CCNA ICND2 - Guia Oficial de Certificação Do Exame

.
',
: 1-1-1-1-1
. , CISCO w
CCNAICND2
Guia Oficial de Certificao do Exame
Segunda Edio
-/ O-omine os tpicos dos exames ICN02 640-816
e CCNA 640-802 com este guia oficial de estudos
-/ Teste seu conhecimento em diversas questes
-/ Revise conceitos-chave com a Preparao para o Exame
ciscopress.com
Wendell Odom, CCIEN 1624

'~. -
.'
I
'.
CCNAICND2
Segunda Edio
Wendell Odom, CCIE N. 1624 ii
Rio de Janeiro.2008
CC NA ICND2 Guia Oficial de Certificao do Exame, Segunda Edio

Do original CCNA ICND2 Official Exam Certification Guide, Second Editon Copyright 2008 da Editora Alta Books
Ltda.
Authorized translation trom English Language edition, entitled CCNA ICND2 Official Exam Certification Guide, Second
Editon, by Wendell Odom, published by Cisco Systems, Inc. Copyright 2008 by Cisco Systems, Inc. Portuguese
Language edition published by Editora Alta Books, Copyright 2008 by Editora Alta Books.
Todos os direitos reservados e protegidos pela Lei 5988 de 14/12f73. Nenhuma parte deste livro, sem autorizao prvia
por escrito da editora, poder ser reproduzida ou transmitida sejam quais forem os meios empregados: eletrnico, mecnico,
fotogrfico, gravao ou quaisquer outros. Todo o esforo foi feito para fornecer a mais completa e adequada informao,
contudo a editora e o(s) autor(es) no assumem responsabilidade pelos resultados e usos da informao fornecida.
Recomendamos aos leitores testar a informao, bem como tomar todos os cu idados necessrios (como o backup),
antes da efetiva utilizao. Este livro no contm CD-ROM , disquete ou qualquer outra mdia.
Erratas e atualizaes: Sempre nos esforamos para entregar a voc, leitor, um livro livre de erros tcnicos ou de
contedo; porm, nem sempre isso conseguido, seja por motivo de alterao de software, interpretao ou mesmo
quando alguns deslizes constam na verso original de alguns livros que traduzimos. Sendo assim, criamos em nosso site,
www.altabooks.com.br. a seo Erratas, onde relataremos, com a devida correo, qualquer erro encontrado em nossos
livros.
Avisos e Renncia de Direitos: Este livro vendido como est, sem garantia de qualquer tipo, seja expressa ou
impl cita.
Marcas Registradas: Todos os termos mencionados e reconhecidos como Marca Registrada e/ou comercial so de
responsabilidade de seus proprietrios. A Editora informa no estar associada a nenhum produto e/ou fomecedor apresentado
no livro. No decorrer da obra, imagens, nomes de produtos e fabricantes podem ter sido utilizados, e desde j a Editora
informa que o uso apenas ilustrativo e/ou educativo, no visando ao lucro, favorecimento ou desmerecimento do produto/
fabricante.
Produo Editorial: Editora Alta Books
Coordenao Editorial: Fernanda Silveira
Traduo: Tibrio Novais e Lcia Kinoshita
Reviso: Carolina Menegassi
Reviso Tcnica: Miguel Molina
Diagramao: BJ Carvalho
Impresso no Brasil
O cdigo de propriedade intelectual de 1Q de Julho de 1992 probe expressamente o uso coletivo sem autorizao dos
detentores do direito autoral da obra, bem como a cpia ilegal do original. Esta prtica generalizada nos estabelecimentos
de ensino, provoca uma brutal baixa nas vendas dos livros a ponto de impossibilitar os autores de criarem novas obras.
Rua Viva Cludio, 291 - Jacar

Rio de Janeiro - RJ . CEP: 20970-031
Tel: 21 3278-8069/ Fax: 3277-1253
www.altabooks.com .br
e-mail: altabooks@altabooks.com.br
'.
'.
Sobre o autor
Wendell Odom, CCIE No 6614, j atua na indstria de comunicao em rede desde 1981. Atualmente, ensina as
disciplinas de QoS, MPLS e CCNA para a Skyline Advanced Technology Services (http://www.skyline-ats.com).
Wendell tambm trabalha como engenheiro de rede, consultor, engenheiro de sistemas, instrutor e desenvolvedor
de cursos. autor de todas as edies anteriores do CCNA Guia de Certificao do Exame, bem como do Guia
de Cisco QoS Exam Certification Guide, Second Edition, Computer Networking First-Step, CCIE Routing
and Switching Official Exam Certification Guide, Second Edition, e CCNA Video Mentor, todos da Cisco
Press.
VI
Sobre os revisores tcnicos

Teri Cook (CCSI, CCDP, CCNP, CCDA, CCNA, MCT e MCSE 2000/2003: Security) tem mais de 10 anos de
experincia na indstria da TI, tendo trabalhado com diferentes tipos de organizaes nos setores privados e do
Departamento de Defesa, oferecendo conhecimento tcnico avanado em segurana e rede no projeto e
implementao de ambientes computacionais complexos. Desde a obteno de seus certificados, Teri tem se
comprometido, como instrutora, a levar treinamentos de qualidade em TI a profissionais da rea. Como excelente
instrutora que , utiliza a experincia da vida real para apresentar tecnologias complexas de comunicao em rede.
Como instrutora de TI, Teri ministra cursos da Cisco h mais de cinco anos.
Stephen Kalman instrutor em segurana de dados e autor (ou editor tcnico) de mais de 20 livros, cursos e
ttulos da CBT. Seu mais recente livro Web Security Field Guide, publicado pela Cisco Press. Alm dessas
responsabilidades, ele administra uma empresa de consultoria, a Esquire Micro Consultants, especializada na
avaliao e resoluo de problemas de segurana em rede. Kalman possui os certificados SSCP, CISSP, ISSMP,
CEH, CHFI, CCNA, CCSA (Checkpoint), A+, Network+, and Security+ e membro da Ordem dos Advogados do
Estado de Nova York.
VII
Dedicatrias
minha maravilhosa, amvel e dedicada esposa. Muito obrigado por todo seu apoio, incentivo, amor e respeito.
VIII
Agradecimentos
A equipe que ajudou a produzir este livro foi simplesmente brbara. Todos que vieram a dar seu toque ao livro
contriburam para sua melhoria, e, de modo especial, toda a equipe foi de grande ajuda na deteco de erros que
sempre fazem parte de um manuscrito.
Teri e Steve realizaram excelentes trabalhos como editores tcnicos. A capacidade de Teri de ver cada frase no
contexto de um captulo inteiro, ou de um livro inteiro, esplndida, ajudando a detectar coisas que nenhuma outra
pessoa conseguiria perceber. Steve, como sempre, realizou seu excelente trabalho - algo como 5 ou 6 livros meus
nos quais ele participou -, e, como de costume, acabo aprendendo muito ao ler os comentrios feitos por Steve. A
profundidade das crticas sobre este livro foi muito melhor que qualquer outro livro meu graas a Teri eSteve;
muito obrigado!
Drew Cupp teve a "oportunidade" de desenvolver um de meus livros pela primeira vez em muito tempo. As vises
e opinies de Drew funcionaram maravilhosamente, e este novo par de olhos sobre os materiais copiados da
edio anterior serviu para fortalecer ainda mais essas partes. Tudo isso em meio aos malabarismos feitos dentro
de um prazo apertado - obrigado, Drew, pelo excelente trabalho!
A maravilhosa, e geralmente oculta, equipe de produo tambm desempenhou um esplndido trabalho. Ao perceber
que tinha retrabalhado algo, eu imediatamente pensava "Por que no escrevi isso antes?", o que me fez valorizar
a equipe que temos na Cisco Press. O processo de edio da cpia final, reviso de figuras e de pginas exigiu
grande esforo - principalmente com relao s iniciativas adicionais de qualidade que foram implementadas.
Muito obrigado a todos vocs!
Brett Bartow novamente foi o editor executivo do livro, como em quase todos os livros que ajudei a escrever. Brett,
como de costume, realizou seu excelente trabalho, com muita pacincia, sendo meu defensor de vrias maneiras.
Brett, muito obrigado por todas as coisas que fez, em todos os nveis, para nos ajudar a obter o sucesso juntos.
Alm disso, h outras pessoas que no trabalharam diretamente no livro, mas que tambm colaboraram para sua
execuo. Obrigado a Frank Knox pelas discusses sobre os exames, sobre os motivos pelos quais eles so to
difceis e como lidar com a resoluo de problemas. Obrigado a Rus Healy pela ajuda com a parte sobre "wireless"
(sem fio). Obrigado a Mikes, da Skyline, por fazer com que eu conseguisse cumprir o meu prazo para finalizar este
livro (e o livro ICNDl). Meus agradecimentos tambm s equipes de cursos e de exames da Cisco pela excelente
comunicao e interao sobre as alteraes feitas nos cursos e exames. E, como sempre, minha gratido especial
ao meu Senhor e Salvador Jesus Cristo - obrigado por me ajudar a regozijar-me em TI at mesmo no momento em
que fazia a reviso final de 1400 pginas de manuscrito em apenas algumas semanas!
IX
Resumo do contedo
Prefcio
Introduo
xxiii
xxiv
Parte I: LAN Switching

Captulo 1 LANs virtuais
Captulo 2 Protocolo Spanning Tree
Captulo 3 Resolvendo problemas de LAN Switching
5
43
81
Parte 11: Roteamento IP

Captulo 4 Roteamento IP: rotas estticas e conectadas
Captulo 5 VLSM e sumarizao de rotas
Captulo 6 Listas de controle de acesso IP
Captulo 7 Resolvendo problemas de roteamento IP
117
145
165
195
Parte 111: Configurao e resoluo de problemas relativos a protocolos de roteamento

Captulo
Captulo
Captulo
Captulo
8 Teoria dos protocolos de roteamento

9 OSPF
10 EIGRP
11 Resolvendo problemas em protocolos de roteamento
221
249
273
295
Parte IV: Redes de longa distncia (WAN)

Captulo
Captulo
Captulo
Captulo
12 WANs ponto-a-ponto
13 Conceitos de Frame Relay
14 Configurao e resoluo de problemas de Frame Relay
15 Redes privadas virtuais
315
333
351
379
Parte V: Escalando o espao de endereamento IP

Captulo 16 Traduo de endereos de rede
Captulo 171P verso 6
393
415
Parte VI: Preparao final

Captulo 18 Preparao final
447
Parte VII: Apndices

Apndice A Respostas para os questionrios "Eu j conheo isto?"
Apndice B Tabela de converso de decimal para binrio
Apndice C Atualizaes no exame ICND2 Verso 1.0
Glossrio
Indice Remissivo
Parte VII: (Disponvel no website da editora: www.altabooks.com.br)

Apndice D Subnetting Pratice (Disponvel em ingls)
Apndice E Subnetting Reference Pages (Disponvel em ingls)
Apndice F Additional Scenarios (Disponvel em ingls)
Apndice G Sub-redes: 25 perguntas prticas (Disponvel em portugus)
Apndice H Endereamento e Sub-redes IP (Disponvel em portugus)
Apndice I Configurao de WAN (Disponvel em portugus)
Apndice J Tabelas de Memria (Disponvel em portugus)
Apndice K Resposta das Tabelas de Memria (Disponvel em portugus)
Apndice L ICND2 Open-Ended Question (Disponvel em ingls)
455
465
469
471
484
Contedo
Prefcio ................................................................................................................................... xxiii
Introduo ............................................................................................................................. xxiv

Captulo 1 LANs virtuais ............................................................................................. 5
" co nheo IstO.
. ?" .. .......................... ..................................................................................................... .. 5
. ,. "Eu Ja
Quesllonano
Tpicos fundamentais .................................................................................................................................................... 7
. Conceitos de LANs virtuais ............................................................................................................................................... 8
Trunking com ISL e 802.1Q ........................................................................................... ................................................ 9
ISL ...................................................................................................................................................................... 10
IEEE 802.1Q ...................................................................................................................................................... 10
Comparao entre ISL e 802.1Q ........................................... ......................................................... .................... 11
Sub-redes IP e VLANs ...................................................................................................................................... 12
VLAN Trunking Protocol (VTP) (Protocolo de Trunking de VLAN) ............................................................... 12
Operao VTP normal utilizando os modos VTP servidor e cliente .................................................................. 13
Trs requisitos para que o VTP opere entre dois switches ................................................................................ 14
Evitando o VTP utilizando o modo VTP transparente ........................................................................................ 15
Armazenando a configurao da VLAN ........................................................................................................... 15
Verses VTP ............................................................................................................................................................. 16
VTP Pruning .............................................................................................................................................................. 16
Resumo dos recursos VTP ....................................................................................................................................... 17
Configurao e verificao de VLANs e Trunking de VLAN ............................................................................... ........ 17
Criando VLANs e atribuindo VLANs de acesso a uma interface ................... .... ....................................................... 18
Exemplo 1 de configurao de VLANs: configurao completa de VLANs ........................................................... 18
Exemplo 2 de configurao de VLANs: configurao resumida de VLANs ........................................................... 20
Configurao do Trunking de VLAN .......... .......... .................................................................................................... 21
Controlando quais VLANs podem ser aceitas em um trunk .................................................................................... 25
Trunking com Telefones Cisco IP ............................................................................................................................. 26
Protegendo VLANs e o Trunking ............................................................................................................................. 27
Configurao e verificao do VTP ................................................................................................................................ 28
Usando VTP: configurando servidores e clientes ........................................................................................................ 28
Cuidados ao sair da configurao VTP padro ...... ...................................................................................................... 31
Evitando o VTP: configurando o modo transparente ............................ ....................................................................... 32
Resolvendo problemas de VTP .................................................................................................................................... 32
Determinando por que o VTP no est funcionando atualmente .............................................................................. 33
Problemas ao conectar novos switches e criar trunks .............................................................................................. 37
Evitando problemas de VTP atravs das prticas ideais .......................................................................................... 38
Atividade de preparao para o exame ..................................................................................................................... 39
Revise todos os tpicos-chave .............. ........................................................................................................................... 39
Complete as tabelas e listas usando a memria ............................................................................................................... 40
Definies de termos-chave ............................................................................................................................................ 40
Referncia aos comandos para verificar sua memria ................................................................................................... 40
Captulo 2 Protocolo Spanning Tree (Spanning Tree Protocol) .............................. 43

Questionrio "Eu j conheo isto?" ................................................................................................................................. 43
Tpicos fundamentais .................................................................................................................................................. 45
XI
Protocolo Spanning Tree (IEEE 802.1d) ... ............ ........ ........ .. ... .... ........... ................ ....... ........ ........ .......... ...................... 46
A necessidade de Spanning Tree .................... .............. ...... ........... ...... ..... ......... ........................ ... ........ ........................ 46
A funo do IEEE 802.1d Spanning Tree ... ....... .... .... ........ ...................... ..................... .... ......................... ......... ... ...... 47
Como funciona o Spanning Tree ................................ ........ .......... .............. ................................................. ..... ............ 48
Bridge ID STP e Helio BPDU ................... ........ ...... ......... ... .......... .. ........ ........ ... ..... .......... ...... .......... ....................... 49
Escolhendo o switch raiz ....... .......... ........ .................................................................................... .................... .......... 50
Escolhendo a porta raiz de cada switch .. ........ .... ...... ............................................ .................... ............ .................... 51
Escolhendo a porta designada em cada segmento de LAN ...................................................................................... 52
Reagindo a mudanas na rede .................... ........ ........ ...... ..... .... ...... ................... ..... ..... .... ........ ................... ....... ...... 53
Recursos STP opcionais ............................................................................................................................................ 55
EtherChannel .................................... .......................... .... ..... .. .. ........... .......... ......... ........ .... ........................................ 55
PortFast .................. ........................................ ....... ... .... ........... .... ............ ....... ...... ....... ................. .... ........ ......... ........ 56
Segurana do STP .. ....... ................ .................... ....... ................. ........ .... ... ... ...... ...... ..... ... ... .. ..... ............ .................... 56
Rapid STP (IEEE 802.1w) .................... .... .... ............ .... ........ ..... .... ..................... ...... ......... ...... .... .... ............... ......... ........ 57
Tipos de links e edges RSTP ..................................... .............................. .... .... ..... ... ..... .... .............. .......... ... ....... .... .... .. 57
Estados das portas RSTP .. .... .... ..... ................... .... .. .. ... ...... ............. .... ... .......... ....... ..... ......... .......... ....................... .... .. 58
Funes das portas RSTP ...... .. .. ..................................... ........ .. ......... ......... .... ......... .... .... ............................................ 59
Convergncia do RSTP .... ................................................. .... ................. ............ ...... ... ............... .............. ... ........ .. ... .. .. 60
Comportamento do tipo edge e PortFast ................................................................................................................... 60
Tipo link compartilhado .. ................................ ........ ............. ...................... ..... ... .... ... .......... ...... ...... .......... ... ..... .......... 60
Tipo link ponto-a-ponto .......... ... ..... ........ ... ..... .... .... ....... .... .... .. ........ ......................... ........... ........ ...... ....... .. ........... ..... 60
Exemplo de convergncia RSTP .... ........ ................................................ ................. ... ..... ..... ..... ......... ....................... 61
Configurao e verificao do STP ................................................ .......... ............. ...... ... ....... ................... ......... .......... .... 63
Mltiplas instncias do STP ..... .......... ...... ..................... ............... .... .... ...................... ................. ......................... ........ 63
Opes de configurao que influenciam a topologia do Spanning Tree ............... .... ......................... ..... .................... 64
Extenso do bridge ID e do System ID .................................................................................................................... 64
Custos "per-VLAN" das portas ... ..... ....... .... .... ...... ................... .... ....... ....................................... ....... ............ ..... ...... 65
Resumo das opes de configurao do STP ................ ... ..... .......................... ....... ........ ........ .... ........ ........... ..... .... .. 65
Verificando a operao padro do STP .......... .......... ................................................................................................... 65
Configurando os custos das portas do STP e a prioridade do switch .. ............. .......... ...... ......... ............... .... ..... ........... 67
Configurando o PortFast e o BPDU Guard ..... ............ ....... ....... ........ ...... ... ........ ........................ ........ ................. ........ 69
Configurando o EtherChannel ......... ... .... .... ................ ................. .... ....... .... ...................... ........ .... ...... ...... .................... 69
Configurando o RSTP ........... ........ ............... .... ..... .... ...................... ...... ..... ...................... ....... ......... ................... ......... 70
Resolvendo problemas do STP ... .......... ............................... ... ... ............ ....... ...... ..... ... ........ ................... ..... ............. ... ..... 71
Determinando o switch raiz ........ ............................ ......... ........... ............. ........... ...... ... ................. .... ... ...... ......... ......... . 71
Determinando a porta de raiz em switches no-raiz ... .......... ............. .... .. ... .................... ............. ...................... ... ....... 72
Determinando a porta designada em cada segmento de LAN ................ ...... ...... ... ........... ........... .... .... .... ..... .............. 74
Convergncia do STP .... ....... ........................... .... ............ ................ ........... .................... .... ......... .................... ... ......... 75
Atividade de preparao para o exame ..................................................................................................................... 76
Revise todos os tpicos-chave ...... ......... ..................... ......... ... ... ... ........... ............. ................ ... ............ ............... .... ..... .... 75
Complete as tabelas e listas usando a memria ...................... ......... .... ... ...... ....... ...... ....... ................... .............. .............. 76
Definies de termos-chave ...... ...... ........ ...... .... ........ .... ... ........... ............. ...... ... ............... .......... ........ ...... ....... ................ 76
Referncia aos comandos para verificar sua memria ......... ......... ........ ........... ....... ...... ......... ........... ..................... ........ 77
Captulo 3 Resolvendo Problemas de Lan Switching ............................................. 81

. , co nh eo IstO
. ?"
. ,. "Eu Ja
. . ........ ........... ............. ................. ..... .............. ... ........ ................... ............ .... ... ...... ... .. 81
Queshonano
Tpicos fundamentais .................................................................................................................................................. 81

Metodologias generalizadas para resoluo de problemas .............. ... .... .............. ... .................. .................. ..... ..... .......... 81
Analisando e prevendo a operao normal da rede ........ ............. ... ....... ............ .. ..... .......... ...... ... ............ ......... ........... 82
Anlise do plano de dados ... ................... ....... ................ ..... ..... ......... ...... .. ......... ...... ....... ........... ........ ................. .. ..... 83
Anlise do plano de controle ... ....... .......... ....... ..... ........ ..... .. ..... ..... .............. ............ ........ ........... .. ...... .................. .. .. . 84
Prevendo operaes normais: resumo do processo ....... ......... ..... ........ .... ............. ....... ...... ............ .... ... ............. ....... 84
XII
Isolamento do problema ............................................................................................................................................... 84
Anlise da causa geradora ........................................................................................................................................... 85
O mundo real versus os exames ........................................................................................................................... ....... 86
Resolvendo problemas do plano de dados de LAN Switching ........................................................................................ 86
Viso geral do processo normal de encaminhamento dos switches ............................................................................. 86
Passo 1: ConfIrme os diagramas de rede utilizando CDP ............................................................................................ 88
Passo 2 : Isole os problemas de interface ............................................................................................................. ....... 89
Cdigos de status de interfaces e razes para os estados de no-funcionamento .................................................... 89
Estado notconnect e pinagem do cabeamento .......................................................................................................... 90
Questes sobre a velocidade da interface e do duplex ............................................................................................. 91
Passo 3: Isole problemas de fIltragem e de segurana de portas ................................................................................. 94
Passo 4 : Isole problemas de VLANS e de trunking .................................................................................................... 97
Assegurando que as interfaces de acesso corretas estejam nas VLANs corretas ..................................................... 97
VLANs de acesso no definidas ou ativas ............................................................................................................... 98
IdentifIque trunks e VLANs encaminhadas naqueles trunks .................................................................................... 98
Exemplo: resolvendo problemas do plano de dados ..................................................................................................... 99
Passo 1: verifIque a exatido do diagrama utilizando o CDP ..................................................................................... 100
Passo 2: verifIque a existncia de problemas de interfaces ....................................................................................... 102
Passo 3: verifIque a existncia de problemas de segurana de portas ....................................................................... 103
Passo 4: verifIque a existncia de problemas de VLANs e de trunks de VLANS ................................................... 105
Prevendo a operao normal do plano de dados do LAN Switching ............................................................................ 107
Broadcast de PC1 na VLAN 1 .................................................................................................................................. 107
Trajeto de encaminhamento: unicast de RI para PC1 ............................................................................................... 110
Atividade de preparao para o exame ................................................................................................................... 112
Revise todos os tpicos-chave ....................................................................................................................................... 112
Complete as tabelas e listas usando a memria .................................................................... ....... .................................. 113
Tpicos publicados do exame Cisco ICND2* ............................................................................................................ 114
Captulo 4 Roteamento IP: rotas estticas e diretamente conectadas ................ 117

., cooheo IstO.
. ?" . ............................................................................................................................. . 117
. ,. "Eu Ja
QuestIonano
Tpicos fundamentais ................................................................................................................................................ 119
Roteamento e endereamento IP .................................................................................................................................. 119
Roteamento IP ........................................................................................................................................................... 119
Endereamento IP e criao de sub-redes ................................................................................................................. 122
Encaminhamento IP atravs da combinao com a rota mais especfIca ............................................................... 124
DNS, DHCP, ARP e ICMP ....................................................................................................................................... 125
Fragmentao e MTU ................................................................................................................................................ 127
Endereamento IP secundrio .................................................................................................................................... 128
Dando suporte a rotas conectadas sub-rede zero ................................................................................................... 129
ConfIgurao ISL e 802.1Q em roteadores ............................................................................................................... 130
Rotas estticas ........................................................................................................................................................... 132
ConfIgurando rotas estticas ................................................................................................................................... 133
Comando ping estendido .......................................................................................................................................... 134
Rotas estticas padro ................................................................................................................................................... 135
Rotas padro utilizando o comando ip route ............................................................................................................... 136
Rotas padro utilizando o comando ip default-network ........................................................................................... 137
Resumo sobre rotas padro ........................................................................................................................................ 138
Roteamento classful e classless ............................................................................................................................ ..... 138
Resumo do uso dos termos classless e classful ...................................................................................................... 138
Comparao entre roteamento classless e classful ............................................................................................ ..... 139
~ .
XIII
Atividade de preparao para o exame ...................................................................................................................
Revise todos os tpicos-chave .......................................................................................................................................
Complete as tabelas e listas usando a memria .............................................................................................................
Definies de termos-chave ........................................................ ..................................................................................
Referncia aos comandos para verificar sua memria .................................................................................................
140
140
141
141
141
Captulo 5 VLSM e sumarizao de rotas ............................................................. 145

