os comandos podem fazer.

Prtica para a criao de sub-redes (Subnetting Practice): O Apndice D encontrado em ingls no website da editora www.altabooks.com.br. contm um grande conjunto de problemas para praticar a criao de sub-redes, com as respostas e as explicaes de como as respostas foram obtidas. Este um excelente recurso para se preparar para a criao de sub-redes com agilidade e eficincia. O site amigo: o site http://www.ciscopress.comltitle/1587201828 fornece os materiais atualizados mais recentemente que ajudam a esclarecer tpicos complexos do exame. Verifique este site regularmente e veja as atualizaes escritas pelo autor que fornecem uma viso mais profunda dos tpicos mais problemticos encontrados no exame. (em ingls)

Como este livro organizado


Este livro contm 18 captulos principais - os Captulos de 1 a 18, com o Captulo 18 incluindo alguns materiais de resumo e sugestes sobre como abordar os exames. Cada captulo principal abrange um subconjunto dos tpicos do exame ICND2. Os captulos principais esto organizados em sees e cobrem os seguintes tpicos:

Parte I: LAN Switching Captulo 1, ''LANs Virtuais": Este captulo explica os conceitos e a configurao em torno das LANs virtuais, incluindo Trunking de VLANs e o VTP (VIAN Trunking Protocol, ou Protocolo de Trunking de VLANs Captulo 2, ''Protocolo Spanning Tree": Este captulo mergulha fundo nos conceitos existentes por trs do STP (Spanning Tree Protocol, ou Protocolo Spanning Tree), bem como no Rapid STP mais recente (RSTP), incluindo conceitos de configurao e resoluo de problemas. Captulo 3, "Resolvendo problemas de LAN Switching" : Este captulo explica algumas idias gerais sobre como resolver problemas de comunicao em rede, concentrando-se principalmente no processo de encaminhamento utilizado por switches de LANs.

Parte li: Roteamento IP

Captulo 4, "Roteamento IP: rotas estticas e rotas diretamente conectadas": Este captulo examina como os roteadores acrescentam rotas estticas e rotas conectadas tabela de roteamento, revendo simultaneamente os conceitos existentes por trs de como os roteadores direcionam ou encaminham pacotes. Captulo 5, ''VLSM e sumarizao de rotas": Este captulo explica como o roteamento IP e os protocolos de roteamento podem dar suporte ao uso de diferentes mscaras de sub-rede em uma nica rede classful (VLSM), bem como os conceitos da matemtica existente por trs de como os roteadores conseguem sumarizar mltiplas rotas em uma nica entrada na tabela de roteamento. Captulo 6, ''Listas de controle de acesso IP": Este captulo examina como as ACLs podem filtrar pacotes para que um roteador no encaminhe o pacote. O captulo examina os conceitos e a configurao de ACLs padro e estendidas incluindo ACLs nomeadas e numeradas. Captulo 7, "Resolvendo problemas de roteamento IP": Este captulo mostra um plano estruturado para como isolar problemas relacionados a dois hosts que deveriam conseguir encaminhar pacotes um para o outro, mas

XXXIV

Introduo

no conseguem faz-lo. O captulo inclui tambm uma variedade de ferramentas e dicas para ajudar a atacar problemas de roteamento. Parte li: Configurao e resoluo de problemas relativos a protocolos de roteamento Captulo 8, "Teoria dos protocolos de roteamento": Este captulo explica a teoria existente por trs dos protocolos do vetor distncia e link-state.

- Captulo 9, "OSPF': Este captulo examina o OSPF, incluindo mais detalhes sobre a teoria link-state implementada pelo OSPF, e a configurao do OSPE Captulo 10, "EIGRP": Este captulo examina o EIGRP, incluindo uma descrio da teoria existente por trs do EIGRP, bem como a configurao e a verificao do EIGRP. Captulo 11, ''Resolvendo problemas em protocolos de roteamento": Este captulo explica algumas das razes tpicas pelas quais os protocolos de roteamento falham ao trocar informaes de roteamento, mostrando exemplos especficos de problemas comuns com o OSPF e EIGRP.

Parte IV: Redes de longa distncia (WANs) Captulo 12,"WANs ponto-a-ponto": Este curto captulo revisa os fundamentos das WANs e examina o PPP, incluindo o CHAP, em mais detalhe. Captulo 13, "Conceitos de Frame Relay": Este captulo se concentra na terminologia e na teoria existente por trs do protocolo Frame Relay, incluindo opes de endereamento IP ao utilizar Frame Relay. Captulo 14, "Configurao e resoluo de problemas de Frame Relay": Este captulo mostra uma variedade de opes de configurao para Frame Relay, incluindo subinterfaces ponto-a-ponto e multi pontos. Explica tambm a melhor forma de utilizar os comandos show para isolar a causa geradora de problemas comuns envolvendo Frame Relay. Captulo 15, ''Redes privadas virtuais": Este captulo examina os conceitos e protocolos utilizados para criar VPNs seguras na Internet, incluindo os fundamentos do IPsec.

Parte V: Escalando o espao de endereamento IP Captulo 16, "Traduo de endereos de rede": Este captulo examina de perto os conceitos existentes por trs da exausto de espao de endereamento IPv4, e como o NAT, de modo especial a opo PAT (Port Address Translation), ajuda na resoluo de problemas. O captulo tambm mostra como configurar o NAT em roteadores que utilizam lOS CU. Captulo 17, ''IP Verso 6": Este captulo introduz os fundamentos do IPv6, incluindo o formato de endereo de 128 bits, suporte OSPF e EIGRP ao IPv6, e a configurao original bsica do IPv6. Introduz tambm o conceito de estratgias de migrao e de tunneling do IPv6.

Parte VI: Preparao final Captulo 18, ''Preparao final": Este captulo sugere um plano de preparao final aps ter concludo as principais partes do livro, explicando, de modo especial, as vrias opes de estudo disponveis no livro.

Parte VII: Apndices Apndice A, ''Respostas para os questionrios ''Eu j conheo isto?": Inclui as respostas a todas as questes desde o Captulo 1 at o Captulo 17.

- Apndice B, ''Tabela de converso de decimal para binrio": Relaciona os valores decimais de O a 255, junto com os equivalentes binrios. Apndice C, "Atualizaes no exame ICND2: verso 1.0": Este apndice aborda uma variedade de tpicos que esclarecem ou espandem os tpicos abordados anteriormente no captulo. Este apndice atualizado de tempos em tempos e postado em http://www.ciscopress.comlccna. com a verso mais recente disponvel na poca de impresso, includa aqui como Apndice C. (A primeira pgina do apndice inclui instrues sobre como verificar se a ltima verso do Apndice C est disponvel on-line.)

CCNA ICND2 XXXV

-Glossrio: O glossrio contm definies para todos os termos relacionados na seo "Definio de termoschave", ao final dos Captulos 1 a 17. Parte Vil: Apndices Apndice D, Prtica de Sub-redes (disponvel em ingls, no website da editora www.altabooks.com.br): Embora no abordada em nenhum dos captulos impressos neste livro, a criao de sub-redes com certeza o conhecimento pr-requisito mais importante para o exame lCND2. Este apndice, bem como os Apndices E, H e 1, incluem materiais extrados do Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ para aqueles que compraram este livro, mas no o livro do lCNDl. De modo especial, este apndice inclui um grande nmero de problemas relacionados com a prtica da criao de sub-redes, apresentando tambm as respostas. As respostas utilizam processos binrios e decimais descritos no Captulo 12 do livro lCND1; o Apndice H deste livro uma cpia do Captulo 12 do lCNDl. Ap nd ice E, Pginas d e Referncia a Sub-redes (disponvel em ingls, no website da editora www.altabooks.com.br): Este apndice resume o processo utilizado para encontrar a resposta a vrios problemas importantes de sub-redes, com os detalhes apresentados em uma nica pgina. O objetivo oferecer a voc uma pgina de referncia para ser usada ao praticar sub-redes. Apndice F, Cenrios Adicionais: Um dos mtodos utilizados para melhorar a sua capacidade de anlise de redes e de resoluo de problemas examinar quantos cenrios de redes forem possveis, raciocinar sobre eles e obter feedback para verificar se voc chegou s concluses corretas. Este apndice oferece vrios cenrios deste tipo. Apndice H, Endereamento e Sub-rede IP: Este apndice uma cpia do Captulo 12 do Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ. Este captulo explica endereamento IP e sub-redes, que so considerados um conhecimento pr-requisito para o exame lCND2. O Apndice H includo neste livro para aqueles que no possuem uma cpia do Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ. necessrio, entretanto, revisar e aprender mais sobre sub-redes. Apndice I, Configurao de WAN: Este apndice uma cpia do Captulo 17 do Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ. O Captulo 12 deste livro (ICND2) , "WANs ponto-a-ponto", apresenta uma sugesto para revisar alguns pontos pr-requisitos apresentados neste captulo. Este captulo includo neste livro para aqueles que no possuem uma cpia do Guia Oficial de Certificao do Exame CENT/CCNA ICNDJ. Apndice J, ''Tabelas de Memria": Este apndice contm as tabelas e listas de cada captulo, com a eliminao de parte do contedo. Este apndice pode ser impresso e, como exerccio de memria, as tabelas e listas podem ser completadas. O objetivo ajud-lo a memorizar fatos que podem ser teis nos exames. Apndice K, "Resposta das Tabelas de Memria": Este apndice contm a chave de respostas para os exerccios do Apndice J. Apndice L, ''1CND2 Open-Ended Questions": Este apndice proveniente de edies anteriores deste livro. A edio mais antiga apresentava questes de resoluo livre com o propsito de ajud-lo a estudar para o exame, mas as novas caractersticas tomam essas questes desnecessrias. Por questo de convenincia, as questes antigas so includas aqui, porm no editadas desde a ltima edio.

Como usar este livro para se preparar para o exame ICND2 (640-816)
Este livro foi elaborado com dois objetivos principais em mente: ajud-lo a estudar para os exames lCND2 e CCNA utilizando tanto este livro quanto o Guia Oficial de Certificao de Exame CCENT/CCNA ICNDJ. Usar este livro para se preparar para o exame de lCND2 simples - leia todos os captulos na seqncia, e siga as sugestes de estudo apresentadas no Captulo 18 "Preparao Final". Para os captulos principais deste livro (Captulos de 1 a 17), so dadas algumas opes com relao ao volume que voc deve ler de cada captulo. Em alguns casos, possvel que voc j saiba a maior parte ou todas as informaes abordadas em determinado captulo. Para ajud-lo a decidir quanto tempo deve ser dedicado a cada captulo, os captulos comeam com um questionrio "Eu j conheo isto?". Se acertar todas as questes do questionrio, ou errar apenas uma, provvel que voc prefira saltar direto para o fim do captulo at a seo "Atividades de Preparao para o Exame" e resolver essas atividades. A Figura 1-2 apresenta o plano geral.

XXXVI

Introduo

Figura 1-2. Como abordar cada captulo deste livro


Responda ao questionrio "Eu j conheo isto?" Se errar mais de 1: Se errar 1 ou menos, mas deseja estudar mais Se errar 1 ou menos, e deseja continuar

leialfaa "Atividades de Preparao para o Exame ..

Para o prximo capftulo

Ao concluir os Captulos de 1 a 17, voc poder usar as diretrizes apresentadas no Captulo 18 para detalhar o resto das atividades de preparao para o exame. Este captulo inclui as seguintes sugestes: Visite a pgina http://www.ciscopress.com para obter a cpia mais recente do Apndice C, que pode incluir tpicos adicionais para estudo. (em ingls) Pratique a criao de sub-redes utilizando as ferramentas disponveis nos apndices. Repita as atividades em todas as sees "Atividades de Preparao para o Exame", encontradas ao fmal de cada captulo.

Revise os cenrios apresentados no Apndice F. Revise todas as questes do questionrio "Eu j conheo isto?" Pratique o exame utilizando os simulados.

Como usar estes livros para se preparar para o exame CCNA 640-802
Se voc pretende obter a sua certificao CCNA utilizando a opo de exame nico do CCNA 640-802, este livro pode ser utilizado junto com o CCENTICCNA ICND 1 Guia Oficial de Certificao do Exame. Caso ainda no tenha comprado nenhum dos livros, de um modo geral, possvel conseguir o par a um custo menor adquirindo-os em um conjunto de dois volumes, chamado Biblioteca de Certificao CCNA (CCNA Certification Library). Estes dois livros foram elaborados para serem usados juntos ao estudar para o exame CCNA. Voc possui duas opes com relao ordem em que os dois livros devem ser lidos. A primeira opo, e a mais bvia, ler o livro rCNDI e, em seguida, passar para este livro (rCND2). A outra opo ler toda a abordagem feita pelo rCNDI sobre um tpico e, em seguida, ler a abordagem feita pelo rCND2 sobre o mesmo tpico. Depois disso, deve-se voltar ao rCNDI novamente. A Figura r-3 ilustra a opo de leitura que sugiro para os dois livros.

Figura 1-3 Plano de leitura ao estudar para o exame CCNA


Guia de Certific ao do Exame ICND1 Comece aqui Fundamentos de rede LAN Switching Gu ia de Certificao do Exame ICND2 LAN Switching Roteamento IP Roteamento IP Protocolos de Roteamento Redes de rea estendida 1 - - - - + Preparao final Redes de rea estendida Reduo do Espao de Endereamento IP Preparao Final

CCNAICND2XXXVII
Ambas as opes de plano de leitura oferecem alguns benefcios. Folhear as pginas dos livros pode ajud-lo a se concentrar em um tpico geral de cada vez. Entretanto, observe que existe uma certa sobreposio entre os dois exames, e, portanto, voc tambm perceber uma certa sobreposio de assuntos entre os dois livros. Com base nos comentrios feitos por leitores sobre a edio anterior destes livros, aqueles que eram iniciantes na comunicao em rede mostraram uma tendncia a se sair melhor completando todo o primeiro livro e, em seguida, passando para o segundo. J os leitores mais experientes, e com maior conhecimento, antes de comear a ler os livros mostraram uma tendncia a preferir seguir um plano de leitura como o mostrado na Figura 1-3. Observe que, para a preparao final, voc pode utilizar o captulo final (Captulo 18) deste livro, em vez do captulo de preparao final (Captulo 18) do livro ICNDl. Alm do fluxo mostrado na Figura 1-3, ao estudar para o exame CCNA (em vez dos exames ICNDl e ICND2), voc precisa dominar a criao de sub-redes IP antes de passar para as partes de roteamento IP e protocolos de roteamento (partes II e li) deste livro. Este livro no revisa a criao de sub-redes nem a matemtica que existe por trs do texto impresso, considerando que voc saiba como encontrar as respostas. Os captulos do ICND2, principalmente o Captulo 5 ("Sumarizao de Rotas e VLSM"), sero muito mais fceis de entender se voc puder executar com facilidade a matemtica da criao de sub-redes.

Para mais informaes


Para quaisquer comentrios sobre este livro, envie-os atravs do site Ciscopress.com. Basta ir ao site, selecionar Fale Conosco e digitar sua mensagem. A Cisco ocasionalmente pode fazer modificaes que afetem a certificao CCNA. Para isso, voc deve sempre consultar www.cisco.com/go/ccna para saber dos detalhes mais recentes. A certificao CCNA possivelmente a mais importante das certificaes CISCO. Certamente a mais popular. Ela exigida como pr-requisito para vrias outras certificaes e o primeiro passo para se distinguir como algum que possui conhecimento comprovado pela Cisco. O CCNA ICND2 Guia Oficial de Certificao do Exame elaborado para ajud-lo a obter a certificao CCNA. Este o livro de certificao CCNA ICND2 oferecido pela nica editora autorizada pela Cisco. Ns, na Cisco Press, acreditamos que este livro certamente possa ajud-lo a conseguir a certificao CC NA - mas o resultado final depende de voc! Posso garantir que o seu tempo ser utilizado da melhor forma possvel.

~--------------------------------------------- .
Tpicos publicados do exame Cisco ICND2* abordados nesta parte
Configurar, verificar e resolver problemas relativos a um switch utilizando VLANs e comunicaes entre . switches Descrever tecnologias avanadas de switching (incluindo: VTP, RSTP, VLAN, PVSTP, 802.1q) Descrever como VLANs criam redes logicamente separadas e a necessidade de roteamento entre elas Configurar, verificar e resolver problemas relativos a VLANs Configurar, verificar e resolver problemas relativos a trunking em switches Cisco Configurar, verificar e resolver problemas relativos ao VTP Configurar, verificar e resolver problemas relativos operao do RSTP Interpretar o resultado de vrios comandos sbow e debug para verificar o status operacional de uma rede de switches Cisco Implementar a segurana bsica de switches (incluindo: segurana de portas, portas no designadas, acesso . a trunks etc.)

* Sempre verifique a pgina http://www.cisco.com para obter os tpicos mais recentes do exame.

Parte I: LAN Switching


Captulo 1 LANs virtuais Captulo 2 Protocolo Spanning Tree Captulo 3 Resolvendo problemas de LAN Switching

Este captulo aborda os seguintes assuntos:


Conceitos de LAN virtual: esta seo explica o significado e o propsito das VLANs, Trunking de VLAN e o VTP (VLAN Trunking Protocol)

Configurao e verificao de VLANs e Trunking de VLAN: esta seo mostra como configurar VLAN s e trunks em switches Catalyst Cisco

Configurao e verificao VTP: esta ltima seo explica como configurar e resolver problemas relativos a instalaes VTP.

CAPTULO LANs virtuais Questionrio "Eu j conheo isto?"


As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.

A primeira parte deste livro, que inclui os Captulos 1,2 e 3, se concentra no mundo das LANs. O Captulo 1 examina os conceitos e as configuraes relacionados com as LANs virtuais (VLANs), enquanto o Captulo 2, "Spanning Tree Protocol", aborda como o Spanning Tree Protocol (STP) evita a ocorrncia de loops em uma rede de switches. Finalmente, o Captulo 3, "Resolvendo Problemas Relativos a LAN Switching", amarra vrios conceitos relacionados a LANs ao mesmo tempo em que explora o processo de resoluo de problemas comuns encontrados em LANs.

Conforme mencionado na Introduo, este livro parte do princpio de que voc tenha um domnio slido dos tpicos mais importantes abordados no exame ICND 1. Se tiver dvidas em relao a esses pr-requisitos, talvez valha a pena dar uma olhada na lista de conhecimentos pressupostos para este livro, sob o ttulo "Tpicos do Exame ICNDl", encontrado na Introduo.

O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das dez questes de avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A Tabela lI relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o material dessas sees. Isso ajudar voc a avaliar o seu conhecimento nessas reas especficas.

Tabela 1-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?" Seo dos tpicos fundamentais
Conceitos de LANs virtuais Configurao e verificao de VLAN s e Trunking VLAN Configurao e verificao VTP

Questes
1-5

6-8
9-10

1. Em uma LAN, qual dos seguintes termos mais se assemelha ao termo VLAN?

a. Domnio de coliso b. Domnio de broadcast c. Domnio de sub-rede d. Switch nico e. Trunk 2. Imagine um switch com trs VLANs configuradas. Quantas sub-redes IP so necessrias, considerando que todos os hosts em todas as VLANs queiram usar TCPIIP?

a. O
b. 1 c. 2 d. 3 e. Impossvel saber com base nas informaes fornecidas.

6 Captulo 1: LANS Virtuais


3. Qual das opes seguintes encapsula completamente o frame Ethernet original em um cabealho de trunking em vez de inserir outro cabealho dentro do cabealho Ethernet original? a. VTP b.ISL c. 802.1Q d. ISL e 802.1Q e. Nenhuma das respostas acima. 4. Qual das opes seguintes acrescenta o cabealho de trunking para todas as VLANs, exceto uma? a. VTP b.ISL c. 802.1Q d. ISL e 802.1Q e. Nenhuma das respostas acima. 5. Qual dos modos do VTP seguintes permite que as VLANs sejam configuradas em um switch? a. Cliente b. Servidor c. Transparente d. Dinmico e. Nenhuma das respostas acima. 6. Suponha que voc saiba que o switch 1 seja configurado com o parmetro auto para trunking em sua interface FaO/5, que est conectada ao switch 2. Voc deve configurar o switch 2. Quais dos ambientes seguintes para trunking poderiam permitir o funcionamento do trunking? a. Trunking ligado (on) b. Auto c. Desirable (Desejvel) d. Access (Acesso) e. Nenhuma das respostas acima. 7. Um switch acaba de chegar da Cisco. O switch nunca foi configurado com uma configurao de VTP ou de VLANs, ou qualquer outra configurao. Um engenheiro entra no modo de configurao e emite o comando vlan 22, seguido pelo comando name Hannahs-VLAN. Qual das opes a seguir verdadeira? a. VLAN 22 aparece relacionada no resultado de sada do comando show vlan brief. b. VLAN 22 aparece relacionada no resultado de sada do comando show running-config. c. VLAN 22 no criada por este processo. d. VLAN 22 no existe naquele switch at que, pelo menos, uma interface seja atribuda quela VLAN. 8. Qual dos seguintes comandos relaciona o estado operacional da interface GigabitO/l com relao ao Trunking de VLAN?

a. show interfaces giO/l


b. show interfaces giO/l switchport

c. show interfaces giO/l trunk


d. show trunks

CCNA ICND2

9. Um engenheiro acaba de instalar quatro novos switches 2960 e conectou os switches uns com os outros utilizando cabos de crossover. Todas as interfaces esto em estado de pleno funcionamento. O engenheiro configura cada switch usando Fred como nome de domnio VTP e deixa todos os quatro switches no modo de servidor VTP. O engenheiro acrescenta VLAN 33 s 9 horas da manh e, em seguida, em 30 segundos, emite um comando show vlan brief nos outros trs switches, mas no encontra VLAN 33 nos outros trs switches. Qual das respostas a seguir apresenta o motivo mais provvel para o problema ocorrido neste caso? a. VTP requer que todos os switches tenham uma mesma senha VTP. b. O engenheiro devia ter tido mais pacincia e esperado que o SW1 enviasse sua prxima atualizao VTP peridica. c. Nenhum dos links entre os switches formam um trunk por causa do modo administrativo padro auto do trunking 2960. d. Nenhuma das respostas acima. 10. Os switches SW1 e SW2 se conectam atravs de um trunk operacional. O engenheiro deseja usar VTP para comunicar as alteraes feitas na configurao de VLANs. Ele configura uma nova VLAN no SW1, VLAN 44, mas o SW2 no reconhece a nova VLAN. Qual dos ambientes de configurao a seguir no SW1 e SW2 no seria uma possvel causa para o SW2 no reconhecer VLAN 44? a. Os nomes de domnio VTP larry e LARRY, respectivamente b. As senhas VTP bob e BOB, respectivamente c. VTP Pruning ativado e desativado, respectivamente d. Os modos VTP de servidor e cliente, respectivamente

Tpicos fundamentais
Um switch Catalyst Cisco utiliza definies padro que permitem que ele funcione sem nenhuma configurao adicional, sem necessidade de instalaes adicionais. Entretanto, a maioria das instalaes configura trs tipos principais de recursos de switches: VLANs, conforme abordado neste captulo; Spanning Tree, conforme abordado no Captulo 2; e uma variedade de ambientes administrativos que no causam impacto no comportamento de encaminhamento do switch, explicados no Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ. Todos os objetivos publicados para o exame ICND1 so considerados pr-requisitos para o exame ICND2, embora este ltimo no aborde esses tpicos como finalidade. Por exemplo, conforme descrito no livro ICND 1, os switches reconhecem endereos MAC examinando o endereo MAC fonte das frames de entrada e tomam decises de encaminhamento/ ftltragem com base no endereo MAC de destino das frames. Os captulos sobre LAN encontrados naquele livro (Captulo 3 e do Captulo 7 ao 11) tambm explicam os conceitos de renegociao automtica, colises, domnios de coliso e domnios de broadcast. Portanto, embora o exame ICND2 possa no ter uma questo especfica sobre esses tpicos, eles podem ser necessrios para responder a uma questo relacionada com os objetivos do exame ICND2. E, obviamente, o exame CCNA aborda todos os tpicos e objetivos, tanto para o exame ICND1 quanto o ICND2. Alm desses conceitos bsicos, o livro ICND 1 tambm descreve uma grande variedade de pequenas tarefas de configurao que oferecem acesso a cada switch e ajudam a proteger o switch quando o acesso for concedido. Um switch deve ser configurado com um endereo IP, uma mscara de sub-rede e um porto de entrada padro, permitindo acesso remoto ao switch. Junto com este acesso, a Cisco recomenda vrias aes para se obter uma melhor segurana alm de simplesmente proteger fisicamente o roteador com o intuito de impedir o acesso a partir do console do switch. Em especial, devem ser configuradas senhas, e, para acesso remoto, deve ser usado o Secure Shell (SSH) em vez do Telnet, se possvel. O servio HTTP tambm deve ser desativado, e devem ser configurados avisos para alertar sobre a existncia de possveis ataques. Alm disso, as mensagens syslog de cada switch devem ser monitoradas para verificar a existncia de qualquer mensagem relacionada a vrios tipos de ataques. Os trs captulos desta primeira parte do livro contam a histria da LAN, explicando os tpicos especificamente relacionados aos objetivos do exame ICND2. De modo especial, este captulo examina os conceitos relacionados a VLANs e, em seguida, aborda a configurao e a operao de VLANs. A primeira seo deste captulo explica os conceitos principais, incluindo como transmitir o trfego VLAN entre switches utilizando trunks de VLANs e como o VTP (VLAN Trunking

Captulo 1: LANS Virtuais

Protocol), patenteado pela Cisco, ajuda no processo de configurao de VLANs em uma LAN de compus. A segunda seo deste captulo mostra como configurar VLANs e trunks de VLANs, como atribuir estaticamente interfaces a uma VLAN e como configurar um switch para que um telefone e um PC na mesma interface estejam em duas VLANs diferentes. A ltima seo aborda a configurao e a resoluo de problemas relativos a VTP.

Conceitos de LANs virtuais


Antes de entender VLANs, necessrio primeiro entender especificamente a definio de LAN. Embora voc possa analisar LANs a partir de vrias perspectivas, uma delas, em especial, pode ajud-lo a entender VLANs: Uma LAN inclui todos os dispositivos no mesmo domnio de broadcast. Um domnio de broadcast inclui o conjunto de todos os dispositivos conectados pela LAN de forma que, quando qualquer dispositivo envia uma frame de broadcast, todos os outros dispositivos recebem uma cpia da frame. Portanto, voc pode pensar em uma LAN e um domnio de broadcast como sendo basicamente a mesma coisa. Sem as VLANs, o switch considera que todas as suas interfaces estejam no mesmo domnio de broadcast; em outras palavras, todos os dispositivos conectados esto na mesma LAN. Com as VLANs, o switch pode colocar algumas interfaces em um domnio de broadcast e outras em outro domnio, criando vrios domnios de broadcast. Estes domnios de broadcast individuais criados pelo switch so chamados LAN virtuais. A Figura 1-1 mostra um exemplo, com duas VLANs e dois dispositivos em cada VLAN.

Figura 1-1 Exemplo de rede com duas VIANs utilizando um switch


*,"
,,,.,.....

.---_.--------------- .......

. ...............

/",

Dino.

_~=;;~ Fred

. . VLAN1 : .

.. ' ......... ..
'
000 '0

"", "

.........

........
.. .... -

-~iiiiCi' Wilma

..

i VLAN2

..........

Betty'

,,,

....... ......

....................................

.. .... ... .....

Ao colocar hosts em diferentes VLANs, voc obtm vrios benefcios, embora as razes possam no parecer to bvias a partir da Figura 1-1. A chave para desfrutar esses benefcios entender que uma broadcast feito por um host em uma VLAN ser recebida e processada por todos os outros hosts na VLAN, mas no por hosts em uma VLAN diferente. Quanto mais hosts houver em uma nica VLAN, maior ser o nmero de broadcasts e maior ser o tempo de processamento necessrio para cada host na VLAN. Alm disso, qualquer pessoa pode baixar vrios pacotes de software gratuitamente, genericamente chamados de software analisador de protocolo, que podem capturar todos os frames recebidos por um host. (Visite Wireshark, em http://www.wireshark.org, para obter gratuitamente um excelente pacote analisador.) Em conseqncia disso, VLANs maiores expem nmeros e tipos de broadcast maiores para outros hosts, expondo mais frames para hosts que poderiam ser usados por um hacker que utiliza softwares analisadores de protocolo para tentar executar um ataque de reconhecimento. Essas so apenas algumas razes para separar os hosts em VLANs diferentes. A seguir, apresentamos um resumo das razes mais comuns:
:~o

-Criar projetos mais flexveis que agrupem usurios por departamento ou por grupos que trabalham juntos, em vez de
cri-los por localizao fsica - Segmentar dispositivos em LANs menores (domnios de broadcast) para reduzir a sobrecarga causada a cada host na VLAN

.....

CCNAICND2

- Reduzir a carga de trabalho para o STP (Spanning Tree Protocol) limitando uma VLAN a um nico switch de acesso - Impor uma melhor segurana mantendo os hosts que trabalham com dados sensveis em uma VLAN separada - Separar o trfego enviado por um telefone IP do trfego enviado por PCs conectados aos telefones Este captulo no chega a examinar com maior profundidade as razes para implementar VLANs, mas examina bem de perto os mecanismos de como as VLANs funcionam em diferentes switches Cisco, incluindo a configurao necessria. Com tal propsito, a prxima seo examina o Trunking de VLAN, um recurso necessrio para instalar uma VLAN que existe em mais de um switch.

Trunking com ISL e 802.1 Q


Ao usar VLANs em redes que possuam vrios switches interconectados, os switches precisam utilizar o Trunking de VIAN nos segmentos existentes entre switches. O Trunking de VLAN faz com que os switches utilizem um processo chamado VIAN tagging, atravs do qual o switch de envio acrescenta outro cabealho ao frame antes de envi-lo pelo trunk. Este cabealho de VLAN adicional possui um campo VIAN identifier (identificador de VIAN) (VLAN ID) de forma que o switch de envio possa listar o VLAN ID e o switch de recebimento possa saber a qual VLAN pertence cada frame. A Figura 1-2 esboa a idia bsica.

Figura 1-2 Trunking de VIAN entre dois switches


OI

:, Chav.

CD

I
:-:.LAN 1

(;:~;~ ....

Ethernet Frame

I
.. '

Ethernet Frame

'

,.

........ ----- ....

. ..
'

. .............. ----........ VLAN ,/;J.~~-----1 ..... ..... 1

..

,
'

.. .

"

~.~N 2

01"23

.........................

.. '


............ __ ........

..

,
'

"

Trun

de VLAN
Ethernet Frame

I VLAN 10 I

o
O uso de trunking permite que os switches transmitam frames de vrias VLANs atravs de uma nica conexo fsica. Por exemplo, a Figura 1-2 mostra o switch 1 recebendo uma frame de broadcast na interface FaO/1 no Passo 1. Para distribuir o frame, o switch 1 precisa encaminhar o frame de broadcast para o switch 2. Entretanto, o switch 1 precisa avisar ao switch 2 que o frame faz parte da VLAN 1. Portanto, conforme mostrado no Passo 2, antes de enviar o frame, o switch 1 acrescenta um cabealho de VLAN ao frame Ethemet original, com o cabealho de VLAN apresentando o nmero 1 como VLAN ID, neste caso. Quando o switch 2 recebe o frame, ele percebe que o frame veio de um dispositivo na VLAN 1, e, por isso, o switch 2 sabe que s deve encaminhar o broadcast para fora de suas prprias interfaces na VLAN 1. O switch 2 remove o cabealho de VLAN, encaminhando o frame original para fora de suas interfaces na VLAN 1 (Passo 3).

Como outro exemplo, considere o caso em que o dispositivo na interface FaO/5 do switch 1 envia um broadcast. O switch 1 envia o broadcast para fora da porta FaO/6 (porque esta porta est na VLAN 2) e para fora da porta Fa0/23 (por que ela um trunk, o que significa que aceita vrias VLANs diferentes). O switch 1 acrescenta um cabealho de trunking ao frame, listando o nmero 2 como VLAN ID. O switch 2 retira o cabealho de trunking quando percebe que o frame faz parte da VLAN 2; portanto, o switch 2 sabe que deve encaminhar o frame somente para as portas FaO/5 e FaO/6, e no para as portas FaO/1 e FaO/2.

10

Captulo 1: LANS Virtuais

Os switches Cisco aceitam dois protocolos de trunking diferentes: o Inter-Switch Link (ISL) e o IEEE 802.1Q. OS protocolos de trunking oferecem vrios recursos. O mais importante o fato de poderem definir cabealhos que identificam a VLAN ID, como mostra a Figura 1-2. Eles apresentam tambm algumas diferenas, conforme discutido a seguir.

ISL
A Cisco criou o ISL muitos anos antes do IEEE criar o protocolo padro 802.1 Q para Trunking de VLAN. Como o ISL patenteado pela Cisco, ele pode ser usado somente entre dois switches Cisco que aceitem ISL. (Alguns switches Cisco mais novos no aceitam ISL; pelo contrrio, aceitam somente a alternativa padronizada 802.1Q.) O ISL encapsula completamente cada frame Ethernet original em um cabealho e trailer ISL. O frame Ethernet original, contido dentro do cabealho e trailer ISL, permanece inalterado. A Figura 1-3 mostra a criao do frame para o ISL.

Figura 1-3 Cabealho ISL


.... .~_.-.---------_._-------- .. ....
,',"',..

~ '

Dino

..........

. . ; "

Fred

.,'

,,'

. . VLAN1 :

.- .... . . -.* "


..... .. . .
"

.
.................

- "ta;;;,

Wilma

O cabealho ISL inclui vrios campos, mas o mais importante que o campo VLAN do cabealho ISL oferece um lugar para codificar o nmero da VLAN. Ao marcar um frame com o nmero da VLAN correto dentro do cabealho, o switch de envio pode assegurar que o switch de recebimento sabe a qual VLAN o frame encapsulado pertence. Alm disso, os endereos da fonte e de destino do cabealho ISL utilizam os endereos MAC do switch de envio e de recebimento, ao contrrio dos dispositivos que realmente enviaram o frame original. Fora isso, os detalhes do cabealho ISL no tm maior importncia.

IEEE 802.1Q
Hoje em dia, o IEEE padroniza muitos dos protocolos relacionados a LANs, e o Trunking de VLAN no exceo. Anos aps a Cisco ter criado o ISL, o IEEE [malizou seus trabalhos em cima do 802.1 Q padro, que define uma forma diferente de fazer trunking. Atualmente, o 802.1 Q se tomou o protocolo de trunking mais popular, ao ponto de a Cisco no aceitar ISL em alguns de seus modelos mais recentes de switches LAN, incluindo os switches 2960 utilizados nos exemplos deste livro. O 802.1 Q utiliza um estilo diferente de cabealho, em comparao com o ISL, para marcar frames com um nmero VLAN. Na verdade, o 802.1Q no encapsula o frame original em outro cabealho e trailer Ethernet. Pelo contrrio, o 802.1 Q insere um cabealho de VLAN de 4 bytes no cabealho Ethernet do frame original. Como resultado, ao contrrio do ISL, o frame continua com os mesmos endereos MAC da fonte e de destino originais. Alm disso, como o cabealho original foi expandido, o encapsulamento do 802.1Q fora um novo clculo do campo FCS (frame check sequence ou seqncia de verificao daframe) original no trailer Ethernet, porque o FCS se baseia no contedo do frame inteiro. A Figura 1-4 mostra o cabealho 802.1Q e a criao do frame do cabealho Ethernet revisado.

CCNA ICND2
Figura 1-4 Cabealho do Trunking 802.1Q

11

Endereo de Destino

--Tipo (12 bits, O x 8100)

---

--VLAN ID (12 Bits)

Comparao entre ISL e 802.1 Q


At ento, o texto descreveu uma nica semelhana importante entre o ISL e o 802.1Q, com algumas poucas diferenas. A semelhana que tanto o ISL quanto o 802.1Q definem um cabealho de VLAN que possui um campo VLAN ID. Entretanto, cada protocolo de trunking utiliza um cabealho geral diferente, sendo que um padronizado (802.1Q) e o outro proprietrio (ISL). Esta seo destaca alguns outros pontos-chave de comparao entre ambos. Os dois protocolos de trunking aceitam o mesmo nmero de VLANs, especificamente 4094 VLANs. Os dois protocolos utilizam 12 bits do cabealho de VLAN para numerar VLANs, aceitando VLAN IDs de 212 ou 4096, com exceo de dois valores reservados (O e 4095). Das VLANs aceitas, observe que os VLAN IDs que vo de 1 a 1005 so considerados VLANs de intervalo normal, enquanto valores mais altos que 1005 so chamadas VLANs de intervalo estendido. Esta distino importante com relao ao VTP (VLAN Trunking Protocol), abordado na prxima seo. Tanto o ISL quanto o 802.1Q aceitam uma instncia separada do STP (Spanning Tree Protocol) para cada VLAN, mas com detalhes diferentes de implementao, conforme explicado no Captulo 2. Para LANs em compus com links redundantes, utilizar somente uma instncia de STP significa que alguns links ficam ociosos em operaes normais, sendo usados somente quando o outro link falha. Ao aceitar vrias instncias de STP, os engenheiros conseguem sintonizar os parmetros STP de forma que, em operaes normais, o trfego de algumas VLANs utilize um conjunto de links enquanto o trfego de outras VLANs utiliza outros links, aproveitando todos os links existentes na rede.

Observao O 802.1Q nem sempre aceitou vrias instncias de STP. Portanto, possvel que algumas referncias mais antigas tenham corretamente declarado que, na poca, o 802.1Q s aceitava uma nica instncia de STP.
Uma ltima diferena importante entre o ISL e o 802.1Q abordada aqui est relacionada com um recurso chamado native VIAN (VIAN nativo). Em cada trunk, o 802.1Q define uma VLAN como sendo a VLAN nativa, ao passo que o ISL no utiliza tal conceito. Como padro, a VLAN nativa do 802.1Q a VLAN 1. Por definio, o 802.1Q simplesmente no acrescenta um cabealho 802.1Q aos frames na VLAN nativa. Quando o switch do outro lado do trunk recebe um frame que no possui um cabealho 802.1 Q, o switch de recebimento reconhece que o frame faz parte da VLAN nativa. Observe que, por causa desse comportamento, ambos os switches devem concordar com qual VLAN a VLAN nativa. A VLAN nativa 802.1 Q oferece algumas funes interessantes, principalmente para dar suporte a conexes com dispositivos que no entendem trunking. Por exemplo, um switch Cisco poderia ser ligado por um cabo com um switch que no entende o trunking 802.1Q. Este switch Cisco poderia enviar frames existentes na VLAN nativa (o que significa que o frame no possui nenhum cabealho de trunking) de forma que o outro switch entendesse o frame. O conceito de VLAN nativa d aos switches a capacidade de, pelo menos, transmitir o trfego em uma VLAN (a VLAN nativa), o que pode proporcionar algumas funes bsicas, como a possibilidade de acesso telnet dentro de um switch. A tabela 1-2 resume os recursos principais e pontos de comparao entre o ISL e o 802.1Q.

Tabela 1-2 Comparao entre o ISL e o 802.1Q


Funo Definido por ISL Cisco 802.1Q IEEE

12 Captulo 1: LANS Virtuais


Insere outro cabealho de 4 bytes em vez de encapsular completamente o frame original

No

Sim Sim Sim Sim

Aceita VLANs de intervalo normal (1 a 1005) e de intervalo estendido (1006 a 4094) Sim Permite vrios spanning trees Utiliza uma VLAN nativa Sim No

Sub-redes IP e VLANs
Ao incluir VLANs em um projeto, os dispositivos de uma VLAN precisam estar na mesma sub-rede. Seguindo a mesma lgica de projeto, dispositivos de VLANs diferentes precisam estar em sub-redes diferentes. Por causa dessas regras de projeto, muitas pessoas pensam que uma VLAN uma sub-rede e que uma sub-rede uma VLAN. Embora no seja totalmente verdade, como uma VLAN um conceito de Camada 2 e uma sub-rede um conceito de Camada 3, a idia geral at razovel porque os mesmos dispositivos de uma nica VLAN so os mesmos dispositivos em uma nica sub-rede. Assim como em todas as sub-redes IP, para que um host de uma sub-rede encaminhe pacotes para um host em outra subrede, pelo menos um roteador deve estar envolvido. Considere, por exemplo, a Figura 1-5, que mostra um switch com trs VLANs, circulado por linhas tracejadas, com parte da lgica utilizada quando um host na VLAN 1 envia um pacote IP a um host na VLAN 2.

Figura 1-5 Roteamento entre VLANs


,
'., VLAN 1 I Sub-rede IP 10.1.1.024
I
I
/

..--........ FaOIO VLAN1

IFrame I
~

\ VLAN 2 : Sub-rede IP 10.1.2.024


I

,,/

IVLAN21 Frame I

<.::....----~B;riiey'"
" VLAN 3 : Sub-rede IP 10.1.3.024

Neste caso, quando Fred envia um pacote para o endereo IP de Wilma, Fred envia um pacote para o seu prprio roteador padro porque o endereo IP de Wilma est em uma sub-rede diferente. O roteador recebe o frame com um cabealho VLAN que implica que o frame faz parte da VLAN 1. O roteador toma uma deciso de encaminhamento, enviando o frame de volta atravs do mesmo link fsico, mas, desta vez, com um cabealho de Trunking de VLAN que mostra a VLAN 2. O switch encaminha o frame na VLAN 2 para Wilma. Pode parecer um pouco ineficaz enviar o pacote do switch para o roteador e de volta para o switch - e, na verdade, o que acontece. Atualmente, uma opo mais provvel em LAN s de compus utilizar um switch chamado switch multilayer (multi camada) ou um switch Camada 3. Estes switches podem executar switching de Camada 2 e roteamento de Camada 3, combinando a funo de roteador mostrada na Figura 1-5 no switch.

VLAN Trunking Protocol (VTP) (Protocolo de Trunking de VLAN)


O VTP (VLAN Trunking Protocol), patenteado pela Cisco, fornece uma maneira atravs da qual os switches Cisco podem trocar informaes sobre a configurao da VLAN. De modo especial, o VTP avisa sobre a existncia de cada VLAN com base em sua VLAN ID e no nome da VLAN. Entretanto, o VTP no avisa sobre os detalhes relativos a quais interfaces do switch so atribudas a cada VLAN.

CCNA ICND2

13

Como este livro ainda no mostrou como configurar VLANs, para apreciar melhor o VTP, considere este exemplo sobre o que o VTP pode fazer. Suponha que uma rede possua dez switches conectados de alguma forma usando trunks de VLAN, e que cada switch tenha, pelo menos, uma porta atribuda a uma VLAN com VLAN ID 3 e o nome Accounting (Contabilidade). Sem o VTP, qualquer engenheiro teria de entrar em todos os dez switches e inserir os mesmos dois comandos config para criar a VLAN e definir o seu nome. Com VTP, voc criaria a VLAN 3 em um switch, e os outros nove switches reconheceriam a VLAN 3 e o seu nome utilizando o VTP.

o VTP define um protocolo de mensagens de Camada 2 que os

switches utilizam para trocar informaes sobre a configurao da VLAN. Quando um switch muda sua configurao da VLAN - em outras palavras, quando uma VLAN acrescentada ou excluda, ou uma VLAN existente alterada -, o VTP faz com que todos os switches sincronizem suas configuraes da VLAN para incluir as mesmas VLAN IDs e os nomes da VLAN. O processo bastante parecido com um protocolo de roteamento, com cada switch enviando mensagens VTP peridicas. Os switches tambm enviam mensagens VTP assim que suas configuraes de VLAN so alteradas. Se, por exemplo, voc configurasse uma nova VLAN 3, com nome Accounting (Contabilidade), o switch imediatamente enviaria atualizaes VTP por todos os trunks, provocando a distribuio das novas informaes sobre a VLAN para o resto dos switches. Cada switch utiliza um dos trs modos VTP: modo servidor, modo cliente ou modo transparente. Para utilizar o VTP, o engenheiro define que alguns switches utilizem o modo servidor e o resto utilize o modo cliente. Em seguida, a configurao de VLAN pode ser acrescentada nos servidores, com todos os outros servidores e clientes cientes das alteraes feitas no banco de dados da VLAN. Os clientes no podem ser utilizados para configurar as informaes da VLAN.

Por incrvel que parea, os switches Cisco no podem desativar o VTP. A opo mais prxima utilizar o modo transparente, que faz com que esse switch ignore para si mensagens VTP, porm ele continua a encaminhar essas mensagens de forma que qualquer outro cliente ou servidor VTP possa receber uma cpia dessas mensagens. A prxima seo explica as operaes normais quando o engenheiro utiliza os modos servidor e cliente para usufruir das capacidades do VTP, seguidas de uma explicao da maneira relativamente incomum de desativar o VTP atravs da ativao do modo VTP transparente.

Operao VTP normal utilizando os modos VTP servidor e cliente


O processo VTP comea com a criao de VLAN em um switch chamado de servidor VTP. O servidor VTP distribui as alteraes feitas na configurao de VLAN atravs de mensagens VTP, enviadas somente atravs de trunks ISL e 802.1 Q, por toda a rede. Tanto os servidores quanto os clientes VTP processam as mensagens VTP recebidas, atualizam seus bancos de dados da configurao VTP com base nessas mensagens e, em seguida, enviam atualizaes VTP independentemente, atravs de seus trunks. Ao final do processo, todos os switches reconhecem as novas informaes de VLAN. Os servidores e clientes VTP escolhem se querem reagir a uma atualizao VTP recebida e atualizam suas configuraes de VLAN com base no aumento do nmero de reviso da configurao do banco de dados de VLAN (VLAN database configuration revision number). Todas as vezes que um servidor VTP modifica sua configurao de VLAN, o servidor VTP aumenta o nmero atual de reviso da configurao em 1. As mensagens de atualizao VTP mostram o novo nmero de reviso da configurao. Quando outro switch cliente ou servidor recebe uma mensagem VTP com um nmero de reviso da configurao maior que o seu prprio nmero, o switch atualiza sua configurao de VLAN. A Figura 1-6 ilustra como o VTP funciona em uma rede de switches.

....... Figura 1-6 Nmeros de reviso da configurao VFP e processo de atualizao VFP
(DAcrescentar nova VLAN @Rev3-Rev4

" PIcO ;6 . CMve

Cliente

VTP
@Rev3-Rev4 @Sinc novas inform VLAN

A~~:iiiI

Cliente

VTP
@Rev3-Rev4 @Sinc novas inform VLAN

14

Captulo 1: LANS Virtuais

A Figura 1-6 comea com todos os switches tendo o mesmo nmero de reviso da configurao de VLAN, o que significa que eles possuem o mesmo banco de dados de configurao de VLAN. Isso significa que todos os switches reconhecem os mesmos nmeros de VLAN e nomes de VLAN. O processo comea com cada switch reconhecendo que o nmero atual de reviso da configurao 3. Os passos mostrados na Figura 1-6 so os seguintes:

1. Algum configura uma nova VLAN a partir da CU (command-line interface, interface de linha de comando) de um servidor VTP.
2. O servidor VTP atualiza seu nmero de reviso do banco de dados da VLAN de 3 para 4.

3. O servidor envia as mensagens de atualizao VTP atravs de suas interfaces do trunk, mostrando o nmero 4 como nmero de reviso.
4. Os dois switches cliente VTP percebem que as atualizaes apresentam um nmero de reviso mais alto (4) que seus nmeros atuais de reviso (3).
5. Os dois switches cliente atualizam seus bancos de dados de VLAN com base nas atualizaes VTP do servidor.

Embora este exemplo mostre uma LAN muito pequena, o processo funciona da mesma forma para redes maiores. Quando um servidor VTP atualiza a configurao de VLAN, o servidor imediatamente envia mensagens VTP atravs de todos os seus trunks. Os switches vizinhos na outra extremidade dos trunks processam as mensagens recebidas e atualizam seus bancos de dados de VLAN e, em seguida, enviam mensagens VTP aos seus vizinhos. O processo se repete nos switches vizinhos, at que, finalmente, todos os switches tenham reconhecido o novo banco de dados de VLAN.
Observao O processo completo atravs do qual um servidor muda a configurao de VLAN e todos os switches VTP reconhecem a nova configurao, resultando em todos os switches reconhecendo os mesmos nomes e IDs de VLANs, chamado sincronizao.

Os servidores e clientes VTP tambm enviam mensagens VTP peridicas a cada 5 minutos, caso qualquer switch recm acrescentado precise saber sobre a configurao de VLAN. Alm disso, quando surge um novo trunk, os switches podem imediatamente enviar uma mensagem VTP pedindo que o switch vizinho envie o seu banco de dados de VLAN. At ento, este captulo tem se referido a mensagens VTP como atualizaes VTP ou mensagens VTP. Na prtica, o VTP define trs tipos diferentes de mensagens: avisos de resumo, avisos de subconjunto e solicitaes de aviso. Os avisos de resumo relacionam o nmero de reviso, o nome de domnio e outras informaes, mas no inclui nenhuma informao sobre a VLAN. As mensagens VTP peridicas que ocorrem a cada cinco minutos so avisos de resumo VTP. Se alguma coisa mudar, conforme indicado por um nmero de reviso maior que 1, a mensagem com o aviso de resumo seguida por um ou mais avisos de subconjunto, cada qual alertando sobre algum subconjunto do banco de dados de VLAN. A terceira mensagem, ou seja, a mensagem de solicitao de aviso, permite que um switch imediatamente solicite mensagens VTP de um switch vizinho assim que surgir um trunk. Entretanto, os exemplos mostrados para os fins deste livro no fazem distines sobre uso dessas mensagens.

Trs requisitos para que o VTP opere entre dois switches


Quando um cliente ou servidor VTP se conecta a outro switch cliente ou servidor VTP, o Cisco lOS exige que os trs fatos seguintes sejam verdadeiros para que os dois switches possam trocar mensagens VTP: O link entre os switches deve estar operando como um trunk de VLAN (ISL ou 802.1Q).

O nome de domnio VTP, sensvel a letras maisculas e minsculas, dos dois switches deve conferir. Se configurado em pelo menos um dos switches, a senha VTP, sensvel a letras maisculas e minsculas, dos dois switches deve conferir.

O nome de domnio VTP fornece uma ferramenta de projeto atravs da qual os engenheiros podem criar vrios grupos de switches VTP, chamados domnios, cujas configuraes de VLAN so autnomas. Para isso, o engenheiro pode configurar um conjunto de switches em um domnio VTP e outro conjunto em outro domnio VTP, e os switches dos diferentes domnios vo ignorar as mensagens de VTP uns dos outros. Os domnios VTP permitem que os engenheiros desmembrem a rede de switches em domnios administrativos diferentes. Por exemplo, em um prdio grande com uma

CCNA ICND2

15

grande equipe de TI, a equipe de TI de uma diviso pode usar Accounting (Contabilidade) como nome de domnio VTP, enquanto outra parte da equipe de TI pode usar Sales (Vendas) como nome de domnio, mantendo o controle das suas configura')es, mas, ainda assim, podendo encaminhar o trfego entre as divises atravs da infra-estrutura e LAN. O mecanismo de senhas VTP fornece uma maneira atravs da qual um switch pode impedir que ataques nocivos forcem o switch a alterar sua configurao de VLAN. A senha em si nunca transmitida em texto transparente.

Evitando o VTP utilizando o modo VTP transparente


interessante notar que, para evitar o uso do VTP para trocar informaes de VLAN em switches Cisco, os switches no podem simplesmente desativar o VTP. Pelo contrrio, os switches devem utilizar o terceiro modo VTP: o modo VTP transparente. Este modo confere autonomia a um switch a partir dos outros switches. Assim como os servidores VTP, os switches do modo VTP transparente podem configurar VLANs. Entretanto, ao contrrio dos servidores, os switches do modo transparente nunca atualizam seus bancos de dados da VLAN com base em mensagens VTP de entrada, e os switches do modo transparente nunca tentam criar mensagens VTP para dizer aos outros switches sobre suas prprias configuraes de VLAN.
Os switches do modo VTP transparente, em essncia, comportam-se como se o VTP no existisse, a no ser por uma pequena exceo: os switches do modo transparente encaminham atualizaes VTP recebidas de outros switches, simplesmente para ajudar qualquer switch cliente ou servidor VTP vizinho. Visto de uma perspectiva de projeto, por causa dos perigos associados com o VTP (conforme abordado na prxima seo), alguns engenheiros simplesmente evitam o VTP como um todo utilizando o modo VTP transparente em todos os switches. Em outros casos, os engenheiros podem deixar alguns switches em modo transparente para dar autonomia aos engenheiros responsveis por aqueles switches, enquanto utilizam os modos servidor e cliente VTP em outros switches.

Armazenando a configurao da VLAN


Para encaminhar o trfego relativo a uma VLAN, o switch precisa saber o VLAN ID da VLAN e o seu nome de VLAN. A funo do VTP avisar sobre esses detalhes, em que o conjunto inteiro de configuraes para todas as VLANs chamado de banco de dados de configurao de VLAN (VLAN configuration database), ou simplesmente banco de dados de VLAN. interessante notar que o Cisco lOS armazena as informaes no banco de dados de VLAN de forma diferente da maioria dos outros comandos de configurao Cisco lOS. Quando os clientes e servidores VTP armazenam a configurao d,a VLAN - especificamente, o VLAN ID, o nome da VLAN e outras definies da configurao VTP -, a configurao armazenada em um arquivo chamado vlan.dat em memria flash. (O nome do arquivo a abreviao de "VLAN database" ("banco de dados VLAN").) Ainda mais interessante o fato de que o Cisco lOS no coloca essa configurao de VLAN no arquivo running-config nem no arquivo startup-config. No existe nenhum comando para visualizar a configurao de VLAN e do VTP diretamente; em vez disso, necessrio utilizar vrios comandos show para relacionar as informaes sobre os resultados de sada das VLANs e do VTP. O processo de armazenamento da configurao da VLAN em memria flash no arquivo vlan.dat permite que os clientes e servidores reconheam dinamicamente VLANs e tenham a configurao automaticamente armazenada, preparando, assim, tanto o cliente quanto o servidor para sua prxima reinicializao. Se a configurao da VLAN reconhecida dinamicamente tiver sido acrescentada somente ao arquivo config que est sendo executado, a LAN pode ficar exposta a casos nos quais todos os switches tenham perdido energia praticamente na mesma hora (o que pode facilmente ocorrer com uma nica fonte de energia no prdio), resultando em perda de toda a configurao da VLAN. Ao armazenar automaticamente a configurao no arquivo vlan.dat em memria flash , cada switch tem, pelo menos, um banco de dados recente de configurao da VLAN e pode, ento, confiar em atualizaes VTP de outros switches, caso tenha havido qualquer alterao recente na configurao da VLAN. Um efeito colateral interessante desse processo que, quando voc utiliza um switch cliente ou servidor VTP em laboratrio e deseja remover toda a configurao para comear com um switch limpo, necessrio executar mais de um comando erase startup-config. Se voc apenas apagar o startup-config e recarregar o switch, o switch se lembrar de toda a configurao da VLAN e da configurao VTP que est armazenada no arquivo vlan.dat em memria flash. Para remover esses detalhes da configurao antes de recarregar um switch, seria necessrio excluir o arquivo vlan.dat em memria flash atravs de um comando, como, por exemplo, delete flash:vlan.dat.

16

Captulo 1: LANS Virtuais

Switches em modo transparente armazenam a configurao de VLAN no arquivo running-config e no arquivo vlan.dat em memria flash. O running-config pode ser salvo no startup-config tambm.

Observao Em algumas verses mais antigas do lOS de switches da Cisco, os servidores VTP armazenavam a configurao da VLAN tanto no arquivo vlan.dat quanto no arquivo running-config.

Verses VTP
A Cisco aceita trs verses VTP, devidamente chamadas de verses 1, 2 e 3. A maior parte das diferenas entre essas verses no importante para as discusses contidas neste livro. Entretanto, a verso 2 do VTP apresentou uma importante melhoria em relao verso 1, relativa ao modo VTP transparente. Essa melhoria descrita sucintamente nesta seo. A seo "Evitando o VTP utilizando o modo VTP transparente", apresentada anteriormente neste captulo, descrevia como um switch que utilizasse a verso 2 do VTP funcionaria. Entretanto, na verso 1 do VTP, um switch que estivesse no modo VTP transparente verificaria, primeiramente, o nome do domnio e a senha recebidos da atualizao VTP. Se o switch em modo transparente no combinasse com os dois parmetros, o switch em modo transparente descartaria a atualizao VTP, em vez de encaminhar a atualizao. O problema encontrado na verso 1 do VTP que, em casos onde o switch em modo transparente existisse em uma rede com vrios domnios VTP, o switch no encaminharia todas as atualizaes VTP. Portanto, a verso 2 do VTP mudou a lgica do modo transparente, ignorando o nome do domnio e a senha, o que permite que um switch em modo transparente da verso 2 do VTP encaminhe todas as atualizaes VTP recebidas.

Observao Atualmente, a verso 3 encontra-se disponvel somente em switches Cisco avanados e ser ignorada para os fIns deste livro.

VTP Pruning
Como padro, os switches Cisco distribuem broadcasts (e unicasts de destino desconhecido) em cada VLAN ativa por todos os trunks, desde que a topologia STP atual no bloqueie o trunk. (Mais informaes sobre STP podem ser obtidas no Captulo 2.) Entretanto, na maioria das redes, existem muitas VLANs em apenas alguns switches, mas no em todos os switches. Por isso, um desperdcio encaminhar broadcasts por todos os trunks, fazendo com que os frames cheguem at switches que no possuem nenhuma porta naquela VLAN. Os switches aceitam dois mtodos atravs dos quais os engenheiro!) podem limitar qual trfego de VLAN flui pelo trunk. Um dos mtodos requer a configuraao manual da lista de VLANs permitidas (allowed VLAN list) em cada trunk; essa configurao manual abordada mais adiante neste captulo. O segundo mtodo, VTP Pruning, permite que o VTP determine dinamicamente quais switches no precisam de frames de certas VLANs. Depois disso, o VTP suprime essas VLANs dos devidos trunks. Pruning um termo que significa simplesmente que as devidas interfaces do trunk do switch no distribuem frames naquela VLAN. A Figura 1-7 mostra um exemplo onde os retngulos desenhados em linha tracej ada denotam os trunks a partir dos quais a VLAN 10 foi automaticamente limpa.

Figure 1-7 VTP Pruning

Switch 4 Porta 2

Distribuio de trfego est suprimida (p

VLAN 10

CCNA ICND2

17

Na Figura 1-7, os switches 1 e 4 possuem portas na VLAN 10. Com o VTP Pruning ativado em toda a rede, o switch 2 e o switch 4 automaticamente usam o VTP para saber que nenhum dos switches na parte esquerda inferior da figura possui portas atribudas VLAN 10. Em conseqncia disto, o switch 2 e o switch 4 suprimem a VLAN 10 dos trunks, conforme mostrado. O pruning faz com que o switch 2 e o switch 4 no enviem para fora desses trunks os frames encontrados na VLAN 10. Por exemplo, quando a estao A envia um broadcast, os switches distribuem o broadcast, conforme mostrado pelas linhas com setas na Figura 1-7. O VTP Pruning aumenta a largura de banda disponvel restringindo o trfego distribudo e um dos motivos mais fortes para se utilizar o VTP; o outro motivo so a facilidade e a consistncia obtidas na configurao da VLAN.

Resumo dos recursos VTP


A Tabela 1-3 oferece uma viso comparativa dos trs modos VTP.

Tabela 1-3 Recursos VTP


Funo Servidor
Sim

Cliente Sim No Sim No Sim

Transparente Sim Sim Sim Sim No

S envia mensagens VTP atravs de trunks ISL ou 802.1 Q


Aceita configurao CU de VLAN s Pode usar VLANs de intervalo normal (1 a 1005)

Sim Sim

Pode usar VLANs de intervalo estendido (1006 a 4095) No Sincroniza (atualiza) seu prprio banco de dados de Sim VLAN ao receber mensagens VIP com um nmero de reviso maior Cria e envia atualizaes VTP peridicas a cada 5 minutos No processa atualizaes VTP recebidas, mas encaminha atualizaes VTP recebidas atravs de outros trunks Coloca o VLAN ID, o nome da VLAN e a configurao VTP no arquivo running-config Coloca o VLAN ID, o nome da VLAN e a configurao no arquivo vlan.dat em memria flash
Sim

Sim

No

No

No

Sim

No

No

Sim

Sim

Sim

Sim

Configurao e verificao de VLANs e Trunking de VLAN


Os switches Cisco no precisam de nenhuma configurao para funcionar. Voc pode compr-los, instalar dispositivos com o cabeamento correto, ligar os switches e eles funcionaro. O switch funcionaria perfeitamente sem que voc tivesse de configur-lo, mesmo que voc interconectasse switches at precisar de mais de uma VLAN. At mesmo as definies STP padro provavelmente funcionariam perfeitamente. Mas, se desejar usar VLANs - como o caso da maioria das redes empresariais -, seria necessrio mexer na configurao. Este captulo separa os detalhes de configurao de VLANs em duas sees principais. A seo atual se concentra nas tarefas de configurao e verificao quando o VTP ignorado, utilizando as definies VTP padro ou o modo VTP transparente. A ltima e a mais importante seo deste captulo, "Configurao e Verificao de VTP", examina especificamente o VTP.

18 Captulo 1: LANS Virtuais

Criando VLANs e atribuindo VLANs de acesso a uma interface


Esta seo mostra como criar uma VLAN, dar-lhe um nome e atribuir-lhe interfaces. Para focar nesses detalhes fundamentais, esta seo mostra exemplos utilizando um nico switch. Portanto, VTP e trunking no so necessrios. Para que um switch Cisco encaminhe frames encontradas em uma determinada VLAN, o switch deve estar configurado para "acreditar" que a VLAN existe. Alm disso, o switch deve possuir interfaces que no sejam de trunking (chamadas interfaces de acesso (access interfaces)) atribudas VLAN e/ou trunks que aceitem a VLAN. Os passos da configurao sobre como criar a VLAN e como atribuir uma VLAN a uma interface de acesso so os seguintes. (A configurao de trunks abordada na seo "Configurao de Trunking VLAN", ainda neste captulo.)

Passo 1 Para configurar uma nova VLAN, siga os passos abaixo: a. A partir do modo de configurao, use o comando em modo de configurao global vlan vlan-id para criar a VLAN (;~ e passar o usurio para o modo de configurao VLAN.
\~have

b. (Opcional) Use o subcomando name name VLAN para associar um nome para a VLAN. Se no estiver configurado,
o nome da VLAN VLANZZZZ, onde ZZZZ a VLAN ID decimal de 4 algarismos.

Passo 2 Para configurar uma VLAN para cada interface de acesso, siga os passos abaixo: a. Use o comando interface para passar para o modo de configurao de interfaces para cada interface desejada. b. Use o subcomando de interfaces switchport access vlan id-number para especificar o nmero da VLAN associado
com aquela interface. c. (Opcional) Para desativar o trunking naquela mesma interface, assegurando que a interface seja uma interface de acesso, use o subcomando de interfaces switchport mode access.

Observao VLANs podem ser criadas e nomeadas em modo de configurao (conforme descrito no Passo 1) ou utilizando uma ferramenta de configurao chamada modo banco de dados de VLAN. O modo banco de dados de VLAN no abordado neste livro e normalmente tambm no abordado para outros exames da Cisco.

Observao Os switches Cisco tambm aceitam um mtodo dinmico de atribuio de dispositivos a VLANs, com base nos endereos MAC do dispositivo, utilizando uma ferramenta chamada VMPS (VLAN Management Policy Server). Esta ferramenta, quando muito, raramente usada.
O processo anterior pode ser utilizado em um switch que esteja configurado em modo transparente ou um switch com todas as definies VTP padro. Como referncia, a lista seguinte delineia os principais padres dos switches Cisco relacionados a VLAN s e VTP. Por enquanto, este captulo considera as definies VTP padro ou uma definio de modo VTP transparente. Ainda neste captulo, a seo "Cuidados ao sair da configurao VTP padro" reexarnina os padres dos switches Cisco e as implicaes de como passar da no-utilizao de VTP, com base nas definies padro, para a utilizao do VTP. Modo VTP servidor. Nenhum nome de domnio VTP.
~ Ch_

(;:~;~o ....

VLAN 1 e VLANs de 1002 a 1005 so automaticamente configuradas (e no podem ser excludas). Todas as interfaces de acesso so atribudas VLAN 1 (um comando switchport access vlan 1 implcito).

Exemplo 1 de configurao de VLANs: configurao completa de VLANs


O exemplo 1-1 mostra o processo de configurao para acrescentar uma nova VLAN e atribuir interfaces de acesso quela VLAN. AFigura 1-8 mostra a rede usada no exemplo, com um switch LAN (SW1) e dois hosts em cada uma das trs VLANs (1, 2 e 3). O exemplo mostra os detalhes do processo composto por dois passos para a VLAN 2 e as interfaces na VLAN 2, deixando a configurao da VLAN 3 para o prximo exemplo.

CCNA ICND2
Figura 1-8 Rede com um switch e trs VIANs
VLAN2

19

"

..........

". " .

ExempJo 1-1 Configurando VLANs e atribuindo VIANs a interfaces


swl-2960# ahow vlan brief VLAN Name Status Ports

default

active

FaO/1, FaO/2, FaO/3, FaO/4 FaO/5, FaO/6, FaO/7 , FaO/8 FaO/9, FaO/10, FaO/ll, FaO/12 FaO/13 , FaO/14, FaO/15, FaO/16 FaO/1?, FaO/18, FaO/19, FaO/20 FaO/21, FaO/22, FaO/23, FaO/24 GiO/1, GiO/2

1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default

act/unsup act/unsup act/unsup act/unsup

Above, VLAN 2 did not yet existo Below, VLAN 2 is added, with name Freds-vlan, with two interfaces assigned to VLAN 2. swl-2960#configure terminal swl-2960(config)'vlan 2 swl-2960 (config-vlan) #name Freda-'Vlan swl-2960 (config-vlan) #exit swl-2960(config)# interface range faatethernet 0/13 swl-2960(config-if)# awitchport acceaa vlan 2 swl-2960 (config-if) #exit Below, the ahoow running-config command lists the interface subcommands on interfaces FaO/13 and FaO/14. The vlan 2 and name Freda-'Vlan commands do not show up in the running-config. swl- 2960# ahow running-config
! lines omitted for brevity

------------------------------------------------------------1

14

interface FastEthernetO/13 switchport access vlan 2 switchport mode access

interface FastEthernetO/14 switchport access vlan 2 switchport mode access

20 Captulo 1: LANS Virtuais

SW1# show vIan brief


VLAN Name

Status

Ports

default

active

FaO/1, FaO/2, FaO/3, FaO/4 FaO/S, FaO/6, FaOI7 , FaO/8 FaO/9, FaO/10, FaO/ll, FaO/12 FaO/1S, FaO/16, FaO/I?, FaO/18 FaO/19, FaO/20, FaO/21, FaO/22 FaO/23, FaO/24, GiO/1, GiO/2

2 1002 1003 1004 1005

Freds-vlan fddi-default token-ring-default fddinet-default trnet-default

active act/unsup act/unsup act/unsup act/unsup

Fa O/13 , Fa O/14

o exemplo comea com o comando show vlan brief, conflrmando as deflnies padro de cinco VLANs que no so possveis de excluir, com todas as interfaces atribudas VLAN 1. De modo especial, observe que este switch 2960 possui 24 portas Fast Ethernet (FaO/1-Fa0/24) e duas portas Gigabit Ethernet (GiO/1 e GiO/2), todas apresentadas como estando na VLAN 1.
A seguir, o exemplo mostra o processo de criao da VLAN 2 e da atribuio das interfaces FaO/13 e FaO/14 VLAN 2. Observe, principalmente, que o exemplo utiliza o comando interface range, que faz com que o subcomando da interface switchport access vlan 2 seja aplicado a ambas as interfaces no intervalo, como confrrmado no resultado do comando show running-config no flnal do exemplo. Depois de acrescentada a conflgurao, para apresentar a nova VLAN, o exemplo repete o comando show vlan brief. Observe que este comando apresenta a VLAN 2, name Freds-vlan, e as interfaces atribudas quela VLAN (FaO/13 e FaO/ 14). Observao O Exemplo 1-1 utiliza a configurao VTP padro. Entretanto, se o switch tivesse sido configurado para o modo VTP transparente, os comandos de configurao vlan 2 e name Freds-vlan tambm teriam sido vistos no resultado do comando show running-config. Como esse switch est no modo VTP servidor (padro), o switch armazena esses dois comandos somente no arquivo vlan.dat. possvel que um switch no utilize a VLAN atribuda pelo comando switchport access vlan vlan-id em alguns casos, dependendo do modo operacional da interface. O modo operacional de um switch Cisco tem a ver com o fato de a interface estar atualmente utilizando um protocolo de trunking. Uma interface que esteja atualmente utilizando o trunking chamada de interface de trunk (trunk interface), e todas as outras interfaces so chamadas interfaces de acesso (access interfaces). Portanto, os engenheiros utilizam frases como "FaO/2 uma porta de trunk" ou "FaO/13 uma interface de acesso", com referncia a se o design pretende utilizar uma determinada interface para formar um trunk (modo trunk) ou para se conectar a uma nica VLAN (modo de acesso). O subcomando de interface opcional switchport mode access diz ao switch para somente permitir que a interface seja uma interface de acesso, o que significa que a interface no utilizar o trunking e utilizar a VLAN de acesso atribuda. Se omitir o subcomando de interface opcional switchport mode access, a interface poder negociar o uso do trunking, tomando-se uma interface de trunk e ignorando a VLAN de acesso conflgurada.

Exemplo 2 de configurao de VLANs: configurao resumida de VLANs


O Exemplo 1-1 mostra vrios dos comandos de conflgurao opcionais, com o efeito colateral de ser um pouco mais longo do que o necessrio. O Exemplo 1-2 mostra uma conflgurao alternativa muito mais resumida, retomando a

CCNA ICND2

21

histria exatamente onde o Exemplo 1-1 parou, mostrando o acrscimo da VLAN 3 (conforme visto na Figura 1-8). Observe que SWl no sabe da existncia da VLAN 3 no incio do exemplo.

Exemplo 1-2 Exemplo de configurao resumida de VLANs (VLAN 3)


SW1# configure terminal Enter conf i guration commands, one per line. End with CNTL/Z. SW1(config) #interface range Fastethernet 0/15 SW1(config-if-range) #switchport access vlan 3 16

% Access VLAN d o es not e x isto Creating vlan 3


SW1 (config - if-range) # AZ SW1# show v1an brief VLAN Name Status Ports

default

active

FaO/1, FaO/2, Fa O/3, FaO/4 FaO/5, FaO/6, FaO/7, FaO/8 Fa O/9, FaO/10, FaO/11, FaO/12 FaO/17, FaO/18, FaO/19, FaO/20 FaO/21, FaO/22, Fa O/23, FaO/24 GiO/1, GiO/2

2 3 1002 1003 1004 1005 SW1#

Freds-vlan VLANOO03 fddi-default token-ring-default f ddinet-default trnet-default

active active ac t /unsup act/unsup ac t /unsup act/ u nsup

FaO / 13 , FaO / 14 Fa0/15, FaO/16

O Exemplo 1-2 mostra como um switch pode dinamicamente criar uma VLAN - o equivalente do comando de configurao global vlan vlan-id - quando o subcomando de interface switchport access vlan se refere a uma VLAN atualmente no configurada. Este exemplo comea sem que o SWl saiba sobre existncia da VLAN 3. Quando o subcomando de interface switchport access vlan 3 foi utilizado, o switch percebeu que a VLAN 3 no existia, e, conforme observado na mensagem sombreada no exemplo, o switch criou a VLAN 3 utilizando um nome padro (VLAN0003). No necessrio nenhum outro passo para criar a VLAN. Ao fmal do processo, a VLAN 3 existe no switch, e as interfaces FaO/15 e FaO/16 esto na VLAN 3, conforme observado na parte sombreada que aparece no resultado do comando show vlan brief. Como lembrete, observe que algumas das configuraes mostradas nos Exemplos 1-1 e 1-2 s terminam no arquivo vlan.dat em memria flash, enquanto outras terminam somente no arquivo running-config. De modo especial, os subcomandos de interface esto no arquivo running-config, e, portanto, um comando copy running-config startupconfig seria necessrio para salvar a configurao. Entretanto, as definies das novas VLANs 2 e 3 j foram automaticamente salvas no arquivo vlan.dat em memria flash. A Tabela 1-7, apresentada posteriormente neste captulo, apresenta uma referncia dos vrios comandos de configurao, onde eles so armazenados e como confmnar as definies de configurao.

Configurao do Trunking de VLAN


A configurao do trunking em switches Cisco envolve duas escolhas importantes de configurao, como mostrado a seguir: O tipo de trunking: IEEE 802.1Q, ISL, ou negociar qual deles usar O modo administrativo: se devemos ou no utilizar trunk ou se devemos negociar

22 Captulo 1: LANS Virtuais


Os switches Cisco podem negociar ou configurar o tipo de trunking a ser usado (ISL ou 802.1 Q). Como padro, os switches Cisco negociam o tipo de trunking com o switch na outra extremidade do trunk, utilizando o DTP (Dynamic Trunk Protocol). Ao negociar, se os dois switches aceitarem tanto o ISL quanto o 802.1 Q, eles optaro por ISL. Se um switch quiser utilizar qualquer um dos tipos, e o outro switch no quiser utilizar um dos tipos de trunking, os dois concordam em utilizar aquele tipo de trunking que for aceito pelos dois. Para switches que aceitam ambos os tipos, o tipo de trunking preferido em uma interface configurado utilizando o subcomando de interface switchport trunk encapsulation {dotlq I isll negotiate}. (Muitos dos switches Cisco desenvolvidos mais recentemente, incluindo o 2960, atualmente somente aceitam o trunking 802.1 Q padro do IEEE; portanto, esses switches simplesmente usam o padro da definio switchport trunk encapsulation dotlq.) O modo administrativo se refere definio de configurao para determinar se o trunking deve ser utilizado em uma interface. O termo administrativo se refere ao que configurado, enquanto o modo operacional de uma interface se refere ao que est acontecendo atualmente na interface. Os switches Cisco utilizam o modo administrativo da interface, conforme configurado com o subcomando de interface switchport mode, para determinar se o trunking deve ser usado. A Tabela 1-4 relaciona as opes do comando switchport mode. (;:~;~o

Tabela 1-4 Opes do modo administrativo de trunking com o comando switchport mode ....
Opo de comando Descrio

\ Chave

access trunk dynamic desirable

Impede o uso de trunking, fazendo com que a porta sempre aja como porta de acesso (sem trunk) Sempre utiliza trunking Inicia mensagens de negociao e responde a mensagens de negociao para escolher dinamicamente se deve comear a utilizar o trunking. Define tambm o encapsulamento do trunking Espera passivamente para receber mensagens de negociao de trunk, no ponto em que o switch responder e negociar se deve utilizar o trunking. Em caso positivo, define o tipo de trunking

dynamic auto

Por exemplo, considere os dois switches mostrados na Figura 1-9. Essa figura mostra uma expanso da rede da Figura 1-8, com um trunk com um novo switch (SW2) e com partes das VLANs 1 e 3 em portas anexadas a SW2. Os dois switches utilizam um link Gigabit Ethemet para o trunk. Neste caso, o trunk no se forma dinamicamente como padro, porque ambos os switches (2960) utilizam o padro dynamic auto do modo administrativo, o que significa que nenhum dos switches inicia o processo de negociao do trunk. Ao mudar um switch para que ele utilize o modo dynamic desirable , que no inicia a negociao, os switches negociam para utilizar o trunking, especificamente o 802.1Q, porque os 2960 s aceitam 802.1Q.

Figura 1-9 Rede com dois switches e trs VIANs


.. .... .. .... .. -. .... "
VLAN2

..........
VLAN 1

VLAN3

/ ............. ---- ..............

. .... .

. ... .... ....

". . ........... . . .

-..' --

CCNA ICND2

23

o Exemplo 1-3 comea mostrando os dois switches com a configurao padro de forma que os dois switches no formem um trunk. O exemplo mostra a configurao de SWl de forma que os dois switches negociam e utilizam o trunking 802.1Q.
Exemplo 1-3 Configurao de trunking e comandos show em switches 2960
SW1# show interfaces gigabit 0/1 switchport Name: GiO/1 Switchport: Enabled Administr at ive Mode: dynami c auto Operat i onal Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: nativ e ________________________________________________________________________________________________________ Negotiation of Trunking: On Access Mode VLAN : 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN : none Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled v oice VLAN: none Administrative private-vlan host-a s sociation: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative priva te - vlan trunk Native VLAN tagging : enabled Administrative private-vlan trunk encapsulation : dot1q Administrative priva te-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs : none Opera tional priva te-vlan: none Trunking VLANs Enabled: ALL pruning VLANs Enabled : 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false

Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none
! Note that the next command results in a single empty line of output.