. , . "Eu Ja
. , conheo IstO.
. ?" .............................................................................................................................. . 145
Queshonano
VLSM ........................................................................................................................................................................ 147
Protocolos de roteamento classless e classful ............................................................................................................ 148
Sub-redes VLSM sobrepostas ................................................................................................................................... 148
Projetando um esquema de sub-redes utilizando VLSM ............................................................................................ 149
Acrescentando uma nova sub-rede a um projeto existente ....................................................................................... 151
Configurao do VLSM ............................................................................................ ................................................. 152
Sumarizao manual de rotas ........................................................................................................................................ 152
Conceitos de sumarizao de rotas ............................................................................................................................ 153
Estratgias de sumarizao de rotas ................................................................. ......................................................... 155
Exemplo de "melhor" sumarizao em Seville ........................................................................................................ 156
Exemplo de "melhor" sumarizao em Yosemite .................................................................................................... 157
Sumarizao automtica e redes classful no-contguas ............................................................................................... 157
Exemplo de sumarizao automtica ................................................. ........................................................................ 158
Redes classful no-contguas ..................................................................................................................................... 159
Configurao e suporte sumarizao automtica .................................................................................................... 160
Revise todos os tpicos-chave ............................................................... ..................... ................................................... 161
Complete as tabelas e listas usando a memria ............................................................................................................. 161
Definies de termos-chave .......................................................................................................................................... 161
Leia os cenrios do Apndice F ...................................................................................................... ............................... 162
Referncia aos comandos para verificar sua memria ................................................................................................. 162
Captulo 6 Listas e controle de acesso IP ............................................................ 165

. , . "Eu Ja
. , conheo IstO
. ?. " .............................................................................................................................. . 165
Queshonano
Lista de controle de acesso IP padro ........................................................................................................................... 168
Conceitos das ACLs IP padro ..................................................................................................................................... 168
Mscaras curinga .......................................................................................................................................................... 170
Uma alternativa mais rpida para interpretar mscaras curinga ................................................................................... 171
Configurao da lista de acesso IP padro .................................................................................................................... 172
ACL IP padro: Exemplo 1 ............................................................................................................................................ 173
ACL IP padro: Exemplo 2 ............................................................................................................................................ 174
Lista de controle de acesso IP estendidas .................................................................. ................................................. .. 175
Conceitos das ACLs IP estendidas ................................................................................................................................ 176
Combinando os nmeros das portas TCP e UDP ............................................................................. ............................ 177
Configurao de ACLs IP estendidas ............................................................................................................................ 179
Listas de acesso IP estendidas: Exemplo 1 ................................................................................................................... 180
Listas de acesso IP estendidas: Exemplo 2 ................................................................................................................... 181
Avanos no gerenciamento da configurao de ACLs ................................................................................................. 182
Listas de acesso IP nomeadas ....................................................................................................................................... 182
Editando ACLs usando nmeros de sequncia .............................................................................................................. 184
XIV
Tpicos variados sobre ACLs ........................................................................................................................................ 186
Controlando o acesso Telnet e SSH com ACLs ......................................................................................................... 186
Consideraes sobre a implementao de uma ACL .................................................................................................... 187
Listas de controle de acesso reflexivas ......................................................................................................................... 188
ACLs dinmicas ......................................................................................................................................................... 189
ACLs baseadas em tempo ......................................................................................................................................... 190
Revise todos os tpicos-chave ......................................................................... .............................................................. 190
Leia os cenrios do Apndice F ..................................................................................................................................... 191
DefInies de termos-chave .......................................................................................................................................... 191
Referncia aos comandos para verifIcar sua memria ................................................................................................. 191
Captulo 7 Resolvendo problemas de roteamento IP .......................................... 195

. , co nh eo IstO.
. ?" .............................................................................................................................. . 195
. , . "Eu Ja
Questlonano
Os comandos ping e traceroute ..................................................................................................................................... 195
ICMP (Internet Control Message Protocol, ou Protocolo de Mensagem de Controle da Internet) ........................ 196
O comando ping e as mensagens Beho Request e Beho Reply do ICMP .............................................................. 196
A mensagem ICMP de Destino Inalcanvel ......................................................................................................... 196
A mensagem ICMP de Redirecionar ...................................................................................................................... 198
A mensagem ICMP de Tempo Excedido ............................................................................ .................................... 199
O comando traceroute ................................................................................................................................................... 200
Resolvendo problemas relativos ao processo de encaminhamento de pacotes ............................................................. 201
Isolando problemas de roteamento IP relacionados a hosts ....................................................................................... 201
Isolando problemas de roteamento IP relacionados a roteadores .............................................................................. 203
Resoluo de problemas: Cenrio 1: Problema relativo rota avante .................................................................... 204
Resoluo de problemas: Cenrio 2: Problema relativo rota inversa ................................................................... 206
Processo alternativo de isolamento de problemas para os Passos 3, 4 e 5 ............................................................. 208
Ferramentas e dicas para resoluo de problemas ........................................................................................................ 208
Ferramentas de roteamento de hosts ......................................................................................................................... 208
Dicas para resoluo de problemas relacionados a hosts ....................................................................................... 208
Suporte IP a switches ........................................................ ...................................................................................... 209
Referncia ao show ip route ................................................... ................................................................................... 210
Status da interface ......................... ............................................................................................................................. 211
Questes relativas ao VLSM ..................................................................................................................................... 211
Reconhecendo quando o VLSM utilizado ............................................................................................................ 211
ConfIgurando sub-redes VLSM sobrepostas .......................................................................................................... 212
Sintomas de sub-redes sobrepostas ......................................................................................................................... 213
Resumo para resoluo de problemas relativos ao VLSM ..................................................................................... 214
Redes no-contguas e sumarizao automtica ........................................................................................................ 214
Dicas para resoluo de problemas de listas de controle de acesso .......................................................................... 215
Revise todos os tpicos-chave ... ....................................................................... ............................................................. 217
DefInies de termos-chave .......................................................................................................................................... 217
Tpicos publicados do exame Cisco ICND2* .......................... ..................................................................................... 218
,.
xv
Parte 111: Configurao e resoluo de problemas relativos a protocolos de
roteamento
Captulo 8 Teoria dos protocolos de roteamento .................................................. 221

. ?" ............... ...... .................................................................................................... ..... . 221
. ,. "Eu J' co nheo IstO.
Questlonano
Tpicos fundamentais ............................................................................................................................................... 223

Viso geral sobre os protocolos de roteamento dinmico .............................................................................. ................ 223
Funes do protocolo de roteamento .......................................................................................................................... 224
Protocolos de roteamento internos e externos ........................................................................................................... 225
Comparando IGPs ...................................................................................................................................................... 226
Algoritmos do protocolo de roteamento IGP ........................................................................................................... 226
Mtrica ............................................................................................................................................... ..................... 227
Comparaes do IGP: Resumo ............................................................................................................................... 228
Distncia administrativa ............................................................................................................................................. 229
Recursos do protocolo de roteamento vetor distncia ................................................................................................ 230
Conceito de distncia e de vetor ..................................... ........................................................................................... 230
Operao do vetor distncia em uma rede estvel ............ ........................................................................................ 231
Preveno de loops com o vetor distncia ................................................................................................................. 232
Route Poisoning (Envenenamento de rotas) ........................................................................................................... 232
Problema: contagem at o infInito em um nico link ............................................................................................... 233
Split Horizon .............................................................................. .............................................................................. 235
Poison Reverse e Triggered Updates ...................... ...................................................... .. ........................................ 236
Problema: contagem at o infInito em uma rede redundante .................................................................................. 237
O processo Holddowm e o Timer Holddown .............................. ............................................................................ 239
Resumo sobre vetor distncia .................................................................................................................................... 240
Recursos do protocolo de roteamento link-state ............................................................................................................ 240
Construindo o mesmo LSDB em todos os roteadores ............................................................................................... 241
Aplicando a matemtica Dijkstra SPF para encontrar as melhores rotas .................................................................. 242
Convergncia com os protocolos link-state ................................................................................................................ 243
Resumo e comparaes com relao aos protocolos vetor distncia ........................................................................ 244

Revise todos os tpicos-chave ............................................................................................... ........................................ 244
Complete as tabelas e listas usando a memria ................................... .......................................................................... 245
DefInies de termos-chave .............................................................................................................................. ............ 245
Captulo 9 OSPF .................................................................................................... 249

. ,. "Eu que Ja
. , co nh eo IstO.
. ?" ............................................................................. ........................................... 249
Questlonano
Protocolos OSPF ............................................................................ ............................................................................... 251
Vizinhos OSPF ....................................................... .................................................................................................... 251
IdentifIcando roteadores OSPF atravs do RIO (ID do roteador) ......... ................................................................ 252
Conhecendo e cumprimentando os vizinhos .................... ................................................................................ ........ 252
Possveis problemas ao se tomar um vizinho ................................................................................... ....................... 253
Estados entre vizinhos ............................................................................................................................................. 254
Troca de bancos de dados da topologia OSPF ........................................................................................................... 254
Viso geral do processo de troca de bancos de dados OSPF ................................................................................. 255
Escolhendo um roteador designado .................................................................................................................. ....... 255
XVI
Troca de bancos de dados ....................................................................................................................................... 256
Manuteno do LSDB estando completamente adjacente ..................................................................................... 256
Resumo dos estados entre vizinhos ......................................................................................................................... 257
Construindo a tabela de roteamento IP ...................................................................................................................... 257
Ajustando o OSPF atravs de um projeto hierrquico ........................................................ ....................................... 258
reas OSPF ............................................................................................................................................................ 259
Vantagens do projeto de reas OSPF ........................................................................................................................ 261
Configurao do OSPF .................................................................................................................................................. 261
Configurao do OSPF em uma nica rea ............................................................................................................... 261
Configurao do OSPF com vrias reas .................................................................................................................. 263
Configurando o RID CID do roteador) do OSPF ........................................................................................................ 265
Timers de Hello e Dead do OSPF .............................................................................................................................. 265
Mtrica do OSPF (Custo) ................................................................. ......................................................................... 266
Autenticao do OSPF ................................................................................................................................. .............. 267
Balanceamento de cargo OSPF ................................................................................................................................. 269
Definies de termos-chave .......................................................................................................................................... 270
Captulo 10 EIGRP ................................................................................................ 273

. , conheo Isto
. "?............................................................................................................................... . 273
. ,. "Eu Ja
Queshonano

Conceitos e operao do EIGRP ................................................................................................................................... 275
Vizinhos EIGRP ......................................................................................................................................................... 275
Trocando informaes sobre topologia no EIGRP ..................................................................................................... 276
Calculando as melhores rotas para a tabela de roteamento ....................................................................................... 277
Feasible Distance e Reported Distance .................................................................................................................. 278
Cuidados com a largura da banda em enlaces seriais ............................................................................................. 278
Convergncia no EIGRP ............................................................................................................................................ 279
Sucessores e sucessores possveis no EIGRP ........................................................................................................ 279
O processo de query and reply ............................................................................................................................... 280
Resumo do EIGRP e comparaes com OSPF ......................................................................................................... 281
Configurao e verificao do EIGRP .......................................................................................................................... 281
Configurao bsica do EIGRP (feasible successors) ............................................................................................... 282
Mtricas, sucessores e sucessores possveis no EIGRP ............................................................................................ 284
Criando e vendo uma rota para sucessor possvel .................................................................................................. 285
Convergncia usando a rota para sucessor possvel ............................................................................................... 286
Autenticao no EIGRP ............................................................................................................................................. 287
Nmero mximo de caminhos e varincia no EIGRP ................................................................................................ 289
Ajustando o clculo da mtrica no EIGRP ................................................................................................................. 290
Revise todos os tpicos-chave ....................................................................................................................................... ~91
Definio de termos-chave ............................................................................................................................................ 292
XVII
Captulo 11 Resolvendo problemas em protocolos de roteamento .................... 295

. ,. "E"
. ?" ............ ..................................... ............................................................................. . 295
u Ja co nheo Jsto.
Questlonano
Perspectivas sobre a resoluo de problemas em protocolos de roteamento ................................................................ 296
Interfaces habilitadas com um protocolo de roteamento ............................................................................................... 297
Exemplo de resoluo de problema em uma interface EIGRP .................................................................................. 297
Exemplo de resoluo de problemas em uma interface OSPF .................................................................................. 301
Relaes de vizinhana .................................................................................................................................................. 303
Requisitos para vizinhana no EIGRP ........................................................................................................................ 304
Requisitos para vizinhana no OSPF ................. ......................................................................................................... 306
Exemplo 1 de Vizinhana no OSPF ........................................................................................................................ 3m
Exemplo 2 de Vizinhana no OSPF ........................................................................................................................ 308
O requisito de MTU idntico ................................................................................................................................... 309
Referncia aos comandos para verificar sua memria .................................................. ............................................... 310
Parte IV: Redes de longa distncia (WANs)

Captulo 12 WANs ponto-a-ponto ... ....................................................................... 315
., co nh eo Isto
. "?............................................................................................................................... . 315
. ,. "Eu Ja
Questlonano
Conceitos de PPP .......................................................................................................................................................... 317
Campo Protocolo do PPP .......................................................................................................................................... 317
O LCP (Link Control Protocol) do PPP ............................ ......................................................................................... 318
Deteco de loop em enlace ................................................................................................................................... 319
Deteco de aprimoramento de erro ...................................................................................................................... 319
MultilinkPPP .......................................................................................................................................................... 319
Autenticao no PPP .................................... .......................................................................................................... 320
Configurao do PPP .................................................................................................................................................... 321
Operao bsica do PPP ........................................................................................................................................ 321
Configurao e verificao do CHAP .................................................................................................................... 322
Configurao do PAP ............................................................................................................................................. 323
Resolvendo problemas em enlaces seriais ........ ................ ............................................................................................. 323
Resolvendo problemas de camada 1 .......................................................................................................................... 324
Falha no keepalive ................................................................................................................................................... 326
Falha na autenticao com PAP e CHAP .............................................................................................................. 327
Deftnio de termos-chave ............................................................................................................................................ 330
Captulo 13 Conceitos de Frame Relay ................................................................ 333
. ,. "Eu Ja
. , co nh eo Isto
. "?................................................................................................................................ 333
Questlonano

Viso geral do Frame Relay .......................................................................................................................................... 335
Padres Frame Relay ................................................................................................................................................. 337
XVIII
Circuitos virtuais ......................................................................................................................................................... 337
LMI e tipos de encapsulamento ................................................................................................................................. 339
Endereamento no Frame Relay ................................................................................................................................... 341
Endereamento local no Frame Relay ....................................................................................................................... 341
Endereamento global no Frame Relay ..................................................................................................................... 341
Problemas da camada de rede em relao Frame Relay ........................................................................................... 343
Endereamento de camada 3 no Frame Relay: uma sub-rede contendo todos os DTE' Frame Relay ..................... 344
Endereamento de camada 3 no Frame Relay: uma sub-rede por VC ..................................................................... 344
Endereamento de camada 3 no Frame Relay: abordagem hfbrida ........................................................................... 345
Manipulao de broadcast na camada 3 .................................................................................................................... 346
Controlando a velocidade e os descartes na nuvem Frame Relay ................................................................................ 347
FECN e BECN .......................................................................................................................................................... 347
O bit DE (Discard Eligibility) ...................................................................................................................................... 348
Atividade de preparao para o exame .................................................................................................................. 348
Captulo 14 Configurao e resoluo de problemas de Frame Relay .............. . 351

. , cooheo lstO
. " ?. ............................................................................................................................. .. 351
. , . "Eu Ja
Quesuonano

Configurao e verificao do Frame Relay ................................................................................................................. 353
Planejando uma configurao de Frame Relay .......................................................................................................... 353
Rede totalmente em malha com uma sub-rede IP ..................................................................................................... 354
Configurando o encapsulamento e o LMI .................................................................................................................. 356
Mapeamento de endereos Frame Relay .................................................................................................................. 357
ARP Inverso ............................................................................................................................................................ 359
Mapeamento esttico no Frame Relay ................................................................................................................... 359
Rede parcialmente em malha com uma sub-rede IP por VC .................................................................................... 360
Atribuindo um DLCI a uma determinada subinterface ........................................................................................... 362
Comentrios a respeito de endereamento global e local ....................................................................................... 362
Verificao no Frame Relay .................................................................................................................................... 363
Rede parcialmente em malha com algumas partes totalmente em malha .................................................................. 364
Resoluo de problemas de Frame Relay ..................................................................................................................... 367
Sugesto de processo para resoluo de problemas de Frame Relay ....................................................................... 367
Problemas de camada 1 no link de acesso (passo 1) ................................................................................................. 368
Problemas de camada 2 no link de acesso (passo 2) ................................................................................................. 369
Problemas e estado do PVC (passo 3) ...................................................................................................................... 370
Encontrar a sub-rede conectada e a interface de safda (passos 3a e 3b) ............................................................... 371
Encontrar os PVCs atribudos interface (Passo 3c) ............................................................... ............................. 371
Determinar qual PVC est sendo usado para alcanar um determinado vizinho (passo 3d) .................................. 372
Estado do PVC ....................................................................................................................................................... 373
Estado de subinterface ............................................................................................................................................ 374
Problemas de mapeamento no Frame Relay (passo 4) .............................................................................................. 375
Encapsulamento fim-a-fim (passo 5) .......................................................................................................................... 375
Nmeros de sub-rede diferentes (passo 6) ................................................................................................................ 376
Leia os cenrios do apndice F ..................................................................................................................................... 377
Referncia aos comandos para verificar sua memria ........................................................................................ ......... 377
.1
:J
-I
:1
:
:1
:1
-I
:1
XIX
Captulo 15 Redes privadas virtuais ...................................................................... 379

. ,. "Eu Ja
. , conheo Isto
. "?............................................................................................................................... . 379
Queshonano
Fundamentos de VPN ................................................................................................................................................... 380
VPN s IPsec ................................................................................................................................................................... 383
Criptografia no IPsec ................................................................................................................................................. 383
Troca de chave no IPsec ............................................................................................................................................ 384
Autenticao e integridade de mensagem no IPsec .................................................................................................. 385
Protocolos de segurana ESP e AR ........................................................................................................................... 386
Consideraes sobre a implementao do IPsec ....................................................................................................... 386
VPNs SSL ....................................................................................................................... .............................................. 387

Captulo 16 Traduo de endereos de rede ....................................................... 393
. , co nh eo Isto
. "?. .............................................................................................................................. . 393
. , . "Eu Ja
Queshonano

Perspectivas a respeito da escalabilidade de endereamento no IPv4 .......................................................................... 395
CIDR .......................................................................................................................................................................... 396
Agregao de rotas para diminuir as tabelas de roteamento .................................................................................. 396
Conservao de endereos no IPv4 ........................................................................................................................ 397
Endereamento IP privado ......................................................................................................................................... 397
Conceitos de traduo de endereos de rede ................................................................................................................ 398
NAT esttico .............................................................................................................................................................. 398
NAT dinmico ............................................................................................................................................................ 400
Sobrecarregando o NAT com a Traduo de Endereos de Portas (PAT) ............................................................ 401
Traduzindo endereos sobrepostos .......................................................................................................................... 403
Configurao e resoluo de problemas de NAT .......................................................................................................... 404
Configurao do NAT esttico ................................................................................................................................... 404
Configurao do NAT dinmico ................................................................................................................................. 406
Configurao de sobrecarga do NAT (Configurao do PAT) .................................................................................. 409
Resoluo de problemas de NAT ............................................................................................................................... 411
DefInio de termos-chave ............................................................................................................................................ 412
Referncia aos comandos para verifIcar sua memria ................................................................................................. 413
Captulo 17 IP verso 6 ......................................................................................... 415

. , conh eo Isto
. "?............................................................................................................................... . 415
. ,. "Eu Ja
Queshonano

Endereamento unicast global, roteamento e diviso em sub-redes .............................................................................. 418
Agregao global de rotas para roteamento efIciente ................................................................................................ 418
Convenes para representar endereos IPv6 .......................................................................................................... 420
Convenes para escrever prefIxos IPv6 .................................................................................................................. 421
Exemplo de atribuio de prefIxo unicast global ........................................................................................ ................ 423
xx
Dividindo endereos IPv6 unicast globais dentro de uma empresa ........................................................................... 424
Terminologia para prefixos ......................................................................................................................................... 426
Protocolos e endereamento no IPv6 ............................................................................................................................ 426
DHCP para IPv6 ........................................................................................................................................................ 427
Atribuio de endereo de host no IPv6 .................................................................................................................... 427
lD de interface no IPv6 e o formato EUI-64 .......................................................................................................... 427
Configurao esttica de endereos IPv6 ............................................................................................................. .. 428
Autoconfigurao stateless e anncios do roteador ................................................................................................ 429
Resumo da configurao de endereos IPv6 .......................................................................................................... 430
Descobrindo o roteador default com NDP ................................................................................................................. 431
Aprendendo o(s) endereo(s) IP de servidores DNS ................................................................................................ 431
Endereos IPv6 .......................................................................................................................................................... 431
Endereos IPv6 unicast ........................................................................................................................................... 432
Endereos multicast e outros endereos especiais IPv6 ......................................................................................... 433
Resumo dos protocolos e endereamento IP ............................................................................................................. 433
Configurando o roteamento e os protocolos de roteamento IPv6 .................................................................................. 434
Protocolos de roteamento IPv6 .................................................................................................................................. 435
Configurao do IPv6 ................................................................................................................................................ 435
Opes de transio para IPv6 ..................................................................................................................................... 438
Pilha dupla IPv4IIPv6 ................................................................................................................................................. 438
Tunelamento ............................................................................................................................................................... 438
Fazendo tradues entre IPv4 e IPv6 com NAT-PT ................................................................................................. 440
Resumo da transio .................................................................................................................................................. 440
Atividade de preparao para o exame .................................................................................................................. 440
Referncia aos comandos para verificar sua memria .................................................. ............................................... 441
Parte VI: Preparao Final

Captulo 18 Preparao Final ................................................................................ 447
Ferramentas para preparao final ................................................................................................................................ 447
O CCNA Prep Center da Cisco ................................................................................................................................. 447
Captulos adicionais sobre diviso em sub-redes, pginas de referncia e problemas prticos ................................. 447
Cenrios ..................................................................................................................................................................... 448
Plano de estudos .......................................................................................................................................... .................. 448
Recorde os fatos ........................................................................................................................................................ 448
Pratique a diviso em sub-redes ................................................................................................................................. 449
Desenvolva habilidades na resoluo de problemas atravs de cenrios .................................................................. 450
Resumo ....................................................................................................................................................................... 450
Parte VII: Apndices

Apndice A Respostas para os questionrios "Eu j conheo isto?" .................. 455
Captulo 1 .................................................................................................................................................................... 455
Captulo 2 .................................................................................................................................................................... 455
Captulo 4 .................................................................................................................................................................... 456
Captulo 5 .................................................................................................................................................................... 456
Captulo 6 ............................................................................... ..................................................................................... 457
Captulo 8 ............................................................................................ ........................................................................ 458
Captulo 9 .................................................................................................................................................................... 458
'I:
~,
~
.
I.
XXI
Captulo 10 .................................................................................................................................................................. 459
Captulo 12 .................................................................................................................................................................. 459
Captulo 13 .................................................................................................................................................................. 460
Captulo 14 .................................................................................................................................................................. 460
Captulo 15 .................................................................................................................................................................. 461
Captulo 16 .................................................................................................................................................................. 461
Captulo 17 .................................................................................................................................................................. 462
Apndice B Tabela de converso de decimal para binrio ................................... 465

Apndice C Atualizaes do Exame ICND2: Verso 1 ........................................ 469
Glossrio ................................................................................................................ 471
ndice Remissivo .................................................................................................... 484
XXII
Introduo
Icones usados neste livro
Servidor
Web
Impressora
Roteador
PBX
Navegador
Web
Telefone
PC
Laptop
Telefone IP
Switch
multi-servio
Ponto de acesso
Modem
de Cabo
Switch
ASA
Servidor
CSUIDSU
Switch ATM
Switch
Frame Relay
DSLAM
Switch WAN
~
Hub
Nuvem de rede
PIX Firewall
Ponte
Conexo sem fio
z
Conexo Ethemet
Conexo
de linha serial
Circuito virtual
Convenes de sintaxe de comandos

As convenes usadas para apresentar a sintaxe de comandos neste livro so as mesmas convenes usadas no lOS
Command Reference. O Command Reference (Referncia a Comandos) descreve essas convenes da seguinte forma:
Negrito indica comandos e palavras-chave que so inseridos literalmente conforme mostrados. Em resultados e
exemplos reais de configurao (no em sintaxe de comandos gerais), o negrito indica comandos que so manualmente inseridos pelo usurio (como, por exemplo, um comando show).
Itlico indica argumentos para os quais voc fornece valores reais.
Barras verticais (I) separam elementos alternativos e mutuamente excludentes.

Colchetes [ ] indicam elementos opcionais.
Chaves { } indicam uma escolha obrigatria.
Chaves contidas em colchetes [{ }] indicam uma escolha obrigatria dentro de um elemento opcional.
.'
."
Prefcio
CCNA ICND2 Guia Oficial de Certificao do Exame, segunda edio, uma excelente fonte para o estudo
autodidata para o exame CCNA ICND2. Passar no exame ICND2 significa validar o conhecimento e as habilidades
necessrias para obter sucesso ao instalar, operar e identificar problemas em redes empresariais de pequeno a
mdio porte. Este um de dois exames exigidos para a obteno da certificao CCNA.
A obteno da certificao em tecnologias Cisco essencial para o desenvolvimento educacional contnuo do
atual profissional da rea de comunicao em rede. Atravs de programas de certificao, a Cisco valida as
habilidades e a experincia exigidas para gerenciar de forma eficaz a moderna rede empresarial.
Os guias de certificao para exames e materiais de preparao da Cisco Press oferecem acesso excepcional e
flexvel ao conhecimento e s informaes necessrias para se manter atualizado em seu campo de atuao ou
para obter novos conhecimentos. Quer seja usado como suplemento para um treinamento mais tradicional ou
como fonte principal de aprendizado, estes materiais oferecem aos usurios as informaes e a validao de
conhecimento necessrias para adquirir um novo entendimento e uma nova proficincia.
Desenvolvido em conjunto com a equipe de treinamento e de certificaes da Cisco, os livros da Cisco Press so
os nicos livros autodidatas autorizados pela Cisco, e oferecem aos estudantes uma srie de ferramentas para a
realizao de exames simulados e materiais de recurso para assegurar que o aluno consiga assimilar completamente
os conceitos e as informaes apresentadas.
Na Cisco Learning Solutions Partners (Parceiros de Solues de Aprendizado Cisco), encontram-se cursos
dados por instrutores, aprendizado eletrnico, laboratrios e simulaes adicionais autorizados pela Cisco. Para
mais informaes visite a pgina http://www.cisco.com/go/training.
Espero que estes materiais sejam uma parte enriquecedora e de grande utilidade durante o seu preparo para o
exame.
Erik Ullanderson
Gerente de Certificaes Globais
Learning@Cisco
Agosto, 2007
XXIV
Introduo
Introduo
Parabns! Se voc estiver manuseando este livro ao ponto de ler sua introduo, provvel que j tenha decidido partir
em busca de uma certificao da Cisco. Se voc deseja obter sucesso como tcnico na indstria de comunicao em
rede, preciso conhecer a Cisco. Ela dona de uma fatia extremamente grande do mercado na rea de roteadores e
switches, com mais de 80 por cento do mercado em determinadas reas. Em muitos lugares e mercados ao redor do
mundo, comunicao em rede sinnimo de Cisco. Se seu desejo ser reconhecido seriamente como engenheiro de
rede, a certificao da Cisco faz total sentido.
Historicamente falando, a primeira certificao Cisco para iniciantes a certificao Cisco Certified Network Associate
(CCNA), oferecida pela primeira vez em 1998. As trs primeiras verses da certificao CCNA (1998, 2000 e 2002)
exigiam que voc passasse em um nico exame para se tomar certificado. Entretanto, com o passar do tempo, o exame
continuou crescendo, tanto em quantidade de material abordado quanto no nvel de dificuldade das questes. Portanto,
para a quarta grande reviso dos exames, anunciada em 2003, a Cisco continuou com uma nica certificao (CCNA),
mas passou a oferecer duas opes para que os exames fossem certificados: uma opo de exame nico e uma opo
formada por dois exames. A opo de dois exames permitia que as pessoas estudassem aproximadamente metade do
material, fizessem e passassem em um exame antes de seguir para o prximo.
Emjunho de 2007, a Cisco anunciou mudanas na certificao CCNA e nos exames. Este anncio inclua vrias mudanas,
principalmente:
Os exames passam a abranger coletivamente uma gama mais ampla de tpicos.
Os exames aumentam o foco na comprovao das habilidades do candidato (em comparao com somente o teste
de conhecimento).
A Cisco criou uma nova certificao para iniciantes: a certificao Cisco Certified Entry Network Technician
(CCENT)
Para as certificaes atuais, anunciadas em junho de 2007, a Cisco criou os exames rCND1 (640-822) e rCND2 (640812), junto com o exame CCNA (640-802). Para se certificar no CCNA, voc pode passar nos exames rCND1 e
rCND2, oferecendo-lhe duas opes para a obteno da sua certificao Cisco. O caminho que envolve os dois exames
oferece s pessoas menos experientes a chance de estudar para um conjunto menor de tpicos de cada vez, ao passo
que, na opo de exame nico, o caminho apresenta mais vantagens para aqueles que desejam se preparar para todos os
tpicos de uma s vez.
Embora a opo de dois exames possa ser til para alguns candidatos certificao, a Cisco elaborou o exame rCND 1
com um objetivo muito mais importante em mente. A certificao CCNA cresceu ao ponto de testar o conhecimento e as
habilidades alm do que um tcnico iniciante em rede precisaria ter. A Cisco precisava de uma certificao que refletisse
melhor as habilidades exigidas para cargos iniciantes em comunicao em rede. Portanto, ela elaborou o seu curso
Interconnecting Cisco Networking Devices 1 (ICND1), e o exame rCND1 (640-822) correspondente, de forma a incluir
o conhecimento e as habilidades mais necessrios a um tcnico iniciante em uma pequena rede empresarial. Para
mostrar que voc possui as habilidades necessrias para ocupar um cargo de iniciante, a Cisco criou uma nova certificao,
a CCENT, que pode ser obtida com a aprovao no exame rCND 1.
A Figura r-I mostra a organizao bsica das certificaes e dos exames usados para obter as certificaes CCENT e
CCNA. (Observe que no existe nenhuma certificao separada para aprovao no exame rCND2.)
Figura 1-1. Certificaes e Exames Cisco para lniciantes
Fazer exame
ICND1 (640-822)
Se aprovado
Certificado
TFazer exame
CCENT - - - - - - + ICND2 (640-816)
Se a,,","d,
Fazer exame
Se aprovado
Certificado
CCNA (640-802) - - . . . . . . : . - - - - - - - - - - - - - - - - , CCNA
it.
,fJ.
CCNA ICND2
XXV
Como voc pode ver na figura, embora a certificao CCENT possa ser obtida fazendo o exame ICND 1, no necessrio
ter a certificao CCENT primeiro para obter a sua certificao CCNA - voc pode optar por fazer somente o exame
CCNA sem ter de fazer o CCENT.
Os exames ICNDI e ICND2 abrangem diversos conjuntos de tpicos, com muito pouca sobreposio de assuntos. Por
exemplo, o ICNDI abrange endereamento IP e criao de sub-redes, enquanto o ICND2 abrange uma utilizao mais
complicada de sub-redes chamada VLSM (mascaramento de sub-redes de compartilhamento varivel); portanto o ICND2
deve abranger sub-redes de alguma forma. O exame CCNA abrange todos os tpicos abordados nos exames ICNDI e
ICND2.
Embora a popularidade da certificao CCENT s poder ser vista com o passar de alguns anos, certamente a certificao
CCNA da Cisco desfruta uma posio como programa mais popular de certificao para iniciantes em comunicao em
rede. Uma certificao CCNA prova que voc possui um embasamento slido nos componentes mais importantes da
linha de produtos Cisco, ou seja, roteadores e switches. Prova tambm que voc possui um amplo conhecimento de
protocolos e tecnologias de rede.
Formato dos exames CCNA

Todos os exames ICNDI, ICND2 e CCNA seguem o mesmo formato geral. Ao chegar ao local de realizao do teste e
confirmar sua presena, o responsvel por tomar conta da prova, aps dar-lhe algumas instrues gerais, o levar para
uma sala silenciosa com um Pc. J em frente ao PC, h algumas coisas que vale a pena fazer antes que o cronmetro
seja iniciado em seu exame. Voc pode, por exemplo, responder a um teste modelo, s para se acostumar com o PC e
com o mecanismo do teste. Qualquer pessoa que tenha conhecimento de usurio no uso de PCs no dever ter problemas
com o ambiente do teste. Alm disso, o Captulo 18, "Preparao Final", introduz um site Cisco onde pode ser vista uma
demonstrao do mecanismo de testes da Cisco.
Ao comear o exame, uma srie de questes lhe so apresentadas. Voc deve responder a cada questo e, em seguida,
passar para a prxima. O mecanismo do exame no permite que voc volte e mude uma resposta dada. Sim,
verdade - ao passar para a questo seguinte, a questo anterior considerada irreversvel.
As questes do exame podem ter um dos seguintes formatos:
Mltipla escolha
Testlets
Arrastar-e-soltar
Laboratrio simulado
Simlets
Os trs primeiros tipos de questes so relativamente comuns em vrios ambientes de testes. O formato mltipla escolha
simplesmente requer que voc aponte e clique em um crculo ao lado da resposta(s) correta(s). A Cisco tradicionalmente
lhe diz quantas respostas voc precisa escolher, e o software do teste impede que voc escolha mais respostas do que
necessrio. Testlets so questes que apresentam um cenrio geral, com vrias questes de mltipla escolha relativas a
este cenrio geral. Questes do tipo Arrastar-e-soltar requerem que voc clique com o boto do mouse e o mantenha
pressionado, mova um boto ou cone para outra rea, e solte o boto do mouse para colocar o objeto em outro lugar normalmente em uma lista. Portanto, em alguns casos, para acertar a questo, possvel que voc tenha que colocar uma
lista de cinco itens na ordem adequada.
Os dois ltimos tipos utilizam um simulador de rede para fazer perguntas. interessante notar que os dois tipos permitem
que a Cisco avalie duas habilidades bastante diferentes. Primeiro, as questes do tipo Laboratrio Simulado geralmente
descrevem um problema e a sua tarefa configurar um ou mais roteadores ou switches para consertar o problema. O
exame ento pontua a questo com base na configurao que voc alterou ou acrescentou. Novamente, interessante
notar que as questes do tipo Laboratrio Simulado so as nicas questes que a Cisco (at hoje) admite abertamente
conceder pontuao parcial.
As questes do tipo Simlet possivelmente so o estilo mais difcil de questo nestes exames. Este tipo de questo tambm
utiliza um simulador de rede, mas, em vez de responder questo alterando a configurao, a questo inclui uma ou mais
questes de mltipla escolha. As questes requerem a utilizao do simulador para examinar o comportamento atual de
XXVI
Introduo
uma rede, interpretando o resultado de sada de qualquer comando show do qual voc se lembre para responder
questo. Enquanto as questes do tipo Laboratrio Simulado requerem que voc resolva problemas relacionados a uma
configurao, as questes do tipo Simlet requerem que voc analise redes em funcionamento normal e redes com
problemas, correlacionando os resultados de sada dos comandos show com seu conhecimento de teoria sobre redes e
comandos de configurao.
o que cai
nos Exames CCNA?
Desde os meus tempos de escola, sempre que o professor anunciava que em breve teramos um teste, algum sempre
perguntava: o que vai cair no teste? Mesmo j na universidade, todos tentavam obter mais informaes sobre o que cairia
nos exames. No fundo, o objetivo saber o que deve ser estudado com mais afinco, o que deve ser estudado mais
superficialmente, e o que no deve ser estudado.
A Cisco deseja que o pblico conhea a variedade de tpicos e tenha uma idia sobre os tipos de conhecimento e
habilidades necessrios para cada tpico, para cada exame de certificao da Cisco. Com este propsito, a Cisco publica
um conjunto de objetivos para cada exame. Os objetivos relacionam os tpicos especficos, como endereamento IP, RIP
e VLANs. Os objetivos tambm indicam os tipos de habilidades necessrias para aquele tpico. Um objetivo, por exemplo,
poderia comear com "Descrever... " e outro com "Descrever, configurar e resolver... ". O segundo objetivo deixa claro
que voc precisa ter um entendimento profundo e completo daquele tpico. Ao relacionar os tpicos e o nvel de
conhecimento, a Cisco nos ajuda a preparar para os exames.
Embora os objetivos do exame ajudem bastante, tenha em mente que a Cisco deixa claro que os tpicos relacionados
para todos os seus exames de certificao so apenas diretrizes. A Cisco se esfora em manter as questes do exame
dentro dos limites dos objetivos apresentados, e, por experincia prpria, em conversas com pessoas envolvidas no
processo, sei que todas as questes so analisadas quanto ao seu enquadramento dentro dos tpicos de exame apresentados.
Tpicos do exame ICND1

A Tabela I-I relaciona os tpicos do exame ICND1. Os tpicos do exame ICND2 so apresentados logo a seguir na
Tabela 1-2. Embora os tpicos de exame apresentados no sejam enumerados na Cisco.com, a Cisco Press, na verdade,
enumera os tpicos dos exames para facilitar a referncia. A tabela tambm apresenta as sees do livro nas quais
abordado cada tpico do exame. Como os tpicos podem mudar com o tempo, verifique-os conforme relacionados em
Cisco.com (especificamente, em http://www.cisco.comlgo/ccna). Se a Cisco vier a realmente acrescentar tpicos dos
exames posteriormente, observe o Apndice C deste livro que descreve como ir at a pgina http://www.ciscopress.com
e baixar as informaes adicionais referentes aos tpicos recm acrescentados.
Observao
A tabela inclui partes destacadas em cinza que sero explicadas na prxima
seo "Tpicos do Exame CCNA".
Tabela I-I. Tpicos do Exame ICNDJ
Nmero de referncia
Sees do livro
ICND1 onde o tpico
abordado
Tpico do exame
Descrever a operao das redes de dados
Descrever o propsito e as funes de vrios

dispositivos de rede
Selecionar os componentes necessrios para

satisfazer a uma determinada especificao de
rede
I, lI, III
Utilizar os modelos OSI e TCPIIP e seus

protocolos associados para explicar como os
dados fluem em uma rede
le
r
CCNA ICND2 XXVII
Descrever aplicativos de rede comuns incluindo

aplicativos Web
Descrever o propsito e a operao bsica dos

protocolos nos modelos OSI e TCP
Descrever o impacto de aplicativos (Voice

Over IP e Video Over IP) em uma rede
I-IV
Interpretar diagramas de rede
I-IV
Determinar o trajeto entre dois hosts dentro

de uma rede
I, m , IV
Descrever os componentes necessrios para

comunicao na rede e na Internet
10
I-IV
Identificar e corrigir problemas de rede comuns

nas camadas 1, 2, 3 e 7 utilizando uma
abordagem de modelos em camadas
11
II, m
Diferenciar entre operaes e recursos LAN/WAN

Implementar uma pequena rede de switches
12
II
13
II
14
II
Explicar segmentao de rede e conceitos

bsicos de gerenciamento de trfego
15
II
Explicar a operao dos switches Cisco e

conceitos bsicos de switching
16
II
Executar, salvar e verificar as tarefas de

configurao inicial do switch, incluindo o
gerenciamento de acesso remoto
17
II
Verificar o status da rede e a operao do

switch utilizando recursos bsicos (incluindo:
ping, traceroute, telnet, SSH, arp, ipconfig), e
comandos SHOW & DEBUG
18
II
Implementar e verificar a segurana bsica de

um switch (segurana da porta, desativao
de portas)
19
II
Identificar, prescrever e resolver questes

comuns relativas a redes de switches, questes
de configurao, negociao automtica e
falhas no hardware de switches
Selecionar as mdias, cabos, portas e conectores

adequados para conectar switches a outros
dispositivos e hosts de rede
Explicar a tecnologia e o mtodo de controle
de acesso ao meio para tecnologia Ethernet
Implementar um esquema de endereamento

IP e servios IP para satisfazer as exigncias
de rede para um pequeno escritrio empresarial
XXVIII
Introduo
20
I, III
Descrever a necessidade e o papel do

endereamento em redes
21
I, III
Criar e aplicar um esquema de endereamento

a uma rede
22
III
Designar e verificar endereos IP vlidos para

hosts, servidores e dispositivos de rede em um
ambiente de LAN
23
IV
Explicar os usos bsicos e a operao do NAT

em uma pequena rede conectando a um ISP
24
I, III
Descrever e verificar a operao DNS
25
III,IV
Descrever a operao e os benefcios de se

utilizaro endereamento IP pblico e privado
26
III, IV
Ativar o NAT para uma pequena rede com

um nico ISP e uma nica conexo utilizando
SDM e verificar a operao utilizando CU
eping
27
III
Configurar, verificar e resolver problemas nas

operaes DHCP e DNS em um roteador.
(incluindo: CLIISDM)
28
UI
Implementar servios de endereamento

esttico e dinmico para hosts em um ambiente
deLAN
29
III
Identificar e corrigir
endereamento IP
questes
de
Implementar uma pequena rede roteada
30
I, III
Descrever conceitos bsicos de roteamento

(incluindo: encaminhamento de pacotes,
processo de consulta a roteadores)
31
lU
Descrever a operao de roteadores Cisco

(incluindo: processo de inicializao de
roteadores, POST, componentes de roteadores)
32
I, III
Selecionar as mdias, cabos, portas e conectores

adequados para conectar roteadores a outros
dispositivos e hosts de rede
33
III
Configurar, verificar e resolver problemas

de RIPv2
34
III
Acessar e utilizar o roteador CLI para

estabelecer parmetros bsicos
35
III
Conectar, configurar e verificar o status das

operaes da interface com um dispositivo
CCNA ICND2 XXIX

Tabela l-I Tpicos do Exame ICNDI (Continuao)
36
III
Verificar a configurao dos dispositivos e a conectividade de rede utilizando ping, traceroute,

telnet, SSH ou outros recursos
37
III
Executar e verificar as tarefas de configurao de roteamento para uma rota esttica ou padro
de acordo com certos requisitos especficos de roteamento
38
III
Gerenciar arquivos de configurao lOS (incluindo: salvar, editar, atualizar, restaurar)
39
III
Gerenciar o Cisco lOS
40
III
Implementar senhas e segurana fsica
41
III
Verificar o status de rede e a operao dos roteadores utilizando recursos bsicos (incluindo:
ping, traceroute, telnet, SSH, arp, ipconfig) e comandos SHOW & DEBUG
Explicar e selecionar
~s
tarefas administrativas adequadas exigidas para uma WLAN
42
11
Descrever padres associados com meios de comunicao sem fio (incluindo: IEEE, WI-FI
Alliance, ITUIFCC)
43
II
Identificar e descrever o propsito dos componentes em uma pequena rede de comunicao

sem fio (incluindo: SSID, BSS, ESS)
44
11
Identificar os parmetros bsicos a serem configurados em uma rede sem fio para garantir que
os dispositivos se conectem ao ponto de acesso correto
45
11
Comparar e contrastar caractersticas de segurana de comunicao sem fio e capacidades de

segurana WPA (incluindo: open, WEP, WPA-1I2)
46
11
Identificar questes comuns com a implementao de redes de comunicao sem fio

Identificar ameaas de segurana para uma rede e descrever mtodos gerais para mitigar essas
ameaas
47
Explicar as crescentes ameaas atuais segurana de redes e a necessidade de implementar

uma poltica de segurana abrangente para mitigar as ameaas
48
Explicar mtodos gerais para mitigar ameaas comuns segurana de dispositivos, hosts e
aplicativos de rede
49
Descrever as funes de instrumentos e aplicativos de segurana comuns
50
I, n, III Descrever as prticas recomendadas de segurana incluindo os passos iniciais para se ter
dispositivos de rede seguros
Implementar e verificar links WAN
51
IV
Descrever diversos mtodos para conexo com uma WAN
52
IV
Configurar e verificar uma conexo WAN serial
Tpicos do exame ICND2

A Tabela 1-2 relaciona os tpicos do exame ICND2 (640-816), junto com as sees do livro no Guia Oficial de Certificao
do Exame CCNA ICND2 nas quais cada tpico abordado.
xxx
Introduo
Tabela 1-2 Tpicos do Exame ICND2

Nmero de referncia Sees do livro ICND2 onde o tpico abordado
Tpico do exame
Configurar, verificar e resolver problemas de um switch com VLANs e

comunicao interswitch
101
Descrever tecnologias avanadas de switching (incluindo: VTP, RSTP, VLAN, PVSTP, 802.1q)
102
Descrever como as VLANs criam redes logicamente separadas e a necessidade de roteamento

entre elas
103
Configurar, verificar e resolver problemas relativos a VLANs
104
Configurar, verificar e resolver problemas relativos a trunking em switches Cisco
105
11
Configurar, verificar e resolver problemas relativos a roteamento interVLAN
106
Configurar, verificar e resolver problemas relativos a VTP
107
Configurar, verificar e resolver problemas relativos operao RSTP
108
Interpretar o resultado de vrios comandos show e debug para verificar o status operacional de
uma rede de switches Cisco
109
Implementar a segurana bsica de switches (incluindo: segurana de portas, portas no atribudas,

acesso a tronco, etc)
Implementar um esquema de endereamento IP e de servios IP para satisfazer as

exigncias de rede em uma rede empresarial de porte mdio
110
11
Calcular e aplicar um projeto de endereamento IP VLSM a uma rede
111
11
Determinar o esquema adequado de endereamento classless utilizando VLSM e sumarizao

para satisfazer as exigncias de endereamento em urna LAN/WAN
112
Descrever as exigncias tecnolgicas para executar o IPv6 (incluindo: protocolos, pilha dupla,
tunneling, etc)
113
Descrever endereos IPv6
114
11, III
Identificar e corrigir problemas comuns associados com o endereamento IP e configuraes de

hosts
Configurar e resolver problemas bsicos de operao e roteamento em dispositivos Cisco

115
111
Comparar e contrastar mtodos de roteamento e protocolos de roteamento
116
111
Configurar, verificar e resolver problemas relativos a OSPF
117
111
Configurar, verificar e resolver problemas relativos a EIGRP
118
11, III
Verificar a configurao e a conectividade utilizando ping, traceroute, telnet ou SSH
119
11, III
Resolver problemas relativos a questes de implementao de roteamento
120
11, I1I, IV
121
11
Verificar a operao do hardware e do software de roteadores utilizando comandos

SHOW & DEBUG
Implementar a segurana bsica de roteadores
CCNA ICND2 XXXI
Implementar, verificar e resolver problemas relativos a NAT e ACLs em uma rede empresarial de mdio porte
122
II
Descrever o propsito e os tipos de listas de controle de acesso
123
II
Configurar e aplicar listas de controle de acesso com base nas exigncias de filtragem de rede
124
II
Configurar e aplicar uma lista de controle de acesso para limitar o acesso telnet e SSH a roteadores
125
II
Verificar e monitorar ACLs em um ambiente de rede
126
II
Resolver problemas relativos a questes de implementao ACL
127
Explicar a operao bsica do NAT
128
Configurar o Network Address Translation (Traduo de Endereos de Rede) para determinadas

exigncias de rede utilizando CU
129
Resolver problemas relativos a questes de implementao do NAT
Implementar e verificar links WAN
130
IV
Configurar e verificar Frame Relay em roteadores Cisco
131
IV
Resolver problemas relativos a questes de implementao da WAN
132
IV
Descrever a tecnologia VPN (incluindo: importncia, benefcios, funo, impacto, componentes)
133
IV
Configurar e verificar a conexo com o PPP entre roteadores Cisco
Tpicos do exame CCNA