SW1# show interfaces trunk

swa
! Next,

the administrativ e mode is set t o dynamic desirabI e. _____________________________________________________________

SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface gigabit 0/1 SW1(config-if)j awitchport mode dynamic desirable SW1(config-if)j AZ

swa
01:43:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernetO / 1 , changed state to down

24 Captulo 1: LANS Virtuais


SWH 01:43 : 49: % LINEPROTO-5 - UPDOWN: Line protoco1 on Interface GigabitEthernetO / 1 , c hanged sta t e to up SW1# show interfaces gigabit 0/1 switchport Name: GiO / 1 Swi tchpo rt: Enab1ed Administrat i v e Mode: dynamic desirable Operati onal M ode: trunk Admi nistrat ive Trunking Encapsulation: d o t1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking : On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default)
! l i nes omitted for brev ity
1 -

! The next command f o rmer1y 1 i sted a sing1e empty 1 ine of output; n ow it 1 i sts ! information about the 1 operationa l

trunk.

SW1# show interfaces trunk Por t Gi O/ 1 Port GiO / 1 Port GiO / 1 Port GiO / 1 M ode des i rable Encapsulat i on 802 . 1q Status trunking Nat ive v lan
1

Vlans allowed o n trunk 1 -4094 Vlans allowed and active in management domain 1-3 Vlans in spa nni ng tree forwarding state and not pruned 1- 3

Primeiro, concentre-se em itens importantes a partir do resultado do comando show interfaces switchport no incio do Exemplo 1-3. O resultado apresenta a definio padrii.o dynamic auto do modo administrativo. Como o SW2 tambm utiliza o padrii.o dynamic auto, o comando relaciona o status operacional de SW1 como acesso, o que significa que ele no est utilizando o trunking. A terceira linha sombreada destaca o nico tipo de trunking aceito (802.1 Q) nesse switch 2960. (Em um switch que aceita tanto ISL quanto 802.1 Q, esse valor, de acordo com o padrii.o, apresentaria "negociar", significando que o tipo ou o encapsulamento negociado). Finalmente, o tipo do trunking em funcionamento apresentado como "nativo", o que uma forma sutil de dizer que, nessa porta, o switch no acrescenta nenhurn cabealho de trunking a frames encaminhadas, tratando os frames como se eles estivessem em urna VLAN nativa 802.1Q. Para ativar o trunking, os modos administrativos dos dois switches devem estar definidos para uma combinao de valores que resulte em trunking. Ao alterar SW1 para utilizar o modo dynamic desirable, conforme mostrado a seguir no Exemplo 1-3, o SW1 iniciar agora as negociaes, e os dois switches utilizaro o trunking. especialmente interessante observar o fato de que o switch traz a interface a um estado de desativao, e, em seguida, de ativao novamente, em conseqncia da alterao feita no modo administrativo da interface. Para verificar se o trunking est funcionando agora, o fmal do Exemplo 1-3 apresenta o comando show interfaces switchport. Observe que o comando continua apresentando as definies administrativas, que denotam os valores configurados junto com as definies operacionais que mostram o que o switch est fazendo atualmente. Neste caso, SW1 agora diz estar em um modo operacional de trunk, tendo dot1 Q como encapsulamento do trunking em funcionamento. Para os exames ICND2 e CCNA, voc deve estar preparado para interpretar o resultado do comando show interfaces switchport, entender o modo administrativo subentendido pelo resultado e saber se o link: deve formar um trunk operacionalmente com base nessas definies. A Tabela 1-5 apresenta as combinaes dos modos administrativos do trunking e o modo operacional esperado (trunk ou acesso) resultantes das definies configuradas. A tabela relaciona o modo administrativo utilizado em uma extremidade do link: esquerda e o modo administrativo, utilizado no switch, na outra extremidade do link: na parte superior da tabela. ..........

Tabela 1-5 Modo operacional esperado do trunking com base nos modos administrativos configurados
Modo administrativo

i Tplco
,"-Chave

...

Access
Access

Dynamic Auto Trunk Dynamic Desirable


Access Access Access

Access

CCNA ICND2
dynamic auto Access Access Access Access
Trunk Trunk

25

Trunk Trunk: Trunk:

Trunk Trunk: Trunk

trunk
dynamic desirable

Controlando quais VLANs podem ser aceitas em um trunk

o recurso allowed VIAN list oferece um mecanismo para que os engenheiros desativem administrativamente uma VLAN de um trunk. Como padro, os switches incluem todas as VLANs possveis (l a 4094) na lista de VLANs permitidas de cada trunk. Entretanto, o engenheiro pode limitar as VLANs permitidas no trunk utilizando o seguinte subcomando de interface:
switchport trunk al l owed vlan {add

alI

except

remove} vl a n - li s t

Este comando oferece uma forma de facilmente acrescentar e remover VLANs de uma lista. Por exemplo, a opo add permite que o switch acrescente VLANs lista existente de VLANs permitidas, e a opo remove permite que o switch remova VLANs da lista existente. A opo ali significa todas as VLANs e, portanto, pode ser utilizada para voltar com o switch sua definio padro original (permitindo VLANs de 1 a 4094 no trunk). A opo except um pouco complicada: ela acrescenta lista todas as VLAN s que no so parte do comando. Por exemplo, o subcomando de interface switchport trunk allowed vlan except 100-200 acrescenta as VLANs de 1 a 99 e de 201 a 4094 lista existente de VLANs permitidas naquele trunk. Alm da lista de VLANs permitidas, um switch tem outras trs razes para impedir que o trfego de uma VLAN especfica cruze o trunk:. Todas essas quatro razes so resumidas na lista a seguir: Uma VLAN foi removida da lista allowed VLAN do trunk: show vlan)

........... Uma VLAN no existe, ou no est ativa, no banco de dados de VLAN do switch (conforme visto no comando {Tpico
, Chave

Uma VLAN foi automaticamente suprimida pelo VTP A instncia STP de uma VLAN colocou a interface do trunk: em um estado diferente do Forwarding State (Estado de Encaminhamento) Dessas trs razes adicionais, a segunda precisa de um pouco mais de explicao. (A terceira razo, o VTP Pruning, j foi abordada neste captulo, e a quarta razo, o STP, ser abordada por completo no Captulo 2). Se um switch no sabe que uma VLAN existe, conforme evidenciado pela ausncia da VLAN no resultado do comando show vlan, o switch no encaminhar frames contidos naquela VLAN atravs de nenhuma interface. Alm disso, uma VLAN pode ser administrativamente fechada em qualquer switch utilizando o comando de configurao global shutdown vlan vlan-id, que tambm faz com que o switch no mais encaminhe frames naquela VLAN, mesmo que seja atravs de trunks. Portanto, switches no encaminham frames contidos em uma VLAN inexistente ou fechada atravs de nenhum trunk do switch.

o livro relaciona as quatro razes para se limitarem VLANs em um trunk: na mesma ordem em que o lOS descreve essas razes no resultado do comando show interfaces trunk. Tal comando inclui uma progresso de trs listas das VLANs aceitas em um trunk:. Essas trs listas so as seguintes:
VLANs da lista de VLANs permitidas no trunk VLANs do grupo anterior que tambm so configuradas e ativas (no-fechadas) no switch VLANs do grupo anterior que tambm no so suprimidas e que esto no Forwarding State (Estado de Encaminhamento) do STP Para ter uma idia dessas trs listas dentro do resultado do comando show interfaces trunk, o Exemplo 1-4 mostra como as VLANs podem ter sua permisso bloqueada em um trunk: por vrios motivos. O resultado do comando retirado do SW1 na Figura 1-9, aps o trmino da configurao, conforme mostrado nos Exemplos 1-1, 1-2 e 1-3. Em outras palavras, as VLANs de 1 a 3 existem e o trunking est operando. Em seguida, durante o exemplo, os seguintes itens so configurados em SW1:

26 Captulo 1: LANS Virtuais


Passo 1 A VLAN 4 acrescentada. Passo 2 A VLAN 2 fechada. Passo 3 A VLAN 3 removida da lista de VLANs permitidas do trunk.

Exemplo 1-4 Lista de VIANs permitidas e lista de VIANs ativas


! The three lists of VLANs in the next command list allowed VLANs

(1-4094),

! Allowed and active VLANs


! VLANs

(1-3), and allowed/active/not pruned/STP forwarding

(1-3)

SW1#show interfaces trunk Port GiO/1 Port GiO/1 Port GiO/1 Port GiO/1
! Next,

Mode desirable

Encapsulation 802.1q

Status trunking

Native vlan
1

Vlans allowed on trunk 1-4094 Vlans allowed and active in management domain 1-3 Vlans in spanning tree forwarding state and not pruned 1-3 the switch is configured with new VLAN 4; VLAN 2 is shutdown;

! and VLAN 3 is removed from the allowed VLAN list on the trunk.

SW1# configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#v1an , SW1(config-vlan)#vlan 2 SW1 (config-vlan) # shutdown SW1 (config-vlan) #interface l1iO/1 SW1(config-if)# switchport trunk allowed vlan remove 3 SW1(config-if)# AZ
! The three lists of VLANs in the next command list allowed VLANs

(1-2, 4-4094),

! allowed and active VLANs ! VLANs

(1,4), and allowed/active/not pruned/STP forwarding

(1,4)

SW1#show interfaces trunk Port GiO/1 Mode desirable Encapsulation 802.1q Status trunking Native vlan
1

! VLAN 3 is omitted next,

because it was removed from the allowed VLAN listo

Port GiO/1

Vlans allowed on trunk 1-2,4-4094

! VLAN 2 is omitted below because it is shutdown . VLANs 5-4094 are omitted below

! because SW1 does not have them configured.

Port GiO/1 Port GiO/1

Vlans allowed and active in management domain 1,4 Vlans in spanning tree forwarding state and not pruned 1,4

Trunking com Telefones Cisco IP


Os telefones Cisco IP utilizam a Ethemet para se conectar rede IP com o propsito de enviar pacotes VoIP (Voice over

CCNA ICND2

27

IP). Os telefones Cisco IP podem enviar pacotes VoIP para outros telefones IP que aceitem chamadas de voz, bem como enviar pacotes VoIP para portas de comunicao de voz, que, por sua vez, conectam-se rede de telefonia tradicional existente, oferecendo a possibilidade de chamar praticamente qualquer telefone do mundo. A Cisco previu que cada mesa de escritrio em uma empresa poderia ter sobre ela um telefone Cisco IP e um PC. Para reduzir o emaranhado de cabos, a Cisco inclui um pequeno switch na parte de baixo de cada telefone Cisco IP. O pequeno switch permite que um cabo faa o percurso desde o quadro de fiao at a mesa e se conecte ao telefone IP; e, em seguida, o PC pode se conectar ao switch ligando um pequeno cabo Ethemet (contnuo) do PC at a parte de baixo do telefone IP. A Figura 1-10 mostra o cabeamento e mais alguns detalhes. Figura 1-10 Conexo tpica de um telefone Cisco IP e de um PC a um switch Cisco
Voice VLAN 12

Not Trunking

Access VLAN 2

As diretrizes do projeto de telefonia da Cisco sugerem que o link entre o telefone e o switch deva utilizar o trunking 802.1Q, e que o telefone e o PC devam estar em VLANs diferentes (e, portanto, em sub-redes diferentes). Ao colocar os telefones em uma VLAN, e os PCs conectados aos telefones em outra VLAN diferente, os engenheiros podem gerenciar mais facilmente o espao do endereo IP, aplicar mais facilmente os mecanismos de qualidade de servio (QoS) aos pacotes VoIP e oferecer mais segurana separando os dados e o trfego de voz. A Cisco chama de voice VLAN a VLAN utilizada para o trfego do telefone IP e de data VLAN, ou access VLAN, a VLAN utilizada para os dados. Para que o switch encaminhe o trfego corretamente, os switches Cisco precisam saber o VLAN ID da voice VLAN e do data VLAN. O data VLAN (ou access VLAN) configurada exatamente como visto nos ltimos exemplos, utilizando o comando switchport access vlan vlan-id. A voice vlan configurada com o subcomando de interface switchport voice vlan vlan-id. Por exemplo, para combinar com a Figura 1-10, a interface FaO/6 precisaria do sub comando de interface switchport access vlan 2 e do sub comando switchport voice vlan 12. /~:~;~
\ Cha".

A tabela 1-6 resume os pontos principais sobre a voice VLAN. Tabela 1-6 Configurao da Voice VIAN e da Data VIAN Dispositivo Telefone Nome da VLAN Configurada com este comando Voice VLAN ou VLAN auxiliar switchport voice vlan vlan-id

....

PC ---------------------------------------------------------------

Data VLAN ou Access VLAN switchport access vlan vlan-id

Protegendo VLANs e o Trunking


Os switches so expostos a vrios tipos de vulnerabilidades de segurana tanto em portas utilizadas quanto portas noutilizadas. Por exemplo, um hacker poderia conectar um computador a uma tomada de parede ligada por um cabo porta de um switch e causar problemas na VLAN atribuda quela porta. Alm disso, o hacker poderia negociar o trunking e causar vrios outros tipos de problemas, alguns relacionados ao VTP. A Cisco faz algumas recomendaes sobre como proteger portas de switches no-utilizadas. Em vez de usar as definies padro, a Cisco recomenda configurar essas interfaces da seguinte forma:

(;~~;~o Desativar administrativamente a interface no utilizada, usando o subcomando de interface shutdoWD . \~ha'" Impedir que o trunking seja negociado quando a porta est ativada utilizando o subcomando de interface switchport nonegotiate para desativar a negociao ou o subcomando de interface

28

Captulo 1: LANS Virtuais


switchport mode access para configurar estaticamente a interface como uma interface de acesso. Atribuir a porta a uma VLAN no utilizada, s vezes chamada de parking lot VLAN (VLAN de estacionamento), utilizando o subcomando de interface switchport access vlan number.

Na verdade, se voc apenas encerrar a interface, a exposio da segurana vai embora, mas as outras duas tarefas impedem qualquer problema imediato caso outro engenheiro ative a interface configurando um comando no shutdown. Alm dessas recomendaes sobre portas no-utilizadas, a Cisco recomenda que a negociao do trunking seja desativada em todas as interfaces de acesso em uso, sendo todos os trunks configurados manualmente para formarem um trunk. A exposio quer dizer que um hacker pode desconectar o computador de um usurio legtimo da porta RJ-45, conectar o PC do hacker e tentar negociar o trunking. Ao configurar todas as interfaces em uso que no deviam estar formando um trunk com o subcomando de interface switchport nonnegotiate, essas interfaces no vo decidir dinamicamente formar o trunk, reduzindo a exposio a problemas relacionados ao trunking. Para qualquer interface que precise formar um trunk, a Cisco recomenda configurar o trunking manualmente.

Configurao e verificao do VTP


A configurao do VTP requer apenas alguns passos simples, mas o VTP tem o poder de causar problemas significativos, seja por opes ruins e acidentais de configurao ou por ataques nocivos. As sees a seguir examinam, primeiramente, a configurao geral, seguido de alguns comentrios sobre possveis problemas criados pelo processo VTP. Essas sees terminam com uma discusso sobre como resolver problemas relacionados ao VTP.

Usando VTP: configurando servidores e clientes


Antes de configurar o VTP, vrias definies do VTP devem ser escolhidas. De modo especial, considerando que o engenheiro queira fazer o uso do VTP, ele deve decidir quais switches estaro no mesmo domnio VTP, o que significa que esses switches recebero as informaes de configurao da VLAN uns dos outros. O nome de domnio VTP deve ser escolhido, junto com uma senha VTP opcional, porm, recomendada. (Ambos os valores so sensveis a letras maisculas e minsculas.) O engenheiro deve tambm escolher quais switches sero servidores (geralmente pelo menos dois, por questo de redundncia) e quais sero clientes. Aps a concluso dos passos de planejamento, os seguintes passos devem ser utilizados para configurar o VTP:
..........
( TpiCO
~ Ch.ve

....

Passo 1 Configurar o modo VTP utilizando o comando de configurao global vtp mode {server I client} . Passo 2 Configurar o nome de domnio VTP (sensvel a letras maisculas e minsculas) utilizando o comando de configurao global vtp domain domain-name. Passo 3 (Opcional) Tanto nos clientes quanto nos servidores, configurar a mesma senha (sensvel a letras maisculas e minsculas) utilizando o comando de configurao global vtp password password-value. Passo 4 (Opcional) Configurar o VTP Pruning nos servidores VTP utilizando o comando de configurao global vtp pruning. Passo 5 (Opcional) Ativar a verso 2 do VTP com o comando de configurao global vtp version 2. Passo 6 Criar trunks entre os switches. O Exemplo 1-5 mostra um modelo de configurao, junto com um comando show vtp status, para os dois switches da Figura 1-11. A figura destaca as definies de configurao nos dois switches antes de o Exemplo 1-5 mostrar a configurao do VTP sendo acrescentada. De modo especial, observe que os dois switches utilizam as definies de configurao padro do VTP.

., .,

, ,
",

CCNA ICND2
Figura 1-11 Configurao do switch antes do Exemplo 1-5
1, 2, 3,1002-1005 VLANs: Server ModoVTP : Domnio VTP: <null> Senha VTP : <null> Reviso VTP : 5 Endereo IP: 192.168.1.105

29

GiOI1

Trunk

GiOl2

VLANs: ModoVTP: Domnio VTP : Senha VTP : Reviso : 1 Endereo IP:

1,1002-1005 Servidor <null> <null> 192.168.1.1 06

o Exemplo 1-5 mostra a seguinte configurao em SW1 e SW2, seguida dos resultados:
SW1: Configurado como servidor, tendo Freds-domain como nome de domnio VTP, Freds-password como senha
VTP e o VTP Pruning ativado

SW2: Configurado como cliente, tendo Freds-domain como nome de domnio VTP e Freds-password como senha
VTP

Exemplo 1-5 Configurao bsica do VTP cliente e servidor


! lOS generates at least one informational message after each VTP command listed ! below. The comments added by the author begin with an exclamation point.

SW1#configure terminal Enter configuration commands, one per line. End with CNTL / Z. SW1(config)#vtp mode server Setting device to VTP SERVER mo de SW1(config)#vtp domain Preds-domain Changing VTP domain name from NULL to Freds-domain SW1(config)#vtp password Preds-password Setting device VLAN database password to Freds-password SW1(config)#vtp pruning pruning switched on SW1 (config) #A Z
! Switching to SW2 now

SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#vtp mode client Setting device to VTP CLlENT mode. SW2(config)#vtp domain Preds-domain Domain name already set to Freds-domain. SW2(config)#vtp password Preds-password Setting device VLAN database password to Freds-password SW2(config)#A Z
! The output below shows configuration revision number 5, !

with 7 existing VLANs

(1 through 3, 1002 through 1005), as learned from SW1

SW2# show vtp status VTP Version Configuration Revision

: 2
: 5

30 Captulo 1: LANS Virtuais


Maximum VLANs supported locally Number of existing VLANs VTP Operating Mode VTP Domain Name VTP Pruning Mode VTP V2 Mode VTP Traps Generation M05 digest
: : : : : : :

255 7 Client Freds-domain Enabled Disabled Disabled

: Ox22 Ox07 OxF2 Ox3A OxF1 Ox28 OxAO Ox5D

Configuration last modified by 192.168.1.105 at 3-1-93 00:28:35


! The next command lists the known VLANs, ! from SW1

including VLANs 2 and 3, learned

SW2# show vlan brief VLAN Name Status Ports

default

active

FaO/1, FaO/2, FaO/3, FaO/4 FaO/5, FaO/6, FaO/? , FaO/8 FaO/9, FaO/10, FaO/ll, FaO/12 FaO/13, FaO/14, FaO/15, FaO/16 FaO/17, FaO/18, FaO/19, FaO/20 FaO/21, FaO/22, FaO /23, FaO/24 GiO/1

2 3 1002 1003 1004 1005

Freds-vlan VLANOO03 fddi-default token-ring-default fddinet-default trnet-default

active active act/unsup act/unsup act/unsup act/unsup

! Switching to SW1 now ! Back on SW1,

the output be10w confirms the same revision number as SW2, meaning

! that the two switches have synchronized their VLAN databases.

SW1#show vtp status VTP Version Configuration Revision Maximum VLANs supported locally Number of existing VLANs VTP Operating Mode VTP Domain Name VTP pruning Mode VTP V2 Mode VTP Traps Generation M05 digest
: 2

: 5

: 255
: 7
:

Server Freds-domain Enabled Disabled Disabled

: : : :

.,
(lowest numbered VLAN interface foundl ______________________

: Ox10 OxAO Ox57 Ox3A OxCF Ox10 OxB7 Ox96

Configuration last modified by 192.168.1.105 at 3-1-93 00:28:35 Local updater lD is 192.168.1.105 on interface Vil SW1# show vtp password VTP Password: Freds-password

o exemplo relativamente longo, mas a configurao simples. Ambos os switches foram configurados com o modo VTP (servidor e cliente), o mesmo nome de domnio e a mesma senha, com o trunking j tendo sido configurado. A configurao resultou em SW2 (cliente) sincronizando o seu banco de dados de VLAN para combinar com SWl (servidor).
Os switches Cisco lOS no modo VTP servidor ou cliente armazenam os comandos de configurao vtp, e mais alguns

CCNA ICND2

31

outros comandos de configurao, no arquivo vlan.dat em memria flash. Os switches no armazenam os comandos de configurao no arquivo running-config. Pelo contrrio, para verificar esses comandos de configurao e suas definies, so usados os comandos show vtp status e show vlan. Como referncia, a Tabela 1-7 relaciona os comandos de configurao relacionados VLAN, o local no qual o servidor ou o cliente VTP armazena os comandos e a forma de visualizar as definies para os comandos.

Tabela 1-7 Local em que os clientes e servidores VTP armazenam as configuraes relacionadas VIAN (;~~;~o
\ Ch.".

Comandos de configurao vtp domain vtp mode vtp password vtp pruning vlan vlan-id name vlan-name switchport access vlan vlan-id
interfaces switchport

Onde so armazenados
vlan.dat vlan.dat vlan.dat vlan.dat vlan.dat vlan.dat
running~config

Como visualizar show vtp status show vtp status show vtp password show vtp status show vlan [brief] show vlan [brief] show running-config, show

...

switchport voice vlan vlan-id


interfaces switchport

running-config

show running-config, show

Qualquer anlise de VTP e de VLANs feita em switches Cisco depende de dois comandos importantes: os comandos

show vtp status e show vlan. Primeiro, observe que, quando o domnio sincronizado, o comando show vtp status em todos os switches deve ter o mesmo nmero de reviso de configurao. Alm disso, o comando show vlan deve
apresentar as mesmas VLANs e os mesmos nomes de VLANs. Por exemplo, tanto SWl quanto SW2 terminam o Exemplo 1-5 com um nmero de reviso igual a 5, e ambos sabem da existncia de sete VLANs: de 1 a 3 e de 1002 a 1005. Ambas as instncias do comando show vtp status no Exemplo 1-5 relacionam o endereo IP do ltimo switch para modificar o banco de dados da VLAN, ou seja, SW1, 192.168.1.105; portanto, mais fcil determinar qual switch provocou a ltima alterao na configurao da VLAN. Somente em servidores VTP, o comando show vtp status termina com uma linha que relaciona o endereo IP daquele switch e que se identifica ao avisar sobre as atualizaes do VTP, facilitando a confrnnao de qual switch provocou a ltima alterao na configurao da VLAN. Observe que a senha VTP s pode ser exibida com o comando show vtp password. O comando show vtp status exibe uma forma MD5 resumida da senha.

Observao Os switches Cisco enviam mensagens VTP e mensagens CDP (Cisco Discovery Protocol) em trunks utilizando a VLAN 1.

Cuidados ao sair da configurao VTP padro


O comportamento padro do VTP apresenta a possibilidade de problemas na primeira configurao do VTP. Para entender por qu, considere os cinco pontos a seguir sobre o VTP: A configurao VTP padro em switches Cisco o modo VTP servidor com um nome de domnio nulo. Com todas as definies padro, o switch no envia atualizaes VTP, mesmo atravs de trunks, mas o switch pode ser configurado com VLANs por estar em modo servidor.

32 Captulo 1: LANS Virtuais


Aps configurar um nome de domnio, aquele switch imediatamente comea a enviar atualizaes VTP atravs de todos os seus trunks. Se um switch que ainda possua um nome de domnio nulo (padro) receber uma atualizao VTP - a qual, por defInio, relaciona um nome de domnio :- e no tiver sido usada nenhuma senha pelo switch de envio, o switch de recebimento passa a utilizar aquele nome de domnio VTP. Quando o passo anterior ocorre, o switch com o nmero de reviso mais alto relativo ao banco de dados de VLAN faz com que o switch que tem o nmero de reviso mais baixo sobrescreva seu banco de dados de VLAN. O Exemplo 1-5 progride atravs desses mesmos cinco fatos. Ele comea com o trunking ativado entre os dois switches, mas com as defInies VTP padro (itens 1 e 2 da lista que precede este pargrafo). Assim que o SW1 confIgura o seu nome de domnio VTP, ele envia as mensagens VTP atravs do trunk para SW2 (item 3). SW2 reage passando a utilizar o nome de domnio VTP relacionado na atualizao VTP recebida (neste caso, Freds-domain). Quando o comando vtp domain Freds-domain foi emitido em SW2 no Exemplo 1-5, SW2 j estava utilizando Freds-domains como nome de domnio dinamicamente reconhecido; portanto, o Cisco lOS em SW2 emitiu a resposta "Nome de domnio j defInido como Fred-domain" (item 4). Finalmente, SW2, com um nmero de reviso VTP mais baixo, sincronizou seu banco de dados VLAN para combinar com SW1 (item 5). O processo funcionou exatamente como desejado no Exemplo 1-5. Entretanto, este mesmo processo permite que um engenheiro inocentemente configure o nome de domnio VTP de um switch e destrua completamente uma LAN de switches. Imagine, por exemplo, que SW2 tivesse confIgurado a VLAN 4 e atribudo vrias interfaces a ela, mas que SW1 no tenha nenhuma defInio para a VLAN 4. Seguindo esse mesmo processo, quando SW2 sincroniza seu banco de dados VLAN para combinar com SW1, SW2 sobrescreve o banco de dados antigo, perdendo a defInio da VLAN 4. Nesse ponto, SW4 j no pode encaminhar frames contidos na VLAN 4, e, com isso, possvel que todos os usurios da VLAN 4 comecem a chamar por ajuda. Esse mesmo processo poderia ser usado para executar um ataque de negao de servio (DoS, do ingls denial of service) utilizando o VTP. Apenas com as defInies VTP padro, qualquer hacker que consiga criar um trunk entre um switch de ataque e o switch legtimo existente pode fazer com que os switches existentes se sincronizem com o banco de dados de VLAN do switch de ataque, que pode muito bem no ter nenhuma VLAN configurada. Portanto, para redes reais, se voc no pretende utilizar o VTP ao instalar um switch, vale a pena o esforo de simplesmente configur-lo para que seja um switch em modo VTP transparente, conforme abordado na prxima seo. Ao fazer isso, a configurao de um nome de domnio VTP naquele novo switch no causar impacto nos switches existentes, e a configurao de um nome de domnio em outro switch no causar impacto nesse novo switch.

Observao A seo intitulada "Resolvendo Problemas de VTP" explica como reconhecer quando o VTP pode ter causado problemas como os mencionados nesta seo.

Evitando o VTP: configurando o modo transparente


Para evitar o uso do VTP, necessrio configurar o modo VTP transparente. Em modo transparente, um switch nunca atualiza seu banco de dados de VLAN com base em mensagens VTP recebidas e nunca faz com que outros switches atualizem seus bancos de dados com base no banco de dados de VLAN do switch em modo transparente. A nica ao VTP executada pelo switch encaminhar mensagens VTP recebidas em um trunk atravs de todos os outros trunks, o que permite que outros clientes e servidores VTP funcionem corretamente. Configurar o modo VTP transparente simples: basta emitir o comando vtp mode transparent em modo de configurao global. No so necessrios nomes de domnio nem senhas.

Resolvendo problemas de VTP


O VTP pode ter um impacto enorme sobre uma LAN construda utilizando switches Cisco, seja o impacto negativo ou positivo. As sees seguintes examinam trs aspectos da resoluo de problemas de VTP. Primeiro, o texto sugere um processo atravs do qual voc pode resolver problemas de VTP quando o VTP parece no estar distribuindo as informaes de configurao da VLAN (acrscimos/excluses/alteraes). Em seguida, o texto examina uma classe comum de

CCNA ICND2

33

problemas que ocorrem quando surge um trunk, possivelmente acionando os switches vizinhos para enviarem atualizaes VTP e sobrescreverem um dos bancos de dados de VLAN do switch. Esse tpico termina com as prticas ideais sugeridas para evitar problemas de VTP.

Determinando por que o VTP no est funcionando atualmente

o primeiro passo da resoluo de problemas de VTP envolve determinar se existe um problema, para incio de conversa.
Para switches que deveriam estar usando VTP, no mesmo domnio, o problema pode ser identificado, primeiramente, quando quaisquer dois switches vizinhos tiverem bancos de dados de VLAN diferentes. Em outras palavras, eles reconhecem VLAN ID diferentes, com nomes diferentes e com um nmero de reviso de configurao diferente. Aps identificar dois switches vizinhos cujos bancos de dados de VLAN no combinam, o prximo passo verificar a configurao e o modo operacional do trunking (e no o modo administrativo) e corrigir quaisquer problemas. A lista a seguir detalha os passos especficos:

Passo 1 Confirmar os nomes dos switches, a topologia (incluindo quais interfaces conectam quais switches) e os
modos VTP dos switches. .... comando show vlan conjuntos formados por dois switches vizinhos que deveriam ser clientes ou servidores VTP cujos bancos de dados de VLAN diferem.

/;~;;~o Passo 2 Identificar com o '. Cha...

Passo 3 Em cada par formado por dois switches vizinhos cujos bancos de dados diferem, verificar o seguinte: a. Pelo menos um trunk deve existir entre os dois switches (use o comando show interfaces trunk, show interfaces switchport ou show cdp neighbors). b. Os switches devem ter o mesmo nome de domnio VTP (show vtp status) (sensvel a letras maisculas e minsculas). c. Se configurada, os switches devem ter a mesma senha VTP (show vtp password) (sensvel a letras maisculas e
minsculas). d. Embora o VTP Pruning deva estar ativado ou desativado em todos os servidores no mesmo domnio, ter dois servidores configurados com definies opostas de Pruning no impede o processo de sincronizao.

Passo 4 Para cada par de switches identificado no Passo 3, resolva a questo solucionando o problema do trunking ou
reconfigurando o switch para que ele combine corretamente com o nome de domnio ou a senha.

Observao Para LANs reais, alm dos itens dessa lista, considere tambm o projeto do VTP desejado.
Embora o processo apresente vrios passos, seu principal objeti vo mostrar como atacar o problema com o conhecimento abordado anteriormente neste captulo. O processo basicamente diz que, se os bancos de dados de VLAN diferem, e os switches deveriam ser clientes ou servidores VTP, ento existe um problema de VTP - e a causa geradora geralmente algum problema de configurao do VTP. Entretanto, no exame, possvel que voc seja forado a descobrir a resposta com base no resultado do comando show. Por exemplo, considere um problema no qual trs switches (SW1 , SW2 e SW3) se conectem todos uns com os outros. Uma determinada questo do exame pode pedir que voc encontre qualquer problema de VTP na rede, com base no resultado dos comandos show, como os do Exemplo 1-6.

Observao Seria um timo exerccio ler o exemplo e aplicar os passos de resoluo de problemas apresentados no incio desta seo antes de ler qualquer explicao apresentada aps o exemplo. Exemplo 1-6 Exemplo de resoluo de problemas de VTP
SW1# show cdp neighbors Capability Codes: R - Router, T - Tran s Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID

34

Captulo 1: LANS Virtuais


SW2 Gig 0/1 163 S I WS-C2960-2Gig 0/2 SW3 Gig 0/2 173 S I WS-C3550-2Gig 0/1 SW1# show vlan brief VLAN Name
-------------

Status

Ports

default

active

FaO/1, FaO/2, FaO/3, FaO/4 FaO/5, FaO/6, FaOI7 , FaO/8 FaO/9, FaO/10, FaO/13, FaO/14 FaO/15, FaO/16, FaO/17, FaO/18 FaO/19, FaO/20, FaO/21, FaO/22 FaO/23, FaO/24, GiO/2

3 4 5 49 50 1002 1003 1004 1005

VLANOO03 VLANOO04 VLANOO05 VLAN0049 VLAN0050 fddi-default trcrf-default fddinet-default trbrf-default

active active active active active act/unsup act/unsup act/unsup act/unsup

FaO/ll

SWl# show interfaces trunk Port GiO /1 Port GiO /1 Port GiO/1 Port GiO/1 Mode desirable Encapsulation 802.1q Status trunking Native vlan
1

Vlans allowed on trunk 1-4094 Vlans allowed and active in management domain 1,3-5,49-50 Vlans in spanning tree forwarding state and not pruned 3-5,49-50

SW1# show vtp status VTP Version Configuration Revision Maximum VLANs supported locally Number of existing VLANs VTP Operating Mode VTP Oomain Name VTP pruning Mode VTP V2 Mode VTP Traps Generation M05 digest
2

131
255 10 Client Larry Oisabled Enabled Oisabled Ox10 Ox27 OxA9 OxF9 Ox46 OxDF Ox66 OxCF

Configuration last modified by 1.1.1.3 at 3-1-93 00:33:38


! SW2 next

SW2# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Oevice 10 SW1 Local Intrfce Gig 0/2 Holdtme 175 Capability Platform Port 10 WS-C2960-2Gig 0/1

S I

CCNA ICND2
SW3
SW2# show v1an brief
VLAN

35

Gig 0/1

155

S I

WS-C3550-2Gig 0/2

Name

Status

Ports

default

active

FaO / 1, FaO / 2, FaO/3 , FaO / 4 FaO / 5 , FaO / 6, FaOI7 , FaO / 8 FaO / 9, FaO / 10, FaO / ll, FaO / 12 FaO / 13 , FaO / 14, FaO/15, FaO / 16 FaO / 17, FaO / 18, FaO / 19 , FaO / 20 FaO / 21 , FaO / 22, FaO / 23, FaO/24

VLAN0003 fddi-default trcrf-default fddinet-default trbrf-default

activ e act / unsup act / unsup act / unsup act / unsup

1002 1003 1004 1005

SW2# show vtp status

VTP Version Configuration Revision Maximum VLANs supported locally Number of existing VLANs VTP Operating Mode VTP Domain Name VTP pruning Mode VTP V2 Mode VTP Traps Generation MD5 digest

255
6

Server larry Disabled Enabled Disabled Ox8C Ox75 OxC5 OxDE OxE9 Ox7C Ox2D Ox8B

Configuration last modified by 1.1.1.2 at 0-0-00 00:00:00 Local updater ID is 1.1 . 1. 2 on interface Vil (lowest numbered VLAN interface found)
! SW3 next

SW3# show vlan brief


VLAN

Name

Status

Ports

default

activ e

FaO / 1, FaO / 2, FaO / 3, FaO / 4 FaO / 5, FaO / 6, FaOI7 , FaO / 8 FaO/9, FaO / 10, FaO / ll, FaO/12 FaO/14, FaO / 15 , FaO / 16, FaO / 17 FaO / 18 , FaO / 19, FaO / 20, FaO/21 FaO / 22, FaO / 23, FaO / 24, GiO/1

3 4 5 20 1002 1003 1004 1005

VLANOO03 VLANOO04 VLANOO05 VLAN20 fddi-default trcrf-default fddinet-default trbrf-default

active active active active act / unsup act / unsup act / unsup act / unsup

FaO / 13

SW3#Show interfaces trunk

Port

Mode

Encapsulation

Status

Native vlan

36

Captulo 1: LANS Virtuais


GiO/2 Port GiO/2 Port GiO/2 Port GiO/2 desirable n-802.1q trunking

Vlans allowed on trunk 1-4094 Vlans allowed and active in management dornain 1,3-5,20 Vlans in spanning tree forwarding state and not pruned 1,3-5,20

SW3# show vtp status VTP Version Configuration Revision Maxirnum VLANs supported locally Nurnber of existing VLANs VTP Operating Mode VTP Dornain Narne VTP pruning Mode VTP V2 Mode VTP Traps Generation M05 digest
: 2 134

1005
: 9

Server Larry Disabled Enabled Disabled Ox76 Ox1E Ox06 Ox1E Ox1C Ox46 Ox59 Ox75

Configuration last rnodified by 1.1.1.3 at 3-1-93 01:07:29 Local updater lD is 1.1.1.3 on interface Vl1 (lowest nurnbered VLAN interface found)

Para o Passo 1, os comandos show cdp neighbors e show interfaces trunk fornecem informaes suficientes para confirmar a topologia, bem como mostrar quais links esto operando como trunks. O comando show interfaces trunk apresenta apenas interfaces em um estado de trunking em funcionamento. Alternadamente, o comando show interfaces switchport tambm apresenta o modo operacional (trunk ou access). A Figura 1-12 mostra o diagrama de rede. Observe tambm que o link entre SW1 e SW3 no est utilizando trunking no momento.

Figura 1-12 Topologia de rede de switches no Exemplo 1-6


Cliente Servidor

Servidor

Para o Passo 2, uma rpida reviso do resultado do comando show vlan brief de cada switch mostra que todos os trs switches possuem bancos de dados de VLAN diferentes. Por exemplo, todos os trs switches sabem da existncia da VLAN 3, enquanto SW1 o nico switch que sabe sobre a existncia da VLAN 50, e SW3 o nico switch que sabe sobre a existncia da VLAN 20. Como todos os trs pares de switches vizinhos possuem bancos de dados de VLAN diferentes, o Passo 3 do processo de resoluo de problemas sugere que cada par seja examinado. Comeando com SW1 e SW2, uma rpida olhada no comando show vtp status em ambos os switches identifica o problema: SW1 utiliza o nome de domnio Larry enquanto SW2 utiliza larry, e os nomes diferem por causa da primeira letra maiscula ou minscula. Analogamente, SW3 e SW2 apresentam dificuldades por causa do nome de domnio VTP que no combina. Como SW2 o nico switch em que a palavra larry est com letra minscula, uma soluo seria reconfigurar SW2 para que ele usasse Larry como nome de domnio. Continuando o Passo 3 para SW1 e SW3, os dois switches possuem o mesmo nome de domnio (Passo 3B), mas, ao olhar o Passo 3A, vemos que no h nenhum trunk conectando SW1 a SW3. O CDP confmna que a interface GiO/2 de SW1 se conecta a SW3, mas o comando show interfaces trunk em SW1 no apresenta a interface GiO/2. Em conseqncia

CCNA ICND2

37

disso, nenhum dos switches pode enviar mensagens VTP um ao outro. A raiz do problema , muito provavelmente, um lapso na conflgurao do subcomando de interface switchport mode. Embora o exemplo no tenha tido nenhum problema com a no-combinao de senhas VTP, importante saber como verificar as senhas. Primeiro, a senha pode ser exibida em cada switch com o comando show vtp password. Alm disso, o comando show vtp status apresenta um hash MD5 derivado tanto do nome de domnio VTP quanto da senha VTP. Portanto, se dois switches possuem o mesmo nome de domnio e a mesma senha, sensveis a letras maisculas e minsculas, o valor para o hash MD5 apresentado no resultado do comando show vtp status ser o mesmo. Entretanto, se dois switches apresentam valores diferentes para o hash MD5 , necessrio examinar os nomes de domnio. Se estes forem iguais, as senhas deveriam ter sido diferentes, j que os hashes MD5 so diferentes. Antes de passar para o prximo tpico, veja este breve comentrio sobre a verso VTP e como ela no impede que os switcbes funcionem. Se voc examinar o resultado do comando show vtp status novamente no Exemplo 1-6, observe os cabealhos VTP Version (Verso VTP) e V2 Mode Enabled (Modo V2 Ativado). A primeira linha apresenta a verso VTP mais alta aceita pelo software daquele switch. A outra linha mostra o que o switch est atualmente usando. Se um switch tiver o comando VTP verso 2 conflgurado, sobrescrevendo o padro da verso 1, o switch utilizar vtp version 2 - mas somente se os outros switches do domnio tambm aceitarem a verso 2. Portanto, a no-combinao da verso VTP conflgurada significa que os switches funcionam, mas que eles devem usar a verso 1 do VTP, e a linha que exibe "VTP V2 Mode" apresentaria a palavra disabled (desativado), significando que a verso 1 do VTP utilizada.

Problemas ao conectar novos switches e criar trunks

o VTP pode estar funcionando perfeitamente h meses, e um belo dia uma enxurrada de chamadas por ajuda descrevem
casos nos quais grandes grupos de usurios no conseguem mais utilizar a rede. Aps um exame minucioso, aparentemente quase todas as VLANs foram excludas. Os switches continuam tendo vrias interfaces com comandos switchport access vlan que se referem s VLANs agora excludas. Nenhum dos dispositivos presentes nessas VLANs agora excludas funciona, porque os switches Cisco no encaminham frames para VLANs inexistentes. Esse cenrio pode acontecer ocasionalmente (e acontece), principalmente quando um novo switch conectado a uma rede existente. Se esse problema acontecer por acidente ou como um ataque de negao de servio (DoS), a causa geradora que, quando um novo trunk de VLANs (ISL ou 802.1Q) surge entre dois switches, e os dois switcbes so servidores ou clientes VTP, eles enviam atualizaes VTP um para o outro. Se um switch receber um aviso VTP que possua o mesmo nome de domnio e tenha sido gerado com a mesma senha VTP, um outro switch sobrescreve seu banco de dados de VLAN como parte do processo de sincronizao. Especificamente, o switch que tinha o menor nmero de reviso, sincroniza seu banco de dados de VLAN para combinar com um switch vizinho (que possui o maior nmero de .....~eviso). Resumindo o processo mais formalmente: Passo 1 Confirmar que o trunking ocorrer no novo link: (refira-se Tabela 1-5 para detalhes). Passo 2 ConfIrmar que os dois switches utilizam o mesmo nome de domnio e senha VTP, sensveis a letras maisculas e minsculas. Passo 3 Os Passos 1 e 2 conflrmam que o VTP vai funcionar. O switch com menor nmero de reviso atualiza seu banco de dados de VLAN para combinar com outro switch. Por exemplo, o Exemplo 1-6 e a Figura 1-12 mostram que o link formado entre SW1 e SW3 no est formando um trunking. Se esse link tivesse de ser configurado para formar um trunk, SW1 e SW3 enviariam mensagens VTP um para o outro, utilizando o mesmo nome de domnio VTP e a mesma senha VTP. Portanto, um switch atualizaria seu banco de dados de VLAN para que ele combinasse com o outro. O Exemplo 1-6 mostra SW1 com o nmero de reviso 131 e SW3 com nmero de reviso 134; logo, SW1 vai sobrescrever seu banco de dados de VLAN para combinar com SW3, excluindo, assim, as VLANs 49 e 50. O Exemplo 1-7 retoma a histria ao final do Exemplo 1-6, mostrando o surgimento do trunk entre SW1 e SW3, permitindo a sincronizao do VTP e resultando em alteraes no banco de dados VLAN do SW1. Exemplo 1-7 Exemplo de resoluo de problemas de VTP
SW1#configure terminal Enter configuration commands, one per line. End with CNTL / Z. SWl (config) #interface giO/2 SW1(config- if)# switchport mode dynamic desirable

...;plco
'. Chave

....

38 Captulo 1: LANS Virtuais


SW1(config -if)# AZ SWl# 01:43:46: %SYS-5-CONFIG_I : Configured from cons ole by console 01:43:46 : %LINEPROTO-5-UPDOWN: Line protocol on Interfa ce GigabitEthernetO/2. chang ed state t o d own SW1#01 : 43 : 49 : %L I NEPROTO-5 - UPDOWN: Li n e pro t ocol on Interface GigabitEthernetO/2. changed state to u p SWl# show vlan brief VLAN

Name

Status

Ports

default

active

FaO/1. FaO/2 . FaO/3. FaO/4 FaO/5. FaO/6 . FaO/7 Fa O/8 Fa O/9. FaO/10 . FaO/13 FaO/14 FaO/15. FaO/16. FaO/1? FaO/18

FaO/19. FaO/20. FaO/2 1 . FaO/22 FaO/23. FaO/2 4 . GiO/1 3 4 5 20 1002 1003 1004 1005 VLANOO03 VLANOO04 VLANOO05 VLAN20 fddi-default trcrf-default fddinet-default trbrf- d efau lt active active active act ive act/unsup act/unsup act/unsup ac t /un s u p FaO/ll

Na vida real, voc tem vrias formas de ajudar a reduzir a chance de que tais problemas ocorram quando estiver instalando um novo switcb em um domnio VTP existente. Especificamente, antes de conectar um novo switch a um domnio VTP existente, defina o nmero de reviso do VTP do novo switch em O utilizando um dos seguintes mtodos: Configure o novo switch em modo VTP transparente e depois volte para o modo VTP cliente ou servidor.

Apague o arquivo vlan.dat em memria flash do novo switch e reinicialize o switch. Esse arquivo contm o banco de dados de VLAN do switch, incluindo o nmero de reviso.

Evitando problemas de VTP atravs das prticas ideais


Alm da sugesto de definir o nmero de reviso do banco de dados de VLAN antes de instalar um novo switch, existem algumas outras excelentes convenes de VTP, chamadas prticas ideais, que podem ajudar a evitar algumas das ciladas do VTP. Sejam elas: ..........
f Tpico
\ Ch.".

Se voc no pretende utilizar o VTP, configure cada switch para utilizar o modo transparente. Se estiver usando o modo VTP servidor ou cliente, sempre use uma senha VTP.

".

Desative o trunking com os comandos switchport mode access e switchport nonegotiate em todas as interfaces, exceto em trunks conhecidos, evitando ataques VTP e impedindo o estabelecimento dinmico de trunks. Ao evitar a negociao de trunking com a maioria das portas, o hacker nunca conseguir ver uma atualizao VTP a partir de um dos seus switches. Tendo definido uma senha VTP, mesmo que o backer consiga fazer com que o trunking funcione em um switch existente, ele teria de saber a senha para causar qualquer dano. E, ao utilizar o modo transparente, voc consegue evitar os tipos de problemas descritos anteriormente, na seo "Cuidados ao sair da configurao VTP padro".

Revise todos os tpicos-chave


Tabela 1-8 Tpicos-chave do Captulo 1 Elemento do tpico-chave Lista Descrio Figura 1-2 Figura 1-4 Cabealho 802.1 Q Tabela 1-2 Figura 1-6 Lista Tabela 1-3 Lista Lista Tabela 1-4 Tabela 1-5 Lista Tabela 1-6 Lista Lista Tabela 1-7 Lista Lista Lista

CCNA ICND2

39

Atividades de preparao para o exame

Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina. A Tabela 1-8 relaciona esses tpicos-chave e os nmeros das pginas nas quais cada um encontrado.

Nmero da pgina 8 9 11 11 13 14 17 18 18 22
24

Razes para usar VLANs

Diagrama de trunkings de VLANs

Comparaes entre 802.1 Q e ISL Conceitos do processo de sincronizao do VTP

Requisitos para o funcionamento doVTP entre dois switches

Resumo dos recursos do VTP Lista de verificao de configurao para configurar VLANs e atribuir interfaces Configurao VTP e VLAN padro

Opes do comando switchport mode Resultados de trunking esperados com base na configurao do comando switchport mode Quatro razes por que um trunk no transmite trfego para uma VLAN

25 27 27 28 31

Configurao e termos da Voice e Data VLAN Recomendaes sobre como proteger portas de switches no-utilizadas Lista de verificao da configurao do VTP

Comandos de configurao do VTP e VLAN e onde eles so armazenados

Processo de resoluo de problemas de VTP 33 utilizado quando o VTP no est funcionando atualmente 37 38

Prevendo o que acontecer com o VTP quando um novo switch se conectar a uma rede Prticas ideais de VTP para evitar problemas

40 Captulo 1: LANS Virtuais

Complete as tabelas e listas usando a memria


Imprima uma cpia do Apndice J, "Tabelas de memria", e complete as tabelas e listas usando a memria. O Apndice K, " Respostas das Tabelas de Memria, inclui tabelas e listas completadas para voc conferir o seu trabalho.

Definies de termos-chave
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: 802.1Q, ISL, trunk:, modo administrativo do trunking, modo operacional do trunking, VLAN, banco de dados de configurao da VLAN, vlan.dat, VTP, modo VTP cliente, VTP Pruning, modo VTP servidor, modo VTP transparente.

Referncia aos comandos para verificar sua memria


Embora voc no precise necessariamente memorizar as informaes contidas nas tabelas desta seo, ela inclui uma referncia para os comandos de configurao abordados neste captulo. Na prtica, voc deve memorizar os comandos como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de preparao para o exame. Para verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra o lado esquerdo da tabela com um pedao de papel, leia as descries do lado direito e veja se voc se lembra do comando.

Tabela 1-9 Referncia aos comandos de configurao do Captulo 1


Comando Descrio Comando de configurao global que cria a VLAN e coloca CU no Subcomando de VLAN que d nome VLAN Subcomando de VLAN que impede que um switch encaminhe o trfego Comando de configurao global que desativa administrativamente uma VLAN, evitando que o switch encaminhe frames naquela VLAN Comando de configurao global que defme o nome de domnio VTP Comando de configurao global que define a senha VTP Comando de configurao global que define o modo VTP Comando de configurao global que diz ao servidor VTP para dizer a todos os switches utilizarem VTP Pruning Subcomando de interface que configura o modo administrativo do trunking na interface

vlan vlan-id
modo de configurao de VLAN

name vlan-name shutdown


naquela VLAN

shutdown vlan vlan-id vtp domain domain-name vtp password password vtp {server I client I transparent} vtp pruning switchport mode {access I dynamic {auto I desirable} I trunk} switchport trunk allowed vlan {add I alI except I remove} vlan-list switchport access vlan vlan-id switchport trunk encapsulation {dotlq I isl I nego tia te}

Subcomando de interface que define a lista de VLANs permitidas Subcomando de interface que configura estaticamente a interface naquela VLAN especfica Subcomando de interface que define qual tipo de trunking usar, considerando que o trunking seja configurado ou negociado

'.

CCNA ICND2
show interfaces interface-id switchport show interfaces interface-id trunk show vlan [brief I id vlan-id
Relaciona informaes sobre qualquer interface com respeito s definies administrativas e o estado operacional

41

Relaciona informaes sobre todos os trunks em funcionamento (mas nenhuma outra interface), incluindo a lista de VLANs Relaciona informaes sobre a VLAN

I name vlanname I summary]


show vlan [vlan] show vtp status show vtp password
Exibe informaes sobre a VLAN Relaciona informaes sobre a configurao e o status do VTP Relaciona a senha do VTP

Este captulo aborda os seguintes assuntos:


Protocolo Spanning Tree (IEEE 802.1d): esta seo explica os conceitos principais por trs da operao dos protocolos STP originais do IEEE. Rapid STP (IEEE 802.1w): esta seo se concentra nas diferenas entre o padro 802.1d STP antigo e o novo padro 802.1 w RSTP. Configurao e verificao do STP: esta seo explica como configurar o STP em switches Cisco lOS e como verificar o status atual do STP em cada switch e interface. Resoluo de problemas de STP: esta seo sugere uma abordagem sobre como prever a funo da porta de cada interface STP, prevendo, assim, a topologia do spanning tree.

Questionrio "Eu j conheo isto?"


Seo dos tpicos fundamentais
Spanning Tree Protocol (IEEE 802.1d) Rapid STP ConfIgurao e verifIcao do STP Resoluo de problemas de STP convergncia? a.Bloqueio b. Encaminhamento (Forwarding) c. Escuta (Listening) d. Aprendizado (learning) e. Descarte

Protocolo Spanning Tree (Spanning Tree Protocol)

CAPTULO

Quando os designs das LANs requerem vrios switches, a maioria dos engenheiros de rede inclui segmentos Ethernet redundantes entre os switches. O objetivo simples. Os switches podem falhar, e os cabos podem estar cortados ou desligados, mas, se switches e cabos redundantes forem instalados, o servio de rede pode, ainda assim, permanecer disponvel para a maioria dos usurios.

LANs com links redundantes oferecem a possibilidade de os frames fazerem um loop em torno da rede indefinidamente. Essas frames em looping causariam problemas de desempenho na rede. Entretanto, LANs utilizam o STP (Spanning Tree Protocol, ou Protocolo Spanning Tree), que permite que os links redundantes da LAN sejam utilizados e impedem, ao mesmo tempo, que os frames faam um loop em torno da LAN, indefinidamente, atravs destes links redundantes. Este captulo aborda o STP, junto com alguns comandos de configurao utilizados para regular o comportamento do STP. Este captulo aborda os detalhes do STP, acrescidos de uma variao mais nova chamada RSTP (Rapid Spanning Tree Protocol, ou Protocolo Spanning Tree Rpido). O fInal do captulo aborda a confIgurao do STP em switches 2960 seriais, junto com algumas sugestes sobre como abordar problemas sobre STP em exames.

O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das dez questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A Tabela 2-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o material dessas sees. Isso ajudar voc a avaliar o seu conhecimento nessas reas especfficas. As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.

Tabela 1-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?" Questes
1-5
(IEEE 802.1 w) 6-7 8-9
10

1. Quais dos seguintes estados da porta 802.1d IEEE so estados estveis utilizados quando o STP completou uma

44 Captulo 2: Protocolo Spanning Tree


2. Quais dos seguintes estados da porta 802.1d IEEE so transitrios e utilizados somente durante o processo de convergncia do STP? a.Bloqueio b. Encaminhamento c. Escuta d. Aprendizado

e. Descarte
3. Qual dos seguintes bridge IDs seriam escolhidos como raiz, considerando que os switches que possuem esses bridge IDs estivessem na mesma rede? a.32768:02oo.1111.1111 b.32768:02oo.2222.2222 c.2oo:02oo.1111.1111 d.200:02oo.2222.2222
e. 40,000:0200.1111.1111

4. Qual dos fatos a seguir determina a freqncia em que uma bridge ou um switch no-raiz envia uma mensagem Hello BPDU 802.1d STP?
a. O timer (cronmetro/temporizador) Hello como configurado naquele switch. b. O timer Hello como configurado no switch raiz. c. Sempre a cada 2 segundos. d. O switch reage aos BPDUs recebidos do switch raiz enviando outro BPDU 2 segundos aps o recebimento da BPDU raiz.

5. Qual recurso STP faz com que uma interface seja colocada no Estado de Encaminhamento (Forwarding State) assim
que a interface se toma fisicamente ativa? a. STP b.RSTP c. Root Guard d.802.1w

e. PortFast
f. EtherChannel 6. Qual das respostas apresenta o nome do padro IEEE que melhora o padro STP original e diminui o tempo de convergncia? a. STP b. RSTP c. Root Guard d.802.1w

e. PortFast
f. Trunking

7. Quais dos seguintes estados da porta RSTP possuem o mesmo nome de um estado de porta semelhante no STP tradicional?

'.

CCNA ICND2
a.Bloqueio b. Encaminhamento c. Escuta d. Aprendizado e. Descarte f. Desativado 8. Em um switch 2960, quais dos seguintes comandos alteram o valor do bridge lO? a. spanning-tree bridge-id value b. spanning-tree vlan vlan-number root {primary c. spanning-tree vlan vlan-number priority value d. set spanning-tree priority value 9. Observe o seguinte trecho extrado do comando show spanning-tree de um switch Cisco: Bridge 10 Priority 32771 (priority 32768 sys-id-ext 3) Address 0019.e86a.6f80 Qual das respostas a seguir verdadeira com relao ao switch no qual este resultado foi exibido? a. A informao relativa instncia STP para VLAN 1. b. A informao relativa instncia STP para VLAN 3. c. O resultado do comando confirma que este switch no pode ser o switch raiz. d. O resultado do comando confirma que este switch atualmente o switch raiz.

45

I secondary}

10. O switch SW3 est recebendo somente dois Hello BPDUs, ambos provenientes do mesmo switch raiz, recebidos nas duas interfaces listadas a seguir: SW3#show interfaces status Port Name Status Vlan Duplex Speed Type FaO/13 connected 3 a-half a-lOO lO/lOOBaseTX GiO/1 connected 1 a-fuli a-lOOO 1000BaseTX SW3 no possui nenhum comando de configurao relacionado ao STP. O Helio recebido em FaO/13 apresenta custo 10, e o Hello recebido em GiO/1 apresenta custo 20. Qual das seguintes afirmativas verdadeira com relao ao STP em SW3? a. SW3 escolher FaO/13 como sua porta raiz. b. SW3 escolher GiO/1 como sua porta raiz. c. A FaO/13 de SW3 passar a ser uma porta designada. d. A GiO/1 de SW3 passar a ser uma porta designada.

Tpicos fundamentais
Sem o STP (Spanning Tree Protocol), uma LAN com links redundantes faria com que os frames Ethernet fizessem um loop por um perodo indefinido de tempo. Com o STP ativado, alguns switches bloqueiam as portas de forma que essas portas no encaminham frames. O STP escolhe quais portas bloquear para que exista somente uma passagem ativa entre qualquer par de segmentos da LAN (domnios de coliso). Em conseqncia disso, os frames podem ser entregues a cada dispositivo, sem causar os problemas criados quando os frames fazem loop atravs da rede.

46 Captulo 2: Protocolo Spanning Tree


Este captulo comea explicando a necessidade do padro IEEE original para o STP e corno esse padro funciona. A segunda seo explica comparativamente corno o novo e muito mais veloz RSTP (Rapid STP) funciona. As ltimas duas sees examinam a configurao e a resoluo de problemas de STP, respectivamente.

Protocolo Spanning Tree (IEEE 802.1 d)


o IEEE 802.1d, o primeiro padro pblico para o STP, definiu urna soluo razovel para o problema de frames que
fazem loops em tomo de links redundantes indefinidamente. As sees a seguir comeam com uma descrio mais detalhada do problema, seguida de uma descrio do resultado final de como o 802.1d STP resolve o problema. As sees terminam com uma descrio mais longa de como o STP funciona, como processo distribudo em todos os switches da LAN, para evitar loops.

A necessidade de Spanning Tree

o problema mais comum que pode ser evitado utilizando o STP so as tempestades de broadcasts. Estas fazem com que
os broadcasts (ou multicasts ou unicasts de destino desconhecido) faam loops em tomo de uma LAN indefinidamente. Em conseqncia disso, alguns links podem ficar saturados com cpias inteis do mesmo frame, excluindo frames bons, bem como impactando significativamente o desempenho do PC do usurio final, o que faz com que os PCs processem um nmero excessivo de frames de broadcasts. Para ver corno isso ocorre, a Figura 2-1 mostra um modelo de rede no qual Bob envia um frame de broadcast. As linhas tracejadas mostram como os switches encaminham o frame quando o STP no existe.

Figura 2-1 Tempestade de broadcasts


Larry

Switches distribuem broadcasts por todas as interfaces na mesma VLAN, exceto a interface na qual o frame chegou. Na figura, isso significa que SW3 vai encaminhar o frame de Bob para SW2; SW2 vai encaminhar o frame para SW1; SW1 vai encaminhar o frame de volta a SW3; e SW3 vai encaminh-lo de volta para SW2 novamente. Esse frame far loops at que algo mude - algum encerre uma interface, reinicialize um switch ou faa outra coisa para quebrar o loop. Observe tambm que o mesmo evento acontece no sentido oposto. Quando Bob envia o frame original, SW3 tambm encaminha urna cpia para SW1, SW1 a encaminha para SW2, e assim por diante. A instabilidade de tabelas MAC tambm ocorre como resultado dos frames em looping. Instabilidade de tabelas MAC significa que as tabelas de endereo MAC dos switches continuaro alterando as informaes apresentadas para o endereo MAC fonte do frame em looping. Por exemplo, SW3 comea a Figura 2-1 com urna entrada de tabela MAC, da seguinte forma:
0200.3333.3333 FaO/1 3 VLAN 1

Entretanto, pense agora no processo de aprendizado do switch que ocorre quando o frame em looping vai para SW2, depois para SW1, e depois volta interface GiO/1 de SW3. SW3 pensa da seguinte forma: hmmm... o endereo MAC fonte 0200.3333.3333, e chegou minha interface GiO/ l. Ento, atualize a minha tabela MAC!, resultando na seguinte entrada em SW3:
0200.3333.3333 GiO/l VLAN 1

CCNA ICND2

47

Neste ponto, se um frame chega a SW3 - um frame diferente do frame em looping que causa os problemas - destinado ao endereo MAC 0200.3333.3333 de Bob, SW3 encaminhar incorretamente o frame por GiO/l at SWl. Esse novo frame tambm pode fazer um loop, ou simplesmente nunca ser entregue a Bob. A terceira classe de problemas causados pela no-utilizao do STP em uma rede com redundncia que hosts de trabalho recebem vrias cpias do mesmo frame. Considere o caso em que Bob envia um frame para Larry, mas nenhum dos switches sabe o endereo MAC de Larry. (Switches distribuem frames enviados a endereos MAC unicast de destino desconhecido). Quando Bob envia o frame (destinado ao endereo MAC de Larry), SW3 envia uma cpia de SWl e SW2. SWl e SW2 tambm distribuem o frame, fazendo com que as cpias do frame faam um loop. SWl tambm envia uma cpia de cada frame atravs de FaO/ll at Larry. Em conseqncia disso, Larry recebe vrias cpias do frame, o que pode resultar em uma falha do aplicativo ou at mesmo problemas mais profundos de comunicao em rede. A Tabela 2-2 resume as trs classes principais de problemas que ocorrem quando o STP no utilizado em uma LAN com redundncia. /;~;;~o Tabela 2-2 Trs classes de problemas causados pela no-utilizao do STP em LANs redundantes
~. Chave

....

Problema Tempestades de broadcasts

Descrio Encaminhamento de um frame, repetidas vezes, nos mesmos links, consumindo partes significativas das capacidades dos links Atualizao contnua da tabela de endereos MAC de um switch com entradas incorretas, em reao aos frames em looping, resultando no envio dos frames aos locais errados Efeito colateral de frames em looping no qual vrias cpias de um frame so entregues ao host desejado, confundindo o host

Instabilidade de tabelas MAC

Transmisso mltipla de frames

A funo do IEEE 802.1d Spanning Tree


STP impede a ocorrncia de loops colocando cada porta da bridge ou do switch em Estado de Encaminhamento (Forwarding State) ou Estado de Bloqueio (Blocking State). As interfaces no Estado de Encaminhamento agem normalmente, encaminhando e recebendo frames, mas as interfaces no Estado de Bloqueio no processam nenhum frame, exceto mensagens STP. Todas as portas em Estado de Encaminhamento so consideradas no spanning tree atual. O conjunto de portas de encaminhamento cria uma nica passagem atravs da qual os frames so enviados entre segmentos Ethernet. A Figura 2-2 mostra uma rvore STP simples que resolve o problema mostrado na Figura 2-1 colocando uma porta de SW3 no Estado de Bloqueio.

Figura 2-2 Rede com links redundantes e STP

Bob

0200.3333.3333

48 Captulo 2: Protocolo Spanning Tree


Agora, quando Bob enviar um frame de broadcast, ele no far loop. Bob envia o frame para SW3 (Passo 1), que, em seguida, encaminha o frame somente para SW1 (passo 2), porque a interface GiO/2 de SW3 est em Estado de Bloqueio. SW1 distribui o frame atravs de FaO/lI e GiO/1 (passo 3). SW2 distribui o frame atravs de FaO/12 e GiO/1 (Passo 4). No entanto, SW3 ignora o frame recebido de SW2, novamente porque aquele frame entra na interface GiO/2 de SW3, que est em Estado de Bloqueio. Com a topologia STP mostrada na Figura 2-2, os switches simplesmente no utilizam um tink entre SW2 e SW3 para transmitir o trfego nesta VLAN; esse o menor efeito colateral negativo do STP. No entanto, se o tink entre SW1 e SW3 falhar, o STP converge de forma que SW3 encaminhe em sua interface GiO/2, em vez de bloquear.

Observao O termo convergncia do STP se refere ao processo atravs do qual os switches percebem, conjuntamente, que algo foi alterado na topologia da LAN. Com isso, os switches podero precisar alterar quais portas bloqueiam e quais portas encaminham.
Como o STP consegue fazer com que os switches bloqueiem ou encaminhem em cada interface? E como ele converge para alterar do estado de Bloqueio para o de Encaminhamento para tirar proveito de tinks redundantes em resposta a falhas na rede? As sees a seguir respondem a essas questes.

das interfaces que encaminham frames . A estrutura em rvore cria uma nica passagem de ida e de volta a cada segmento Ethemet, exatamente como voc traa uma nica passagem em uma rvore viva e em crescimento, indo desde a base da rvore at cada folha.

Como funciona o Spanning Tree o algoritmo do STP cria uma spanning tree (rvore aberta)

Observao Como as bridges Ethernet so raramente usadas hoje em dia, este captulo se refere somente a switches. Entretanto, tanto as bridges quanto os switches utilizam o STP.

o processo utilizado pelo STP, s vezes chamado de STA (Spanning Tree Algorithm, ou Algoritmo de Spanning Tree) ,
escolhe as interfaces que devem ser colocadas em Estado de Encaminhamento. Para qualquer interface que no tenha sido escolhida para ficar em Estado de Encaminhamento, o STA coloca a interface em Estado de Bloqueio. Em outras palavras, o STP simplesmente escolhe quais interfaces devem encaminhar. O STP utiliza trs critrios para escolher se deve colocar uma interface em Estado de Encaminhamento:
O STP escolhe um switch raiz e coloca todas as interfaces de trabalho no switch raiz em Estado de Encaminhamento.

Cada switch no-raiz considera que uma de suas portas tenha o menor custo administrativo entre ele e o switch raiz. O STP coloca essa interface de menor custo de raiz, chamada porta raiz (PR, ou RP (root port)) daquele switch, em Estado de Encaminhamento. Muitos switches podem se associar ao mesmo segmento Ethemet. O switch com menor custo administrativo entre ele e a bridge raiz, em comparao com os outros switches associados ao mesmo segmento, colocado em Estado de Encaminhamento. O switch de menor custo em cada segmento chamado de bridge designada, e a interface desta bridge, associada ao segmento, chamada de porta designada (pA, ou DP (designated port)).

Observao A verdadeira razo pela qual a raiz coloca todas as interfaces em Estado de Encaminhamento que todas as suas interfaces se tornaro PAs, mas mais fcil lembrar simplesmente que todas as interfaces de trabalho dos switches raiz encaminharo frames.
Todas as outras interfaces so colocadas em Estado de Bloqueio. A Tabela 2-3 resume as razes pelas quais o STP coloca uma porta em Estado de Encaminhamento ou de Bloqueio. .......... Tabela 2-3 STP: Razes para encaminhar ou bloquear

[ Tpico

Caracterizao da porta
Todas as portas do switch raiz

Estado do STP
Encaminhamento

Descrio

\ Chave

....

O switch raiz sempre o switch atribudo em todos os segmentos conectados

CCNA ICND2
Porta raiz de cada switch no-raiz Encaminhamento

49

Porta atravs da qual os switches tm o menor custo para alcanar o switch raiz

Porta designada de cada LAN

Encaminhamento.

o switch que encaminha o BPDU de menor custo para o segmento o switch atribudo quele segmento
A porta no usada para encaminhar frames, nem os frames so recebidas nessas interfaces consideradas para encaminhamento

Todas as outras portas de trabalho

Bloqueio.

Observao O STP s considera interfaces de trabalho. Interfaces defeituosas (por exemplo, interfaces sem nenhum cabo instalado) ou interfaces fechadas administrativamente so colocadas em Estado STP Desativado. Portanto, esta seo utiliza o termo portas de trabalho (working ports) para se referir a interfaces que poderiam encaminhar frames se o STP colocasse a interface em Estado de Encaminhamento.

Bridge ID STP e Helio BPDU

o STA (Spanning Tree Algorithm) comea com a escolha de um switch para ser o switch raiz. Para entender melhor esse processo de escolha, necessrio entender as mensagens STP enviadas entre switches bem como o conceito e formato do identificador utilizado para identificar exclusivamente cada switch.
O BID (Bridge ID) STP um valor de 8 bytes exclusivo de cada switch. O bridge ID consiste em um campo de prioridade de 2 bytes e um system ID de 6 bytes, com o system ID baseado em um endereo MAC gravado em cada switch. O uso de um endereo MAC gravado assegura que o bridge ID de cada switch seja exclusivo. O STP define mensagens chamadas bridge protocol data units (BPDU), que as bridges e os switches utilizam para trocar informaes uns com os outros. A mensagem mais comum, chamada Helio BPDU, apresenta o bridge ID do switch de envio. Ao apresentar o seu prprio bridge ID exclusivo, os switches podem perceber a diferena entre BPDUs enviadas por switches diferentes. Essa mensagem tambm apresenta o bridge ID do atual switch raiz. O STP define vrios tipos de mensagens BPDU, sendo a mensagem Helio BPDU a que faz a maior parte do trabalho. A Helio BPDU inclui vrios campos, mas o mais importante que ela contm os campos apresentados na Tabela 2-4.

Tabela 2-4 Campos da Hello BPDU STP Campo


Bridge ID raiz

..........
[ TpiCO

Descrio

\~ha"

O bridge ID da bridge ou do switch que o remetente deste Hello no momento acredita ser o switch raiz Bridge ID da bridge ou do switch que envia este Hello BPDU Custo STP entre este switch e a raiz atual Inclui o timer Hello, o timer MaxAge e o timer Forward Delay (Atraso de Encaminhamento)

Bridge ID do remetente Custo para alcanar a raiz Valores do timer no switch raiz

Por enquanto, mantenha os trs primeiros itens da Tabela 2-4 em mente, j que as sees seguintes trabalham com os trs passos ao discutir como o STP escolhe as interfaces a serem colocadas em Estado de Encaminhamento. Em seguida, o texto examina os trs passos principais do processo STP.

Escolhendo o switch raiz


Os switches escolhem um switch raiz com base nos bridge IDs das BPDUs. O switch raiz aquele que possui o menor valor para o bridge ID. Como o bridge ID, formado por duas partes, comea com o valor de prioridade, em essncia, o switch que possui a menor prioridade se torna a raiz. Por exemplo, se um switch tiver prioridade 100, e outro tiver prioridade 200, o switch com prioridade 100 ganha, independentemente de qual endereo MAC tenha sido usado para criar o bridge ID para cada bridge/switch .

50 Captulo 2: Protocolo Spanning Tree


Se ocorrer um empate com base na poro da prioridade referente ao bridge ID, o switch com a menor poro do endereo MAC no bridge ID a raiz. No dever ser necessria nenhuma outra forma de desempate porque os switches utilizam um dos seus prprios endereos MAC gravados como segunda parte dos seus bridge IDs. Portanto, se as prioridades empatarem, e um switch utilizar um endereo MAC 0020.0000.0000 como parte do bridge ID, e o outro utilizar OFFF.FFFF.FFF, o primeiro switch (MAC 0200.0000.0000) torna-se a raiz. O STP escolhe um switch raiz de forma nada diferente de uma eleio ou escolha poltica. O processo comea com todos os switches alegando ser a raiz atravs do envio de Reno BPDUs listando seu prprio bridge ID como bridge ID raiz. Se um switch escutar um Reno que apresente um bridge ID melhor (menor) - chamado de Reno Superior - este switch pra de se anunciar como raiz e comea a encaminhar o Reno Superior. O Reno enviado pelo switch melhor apresenta o bridge ID do switch melhor como raiz. Funciona como uma disputa poltica na qual um candidato menos popular desiste e sai da disputa, dando seu apoio a outro candidato. Finalmente, todos concordam com qual switch tem o melhor (menor) bridge ID, e todos apiam o switch escolhido (eleito) - e a termina a analogia com uma disputa poltica. A Figura 2-3 mostra o incio do processo de escolha da raiz. Neste caso, SW1 se anunciou como raiz, assim como SW2 e SW3. No entanto, SW2 agora acredita que SW1 seja uma raiz melhor; portanto, SW2 est agora encaminhando o Reno originado em SWl. Esse Reno encaminhado apresenta o BID de SW1 como BID raiz. Entretanto, neste ponto, SW1 e SW3 ainda acreditam que eles so os melhores e, portanto, continuam apresentando seu prprio BID como raiz em seus Reno BPDUs.

Figura 2-3 Incio do processo de escolha da raiz


Custo at Raiz: O Meu BIO: 32,769:0200.0001 .0001 BIO Raiz: 32,769:0200.0001 .0001

Custo at Raiz: O Meu BIO: 32,769:0200.0001 BIO Raiz: 32,769:0200.0001.0001

Custo at Raiz: 4 Meu BIO: 32,769:0200.0002.0002 BIO Raiz: 32,769:0200.0001.0001

Custo at Raiz: O Meu BIO: 32,769:0200.0003.0003 BIO Raiz: 32,769:0200.0003.0003

Custo at Raiz: O Meu BIO: 32,769:0200.0003.0003 BIO Raiz: 32,769:0200.0003.0003

Dois candidatos ainda existem na Figura 2-3: SW1 e SW3. Quem vence, ento? Bem, com base no bridge ID, o switch com a menor prioridade vence; se ocorrer um empate, o menor endereo MAC vence. Conforme mostrado na figura, SW1 possui o bridge ID menor (32769:0200.0000.0001) que SW3 (32769:0200.0003.0003); logo, SW1 vence e SW3 agora tambm acredita que SW1 seja o melhor switch. A Figura 2-4 mostra as mensagens Reno resultantes enviadas pelos switches. Depois de concluda a escolha, somente o switch raiz continua a originar mensagens Reno BPDU STP. Os outros switches recebem as Renos, atualizam o campo BID do remetente (e o campo custo-para-alcanar-a-raiz) e encaminham os Renos atravs de outras interfaces. A figura reflete esse fato, com SW1 enviando Renos no Passo 1, e SW2 e SW3 independentemente encaminhando a Reno atravs de suas outras interfaces no Passo 2.

CCNA ICND2
Figura 2-4 SWl vence a eleio
Custo at Raiz: O Meu BID: 32,769:0200.0001.0001 BID Raiz: 32,769:0200.0001.0001

51

Custo at Raiz: O Meu BID: 32,769:0200.0001 BID Raiz: 32,769:0200.0001 .0001

Custo at Raiz: 4 Meu BID: 32,769:0200.0002.0002 BID Raiz: 32,769:0200.0001.0001


Custo at Raiz: 5 Meu BID: 32,769:0200.0003.0003 BID Raiz: 32,769:0200.0001 .0001

Escolhendo a porta raiz de cada switch


A segunda parte do processo STP ocorre quando cada switch no-raiz escolhe sua nica porta raiz. A porta raiz (PR) de um switch sua interface atravs da qual ele tem o menor custo STP para alcanar o switch raiz. Para calcular o custo, um switch acrescenta o custo apresentado em um Helio recebido ao custo da porta STP designada quela mesma interface. O custo da porta STP simplesmente um valor de nmero inteiro atribudo a cada interface com a fInalidade de fornecer uma medida objetiva que permita que o STP escolha quais interfaces devem ser acrescentadas topologia do STP. A Figura 2-5 mostra um exemplo de como SW3 calcula o seu custo para alcanar a raiz atravs das duas passagens possveis acrescentando o custo anunciado (em mensagens Helio) aos custos da interface apresentados na fIgura.

Figura 2-5 SW3 calculando o custo para alcanar a raiz e escolher sua PR
.... .--

.- ... -------- -- --- ---.

Custo at Raizt: O' Meu BID: 32,769:0200.0001 .0001 BID Raiz: 32,769:0200.0001 .0001

0+4=4
~,

,~toatRa~
:' Meu BID: 32,769:0200.0001.0001 :' BI D Raiz: 32,769:0200.0001 .0001
"

...... ,
Meu BID: 32,769:0200.0002.0002 ': BID Raiz: 32,769:0200.0001.0001 :'

~
,, ,, ,
".

--- --- ---

--- ---

4+4=8
---~

4. ,

0+5=5

---

,, ,, ,

, ,,

, ,,

,, ,, ,,

: ,,

..

'

Como resultado do processo ilustrado na Figura 2-5, SW3 escolhe GiO/l como sua PR, porque o custo para alcanar o switch raiz atravs desta porta (5) menor que a outra alternativa (GiO/2, custo 8). Analogamente, SW2 escolher GiO/

52 Captulo 2: Protocolo Spanning Tree


2 como sua PR, com um custo igual a 4 (o custo O anunciado de SWl mais o custo 4 da interface GiO/2 de SW2). Cada switch coloca sua porta raiz em Estado de Encaminhamento. Em topologias mais complexas, a escolha da porta raiz no ser to bvia assim. A seo "Resolvendo problemas de STP", apresentada ainda neste captulo, mostra um exemplo em que a escolha da porta raiz requer um pouco mais de raciocnio.

Escolhendo a porta designada em cada segmento de LAN

o ltimo passo do STP para escolher a topologia STP escolher a porta designada em cada segmento de LAN. A porta
designada em cada segmento de LAN a porta do switch que anuncia o Helio de menor custo em um segmento de LAN. Quando um switch no-raiz encaminha um Helio, o switch no-raiz ajusta o campo do custo no Helio de acordo com o custo daquele switch para alcanar a raiz. Na verdade, o switch com menor custo para alcanar a raiz, entre todos os switches conectados ao segmento, torna-se a PD daquele segmento. Por exemplo, na Figura 2-4, tanto SW2 quanto SW3 encaminham mensagens Helio para aquele segmento. Observe que tanto SW2 quanto SW3 apresentam seu custo respectivo para alcanar o switch raiz (custo 4 em SW2 e custo 5 em SW3). Como resultado, a porta GiO/l de SW2 a porta designada naquele segmento LAN. Todas as PDs so colocadas em estado de encaminhamento. Neste caso, portanto, a interface GiO/l de SW2 ficar em estado de encaminhamento. Se os custos anunciados empatassem, os switches desempatariam escolhendo o switch que tivesse o menor bridge ID. Nesse caso, SW2 teria vencido, com um bridge ID igual a 32769:0200.0002.0002 em comparao com 32769:0200.0003.0003 de SW3.