Na verso anterior dos exames, o exame CCNA abrangia boa parte do que constava no exame ICND (640-811),
acrescido da abordagem de tpicos no exame INTRO (640-821). O novo exame CCNA (640-802) abrange todos os
tpicos dos exames ICND1 (640-822) e ICND2 (640-816). Um dos motivos para uma abordagem mais equilibrada nos
exames que alguns dos tpicos que costumavam aparecer no segundo exame passaram a fazer parte do primeiro.
O novo exame CCNA (640-802) abrange todos os tpicos dos exames ICND1 e ICND 2. Os tpicos oficiais do exame
CCNA 640-802, apresentados na pgina http://www.cisco.com. incluem todos os tpicos relacionados na Tabela 1-2 para
o exame ICND2, acrescido da maior parte dos tpicos do exame ICND1, relacionados na Tabela I-L Os nicos tpicos
de exame dessas duas tabelas que no so relacionados como tpicos do exame CCNA so os tpicos destacados em
cinza na Tabela I-L Entretanto, observe que os tpicos em cinza ainda so abordados no exame CCNA 640-802. Estes
tpicos s no esto relacionados entre os tpicos do exame CCNA porque um dos tpicos do exame ICND2 se refere
aos mesmos conceitos.
Esboo do curso ICND1 e ICND2

Outra forma de se direcionar em relao aos tpicos dos exames olhar o esboo do curso relativo aos cursos desejados.
A Cisco oferece dois cursos autorizados relacionados ao CCNA: o Interconnecting Cisco Network Devices 1 (ICND1)
(lnterconectando Dispositivos de Rede Cisco 1) e o Interconnecting Cisco Network Devices 2 (ICND2)
(Interconectando Dispositivos de Rede Cisco 2). A Cisco autoriza a CLSP (Certified Learning Solutions Providers, ou
Provedores Certificados para Solues de Aprendizado) e a CLP (Certified Learning Partners, ou Parceiros de
Aprendizado Cisco) a ministrar essas aulas. Essas empresas autorizadas podem tambm criar apostilas de cursos
customizadas utilizando este material, em alguns casos para ministrar aulas voltadas para a aprovao no exame CCNA.
XXXII
Introduo
Sobre o Guia Oficial de Certificao do Exame CCENT/CCNA

ICND1 e o Guia Oficial de Certificao do Exame CCNA ICND2
Conforme mencionado anteriormente, a Cisco separou o contedo abordado pelo exame CCNA em duas partes: tpicos
normalmente utilizados por engenheiros que trabalham em uma rede empresarial pequena (ICNDl), com os tpicos
adicionais normalmente utilizados por engenheiros de empresas de porte mdio sendo abordados pelo exame ICND2. Da
mesma forma, a srie Guia de Certificao do Exame CCNA inclui dois livros para o CCNA - CCENT/CCNA fCNDI
Guia Oficial de Certificao do Exame e o CCNA fCND2 Guia Oficial de Certificao do Exame. Estes dois livros
abrangem a gama de tpicos em cada exame, normalmente com um pouco mais de profundidade do que exigido para
os exames, simplesmente para assegurar que os livros preparem o candidato para as questes mais difceis do exame.
As sees apresentadas a seguir relacionam a variedade de recursos existentes neste livro e no CCENT/CCNA Guia
Oficial de Certificao do Exame. Ambos os livros possuem os mesmos recursos bsicos; portanto, se estiver lendo
este livro e o livro ICNDl, voc no precisar ler a introduo dos dois livros. Alm disso, para aqueles que estejam
usando ambos os livros para se preparar para o exame CCNA 640-802 (em vez de realizar a opo de dois exames), ao
final desta introduo ser apresentada uma sugesto de plano de leitura.
Objetivos e mtodos
o objetivo mais importante e, de certa forma, bvio deste livro ajud-lo a passar no exame ICND2 e no exame CCNA.
De fato, se o objetivo principal deste livro fosse diferente, o seu ttulo seria enganoso! Entretanto, os mtodos utilizados
neste livro para ajud-lo a passar nos exames tambm so elaborados para que voc adquira um conhecimento muito
maior sobre como realizar seu trabalho.
Este livro utiliza vrias metodologias importantes para ajud-lo a descobrir os tpicos do exame que precisam de mais
revises, para ajud-lo a entender por completo e lembrar-se destes detalhes, e para ajud-lo a provar a si mesmo que
assimilou seu conhecimento sobre estes tpicos. Portanto, este livro no pretende ajud-lo a passar em exames
simplesmente atravs da memorizao, mas atravs de um verdadeiro aprendizado e entendimento dos tpicos. A
certificao CCNA a base para a obteno de muitas certificaes profissionais da Cisco, e seria uma desconsiderao
a voc se este livro no o ajudasse a verdadeiramente aprender a matria. Por isso, este livro o ajuda a passar no exame
CCNA utilizando os seguintes mtodos:
Ajudando-o a descobrir quais tpicos do exame voc ainda no domina
Proporcionando explicaes e informaes para preencher as lacunas do seu conhecimento
Fornecendo exerccios que aprimoram a sua capacidade de lembrar e deduzir respostas s questes do teste
Caractersticas do livro
Para ajud-lo a customizar seu tempo de estudo utilizando estes livros, os captulos principais possuem vrios recursos
que o ajudam a tirar maior proveito do seu tempo:
Questionrios ''Eu j conheo isto?": Cada captulo comea com um questionrio que o ajuda a determinar
quanto tempo ser necessrio para estudar o captulo.
Tpicos fundamentais: Essas so as principais sees de cada captulo. Elas explicam os protocolos, os conceitos e a configurao referentes aos tpicos discutidos no captulo.
Atividades de Preparao para o Exame: Ao final da seo Tpicos Fundamentais de cada captulo, a seo
Atividades de Preparao para o Exame relaciona uma srie de atividades de estudo que devem ser realizadas ao
final do captulo. Cada captulo inclui as atividades que fazem mais sentido para o estudo dos tpicos do captulo.
Dentre as atividades, incluem-se as seguintes:
-
Reviso dos Tpicos Principais: O cone Tpicos Principais mostrado prximo aos itens mais importantes na
seo Tpicos Fundamentais do captulo. A atividade Reviso dos Tpicos Principais relaciona os tpicos principais
daquele captulo e o nmero da pgina. Como o contedo do captulo inteiro pode cair no exame, voc deve, com
certeza, saber as informaes relacionadas em cada tpico principal. Por isso, elas devem ser revisadas.
CCNA ICND2 XXXIII
Completar Tabelas e Listas Usando a Memria: para ajud-lo a exercitar sua memria e memorizar algumas
listas de fatos , muitas das listas e tabelas mais importantes do captulo so includas no Apndice J. Este documento
relaciona somente informaes parciais, permitindo que voc complete a tabela ou a lista. O Apndice K relaciona
as mesmas tabelas e listas, preenchidas, para facilitar a comparao.
Definio dos Termos Principais: Embora seja improvvel que nos exames caiam perguntas do tipo "Defina
este termo", os exames CCNA requerem que voc aprenda e saiba vrias terminologias de comunicao em rede.
Esta seo relaciona os termos mais importantes do captulo, pedindo que voc escreva uma pequena definio e
compare sua resposta com o glossrio apresentado no fmal do livro.
Tabelas de Referncia a Comandos: Alguns captulos do livro abordam uma grande quantidade de comandos de
configurao e EXEC. Essas tabelas relacionam os comandos introduzidos no captulo, junto com uma explicao.
Para se preparar para o exame, use-as como referncia, mas tambm leia as tabelas uma vez quando estiver
executando as Atividades de Preparao para o Exame para assegurar-se de que voc se lembre de tudo que os
comandos podem fazer.
Prtica para a criao de sub-redes (Subnetting Practice): O Apndice D encontrado em ingls no website da
editora www.altabooks.com.br. contm um grande conjunto de problemas para praticar a criao de sub-redes,
com as respostas e as explicaes de como as respostas foram obtidas. Este um excelente recurso para se
preparar para a criao de sub-redes com agilidade e eficincia.
O site amigo: o site http://www.ciscopress.comltitle/1587201828 fornece os materiais atualizados mais recentemente que ajudam a esclarecer tpicos complexos do exame. Verifique este site regularmente e veja as atualizaes escritas pelo autor que fornecem uma viso mais profunda dos tpicos mais problemticos encontrados no
exame. (em ingls)
Como este livro organizado

Este livro contm 18 captulos principais - os Captulos de 1 a 18, com o Captulo 18 incluindo alguns materiais de resumo
e sugestes sobre como abordar os exames. Cada captulo principal abrange um subconjunto dos tpicos do exame
ICND2. Os captulos principais esto organizados em sees e cobrem os seguintes tpicos:

-
Captulo 1, ''LANs Virtuais": Este captulo explica os conceitos e a configurao em torno das LANs virtuais,
incluindo Trunking de VLANs e o VTP (VIAN Trunking Protocol, ou Protocolo de Trunking de VLANs
Captulo 2, ''Protocolo Spanning Tree": Este captulo mergulha fundo nos conceitos existentes por trs do STP
(Spanning Tree Protocol, ou Protocolo Spanning Tree), bem como no Rapid STP mais recente (RSTP), incluindo
conceitos de configurao e resoluo de problemas.
Captulo 3, "Resolvendo problemas de LAN Switching" : Este captulo explica algumas idias gerais sobre
como resolver problemas de comunicao em rede, concentrando-se principalmente no processo de encaminhamento utilizado por switches de LANs.
Parte li: Roteamento IP
Captulo 4, "Roteamento IP: rotas estticas e rotas diretamente conectadas": Este captulo examina como
os roteadores acrescentam rotas estticas e rotas conectadas tabela de roteamento, revendo simultaneamente os
conceitos existentes por trs de como os roteadores direcionam ou encaminham pacotes.
Captulo 5, ''VLSM e sumarizao de rotas": Este captulo explica como o roteamento IP e os protocolos de
roteamento podem dar suporte ao uso de diferentes mscaras de sub-rede em uma nica rede classful (VLSM),
bem como os conceitos da matemtica existente por trs de como os roteadores conseguem sumarizar mltiplas
rotas em uma nica entrada na tabela de roteamento.
Captulo 6, ''Listas de controle de acesso IP": Este captulo examina como as ACLs podem filtrar pacotes
para que um roteador no encaminhe o pacote. O captulo examina os conceitos e a configurao de ACLs padro
e estendidas incluindo ACLs nomeadas e numeradas.
Captulo 7, "Resolvendo problemas de roteamento IP": Este captulo mostra um plano estruturado para
como isolar problemas relacionados a dois hosts que deveriam conseguir encaminhar pacotes um para o outro, mas
XXXIV
Introduo
no conseguem faz-lo. O captulo inclui tambm uma variedade de ferramentas e dicas para ajudar a atacar
problemas de roteamento.
Parte li: Configurao e resoluo de problemas relativos a protocolos de roteamento
-
Captulo 8, "Teoria dos protocolos de roteamento": Este captulo explica a teoria existente por trs dos
protocolos do vetor distncia e link-state.
- Captulo 9, "OSPF': Este captulo examina o OSPF, incluindo mais detalhes sobre a teoria link-state implementada
pelo OSPF, e a configurao do OSPE
-
Captulo 10, "EIGRP": Este captulo examina o EIGRP, incluindo uma descrio da teoria existente por trs do
EIGRP, bem como a configurao e a verificao do EIGRP.
Captulo 11, ''Resolvendo problemas em protocolos de roteamento": Este captulo explica algumas das
razes tpicas pelas quais os protocolos de roteamento falham ao trocar informaes de roteamento, mostrando
exemplos especficos de problemas comuns com o OSPF e EIGRP.
Parte IV: Redes de longa distncia (WANs)

-
Captulo 12,"WANs ponto-a-ponto": Este curto captulo revisa os fundamentos das WANs e examina o PPP,
incluindo o CHAP, em mais detalhe.
Captulo 13, "Conceitos de Frame Relay": Este captulo se concentra na terminologia e na teoria existente por
trs do protocolo Frame Relay, incluindo opes de endereamento IP ao utilizar Frame Relay.
Captulo 14, "Configurao e resoluo de problemas de Frame Relay": Este captulo mostra uma variedade de opes de configurao para Frame Relay, incluindo subinterfaces ponto-a-ponto e multi pontos. Explica
tambm a melhor forma de utilizar os comandos show para isolar a causa geradora de problemas comuns envolvendo Frame Relay.
Captulo 15, ''Redes privadas virtuais": Este captulo examina os conceitos e protocolos utilizados para criar
VPNs seguras na Internet, incluindo os fundamentos do IPsec.

-
Captulo 16, "Traduo de endereos de rede": Este captulo examina de perto os conceitos existentes por
trs da exausto de espao de endereamento IPv4, e como o NAT, de modo especial a opo PAT (Port Address
Translation), ajuda na resoluo de problemas. O captulo tambm mostra como configurar o NAT em roteadores
que utilizam lOS CU.
Captulo 17, ''IP Verso 6": Este captulo introduz os fundamentos do IPv6, incluindo o formato de endereo de
128 bits, suporte OSPF e EIGRP ao IPv6, e a configurao original bsica do IPv6. Introduz tambm o conceito de
estratgias de migrao e de tunneling do IPv6.
Parte VI: Preparao final

-
Captulo 18, ''Preparao final": Este captulo sugere um plano de preparao final aps ter concludo as
principais partes do livro, explicando, de modo especial, as vrias opes de estudo disponveis no livro.
Parte VII: Apndices

-
Apndice A, ''Respostas para os questionrios ''Eu j conheo isto?": Inclui as respostas a todas as questes desde o Captulo 1 at o Captulo 17.
- Apndice B, ''Tabela de converso de decimal para binrio": Relaciona os valores decimais de O a 255, junto
com os equivalentes binrios.
-
Apndice C, "Atualizaes no exame ICND2: verso 1.0": Este apndice aborda uma variedade de tpicos
que esclarecem ou espandem os tpicos abordados anteriormente no captulo. Este apndice atualizado de tempos em tempos e postado em http://www.ciscopress.comlccna. com a verso mais recente disponvel na poca de
impresso, includa aqui como Apndice C. (A primeira pgina do apndice inclui instrues sobre como verificar se
a ltima verso do Apndice C est disponvel on-line.)
CCNA ICND2 XXXV
-Glossrio: O glossrio contm definies para todos os termos relacionados na seo "Definio de termoschave", ao final dos Captulos 1 a 17.
Parte Vil: Apndices
-
Apndice D, Prtica de Sub-redes (disponvel em ingls, no website da editora www.altabooks.com.br):

Embora no abordada em nenhum dos captulos impressos neste livro, a criao de sub-redes com certeza o
conhecimento pr-requisito mais importante para o exame lCND2. Este apndice, bem como os Apndices E, H e
1, incluem materiais extrados do Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ para aqueles
que compraram este livro, mas no o livro do lCNDl. De modo especial, este apndice inclui um grande nmero de
problemas relacionados com a prtica da criao de sub-redes, apresentando tambm as respostas. As respostas
utilizam processos binrios e decimais descritos no Captulo 12 do livro lCND1; o Apndice H deste livro uma
cpia do Captulo 12 do lCNDl.
Ap nd ice E, Pginas d e Referncia a Sub-redes (disponvel em ingls, no website da editora

www.altabooks.com.br): Este apndice resume o processo utilizado para encontrar a resposta a vrios problemas
importantes de sub-redes, com os detalhes apresentados em uma nica pgina. O objetivo oferecer a voc uma
pgina de referncia para ser usada ao praticar sub-redes.
Apndice F, Cenrios Adicionais: Um dos mtodos utilizados para melhorar a sua capacidade de anlise de
redes e de resoluo de problemas examinar quantos cenrios de redes forem possveis, raciocinar sobre eles e
obter feedback para verificar se voc chegou s concluses corretas. Este apndice oferece vrios cenrios deste
tipo.
Apndice H, Endereamento e Sub-rede IP: Este apndice uma cpia do Captulo 12 do Guia Oficial de
Certificao do Exame CCENT/CCNA ICNDJ. Este captulo explica endereamento IP e sub-redes, que so
considerados um conhecimento pr-requisito para o exame lCND2. O Apndice H includo neste livro para
aqueles que no possuem uma cpia do Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ.
necessrio, entretanto, revisar e aprender mais sobre sub-redes.
Apndice I, Configurao de WAN: Este apndice uma cpia do Captulo 17 do Guia Oficial de Certificao
do Exame CCENT/CCNA ICNDJ. O Captulo 12 deste livro (ICND2) , "WANs ponto-a-ponto", apresenta uma
sugesto para revisar alguns pontos pr-requisitos apresentados neste captulo. Este captulo includo neste livro
para aqueles que no possuem uma cpia do Guia Oficial de Certificao do Exame CENT/CCNA ICNDJ.
Apndice J, ''Tabelas de Memria": Este apndice contm as tabelas e listas de cada captulo, com a eliminao de parte do contedo. Este apndice pode ser impresso e, como exerccio de memria, as tabelas e listas podem
ser completadas. O objetivo ajud-lo a memorizar fatos que podem ser teis nos exames.
Apndice K, "Resposta das Tabelas de Memria": Este apndice contm a chave de respostas para os
exerccios do Apndice J.
Apndice L, ''1CND2 Open-Ended Questions": Este apndice proveniente de edies anteriores deste livro.
A edio mais antiga apresentava questes de resoluo livre com o propsito de ajud-lo a estudar para o exame,
mas as novas caractersticas tomam essas questes desnecessrias. Por questo de convenincia, as questes
antigas so includas aqui, porm no editadas desde a ltima edio.
Como usar este livro para se preparar para o exame

ICND2 (640-816)
Este livro foi elaborado com dois objetivos principais em mente: ajud-lo a estudar para os exames lCND2 e CCNA
utilizando tanto este livro quanto o Guia Oficial de Certificao de Exame CCENT/CCNA ICNDJ. Usar este livro para
se preparar para o exame de lCND2 simples - leia todos os captulos na seqncia, e siga as sugestes de estudo
apresentadas no Captulo 18 "Preparao Final".
Para os captulos principais deste livro (Captulos de 1 a 17), so dadas algumas opes com relao ao volume que voc
deve ler de cada captulo. Em alguns casos, possvel que voc j saiba a maior parte ou todas as informaes abordadas
em determinado captulo. Para ajud-lo a decidir quanto tempo deve ser dedicado a cada captulo, os captulos comeam
com um questionrio "Eu j conheo isto?". Se acertar todas as questes do questionrio, ou errar apenas uma,
provvel que voc prefira saltar direto para o fim do captulo at a seo "Atividades de Preparao para o Exame" e
resolver essas atividades. A Figura 1-2 apresenta o plano geral.
XXXVI
Introduo
Figura 1-2. Como abordar cada captulo deste livro

Responda ao questionrio "Eu j conheo isto?"
Se errar
mais de 1:
Se errar 1 ou menos,
mas deseja estudar
mais
Se errar 1 ou menos,
e deseja continuar
leialfaa "Atividades de Preparao para o Exame ..
Para o prximo capftulo
Ao concluir os Captulos de 1 a 17, voc poder usar as diretrizes apresentadas no Captulo 18 para detalhar o resto das
atividades de preparao para o exame. Este captulo inclui as seguintes sugestes:
Visite a pgina http://www.ciscopress.com para obter a cpia mais recente do Apndice C, que pode incluir tpicos
adicionais para estudo. (em ingls)
Pratique a criao de sub-redes utilizando as ferramentas disponveis nos apndices.
Repita as atividades em todas as sees "Atividades de Preparao para o Exame", encontradas ao fmal de cada
captulo.
Revise os cenrios apresentados no Apndice F.
Revise todas as questes do questionrio "Eu j conheo isto?"
Pratique o exame utilizando os simulados.
Como usar estes livros para se preparar para o exame

CCNA 640-802
Se voc pretende obter a sua certificao CCNA utilizando a opo de exame nico do CCNA 640-802, este livro pode
ser utilizado junto com o CCENTICCNA ICND 1 Guia Oficial de Certificao do Exame. Caso ainda no tenha
comprado nenhum dos livros, de um modo geral, possvel conseguir o par a um custo menor adquirindo-os em um
conjunto de dois volumes, chamado Biblioteca de Certificao CCNA (CCNA Certification Library).
Estes dois livros foram elaborados para serem usados juntos ao estudar para o exame CCNA. Voc possui duas opes
com relao ordem em que os dois livros devem ser lidos. A primeira opo, e a mais bvia, ler o livro rCNDI e, em
seguida, passar para este livro (rCND2). A outra opo ler toda a abordagem feita pelo rCNDI sobre um tpico e, em
seguida, ler a abordagem feita pelo rCND2 sobre o mesmo tpico. Depois disso, deve-se voltar ao rCNDI novamente. A
Figura r-3 ilustra a opo de leitura que sugiro para os dois livros.
Figura 1-3 Plano de leitura ao estudar para o exame CCNA

Guia de Certific ao
do Exame ICND1
Comece aqui
Fundamentos de rede
LAN Switching
Gu ia de Certificao
do Exame ICND2
LAN Switching
Roteamento IP
Roteamento IP
Protocolos de Roteamento
Redes de rea estendida 1 - - - - +
Redes de rea estendida
Preparao final
Reduo do Espao
de Endereamento IP
Preparao Final
CCNAICND2XXXVII
Ambas as opes de plano de leitura oferecem alguns benefcios. Folhear as pginas dos livros pode ajud-lo a se
concentrar em um tpico geral de cada vez. Entretanto, observe que existe uma certa sobreposio entre os dois exames,
e, portanto, voc tambm perceber uma certa sobreposio de assuntos entre os dois livros. Com base nos comentrios
feitos por leitores sobre a edio anterior destes livros, aqueles que eram iniciantes na comunicao em rede mostraram
uma tendncia a se sair melhor completando todo o primeiro livro e, em seguida, passando para o segundo. J os leitores
mais experientes, e com maior conhecimento, antes de comear a ler os livros mostraram uma tendncia a preferir seguir
um plano de leitura como o mostrado na Figura 1-3.
Observe que, para a preparao final, voc pode utilizar o captulo final (Captulo 18) deste livro, em vez do captulo de
preparao final (Captulo 18) do livro ICNDl.
Alm do fluxo mostrado na Figura 1-3, ao estudar para o exame CCNA (em vez dos exames ICNDl e ICND2), voc
precisa dominar a criao de sub-redes IP antes de passar para as partes de roteamento IP e protocolos de roteamento
(partes II e li) deste livro. Este livro no revisa a criao de sub-redes nem a matemtica que existe por trs do texto
impresso, considerando que voc saiba como encontrar as respostas. Os captulos do ICND2, principalmente o Captulo
5 ("Sumarizao de Rotas e VLSM"), sero muito mais fceis de entender se voc puder executar com facilidade a
matemtica da criao de sub-redes.
Para mais informaes

Para quaisquer comentrios sobre este livro, envie-os atravs do site Ciscopress.com. Basta ir ao site, selecionar Fale
Conosco e digitar sua mensagem.
A Cisco ocasionalmente pode fazer modificaes que afetem a certificao CCNA. Para isso, voc deve sempre consultar
www.cisco.com/go/ccna para saber dos detalhes mais recentes.
A certificao CCNA possivelmente a mais importante das certificaes CISCO. Certamente a mais popular. Ela
exigida como pr-requisito para vrias outras certificaes e o primeiro passo para se distinguir como algum que
possui conhecimento comprovado pela Cisco.
O CCNA ICND2 Guia Oficial de Certificao do Exame elaborado para ajud-lo a obter a certificao CCNA. Este
o livro de certificao CCNA ICND2 oferecido pela nica editora autorizada pela Cisco. Ns, na Cisco Press, acreditamos
que este livro certamente possa ajud-lo a conseguir a certificao CC NA - mas o resultado final depende de voc!
Posso garantir que o seu tempo ser utilizado da melhor forma possvel.
~--------------------------------------------- .
Tpicos publicados do exame Cisco ICND2*

abordados nesta parte
Configurar, verificar e resolver problemas relativos a um switch utilizando VLANs e comunicaes entre .
switches
Descrever tecnologias avanadas de switching (incluindo: VTP, RSTP, VLAN, PVSTP, 802.1q)
Descrever como VLANs criam redes logicamente separadas e a necessidade de roteamento entre elas
Configurar, verificar e resolver problemas relativos a VLANs
Configurar, verificar e resolver problemas relativos a trunking em switches Cisco

Configurar, verificar e resolver problemas relativos ao VTP
Configurar, verificar e resolver problemas relativos operao do RSTP
Interpretar o resultado de vrios comandos sbow e debug para verificar o status operacional de uma rede
de switches Cisco
Implementar a segurana bsica de switches (incluindo: segurana de portas, portas no designadas, acesso .
a trunks etc.)
* Sempre verifique a pgina http://www.cisco.com para obter os tpicos mais recentes do exame.

Captulo 1 LANs virtuais
Captulo 2 Protocolo Spanning Tree
Captulo 3 Resolvendo problemas de LAN
Switching
Este captulo aborda os

seguintes assuntos:
Conceitos de LAN virtual: esta seo explica o significado
e o propsito das VLANs, Trunking de VLAN e o VTP
(VLAN Trunking Protocol)
Configurao e verificao de VLANs e Trunking de

VLAN: esta seo mostra como configurar VLAN s e
trunks em switches Catalyst Cisco
Configurao e verificao VTP: esta ltima seo explica

como configurar e resolver problemas relativos a
instalaes VTP.
CAPTULO
LANs virtuais
Questionrio "Eu j conheo isto?"
A primeira parte deste livro, que inclui os Captulos 1,2 e 3, se concentra no mundo das LANs. O Captulo 1 examina os
conceitos e as configuraes relacionados com as LANs virtuais (VLANs), enquanto o Captulo 2, "Spanning Tree
Protocol", aborda como o Spanning Tree Protocol (STP) evita a ocorrncia de loops em uma rede de switches. Finalmente,
o Captulo 3, "Resolvendo Problemas Relativos a LAN Switching", amarra vrios conceitos relacionados a LANs ao
mesmo tempo em que explora o processo de resoluo de problemas comuns encontrados em LANs.
Conforme mencionado na Introduo, este livro parte do princpio de que voc tenha um domnio slido dos tpicos mais
importantes abordados no exame ICND 1. Se tiver dvidas em relao a esses pr-requisitos, talvez valha a pena dar uma
olhada na lista de conhecimentos pressupostos para este livro, sob o ttulo "Tpicos do Exame ICNDl", encontrado na
Introduo.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
dez questes de avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A Tabela lI relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o material
dessas sees. Isso ajudar voc a avaliar o seu conhecimento nessas reas especficas.
As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.
Tabela 1-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?"
Seo dos tpicos fundamentais
Questes
Conceitos de LANs virtuais
1-5
Configurao e verificao de VLAN s e Trunking VLAN
6-8
Configurao e verificao VTP
9-10
1. Em uma LAN, qual dos seguintes termos mais se assemelha ao termo VLAN?
a. Domnio de coliso
b. Domnio de broadcast
c. Domnio de sub-rede
d. Switch nico
e. Trunk
2. Imagine um switch com trs VLANs configuradas. Quantas sub-redes IP so necessrias, considerando que todos os
hosts em todas as VLANs queiram usar TCPIIP?
a. O
b. 1
c. 2
d. 3
e. Impossvel saber com base nas informaes fornecidas.
6 Captulo 1: LANS Virtuais

3. Qual das opes seguintes encapsula completamente o frame Ethernet original em um cabealho de trunking em vez
de inserir outro cabealho dentro do cabealho Ethernet original?
a. VTP
b.ISL
c. 802.1Q
d. ISL e 802.1Q
e. Nenhuma das respostas acima.
4. Qual das opes seguintes acrescenta o cabealho de trunking para todas as VLANs, exceto uma?
a. VTP
b.ISL
c. 802.1Q
d. ISL e 802.1Q
5. Qual dos modos do VTP seguintes permite que as VLANs sejam configuradas em um switch?
a. Cliente
b. Servidor
c. Transparente
d. Dinmico
6. Suponha que voc saiba que o switch 1 seja configurado com o parmetro auto para trunking em sua interface FaO/5,
que est conectada ao switch 2. Voc deve configurar o switch 2. Quais dos ambientes seguintes para trunking
poderiam permitir o funcionamento do trunking?
a. Trunking ligado (on)
b. Auto
c. Desirable (Desejvel)
d. Access (Acesso)
7. Um switch acaba de chegar da Cisco. O switch nunca foi configurado com uma configurao de VTP ou de VLANs,
ou qualquer outra configurao. Um engenheiro entra no modo de configurao e emite o comando vlan 22, seguido
pelo comando name Hannahs-VLAN. Qual das opes a seguir verdadeira?
a. VLAN 22 aparece relacionada no resultado de sada do comando show vlan brief.
b. VLAN 22 aparece relacionada no resultado de sada do comando show running-config.
c. VLAN 22 no criada por este processo.
d. VLAN 22 no existe naquele switch at que, pelo menos, uma interface seja atribuda quela VLAN.
8. Qual dos seguintes comandos relaciona o estado operacional da interface GigabitO/l com relao ao Trunking de
VLAN?
a. show interfaces giO/l

b. show interfaces giO/l switchport
c. show interfaces giO/l trunk

d. show trunks
CCNA ICND2
9. Um engenheiro acaba de instalar quatro novos switches 2960 e conectou os switches uns com os outros utilizando
cabos de crossover. Todas as interfaces esto em estado de pleno funcionamento. O engenheiro configura cada
switch usando Fred como nome de domnio VTP e deixa todos os quatro switches no modo de servidor VTP. O
engenheiro acrescenta VLAN 33 s 9 horas da manh e, em seguida, em 30 segundos, emite um comando show
vlan brief nos outros trs switches, mas no encontra VLAN 33 nos outros trs switches. Qual das respostas a
seguir apresenta o motivo mais provvel para o problema ocorrido neste caso?
a. VTP requer que todos os switches tenham uma mesma senha VTP.
b. O engenheiro devia ter tido mais pacincia e esperado que o SW1 enviasse sua prxima atualizao VTP peridica.
c. Nenhum dos links entre os switches formam um trunk por causa do modo administrativo padro auto do trunking
2960.
d. Nenhuma das respostas acima.
10. Os switches SW1 e SW2 se conectam atravs de um trunk operacional. O engenheiro deseja usar VTP para
comunicar as alteraes feitas na configurao de VLANs. Ele configura uma nova VLAN no SW1, VLAN 44, mas
o SW2 no reconhece a nova VLAN. Qual dos ambientes de configurao a seguir no SW1 e SW2 no seria uma
possvel causa para o SW2 no reconhecer VLAN 44?
a. Os nomes de domnio VTP larry e LARRY, respectivamente
b. As senhas VTP bob e BOB, respectivamente
c. VTP Pruning ativado e desativado, respectivamente
d. Os modos VTP de servidor e cliente, respectivamente
Tpicos fundamentais
Um switch Catalyst Cisco utiliza definies padro que permitem que ele funcione sem nenhuma configurao adicional,
sem necessidade de instalaes adicionais. Entretanto, a maioria das instalaes configura trs tipos principais de recursos
de switches: VLANs, conforme abordado neste captulo; Spanning Tree, conforme abordado no Captulo 2; e uma
variedade de ambientes administrativos que no causam impacto no comportamento de encaminhamento do switch,
explicados no Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ.
Todos os objetivos publicados para o exame ICND1 so considerados pr-requisitos para o exame ICND2, embora este
ltimo no aborde esses tpicos como finalidade. Por exemplo, conforme descrito no livro ICND 1, os switches reconhecem
endereos MAC examinando o endereo MAC fonte das frames de entrada e tomam decises de encaminhamento/
ftltragem com base no endereo MAC de destino das frames. Os captulos sobre LAN encontrados naquele livro (Captulo
3 e do Captulo 7 ao 11) tambm explicam os conceitos de renegociao automtica, colises, domnios de coliso e
domnios de broadcast. Portanto, embora o exame ICND2 possa no ter uma questo especfica sobre esses tpicos, eles
podem ser necessrios para responder a uma questo relacionada com os objetivos do exame ICND2. E, obviamente, o
exame CCNA aborda todos os tpicos e objetivos, tanto para o exame ICND1 quanto o ICND2.
Alm desses conceitos bsicos, o livro ICND 1 tambm descreve uma grande variedade de pequenas tarefas de configurao
que oferecem acesso a cada switch e ajudam a proteger o switch quando o acesso for concedido. Um switch deve ser
configurado com um endereo IP, uma mscara de sub-rede e um porto de entrada padro, permitindo acesso remoto ao
switch. Junto com este acesso, a Cisco recomenda vrias aes para se obter uma melhor segurana alm de simplesmente
proteger fisicamente o roteador com o intuito de impedir o acesso a partir do console do switch. Em especial, devem ser
configuradas senhas, e, para acesso remoto, deve ser usado o Secure Shell (SSH) em vez do Telnet, se possvel. O
servio HTTP tambm deve ser desativado, e devem ser configurados avisos para alertar sobre a existncia de possveis
ataques. Alm disso, as mensagens syslog de cada switch devem ser monitoradas para verificar a existncia de qualquer
mensagem relacionada a vrios tipos de ataques.
Os trs captulos desta primeira parte do livro contam a histria da LAN, explicando os tpicos especificamente relacionados
aos objetivos do exame ICND2. De modo especial, este captulo examina os conceitos relacionados a VLANs e, em
seguida, aborda a configurao e a operao de VLANs. A primeira seo deste captulo explica os conceitos principais,
incluindo como transmitir o trfego VLAN entre switches utilizando trunks de VLANs e como o VTP (VLAN Trunking
Captulo 1: LANS Virtuais
Protocol), patenteado pela Cisco, ajuda no processo de configurao de VLANs em uma LAN de compus. A segunda
seo deste captulo mostra como configurar VLANs e trunks de VLANs, como atribuir estaticamente interfaces a uma
VLAN e como configurar um switch para que um telefone e um PC na mesma interface estejam em duas VLANs
diferentes. A ltima seo aborda a configurao e a resoluo de problemas relativos a VTP.
Conceitos de LANs virtuais

Antes de entender VLANs, necessrio primeiro entender especificamente a definio de LAN. Embora voc possa
analisar LANs a partir de vrias perspectivas, uma delas, em especial, pode ajud-lo a entender VLANs:
Uma LAN inclui todos os dispositivos no mesmo domnio de broadcast.
Um domnio de broadcast inclui o conjunto de todos os dispositivos conectados pela LAN de forma que, quando qualquer
dispositivo envia uma frame de broadcast, todos os outros dispositivos recebem uma cpia da frame. Portanto, voc pode
pensar em uma LAN e um domnio de broadcast como sendo basicamente a mesma coisa.
Sem as VLANs, o switch considera que todas as suas interfaces estejam no mesmo domnio de broadcast; em outras
palavras, todos os dispositivos conectados esto na mesma LAN. Com as VLANs, o switch pode colocar algumas
interfaces em um domnio de broadcast e outras em outro domnio, criando vrios domnios de broadcast. Estes domnios
de broadcast individuais criados pelo switch so chamados LAN virtuais. A Figura 1-1 mostra um exemplo, com duas
VLANs e dois dispositivos em cada VLAN.
Figura 1-1 Exemplo de rede com duas VIANs utilizando um switch

*,"
.---_.--------------- .......
,,,.,.....
/",
. ...............
..
:
. VLAN1
Dino.
_~=;;~ Fred
.. '
......... ..
"", "
'
.........
000
'0
........
-~iiiiCi' Wilma
..
i VLAN2
..........
Betty'
....... ......
.. .... ... .....

....................................
,,,
.. .... -
Ao colocar hosts em diferentes VLANs, voc obtm vrios benefcios, embora as razes possam no parecer to bvias
a partir da Figura 1-1. A chave para desfrutar esses benefcios entender que uma broadcast feito por um host em uma
VLAN ser recebida e processada por todos os outros hosts na VLAN, mas no por hosts em uma VLAN diferente.
Quanto mais hosts houver em uma nica VLAN, maior ser o nmero de broadcasts e maior ser o tempo de processamento
necessrio para cada host na VLAN. Alm disso, qualquer pessoa pode baixar vrios pacotes de software gratuitamente,
genericamente chamados de software analisador de protocolo, que podem capturar todos os frames recebidos por um
host. (Visite Wireshark, em http://www.wireshark.org, para obter gratuitamente um excelente pacote analisador.) Em
conseqncia disso, VLANs maiores expem nmeros e tipos de broadcast maiores para outros hosts, expondo mais
frames para hosts que poderiam ser usados por um hacker que utiliza softwares analisadores de protocolo para tentar
executar um ataque de reconhecimento. Essas so apenas algumas razes para separar os hosts em VLANs diferentes.
A seguir, apresentamos um resumo das razes mais comuns:
:~o
.....
-Criar projetos mais flexveis que agrupem usurios por departamento ou por grupos que trabalham juntos, em vez de
cri-los por localizao fsica
- Segmentar dispositivos em LANs menores (domnios de broadcast) para reduzir a sobrecarga causada a cada host
na VLAN
CCNAICND2
- Reduzir a carga de trabalho para o STP (Spanning Tree Protocol) limitando uma VLAN a um nico switch de acesso
- Impor uma melhor segurana mantendo os hosts que trabalham com dados sensveis em uma VLAN separada
- Separar o trfego enviado por um telefone IP do trfego enviado por PCs conectados aos telefones
Este captulo no chega a examinar com maior profundidade as razes para implementar VLANs, mas examina bem de
perto os mecanismos de como as VLANs funcionam em diferentes switches Cisco, incluindo a configurao necessria.
Com tal propsito, a prxima seo examina o Trunking de VLAN, um recurso necessrio para instalar uma VLAN que
existe em mais de um switch.
Trunking com ISL e 802.1 Q

Ao usar VLANs em redes que possuam vrios switches interconectados, os switches precisam utilizar o Trunking de
VIAN nos segmentos existentes entre switches. O Trunking de VLAN faz com que os switches utilizem um processo
chamado VIAN tagging, atravs do qual o switch de envio acrescenta outro cabealho ao frame antes de envi-lo pelo
trunk. Este cabealho de VLAN adicional possui um campo VIAN identifier (identificador de VIAN) (VLAN ID) de
forma que o switch de envio possa listar o VLAN ID e o switch de recebimento possa saber a qual VLAN pertence cada
frame. A Figura 1-2 esboa a idia bsica.
Figura 1-2 Trunking de VIAN entre dois switches
(;:~;~
....
:, Chav.
OI
CD
Ethernet Frame
'
,.
........ ----- ....
:-:.LAN 1
.. '
.
..
Ethernet Frame
. .............. ----........
VLAN
,/;J.~~-----1
..... ..... 1
'
..
..
,
'
"
~.~N 2
01"23
.........................
Trun
I VLAN 10 I
.. '
............ __ ........
..
,
'
"
de VLAN
Ethernet Frame
o
O uso de trunking permite que os switches transmitam frames de vrias VLANs atravs de uma nica conexo fsica.
Por exemplo, a Figura 1-2 mostra o switch 1 recebendo uma frame de broadcast na interface FaO/1 no Passo 1. Para
distribuir o frame, o switch 1 precisa encaminhar o frame de broadcast para o switch 2. Entretanto, o switch 1 precisa
avisar ao switch 2 que o frame faz parte da VLAN 1. Portanto, conforme mostrado no Passo 2, antes de enviar o frame,
o switch 1 acrescenta um cabealho de VLAN ao frame Ethemet original, com o cabealho de VLAN apresentando o
nmero 1 como VLAN ID, neste caso. Quando o switch 2 recebe o frame, ele percebe que o frame veio de um
dispositivo na VLAN 1, e, por isso, o switch 2 sabe que s deve encaminhar o broadcast para fora de suas prprias
interfaces na VLAN 1. O switch 2 remove o cabealho de VLAN, encaminhando o frame original para fora de suas
interfaces na VLAN 1 (Passo 3).
Como outro exemplo, considere o caso em que o dispositivo na interface FaO/5 do switch 1 envia um broadcast. O switch
1 envia o broadcast para fora da porta FaO/6 (porque esta porta est na VLAN 2) e para fora da porta Fa0/23 (por que
ela um trunk, o que significa que aceita vrias VLANs diferentes). O switch 1 acrescenta um cabealho de trunking ao
frame, listando o nmero 2 como VLAN ID. O switch 2 retira o cabealho de trunking quando percebe que o frame faz
parte da VLAN 2; portanto, o switch 2 sabe que deve encaminhar o frame somente para as portas FaO/5 e FaO/6, e no
para as portas FaO/1 e FaO/2.
10
Os switches Cisco aceitam dois protocolos de trunking diferentes: o Inter-Switch Link (ISL) e o IEEE 802.1Q. OS
protocolos de trunking oferecem vrios recursos. O mais importante o fato de poderem definir cabealhos que identificam
a VLAN ID, como mostra a Figura 1-2. Eles apresentam tambm algumas diferenas, conforme discutido a seguir.
ISL
A Cisco criou o ISL muitos anos antes do IEEE criar o protocolo padro 802.1 Q para Trunking de VLAN. Como o ISL
patenteado pela Cisco, ele pode ser usado somente entre dois switches Cisco que aceitem ISL. (Alguns switches Cisco
mais novos no aceitam ISL; pelo contrrio, aceitam somente a alternativa padronizada 802.1Q.) O ISL encapsula
completamente cada frame Ethernet original em um cabealho e trailer ISL. O frame Ethernet original, contido dentro do
cabealho e trailer ISL, permanece inalterado. A Figura 1-3 mostra a criao do frame para o ISL.
Figura 1-3 Cabealho ISL

.... .~_.-.---------_._-------- .. ....
,',"',..
~ '
Dino
..........
Fred
,,'
..
: VLAN1
. . ; "
.,'
.- .... . . -.* "

..... .. . .
- "ta;;;,
"
.
.................
Wilma
O cabealho ISL inclui vrios campos, mas o mais importante que o campo VLAN do cabealho ISL oferece um lugar
para codificar o nmero da VLAN. Ao marcar um frame com o nmero da VLAN correto dentro do cabealho, o switch
de envio pode assegurar que o switch de recebimento sabe a qual VLAN o frame encapsulado pertence. Alm disso, os
endereos da fonte e de destino do cabealho ISL utilizam os endereos MAC do switch de envio e de recebimento, ao
contrrio dos dispositivos que realmente enviaram o frame original. Fora isso, os detalhes do cabealho ISL no tm
maior importncia.
IEEE 802.1Q
Hoje em dia, o IEEE padroniza muitos dos protocolos relacionados a LANs, e o Trunking de VLAN no exceo. Anos
aps a Cisco ter criado o ISL, o IEEE [malizou seus trabalhos em cima do 802.1 Q padro, que define uma forma
diferente de fazer trunking. Atualmente, o 802.1 Q se tomou o protocolo de trunking mais popular, ao ponto de a Cisco no
aceitar ISL em alguns de seus modelos mais recentes de switches LAN, incluindo os switches 2960 utilizados nos
exemplos deste livro.
O 802.1 Q utiliza um estilo diferente de cabealho, em comparao com o ISL, para marcar frames com um nmero
VLAN. Na verdade, o 802.1Q no encapsula o frame original em outro cabealho e trailer Ethernet. Pelo contrrio, o
802.1 Q insere um cabealho de VLAN de 4 bytes no cabealho Ethernet do frame original. Como resultado, ao contrrio
do ISL, o frame continua com os mesmos endereos MAC da fonte e de destino originais. Alm disso, como o cabealho
original foi expandido, o encapsulamento do 802.1Q fora um novo clculo do campo FCS (frame check sequence ou
seqncia de verificao daframe) original no trailer Ethernet, porque o FCS se baseia no contedo do frame inteiro.
A Figura 1-4 mostra o cabealho 802.1Q e a criao do frame do cabealho Ethernet revisado.
CCNA ICND2
11
Figura 1-4 Cabealho do Trunking 802.1Q
Endereo de Destino
---
--Tipo (12 bits, O x 8100)
--VLAN ID (12 Bits)
Comparao entre ISL e 802.1 Q

At ento, o texto descreveu uma nica semelhana importante entre o ISL e o 802.1Q, com algumas poucas diferenas.
A semelhana que tanto o ISL quanto o 802.1Q definem um cabealho de VLAN que possui um campo VLAN ID.
Entretanto, cada protocolo de trunking utiliza um cabealho geral diferente, sendo que um padronizado (802.1Q) e o
outro proprietrio (ISL). Esta seo destaca alguns outros pontos-chave de comparao entre ambos.
Os dois protocolos de trunking aceitam o mesmo nmero de VLANs, especificamente 4094 VLANs. Os dois protocolos
utilizam 12 bits do cabealho de VLAN para numerar VLANs, aceitando VLAN IDs de 212 ou 4096, com exceo de
dois valores reservados (O e 4095). Das VLANs aceitas, observe que os VLAN IDs que vo de 1 a 1005 so considerados
VLANs de intervalo normal, enquanto valores mais altos que 1005 so chamadas VLANs de intervalo estendido.
Esta distino importante com relao ao VTP (VLAN Trunking Protocol), abordado na prxima seo.
Tanto o ISL quanto o 802.1Q aceitam uma instncia separada do STP (Spanning Tree Protocol) para cada VLAN, mas
com detalhes diferentes de implementao, conforme explicado no Captulo 2. Para LANs em compus com links
redundantes, utilizar somente uma instncia de STP significa que alguns links ficam ociosos em operaes normais, sendo
usados somente quando o outro link falha. Ao aceitar vrias instncias de STP, os engenheiros conseguem sintonizar os
parmetros STP de forma que, em operaes normais, o trfego de algumas VLANs utilize um conjunto de links enquanto
o trfego de outras VLANs utiliza outros links, aproveitando todos os links existentes na rede.
Observao O 802.1Q nem sempre aceitou vrias instncias de STP. Portanto, possvel
que algumas referncias mais antigas tenham corretamente declarado que, na poca, o 802.1Q
s aceitava uma nica instncia de STP.
Uma ltima diferena importante entre o ISL e o 802.1Q abordada aqui est relacionada com um recurso chamado
native VIAN (VIAN nativo). Em cada trunk, o 802.1Q define uma VLAN como sendo a VLAN nativa, ao passo que o
ISL no utiliza tal conceito. Como padro, a VLAN nativa do 802.1Q a VLAN 1. Por definio, o 802.1Q simplesmente
no acrescenta um cabealho 802.1Q aos frames na VLAN nativa.
Quando o switch do outro lado do trunk recebe um frame que no possui um cabealho 802.1 Q, o switch de recebimento
reconhece que o frame faz parte da VLAN nativa. Observe que, por causa desse comportamento, ambos os switches
devem concordar com qual VLAN a VLAN nativa.
A VLAN nativa 802.1 Q oferece algumas funes interessantes, principalmente para dar suporte a conexes com dispositivos
que no entendem trunking. Por exemplo, um switch Cisco poderia ser ligado por um cabo com um switch que no
entende o trunking 802.1Q. Este switch Cisco poderia enviar frames existentes na VLAN nativa (o que significa que o
frame no possui nenhum cabealho de trunking) de forma que o outro switch entendesse o frame. O conceito de VLAN
nativa d aos switches a capacidade de, pelo menos, transmitir o trfego em uma VLAN (a VLAN nativa), o que pode
proporcionar algumas funes bsicas, como a possibilidade de acesso telnet dentro de um switch.
A tabela 1-2 resume os recursos principais e pontos de comparao entre o ISL e o 802.1Q.
Tabela 1-2 Comparao entre o ISL e o 802.1Q