Observao Um switch pode conectar duas ou mais interfaces ao mesmo domnio de coliso se forem utilizados hubs. Nesses casos, necessrio outro desempate: o switch escolhe a interface que possui o menor nmero interno.
A nica interface que no tem motivo para estar em Estado de Encaminhamento nos trs switches dos exemplos mostrados nas Figuras 2-3, 2-4 e 2-5 a porta GiO/2 de SW3. Portanto, o processo STP est agora concludo. A Tabela 2-5 mostra o estado de cada porta e por que ela est naquele estado.

Tabela 2-5 Estado de cada interface Interface do switch


SW1 , GiO/l SWl , GiO/2 SW2,GiO/2 SW2,GiO/l SW3,GiO/1 SW3,GiO/2

Estado
Encaminhamento Encaminhamento Encaminhamento Encaminhamento Encaminhamento Bloqueio

Razo pela qual a interface est em estado de encaminhamento


A interface est no switch raiz A interface est no switch raiz A porta raiz A porta designada a SW3 no segmento de LAN A porta raiz No a porta raiz nem a porta designada

Os custos das portas podem ser configurados ou voc pode utilizar os valores padro. A Tabela 2-6 apresenta os custos padro das portas definidos pelo IEEE; a Cisco usa estes mesmos padres. O IEEE revisou os valores de custo porque os valores originais, estabelecidos no incio da dcada de 1980, no previram que o Ethernet cresceria e se tornaria o Ethernet de lO-Gigabit.

.1

Tabela 2-6 Custos padro das portas de acordo com o IEEE Velocidade da Ethernet
lOMbps 100Mbps 1 Gbps 10 Gbps

CCNA ICND2

53
..........
t Tplco ;. Chave

Custo IEEE original


100

Custo IEEE revisado


100 19 4 2

....

10
1 1

Com o STP ativado, todas as interfaces de trabalho do switch entraro em Estado STP de Encaminhamento ou de Bloqueio, at mesmo as portas de acesso. Para as interfaces do switch conectadas a hosts e roteadores, que no utilizam STP, o switch continuar encaminhando Hellos para aquelas interfaces. Em virtude de ser o nico dispositivo que envia Hellos para aquele segmento de LAN, o switch est enviando o Hello de menor custo para aquele segmento de LAN, fazendo com que o switch se tome a porta designada naquele segmento de LAN. Portanto, o STP coloca as interfaces de acesso de trabalho em Estado de Encaminhamento em conseqncia da parte do processo STP relativo porta designada.

Reagindo a mudanas na rede


Depois que a topologia STP - o conjunto de interfaces em estado de encaminhamento - tiver sido determinada, esse conjunto de interfaces de encaminhamento no se altera, a no ser que a topologia da rede mude. Esta seo examina a operao contnua do STP enquanto a rede est estvel. Em seguida, examina como o STP converge para uma nova topologia quando algo muda. O switch raiz envia um novo Hello BPDU a cada 2 segundos, de acordo com o padro. Cada switch encaminha o Helio em todas as PAs, mas somente depois de alterar dois itens. O custo alterado para refletir o custo daquele switch para alcanar a raiz, e, alm disso, o campo do bridge ID do remetente tambm alterado. (O campo do bridge ID da raiz no alterado). Ao encaminhar os Helios recebidos (e alterados) atravs de todas as PAs, todos os switches continuam a receber Helios a cada 2 segundos aproximadamente. A lista a seguir resume a operao estvel quando, no momento, nada est sendo alterado na topologia STP: sta e ncarrn amento .

e um (;~~;~o 1. A raiz cria E envianh Hello) BPDU, com o custo 0, atravs de todas as suas interfaces de trabalho (aquelas em E d d
' Chave

.....

2. Os switches no-raiz recebem o Hello em suas portas raiz. Aps alterar o Heno para que ele apresente seus prprios bridge IDs como sendo o BID do remetente e listar o custo raiz daquele switch, o switch encaminha o Hello atravs de todas as portas designadas. 3. Os Passos 1 e 2 se repetem at que algo mude. Cada switch depende desses Helios peridicos recebidos da raiz como forma de saber que o seu caminho at a raiz ainda est funcionando. Quando um switch deixa de receber os Helios, significa que algo falhou, e o switch, portanto, reage e comea o processo de alterao da topologia da spanning tree. Por vrias razes, o processo de convergncia requer o uso de trs timers. Observe que todos os switches utilizam os timers conforme ditado pelo switch raiz, o qual a raiz apresenta em suas mensagens peridicas Helio BPDU. O timer e suas descries so apresentados na Tabela 2-7. .......

~~~~
Timer
Hello Max Age

~ ...
Descrio
Perodo de tempo entre Helios criados pela raiz Tempo que qualquer switch deve esperar, depois de parar de receber Henos, antes de tentar alterar a topologia STP Atraso que afeta o processo que ocorre quando uma interface muda do Estado de Bloqueio para o Estado de Encaminhamento.

Valor padro
2 seg

10 vezes o HelIo

Forward Delay

54 Captulo 2: Protocolo Spanning Tree


Uma porta fica em Estado intermedirio de Escuta (Listening) e, em seguida, em Estado intermedirio de Aprendizado (Learning), durante o nmero de segundos definido pelo timer forward delay

15 seg

Se um switch no recebe um Helio BPDU esperado dentro do tempo de HelIo, ele continua como normal. Entretanto, se os HelIos no aparecerem novamente dentro do tempo MaxAge, o switch reage dando passos para alterar a topologia STP. Neste ponto, o switch reavalia qual switch deve ser o switch raiz e, se ele no for a raiz, qual porta deve ser a sua PR (Porta Raiz) e quais portas devem ser PDs (portas Designadas), considerando que os HelIos que ele vinha recebendo antes pararam de chegar. A melhor forma de descrever a convergncia STP mostrar um exemplo utilizando a mesma topologia familiar. A Figura 2-6 mostra a mesma figura familiar, com a GiO/2 de SW3 em Estado de Bloqueio, mas a interface GiO/2 de SWl acaba de falhar.

Figura 2-6 Reagindo falha de links entre SW1 e SW3


Raiz SW1 Eu sou SW1 ________ ~ Custo = O

RP

Archie

Raiz SW1 Eu sou SW2 Custo = 4

,
~'

,,

Legenda: PR = Porta raiz PO= Porta designada

SW3 reage alterao porque SW3 falha em receber seus HelIos esperados em sua interface GiO/l . Entretanto, SW2 no precisa reagir porque SW2 continua a receber seus HelIos peridicos em sua interface GiO/2. Nesse caso, SW3 reage quando o tempo MaxAge passa sem receber os Henos, ou assim que SW3 percebe que a interface GiO/l falhou. (Se a interface falhar, o switch pode considerar que os HelIos no chegaro mais.) Agora que SW3 pode agir, ele comea reavaliando a escolha do switch raiz. SW3 ainda recebe o Hello de SW1, encaminhado por SW2, e SWl possui um bridge ID menor; do contrrio, SWl jamais teria sido a raiz. Portanto, SW3 decide que SWl continua sendo o melhor switch e que SW3 no a raiz. Em seguida, SW3 reavalia sua escolha de PR (Porta Raiz). Neste ponto, SW3 s est recebendo Hellos em uma interface, a interface GiO/2. Seja qual for o custo calculado, GiO/2 passar a ser a nova PR de SW3. (O custo seria 8: o custo 4 anunciado por SW2 mais o custo 4 da interface GiO/2.) SW3, ento, reavalia sua funo como PD (porta Designada) em qualquer outra interface. Neste exemplo, no necessrio fazer nenhum trabalho real. SW3 j foi uma PD na interface FaO/13 e continua sendo a PD porque nenhum outro switch se conecta quela porta. Quando STP converge, um switch faz a transio de interfaces de um estado para outro. Entretanto, uma transio de bloqueio para encaminhamento no pode ser feita imediatamente, pois uma alterao imediata para encaminhamento poderia temporariamente causar loops nos frames. Para evitar estes loops temporrios, o STP faz a transio de uma interface atravs de dois estados intermedirios, como mostrado a seguir:

CCNA ICND2

55

Escuta (Listening): assim como o estado de bloqueio, a interface no encaminha frames. O tempo das antigas
entradas da tabela MAC, hoje em dia incorretas, esgotado durante este estado, porque as antigas entradas incorretas da tabela MAC seriam a causa raiz dos loops temporrios.
/;:~;~o
\~h.ve

Aprendizado (Leraning): interfaces que estejam neste estado continuam no encaminhando frames,
mas o switch comea a aprender os endereos MAC de frames recebidos na interface. O STP passa uma interface do Estado de Bloqueio para o de Escuta, depois para o de Aprendizado e, em seguida, para o de Encaminhamento. Ele deixa a interface em cada estado intermedirio por um tempo igual ao timer forward delay. Em conseqncia disso, um evento de convergncia que faa com que uma interface mude de Bloqueio para Encaminhamento requer 30 segundos para fazer essa transio. Alm disso, um switch pode ter de esperar tantos MaxAge segundos para decidir alterar uma interface do estado de Bloqueio para o de Encaminhamento. Seguindo o mesmo exemplo mostrado nas vrias figuras anteriores, SW3 pode ter de esperar tantos MaxAge segundos para decidir que no est mais recebendo o mesmo BPDU raiz em sua porta raiz (o padro so 20 segundos) e, em seguida, esperar 15 segundos nos Estados de Escuta (Listening) e Aprendizado (Learning) na interface GiO/2, resultando em um atraso de convergncia de 50 segundos. A Tabela 2-8 resume os vrios estados de interface do Spanning Tree para facilitar a reviso.

Tabela 2-8 Estados do Spanning Tree IEEE 802.1d


Estado Encaminha frames de dados? Aprende MACs com base em frarnes recebidos? Estado transitrio ou estvel?

Bloqueio Escuta Aprendizado Encaminhamento Desativado

No No No Sim No

No No Sim Sim No

Estvel Transitrio Transitrio Estvel Estvel

Recursos STP opcionais


O STP j existe h mais de 20 anos. Os switches Cisco implementam o IEEE 802.1d STP padro, mas, durante os anos intermedirios, a Cisco acrescentou recursos patenteados para trazer melhorias ao STP. Em alguns casos, o IEEE acrescentou essas melhorias, ou algo parecido, aos padres IEEE mais recentes, seja como uma reviso do 802.1d padro ou como um padro adicional. As sees a seguir examinam trs dos acrscimos patenteados feitos ao STP: EtherChannel, PortFast e BPDU Guard.

Observao Se voc pretende trabalhar em uma rede LAN de campus, aconselhvel aprender mais sobre os recursos STP do que este livro aborda. Para isso, v ao guia de configurao do software Cisco, procure os switches 2960 e leia os captulos sobre STP, RSTP e recursos STP opcionais. A introduo deste livro apresenta informaes sobre como encontrar a documentao relativa Cisco.

EtherChannel
Uma das melhores formas de diminuir o tempo de convergncia do STP evitar a convergncia como um todo. O EtherChannel oferece uma forma de evitar que a convergncia do STP seja necessria quando ocorre a falha somente de uma nica porta ou cabo.

o EtherChannel combina vrios segmentos paralelos de velocidade igual (at oito) entre o mesmo par de switches, embutido
em um EtherChannel. Os switches tratam o EtherChannel como uma nica interface com relao ao processo de encaminhamento de frames bem como para o STP. Por conseguinte, se um dos links falhar, mas pelo menos um dos links estiver funcionando, a convergncia do STP no tem necessariamente que ocorrer. Por exemplo, a Figura 2-7 mostra a rede familiar composta de trs switches, mas agora com duas conexes Gigabit Ethemet entre cada par de switches .

56 Captulo 2: Protocolo Spanning Tree


Figura 2-7 EtherChannels de dois segmentos entre switches

Com cada par de links Ethernet configurado como um EtherChannel, o STP trata cada EtherChannel como um nico link. Em outras palavras, para que um switch precise causar convergncia do STP tem de haver a falha dos dois links que levam ao mesmo switch. Sem o EtherChannel, se voc tiver vrios links paralelos entre dois switches, o STP bloqueia todos os links exceto um. Com o EtherChannel, todos os links paralelos podem estar funcionando perfeitamente ao mesmo tempo e reduzir o nmero de vezes que o STP deve convergir, o que, por sua vez, toma a rede mais disponvel. O EtherChannel tambm fornece uma maior largura de banda de rede. Todos os trunks em um EtherChannel esto encaminhando ou bloqueando, porque o STP trata todos os trunks de um mesmo EtherChannel como um nico trunk. Quando um EtherChannel est em Estado de Encaminhamento, os switches balanceiam a carga de trfego atravs de todos os trunks, oferecendo uma maior largura de banda.

PortFast
O PortFast permite que um switch imediatamente coloque uma porta em Estado de Encaminhamento quando a porta se toma fisicamente ativa, ignorando qualquer opo de topologia do STP e no passando pelos estados de Escuta e Aprendizado. Entretanto, as nicas portas em que voc pode ativar o PortFast com segurana so as portas em que voc sabe que no h nenhuma bridge, switch ou outro dispositivo STP conectado. O PortFast mais adequado para conexes com dispositivos do usurio final. Se voc acionar o PortFast em portas conectadas a dispositivos do usurio final, quando o PC do usurio final inicializar, to logo a NIC do PC esteja ativa, a porta do switch pode passar para o Estado STP de Encaminhamento e encaminhar trfego. Sem o PortFast, cada porta deve esperar enquanto o switch confirma se a porta uma PD (Porta Designada) e esperar enquanto a interface permanece nos Estados temporrios de Escuta e Aprendizado at entrar no Estado de Encaminhamento.

Segurana do STP
Interfaces de switches que se conectam com dispositivos locais do usurio final na LAN ficam expostas em termos de segurana. Um hacker poderia conectar um switch a uma dessas portas, com um baixo valor de prioridade STP, e se tornar o switch raiz. Alm disso, ao conectar o switch do hacker a vrios switches legtimos, o switch do hacker pode acabar enviando uma grande quantidade de trfego na LAN, e o hacker poderia usar um analisador de LAN para copiar grandes quantidades de frames de dados enviados atravs da LAN. Alm disso, os usurios poderiam inocentemente danificar a LAN. Por exemplo, um usurio poderia comprar e conectar um switch barato a um switch existente, possivelmente criando um loop ou fazendo com que o novo switcb, com potncia relativamente baixa, se tornasse a raiz. O recurso BPDU Guard da Cisco ajuda a combater esses tipos de problemas desativando a porta, caso BPDUs sejam recebidos naquela porta. Portanto, esse recurso especialmente til em portas que devam ser usadas somente como porta de acesso e nunca conectadas a outro switch. Alm disso, o recurso BPDU Guard , muitas vezes, usado na

CCNA ICND2

57

mesma interface que tem o PortFast ativado, j que uma porta com o PortFast ativada j estar em Estado de Encaminhamento, o que aumenta a possibilidade de encaminhar loops. O recurso Root Guard da Cisco ajuda a combater o problema quando o novo switch "malcriado" tenta se tomar o switch raiz. O recurso Root Guard permite que outro switch seja conectado interface e participa do STP enviando e recebendo BPDUs. Entretanto, quando a interface do switch, que possui o Root Guard ativado, recebe um BPDU superior ao switch vizinho - um BPDU que tenha um bridge ID menor/melhor -, o switch com o Root Guard reage. No s o switch ignora o BPDU superior mas tambm desativa a interface, no enviando nem recebendo frames, desde que os BPDUs superiores continuem chegando. Se os BPDUs superiores pararem de chegar, o switch pode comear a utilizar a interface novamente.

Rapid STP (IEEE 802.1w)


Conforme mencionado anteriormente neste captulo, o IEEE define o STP no padro IEEE 802.1d. O IEEE aperfeioou o protocolo 802.1d com a definio do RSTP (Rapid Spanning Tree Protocol), conforme definido no padro IEEE 802.1 w. O RSTP (802.1w) funciona exatamente como o STP (802.1d) em vrios aspectos:

! ....
'~h.'"
. . -plco

Ele escolhe o switch raiz utilizando os mesmos parmetros de desempate . Ele escolhe a porta raiz em switches no-raiz utilizando as mesmas regras.

Ele escolhe as portas designadas em cada segmento de LAN utilizando as mesmas regras. Ele coloca cada porta em Estado de Encaminhamento ou de Bloqueio, embora o RSTP chame o Estado de Bloqueio de Estado de Descarte. O RSTP pode ser empregado junto com os switches 802.1d STP tradicionais, com os recursos RSTP funcionando em switches que o aceitam e com os recursos 802.1d STP tradicionais funcionando nos switches que aceitam somente STP. Com todas essas semelhanas, possvel.que voc esteja se perguntando por que o IEEE quis criar o RSTP. O motivo a convergncia. O STP leva um tempo relativamente longo para convergir (50 segundos de acordo com as definies padro). O RSTP melhora a convergncia da rede quando ocorrem alteraes na topologia. O RSTP melhora a convergncia eliminando ou significativamente reduzindo os perodos de espera necessrios para que o 802.1d STP impea loops durante a convergncia. O 802.1d STP requer um perodo de espera de tantos MaxAge segundos (20 segundos, de acordo com o padro) para reagir a alguns eventos, enquanto o RSTP tem de esperar somente 3*Hello (6 segundos, de acordo com padro). Alm disso, o RSTP elimina o tempo de forward delay (15 segundos, de acordo com o padro) nos estados de Escuta e Aprendizado. A convergncia tradicional do STP possui, em essncia, trs perodos de tempo, cada qual melhorado pelo RSTP. Esses trs perodos de espera de 20, 15 e 15 segundos (padro) criam a convergncia relativamente baixa do 802.1d STP, e a reduo ou eliminao desses perodos de espera faz com que a convergncia do RSTP ocorra rapidamente. Os tempos de convergncia do RSTP so normalmente menores que 10 segundos. Em alguns casos, podem chegar a 1 ou 2 segundos. As sees a seguir explicam a terminologia e os processos utilizados pelo RSTP para superar as deficincias do 802.1d STP e melhorar o tempo de convergncia.

Observao Como a maioria dos textos, quando for preciso distinguir entre os padres 802.1d antigo e o 802.1 w mais recente, o STP se refere ao 802.1d e o RSTP se refere ao 802.1w.

Tipos de links e edges RSTP


O RSTP caracteriza os tipos de conectividade fsica em uma LAN de campus em trs tipos diferentes: Tipo link ponto-a-ponto Tipo link compartilhado TipoEdge

A Figura 2-8 mostra cada tipo.

58 Captulo 2: Protocolo Spanning Tree


Figura 2-8 Tipos links e edges RSTP

Tipo Edge Compartilhado - - -

Tipo Link Compartilhado - - -

_ - - - Tipo Edge

Tipo Edge pt-pt

-i' -i'
Hub Hub

A Figura 2-8 mostra dois modelos de rede. A rede da esquerda um projeto de rede de campus tpico de hoje em dia, sem nenhum hub. Todos os switches se conectam com cabos Ethernet, e todos os dispositivos do usurio final tambm se conectam com cabos Ethernet. O IEEE definiu o RSTP para melhorar a convergncia desses tipos de rede. Na rede do lado direito da figura, os hubs ainda esto em uso para conexes entre os switches, bem como para conexes com dispositivos do usurio final. A maioria das redes no utiliza hubs mais. O IEEE no tentou fazer com que o RSTP funcionasse em redes que utilizem hubs compartilhados e, por isso, o RSTP no melhoraria a convergncia na rede da direita. O RSTP chama de links as conexes Ethemet entre switches e de edges as conexes Ethernet com os dispositivos do usurio final. Existem dois tipos de links: ponto-a-ponto, conforme mostrado no lado esquerdo da Figura 2-8, e compartilhado, conforme mostrado no lado direito. O RSTP no distingue entre os tipos ponto-a-ponto e compartilhado para conexes de edges. O RSTP reduz o tempo de convergncia para conexes do tipo link ponto-a-ponto e do tipo edge. Ele no melhora a convergncia em conexes do tipo link compartilhado. Entretanto, a maioria das redes modernas no utiliza hubs entre switches; portanto, a ausncia das melhorias causadas pela convergncia RSTP para o tipo link compartilhado, na verdade, no faz diferena.

Estados das portas RSTP


preciso tambm que voc se familiarize com os novos termos do RSTP para descrever o estado de uma porta. A Tabela 2-9 apresenta os estados, com algumas explicaes logo aps a tabela. /;~~;~o ~ Chave Tabela 2-9 Estados das portas RSTP e STP ....

Estado operacional
Ativado Ativado Ativado Ativado Desativado

Estado STP (802.1d)


Bloqueio Escuta Aprendizado Encaminhamento Desativado

Estado RSTP (802.1w) Encaminha OS f'rame)


de dados neste estado?

Descarte Descarte Aprendizado Encaminhamento Descarte

No No No Sim No

Semelhante ao STP, o RSTP estabiliza com todas as portas em Estado de Encaminhamento ou de Descarte. Descarte significa que a porta no encaminha frames, no processa frames recebidos nem aprende endereos MAC, mas escuta

CCNA ICND2

59

BPDUs. Em resumo, ele age exatamente como o Estado STP de Bloqueio. O RSTP utiliza um Estado intermedirio de Aprendizado quando altera uma interface do Estado de Descarte para o Estado de Encaminhamento. Entretanto, o RSTP precisa utilizar o Estado de Aprendizado somente por um pequeno perodo de tempo.

Funes das portas RSTP


Tanto o STP (802.1d) quanto o RSTP (802.1 w) utilizam os conceitos de estados de portas e funes de portas. O processo STP determina a funo de cada interface. Por exemplo, o STP determina quais interfaces esto atualmente na funo de porta raiz ou porta designada. Em seguida, o STP determina o estado da porta estvel para utilizar em interfaces para determinadas funes: o Estado de Encaminhamento para portas com as funes de PR e PD, e o Estado de Bloqueio para portas com outras funes. O RSTP acrescenta mais trs funes de portas, duas das quais so mostradas na Figura 2-9. (A terceira nova funo, a funo desativada, no mostrada na figura; ela se refere simplesmente a interfaces fechadas.)

Figura 29 Funes das portas RSTP

A funo alternativa (alternate) das portas RSTP identifica a melhor alternativa de um switch para sua PR atual. Em resumo, a funo de porta alternativa uma PR alternativa. Por exemplo, SW3 apresenta GiO/1 como sua PR, mas SW3 tambm sabe que est recebendo Helio BPDUs na interface GiO/2. O switch SW3 possui uma porta raiz, exatamente como aconteceria com STP. (Veja a Figura 2-4 como referncia ao fluxo estvel de BPDUs). O RSTP designa portas que recebem BPDUs subtimas (BPDUs que no so to "boas" como as recebidas na porta raiz) como portas alternativas. Se o switch SW3 parar de receber Helios da bridge raiz, o RSTP em SW3 escolhe a melhor porta alternativa como sua nova porta raiz para comear o processo de convergncia mais veloz.
O outro novo tipo de porta RSTP, a porta backup, se aplica somente quando um nico switch possui dois links com o mesmo segmento (domnio de coliso). Para ter dois links com o mesmo domnio de coliso, o switch deve estar ligado a um hub, conforme mostrado na Figura 2-9 em SW2. Na figura, o switch SW2 coloca uma das duas portas na funo de porta designada (e finalmente em Estado de Encaminhamento) e a outra interface na funo backup (e finalmente em Estado de Descarte). SW2 encaminha BPDUs atravs da porta em Estado de Encaminhamento e recebe a mesma BPDU de volta na porta que est em Estado de Descarte. Portanto, SW2 sabe que tem uma conexo extra com aquele segmento, chamada de porta backup. Se a porta PD em Estado de Encaminhamento falhar, SW2 pode rapidamente passar aquela porta backup do Estado de Descarte para o Estado de Aprendizado e, depois, para o Estado de Encaminhamento.

A Tabela 2-10 apresenta os termos usados para as funes das portas para o STP e o RSTP.

60 Captulo 2: Protocolo Spanning Tree


Tabela 2-10 Funes das portas RSTP e STP
..........
f Tpico
\ Chave

Funo RSTP
Porta raiz

Funo STP
Porta raiz

Definio

....

nica porta em cada switch no-raiz na qual o switch recebe o melhor BPDU entre todos os BPDUs recebidos De todas as portas do switch em todos os switches ligados ao mesmo segmento/domnio de coliso, a porta que anuncia o "melhor" BPDU Porta de um switch que recebe um BPDU subtimo Porta no-designada de um switch que est ligado ao mesmo segmento/domnio de coliso com outra porta do mesmo switch Porta que est administrativamente desativada ou no capaz de funcionar por outros motivos

Porta designada

Porta designada

Porta alternativa Porta backup

Desativado

Convergncia do RSTP
Esta seo sobre RSTP comeou mostrando a voc a semelhana entre o RSTP e do STP: como ambos escolhem uma raiz utilizando as mesmas regras, escolhem portas designadas utilizando as mesmas regras, e assim por diante. Se o RSTP fizesse apenas as mesmas coisas que o STP, no haveria necessidade de atualizar o 802.1d STP padro original com o novo padro 802.1 w RSTP. O principal motivo para o novo padro melhorar o tempo de convergncia. O STA (Spanning Tree Algorithm) do RSTP funciona de forma um pouco diferente do seu predecessor mais antigo. Por exemplo, em condies estveis, cada switch gera independentemente e envia Helio BPDUs, em vez de somente alterar e encaminhar os Hellos recebidos pelo switch raiz. Entretanto, em condies estveis, os resultados fmais so os mesmos: um switch que continue a receber os mesmos Hellos, com o mesmo custo e mesmo BID do switch raiz listados, deixa a topologia do STP como est. As principais alteraes na verso do STA do RSTP acontecem quando ocorrem mudanas na rede. O RSTP age de forma diferente em algumas interfaces com base na caracterizao RSTP da interface e com base no que est conectado interface.

Comportamento do tipo edge e PortFast


O RSTP melhora a convergncia para conexes do tipo edge colocando a porta imediatamente em Estado de Encaminhamento quando o link est fisicamente ativo. Na verdade, o RSTP trata essas portas exatamente como o recurso PortFast patenteado pela Cisco. De fato, em switches Cisco, para ativar o RSTP em interfaces edge, basta configurar o PortFast.

Tipo link compartilhado


Em links do tipo link compartilhado, o RSTP no faz nada diferente do STP. Entretanto, como a maioria dos links entre switches de hoje em dia no compartilhado, mas so normalmente links full-duplex ponto-a-ponto, isso pouco importa.

Tipo link ponto-a-ponto


O RSTP melhora a convergncia em links fuli-duplex entre switches -links que o RSTP chama de "tipo de link ponto-aponto". A primeira melhoria feita pelo RSTP nesses tipos de links est relacionada a como o STP utiliza o MaxAge. O STP requer que um switch que no mais recebe BPDUs raiz em sua porta raiz espere por um determinado nmero de MaxAge segundos para iniciar a convergncia. O MaxAge utiliza 20 segundos como padro. O RSTP reconhece a perda do caminho at a bridge raiz, atravs da porta raiz, em 3 vezes o timer de Helio, ou 6 segundos, com um valor de timer de Helio padro de 2 segundos. Portanto, o RSTP reconhece um caminho perdido at a raiz com muito mais rapidez.

CCNA ICND2

61

RSTP elimina a necessidade do Estado de Escuta (Listening) e reduz o tempo necessrio do Estado de Aprendizado (Learning) descobrindo ativamente o novo estado da rede. O STP espera passivamente por novas BPDUs e reage a elas durante os Estados de Escuta e Aprendizado. Com o RSTP, os switches negociam com switches vizinhos enviando mensagens RSTP. As mensagens ativam os switches para rapidamente determinar se uma interface pode ser imediatamente mudada para o Estado de Encaminhamento. Em muitos casos, o processo demora apenas 1 ou 2 segundos para todo o domnio RSTP.

Exemplo de convergncia RSTP veloz


Em vez de explicar todos os detalhes da convergncia do RSTP, um exemplo pode lhe dar bastante conhecimento sobre o processo. A Figura 2-10 mostra uma rede que explica a convergncia do RSTP.

Figura 2-10 Exemplo de convergncia RSTP: Passos 1 e 2


Passo 1
Raiz

Passo 2
Raiz

Melhor] BPDU
Raiz

BPDU

Raiz antiga, j no to boa

A Figura 2-10 esquematiza o problema. Na esquerda, no Passo 1, a rede no apresenta nenhuma redundncia. O RSTP colocou todos os links do tipo link ponto-a-ponto em Estado de Encaminhamento. Para acrescentar redundncia, o engenheiro de rede acrescenta outro link do tipo link ponto-a-ponto entre SW1 e SW4, conforme mostrado do lado direito no Passo 2. Portanto, a convergncia RSTP precisa ocorrer. O primeiro passo da convergncia ocorre quando SW4 percebe que est recebendo um BPDU melhor que o que entrou vindo de SW3. Como tanto o BPDU raiz antigo quanto o novo BPDU raiz anunciam o mesmo switch, ou seja, SW1, o novo e "melhor" BPDU que chega pelo link direto de SW1 deve ser melhor por causa do custo mais baixo. Independentemente da razo, SW4 precisa passar para o Estado de Encaminhamento no novo link com SW1, pois este agora a porta raiz de SW4. Neste ponto, o comportamento do RSTP diverge do STP. O RSTP em SW4 agora bloqueia temporariamente todas as outras portas do tipo link. Ao fazer isso, SW4 impede a possibilidade de introduzir loops. Em seguida, SW4 negocia com seu vizinho a nova porta raiz, SW1, utilizando mensagens RSTP de propostas e de acordos. Em conseqncia disso, SW4 e SW1 concordam que podem imediatamente colocar suas respectivas extremidades do novo link em Estado de Encaminhamento. A Figura 2-11 mostra esse terceiro passo. Por que SW1 e SW4 podem colocar suas extremidades do novo link em Estado de Encaminhamento sem provocar um loop? Porque SW4 bloqueia todas as outras portas do tipo link. Em outras palavras, ele bloqueia todas as outras portas conectadas a outros switches. Esta a chave para entender a convergncia do RSTP. Um switch sabe que precisa mudar para uma nova porta raiz. Ele bloqueia todos os outros links e, em seguida, negocia para trazer a nova porta para o Estado de Encaminhamento. Em essncia, SW4 diz a SW1 para confiar nele e comear a encaminhar, porque SW4 promete bloquear todas as outras portas at ter certeza de que pode voltar com algumas delas para o Estado de Encaminhamento.

62 Captulo 2: Protocolo Spanning Tree


Figura 2-11 Exemplo de convergncia do RSTP: Passos 3 e 4

Negociaes

:::::::s

Passo 3
Raiz

Passo 4

~Raiz

em Estado de Encaminhamento Imediato

.-............""
Bloqueando Apresenta loops enquanto est negociando bloqueando

BPDU Raiz antiga, j no to boa

...... .. r
--.

BPDU Raiz melhor

Entretanto, o processo ainda no est completo. A topologia RSTP atualmente mostra SW4 bloqueando, o que, neste exemplo, no a melhor topologia nem a topologia fInal. SW4 e SW3 repetem o mesmo processo que SW1 e SW4 acabaram de executar. No Passo 4, SW4 ainda bloqueia, impedindo loops. No entanto, SW4 encaminha o novo BPDU raiz para SW3 e, portanto, SW3 agora recebe dois BPDUs. Neste exemplo, considere que SW3 pensa que o BPDU vindo de SW4 melhor que o recebido de SW2; isso faz com que SW3 repita o mesmo processo que SW4 acabou de executar. A partir deste ponto, adotado o seguinte fluxo geral:

1. SW3 decide mudar sua porta raiz com base neste novo BPDU de SW4.
2. SW3 bloqueia todas as outras portas do tipo link. (O RSTP chama esse processo de sincronizao.) 3. SW3 e SW4 negociam. 4. Como resultado da negociao, SW4 e SW3 podem passar para encaminhamento em suas interfaces em qualquer extremidade do tipo link ponto-a-ponto. 5. SW3 mantm o Estado de Bloqueio em todas as outras portas do tipo link at o prximo passo da lgica. A Figura 2-12 mostra alguns desses passos na parte do Passo 5, esquerda, e o comportamento resultante no Passo 6, direita.

Figura 2-12 Exemplo de convergncia do RSTP: Passos 5 e 6


Passo 5
Raiz

Passo 6
BPDU antigo melhor que odeSW3

~
Bloqueando Apresenta loops
~

1
r

Nao!ao bom quanto o BPDU deSW1

~~~;;i enquanto est


negociando

SW3 continua bloqueando sua interface superior neste ponto. Observe que SW2 est agora recebendo dois BPDUs, o mesmo antigo BPDU que ele vinha recebendo ainda o melhor BPDU. Portanto, SW2 no toma nenhuma ao e o RSTP, ento, termina a convergncia!

Configurao e verificao do STP

CCNA ICND2

63

Embora tenham sido usadas vrias pginas para explicar, o processo neste exemplo pode levar apenas I segundo para ser concludo. Para os exames CCNA, necessrio saber os termos relacionados ao RSTP, bem como o conceito de que o RSTP melhora o tempo de convergncia em comparao com o STP.

Os switches Cisco utilizam (IEEE 802.ld) STP, como padro. possvel comprar alguns switches e conect-los com cabos Ethernet em uma topologia redundante e o STP assegurar que no exista nenhum loop. E voc nunca mais ter de pensar em alterar qualquer deftnio!

Embora o STP funcione sem nenhuma conftgurao, voc deve entender como o STP funciona, entender como interpretar comandos show referentes ao STP e saber como ajustar o STP atravs da confIgurao de vrios parmetros. Por exemplo, de acordo com o padro, todos os switches utilizam a mesma prioridade; portanto, o switch com o endereo MAC gravado mais baixo se torna a raiz. Por outro lado, um switch pode ser confIgurado com uma prioridade mais baixa, de forma que o engenheiro sempre saiba qual switch a raiz, considerando que aquele switch esteja funcionando perfeitamente. As sees a seguir comeam discutindo vrias opes para equilibrar a carga de trfego utilizando vrias instncias do STP, seguido de uma pequena descrio de como confIgurar o STP para tirar maior proveito dessas mltiplas instncias do STP. O restante dessas sees mostra vrios exemplos de confIgurao tanto para o STP quanto para o RSTP.

Mltiplas instncias do STP


Quando o IEEE padronizou o STP, as VLANs ainda no existiam. Quando as VLANs foram padronizadas mais tarde, o IEEE no deftniu nenhum padro que permitisse mais de uma instncia do STP, mesmo com mltiplas VLANs. Naquela poca, se um switch s seguisse os padres IEEE, ele aplicava uma instncia do STP a todas as VLANs. Em outras palavras, se uma interface estivesse caminhando, ela assim o fazia para todas as VLANs, e se ela bloqueasse tambm o fazia para todas as VLANs. De acordo com o padro, os switches Cisco utilizam o IEEE 802.ld, e no o (802.1 w) RSTP, com um recurso patenteado pela Cisco chamado Per-VLAN Spanning Tree Plus (PVST +) . O PVST+ (hoje em dia muitas vezes abreviado simplesmente como PVST) cria uma instncia diferente do STP para cada VLAN. Portanto, antes de olhar os parmetros ajustveis do STP, necessrio ter um conhecimento bsico do PVST+, pois as deftnies de conftgurao podem diferir para cada instncia do STP. O PVST+ d aos engenheiros uma ferramenta de balanceamento de carga. Ao alterar alguns parmetros de confIgurao do STP em VLANs diferentes, o engenheiro poderia fazer com que os switches escolhessem PRs e PDs diferentes em VLANs diferentes. Conseqentemente, parte do trfego em algumas VLANs pode ser encaminhado atravs de um trunk e o trfego de outras VLANs pode ser encaminhado atravs de um trunk diferente. A Figura 2-13 mostra a idia bsica, com SW3 encaminhando o trfego VLAN de nmero mpar atravs do trunk esquerdo (GiO/I) e as VLANs de nmero par atravs do trunk da direita (GiO/2).

Figura 2-13 Equilbrio de carga com o PVST+


GiOI2 iO /1

(;~~;~o
:' Cha".

....

Archie

",/.'...Trfego de Trfego de

VLANs
rm pares

VLANs
pares

64 Captulo 2: Protocolo Spanning Tree


Mais tarde, quando o IEEE introduziu o 802.1 W RSTP, ele ainda no tinha um padro para utilizar mltiplas instncias do STP. Portanto, a Cisco implementou outra soluo patenteada para dar suporte a uma VLAN por cada spanning tree do RSTP. A essa opo a Cisco chamou de RPVST (Rapid Per-VLAN Spanning Tree) e PVRST (Per-VLAN Rapid Spanning Tree). Independentemente dos acrnimos, a idia exatamente igual ao PVST+, mas conforme aplicada ao RSTP: uma instncia do RSTP para controlar cada VLAN. Portanto, voc no s obtm uma convergncia rpida mas tambm pode balancear a carga, conforme mostrado na Figura 2-13. Mais tarde, o IEEE criou uma opo padronizada para mltiplas spanning trees. O padro IEEE (802.1s) , muitas vezes, chamado de MST (Multiple Spanning Tree) ou MIST (Multiple Instances of Spanning Trees). O MIST permite a definio de mltiplas instncias do RSTP, com cada VLAN sendo associada a uma instncia em particular. Por exemplo, para alcanar o efeito de balanceamento de carga na Figura 2-13, o MIST criaria duas instncias do RSTP: uma para as VLANs de nmero mpar e uma para as de nmero par. Se existissem 100 VLANs, os switches ainda assim precisariam de apenas duas instncias do RSTP, em vez das 100 instncias utilizadas pelo PVRST. Entretanto, o MIST requer mais configurao em cada switch, principalmente para definir as instncias do RSTP e associar cada VLAN com uma instncia do STP. A Tabela 2-11 resume essas trs opes para mltiplas spanning trees.

Tabela 2-11 Comparao entre trs opes para mltiplas spanning trees Opo
PVST+ PVRST MIST

!;~;;~o
\ Ch.ve
0'0

Aceita STP
Sim No No

Aceita RSTP Dificuldade de configurao Apenas uma instncia necessria para cada caminho redundante
No pequena pequena mdia No No Sim

Sim Sim

Opes de configurao que influenciam a topologia do Spanning Tree


Independentemente de usar o PVST+, o PVRST ou o MIST, duas opes principais de configurao podem ser utilizadas para obter o tipo de efeito para balanceamento de carga descrito na Figura 2-13: o bridge ID e o custo da porta. Essas opes tm impacto sobre a topologia "per-VLAN" (por VLAN) do STP da seguinte forma: Os bridge IDs influenciam a escolha do switch raiz e, para switches no-raiz, influenciam a escolha da porta raiz. O custo "per-VLAN" do STP para cada interface alcanar a raiz, que influencia a escolha da porta designada em cada segmento de LAN. As sees a seguir destacam alguns detalhes particulares para a implementao do STP em switches Cisco, alm dos conceitos genricos abordados anteriormente neste captulo.

Extenso do bridge 10 e do System 10


Conforme mencionado anteriormente neste captulo, o bridge ID (BID) de um switch formado pela combinao da prioridade do switch (2 bytes) e do endereo MAC (6 bytes). Na prtica, os switches Cisco utilizam um formato de BID IEEE mais detalhado que separa a prioridade em duas partes. A Figura 2-14 mostra esse formato mais detalhado, com o primeiro campo de prioridade de 16 bits agora incluindo um subcampo de 12 bits chamado de extenso do System ID .

Figura 2-14 Extenso do System ID no STP


2 bytes Prioridade (0-65,535) 6 bytes System 10 (Endereo MAC)

!;~;;~o
\~h.V.

Bridge 10 em formato .J-----------I.-,--- - -- - - - - ' original

r"---..-I----------"-Ir-----------,
- -"............. -P~~\1~~e
de 4696 4 bits Extenso do System 10 (normalmente contm o VLAN 10)
12 bits

.... ""

"

.............

_-- ............

System 10 (Endereo MAC) 6 bytes

L -_ _' - -_ _ __

_ __ _' - - -_ _ _ __ _ _---'

Extenso do System 10 (Reduo do endereo MAC)

CCNA ICND2

65

Para construir o BID de um switch para uma determinada instncia "per-VLAN" do STP, o switch deve utilizar uma definio bsica de prioridade de um mltiplo do decimal 4096. (Todos esses mltiplos de 4096, quando convertidos para binrio, terminam com 12 zeros binrios). Para criar os primeiros 16 bits do BID para uma determinada VLAN, o switch comea com uma verso de 16 bits do valor base da prioridade, que tem todos os zeros binrio nos ltimos 12 algarismos. O switch ento acrescenta o seu valor base da prioridade ao VLAN ID. O resultado que os 12 bits de baixa ordem no campo de prioridade original listam o VLAN ID. Um efeito interessante da utilizao da extenso do System ID que o PVST+ utiliza um BID diferente em cada VLAN. Por exemplo, um switch configurado com as VLANs de 1 a 4, com uma prioridade base padro de 32,768 possui uma prioridade STP padro de 32,769 na VLAN 1, 32,770 na VLAN 2,32,771 na VLAN 3, e assim por diante.

Custos "per-VLAN" das portas


Cada interface do switch define como padro para o seu custo "per-VLAN" do STP os valores mostrados anteriormente na Tabela 2-6 (valores de custo IEEE revisados). Em switches Cisco, o custo STP baseado na velocidade real da interface; portanto, se uma interface negocia utilizar uma velocidade mais baixa, o custo STP padro reflete essa velocidade mais baixa de acordo com a Tabela 2-6. Se a interface negocia utilizar uma velocidade diferente, o switch tambm altera dinamicamente o custo da porta STP. Como alternativa, o custo da porta do switch pode ser configurado para todas as VLANs ou para uma nica VLAN de cada vez. Tendo sido configurada, o switch ignora a velocidade negociada na interface, utilizando, em vez disso, o custo configurado.

Resumo das opes de configurao do STP

(;~;;~o
:, Chave

....

A Tabela 2-12 resume as definies padro para o BID e para os custos das portas, relacionando tambm os comandos opcionais de configurao abordados neste captulo. Tabela 2-12 Padres e opes de configurao do STP Defmio Bridge ID Padro Prioridade: 32,768 + VLAN ID System: MAC gravado no switch spanning-tree vlan v/an-id priority priority Custo da Interface De acordo com a Tabela 2-6: 100 para 10 Mbps, 19 para 100 Mbps, 4 para 1 Gbps, 2 para 10 Gbps No-ativado No-ativado spanning-tree vlan v/an-id cost cost Comando(s) para alterar o padro spanning-tree vlan v/an-id root {primary I secondary}

PortFast BPDU Guard

spanning-tree portfast spanning-tree bpduguard enable

A seguir, a seo de configurao mostra como examinar a operao do STP em uma rede simples, mostrando tambm como alterar essas definies padro.

Verificando a operao padro do STP


Os exemplos a seguir foram retirados de uma pequena rede com dois switches, conforme mostrado na Figura 2-15. Nessa rede, utilizando as definies padro, todas as interfaces devem encaminhar, com exceo de uma interface em um switch localizado nos links que conectam os switches. O Exemplo 2-1 apresenta vrios comandos show. O texto logo aps o exemplo explica como o resultado do comando show identifica os detalhes da topologia do STP criados nessa pequena rede.

66 Captulo 2: Protocolo Spanning Tree


Figura 2-15 Rede formada por dois switches
Trunks
Fa 0/16

Larry
Fa 0/11

Archie
Fa 0/12

VLAN3

Exemplo 2-1 Status do STP com parmetros padro do STP


SW1# show VLAN0003 Spanning tree enab1ed protocol ieee Root I O prior i ty Address Cost Port Hello Time Bri dge IO pr iority Address Hello Time Aging Time 300 Interface Rol e Sts Cost pr i o. Nbr Type 32 771 001 9 .e8 59 . 5380 19 16 (FastEthernetO/16)
spannin~tree

v1an 3

2 sec Max Age 20 sec Forward Oelay 15 sec 32 771 (prior i ty 3 276 8 sys - id- ext 3) 0019. e 8 6a . 6f80 2 sec Max Age 20 sec Forward Oelay 15 s ec

----------FaO/11 FaO / 16 FaO/17 SW1# show

---

--- - ---

-------128.11 128.1 6 128.17

----------------------------------------P2p P2p P2p

Oe sg FWD 19 Root FWD 19 Altn BLK 19


spannin~tree

root Root Hello Time Max Age Fwd Oly Root Port

Vlan

Roo t IO

Cost

-------VLANOO01 VLANOO02 VLANOO03 VLANOO04

--------------------32769 0019.e859.5380 32770 0019.e859.5380 32771 0019 . e859.5380 32772 0019.e859.5380

---19 19 19 19

---2 2 2 2

--20 20 20 20

--15 15 15 15

--------- -------FaO/16 FaO/16 FaO / 16 FaO/16

! The next command supplies the same information as t he show spannin~tree vlan 3 ! command about the local switch,

but in slightly briefer format

SW1# show span v1an 3 bridge HelIo Vlan Bridge IO Time Max Age Fwd Oly Root Port

VLAN0003

32 771 (3 2 768 , 3) 0019 . e86a.6f80 2

20

15

ieee

o Exemplo 2-1 comea com o resultado do comando show spanning-tree vlan 3 em SW 1. Esse comando, primeiramente,
apresenta trs grupos principais de mensagens: um grupo de mensagens sobre o switch raiz, seguido de outro grupo sobre o switch local, terminando com informaes sobre a funo da interface e o status. Comparando o root ID CID da raiz) e o bridge ID (nas partes sombreadas) nos dois primeiros grupos de mensagens, voc consegue rapidamente dizer se o switch local a raiz, pois, neste caso, o bridge ID e o root ID seriam iguais. Neste exemplo, o switch local no a raiz. O terceiro grupo de mensagens no resultado do comando show spanning-tree vlan 3 identifica parte da topologia STP neste exemplo relacionando todas as interfaces naquela VLAN (tanto interfaces de acesso quanto trunks que poderiam

CCNA ICND2

67

aceitar a VLAN), as funes de suas portas STP e os estados das portas STP. Por exemplo, SWI determina que FaO/ll tem a funo de uma porta designada porque nenhum outro switch est competindo para se tornar a PD naquela porta, conforme mostrado pela funo 'desg' no resultado do comando. Por isso, SWl precisa anunciar o Helio de menor custo naquele segmento. Em conseqncia disso, SWl coloca FaO/ll em Estado de Encaminhamento. Embora o resultado do comando mostre que SWl escolheu a interface FaO/16 como sua PR, a lgica de SWl ao fazer essa escolha no aparente no resultado do comando. SWl recebe os Helio BPDUs do SW2 nas portas Fast Ethernet 0/16 e 0/17, ambas do SW2. Como FaO/16 e FaO/17 usam o mesmo custo padro de porta (19), o caminho de SWl at a raiz o mesmo (19) em ambos os caminhos. Quando um switch se depara com um empate com relao ao custo para alcanar a raiz, ele inicialmente utiliza os valores prioridade da porta (port priority) da interface para desempatar. Se os valores de prioridade da porta empatam, o switch utiliza o menor nmero interno da interface. O nmero da prioridade da interface e da porta interna so apresentados sob o cabealho "Prio.Nbr" no Exemplo 2-1. Nesse caso, SWl est utilizando a prioridade de porta padro 128 em cada interface e, portanto, SWl utiliza o menor nmero de porta, FaO/16, como sua porta raiz, colocando assim FaO/16 em Estado de Encaminhamento. Observe tambm que o resultado do comando mostra que FaO/17 desempenha o papel de uma porta (raiz) alternativa, conforme mostrado pela abreviao "Altn" no resultado do comando. Embora a funo da porta alternativa seja um conceito do RSTP, a implementao 802.1d STP da Cisco tambm utiliza esse conceito e, por isso, o comando show lista a funo da porta alternativa. Entretanto, como essa porta no nem uma PR nem uma PD, SWl a coloca em Estado de Bloqueio. O prximo comando do exemplo, show spanning-tree root, apresenta o bridge ID do switch raiz em cada VLAN. Observe que ambos os switches esto utilizando todas as definies padro; por isso, SW2 torna-se a raiz em todas as quatro VLANs existentes. Esse comando tambm apresenta separadamente a poro relativa prioridade do bridge ID, mostrando os valores de prioridade diferenciados (32,769, 32,770, 32,771 e 32,772) com base na extenso do System ID explicada anteriormente neste captulo. O ltimo comando do exemplo, show spanning-tree vlan 3 bridge id, simplesmente apresenta informaes sobre o bridge ID do switch local na VLAN 3.

Configurando os custos das portas do STP e a prioridade do switch


O Exemplo 2-2 mostra como causar impacto sobre a topologia do STP configurando o custo das portas e a prioridade do switch. Primeiro, em SWl , o custo da porta diminudo em FastEthernet 0/17, o que torna o caminho de SWl at a raiz atravs de FaO/17 melhor que o caminho por FaO/16, mudando assim a porta raiz de SWl. Em seguida, o exemplo mostra SWl tornando-se o switch raiz atravs da alterao da prioridade da bridge de SW1. Exemplo 2-2 Manipulando o custo das portas STP e a prioridade da bridge
SWI #debug apanning-tree eventa Spanning Tree event debugging is on SWI#configure terminal Enter configuration commands, one per line. End with CNTL / Z. SW (config) #interface FaO/l7 I SWI(config-if)#apanning-tree vlan 3 coat 2 00: 4 5:39 : STP: VLAN0003 new r oot p o rt FaO /1 7, c o st 2 00: 45:39: STP: VLANOO03 FaO / 17 -> I istening 00: 45 :39 : STP : VLANOO03 sent Topology Change Notice on FaO / 17 00 : 45 : 39: STP: VLANOO03 FaO / 1 6 -> bIocking 00: 45:54: STP: VLANOO03 FaO /1 7 - > Iearning 00:46 : 09: STP : VLANOO03 sent Topology Change Notice on FaO / 17 00: 46:09: STP : VLANOO03 FaO / 17 -> f o rwar ding SWI (config-if)# AZ SWI #ahow apanning-tree vlan 3 VLAN0003 Spa nning tree enabIed pro t ocol ieee Root lD Priority Address 32771 0019 . e859.5380

68 Captulo 2: Protocolo Spanning Tree


Co st Port Hello Time Bridge ID priority Address Hello Time Aging Time Inter f ace Role Sts Cost
2

17

(Fas tEthernetO / 1 7 )

2 sec Max Age 20 sec Forward Delay 15 sec 32771 (priority 32768 sys-id-ext 3) 0019.e86a.6f80 2 sec Max Age 20 sec Forward Delay 15 sec 15 Prio.Nbr
Type

FaO/11 FaO/16 Fa O/ 17

Desg FWD 19 Altn BLK 19 Root FWD 2

128.11 128.16 128.17

P2p P2p P2p

SW1#configure terminal Enter configuration commands, one per line . End with CNTL/Z . SW1(config)# spanning-tree vlan 3 root primary 00:46:58: setting bridge id (which=l) prio 24579 prio cfg 24576 sysid 3 (on) id 6003.0019.e86a.6f80

00:46 : 58: STP: VLANOO03 we a r e the spanning tree root 00:46 : 58: STP: VLANOO03 FaO/16 -> listen ing 00:46:58 : STP : VLANOO03 Topology Change rcvd on FaO/16 00:47:13: STP: VLANOO03 FaO/16 - > lea rning 00:47 : 28 : STP : VLANOO03 FaO/16 -> forwarding

Este exemplo comea com o comando debug spanning-tree events em SW1. Esse comando diz ao switch para emitir mensagens informativas de registro sempre que o STP realizar alteraes na funo ou no estado da interface. Essas mensagens aparecem no exemplo em conseqncia dos comandos mostrados mais tarde no resultado do exemplo. Em seguida, o custo da porta da interface FastEthernet O/17de SW1, apenas em VLAN 3, alterado utilizando o comando spanning-tree vlan 3 cost 2, no modo de configurao da interface FaO/17. Logo aps esse comando, SW1 exibe as primeiras mensagens debug significativas. Essas mensagens basicamente declaram que FaO/17 agora a porta raiz de SW1, que FaO/16 imediatamente passa para o Estado de Bloqueio e que FaO/17 lentamente passa para o Estado de Encaminhamento passando, primeiramente, pelos Estados de Escuta e Aprendizado. Voc pode ver o tempo de 15 segundos (de acordo com a definio padro do forward delay) nos Estados de Aprendizado e Escuta, conforme mostrado nas referncias de data e horas sombreadas no exemplo.

Observao A maioria dos comandos de configurao para a definio dos parmetros do STP pode omitir o parmetro vlan, alterando assim a definio de todas as VLANs. Por exemplo, o comando spanning-tree cost 2 poderia fazer com que o custo STP de uma interface fosse 2 para todas as VLANs.
Aps o primeiro conjunto de mensagens debug, o resultado do comando show spanning-tree apresenta a FastEthemet 0/16 em Bloqueio e a FastEthemet 0/17 em Encaminhamento, agora com o custo de apenas 2 at a bridge raiz, com base no custo alterado da interface FastEthernet 0/17. A prxima alterao ocorre quando o comando spanning-tree vlan 3 root primary emitido em SW1. Esse comando altera a prioridade base para 24,576, fazendo com que a prioridade da VLAN 3 de SW1 seja 24,576 mais 3, ou seja, 24,579. Conseqentemente, SW1 toma-se o switch raiz, conforme mostrado nas mensagens debug seguintes.

O comando spanning-tree vlan vlan-id root primary diz ao switch para utilizar um determinado valor de prioridade
somente naquela VLAN, com o switch escolhendo um valor que far com que o switch se torne o switch raiz naquela VLAN. Para isso, esse comando defme a prioridade base - o valor da prioridade que acrescentado ao VLAN ID para calcular a prioridade do switch - com um valor mais baixo que a prioridade base do atual switch raiz. Esse comando escolhe a prioridade base da seguinte forma:

CCNA ICND2

69
(;:~;~o
\ Chave

24,576, se a atual raiz tiver uma prioridade base mais alta que 24,576

...

4096 subtrado da prioridade base da atual raiz se a prioridade dela for 24,576 ou menor O comando spanning-tree vlan vlan-id root secondary diz ao switch para utilizar o valor da prioridade base de forma que o switch local se tome a raiz se o switch raiz principal falhar. Esse comando defrne a prioridade base do switch em 28,672, independentemente do atual valor da prioridade da atual raiz. Observe que a prioridade tambm pode ser explicitamente definida com o comando de configurao global spanningtree vlan vlan-id priority value, que define a prioridade base do switch. Entretanto, como vrios designs de LANs dependem de uma nica raiz conhecida, com um backup at a raiz, os outros comandos so normalmente preferidos.

Configurando o PortFast e o BPDU Guard


Os recursos PortFast e BPDU Guard podem ser facilmente configurados em qualquer interface. Para configurar o PortFast, basta utilizar o subcomando de interface spanning-tree portfast. Para tambm ativar o BPDU Guard, acrescente o subcomando de interface spanning-tree bpduguard enable.

Configurando o EtherChannel
Finalmente, os dois switches realmente possuem conexes Ethemet paralelas que podem ser configuradas para o EtherChannel. Fazendo isso, o STP no bloqueia nenhuma interface, porque ele trata ambas as interfaces de cada switch como um link. O Exemplo 2-3 mostra a configurao de SWl e os comandos show para o novo EtherChannel. Exemplo 2-3 Configurando e monitorando o EtherChannel
SW1#configure terminal En t er configu ration commands , one per l i n e. En d with CNTL / Z. SW1(config)# interface fa 0/16 SW1(config- i f )#channel-group 1 mode on SW1 (config )# int fa 0/17 SW1 (config-if)#channel-group 1 mode on SW1(config-i f)# AZ 00:32:27: STP: VLAN0001 Po 1 -> learni ng 00 : 32:42 : STP: VLAN0001 Po1 -> f orward i n g SW1 #show spanning-tree vlan 3 VLAN0003 Spanning t r ee e nabl e d p ro toco I ieee Root ID Priority Address Cost Port HelIo Time Bridge I D priori t y Addres s He lIo Ti me Aging Ti me 300 Interface Ro le Sts Cost Prio.Nbr
Type

28675 0019.e859.5380 12 72 (Port-channell)

2 sec Max Age 20 s e c Forwa r d Del ay 1 5 sec 28675 (pr i ority 28672 s ys-i d -ext 3)

0019.e86 a .6 f 80 2 s ec Max Ag e 20 sec Forward De l ay 15 s ec

Fa O/ 11 Po1

De sg FWD 1 9 Root FWD 12

128 . 11 1 28 . 72

P2p P2p

SW1 #show etherchannel 1 summary Flags :


D -

down

P - in port-channel

70 Captulo 2: Protocolo Spanning Tree


I - stand-alone H - Hot-standby R - Layer3 u - in use s - suspended (LACP only) S - Layer2 f - failed to allocate aggregator

u - unsui table for bundling w - waiting to be aggregated d - default port Number of channel-groups in use Number of aggregators Group Port-channel Pro toc ol : 1 : 1 Ports

---------+------------------+---------------+---------------------------------------------------------------1

Po l(SU)

FaO / 16(P) Fa O/ 17(P)

Em switches 2960, qualquer porta pode fazer parte de um EtherChannel, com at oito portas em um nico EtherChannel; portanto, os comandos EtherChannel so sub comandos de interface. O subcomando de interface channelgroup 1 mode on ativa o EtherChannel nas interfaces FastEthernet 0/16 e 0/17. Ambos os switches devem concordar com o nmero do EtherChannel, neste caso, 1, para que a configurao port-channel de SW2 seja idntica de SW l. O comando channel-group permite que a configurao de uma interface seja sempre em um port channel (canal de porta) (usando a palavra-chave on) ou seja dinamicamente negociada com outros switches utilizando as palavras-chave auto ou desirable. Com a palavra-chave on usada em SW1 , se, por algum motivo, SW2 no estivesse configurado corretamente para o EtherChannel, os switches no encaminhariam trfego atravs das interfaces. Como alternativa, os comandos de configurao channel-group do EtherChannel em cada switch poderiam utilizar parmetros auto ou desirable em vez de on. Com esses outros parmetros, os switches negociam se devem utilizar o EtherChannel. Se negociado, formado um EtherChannel. Se no, as portas podem ser utilizadas sem formar um EtherChannel, com o STP bloqueando algumas interfaces. O uso dos parmetros auto e desirable pode enganar. Se voc configurar auto em ambos os switches, o EtherChannel nunca aparece! A palavra-chave auto diz ao switch para esperar que o outro switch comece as negociaes. Desde que um dos dois switches esteja configurado com on ou desirable, o EtherChannel pode ser negociado com sucesso. No restante do Exemplo 2-3, voc v vrias referncias a "port channel" ou "Po" . Como o STP trata o EtherChannel como um link, o switch precisa de alguma forma para representar todo o EtherChannel. O lOS do 2960 utiliza o termo "Po", abreviatura de "port channel" , como forma de dar nome ao EtherChannel. (O EtherChannel s vezes chamado de port channel.) Por exemplo, prximo ao fmal do exemplo, o comando show etherchannell summary faz referncia a Po1 como portchannel/EtherChannel 1.

.'

Configurando o RSTP
No h nada de mais na configurao e na verificao do RSTP quando j se tem a compreenso completa das opes de configurao do STP abordadas neste captulo. Cada switch requer um nico comando global, o spanning-tree mode rapid-pvst. Como voc pode ver a partir do comando, ele no s ativa o RSTP mas tambm o PVRST, executando uma instncia do RSTP para todas as VLANs defrnidas. O restante dos comandos de configurao abordados nesta seo se aplica ao RSTP e ao PVRST sem nenhuma alterao. Os mesmos comandos exercem impacto sobre o BID, o custo da porta e os EtherChannels. De fato, o subcomando de interface spanning-tree portfast chega a funcionar, tecnicamente fazendo da interface uma interface RSTP do tipo edge, em vez do tipo link, e instantaneamente passando a interface para o Estado de Encaminhamento. O Exemplo 2-4 mostra como migrar do STP e do PVST+ para o RSTP e o PVRST e como saber se um switch est utilizando RSTP ou STP.

Exemplo 2-4 Configurao e verificao do RSTP e do PVRST


SW1#configure terminal Enter configuration commands, one per line . End wi t h CNTL/Z . SW1(con f ig)#8panning-tree mode ? mst pvst Mul t iple spanning tree mode Per- Vlan spanning tree mode

CCNA ICND2

71

r a pid - pvs t

Per-Vlan rap i d spanning tree mode

Th e next lin e con figures t h is switch to use RSTP and PVRST.

SW1(config)# spanning-tree mode rapid-pvst SW1(config)# AZ


! The 'protocol RSTP' shaded text means that this switch uses RSTP,

not IEEE STP.

SW1# show spannlg-tree vlan , VLAN0004 Spanning tree enab l e d protocol rstp Root ID priority Addres s Cost Port 16 Rello Time 32772 0019.e859.5380 19 (FastEthernetO/16) 2 sec Max Age 20 sec Forward Oelay 15 sec

Bridge 10 priority 32772 (priority 32768 sys-id-ext 4) Address Rello Time Aging Time 300 Interface Role Sts Cost Prio . Nbr
Type

0019.e86a.6f80 2 sec Max Age 20 sec Forward Oelay 15 sec

FaO/16 FaO/17

Root FWD 19 Altn BLK 19

128 . 16 128.17

P2p Peer ( STP) P2p Peer (STP)

Resolvendo problemas do STP


Passo 1 Determinar o switch raiz.

De modo especial, tente comparar a frase "protocol rstp", sombreada no exemplo, com o resultado do comando show spanning-tree nos exemplos anteriores. Os exemplos anteriores utilizaram a definio padro do STP e do PVST+, listando o texto "protocol ieee", referindo-se ao padro original IEEE 802.1 d STP.

As sees [mais concentram-se em como aplicar aos novos cenrios as informaes abordadas nas partes anteriores deste captulo. Embora essa seo o ajude a se preparar para resolver problemas do STP em redes reais, o principal objetivo prepar-lo para responder a questes sobre o STP nos exames CCNA. (Observe que essas sees no introduzem nenhum fato novo sobre o STP.)

As questes sobre o STP tendem a intimidar boa parte dos candidatos. Um dos motivos pelo qual o STP causa mais problemas aos candidatos prova que mesmo aqueles com experincia profissional podem nunca ter precisado resolver problemas sobre o STP. O STP executado naturalmente e funciona bem utilizando as definies de configurao padro em redes de pequeno a mdio porte, e, por isso, os engenheiros raramente precisam resolver problemas de STP. Alm disso, embora a teoria e os comandos abordados neste captulo possam ser compreensveis, a aplicao de muitos desses conceitos e comandos a um problema especfico do exame demorada.

Esta seo descreve e resume um plano de ataque para analisar e responder a diferentes tipos de problemas sobre STP no exame. Algumas questes do exame podem exigir que voc determine quais interfaces devem encaminhar ou bloquear. Outras questes podem querer saber qual switch a raiz, quais portas so portas raiz e quais portas so portas designadas. Com certeza, outras variaes de questes tambm existem. Independentemente do tipo de questo, os trs passos a seguir podem ser utilizados para analisar o STP em qualquer LAN e, por sua vez, responder a qualquer questo sobre STP no exame: ..... .

(i::: ".

Passo 2 Para cada switch no-raiz, determinar sua porta raiz (PR) e o custo para alcanar o switch raiz atravs desta PRo

Passo 3 Para cada segmento, determinar a porta designada (PD) e o custo anunciado pela PD naquele segmento.

72 Captulo 2: Protocolo Spanning Tree


As sees a seguir revisam os pontos principais sobre cada um desses passos e relacionam algumas dicas para ajud-lo a rapidamente encontrar a resposta para as questes do exame.

Determinando o switch raiz


Determinar o switch raiz do STP fcil se voc souber os BIDs de todos os switches; basta escolher o menor valor. Se a questo apresenta a prioridade e o endereo MAC separadamente, como comum em resultados do comando show, escolha o switch com a menor prioridade ou, em caso de empate, escolha o menor valor do endereo MAC. Bem semelhante s redes reais, se uma questo requer que voc emita comandos show em vrias switches para encontrar o switch raiz, uma estratgia organizada pode ajud-lo a responder s questes mais rapidamente. Primeiro, lembre-se de que muitas variaes do comando show spanning-tree listam o BID da raiz, com a prioridade em uma linha e o endereo MAC na prxima, na primeira parte do resultado; o BID do switch local apresentado na seo seguinte. (Veja o Exemplo 2-1, na parte sombreada) Lembre-se tambm de que os switches Cisco usam o PVST+ como padro; portanto, tenha cuidado e observe os detalhes do STP relativos VLAN correta. Com esses fatos em mente, a lista a seguir apresenta uma boa estratgia:

Passo 1 Escolha um switch com o qual comear e encontre o BID do switch raiz e do switch local na VLAN em questo utilizando o comando exec show spanning-tree vlan v/anid. Passo 2 Se o BID raiz e o BID local forem iguais, o switch local o switch raiz. Passo 3 Se o BID raiz no for igual ao BID do switch local, faa da seguinte forma: a. Encontre a interface da PR no switch local (tambm no resultado do comando show spanning-tree).
b. Utilizando o CDP (Cisco Discovery Protocolou outra documentao), determine qual switch est na outra extremidade da interface da PR encontrada no Passo 3A. c. Conecte-se ao switch na outra extremidade da interface da PR e repita esse processo, comeando no Passo 1. O Exemplo 2-5 mostra o resultado de um comando show spanning-tree vlan 1. Sem nem mesmo saber a topologia da LAN, tente agora essa estratgia de resoluo de problemas baseada no resultado do exemplo e compare o seu raciocnio com as explicaes que se seguem ao exemplo.

Exemplo 2-5 Encontrando o switch raiz


SW2# show spanning-tree vlan 1 VLANOO01 Spanning tree enabled proto col ieee Roo t ID Priority Address Cost Po rt Hello Time Bri dge ID Pr i or ity Address Hello Time Aging Time 300 Interface Role Sts Cost Prio.Nbr Type 32769 000a.b7dc.b780 19 1 (FastEt hernetO / 1)

2 sec Max Age 20 sec Forward Delay 15 sec 32769 (pri ori ty 3 2 768 sys-id- ext 1 ) 0011. 92bO . f500 2 s ec M ax Ag e 20 s ec Forward Delay 15 sec

--------Fa O/ 1 FaO/19 FaO/20

---- --- ---Root FWD 19 Desg FWD 100 Desg FWD 100

------128.1 128.19 128.20

---------------------------------------P2p Shr Shr

SW2# show spanning-tree vlan 1 bridge id VLANOO01 80 01. 0 011 . 9 2bO . f500

As partes sombreadas do exemplo destacam o BID da raiz (prioridade e endereo) bem como o BID diferenciado de SW2. Como o BID do switch raiz diferente, o prximo passo dever ser encontrar a porta raiz, que apresentada em

CCNA ICND2

73

dois lugares diferentes no resultado do comando (FaO/1). O prximo passo seria repetir o processo no switch na outra extremidade da interface FaO/1 de SW2, mas o exemplo no identifica esse switch.

Determinando a porta raiz em switches no-raiz


Cada switch no-raiz possui uma, e somente uma, porta raiz (PR). (Switches raiz no possuem PR). Para escolher sua PR, o switch escuta os HelIos BPDUs de entrada. Para cada Helio recebido, o switch acrescenta ao custo da porta daquele switch o custo relacionado no Heno BPDU, relativo porta em que o Heno foi recebido. O menor custo calculado vence; em caso de empate, o switch escolhe a interface que possui a menor prioridade de porta, e, se houver empate, o switch escolhe o menor nmero de porta interna. Embora o pargrafo anterior resuma como um switch no-raiz escolhe sua PR, quando uma questo do exame fornece informaes sobre o switch raiz e os custos de portas da interface, uma abordagem ligeiramente diferente pode faz-lo chegar mais rpido a uma resposta. Considere a seguinte questo, por exemplo, proposta em relao rede mostrada na Figura 2-16: Na rede composta por switches, mostrada na Figura 2-16, todos os switches e segmentos esto funcionando perfeitamente, com o STP ativado na VLAN 1. SW1 foi escolhido como raiz. A interface FaO/1 de SW2 utiliza uma definio de custo igual a 20, com todas as outras interfaces utilizando o custo STP padro. Determine a PR em SW4.

Figura 2-16 Exemplo 1 de anlise do STP

Switch Raiz

Uma forma de comear a tentar resolver este problema especfico aplicar apenas os conceitos do STP, resumidos no primeiro pargrafo desta seo. Como alternativa, voc pode encontrar a soluo um pouco mais rapidamente utilizando o processo a seguir, comeando com um switch no-raiz: Passo 1 Determine todos os caminhos possveis atravs do qual um frame, enviado por um switch no-raiz, possa alcanar o switch raiz. Passo 2 Para cada caminho possvel no Passo 1, acrescente os custos de todas as interfaces de sada naquele caminho. Passo 3 O menor custo encontrado o custo para alcanar a raiz, e a interface de sada a PR daquele switch. Passo 4 Se o custo empatar, desempate de acordo com a prioridade das portas, e, se ainda houver empate, desempate com o menor nmero da porta.
A Tabela 2-13 mostra o trabalho feito referente aos Passos 1 e 2 deste processo, apresentando os caminhos e os custos respectivos para alcanar a raiz atravs de cada caminho. Nessa rede, SW4 possui cinco caminhos possveis at o switch raiz. A coluna do custo relaciona os custos da interface na mesma ordem da primeira coluna, junto com o custo total.

Tabela 2-13 Encontrando a PR de SW4: calculando o custo


Caminho fsico (interfaces de sada) SW4 (FaO/2) -> SW2 (FaO/1) -> SW1 Custo 19 + 20 = 39

74 Captulo 2: Protocolo Spanning Tree


SW4 (FaO/3) -> SW3 (FaO/l) -> SWl SW4 (FaO/l) -> SWl SW4 (FaO/2) -> SW2 (FaO/3) -> SW3 (FaO/l) -> SWl SW4 (FaO/3) -> SW3 (FaO/2) -> SW2 (FaO/l) -> SWl 19 + 19 = 38 19 = 19 19 + 19 + 19 = 57 19 + 19 + 20 = 58

S para se assegurar de que o contedo da tabela esteja claro, examine o caminho fsico SW4 (FaO/2) -> SW2 (FaOIl) -> SWl por um momento. Para esse caminho, as interfaces de sada so a interface FaO/2 de SW4, com o custo padro de 19, e a interface FaO/l de SW2, configurada com custo de 20, perfazendo um total de 39. Voc deve tambm perceber quais custos de interfaces so ignorados com esse processo. Utilizando o mesmo exemplo, o frame enviado por SW4 em direo raiz entraria na interface FaO/4 de SW2 e na interface FaO/2 de SW1. No seriam considerados os custos de nenhuma das interfaces. Neste caso, a PR de SW4 seria a sua interface FAO/l, porque o caminho de menor custo (custo 19) comea com essa interface. Tome cuidado ao fazer consideraes com relao a questes que requerem que voc encontre a PR de um switch. Neste caso, por exemplo, pode ser intuitivo pensar que a PR de SW4 seria a sua interface FaO/l, pois ela est diretamente conectada raiz. Entretanto, se as interfaces FaO/3 de SW4 e FaO/ l de SW3 fossem alteradas para um custo de porta igual a 4, o caminho SW4 (FaO/3) -> SW3 (FaO/l) -> SWl totalizaria um custo igual a 8, e a PR de SW4 seria a sua interface FaO/3. Portanto, s porque o caminho parece ser melhor no diagrama, lembre-se de que o ponto decisivo o custo total.

Determinando a porta designada em cada segmento LAN


Cada segmento LAN possui um nico switch que age como porta designada (PD) naquele segmento. Em segmentos que conectam um switch a um dispositivo que nem mesmo utilize STP - por exemplo, segmentos conectando um switch a um PC ou a um roteador -, a porta do switch escolhida como PD porque o nico dispositivo que envia um Hello para o segmento o switch. Entretanto, segmentos que conectam vrios switches requerem um pouco mais de trabalho para descobrir qual deveria ser a PD. Por definio, a PD de um segmento determinada da seguinte forma: A interface do switch que encaminha o Helio BPDU de menor custo para o segmento a PD. No caso de empate, entre os switches que enviam os Hellos cujo custo empatou, vence o switch que possui o menor BID. Novamente, a defrnio formal descreve o que o STP faz, e voc pode aplicar esse conceito a qualquer questo sobre STP. Entretanto, para os exames, se voc tiver acabado de encontrar a PR de cada switch no-raiz e tiver anotado o custo para alcanar a raiz em cada switch (conforme mostrado, por exemplo, na Tabela 2-13), possvel facilmente encontrar a PD da seguinte forma:

Passo 1 Para switches conectados ao mesmo segmento de LAN, o switch que possui o menor custo para alcanar a raiz a PD daquele segmento. Passo 2 No caso de empate, entre os switches que empataram no custo, o switch que possui o menor BID se toma a PD.

Considere, por exemplo, a Figura 2-17. Essa figura mostra a mesma rede de switches da Figura 2-16, mas com as PRs e PDs anotadas, bem como o menor custo de cada switch para alcanar a raiz atravs de sua respectiva PRo

CCNA ICND2
Figura 2-17 Escolhendo as portas designadas
Switch Raiz

75

910: 30000:0200.2222.2222

PR

91 : 0 32768:0200.3333.3333

91 : 0 32768:0200.4444.4444
Custo para alcanar a raiz: 19

Concentre-se nos segmentos que conectam os switches no-raiz por um momento. Para o segmento SW2-SW4, SW4 vence em virtude de ter um caminho de custo 19 at a raiz, enquanto o melhor caminho de SW2 tem custo 20. Pela mesma razo, SW3 se toma a PD no segmento SW2-SW3. Para o segmento SW3-SW4, tanto SW3 quanto SW4 empatam em relao ao custo para alcanar a raiz. A figura apresenta os BIDs dos switches no-raiz, para que voc possa ver que o BID de SW3 menor. Em conseqncia disso, SW3 vence o empate, fazendo de SW3 a PD daquele segmento. Observe tambm que o switch raiz (SWI) se toma a PD de todos os seus segmentos pelo fato de que o switch raiz sempre anuncia Helios de custo O, e o custo calculado de todos os outros switches deve ser pelo menos 1, pois o menor custo de porta permitido 1. Para os exames, voc precisar saber como encontrar o switch raiz, a PR de cada switch e a PD de cada segmento, depois de descobrir os BIDs, os custos das portas e a topologia da LAN. Neste ponto, voc tambm sabe quais interfaces encaminham - aquelas que so PRs ou PDs - e as interfaces restantes responsveis por bloquear.

Convergncia do STP
A topologia do STP - o conjunto de interfaces em Estado de Encaminhamento - deve permanecer estvel enquanto a rede permanecer estvel. Quando as interfaces e os switches oscilam, a topologia resultante do STP pode alterar; em outras palavras, a convergncia do STP ocorrer. Esta seo destaca algumas estratgias que fazem uso do bom senso para combater esses tipos de problemas nos exames. Algumas questes do exame que tratam do STP podem ignorar os detalhes de transio quando a convergncia ocorre, concentrando-se em quais interfaces passam de Encaminhamento para Bloqueio, ou de Bloqueio para Encaminhamento, quando ocorre uma determinada alterao. Uma questo pode, por exemplo, apresentar detalhes de um cenrio e, em seguida, perguntar: quais interfaces passam do Estado de Bloqueio para o de Encaminhamento? Para essas questes que comparam as topologias antes e depois de uma alterao, basta aplicar os mesmos passos j abordados nesta seo, porm, aplic-los duas vezes: uma vez para as condies anteriores s alteraes e uma vez para as condies que provocaram a alterao. Outras questes sobre STP podem concentrar-se no processo de transio, incluindo o timer Helio, o timer MaxAge, o timer forward delay, os Estados de Escuta e Aprendizado e seus usos, conforme descrito anteriormente neste captulo. Para esses tipos de questes, lembre-se dos seguintes fatos sobre o que ocorre durante a convergncia do STP: Para interfaces que permanecem no mesmo estado STP, nada precisa ser alterado. Para interfaces que precisam passar do Estado de Encaminhamento para o Estado de Bloqueio, o switch imediatamente passa para o estado de Bloqueio.

76 Captulo 2: Protocolo Spanning Tree


Para interfaces que precisam passar do Estado de Bloqueio para o Estado de Encaminhamento, o switch inicialmente passa a interface para o Estado de Escuta e depois para o Estado de Aprendizado, cada um de acordo com o tempo especificado pelo timer forward delay (15 segundos de acordo com padro). Somente depois disso que a interface ser colocada em Estado de Encaminhamento.

Atividades de preparao para o exame

Revise todos os tpicos-chave


Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina. A Tabela 2-14 relaciona esses tpicos-chave e os nmeros das pginas nas quais cada um encontrado.

Tabela 2-14 Tpicos-chave do Captulo 2 Elemento do tpico-chave


Tabela 2-2

Descrio

Nmero da pgina

Relaciona os trs principais problemas que ocorrem quando no utilizamos o STP em uma LAN com links redundantes Relaciona os motivos pelos quais um switch escolhe colocar uma interface em Estado de Encaminhamento ou de Bloqueio Relaciona os campos mais importantes em mensagens Helio BPDUs Mostra como os switches calculam seu custo raiz Relaciona os custos de portas STP padro originais e atuais para vrias velocidades de interface Resumo descritivo das operaes do STP em steady-state Timers do STP DefInies do que ocorre nos estados de Escuta e Aprendizado Resumo dos estados 802.1 d Semelhanas entre RSTP e STP Relaciona o 802.1d e os estados correspondentes da interface 802.1 w Relaciona funes e comparaes das portas no STP e no RSTP Viso conceitual dos benefcios do balanceamento de carga no PVST+ Compara trs opes de mltiplas spanning trees Mostra o formato da extenso do System ID do campo de prioridades do STP

47

Tabela 2-3

48 49 51 53 53 53 55 55 57 58 60 63 64 64

Tabela 2-4 Figura 2-5 Tabela 2-6 Lista Tabela 2-7 Lista Tabela 2-8 Lista Tabela 2-9 Tabela 2-10 Figura 2-13 Tabela 2-11 Figura 2-14

:1 -I :1 -I -I :1 -I :1 -I :1 -I :1 -I :1

-I

Complete as tabelas e listas usando a memria Definies de termos-chave Referncia aos comandos para verificar sua memria
71 Tabela 2-15 Referncia aos comandos de configurao do Captulo 2 Comando Descrio spanning-tree vlan vlan-number root primary spanning-tree vlan vlan-number root secondary spanning-tree [vlan vlan-idJ {priority priority} spanning-tree [vlan vlan-number]cost cost Comando de configurao global que altera a prioridade da bridge deste switch para a VLAN especificada Subcomando de interface que altera o custo do STP para o valor configurado

CCNA ICND2
Tabela 2-12 Relaciona as definies padro com as definies de configuraes opcionais do STP e comandos de configurao relacionados Duas ramificaes da lgica sobre como o comando spanning-tree root primary escolhe uma nova prioridade base do STP Estratgia para resolver problemas sobre STP nos exames

77

65

Lista

69

Lista

Imprima uma cpia do Apndice J, "Tabelas de memria", ou pelo menos a seo referente a este captulo, e complete as tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", inclui tabelas e listas completas para voc conferir o seu trabalho.

Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: porta alternativa, porta baclcup, Estado de Bloqueio, BRDU Guard, bridge ID, BPDU (bridge protocol data unit), porta designada, porta desativada, Estado de Descarte, EtherChannel, forward delay, Estado de Encaminhamento, Helio BPDU, IEEE 802.1d, IEEE 802.1s, IEEE 802.1 w, Helio inferior, Estado de Aprendizado, Estado de Escuta, MaxAge, PortFast, RSTP (Rapid Spanning Tree Protocol), porta raiz, switch raiz, STP (Spanning Tree Protocol).

Embora voc no precise necessariamente memorizar as informaes contidas nas tabelas desta seo, ela inclui uma referncia para os comandos de configurao e EXEC abordados neste captulo. Na prtica, voc deve memorizar os comandos como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de preparao para o exame. Para verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra o lado esquerdo da tabela com um pedao de papel, leia as descries do lado direito e veja se voc se lembra do comando.

Comando de configurao global que muda este switch para switch raiz. A prioridade do switch alterada para o menor valor entre 24,576 ou 4096 subtrado da prioridade atual da bridge raiz quando o comando foi emitido Comando de configurao global que define a prioridade base do STP deste switch em 28,672

channel-group channel-groupnumber mode {auto I desirable I on}

Subcomando de interface que ativa o EtherChannel na interface

spanning-tree portfast

Subcomando de interface que ativa o PortFast na interface

78 Captulo 2: Protocolo Spanning Tree


spanning-tree bpduguard enable spanning-tree mode {mst I rapidpvst I pvst} Subcomando de interface para ativar o BPDU Guard em uma interface Comando global para ativar o PVST+ e o 802.1d (pvst), o PVRST e o 802.1w (rapid-pvst), ou o IEEE 802.1s (mltiplas spanning trees) e 0802.1 w (mst)

Tabela 2-16 Referncia aos comandos EXEC do Captulo 2 Comando show spanning-tree show spanning-tree interface interface-id show spanning-tree vlan vlan-id show spanning-tree [vlan vlan-iJ root show spanning-tree [vlan vlan-iJ bridge debug spanning-tree events Descrio Relaciona detalhes sobre o estado do STP no switch, incluindo o estado de cada porta Relaciona as informaes do STP somente para a porta especificada Relaciona as informaes do STP para a VLAN especificada Relaciona as informaes sobre a raiz de cada VLAN ou somente para a VLAN especificada Relaciona as informaes do STP sobre o switch local para cada VLAN ou somente para a VLAN especificada Faz com que o switch fornea mensagens informativas sobre as alteraes feitas na topologia STP

show etherchannel [channel-group-number] Relaciona as informaes sobre o estado {brief I detaill port I port-channell summary} dos EtherChannels neste switch

ceNA ICND2

79

Este captulo aborda os seguintes assuntos:


Metodologias generalizadas para resoluo de problemas: esta seo apresenta discusses e opinies sobre como abordar problemas de comunicao em rede quando uma investigao geral do problema no identifica rapidamente a causa geradora.

Resolvendo problemas do plano de dados do LAN Switching: esta seo sugere vrios passos organizados para resolver problemas relacionados LAN Ethernet, com uma reviso detalhada de comandos e mtodos.

Prevendo a operao normal do plano de dados do LAN Switching: esta seo sugere como analisar figuras e os resultados do comando show em switches utilizando um modelo de LAN com switches para prever para onde um frame deve ser encaminhado.

CAPTULO Resolvendo Problemas de Lan Switching :

Este captulo, junto com o Captulo 7, "Resolvendo problemas de roteamento IP", e o Captulo 11, "Resolvendo problemas em protocolos de roteamento", tem uma funo importante: ajud-lo a desenvolver as habilidades necessrias para resolver problemas rapidamente e responder com confiana a certos tipos de questes nos exames. Ao mesmo tempo, espera-se que este captulo possa torn-lo mais preparado para resolver problemas reais de comunicao em rede.

Observao Para entender melhor por que a resoluo de problemas to importante para os exames, refira-se seo "Formato dos Exames CCNA" na introduo deste livro.
Os captulos relativos resoluo de problemas deste livro no tm o mesmo objetivo principal que os outros captulos. Colocando de forma simples, os captulos que no tratam da resoluo de problemas se concentram em recursos e fatos individuais sobre uma rea de tecnologia, enquanto os captulos voltados para a resoluo de problemas renem um conjunto de conceitos muito mais amplo. Esses captulos, voltados para a resoluo de problemas, investigam mais a fundo o mundo da comunicao em rede, concentrando-se em como as partes funcionam em conjunto, partindo do princpio de que voc j conhea os componentes individuais. Este captulo aborda a mesma tecnologia discutida nos outros captulos pertencentes a esta parte do livro (Captulo 1, "LANs virtuais", e Captulo 2, "Protocolo Spanning Tree") e os respectivos materiais que so pr-requisitos (conforme abordados no CCENT/CCNA rCNDI Guia Oficial de Certificao do Exame). Alm disso, como este captulo o primeiro voltado para a resoluo de problemas neste livro, ele tambm explica alguns conceitos gerais sobre a metodologia usada para resoluo de problemas.

Metodologias generalizadas para resoluo de problemas


: Tpicos fundamentais

: Questionrio "Eu j conheo isto?"


Como os captulos voltados para a resoluo de problemas deste livro utilizam conceitos de muitos outros captulos, incluindo alguns captulos do CCENT/CCNA rCNDI Guia Oficial de Certificao do Exame, e mostram como abordar algumas das questes mais desafiantes nos exames CCNA, aconselhvel ler esses captulos independentemente do seu nvel de conhecimento atual. Por tais razes, os captulos voltados para a resoluo de problemas no incluem o questionrio "Eu j conheo isto?". Entretanto, se voc se sente confiante com relao aos recursos de resoluo de problemas relacionados a LAN Switching, abordados neste livro e no CCENT/CCNA rCNDI Guia Oficial de Certificao do Exame, sinta-se vontade para passar direto seo "Atividades de preparao para o exame", prxima ao final deste captulo, saltando assim boa parte do captulo.

Este captulo composto de trs sees principais. A primeira seo se concentra no processo de resoluo de problemas como objetivo principal. A segunda seo explica como aplicar os mtodos gerais de resoluo de problemas, especificamente a um plano de dados do LAN Switching. A ltima seo apresenta algumas dicas e idias sobre tipos especficos de problemas relacionados a LAN Switching.

Observao As estratgias e os mtodos genricos para resoluo de problemas aqui descritos representam os meios para se chegar a um fim. No necessrio estudar esses

82 Captulo 3: Resolvendo Problemas de Lan Switching


processos ou memoriz-los para os propsitos do exame. Pelo contrrio, esses processos podem ajud-lo a raciocinar sobre os problemas do exame para que voc possa responder s questes com um pouco mais de rapidez e confiana.
Quando deparado com a necessidade de resolver um problema de comunicao em rede, todo mundo utiliza algum tipo de metodologia para resoluo de problemas, seja ela formal ou informal. Algumas pessoas gostam de comear verificando o cabeamento fsico e o status das interfaces de todos os links fsicos que pudessem afetar o problema. Outras gostam de comear juntando tudo que pudesse lhes dizer mais sobre o problema e depois ir mais a fundo nos detalhes. Outras chegam a tentar o que vier mente at que, intuitivamente, descubram o problema geral. Nenhum desses mtodos inerentemente bom ou ruim; j tentei todos esses mtodos, e outros mais, e at obtive algum sucesso com cada tipo de abordagem. Embora a maioria das pessoas desenvolva hbitos e estilos de resolver problemas que funcionam bem com base em suas prprias experincias e pontos fortes, uma metodologia mais sistemtica para resoluo de problemas pode ajudar qualquer pessoa a aprender como resolver problemas e obter maior sucesso. As sees a seguir descrevem uma dessas metodologias sistemticas de resoluo de problemas com o propsito de ajud-lo a se preparar para resolver problemas relacionados comunicao em rede nos exames CCNA. Essa metodologia de resoluo de problemas possui trs ramificaes principais, que geralmente ocorrem na ordem mostrada a seguir:

- Analisar/prever a operao normal: a descrio e a previso dos detalhes do que deve acontecer se a rede estiver funcionando corretamente, com base em documentao, na configurao e no resultado dos comandos show e debug. - Isolar o problema: quando algum possvel problema esti ver acontecendo, descubra os componentes que no funcionam corretamente em comparao com o comportamento previsto, baseado novamente em documentao, na configurao e nos resultados dos comandos show e debug. - Analisar a causa geradora: identifique as causas por trs dos problemas identificados no passo anterior, especificamente as causas que possuem uma ao especfica com a qual o problema possa ser resolvido.
Seguindo esses trs passos, o engenheiro dever saber como consertar o problema, e no s os sintomas do problema. A seguir, o texto explica algumas idias sobre como abordar cada passo do processo de resoluo de problemas.

Analisando e prevendo a operao normal da rede


A funo de qualquer rede entregar dados de um dispositivo do usurio final para outro. Para analisar uma rede, o engenheiro precisa entender a lgica utilizada por cada dispositivo consecutivo medida que ele encaminha os dados ao prximo dispositivo. Ao raciocinar sobre o que deve acontecer em cada dispositivo, o engenheiro consegue descrever o fluxo inteiro de dados. O termo plano de dados se refere a qualquer ao tomada pelos dispositivos de rede para o encaminhamento de um frame ou pacote individual. Para encaminhar cada frame ou pacote, o dispositivo aplica ao frame ou ao pacote sua lgica e seus processos referentes ao plano de dados. Quando o switch de uma LAN, por exemplo, recebe um frame em uma interface na VLAN 3, ele tomar uma deciso de encaminhamento com base nas entradas feitas na VLAN 3 na tabela de endereos MAC e encaminhar o pacote. Toda essa lgica faz parte do processamento do plano de dados de um switch. O termo plano de controle se refere aos processos que no precisam ser realizados para cada pacote ou frame. Pelo contrrio, alguns processos do plano de controle do suporte ao processo de encaminhamento. O VTP (VLAN Trunking Protocol) e os protocolos de roteamento IP so exemplos de processos de plano de controle. Outros processos de plano de controle s podem estar indiretamente relacionados ao plano de dados. Por exemplo, o CDP (Cisco Discovery Protocol) pode ser til para confrrmar a exatido da documentao da rede, mas pode ser desativado sem nenhum efeito sobre os processos de encaminhamento do plano de dados. Para prever a operao esperada de uma rede, ou para explicar os detalhes de como uma rede em funcionamento normal est operando no momento, aconselhvel comear investigando o plano de controle ou o plano de dados. Este texto mostra, primeiro, o plano de dados, mas na vida real voc pode escolher um ou outro com base nos sintomas conhecidos do problema.

CCNA ICND2

83

Anlise do plano de dados


A resoluo de problemas do plano de dados examina cada dispositivo pertencente ao trajeto de encaminhamento esperado para aqueles dados, na ordem. A anlise comea com o host criando os dados originais. Este host envia os dados para algum outro dispositivo, que, em seguida, envia os dados para outro dispositivo, e assim por diante, at que os dados alcancem o host na extremidade fmal. O host que recebe os dados normalmente envia algum tipo de resposta; portanto, para entender completamente como acontecem essas comunicaes, necessrio analisar o processo inverso tambm. De modo especial, os sintomas externos do problema normalmente identificam dois dispositivos do usurio final que no podem se comunicar, mas o problema que existe por trs disso tudo pode estar relacionado somente a frames ou pacotes que seguem em um nico sentido.
A no ser que os sintomas de um determinado problema j sugiram anteriormente em um problema especfico, a resoluo de problemas do plano de dados deve comear com uma anlise do plano de dados da Camada 3. Se voc comear com a Camada 3, conseguir ver os passos principais no envio e no recebimento de dados entre dois hosts. Em seguida, voc pode examinar mais de perto cada passo de encaminhamento da Camada 3, observando os detalhes das Camadas 1 e 2. Por exemplo, a Figura 3-1 mostra os seis principais passos de encaminhamento IP (plano de dados) em uma pequena rede.

Figura 3-1 Principais passos em um exemplo de encaminhamento IP

Para entender o comportamento esperado da Camada 3 neste caso, voc precisaria considerar como o pacote foi da esquerda para a direita e como a resposta flui da direita para a esquerda. Utilizando os seis passos apresentados na figura, pode-se fazer a seguinte anlise:

Passo 1 Pense no endereo IP e na mscara do PCl , no endereo IP e na mscara do PC2 e na lgica do PCl para entender que PC2 est em outra sub-rede. Isso faz com que PCl escolha enviar o pacote para a sua porta de comunicao padro (RI). Passo 2 Considere a lgica de encaminhamento de RI para combinar o endereo IP de destino do pacote com a tabela de roteamento de RI, com a expectativa de que RI escolha enviar o pacote para R2 em seguida. Passo 3 Em R2, considere a mesma lgica de combinao da tabela de roteamento utilizada em RI no passo anterior, utilizando a tabela de roteamento de R2. A entrada que combina deve ser uma rota conectada em R2. Passo 4 Este passo diz respeito ao pacote de respostas do PC2, que utiliza a mesma lgica bsica do Passo 1. Compare o endereo IP/mscara do PC2 com o endereo IP do PCl , observando que eles esto em sub-redes diferentes. Em conseqncia disso, PC2 deve enviar o pacote para a sua porta de comunicao padro, ou seja, R2. Passo 5 Considere a lgica de encaminhamento de R2 para pacotes destinados ao endereo IP de PCl, com a expectativa de que a rota que combina faa com que R2 envie esses pacotes para RI em seguida. Passo 6 O ltimo passo do roteamento, em RI, deve mostrar que um pacote destinado ao endereo IP de PCl combina com uma rota conectada em RI , o que faz com que RI envie o pacote diretamente ao endereo MAC de PC L
Depois de ter entendido bem os comportamentos esperados de cada passo na Camada 3, possvel examinar mais de perto a Camada 2. Seguindo a mesma ordem novamente, voc pode dar uma olhada mais de perto no primeiro passo referente ao roteamento da Camada 3 na Figura 3-1 (PCl enviando um pacote a RI), examinando os detalhes das Camadas 1 e 2 sobre como o frame enviado por PCl para ser entregue a RI, conforme mostrado na Figura 3-2.

84 Captulo 3: Resolvendo Problemas de Lan Switching


Figura 3-2 Principais passos no exemplo de encaminhamento de IAN Switching

Para essa anlise, voc novamente comearia com PC 1, desta vez considerando o cabealho e o trailer Ethernet, principalmente os endereos MAC da fonte e do destino. Em seguida, no Passo 2, voc consideraria a lgica de encaminhamento de SW1, que compara o endereo MAC de destino do frame com a tabela de endereos MAC de SW1, dizendo a SW1 para encaminhar o frame at SW2. Os Passos 3 e 4 repetiriam a lgica do Passo 2 de SW2 e SW3, respectivamente.

Anlise do plano de controle


Muitos processos do plano de controle afetam diretamente o processo do plano de dados. Por exemplo, o roteamento IP no pode funcionar sem as rotas IP adequadas, e, por isso, os roteadores utilizam um protocolo de roteamento dinmico - um protocolo de plano de controle - para aprender as rotas. Os protocolos de roteamento so considerados protocolos de plano de controle parciais porque o trabalho realizado por um protocolo de roteamento no tem de ser repetido para cada frame ou pacote. Embora os processos do plano de dados se entreguem a um processo de resoluo de problemas um pouco mais genrico examinando a lgica de encaminhamento em cada dispositivo, os processos do plano de controle diferem muito uns dos outros. Com isso, difcil acontecer um processo generalizado para resoluo de problemas. Entretanto, convm considerar um conjunto especfico de passos para resoluo de problemas para cada protocolo especfico do plano de controle. O Captulo 1, por exemplo, explica como abordar a resoluo de vrios tipos de problemas sobre VTP.

Prevendo operaes normais: resumo do processo


Nos exames, algumas questes vo simplesmente pedir que voc analise e preveja a operao normal de uma rede de trabalho. Em outros casos, prever o comportamento normal simplesmente um precursor para isolar e resolver um problema. Independentemente disso, se a questo no lhe d nenhuma dica especfica sobre a parte da rede na qual voc deve se concentrar, a lista a seguir apresenta o resumo de uma abordagem sugerida para encontrar as respostas: Passo 1 Examine o plano de dados da seguinte forma: a. Determine os principais passos da Camada 3 - incluindo o host de origem at o roteador padro, cada roteador at o prximo roteador, e o ltimo roteador at o host de destino - em ambos os sentidos. b. Para cada rede de Camada 2 entre um host e um roteador ou entre dois roteadores, analise a lgica de encaminhamento para cada dispositivo. Passo 2 Examine o plano de controle da seguinte forma: a. Identifique os protocolos do plano de controle que so utilizados e so essenciais para o processo de encaminhamento. b. Examine cada protocolo essencial de plano de controle para que se tenha uma operao adequada; os detalhes dessa anlise diferem para cada protocolo. c. Adie qualquer anlise dos protocolos do plano de controle que no afetem a operao correta do plano de dados at que voc consiga perceber claramente a necessidade de ter o protocolo para responder quela questo (por exemplo, CDP).

.'

Isolamento do problema
O processo de resoluo de problemas raramente um processo seqencial. Para frns de organizao, este captulo relaciona o isolamento de problemas como o segundo dos trs passos utilizados para resoluo de problemas. Entretanto,

CCNA ICND2

85

este passo mais provvel de acontecer assim que o primeiro passo (prevendo o comportamento normal) encontrar um problema. Portanto, embora as listas genricas mostradas nesta seo ajudem a oferecer uma estrutura sobre como resolver problemas, na prtica pode ser um pouco mais complicado. Quando voc no tiver idia de como proceder, a no ser, talvez, o fato de que dois hosts no conseguem se comunicar, novamente melhor comear com o plano de dados da Camada 3 - em outras palavras, a lgica de encaminhamento IP. Em seguida, quando encontrar um passo de encaminhamento IP que no funcione, examine este passo mais de perto para isolar ainda mais onde o problema est ocorrendo. Considere, por exemplo, a Figura 3-1 novamente, que mostra um pacote sendo entregue de PC1 a PC2, e vice-versa, em seis passos de roteamento. Neste caso, entretanto, voc determina que R2 receba o pacote, mas o pacote nunca entregue a PC2. Portanto, olhe mais de perto todo o processo de R2 atPC2 para isolar ainda mais o problema. Depois de isolar o problema em um nico passo de encaminhamento IP (como mostrado na Figura 3-1), voc deve continuar isolando ainda mais o problema at chegar ao menor nmero possvel de componentes. Por exemplo, se R2 recebe o pacote, mas PC2 no, o problema pode estar em R2, SW4, SW5, PC2, no cabeamento, ou possivelmente em dispositivos deixados de fora da documentao da rede. O processo utilizado para isolar ainda mais o problema normalmente requer pensar nas funes em vrias camadas do modelo OSI, bem como nas funes do plano de dados e do plano de controle. Continuando com o mesmo cenrio do problema-modelo, para conseguir encaminhar pacotes at PC2, R2 precisar saber o endereo MAC de PC2 conforme este foi aprendido atravs do ARP (Address Resolution Protocol, ou Protocolo de Resoluo de Endereos). Se descobrir que R2 no possui uma entrada ARP em PC2, possvel que voc seja tentado a pensar que exista algum tipo de problema relacionado a IP. Entretanto, esse problema pode ser causado pelo nofuncionamento do trunk SW4-SW5, o que significa que a solicitao ARP do IP de R2 - um broadcast na LAN no pode ser entregue a SW5 por SW4, e, depois, a PC2. Portanto, o problema com o processo de encaminhamento do pacote de R2 para PC2 pode estar relacionado a um protocolo de controle (ARP), mas a solicitao ARP que falhou pode ser causada ainda por outros dispositivos (a inatividade do trunk SW4-SW5), que podem muito bem ser um problema de Camada 2 ou de Camada 1. Se uma questo do exame no lhe der nenhuma dica sobre onde comear, o processo a seguir apresenta um resumo de uma boa estratgia geral e sistemtica para isolar o problema: Passo 1 Comece examinando o plano de dados da Camada 3 (encaminhamento IP), comparando os resultados com o comportamento normal e esperado, at identificar o primeiro passo que falhar no roteamento. Passo 2 Isole o problema ainda mais at chegar ao menor nmero possvel de componentes: a. Examine as funes em todas as camadas, mas concentre-se nas Camadas 1, 2 e 3. b. Examine as funes do plano de dados e do plano de controle. Nos exames, lembre-se de que voc no ganha pontos extras por usar bons mtodos de resoluo de problemas; portanto, simplesmente encontre a resposta da forma que puder, mesmo que isso signifique que voc tenha usado um pouco de adivinhao com base no contexto da questo. Por exemplo, o processo sugerido no Passo 2A diz para concentrar-se nas Camadas 1, 2 e 3; essa sugesto baseada no fato de que os exames CCNA concentram principalmente nessas trs camadas. Mas voc deve procurar usar atalhos em tal processo tanto quanto possvel com base no que a questo apresenta.

Anlise da causa geradora


O ltimo dos trs passos, ou seja, a anlise da causa geradora, tenta finalizar o processo de resoluo de problemas para identificar o dispositivo e a funo especficos que precisam ser resolvidos. A causa geradora a verdadeira razo pela qual o problema ocorreu e, ainda mais importante, a funo que, quando consertada, resolve aquele determinado problema. Encontrar a causa geradora extremamente importante porque ela, ao contrrio de muitos problemas identificados atravs do processo de isolamento de problemas, possui uma soluo especfica associada a ela. Por exemplo, continuando o mesmo problema em que R2 no consegue encaminhar pacotes para PC2, considere a lista de problemas identificados atravs do isolamento de problemas:

86 Captulo 3: Resolvendo Problemas de Lan Switching


- R2 no consegue encaminhar pacotes para PC2. - R2 no recebe nenhuma resposta ARP de PC2. - A interface de SW4 para o trunk com SW5 est em estado inativo/inativo. - O cabo utilizado entre SW4 e SW5 utiliza os pinos de cabeamento errados. Todas essas afirmativas podem ser verdadeiras com relao ao cenrio de um problema em particular, mas somente o ltimo item apresenta uma soluo bvia e factvel (substituir por um cabo corretamente ligado). Embora as outras afirmativas sejam fatos vlidos e importantes descobertos durante o isolamento do problema, elas no identificam a ao especfica a ser tomada para resolver o problema. Em conseqncia disso, a anlise da causa geradora se reduz a duas afirmativas simples:

Passo 1 Continue isolando o problema at identificar a verdadeira causa geradora, que, por sua vez, apresente uma
soluo bvia.

Passo 2 Se no puder reduzir o problema sua verdadeira causa geradora, isole o problema o tanto quanto possvel,
e mude algo na rede que possivelmente faa mudar os sintomas e ajud-lo a identificar a causa geradora.

o mundo real

versus os exames

No exame, voc deve procurar dicas sobre o tpico geral em relao ao qual voc precisa realizar parte do processo de resoluo de problemas. Se a figura, por exemplo, mostrar uma rede como a da Figura 3-1, mas todas as respostas de mltipla escolha se referirem a VLANs e VTP, comece observando o ambiente de LAN. Observe que, ainda assim, talvez valha a pena considerar as Camadas de 1 a 3, e os detalhes dos planos de dados e de controle, para ajud-lo a encontrar as respostas.

Observao Esta seo se aplica resoluo de problemas de forma geral, mas includa apenas neste captulo porque este o primeiro captulo do livro dedicado a resoluo de problemas.

Resolvendo problemas do plano de dados de LAN Switching


As estratgias genricas para resoluo de problemas explicadas at ento neste captulo sugerem comear com o processo de roteamento IP na Camada 3. Se o engenheiro identificar um problema em um determinado passo do processo de encaminhamento IP, o prximo passo dever ser examinar mais de perto aquele passo do roteamento, incluindo a observao do status da Camada 1 e 2. As sees a seguir examinam as ferramentas e os processos utilizados para resolver problemas encontrados nos processos do plano de dados de LANs nas Camadas 1 e 2. O restante deste captulo considera que no exista nenhum problema na Camada 3; os Captulos de 7 a 11 examinam a resoluo de problemas da Camada 3. Este captulo tambm faz algumas referncias aos protocolos do plano de controle, especificamente o VTP e o STP (Spanning Tree Protocol). Mas o VTP e o STP j foram bastante abordados nos dois captulos anteriores. Portanto, essas sees concentram-se especificamente no plano de dados de LAN Switching. Essas sees comeam com uma reviso dos processos de encaminhamento dos switches de LAN s e uma introduo aos quatro principais passos do processo de resoluo de problemas de LAN Switching, como sugerido neste captulo. Em seguida, o texto examina cada um desses quatro passos em seqncia. Por ltimo, apresentado um exemplo de como aplicar o processo de resoluo de problemas.

Viso geral do processo normal de encaminhamento dos switches


O processo de encaminhamento dos switches, descrito em detalhe no CCENT/CCNA ICNDJ Guia Oficial de Certificao do Exame, no Captulo 7, relativamente simples. Entretanto, antes de dar uma olhada mais de perto em como utilizar o resultado do comando show para prever a operao normal e isolar a causa geradora de um problema de encaminhamento, aconselhvel revisar o que um switch pensa sobre o processo de encaminhamento quando no existe nenhum problema. Os seguintes passos do processo esboam essa lgica:

CCNA ICND2
Passo 1 Determine a VLAN na qual o frame deve ser encaminhado, da seguinte forma:

87

a. Se o frame chega em uma interface de acesso, utilize a VLAN de acesso da interface.


b. Se o frame
ch~ga

em uma interface de trunk, utilize a VLAN listada no cabealho do trunking do frame.

Passo 2 Se a interface de entrada estiver no Estado STP de Encaminhamento ou de Aprendizado naquela VLAN, acrescente o endereo MAC da fonte tabela de endereos MAC, com a interface de entrada e o VLAN ID (caso j no esteja na tabela). Passo 3 Se a interface de entrada no estiver em Estado STP de Encaminhamento naquela VLAN, descarte o frame. Passo 4 Procure o endereo MAC de destino do frame na tabela de endereos MAC, mas somente para as entradas feitas na VLAN identificada no Passo 1. Se o MAC de destino for encontrado ou no, faa da seguinte forma: a. Encontrado: encaminhe o frame atravs da nica interface listada na entrada compatvel da tabela de endereos

b. No-encontrado: distribua o frame atravs de todas as portas de acesso naquela mesma VLAN que estejam em
Estado STP de Encaminhamento e atravs de todas as portas trunk que listem essa VLAN como completamente aceita (na lista permitida, Encaminhamento STP ativo no-suprimido) Para encaminhar um frame, um switch deve primeiramente determinar em qual VLAN o frame deve ser encaminhado (Passo 1), aprender os endereos MAC da fonte conforme necessrio (Passo 2), e, em seguida, escolher para onde encaminhar o frame. S para confirmar se o processo est claro, considere um exemplo utilizando a Figura 3-3, no qual PC1 envia um frame sua porta de comunicao padro, R1, com os endereos MAC mostrados na figura. Figura 3-3 Rede com switches utilizada na anlise no Captulo 3
0200.1111.1111

VLAN de acesso 3
FaOl10 FaOl1 0200.0101.0101

Neste caso, considere o frame como enviado de PC1 (MAC da fonte 0200.1111.1111) para R1 (MAC de destino 0200.0101.0101). SW1, utilizando o Passo 1 do resumo da lgica de encaminhamento, determina se a interface FaO/11 est operando como uma interface de acesso ou de trunk. Nesse caso, uma interface de acesso atribuda VLAN 3. No Passo 2, SW1 acrescenta uma entrada sua tabela de endereos MAC, listando o endereo MAC 0200.1111.1111, a interface FaO/11 e a VLAN 3. No Passo 3, SW1 confirma que a interface de entrada, FaO/11, est em Estado STP de Encaminhamento. Finalmente, no Passo 4, SW1 procura uma entrada com o endereo MAC 0200.0101.0101 na VLAN 3. Se SW1 encontrar uma entrada que liste a interface GigabitO/1, ele encaminha o frame somente atravs de GiO/1. Se a interface de sada (GiO/1) for uma interface de trunk, SW1 acrescenta um cabealho de trunking de VLAN que lista a VLAN 3 e o VLAN ID determinado no Passo 1. Como outro exemplo um pouco diferente, considere um broadcast enviado por PC1. Os Passos de 1 a 3 ocorrem como antes, mas no Passo 4, SW1 distribui o frame. No entanto, SW3 s distribui o frame atravs das portas de acesso na VLAN 3 e das portas de trunk que aceitam VLAN 3, com a restrio de que SW1 no encaminhar uma cpia do frame atravs das portas que no estejam em Estado STP de Encaminhamento. Embora essa lgica de encaminhamento seja relativamente simples, o processo de resoluo de problemas requer a aplicao de quase todos os conceitos relacionados a LANs encontrados nos livros ICND1 e ICND2, alm de outros tpicos tambm. Ao saber, por exemplo, que PC1 envia primeiramente frames a SW1, faz sentido verificar o status da

88 Captulo 3: Resolvendo Problemas de Lan Switching

interface, assegurar-se de que a interf~ce esteja funcionando perfeitamente e consertar o problema da interface, caso ela . no esteja funcionando corretamente. E possvel que dezenas de itens precisem ser verificados para resolver um problema . Portanto, este captulo sugere um processo de resoluo de problemas para o plano de dados de uma LAN organizando as aes em quatro passos principais: Passo 1 Confirme os diagramas de rede utilizando CDP. Passo 2 Isole os problemas das interfaces. Passo 3 Isole problemas de filtragem e de segurana de portas. Passo 4 Isole problemas de VLANs e de trunking. As quatro prximas sees revisam e explicam os conceitos e ferramentas usados para executar cada um desses quatro passos. Embora alguns fatos e algumas informaes sejam novos, a maioria dos conceitos especficos existentes por trs do processo j foi abordada, seja no CCENT/CCNA ICNDI Guia Oficial de Certificao do Exame ou nos Captulos 1 e 2 deste livro. O principal objetivo ajud-lo a juntar todos os conceitos para que a anlise de cenrios especficos como ser necessrio nos exames - demore um pouco menos com uma maior chance de sucesso. Observao As duas prximas sees, "Passo 1: Confirme os diagramas utilizando CDP", e ''Passo 2: Isole os problemas das interfaces", so abordadas no Captulo 10 do livro ICND1. Se estiver lendo os dois livros para se preparar para o exame CCNA, no necessrio ler essas sees deste captulo nem as sees que recebem ttulos parecidos no Captulo 10 do ICND1. Se estiver lendo os dois livros, sinta-se vontade para passar direto para a seo "Passo 3: Isole problemas de r.Jtragem e de segurana de portas". Passo 1: Conftrme os diagramas de rede utilizando CDP O CDP (Cisco Discovery Protocol) pode ser til para verificar as informaes contidas nos diagramas de rede bem como para completar o resto das informaes necessrias sobre os dispositivos e a topologia. Na vida real, os diagramas de rede podem ser antigos e estar desatualizados, podendo acarretar problemas porque algum trocou algum cabo e no atualizou os diagramas. Duvido que a Cisco criasse uma questo com informaes propositalmente incorretas na figura associada questo, mas o exame pode facilmente incluir questes para as quais o diagramas de rede no apresentem todas as informaes necessrias e voc pode ter de utilizar o CDP para encontrar o resto dos detalhes. Portanto, esta seo revisa o CDP, e, para isso, um bom primeiro passo para resoluo de problemas do plano de dados de uma LAN o seguinte: Passo 1 Verifique a exatido e complete as informaes apresentadas no diagrama de rede utilizando o CDP. Observao Este captulo mostra uma srie de passos numerados para a resoluo de problemas de LAN Switching, comeados aqui com o Passo 1. Os passos e suas numeraes no so importantes para o exame; os passos so numerados neste captulo para facilitar a referncia. Os roteadores, switches e outros dispositivos Cisco utilizam o CDP por vrias razes, mas os roteadores e os switches o utilizam para anunciar informaes bsicas sobre cada um deles aos seus vizinhos - informaes como, por exemplo, o hostname, o tipo de dispositivo, a verso do lOS e os nmeros das interfaces. Trs comandos em particular apresentam as informaes do CDP adquiridas dos vizinhos, conforme mostrado na Tabela 3-1. De fato, em casos em que no exista nenhum diagrama, o engenheiro poderia criar um diagrama de roteadores e switches utilizando o resultado do comando show cdp. Tabela 3-1 Comandos show cdp que apresentam informaes sobre vizinhos Comando show cdp neighbors [type number] Descrio Apresenta uma linha de resumo com as informaes sobre cada vizinho ou simplesmente o vizinho encontrado em uma interface especfica caso seja listada uma interface

CCNA ICND2
show cdp neighbors detail show cdp entry name

89

Apresenta um conjunto grande de informaes (aproximadamente 15 linhas), um conjunto para cada vizinho Apresenta as mesmas informaes do comando show cdp neighbors detail, mas apenas para o vizinho cujo nome foi indicado

. ---------------------------------------------------------------------------------------------------------------------A nica parte complicada do processo de comparao do resultado do CDP com um diagrama que o resultado relaciona duas interfaces ou portas em vrias linhas. Lendo da esquerda para a direita, o resultado normalmente apresenta o host name do dispositivo vizinho sob o ttulo de "Device ID" ("ID do Dispositivo"). Entretanto, o ttulo seguinte "Local Intrfce", que significa "interface local", o nome/nmero da interface do dispositivo local. O nome/nmero da interface do dispositivo vizinho fica no lado direito do resultado do comando sob o ttulo de "Port ID". O Exemplo 3-1 apresenta um exemplo do comando show cdp neighbors de SW2 na Figura 3-3. Compare as partes sombreadas do resultado do comando com os detalhes incorretos na Figura 3-3 para ver quais campos listam as interfaces para quais dispositivos.

Exemplo 3-1 Exemplo de comando show cdp


SW2#show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host , 1 - lGMP , r - Repeater, oevi ce 10 SW1 RI
~

P - Phone Platform WS-C2960-2 Fas 0/1 Port 10 Gig 0 / 1

Lo ca l

lntrfc e

Holdtme

Capability S 1 1841

Gig 0 / 2 Fas 0 / 10 139

173
R S 1

O CDP, quando ativado, cria uma exposio de segurana. Para evitar essa exposio, que pode permitir que um hacker saiba dos detalhes sobre cada switch, o CDP pode ser facilmente desativado. A Cisco recomenda que o CDP seja ativado em todas as interfaces que no necessitem dele especificamente. As interfaces mais provveis que precisam utilizar o CDP so as interfaces conectadas a outros roteadores ou switches Cisco e as interfaces conectadas a telefones Cisco IP. Do contrrio, o CDP pode ser desativado por interface utilizando o subcomando de interface no cdp enable. (O subcomando de interface cdp enable reativa o CDP). O comando global no cdp run desativa o CDP para o switch inteiro, e o comando global cdp run reativa o CDP globalmente.

Passo 2: Isole os problemas das interfaces


A interface de um switch Cisco deve estar em estado de funcionamento para que o switch possa processar frames recebidos na interface ou enviar frames atravs desta interface. Um passo um tanto bvio na resoluo de problemas deve ser examinar o estado de cada interface, especificamente aquelas que se espera que sejam utilizadas para encaminhar frames, e verificar se as interfaces esto funcionando perfeitamente. Esta seo examina os possveis estados das interfaces em um switch Cisco baseado no lOS, apresenta as causas geradoras para estados de no-funcionamento e aborda um problema comum que ocorre mesmo quando a interface parece estar em estado de funcionamento. As tarefas especficas para este passo podem ser resumidas atravs dos seguintes passos de resoluo de problemas:

Passo 2 Verifique a existncia de problemas nas interfaces da seguinte forma: a. Determine o cdigo de status da interface para cada interface necessria e, se no estiver em estado connect (conectado) ou ativo/ativo (up/up), resolva os problemas at que a interface atinja o estado connect ou ativo/ativo.

b. Para interfaces que estejam em estado connect (ativo/ativo), verifique tambm a existncia de dois outros problemas:
erros de combinao duplex e algumas variaes de segurana de portas que propositalmente entregam frames.

Cdigos de status de interfaces e razes para os estados de no-funcionamento


Os switches Cisco utilizam dois conjuntos diferentes de cdigos de status: um conjunto de dois cdigos (palavras), que utiliza as mesmas convenes dos cdigos de status de interfaces de roteadores, e outro conjunto com um nico cdigo (palavra). Ambos os conjuntos de cdigos de status podem determinar se uma interface est funcionando.

Os comandos de switches show interfaces e show interfaces description apresentam o status formado pelos dois cdigos assim como roteadores. Os dois cdigos so chamados de status de linha (tine status) e status de protocolo (protocol status), onde os

90 Captulo 3: Resolvendo Problemas de Lan Switching

cdigos geralmente se referem ao fato de a Camada 1 ou a Camada 2 estarem funcionando, respectivamente. As interfaces de switches de uma LAN normalmente mostram uma interface com os dois cdigos "up"(ativos) ou os dois cdigos "down" (inativos), pois todas as interfaces dos switches utilizam os mesmos protocolos de enlace Ethernet; portanto, o protocolo de camada de enlace nunca dever apresentar problema.

----------------------------------------------------- . Observao Este livro se refere a esses dois cdigos de status resumidamente listando
------------~--------------~--~~~~---------- .

somente os dois cdigos com uma barra entre eles; por exemplo, ''up/up''(ativo/ativo).

o comando show interfaces status apresenta um nico cdigo de status de interface. Esse nico cdigo de status de interface corresponde a combinaes diferentes dos cdigos de status de interfaces tradicionais, formados por dois cdigos, e pode ser facilmente correlacionado queles cdigos. O comando show interfaces status, por exemplo, apresenta um estado "connect" (conectado) para interfaces em funcionamento, que corresponde ao estado "up/up" (ativo/ativo) visto nos comandos show interfaces e show interfaces description.
Qualquer estado da interface, que no sejam os estados connect ou ativo/ativo, significa que o switch no consegue encaminhar ou receber frames naquela interface. Cada estado de interface que no esteja funcionando tem um pequeno conjunto de causas geradoras. Alm disso, observe que os exames poderiam facilmente fazer uma pergunta que mostrasse somente um ou outro tipo de cdigo de status; portanto, para estar preparado para os exames, saiba os significados dos dois conjuntos de cdigos de status de interfaces. A Tabela 3-2 apresenta as combinaes de cdigo e algumas causas geradoras que poderiam ter provocado um status de interface especfico.

Tabela 3-2 Cdigos de status de interfaces de switches de uma LAN Status de linha (Line Status)
admin. inativo (admin down) inativo (down)

Status de protocolo (protocol Status)


inativo (down) inativo (down)

Status de interface

Tpica causa geradora

'. Chave

/;~;;~o
....

desati vado (disabled) no-conectado (not connect)

Interface configurada com o comando

shutdown
Nenhum cabo; cabo ruim; pinos do cabo errados; velocidades inadequadas nos dois dispositivos conectados; dispositivo na outra extremidade do cabo est desligado ou a outra interface est fechada No esperado em interfaces dos switches de uma LAN desativado para erros (err-disabled) A segurana das portas (port security) desativou a interface A interface est funcionando

ativo (up) inativo (down)

inativo (down) inativo (down)

no-conectado (not connect) (desativado para erros) (err-disabled) conectado (connect)

ativo (up)

ativo (up)

Estado notconnect e pinagem do cabeamento


A Tabela 3-2 apresenta vrias razes pelas quais a interface de um switch pode estar no estado notconnect. A maioria dessas razes no precisa de muito mais explicao do que o que j se encontra no texto da tabela. Se uma interface, por exemplo, estiver conectada a outro switch, e a interface estiver em estado notconnect, verifique o outro switch para saber se a interface dele foi desativada (shutdown). No entanto, uma das razes para o estado notconnect - pinagem dos cabos incorretos - merece um pouco mais de ateno por ser um erro comum e por no ser abordado neste livro. (pinagem do cabeamento Ethernet so abordados no Captulo 3 do CCENT/CCNA fCNDi Guia Oficial de Certificao do Exame.) Os padres de cabeamento UTP (Unshielded Twisted Pair, ou Par Tranado sem Blindagem) Ethernet especificam os pinos aos quais cada um dos fios deve se conectar nos conectores RJ/45 nas extremidades do cabo. Os dispositivos transmitem utilizando pares de fios, em que o lOBASE-T e o lOOBASE-Tx utilizam dois pares: um para transmitir e um

CCNA ICND2

91

para receber dados. Ao conectar dois dispositivos que utilizam o mesmo par de pinos para transmitir, o cabo - um cabo de cross over - deve conectar ou cruzar os fios conectados ao par de transmisso de cada dispositivo at o par de recepo do outro dispositivo. Do contrrio, dispositivos que j utilizem pares opostos para transmisso de dados precisam de um cabo contnuo (cabo straight-through) que no cruze os pares. A Figura 3-4 mostra um exemplo de uma LAN tpica de switches, mostrando os tipos de pinagem do cabeamento.

Figura 3-4 Exemplo de uso de cabos de cross over e contnuos (straight-through)


Prdio 1 Prdio 2

:, Chave

/~~~~o
...

_ _+-_ Cabos Contnuos - - 1 - -__

Cabos de Cabos

1 - - - - Contnuos

Uma resoluo de problemas eficaz requer o conhecimento de quais dispositivos transmitem em quais reas. A Tabela 33 apresenta os dispositivos mais comuns vistos no contexto do CCNA, junto com os pares utilizados. Observe que ao conectar dois tipos de dispositivos da mesma coluna, necessrio um cabo de cross over; ao conectar dois dispositivos de colunas diferentes da tabela, necessrio um cabo contnuo (straight-through). /~:~;~o
:,Chave

Tabela 3-3 Pares de pinos 1OBA SE- T e 1OOBASE-Tx utilizados Dispositivos que transmitem em 1,2 e recebem em 3,6
NlCs do PC Roteadores Pontos de acesso sem fio AP (wireless access points) (interface Ethernet) Impressoras de rede conectadas a Ethernet

...

Dispositivos que trammitem em 3,6 e recebem em 1,2


Hubs Switches

Questes sobre a velocidade da interface e do duplex


As interfaces de switches podem encontrar suas definies de velocidades e duplex de vrias formas. De acordo com o padro, as interfaces que utilizam fiao de cobre e so capazes de mltiplas definies de velocidades e duplex utilizam o processo de negociao automtica do padro IEEE (IEEE 802.3x). Por outro lado, interfaces de switches, roteadores e a maior parte dos NlCs (Network Inteiface Cards, ou cartes de interface da rede) tambm podem ser configurados para utilizar uma velocidade especfica ou uma definio de duplex especfica. Em switches e roteadores, o subcomando de interface speed {lO 1100 11000} com o subcomando de interface duplex {balf 1 full} definem esses valores. Observe que configurar a velocidade e o duplex em uma interface do switch desativa o processo de negociao automtica do padro IEEE naquela interface. Os comandos sbow interfaces e sbow interfaces status apresentam as definies de velocidade e duplex em uma interface, conforme mostrado no Exemplo 3-2.

Exemplo 3-2 Exibindo as definies de velocidade e duplex em inteifaces de switches


SW1# show interfaces status Port FaO / l FaO / 2 FaO / 3 Name Status notconnect notconnect notconnect Vlan
1 1 1

Duplex auto auto auto

Speed auto auto auto

Type lO / lOOBaseTX lO / lOOBaseTX lO / lOOBaseTX

92 Captulo 3: Resolvendo Problemas de Lan Switching


FaO/4 FaO/5 FaO/6 FaOI7 FaO/8 FaO/9 FaO/10 FaO/ll FaO/12 FaO/13 FaO/14 FaO/15 FaO/16 FaO/17 FaO/18 FaO/19 FaO/20 FaO/21 FaO/22 FaO/23 FaO/24 GiO/1 GiO/2 connected connected notconnect notconnect notconnect notconnect notconnect connected connected connected disabled notconnect notconnect connected notconnect notconnect notconnect notconnect notconnect notconnect notconnect connected notconnect 1 1 1 1 1 1 1 1 1 1 1 3 3 1 1 1 1 1 1 1 1 trunk 1 a-full a-full auto auto auto auto auto a-full half a-full auto auto auto a-full auto auto auto auto auto auto auto full auto a-100 a-100 auto auto auto auto auto 10 100 a-100 auto auto auto a-100 auto auto auto auto auto auto auto 1000 auto 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100BaseTX 10/100/1000BaseTX 10/100/1000BaseTX

SW1# s how int e r f a c es faO /13

FastEthernetO/13 is up,

line protocol is up (connected)

Hardware is Fast Ethernet, address is 0019.e86a.6f8d (bia 0019.e86a.6f8d) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, Encapsulation ARPA,
1 -

txload 1/255, rxload 1/255

loopback not set

Keepalive set (10 sec)

1 -

Full-duplex, 100Mb/s, media type is 10/100BaseTX input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:05, output 00:00:00, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: O

Queueing strategy: fifo Output queue: 0/40 (size/max) O packets/sec O packets/sec

5 minute input rate O bits/sec, 5 minute output rate O bits/sec,

85022 packets input, 10008976 bytes, O no buffer Received 284 broadcasts O runts, O giants, (O multicast)

O throttles O overrun, O ignored

O input errors, O CRC, O frame, O watchdog, 281 multicast,

O pause input

O input packets with dribble condition detected 95226 packets output, 10849674 bytes, O output errors, O underruns

O collisions, 1 interface resets O deferred

O babbles, O late collision, O lost carrier,

O no carrier, O PAUSE output O output buffers swapped out

O output buffer failures,

CCNA ICND2

93

Embora os dois comandos possam ser teis, apenas o comando show interfaces status indica como o switch determinou as defInies de velocidade e duplex. O resultado do comando apresenta as defInies negociadas automaticamente com um "a_". Por exemplo, "a-full" signifIca full-duplex negociado automaticamente, ao passo que "full" signifIca full-duplex, porm, confIgurado manualmente. O exemplo destaca o resultado do comando sombreado indicando que a velocidade e o duplex das interfaces FaO/12 do switch no foram encontrados atravs da negociao automtica, mas FaO/13, na verdade, utilizou a negociao automtica. Observe que o comando show interfaces FaO/13 (sem a opo status) simplesmente apresenta a velocidade e o duplex para a interface FaO/13, sem nada indicando que os valores foram aprendidos atravs da negociao automtica. Os switches Cisco possuem alguns recursos interessantes referentes a velocidade das interfaces que podem ajud-lo a determinar alguns tipos de problemas encontrados em interfaces. Se a interface de um switch Cisco tiver sido confIgurada para utilizar uma determinada velocidade, e a velocidade no combinar com o dispositivo na outra extremidade do cabo, a interface do switch fIcar em estado notconnect ou inativo/inativo (downldown). Entretanto, esse tipo de erro de combinao de velocidades s pode ocorrer quando a velocidade tiver sido confIgurada manualmente no switch. As interfaces de um switch Cisco que no tenham o comando speed confIgurado podem automaticamente detectar a velocidade utilizada pelo outro dispositivo - mesmo que o outro dispositivo que desligue o processo de negociao automtica IEEE - e utilizar aquela velocidade. Na Figura 3-3, por exemplo, imagine que a interface GiO/2 de SW2 tenha sido confIgurada com os comandos speed 100 e duplex half (defInies no-recomendadas em uma interface Gigabit, a propsito). SW2 utilizaria essas defInies e desativaria o processo de negociao automtica do padro IEEE porque os comandos speed e duplex foram confIgurados. Se a interface GiO/l de SWl no tivesse um comando speed confIgurado, SWl, ainda assim, reconheceria a velocidade (100 Mbps) - embora SW2 no utilizasse a negociao padro IEEE - e SWl tambm utilizaria uma velocidade de 100 Mbps. O Exemplo 3-3 mostra os resultados deste caso especfIco sobre SWl. Exemplo 3-3 Exibindo as definies de velocidade e duplex em interfaces de switches
SW # show interfaces giO/l status 1

Port
GiO/1

Name

Status conne c t e d

Vlan t r unk

Duplex a-half

Speed a-100

Type lO/ l OO/ l OOOBaseTX

A velocidade e o duplex ainda aparecem com um prefIxo "a-" no exemplo, indicando negociao automtica. O motivo que, neste caso, a velocidade foi encontrada automaticamente, e a defInio duplex foi escolhida por causa dos valores padro utilizados pelo processo de negociao automtica IEEE. Os padres IEEE dizem que para portas rodando a 100 Mbps, se a negociao automtica falhar, deve-se utilizar uma defInio padro half-duplex. Encontrar um erro de combinao duplex pode ser muito mais difcil do que achar um erro de combinao de velocidade porque, se as definies duplex no combinarem nas extremidades de um segmento Ethernet, a interface do switch estar em estado connect (conectado) (ativo/ativo). Neste caso, a interface funciona, mas pode funcionar precariamente, apresentando mau desempenho e sintomas de problemas intermitentes. O motivo que o dispositivo que utiliza o half-duplex faz uso da lgica CSMNCD (camer sense multipie access collision detect), querendo enviar ao receber um frame, acreditando que as colises ocorrem quando, na verdade, isso no acontece fIsicamente, e parando de enviar frames porque o switch pensa que ocorreu uma coliso. Com um trfego bastante carregado, a interface poderia estar em estado connect, mas ser essencialmente intil para a transmisso do trfego, at mesmo provocando a perda de mensagens vitais de VTP e STP. Para identifIcar problemas de erro de combinao de duplex, tente a seguintes aes: Utilize comandos como show interfaces em cada extremidade do link para confIrmar a defInio de duplex em cada extremidade.

/;~~;;,., \ Chave ....

Fique atento aos aumentos em certos contadores nas interfaces half-duplex. Os contadores - runts (pacotes muito pequenos resultantes de colises de pacotes), colises e colises tardias - ocorrem quando o outro dispositivo utiliza fu1l-duplex. (Observe que estes contadores tambm podem aumentar quando tambm ocorrem colises legtimas).

O Exemplo 3-2 (apresentado anteriormente nesta seo) utiliza o sombreamento para indicar esses contadores no resultado do comando show interfaces. A causa geradora dos erros de combinao de duplex pode estar relacionada aos padres escolhidos pelo processo de negociao automtica IEEE (autonegociao). Quando um dispositivo tenta a negociao automtica, e o outro no responde, o primeiro escolhe a defInio duplex padro com base na atual velocidade. As defInies duplex padro, de acordo com o IEEE, so escolhidas da seguinte forma:

94 Captulo 3: Resolvendo Problemas de Lan Switching


Se a velocidade for 10 ou 100 Mbps, usar o padro half-duplex. Se a velocidade for 1000 Mbps, usar o padro full-duplex. Observao full-duplex.

/;~~;~o
'--Chave ".

As interfaces Ethernet que utilizam velocidades maiores que 1 Gbps utilizam

Passo 3: Isole problemas de filtragem e de segurana de portas


Falando de um modo geral, qualquer anlise do processo de encaminhamento deve considerar qualquer recurso de segurana que possa descartar alguns frames ou pacotes. Por exemplo, roteadores e switches podem ser configurados com ACL (access contrai lists, ou listas de controle de acesso) que examinam os pacotes e os frames enviados ou recebidos em uma interface, com o roteador ou o switch descartando aqueles pacotes/frames. Os exames CCNA no incluem a abordagem de ACLs de switches, mas abordam um recurso semelhante chamado segurana de porta. Conforme abordado no CCENT/CCNA ICNDJ Guia Oficial de Certificao do Exame, no Captulo 9, o recurso de segurana de portas pode ser utilizado para fazer com que o switch descarte alguns frames enviados para dentro e para fora de uma interface. A segurana de portas tem trs recursos bsicos com os quais possvel determinar quais frames devem ser filtrados: Limita quais endereos MAC especficos podem enviar e receber frames na interface de um switch, descartando frames destinados e provenientes de outros endereos MAC. Limita o nmero de endereos MAC que utilizam a interface, descartando frames destinados e provenientes de /~:~;~o endereos MAC aprendidos depois do limite mximo ter sido atingido. Uma combinao dos dois pontos anteriores.
\ Chave

....

O primeiro passo na resoluo de problemas referentes segurana de portas deve ser encontrar quais interfaces tem a segurana de portas ativada, determinando, em seguida, se alguma violao est atualmente ocorrendo. A parte mais complicada est relacionada s diferenas naquilo que o lOS faz em relao s violaes com base no subcomando de interface switchport port-security violation, que diz ao switch o que fazer quando ocorre uma violao. O processo geral o seguinte: Passo 3 Verifique a existncia de problemas na segurana de portas da seguinte forma: a. Identifique todas as interfaces nas quais a segurana de portas est ativada (show running-config ou show portsecurity). b. Determine se a violao de segurana est atualmente ocorrendo baseada, em parte, no modo de violao da configurao da segurana de portas da interface, da seguinte forma: - shutdown: A interface estar em estado err-disabled. - restrict: A interface estar em estado connect, mas o comando show port-security interface mostrar um aumento no contador de violaes. - protect: A interface estar em estado connect, e o comando show port-security interface no mostrar nenhum aumento no contador de violaes. c. Em todos os casos, compare a configurao de segurana das portas com o diagrama bem como o campo "last source address" ('ltimo endereo fonte") no resultado do comando show port-security interface. Uma das dificuldades ao resolver problemas relacionados segurana de portas est relacionada com o fato de que algumas configuraes de segurana de portas descartam apenas os frames ofensivos, mas no desativam a interface em conseqncia disso, tudo baseado no modo de violao configurado. Todos os trs modos de violao descartam o trfego conforme ditado pela configurao. Se, por exemplo, somente um endereo MAC pr-definido como 0200.1111.1111 permitido, o switch descarta todo o trfego naquela interface, com exceo do trfego que chega e parte de 0200.1111.1111. Entretanto, o modo shutdown faz com que todo o trfego futuro seja descartado - at mesmo trfego legtimo proveniente do endereo 0200.1111.1111 - aps a ocorrncia de uma violao. A Tabela 3-4 resume alguns dos pontos principais para facilitar o estudo.

CCNA ICND2
Tabela 3-4 Comportamento da segurana de portas baseado no modo de violao Modo de violao Descarta o trfego ofensivo da interface Sim Sim Sim Descarta todo o trfego no estado err-disabled Sim No No

95

6~~o ....

Resultados Aumento nos contadores das violaes da interface para cada nova violao Sim No No Sim Sim No

Shutdown restrict protect

o Passo 3B da resoluo de problemas se refere ao estado err-disabled (desativado para erros) da interface. Este estado
verifica se a interface foi configurada para utilizar segurana de portas, se ocorreu uma violao e se nenhum trfego permitido na interface no presente momento. Este estado da interface implica que o modo de violao shutdown utilizado, pois este o nico dos trs modos de segurana de portas que faz com que a interface seja desativada. Para consertar este problema, a interface deve ser desativada (shut down) e, em seguida, ativada com o comando no shutdown. O Exemplo 3-4 apresenta uma situao em que a interface est em estado err-disabeld. Exemplo 3-4 Utilizando a segurana de portas para definir endereos MAC corretos de determinadas interfaces
The first command lists alI interfaces on which port security has been enabled, and the violation mode, under the heading "Security Action". SW1# show port-security Secure Port MaxSecur eAddr (Count) CurrentAddr (Count) SecurityViolation (Count) Securi ty Action

FaO / 13

Shutdown

Total Addresses in System (excluding one mac per port) Max Addresses limit in System (excluding one mac per port)

: O
8320

The next command s h ows the err-disabled state , implying a security v iolation. SW1# show interfaces FaO/13 status Por t
FaO / 13

Name

Status err- disabled

vlan
1

Duplex auto

Speed auto

Type 10/l00BaseTX

The next command ' s output has shading for several of the most important facts. SWl# show port-security interface FaO/13 Port Security Port Status Violation Mode Agin g Time Agin g Type SecureStatic Address Aging Maximum MAC Ad dress es Total MAC Addresses Configured MAC Addresses Sticky MAC Addres s e s Last Source Address:Vlan Security Violation Count Enabled Secure-shutdown Shutdown O mins Absolute Disabled : 1 : 1 : 1 : O 0 2 00.3333 . 33 3 3:2 : 1

O resultado do comando show port-security interface apresenta alguns itens teis no processo de resoluo de problemas. O status da porta "secure-shutdown" ("desativao segura") significa que a interface est desativada para todo o

96 Captulo 3: Resolvendo Problemas de Lan Switching


trfego em conseqncia de uma violao, e que o estado da interface deve ser "err-disabled". O final do resultado do comando apresenta um contador de violaes, aumentando em 1 para cada nova violao. interessante notar que, no modo de violao shutdown, o contador aumenta em 1, a interface colocada em estado err-disabled e o contador no consegue mais aumentar at que o engenheiro utilize os comandos shutdown ou no shutdown na interface, em seqncia. Finalmente, observe que a penltima linha apresenta o endereo MAC da fonte do ltimo frame recebido na interface. Este valor pode ser til na identificao do endereo MAC do dispositivo que provocou a violao. Os modos de violao restrict e protect ainda provocam descartes de frames , mas com um comportamento diferente. Nestes modos de violao, a interface permanece em estado connect (ativo/ativo) enquanto ainda est descartando os frames inadequados por causa da segurana de portas. Portanto, evite a armadilha de considerar que uma interface em estado connect, ou ativo/ativo, no possa ter nenhum outro motivo para no transmitir trfego. O Exemplo 3-5 mostra um modelo de configurao e do comando show ao utilizar o modo protect. Neste caso, um PC com endereo MAC 0200.3333.3333 enviou frames para a porta FaO/13, com a porta configurada para restringir FaO/13 para somente receber frames enviados por 0200.1111.1111. Exemplo 3-5 Segurana de portas utilizando o modo protect
SW1ishow running-config
! Lines omitted for brevity

interface FastEthernetO/13 switchport mode access switchport port-security switchport port-security mac-address 0200.1111.1111 switchport port-security violation protect Lines omitted for brevity SW1i show port-security interface FaO/13 Port Security Port Status Vio1ation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address:Vlan Security Violation Count Enabled Secure-up Protect O mins Absolute Disabled : 1 : 1 : 1 :

o
020 0.3333.3333:1

: O

Este resultado do comando show foi obtido aps o envio de vrios frames por um PC com o endereo MAC 0200.3333.3333, com todos os frames sendo descartados pelo switch por causa da segurana de portas. O resultado do comando mostra o endereo no-permitido MAC 0200.3333.3333 do PC como o ltimo endereo MAC fonte em um frame recebido. Entretanto, observe que o status da porta apresentado como secure-up (seguro-ativo) e com o contador de violaes em O - ambas indicaes podem lev-lo a concluir que tudo est bem. Entretanto, no modo protect, o comando show port-security interface no mostra nenhuma informao confirmando a ocorrncia de uma violao real. A nica indicao que o trfego do usurio final no chega aonde ele precisa ir. Se este exemplo tivesse utilizado o modo de violao restrict, o status da porta tambm teria permanecido no estado secure-up, mas o contador de segurana de violaes teria aumentado uma vez para cada frame violador. Para os exames, a violao da segurana de uma porta pode no ser um problema; pode ser exatamente a funo desejada. O texto da questo pode explicitamente dizer o que a segurana de porta deve estar fazendo. Nestes casos, pode ser mais rpido imediatamente observar a configurao da segurana de portas. Em seguida, compare a configurao com os endereos MAC dos dispositivos conectados interface. O problema mais provvel de ser encontrado nos exames que os endereos MAC tenham sido configurados erroneamente e que o nmero mximo de endereos MAC tenha sido definido muito baixo (o CCENT/CCNA fCNDi Guia Oficial de Certificao do Exame, Captulo 9, explica os detalhes de configurao).

CCNA ICND2

97

Um ltimo recurso de segurana que precisa de uma breve meno a autenticao IEEE 802.1x. O IEEE 802.lx (no confundir com o padro de negociao automtica IEEE 802.3x) define um processo para autenticar o usurio do PC conectado porta de um switch. O 802.1x pode ser usado como parte de uma estratgia NAC (Network Admission Control, ou Controle de Admisso Rede), na qual um usurio interno de uma LAN empresarial no consegue utilizar a LAN at que o usurio fornea algum tipo de credencial de autenticao. Com o 802.1x, cada usurio se comunica com um servidor AAA atravs de uma srie de mensagens de autenticao. O switch de acesso escuta as mensagens, descartando todos os frames do link, exceto para mensagens 802.1x destinadas e provenientes do PC. Quando o switch escuta a mensagem do servidor AAA dizendo que o usurio foi autenticado com sucesso, ele permite que todo o trfego flua naquela porta. Se o usurio no for autenticado, o switch no permite trfego naquela interface. Os detalhes de como configurar o 802.1x, e reconhecer uma falha de autenticao como causa geradora de um determinado problema, foge ao escopo deste livro.

Passo 4: Isole problemas de VLANs e de trunking


O processo de encaminhamento de um switch depende das definies de VLAN s de acesso em interfaces de acesso e em trunks de VLANs que podem transmitir trfego para vrias VLANs. Alm disso, para que um switch possa encaminhar frames em uma VLAN, ele deve saber sobre a VLAN, seja atravs da configurao ou do VTP, e a VLAN deve estar ativa. As sees a seguir examinam algumas das ferramentas envolvendo todas essas questes relativas a VLANs. Esta fase da configurao inclui os seguintes passos:

Passo 4 Verifique as VLANs e os trunks de VLANs da seguinte forma:


a. Identifique todas as interfaces de acesso e suas VLANs de acesso designadas e designe novamente para as VLANs corretas conforme a necessidade. b. Determine se as VLANs existem (configuradas ou aprendidas atravs do VTP) e se esto ativas em cada switch. Em caso negativo, configure e ative as VLANs para resolver problemas conforme a necessidade. c. Identifique as interfaces operacionalmente em trunking em cada switch e determine as VLANs que podem ser encaminhadas atravs de cada trunk. As trs prximas sees discutem os passos 4A, 4B e 4C em seqncia.

Assegurando que as interfaces de acesso corretas estejam nas VLANs corretas


Para assegurar que cada interface de acesso tenha sido designada VLAN correta, os engenheiros simplesmente precisam determinar quais interfaces de switches so interfaces de acesso em vez de interfaces de trunk, determinar as VLANs de acesso designadas em cada interface e comparar as informaes com a documentao. Os trs comandos show apresentados na Tabela 3-5 podem ser bastante teis neste processo.

Tabela 3-5 Comandos que podem encontrar portas de acesso e VLANs Comando EXEC
show vlan brief

f;~~;~o
\ Chave

Descrio

".

show vlan show interfaces type number switchport show mac address-table dynamic

Apresenta cada VLAN e todas as interfaces designadas quela VLAN, mas no inclui trunks Identifica a VLAN de acesso de uma interface, a voice VLAN, o modo administrativo (configurado) e o modo operacional (access ou trunking) Apresenta entradas na tabela MAC: endereos MAC com interfaces e VLAN s associadas

Se possvel, inicie este passo com os comandos show vlan e show vlan brief, pois eles relacionam todas as VLANs conhecidas e as interfaces de acesso designadas a cada VLAN. Esteja ciente, entretanto, de que o resultado destes comandos inclui todas as interfaces que no esto operacionalmente em trunking no momento. Portanto, estes comandos

98 Captulo 3: Resolvendo Problemas de Lan Switching


apresentam interfaces em estado notconnect, err-disabled, e ainda mais importante, interfaces que podem criar um trunk depois que a interface subir. Estes comandos, por exemplo, podem incluir a interface GiO/2 na lista de interfaces da VLAN 1, mas assim que GiO/1 surgir, a interface pode negociar um trunking - em cujo ponto a interface j no seria uma interface de acesso e j no seria apresentada no resultado do comando show vlan brief. Se os comandos show vlan e show interface switchport no estiverem disponveis em uma determinada questo da prova, o comando show mac address-table tambm pode ajudar a identificar a VLAN de acesso. Esse comando apresenta a tabela de endereos MAC, com cada entrada incluindo um endereo MAC, a interface e o VLAN ID. Se a questo da prova indica que a interface de um switch se conecta a um nico dispositivo do PC, voc dever ver apenas uma entrada na tabela MAC que lista aquela interface de acesso especfica; o VLAN ID apresentado para aquela mesma entrada identifica a VLAN de acesso. (No possvel fazer essas consideraes para interfaces em trunking). Aps determinar as interfaces de acesso e as VLANs associadas, se a interface for designada VLAN errada, utilize o subcomando de interface switchport access vlan v/an-id para designar o VLAN ID correto.

VLANs de acesso no definidas ou ativas

o prximo passo de resoluo de problemas, o Passo 4B, examina o fato em que um switch no encaminha frames em
uma VLAN no-definida ou em uma VLAN definida que no esteja no estado ativo. Esta seo resume as melhores formas de confirmar que um switch sabe da existncia de uma VLAN especfica, e, uma vez que ela exista, ele determina o estado da VLAN. Os servidores e clientes VTP s exibem sua lista atual de VLANs conhecidas com o comando show vlan. Nem o arquivo running-config nem o startup-config contm os comandos de configurao global vlan v/an-id que defmem a VLAN, nem os comandos name associados que do nome VLAN. Switches em modo transparente colocam estes comandos de configurao nos arquivos vlan.dat e running-config, para que voc possa ver a configurao utilizando o comando show running-config. Aps determinar que uma VLAN no existe, o problema pode ser que a VLAN simplesmente precise ser definida. Neste caso, siga o processo de configurao da VLAN, conforme descrito em detalhe no Captulo 1, resumido da seguinte forma: Em servidores e clientes VTP, considerando que o VTP esteja funcionando: a VLAN deve estar configurada em um servidor VTP, normalmente com o comando de configurao global vlan vlan-id, com os outros servidores e clientes VTP aprendendo sobre a VLAN. A VLAN tambm pode ser configurada como resultado do subcomando de interface switchport access vlan vlan-id, no servidor VTP no qual a VLAN ainda no existe, fazendo com que o servidor automaticamente crie a VLAN. Em servidores e clientes VTP, considerando que o VTP no esteja funcionando: resolva os problemas de VTP conforme abordado na seo "Resolvendo problemas do VTP", no Captulo 1. Em um switch VTP transparente: a configurao a mesma de um servidor, mas deve ser feita em cada switch, pois os switches em modo VTP transparente no anunciam a nova VLAN a outros switches.

Para qualquer VLAN existente, verifique tambm se ela est ativa. O comando show vlan deve apresentar um entre dois valores de estado da VLAN: ativo e shutdown. Destes estados, o segundo significa que a VLAN est desativada (shut down). Para resolver este problema, utilize o comando de configurao global no shutdown vlan vlan-id. Observe que este comando deve ser emitido em cada switch, pois este estado shutdown (desativado) no anunciado pelo VTP.

Identifique trunks e VLANs encaminhadas naqueles trunks


Neste passo (4C), voc pode separar os problemas em duas categorias gerais quando estiver comeando a isolar o problema: problemas com os detalhes de como um trunk operacional funciona e problemas causados quando uma interface que deveria criar um trunk no o faz. A primeira categoria deste passo pode ser facilmente executada utilizando o comando show interfaces trunk, que apresenta somente informaes sobre trunks atualmente em funcionamento (operacionais). O melhor lugar para comear com este comando a ltima seo do resultado, que apresenta as VLANs cujo trfego ser encaminhado atravs do trunk. Qualquer VLAN que chegue a essa lista fmal de VLANs no resultado do comando satisfaz aos seguintes critrios: A VLAN existe e est ativa neste switch (conforme abordado na seo anterior e visto no comando show vlan).


li

CCNA ICND2

99

~ C Ico

A VLAN no foi removida da lista de VLAN s permitidas no trunk (conforme configurado com o subcomando de interface switchport trunk allowed vlan). A VLAN no foi suprimida do trunk pelo VTP (conforme feito automaticamente pelo VTP, considerando que o VTP Pruning tenha sido ativado atravs do comando de configurao global vtp pruning). O trunk est em Estado STP de Encaminhamento naquela VLAN (conforme tambm visto no comando show

spanning-tree vlan vlan-i).


O Exemplo 3-6 mostra um modelo do resultado de comando show interfaces trunk, com a ltima seo do resultado sombreada. Neste caso, o trunk s encaminha trfego nas VLANs 1 e 4.

Exemplo 3-6 Lista de VLANs permitidas e lista de VLANs ativas


SW1# show interfaces trunk Por t GiO/1 Port GiO/1 Port GiO/1 Port GiO/1 M ode desira ble Encapsulation Status trunking Native vlan
1

802.1q

Vla ns allowed on trunk

1-2,4 - 4094
Vlans allowed and active in management doma in

1,4
Vlans in spanning t ree forwardi ng state and n ot p runed

1,4

A ausncia de uma VLAN nessa ltima parte do resultado do comando no significa necessariamente que tenha ocorrido um problema. Na verdade, uma VLAN pode ser legitimamente excluda de um trunk por qualquer uma das razes apresentadas na lista antes do Exemplo 3-6. Entretanto, para uma determinada questo do exame, pode ser til saber por que o trfego de uma VLAN no ser encaminhado atravs de um trunk. O resultado das trs listas de VLANs do comando show interfaces trunk mostra uma progresso de razes pelas quais uma VLAN no encaminhada atravs de um trunk. Para lembrar-se dos detalhes, revise os detalhes em tomo do Exemplo 1-4 do Captulo 1 e os poucos pargrafos anteriores ao exemplo. A configurao da VLAN nativa de um trunk tambm deve ser verificada neste passo. O VLAN ID nativo pode ser manualmente definido para diferentes VLANs em qualquer extremidade do trunk. Se as VLANs nativas diferirem, os switches faro acidentalmente com que os frames saiam de uma VLAN e entrem em outra. Se o switch SW1, por exemplo, enviar um frame utilizando a VLAN 1 nativa em um trunk 802.1 Q, ele no acrescentar um cabealho VLAN, como acontece normalmente com uma VLAN nativa. Quando o switch SW2 receber o frame, notando que no existe nenhum cabealho 802.1Q, ele considera que o frame faz parte da VLAN nativa configurada de SW2. Se SW2 tiver sido configurada para pensar que VLAN 2 a VLAN nativa naquele trunk, ele tentar encaminhar o frame recebida para VLAN 2. A segunda classe geral de problemas referentes a trunking que uma interface que deveria formar um trunk no o faz . A causa mais provvel deste problema um erro de configurao do trunking nas extremidades opostas do link. O subcomando de interface switchport mode {access I trunk I dynamic {desirable I auto} } diz interface se ela deve criar um trunk e apresenta as regras com as quais ela deve negociar o trunking. possvel exibir o modo administrativo (configurado) do trunking de qualquer interface, conforme definido por esse comando de configurao, utilizando o comando show interface switchport. Certifique-se de que voc saiba o significado de cada uma das opes deste comando de configurao, conforme apresentado na Tabela 1-4 do Captulo 1, e as combinaes existentes em cada extremidade do segmento que resultou em trunking, conforme apresentado na Tabela 1-5 do Captulo 1. Em alguns casos, uma interface pode falhar no uso do trunking devido a um erro de configurao do tipo de trunking - em outras palavras, se deveria usar ISL ou 802.1Q. Se dois switches, por exemplo, em extremidades opostas de um segmento configurassem os comandos switchport trunk encapsulation isl e switchport trunk encapsulation dotlQ, respectivamente, o trunk no seria formado porque os tipos de trunk (o encapsulamento) no combinam.

Exemplo: resolvendo problemas do plano de dados


Esta seo mostra um exemplo de como aplicar os passos a uma rede e a um cenrio especficos. O cenrio inclui vrios problemas baseados na Figura 3-5. No incio, PC1 , PC2 e PC3 no conseguem identificar a sua porta de comunicao padro, RI, no endereo IP 2.2.2.9. Esta seo mostra como aplicar os processos de resoluo de problemas abordados

100 Captulo 3: Resolvendo Problemas de Lan Switching


at ento neste captulo para desvendar os problemas e resolv-los. Para facilitar a referncia, os passos foram resumidos aqui da seguinte forma:

Passo 1 Verifique a exatido e complete as informaes apresentadas no diagrama de rede utilizando o CDP. Passo 2 Verifique a existncia de problemas nas interfaces da seguinte forma:
a. Determine o cdigo de status da interface para cada interface necessria, e, se no estiver em estado connect /;~~;;,., (conectado) ou ativo/ativo (up/up), resolva os problemas at que a interface atinja o estado connect ou ativo/ativo.
~ C"'ve

. ..

b. Para interfaces que estejam em estado connect (ativo/ativo), verifique tambm a existncia de dois outros problemas: erros de combinao de duplex e algumas variaes de segurana de portas que propositalmente entregam frames.

Passo 3 Verifique a existncia de problemas de segurana de portas da seguinte forma: a. Identifique todas as interfaces nas quais a segurana de portas esteja ativada (show running-config ou show port-security) .
b. Determine se a violao de segurana est atualmente ocorrendo baseada, em parte, no modo de violao da configurao da segurana de portas da interface, da seguinte forma:

- shutdown: A interface estar em estado err-disabled. - restrict: A interface estar em estado connect, mas o comando show port-security interface mostrar um aumento
no contador de violaes.

- protect: A interface estar em estado connect, e o comando show port-security interface no mostrar nenhum
aumento no contador de violaes.

Passo 4 Verifique as VLANs e os trunks de VLANs da seguinte forma:


a. Identifique todas as interfaces de acesso e suas VLANs de acesso designadas e designe novamente para as VLAN s corretas conforme a necessidade. b. Determine se as VLANs existem (configuradas ou aprendidas atravs do VTP) e se esto ativas em cada switch. Em caso negativo, configure e ative as VLANs para resolver problemas conforme a necessidade. c. Identifique as interfaces operacionalmente em trunking em cada switch e determine as VLANs que podem ser encaminhadas atravs de cada trunk.

Figura 3-5 Rede utilizada no exemplo de resoluo de problemas do plano de dados


2.2.2.1 0200.1111.1111

Passo 1: verifique a exatido do diagrama utilizando o CDP O Exemplo 3-7 mostra uma variedade de modelos de resultados dos comandos show cdp neighbors e show cdp entry nos trs switches da Figura 3-5. Uma simples comparao confirma os nomes e as interfaces na figura, com exceo de que a interface FaO/9 de SW2 se conecta ao roteador RI, em vez da interface FaO/lO de SW2 mostrada na Figura 3-5.

Exemplo 3-7 Verificando a Figura 3-5 utilizando o CDP


SW1# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP , r - Repeater, P - phone Oevice lO SW2 SW3
!