Funo
ISL
802.1Q
Definido por
Cisco
IEEE

Insere outro cabealho de 4 bytes em vez de
encapsular completamente o frame original
No
Sim
Aceita VLANs de intervalo normal (1 a 1005)

e de intervalo estendido (1006 a 4094)
Sim
Sim
Permite vrios spanning trees
Sim
Sim
Utiliza uma VLAN nativa
No
Sim
Sub-redes IP e VLANs
Ao incluir VLANs em um projeto, os dispositivos de uma VLAN precisam estar na mesma sub-rede. Seguindo a mesma
lgica de projeto, dispositivos de VLANs diferentes precisam estar em sub-redes diferentes.
Por causa dessas regras de projeto, muitas pessoas pensam que uma VLAN uma sub-rede e que uma sub-rede uma
VLAN. Embora no seja totalmente verdade, como uma VLAN um conceito de Camada 2 e uma sub-rede um
conceito de Camada 3, a idia geral at razovel porque os mesmos dispositivos de uma nica VLAN so os mesmos
dispositivos em uma nica sub-rede.
Assim como em todas as sub-redes IP, para que um host de uma sub-rede encaminhe pacotes para um host em outra subrede, pelo menos um roteador deve estar envolvido. Considere, por exemplo, a Figura 1-5, que mostra um switch com trs
VLANs, circulado por linhas tracejadas, com parte da lgica utilizada quando um host na VLAN 1 envia um pacote IP a
um host na VLAN 2.
Figura 1-5 Roteamento entre VLANs

,
'., VLAN 1
I Sub-rede IP 10.1.1.024
I
I
/
..--........ FaOIO VLAN1
IFrame I
IVLAN21 Frame I
~
\ VLAN 2
: Sub-rede IP 10.1.2.024
I
,,/
<.::....----~B;riiey'"
" VLAN 3
: Sub-rede IP 10.1.3.024
Neste caso, quando Fred envia um pacote para o endereo IP de Wilma, Fred envia um pacote para o seu prprio
roteador padro porque o endereo IP de Wilma est em uma sub-rede diferente. O roteador recebe o frame com um
cabealho VLAN que implica que o frame faz parte da VLAN 1. O roteador toma uma deciso de encaminhamento,
enviando o frame de volta atravs do mesmo link fsico, mas, desta vez, com um cabealho de Trunking de VLAN que
mostra a VLAN 2. O switch encaminha o frame na VLAN 2 para Wilma.
Pode parecer um pouco ineficaz enviar o pacote do switch para o roteador e de volta para o switch - e, na verdade, o
que acontece. Atualmente, uma opo mais provvel em LAN s de compus utilizar um switch chamado switch multilayer
(multi camada) ou um switch Camada 3. Estes switches podem executar switching de Camada 2 e roteamento de
Camada 3, combinando a funo de roteador mostrada na Figura 1-5 no switch.
VLAN Trunking Protocol (VTP) (Protocolo de Trunking de VLAN)

O VTP (VLAN Trunking Protocol), patenteado pela Cisco, fornece uma maneira atravs da qual os switches Cisco
podem trocar informaes sobre a configurao da VLAN. De modo especial, o VTP avisa sobre a existncia de cada
VLAN com base em sua VLAN ID e no nome da VLAN. Entretanto, o VTP no avisa sobre os detalhes relativos a
quais interfaces do switch so atribudas a cada VLAN.
--
o VTP define um protocolo de mensagens de Camada 2 que os
switches utilizam para trocar informaes sobre a

configurao da VLAN. Quando um switch muda sua configurao da VLAN - em outras palavras, quando uma
VLAN acrescentada ou excluda, ou uma VLAN existente alterada -, o VTP faz com que todos os switches
sincronizem suas configuraes da VLAN para incluir as mesmas VLAN IDs e os nomes da VLAN. O processo
bastante parecido com um protocolo de roteamento, com cada switch enviando mensagens VTP peridicas. Os switches
tambm enviam mensagens VTP assim que suas configuraes de VLAN so alteradas. Se, por exemplo, voc configurasse
uma nova VLAN 3, com nome Accounting (Contabilidade), o switch imediatamente enviaria atualizaes VTP por todos
os trunks, provocando a distribuio das novas informaes sobre a VLAN para o resto dos switches.
Cada switch utiliza um dos trs modos VTP: modo servidor, modo cliente ou modo transparente. Para utilizar o VTP, o
engenheiro define que alguns switches utilizem o modo servidor e o resto utilize o modo cliente. Em seguida, a configurao
de VLAN pode ser acrescentada nos servidores, com todos os outros servidores e clientes cientes das alteraes feitas
no banco de dados da VLAN. Os clientes no podem ser utilizados para configurar as informaes da VLAN.
Por incrvel que parea, os switches Cisco no podem desativar o VTP. A opo mais prxima utilizar o modo transparente,
que faz com que esse switch ignore para si mensagens VTP, porm ele continua a encaminhar essas mensagens de
forma que qualquer outro cliente ou servidor VTP possa receber uma cpia dessas mensagens.
A prxima seo explica as operaes normais quando o engenheiro utiliza os modos servidor e cliente para usufruir das
capacidades do VTP, seguidas de uma explicao da maneira relativamente incomum de desativar o VTP atravs da
ativao do modo VTP transparente.
Operao VTP normal utilizando os modos VTP servidor e cliente

O processo VTP comea com a criao de VLAN em um switch chamado de servidor VTP. O servidor VTP distribui as
alteraes feitas na configurao de VLAN atravs de mensagens VTP, enviadas somente atravs de trunks ISL e
802.1 Q, por toda a rede. Tanto os servidores quanto os clientes VTP processam as mensagens VTP recebidas, atualizam
seus bancos de dados da configurao VTP com base nessas mensagens e, em seguida, enviam atualizaes VTP
independentemente, atravs de seus trunks. Ao final do processo, todos os switches reconhecem as novas informaes
de VLAN.
Os servidores e clientes VTP escolhem se querem reagir a uma atualizao VTP recebida e atualizam suas configuraes
de VLAN com base no aumento do nmero de reviso da configurao do banco de dados de VLAN (VLAN
database configuration revision number). Todas as vezes que um servidor VTP modifica sua configurao de VLAN,
o servidor VTP aumenta o nmero atual de reviso da configurao em 1. As mensagens de atualizao VTP mostram
o novo nmero de reviso da configurao. Quando outro switch cliente ou servidor recebe uma mensagem VTP com
um nmero de reviso da configurao maior que o seu prprio nmero, o switch atualiza sua configurao de VLAN. A
Figura 1-6 ilustra como o VTP funciona em uma rede de switches.
";6PIcO
. CMve
(DAcrescentar nova VLAN
I-
13
Como este livro ainda no mostrou como configurar VLANs, para apreciar melhor o VTP, considere este exemplo sobre
o que o VTP pode fazer. Suponha que uma rede possua dez switches conectados de alguma forma usando trunks de
VLAN, e que cada switch tenha, pelo menos, uma porta atribuda a uma VLAN com VLAN ID 3 e o nome Accounting
(Contabilidade). Sem o VTP, qualquer engenheiro teria de entrar em todos os dez switches e inserir os mesmos dois
comandos config para criar a VLAN e definir o seu nome. Com VTP, voc criaria a VLAN 3 em um switch, e os outros
nove switches reconheceriam a VLAN 3 e o seu nome utilizando o VTP.
....... Figura 1-6 Nmeros de reviso da configurao VFP e processo de atualizao VFP
CCNA ICND2
@Rev3-Rev4
Cliente
VTP
@Rev3-Rev4
@Sinc novas inform VLAN
A~~:iiiI
Cliente
VTP
@Rev3-Rev4
@Sinc novas inform VLAN
14
A Figura 1-6 comea com todos os switches tendo o mesmo nmero de reviso da configurao de VLAN, o que
significa que eles possuem o mesmo banco de dados de configurao de VLAN. Isso significa que todos os switches
reconhecem os mesmos nmeros de VLAN e nomes de VLAN. O processo comea com cada switch reconhecendo
que o nmero atual de reviso da configurao 3. Os passos mostrados na Figura 1-6 so os seguintes:
1. Algum configura uma nova VLAN a partir da CU (command-line interface, interface de linha de comando) de um
servidor VTP.
2. O servidor VTP atualiza seu nmero de reviso do banco de dados da VLAN de 3 para 4.
3. O servidor envia as mensagens de atualizao VTP atravs de suas interfaces do trunk, mostrando o nmero 4 como
nmero de reviso.
4. Os dois switches cliente VTP percebem que as atualizaes apresentam um nmero de reviso mais alto (4) que seus
nmeros atuais de reviso (3).
5. Os dois switches cliente atualizam seus bancos de dados de VLAN com base nas atualizaes VTP do servidor.
Embora este exemplo mostre uma LAN muito pequena, o processo funciona da mesma forma para redes maiores.
Quando um servidor VTP atualiza a configurao de VLAN, o servidor imediatamente envia mensagens VTP atravs de
todos os seus trunks. Os switches vizinhos na outra extremidade dos trunks processam as mensagens recebidas e
atualizam seus bancos de dados de VLAN e, em seguida, enviam mensagens VTP aos seus vizinhos. O processo se
repete nos switches vizinhos, at que, finalmente, todos os switches tenham reconhecido o novo banco de dados de
VLAN.
Observao O processo completo atravs do qual um servidor muda a configurao de VLAN
e todos os switches VTP reconhecem a nova configurao, resultando em todos os switches
reconhecendo os mesmos nomes e IDs de VLANs, chamado sincronizao.
Os servidores e clientes VTP tambm enviam mensagens VTP peridicas a cada 5 minutos, caso qualquer switch recm
acrescentado precise saber sobre a configurao de VLAN. Alm disso, quando surge um novo trunk, os switches
podem imediatamente enviar uma mensagem VTP pedindo que o switch vizinho envie o seu banco de dados de VLAN.
At ento, este captulo tem se referido a mensagens VTP como atualizaes VTP ou mensagens VTP. Na prtica, o
VTP define trs tipos diferentes de mensagens: avisos de resumo, avisos de subconjunto e solicitaes de aviso. Os
avisos de resumo relacionam o nmero de reviso, o nome de domnio e outras informaes, mas no inclui nenhuma
informao sobre a VLAN. As mensagens VTP peridicas que ocorrem a cada cinco minutos so avisos de resumo
VTP. Se alguma coisa mudar, conforme indicado por um nmero de reviso maior que 1, a mensagem com o aviso de
resumo seguida por um ou mais avisos de subconjunto, cada qual alertando sobre algum subconjunto do banco de dados
de VLAN. A terceira mensagem, ou seja, a mensagem de solicitao de aviso, permite que um switch imediatamente
solicite mensagens VTP de um switch vizinho assim que surgir um trunk. Entretanto, os exemplos mostrados para os fins
deste livro no fazem distines sobre uso dessas mensagens.
Trs requisitos para que o VTP opere entre dois switches

Quando um cliente ou servidor VTP se conecta a outro switch cliente ou servidor VTP, o Cisco lOS exige que os trs
fatos seguintes sejam verdadeiros para que os dois switches possam trocar mensagens VTP:
O link entre os switches deve estar operando como um trunk de VLAN (ISL ou 802.1Q).
O nome de domnio VTP, sensvel a letras maisculas e minsculas, dos dois switches deve conferir.
Se configurado em pelo menos um dos switches, a senha VTP, sensvel a letras maisculas e minsculas, dos dois
switches deve conferir.
O nome de domnio VTP fornece uma ferramenta de projeto atravs da qual os engenheiros podem criar vrios grupos
de switches VTP, chamados domnios, cujas configuraes de VLAN so autnomas. Para isso, o engenheiro pode
configurar um conjunto de switches em um domnio VTP e outro conjunto em outro domnio VTP, e os switches dos
diferentes domnios vo ignorar as mensagens de VTP uns dos outros. Os domnios VTP permitem que os engenheiros
desmembrem a rede de switches em domnios administrativos diferentes. Por exemplo, em um prdio grande com uma
CCNA ICND2
15
grande equipe de TI, a equipe de TI de uma diviso pode usar Accounting (Contabilidade) como nome de domnio VTP,
enquanto outra parte da equipe de TI pode usar Sales (Vendas) como nome de domnio, mantendo o controle das suas
configura')es, mas, ainda assim, podendo encaminhar o trfego entre as divises atravs da infra-estrutura e LAN.
O mecanismo de senhas VTP fornece uma maneira atravs da qual um switch pode impedir que ataques nocivos forcem
o switch a alterar sua configurao de VLAN. A senha em si nunca transmitida em texto transparente.
Evitando o VTP utilizando o modo VTP transparente

interessante notar que, para evitar o uso do VTP para trocar informaes de VLAN em switches Cisco, os switches
no podem simplesmente desativar o VTP. Pelo contrrio, os switches devem utilizar o terceiro modo VTP: o modo VTP
transparente. Este modo confere autonomia a um switch a partir dos outros switches. Assim como os servidores VTP, os
switches do modo VTP transparente podem configurar VLANs. Entretanto, ao contrrio dos servidores, os switches do
modo transparente nunca atualizam seus bancos de dados da VLAN com base em mensagens VTP de entrada, e os
switches do modo transparente nunca tentam criar mensagens VTP para dizer aos outros switches sobre suas prprias
configuraes de VLAN.
Os switches do modo VTP transparente, em essncia, comportam-se como se o VTP no existisse, a no ser por uma
pequena exceo: os switches do modo transparente encaminham atualizaes VTP recebidas de outros switches,
simplesmente para ajudar qualquer switch cliente ou servidor VTP vizinho.
Visto de uma perspectiva de projeto, por causa dos perigos associados com o VTP (conforme abordado na prxima
seo), alguns engenheiros simplesmente evitam o VTP como um todo utilizando o modo VTP transparente em todos os
switches. Em outros casos, os engenheiros podem deixar alguns switches em modo transparente para dar autonomia aos
engenheiros responsveis por aqueles switches, enquanto utilizam os modos servidor e cliente VTP em outros switches.
Armazenando a configurao da VLAN

Para encaminhar o trfego relativo a uma VLAN, o switch precisa saber o VLAN ID da VLAN e o seu nome de
VLAN. A funo do VTP avisar sobre esses detalhes, em que o conjunto inteiro de configuraes para todas as
VLANs chamado de banco de dados de configurao de VLAN (VLAN configuration database), ou simplesmente
banco de dados de VLAN.
interessante notar que o Cisco lOS armazena as informaes no banco de dados de VLAN de forma diferente da
maioria dos outros comandos de configurao Cisco lOS. Quando os clientes e servidores VTP armazenam a configurao
d,a VLAN - especificamente, o VLAN ID, o nome da VLAN e outras definies da configurao VTP -, a configurao
armazenada em um arquivo chamado vlan.dat em memria flash. (O nome do arquivo a abreviao de "VLAN
database" ("banco de dados VLAN").) Ainda mais interessante o fato de que o Cisco lOS no coloca essa configurao
de VLAN no arquivo running-config nem no arquivo startup-config. No existe nenhum comando para visualizar a
configurao de VLAN e do VTP diretamente; em vez disso, necessrio utilizar vrios comandos show para relacionar
as informaes sobre os resultados de sada das VLANs e do VTP.
O processo de armazenamento da configurao da VLAN em memria flash no arquivo vlan.dat permite que os clientes
e servidores reconheam dinamicamente VLANs e tenham a configurao automaticamente armazenada, preparando,
assim, tanto o cliente quanto o servidor para sua prxima reinicializao. Se a configurao da VLAN reconhecida
dinamicamente tiver sido acrescentada somente ao arquivo config que est sendo executado, a LAN pode ficar exposta
a casos nos quais todos os switches tenham perdido energia praticamente na mesma hora (o que pode facilmente ocorrer
com uma nica fonte de energia no prdio), resultando em perda de toda a configurao da VLAN. Ao armazenar
automaticamente a configurao no arquivo vlan.dat em memria flash , cada switch tem, pelo menos, um banco de dados
recente de configurao da VLAN e pode, ento, confiar em atualizaes VTP de outros switches, caso tenha havido
qualquer alterao recente na configurao da VLAN.
Um efeito colateral interessante desse processo que, quando voc utiliza um switch cliente ou servidor VTP em
laboratrio e deseja remover toda a configurao para comear com um switch limpo, necessrio executar mais de um
comando erase startup-config. Se voc apenas apagar o startup-config e recarregar o switch, o switch se lembrar de
toda a configurao da VLAN e da configurao VTP que est armazenada no arquivo vlan.dat em memria flash. Para
remover esses detalhes da configurao antes de recarregar um switch, seria necessrio excluir o arquivo vlan.dat em
memria flash atravs de um comando, como, por exemplo, delete flash:vlan.dat.
16
Switches em modo transparente armazenam a configurao de VLAN no arquivo running-config e no arquivo vlan.dat
em memria flash. O running-config pode ser salvo no startup-config tambm.
Observao Em algumas verses mais antigas do lOS de switches da Cisco, os servidores VTP
armazenavam a configurao da VLAN tanto no arquivo vlan.dat quanto no arquivo running-config.
Verses VTP
A Cisco aceita trs verses VTP, devidamente chamadas de verses 1, 2 e 3. A maior parte das diferenas entre essas
verses no importante para as discusses contidas neste livro. Entretanto, a verso 2 do VTP apresentou uma importante
melhoria em relao verso 1, relativa ao modo VTP transparente. Essa melhoria descrita sucintamente nesta seo.
A seo "Evitando o VTP utilizando o modo VTP transparente", apresentada anteriormente neste captulo, descrevia
como um switch que utilizasse a verso 2 do VTP funcionaria. Entretanto, na verso 1 do VTP, um switch que estivesse
no modo VTP transparente verificaria, primeiramente, o nome do domnio e a senha recebidos da atualizao VTP. Se o
switch em modo transparente no combinasse com os dois parmetros, o switch em modo transparente descartaria a
atualizao VTP, em vez de encaminhar a atualizao. O problema encontrado na verso 1 do VTP que, em casos onde
o switch em modo transparente existisse em uma rede com vrios domnios VTP, o switch no encaminharia todas as
atualizaes VTP. Portanto, a verso 2 do VTP mudou a lgica do modo transparente, ignorando o nome do domnio e a
senha, o que permite que um switch em modo transparente da verso 2 do VTP encaminhe todas as atualizaes VTP
recebidas.
Observao Atualmente, a verso 3 encontra-se disponvel somente em switches Cisco

avanados e ser ignorada para os fIns deste livro.
VTP Pruning
Como padro, os switches Cisco distribuem broadcasts (e unicasts de destino desconhecido) em cada VLAN ativa por
todos os trunks, desde que a topologia STP atual no bloqueie o trunk. (Mais informaes sobre STP podem ser obtidas
no Captulo 2.) Entretanto, na maioria das redes, existem muitas VLANs em apenas alguns switches, mas no em todos
os switches. Por isso, um desperdcio encaminhar broadcasts por todos os trunks, fazendo com que os frames cheguem
at switches que no possuem nenhuma porta naquela VLAN.
Os switches aceitam dois mtodos atravs dos quais os engenheiro!) podem limitar qual trfego de VLAN flui pelo trunk.
Um dos mtodos requer a configuraao manual da lista de VLANs permitidas (allowed VLAN list) em cada trunk; essa
configurao manual abordada mais adiante neste captulo. O segundo mtodo, VTP Pruning, permite que o VTP
determine dinamicamente quais switches no precisam de frames de certas VLANs. Depois disso, o VTP suprime essas
VLANs dos devidos trunks.
Pruning um termo que significa simplesmente que as devidas interfaces do trunk do switch no distribuem frames
naquela VLAN. A Figura 1-7 mostra um exemplo onde os retngulos desenhados em linha tracej ada denotam os trunks
a partir dos quais a VLAN 10 foi automaticamente limpa.
Figure 1-7 VTP Pruning
Switch 4
Porta 2
Distribuio
de trfego est
suprimida
(p
VLAN
10
CCNA ICND2
17
Na Figura 1-7, os switches 1 e 4 possuem portas na VLAN 10. Com o VTP Pruning ativado em toda a rede, o switch 2
e o switch 4 automaticamente usam o VTP para saber que nenhum dos switches na parte esquerda inferior da figura
possui portas atribudas VLAN 10. Em conseqncia disto, o switch 2 e o switch 4 suprimem a VLAN 10 dos trunks,
conforme mostrado. O pruning faz com que o switch 2 e o switch 4 no enviem para fora desses trunks os frames
encontrados na VLAN 10. Por exemplo, quando a estao A envia um broadcast, os switches distribuem o broadcast,
conforme mostrado pelas linhas com setas na Figura 1-7.
O VTP Pruning aumenta a largura de banda disponvel restringindo o trfego distribudo e um dos motivos mais fortes
para se utilizar o VTP; o outro motivo so a facilidade e a consistncia obtidas na configurao da VLAN.
Resumo dos recursos VTP

A Tabela 1-3 oferece uma viso comparativa dos trs modos VTP.
Tabela 1-3 Recursos VTP

Funo
Servidor
Cliente
Transparente
S envia mensagens VTP atravs de trunks ISL ou 802.1 Q
Sim
Sim
Sim
Aceita configurao CU de VLAN s
Sim
No
Sim
Pode usar VLANs de intervalo normal (1 a 1005)
Sim
Sim
Sim
Pode usar VLANs de intervalo estendido (1006 a 4095) No
No
Sim
Sincroniza (atualiza) seu prprio banco de dados de Sim

VLAN ao receber mensagens VIP com um nmero de reviso
maior
Sim
No
Cria e envia atualizaes VTP peridicas a cada

5 minutos
Sim
Sim
No
No processa atualizaes VTP recebidas,

mas encaminha atualizaes VTP recebidas atravs
de outros trunks
No
No
Sim
Coloca o VLAN ID, o nome da VLAN e a

configurao VTP no arquivo running-config
No
No
Sim
Coloca o VLAN ID, o nome da VLAN e a

configurao no arquivo vlan.dat em memria flash
Sim
Sim
Sim
Configurao e verificao de VLANs e Trunking de VLAN

Os switches Cisco no precisam de nenhuma configurao para funcionar. Voc pode compr-los, instalar dispositivos
com o cabeamento correto, ligar os switches e eles funcionaro. O switch funcionaria perfeitamente sem que voc
tivesse de configur-lo, mesmo que voc interconectasse switches at precisar de mais de uma VLAN. At mesmo as
definies STP padro provavelmente funcionariam perfeitamente. Mas, se desejar usar VLANs - como o caso da
maioria das redes empresariais -, seria necessrio mexer na configurao.
Este captulo separa os detalhes de configurao de VLANs em duas sees principais. A seo atual se concentra nas
tarefas de configurao e verificao quando o VTP ignorado, utilizando as definies VTP padro ou o modo VTP
transparente. A ltima e a mais importante seo deste captulo, "Configurao e Verificao de VTP", examina
especificamente o VTP.
Criando VLANs e atribuindo VLANs de acesso a uma interface

Esta seo mostra como criar uma VLAN, dar-lhe um nome e atribuir-lhe interfaces. Para focar nesses detalhes
fundamentais, esta seo mostra exemplos utilizando um nico switch. Portanto, VTP e trunking no so necessrios.
Para que um switch Cisco encaminhe frames encontradas em uma determinada VLAN, o switch deve estar configurado
para "acreditar" que a VLAN existe. Alm disso, o switch deve possuir interfaces que no sejam de trunking (chamadas
interfaces de acesso (access interfaces)) atribudas VLAN e/ou trunks que aceitem a VLAN. Os passos da
configurao sobre como criar a VLAN e como atribuir uma VLAN a uma interface de acesso so os seguintes. (A
configurao de trunks abordada na seo "Configurao de Trunking VLAN", ainda neste captulo.)
Passo 1 Para configurar uma nova VLAN, siga os passos abaixo:

a. A partir do modo de configurao, use o comando em modo de configurao global vlan vlan-id para criar a VLAN
(;~ e passar o usurio para o modo de configurao VLAN.
\~have
b. (Opcional) Use o subcomando name name VLAN para associar um nome para a VLAN. Se no estiver configurado,
o nome da VLAN VLANZZZZ, onde ZZZZ a VLAN ID decimal de 4 algarismos.
Passo 2 Para configurar uma VLAN para cada interface de acesso, siga os passos abaixo:
a. Use o comando interface para passar para o modo de configurao de interfaces para cada interface desejada.
b. Use o subcomando de interfaces switchport access vlan id-number para especificar o nmero da VLAN associado
com aquela interface.
c. (Opcional) Para desativar o trunking naquela mesma interface, assegurando que a interface seja uma interface de
acesso, use o subcomando de interfaces switchport mode access.
Observao VLANs podem ser criadas e nomeadas em modo de configurao (conforme

descrito no Passo 1) ou utilizando uma ferramenta de configurao chamada modo banco de
dados de VLAN. O modo banco de dados de VLAN no abordado neste livro e normalmente
tambm no abordado para outros exames da Cisco.
Observao Os switches Cisco tambm aceitam um mtodo dinmico de atribuio de

dispositivos a VLANs, com base nos endereos MAC do dispositivo, utilizando uma ferramenta
chamada VMPS (VLAN Management Policy Server). Esta ferramenta, quando muito,
raramente usada.
O processo anterior pode ser utilizado em um switch que esteja configurado em modo transparente ou um switch com
todas as definies VTP padro. Como referncia, a lista seguinte delineia os principais padres dos switches Cisco
relacionados a VLAN s e VTP. Por enquanto, este captulo considera as definies VTP padro ou uma definio de
modo VTP transparente. Ainda neste captulo, a seo "Cuidados ao sair da configurao VTP padro" reexarnina os
padres dos switches Cisco e as implicaes de como passar da no-utilizao de VTP, com base nas definies padro,
para a utilizao do VTP.
Modo VTP servidor.
(;:~;~o
....
~ Ch_
Nenhum nome de domnio VTP.
VLAN 1 e VLANs de 1002 a 1005 so automaticamente configuradas (e no podem ser excludas).