CCNA ICND2

101

Local Intrfce Gig 0/1 Gig 0 / 2

Holdtme Capability 122 144 S I

Platform WS-C2960-2 WS-C3550-2

Port lO Gig 0 / 2 Gig 0 / 1

S I

SW2 commands next

SW2# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge , B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Oevice lO SW 1 SW3 R1 Local Intrfce Gig 0 /2 Gig 0/ 1 Fas 0 /9 Holdtme Capa bility 125 170 157 S I S I R S I Platform WS-C2960-2 WS-C3550-2 1841 Port lO Gig 0 / 1 Gig 0 / 2 Fas 0 / 1

SW2# show cdp entry Rl


- - - --------- -- - -- - -- ---- ----------~~-----------------

Oevice TD: R1 Entry address(es): IP address: 2.2.2.10 Platform: Cisco 1841 , Capabilities: Rout er Swi t c h IGMP Interface: FastEthernetO/9, Holdtime : 150 sec Version : Cisco lOS Software , 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12 . 4(9)T, RELEASE SOFTWARE (fc1) Technical Support: http: //www . cisco.com/ techs upp ort I nc . Por t l O (outgoing port): FastEthernetO / 1

Copyright 1986-2006 by Cisco Systems,

Comp iled Fri 16-Jun-06 21:26 by prod_rel_t eam advertisement version : 2 VTP Management Oomain : Duplex: full Management a ddress(e s ):
! SW3 command next

SW3# show cdp neighbors Capability Codes : R - Router , T - Trans Bridg e, B - Source Rou t e Bridge S - Switch, H - Ho s t, I - I GMP, r - Repeater, P - Ph on e Oevice l O SW1 SW2 Local Intrfce Gig 0 / 1 Gig 0 / 2 Holdtme 154 178 Capab ility S I S I Platform WS-C2960-2 WS-C2960-2 Port l O Gig 0/2 Gig 0/1

Este erro de documentao mostrado na Figura 3-5 (apresentando a interface FaO/lO de SW2 em vez de FaO/9) no afeta a operao da rede atual. Entretanto, se o trunking tivesse sido necessrio entre SW2 e RI, a interface FaO/9 (e no FaO/lO) de SW2 teria de ter sido explicitamente configurada para ativar o trunking, pois os roteadores no podem automaticamente negociar o uso do trunking. O Captulo 4, "Roteamento IP: Rotas estticas e conectadas" , aborda os detalhes de configurao do trunking de um roteador. Observe que o CDP no identifica problemas de documentao com as interfaces que se conectam aos PCs do usurio final; para os propsitos deste exemplo, saiba que o resto das interfaces mostradas na Figura 3-5 so as interfaces corretas .

102 Captulo 3: Resolvendo Problemas de Lan Switching


Passo 2: verifique a existncia de problemas de interfaces
O prximo passo examina o status das interfaces em cada uma das interfaces que deveriam ser usadas atualmente. O

Exemplo 3-8 apresenta vrios comandos show interface status tanto em SWl quanto em SW3. (Para os propsitos deste captulo, considere que todas as interfaces em SW2 estejam funcionando corretamente). Examine o resultado, identifique qualquer problema e faa uma lista de outros problemas relacionados com as interfaces que voc possa querer investigar mais a fundo com base neste resultado.

Exemplo 3-8 Problemas de interfaces em SWl

.---------------------------------------------------------~ . SW1# show interfaces faO/ll status

Port FaO / ll

Name

Status connected

VI an 3

DupIex a-full

Speed a-1OO

Type l O/ lOOBaseTX

SW1# show interfaces faO/12 status Port FaO / 12 Name Status notconnect VIan 3 DupIex auto Speed auto Type l O/ lOOBaseTX

SW1# show interfaces GiO/l status Port GiO / l Name Status connected VIan trunk DupIex a - full Speed a - lOOO Type lO / lOO / lOOOBaseTX

SW1# show interfaces GiO/2 status Port GiO / 2 Name Status connected VIan 1 DupIex a-full Speed a-1OOO Type lO / lOO / lOOOBa seTX

! Switching t o SW nex t 3

SW3 hh interfaces faO/13 status Port FaO / 13 Name Status connected VIan 3 DupIex a-haIf Speed a-1OO Type lO / lOOBaseTX

SW3# show interfaces GiO/l status Port GiO / l Name Status connected VIan 1 DupIex a-full Speed a-1OOO Type lOOOBaseTX

SW3# show interfaces GiO/2 status Port GiO / 2 Name Status connected VIan trunk DupIex a-full Speed a-1OOO Type lOOO BaseTX

Existe um problema bvio em SWl, com a interface FaO/12 em estado notconnect. Existem vrios motivos para este estado, quase todos relacionados a algum problema de cabeamento - desde um cabo que no esteja completamente encaixado na porta do switch at problemas de interferncia no cabo, que so mais difceis de detectar. (Veja a Tabela 3-2 para ver os motivos sugeridos). As interfaces de SW3 parecem no ter nenhum problema. Entretanto, todas as trs interfaces tm uma definio de duplex que a mesma definio que o switch utilizaria se o processo de negociao automtica falhasse, destacando-se o uso do half-duplex em FaO/3. Isso aumenta a possibilidade de um dos dois problemas de interfaces mencionados anteriormente no captulo que podem ocorrer quando a interface est em estado connect, ou seja, um erro de combinao de duplex.

possvel determinar que as interfaces GigabitO/l e 0/2 de SW3 no tm nenhum erro de combinao simplesmente utilizando o comando de status show interfaces em SWl e SW2 na outra extremidade desses link:s, respectivamente. No entanto, as portas conectadas a um PC apresentam um problema na resoluo pelo fato de que voc provavelmente no estar perto do PC, e, portanto, poder ter de guiar o usurio final atravs de alguns passos para verificar as definies de velocidade e do duplex. Contudo, vale a pena procurar por sinais evidentes de runts, colises e colises iniciais, conforme listado no resultado do comando show interfaces do Exemplo 3-9.
Exemplo 3-9 Sinais de um erro de combinao duplex
SW 3#show interfaces faO/13 FastEthernetO / 13 i s up, line protocol is up (connected )

CCNA ICND2
Hardware is Fast Ethernet, address is 000a.b7dc.b78d (bia 000a . b7dc . b78d) MTU 1500 bytes, BW 100000 Kbit , DLY 100 usec, reliability 255 / 255, Encapsulation ARPA, txload 1 / 255, rxload 1 / 255

103

loopback not set

Keepalive set (10 sec) Half-duplex, 100Mb/ s , media type is 10 / 100BaseTX input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04 : 00:00 Last inpu t never, output 00:00:01 , output hang never Last clearing of "show interface" counters never Input queue: 0 / 75 / 0 / 0 (size / max/drops / flushes); Queueing strategy: fifo Ou tput queue: 0 / 40 (size / max) Total output drops: O

5 minute input r a te O bits / sec , O packets / sec 5 minute output rate O bits / sec , O packets / sec 108 packets input, 6946 bytes, O no buffer

Received 3 broadcasts 54 runts, O giants,

(O multicast)

O throttles O overrun, O ignored

O input errors,

O CRC, O frame,

O watchdog , 2 multicast,

O pause input

O input packets with dribble condition detected 722 packets output , 52690 bytes, O underruns

O output errors, 114 coll i s ions , 5 interface resets O babbles, 78 late collisi on , 19 deferred O lost carri er, O no carrier, O PAUSE output

O outpu t bu ffer failures,

O output buffers swapped out

Neste caso, um erro de combinao de duplex realmente existe. Entretanto, observe que estes mesmos contadores aumentam em operaes half-duplex normais; portanto, estes contadores no identificam o problema de forma definitiva como um erro de combinao de duplex. Neste caso, a configurao de SW3 foi alterada para usar full-duplex na interface FaO/13, combinando com a definio manual em PC3 . Passo 3: verifique a existncia de problemas de segurana de portas O prximo passo examina a configurao e o status da segurana de portas em cada switch. Comear com o comando show port-security que bastante til porque ele relaciona as interfaces nas quais o recurso foi ativado. O Exemplo 310 mostra esse comando em SW1 e SW2, com mais alguns comandos. Observe que tanto SW2 quanto SW3 no tm o recurso da segurana de portas ativado. Examine o resultado do Exemplo 3-10 e, antes de ler alm do exemplo, faa algumas anotaes sobre quais seriam os prximos passos que voc daria para eliminar a segurana de portas como problema em potencial ou qual comando voc usaria para isolar ainda mais um problema em potencial.

Exemplo 3-10 Segurana de portas em SWl e SW2


SW1# show port-s8curity Secure Port MaxSecureAddr (Count) CurrentAddr (Count) SecurityViolation (Count) Security Action

FaO/ll

97

Restrict

Total Addresses in System (excluding one mac per port)

: O

104 Captulo 3: Resolvendo Problemas de Lan Switching


Max Addresses limit in System (excluding one mac per port)
! On SW2 be low,

8320

no interfaces have port security enabled.

SW2# show port-security

Secure

Port

MaxSecureAddr (Count)

CurrentAddr (Count)

SecurityViolation (Count)

Security Action

Total Addresses in System (excluding one mac per port) Max Addresses limit in System (excluding one mac per port)

: O
8320

Os comandos show port-security relacionam as interfaces nas quais a segurana de portas foi ativada - especificamente, a interface FaO/11 de SW1 e nenhuma interface em SW2. Em SW1, os itens de destaque para resoluo de problemas so que o cabealho da ao de segurana, que combina com a definio do modo de violao, mostra uma ao restrict. Com a definio em restrict, a interface FaO/11 de SW1 pode estar no estado connect (conforme visto no Exemplo 3-8), mas a segurana de portas pode estar descartando trfego que viola a configurao da segurana de portas. Portanto, convm fazer um exame mais minucioso da configurao da segurana de portas, como mostrado no Exemplo 3-11.

Exemplo 3-11 Segurana de portas em SWl e SW2


SW1# show port-security interface faO/ll

Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address:Vlan Security Violation Count

Enabled Secure-up Restrict O mins Absolute Disabled : 1 : 1 : 1 : O 0200.1111.1111:3 97

Next, the configuration shows that the configured MAC address does not match PC1's MAC address.
SW1# show running-config interface faO/ll

interface FastEthernetO/11 switchport access vlan 3 switchport mode access switchport port-security
I~

switchport port-security violation restrict switchport port-security mac-address 0200.3333.3333

1-

The following log message also points to a port security issue. 01:46:58: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0200.1111.1111 on port FastEthernetO/11.

O exemplo comea com a confirmao do modo de segurana e do contador de violaes e mostrando o ltimo endereo MAC (0200.1111.1111) para enviar um frame interface FaOll1. O endereo MAC (0200.1111.1111) doPC1 no combina com a configurao da segurana de portas como visto na segunda parte do exemplo, uma configurao que usa automaticamente, no mximo, um endereo MAC com um endereo MAC explicitamente configurado igual a 0200.3333.3333. Uma soluo simples reconfigurar a segurana de portas para, em vez disso, listar o endereo MAC de PC1. Observe que o engenheiro no precisaria utilizar os comandos shutdown e, depois, o no shutdown, nessa interface para recuper-la, pois a configurao usa o modo de violao restrict, que deixa a interface ativa enquanto descarta o trfego destinado e proveniente do PC1.

CCNA ICND2

105

o final do exemplo mostra uma mensagem de registro gerada pelo switch para cada violao quando est sendo usado
o modo restrict. Essa mensagem seria vista a partir do console ou de uma conexo Telnet ou Secure Shell (SSH) com o switch, caso o usurio remoto tivesse emitido o comando EXEC terminal monitor.

Passo 4: verifique a existncia de problemas de VLANs e de trunks de VLANs


O Passo 4A comea examinando as interfaces de acesso para assegurar que elas tenham sido designadas para as VLANs corretas. Neste caso, todas as interfaces conectadas a PCs e roteadores na Figura 3-5 deveriam ser designadas para a VLAN 3. O Exemplo 3-12 apresenta um resultado do comando show bastante til. Reserve alguns minutos para ler o exemplo e procure achar algum problema referente designao de VLANs.

Exemplo 3-12 Verificando designaes de VLANs das interfaces de acesso


SW1# show interfaces faO/ll status Port FaO/ll Name Status connected Vlan 3 Duplex a-full Speed a-1OO Type lO/lOOBaseTX

SW1# show interfaces faO/12 status Port FaO/12


! SW2 next
._~--

Name

Status notconnect

Vlan 3

Duplex auto

Speed auto

Type lO/lOOBaseTX

SW2 #show interfaces status


! lines omitted for brevity

FaO/9 FaO/10
! SW3 next

connected notconnect

1 3

a-full auto

a-1OO auto

lO/lOOBaseTX lO/lOOBaseTX

SW3# show interfaces faO/13 status Port FaO/13 Name Status connected Vlan
3

Duplex full

Speed a-100

Type lO/lOOBaseTX

O nico problema neste caso o fato de que, embora a interface FaO/lO de SW2 tenha sido designada para a VLAN 3,

de acordo com o desenho na Figura 3-5, SW2 se conecta com RI utilizando FaO/9 (como visto com o CDP no Exemplo 3-7). A interface FaO/9 automaticamente est na VLAN 1. Para resolver este problema especfico, em SW2, configure o subcomando de interface switchport access vlan 3 na interface FaO/9. A prxima parte do Passo 4 (Passo 4B) sugere verificar as VLANs para se assegurar de que elas estejam ativas em cada switch. Este exemplo contnuo usa somente a VLAN 3; portanto, o Exemplo 3-13 mostra que a VLAN 3 realmente conhecida em cada switch. Ao ler o exemplo, procure achar algum problema com a VLAN 3.

Exemplo 3-13 Encontrando um problema de half-duplex


SWl# show vlan id 3 VLAN Name Status Ports

book-vlan3

activ e

FaO/ l l , FaO / 12 , GiO/ l, Gi O/2

! lines omitted for brevity


! SW2 next

SW2# show vlan brief VLAN Name Status Ports

----------------------------1 defa ult active FaO/l, FaO/2, FaO/3 , FaO/4 FaO/5, FaO/6, FaO/7 , FaO/8 FaO/ll, FaO/12, FaO/13 , FaO/14 FaO/15, FaO/16, FaO/17, FaO/18 FaO/19, FaO/20, FaO/21, FaO/22

106 Captulo 3: Resolvendo Problemas de Lan Switching


FaO/23, FaO/24
3

VLAN0003 lines omitted for brevity SW3 next

aetive

FaO/9, FaO/10

SW3# show vlan brief VLAN Name Status Ports

default

aetive

FaO/1, FaO/2, FaO/3, FaO/4 FaO/S, FaO/6, FaOI7 , FaO/8 FaO/9, FaO/10, FaO/ll, FaO/12 FaO/14, FaO/1S, FaO / 16, FaO/17 FaO/18, FaO/19, FaO/20, FaO/21 FaO/22, FaO/23, FaO/24

book-vlan3

aetive

FaO/13

lines omitted for brevity

Neste caso, a VLAN 3 existe e est ativa em todos os trs switches. Entretanto, SW2 apresenta um nome diferente do que apresentado pelos outros switches. O nome no tem tanta importncia para a operao da VLAN. Portanto, essa diferena no importa. Como deveria ser, SW2 est utilizando o modo VTP transparente, com SW1 e SW3 como switches em modo VTP cliente e servidor, respectivamente. Logo, o nome VLAN 3 (book-vlan3) combina em SWl e SW3. Finalmente, a ltima parte do Passo 4 (Passo 4C) para resoluo de problemas sugere que voc confIrme o status do trunking de todas as interfaces de trunk esperadas. tambm de grande ajuda determinar em quais trunks as VLANs sero encaminhadas. O Exemplo 3-14 lista resultados que ajudam a fornecer as respostas. Examine o resultado no exemplo e, antes de continuar lendo alm do fInal do exemplo, liste qualquer trunk que atualmente no encaminhe trfego na VLAN 3, e faa uma lista dos possveis motivos pelos quais a VLAN 3 omitida do trunk.

Exemplo 3-14 Verificando trunking e a VLAN 3


SW1# show interfaces trunk Port Mode Eneapsulation Status trunking trunking Native vlan
1 1

GiO/1 desirable 802.1q GiO / 2 desirable 802.1q Port Vlans allowed on trunk

GiO/l 1-4094 GiO / 2 1-4094 Port Vlans allowed and aetive in management domain

GiO/l 1,3 GiO / 2 1,3 Port Vlans in spanning tree forwarding state and not pruned

GiO / 1 3 GiO/2 1,3


! SW2 next

SW2# show interfaces trunk Port Mode Eneapsulation 802.1q 802.1q Status trunking trunking Native vlan 1 1

GiO / 1 auto GiO/2 auto Port

Vlans allowed on trunk

GiO / 1 1-4094 GiO/2 1-4094 Port Vlans allowed and aetive in management domain


GiO/1 1,3 GiO/2 1,3 Port V1ans in spanning tree forwarding state and not pruned GiO/1 1,3
! SW3 next

CCNA ICND2

107

SW3# show interfaces trunk Port Mode Encaps u1ation n-802.1q Status trunking trunking Native v1an
1
1

GiO/1 auto

GiO/2 de s irab1e n-802 . 1q Port V1ans a110wed on trunk

GiO/1 1-4094 GiO/2 1 - 4094 Port V1ans a110wed and active in management dornain

GiO/1 1,3 GiO/2 1,3 Port V1ans in spanning tree forwarding state and not pruned

GiO/1 1,3

: Prevendo a operao normal do plano de dados do LAN Switching


Um dos passos da resoluo de problemas analisar o que deveria estar acontecendo para que voc possa ento comparar com o que est realmente acontecendo - e, possivelmente, isolar a causa geradora de qualquer problema. Estas ltimas sees do Captulo 3 completam o estudo deste captulo sobre como as LANs devem funcionar. Para isso, examinamos dois exemplos de frames encaminhados atravs de uma verso de trabalho do mesmo modelo de rede utilizado no exemplo de resoluo de problemas que acabamos de resolver. O objetivo destas sees explicar como interpretar o atual resultado do comando show em switches para prever para onde cada switch encaminharia um determinado frame. O primeiro exemplo mostra um broadcast enviado por PCI na Figura 3-5, e o segundo exemplo mostra o processo de encaminhamento de um frame unicast enviado por RI para o endereo MAC de PCl.

Broadcast de PC1 na VLAN 1


no ter o endereo MAC de RI no cache ARP; neste caso, portanto, PCI envia um broadcast ARP com um endereo de destino IP 255.255.255.255 e o endereo de destino Ethemet FFFF.FFFF.FFFF. Esta seo examina o que os vrios switches fazem para encaminhar o broadcast a todas as partes da VLAN 3, conforme mostrado na Figura 3-6.

o primeiro exemplo de plano de dados em funcionamento examina o trajeto de um broadcast enviado por PCl. PCI pode

108 Captulo 3: Resolvendo Problemas de Lan Switching


Figura 3-6 Trajeto de encaminhamento de PCI a RI de acordo com Exemplo 3-14
0200.1111 .1111


Para analisar o fluxo de broadcast, use como referncia o processo genrico de encaminhamento, conforme resumido na seo "Viso geral do processo de encaminhamento normal de LAN Switching", apresentada anteriormente neste captulo. Exemplos anteriores confIrmaram que a porta FaO/11 de SW1 est designada VLAN 3 e que a interface FaO/11 de SW1 uma interface de acesso. Como o frame um broadcast, SW1 distribuir o frame. Sabendo destes fatos, o Exemplo 3-15 apresenta informaes suficientes para prever as interfaces atravs das quais SW1 encaminhar o frame broadcast enviado por PC1listando o resultado do comando show spanning-tree vlan 3 active.

Exemplo 3-15 Lista de interfaces ativas de SWI


SW1# ahow apanning-tree vlan 3 active

VLAN0003 Spanning tree enabled protocol ieee Root 10 Priority Addres s Cost Port Hello Time Bridge 10 Priority Address Hello Time Aging Time 300 Interface Role Sts Cost prio.Nbr
Type

24579 000a. b 7dc.b780


1

26

(GigabitEthernetO/2)

2 sec Max Age 20 sec Forwa rd Oelay 15 sec 32771 (priority 32768 sys - id-ext 3) 0019.e86a.6f80 2 sec Max Age 20 sec Forward Oelay 15 sec

FaO / 11 Gi O/l

Desg FWD 19 Desg FWD 4

128.11 128.25

P2p P2p

~~G~i~0~~____~ o~t FWD~~ __~~8~.~ 6 ______~P~ p __________________________________________________~ /2 R~ o ~ 1~ 12 2~ 2~

Observe que SW1 no encaminhar o frame de volta atravs de FaO/ll , j que o frame entrou por FaO/11. Alm disso, SW1 encaminhar o frame saindo pelas interfaces de trunk (GiO/1 e GiO/2). Anteriormente neste captulo, o Exemplo 3- 14 mostra evidncias de que os dois trunks de SW1 utilizam 802.1 Q, com a VLAN 1 nativa, de forma que SW1 acrescentar um cabealho 802.1 Q, com o VLAN ID 3, a cada cpia do frame de broadcast enviado atravs destes dois trunks. As aes de SW1 significam que SW2 e SW3 devem receber uma cpia do frame de broadcast enviado por PCl. No caso de SW2, ele acaba descartando sua cpia do frame de broadcast de PC1 recebido na interface GiO/2 de SW2. SW2 descarta o frame por causa do Passo 3 do processo genrico de encaminhamento apresentado anteriormente no captulo, j que a interface (GiO/2) de entrada de SW2 est em Estado de Bloqueio na VLAN 3. (O Exemplo 3-14 e o texto que se segue ao exemplo mostraram a interface GiO/2 de SW2 em Estado de Bloqueio para VLAN 3). Observe que o Estado de Bloqueio de SW2 no impediu que SW1 enviasse o frame para SW2; em vez disso, SW2 descarta silenciosamente o frame recebido. .

CCNA ICND2

109

Com relao cpia do frame de broadcast de PCl recebido por SW3 em sua interface GiO/l , SW3 distribui o frame. SW3 determina a VLAN do frame com base no cabealho de entrada 802.1 Q e encontra a interface de entrada em Estado STP de Encaminhamento. Baseado nestes fatos, SW3 encaminhar o frame dentro de VLAN 3. O Exemplo 316 mostra as informaes necessrias para saber em quais interfaces SW3 encaminha o broadcast da VLAN 3.

Exemplo 3-16 SW3: encaminhando um broadcast em VLAN 3


SW3# show mac address-tab1e dynamdc v1an 3 Mac Address Table

Vlan

Mac Addre s s

Type

Ports

3 3 3

0200.0101.0101 0200 . 1111 . 1111 0200.3333 . 3333

DYNAMIC DYNAMIC DYNAMIC

GiO / 2 GiO / l FaO / 13

Tota l Mac Addresses for this criterion: 3 SW3# show spanning-tree v1an 3 active VLAN0003 Spanning tree enabled protocol ieee Root I D priority Address 24579 000a.b7dc.b780

This bridge is the root HelIo Time Bridge ID pr iority Address HelIo Time 2 sec Max Age 20 sec Forward Delay 15 sec 24579 (priority 24576 sys-id-ext 3) 000a.b7dc . b780 2 sec Max Age 20 sec Forward Delay 15 sec

Agin g Time 300 Interface Role Sts Cost prio.Nbr


Type

--------FaO / 13 GiO / l GiO/2

--- ---Desg FWD 19 Desg FWD 4 De sg FWD 4

--------128.13 128.25 128.26 .P2p P2p P2p

Assim como SWl , SW3 no encaminha o broadcast saindo pela mesma interface na qual o frame chegou (GiO/1, neste caso), mas distribui o frame saindo por todas as outras interfaces naquela VLAN e em Estado STP de Encaminhamento, ou seja, FaO/13 e GiO/2. Alm disso, como a interface GiO/2 de SW3 atualmente utiliza o trunking 802.1 Q, com a VLAN 1 nativa, SW3 acrescenta um cabealho 802.1Q mostrando o VLAN ID 3. Finalmente, quando SW2 recebe a cpia de broadcast vinda de SW3 na interface GiO/1 de SW2, SW2 segue o mesmo processo genrico dos outros switches. SW2 identifica a VLAN com base no cabealho 802.1 Q de entrada, confrrma que a interface de entrada est em Estado de Encaminhamento e distribui o broadcast saindo por todas as suas interfaces que esto, ao mesmo tempo, em Estado de Encaminhamento e na VLAN 3. Neste caso, SW2 encaminha o frame saindo somente pela interface FaO/9, conectada ao roteador Rl. O Exemplo 3-17 mostra o resultado do comando de apoio.

Exemplo 3-17 SW2: encaminhando uma broadcast na VLAN 3 recebida de SW3


First, note that the broadcast address FFFF.FFFF.FFFF i s n o t in the VLAN 3 MAC table . SW2# show mac address-tab1e dynamdc v1an 3 M ac Addre s s Table

Vlan

Mac Address

Type

Ports

110 Captulo 3: Resolvendo Problemas de Lan Switching


3 3 3 3

000 a .b7dc .b79 a 0200.0101 . 01 01 0200.1111.1111 0200.3333.3333

DYNAMIC DYNAMIC DYNAMIC DYNAMIC GiO/1

GiO/1 FaO/9 GiO/1

Total M c Addresses for this criterion : 4 a


! Next,

note that on FaO / 9 and GiO / 1 are in an STP forwarding state, so SW2 floods the frame only out FaO / 9.

! and the broadcast came in GiO / 1 -

SW2# ahow apanning-tree v1an 3 active !lines omitted for brevity Interface Role St s Cost Prio . Nbr
Type

FaO / 9 GiO/1 GiO / 2

Desg FWD 19 Root FWD 4 Altn BLK 4

128.9 128.25 128.26

P2p P2p P2p

SW2 no encaminha o frame saindo por GiO/1 , pois o frame entrou pela interface GiO/1 de SW2.

Trajeto de encaminhamento: unicast de R1 para PC1

o segundo exemplo de plano de dados examina como os switches encaminham frames unicast. Para analisar o processo
de encaminhamento para frames unicast, considere a resposta ARP de RI com relao solicitao/broadcast ARP de PC1. Os endereos de destino (IP e MAC) da resposta ARP de RI so os endereos IP e MAC de PC1 , respectivamente. A Figura 3-7 mostra o trajeto de encaminhamento, com os exemplos que se seguem explicando como o processo genrico de encaminhamento de frames se aplica a este caso em particular.

Figura 3-7 Trajeto de encaminhamento de R1 para PC1 de acordo com Exemplo 3-15
0200.1111 . 1111

Quando SW2 recebe o frame de RI, SW1 nota que o frame entrou pela interface FaO/9, uma interface de acesso na VLAN 3. O final do Exemplo 3-17 anteriormente mostrou FaO/9 em Estado STP de Encaminhamento na VLAN 3 e, por isso, SW2 tentar encaminhar o frame em vez de descart-lo. Conforme visto a seguir no Exemplo 3-18, a tabela de endereos MAC de SW2 apresenta o endereo MAC de PC1 - 0200.1111.1111 - fora da interface GiO/1 e na VLAN 3; portanto, SW2 encaminha o frame saindo por GiO/1 at SW3.

Exemplo 3-18 Lgica de SW2 ao encaminhar um unicast conhecido para PC1


SW2# ahow mac addreaa-table dynamic v1an 3 Mac Address Table

Vlan

Mac Address

Type

Ports

CCNA ICND2

111

3 3 3

000a .b7dc. b 79a 0200 . 0101 . 0101 0200 . 1111.1111

DYNAMIC DYNAMIC DYNAMIC

GiO / 1 FaO / 9 GiO / 1

To t al Mac Addres s es for this c riterion: 3

Quando SW3 recebe o frame de SW2, ele nota que o frame entrou pela interface GiO/2, uma interface de trunking, e que o cabealho do trunking listava o VLAN ID 3. O final do Exemplo 3-16 anteriormente mostrou GiO/2 em Estado STP de Encaminhamento na VLAN 3 (passo 3 do encaminhamento), e, por isso, SW3 no vai descartar o frame recebido por causa do STP. Conforme visto a seguir no Exemplo 3-19, a tabela de endereos MAC de SW3 apresenta o endereo MAC de PC1-0200.1111.1111-fora da interface GiO/1 e na VLAN 3; portanto, SW3 encaminha0 frame saindo por GiO/1 at SWl.

Exemplo 3-19 Lgica de SW3 ao encaminhar um unicast conhecido para PCl


SW3# show mac address-table dynamic v1an 3

Mac Address Table

Vlan
----

Mac Address
--------------

Type
------

Ports
------

3 3 3

0200.0101 . 0101 02 0 0. 1111.1111 0200 . 3333.3333

DYNAMIC DYNAMIC DYNAMIC

GiO / 2 Gi O/ 1 FaO / 13

Total Mac Addresses for this criterion: 3

Quando SW1 recebe o frame de SW3 , ele nota que o frame entrou pela interface GiO/2, uma interface de trunking, e que o cabealho do trunking listava o VLAN ID 3. O final do Exemplo 3-15 anteriormente mostrou a GiOI2 de SWl em Estado STP de Encaminhamento na VLAN 3, e, por isso, SW1 no vai descartar o frame pelo fato de a interface no estar em Estado STP de Encaminhamento. Conforme visto a seguir no Exemplo 3-20, a tabela de endereos MAC de SW1 apresenta o endereo MAC de PC1 - 0200.1111.1111 - fora da interface FaO/11 e da VLAN 3; portanto, SW1 encaminha o frame saindo por FaO/11 at PCl. Neste caso, SW1 remove o cabealho 802.1Q da VLAN porque a interface FaO/11 uma interface de acesso.

Exemplo 3-20 Lgica de SWl ao encaminhar um unicast conhecido para PCl


SW1# show mac addres.-table dynamic vlan 3

Mac Address Table

Vla n

Mac Address

Type

Ports

3 3 3

000a.b7dc.b799 0200.0101.0101 0200.3333.3333

DYNAMIC DYNAMIC DYNAMIC

GiO / 2 GiO / 2 GiO / 2

To t al Mac Addresses for this criterion : 3


SW1# show mac address-table vlan 3

Mac Address Table

Vlan
----

Mac Address
--------------

Type
---- --

Ports
-----

A11 All All All

0100.0ccc.cccc 0100 . 0ccc.cccd 0180 . c200.0000 0180.c200.0001

STATIC STATIC STATIC STATIC

CPU CPU CPU CPU

112 Captulo 3: Resolvendo Problemas de Lan Switching


All All All All All All All All All All All All All All All All 3 3 3 0180.c200.0002 0180.c200.0003 0180.c200.0004 0180.c200.0005 0180.c200 . 0006 0180.c200 . 0007 0180.c200.0008 0180.c200.0009 0180.c200 . 000a 0180.c200.000b 0180.c200.000c 0180.c200.000d 0180.c200.000e 0180.c200.000f 0180.c200.0010 ffff.ffff.ffff 000a . b7dc.b799 0200.0101.0101 0200.1111.1111 STATIC STATIC STATIC STATIC STATIC STATIC STATIC STATIC STATIC STATIC STATIC STATIC STATIC STATIC STATIC STATIC DYNAMIC DYNAMIC STATIC CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU CPU GiO/2 GiO/2 FaO/11

Total Mac Addresses for this criterion: 23

Este ltimo passo destaca um fato importante sobre a tabela de endereos MAC e sobre segurana de portas. Observe que o comando show mac address-table dynamic em SW1 no apresenta o endereo MAC 0200.1111.1111 de PC1. Por isso, possvel que voc tenha sido tentado pensar que SW1 distribuir o frame por ele ser um unicast desconhecido. Entretanto, como SW1 configurou a segurana de portas em FaO/11 , incluindo o subcomando de interface switchport port-security mac-address 0200.1111.1111, o lOS considera esse endereo MAC um endereo MAC esttico. Portanto, ao deixar de fora a palavra-chave dynamic, o comando show mac address-table vlan 3 apresenta todos os endereos MAC conhecidos na VLAN, incluindo 0200.1111.111. Esse resultado de comando confirma que SW1 encaminhar o unicast para 0200.1111.1111 somente saindo pela interface FaO/11.

Atividades de preparao para o exame

Revise todos os tpicos-chave


Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina. A Tabela 3-6 relaciona esses tpicos-chave e os nmeros das pginas nas quais cada um encontrado.

Tabela 3-6 Tpicos-chave do Captulo 3 Elemento do tpico-chave


Tabela 3-2

Descrio
Apresenta os dois conjuntos de cdigos de status de interfaces e as causas tpicas geradoras para cada estado Usos tpicos dos cabos Ethernet straight-through e de cross over Apresenta dispositivos e os pinos nos quais eles transmitem para lOBASE-T e 1ooBASE-Tx Sugestes para observar problemas de erros de combinao de duplex

Nmero da pgina

90

Figura 3-4

91

Tabela 3-3

91

Lista

93

Complete as tabelas e listas usando a memria


Tabela 3-5 Apresenta comandos show teis para encontrar interfaces de acesso e suas VLANs designadas Lista Quatro motivos pelos quais um switch no transmite o trfego de uma VLAN atravs de um determinado trunk Lista Apresenta os passos de resoluo de problemas explicados neste captulo (no precisam ser memorizados)

CCNA ICND2
Escolhas de negociao automtica duplex IEEE padro com base na velocidade atual Recursos da segurana de portas Modos de violao da segurana de portas com diferenas em comportamento e comandos show

113

Lista

94 94 95

Lista Tabela 3-4

97 99

100

Imprima uma cpia do Apndice J, "Tabelas de memria", ou pelo menos a seo referente a este captulo e complete as tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", inclui tabelas e listas completadas para voc conferir o seu trabalho.


Tpicos publicados do exame Cisco ICND2* abordados nesta parte
Configurar, verificar e resolver problemas de um switch com VLANs e comunicaes entre switches - Configurar, verificar e resolver problemas de roteamento entre VLANs Implementar um esquema de endereamento IP e de servios IP para satisfazer aos requisitos de rede em rede empresarial de porte mdio - Calcular e aplicar um projeto de endereamento VLSM a uma rede


um"

- Determinar o esquema de endereamento classless adequado utilizando VLSM e sumarizao para satisfaze~ aos requisitos de endereamento em um ambiente LAN/WAN - Identificar e corrigir problemas comuns associados a endereamento IP e configuraes de hosts Configurar e resolver problemas de operao bsica e roteamento em dispositivos Cisco - Verificar a configurao e a conectividade utilizando ping, traceroute, telnet ou SSH - Resolver problemas da implementao de roteamento - Verificar a operao de hardwares e softwares de roteadores utilizando os comandos SHOW e DEBUG - Implementar a segurana bsica de roteadores Implementar, verificar e resolver problemas de NAT e ACLs em uma rede empresarial de porte mdio - Descrever o propsito e os tipos de listas de controle de acesso (ACLs) - Configurar e aplicar listas de controle de acesso aos requisitos de filtragem de uma rede - Configurar e aplicar uma lista de controle de acesso para limitar o acesso telnet e SSH ao roteador - Verificar e monitorar ACLs em um ambiente de rede - Resolver problemas de implementao de ACLs

* Sempre verifique a pgina http://www.cisco.com para obter os tpicos mais recentes do exame.

Parte 11: Roteamento IP


Captulo 4 Roteamento IP: rotas estticas e rotas diretamente conectadas Captulo 5 VLSM e sumarizao de rotas Captulo 6 Listas de controle de acesso IP Captulo 7 Resolvendo problemas de roteamento IP


Este captulo aborda os seguintes assuntos:
Roteamento e endereamento IP: esta seo revisa a relao existente entre endereamento IP e roteamento IP acrescentando mais detalhes sobre como o roteamento funciona com a sobreposio de mltiplas rotas.

Rotas at sub-redes diretamente conectadas: esta seo examina como os roteadores acrescentam rotas no caso de sub-redes conectadas s interfaces de um roteador.

Rotas estticas: esta seo descreve como configurar rotas estticas incluindo rotas estticas padro.

Roteamento IP: rotas estticas e rotas :


diretamente conectadas

CAPTULO

----------------------------------------------------.
Este captulo inicia a Parte n, "Roteamento IP". Os quatro captulos desta parte concentram-se em recursos que causam impacto sobre o processo de roteamento IP - tambm chamado encaminhamento IP - atravs do qual hosts e roteadores entregam pacotes do host origem ao host de destino. Esses quatro captulos tambm, ocasionalmente, explicam tpicos relacionados aos protocolos de roteamento IP, em parte porque o roteamento IP, que um recurso do plano de dados, depende muito do trabalho feito no plano de controle pelos protocolos de roteamento. Este captulo aborda vrios tpicos relacionados a rotas conectadas, que so rotas utilizadas para alcanar sub-redes anexadas interface de um roteador. Este captulo tambm explica rotas estticas, incluindo rotas padro (default), alm de revisar os tpicos bsicos dependentes do endereamento IP e do roteamento IP.

Questionrio "Eu j conheo isto?"


oito questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A Tabela 4-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o material destas sees. Isso ajudar voc a avaliar o seu conhecimento nestas reas especficas. As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.

o questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das

Tabela 4-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?" Seo dos tpicos fundamentais
Roteamento IP e Endereamento IP Rotas at Sub-redes Diretamente Conectadas Rotas Estticas

Questes
1-2 3-4 5-8

1. Um usurio liga seu computador e, assim que o computador comea a funcionar, ele abre um navegador Web para visitar a pgina http://www.ciscopress.com. Qual (is) protocolo(s) definitivamente no seria(m) usado(s) pelo computador durante este processo?

a. DHCP
b. DNS

c. ARP
d.ICMP 2. Um usurio liga seu computador e, assim que o computador comea a funcionar, ele abre um prompt de comando. A partir da, ele emite o comando ping 2.2.2.2 e o ping mostra um sucesso de 100%. O endereo IP do PC 1.1.1.1 e a mscara 255.255.255.0. Qual das seguintes definies seria necessria no PC para dar suporte ao ping bem-sucedido? a. O endereo IP de um servidor DNS b. O endereo IP de um gateway padro c. O endereo IP de um servidor ARP d. O endereo IP de um servidor DHCP

118 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas

3. O Roteador 1 possui uma interface Fast Ethernet O/O com o endereo IP 10.1.1.1. A interface est conectada a um switch. Essa conexo , em seguida, migrada para utilizar o trunking 802.1 Q. Qual dos seguintes comandos poderia fazer parte de uma configurao vlida para a interface FaO/O do Roteador 1? a. interface fastethernet 0/0.4 b. dot1q enable c. dotlq enable 4 d. trunking enable e. trunking enable 4

f. encapsulation dotl q

4. Um roteador est configurado com o comando de configurao global no ip subnet-zero. Qual dos seguintes subcomandos de interface no seria aceito por esse roteador? a. ip address 10.1.1.1 255.255.255.0 b. ip address 10.0.0.129255.255.255.128

c. ip address 10.1.2.2255.254.0.0
d. ip address 10.0.0.5 255.255.255.252

5. Qual das seguintes afirmativas pode ser verdadeira antes que o lOS apresente uma rota "S" no resultado de um comando show ip route? a. O endereo IP deve estar configurado em uma interface. b. O roteador deve receber uma atualizao de roteamento de um roteador vizinho. c. O comando ip route deve ser acrescentado configurao. d. O comando ip address deve utilizar a palavra-chave special. e. A interface deve estar ativa e ativa (up e up). 6. Qual dos seguintes comandos configura corretamente uma rota esttica? a. ip route 10.1.3.0255.255.255.010.1.130.253 b. ip route 10.1.3.0 serial O c. ip route 10.1.3.0/2410.1.130.253 d. ip route 10.1.3.0/24 serial O

7. Qual das seguintes alternativas afetada pelo fato de um roteador estar executando o roteamento classful ou classless? a. Quando utilizar uma rota padro b. Quando utilizar mscaras em atualizaes de roteamento c. Quando converter o endereo IP de destino de um pacote em um nmero de rede d. Quando realizar enfileiramento com base na classificao de um pacote em uma fila em particular 8. Um roteador foi configurado com o comando de configurao global ip classless. O roteador recebe um pacote destinado ao endereo IP 168.13.4.1. O texto a seguir apresenta o contedo da tabela de roteamento do roteador. Qual das seguintes afirmativas verdadeira sobre como esse roteador encaminha o pacote?

Gateway of last resort is 168.13 .1.101 to network O. O. O. O 168.13.0.0/24 is subnetted, 2 subnets C 168.13.1.0 is directly connected, FastEthernetO/O R 168.13.3.0 [120/1] via 168.13.100.3, 00:00:05, SerialO.1


:

~.
\te

.------------------------------------------------------c. Ele encaminhado saindo pela interface FaO/O, diretamente ao host de destino. d. O roteador descarta o pacote .

CCNA ICND2 119


a. Ele encaminhado para 168.13.100.3. b. Ele encaminhado para 168.13.1.101.

Tpicos fundamentais

Este captulo introduz vrios conceitos simples com relao a como um roteador acrescenta rotas sua tabela de roteamento sem utilizar um protocolo de roteamento dinmico. De modo especial, este captulo aborda rotas conectadas, incluindo aquelas quando o roteador utiliza o trunking de LANs. So tambm abordadas rotas estticas, com alguma nfase em como os roteadores utilizam rotas estticas especiais chamadas rotas padro. Entretanto, como este captulo o primeiro captulo deste livro voltado ao IP, ele comea com uma breve reviso de dois tpicos relacionados: roteamento IP e endereamento IP.

Observao A introduo deste livro descreve um plano de leitura alternativo para leitores que querem fazer o exame CCNA 640-802, que inclui a utilizao simultnea do CCENT/ CCNA ICNDJ Guia Oficial de Certificao do Exame e deste livro. Se estiver usando este plano, observe que a primeira seo revisa tpicos do livro ICNDI. Se estiver seguindo aquele plano de leitura, sinta-se vontade em passar direto para a seo ''Encaminhamento IP atravs da combinao com a rota mais especfica".

Roteamento e endereamento IP
O roteamento IP depende das regras de endereamento IP, sendo um dos objetivos originais da criao do endereamento IP a criao de um roteamento IP eficiente. O roteamento IP define como um pacote IP pode ser entregue ao host de destino a partir do bost no qual o pacote criado. As convenes de endereamento IP agrupam endereos em conjuntos de endereos numerados de forma consecutiva chamados sub-redes, que auxiliam o encaminhamento IP ou o processo de roteamento IP.

Observao Este livro utiliza os termos roteamento IP e encaminhamento IP como sinnimos. O termo protocolos de roteamento IP se refere aos protocolos de roteamento que os roteadores utilizam para preencher dinamicamente as tabelas de roteamento com as melhores rotas atuais. Observe que alguns textos e cursos utilizam o termo roteamento IP para se referir tanto ao processo de encaminhamento de pacotes quanto aos protocolos utilizados para aprender rotas.

Roteamento IP
Tanto os hosts quanto os roteadores participam do processo de roteamento IP. A lista a seguir resume a lgica de um bost ao encaminhar um pacote, considerando que o host esteja em uma LAN Ethernet ou em uma LAN sem fio:

ft~

1. Ao enviar um pacote, compare o endereo IP de destino do pacote com a percepo do host de recebimento em relao ao intervalo de endereos contidos na sub-rede conectada, com base no endereo IP do host e na mscara da sub-rede.
a. Se o destino estiver na mesma sub-rede do host, envie o pacote diretamente ao host de destino. necessrio utilizar o ARP (Address Resoultion Protocol, ou Protocolo de Resoluo de Endereos) para encontrar o endereo MAC do host de destino. b. Se o destino no estiver na mesma sub-rede do host, envie o pacote diretamente ao gateway padro do host (roteador padro). O ARP necessrio para encontrar o endereo MAC do gateway padro.

120 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas


Os roteadores utilizam passos gerais mostrados a seguir, observando que, com roteadores, o pacote deve primeiramente ser recebido, ao passo que o host de envio (conforme anteriormente explicado) comea com o pacote IP na memria:
{ TpiCO

..........

1. Para cada frame recebido, utilize o campo FCS (Frame Check Sequence, ou Seqncia de Verificao de Frames)
para links de dados para se assegurar de que o frame no continha nenhum erro; se tiver ocorrido algum erro, descarte o frame (e no passe para o prximo passo). 2. Verifique o endereo de camada de enlace do destino do frame, e processe somente se forem endereados a este roteador ou a um endereo broadcastlmulticast. 3. Descarte o antigo cabealho e o trailer de enlace do frame de entrada, abandonando o pacote IP. 4. Compare o endereo IP de destino do pacote com a tabela de roteamento e encontre a rota que combina com o endereo de destino. Essa rota identifica a interface de sada do roteador e possivelmente o prximo roteador. 5. Determine o endereo de enlace do destino utilizado para encaminhar pacotes ao prximo roteador ou ao host de destino (conforme instrues da tabela de roteamento). 6. Encapsule o pacote IP dentro de um novo cabealho e trailer de enlace, adequado interface de sada, e encaminhe o frame saindo por aquela interface.

:"'~have

Considere a Figura 4-1, por exemplo, que mostra uma rede simples com dois roteadores e trs hosts. Neste caso, PC1 cria um pacote para ser enviado ao endereo IP de PC3, ou seja, 172.16.3.3. A figura mostra trs importantes passos do roteamento, chamados de A, B e C: a lgica de roteamento do host de PC1 que encaminha o pacote em direo a RI, a lgica de roteamento de RI que encaminha o pacote em direo a R2, e a lgica de roteamento de R2 que encaminha o pacote em direo a PC2. Primeiro, considere o Passo A da Figura 4-1. PC 1 conhece seu prprio endereo IP 172.16.1.1 e sua mscara 255.255.255 .0. (Todas as interfaces utilizam uma mscara fcil, 255.255.255.0, neste exemplo.) PC1 pode calcular o seu nmero de subrede (172.16.1.0/24) e intervalo de endereos (172.16.1.1-172.16.1.254). O endereo de destino 172.16.3.3 no est na sub-rede de PC1; portanto, PC1 utiliza o Passo 1B apresentado no resumo das lgicas de roteamento do host, isto , PC1 envia o pacote, dentro de uma frame Ethernet, ao seu endereo IP 172.16.1.251 de gateway padro.

Figura 4-1 Exemplo do processo de roteamento IP


Sub-rede 172.16.1.0, 255.255.255.0 Sub-rede 172.16.2.0, 255.255.255.0 172.16.2.2 172.16.1.1 PC1 FAO/O -.--,..,.-. FAO/1 172.16.1.251 172.16.2.251 FAO/O n~'t::~......:....:FA~0::...: /1~_--1 I------'...;...;.:;.c~ 172.16.3.252 172.16.2.252 Desencapsular 172.16.3.3 PC3 Sub-rede 172.16.3.0, 255.255.255.0

MAC Fonte = PC1 MAC de Destino R1 FAOIO

MAC Fonte R1 FA0/1 MAC de Destino R2 FAO/O

MAC Fonte R2 FA0/1 MAC de Destino PC3

-1C
Tabela ARP de PCl

-1C
Tabela ARP de R1 "

-1C

"
B

IP MAC: 172.16.1.251 R1-FAO/0-MAC

IP MAC: 172.16.2.252 R2-FAO/0-MAC


\

Tabela ARP de R2 " IP .:..:....-_ _ MAC I I 172.16.. 3.3 PC3-MAC


---'==~

"

Tabela de roteamento IP Network 172.16.3.0

d:~l'"

Tabela de roteamento IP de R2 Subnet 172.16.3.0


=O=ut~ln=t~.~~~

Out Int. Next-hop \ FA0/1 172.16.2.252 B

FA0/1

CCNA ICND2 121


Este primeiro passo (Passo A) do PCl enviando o pacote ao seu gateway padro tambm revisa alguns conceitos importantes. Como voc pode ver na parte inferior da figura, PCl utiliza seu prprio endereo MAC como endereo MAC origem, mas utiliza o endereo MAC LAN de RI como endereo MAC de destino. Em conseqncia disso, qualquer switch pode entregar o frame corretamente interface FaO/O de RI. Alm disso, observe que PCl procurou e encontrou o endereo MAC de 172.16.1.251 no seu cache. Se o endereo MAC no tivesse sido encontrado, PCl teria que ter utilizado o ARP para descobrir dinamicamente o endereo MAC utilizado por 172.16.1.251 (RI) para poder enviar o frame mostrado na Figura 4-1. A seguir, concentre-se no Passo B da Figura 4-1, que o trabalho feito pelo roteador RI para encaminhar o pacote. Utilizando o resumo dos passos de roteamento que precedem a Figura 4-1, acontece o seguinte com RI: (Observe que a figura denota muitos dos detalhes com a letra B)

1. RI verifica o FCS e o frame no contm nenhum erro.


2. RI encontra o endereo MAC de sua prpria interface FaO/O no campo do endereo MAC de destino do frame e, portanto, RI deve processar o pacote encapsulado. 3. RI descarta o antigo cabealho e trailer de enlace, abandonando o pacote IP (conforme mostrado logo abaixo do cone RI na Figura 4-1). 4. (Na parte inferior central da Figura 4-1) RI compara o endereo IP de destino (172.16.3.3) com a tabela de roteamento de RI, encontrando a combinao de rota mostrada na figura, com a interface de sada FaO/l e o prximo roteador (next hop) 172.16.2.252. 5. RI precisa encontrar o endereo MAC do prximo dispositivo (o endereo MAC de R2); portanto, RI procura e acha o endereo MAC em sua tabela ARP. 6. RI encapsula o pacote IP em um novo frame Ethernet, com o endereo MAC da FaO/l de RI sendo o endereo MAC origem, e o endereo MAC da FaO/O de R2 sendo o endereo MAC de destino. RI envia o frame. Embora os passos possam parecer trabalhosos, voc pode pensar em verses mais abreviadas dessa lgica em casos em que uma questo no exige esse nvel de profundidade. Por exemplo, ao resolver problemas de roteamento, concentrarse no Passo 4 - a combinao do endereo IP de destino do pacote com a tabela de roteamento do roteador - provavelmente um dos passos mais importantes. Conseqentemente, um resumo mais sucinto do processo de roteamento pode ser: o roteador recebe um pacote, combina o endereo de destino do pacote com a tabela de roteamento e envia o pacote com base na combinao da rota. Embora essa verso abreviada ignore alguns detalhes, o trabalho pode ser agilizado ao resolver problemas ou discutir questes sobre roteamento. Para concluir o exemplo, considere os mesmos seis passos da lgica de encaminhamento do roteador, conforme aplicado ao roteador R2, apresentado com a letra C na Figura 4-1, como se segue:

1. R2 verifica o FCS e o frame no contm nenhum erro.


2. R2 encontra o endereo MAC de sua prpria interface FaO/O no campo do endereo MAC de destino do frame; portanto, R2 dever processar o pacote encapsulado. 3. R2 descarta o antigo cabealho e o trailer de enlace, abandonando o pacote IP (conforme mostrado logo abaixo do cone R2 na Figura 4-1). 4. (No canto inferior direito da Figura 4-1) R2 compara o endereo IP de destino (172.16.3.3) com a tabela de roteamento de R2, encontrando a combinao de rota mostrada na figura, com a interface de sada FaO/l e nenhum prximo roteador listado. 5. Como no existe nenhum prximo roteador, R2 precisa encontrar o endereo MAC do verdadeiro host de destino (o endereo MAC de PC3). Por isso, R2 procura e acha este endereo MAC em sua tabela ARP. 6. R2 encapsula o pacote IP em um novo frame Ethernet, com o endereo MAC da FaO/l de R2 sendo o endereo MAC origem, e o endereo MAC de PC3 (de acordo com a tabela ARP) sendo o endereo MAC de destino. Finalmente, quando esse frame chega a PC3, ele v seu prprio endereo MAC apresentado como o endereo MAC de destino e, conseqentemente, comea a processar o frame. O mesmo processo geral tambm funciona com links de WAN, com alguns detalhes diferentes. Em links ponto-a-ponto, conforme mostrado na Figura 4-2, no necessrio ter uma tabela ARP. Como um link ponto-a-ponto pode ter no

122 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas

mximo um outro roteador cone~tado a ele, voc pode ignorar o endereamento do enlace. Entretanto, com Frame Relay, o processo de roteamento conSIdera OS endereos do enlace, chamados DLCI (data-link connection identifiers, ou identificadores de conexo do enlace). Os detalhes de roteamento com relao aos DLCIs da Frame Relay so abordados mais adiante, no Captulo 13 deste livro.

Figura 4-2 Exemplo do processo de roteamento IP


Sub-rede 172.16.4.0. 255.255.255.0 Sub-rede 172.16.1 .0. 255.255.255.0 Sub-rede 172.16.3.0. 255.255.255.0

172.16.1.1 PC1

172.16.3.3 PC3

FAOIO
172.16.1.251

SOIOIO
172.16.4.251

L -_ _ _ _

~S~0~ffi~/1i~~~F~AO~/1L---~
172.16.3.252

172.16.4.252

Reencapsular Desencaps la u r.: Pacote IP .

t.
=

,.---~~----,
I I

MAC fonte = PC1 MAC de destino = R1 FAOIO

Endereamento IP no Importante por ser uma topologia ponto-a-ponto

MAC fonte = R2 FAOI1 MAC de destino PC3

O processo de roteamento IP, tanto nos hosts quanto nos roteadores, depende da capacidade desses dispositivos de entender o endereamento IP e prever quais endereos IP esto em cada grupo ou em cada sub-rede. A prxima seo oferece uma breve reviso dos endereos IP e da criao de sub-redes.

Endereamento IP e criao de sub-redes


As regras de endereamento IP ajudam os processos de roteamento IP exigindo que todos os endereos IP sejam organizados em grupos formados por endereos IP numerados de forma consecutiva chamados de sub-redes. Para oferecer uma forma resumida de se referir a uma sub-rede, o endereamento IP define o conceito de nmero de uma sub-rede e de mscara de uma sub-rede, que juntos identificam exatamente o intervalo de endereos em uma sub-rede. Os roteadores das Figuras 4-1 e 4-2, por exemplo, utilizavam roteadores que apresentavam o nmero de sub-rede 172.16.3.0 ao encaminhar o pacote destinado a PC3 (172.16.3.3). As figuras omitiram a mscara da sub-rede por falta de espao, mas qualquer dispositivo pode olhar o nmero da sub-rede 172.16.3.0, com a mscara 255.255.255.0, e saber que esses dois nmeros representam de forma resumida a seguinte sub-rede: Nmero da sub-rede 172.16.3.0 Intervalo de endereos utilizveis na sub-rede: 172.16.3.1-172.16.3.254 Endereo de broadcast da sub-rede (no utilizvel para hosts individuais): 172.16.3.255 A lista seguinte oferece uma breve reviso de alguns dos conceitos mais importantes de endereamento IP. Observe que este captulo se concentra exclusivamente em endereos IP da verso 4 (IPv4), enquanto o Captulo 17, "IP Verso 6" aborda o IPv6.
\.... c...".

.. ....

( TPICO

Endereos IP unicast so endereos IP que podem ser designados a uma interface indi vidual para envio e recebimento de pacotes.

Cada endereo IP unicast reside em uma determinada rede Classe A, B ou C, chamada de rede IP classful.

Se forem utilizadas sub-redes, o que quase sempre verdade na vida real, cada endereo IP unicast tambm reside em um subconjunto especfico da rede classful chamado de sub-rede. A mscara da sub-rede, escrita na forma decimal com pontos (por exemplo, 255.255.255.0) ou na forma de notao de prefixos (por exemplo, /24), identifica a estrutura dos endereos IP unicast e permite que dispositivos e pessoas deduzam o nmero da sub-rede, o intervalo de endereos e o endereo de broadcast de uma sub-rede.

Dispositivos de uma mesma sub-rede devem utilizar a mesma mscara da sub-rede; do contrrio, eles tero opinies diferentes sobre o intervalo de endereos da sub-rede, o que pode romper o processo de roteamento IP.

. '

CCNA ICND2 123


Dispositivos de uma nica VLAN devem estar na mesma e nica sub-rede IP. Dispositivos de VLANs diferentes devem estar em sub-redes IP diferentes. Para encaminhar pacotes entre sub-redes, deve ser utilizado um dispositivo que execute roteamento. Neste livro, so mostrados apenas roteadores, mas switches multilayer (multi camadas) - switches que tambm executam funes de roteamento - tambm podem ser utilizados. Links seriais ponto-a-ponto utilizam uma sub-rede diferente das sub-redes de LAN, mas essas sub-redes s requerem dois endereos IP, um para cada interface do roteador em qualquer extremidade do link. Hosts separados por um roteador devem estar em sub-redes separadas.

A Figura 4-3 mostra um exemplo de inter-rede que exibe vrios destes recursos. O switch SW1 automaticamente coloca todas as interfaces na VLAN 1, e, por isso, todos os hosts esquerda (incluindo PC1) esto em uma nica sub-rede. Observe que o endereo IP de gerenciamento de SW 1, tambm na VLAN 1, ser daquela mesma sub-rede. Analogamente, SW2 automaticamente coloca todas as portas na VLAN 1, requerendo uma segunda sub-rede. O link ponto-a-ponto requer uma terceira sub-rede. A figura mostra os nmeros, as mscaras e o intervalo de endereos da sub-rede. Observe que todos os endereos e sub-redes fazem parte da mesma e nica rede classful de Classe B 172.16.0.0, e todas as subredes utilizam uma mscara igual a 255.255.255.0.

Figura 4-3 Exemplo de projeto de endereamento IP


Sub-rede Intervalo

172.16.1.0 172.16.1.1172.16.1.254

Sub-rede Intervalo

172.16.4.0 172.16.4.1172.16.4.254

Sub-rede 172.16.3.0 Intervalo

172.16.3.1172.16.3.254

Broadcast 172.16.1 .255

Broadcast 172.16.4.255

Broadcast 172.16.3.255

A Figura 4-3 apresenta os nmeros da sub-rede, os intervalos de endereos e os endereos de broadcast da sub-rede. Entretanto, cada dispositivo da figura pode encontrar as mesmas informaes baseado simplesmente em seu respectivo endereo IP e na configurao da mscara de sub-rede, deduzindo o nmero da sub-rede, o intervalo de endereos e o endereo de broadcast para cada sub-rede anexada. Os exames CCNA exigem o domnio desses conceitos de endereamento e de criao de sub-redes IP, mas ainda mais importante, eles exigem o domnio da matemtica utilizada para analisar as redes IP existentes e criar novas redes IP. Se voc ainda no dedicou tempo suficiente para dominar a criao de sub-redes, aconselhvel estudar e praticar antes de continuar a leitura do livro. Embora esta seo tenha revisado os fundamentos do endereamento IP, ela no cobre a matemtica envolvida na criao de sub-redes. Para aprender sobre a criao de sub-redes e a matemtica respectiva, existem algumas opes. Para aqueles que tenham comprado a biblioteca composta por dois livros que inclui este livro e o CCENT/CCNA ICNDJ Guia Oficial de Certificao do Exame, estude o Captulo 12 daquele livro e resolva os problemas prticos apresentados. Para estar preparado para ler o restante deste livro sem deixar que a matemtica envolvida na criao de sub-redes cause qualquer dificuldade, antes de continuar a leitura, faa as atividades apresentadas na lista a seguir, com tempo suficiente. No necessrio encontrar as respostas rapidamente neste ponto da sua preparao, mas para estar preparado para os exames, necessrio estar pronto para resolver essas atividades dentro dos limites de tempo apresentados: Dada uma mscara decimal denotada com pontos, transforme-a em notao de prefixos, ou vice-versa. (Tempo sugerido para o exame: 5 segundos) Dados um endereo IP e uma mscara, encontre o nmero da sub-rede, o intervalo de endereos e os endereos de broadcast da sub-rede. (Tempo sugerido: 15 segundos)

124 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas


Dadas a mscara de uma sub-rede e a classe (A, B ou C) de uma rede, determine o nmero de sub-redes e de hosts por sub-rede. (Tempo sugerido: 15 segundos) Dados uma classe de rede (A, B ou C) e os requisitos de projeto para um nmero de sub-redes e um nmero de hosts por sub-rede, encontre todas as mscaras que satisfazem aos requisitos e escolha a mscara que maxirniza o nmero de sub-redes ou o nmero de hosts por sub-rede. (Tempo sugerido: 30 segundos)

Dadas a uma rede classful e uma nica mscara de sub-rede para usar em todas as sub-redes, liste os nmeros da sub-rede e identifique a sub-rede zero e a sub-rede broadcast. (Tempo sugerido: 30 segundos) Com esses detalhes sobre sub-redes em mente, a prxima seo examina como um roteador combina com a tabela de roteamento quando as sub-redes listadas na tabela se sobrepem de fonna que o destino de um pacote combine com mais de uma rota.

Encaminhamento IP atravs da combinao com a rota mais especfica

o processo de roteamento IP de qualquer roteador requer que o roteador compare o endereo IP de destino de cada pacote com o contedo existente na tabela de roteamento IP daquele roteador. Muitas vezes, somente um roteador combina com um endereo de destino especfico. No entanto, em alguns casos, um endereo de destino especfico combina com mais de uma rota do roteador. Alguns motivos legtimos e nonnais para a sobreposio de rotas em uma tabela de roteamento so os seguintes:
- Uso do autosummary (sumarizao automtica) - Sumarizao de rota manual - Uso de rotas estticas - Criao incorreta de sub-redes gerando a sobreposio de intervalos de endereos na sub-rede

- I

el

o Captulo 5, "VSLM e sumarizao de rotas", explica em mais detalhe cada um desses motivos. Embora alguns casos
de sobreposio de rotas sejam problemas, outros fazem parte da operao nonnal resultante de algum outro recurso. Esta seo concentra-se em como um roteador escolhe qual rota sobreposta utilizar, sendo os recursos que causam a sobreposio abordados no Captulo 5. A frase a seguir resume a lgica de encaminhamento de um roteador com rotas sobrepostas: Quando um determinado endereo IP de destino combina com mais de uma rota na tabela de roteamento de um roteador, o roteador utiliza a rota mais especfica - em outras palavras, a rota que tem o prefixo mais longo.
\~haY.

- I

- I

/;~~;~o

I -

Para ver exatamente o que isso significa, a tabela de roteamento apresentada no Exemplo 4-1 mostra uma srie de rotas sobrepostas. Primeiro, antes de ler qualquer texto abaixo do exemplo, tente prever qual rota seria utilizada para pacotes enviados aos seguintes endereos IP:I72.16.1.1, 172.16.1.2, 172.16.2.3 e 172.16.4.3.

Exemplo 4-1 Comando show ip route com rotas sobrepostas


R1# ahow ip route rip 172.16.0.0/16 is vari a b1y subne t ted,
R

5 subnets, 4 masks 00:00 : 04, Se rialO/1/1

172 . 16.1.1/32 [120/1] via 172.16.25 . 2,

R
R R

1 7 2.16 . 1 . 0/24 [120/2] via 172.16 . 25.129 , 00:00:09, Serial O/1/0 172.16. 0.0/22 [120/1] via 172 . 16.25 . 2, 00:00:04, Ser ialO/1/1 00: 00: 09, SerialO/1/0

172.16.0.0/16 [120/2] via 172 . 16.25.129,

0.0 . 0. 0 /0 [120/3] via 172 . 16 . 25.129 , 00:00 : 09 , Serial O/ 1 /0

R1# ahow ip route 172.16.4.3 Routing entry for 172.16.0.0/16 Known vi a "rip', d i s tance 12 0 , metric 2 Red i s tributing via rip Las t update from 172.16 . 25.129 on SerialO/1/0. 00:00 : 19 ago Routing De s criptor Blocks:

-I

-I -

CCNA ICND2 125


* 172.16.25.129, f rom 172 .1 6.25 . 129, 00:00 :1 9 ago , vi a SerialO/1/0
Route metric is 2, traffic share count is 1

Embora a questo possa fornecer um diagrama da inter-rede, voc s precisa realmente de duas informaes para determinar qual rota ser combinada: o endereo IP de destino do pacote e o contedo da tabela de roteamento do roteador. Examinando cada sub-rede e cada mscara na tabela de roteamento, voc consegue determinar o intervalo de endereos IP em cada sub-rede. Neste caso, os intervalos defInidos por cada rota, respectivamente, so os seguintes: 172.16.1.1 (somente este endereo) 172.16.1.0-172.16.1.255 172.16.0.0-172.16.3.255 172.16.0.0-172.16.255.255 0.0.0.0-255.255.255.255 (todos os endereos) Observao A rota apresentada como 0.0.0.0/0 a rota padro, que combina com todos endereos IP, e explicada mais adiante neste captulo. Como pode ser visto com base nestes intervalos, vrios intervalos de endereos das rotas se sobrepem. Quando ocorre a combinao de mais de uma rota, utilize-se a rota que possui o prefixo mais longo. Por exemplo: 172.16.1.1: Combina com todas as cinco rotas; o prefIxo mais longo /32, a rota at 172.16.1.1132. 172.16.1.2: Combina com as ltimas quatro rotas; o prefIxo mais longo /24, a rota at 172.16.1.0/24. 172.16.2.3: Combina com as ltimas trs rotas; o prefIxo mais longo /22, a rota at 172.16.0.0/22. 172.16.4.3: Combina com as ltimas duas rotas; o prefixo mais longo /16, a rota at 172.16.0.0/16.

Alm de executar a matemtica da criao de sub-redes em cada rota da tabela de roteamento, o comando sbow ip route ip-address tambm pode ser especialmente til. Esse comando apresenta informaes detalhadas sobre a rota que o roteador combina em relao ao endereo IP apresentado no comando. Se mltiplas rotas forem combinadas com relao ao endereo IP, esse comando apresenta a melhor rota: a rota que possui o prefIxo mais longo. Por exemplo, o Exemplo 4-1 apresenta o resultado do comando sbow ip route 172.16.4.3. A primeira linha do comando (destacada) apresenta a rota combinada: a rota at 172.16.0.0/16. O resto do resultado apresenta os detalhes daquela rota especffica. Esse comando pode ser muito til na vida real e nas questes simuladas dos exames.

DNS, DHCP, ARP e ICMP

o processo de roteamento IP utiliza vrios protocolos relacionados, incluindo o protocolo ARP j mencionado neste

captulo. Antes de passar para os novos tpicos deste captulo, esta seo revisa vrios protocolos relacionados. Para que um host possa enviar qualquer pacote IP, ele precisa conhecer vrios parmetros relacionados ao IP. Os hosts geralmente utilizam o DHCP (Dynamic Host Configuration Protocol, ou Protocolo de Configurao Dinmica de Hosts) para aprender sobre esses fatos essenciais, incluindo: O endereo IP do host A mscara da sub-rede associada O endereo IP do gateway padro (roteador) O(s) endereo(s) IP do(s) servidor(es) DNS Para conhecer essas informaes, o host - um cliente DHCP - envia um broadcast que fInalmente chega ao servidor DHCP. O servidor ento pode alugar um endereo IP quele host e fornecer as outras informaes da lista anterior. Neste ponto, o host tem um endereo IP que pode utilizar como endereo IP fonte, e informaes suficientes para tomar a deciso simples de roteamento do host decidindo se deve enviar pacotes diretamente ao outro host (mesma sub-rede) ou ao gateway padro (outra sub-rede). (No Microsoft Windows XP, o comando ipconfig /alI apresenta as interfaces do host com as informaes apresentadas antes deste pargrafo.)

126 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas


Normalmente, o usurio refere-se direta ou indiretamente ao host name de outro host, que, por sua vez, faz com que o host precise enviar um pacote ao outro host. Ao abrir um navegador Web, por exemplo, e digitar bttp://www.cisco.com como URL voc identifica o host name de um servidor Web de propriedade da Cisco. Ao abrir um cliente de e-mail, como o Microsoft Outlook, indiretamente feita uma referncia a um host name. O cliente de e-mail foi provavelmente configurado para saber o host name do servidor de e-mail de entrada e de sada; por isso, embora o usurio no olhe as definies todos os dias, o software do cliente de e-mail sabe o nome dos hosts com os quais ele deve trocar mensagens. Como hosts no podem enviar pacotes a um host name de destino, a maioria deles utiliza os protocolos DNS (Doma in Name System, ou Sistema de Nome de Domnio) para resolver o nome em seu endereo IP associado. O host age como um cliente DNS, enviando mensagens ao endereo IP unicast do servidor DNS. A solicitao DNS apresenta o nome (por exemplo, www.cisco.com). com o servidor que responde com o endereo IP correspondente quele hostname. Depois de aprendido, o host pode armazenar no cache as informaes desde o nome at o endereo, precisando resolver aquele nome novamente somente aps o tempo da entrada ter se esgotado. (No Windows XP, o comando ipconfig / displaydns apresenta a lista atual de nomes e endereos do host.) O ICMP (Internet Control Message Protocol, ou Protocolo de Mensagem de Controle da Internet) inclui vrias funes diferentes, todas concentradas no controle e no gerenciamento de IP. O ICMP define um conjunto variado de mensagens para propsitos diferentes, incluindo as mensagens ICMP Echo Request e ICMP Echo Reply. O conhecido comando ping testa a rota at o host remoto e a rota inversa de volta ao host original, enviando mensagens Echo Request ao endereo IP de destino, e com esse host de destino respondendo a cada mensagem Echo Request com uma mensagem Echo Reply. Quando o comando ping recebe as mensagens Echo Reply, o comando sabe que a rota entre os dois hosts funciona. Todos esses protocolos trabalham juntos para ajudar o processo de roteamento IP, mas o DHCP, o DNS, o ICMP e o ARP normalmente no ocorrem para todos os pacotes. Imagine, por exemplo, que um novo computador hospedeiro se conecte a uma LAN, e o usurio digite o comando ping www.cisco.com. O DHCP poderia ser usado quando o sistema operacional inicializa, quando o PC utiliza o DHCP para aprender o seu endereo IP e outras informaes, mas depois o DHCP poderia no ser usado durante dias. O PC, ento, utiliza o DNS para resolver www.cisco.com em um endereo IP, mas depois o PC no precisa utilizar o DNS novamente at que seja feita referncia a um novo host name. Se o host estava identificando o host name atravs do ping, o host local cria um pacote IP, com uma ICMP Echo Request dentro do pacote, tendo um endereo IP de destino aprendido pela solicitao DNS anterior. Finalmente, como o host acabou de surgir, ele no tem uma entrada ARP para sua porta de comunicao padro e, por isso, o host deve utilizar o ARP para encontrar o endereo IP da porta de comunicao padro. Somente depois disso que o pacote pode ser enviado ao verdadeiro host de destino, conforme descrito na primeira parte deste captulo. Para pacotes subseqentes enviados ao mesmo host name, estes protocolos provavelmente no precisam ser utilizados novamente, e o host local pode simplesmente enviar o novo pacote. A lista a seguir resume os passos utilizados por um host, conforme a necessidade, para os protocolos mencionados nesta seo:
(~:~;~o 1. Se ainda no forem conhecidos, o host utiliza o DHCP para aprender o seu endereo IP, sua mscara de sub-rede, \~h.V. os endereos IP DNS e o endereo IP do gateway padro. Se j forem conhecidos, o host salta este passo.

2. Se o usurio fizer referncia a um hostname que no esteja atualmente contido no cache de nomes do host, o host faz uma solicitao DNS para resolver o nome em seu endereo IP correspondente. Do contrrio, o host salta este passo. 3. Se o usurio emitiu o comando ping, o pacote IP conter uma ICMP Echo Request; se, do contrrio, o usurio utilizou um tpico aplicativo TCPIIP, ele utilizar protocolos adequados quele aplicativo. 4. Para construir o frame Ethernet, o host utiliza a entrada feita no cache ARP para o prximo dispositivo (next hop) - o gateway padro (ao enviar para um host em outra sub-rede) ou o verdadeiro host de destino (ao enviar para um host na mesma sub-rede). Se o cache ARP no contiver aquela entrada, o host utiliza o ARP para aprender as informaes.

' .

CCNA ICND2 127

Fragmentao e MTU o TCPIIP define um comprimento mximo para um pacote IP.

O termo utilizado para descrever esse comprimento mximo MTU (maximum transmission unit, ou unidade mxima de transmisso).

o MTU varia baseado na configurao e nas caractersticas da interface. Como padro, um computador calcula o MTU
de uma interface com base no tamanho mximo da poro de dados do frame do enlace (onde o pacote colocado). O valor padro do MTU, por exemplo, em interfaces Ethernet 1500. Roteadores, como qualquer host IP, no podem encaminhar um pacote saindo por uma interface se o pacote for maior que o MTU. Se o MTU da interface de um roteador for menor que um pacote que deve ser encaminhado, o roteador fragmenta o pacote em pacotes menores. Fragmentao o processo de quebrar o pacote em pacotes menores, cada qual menor ou igual ao valor do MTU. A Figura 4-4 mostra um exemplo de fragmentao em uma rede onde o MTU do link serial foi baixado para 1000 bytes atravs da configurao.

Figura 4-4 Fragmentao IP


Koufax
Clemens

MTU 1000

Ethernet

IP (1500)

Ethernet

IP (750)

_ _ _.L..-_ _

HDLC

IP (750)

~_.. JI.

I Ethernet

IP (750)

L...

HDLC

IP (750)

Conforme ilustra a Figura 4-4, Koufax envia um pacote de 1500 bytes em direo ao roteador LA . LA remove o cabealho Ethemet mas no pode enviar o pacote como est, porque ele tem 1500 bytes e o link HDLC - controle de Enlace de Alto Nvel (High-Level Data Link Control) aceita um MTU de apenas 1000. Portanto, LA fragmenta o pacote original em dois pacotes, cada um com 750 bytes de comprimento. O roteador faz a matemtica necessria para calcular o nmero mnimo de fragmentos (neste caso, dois) e quebra o pacote original em pacotes de comprimentos iguais. Por causa disso, qualquer outro roteador pelo qual o pacote possa passar tem menos probabilidade de ter de executar uma fragmentao. Depois de encaminhar os dois pacotes, Boston recebe os pacotes e os encaminha sem remont-los novamente. A remontagem feita pelo host da extremidade final, que, neste caso, Clemens. O cabealho IP contm campos teis para remontar os fragmentos no pacote original. O cabealho IP inclui um valor 10 que o mesmo em cada pacote fragmentado, bem como o valor de deslocamento (offset) que define qual parte do pacote original est contida em cada fragmento. Pacotes fragmentados que chegam com defeito podem ser identificados como parte do mesmo pacote original e podem ser remontados na ordem correta utilizando o campo de deslocamento de cada fragmento. Dois comandos de configurao podem ser utilizados para mudar o tamanho do MTU IP em uma interface: o subcomando de interface mto e o subcomando de interface ip rnto. O comando mto define o MTU para todos os protocolos de Camada 3; este comando preferido, a no ser que exista a necessidade de variar a definio de acordo com o protocolo de Camada 3. Se uma definio diferente for desejada para o IP, o comando ip mto define o valor utilizado para o IP. Se ambos estiverem configurados em uma interface, a definio do MTU IP tem precedncia naquela interface. Entretanto, se o comando mto for configurado depois que ip mtu estiver configurado, o valor ip mto redefinido com o mesmo valor do comando mto. Tenha cuidado ao alterar esses valores. A reviso sobre roteamento e endereamento IP est concluda. A seguir, este captulo examina rotas conectadas, incluindo rotas conectadas relativas ao trunking de VLANs e endereos IP secundrios.

Rotas at sub-redes diretamente conectadas


Os roteadores automaticamente acrescentam uma rota sua tabela de roteamento para a sub-rede conectada a cada interface, considerando que os dois fatos a seguir sejam verdadeiros:

128 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas


- A interface est em estado de operao - em outras palavras, o status da interface no comando show interfaces /'....... apresenta um status de linha ativo e um status de protocolo ativo (ativo e ativo - up e up).
(=0

\.

- A interface possui um endereo IP designado atravs do subcomando de interface ip address ou utilizando servios de cliente DHCP.

O conceito de rotas diretamente conectadas relativamente bsico. O roteador, obviamente, precisa saber o nmero da sub-rede utilizado na rede fsica conectada a cada uma de suas interfaces, mas, se a interface no estiver atualmente funcionando, o roteador precisa remover a rota da sua tabela de roteamento. O comando show ip route apresenta essas rotas com um c como cdigo da rota, significando conectada, e o comando show ip route connected apresenta somente rotas conectadas. As sees seguintes sobre rotas conectadas concentram-se em algumas variaes de configurao que afetam rotas conectadas, afetando, assim, a forma como os roteadores encaminham pacotes. O primeiro tpico diz respeito a uma ferramenta chamada endereamento IP secundrio, enquanto o segundo diz respeito configurao de um roteador ao utilizar o trunking de VLANs .

Endereamento IP secundrio
Suponha que voc tenha planejado o esquema de endereamento IP para uma rede. Mais tarde, uma determinada subrede cresce, e voc j utilizou todos os endereos IP vlidos naquela sub-rede. O que voc deveria fazer? Existem trs opes principais: - Aumentar a sub-rede existente - Migrar os hosts para utilizarem endereos em uma sub-rede diferente e maior - Utilizar endereamento secundrio

Todas as trs opes so razoveis mas todas apresentam alguns problemas. Para aumentar a sub-rede, basta alterar a mscara utilizada naquela sub-rede. Entretanto, alterar a mscara pode criar sub-redes sobrepostas. Se, por exemplo, a sub-rede 10.1.4.0/24 estiver ficando sem endereos e voc fizer uma alterao na mscara 255.255.254.0 (9 bits do host, 23 bits da rede/sub-rede), a nova sub-rede incluir endereos de 10.1.4.0 a 10.1.5.255. Se voc j tiver designado a sub-rede 10.1.5.0/24, com endereos de 10.1.5.1 at 10.1.5 .254, seria criada uma sobreposio, o que no permitido. No entanto, se os endereos 10.1.5.x no tiverem sido usados, expandir a antiga sub-rede pode ser uma opo razovel. A segunda opo simplesmente escolher uma sub-rede nova, ainda no utilizada, mas maior. Todos os endereos IP teriam que ser alterados. Este um processo relativamente simples se a maioria ou todos os hosts utilizarem DHCP, mas pode ser um processo trabalhoso se vrios hosts utilizarem endereos IP estaticamente configurados. Observe que as duas primeiras solues implicam uma estratgia de uso de mscaras diferentes em partes diferentes da rede. O uso dessas mscaras diferentes chamado VLSM (variable-length subnet masking, ou mascaramento de sub-redes de comprimento varivel), que introduz mais complexidade rede, principalmente para pessoas que esto monitorando e resolvendo problemas de rede. A terceira opo utilizar um recurso de roteadores Cisco chamado endereamento IP secundrio. O endereamento secundrio utiliza mltiplas redes ou sub-redes do mesmo enlace. Ao utilizar mais de uma subrede no mesmo meio, voc aumenta o nmero de endereos IP disponveis. Para faz-lo funcionar, o roteador precisa de um endereo IP em cada sub-rede de forma que os hosts em cada sub-rede tenham um endereo IP usvel para o gateway padro na mesma sub-rede. Alm disso, pacotes que precisem passar entre essas subredes devem ser enviados ao roteador. Por exemplo, a Figura 4-5 tem a sub-rede 10.1.2.0/24; considere que ela tenha todos os endereos IP designados. Considerando que a soluo escolhida seja o endereamento secundrio, a sub-rede 10.1.7.0/24 tambm poderia ser utilizada na mesma Ethernet. O Exemplo 4-2 mostra a configurao do endereamento IP secundrio em Yosemite.

. '

CCNA ICND2 129


Figura 4-5 Rede TCPIIP com endereos secundrios
BUg5
Daffy

---L----r---~---

10.1 .1.0

10.1.128.252 10.1.129.0 51 51 10.1.129.252 10.1.129.253

Seville
10.1.3.253 10.1 .3.0

Primrio
10.1.2.252,

Secundrio
10.1.7.252

Sam

Emma

Elmer

Red

Exemplo 4-2 Configurao do endereamento IP secundrio e o comando show ip route em Yosemite


! Excerpt fro m ahow running-config follows . ..

Hoatname Yoaem1te ip domain-lookup ip nam&-aerver 10.1.1.100 10.1.2.100 interface ethernet O ip acidreaa 10.1.7.252 255.255.255.0 aecondary ip addreaa 10.1.2.252 255.255.255.0 interface aerial O ip addreaa 10.1.128.252 255.255.255.0 interface aerial 1 ip addreaa 10.1.129.252 255.255.255.0 Yosemite# ahow ip route connected 1 0.0.0.0/24 is s ubnetted,
C C C C

4 subnets

10.1.2.0 is direct l y connected , EthernetO 10 . 1.7.0 is directly connected , EthernetO 10.1. 1 29. O i s d irectly connected, 10.1.128. O is directly connected, Seriall SerialO

o roteador conectou rotas s sub-redes 10.1.2.0/24 e 10.1.7.0/24, e, portanto, pode encaminhar pacotes para cada subrede. Os hosts de cada sub-rede na mesma LAN podem utilizar 10.1.2.252 ou 10.1.7.252 como seus endereos IP do gateway padro, dependendo da sub-rede na qual eles residem.
A maior desvantagem do endereamento secundrio que pacotes enviados entre hosts da LAN podem ser roteados de forma ineficaz. Quando um host, por exemplo, na sub-rede 10.1.2.0, envia um pacote a um host em 10.1.7.0, a lgica do host de envio enviar o pacote ao seu gateway, pois o destino est em uma sub-rede diferente. Portanto, o host de envio envia o pacote ao roteador, que, em seguida, envia o pacote de volta mesma VLAN.

Dando suporte a rotas conectadas sub-rede zero


O lOS pode restringir o roteador de configurar um comando ip address com um endereo dentro da sub-rede zero. Subrede zero aquela em cada rede cIassful que possui todos os Os binrios na parte sub-rede da verso binria do nmero

130 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas


da sub-rede. Em decimais, a sub-rede zero o mesmo nmero da rede c1assful. Com o comando ip subnet-zero configurado, o lOS permite que a sub-rede zero se tome uma rota conectada em conseqncia de um comando ip address configurado em uma interface. Este comando j uma definio padro desde, pelo menos, a verso 12.0 do lOS, que era uma verso do lOS relativamente antiga quando este livro foi publicado. Portanto, para o exame, se aparecer o comando ip subnet-zero configurado, ou se a questo no especificar que o comando no ip subnet-zero esteja configurado, considere que a sub-rede zero pode estar configurada. Observao Edies mais antigas deste livro diziam que voc deveria considerar que a sub-rede zero no pudesse ser utilizada, a no ser que uma questo do exame indicasse que a sub-rede zero fosse utilizada. Os atuais exames CCNA, e portanto este livro, permitem que a sub-rede zero seja utilizada a no ser que a questo do exame indique que ela no deva ser utilizada. Com o comando no ip subnet-zero configurado em um roteador, aquele roteador rejeita qualquer comando ip address que utilize uma combinao endereo/mscara para a sub-rede zero. O subcomando de interface ip address 10.0.0.1 255.255.255.0, por exemplo, indica a sub-rede zero 10.0.0.0/24; logo, o roteador rejeitaria o comando se o comando de configurao global no ip subnet-zero estivesse configurado. Observe que a mensagem de erro simplesmente diz "bad mask" ("mscara ruim") em vez de dizer que o problema foi devido sub-rede zero. O comando no ip subnet-zero em um roteador no afeta outros roteadores e no impede que um roteador aprenda sobre a sub-rede zero atravs de um protocolo de roteamento. Ele simplesmente impede que o roteador configure uma interface para que ela esteja em uma sub-rede zero. Observe que nos atuais exames CCNA, voc pode considerar que a sub-rede zero tem permisso de ser utilizada a no ser que a questo diga que ela no deve ser usada. Em especial, uma questo que utilize um protocolo de roteamento c1assful (conforme discutido no Captulo 5), ou utilize o comando no ip subnet-zero, indica que as sub-redes zero e broadcast devem ser evitadas.

Configurao ISL e 802.1 Q em roteadores


Conforme discutido no Captulo 1, "LANs virtuais", o trunking de VLANs pode ser utilizado entre dois switches e entre um switch e um roteador. Ao utilizar o trunking em lugar da interface fsica de um roteador por VLAN, o nmero de interfaces necessrias do roteador pode ser reduzido. Em vez de uma nica interface fsica no roteador para cada VLAN do switch, pode ser usada uma interface fsica, e o roteador continua podendo rotear pacotes entre as vrias VLANs . A Figura 4-6 mostra o roteador com uma nica interface Fast Ethernet e uma nica conexo com um switch. Tanto o trunking ISL (Inter-Switch Link) quanto o 802.1 Q podem ser utilizados, apenas com pequenas diferenas na configurao de cada um. Para frames que contenham pacotes que o roteador usa entre as duas VLANs, o frame de entrada marcado pelo roteador com o outro VLAN ID. O Exemplo 4-3 mostra a configurao do roteador necessrio para dar suporte ao encapsulamento ISL e o encaminhamento entre essas VLANs. Figura 4-6 Roteador encaminhando
/ ,,

entre VIANs

,'
I

I
\
\

..... . ..
,,-------,

VLAN1

0;00

Fred"
,

Sub-rede IP 10.1.1.0124

,
\

",

. - -. . .... Wilma "

,
\ I I

FaOIO

I I

VLAN1

Frame

VLAN2 1 Frame

I I

VLAN 2 I Sub-rede IP 10.1.2.0124

Sarney I

,,

.;"'/~

/ ,,"

VLAN3 Sub-rede IP 10.1.3.0124

I-

CCNA ICND2 131


Exemplo 4-3 Configurao de roteador para o encapsulamento ISL mostrado na Figura 4-6
interface fastethernet 0/0.1 ip address 10.1.1.1 255.255.255.0 encapsu1ation is1 1

interface fastethernet 0/0.2 ip address 10.1.2.1 255.255.255.0 encapsu1ation is1 2

I.

interface fastethernet 0/0.3 ip address 10.1.3.1 255.255.255.0 encapsu1ation is1 3

o Exemplo 4-3 mostra a configurao para trs subinterfaces da interface Fast Ethemet no roteador. Uma subinterface uma subdiviso lgica de uma interface fsica. O roteador designa a cada subinterface um endereo IP e designa a subinterface a uma nica VLAN. Portanto, em vez de trs interfaces fsicas do roteador, cada uma anexada a uma subredeNLAN diferente, o roteador utiliza uma interface fsica do roteador com trs subinterfaces lgicas, cada qual anexada a urna sub-redeNLAN diferente. O comando encapsulation numera as VLANs, que devem combinar com a configurao dos VLAN IDs no switch.
Este exemplo utiliza nmeros de subinterfaces que combinam com o VLAN ID em cada subinterface. No necessrio que os nmeros combinem, mas a maioria das pessoas opta por faz-los combinar, simplesmente para tomar a configurao mais bvia e facilitar a resoluo de problemas. Em outras palavras, os VLAN IDs podem ser 1, 2 e 3, mas os nmeros das subinterfaces podem ter sido 4, 5 e 6, pois os nmeros das subinterfaces s so usados internamente pelo roteador. O Exemplo 4-4 mostra a mesma rede, mas desta vez com 802.1 Q em vez de ISL. O 802.1 Q IEEE tem um conceito chamado VLAN nativa, que urna VLAN especial em cada trunk para a qual no acrescentado nenhum cabealho 802.1Q s frames. Como padro, a VLAN 1 a VLAN nativa. O Exemplo 4-4 mostra a diferena na configurao. Exemplo 4-4 Configurao do roteador para o encapsulamento 802.1 Q mostrado na Figura 4-6
interface fastethernet 0/0 ip address 10.1.1.1 255.255.255.0

interface fastethernet 0/0.2 ip address 10.1.2.1 255.255.255.0 encapsu1ation dot1q 2

interface fastethernet 0/0.3 ip address 10.1.3.1 255.255.255.0 encapsu1ation dot1q 3

A configurao cria trs VLANs na interface FaO/O do roteador. Duas das VLANs, as VLANs 2 e 3, so configuradas exatamente como no Exemplo 4-3, exceto pelo fato de que o comando encapsulation apresenta 802.1Q como sendo o tipo de encapsulamento. A VLAN natIva, neste caso, a VLAN 1, pode ser configurada com dois estilos de configurao. O Exemplo 4-4 mostra um estilo no qual o endereo IP da VLAN nativa configurado na interface fsica. Em conseqncia disso, o roteador no utiliza os cabealhos de trunking da VLAN nesta VLAN, como o caso da VLAN nativa. A alternativa configurar o endereo IP da VLAN nativa em outra subinterface e utilizar o subcomando de interface encapsulation dotlq 1 native. Esse comando diz ao roteador que a subinterface est associada VLAN 1, mas a palavra-chave native diz ao roteador para no utilizar nenhum cabealho 802.1Q com aquela subinterface. Roteadores no realizam negociao dinmica de trunking. Portanto, o switch conectado interface de um roteador deve configurar o trunking manualmente, conforme abordado no Captulo 1. Por exemplo, um switch na outra extremidade da interface FaO/O do roteador configuraria o subcomando de interface switchport mode trunk (para ativar o trunking manualmente), e, se o switch for capaz de utilizar qualquer um tipo de trunking, configuraria o subcomando de interface switchport trunk encapsulation dotlq para configurar estaticamente uso de 802.1Q.

132 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas

Rotas estticas
Roteadores utilizam trs mtodos principais para acrescentar rotas s suas tabelas de roteamento: rotas conectadas, rotas estticas e protocolos de roteamento dinmico. Roteadores sempre acrescentam rotas conectadas quando as interfaces tm os endereos IP configurados e as interfaces esto ativas e em perfeito funcionamento. Na maioria das redes, os engenheiros utilizam propositalmente protocolos de roteamento dinmico para fazer com que cada roteador aprenda o resto das rotas da rede. O uso de rotas estticas - rotas acrescentadas a uma tabela de roteamento atravs de configurao manual - o menos comum das trs opes.

O roteamento esttico consiste em comandos de configurao global ip route individuais que definem uma rota at um roteador. O comando de configurao inclui uma referncia sub-rede - o nmero e a mscara da sub-rede - junto com instrues sobre onde encaminhar pacotes destinados quela sub-rede. Para verificar a necessidade das rotas estticas, e para verificar a configurao, observe o Exemplo 4-5, que mostra dois comandos ping testando a conectividade IP das cidades de Albuquerque a Yosemite (veja Figura 4-7). Figura 4-7 Modelo de rede utilizado em exemplos de configurao de rotas estticas
Bugs Daffy

_ _- L_ _ _ _, -_ _- L_ __ _

10.1.1.0

10.1.130.253

sO
10.1.129.0

Yosemite 10.1.2.252
10.1.2.0

s1

10.1.129.253

Seville 10.1.3.253
10.1.3.0

Sam

Emma

Elmer

Red

Exemplo 4-5 Comandos EXEC do roteador de Albuquerque apenas com roteadores conectados
Albuquer que# 8how ip route Codes:

c -

connected, 5 - static, I - IGRP, R - RI P , M - mobile, B - BGP

D - EIGRP, EX - EIGRP exte rna I , O - 05 PF, IA - 05PF inter area N1 - 05PF N55A externa1 type 1, N2 - 05PF N55A externaI type 2 E1 - 05PF externaI type 1, E2 - 05PF externaI type 2, E - EGP i - 15-15, L1 - 15 -15 level-1, L2 - 15-15 level-2, ia - 15-15 inter area

* - candidate d efau lt, U - per-user static route , o - ODR


P - periodic d ownl oaded static route Gateway of last re s ort is not set 10.0.0.0 / 24 is subnetted, 3 subnets C C C 10 . 1.1.0 is d i r ectly connec ted, EthernetO 10.1.130.0 is directly connected, 5erial1 10.1.128.0 is dire ctly connected , 5erialO

CCNA ICND2 133


Albuquerque#ping 10.1.128.252 Type escape sequence to abort o Sending 5, 100-byte ICMP Echos to 10.1.128 . 252, t i meo u t i s 2 seconds:
! ! !! !

Success rate is 100 percent (5 / 5) , round-trip min / avg / max = 4/4 / 8 ms Albuquerque#ping 10.1.2.252 Type escape sequence to aborto Sending 5, 100-byte ICMP Echos to 10.1.2 . 252, timeout is 2 seconds:

Success rate is O percent (0 / 5)

o final do exemplo mostra dois comandos ping diferentes no roteador de Albuquerque, um at 10.1.128.252 (endereo SO IP deYosemite) e um at 10.1.2.252 (endereo LAN IP de Yosemite). O comando ping lOS envia cinco pacotes ICMP Echo Request automaticamente, com o resultado do comando apresentando um ponto de exclamao (!) para indicar que uma Echo Reply foi recebida, e um ponto final (.) para indicar que nenhuma resposta foi recebida. No exemplo, a primeira instncia, ping 10.1.128.252, mostra cinco respostas (100%), e a segunda instncia, ping 10.1.2.252, mostra que no foi recebida nenhuma resposta (0%). O primeiro comando ping funciona porque Albuquerque tem uma rota at a sub-rede na qual 10.1.128.2 reside (a sub-rede 10.1.128.0/24). No entanto, o ping at 10.1.2.252 no funciona porque Albuquerque no tem uma rota que combine com o endereo 10.1.2.25. Neste ponto, Albuquerque s possui rotas para as suas trs sub-redes diretamente conectadas. Portanto, o comando ping 10.1.2.252 de Albuquerque cria os pacotes, mas Albuquerque descarta os pacotes porque no existe nenhuma rota.
Configurando rotas estticas
Uma soluo simples para a falha do comando ping 10.1.2.252 ativar um protocolo de roteamento IP em todos os trs roteadores. Na verdade, em uma rede real, esta a soluo mais provvel. Como altemativa, voc pode configurar rotas estticas. Muitas redes possuem algumas rotas estticas, portanto voc precisa configur-las ocasionalmente. O Exemplo 4-6 mostra o comando ip route em Albuquerque, que acrescenta rotas estticas e faz funcionar o ping que falhou no Exemplo 4-5. Exemplo 4-6 Rotas estticas acrescentadas a Albuquerque
ip route 10.1.2.0 255.255.255.0 10.1.128.252 ip route 10.1.3.0 255.255.255.0 10.1.130.253

O comando ip route define a rota esttica atravs da definio do nmero da sub-rede e do IP do roteador de prximo salto (next hop). Um comando ip route define uma rota at 10.1.2.0 (mscara 255.255.255.0), que est localizada saindo de Yosemite; portanto o prximo endereo IP conforme configurado em Albuquerque 10.1.128.25, que o endereo SerialO IP de Yosemite. Analogamente, uma rota at 10.1.3.0, a sub-rede saindo de Seville, aponta para o endereo SerialO IP de Seville, 10.1.130.5. Observe que o prximo endereo IP um endereo IP em uma sub-rede diretamente conectada; o objetivo definir o prximo roteador para o qual enviar o pacote. Agora, Albuquerque pode enviar pacotes para essas duas sub-redes. O comando ip route possui dois formatos bsicos. O comando pode se referir a um prximo endereo IP, conforme mostrado no Exemplo 4-6. Por outro lado, para rotas estticas que utilizam links seriais ponto-a-ponto, o comando pode apresentar a interface de sada em vez do prximo endereo IP. O Exemplo 4-6 poderia utilizar o comando de configurao global ip route 10.1.2.0 255.255.255.0 serialO em vez do primeiro comando ip route. Infelizmente, acrescentar as duas rotas bsicas do Exemplo 4-6 a Albuquerque no resolve todos os problemas de roteamento da rede. As rotas estticas ajudam Albuquerque a entregar pacotes a essas duas sub-redes, mas os outros dois roteadores no possuem informaes suficientes de roteamento para encaminhar pacotes de volta a Albuquerque. Por exemplo, o PC Bugs no consegue identificar o PC Sam nesta rede, mesmo depois da adio dos comandos no Exemplo 4-6. O problema que, embora Albuquerque possua uma rota at a sub-rede 10.1.2.0, onde Sam reside, Yosemite no possui uma rota at 10.1.1.0, onde Bugs reside. O pacote ping de solicitao vai de Bugs a Sam corretamente, mas o pacote ping de resposta de Sam no pode ser roteado pelo roteador de Yosemite de volta a Bugs, passando por Albuquerque; portanto, o ping falha.

134 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas

Comando ping estendido


Na vida real, possvel que voc no encontre um usurio, como Bugs, a quem voc possa pedir para testar sua rede utilizando pingo Em vez disso, voc pode utilizar o comando ping estendido em um roteador para testar o roteamento da mesma forma que um ping de Bugs para Sam faz. O Exemplo 4-7 mostra Albuquerque com o comando de trabalho ping 10.1.2.252 em operao, mas com um comando ping 10.1.2.252 estendido que funciona de forma semelhante a um ping de Bugs para Sam - um ping que falha neste caso (somente as duas rotas estticas do Exemplo 4-6 foram acrescentadas neste ponto). Exemplo 4-7 Albuquerque: ping em operao aps acrescentar rotas padro e falha ocorrida no comando ping estendido
Albuquerque# show ip route Codes:

c -

connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA externaI type 1, N2 - OSPF NSSA externaI type 2 E1 - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP i - IS-IS, L1 - IS-IS level - 1, L2 - IS-IS level-2 , ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR


P - periodic downloaded static route Gateway o f las t res o rt is not set 10.0.0.0 / 24 i s subn etted, S S C C C 5 subnets

10.1.3.0 [l/O] via 10.1.130.253 10.1.2.0 [l/O] via 10.1.128.252 10.1.1. O is directly connec t ed, EthernetO 10.1.130 . O is directly connected, 10.1.128. O is directly connected, Seriall SerialO

Albuquerque#ping 10.1.2.252 Type escape sequence to abo rt o Sending 5 , 10 0-byte ICMP Echos to 10 . 1.2 .2 52,
!!!!!

timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 rns Albuquerque#ping Protocol [ip]:

Target I P address : 10.1. 2. 2 52 Repeat count [5]: Datagram size [100] : Timeout in seconds [2]: Extended cornrnands [n]: y Source address or interface : 10.1.1.251 Type of service [O]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [OxABCD]: Loose, Strict, Record, Timestamp, Verbose[none ]:

Sweep range of sizes [n] : Type escape sequence to aborto Sending 5, 100-byte ICMP Echos to 10.1.2 .2 52, timeout is 2 seconds:

Success rate is O percent (0/5)

Rotas estticas padro

...
'
(.

CCNA ICND2 135

o simples comando ping 10.1.2.252 funciona por uma razo bvia e outra no to bvia assim. Primeiro, Albuquerque
pode encaminhar um pacote para a sub-rede 10.1.2.0 por causa da rota esttica. O pacote de retomo, enviado por Yosemite, enviado para o endereo 10.1.128.251, o endereo SerialO IP de Albuquerque, e Yosemite possui uma rota conectada para chegar sub-rede 10.2.128.0. Mas por que Yosemite envia a Beho Reply ao endereo 10.1.128.251 SO IP de Albuquerque? Bem, os pontos apresentados a seguir so verdadeiros em relao ao comando ping em roteadores Cisco: - O comando ping Cisco utiliza, como padro, o endereo IP da interface de sada como o endereo fonte do pacote, a no ser que seja especificado de outra forma no ping estendido. O primeiro ping, no Exemplo 4-7, usa uma fonte 10.1.128.251, porque a rota utilizada para enviar o pacote at 10.1.2.252 envia pacotes saindo pela interface SerialO de Albuquerque, cujo endereo IP 10.1.128.251. - Os pacotes de resposta do ping (lCMP Echo Replies) invertem os endereos IP utilizados na solicitao ping recebida qual eles esto respondendo. Portanto, neste exemplo, o Echo Reply de Yosemite, em resposta ao primeiro ping do Exemplo 4-7, usa 10.1.128.251 como endereo de destino e 10.1.2.252 como endereo IP fonte. Como o comando ping 10.1.2.252 em Albuquerque utiliza 10.1.128.251 como endereo fonte do pacote, Yosemite pode enviar uma resposta de volta a 10.1.128.251, pois Yosemite possui uma rota (conectada) at 10.1.128.0. O perigo ao resolver problemas com o comando ping padro que podem continuar existindo problemas no roteamento, mas o comando ping 10.1.2.252, que funcionou, lhe d uma falsa impresso de segurana. Uma alternativa mais abrangente utilizar o comando ping estendido para agir como se voc tivesse emitido um ping a partir de um computador daquela subrede, sem ter de chamar o usurio e pedir-lhe que entre com um comando ping para voc no Pc. A verso estendida do comando ping pode ser usada para refinar a causa por trs do problema alterando vrios detalhes do que o comando ping envia em sua solicitao. Na verdade, quando o ping de um roteador funciona, mas o ping de um host no funciona, o ping estendido pode ajud-lo a recriar o problema sem necessidade de trabalhar com o usurio final ao telefone.

Ico

No Exemplo 4-7, o comando ping em Albuquerque envia um pacote a partir do endereo IP fonte 10.1.1.251 (a Ethernet de Albuquerque) para 10.1.2.252 (a Ethernet de Yosemite). De acordo com o resultado, Albuquerque no recebeu uma resposta. Normalmente, o comando ping seria tirado do endereo IP da interface de sada. Com o uso da opo de endereos fonte do ping estendido, o endereo fonte do pacote echo definido como endereo IP Ethernet de Albuquerque, 10.1.1.251. Como a mensagem ICMP echo gerada pelo ping estendido tirada de um endereo da sub-rede 10.1.1.0, o pacote se parece mais com um pacote de um usurio final daquela sub-rede. Yosernite constri um Beho Reply, com destino 10.1.1.251, mas no possui uma rota at aquela sub-rede. Logo, Yosemite no pode enviar o pacote de respostas ping de volta a Albuquerque.

Para resolver este problema, todos os roteadores podem ser configurados para utilizar um protocolo de roteamento. Outra alternativa simplesmente definir rotas estticas em todos os roteadores da rede.

Uma rota padro (default route) uma rota especial que combina com todos os destinos dos pacotes. Rotas padro podem ser especialmente teis quando existe somente um caminho fsico de uma parte da rede a outra, e em casos nos quais um roteador empresarial fornece conectividade Internet para aquela empresa. Na Figura 4-8, por exemplo, RI, R2 e R3 esto conectados ao resto da rede atravs somente da interface LAN de RI. Todos trs roteadores podem enviar pacotes ao resto da rede desde que os pacotes cheguem a RI, que, por sua vez, encaminha pacotes ao roteador Dist1.
------Vl.AN1 Fr.:d , SubredelP 10.1.1 .0/24 '

Figura 4-8 Modelo de rede utilizando uma rota padro

,,
. . - . -. . Wilma ' \
\

I Vl.AN 2 ) Sub rede IP 10.1 .2.0/24

Sarney I
I
I /
/ /

- /

// Vl.AN 3 Sub-rede IP 10.1.3.0/24

136 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas


As sees a seguir mostram duas opes para configurar rotas estticas padro: uma utilizando o comando ip route e outra utilizando o comando ip default-network.

Rotas padro utilizando o comando ip route


Ao configurar uma rota padro em RI , sendo a prxima parada o roteador Distl, e ao fazer com que RI anuncie o padro para R2 e R3, pode-se obter um roteamento padro. Ao utilizar uma rota padro, RI , R2 e R3 no devero precisar de rotas especficas at as sub-redes direita do roteador Dist1. O Exemplo 4-8 comea examinando este esquema mostrando a definio de uma rota esttica padro em RI e as informaes resultantes na tabela de roteamento IP de R I. Exemplo 4-8 Configurao da rota esttica padro de Ri e tabela de roteamento
R1(config) #ip route 0.0.0.0 0.0.0.0 168.13.1.101 R1# show ip route Codes : C D N1 E1 i * P

connected, S EIGRP , EX

static, I

IGRP , R - RIP, M - mobile, B

BGP

EIGRP exter nal, O

OS PF, IA

OSPF i nter area

OSPF NSSA externa l type 1, N2 OSPF extern al type 1 , E2 IS-IS, L1

OSPF NSSA ext ernal type 2

OS PF external type 2, E IS - IS level-2, ia

EGP

IS-IS level-1, L2

IS-IS inter area

candidate defau lt, U - per-user static route, o periodic downloaded static rou te

ODR

Gateway o f last resort is 168 . 13.1 . 101 to network 0 . 0.0.0 168 . 13 . 0.0/24 is s ubnetted, C R R C 4 subnets

16 8 .13.1.0 is directly connected, FastEthernetO / O 168.13.3.0 [120/1 1 via 168.13.100.3, 168.13.2.0 [120 / 11 via 168.13.100.2, 00:00:05 , SerialO.1 00:00 : 21 , SerialO . 1

168.13 . 100 . 0 is directly connected, SerialO.1

S * 0 .0.0.0 / 0 [1 / 01 via 16 8 .13.1.101

RI define a rota padro atravs de um comando ip route esttico, cujo destino 0.0.0.0, cuja mscara 0.0.0.0. Em conseqncia disso, o comando show ip route de RI apresenta uma rota esttica at 0.0.0.0, uma mscara 0.0.0.0, sendo a prxima parada 168.13.1.10 1 - em essncia, a mesma informao no comando de configurao global ip route 0.0.0.0 0.0.0.0 168.13.1.101. Um destino 0.0.0.0, com mscara 0.0.0.0, representa todos os destinos por conveno. Apenas com essa configurao, RI possui uma rota esttica que combina com todos os destinos de pacotes IP. Observe tambm, no Exemplo 4-8, que o resultado do comando show ip route de RI apresenta uma "gateway de ltimo recurso" como 168.13.1.101. Quando o roteador sabe sobre pelo menos uma rota padro, ele marca a rota com um asterisco na tabela de roteamento. Se um roteador fica sabendo sobre mltiplas rotas padro - atravs de configurao esttica ou a partir dos protocolos de roteamento - ele marca cada rota padro com um asterisco na tabela de roteamento. Em seguida, o roteador escolhe a melhor rota padro, marcando aquela escolha como a gateway de ltimo recurso. (A distncia administrativa da fonte de informaes de roteamento, conforme definida pela definio de distncia administrativa, tem impacto sobre essa escolha. O assunto distncia administrativa abordado no Captulo 8, "Teoria do protocolo de roteamento", na seo "Distncia administrativa".) Embora a configurao do RIP (Routing Information Protocol, ou Protocolo de Informaes de Roteamento) no seja mostrada, RI tambm anuncia essa rota padro para R2 e R3, conforme mostrado no resultado do comando show ip route em R3 no Exemplo 4-9. Exemplo 4-9 R3: Nuances do uso bem sucedido da rota esttica em Ri
R3# show ip route Codes : C - connected, S - static, I - IGRP , R - RIP , M - mob ile, B - BGP D - EIGRP , EX - EIGRP ext ernal, O - OSPF, I A - OSPF in ter a r ea N1 - OSPF NSSA external type 1 , N2 - OS PF NSSA external type 2 E1 - OSPF external t ype 1 , E2 - OSPF external type 2, E - EGP

CCNA ICND2 137


i - IS-IS, L1 - IS-IS level - 1, L2 - IS - IS level - 2, ia - IS-IS inter area - candidate default , U - per - user stat i c route, o - ODR P - periodic downloaded static route Gateway o f last resort is 168.13 .10 0 . 1 t o network 0 .0. 0 .0 168.13.0.0/24 is subnetted, R C R C 4 subnets 00 : 00:13, SerialO.1

168.13.1.0 [120 / 1] via 168.13 . 100 . 1,

168 . 13.3.0 is directly connected, EthernetO 168 . 13.2.0 [120 / 1] via 168.13 . 100 . 2, 16 8 .1 3 .1 00.0 is d i rectly c onnected, 00:00:06, Seri al O.1 SerialO.1

Protocolos de roteamento diferentes anunciam rotas padro de maneiras diferentes. Como exemplo, quando R3 fica sabendo sobre uma rota padro de RI utilizando RIP , R3listao destino da rota padro (0.0.0.0) e o prximo roteador, que, neste caso, R1 (168.13.100.1), conforme destacado no Exemplo 4-9. Portanto, quando R3 precisa utilizar sua rota padro, ele encaminha pacotes at RI (168.13.100.1).

Rotas padro utilizando o comando ip default-network


Outro estilo de configurao da rota padro utiliza o comando ip default-network. Esse comando apresenta uma rede IP c1assful como sendo seu parmetro, dizendo ao roteador para utilizar os detalhes de roteamento da rota relativos quela rede c1assful como sendo os detalhes de encaminhamento de uma rota padro. Esse comando mais til quando o engenheiro deseja utilizar a rota padro para alcanar redes alm das redes utilizadas dentro daquela empresa. Na Figura 4-8, por exemplo, suponha que todas as sub-redes da rede Classe B 168.13.0.0 da empresa sejam conhecidas; elas s existem prximas dos roteadores RI , R2 e R3; e essas rotas esto todas nas tabelas de roteamento de RI , R2 e R3. Alm disso, nenhuma das sub-redes de 168.1.0.0 est direita do Roteador Dist1. Se o engenheiro desejar utilizar uma rota padro para encaminhar pacotes a destinos direita de Dist1 , o comando ip default-network funcionar bem. Para utilizar o comando ip default-network para configurar uma rota padro, o engenheiro conta com seu conhecimento de que Dist1 j est anunciando uma rota para a rede c1assful 10.0.0.0 at RI. A rota de RI at a rede 10.0.0.0 aponta para o endereo 168.13.1.10 1 de Distl como o prximo endereo de parada. Sabendo disso, o engenheiro pode configurar o comando ip default-network 10.0.0.0 em RI , que diz a RI para construir sua rota padro com base na rota que ele aprendeu para a rede 10.0.0.0/8. O Exemplo 4-10 mostra vrios detalhes sobre esse cenrio em RI.

Exemplo 4-10 Uso do comando ip default-network de Ri


R1# configure terminal R1(config)f ip defau1t-network 10.0.0.0 R1 (config) #exit R1# show ip route Codes:C - connected , S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP externai, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA externai type 1, N2 - OSPF NSSA externai type 2 E1 - OSPF externai type 1, E2 - OSPF externai type 2, E - EGP
i - 18-18, LI - 18-18 leveI-I,

L2 - 18-18 level-2,

ia - 18-18 inter area

- candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway o f last re s ort i s 168.13 . 1. 1 01 to networ k 10.0.0.0

168.13.0.0 / 24 is subnetted, 5 subnets R C R R C 168.13.200.0 [120 / 1] via 168.13.1.101, 00:00:12, FastEthernetO / O

168 . 13.1.0 is directly connected, FastEthernetO / O 168.13 . 3 . 0 [120 / 1] via 168.13.100.3 , 00:00:00, SerialO.1

168 . 13.2.0 [120 / 1] via 168 . 13.100.2 , 00:00:00, SerialO . 1 168.13.100.0 is directly connected, SerialO.1
-

R* 1 0 . 0.0.0/8

[120/ 1] via 168.13.1. 1 01 , 00 : 00: 1 2, Fas t EthernetO/O

138 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas


RI mostra o resultado de se ter normalmente aprendido uma rota at a rede 10.0.0.0 atravs do RIP e os resultados adicionais do comando global ip default-network 10.0.0.0. A rota RIP de RI para 10.0.0.0/8 apresenta o prximo endereo IP 168.13.1.101, o endereo IP de Distl em sua LAN comum, como normal. Por causa do comando ip default-network 10.0.0.0, RI decide utilizar os detalhes da rota at a rede 10.0.0.0 como sua rota padro. A ltima parte da linha sobre o gateway de ltimo recurso apresenta a rede padro, 10.0.0.0. Alm disso, RI mostra um asterisco ao lado da rota referida no comando ip default-network.

Resumo sobre rotas padro


Lembrar-se dos detalhes de configurao de rotas padro, e em particular os detalhes finais no resultado do comando show ip route, pode ser um desafio. No entanto, tente lembrar-se destes pontos essenciais referentes a rotas padro:
/;~~;~o
'. Chave

- Rotas estticas padro podem ser configuradas estaticamente utilizando o comando ip route 0.0.0.0 0.0.0.0 nexthopaddress ou ip default-network net-number. - Quando um roteador s combina com um pacote usando a rota padro, ele utiliza os detalhes de encaminhamento apresentados na linha o gateway de ltimo recurso.

....

Independentemente de como a rota padro aparea - seja ela um gateway de ltimo recurso, uma rota at 0.0.0.0, ou uma rota a alguma outra rede com um * do lado na tabela de roteamento - ela utilizada de acordo com as regras de roteamento classless e classful, conforme explicado na prxima seo.

Roteamento classful e classless


Os roteadores Cisco possuem duas opes configurveis sobre como um roteador utiliza uma rota padro existente: roteamento classless e roteamento classful. O roteamento classless faz com que o roteador utilize suas rotas padro para qualquer pacote que no combine com outra rota. O roteamento classful apresenta uma restrio sobre quando o roteador pode utilizar sua rota padro, resultando em casos em que o roteador possui uma rota padro mas opta por descartar o pacote em vez de encaminh-lo com base na rota padro. Os termos classless e classful tambm caracterizam o endereamento IP e o roteamento IP; portanto, existe bastante confuso com relao ao significado dos termos. Antes de explicar os detalhes do roteamento classful e do roteamento classless, a prxima seo resume o outro uso desses termos.

Resumo do uso dos termos classless e classful


Os termos endereamento classless e endereamento classful se referem a duas maneiras diferentes de analisar os endereos IP. Ambos os termos se referem a uma perspectiva sobre a estrutura de um endereo IP de sub-rede. O endereamento classless utiliza uma viso dos endereos IP dividida em duas partes, e o endereamento classful utiliza uma viso composta por trs partes. Com o endereamento classful, o endereo sempre tem um campo de rede de 8, 16 ou 24 bits, baseado nas regras de endereamento das Classes A, B e C. O final do endereo tem uma parte referente ao host que identifica exclusivamente cada host dentro de uma sub-rede. Os bits intermedirios rede e a parte referente ao host compem a terceira parte, ou seja, a parte de do endereo referente sub-rede. Com o endereamento classless, as partes referentes rede e sub-rede da viso classful so combinadas em uma nica parte, muitas vezes chamada de sub-rede ou prefixo, com o endereo terminando na parte referente ao host. Os termos protocolo de roteamento classless e protocolo de roteamento classful se referem aos recursos de diferentes protocolos de roteamento IP. Esses recursos no podem ser ativados nem desativados; um protocolo de roteamento , naturalmente, classless ou classful. De modo especial, os protocolos de roteamento classless anunciam informaes sobre a mscara de cada sub-rede, dando aos protocolos classless a capacidade de aceitar VLSM e sumarizao de rotas. Os protocolos de roteamento classful no anunciam informaes sobre mscara, e, portanto, no aceitam VLSM nem sumarizao de rotas. O terceiro uso dos termos classless e classful - os termos roteamento classful e roteamento classless - tem a ver com a forma em que o processo de roteamento IP faz uso da rota padro. interessante notar que este o nico dos trs usos dos termos que pode ser alterado com base na configurao do roteador. A Tabela 4-2 apresenta os trs usos dos termos classless e classful, com uma breve explicao. Logo aps a tabela, dada uma explicao mais completa sobre roteamento classless e classful. O Captulo 5 d mais informaes sobre os termos protocolo de roteamento classless e protocolo de roteamento classful.

CCNA ICND2 139


Tabela 4-2 Comparando o uso dos termos classless e classful Quando aplicado a
Endereos Protocolos de roteamento

..........
[ TpiCO

Classful
Os endereos possuem trs partes: rede, sub-rede e host. O protocolo de roteamento no anuncia mscaras nem aceita VLSM, RIP-l e IGRP

Classless

'..... C""".

Os endereos possuem duas partes: sub-rede ou prefixo e host O protocolo de roteamento anuncia mscaras e aceita VLSM, RIP-2, EIGRP e OSPF O processo de encaminhamento IP no tem restries quanto ao uso da rota padro

Roteamento (Encaminhamento)

O processo de encaminhamento IP restrito com relao forma em que ele utiliza a rota padro

Comparao entre roteamento classless e classful


quando um roteador conhece uma rota padro. Em comparao com o roteamento classful, os principais conceitos do roteamento classless so simples. O roteamento classful restringe o uso da rota padro. As duas explicaes a seguir do uma descrio geral de cada um, com um exemplo logo aps as definies:

o roteamento IP classless funciona exatamente como a maioria das pessoas pensa que o roteamento IP funcionaria

-. te

;.

..

lco ve

Roteamento classless: quando o destino de um pacote s combina com a rota padro de um roteador, e no
combina com nenhum outro roteador, encaminhe o pacote utilizando a rota padro. combina com nenhum outro roteador, use a rota padro somente se este roteador no conhecer nenhuma rota da rede classful na qual o endereo IP de destino resida.

Roteamento classful : quando o destino de um pacote s combina com a rota padro de um roteador, e no

O uso do termo classful se refere ao fato de que a lgica inclui algumas consideraes sobre as regras de endereamento IP classful, ou seja, a rede classful (Classe A, B ou C) do endereo de destino do pacote. Para que este conceito faa sentido, o Exemplo 4-11 mostra um roteador com uma rota padro; porm, o roteamento classful permite o uso da rota padro em um caso, mas no no outro. O exemplo utiliza os mesmos exemplos de rotas padro apresentados anteriormente neste captulo, com base na Figura 4-8. R3 e RI possuem uma rota padro que poderia encaminhar pacotes ao Roteador Distl. Entretanto, conforme visto no Exemplo 4-11 , em R3, o ping 10.1.1.1 funciona mas o ping 168.13.200.1 falha.

Este exemplo utiliza a rota padro em R1, conforme definido com o comando ip Observao route e conforme explicado nos Exemplos 4-8 e 4-9, mas ele teria funcionado da mesma forma independentemente de como a rota padro foi aprendida. Exemplo 4-11 O roteamento classful fa z com que um ping em R3 falhe
R3# s how i p r oute Codes :C - connected, S - static, I - IGRP, R - RI P , M - mobile, B - BGP D - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter a rea

N1 - OSPF NSSA externa I type 1 , N2 - OSPF NSSA externaI type 2 E1 - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP i - I S-IS , L1 - I S-IS level-1, L2 - IS-IS level-2, i a - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR


P - p eriodic d ownloaded static rou te Gateway of last resort is 168.13 . 100.1 to network 0 . 0.0 . 0 1 68.13.0.0/24 is subnetted , 4 subnets
R

168.13.1.0 [120/1] via 168.13.100.1,

00:00:13, Serial0 . 1

c
R

168.13.3.0 is directly connected , EthernetO 168.13.2.0 [120/1] via 168.13.100.2, 00 : 00:06, Serial0.1

140 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas


C 1 68 . 13. 100.0 is di rectly connected , SerialO . 1

R3 #ping 10.1.1.1 Type escape sequence t o aborto Sending 5, 100-byte ICMP Echos to 10.1 . 1.1 , timeout is 2 seconds:
! !! ! !

Success rate is 100 percent (5/5) , round- trip IDn / avg/max = 84 / 89/114 ms R3# R3#ping 168.13.200.1 Type escape sequence to aborto Sending 5 , 100-byte ICMP Echos to 168 . 13.200.1, timeout is 2 seconds:

Success rate is O percent (0 / 5)

Primeiro, considere a tentativa de R3 combinar os destinos (10.1.1.1 e 168.13.200.1) em comparao com as rotas da tabela de roteamento. A tabela de roteamento de R3 no possui nenhuma rota que combine com o endereo IP de destino, a no ser a rota padro. Logo, a nica opo de R3 utilizar sua rota padro. R3 configurado para utilizar o roteamento classful. Com roteamento classful, o roteador primeiramente combina com o nmero da rede Classe A, B ou C no qual reside um dos destinos. Se a rede Classe A, B ou C for encontrada, o Software Cisco lOS procura pelo nmero especfico da sub-rede. Se no for encontrada, o pacote descartado, como o caso das mensagens ICMP echos enviadas com o comando ping 168.13.200.1. No entanto, com o roteamento classful, se o pacote no combinar com uma rede Classe A, B ou C da tabela de roteamento, e existir uma rota padro, a rota padro utilizada - e por isso que R3 consegue encaminhar as mensagens ICMP echos enviadas pelo comando ping 10.1.1.1 bem-sucedido. Em resumo, com o roteamento classful, a nica vez em que a rota padro utilizada quando o roteador no sabe sobre nenhuma sub-rede da rede de destino Classe A, B ou C do pacote. possvel alternar entre o roteamento classless e classful com os comandos de configurao global ip classless e no ip classless, respectivamente. Com o roteamento classless, o Software Cisco lOS procura pela melhor combinao, ignorando as regras de classe. Se existir uma rota padro, com o roteamento classless, o pacote sempre, pelo menos, combina com a rota padro. Se uma rota mais especfica combinar com o destino do pacote, aquela rota usada. O Exemplo 4-12 mostra R3 alterada para utilizar o roteamento classless, e o ping 168.13.200.1 bem-sucedido.

Exemplo 4-12 O roteamento classless permite que o ping 168.13.200.1 agora obtenha sucesso
R3# eonfigure terminal Enter configuration commands, one per line. End with CNTL / Z. R3(config) ip ela le R3 (config) # AZ R3#ping 168.13.200.1 Type escape sequence to aborto Sending 5 , 100-byte ICMP Echos to 168.13.200.1, timeout is 2 seconds:
! ! !! !

Success rate is 100 percent (5/5), round-trip min/avg/max = 80/88/112 ms

Atividades de preparao para o exame


..........

Revise todos os tpicos-chave

f T6plco '. Chave

....

Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina. A Tabela 4-3 relaciona esses tpicos-chave e os nmeros das pginas nas quais cada um encontrado.

CCNA ICND2 141


Tabela 4-3 Tpicos-chave do Captulo 4 Elemento do tpico-chave
Lista Lista Lista Reflexo

Descrio
Passos seguidos por um host ao encaminhar pacotes IP Passos seguidos por um roteador ao encaminhar pacotes IP Reviso dos pontos-chave sobre endereamento IP Resumo da lgica utilizada por um roteador quando o destino de um pacote combina com mais de uma rota Itens normalmente aprendidos atravs do DHCP Passos e protocolos utilizados por um host ao comunicar-se com outro host

Nmero da pgina
119 120 122

124 125

Lista Lista

126 128

Lista Lista

Regras referentes a quando um roteador cria uma rota conectada Regras sobre o endereo origem utilizado por pacotes gerados pelo comando ping lOS Fatos importantes com relao definio de rotas estticas padro Resumo dos trs usos separados, mas relacionados, dos termos classless e classful Definies de roteamento classless e roteamento classful

135

Lista

138

Tabela 4-2

139
139

Lista

Complete as tabelas e listas usando a memria


Imprima uma cpia do Apndice J, "Tabelas de memria" ou pelo menos a seo referente a este captulo e complete as tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", inclui tabelas e listas completadas para voc conferir o seu trabalho.

Definies de termos-chave
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: endereamento classful, endereamento classless, endereo IP secundrio, ping estendido, protocolo de roteamento classful, protocolo de roteamento classless, roteamento classful, roteamento classless, sub-rede zero

Referncia aos comandos para verificar sua memria


Embora voc no precise necessariamente memorizar as informaes contidas nas tabelas desta seo, ela inclui uma referncia para os comandos de configurao e EXEC abordados neste captulo. Na prtica, voc deve memorizar os comandos como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de preparao para o exame. Para verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra o lado esquerdo da tabela com um pedao de papel, leia as descries do lado direito e veja se voc se lembra do comando.

142 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas


Tabela 4-4 Referncia aos comandos de configurao do Captulo 4 Comando encapsulation dotlq vlan-id [native] Descrio
Subcomando de subinterface que diz ao roteador para usar o trunking 802.1 Q, para uma VLAN em particular, e com a palavra-chave native, para no encapsular em um cabealho do trunking Subcomando de subinterface que diz ao roteador para usar o trunking ISL, para uma VLAN em particular Comando global que ativa (ip classless) ou desativa (no ip classless) o roteamento c1assless Comando global que permite (ip subnet-zero) ou desfaz a permisso (no ip subnet-zero) de configurao de um endereo IP de interface em uma sub-rede zero Subcomando de interface que designa o endereo IP da interface e d a opo de fazer do endereo um endereo secundrio

encapsulation isl vlan-identifier [no] ip classless [no] ip subnet-zero

ip address ip-address mask [secondary]

ip route prefix mask {ip-address I Comando de configurao global que cria uma rota esttica interface-type interface-number} [distance] [permanent] ip default-network network-number
Comando global que cria uma rota padro baseada na rota do roteador para alcanar a rede c1assfullistada no comando

Tabela 4-5 Referncia aos comandos EXEC do Captulo 4 Comando show ip route Descrio
Lista toda a tabela de roteamento do roteador

show ip route ip-address


ping {host-name

Lista informaes detalhadas sobre a rota com a qual um roteador combina para o endereo IP apresentado Testa as rotas IP enviando um pacote ICMP ao host de destino Testa as rotas IP descobrindo os endereos IP das rotas entre um roteador e o destino listado

I ip-address}

traceroute {host-name

I ip-address}

CCNA ICND2 143

Este captulo aborda os seguintes assuntos:


VLSM: esta seo explica as questes e solues ao projetar uma inter-rede que utiliza VLSM.

Sumarizao manual de rotas: esta seo explica o conceito de sumarizao manual de rotas e descreve como projetar inter-redes para facilitar a sumarizao.

Sumarizao automtica e redes classful no-contguas: esta seo examina o recurso de sumarizao automtica e explica como ele deve ser considerado em projetos de inter-redes que utilizam redes no-contguas

VLSM e sumarizao de rotas :


CAPTULO

Enquanto o Captulo 4, "Roteamento IP: rotas estticas e diretamente conectadas", concentra-se em tpicos relacionados ao roteamento IP, este captulo concentra-se em tpicos relacionados ao endereamento IP: VLSM (variable-length subnet masking, ou mascaramento de sub-redes de comprimento varivel), sumarizao manual de rotas e sumarizao automtica de rotas. Esses recursos esto relacionados ao endereamento IP pelo fato de exigirem raciocnio sobre o intervalo de endereos IP indicado por um determinado endereo e uma mscara ou por uma sub-rede que faa parte de uma rota sumarizada. Portanto, este captulo requer compreenso total de endereamento IP para que se possa entender por completo os exemplos aqui apresentados. Este captulo se concentra principalmente em conceitos e comandos show, com apenas alguns poucos comandos de configurao de interesse.

: Questionrio "Eu j conheo isto?"


O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das oito questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A Tabela 5-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o material destas sees. Isso ajudar voc a avaliar o seu conhecimento nestas reas especficas. As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A. Tabela 5-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?" Seo d os tpicos fun damentais VLSM Sumarizao manual de rotas Sumarizao automtica e redes c1assful no-contguas Questes 1-3
4-6

7-8

I.

1. Qual dos seguintes protocolos de roteamento aceita VLSM?

a. RIP-l
b. RIP-2 c. EIGRP d. OSPF 2. O que significa o acrnimo VLSM? a. Mscara de sub-redes de comprimento varivel b. Mscara de sub-redes muito longas c. Mscara de sub-redes longitudinais vociferante d. Mscara de sub-redes de extenso vetorial e. Mscara de sub-redes de loop vetorial 3. RI configurou a interface FaO/O com o comando ip address 10.5.48.1 255.255.240.0. Qual das seguintes subredes, quando configurada em outra interface em RI, no seria considerada uma sub-rede VLSM sobreposta?

146

Captulo 5: VLSM e sumarizao de rotas

a. 10.5.0.0255.255.240.0 b. 10.4.0.0255.254.0.0 c. 10.5.32.0255.255.224.0 d. 10.5.0.0255.255.128.0 4. Qual das seguintes sub-redes sumarizadas a menor rota de sumarizao (menor intervalo de endereos) que inclui as sub-redes 10.3.95.0, 10.3.96.0 e 10.3.97.0 e a mscara 255.255.255.0? a. 10.0.0.0255.0.0.0 b. 10.3.0.0255.255.0.0 c. 10.3.64.0255.255.192.0 d. 10.3.64.0255.255.224.0 5. Qual das seguintes sub-redes sumarizadas no uma sumarizao vlida que inclui as sub-redes 10.1.55.0, 10.1.56.0 e 10.1.57.0 e a mscara 255.255.255.0? a. 10.0.0.0255.0.0.0 b. 10.1.0.0255.255.0.0 c. 10.1.55.0255.255.255.0 d. 10.1.48.0255.255.248.0 e. 10.1.32.0255.255.224.0 6. Qual dos seguintes protocolos de roteamento aceita sumarizao manual de rotas? a. RIP-1 b. RIP-2 c. EIGRP d.OSPF 7. Qual(is) protocolo(s) de roteamento executa(m) sumarizao automtica como padro? a. RIP-1 b. RIP-2 c. EIGRP d.OSPF 8. Uma inter-rede possui uma rede no-contgua 10.0.0.0, e est tendo problemas. Todos os roteadores utilizam RIP-l com todas as configuraes padro. Qual das seguintes respostas apresenta uma ao que, por si s, resolveria o problema e permitiria a rede no-contgua? a. Migrar todos os roteadores para utilizar OSPF, usando quantos padres forem possveis. b. Desativar a sumarizao automtica com o comando de configurao RIP no auto-summary. c. Migrar para EIGRP, usando quantos padres forem possveis. d. O problema no pode ser resolvido sem, primeiro, fazer com que a rede 10.0.0.0 se tome contgua.

Tpicos fundamentais
Este captulo discute trs tpicos relacionados: VLSM, sumarizao manual de rotas e sumarizao automtica de rotas. Esses tpicos esto relacionados entre si principalmente por causa da matemtica existente por detrs, que requer que o engenheiro consiga olhar o nmero e a mscara de uma sub-rede e rapidamente determinar o intervalo de endereos a implcito. Este captulo comea abordando o VLSM, passando, em seguida, para a sumarizao manual de rotas e, por ltimo, a sumarizao automtica.

CCNA ICND 2

147

VLSM
VLSM ocorre quando uma inter-rede utiliza mais de uma mscara em diferentes sub-redes de uma nica rede Classe A, B ou C. O VSLM permite que os engenheiros reduzam o nmero de endereos IP desperdiados em cada sub-rede, possibilitando mais sub-redes e evitando ter de obter outro nmero de rede IP registrado nas autoridades regionais de concesso de endereos IP. Alm disso, mesmo quando estiverem utilizando redes IP privadas (conforme definido na RFC 1918), grandes corporaes podem ainda assim precisar conservar o espao de endereos, novamente criando a necessidade de utilizar o VLSM. A Figura 5-1 mostra um exemplo de VLSM usado na rede Classe A 10.0.0.0.

Figura 5-1 VLSM na rede 10.0.0.0: Mscaras 255.255.255.0 e 255.255.255.252


10.2.1.0 10.2.2.0 10.2.3.0 10.2.4.0 Yosemite 10.1.1.0
Mscara: 255.255.255.0 exceto onde Indicado

Albuquerque 10.1 .4.0/30 SOlO SO/1 Seville


10.1.6.0130

10.3.4.0 10.3.5.0 10.3.6.0 10.3.7.0

A Figura 5-1 mostra uma tpica escolha de utilizar um prefixo /30 (mscara 255.255.255.252) em links seriais ponto-aponto, com alguma outra mscara (255.255.255.0, neste exemplo) nas sub-redes LAN. Todas as sub-redes so redes Classe A 10.0.0.0, com duas mscaras sendo usadas, satisfazendo, portanto, a definio do VLSM. Por mais estranho que possa parecer, as pessoas cometem um pequeno erro ao pensar que VLSM significa "usar mais de uma mscara", em vez de "usar mais de uma mscara em uma nica rede c1assful" . Se em um diagrama de interrede, por exemplo, todas as sub-redes da rede 10.0.0.0 utilizarem uma mscara 255.255.240.0 e todas as sub-redes da rede 11.0.0.0 utilizarem uma mscara 255.255.255.0, so utilizadas duas mscaras diferentes. Entretanto, somente uma mscara fica dentro de cada respectiva rede c1assful e, portanto, este projeto especfico no estaria usando o VLSM. O Exemplo 5-1 apresenta a tabela de roteamento em Albuquerque da Figura 5-1. Albuquerque usa duas mscaras dentro da rede 10.0.0.0, conforme indicado na linha destacada no exemplo.

Exemplo 5-1 Tabela de roteamento de Albuquerque com VLSM


Albuquerque# show ip route Codes:C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA externaI type 1, N2 - OSPF NSSA externaI type 2 E1 - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 10 .0. 0 . 0 / 8 is variab1y subnetted, 11 subnets, 2 masks
D D D D D D D D

10.2.1.0/24 [90/2172416] via 10.1.4.2, 00:00:34, SerialO/O 10.2.2.0/24 [90/2172416] via 10.1.4.2, 00 : 00:34, SerialO/O 10.2.3.0/24 [90/2172416] via 10.1.4 . 2, 00:00:34, SerialO/O 10.2 . 4.0/24 [90/2172416] via 10.1.4.2, 00:00:34, SerialO/O 10.3.4.0/24 [90/2172416] via 10 . 1.6.2, 00:00:56, Se rial0/1 10.3 . 5.0/24 [90/2172416] via 10 . 1. 6 .2, 00:00 : 56, Serial0/1 10.3.6.0/24 [90/2172416] via 10.1.6.2, 00:00 : 56, SerialO/1 10.3.7.0/24 [90/2172416] via 10.1.6.2, 00:00 : 56, Serial0/1 10.1.1. 0/24 is directly connected, EthernetO/O 10.1.6.0/30 is directly connected, SerialO/1 10.1.4 . 0/30 is directly connected, SerialO/O

c c
c

148 Captulo 5: VLSM e sumarizao de rotas

Protocolos de roteamento classless e classful


Para que um protocolo de roteamento aceite VLSM, ele deve anunciar no s o nmero da sub-rede mas tambm a mscara da sub-rede quando estiver anunciando rotas. Alm disso, um protocolo de roteamento deve incluir mscaras de sub-rede em suas atualizaes de roteamento para aceitar sumarizao manual de rotas. Cada protocolo de roteamento IP considerado classless ou classful, com base no fato de ele enviar (classless) ou no (classful) a mscara em atualizaes de roteamento. Cada protocolo de roteamento , naturalmente, classless ou classful; no existe nenhum comando a ser ativado ou desativado se um determinado protocolo de roteamento for um protocolo classless ou classful. A Tabela 5-2 apresenta os protocolos de roteamento, mostra se cada um classless ou classful e oferece lembretes sobre os dois recursos (VLSM e sumarizao de rotas) ativados pela incluso de mscaras nas atualizaes de roteamento.

/;~~;~o
....

Tabela 5-2 Protocolos de roteamento IP internos classless e classful Protocolo de roteamento RIP-1 IGRP RIP-2 EIGRP OSPF Classless? nas atualizaes No No Sim Sim Sim Envia mscaras No No Sim Sim Sim Aceita

\' Ch....

VLSM

Aceita sumarizao manual de rotas No No Sim Sim Sim

No No Sim Sim Sim

Sub-redes VLSM sobrepostas


As sub-redes escolhidas para serem usadas em qualquer projeto de inter-rede IP no podem sobrepor seus intervalos de endereos. Com uma nica mscara de sub-rede em uma rede, as sobreposies so praticamente bvias; entretanto, com o VLSM, as sub-redes sobrepostas podem no ser to bvias assim. Quando vrias sub-redes se sobrepem, as entradas da tabela de roteamento de um roteador se sobrepem. Em conseqncia disso, o roteamento se toma imprevisvel, e alguns hosts podem ser alcanados somente a partir de determinadas partes da inter-rede. Resumindo, um projeto que utilize sub-redes sobrepostas considerado um projeto incorreto e no deve ser utilizado. Existem dois tipos gerais de problemas relacionados a sub-redes VLSM sobrepostas, na vida real e nos exames: analisar um projeto existente para identificar sobreposies e escolher novas sub-redes VLSM de forma a no criar uma subrede sobreposta. Para ter uma idia do que o exame pode abordar com relao ao VLSM e s sub-redes sobrepostas, considere a Figura 5-2, que mostra uma nica rede Classe B (172.16.0.0), utilizando um projeto de VLSM que inclui trs mscaras diferentes: /23, /24 e /30. Figura 5-2 Projeto de VLSM com possvel sobreposio
172.16.4.1/23

172.16.2.1/23

172.16.9.5/30

172.16.5.1/24

Agora imagine que uma questo do exame lhe mostre a figura e, direta ou indiretamente, pergunte se existem sub-redes sobrepostas. Este tipo de questo pode simplesmente dizer que alguns hosts no conseguem se identificar ou pode nem

CCNA ICND 2

149

mesmo mencionar que a causa geradora poderia ser a sobreposio de algumas sub-redes. Para responder a uma questo como esta, voc pode seguir a sugesto simples, mas possivelmente trabalhosa, apresentada a seguir:
o

: e""".

Passo 1 Calcule o nmero de sub-rede e o endereo de broadcast de sub-rede de cada sub-rede; assim voc obtm o intervalo de endereos daquela sub-rede. Passo 2 Compare os intervalos de endereos de cada sub-rede e procure casos nos quais haja sobreposio dos intervalos de endereos.

Na Figura 5-2, por exemplo, voc veria as cinco sub-redes e, utilizando o Passo 1, calcularia os nmeros da sub-rede, os endereos de broadcast e o intervalo de endereos, com as respostas apresentadas na Tabela 5-3. Tabela 5-3 Sub-redes e intervalos de endereos na Figura 5-2 Localizao da sub-rede RI LAN R2LAN R3 LAN RI-R2 serial RI-R3 serial Nmero da sub-rede 172.16.2.0 172.16.4.0 172.16.5.0 172.16.9.0 172.16.9.4 Primeiro endereo 172.16.2.1 172.16.4.1 172.16.5.1 172.16.9.1 172.16.9.5 ltimo endereo Endereo de broadcast 172.16.3.254 172.16.5.254 172.16.5.254 172.16.9.2 172.16.9.6 172.16.3.255 172.16.5.255 172.16.5.255 172.16.9.3 172.16.9.7

o Passo 2 um passo um tanto quanto bvio que diz para comparar os intervalos de endereos para verificar se
existe alguma sobreposio. Observe que nenhum dos nmeros de sub-rede so idnticos; entretanto, ao examinar mais de perto as sub-redes R2 LAN e R3 LAN, pode-se ver que h sobreposio entre essas duas sub-redes. Neste caso, o projeto invlido por causa da sobreposio e, conseqentemente, uma das duas sub-redes teria de ser alterada.

Projetando um esquema de sub-redes utilizando VLSM


O CCENT/CCNA fCNDi Guia Oficial de Certificao do Exame explica como projetar o esquema de endereamento IP para uma nova rede escolhendo sub-redes IP quando estiver utilizando uma nica mscara de sub-rede em toda a rede classful. Para isso, o processo, primeiramente, analisa os requisitos de projeto para determinar o nmero de sub-redes e o nmero de hosts da sub-rede maior. Em seguida, escolhida uma mscara para a sub-rede. Por fim, todas as sub-redes possveis da rede, utilizando aquela mscara, so identificadas e, em seguida, as sub-redes reais utilizadas no projeto so escolhidas a partir daquela lista. Na rede Classe B 172.16.0.0, por exemplo, um projeto poderia pedir dez sub-redes, com a sub-rede maior tendo 200 hosts. A mscara 255.255.255.0 satisfaz os requisitos, com 8 bits de sub-rede e 8 bits de host, aceitando 256 sub-redes e 254 hosts por sub-rede. Os nmeros das sub-redes seriam 172.16.0.0, 172.16.1.0, 172.16.2.0, e assim por diante. Ao utilizar o VLSM em um projeto, o processo comea com a deciso de quantas sub-redes de cada tamanho so necessrias. A maioria das instalaes, por exemplo, utiliza sub-redes com um prefixo /30 para links seriais, porque essas sub-redes aceitam exatamente dois endereos IP, que so todos os endereos necessrios em um link ponto-a-ponto. As sub-redes baseadas em LANs, muitas vezes, tm requisitos diferentes, com prefixos menores (significando mais bits de host) para nmeros maiores de hosts/sub-redes, e prefixos maiores (significando menos bits de host) para nmeros menores de hosts/sub-redes. Observao Para revisar o projeto de criao de sub-redes utilizando SLSM (static-length subnet masks, ou mscaras de sub-redes de comprimento fixo), use como referncia o Captulo 12 do CCENT/CCNA ICNDI Guia Oficial de Certificao do Exame. (O Apndice D deste livro - disponvel no idioma original no site da editora: www.altabooks.com.br -, "Subnetting Practice", tambm inclui alguns problemas prticos relacionados a este tpico.) Depois de determinar o nmero de sub-redes com cada mscara, o prximo passo encontrar nmeros de sub-redes que combinem com os requisitos. Essa tarefa no particularmente difcil se voc j entende como encontrar nmeros de

150 Captulo 5: VLSM e sumarizao de rotas


sub-redes quando estiver utilizando mscaras de comprimento fixo. Entretanto, um processo mais formal pode facilitar, como mostrado a seguir:

Passo 1 Determine o nmero de sub-redes necessrias para cada mscara/prefixo com base nos requisitos de projeto. Passo 2 Utilizando o menor prefixo (maior nmero de bits de host), identifique as sub-redes da rede c1assful quando
estiver utilizando aquela mscara, at que o nmero necessrio dessas sub-redes tenha sido identificado.

Passo 3 Identifique o prximo nmero da sub-rede utilizando a mesma mscara do passo anterior. Passo 4 Comeando com o nmero da sub-rede identificado no passo anterior, identifique sub-redes menores com
base no prximo maior prefixo necessrio para o projeto, at que o nmero necessrio de sub-redes daquele tamanho tenha sido identificado.

Passo 5 Repita os Passos 3 e 4 at que todas as sub-redes de todos os tamanhos tenham sido encontradas.
Honestamente falando, utilizar o processo descrito acima pode ser um pouco difcil, mas um exemplo pode certamente ajudar a entender o porqu do processo. Portanto, imagine um projeto de rede para o qual os seguintes requisitos foram determinados, de acordo com o Passo 1 do processo anterior. O projeto pede o uso da rede Classe B 172.16.0.0: - Trs sub-redes com mscara /24 (255.255.255.0) - Trs sub-redes com mscara /26 (255.255.255.192) - Quatro sub-redes com mscara /30 (255.255.255.252) O Passo 2, neste caso, significa que as trs primeiras sub-redes da rede 172.16.0.0 devem ser identificadas, com a mscara /24, porque este o menor prefixo dos trs prefixos apresentados nos requisitos de projeto. Utilizando a mesma matemtica abordada em detalhe no livro ICNDl, as trs primeiras sub-redes seriam 172.16.0.0/24, 172.16.1.0/24 e 172.16.2.0/24: - 172.16.0.0/24: Intervalo 172.16.0.1-172.16.0.254 -172.16.1.0/24: Intervalo 172.16.1.1-172.16.1.254 -172.16.2.0/24: Intervalo 172.16.2.1-172.16.2.254 O Passo 3, neste caso, diz para identificar mais uma sub-rede utilizando a mscara /24, de forma que a prxima sub-rede numrica seria 172.16.3.0/24. Antes de passar para o Passo 4, reserve alguns minutos para revisar a Figura 5-3. A figura mostra os resultados do Passo 2 na parte superior, apresentando as trs sub-redes identificadas neste passo como "alocadas", pois elas sero utilizadas como sub-redes neste projeto. Ela apresenta tambm a prxima sub-rede, conforme encontrada no Passo 3, apresentandoa como no-alocada, pois ela ainda no foi escolhida para ser usada em uma parte especfica do projeto.

Figura 5-3 Projetando o uso de sub-redes VLSM


Passo 2: encontrar sub-redes com o prefixo 124 Alocada
172.16.0.0/24 172.16.0.0 172.16.0.255

Alocada
172.16.1.0/24 172.16.1.1 172.16.1.255

Alocada
172.16.29.0/25 172.16.2.1 172.16.2.255

Alocada
172.16.3.0/25 172.16.3.1 172.16.3.255

Passos 3 e 4 (1 passo): encontrar sub-redes - - -locada com prefixos 126 172.16.3.0/26


__ o __ o

---

.-- ----- --- --- --Alocada

--- --- ---

--- .-- --Alocada

No-alocada
172.16.3.192/26

172.16.3.64/26

172.16.3.128/26

Passos 3 e 4 (2 passo) : encontrar sub-redes com prefixos 130

CCNA ICND 2

151

Para encontrar as sub-redes do Passo 4, comece com o nmero da sub-rede no-alocada encontrada no Passo 3 (172.16.3.0), mas com o Passo 4 aplicando o prximo maior prefIxo, ou seja, /26 neste exemplo. O processo sempre resulta no nmero da primeira sub-rede sendo o nmero de sub-rede encontrado no passo anterior, ou seja, 172.16.3.0 neste caso. -172.16.3.0/26: Intervalo 172.16.3.1-172.16.3.62 - 172.16.3.64/26: Intervalo 172.16.3.65-172.16.3.126 -172.16.3.128/26: Intervalo 172.16.3.129-172.16.3.190 Finalmente, o Passo 5 diz para repetir os Passos 3 e 4 at que todas as sub-redes tenham sido encontradas. Neste caso, ao repetir o Passo 3, a prxima sub-rede encontrada, utilizando o prefIxo /26, ou seja, a sub-rede 172.16.3.192/26. Essa sub-rede considerada no-alocada por enquanto. Para repetir o Passo 4 para o prximo maior prefIxo, o Passo 4 utiliza o prefIxo /30, comeando com o nmero de sub-rede 172.16.3.192. A primeira sub-rede ser 172.16.3.192, com mscara /30, acrescida das trs prximas sub-redes com aquela mesma mscara, da seguinte forma: - 172.16.3.192/30: Intervalo 172.16.3.193-172.16.3.194 -172.16.3.196/30: Intervalo 172.16.3.197-172.16.3.198 -172.16.3.200/30: Intervalo 172.16.3.201-172.16.3.202 -172.16.3.204/30: Intervalo 172.16.3.205-172.16.3.206 A descrio do processo formalizado pode parecer um pouco trabalhosa, mas o resultado obtido um conjunto de subredes VLSM que no se sobrepem. Ao utilizar uma abordagem estruturada que, em essncia, constitui primeiro na alocao de sub-redes maiores e, depois, de sub-redes menores, pode-se geralmente escolher sub-redes de forma que os intervalos de endereos no se sobreponham.

Acrescentando uma nova sub-rede a um projeto existente


Outra tarefa necessria ao trabalhar com inter-redes baseadas em VLSM escolher um nmero para uma nova subrede para uma inter-rede existente. Deve-se tomar cuidado extra, principalmente, ao escolher nmeros para novas subredes para evitar que acontea sobreposio entre a nova sub-rede e as sub-redes existentes. Considere, por exemplo, a inter-rede da Figura 5-2, com a rede c1assfull72.16.0.0. Uma questo do exame poderia pedir que uma nova sub-rede, com um prefIxo /23, fosse acrescentada ao projeto e pedir para escolher o menor nmero de sub-rede que pudesse ser utilizado para a nova sub-rede. Portanto, as sub-redes devem ser identifIcadas e uma sub-rede sem sobreposio deve ser escolhida.

Para atacar um problema como este, voc precisaria encontrar todos os nmeros de sub-redes que pudessem ser criados naquela rede c1assful, utilizando a mscara mostrada ou indicada. Voc teria de se assegurar de que a nova sub-rede no , .. se sobrepusesse a nenhuma sub-rede existente. Especillcamente, voc poderia usar os seguintes passos: Passo 1 Se ainda no tiver sido apresentada como parte da questo, escolha a mscara da sub-rede (extenso do prefIxo) com base nos requisitos de projeto, normalmente baseado no nmero de hosts necessrios na sub-rede. Passo 2 Calcule todos os nmeros de sub-redes possveis da rede c1assful, utilizando a mscara determinada no Passo 1. (Se a questo do exame pedir o maior ou o menor nmero de sub-rede, voc pode optar por fazer essa matemtica somente para as poucas primeiras ou poucas ltimas sub-redes). Passo 3 Para as sub-redes encontradas no Passo 2, calcule o endereo de broadcast da sub-rede e o intervalo de endereos para cada sub-rede considerada. Passo 4 Compare as listas de possveis sub-redes e intervalos de redes com as sub-redes e os intervalos de endereos existentes. Elimine qualquer sub-rede que possa se sobrepor a uma sub-rede existente. Passo 5 Escolha um nmero de sub-rede a partir da lista encontrada no Passo 2 que no se sobreponha a qualquer sub-rede existente, observando se a questo pede o menor ou o maior nmero de sub-rede. Utilizando esse processo, composto por cinco passos, com o exemplo iniciado logo antes da lista de passos da Figura 5-2, a questo forneceu a extenso de prefIxo /23 (passo 1). A Tabela 5-4 apresenta os resultados dos Passos 2 e 3, listando os nmeros das sub-redes, os endereos de broadcast e o intervalo de endereos para as cinco primeiras sub-redes /23 possveis.

[ 'CO _
:.. ..

152

Captulo 5: VLSM e sumarizao de rotas



172.16.1.254 172.16.1.255

Tabela 5-4 Cinco primeiras sub-redes /23 possveis Sub-rede Primeira (zero)

Nmero da sub-rede Primeiro endereo ltimo endereo Endereo de broadcast 172.16.0.0 172.16.0.1

_Se_~_n_d_a____________ 17_2_.1_6_.2_.0 _________ 1_7_2._16_._2._1_______1_7_2_.1_6_.3_.2_54 ______ 17_2_.1_6_.3_.2_5_5_______


Terceira Quarta Quinta 172.16.4.0 172.16.6.0 172.16.8.0 172.16.4.1 172.16.6.1 172.16.8.1 172.16.5.254 172.16.7.254 172.16.9.254 172.16.5.255 172.16.7.255 172.16.9.255

o Passo 4 compara as informaes da tabela com as sub-redes existentes. Neste caso, a segunda, a terceira e a quarta subredes da Tabela 5-4 se sobrepem s sub-redes existentes na Figura 5-2. O Passo 5 tem mais a ver com o exame do que com redes reais. Questes de mltipla escolha s vezes precisam forar a questo a ter uma nica resposta e, por isso, pedir a numericamente menor ou maior sub-rede resolve o problema. Este modelo especfico de problema pede o menor nmero de sub-rede, e a sub-rede zero continua disponvel (176.16.0.0/23 com o endereo de broadcast 172.16.0.0/23). Se a questo permitisse o uso da sub-rede zero, a sub-rede zero (176.16.0.0/23) seria a resposta correta. Entretanto, se o uso da sub-rede zero fosse proibido, as quatro primeiras sub-redes apresentadas na Tabela 5-4 no estariam disponveis, fazendo da quinta subrede (172.16.8.0/23) a resposta correta. Observe que o Cenrio 5 do Apndice F - disponvel no idioma original no site da editora: www.altabooks.com.br-. "Additional Scenarios", lhe d a oportunidade de praticar usando esse processo em particular.
Observao Para o exame, a sub-rede zero deve ser evitada se (a) a questo implicar no uso de protocolos de roteamento classful ou (b) se os roteadores estiverem configurados com o comando de configurao global no ip subnet-zero. Do contrrio, considere que a subrede zero pode ser usada.

Configurao do VLSM
Roteadores no ativam nem desativam o VLSM como recurso de configurao. Numa perspectiva de confi~rao, o VLSM simplesmente um reflexo do subcomando de interface ip address. Os roteadores configuram o VLSM em virtude de terem pelo menos duas interfaces de roteador, no mesmo roteador ou entre todos os roteadores da inter-rede, com endereos IP na mesma rede c1assful, mas com mscaras diferentes. O Exemplo 5-2 mostra um exemplo simples no Roteador R3 da Figura 5-2, com o endereo IP 172.16.5.1124 sendo designado interface FaOIO e o endereo IP 172.16.9.6/30 sendo designado interface SOIO/l, usando, assim, pelo menos, duas mscaras diferentes na rede 172.16.0.0. Exemplo 5-2 Configurando o VLSM
R3# configure terminal R3{config)# interface FaO/O R3{config-if)# ip address 172.16.5.1 255.255.255.0 R3{config- if)# interface SOIOll R3{config-if)# ip address 172.16.9.6 255.255.255.252

Protocolos de roteamento c1assless, que aceitam o VLSM, no tm de ser configurados para ativar o VLSM. Suporte ao VLSM apenas um recurso inerente a estes protocolos de roteamento. A seguir, o texto passa para a segunda seo deste captulo, o tpico sobre sumarizao manual de rotas.

Sumarizao manual de rotas


Redes pequenas podem ter apenas algumas dezenas de rotas nas tabelas de roteamento de seus roteadores. Quanto maior a rede, maior o nmero de rotas. Na verdade, os roteadores da Internet tm mais de 100 000 rotas em al~ns casos. A tabela de roteamento pode se tomar muito grande em redes IP grandes. medida que as tabelas de roteamento crescem, elas consomem mais memria do roteador. Alm disso, cada roteador pode demorar mais para rotear um

CCNA ICND 2

153

pacote, pois ele tem que combinar uma rota da tabela de roteamento, e procurar uma tabela maior geralmente demora mais. E, com uma tabela de roteamento grande, mais demorado resolver problemas, porque os engenheiros que trabalham com a rede precisam examinar cuidadosamente um nmero maior de informaes. A sumarizao de rotas reduz o tamanho das tabelas de roteamento enquanto mantm rotas para todos os destinos da rede. Em conseqncia disso, o desempenho do roteamento pode ser melhorado e a memria pode ser salva dentro de cada roteador. A sumarizao tambm melhora o tempo de convergncia, pois o roteador que sumariza a rota no tem mais de anunciar nenhuma alterao feita no status das sub-redes individuais. Ao anunciar apenas que toda a rota de sumarizao est ativa ou inativa, os roteadores que possuem a rota de sumarizao no tm de convergir todas as vezes que uma das sub-redes componentes se torna ativa ou inativa. Este captulo se refere sumarizao de rotas como sendo a sumarizao manual de rotas, em contraste com o ltimo tpico deste captulo, sumarizao automtica. O termo manual se refere ao fato de que a sumarizao manual de rotas s ocorre quando um engenheiro configura um ou mais comandos. A sumarizao automtica ocorre automaticamente sem nenhum comando de configurao especfico. As sees a seguir examinam primeiramente os conceitos existentes por trs da sumarizao de rotas, seguido de algumas sugestes de como determinar boas rotas de sumarizao. Observe que, embora os conceitos sejam abordados, a configurao de rotas sumarizadas manualmente no um objetivo principal neste livro.

Conceitos de sumarizao de rotas


Os engenheiros utilizam a sumarizao de rotas para reduzir o tamanho das tabelas de roteamento na rede. A sumarizao de rotas faz com que algumas rotas mais especficas sejam substitudas por uma nica rota que inclui todos os endereos IP cobertos pelas sub-redes nas rotas originais. As rotas de sumarizao, que substituem mltiplas rotas, devem ser configuradas por um engenheiro de rede. Embora o comando de configurao no se parea exatamente com um comando static route, so configuradas as mesmas informaes bsicas. Agora, o protocolo de roteamento anuncia somente a rota de sumarizao, em vez das rotas originais. A sumarizao de rotas funciona muito melhor quando a rede foi projetada com este recurso em mente. A Figura 5-1 , por exemplo, apresentada anteriormente neste captulo, mostra os resultados de um bom planejamento de sumarizao. Nesta rede, o engenheiro planejou suas escolhas de nmeros de sub-rede com base em seu objetivo de utilizar sumarizao de rotas. Todas as sub-redes que saem do local principal (Albuquerque), incluindo links de WAN, comeam com 10.1. Todas as sub-redes de LAN que saem de Yosemite comeam com 10.2, e, da mesma forma, todas as sub-redes de LAN que saem de Seville comeam com 10.3. O Exemplo 5-1 mostrou uma cpia da tabela de roteamento de Albuquerque sem sumarizao. Aquele exemplo mostra as quatro rotas de Albuquerque at as sub-redes que comeam com 10.2, todas destacando sua interface serial O/O at Yosemite. Analogamente, Albuquerque mostra quatro rotas at sub-redes que comeam com 10.3, todas destacando sua interface serial O/I at Seville. Este projeto permite que os roteadores de Yosemite e Seville anunciem uma nica rota de sumarizao em vez das quatro rotas que ele est atualmente anunciando at Albuquerque, respectivamente. O Exemplo 5-3 mostra os resultados da configurao da sumarizao manual de rotas em Yoserrute e Seville. Neste caso, Yosemite est anunciando uma rota de sumarizao para 10.2.0.0/16, que representa o intervalo de endereos 10.2.0.010.2.255.255 (todos os endereos que comeam com 10.2). Seville anuncia uma rota de sumarizao para a 10.3.0.0/16, que representa o intervalo de endereos 10.3.0.0-10.3.255.255 (todos os endereos que comeam com 10.3).