Todas as interfaces de acesso so atribudas VLAN 1 (um comando switchport access vlan 1 implcito).
Exemplo 1 de configurao de VLANs: configurao completa de VLANs

O exemplo 1-1 mostra o processo de configurao para acrescentar uma nova VLAN e atribuir interfaces de acesso
quela VLAN. AFigura 1-8 mostra a rede usada no exemplo, com um switch LAN (SW1) e dois hosts em cada uma das
trs VLANs (1, 2 e 3). O exemplo mostra os detalhes do processo composto por dois passos para a VLAN 2 e as
interfaces na VLAN 2, deixando a configurao da VLAN 3 para o prximo exemplo.
CCNA ICND2
19
Figura 1-8 Rede com um switch e trs VIANs

VLAN2
"
..........
". " .
ExempJo 1-1 Configurando VLANs e atribuindo VIANs a interfaces

swl-2960# ahow vlan brief
VLAN
Name
Status
Ports
default
active
FaO/1, FaO/2, FaO/3, FaO/4

FaO/5, FaO/6, FaO/7 , FaO/8
FaO/9, FaO/10, FaO/ll, FaO/12
FaO/13 , FaO/14, FaO/15, FaO/16
FaO/1?, FaO/18, FaO/19, FaO/20
GiO/1, GiO/2
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup
Above, VLAN 2 did not yet existo Below, VLAN 2 is added, with name Freds-vlan,
with two interfaces assigned to VLAN 2.
swl-2960#configure terminal
------------------------------------------------------------1
swl-2960(config)'vlan 2
swl-2960 (config-vlan) #name Freda-'Vlan
swl-2960 (config-vlan) #exit
swl-2960(config)# interface range faatethernet 0/13 -
14
swl-2960(config-if)# awitchport acceaa vlan 2

swl-2960 (config-if) #exit
Below, the ahoow running-config command lists the interface subcommands on
interfaces FaO/13 and FaO/14. The vlan 2 and name Freda-'Vlan commands do
not show up in the running-config.
swl- 2960# ahow running-config
! lines omitted for brevity
interface FastEthernetO/13
switchport access vlan 2
switchport mode access
SW1# show vIan brief

VLAN
Name
Status
Ports
default
active

FaO/S, FaO/6, FaOI7 , FaO/8
FaO/1S, FaO/16, FaO/I?, FaO/18
FaO/23, FaO/24, GiO/1, GiO/2
Freds-vlan
active
1002
fddi-default
act/unsup
1003
token-ring-default
act/unsup
1004
fddinet-default
act/unsup
1005
trnet-default
act/unsup
Fa O/13 , Fa O/14
o exemplo comea com o comando show vlan brief, conflrmando as deflnies padro de cinco VLANs que no so
possveis de excluir, com todas as interfaces atribudas VLAN 1. De modo especial, observe que este switch 2960
possui 24 portas Fast Ethernet (FaO/1-Fa0/24) e duas portas Gigabit Ethernet (GiO/1 e GiO/2), todas apresentadas como
estando na VLAN 1.
A seguir, o exemplo mostra o processo de criao da VLAN 2 e da atribuio das interfaces FaO/13 e FaO/14 VLAN
2. Observe, principalmente, que o exemplo utiliza o comando interface range, que faz com que o subcomando da
interface switchport access vlan 2 seja aplicado a ambas as interfaces no intervalo, como confrrmado no resultado do
comando show running-config no flnal do exemplo.
Depois de acrescentada a conflgurao, para apresentar a nova VLAN, o exemplo repete o comando show vlan brief.
Observe que este comando apresenta a VLAN 2, name Freds-vlan, e as interfaces atribudas quela VLAN (FaO/13 e FaO/
14).
Observao O Exemplo 1-1 utiliza a configurao VTP padro. Entretanto, se o switch tivesse
sido configurado para o modo VTP transparente, os comandos de configurao vlan 2 e name
Freds-vlan tambm teriam sido vistos no resultado do comando show running-config. Como
esse switch est no modo VTP servidor (padro), o switch armazena esses dois comandos
somente no arquivo vlan.dat.
possvel que um switch no utilize a VLAN atribuda pelo comando switchport access vlan vlan-id em alguns casos,
dependendo do modo operacional da interface. O modo operacional de um switch Cisco tem a ver com o fato de a
interface estar atualmente utilizando um protocolo de trunking. Uma interface que esteja atualmente utilizando o trunking
chamada de interface de trunk (trunk interface), e todas as outras interfaces so chamadas interfaces de acesso
(access interfaces). Portanto, os engenheiros utilizam frases como "FaO/2 uma porta de trunk" ou "FaO/13 uma
interface de acesso", com referncia a se o design pretende utilizar uma determinada interface para formar um trunk
(modo trunk) ou para se conectar a uma nica VLAN (modo de acesso).
O subcomando de interface opcional switchport mode access diz ao switch para somente permitir que a interface seja
uma interface de acesso, o que significa que a interface no utilizar o trunking e utilizar a VLAN de acesso atribuda.
Se omitir o subcomando de interface opcional switchport mode access, a interface poder negociar o uso do trunking,
tomando-se uma interface de trunk e ignorando a VLAN de acesso conflgurada.
Exemplo 2 de configurao de VLANs: configurao resumida de VLANs

O Exemplo 1-1 mostra vrios dos comandos de conflgurao opcionais, com o efeito colateral de ser um pouco mais
longo do que o necessrio. O Exemplo 1-2 mostra uma conflgurao alternativa muito mais resumida, retomando a
CCNA ICND2
21
histria exatamente onde o Exemplo 1-1 parou, mostrando o acrscimo da VLAN 3 (conforme visto na Figura 1-8).
Observe que SWl no sabe da existncia da VLAN 3 no incio do exemplo.
Exemplo 1-2 Exemplo de configurao resumida de VLANs (VLAN 3)

SW1# configure terminal
Enter conf i guration commands, one per line. End with CNTL/Z.
SW1(config) #interface range Fastethernet 0/15 -
16
SW1(config-if-range) #switchport access vlan 3
% Access VLAN d o es not e x isto Creating vlan 3

SW1 (config - if-range) # AZ
SW1# show v1an brief
VLAN
Name
Status
Ports
default
active
FaO/1, FaO/2, Fa O/3, FaO/4

Fa O/9, FaO/10, FaO/11, FaO/12
FaO/21, FaO/22, Fa O/23, FaO/24
GiO/1, GiO/2
Freds-vlan
active
FaO / 13 , FaO / 14
VLANOO03
active
Fa0/15, FaO/16
1002
fddi-default
ac t /unsup
1003
token-ring-default
act/unsup
1004
f ddinet-default
ac t /unsup
1005
trnet-default
act/ u nsup
SW1#
O Exemplo 1-2 mostra como um switch pode dinamicamente criar uma VLAN - o equivalente do comando de configurao
global vlan vlan-id - quando o subcomando de interface switchport access vlan se refere a uma VLAN atualmente
no configurada. Este exemplo comea sem que o SWl saiba sobre existncia da VLAN 3. Quando o subcomando de
interface switchport access vlan 3 foi utilizado, o switch percebeu que a VLAN 3 no existia, e, conforme observado
na mensagem sombreada no exemplo, o switch criou a VLAN 3 utilizando um nome padro (VLAN0003). No
necessrio nenhum outro passo para criar a VLAN. Ao fmal do processo, a VLAN 3 existe no switch, e as interfaces
FaO/15 e FaO/16 esto na VLAN 3, conforme observado na parte sombreada que aparece no resultado do comando
show vlan brief.
Como lembrete, observe que algumas das configuraes mostradas nos Exemplos 1-1 e 1-2 s terminam no arquivo
vlan.dat em memria flash, enquanto outras terminam somente no arquivo running-config. De modo especial, os
subcomandos de interface esto no arquivo running-config, e, portanto, um comando copy running-config startupconfig seria necessrio para salvar a configurao. Entretanto, as definies das novas VLANs 2 e 3 j foram
automaticamente salvas no arquivo vlan.dat em memria flash. A Tabela 1-7, apresentada posteriormente neste captulo,
apresenta uma referncia dos vrios comandos de configurao, onde eles so armazenados e como confmnar as
definies de configurao.
Configurao do Trunking de VLAN

A configurao do trunking em switches Cisco envolve duas escolhas importantes de configurao, como mostrado a
seguir:
O tipo de trunking: IEEE 802.1Q, ISL, ou negociar qual deles usar
O modo administrativo: se devemos ou no utilizar trunk ou se devemos negociar

Os switches Cisco podem negociar ou configurar o tipo de trunking a ser usado (ISL ou 802.1 Q). Como padro, os switches
Cisco negociam o tipo de trunking com o switch na outra extremidade do trunk, utilizando o DTP (Dynamic Trunk Protocol). Ao
negociar, se os dois switches aceitarem tanto o ISL quanto o 802.1 Q, eles optaro por ISL. Se um switch quiser utilizar qualquer
um dos tipos, e o outro switch no quiser utilizar um dos tipos de trunking, os dois concordam em utilizar aquele tipo de trunking
que for aceito pelos dois. Para switches que aceitam ambos os tipos, o tipo de trunking preferido em uma interface configurado
utilizando o subcomando de interface switchport trunk encapsulation {dotlq I isll negotiate}. (Muitos dos switches Cisco
desenvolvidos mais recentemente, incluindo o 2960, atualmente somente aceitam o trunking 802.1 Q padro do IEEE; portanto,
esses switches simplesmente usam o padro da definio switchport trunk encapsulation dotlq.)
O modo administrativo se refere definio de configurao para determinar se o trunking deve ser utilizado em uma
interface. O termo administrativo se refere ao que configurado, enquanto o modo operacional de uma interface se
refere ao que est acontecendo atualmente na interface. Os switches Cisco utilizam o modo administrativo da interface,
conforme configurado com o subcomando de interface switchport mode, para determinar se o trunking deve ser usado.
A Tabela 1-4 relaciona as opes do comando switchport mode.
(;:~;~o
\ Chave
Tabela 1-4 Opes do modo administrativo de trunking com o comando switchport mode ....
Opo de comando
Descrio
access
Impede o uso de trunking, fazendo com que a porta sempre aja como
porta de acesso (sem trunk)
trunk
Sempre utiliza trunking
dynamic desirable
Inicia mensagens de negociao e responde a mensagens de negociao

para escolher dinamicamente se deve comear a utilizar o trunking. Define
tambm o encapsulamento do trunking
dynamic auto
Espera passivamente para receber mensagens de negociao de trunk,

no ponto em que o switch responder e negociar se deve utilizar o
trunking. Em caso positivo, define o tipo de trunking
Por exemplo, considere os dois switches mostrados na Figura 1-9. Essa figura mostra uma expanso da rede da Figura 1-8,
com um trunk com um novo switch (SW2) e com partes das VLANs 1 e 3 em portas anexadas a SW2. Os dois switches
utilizam um link Gigabit Ethemet para o trunk. Neste caso, o trunk no se forma dinamicamente como padro, porque ambos
os switches (2960) utilizam o padro dynamic auto do modo administrativo, o que significa que nenhum dos switches inicia
o processo de negociao do trunk. Ao mudar um switch para que ele utilize o modo dynamic desirable , que no inicia a
negociao, os switches negociam para utilizar o trunking, especificamente o 802.1Q, porque os 2960 s aceitam 802.1Q.
Figura 1-9 Rede com dois switches e trs VIANs

VLAN2
.. .... .. .... .. -. .... "
". . ........... . . .
..........
VLAN 1
VLAN3
/ ............. ---- ..............
. .... .
. ... .... ....
..' ----
CCNA ICND2
23
o Exemplo 1-3 comea mostrando os dois switches com a configurao padro de forma que os dois switches no
formem um trunk. O exemplo mostra a configurao de SWl de forma que os dois switches negociam e utilizam o
trunking 802.1Q.
Exemplo 1-3 Configurao de trunking e comandos show em switches 2960
SW1# show interfaces gigabit 0/1 switchport
Name: GiO/1
Switchport: Enabled
Administr at ive Mode: dynami c auto
Operat i onal Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: nativ e ________________________________________________________________________________________________________
Negotiation of Trunking: On
Access Mode VLAN : 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN : none
Access Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
v oice VLAN: none
Administrative private-vlan host-a s sociation: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative priva te - vlan trunk Native VLAN tagging : enabled
Administrative private-vlan trunk encapsulation : dot1q
Administrative priva te-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs : none
Opera tional priva te-vlan: none
Trunking VLANs Enabled: ALL
pruning VLANs Enabled : 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected:
false
Unknown unicast blocked: disabled

Unknown multicast blocked: disabled
Appliance trust: none
! Note that the next command results in a single empty line of output.
SW1# show interfaces trunk
swa
! Next,
the administrativ e mode is set t o dynamic desirabI e. _____________________________________________________________
SW1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#interface gigabit 0/1
SW1(config-if)j awitchport mode dynamic desirable
SW1(config-if)j AZ
swa
01:43:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernetO / 1 , changed
state to down

SWH
01:43 : 49: %LINEPROTO-5 - UPDOWN: Line protoco1 on Interface GigabitEthernetO / 1 , c hanged
sta t e to up
SW1# show interfaces gigabit 0/1 switchport
Name: GiO / 1
Swi tchpo rt: Enab1ed
Administrat i v e Mode: dynamic desirable
Operati onal Mode: trunk
Admi nistrat ive Trunking Encapsulation: d o t1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking : On
Access Mode VLAN: 1 (default)
! l i nes omitted for brev ity
1-
! The next command f o rmer1y 1 i sted a sing1e empty 1 ine of output; n ow it 1 i sts
! information about the 1 operationa l
trunk.

Por t
Mode
Encapsulat i on
Status
Nat ive v lan
Gi O/ 1
des i rable
802 . 1q
trunking
Port
Vlans allowed o n trunk
GiO / 1
1 -4094
Port
Vlans allowed and active in management domain
GiO / 1
1-3
Port
Vlans in spa nni ng tree forwarding state and not pruned
GiO / 1
1- 3
Primeiro, concentre-se em itens importantes a partir do resultado do comando show interfaces switchport no incio do Exemplo 1-3. O
resultado apresenta a definio padrii.o dynamic auto do modo administrativo. Como o SW2 tambm utiliza o padrii.o dynamic auto, o
comando relaciona o status operacional de SW1 como acesso, o que significa que ele no est utilizando o trunking. A terceira linha
sombreada destaca o nico tipo de trunking aceito (802.1 Q) nesse switch 2960. (Em um switch que aceita tanto ISL quanto 802.1 Q, esse
valor, de acordo com o padrii.o, apresentaria "negociar", significando que o tipo ou o encapsulamento negociado). Finalmente, o tipo do
trunking em funcionamento apresentado como "nativo", o que uma forma sutil de dizer que, nessa porta, o switch no acrescenta
nenhurn cabealho de trunking a frames encaminhadas, tratando os frames como se eles estivessem em urna VLAN nativa 802.1Q.
Para ativar o trunking, os modos administrativos dos dois switches devem estar definidos para uma combinao de
valores que resulte em trunking. Ao alterar SW1 para utilizar o modo dynamic desirable, conforme mostrado a seguir no
Exemplo 1-3, o SW1 iniciar agora as negociaes, e os dois switches utilizaro o trunking. especialmente interessante
observar o fato de que o switch traz a interface a um estado de desativao, e, em seguida, de ativao novamente, em
conseqncia da alterao feita no modo administrativo da interface.
Para verificar se o trunking est funcionando agora, o fmal do Exemplo 1-3 apresenta o comando show interfaces
switchport. Observe que o comando continua apresentando as definies administrativas, que denotam os valores
configurados junto com as definies operacionais que mostram o que o switch est fazendo atualmente. Neste caso,
SW1 agora diz estar em um modo operacional de trunk, tendo dot1 Q como encapsulamento do trunking em funcionamento.
Para os exames ICND2 e CCNA, voc deve estar preparado para interpretar o resultado do comando show interfaces switchport,
entender o modo administrativo subentendido pelo resultado e saber se o link: deve formar um trunk operacionalmente com base
nessas definies. A Tabela 1-5 apresenta as combinaes dos modos administrativos do trunking e o modo operacional esperado
(trunk ou acesso) resultantes das definies configuradas. A tabela relaciona o modo administrativo utilizado em uma extremidade
do link: esquerda e o modo administrativo, utilizado no switch, na outra extremidade do link: na parte superior da tabela. ..........
Tabela 1-5 Modo operacional esperado do trunking com base nos modos administrativos configurados
Modo administrativo
Access
Access
Access
Dynamic Auto Trunk Dynamic Desirable

Access
Access
Access
i Tplco
,"-Chave
...
CCNA ICND2
dynamic auto
Access
Access
Trunk
Trunk
trunk
Access
Trunk
Trunk:
Trunk:
dynamic desirable
Access
Trunk
Trunk:
Trunk
25
Controlando quais VLANs podem ser aceitas em um trunk
o recurso allowed VIAN list oferece um mecanismo para que os engenheiros desativem administrativamente uma
VLAN de um trunk. Como padro, os switches incluem todas as VLANs possveis (l a 4094) na lista de VLANs
permitidas de cada trunk. Entretanto, o engenheiro pode limitar as VLANs permitidas no trunk utilizando o seguinte
subcomando de interface:
switchport trunk al l owed vlan {add
alI
except
remove} vl a n - li s t
Este comando oferece uma forma de facilmente acrescentar e remover VLANs de uma lista. Por exemplo, a opo add
permite que o switch acrescente VLANs lista existente de VLANs permitidas, e a opo remove permite que o
switch remova VLANs da lista existente. A opo ali significa todas as VLANs e, portanto, pode ser utilizada para voltar
com o switch sua definio padro original (permitindo VLANs de 1 a 4094 no trunk). A opo except um pouco
complicada: ela acrescenta lista todas as VLAN s que no so parte do comando. Por exemplo, o subcomando de
interface switchport trunk allowed vlan except 100-200 acrescenta as VLANs de 1 a 99 e de 201 a 4094 lista
existente de VLANs permitidas naquele trunk.
Alm da lista de VLANs permitidas, um switch tem outras trs razes para impedir que o trfego de uma VLAN
especfica cruze o trunk:. Todas essas quatro razes so resumidas na lista a seguir:
Uma VLAN foi removida da lista allowed VLAN do trunk:
........... Uma VLAN no existe, ou no est ativa, no banco de dados de VLAN do switch (conforme visto no comando
{Tpico
, Chave
show vlan)
Uma VLAN foi automaticamente suprimida pelo VTP

A instncia STP de uma VLAN colocou a interface do trunk: em um estado diferente do Forwarding State (Estado
de Encaminhamento)
Dessas trs razes adicionais, a segunda precisa de um pouco mais de explicao. (A terceira razo, o VTP Pruning, j
foi abordada neste captulo, e a quarta razo, o STP, ser abordada por completo no Captulo 2). Se um switch no sabe
que uma VLAN existe, conforme evidenciado pela ausncia da VLAN no resultado do comando show vlan, o switch
no encaminhar frames contidos naquela VLAN atravs de nenhuma interface. Alm disso, uma VLAN pode ser
administrativamente fechada em qualquer switch utilizando o comando de configurao global shutdown vlan vlan-id,
que tambm faz com que o switch no mais encaminhe frames naquela VLAN, mesmo que seja atravs de trunks.
Portanto, switches no encaminham frames contidos em uma VLAN inexistente ou fechada atravs de nenhum trunk do
switch.
o livro relaciona as quatro razes para se limitarem VLANs em um trunk: na mesma ordem em que o lOS descreve
essas razes no resultado do comando show interfaces trunk. Tal comando inclui uma progresso de trs listas das
VLANs aceitas em um trunk:. Essas trs listas so as seguintes:
VLANs da lista de VLANs permitidas no trunk
VLANs do grupo anterior que tambm so configuradas e ativas (no-fechadas) no switch
VLANs do grupo anterior que tambm no so suprimidas e que esto no Forwarding State (Estado de
Encaminhamento) do STP
Para ter uma idia dessas trs listas dentro do resultado do comando show interfaces trunk, o Exemplo 1-4 mostra
como as VLANs podem ter sua permisso bloqueada em um trunk: por vrios motivos. O resultado do comando
retirado do SW1 na Figura 1-9, aps o trmino da configurao, conforme mostrado nos Exemplos 1-1, 1-2 e 1-3. Em
outras palavras, as VLANs de 1 a 3 existem e o trunking est operando. Em seguida, durante o exemplo, os seguintes
itens so configurados em SW1:

Passo 1 A VLAN 4 acrescentada.
Passo 2 A VLAN 2 fechada.
Passo 3 A VLAN 3 removida da lista de VLANs permitidas do trunk.
Exemplo 1-4 Lista de VIANs permitidas e lista de VIANs ativas

! The three lists of VLANs in the next command list allowed VLANs
! Allowed and active VLANs

! VLANs
(1-4094),
(1-3), and allowed/active/not pruned/STP forwarding
(1-3)
SW1#show interfaces trunk

Port
Mode
Encapsulation
Status
Native vlan
GiO/1
desirable
802.1q
trunking
Port
Vlans allowed on trunk
GiO/1
1-4094
Port
GiO/1
1-3
Port
Vlans in spanning tree forwarding state and not pruned
GiO/1
! Next,
1-3
the switch is configured with new VLAN 4; VLAN 2 is shutdown;
! and VLAN 3 is removed from the allowed VLAN list on the trunk.
SW1# configure terminal

SW1(config)#v1an ,
SW1(config-vlan)#vlan 2
SW1 (config-vlan) # shutdown
SW1 (config-vlan) #interface l1iO/1
SW1(config-if)# switchport trunk allowed vlan remove 3
SW1(config-if)# AZ
! The three lists of VLANs in the next command list allowed VLANs
! allowed and active VLANs

! VLANs
(1-2, 4-4094),
(1,4), and allowed/active/not pruned/STP forwarding
(1,4)
SW1#show interfaces trunk

Port
Mode
Encapsulation
Status
Native vlan
GiO/1
desirable
802.1q
trunking
! VLAN 3 is omitted next,
because it was removed from the allowed VLAN listo
Port
GiO/1
1-2,4-4094
! VLAN 2 is omitted below because it is shutdown . VLANs 5-4094 are omitted below
! because SW1 does not have them configured.
Port
GiO/1
1,4
Port
GiO/1
1,4
Trunking com Telefones Cisco IP

Os telefones Cisco IP utilizam a Ethemet para se conectar rede IP com o propsito de enviar pacotes VoIP (Voice over
CCNA ICND2
27
IP). Os telefones Cisco IP podem enviar pacotes VoIP para outros telefones IP que aceitem chamadas de voz, bem como
enviar pacotes VoIP para portas de comunicao de voz, que, por sua vez, conectam-se rede de telefonia tradicional
existente, oferecendo a possibilidade de chamar praticamente qualquer telefone do mundo.
A Cisco previu que cada mesa de escritrio em uma empresa poderia ter sobre ela um telefone Cisco IP e um PC. Para
reduzir o emaranhado de cabos, a Cisco inclui um pequeno switch na parte de baixo de cada telefone Cisco IP. O
pequeno switch permite que um cabo faa o percurso desde o quadro de fiao at a mesa e se conecte ao telefone IP;
e, em seguida, o PC pode se conectar ao switch ligando um pequeno cabo Ethemet (contnuo) do PC at a parte de baixo
do telefone IP. A Figura 1-10 mostra o cabeamento e mais alguns detalhes.
Figura 1-10 Conexo tpica de um telefone Cisco IP e de um PC a um switch Cisco
Voice VLAN 12
Not Trunking
Access VLAN 2
As diretrizes do projeto de telefonia da Cisco sugerem que o link entre o telefone e o switch deva utilizar o trunking
802.1Q, e que o telefone e o PC devam estar em VLANs diferentes (e, portanto, em sub-redes diferentes). Ao colocar
os telefones em uma VLAN, e os PCs conectados aos telefones em outra VLAN diferente, os engenheiros podem
gerenciar mais facilmente o espao do endereo IP, aplicar mais facilmente os mecanismos de qualidade de servio
(QoS) aos pacotes VoIP e oferecer mais segurana separando os dados e o trfego de voz.
A Cisco chama de voice VLAN a VLAN utilizada para o trfego do telefone IP e de data VLAN, ou access VLAN, a
VLAN utilizada para os dados. Para que o switch encaminhe o trfego corretamente, os switches Cisco precisam saber
o VLAN ID da voice VLAN e do data VLAN. O data VLAN (ou access VLAN) configurada exatamente como visto
nos ltimos exemplos, utilizando o comando switchport access vlan vlan-id. A voice vlan configurada com o subcomando
de interface switchport voice vlan vlan-id. Por exemplo, para combinar com a Figura 1-10, a interface FaO/6 precisaria
do sub comando de interface switchport access vlan 2 e do sub comando switchport voice vlan 12.
/~:~;~
\ Cha".
A tabela 1-6 resume os pontos principais sobre a voice VLAN.
....
Tabela 1-6 Configurao da Voice VIAN e da Data VIAN

Dispositivo
Nome da VLAN Configurada com este comando
Telefone
Voice VLAN ou VLAN auxiliar switchport voice vlan vlan-id
PC
---------------------------------------------------------------
Protegendo VLANs e o Trunking
Data VLAN ou Access VLAN switchport access vlan vlan-id
Os switches so expostos a vrios tipos de vulnerabilidades de segurana tanto em portas utilizadas quanto portas noutilizadas. Por exemplo, um hacker poderia conectar um computador a uma tomada de parede ligada por um cabo porta
de um switch e causar problemas na VLAN atribuda quela porta. Alm disso, o hacker poderia negociar o trunking e
causar vrios outros tipos de problemas, alguns relacionados ao VTP.
A Cisco faz algumas recomendaes sobre como proteger portas de switches no-utilizadas. Em vez de usar as definies
padro, a Cisco recomenda configurar essas interfaces da seguinte forma:
(;~~;~o Desativar administrativamente a interface no utilizada, usando o subcomando de interface shutdoWD .