Exemplo 5-3 Tabela de roteamento de Albuquerque depois da sumarizao de rotas


Albuquerque# show ip route Codes:C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter area Nl - OSPF NSSA externaI type 1, N2 - OSPF NSSA externaI type 2 El - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP
i -

IS-IS, Ll - IS-IS level-l, L2 - IS-IS level-2,

ia - IS-IS inter area

* - candidate d efault, U - per-us er static route, o - ODR


P - periodic downloaded static route

154

Captulo 5: VLSM e sumarizao de rotas

~----------------~----------------------------------------------~ ~
Gateway of 1ast resort is not set 10.0.0.0/8 is variab1y subnetted, 5 subnets, 3 masks D D 10.2.0.0/16 [90/2172416) via 10.1.4.2, 00:05:59, Seria10/0 10.3.0.0/16 [90/2172416) via 10.1.6.3, 00:05:40, Seria10/1 10.1.1. 0/24 is direct1y connected, EthernetO /O 10.1.6.0/30 is direct1y connected, Seria10/1 10.1.4.0/30 is direct1y connected, Seria10/0 C C C

A tabela de roteamento resultante em Albuquerque continua roteando pacotes corretamente, mas com mais eficincia e menos memria. Na verdade, melhorar de 11 rotas para 5 rotas no ajuda muito, mas o mesmo conceito, aplicado a redes maiores, ajuda bastante.

Os efeitos da sumarizao de rotas tambm podem ser vistos nos outros dois roteadores da figura. O Exemplo 5-4 mostra Yosemite, incluindo a configurao da sumarizao de rotas e a tabela de roteamento de Yosemite. O Exemplo 5-5 mostra o mesmo tipo de informao em Seville.

Exemplo 5-4 Configurao e tabela de roteamento de Yosemite depois da sumarizao de rotas


Yosemite#configure terminal Enter configuration commands, one per 1ine. End with CNTL/Z. Yosemite(config)#interface serial O/O Yosemite(config-if)# ip

summa~ddre

eigrp 1 10.2.0.0 255 255.0.0

Yosemite(config-if)#A Z Yosemite#show ip route

Codes:C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP externa1, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA externa1 type 1, N2 - OSPF NSSA externa1 type 2 E1 - OSPF externa1 type 1, E2 - OSPF externa1 type 2, E - EGP i

- IS-IS, L1 - IS-IS 1eve1-1, L2 - IS-IS 1evel-2, ia - IS-IS inter area

* - candidate defau1t, U - per-user static route, o - ODR

P - periodic down1oaded static route

Gateway of last resort is not set

10.0.0.0/8 is variab1y subnetted, 9 subnets, 3 masks 10.2.0.0/16 is a summary, 00:04:57, Nu110

D D

10.3.0.0/16 [90/2684416) via 10.1.4.1, 00:04:30, Seria10/0 10.2.1.0/24 is direct1y connected, FastEthernetO/O

10.1.1.0/24 [90/2195456) via 10.1.4.1, 00:04:52, Seria10/0 10.2.2.0/24 is direct1y connected, Loopback2 10.2.3.0/24 is direct1y connected, Loopback3

C C C

10.2.4.0/24 is direct1y connected, Loopback4

D C

10.1.6.0/30 [90 /268 1856) via 10.1.4.1, 00:04:53, 10.1.4 . 0/30 is directly connected, Seria10/0

Seria10/0

Exemplo 5-5 Configurao e tabela de roteamento de Seville depois da sumarizao de rotas


Sevi11e#configure terminal Enter configuration commands, one per 1ine. End with CNTL/Z. Sevi11e(config)# interface serial 010 Sevi11e(config-if)#ip

.umma~ddre.s

eigrp 1 10.3.0.0 255.255.0.0

Sevil1e(config-if)#A Z Sevi11e# show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP externa1, O - OSPF, IA - OSPF inter area


N1 - OSPF NSSA external type 1, N2 - OS PF NSSA ext e rnal type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter a r ea

CCNA ICND 2

155

* - candidate default, U - per-user static route, o - ODR


P - periodic downloaded static route Gateway of 1ast resort is not set 10.0.0 . 0 / 8 is variably subnetted,
D
D

9 subnets , 3 masks 00:00:36 , SerialO/O

10.2 . 0.0 / 16 [90 / 2684416] via 10.1.6 . 1,

10.3.0.0 / 16 is a summary , 00:00:38, NullO 10.1.1.0/24 [90/2195456] via 10.1.6.1, 00:00:36, SerialO/O

c c c c
D

10.3 . 5.0/24 is directly connected, Loopback5 10.3.4.0/24 is directly connected, Fas t EthernetO/O 10.1.6.0/30 is directly connected, SerialO/O 10.3.7.0/24 is directly connected, Loopback7 10.1.4.0/30 [90/2681856] via 10.1.6.1, 00:00:36, SerialO/O 10 . 3.6.0/24 is directly connected, Loopback6

A configurao da sumarizao de rotas difere para protocolos de roteamento diferentes; o EIGRP (Enhanced IGRP (IGRP Avanado)) utilizado neste exemplo. As rotas de sumarizao para o EIGRP so criadas pelos subcomandos de interface ip summary-address em Yosernite e Seville neste caso. Cada comando define uma nova rota sumarizada e diz a EIGRP para anunciar somente a sumarizao que sai dessa interface e para no anunciar nenhuma rota contida na sumarizao maior. Por exemplo, Yosemite defme uma rota de sumarizao at 10.2.0.0, com uma mscara 255.255.0.0, que define uma rota at todos os hosts cujos endereos IP comeam com 10.2. De fato, esse comando faz com que Yosernte e Seville anunciem as rotas 10.2.0.0255.255.0.0 e 10.3.0.0255.255.0.0, respectivamente, e no anunciem suas quatro sub-redes LAN originais. Observe que, no Exemplo 5-3, a tabela de roteamento de Albuquerque agora contm uma rota at 10.2.0.0 255.255.0.0 (a mscara apresentada com a notao de prefixos /16), mas no contm nenhuma das quatro sub-redes originais que comeam com 10.2. O mesmo ocorre para a rota 10.3.0.0/16. As tabelas de roteamento em Yosemite e Seville so um pouco diferentes da de Albuquerque. Concentrando-se em Yosernite (Exemplo 5-4), observe que as quatro rotas at as sub-redes que comeam com 10.2 aparecem porque so sub-redes diretamente conectadas. Yosemite no v as quatro rotas 10.3. Em vez disso, ela v uma rota de sumarizao, pois Albuquerque agora anuncia somente a rota sumarizada 10.3.0.0/16. O contrrio verdadeiro em Seville (Exemplo 5-5), que apresenta todas as quatro rotas conectadas que comeam com 10.3 e uma rota de sumarizao para 10.2.0.0/16. A parte mais interessante das tabelas de roteamento de Yosernite a rota at 10.2.0.0/16, com a interface de sada definida em nullO. Quando as rotas se referem a uma interface de sada da interface nullO significa que os pacotes que combinam com essa rota so descartados. O EIGRP acrescentou essa rota, com a interface nullO, em conseqncia do comando ip summary-address. A lgica funciona da seguinte forma: Yosemite precisa dessa rota estranha porque agora ela pode receber pacotes destinados a outros endereos 10.2 alm das quatro sub-redes 10.2 existentes. Se um pacote destinado a uma das quatro sub-redes 1O.2.x existentes chegar, Yosernte possui uma rota correta e mais especfica para combinar o pacote. Se um pacote cujo destino comece com 10.2 chegar, mas no estiver em uma das quatro sub-redes, a rota null combina o pacote, fazendo com que Yosemite descarte o pacote - como deveria ser feito. A tabela de roteamento em Seville semelhante de Yosemite em termos das entradas feitas na tabela e dos motivos pelos quais elas esto na tabela.

Estratgias de sumarizao de rotas


Como mencionado anteriormente, a sumarizao manual de rotas funciona melhor quando o engenheiro de rede planeja sua escolha de nmeros de sub-rede antecipando a sumarizao de rotas. Os exemplos anteriores consideraram

156

Captulo 5: VLSM e sumarizao de rotas

um plano bem estruturado, com os engenheiros usando somente sub-redes que comeassem com 10.2 para sub-redes que sassem do roteador de Yosemite. Essa conveno permitiu a criao de uma rota de sumarizao para todos os endereos comeando com 10.2 fazendo com que Yosemite anunciasse uma rota descrevendo a sub-rede 10.2.0.0, com a mscara 255 .255.0.0. Algumas rotas sumarizadas combinam vrias rotas em uma nica rota, mas esta pode no ser a "melhor" sumarizao. A palavra melhor, quando aplicada escolha de qual rota de sumarizao deve ser configurada, significa que a sumarizao deve incluir todas as sub-redes especificadas na questo, mas com o mnimo possvel de outros endereos. No exemplo de sumarizao anterior, Yosemite sumarizou quatro sub-redes (10.2.1.0, 10.2.2.0, 10.2.3.0 e 10.2.4.0, todas com a mscara 255.255.255 .0) na rota de sumarizao 10.2.0.0/16. Entretanto, essa sumarizao inclui muitos endereos IP que no esto naquelas quatro sub-redes. Ser que a sumarizao funciona com base nos objetivos de projeto daquela rede? Claro que sim. No entanto, em vez de simplesmente definir uma sumarizao que abranja vrios endereos adicionais que ainda no existem em uma rede, possvel que o engenheiro deseje configurar a sumarizao mais concisa e enxuta, ou seja, a melhor sumarizao: aquela que inclui todas as sub-redes, mas o mnimo possvel de sub-redes adicionais (aquelas que ainda no foram designadas). Esta seo descreve uma estratgia para encontrar essas melhores rotas concisas de sumarizao. A lista a seguir descreve um processo binrio generalizado atravs do qual voc pode encontrar uma melhor rota de sumarizao para um grupo de sub-redes: .......... [ Tpico Passo 1 Liste todos os nmeros de sub-rede a serem sumarizadas em binrio. Passo 2 Encontro os primeiros N bits dos nmeros de sub-rede em relao aos quais cada sub-rede tem o mesmo valor, indo da esquerda para a direita. (Para nossos fins, considere essa primeira parte como a parte "em comum"). Passo 3 Para encontrar o nmero de sub-rede da rota de sumarizao, escreva os bits em comum do Passo 2 e os zeros binrios para os bits restantes. Converta para decimal, 8 bits de cada vez, quando tiver terminado. Passo 4 Para encontrar a mscara de sub-rede da rota de sumarizao, escreva N nmeros 1 binrios, sendo N o nmero de bits em comum encontrados no Passo 2. Complete a mscara de sub-rede com todos os zeros binrios. Converta para decimal, 8 bits de cada vez, quando tiver terminado. Passo 5 Confira seu trabalho calculando o intervalo de endereos IP vlidos indicados pela nova rota de sumarizao, comparando o intervalo com as sub-redes sumarizadas. A nova sumarizao deve abranger todos os endereos IP das sub-redes sumarizadas. Observando os nmeros de sub-rede em binrio, voc pode descobrir mais facilmente os bits em comum entre todos os nmeros de sub-rede. Ao utilizar o maior nmero de bits em comum, voc consegue achar a melhor sumarizao. As duas prximas sees mostram dois exemplos utilizando esse processo para encontrar as melhores rotas de sumarizao, mais concisas e enxutas, para a rede apresentada na Figura 5-1.

\~h.Y.

Exemplo de "melhor" sumarizao em Seville


Seville possui as sub-redes 10.3.4.0, 10.3.5.0, 10.3.6.0 e 10.3.7.0, todas com a mscara 255.255.255.0. Comece o processo escrevendo todos os nmeros de sub-rede em binrio:
0000 1 01 0 0000 0011 0000 01 00 0000 0000 - 10.3 . 4 . 0 000 0 10 1 0 0000 0011 0000 01 0 1 0 000 0 000 - 10 . 3.5.0 0000 1010 0000 0011 0000 01 10 0000 0000 - 10.3.6.0 0000 1010 0000 0011 0000 01 11 0000 0000 - 10.3.7 . 0

O Passo 2 requer que voc encontre todos os bits em comum no incio de todas as sub-redes. Mesmo antes de examinar os nmeros em binrio, possvel perceber que os dois primeiros octetos so idnticos em todas as quatro sub-redes. Portanto, uma rpida olhada nos primeiros 16 bits de todos os quatro nmeros de sub-rede confirma que todas tm o mesmo valor. Isso significa que a parte em comum (passo 2) tem, pelo menos, 16 bits de comprimento. Um exame mais minucioso mostra que os primeiros 6 bits do terceiro octeto tambm so idnticos, mas o stimo bit do terceiro octeto possui alguns valores diferentes entre as diferentes sub-redes. Portanto, a parte em comum dessas quatro sub-redes so os primeiros 22 bits. O Passo 3 diz para criar um nmero de sub-rede para a sumarizao tomando os mesmos bits da parte em comum e escrever os zeros binrios para o resto. Neste caso:

CCNA ICND 2
0000 1010 0000 0011 0000 01 00 0000 0000 - 10.3 .4. 0

157

Passo 4 cria a mscara utilizando os 1 binrios para os mesmos bits da parte em comum, que so os primeiros 22 bits neste caso, e, depois, os zeros binrios para os bits restantes, da seguinte forma:
1111 1111 1111 1111 1 111 11 00 0000 0000 - 2 55. 25 5. 252 .0

Portanto, a rota de sumarizao utiliza a sub-rede 10.3.4.0, com a mscara 255.255.252.0. O Passo 5 sugere um mtodo para conferir o seu trabalho. A rota de sumarizao deve incluir todos os endereos IP nas rotas sumarizadas. Neste caso, o intervalo de endereos para a rota de sumarizao comea com 10.3.4.0. O primeiro endereo IP vlido 10.3.4.1, o ltimo endereo IP vlido 10.3.7.254 e o endereo de broadcast 10.3.7.255. Neste caso, a rota de sumarizao inclui todos os endereos IP nas quatro rotas que ela sumariza e nenhum outro endereo IP estranho.

Exemplo de "melhor" sumarizao em Vosemite


As quatro sub-redes em Yosemite no podem ser sumarizadas com tanta eficincia quanto em Seville. Em Seville, a prpria rota de sumarizao cobre o mesmo conjunto de endereos IP que as quatro sub-redes sem nenhum endereo extra. Como voc ver, a melhor rota de sumarizao em Yosernite inclui duas vezes mais endereos na sumarizao do que aqueles que existem nas quatro sub-redes originais. Yosernite possui as sub-redes 10.2.1.0, 10.2.2.0, 10.2.3.0 e 10.2.4.0, todas com a mscara 255.255.255 .0. O processo comea no Passo 1 escrevendo todos os nmeros de sub-rede em binrio:
0000 1010 0000 0010 0000 0000 1010 0000 0010 0000

o o

001 0000 0000 - 10.2.1.0 010 0000 0000 - 10.2.2.0

0000 1010 0000 0010 0000 O 011 0000 0000 - 10.2.3.0 0000 1010 0000 0010 0000 O 100 0000 0000 - 10.2 . 4.0

No Passo 2, aparentemente, os dois primeiros octetos so idnticos em todas as quatro sub-redes, acrescido dos primeiros 5 bits do terceiro octeto. Portanto, os primeiros 21 bits dos quatro nmeros de sub-rede so em comum. O Passo 3 diz para criar um nmero de sub-rede para a rota de sumarizao tomando o mesmo valor para a parte em comum e zeros binrios para o resto. Neste caso:
0000 1010 0000 0010 0000 O 000 0000 0000 - 10.2.0.0

Sumarizao automtica e redes classful no-contguas


1111 1111 1111 1111 1111 1 000 0000 0000 - 255.255 . 248.0

O Passo 4 cria a mscara utilizada para a rota de sumarizao utilizando os 1 binrios para a parte em comum e zeros binrios para o resto. A parte em comum deste exemplo so os primeiros 21 bits:

Portanto, a melhor sumarizao 10.2.0.0, com a mscara 255 .255.248.0.

O Passo 5 sugere um mtodo para conferir o seu trabalho. A rota de sumarizao deve definir um superconjunto dos endereos IP nas rotas sumarizadas. Neste caso, o intervalo de endereos comea com 10.2.0.0. O primeiro endereo IP vlido 10.2.0.1, o ltimo endereo IP vlido 10.2.7.254 e o endereo de broadcast 10.2.7.255. Neste caso, a rota de sumarizao sumariza um conjunto maior de endereos do que simplesmente as quatro sub-redes, mas inclui todos os endereos de todas as quatro sub-redes.

Conforme abordado nas sees anteriores, a sumarizao manual de rotas pode melhorar a eficincia no roteamento, reduzir o consumo de memria e melhorar a convergncia atravs da reduo do tamanho das tabelas de roteamento. As sees finais deste captulo examinam a sumarizao automtica de rotas nos limites das redes classful, utilizando um recurso chamado sumarizao automtica. Como os protocolos de roteamento classful no anunciam informaes sobre a mscara da sub-rede, as atualizaes de roteamento simplesmente listam os nmeros de sub-rede sem, porm, mostrar a mscara. Um roteador que receba uma atualizao de roteamento atravs de um protocolo de roteamento classful presta ateno ao nmero de sub-rede de atualizao, mas preciso que ele faa algumas suposies sobre qual mscara est associada sub-rede. Com os roteadores Cisco, por exemplo, se RI e R2 tiverem redes conectadas da mesma e nica rede Classe A, B ou C, e se R2 a receber uma atualizao de RI, R2 supe que as rotas descritas na atualizao de RI utilizem a mesma mscara

158 Captulo 5: VLSM e sumarizao de rotas


de R2. Em outras palavras, os protocolos de roteamento classful requerem um SLSM (static-length subnet mask, ou mscara de sub-rede de comprimento fixo) por toda a extenso de cada rede classful para que cada roteador possa supor razoavelmente que a mscara configurada para suas prprias interfaces seja a mesma mscara utilizada em toda aquela rede classful. Quando um roteador possui interfaces em mais de uma rede Classe A, B ou C, ele pode anunciar uma nica rota para toda uma rede Classe A, B ou C na outra rede classful. Este recurso chamado sumarizao automtica, e pode ser caracterizado da seguinte forma:

/;~;~o Quando anunciadas em uma interface cujo endereo IP no esteja na rede X, as rotas relacionadas s sub-redes da
\~have rede X so sumarizadas e anunciadas como uma nica rota. Esta rota vale para toda a rede X Classe A, B ou C.
Em outras palavras, se R3 possuir interfaces nas redes 10.0.0.0 e 11.0.0.0, quando ele anunciar atualizaes de roteamento saindo das interfaces com endereos IP que comeam com 11, as atualizaes anunciaro uma nica rota para a rede 10.0.0.0. Analogamente, R3 anuncia uma nica rede at 11.0.0.0 saindo das suas interfaces cujos endereos IP comeam com 10.

Exemplo de sumarizao automtica


Como de costume, um exemplo esclarece bastante o conceito. Considere a Figura 5-4, que mostra duas redes em uso: 10.0.0.0 e 172.16.0.0. Seville possui quatro rotas (conectadas) a sub-redes da rede 10.0.0.0. O Exemplo 5-6 mostra o resultado do comando show ip route em Albuquerque, bem como o resultado debug ip rip RIP-1 .

Figura 5-4 Sumarizao automtica


Albuquerque
S6 tenho conhecimento da rede 10.0.0.0

10.3.4.0 172.16.3.0 10.3.5.0 10.3.6.0 10.3.7.0

SO/l

Seville
172.16.1.0
Mscara: 255.255.255.0

Exemplo 5-6 Rotas de Albuquerque e debugs R/P


Albuquerque# ahow ip route Codes:C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP , EX - EIGRP externaI, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA externaI type 1, N2 - OSPF NSSA externaI type 2 E1 - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP i - IS-IS , L1 - IS-IS level-1, L2 - I S-IS level-2, ia - IS-IS inter area

* - candidate default, U - per-user static route , o - ODR


P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 2 subnets C C R 172.16.1.0 is directly connected, EthernetO/O 172.16.3.0 i s d irectly connected , Serial0/1 10 . 0.0 . 0 / 8 [120/1] via 172.16 . 3.3 , 00:00 : 28, Serial0 / 1

Albuquerque#ddeebbuugg iipp rriipp RIP protocol debugging is on 00 :05:36: RIP: received v1 update fr om 172.16.3 . 3 on Seri al0 / 1 00:05:36: 10.0.0.0 in 1 hops

Conforme mostrado no Exemplo 5-6, a atualizao recebida de Albuquerque no SerialO/1 de Seville anuncia somente toda a rede Classe A 10.0.0.0 porque a sumarizao automtica est ativada em Seville (como padro). Em conseqncia disso, a tabela de roteamento IP de Albuquerque apresenta somente uma rota at a rede 10.0.0.0. Este exemplo tambm destaca outro recurso de como os protocolos de roteamento classful fazem suposies. Albuquerque no possui nenhuma interface na rede 10.0.0.0. Portanto, quando Albuquerque recebe a atualizao de roteamento, ela

CCNA ICND 2

159

supe que a mscara utilizada em 10.0.0.0 seja 255 .0.0.0, a mscara padro para uma rede Classe A. Em outras palavras, os protocolos de roteamento c1assful esperam que ocorra uma sumarizao automtica.

Redes classful no-contguas


A sumarizao automtica no causa nenhum problema desde que a rede sumarizada seja contgua em vez de nocontgua. Os residentes dos EUA tm idia do conceito de o que seja uma rede no-contgua com base no termo comumente usado contiguous 48 (os 48 contguos), referindo-se aos 48 estados americanos com exceo do Alasca e do Hava. Para ir de carro at o Alasca partindo dos 48 estados contguos, por exemplo, deve-se passar por outro pas (neste caso, o Canad); portanto, o Alasca no contguo aos outros 48 estados, em outras palavras ele no-contguo. Para entender melhor o que significam os termos contguo e no-contguo na comunicao em rede, use as duas definies formais a seguir quando estiver estudando um exemplo de rede c1assful no-contgua:

... h.v.

.......... - Rede contgua: rede c1assful na qual pacotes enviados entre cada par de sub-redes podem passar somente atravs 6PlcO das sub-redes daquela mesma rede c1assful, sem ter de passar por sub-redes de qualquer outra rede c1assful. - Rede no-contgua: rede c1assful na qual pacotes enviados entre, pelo menos, um par de sub-redes deve passar por sub-redes de uma rede c1assful diferente.
A Figura 5-5 mostra um exemplo de uma rede 10.0.0.0 no-contgua. Neste caso, pacotes enviados das sub-redes da rede 10.0.0.0 esquerda, prxima a Yosernite, para as sub-redes da rede 10.0.0.0 direita, prxima a Seville, tm de passar atravs das sub-redes da rede 172.16.0.0.

Figura 5-5 Rede 10.0.0.0 no-contgua

10.2.1.0 10.2.2.0 10.2.3.0 10.2.4.0 Yosemite 172.16.1.0


Mscara: 255.255.255.0

10.3.4.0 172.16.2.0
SOlO

10.3.5.0 10.3.6.0 Seville 10.3.7.0

A sumarizao automtica impede que uma inter-rede com uma rede no-contgua funcione adequadamente. O Exemplo 5-7 mostra os resultados do uso da sumarizao automtica na inter-rede mostrada na Figura 5-5, neste caso utilizando o protocolo de roteamento c1assful RIP-l .

Exemplo 5-7 Tabela de roteamento de Albuquerque: a sumarizao automtica causa problemas de roteamento com a rede 10.0.0.0 no-contgua
Albuquerque# 8how ip route Codes:C - connected, S - static , I - IGRP, R - RIP, M - mobile , B - BGP D - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA externaI t ype 1, N2 - OSPF NSSA externaI type 2 E1 - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP
i -

IS-IS, L1 - IS - IS level-1, L2 - IS-IS level-2 , ia - IS-IS inter area

- candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set
72 . 16 . 0.0/24 is subnetted,

3 subnets

c c c
R

172 . 16.1.0 is directly connected, EthernetO I O 172.16.2 . 0 is directly connected, SerialO I O 172.16 . 3.0 is directly connected, Serial0/1
10.0.0.0 / 8 [1 2 0 / 1] via 172 . 16.3 . 3 , [120 / 1] via 172.16.2.2 ,

00: 00: 13 , Seri al0 /1 00: 0 0 :04 , Seri al O/O

160

Captulo 5: VLSM e sumarizao de rotas

Conforme mostrado no Exemplo 5-7, Albuquerque agora possui duas rotas at a rede 10.0.0.0/8: uma apontando para a esquerda em direo a Yosemite e uma apontando para a direita em direo a Seville. Em vez de enviar pacotes destinados s sub-redes de Yosemite saindo pelo Serial O/O, Albuquerque envia alguns pacotes saindo pelo SO/1 at Seville! Albuquerque simplesmente equilibra os pacotes atravs das duas rotas, porque, pelo que Albuquerque saiba, as duas rotas so simplesmente rotas de custo igual at o mesmo destino: toda a rede 10.0.0.0. Portanto, os aplicativos deixariam de funcionar corretamente nesta rede. A soluo para este problema desativar o uso da sumarizao automtica. Como os protocolos de roteamento c1assful devem utilizar sumarizao automtica, a soluo requer a migrao para um protocolo de roteamento c1assless e a desativao do recurso de sumarizao automtica. O Exemplo 5-8 mostra a mesma inter-rede da Figura 5-5 e do Exemplo 5-7, mas dessa vez com o EIGRP (c1assless), com a sumarizao automtica desativada.

Exemplo 5-8 Protocolo de roteamento classless sem nenhuma sumarizao automtica permite redes no-contguas
Albuquerque# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA externaI type 1, N2 - OSPF NSSA externaI type 2 E1 - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

.,

-I 1 :1

* - candidate default, U - per-user static route, o - ODR


P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 3 subnets
C
C C

172.16.1.0 is directly connected, EthernetO/O 172.16.2 . 0 is directly connected, SerialO/O 172.16.3.0 is directly connected, Serial0/1 10.0.0.0/24 is subnetted, 8 subnets

D D D D D D D D

10 . 2 . 1.0/24 [90/2172416] via 172.16 . 2.2,

00 : 00:01, SerialO/O

10.2.2.0/24 [90/2297856] via 172.16.2.2, 00:00:01, SerialO/O 10.2.3 . 0/24 [90/2297856] via 172.16 . 2.2, 00 : 00:01, SerialO/O

10.2.4.0/24 [90/2297856] via 172.16.2.2, 00 : 00:01, SerialO/O 10.3.5.0/24 [90/2297856] via 172 .16.3.3, 10.3.4.0/24 [90/2172416] via 172 . 16.3.3, 10.3.7.0/24 [90/2297856] via 172.16.3.3, 10.3 . 6 . 0/24 [90/2297856] via 172.16.3.3, 00: 00 : 29, Serial0/1 00:00 : 29, SerialO/1 00:00:29, Serial0/1 00:00:29, Serial0/1

Com a sumarizao automtica desativada em Yosemite e em Seville, nenhum dos roteadores anuncia uma sumarizao automtica da rede 10.0.0.0/8 at Albuquerque. Pelo contrrio, cada roteador anuncia as sub-redes conhecidas e, portanto, agora Albuquerque conhece as quatro sub-redes LAN que saem de Yosemite bem como as quatro sub-redes LAN que saem de Seville.

Configurao e suporte sumarizao automtica


Os protocolos de roteamento c1assful devem utilizar sumarizao automtica. Alguns protocolos de roteamento c1assless aceitam sumarizao automtica, utilizando-a automaticamente, mas com a capacidade de desativ-la com o subcomando de roteador no autosummary. Outros protocolos de roteamento c1assless, principalmente o OSPF (Open Shortest Path First, algo como "Abra o Caminho Mais Curto Primeiro"), simplesmente no aceitam sumarizao automtica. A Tabela 5-5 resume os fatos sobre sumarizao automtica em roteadores Cisco. .......... Tabela 5-5 Aceitao e padres de sumarizao automtica Protocolo de roteamento Classless? Aceita sumarizao Usa automaticamente a automtica? sumarizao automtica? No Sim Sim
~ Chave

! T6plco

....

RIP-l

Pode desativar a sumarizao automtica? No

.' ., -

CCNA ICND 2
Sim Sim Sim Sim Sim No Sim Sim Sim Sim

161

RIP-2 EIGRP OSPF

Observe tambm que o recurso de sumarizao automtica causa impacto sobre os roteadores que se conectam diretamente a partes de mais de uma rede classful. Na Figura 5-5, por exemplo, a soluo (conforme mostrado no Exemplo 5- 8) requer o subcomando EIGRP no auto-summary tanto em Yosemite quanto em Seville. Entretanto, neste caso, Albuquerque, cujas interfaces esto todas dentro de uma nica rede (a rede Classe B 172.16.0.0), no mudaria o seu comportamento com os comandos auto-summary ou no auto-summary configurados .

Revise todos os tpicos-chave


Tabela 5-6 Tpicos-chave do Cq.ptulo 5
Tabela 5-2

Atividades de preparao para o exame

----------------------------------------------------------

Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina. A Tabela 5-6 relaciona estes tpicos-chave e os nmeros das pginas nas quais cada um encontrado.

!;~!o Elemento do tpico-chave


...c. .

Descrio
Lista de protocolos de roteamento IP, com fatos sobre classless/classful, suporte a VLSM e suporte sumarizao Estratgia formada por dois passos para encontrar sub-redes VLSM sobrepostas

Nmero da pgina

".

148

Lista

149

Lista Lista

Estratgia formada por cinco passos para escolher uma nova sub-rede VLSM sem sobreposio Processo formado por cinco passos para encontrar a melhor rota manual de sumarizao Definio generalizada de sumarizao automtica Definies de rede contgua e rede no-contgua Lista de protocolos de roteamento e fatos relacionados sumarizao automtica

151

. .

-.-------------------------------------------------------------156 158 159

--------------------------------------------------------------Definio Definies Tabela 5-5

Complete as tabelas e listas usando a memria


160

Imprima uma cpia do Apndice J, "Tabelas de memria" ou, pelo menos, a seo referente a este captulo, e complete as tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", tambm inclui tabelas e listas completadas para voc conferir o seu trabalho.

: Definies de termos-chave
Defrna os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: mascaramento de sub-redes de extenso varivel, protocolo de roteamento classful, protocolo de roteamento classless, rede classful, rede contgua, rede no-contgua, rota de sumarizao, sub-redes sobrepostas, sumarizao automtica.

162

Captulo 5: VLSM e sumarizao de rotas

Leia os cenrios do Apndice F


o Apndice F disponvel no idioma original no site da editora: www.altabooks.com.br - , "Additional Scenarios", contm cinco cenrios detalhados que lhe do a chance de analisar diversos projetos, problemas e resultados de comandos mostrando-lhe como os conceitos de vrios captulos esto inter-relacionados. O Cenrio 1 do Apndice F, Parte A, e todo o Cenrio 5 oferecem a oportunidade de praticar e desenvolver habilidades com o VLSM.

Referncia aos comandos para verificar sua memria

Este captulo introduz somente um novo comando que ainda no foi apresentado neste livro, isto , o comando do modo . de configurao do roteador [no] auto-summary. Esse comando ativa a sumarizao automtica (omitindo a opo no) ou desativa a sumarizao automtica (usando a opo no).

Este captulo inclui essa seo de referncia a comandos para que voc se lembre desse nico comando apresentado neste captulo.

CCNA ICND 2

163

Este captulo aborda os seguintes assuntos:


Listas de controle de acesso IP padro: esta seo explica como as ACLs (Access Control Lists, ou listas de controle de acesso) funcionam e como configur-las.

Listas de controle de acesso IP estendidas: esta seo examina a maior complexidade das ACLs estendidas e como configur-las.

Avanos no gerenciamento da configurao de ACLs: esta seo examina as nuances de dois avanos importantes feitos na configurao de ACLs com o passar dos anos: ACLs nomeadas e nmeros de seqncia. Tpicos variados sobre ACLs: esta seo explica alguns conceitos adicionais sobre ACLs.

Questionrio "Eu j conheo isto?" :


Listas e controle de acesso IP :

CAPTULO

A segurana de redes um dos tpicos mais discutidos em comunicao de redes atualmente. Embora a segurana sempre tenha sido importante, a exploso da dimenso e da abrangncia da Internet criou mais situaes em que a segurana fica exposta. Antigamente, a maioria das empresas no estava permanentemente conectada a uma rede global- uma rede atravs da qual os outros pudessem ilegalmente acessar suas redes. Hoje em dia, como a maioria das empresas est conectada Internet, muitas delas obtm uma receita significativa atravs de suas operaes baseadas na rede - fatos estes que aumentam a exposio e o impacto causado quando a segurana quebrada. Os roteadores Cisco podem ser utilizados como parte de uma boa estratgia de segurana geral. Uma das ferramentas mais importantes dos softwares Cisco lOS utilizadas como parte dessa estratgia so as listas de controle de acesso (ou ACLs, do ingls Access Controllists). As ACLs definem regras que podem ser usadas para impedir que certos pacotes passem pela rede. Seja porque voc simplesmente deseja limitar o acesso ao servidor da folha de pagamentos somente a pessoas do departamento financeiro ou porque esteja tentando impedir que hackers da Internet destruam o seu servidor Web de comrcio virtual, as ACLs do lOS podem ser uma ferramenta de segurana essencial que faz parte de uma estratgia de segurana maior. Este captulo est na Parte 11 deste livro, que orientada para os tpicos referentes a roteamento IP. A razo de ele estar na Parte 11 que o uso mais comum das ACLs nos exames CCNA a filtragem de pacotes. Portanto, enquanto os Captulos 4 e 5 discutem vrios recursos que causam impacto sobre o processo de roteamento IP para permitir a passagem de pacotes, este captulo examina as ACLs que impedem que determinados pacotes fluam pela rede.

O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das oito questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A Tabela 6-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o material destas sees. Isso ajudar voc a avaliar o seu conhecimento nestas reas especficas. As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.

Tabela 6-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?" Seo dos tpicos fundamentais
Listas de controle de acesso IP padro Listas de controle de acesso IP estendidas Avanos no gerenciamento da configurao de ACLs Tpicos variados sobre ACLs

Questes
1-3

4-6
7e8
9 elO

1. Barney um host cujo endereo IP 10.1.1.1 na sub-rede 10.1.1.0/24. Qual das opes a seguir apresenta coisas que uma ACL IP padro poderia estar configurada para fazer? a. Combinar o endereo IP origem exato

b. Combinar os endereos 1P de 10.1.1.1 at 10.1.1.4 com um comando access-list sem combinar outros endereos 1P
c. Combinar todos os endereos 1P da sub-rede de Barney com um comando access-list sem combinar outros endereos 1P

d. Combinar somente o endereo IP de destino do pacote

166 Captulo 6: Listas e controle de acesso IP


2. Qual das seguintes mscaras curinga (wildcard mask) mais til para a combinao de todos os pacotes IP da subrede 10.1.128.0, mscara 255.255.255.0?

a.O.O.O.O
b.0.0.0.31 c. 0.0.0.240 d. 0.0.0.255 e. 0.0.15.0 f.0.0.248.255 3. Qual das seguintes mscaras curinga (wildcard mask) mais til para a combinao de todos os pacotes IP da subrede 10.1.128.0, mscara 255.255.240.0?

a.O.O.O.O
b.0.0.0.31 c. 0.0.0.240 d. 0.0.0.255 e. 0.0.15.255 f.0.0.248.255 4. Qual dos seguintes campos no pode ser comparado com base em uma ACL IP estendida? a. Protocolo b. Endereo IP origem c. Endereo IP de destino d. TOS byte

e. URL
f. Nome do arquivo para transferncias FfP 5. Qual dos seguintes comandos access-list permite trfego que combine pacotes que partem do host 10.1.1.1 para todos servidores Web cujos endereos IP comecem com 172.16.5?
a. access-list 101 permi t tcp host 10.1.1.1 172.16.5. O O. O. 0.255 eq www b. access-list 1951 permit ip host 10.1.1.1 172.16.5.0 0.0.0.255 eqwww c. access-list 2523 permit ip host 10.1.1.1 eq www 172.16.5.0 0.0.0.255 d. access-list 2523 permit tcp host 10.1.1.1 eq www 172.16.5. O O. O. 0.255 e. access-list 2523 permit tcp host 10.1.1.1172.16.5.0 0.0.0.255 eq www

6. Qual dos seguintes comandos access-list permite trfego que combine pacotes direcionados a qualquer cliente Web vindos de todos os servidores Web cujos endereos IP comecem com 172.16.5?
a. access-list 101 permit tcp host 10.1.1.1 172.16.5.0 0.0.0.255 eqwww b. access-list 1951 permit ip host 10.1.1.1 172.16.5.0 0.0.0.255 eqwww c. access-list 2523 permit tcp any eq www 172.16.5.0 0.0.0.255 d. access-list 2523 permit tcp 172.16.5.0 0.0.0.255 eqwww 172.16.5.0 0.0.0.255 e. access-list 2523 permit tcp 172.16.5. O O. O. 0.255 eq www any

CCNA ICND2

167

7. Qual dos seguintes campos pode ser comparado utilizando uma ACL IP estendida nomeada mas no uma ACL IP estendida numerada?

a. Protocolo
b. Endereo IP origem

c. Endereo IP de destino
d. TOS byte e. Nenhuma das respostas acima. 8. Em um roteador executando lOS 12.3, um engenheiro precisa excluir a segunda linha da ACL 101, que atualmente possui quatro comandos configurados. Qual das seguintes opes poderia ser utilizada?

a. Excluir toda a ACL e reconfigurar as trs sentenas da ACL que devem permanecer na ACL.
b. Excluir uma linha da ACL utilizando o comando no access-list. ..
c. Excluir uma linha da ACL entrando no modo de configurao ACL e, depois, excluir somente a segunda linha com base em seu nmero de seqncia.

d. Excluir as trs ltimas linhas daACL do modo de configurao ACL e, depois, acrescentar as duas ltimas sentenas
novamente ACL.

9. Que diretriz geral voc deve seguir ao instalar ACLs IP estendidas?


a. Executar toda a filtragem no resultado, se for possvel.

b. Colocar sentenas mais gerais logo no incio da ACL.


c. Filtrar os pacotes o mais prximo possvel da origem. d. Ordenar os comandos da ACL com base nos endereos IP origem, do mais baixo para o mais alto, para melhorar o desempenho.

10. Qual das seguintes ferramentas requer o usurio final at a telnet e at um roteador para ganhar acesso a hosts do
outro lado do roteador?
a. ACLs nomeadas b. ACLs reflexivas c. ACLs dinmicas d. ACLs baseadas em tempo

Tpicos fundamentais
O Cisco lOS tem dado suporte s ACLs IP praticamente desde que os roteadores Cisco originais foram introduzidos ao comrcio no final da dcada de 1980. O lOS identificou essas ACLs com um nmero. Anos mais tarde, como parte da introduo do l OS 11 .2, a Cisco acrescentou a capacidade de criar ACLs nomeadas. Essas ACLs nomeadas oferecem alguns outros pequenos benefcios quando comparadas s ACLs numeradas, mas ambas podem ser usadas para filtrar exatamente os mesmos pacotes exatamente com as mesmas regras. Finalmente, com a introduo do lOS 12.3, a Cisco melhorou novamente o suporte dado s ACLs, principalmente em relao forma como o lOS permite aos engenheiros editarem ACLs existentes. Este ltimo grande passo no progresso das ACLs durante os anos faz com que as ACLs numeradas e nomeadas dem suporte exatamente aos mesmos recursos, em vez da nica diferena bvia de utilizar um nmero ou um nome para identificar a ACL. Por causa da histria progressiva do suporte dado pela Cisco s ACLs, os exames CCNA continuam abordando muitas das mesmas informaes e dos mesmos comandos de configurao que tm sido utilizados com roteadores Cisco h quase 20 anos. Para sustentar toda essa histria, este captulo dedica a maior parte de seu tempo explicando ACLs IP ACLs IP numeradas - utilizando os mesmos comandos e a mesma sintaxe disponveis no lOS h muito tempo. De modo especial, este captulo comea com uma descrio dos tipos mais simples de ACLs IP numeradas - as ACLs IP padro.

168 Captulo 6: Listas e controle de acesso IP


A segunda seo examina as ACLs mais complexas, as ACLs IP estendidas, que podem ser utilizadas para examinar muitos mais campos dentro de um pacote IP. Logo em seguida, a prxima seo do captulo descreve o suporte cada vez maior dado pelo lOS s ACLs - tanto a introduo de suporte s ACLs nomeadas com a verso lOS 11.2 quanto o acrscimo posterior de suporte dado aos nmeros de seqncia das ACLs e edio avanada de ACLs com o lOS 12.3. O captulo termina abordando tpicos variados sobre ACLs.

Listas de controle de acesso IP padro


As ACLs IP fazem com que o roteador descarte alguns pacotes com base em critrios definidos pelo engenheiro de rede. O objetivo desses filtros impedir trfego indesejado na rede - seja impedindo hackers de penetrarem na rede ou simplesmente impedindo que os empregados utilizem sistemas que no deveriam. Listas de acesso devem simplesmente fazer parte da poltica de segurana de uma organizao. A propsito, as listas de controle de acesso IP tambm podem ser utilizadas para filtrar atualizaes de roteamento, para combinar pacotes por questes de priorizao, para combinar pacotes para VPN tunneling e para combinar pacotes para implementar recursos relativos qualidade de servio. Voc tambm vai ver ACLs usadas como parte da configurao do NAT (NetworkAddress Translation) no Captulo 16, "Traduo de endereos de rede". Portanto, voc vai ver ACLs na maioria dos outros exames de certificao Cisco medida que for progredindo em sua carreira. Este captulo aborda duas categorias principais de ACLs IP do lOS - padro e estendida. As ACLs padro utilizam uma lgica mais simples, enquanto as ACLs estendidas utilizam uma lgica mais complexa. A primeira seo deste captulo aborda as ACLs IP padro, seguido de uma seo sobre ACLs IP estendidas. Vrias sees relacionadas aos dois tipos de ACLs encerram o captulo.

Conceitos das ACLs IP padro


Os engenheiros precisam fazer duas escolhas importantes para qualquer ACL que v filtrar pacotes IP: quais pacotes filtrar e onde, na rede, colocar a ACL. A Figura 6-1 serve como exemplo. Neste caso, suponha que Bob no tenha permisso de acesso ao Serverl , mas que Larry a tenha.

Figura 6-1 Locais em que a lgica da lista de acesso pode ser aplicada na rede

172.16.3.8 172.16.3.9

A lgica de filtragem pode ser configurada em qualquer um dos trs roteadores em qualquer uma das suas interfaces. As linhas pontilhadas da figura mostram os pontos mais adequados nos quais aplicar a lgica de filtragem em uma ACL. Como o trfego de Bob o nico trfego que precisa ser filtrado e o objetivo impedir acesso ao Serverl, a lista de acesso poderia ser aplicada a RI ou R3. E como a tentativa de transmisso de trfego de Bob para o Serverl no precisaria passar por R2, R2 no seria um bom lugar para colocar a lgica da lista de acesso. Para fins desta discusso, considere que RI onde a lista de acesso deve ser aplicada. O software Cisco lOS aplica a lgica de filtragem de uma ACL quando um pacote entra em uma interface ou quando ele sai da interface. Em outras palavras, o lOS associa uma ACL com uma interface, especificamente para o trfego que entra ou sai da interface. Depois de escolher o roteador no qual voc deseja colocar a lista de acesso, necessrio escolher a interface na qual a lgica de acesso ser aplicada bem como se a lgica dever ser aplicada a pacotes que estejam para entrar ou que estejam para sair.

. '

. '

CCNA ICND2

169

Suponha, por exemplo, que voc deseje filtrar os pacotes de Bob enviados a ServerI. A Figura 6-2 mostra as opes de ftltragem do pacote.

Figura 6-2 Processamento interno em Ri com relao ao local em que Ri pode filtrar pacotes
Roteador 1

/;~~;~o
'. Chave

....

Permitir

lgica de

ACL

Permitir

rotearnemo

de_feia

EO

Q)

Cl

.......

......
Balde

s1

ACL de.,...

Negar

deBIIB

'---

Pacote IP

A lgica de ftltragem pode ser aplicada a pacotes que estejam entrando em SI ou que estejam saindo por EO em RI para combinar com o pacote enviado por Bob ao ServerI. Em geral, possvel ftltrar pacotes criando e ativando listas de acesso para pacotes de entrada e de sada em cada interface. Veja abaixo alguns recursos importantes das listas de acesso Cisco: - Os pacotes podem ser ftltrados ao entrarem em uma interface antes da deciso de roteamento. - Os pacotes podem ser ftltrados antes de sarem de uma interface aps a deciso de roteamento.

- Negar o termo usado no software Cisco lOS para indicar que o pacote ser ftltrado. - Permitir o termo usado no software Cisco lOS para indicar que o pacote no ser ftltrado.
- A lgica de ftltragem configurada na lista de acesso. - No fim de cada lista de acesso existe uma sentena "negar todo o trfego" implcita. Por isso, se um pacote no combinar com nenhuma das suas sentenas da lista de acesso, ele bloqueado. Por exemplo, voc pode criar uma lista de acesso em RI e ativ-la na interface SI de RI. A lista de acesso procuraria pacotes que viessem de Bob. Da, a lista de acesso teria de ser ativada para pacotes que estivessem para entrar, porque nesta rede, os pacotes vindos de Bob entram em SI, e os pacotes destinados a Bob saem por SI. As listas de acesso tm dois passos principais em sua lgica: combinao e ao. A lgica de combinao examina cada pacote e determina se ele combina com a sentena access-list. O endereo IP de Bob, por exemplo, seria utilizado para combinar pacotes enviados por Bob. As ACLs IP dizem ao roteador para, quando uma sentena for combinada, ele tomar uma das duas aes seguintes: negar ou permitir. Negar significa descartar o pacote, e permitir indica que o pacote deve continuar em seu caminho. Portanto, a lista de acesso para impedir o trfego de Bob at o servidor pode ser algo parecido com o seguinte: Procure pacotes com o endereo IP fonte de Bob e o endereo IP de destino do ServerI. Ao encontr-los, descarte-os. Se encontrar qualquer outro pacote, no o descarte. Como era de se esperar, as ACLs IP podem se tornar bem mais difceis do que na vida real. Mesmo uma pequena lista de critrios de combinao pode criar listas de acesso complicadas em vrias interfaces em vrios roteadores. J ouvi falar de algumas redes de maior dimenso com algumas pessoas trabalhando em tempo integral cuja funo nada mais que planejar e implementar listas de acesso!

170 Captulo 6: Listas e controle de acesso IP


A Cisco chama os seus recursos de filtragem de pacotes de "listas de controle de acesso" em parte porque a lgica criada com vrios comandos de configurao que so considerados como estando na mesma lista. Quando uma lista de acesso tem vrias entradas, o lOS procura a lista seqencialmente at que a primeira sentena seja combinada. A sentena combinada determina a ao a ser tomada. As duas figuras em forma de diamante na Figura 6-2 representam a aplicao da lgica da lista de acesso. .......... A lgica que o lOS utiliza com uma ACL de vrias entradas pode ser resumida da seguinte forma: [TpiCO \ Chave ". 1. Os parmetros de combinao da sentena access-Iist so comparados com o pacote. 2. Se for feita uma combinao, a ao definida nesta sentena access-list (permitir ou negar) executada. 3. Se no for feita nenhuma condenao no Passo 2, repita os Passos 1 e 2 utilizando cada sentena sucessiva daACL at que uma combinao seja feita. 4. Se no for feita nenhuma combinao com uma entrada da lista de acesso, a ao negar executada.

Mscaras curinga (wildcard masks)


As ACLs IP combinam pacotes observando os cabealhos IP, TCP e UDP do pacote. As listas de acesso estendidas podem verificar os endereos IP da fonte e do destino, bem como os nmeros da porta da fonte e do destino, junto com vrios outros campos. No entanto, as listas de acesso IP padro podem examinar somente o endereo IP da origem. Independentemente do fato de voc utilizar ACLs IP padro ou estendidas, possvel dizer ao roteador para combinar com base no endereo IP inteiro ou com base apenas em parte do endereo IP. Se voc quisesse, por exemplo, impedir o envio de pacotes de Bob para o Serverl, voc observaria o endereo IP inteiro de Bob e do Serverl na lista de acesso. Mas e se os critrios tivessem que impedir que todos os hosts da sub-rede de Bob chegassem ao Serverl? Como todos os hosts da sub-rede de Bob tm os mesmos nmeros em seus 3 primeiros octetos, a lista de acesso poderia simplesmente verificar os 3 primeiros octetos do endereo para combinar todos os pacotes com um nico comando access-list. As mscaras curinga (wildcard masks) da Cisco definem a parte do endereo IP que deve ser examinada. Ao definir as sentenas da ACL, como ser visto na prxima seo deste captulo, possvel definir uma mscara curinga junto com um endereo IP. A mscara curinga diz ao roteador qual parte do endereo IP na sentena de configurao deve ser comparada com o cabealho do pacote. Suponha, por exemplo, que uma mscara indique que o pacote inteiro deva ser verificado e outra indique que somente os 3 primeiros octetos do endereo precisem ser examinados. (Quando estivesse usando uma mscara de sub-rede 255.255.255.0, voc poderia optar por fazer isso para combinar todos os hosts IP na mesma sub-rede.) Para executar essa combinao, as listas de acesso da Cisco usam mscaras curinga. Mscaras curinga so parecidas com mscaras de sub-redes, mas no so a mesma coisa. Mscaras curinga representam um nmero de 32 bits, assim como as mscaras de sub-redes. Entretanto, os O bits da mscara curinga dizem ao roteador que aqueles bits correspondentes no endereo devem ser comparados quando a lgica de combinao estiver sendo executada. Os 1 binrios da mscara curinga dizem ao roteador que esses bits no precisam ser comparados. Na verdade, muitas pessoas chamam esses bits de bits "tanto faz". Para ter uma idia do que est por trs de uma mscara curinga, a Tabela 6-2 apresenta algumas das mscaras curinga mais populares, junto com seus significados. Tabela 6-2 Exemplo de mscaras curinga de uma lista de acesso Mscara curinga 0.0.0.0 0.0.0.255 0.0.255.255 0.255.255.255 Verso binria da mscara Descrio
i, Chave

/;~~~o
....

00000000.00000000.00000000.00000000 O endereo IP inteiro deve combinar


00000000.00000000.00000000.11111111 00000000.()()()()()()()(.11111111.11111111 ()()()()()()OO.11111111.11111111.11111111

S os primeiros 24 bits devem combinar S os primeiros 16 bits devem combinar. S os primeiros 8 bits devem combinar

CCNA ICND2
255.255.255.255 11111111.11111111.11111111.11111111

171

Considera-se que automaticamente combine todo e qualquer endereo S os primeiros 20 bits devem combinar S os primeiros 22 bits devem combinar

0.0.15.255 0.0.3.255

()()()()()()()(.()()()()()()()(.()()()() 1111.11111111 ()()()()()()()(.()()()()()()()(.0()()()()011.11111111

Os primeiros vrios exemplos mostram os usos tpicos da mscara curinga. Como pode ser visto, no uma mscara de sub-rede. Um curinga 0.0.0.0 significa que o endereo IP inteiro deve ser examinado, e ser igual, para ser considerado uma combinao. 0.0.0.255 significa que o ltimo octeto automaticamente combina, mas os 3 primeiros devem ser examinados, e assim por diante. De uma forma mais geral, a mscara curinga significa o seguinte: As posies dos bits do Obinrio significam que a lista de acesso compara a posio do bit correspondente no endereo IP e certifica-se de que ela seja igual mesma posio do bit no endereo configurado na sentena access-list. As posies dos bits do 1 binrio so bits "tanto faz". Estas posies dos bits so imediatamente consideradas combinaes. As ltimas duas colunas da Tabela 6-2 mostram duas mscaras curinga que fazem sentido, mas no so bvias. 0.0.15.255 em binrio so 20 zeros binrios seguidos de 12 nmeros 1 binrios. Isso significa que os 20 primeiros bits devem combinar. Analogamente, 0.0.3.255 significa que os primeiros 22 bits devem ser examinados para que se possa descobrir se eles combinam. Por que eles so teis? Se a mscara de sub-rede for 255.255.240.0 e voc quiser combinar todos os hosts na mesma sub-rede, o curinga 0.0.15.255 significa que todos os bits da rede e da sub-rede devem ser combinados, e considera-se que todos os bits de hosts automaticamente combinem. Da mesma forma, se voc deseja filtrar todos os hosts em uma sub-rede que utiliza a mscara de sub-rede 255.255.252.0, a mscara curinga 0.0.3.255 combina os bits da rede e da sub-rede. Em geral, se voc deseja uma mscara curinga que o ajude a combinar todos os hosts em uma subrede, inverta a mscara de sub-rede e voc ter a mscara curinga correta.

Uma alternativa mais rpida para interpretar mscaras curinga


Tanto as ACLs IP padro (somente o endereo IP origem) quanto as estendidas (endereos origem e de destino) podem ser configuradas para examinar todos os endereos ou parte de um endereo IP com base na mscara curinga. Entretanto, principalmente para os exames, trabalhar com as mscaras em binrio pode ser lento e trabalhoso a no ser que voc domine converses de binrio para decimal ou de decimal para binrio. Esta seo sugere um mtodo mais fcil de trabalhar com mscaras curinga de ACLs que funciona bem se voc j tiver dominado a matemtica das sub-redes. Em muitos casos, uma ACL precisa combinar todos os hosts em uma determinada sub-rede. Para combinar uma subrede com uma ACL, voc pode usar o seguinte atalho: - Utilize o nmero de sub-rede como o valor de endereo no comando access-list. - Utilize uma mscara curinga encontrada subtraindo a mscara de rede de 255.255.255.255.

/;~;;~o
'. Chave

....

Para a sub-rede 172.16.8.0255.255.252.0, por exemplo, use o nmero de sub-rede (172.16.8.0) como o parmetro do endereo, e depois faa a seguinte matemtica para encontrar a mscara curinga:
2 5 5.255 . 255 . 255 2 5 5.255.252.0 3 . 255

Algumas questes do exame podem no pedir que voc identifique a sentena da ACL que precisa ser configurada, pedindo, entretanto, que voc interprete alguns comandos access-list existentes. Normalmente, essas questes apresentam sentenas da ACL pr-configuradas; seno, voc precisa exibir os contedos da ACL de um simulador de roteador e decidir com qual sentena um determinado pacote combina Para isso, necessrio determinar o intervalo de endereos IP combinados por uma determinada combinao de endereo/mscara curinga em cada sentena da ACL. Se voc tiver dominado a matemtica de sub-redes usando qualquer um dos atalhos decimais, evitando a matemtica binria, outro atalho pode ser usado para analisar cada par formado pelo endereo e o curinga em cada comando da ACL. Para isso:

172

Captulo 6: Listas e controle de acesso IP


..........
f Tpico : Chave .....

Passo 1 Utilize o endereo no comando access-list como se ele fosse um nmero de sub-rede.

Passo 2 Utilize o nmero encontrado subtraindo a mscara curinga de 255.255.255.255 como uma mscara de sub-rede. Passo 3 Trate os valores dos dois primeiros passos como um nmero de sub-rede e uma mscara de sub-rede e encontre o endereo de broadcast para a sub-rede. A ACL combina com o intervalo de endereos entre o nmero de sub-rede e o endereo de broadcast, inclusive. O intervalo de endereos identificado por este processo o mesmo intervalo de endereos combinado pela ACL. Portanto, se voc j consegue encontrar o intervalo de endereos de uma sub-rede rpida e facilmente, o uso deste processo para alterar a matemtica da ACL pode ajud-lo a encontrar a resposta com mais rapidez nos exames. Com o comando access-list 1 permit 172.16.200.0 0.0.7.255, por exemplo, voc primeiro pensaria em 172.16.200.0 como um nmero de sub-rede. Em seguida, poderia calcular a mscara de sub-rede 255.255.248.0 pressuposta, como se segue:
255.255.255.255 255 255.248.0

o.

7.255 -

o.

A partir da, utilizando qualquer processo que desejar, use a matemtica das sub-redes para determinar se o endereo de broadcast dessa sub-rede seria 172.16.207.255. Portanto, o intervalo de endereos combinado por essa sentena daACL seria 172.16.200.0 at 172.16.207.255. Observao O Cenrio 3 (Scenario 3) do Apndice F - disponvel no idioma original no site da editora: www.altabooks.com.br -, oferece a oportunidade de praticar como escolher uma mscara curinga para combinar com hosts em uma determinada sub-rede.

. '

Configurao da lista de controle de acesso IP padro


A configurao das ACLs tende a ser mais simples do que a tarefa de interpretar o significado e as aes tomadas por uma ACL. Com este fim, esta seo apresenta um plano de ataque para configurar ACLs. Em seguida, mostra alguns exemplos que revisam a configurao e os conceitos implementados pelas ACLs. A sintaxe genrica do comando de configurao padro das ACLs access-list access-list-number {deny

I permit}

source [source-wildcard]

Uma lista de controle de acesso padro utiliza uma srie de comandos access-list que possuem o mesmo nmero. Os comandos access-list com mesmo nmero so considerados como se estivessem na mesma lista, com os comandos sendo apresentados na mesma ordem em que foram acrescentados configurao. Cada comando access-list pode combinar com um intervalo de endereos lP fonte. Se ocorrer uma combinao, a ACL permite que o pacote continue seu caminho (ao pennit (permitir)) ou descarta o pacote (ao deny (negar)). Cada ACL padro pode combinar com todos, ou somente parte, dos endereos lP origem do pacote. Observe que para ACLs lP padro, o intervalo vai de 1 a 99 e de 1300 a 1999. A lista a seguir resume um processo de configurao sugerido. No necessrio memorizar o processo para o exame; ele simplesmente apresentado aqui como aUXIllo para estudos de reviso. .......... fT6plco Passo 1 Planeje a localizao (roteador e interface) e o sentido (entrada ou sada) naquela interface: :, Chave .... a. As ACLs padro devem ser colocadas prximas ao destino dos pacotes para que ele no descarte sem querer pacotes que no devam ser descartados. b. Como as ACLs padro s podem combinar com o endereo lP origem de um pacote, identifique os endereos lP fonte dos pacotes medida que eles caminham no sentido que est sendo examinado pela ACL. Passo 2 Configure um ou mais comandos de configurao global access-list para criar a ACL, mantendo em mente o seguinte: a. A lista procurada seqencialmente, usando a lgica da primeira combinao. Em outras palavras, quando um pacote combina com uma das sentenas do access-list, a procura termina, mesmo que o pacote ainda combine com sentenas subseqentes.

CCNA ICND2

173

b. A ao padro, se um pacote no combinar com nenhum comando access-list, negar (descartar) o pacote.

Passo 3 Ative a ACL da interface escolhida do roteador, no sentido correto, utilizando o subcomando de interface ip access-group number {in I out}.
A seguir, so apresentados dois exemplos de ACLs padro.

ACL IP padro: Exemplo 1

o Exemplo 6-1 tenta parar o trfego de Bob para o Serverl. Conforme mostrado na Figura 6-1 , Bob no tem permisso
de acesso ao Serverl. No Exemplo 6-1, a configurao ativa uma ACL para todos os pacotes que saem da interface EthernetO de RI. A ACL combina com um endereo fonte do pacote - o endereo IP de Bob. Observe que os comandos access-list esto na parte inferior do exemplo porque o comando show running-config tambm os apresenta prximo parte inferior, aps os comandos de configurao da interface.

Exemplo 6-1 Lista de acesso padro em RI impedindo que Bob chegue ao ServerI
interface EthernetO ip addre88 172.16.1.1 255.255.255.0
1 -

ip aCCe88-gTOUp 1 out

acce88-1i8t 1 remark 8top a11 traffic wh08e 80urce IP i8 Bob acce88-1i8t 1 deny 172.16.3.10 0.0.0.0 acce88-1i8t 1 permit 0.0.0.0 255.255.255.255

Primeiro, concentre-se na sintaxe bsica dos comandos. As listas de acesso IP padro utilizam um nmero no intervalo de 1 a 99 ou de 1300 e 1999. Este exemplo utiliza a ACL nmero 1 em vez de outros nmeros disponveis, sem nenhum motivo especfico. (No h diferena alguma em utilizar um nmero ou outro, desde que ele esteja no intervalo correto. Em outras palavras, a lista 1 no melhor nem pior que a lista 99.) Os comandos access-list, sobre os quais a lgica de combinao e de ao so defrnidas, so comandos de configurao global. Para ativar aACL em uma interface e definir o sentido dos pacotes aos quais a ACL aplicada, utiliza-se o comando ip access-group. Neste caso, ele ativa a lgica para ACLl na EthernetO para pacotes que saem da interface. AACLl impede que os pacotes enviados por Bob saiam pela interface Ethernet de RI , com base na lgica de combinao do comando access-list 1 deny 172.16.3.10 0.0.0.0. A mscara curinga 0.0.0.0 significa "combinar com todos os 32 bits", portanto, somente pacotes cujo endereo IP combine exatamente com 172.16.3.10 combinam com essa sentena e so descartados. O comando access-list 1 permit 0.0.0.0 255.255.255.255, a ltima sentena da lista, combina com todos os pacotes, pois a mscara curinga 255.255.255.255 significa "tanto faz" em relao a todos os 32 bits. Em outras palavras, a sentena combina com todos os endereos IP origem. Esses pacotes so permitidos. Finalmente, observe que o engenheiro tambm acrescentou um comando access-list 1 remark ACL. Esse comando permite o acrscimo de um comentrio de texto, ou uma observao, para que voc possa rastrear a finalidade da ACL. A observao somente aparece na configurao; ela no apresentada no resultado do comando show. Embora parea ser um exemplo simples, neste caso a lista de acesso 1 tambm impede que os pacotes de Bob enviados para o Server2 sejam entregues. Com a topologia mostrada na Figura 6-1, uma ACL de sada padro na interface EO de RI no pode, de alguma forma, negar o acesso de Bob ao Serverl enquanto permite o acesso ao Server2. Para isso, necessria uma ACL estendida que possa verificar os endereos da fonte e do destino.

interessante notar que se os comandos do Exemplo 6-1 forem inseridos no modo de configurao, o lOS altera a sintaxe de configurao de alguns comandos. O resultado do comando show running-config no Exemplo 6-2 mostra o
que o lOS realmente coloca no arquivo de configurao.

Exemplo 6-2 Lista de acesso padro revisada impedindo que Bob alcance o Server I
interface EthernetO ip addre88 172.16.1.1 255.255.255.0 ip acce88-group 1 out acce88-1i8t 1 remark 8top a11 traffic who8e 80urce IP i8 Bob

174 Captulo 6: Listas e controle de acesso IP


acceaa-liat 1 deny hoat 172.16.3.10 acceaa-liat 1 permit any

Os comandos do Exemplo 6-1 so alterados com base em trs fatores. O Cisco lOS permite um estilo mais antigo e um estilo mais novo de configurao para alguns parmetros. O Exemplo 6-1 mostra o estilo mais antigo, que o roteador passa para a configurao equivalente, de estilo mais novo, no Exemplo 6-2. Primeiro, o uso de uma mscara curinga 0.0.0.0 realmente significa que o roteador deve combinar com aquele endereo IP especfico do host. A configurao de estilo mais novo utiliza a palavra-chave host emfrente ao endereo IP especfico. A outra alterao feita na configurao de estilo mais novo envolve o uso da mscara curinga 255.255.255 .255 significando "combinar com qualquer coisa" . A configurao de estilo mais novo utiliza a palavra-chave any (qualquer) para substituir o endereo IP e a mscara curinga 255.255.255.255 . A palavra any (qualquer) simplesmente significa que qualquer endereo IP combinado.

ACL IP padro: Exemplo 2


O segundo exemplo de ACL IP padro expe mais questes relativas a ACLs. A Figura 6-3 e os Exemplos 6-3 e 6-4 mostram o uso bsico das listas de acesso IP padro, com duas vises gerais tpicas na primeira tentativa de uma soluo completa. Os critrios para as listas de acesso so os seguintes: Sam no tem permisso de acesso a Bugs ou a Daffy. Hosts na Ethernet de Seville no tm permisso de acesso a hosts da Ethernet de Yosemite. Todas as outras combinaes so permitidas.
Bugs 10.1.1 .1 Daffy 10.1.1 .2

Figura 6-3 Diagrama de rede para o exemplo de lista de acesso padro

Albuquerque s1

~ 3,

'&.

'
?
?

sO
Sub-rede10.1.129.0 Yosemite s1 s1 Seville

EO
Sub-rede 10.1.2.0

EO
Sub rede 10.1.3.0

Sam 10.1.2.1

Emma 10.1.2.2

Elmer 10.1.3.1

Red 10.1.3.2

Exemplo 6-3 Configurao de Yosemite para o exemplo de lista de acesso padro


interface aerial O ip acceaa-group 3 out
!-

acceaa-liat 3 deny hoat 10.1.2.1 acceaa-liat 3 permit any

CCNA ICND2
Exemplo 6-4 Configurao de Seville para o exemplo de lista de acesso padro
interface aerial 1 ip acceaa-group , out

175

acceaa-liat , acceaa-liat ,

deny 10.1.3.0 0.0.0.255 permit any

primeira vista, essas duas listas de acesso parecem executar a funo desejada. ACL 3, ativada para pacotes que saem da interface SO de Yosemite, cuida do critrio 1, porque ACL 3 combina exatamente com o endereo IP de Sam. ACL 4, em Seville, ativada para pacotes que saem da sua interface S 1, cuida do critrio 2, porque ACL 4 combina com todos os pacotes provenientes da sub-rede 10.1.3.0/24. Ambos os roteadores satisfazem o critrio 3: um curinga permit any utilizado na extremidade de cada lista de acesso para se sobrepor ao padro, que descartar todos os outros pacotes. Logo, aparentemente todos os critrios so satisfeitos.
No entanto, quando um dos links WAN falha, podem aparecer alguns buracos nas ACLs. Se, por exemplo, o link de Albuquerque a Yosemite falhar, Yosemite apremde uma rota at 10.1.1.0/24 passando por Seville. Pacotes vindos de Sam, encaminhados por Yosemite e destinados a hosts em Albuquerque, saem da interface serial 1 de Yosemite sem serem infiltrados. Portanto, o critrio 1 no mais satisfeito. Analogamente, se o link de Seville a Yosemite falhar, Seville envia os pacotes passando por Albuquerque, roteando em tomo da lista de acesso ativada em Seville; portanto, o critrio 2 no mais satisfeito.

o Exemplo 6-5 ilustra uma soluo alternativa, com toda a configurao de Yosemite mesmo quando alguns dos links falham.

uma configurao que funciona

Exemplo 6-5 Configurao de Yosemite para o exemplo de lista de acesso padro: soluo alternativa para os Exemplos 6-3 e 6-4
interface aerial O ip acceaa-group 3 out

interface aerial 1 ip acceaa-group 3 out

interface ethernet O ip acceaa-group 4 out

acceaa-liat 3 remark meeta cri teria 1 acceaa-liat 3 deny hoat 11.1.2.1 acceaa-liat 3 permit any

acceaa-liat 4 remark meeta cri teria 2 acceaa-liat 4 deny 10.1.3.0 0.0.0.255 acceaa-liat 4 permit any

A configurao mostrada no Exemplo 6-5 resolve o problema dos Exemplos 6-3 e 6-4. A ACL 3 verifica o endereo IP fonte de Sam, que ativado nos dois links seriais para trfego de sada. Portanto, do trfego que roteado novamente por causa de uma falha no link WAN, os pacotes vindos de Sam continuam sendo filtrados. Para satisfazer o critrio 2, Yosemite filtra pacotes medida que eles saem de sua interface Ethernet. Por isso, independentemente de por qual dos dois links WAN os pacotes entram, os pacotes da sub-rede de Seville no so encaminhados para a Ethernet de Yosemite.

Listas de controle de acesso IP estendidas


As listas de controle de acesso IP estendidas possuem semelhanas e diferenas quando comparadas com as ACLs IP padro. Assim como as listas padro, as listas de acesso estendidas so ativadas nas interfaces para pacotes que estejam entrando ou saindo da interface. O lOS procura a lista seqencialmente. A primeira sentena combinada encerra a busca atravs da lista e define a ao a ser tomada. Todos esses recursos tambm so verdadeiros com relao a listas de acesso padro.

176 Captulo 6: Listas e controle de acesso IP


A nica diferena importante entre as duas a variedade de campos do pacote que podem ser comparados para que as combinaes possam ser feitas pelas listas de acesso estendidas. Uma nica sentena de uma ACL estendida pode examinar vrias partes dos cabealhos do pacote, exigindo que todos os parmetros sejam combinados corretamente para que eles combinem com aquela sentena especfica da ACL. Essa lgica de combinao o que faz as listas de acesso estendidas serem muito mais teis e mais complexas que as ACLs IP padro. Esta seo comea com a abordagem dos conceitos relativos a ACLs IP estendidas que diferem das ACLs padro, ou seja, a lgica de combinao. Em seguida, so abordados os detalhes de configurao.

Conceitos das ACLs IP estendidas


As listas de acesso estendidas criam uma poderosa lgica de combinao examinando vrias partes de um pacote. A Figura 6-4 mostra vrios campos dos cabealhos dos pacotes que podem ser combinados.

Figura 6-4 Opes de combinao de listas de acesso estendidas


Cabealho IP

9
Campos de Cabealhos Variados

4
Endereo IP de destino

Varivel Opes TCP, UDP ICMP, IGRP,IGMP...

Soma de Endereo TIpo de verificao protocolo IP fonte do cabealho

IDefine o que vem aqui


Cabealho IP

j
TCP

9
Campos de Cabealhos Variados

4
Endereo IP de destino

Varivel Opes

2
Porta fonte

16+

Soma de Protocolo Endereo verificao 6 (TCP) IP fonte do cabealho

Porta Rest. de de destino TCP

o conjunto de cabealhos na parte de cima mostra o tipo de protocolo IP, que identifica qual cabealho segue o cabealho IP. Voc pode especificar todos os pacotes IP, ou aqueles com cabealhos TCP, cabealhos UDP, ICMP, e assim por diante, verificando o campo Protocolo. possvel tambm verificar os endereos IP da fonte e do destino, conforme mostrado. A parte inferior da figura mostra um exemplo com um cabealho TCP seguindo o cabealho IP, destacando o local dos nmeros das portas TCP da fonte e do destino. Esses nmeros de portas identificam o aplicativo. A Web, por exemplo, utiliza a porta 80 como padro. Se voc especificar um protocolo TCP ou UDP, possvel tambm verificar os nmeros de portas.
A Tabela 6-3 resume os campos mais comumente usados que podem ser combinados com uma ACL estendida, em comparao com as ACLs IP padro. .......... Tabela 6-3 Listas de acesso IP padro e estendidas: combinao ( Tpico

Tipo de lista de acesso


ACLs padro e estendidas

o que pode ser combinado


endereo IP origem Partes do endereo IP fonte utilizando uma mscara curinga

:..... ...... c:

Somente ACLs estendidas

Endereo IP de destino Partes do endereo IP de destino utilizando uma mscara curinga Tipo de protocolo (TCP, UDP, ICMP, IGRP, IGMP e outros) Porta origem Porta de destino Todos os fluxos TCP exceto o primeiro

CCNA ICND2
TOS IP precedncia IP

177

Saber o que procurar apenas metade da batalha. O lOS verifica todas as informaes da combinao configuradas em um nico comando access-list. Tudo deve combinar com relao a este nico comando para que ele seja considerado uma combinao e para que seja tomada a ao definida. As opes comeam com o tipo de protocolo (IP, TCP, UDP, ICMP e outros), seguido do endereo IP origem, da porta origem, do endereo IP de destino e do nmero da porta de destino. A Tabela 6-4 apresenta vrios exemplos de comandos access-list, com vrias opes configuradas e algumas explicaes. Somente as opes de combinao esto sombreadas. Tabela 6-4 Comandos access-list estendidos e explicao da lgica Sentena access-list access-list 101 deny ip any host 10.1.1.1

o que ela combina


Qualquer pacote IP, qualquer endereo IP origem, com um endereo IP de destino 10.1.1.1 Pacotes com um cabealho TCP, qualquer endereo IP origem, com porta origem maior que (gt) 1023, um endereo IP de destino de exatamente 10.1.1.1, e uma porta de destino igual a (eq) 23 Idem ao exemplo anterior, mas qualquer porta origem combina, pois aquele parmetro omitido neste caso Idem ao exemplo anterior. A palavra-chave telnet usada em vez da porta 23. Um pacote com uma origem na rede 1.0.0.0, usando UDP com uma porta origem menor que (It) 1023, com qualquer endereo IP de destino

access-list 101 deny tcp any gt 1023 uma host 10.1.1.1 eq 23

access-list 101 deny tcp any host 10.1.1.1 eq 23 access-list 101 deny tcp any host 10.1.1.1 eq telnet access-list 101 deny udp 1.0.0.0 0.255.255.255 It 1023 any

Combinando os nmeros das portas TCP e UDP


As ACLs IP estendidas permitem a combinao do campo de protocolo do cabealho IP bem como a combinao dos nmeros d~s portas TCP ou UD~ da fonte e d~ destino. Entretanto~ ~uitas pessoas encon~am difi~uldade ao }niciar a . configu~aao de ACLs que combmem com os numeros das portas, pnnclpalmente quando esto combmando o numero da porta ongem. Ao considerar qualquer questo do exame que envolva portas TCP ou UDP, tenha em mente os seguintes pontos essenciais:

. .. . . . .


".

...:-ha...

MJ.6plco

O comando access-list deve usar a palavra-chave tcp do protocolo para conseguir combinar as portas TCP e a palavra-chave udp para conseguir combinar as portas UDP. A palavra-chave ip no permite a combinao dos nmeros das portas. Os parmetros da porta origem e da porta de destino no comando access-list so posicionais. Em outras palavras, sua localizao no comando determina se o parmetro examina a porta origem ou a porta de destino. Lembre-se de que as ACLs podem combinar pacotes enviados a um servidor comparando a porta de destino com os nmeros das portas bem-conhecidos (well-known). Entretarlto, as ACLs precisam combinar a porta origem para pacotes enviados pelo servidor. Vale a pena memorizar os aplicativos TCP e UDP mais populares, e suas portas conhecidas, conforme apresentado na Tabela 6-5, mostrado mais adiante neste captulo.

Considere, por exemplo, a rede simples mostrada na Figura 6-5. O servidor FTP fica direita, com o cliente esquerda. A figura mostra a sintaxe de uma ACL que combina Pacotes que incluem um cabealho TCP Pacotes enviados da sub-rede do cliente

178

Captulo 6: Listas e controle de acesso IP


Pacotes enviados sub-rede do servidor Pacotes com a porta de destino TCP 21

Figura 6-5 Filtrando pacotes com base na porta de destino

IFonte 172.16.1.1 Destino 172.16.3.1


172.16.1.0/24

I Fonte Destino> 1023 Destino Porta 21


Entrada

172.16.3.0/24172 .16.3.1

Entrada FaOIO

Sada SOlO SO/1

access-list 101 permit tcp 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

Para ter uma idia completa da combinao da porta de destino com o parmetro eq21, considere pacotes indo da esquerda para a direita, de PC1 para o servidor. Se o servidor estiver usando a bem-conhecida porta 21 (porta de controle FfP), o pacote enviado por PC1, no cabealho TCP, possui um valor de porta de destino igual a 21. A sintaxe da ACL inclui o parmetro eq21 depois do endereo IP de destino, sendo que essa posio no comando indica que esse parmetro combina com a porta de destino. Em conseqncia disso, a sentena da ACL mostrada na figura combinaria com esse pacote e com a porta de destino 21, se utilizada em qualquer um dos quatro locais indicados pelas quatro setas na figura. Por outro lad, a Figura 6-6 mostra o fluxo inverso, com um pacote enviado pelo servidor de volta em direo a PC1. Neste caso, o cabealho TCP do pacote possui uma porta fonte 21, e, portanto, a ACL deve verificar o valor 21 da porta fonte e deve estar localizada em interfaces diferentes.

Figura 6-6 Filtrando pacotes com base na porta fonte


(;~;;~o
\ Chave

Fonte 172.16.3.1 Destino 172.16.1.1


172.16.1.0/24

Fonte Porta 21DestinoPorta> 1023


172.16.3.0/24 172.16.3.1

".

Sada FaOIO

Entrada SOlO

Sada _____ Entrada SO/1 FaOIO

access-list 101 permit tcp 172.16.3.0 0.0.0.255 eq 21 172.16.1.0 0.0.0.255

Para questes do exame que requeiram ACLs e a combinao de nmeros de portas, considere primeiramente se a questo requer que a ACL seja colocada em um certo local e em um certo sentido. Em caso positivo, voc pode determinar se aquela ACL processaria pacotes enviados ao servidor ou enviados pelo servidor. Neste ponto, voc pode decidir se precisa verificar a porta de origem ou a porta de destino do pacote. Como referncia, a Tabela 6-5 apresenta vrios nmeros de portas conhecidos e seus aplicativos e protocolos de camada de transporte. Observe que a sintaxe dos comandos access-list aceita tanto os nmeros das portas quanto urna verso resumida do nome do aplicativo.

Tabela 6-5 Aplicativos populares e os conhecidos nmeros de suas portas


Nmero(s) das portas Protocolo Aplicativo Palavras-chave do nome do aplicativo na sintaxe do comando access-list

20 21 22 23
25

TCP TCP TCP TCP TCP UDP, TCP

Dados do FTP Controle FfP SSH Telnet SMTP DNS

ftp-data
ftp

telnet smtp domain

53

CCNA ICND2
UDP UDP TCP TCP UDP TCP UDP DHCP TFfP HTTP (WWW) POP3 SNMP SSL voz e vdeo baseado em RTP (VoIP) nameserver

179

67,68

69 80 110 161

tftp

www
pop3 snmp

443 16,384-32,767

: Configurao de ACLs IP estendidas


Como as ACLs estendidas podem combinar com tantos campos diferentes nos vrios cabealhos de um pacote IP, a sintaxe do comando no pode ser facilmente resumida em um nico comando genrico. Como referncia, a Tabela 6-6 apresenta a sintaxe dos dois comandos genricos mais comuns. Tabela 6-6 Comandos de configurao de uma lista de acesso IP estendida Comando access-Iist access-list-number {deny I permit} protocol source source-wildcard destination destination-wildcard log I log-input] Modo de configurao e descrio Comando global para listas de acesso estendidas numeradas. Use um nmero entre 100 e 199 ou 2000 e 2699, inclusive

access-Iist access-list-number {deny I permit} Verso do comando access-Iist com {tcp I udp} source source-wildcard [operator [port]] parmetros TCP especficos destination destination-wildcard [operator [port]] [established] [log]

o processo de configurao para ACLs estendidas praticamente combina com o mesmo processo utilizado para ACLs padro. O local e o sentido devem ser escolhidos primeiro para que os parmetros da ACL possam ser planejados com base nas informaes contidas nos pacotes que transitam naquele sentido. A ACL deve estar configurada com comandos access-list. Em seguida, a ACL deve ser ativada com o mesmo comando ip access-group utilizado em ACLs padro. Todos esses passos permanecem os mesmos das ACLs padro. Entretanto, as diferenas de configurao so resumidas da seguinte forma:
As ACLs estendidas devem ser colocadas o mais prximo possvel da fonte dos pacotes a serem filtrados, pois as ACLs estendidas podem ser configuradas para que no descartem pacotes que no deveriam ser descartados. Portanto, a filtragem prxima da fonte dos pacotes economiza um pouco de largura de banda.

~.......

.:~o

Todos os campos de um comando access-list devem combinar com um pacote para que se possa considerar que este pacote combina com aquela sentena access-Iist. O comando access-list estendido utiliza nmeros entre 100 e 199 e entre 2000 e 2699, sendo que nenhum nmero inerentemente melhor que o outro.

A verso estendida do comando access-Iist permite a combinao de nmeros de portas usando vrias operaes bsicas, tais como "igual a" e "menor que". Contudo, os comandos utilizam abreviaes. A Tabela 6-7 apresenta as abreviaes e uma explicao mais abrangente. Tabela 6-7 Operadores utilizados na combinao de nmeros de portas Operador no comando access-Iist Significado Igual a

eq ------------------------------------------------------------------------------------

180 Captulo 6: Listas e controle de acesso IP


neq
It

No igual a Menor que Maior que Intervalo dos nmeros das portas

gt range

Listas de acesso IP estendidas: Exemplo 1


Este exemplo se concentra na compreenso da sintaxe bsica. Neste caso, o acesso a todos os servidores na Ethemet de RI negado a Bob e o acesso de Larry ao servidor Web Serverl tambm negado. A Figura 6-7 relembra a topologia da rede. O Exemplo 6-6 mostra a configurao em RI. Figura 6-7 Diagrama de rede referente ao Exemplo i de listas de acesso estendidas

172.16.3.8 172.16.3.9

Exemplo 6-6 Lista de acesso estendida de Ri: Exemplo i


interface SerialO ip address 172.16.12.1 255.255.255.0 ip access-group 101 in

interface Serial1 ip address 172.16.13.12 255.255.255.0 ip access-group 101 in

access-list 101 remark Stop Bob to FTP servers,and Larry to Server1 web access-list 101 deny tcp host 172.16.3.10 172.16.1.0 0.0.0.255 eq ftp access-1ist 101 deny tcp host 172.16.2.10 host 172.16.1.100 eq ww access-list 101 permit ip any any

No Exemplo 6-6, a primeira sentena da ACL impede o acesso de Bob aos servidores FTP na sub-rede 172.16.1.0. A segunda sentena impede o acesso de Larry aos servios Web em Server1. A sentena final permite o trfego todo. Concentrando-se na sintaxe por um momento, existem vrios novos itens a revisar. Primeiro, o nmero da lista de acesso para listas de acesso estendidas cai no intervalo de 100 a 199 ou de 2000 a 2699. Seguindo a ao permit ou deny, o parmetro protocol define se voc deseja verificar todos os pacotes IP ou somente aqueles com cabealhos TCP ou UDP. Ao verificar os nmeros das portas TCP ou UDP, necessrio especificar o protocolo TCP ou UDP. Este exemplo utiliza o parmetro eq, significando "igual a", para verificar os nmeros das portas de destino para o controle FTP (palavra-chave ftp) e o trfego HTTP (palavra-chave www). Voc pode usar os valores numricos ou, para as opes mais populares, uma verso de texto mais bvia vlida. (Se tivesse de inserir eq 80, a configurao mostraria eq www.)

interface EthernetO
1_

CCNA ICND2

181

Neste primeiro exemplo de ACL estendida, as listas de controle de acesso poderiam ter sido colocadas em R2 e R3 em vez de em RI. Conforme ser visto ao final deste captulo, a Cisco faz algumas recomendaes especficas sobre onde colocar ACLs IP. Em relao s ACLs IP estendidas, a Cisco sugere que voc as coloque o mais prximo possvel da origem do pacote. Portanto, o Exemplo 6-7 atinge o mesmo objetivo que o Exemplo 6-6 impedindo o acesso de Bob aos servidores FrP no site principal, e isso foi feito com uma ACL em R3 .

Exemplo 6-7 Lista de acesso estendida de R3 impedindo que Bob alcance os servidores FTP prximos a RI
ip address 172.16.3.1 255.255.255.0 ip access-group 101 in access-list 101 remark deny Bob to FTP servers in subnet 172.16.1.0/24 access-list 101 deny tcp host 172.16.3.10 172.16.1.0 0.0.0.255 eq ftp access-list 101 permit ip any any

...

A ACL 101 se assemelha bastante com a ACL 101 do Exemplo 6-6, mas desta vez, a ACL no se preocupa em verificar os critrios para combinar com o trfego de Larry, pois o trfego de Larry nunca entrar na interface Ethemet Ode R3. Como a ACL foi colocada em R3, prxima a Bob, ela presta ateno nos pacotes que Bob envia e que entram em sua interface EthemetO. Por causa da ACL, o trfego FfP de Bob para 176.16.1.0/24 negado, com todo o outro trfego entrando na interface EO de R3 e chegando rede. O Exemplo 6-7 no apresenta nenhuma lgica para impedir o trfego de Larry.

Listas de acesso IP estendidas: Exemplo 2

o Exemplo 6-8, baseado na rede mostrada na Figura 6-8, mostra outro exemplo de como utilizar listas de acesso IP estendidas. Esse exemplo utiliza os mesmos critrios e a mesma topologia de rede do segundo exemplo de ACL IP padro, conforme repetido abaixo:
Sam no tem permisso de acesso a Bugs e Daffy. Hosts da Ethemet de Seville no tm permisso de acesso a hosts na Ethemet de Yosemite. Todas as outras combinaes so permitidas.

Figura 6-8 Diagrama de rede referente ao Exemplo 2 de listas de acesso estendidas


Bugs Daffy

10.1 .1.1

10.1 .1.2

10.1.1.0

Seb-rede 10.1.129.0

Sam

Emma

Elmer

10.1.2.1

10.1.2.2

10.1.3.1

Red 10.1.3.2

182 Captulo 6: Listas e controle de acesso IP


Exemplo 6-8 Configurao de Yosemite referente ao Exemplo 2 de listas de acesso estendidas
interface ethernet O ip access-group 110 in

access-list 110 deny ip host 10.1.2.1 10.1.1.0 0.0.0.255 access-list 110 deny ip 10.1.2.0 0.0.0.255 10.1.3.0 0.0.0.255 access-list 110 permit ip any any

Essa configurao resolve o problema com poucas sentenas seguindo, simultaneamente, as diretrizes de projeto da Cisco que diz para colocar ACLs estendidas o mais prximo possvel da fonte do trfego. A ACL ftltra pacotes que entram na interface EO de Yosemite, que a interface do primeiro roteador onde entram pacotes enviados por Sam. A questo de ter pacotes "roteados em tomo" de listas de acesso em interfaces seriais resolvida com sua colocao na nica interface Ethemet de Yosemite. Alm disso, a ftltragem exigida pelo segundo requisito (desfazer a permisso de acesso dos hosts LAN de Seville a Yosemite) satisfeita pela segunda sentena access-list. Interromper o fluxo de pacotes da sub-rede LAN de Yosemite para a sub-rede LAN de Seville impede a comunicao efetiva entre as duas subredes. Outra opo seria ter configurado a lgica oposta em Seville.

Avanos no gerenciamento da configurao de ACLs


Agora que voc j tem um bom entendimento dos conceitos principais das ACLs IP do lOS, a prxima seo examina alguns avanos feitos no suporte dado pelo lOS s ACLs: ACLs nomeadas e nmeros de seqncia de ACLs. Embora ambos os recursos sejam teis e importantes, nenhum deles acrescenta nenhuma funo em relao ao que um roteador pode ou no ftltrar, em comparao com as ACLs numeradas j abordadas neste captulo. Pelo contrrio, as ACLs nomeadas e os nmeros de seqncia de ACLs do ao engenheiro opes de configurao que facilitam lembrar-se dos nomes das ACLs e editar ACLs existentes quando necessria a alterao de uma ACL.

Listas de acesso IP nomeadas


As ACLs nomeadas, introduzidas com a verso do lOS 11.2, podem ser utilizadas para combinar os mesmos pacotes, com os mesmos parmetros, que podem ser combinados com ACLs IP padro e estendidas. As ACLs Entretanto, IP nomeadas apresentam, sim, algumas diferenas, algumas das quais facilitam o trabalho. A diferena mais ntida que o lOS identifica as ACLs nomeadas usando nomes criados por voc, em vez de nmeros, pois mais fcil voc se lembrar de um nome. Alm de usar nomes mais fceis de lembrar, a outra vantagem das ACLs nomeadas em relao s ACLs numeradas, na poca em que foram introduzidas no lOS, que voc podia excluir linhas individuais nas listas de acesso IP nomeadas. Em toda a histria das ACLs IP numeradas e do comando global ip access-list, at a introduo do lOS 12.3, no se podia excluir nenhuma linha de uma ACL numerada. Se, por exemplo, voc tivesse configurado anteriormente o comando ip access-list 101 permit tcp any any eq 80, e depois inserido o comando no ip 101 permit tcp any any eq 80, a ACL 101 inteira teria sido excluda! A vantagem da introduo de ACLs nomeadas que voc pode inserir um comando que remove linhas individuais daACL. Observao Com a verso do lOS 12.3, a Cisco expandiu o lOS para poder excluir linhas individuais em ACLs numeradas, igualando o suporte dado pelo lOS edio de ACLs nomeadas e numeradas. Esses detalhes so explicados na prxima seo. A sintaxe de configurao bastante semelhante entre as listas de acesso IP nomeadas e numeradas. Os itens que podem ser combinados com uma lista de acesso IP padro numerada so idnticos aos itens que podem ser combinados com uma lista de acesso IP padro nomeada. Analogamente, os itens so idnticos tanto nas listas de acesso IP estendidas numeradas quanto nas nomeadas. Existem duas diferenas de configurao importantes entre as ACLs numeradas no estilo antigo e as listas de acesso nomeadas mais novas. Uma diferena importante que as listas de acesso nomeadas utilizam um comando global que coloca o usurio em um submodo da lista de acesso IP nomeada, sob o qual configurada a lgica de combinao e de permisso/negao. A outra diferena que ao excluir uma sentena de combinao nomeada, somente aquela sentena especfica excluda.

. '

CCNA ICND2

183

o Exemplo 6-9 mostra o uso de uma ACL IP nomeada. Ele apresenta a mudana no prompt de comando no modo de
configurao, mostrando que o usurio foi colocado no modo de configurao de ACL. Apresenta tambm as partes pertinentes do resultado de um comando show running-configuration e termina com um exemplo de como excluir linhas individuais em uma ACL nomeada.
conf t Enter configuration cornrnands, one per line. End with Ctrl-Z. Router(config)#ip access-list extended barney Router(config-ext-nacl)#permit tcp host 10.1.1.2 eq www any Router(config-ext-na cl)#deny udp host 10.1.1 . 1 10.1.2.0 0.0.0.255 Router (config-ext-na cl)#deny ip 10.1.3.0 0.0.0.255 10.1.2.0 0 . 0 . 0.255 ! The next statement is purposefully wrong so that the process of changing ! the list can be seen. Rout e r(config-ext-nacl)#deny ip 10.1.2.0 0.0.0.255 10.2.3.0 0.0.0.255 Router(config-ext-nacl)#deny ip host 10.1.1.130 host 10.1.3.2 Rou ter(config-ext - nacl)#deny ip host 10.1.1.28 host 10.1 . 3 . 2 Rout e r(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#interface serial1 Router(config-if)#ip access-group barney out Rout e r(config-if)#AZ Router#show running- config Building configuration ... Current configuration:

Exemplo 6-9 Configurao de uma lista de acesso nomeada

unimportant statements omitted) interface serial 1 ip access-group barney out ip access-list ext e n ded barney permit tcp host 10 . 1 . 1.2 e q www any deny udp host 10.1.1 . 1 10.1.2.0 0.0 . 0.255 deny ip 10.1.3.0 0.0.0 . 255 10.1 . 2.0 0.0.0.255 deny ip 10 . 1.2.0 0 . 0.0.255 10.2 . 3.0 0.0.0.255 deny ip host 10 . 1.1.130 host 10.1.3.2 d e ny ip host 10 . 1.1.28 host 10 . 1 . 3 . 2 permit i p any any Rout e r #conf t Enter configuration commands, one per line. End with Ctrl-Z. Router(config)#ip access-list extended barney Router(config-ext-nacl)#n o deny ip 10 . 1. 2 . 0 0.0 . 0. 25 5 10. 2 .3.0 0 . 0.0.255 Router(config-ext-nacl)#AZ Rout er#show acce s s-list Ex t ended I P acce s s list barney 10 permit tcp host 10.1.1.2 eq www any 20 deny udp host 10.1.1.1 10.1.2.0 0.0.0.255 30 deny ip 10.1.3 . 0 0 . 0 . 0 . 255 10.1 . 2.0 0.0.0.255 50 deny ip hos t 10.1.1.130 host 10 . 1 . 3 . 2 60 deny ip ho st 1 0.1.1.28 h ost 10.1.3.2 7 0 permit ip a ny a ny

comea com a criao de uma ACL chamada de barney. O comando ip access-list extended barney cria a ACL, chamando-a de barney e colocando o usurio no modo de configurao do ACL. Esse comando tambm diz ao lOS que barney uma ACL estendida. Em seguida, sete sentenas permit e deny diferentes definem a lgica de combinao e a ao a ser tomada quando feita uma combinao. Os comandos permit e deny utilizam exatamente a mesma sintaxe usada pelos comandos access-list numerados, comeando com as palavras-chave deny e permito Neste exemplo, acrescenta-se um comentrio antes do comando que excludo mais tarde no exemplo. O resultado do comando show running-config apresenta a configurao da ACL nomeada antes de a entrada nica ser excluda. Em seguida, o comando no deny ip ... exclui a entrada nica da ACL. Observe que o resultado do comando show running-config continua apresentando a ACL, com seis comandos permit e deny, em vez de sete.

o Exemplo 6-9

184 Captulo 6: Listas e controle de acesso IP

Editando ACLs usando nmeros de seqncia


As ACLs numeradas existem no lOS desde os primrdios dos roteadores Cisco. A partir de sua criao, at a verso do lOS 12.2, a nica forma de editar uma ACL numerada existente - por exemplo, excluir simplesmente uma linha da ACL - era apagar toda a ACL e depois reconfigurar a ACL inteira. Alm de ser uma inconvenincia para o engenheiro, esse processo tambm causava alguns efeitos colaterais indesejados. Ao excluir a ACL, importante desativ-la de todas as interfaces e, depois, exclu-la, reconfigur-la e ativ-la na interface. Do contrrio, durante o processo de reconfigurao, antes que todas as sentenas tenham sido reconfiguradas, a ACL no executar todas as verificaes devidas, s vezes causando problemas ou expondo a rede a vrios ataques. Conforme mencionado na seo anterior, o suporte ao lOS original dado s ACLs nomeadas, introduzido na verso do lOS 11.2, resolvia alguns dos problemas de edio. Os comandos originais para ACLs nomeadas permitiam que o engenheiro exclusse uma linha de uma ACL, conforme mostrado na seo anterior no Exemplo 6-9. No entanto, os comandos de configurao no permitiam que o usurio inserisse um novo comando permit ou deny na lista. Todos os novos comandos eram adicionados ao final da ACL. Com a verso do lOS 12.3, a Cisco introduziu vrias outras opes de configurao para ACLs - opes que se aplicam a ACLs IP nomeadas e numeradas. Essas opes aproveitam o nmero de seqncia da ACL que acrescentado a cada sentena permit ou deny da ACL, onde os nmeros representam a seqncia de sentenas da ACL. Os nmeros de seqncia da ACL oferecem os seguintes recursos para ACLs numeradas e nomeadas: - Pode-se excluir uma sentena permit ou deny individual da ACL simplesmente atravs da referncia feita ao nmero de seqncia, sem excluir o resto da ACL. - Comandos permit e deny recm acrescentados podem ser configurados com um nmero de seqncia, ditando a localizao da sentena dentro da ACL. - Comandos permit e deny recm acrescentados podem ser configurados sem um nmero de seqncia, onde o lOS cria um nmero de seqncia e coloca o comando ao final da ACL. Para aproveitar a capacidade de excluir e inserir linhas em uma ACL, as ACLs numeradas e nomeadas devem utilizar o mesmo estilo geral de configurao e os comandos usados para ACLs nomeadas. A nica diferena na sintaxe se usado um nome ou um nmero. O Exemplo 6-10 mostra a configurao de uma ACL IP padro numerada, utilizando esse estilo alternativo de configurao. O exemplo mostra o poder do nmero de seqncia de uma ACL para editar. Neste exemplo, ocorre o seguinte:
(;~;;~o
'. Chava

Passo 1 A ACL numerada 24 configurada, usando esse novo estilo de configurao com trs comandos permit. Passo 2 O comando show ip access-list mostra os trs comandos permit, com os nmeros de seqncia 10, 20 e 30. Passo 3 O engenheiro exclui somente o segundo comando permit, usando o subcomando ACL no 20, que simplesmente
se refere ao nmero de seqncia 20.

...

Passo 4 O comando show ip access-list confirma que a ACL agora tem duas linhas (nmeros de seqncia 10 e 30). Passo 5 O engenheiro acrescenta um novo comando permit ao comeo da ACL, usando o subcomando ACL 5 deny 10.1.1.1. Passo 6 O comando show ip access-list novamente confirma as alteraes, desta vez listando trs comandos permit, os nmeros de seqncia 5, 10 e 30. Observao Para este exemplo, observe que o usurio no sai do modo de configurao; pelo contrrio, ele usa o comando do para dizer ao lOS que ele emita o comando EXEC show ip access-list a partir do modo de configurao. Exemplo 6-10 Editando ACLs utilizando nmeros de seqncia
! Step 1: The 3-1ine Standard Numbered IP ACL is configured .

R1# configure terminal Enter configuration commands, one per line. End with Ctrl-Z. R1(config)# ip access-1ist standard 24 R1(config-std-nacl)#permit 10.1.1.0 0.0.0.255


R1(config-std-nac1)#permit 10.1.2.0 0.0.0.255 R1(config-std-nacl)#permit 10.1.3.0 0.0.0.255
! Step 2:

CCNA ICND2

185

Displaying the ACL's contents, without leaving configuration mode.

R1(config-std-nacl)#do show ip acc8ss-1ist 24 Standard IP access list 24 10 permit 10.1.1.0, wildcard bits 0.0.0.255 20 permit 10.1.2.0, wildcard bits 0.0.0.255 30 permit 10.1.3.0, wildcard bits 0.0.0.255
! Step 3: Still in ACL 24 configuration mode,

the line with sequence number 20 is deleted.

R1(config-std-nacl)#nnoo 2200
! Step 4: Displaying the ACL's contents again,

without leaving configuration mode.

! Note that line number 20 is no longer listed.

R1(config-std-nacl)#do show ip acc8ss-1ist 24 Standard IP access list 24 10 permit 10.1.1.0, wi1dcard bits 0.0.0.255
1 -

30 permit 10.1.3.0, wildcard bits 0 . 0.0.255


! Step 5: Inserting a new first line in the ACL.

R1(config-std-nacl)#55 ddeennyy 1100 .. 11 .. 11 .. 11


! Step 6: Displaying the ACL's contents one last time,

with the new statement (sequence

! number 5)

listed first.

R1(config-std-nacl)#do show ip access-list 24 Standard IP access list 24 5 deny 10.1.1.1 10 permit 10 . 1.1.0, wildcard bits 0.0.0.255 30 permit 10 . 1. 3. O, wildcard bits O.

o. 0.255

interessante notar que as ACLs numeradas podem ser configuradas com o novo estilo de configurao, conforme mostrado no Exemplo 6-10, ou com o antigo estilo de configurao, usando os comandos de configurao global accesslist, conforme mostrado nos vrios exemplos iniciais deste captulo. Na verdade, voc pode usar os dois estilos de configurao em uma nicaACL. No entanto, independentemente de qual estilo de configurao seja usado, o resultado do comando show running-config continua mostrando os comandos do aritigo estilo de configurao. O Exemplo 6-11 demonstra esses fatos, comeando onde o Exemplo 6-10 parou, com os seguintes passos adicionais:
Passo 7 O engenheiro lista a configurao (show running-config), que lista os comandos no antigo estilo de configurao - embora a ACL tenha sido criada com os comandos no novo estilo. Passo 8 O engenheiro acrescenta uma nova sentena ao final da ACL, utilizando o comando de configurao global access-list 24 permit 10.1.4.0 0.0.0.255 no antigo estilo. Passo 9 O comando show ip access-list confirma que o comando access-list no estilo antigo do passo anterior seguiu a regra de ser acrescentado somente ao final da ACL. Passo 10 O engenheiro exibe a configurao para confmnar que as partes da ACL 24 configurada com os comandos no novo estilo e no antigo estilo so todas apresentadas na mesma ACL no antigo estilo (show running-config). Exemplo 6-11 Acrescentando e exibindo a configurao de uma ACL numerada
! Step 7: A configuration snippet for ACL 24.

R1#show running-config
! The only lines shown are the lines from ACL 24

access-list 24 deny 10.1.1.1 access-list 24 permit 10.1.1.0 0.0.0.255 access-list 24 permit 10.1.3.0 0.0.0.255
!

Step 8: Adding a new access-list 24 command

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z.

186 Captulo 6: Listas e controle de acesso IP


R1{con fig) #access-1ist 24 permit 1 0.1.4 .0 0 . 0 .0. 255 R1 (config) #AZ Step 9: Displaying the ACL's contents again, with sequence nurnbers. Note that even t he new statement has been automatically assigned a sequence nurnber . R1#show ip access-list 24 Standard IP access list 24 5 deny 10.1.1.1 10 permit 10.1.1.0, wildcard bits 0.0.0.255 30 permit 10.1.3.0, wildcard bits 0.0 . 0.255 40 permi t 10.1.4.0, wildcard b it s 0.0.0.255

Step 10: The numbered ACL configuration remains in old-style configuration commands. R1#show running-config
! The only lines shown are the lines from ACL 24

access-list 24 deny 10.1 . 1.1 access-list 24 permit 10.1.1.0 0.0 . 0.255 access-list 24 permit 10.1.3.0 0.0.0.255 access-list 24 permit 10.1.4.0 0.0.0.255

Tpicos variados sobre ACLs


Esta pequena seo aborda alguns tpicos menores : como filtrar o trfego Telnet e SSH usando ACLs e algumas diretrizes gerais de implementao.

Controlando o acesso Telnet e SSH com ACLs


Um engenheiro pode controlar o acesso remoto a roteadores utilizando ACLs que procuram pelas portas conhecidas usadas pela Telnet (23) e SSH (22). Entretanto, para fazer isso ativando ACLs em interfaces atravs do sub comando de interface ip access-group , a ACL precisaria verificar todos os endereos IP do roteador e as portas Telnet e SSH. medida que novas interfaces fossem configuradas, a ACL precisaria ser atualizada. O lOS oferece uma opo muito mais fcil para proteger o acesso de entrada e de sada das portas de linha vty (virtual terminal, ou terminal virtual). Em roteadores, os usurios Telnet e SSH se conectam a linhas vty e, portanto, para proteger esse acesso, pode-se aplicar uma ACL IP a essas linhas vty. Voc pode usar ACLs para limitar os hosts IP que podem entrar no roteador atravs da Telnet e tambm para limitar os hosts aos quais o usurio do roteador pode se conectar atravs da Telnet. Suponha, por exemplo, que somente hosts da sub-rede 10.1.1.0/24 consigam entrar em qualquer roteador Cisco de uma rede atravs da Telnet. Neste caso, a configurao mostrada no Exemplo 6-12 poderia ser usada em cada roteador para negar acesso quando provindo de endereos IP que no estejam naquela rede. Exemplo 6-12 Controle de acesso vty utilizando o comando access-class
line vty o 4 l ogin password cisco
lI-

access-class 3 i n

Next command is a global command acce ss-list 3 perDdt 10 . 1 . 1.0 0 . 0 . 0 .2 55

O comando access-class se refere a lgica de combinao em access-list 3. A palavra-chave in se refere s conexes Telnet neste roteador - em outras palavras, s pessoas que entram neste roteador atravs da Telnet. Conforme configurado, a ACL 3 verifica o endereo IP fonte dos pacotes para conexes Telnet de entrada.

CCNA ICND2

187

Se o comando access-class 3 out tivesse sido usado, ele teria verificado no s as Telnets de sada, mas tambm o endereo.IP de destino dos pacotes. Ao ftltrar ~onexes Telnet e SSH de s~da, a.verificao do .endereo IP fonte, ~ue por defirno deve ser um dos endereos IP da lllterface daquele roteador, nao fana nenhum sentJ.do. Para ftltrar sessoes Telnet de sada, mais sensato ftltrar com base no endereo IP de destino. Portanto, o uso do comando access-class 3 out, principalmente a palavra-chave out, um daqueles casos raros em que uma ACL IP padro olha o endereo IP de destino e no o da origem.

. -

Consideraes sobre a implementao de uma ACL


Em redes IP de produo, a criao, a resoluo de problemas e as atualizaes de ACLs IP podem consurrnr uma grande quantidade de tempo e de esforo. O exame ICND2 no traz muitas questes sobre ao que se deve ficar atento ao implementar ACLs IP em redes reais, mas inclui alguns pequenos itens discutidos nesta seo.

A Cisco faz as seguintes recomendaes gerais nos cursos em que os exames CCNA so baseados: Crie suas ACLs usando um editor de texto fora do roteador, copie e cole as configuraes no roteador. (Mesmo com a capacidade de excluir e inserir linhas em uma ACL, a criao dos comandos em um editor provavelmente continuar sendo um processo mais fcil.) Coloque ACLs estendidas o mais prximo possvel da origem do pacote para descartar os pacotes rapidamente.

.~;;~o

Coloque as ACLs padro o mais prximo possvel do destino do pacote, pois as ACLs padro, quando colocadas prximas origem, muitas vezes descartam pacotes que voc no deseja descartar. Coloque sentenas mais especficas no incio da ACL. Desative uma ACL de sua interface (utilizando o comando no ip access-group ) antes de fazer qualquer alterao na ACL.

A primeira sugesto diz que voc deve criar as ACLs fora do roteador usando um editor. Dessa maneira, se voc cometer algum erro de digitao, possvel consert-lo no editor. Essa sugesto no to importante quanto era antes da verso do lOS 12.3, porque, conforme descrito anteriormente, na seo "Editando ACLs usando nmeros de seqncia", esta verso aceita os nmeros de linhas de uma ACL e a excluso e insero de linhas individuais em uma ACL.

Observao Se voc criar todas as suas ACLs em um editor de texto, talvez valha a pena comear cada arquivo com o comando no access-list number, seguido dos comandos de configurao na ACL. Em seguida, todas as vezes que voc editar o arquivo de texto para alterar a ACL, tudo que voc ter de fazer copiar/colar o contedo do arquivo inteiro, onde a primeira linha exclui toda a ACL existente, e o resto das sentenas recria a nova ACL.
O segundo e o terceiro pontos lidam com o conceito de onde colocar suas ACLs. Se voc pretende filtrar um pacote, filtrar mais prximo da origem do pacote significa que o pacote ocupa menos largura de banda na rede, o que parece ser mais eficaz - e verdade. Por isso, a Cisco sugere colocar as ACLs estendidas o mais prximo possvel da origem. No entanto, a Cisco tambm sugere, pelo menos nos cursos voltados para o CCNA, colocar as ACLs padro prximas do destino. Por que no prximas origem dos pacotes? Bem, porque as ACLs padro s olham o endereo IP origem, porque elas tendem a filtrar mais do que voc deseja quando colocadas prximas origem. Imagine, por exemplo, que Fred e Barney estejam separados por quatro roteadores. Se voc ftltrar o trfego de Barney enviado a Fred no primeiro roteador, Barney no poder alcanar nenhum host prximo aos outros trs roteadores. Portanto, o curso ICND2 da Cisco faz uma recomendao geral que diz para colocar as ACLs padro mais prximas do destino para evitar filtrar o trfego que voc no pretende filtrar. Ao colocar parmetros de combinao mais especficos logo no incio de cada lista, h menos probabilidade de se cometer erros na ACL. Imagine, por exemplo, que voc tenha uma sentena que permite a passagem de todo o trfego de 10.1.1.1 para 10.2.2.2, destinado porta 80 (a Web), e outra sentena que negue todos os outros pacotes cuja fonte seja a sub-rede 10.1.1.0/24. Ambas as sentenas combinariam com os pacotes enviados pelo host 10.1.1.1 para um servidor Web em 10.2.2.2, mas, provavelmente, o que voc queria era combinar primeiro a sentena mais especfica (perrnit). Em geral, colocar sentenas mais especficas primeiro tende a garantir que voc no perca nada.

188 Captulo 6: Listas e controle de acesso IP


Finalmente, a Cisco recomenda que voc desative as ACLs nas interfaces antes de alterar as sentenas da lista. Felizmente, se voc tiver uma ACL IP ativada em uma interface com o comando ip access-group, e excluir a ACL inteira, o lOS no filtra nenhum pacote. (Nem sempre foi assim com as verses lOS mais antigas!) Mesmo assim, assim que voc acrescenta um comando ACL, o lOS comea a filtrar os pacotes. Suponha que voc tenha a ACL 101 ativada em SO para pacotes de sada. Voc exclui a lista 101 para que todos os pacotes tenham permisso de passagem. Em seguida, insere um nico comando access-list 101. Assim que voc teclar Enter, a lista passa a existir e o roteador filtra todos os pacotes que saem de SO com base na lista composta de uma linha. Se desejar entrar em uma ACL maior, possvel que voc filtre temporariamente pacotes que no deseja filtrar! Conseqentemente, a melhor forma desativar a lista da interface, fazer alteraes na lista e, em seguida, reativ-Ia na interface.

Listas de acesso reflexivas


As ACLs reflexivas, tambm chamadas filtragem de sesso IP, oferecem uma forma de impedir uma classe de ataques de segurana permitindo cada sesso TCP ou UDP individualmente. Para isso, o roteador reage ao ver o primeiro pacote em uma sesso entre dois hosts. Ele reage ao pacote para acrescentar uma sentena permit ACL, permitindo o trfego daquela sesso com base no endereo IP da origem e do destino e da porta TCPIUDP origem e destino. A Figura 6-9 mostra um caso clssico em que ACLs tradicionais criam um buraco na segurana. Mas as ACLs podem tapar este buraco. A maioria das empresas deseja permitir aos usurios utilizar um navegador Web para conectar-se a servidores Web da Internet. UmaACL estendida tradicional pode permitir o trfego deixando passar o trfego de ida e de volta de quaisquer dois endereos IP, mas com uma verificao adicional na porta TCP usada pelo HTTP (porta 80). Neste caso, a figura mostra uma ACL que verifica a porta fonte 80 para pacotes que entram na empresa, o que significa que os pacotes vieram de um servidor Web. Figura 6-9 Necessidade de ACLs reflexivas
Hacker

.............

-- ---

Empresa

-'.

'"

........ -- .....

128.107.1.1
...........

Servidor Web

Usurio final

accesslist 101 permit tcp any eq www any

'--y-I
porta fonte

A ACL usada em R2 filtra todo o trfego de entrada exceto aquele proveniente de servidores Web. Isso permite que o servidor Web da Internet, esquerda, envie pacotes ao usurio na empresa direita. Entretanto, ele tambm permite que o hacker envie pacotes, com a porta fonte 80, com o roteador permitindo a passagem dos pacotes. Embora esses pacotes possam no fazer parte de uma conexo TCP existente, vrios ataques conhecidos podem ser feitos utilizando esses pacotes - desde um simples ataque DoS distribuindo pacotes pela empresa at a utilizao de bugs conhecidos no sistema operacional. As ACLs reflexivas ainda permitem que usurios legtimos enviem e recebam pacotes atravs do roteador, enquanto descartam os pacotes provenientes de outros hosts, tais como pacotes vindos do hacker mostrado na Figura 6-9. Com as ACLs reflexivas, quando o usurio da empresa cria uma nova sesso, o roteador percebe a nova sesso e registra os endereos IP da fonte e do destino e as portas utilizadas para aquela sesso. A ACL reflexiva em R2 no permitiria a entrada de todo o trfego da porta 80. Pelo contrrio, ela permitiria somente pacotes cujos endereos e portas combinassem com o pacote original. Se o PC da direita, por exemplo, iniciasse uma sesso com o servidor Web legtimo, a porta fonte 1030, R2 permitiria a entrada de pacotes vindos da Internet desde que tivessem seguintes caractersticas: endereo IP fonte 64.100.2.2, endereo IP de destino 128.107.1.1, porta fonte 80, porta de destino 1030. Em conseqncia disso, somente os pacotes provenientes da seo legtima tm a passagem permitida pelo roteador e os pacotes enviados pelo hacker so descartados. As ACLs reflexivas requerem algumas configuraes adicionais bem como o uso da configurao de ACLs estendidas nomeadas.

CCNA.ICND2

189

e ACLs dinmicas
ACLs, voc pode combinar o endereo IP dos hosts utilizados pelos usurios. Entretanto, se o usurio pegar emprestado outro PC, ou alugar um novo endereo utilizando DHCP, ou levar seu laptop para casa, e assim por diante, o usurio legtimo passa a ter o endereo IP diferente. Portanto, uma ACL tradicional teria de ser editada para aceitar cada novo endereo IP. Com o passar do tempo, seria um grande transtorno manter uma ACL que verificasse a existncia de todos esses endereos IP. Alm disso, haveria a possibilidade de buracos na segurana quando os hosts de outros usurios comeassem a usar um dos antigos endereos IP. As ACLs dinmicas, tambm chamadas Lock-and-Key Security (algo como Segurana a Chave-e-Cadeado), resolvem esse problema amarrando a ACL a um processo de autenticao do usurio. Em vez de comear tentando conectar-se ao servidor, deve-se solicitar aos usurios que, primeiramente, eles se conectem ao roteador atravs da Telnet. O roteador pede a combinao nome de usurio/senha. Se ela for autntica, o roteador altera sua ACL dinamicamente, permitindo a entrada de trfego do endereo IP do host que acabou de enviar os pacotes para autenticao. Aps um perodo de inatividade, o roteador remove a entrada dinmica feita na ACL, tapando o possvel buraco na segurana. A Figura 6-10 ilustra essa idia.

e tradicionais. Imagine um conjunto de servidores que precisam ser acessados por um pequeno conjunto de usurios. Com

As ACLs dinmicas resolvem um problema diferente que tambm no pode ser facilmente resolvido utilizando ACLs

Figura 6-10 ACLs dinmicas

e
:

Hacker 64.100.1.1

Usurios Fred Sarney

Senhas $36%12

995"#7

Internet

CD Telnet
(3) Trfego do usurio

Empresa

R2 ACL: Antes da autenticao access-lIst 101 permlt any any eq telnet access-lIst 101 deny any any

R2 ACL: Depois da autenticao ccess-lIst 101 permlt host 64.100.2.2 any access-lIst perm any any eq telnet access-lIst 101 deny any any

O processo mostrado na figura comea com o roteador negando todo o trfego, exceto a Telnet. (Embora a figura mostre uma ACL que permite a conexo atravs da Telnet a qualquer endereo IP, na prtica, o trfego Telnet s precisa ser permitido em um endereo IP do roteador.) Para iniciar o processo, ocorrem os seguintes passos: Passo 1 O usurio se conecta ao roteador utilizando Telnet. Passo 2 O usurio fornece um nome de usurio/senha, que o roteador compara com uma lista, autenticando o usurio. Passo 3 Aps a autenticao, o roteador acrescenta dinamicamente uma entrada ao incio da ACL, permitindo a passagem de trfego cuja origem o host autenticado. Passo 4 Pacotes enviados pelo host permitido passam pelo roteador at o servidor.

190 Captulo 6: Listas e controle de acesso IP

ACLs baseadas em tempo

------------------------------. 1
Atividades de preparao para o exame

O termo ACL baseada em tempos se refere a um recurso das ACLs IP normais (numeradas e nomeadas) no qual pode ser acrescentada uma restrio de tempo aos comandos de configurao. Em alguns casos, pode ser til combinar . pacotes em uma ACL, mas apenas em certas horas do dia, ou at mesmo em determinados dias da semana. As ACLs . baseadas em tempo permitem a incluso de restries de tempo, onde o lOS mantm ou remove as sentenas da ACL durante as devidas horas do dia. _

:1
1

Revise todos os tpicos-chave

(;~~;~o
'. Ch.".

Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina . A Tabela 6-8 relaciona esses tpicos-chave e os nmeros das pginas em que cada um encontrado.

-I I

Tabela 6-8 Tpicos-chave do Captulo 6


Elemento do tpico-chave Descrio Nmero da pgina

----------------------------------------------------------- .
Figura 6-2 Diagrama da lgica mostrando quando um roteador examina os pacotes com ACLs de entrada e de sada Quatro passos que descrevem como um roteador processa uma ACL composta por vrias linhas Explica modelos de mscaras curinga e seus significados Atalho para encontrar valores no comando access-list para combinar com um nmero de sub-rede, dados o nmero de sub-rede e a mscara de sub-rede 169

------------------------------------------------------------- .
Lista 171

----------------------------------------------------------- .
Tabela 6-2 170-171

---------------------------------------------------------- .
Lista

171

------------------------------------------------------------- Lista Atalho para interpretar o endereo e a mscara curinga em um comando access-list como um __________________________________n__m_e_r_o_e um a_m s_c_ar_a de su_b_-_re_d_e________________l_7_2_______ ____ __ ____ Lista de verificao de configurao e do planejamento da ACL Lista de campos de pacotes IP combinveis com ACLs padro e estendidas Dicas e sugestes sobre combinao de portas TCP e UDP usando ACLs IP 176


. .

Lista Tabela 6-3

---------------------------------------------------------- .
177 178 Lista

------------------------------------------------------- .
---------------------------------------------------------- .
Figura 6-6 Mostra um pacote com a porta da origem e do destino, com a localizao correspondente do parmetro da porta fonte no comando

_________________________________ a_c_c_es_s_-_Ii_st _________________________________ _______ 17_9

Trs itens que diferem entre ACLs IP padro Lista ________________________________ e_e_st_e_ndi__d_a_______________________________ ______ .. l_7_9

CCNA ICND2
Tabela6-7 Lista de operadores que podem ser usados ao comparar nmeros de portas em comandos access-list estendidos Recursos para ACLs numeradas e nomeadas fornecidos pelos nmeros de seqncia das ACLs Lista de prticas ideias sugeridas para ACLs de acordo com os cursos Cisco CCNA autorizados

191

179

Lista

184
187

Lista

Complete as tabelas e listas usando a memria


Imprima uma cpia do Apndice J, ''Tabelas de memria", ou pelo menos a seo referente a este captulo e complete as tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", inclui tabelas e listas completadas para voc conferir o seu trabalho.

Leia os cenrios do Apndice F


O Apndice F - disponvel no idioma original no site da editora: www.altabooks.com.br-. "Additional Scenarios", contm cinco cenrios detalhados que do a voc a chance de analisar diversos projetos, problemas e resultados de comandos mostrando-lhe como os conceitos de vrios captulos esto inter-relacionados. O Cenrio 3 concentra-se em ACLs IP incluindo prticas sobre como escolher mscaras curinga de ACLs que combinem com todos os hosts de uma sub-rede.

Definies de termos-chave
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: ACL dinmica, ACL reflexive, lista de acesso estendida, lista de acesso nomeada, lista de acesso padro, mscara curinga

Referncia aos comandos para verificar sua memria


Embora voc no precise necessariamente memorizar as informaes contidas nas tabelas desta seo, ela inclui uma referncia para os comandos de configurao e EXEC abordados neste captulo. Na prtica, voc deve memorizar os comandos como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de preparao para o exame. Para verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra o lado esquerdo da tabela com um pedao de papel, leia as descries do lado direito e veja se voc se lembra do comando.

Tabela 6-9 Referncia aos comandos de configurao do Captulo 6 Comando access-list access-list-number {deny I permit }source [sou rce-wildcard] [log] access-list access-list-number {deny I permit }protocol source source-wildcard destination destination-wildcard [log] access-list access-list-number {deny I permit}tcp source source-wildcard [operator [port]] destination destinationwildcard [operator [port]] [log] access-list access-list-number remark text ip access-group {number I name [in I out]} Descrio
Comando global para listas de acesso padro numeradas Use um nmero entre 1 e 99 ou 1300 e 1999, inclusive Comando global para listas de acesso estendidas numeradas. Use um nmero entre 100 e 199 ou 2000 e 2699, inclusive Verso do comando access-list com parmetros TCP especficos Defrne um comentrio que ajuda voc a se lembrar do que a ACL supostamente deve fazer. Subcomando de interface para ativar listas de acesso

192 Captulo 6: Listas e controle de acesso IP


access-c1ass number I name [in I out] ip access-list {standard I extended} name {deny I permit} source [source-wildcard] [log] {deny I permit} protocol source source-wildcard destination destination-wildcard [log] {deny I permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [log] remark text
Subcomando de linha para ativar listas de acesso padro ou estendida Comando global para configurar umaACL estendida ou padro nomeada e entrar no modo de configurao ACL Subcomando do modo ACL para configurar os detalhes de combinao e a ao para uma ACL padro nomeada Subcomando do modo ACL para configurar os detalhes de combinao e a ao para uma ACL estendida nomeada Subcomando do modo ACL para configurar os detalhes de combinao e a ao para uma ACL nomeada que combina com segmentos TCP Subcomando do modo ACL para configurar uma descrio de uma ACL nomeada

Tabela 6-10 Referncia aos comandos EXEC do Captulo 6 Comando show ip interface [type number] show access-lists [access-list-number access-list-name] Descrio
Inclui uma referncia s listas de acesso ativadas na interface

Mostra detalhes de listas de acesso configuradas para todos os protocolos

CCNA ICND2

193

Este captulo aborda os seguintes assuntos:


Os comandos ping e traceroute: esta seo explica como os comandos ping e traceroute funcionam, junto com as variaes de como eles podem ser usados para melhor resolver problemas relativos a roteamento.

Resolvendo problemas relativos ao processo de encaminhamento de pacotes: esta seo examina o processo de encaminhamento de pacotes, concentrando no roteamento de hosts e como os roteadores direcionam pacotes. Alm disso, so abordadas questes relacionadas ao encaminhamento de pacotes em ambos os sentidos.entre dois hosts. Ferramentas e dicas para resoluo de problemas: esta seo aborda uma grande variedade de tpicos que influenciam o processo de encaminhamento de pacotes. Inclui vrias dicas sobre vrios comandos e conceitos que podem auxiliar o processo de resoluo de problemas.

Resolvendo problemas de roteamento IP :



:

CAPTULO

e _____________________________________________________
Este captulo voltado para a resoluo de problemas tem vrios objetivos. Primeiro, ele explica vrias ferramentas e funes no abordadas desde o Captulo 4 at o Captulo 6 - especificamente, ferramentas que podem ser bastante teis quando voc estiver analisando problemas. Este captulo tambm revisa conceitos de todos os outros trs captulos da Parte n, "Roteamento IP", unindo-os e apresentando uma sugesto de processo para resoluo de problemas relativos a roteamento, bem como exemplos de como utilizar o processo. A segunda metade do captulo se concentra em uma srie de dicas para resoluo de problemas para vrios tpicos especficos abordados desde o Captulo 4 at o Captulo 6.

Questionrio "Eu j conheo isto?"


Os captulos voltados para a resoluo de problemas deste livro unem conceitos de vrios outros captulos, incluindo alguns captulos do CCENT/CCNA ICNDJ Guia Oficial de Certificao do Exame. Alm disso, eles tambm mostram como abordar algumas das questes mais desafiantes nos exames CCNA. Por isso, vale a pena ler estes captulos independentemente do seu nvel de conhecimento atual. Por essas razes, os captulos voltados para a resoluo de problemas no incluem o questionrio "Eu j conheo isto?". Entretanto, se voc se sentir suficientemente confiante em relao resoluo de problemas relativos aos recursos de roteamento IP abordados neste captulo e no CCENT/CCNA ICND 1 Guia Oficial de Certificao do Exame, sinta-se vontade de passar direto para a seo "Atividades de Preparao para o Exame", prxima ao [mal deste captulo, saltando assim boa parte do captulo.

- T' . OplCOS f un damentals


Este captulo se concentra na resoluo de problemas relativos ao processo de roteamento IP. Com essa finalidade, ele comea com uma seo sobre duas ferramentas importantes na resoluo de problemas: o ping e o traceroute. Em seguida, o captulo examina o processo de roteamento IP a partir de uma perspectiva de resoluo de problemas, concentrando, principalmente, em como isolar problemas de roteamento para identificar a causa geradora do problema. A seo final aborda uma grande variedade de pequenos tpicos, todos os quais podem ser teis quando voc estiver resolvendo problemas relativos a roteamento IP.

Observao Este captulo e o Captulo 15 do CCENT/CCNA ICNDI Guia Oficial de Certificao do Exame explicam detalhes de como resolver problemas relativos ao processo de roteamento IP. O roteamento IP extremamente importante tanto no exame ICNDl quanto no ICND2, bem como no exame CCNA, havendo assim uma sobreposio entre os exames, acarretando uma sobreposio nos livros. Entretanto, este captulo aborda vrios tpicos que vo alm dos detalhes exigidos pelo exame ICND1. Para estar totalmente preparado, leia todo o captulo, mas sinta-se vontade para passar de forma mais superficial pelas partes do captulo que lhe paream repetitivas com relao ao livro ICND1.

: Os comandos ping e traceroute


Esta seo examina o processo sugerido de resoluo de problemas de roteamento IP - em outras palavras, o processo do plano de dados de como hosts e roteadores encaminham pacotes IP. Com essa finalidade, esta seo examina, primeiramente, um conjunto de ferramentas e protocolos teis - de modo especial, o ICMP, o ping e o traceroute. Em seguida, o texto sugere um bom processo geral para resoluo de problemas relativos a IP, com alguns exemplos para mostrar como usar os processos.

196 Captulo 7: Resolvendo problemas de roteamento IP

ICMP (Internet Control Message Protocol, ou Protocolo de Mensagem de Controle da Internet)


protocolo ICMP oferece uma grande variedade de informaes sobre o status operacional e a sade de uma rede. A Mensagem de Controle a parte mais descritiva do nome. O ICMP ajuda a controlar e gerenciar o trabalho do IP definindo um conjunto de mensagens e procedimentos sobre a operao do IP. Por isso, o ICMP considerado parte da camada de rede TCPIIP. Como o ICMP ajuda a controlar o IP, ele pode proporcionar informaes teis para a resoluo de problemas. Na verdade, as mensagens ICMP ficam dentro de um pacote IP, sem nenhum cabealho de camada de transporte; portanto, o ICMP realmente uma extenso da camada de rede TCPIIP. A RFC 792 define o ICMP. O seguinte trecho extrado da RFC 792 descreve bem o protocolo: Ocasionalmente uma porta de comunicao (roteador) ou o host de destino vo se comunicar com um host da fonte, por exemplo, para relatar um erro ocorrido no processamento do datagrama. Para tais fins, utiliza-se este protocolo, o ICMP (Internet Control Message Protocol)o O ICMP utiliza o suporte bsico do IP como se ele fosse um protocolo de nvel mais alto; no entanto, o ICMP na verdade uma parte integral do IP e deve ser implementado por todos os mdulos IP.
7-1.

. .

o TCPIIP inclui o ICMP, um protocolo elaborado para ajudar a gerenciar e controlar a operao de uma rede TCPIIP. O

O ICMP define vrios tipos diferentes de mensagens para realizar suas diversas tarefas, conforme resumidas na Tabela :

Tabela 7-1 Tipos de mensagens ICMP Mensagem


Destino Inalcanvel Tempo Excedido

(~~~;~o \~h_
Descrio
Diz ao host da origem que h um problema na entrega do pacote O tempo que um pacote leva para ser entregue expirou e, por isso, o pacote foi descartado

--------------------------------------------------------------- . --------------------------------------------------------------- .

Redirecionar

O roteador que envia a mensagem recebeu um pacote para o qual outro roteador possui uma rota melhor. A mensagem diz ao remetente para usar a melhor rota Utilizadas pelo comando ping para verificar a conectividade

-------------------------------------------------------- .
O comando ping e as mensagens Echo Request e Echo Reply do ICMP

Echo Request, Echo Reply

o comando ping utiliza as mensagens Echo Request e Echo Reply do ICMP. Na verdade, quando as pessoas dizem que
enviaram um pacote ping, elas realmente querem dizer que enviaram uma Echo Request ICMP. Essas duas mensagens so relativamente auto-explicativas. A Echo Request simplesmente significa que o host para o qual ela est endereada deve responder ao pacote. A Echo Reply o tipo de mensagem ICMP que deve ser usada na resposta. A Echo Request inclui alguns dados que podem ser especificados pelo comando ping; sejam quais forem os dados enviados na Echo Request eles so enviados de volta na Echo Reply.

O prprio comando ping oferece vrias formas criativas de utilizar as Echo Requests e Echo Replies. O comando ping, por exemplo, permite especificar o comprimento bem como os endereos da fonte e do destino, e permite tambm definir outros campos do cabealho IP. O Captulo 4, "Roteamento IP: Rotas estticas e conectadas", mostra um exemplo do comando ping estendido apresentando as vrias opes.

A mensagem ICMP de Destino Inalcanvel

Este livro se concentra em IP. Mas, se voc olhar de forma mais ampla, a funo do conjunto inteiro de protocolos TCP/ IP entregar dados do aplicativo de envio para o aplicativo de recebimento. Hosts e roteadores enviam mensagens ICMP de Destino Inalcanvel de volta ao host de envio quando aquele host ou roteador no consegue entregar os dados por completo ao aplicativo no host de destino.

CCNA ICND2

197

Para auxiliar a resoluo de problemas, a mensagem ICMP Inalcanvel inclui cinco funes inalcanveis separadas (cdigos) que identificam ainda mais a razo pela qual o pacote no pode ser entregue. Todos os cinco tipos de cdigo pertencem diretamente a um recurso IP, TCP ou UDP. A inter-rede mostrada na Figura 7-1, por exemplo, pode ser utilizada para melhor entender alguns dos cdigos Inalcanveis. Considere que Fred esteja tentando conectar-se ao servidor Web, chamado Web. (Web utiliza HTTP, que, por sua vez, utiliza TCP como protocolo de camada de transporte.) Trs dos cdigos ICMP inalcanveis podem ser usados pelos Roteadores A e B. Os outros dois cdigos so usados pelo servidor Web. Esses cdigos ICMP so enviados a Fred em conseqncia do pacote originalmente enviado por Fred.

Figura 7-1 Modelo de rede para discutir os cdigos ICMP Inalcanveis


10.1 .1.0/24

A
10.1.3.0/24

10.1.2.0/24

Web

Fred

10.1 .2.14

A Tabela 7-2 resume os cdigos ICMP inalcanveis mais comuns. Aps a tabela, o texto explica como cada cdigo ICMP pode ser necessrio rede mostrada na Figura 7-1.

Tabela 7-2 Cdigos ICMP inalcanveis Cdigo in alcanvel


Rede inalcanvel

Quando ele usado


No h nenhuma combinao em uma tabela de roteamento para o destino do pacote

Quem normalmente o envia

. -------------------------------------------------------------

Roteador

Host inalcanvel

O pacote pode ser direcionado para um roteador conectado sub-rede de destino, mas o host no est respondendo O pacote tem o bit Don 't Fragment (No Fragmentar) definido e um roteador deve fragmentar para encaminhar o pacote

Roteador

No pode fragmentar

e --------------------------------------------------------

Roteador

e.

Protocolo inalcanvel

O pacote entregue ao host de destino mas o protocolo de camada de transporte no est disponvel naquele host O pacote entregue ao host de destino mas a porta de destino no foi aberta por um aplicativo

Host

Porta inalcanvel

Host

A lista a seguir explica em mais detalhe cada cdigo da Tabela 7-2 utilizando a rede da Figura 7-1 como exemplo:

- Rede inalcanvel: o Roteador A utiliza esse cdigo se no houver uma rota que lhe diga para onde encaminhar o
pacote. Neste caso, o Roteador A precisa direcionar o pacote para a sub-rede 10.1.2.0/24. Se no for possvel, o Roteador A envia a Fred a mensagem ICMP de Destino Inalcanvel com o cdigo "rede inalcanvel" em resposta ao pacote de Fred destinado a 10.1.2.14.

198 Captulo 7: Resolvendo problemas de roteamento IP

- Host inalcanvel: este cdigo indica que o nico host de destino no est disponvel. Se o Roteador A tiver uma .
rota at 10.1.2.0/24, o pacote entregue ao Roteador B. Se a interface de LAN do Roteador B estiver funcionando, B tambm tem uma rota conectada a 10.1.2.0/24 e, portanto, B tenta utilizar a ARP e aprender o endereo MAC do servidor Web. Entretanto, se o servidor Web estiver inativo, o Roteador B no recebe uma resposta ARP da Web. O Roteador B envia a Fred a mensagem ICMP de Destino Inalcanvel com o cdigo "host inalcanvel", significando que B possui uma rota mas no pode encaminhar o pacote diretamente a 10.1.2.14. fragmentao defme o processo no qual um roteador precisa encaminhar um pacote, mas a interface de sada s permite pacotes que sejam menores que aquele pacote. O roteador tem permisso de fragmentar o pacote em pedaos, mas o cabealho do pacote pode ser definido com o bit "No Fragmentar" no cabealho IP. Neste caso, se os Roteadores A ou B precisarem fragmentar o pacote, mas, se o bit No Fragmentar estiver defrnido no cabealho IP, o roteador descarta o pacote e envia a Fred uma mensagem ICMP de Destino Inalcanvel com o cdigo "no pode fragmentar". possveis. Um indica que o protocolo IP, normalmente o TCP oU o UDP, no est funcionando naquele host. Isso muito improvvel, pois a maioria dos sistemas operacionais que utilizam TCPIIP usam um nico pacote de software que fornece as funes IP, TCP e UDP. Mas, se o host receber o pacote IP e o TCP oU o UDP no estiverem disponveis, o host do servidor Web envia a Fred uma mensagem ICMP de Destino o com o cdigo "protocolo inalcanvel" em resposta ao pacote de Fred destinado a 10.1.2.14. computador, estiver ativo e funcionando perfeitamente, mas o software do servidor Web no estiver sendo executado, o pacote pode chegar a um servidor mas no pode ser entregue ao software do servidor Web. Na verdade, o servidor no est escutando a porta conhecida daquele protocolo do aplicativo. Portanto, o host 10.1.2.14 envia a Fred a mensagem ICMP de Destino Inalcanvel com o cdigo "porta inalcanvel" em resposta ao pacote de Fred destinado a 10.1.2.14.

- No pode fragmentar: este cdigo o ltimo dos trs cdigos ICMP inalcanveis que um roteador pode enviar. A

- Protocolo inaicanvel: se o pacote chegar com sucesso ao servidor Web, dois outros cdigos inalcanveis so
. .

- Porta inalcanvel: esse ltimo valor do campo de cdigos mais provvel hoje em dia. Se o servidor, ou seja, o

------------------~--------------~----~~------ . Observao A maioria das polticas de segurana atualmente mtra essas vrias mensagens
----~~~~--------~----~--~-----------------

inaicanveis para ajudar a sustentar o perfIl de segurana da rede.

O comando ping lista vrias respostas que, em alguns casos, indicam que uma mensagem ina1canvel foi recebida. A Tabela 7-3 apresenta os vrios cdigos inalcanveis que podem ser exibidos pelo comando ping do Software Cisco . lOS.

Tabela 7-3 Cdigos que o comando ping recebe em resposta sua Echo Request do [CMP Cdigo do comando ping Descrio
Echo Reply do ICMP recebida

------------------------------------------------------------- .
_________________________ N_a_d_a_f_o_i_re_c_e_b_id_o_an t_es d_e_o_t_e_m_p_o_d_o c_o_m_an d_o_ __ __ __ __ __ p_in g_t_er_e_s_g_o_ta_d_0 ___ -

U
N

ICMP de (destino) inalcanvel recebida ICMP de (rede/sub-rede) inalcanvel recebida

---------------------------------------------------------- .
? Pacote desconhecido recebido

_M _________________________________M e_n_sa_g_e_m IC_MP de N__o_F_r_a_gme_n_tar r_ec_e_b_id_a_________________ . . __ __ ______ __ __

A mensagem ICMP de Redirecionar


A mensagem ICMP de Redirecionar fornece uma maneira atravs da qual os roteadores podem dizer aos hosts para utilizarem outro roteador como porta de comunicao padro para certos endereos de destino. A maioria dos hosts utiliza o conceito de um endereo IP do roteador padro, enviando pacotes destinados a sub-redes para o seu roteador padro. Entretanto, se vrios roteadores se conectarem mesma sub-rede, a porta de comunicao padro do host pode no ser o

'.

CCNA ICND2

199

melhor roteador naquela sub-rede para o qual encaminhar pacotes enviados a alguns destinos. A porta de comunicao padro pode reconhecer que um roteador diferente seja a melhor opo. Em seguida, ela pode enviar mensagens ICMP de redirecionamento ao host dizendo-lhe que envie os pacotes destinados quele endereo de destino a esse roteador diferente. Na Figura 7-2, por exemplo, o PC utiliza o Roteador B como seu roteador padro. No entanto, a rota do Roteador A at a sub-rede 10.1.4.0 a melhor rota. (Considere o uso da mscara 255.255.255.0 em cada sub-rede da Figura 7- 2.) O PC envia um pacote ao Roteador B (Passo 1 da Figura 7- 2). O Roteador B tenta encaminhar o pacote com base em sua prpria tabela de roteamento (Passo 2); aquela rota aponta para o Roteador A, que possui a melhor rota. Finalmente, o Roteador B envia a mensagem ICMP de redirecionamento ao PC (Passo 3), dizendo-lhe para encaminhar futuros pacotes destinados a 10.1.4.0 para o Roteador A. Ironicamente, o host pode ignorar o redirecionamento e continuar enviando os pacotes para o Roteador B, mas neste exemplo, o PC acredita na mensagem de redirecionamento, enviando seu prximo pacote (passo 4) diretamente ao Roteador A.

A mensagem ICMP de Tempo Excedido


A mensagem ICMP de Tempo Excedido notifica o host quando um pacote enviado por ele foi descartado por estar "fora da hora". Os pacotes na verdade no so cronometrados, mas para evitar que eles sejam encaminhados indefinidamente quando h um loop de roteamento, cada cabealho IP utiliza um campo TIL (Time to Live, ou Tempo de Vida). Os roteadores diminuem o TIL em 1 todas as vezes que encaminham um pacote; se um roteador diminuir o TIL para O, ele joga o pacote fora . Isso evita que os pacotes fiquem rodando indefinidamente. A Figura 7-3 mostra o processo bsico.

Figura 7-2 ICMP Redirecionar


S

..., ~ ', !',acote 1


\

---- -- --

__ /<.,
/

",'"

' G),,"'" /~O,f'"

'" ~'lJ.v

//
.... .,-

'"

.. - - -- CMP Redirecionar -Utilizar Roteador A Host

Figura 7-3 ITL Decrementar para O


Fred 10.1 .3.254 10.1.3.253 Sarney

(;~~;~
,. Ch.ve

....

/
TIL = 5 TIL=4 TIL=3 TIL=2 TIL = 1 TIL menos 1 igual a O! Pare! Descartar pacote. 10.1.2.14

ICMP Tempo Excedido TIL Excedido

Como pode ser visto na figura, o roteador que descarta o pacote tambm envia uma mensagem ICMP de Tempo Excedido, com um campo de cdigo "tempo excedido", ao host que enviou o pacote. Dessa maneira, o remetente sabe que o pacote no foi entregue. Receber uma mensagem de Tempo Excedido tambm pode ajud-lo quando estiver resolvendo problemas em uma rede. Tomara que voc no receba muitas dessas mensagens; do contrrio, significa que existem problemas de roteamento.

200 Captulo 7: Resolvendo problemas de roteamento IP

o comando traceroute
o comando ping uma poderosa ferramenta de resoluo de problemas que pode ser utilizada para responder pergunta
"A rota que vai daqui para l funciona?" O comando traceroute oferece uma ferramenta possivelmente melhor para resoluo de problemas, pois ela no s pode determinar se a rota funciona mas tambm pode fornecer o endereo IP de cada roteador da rota. Se a rota no estiver funcionando, o traceroute pode identificar os melhores lugares por onde comear a resolver os problemas. O comando do lOS traceroute utiliza a mensagem de Tempo Excedido e o campo TIL IP para identificar cada roteador sucessivo de uma rota. O comando traceroute envia um conjunto de mensagens com valores TIL crescentes, comeando com 1. O comando traceroute espera que essas mensagens sejam descartadas quando os roteadores diminuem o TTL para 0, retomando as mensagens de Tempo Excedido para o comando traceroute. Os endereos IP origem das mensagens de Tempo Excedido identificam os roteadores que descartaram as mensagens, que podem ento ser exibidas pelo comando traceroute. Para ver como esse comando funciona, considere o primeiro conjunto de pacotes (trs pacotes de acordo com o padro) enviados pelo comando traceroute. Os pacotes so pacotes IP, com a camada de transporte UDP e com o TIL definido em 1. Quando os pacotes chegam ao prximo roteador, o roteador diminui o TIL para em cada pacote, descarta o pacote e envia uma mensagem de Tempo Excedido de volta ao host que enviou o pacote descartado. O comando traceroute olha o endereo IP fonte do primeiro roteador no pacote de Tempo Excedido recebido.

Em seguida, o comando traceroute envia outro conjunto de trs pacotes IP, dessa vez com o TIL = 2. O primeiro roteador diminui o TIL para 1 e encaminha os pacotes, enquanto o segundo roteador diminui o TIL para e descarta os pacotes. Esse segundo roteador envia as mensagens de Tempo Excedido de volta ao roteador onde o comando traceroute foi usado, e o comando traceroute agora conhece o segundo roteador da rota.

O comando traceroute sabe quando os pacotes de teste chegam ao host de destino porque o host envia de volta uma mensagem ICMP de Porta Ina1canvel. Os pacotes originais enviados pelo comando lOS traceroute utilizam um nmero de porta de destino UDP muito pouco provvel de ser usado no host de destino; portanto, assim que o TTL fica alto o suficiente para permitir que o pacote chegue ao host de destino, o host percebe que ele no tem um aplicativo escutando aquela porta UDP especfica. Portanto, o host de destino retoma uma mensagem de Porta Ina1canvel, que diz ao comando traceroute que a rota completa foi encontrada, e o comando ento pode parar. A Figura 7-4 mostra um exemplo, mas com apenas uma das trs mensagens em cada definio do TIL (para evitar confuso). O Roteador A utiliza o comando traceroute para tentar encontrar a rota at Bamey. O Exemplo 7-1 mostra esse comando traceroute no Roteador A, com mensagens debug do Roteador B, mostrando as trs mensagens de Tempo Excedido resultantes. Figura 7-4 Comando traceroute do Software Cisco lOS: mensagens geradas
trace 10.1.2.14 Fred
~

10.1.3.254 10.1.3.253

/~~~;;,.,
\ Ch.".

".

Porta de destino randomizada

--.J

Porta de destino randomizada

--.J

ICMP Porta Inalcanvel

ICMP Porta Inalcanvel

CCNA ICND2

201

Exemplo 7-1 debug [eMP no Roteador B quando o comando traceroute est sendo executado no Roteador A
RouterA#traceroute 10.1.2.14 Type escape sequence to abort o Tracing the route to 10.1.2.14 1 10.1.3.253 8 msec 4 msec 4 msec 2 10.1.2.14 12 msec 8 msec 4 msec RouterA#
! Moving to Router B now
! The following output occurs in reaction to the traceroute command on A

RouterB#debug ip icmp RouterB# ICMP: time exceeded (time to live) sent to 10.1.3.254 (dest was 10.1.2.14) ICMP: time exceeded (time to live) sent to 10.1.3.254 (dest was 10.1.2.14) ICMP: time exceeded (time to live) sent to 10.1.3.254 (dest was 10.1.2.14)

o comando traceroute apresenta o endereo IP do Roteador B na primeira linha e o endereo IP do host de destino na segunda linha. Observe que ele apresenta o endereo IP esquerdo do Roteador B. B responde com a mensagem de Tempo Excedido, utilizando o endereo IP da interface de sada de B como o endereo fonte daquele pacote. Em conseqncia disso, o comando traceroute apresenta aquele endereo IP. Se o endereo for conhecido de um servidor DNS, ou se ele estiver na tabela de hostnames do Roteador A, o comando pode listar o hostname em vez do endereo IP.
Semelhante ao comando ping estendido conforme descrito na seo intitulada "O Comando ping Estendido", no Captulo 4, a verso estendida do comando traceroute realiza um trabalho muito melhor de simular pacotes enviados por hosts do usurio final, principalmente para testar rotas inversas. No Exemplo 7-1, o comando traceroute de A usa o endereo IP 10.1.3.254 de A como endereo origem dos pacotes enviados, pois A utiliza a interface com o endereo 10.1.3.254 para enviar os pacotes gerados pelo comando traceroute. Portanto, o comando traceroute no Exemplo 7-1 testa a rota de encaminhamento em direo a 10.1.2.14 e a rota inversa at 10.1.3.254. Ao utilizar o comando traceroute estendido, o comando pode ser usado para testar uma rota inversa mais adequada, tal como a rota at a sub-rede LAN no lado esquerdo do Roteador A. O Exemplo 7-2, mais adiante neste captulo, mostra um exemplo do comando traceroute estendido. Observao O comando tracert nos sistemas operacionais Microsoft funciona de forma bem parecida ao comando do lOS traceroute. No entanto, importante observar que o comando Microsoft tracert envia Echo Requests ICMP e no usa UDP. Portanto, as ACLs IP poderiam fazer com que o lOS traceroute falhasse enquanto o Microsoft tracert funcionasse, e vice-versa.

: Resolvendo problemas relativos ao processo de encaminhamento de pacotes


A resoluo de problemas no processo de roteamento IP uma das tarefas mais complexas enfrentadas pelos engenheiros de rede. Como de costume, utilizar uma abordagem estruturada pode ajudar. O Captulo 4, de modo especial, bem como os Captulos 5 e 6, j explicaram bastante sobre a primeira parte do processo de resoluo de problemas, isto , o que deve acontecer em uma rede. Esta seo se concentra no segundo passo: o isolamento do problema. (para obter uma referncia mais geral sobre tcnicas de resoluo de problemas, reflIa-se ao Captulo 3, "Resolvendo problemas de LAN Switching".) Observao Este captulo deixa qualquer resoluo detalhada de problema em relao a protocolos de roteamento para o Captulo 11, ''Resolvendo problemas de protocolos de roteamento".

Isolando problemas de roteamento IP relacionados a hosts


O processo de resoluo de problemas apresentado neste captulo separa os passos da resoluo - uma parte para os hosts e outra para os roteadores. Em essncia, para qualquer problema em que dois hosts no possam se comunicar, a

202 Captulo 7: Resolvendo problemas de roteamento IP


primeira parte desse processo de resoluo de problemas examina as questes que podem causar impacto na capacidade de cada host enviar pacotes para e a partir de seu respectivo gateway padro. A segunda parte isola problemas relacionados a como os roteadores encaminham pacotes. A lista a seguir apresenta os passos para resoluo de problemas concentrando-se em testar a conectividade do host ao primeiro roteador: Passo 1 Verifique a capacidade do host de enviar pacotes dentro de sua prpria sub-rede. Identifique o endereo IP da /;~;~o porta de comunicao padro do host com o ping a partir do host ou o endereo IP do host a partir da porta de \~ve comunicao padro. Se o ping falhar, faa o seguinte: a. Certifique-se de que a interface do roteador utilizada como gateway padro esteja em estado ''up and up" (ativo e em perfeito funcionamento). b. Verifique o endereo IP do host da fonte e a definio da mscara em comparao com a interface do roteador utilizada como gateway padro. Certifique-se de que ambas concordam com o nmero e a mscara de sub-rede e, por conseguinte, concordam com o intervalo de endereos vlidos na sub-rede. c. Se o roteador utilizar trunking de VLANs, resolva qualquer questo relativa configurao do trunk, certificandose de que o roteador esteja configurado para aceitar a mesma VLAN na qual o host reside. d. Se os outros passos no levarem a uma soluo, investigue problemas na Camada 1/2 com a LAN, conforme abordado no Captulo 3. Por exemplo, procure uma VLAN indefinida. Passo 2 Verifique a definio do gateway padro no host identificando, atravs do ping, um dos outros endereos IP de interface do roteador padro. Ou, a partir do roteador padro, utilize um ping estendido do endereo IP do host com um endereo fonte de uma outra interface do roteador. Na Figura 7-5, por exemplo, os sintomas do problema podem ser que PCl no consiga navegar no servidor Web em PC4. Para testar a capacidade de PCl enviar pacotes pela sua sub-rede local, PCl poderia usar o comando ping 10.1.1.1 para testar a conectividade at o roteador padro em sua mesma sub-rede. Ou o engenheiro poderia simplesmente usar o ping 10.1.1.10 a partir de RI (Passo 1). Qualquer um dos locais do ping funciona bem, porque ambos os locais do ping requerem que o pacote seja enviado em cada sentido. Se o ping falhar, um isolamento maior do problema deve desvendar as duas reas especficas do problema apresentadas nos Passos IA, lB e le. Se no, o problema provavelmente um problema de Camada 1 ou 2, conforme discutido no Captulo 3.

Figura 7-5 Modelo de rede para resoluo de cenrios de problemas


Default Gateway 10.1.1.1 PC1

5010/1 10.1.13.3

172.16.1.3

10.1.0.10

PC4

O Passo 2 destaca um conceito de resoluo de problemas geralmente despercebido para verificar se a definio do gateway padro est funcionando. Nenhuma das opes ping apresentadas no Passo 1 requer que o host utilize sua definio de porta de comunicao padro, pois o endereo da fonte e do destino de cada pacote esto na mesma subrede. O Passo 2 fora o host a enviar um pacote a um endereo IP em outra sub-rede, testando assim a definio da porta de comunicao padro do host. Alm disso, ao identificar o endereo IP atravs do ping na porta de comunicao

CCNA ICND2

203

(roteador) padro, em vez de ir a algum endereo IP de um host distante, esse passo retira do teste boa parte da complexidade do roteamento IP. Em vez disso, o foco passa a ser se a definio da porta de comunicao padro do host funciona. Na Figura 7-5, por exemplo, um comando ping 10.1.13.1 em PCl fora PCl a utilizar sua definio da porta de comunicao padro porque 10.1.13.1 no est na sub-rede (10.1.1.0/24) de PC 1. Mas o endereo IP est no roteador RI, que remove a maior parte do restante da rede como sendo uma possvel causa caso o ping venha a falhar.

: Isolando problemas de roteamento IP relacionados a roteadores


Quando o processo de isolamento de um problema no host est concludo, e todos os pings funcionam, tanto no host de envio quanto no de recebimento, qualquer questo remanescente sobre o roteamento IP deve estar entre o primeiro e o ltimo roteador tanto na rota avante quanto na rota inversa entre os dois hosts. A lista a seguir escolhe o processo de resoluo de problemas como o gateway/roteador padro do host da fonte, com base no comando traceroute do roteador. (Observe que o comando equivalente do host, como o tracert nos sistemas operacionais Microsoft, tambm pode ser utilizado.)

Observao Embora a lista a seguir possa ser til para referncia, ela um pouco extensa. No fique preso a detalhes, mas leia os exemplos de seu uso logo aps a lista, pois eles devero esclarecer vrios passos. Como de costume, no necessrio memorizar nenhum processo de resoluo de problema aqui apresentado. Eles tm o objetivo de ser ferramentas de aprendizado para ajud-lo a construir seu conhecimento. Passo 3 Teste a conectividade at o host de destino usando o comando traceroute estendido na porta de comunicao padro do bost, utilizando a interface do roteador anexada ao host fonte para o endereo IP fonte dos pacotes. \~ Se o comando for concludo com sucesso:
l .. ..

: T6plco

a. No existe nenhum problema de roteamento nos sentidos da rota avante ou da rota inversa.

b. Se o trfego do usurio final ainda assim no funcionar (muito embora o traceroute tenha funcionado), resolva
qualquer problema existente em ACLs em cada interface de cada roteador da rota, em ambos os sentidos.

Passo 4 Se o comando traceroute no Passo 3 no for concludo, teste a rota avante da seguinte forma: a. Use o telnet at o ltimo roteador rastreado (o ltimo roteador apresentado no comando traceroute). b. Encontre a rota daquele roteador que combina com o endereo IP de destino utilizado no comando traceroute original (show ip route, show ip route ip-address).
c. Se no for encontrada nenhuma rota de combinao, investigue por que a rota esperada est faltando. Normalmente, esta uma questo de protocolo de roteamento ou um erro de configurao da rota esttica. Pode tambm estar relacionado a uma rota conectada ausente. d. Se for encontrada uma rota de combinao, e a rota for a rota padro, confirme que ela ser usada com base na definio para os comandos ip classless/no ip classless.

e. Se for encontrada uma rota de combinao, use o ping para o prximo endereo IP de parada apresentado na rota. Ou, se a rota for uma rota conectada, utilize o ping para o verdadeiro endereo IP de destino.
Se o ping falhar, investigue problemas de Camada 2 entre esse roteador e o endereo IP que foi identificado atravs do ping e investigue possveis problemas em ACLs. Se o ping funcionar, investigue problemas relacionados s ACLs.

f. Se for encontrada uma rota de combinao, e no for encontrado nenhum outro problema, confirme se a rota no est apontando erroneamente no sentido errado.

Passo 5 Se o Passo 4 no identificar nenhum problema na rota avante, teste a rota inversa:
a. Se a rota avante do ltimo roteador rastreado se referir a outro roteador como sendo o roteador da prxima parada, repita os subpassos do Passo 3 a partir daquele roteador. Analise a rota inversa, ou seja, a rota para alcanar o endereo IP fonte usado pelo comando traceroute que falhou. b. Se a rota avante do ltimo roteador rastreado se referir a uma sub-rede conectada, verifique as definies IP do host de destino. Principalmente, confirme as definies do endereo IP, da mscara e da porta de comunicao padro.

204 Captulo 7: Resolvendo problemas de roteamento IP


Se, por exemplo, PCl no puder se comunicar com PC 4 na Figura 7-5, e os hosts puderem se comunicar atravs de suas respectivas portas de comunicao padro, o Passo 3 do processo de isolamento de problemas orientado a roteadores poderia comear com um traceroute 172.16.2.7, utilizando o endereo IP FaO/O (10.1.1.1) de RI como endereo IP fonte. Se o comando traceroute apre