\~ha'"
Impedir que o trunking seja negociado quando a porta est ativada utilizando o subcomando de interface switchport
nonegotiate para desativar a negociao ou o subcomando de interface
28

switchport mode access para configurar estaticamente a interface como uma interface de acesso.
Atribuir a porta a uma VLAN no utilizada, s vezes chamada de parking lot VLAN (VLAN de estacionamento),
utilizando o subcomando de interface switchport access vlan number.
Na verdade, se voc apenas encerrar a interface, a exposio da segurana vai embora, mas as outras duas tarefas
impedem qualquer problema imediato caso outro engenheiro ative a interface configurando um comando no shutdown.
Alm dessas recomendaes sobre portas no-utilizadas, a Cisco recomenda que a negociao do trunking seja desativada
em todas as interfaces de acesso em uso, sendo todos os trunks configurados manualmente para formarem um trunk. A
exposio quer dizer que um hacker pode desconectar o computador de um usurio legtimo da porta RJ-45, conectar o
PC do hacker e tentar negociar o trunking. Ao configurar todas as interfaces em uso que no deviam estar formando um
trunk com o subcomando de interface switchport nonnegotiate, essas interfaces no vo decidir dinamicamente formar
o trunk, reduzindo a exposio a problemas relacionados ao trunking. Para qualquer interface que precise formar um
trunk, a Cisco recomenda configurar o trunking manualmente.
Configurao e verificao do VTP

A configurao do VTP requer apenas alguns passos simples, mas o VTP tem o poder de causar problemas significativos,
seja por opes ruins e acidentais de configurao ou por ataques nocivos. As sees a seguir examinam, primeiramente,
a configurao geral, seguido de alguns comentrios sobre possveis problemas criados pelo processo VTP. Essas sees
terminam com uma discusso sobre como resolver problemas relacionados ao VTP.
Usando VTP: configurando servidores e clientes

Antes de configurar o VTP, vrias definies do VTP devem ser escolhidas. De modo especial, considerando que o
engenheiro queira fazer o uso do VTP, ele deve decidir quais switches estaro no mesmo domnio VTP, o que significa
que esses switches recebero as informaes de configurao da VLAN uns dos outros. O nome de domnio VTP deve
ser escolhido, junto com uma senha VTP opcional, porm, recomendada. (Ambos os valores so sensveis a letras
maisculas e minsculas.) O engenheiro deve tambm escolher quais switches sero servidores (geralmente pelo menos
dois, por questo de redundncia) e quais sero clientes.
Aps a concluso dos passos de planejamento, os seguintes passos devem ser utilizados para configurar o VTP:
..........
( TpiCO
~ Ch.ve
....
Passo 1 Configurar o modo VTP utilizando o comando de configurao global vtp mode {server I client} .
Passo 2 Configurar o nome de domnio VTP (sensvel a letras maisculas e minsculas) utilizando o comando de
configurao global vtp domain domain-name.
Passo 3 (Opcional) Tanto nos clientes quanto nos servidores, configurar a mesma senha (sensvel a letras maisculas
e minsculas) utilizando o comando de configurao global vtp password password-value.
Passo 4 (Opcional) Configurar o VTP Pruning nos servidores VTP utilizando o comando de configurao global vtp
pruning.
Passo 5 (Opcional) Ativar a verso 2 do VTP com o comando de configurao global vtp version 2.
Passo 6 Criar trunks entre os switches.
O Exemplo 1-5 mostra um modelo de configurao, junto com um comando show vtp status, para os dois switches da
Figura 1-11. A figura destaca as definies de configurao nos dois switches antes de o Exemplo 1-5 mostrar a configurao
do VTP sendo acrescentada. De modo especial, observe que os dois switches utilizam as definies de configurao
padro do VTP.
.,
.,
",
CCNA ICND2
29
Figura 1-11 Configurao do switch antes do Exemplo 1-5
GiOI1
1, 2, 3,1002-1005
VLANs:
Server
ModoVTP :
Domnio VTP: <null>
Senha VTP :
<null>
Reviso VTP : 5
Endereo IP: 192.168.1.105
Trunk
GiOl2
VLANs:
ModoVTP:
Domnio VTP :
Senha VTP :
Reviso : 1
Endereo IP:
1,1002-1005
Servidor
<null>
<null>
192.168.1.1 06
o Exemplo 1-5 mostra a seguinte configurao em SW1 e SW2, seguida dos resultados:
SW1: Configurado como servidor, tendo Freds-domain como nome de domnio VTP, Freds-password como senha
VTP e o VTP Pruning ativado
SW2: Configurado como cliente, tendo Freds-domain como nome de domnio VTP e Freds-password como senha
VTP
Exemplo 1-5 Configurao bsica do VTP cliente e servidor

! lOS generates at least one informational message after each VTP command listed
! below. The comments added by the author begin with an exclamation point.
Enter configuration commands, one per line. End with CNTL / Z.
SW1(config)#vtp mode server
Setting device to VTP SERVER mo de
SW1(config)#vtp domain Preds-domain
Changing VTP domain name from NULL to Freds-domain
SW1(config)#vtp password Preds-password
Setting device VLAN database password to Freds-password
SW1(config)#vtp pruning
pruning switched on
SW1 (config) #A Z
! Switching to SW2 now
SW2(config)#vtp mode client
Setting device to VTP CLlENT mode.
SW2(config)#vtp domain Preds-domain
Domain name already set to Freds-domain.
SW2(config)#vtp password Preds-password
Setting device VLAN database password to Freds-password
SW2(config)#A Z
! The output below shows configuration revision number 5,
!
(1 through 3, 1002 through 1005), as learned from SW1
SW2# show vtp status

VTP Version
: 2
Configuration Revision
: 5
with 7 existing VLANs

Maximum VLANs supported locally
255
Number of existing VLANs
VTP Operating Mode
Client
VTP Domain Name
Freds-domain
VTP Pruning Mode
Enabled
VTP V2 Mode
Disabled
VTP Traps Generation
Disabled
M05 digest
: Ox22 Ox07 OxF2 Ox3A OxF1 Ox28 OxAO Ox5D
Configuration last modified by 192.168.1.105 at 3-1-93 00:28:35

! The next command lists the known VLANs,
including VLANs 2 and 3, learned
! from SW1
SW2# show vlan brief

VLAN
Name
Status
Ports
default
active

FaO/5, FaO/6, FaO/? , FaO/8
FaO/21, FaO/22, FaO /23, FaO/24
GiO/1
Freds-vlan
active
VLANOO03
active
1002
fddi-default
act/unsup
1003
token-ring-default
act/unsup
1004
fddinet-default
act/unsup
1005
trnet-default
act/unsup
! Switching to SW1 now

! Back on SW1,
the output be10w confirms the same revision number as SW2, meaning
! that the two switches have synchronized their VLAN databases.
SW1#show vtp status

VTP Version
: 2
: 5
: 255
: 7
VTP Operating Mode
Server
VTP Domain Name
Freds-domain
VTP pruning Mode
Enabled
VTP V2 Mode
Disabled
Disabled
M05 digest
: Ox10 OxAO Ox57 Ox3A OxCF Ox10 OxB7 Ox96
.,

Local updater lD is 192.168.1.105 on interface Vil
(lowest numbered VLAN interface foundl ______________________
SW1# show vtp password

VTP Password: Freds-password
o exemplo relativamente longo, mas a configurao simples. Ambos os switches foram configurados com o modo
VTP (servidor e cliente), o mesmo nome de domnio e a mesma senha, com o trunking j tendo sido configurado. A
configurao resultou em SW2 (cliente) sincronizando o seu banco de dados de VLAN para combinar com SWl (servidor).
Os switches Cisco lOS no modo VTP servidor ou cliente armazenam os comandos de configurao vtp, e mais alguns
CCNA ICND2
31
outros comandos de configurao, no arquivo vlan.dat em memria flash. Os switches no armazenam os comandos de
configurao no arquivo running-config. Pelo contrrio, para verificar esses comandos de configurao e suas definies,
so usados os comandos show vtp status e show vlan. Como referncia, a Tabela 1-7 relaciona os comandos de
configurao relacionados VLAN, o local no qual o servidor ou o cliente VTP armazena os comandos e a forma de
visualizar as definies para os comandos.
Tabela 1-7 Local em que os clientes e servidores VTP armazenam as configuraes relacionadas VIAN (;~~;~o
\ Ch.".
Comandos de configurao
Onde so armazenados
Como visualizar
vtp domain
vlan.dat
show vtp status
vtp mode
vlan.dat
show vtp status
vtp password
vlan.dat
show vtp password
vtp pruning
vlan.dat
show vtp status
vlan vlan-id
vlan.dat
show vlan [brief]
name vlan-name
vlan.dat
show vlan [brief]
switchport access vlan vlan-id
running~config
show running-config, show
running-config
show running-config, show
...
interfaces switchport
switchport voice vlan vlan-id

interfaces switchport
Qualquer anlise de VTP e de VLANs feita em switches Cisco depende de dois comandos importantes: os comandos
show vtp status e show vlan. Primeiro, observe que, quando o domnio sincronizado, o comando show vtp status em
todos os switches deve ter o mesmo nmero de reviso de configurao. Alm disso, o comando show vlan deve
apresentar as mesmas VLANs e os mesmos nomes de VLANs. Por exemplo, tanto SWl quanto SW2 terminam o
Exemplo 1-5 com um nmero de reviso igual a 5, e ambos sabem da existncia de sete VLANs: de 1 a 3 e de 1002 a
1005. Ambas as instncias do comando show vtp status no Exemplo 1-5 relacionam o endereo IP do ltimo switch
para modificar o banco de dados da VLAN, ou seja, SW1, 192.168.1.105; portanto, mais fcil determinar qual switch
provocou a ltima alterao na configurao da VLAN. Somente em servidores VTP, o comando show vtp status
termina com uma linha que relaciona o endereo IP daquele switch e que se identifica ao avisar sobre as atualizaes do
VTP, facilitando a confrnnao de qual switch provocou a ltima alterao na configurao da VLAN.
Observe que a senha VTP s pode ser exibida com o comando show vtp password. O comando show vtp status exibe
uma forma MD5 resumida da senha.
Observao Os switches Cisco enviam mensagens VTP e mensagens CDP (Cisco Discovery
Protocol) em trunks utilizando a VLAN 1.
Cuidados ao sair da configurao VTP padro

O comportamento padro do VTP apresenta a possibilidade de problemas na primeira configurao do VTP. Para
entender por qu, considere os cinco pontos a seguir sobre o VTP:
A configurao VTP padro em switches Cisco o modo VTP servidor com um nome de domnio nulo.
Com todas as definies padro, o switch no envia atualizaes VTP, mesmo atravs de trunks, mas o switch pode
ser configurado com VLANs por estar em modo servidor.

Aps configurar um nome de domnio, aquele switch imediatamente comea a enviar atualizaes VTP atravs de
todos os seus trunks.
Se um switch que ainda possua um nome de domnio nulo (padro) receber uma atualizao VTP - a qual, por
defInio, relaciona um nome de domnio :- e no tiver sido usada nenhuma senha pelo switch de envio, o switch de
recebimento passa a utilizar aquele nome de domnio VTP.
Quando o passo anterior ocorre, o switch com o nmero de reviso mais alto relativo ao banco de dados de VLAN
faz com que o switch que tem o nmero de reviso mais baixo sobrescreva seu banco de dados de VLAN.
O Exemplo 1-5 progride atravs desses mesmos cinco fatos. Ele comea com o trunking ativado entre os dois switches,
mas com as defInies VTP padro (itens 1 e 2 da lista que precede este pargrafo). Assim que o SW1 confIgura o seu
nome de domnio VTP, ele envia as mensagens VTP atravs do trunk para SW2 (item 3). SW2 reage passando a utilizar
o nome de domnio VTP relacionado na atualizao VTP recebida (neste caso, Freds-domain). Quando o comando vtp
domain Freds-domain foi emitido em SW2 no Exemplo 1-5, SW2 j estava utilizando Freds-domains como nome de
domnio dinamicamente reconhecido; portanto, o Cisco lOS em SW2 emitiu a resposta "Nome de domnio j defInido
como Fred-domain" (item 4). Finalmente, SW2, com um nmero de reviso VTP mais baixo, sincronizou seu banco de
dados VLAN para combinar com SW1 (item 5).
O processo funcionou exatamente como desejado no Exemplo 1-5. Entretanto, este mesmo processo permite que um
engenheiro inocentemente configure o nome de domnio VTP de um switch e destrua completamente uma LAN de
switches. Imagine, por exemplo, que SW2 tivesse confIgurado a VLAN 4 e atribudo vrias interfaces a ela, mas que
SW1 no tenha nenhuma defInio para a VLAN 4. Seguindo esse mesmo processo, quando SW2 sincroniza seu banco
de dados VLAN para combinar com SW1, SW2 sobrescreve o banco de dados antigo, perdendo a defInio da VLAN
4. Nesse ponto, SW4 j no pode encaminhar frames contidos na VLAN 4, e, com isso, possvel que todos os usurios
da VLAN 4 comecem a chamar por ajuda.
Esse mesmo processo poderia ser usado para executar um ataque de negao de servio (DoS, do ingls denial of
service) utilizando o VTP. Apenas com as defInies VTP padro, qualquer hacker que consiga criar um trunk entre um
switch de ataque e o switch legtimo existente pode fazer com que os switches existentes se sincronizem com o banco de
dados de VLAN do switch de ataque, que pode muito bem no ter nenhuma VLAN configurada. Portanto, para redes
reais, se voc no pretende utilizar o VTP ao instalar um switch, vale a pena o esforo de simplesmente configur-lo para
que seja um switch em modo VTP transparente, conforme abordado na prxima seo. Ao fazer isso, a configurao de
um nome de domnio VTP naquele novo switch no causar impacto nos switches existentes, e a configurao de um
nome de domnio em outro switch no causar impacto nesse novo switch.
Observao A seo intitulada "Resolvendo Problemas de VTP" explica como reconhecer

quando o VTP pode ter causado problemas como os mencionados nesta seo.
Evitando o VTP: configurando o modo transparente

Para evitar o uso do VTP, necessrio configurar o modo VTP transparente. Em modo transparente, um switch nunca
atualiza seu banco de dados de VLAN com base em mensagens VTP recebidas e nunca faz com que outros switches
atualizem seus bancos de dados com base no banco de dados de VLAN do switch em modo transparente. A nica ao
VTP executada pelo switch encaminhar mensagens VTP recebidas em um trunk atravs de todos os outros trunks, o
que permite que outros clientes e servidores VTP funcionem corretamente.
Configurar o modo VTP transparente simples: basta emitir o comando vtp mode transparent em modo de configurao
global. No so necessrios nomes de domnio nem senhas.
Resolvendo problemas de VTP

O VTP pode ter um impacto enorme sobre uma LAN construda utilizando switches Cisco, seja o impacto negativo ou
positivo. As sees seguintes examinam trs aspectos da resoluo de problemas de VTP. Primeiro, o texto sugere um
processo atravs do qual voc pode resolver problemas de VTP quando o VTP parece no estar distribuindo as informaes
de configurao da VLAN (acrscimos/excluses/alteraes). Em seguida, o texto examina uma classe comum de
CCNA ICND2
problemas que ocorrem quando surge um trunk, possivelmente acionando os switches vizinhos para enviarem atualizaes
VTP e sobrescreverem um dos bancos de dados de VLAN do switch. Esse tpico termina com as prticas ideais
sugeridas para evitar problemas de VTP.
33
Determinando por que o VTP no est funcionando atualmente
o primeiro passo da resoluo de problemas de VTP envolve determinar se existe um problema, para incio de conversa.
Para switches que deveriam estar usando VTP, no mesmo domnio, o problema pode ser identificado, primeiramente,
quando quaisquer dois switches vizinhos tiverem bancos de dados de VLAN diferentes. Em outras palavras, eles reconhecem
VLAN ID diferentes, com nomes diferentes e com um nmero de reviso de configurao diferente. Aps identificar
dois switches vizinhos cujos bancos de dados de VLAN no combinam, o prximo passo verificar a configurao e o
modo operacional do trunking (e no o modo administrativo) e corrigir quaisquer problemas. A lista a seguir detalha os
passos especficos:
Passo 1 Confirmar os nomes dos switches, a topologia (incluindo quais interfaces conectam quais switches) e os
modos VTP dos switches.
/;~;;~o
Passo 2 Identificar com o
'. Cha...
....
comando show vlan conjuntos formados por dois switches vizinhos que deveriam ser
clientes ou servidores VTP cujos bancos de dados de VLAN diferem.
Passo 3 Em cada par formado por dois switches vizinhos cujos bancos de dados diferem, verificar o seguinte:
a. Pelo menos um trunk deve existir entre os dois switches (use o comando show interfaces trunk, show interfaces
switchport ou show cdp neighbors).
b. Os switches devem ter o mesmo nome de domnio VTP (show vtp status) (sensvel a letras maisculas e minsculas).
c. Se configurada, os switches devem ter a mesma senha VTP (show vtp password) (sensvel a letras maisculas e
minsculas).
d. Embora o VTP Pruning deva estar ativado ou desativado em todos os servidores no mesmo domnio, ter dois
servidores configurados com definies opostas de Pruning no impede o processo de sincronizao.
Passo 4 Para cada par de switches identificado no Passo 3, resolva a questo solucionando o problema do trunking ou
reconfigurando o switch para que ele combine corretamente com o nome de domnio ou a senha.
Observao Para LANs reais, alm dos itens dessa lista, considere tambm o projeto do
VTP desejado.
Embora o processo apresente vrios passos, seu principal objeti vo mostrar como atacar o problema com o conhecimento
abordado anteriormente neste captulo. O processo basicamente diz que, se os bancos de dados de VLAN diferem, e os
switches deveriam ser clientes ou servidores VTP, ento existe um problema de VTP - e a causa geradora geralmente
algum problema de configurao do VTP. Entretanto, no exame, possvel que voc seja forado a descobrir a resposta
com base no resultado do comando show. Por exemplo, considere um problema no qual trs switches (SW1 , SW2 e
SW3) se conectem todos uns com os outros. Uma determinada questo do exame pode pedir que voc encontre qualquer
problema de VTP na rede, com base no resultado dos comandos show, como os do Exemplo 1-6.
Observao Seria um timo exerccio ler o exemplo e aplicar os passos de resoluo de

problemas apresentados no incio desta seo antes de ler qualquer explicao apresentada
aps o exemplo.
Exemplo 1-6 Exemplo de resoluo de problemas de VTP
SW1# show cdp neighbors
Capability Codes:
R - Router, T - Tran s Bridge, B - Source Route Bridge

S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
34

SW2 Gig 0/1 163 S I WS-C2960-2Gig 0/2
SW3 Gig 0/2 173 S I WS-C3550-2Gig 0/1
VLAN
Name
Status
Ports
active
-------------
default
FaO/5, FaO/6, FaOI7 , FaO/8

FaO/23, FaO/24, GiO/2
3
VLANOO03
active
VLANOO04
active
FaO/ll
VLANOO05
active
49
VLAN0049
active
50
VLAN0050
active
1002
fddi-default
act/unsup
1003
trcrf-default
act/unsup
1004
fddinet-default
act/unsup
1005
trbrf-default
act/unsup
SWl# show interfaces trunk

Port
Mode
Encapsulation
Status
Native vlan
GiO /1
desirable
802.1q
trunking
Port
GiO /1
1-4094
Port
GiO/1
1,3-5,49-50
Port
GiO/1
3-5,49-50

VTP Version
131
255
10
VTP Operating Mode
Client
VTP Oomain Name
Larry
VTP pruning Mode
Oisabled
VTP V2 Mode
Enabled
Oisabled
M05 digest
Ox10 Ox27 OxA9 OxF9 Ox46 OxDF Ox66 OxCF

! SW2 next

Capability Codes:
R - Router, T - Trans Bridge, B - Source Route Bridge

Oevice 10
Local Intrfce
Holdtme
Capability
Platform Port 10
SW1
Gig 0/2
175
S I
WS-C2960-2Gig 0/1
CCNA ICND2
S I
155
Gig 0/1
SW3
WS-C3550-2Gig 0/2
SW2# show v1an brief

VLAN
Name
Status
Ports
default
active
FaO / 1, FaO / 2, FaO/3 , FaO / 4

FaO / 5 , FaO / 6, FaOI7 , FaO / 8
FaO / 9, FaO / 10, FaO / ll, FaO / 12
FaO / 13 , FaO / 14, FaO/15, FaO / 16
FaO / 17, FaO / 18, FaO / 19 , FaO / 20
FaO / 21 , FaO / 22, FaO / 23, FaO/24
VLAN0003
activ e
1002
fddi-default
act / unsup
1003
trcrf-default
act / unsup
1004
fddinet-default
act / unsup
1005
trbrf-default
act / unsup
VTP Version
255
VTP Operating Mode
Server
VTP Domain Name
larry
VTP pruning Mode
Disabled
VTP V2 Mode
Enabled
Disabled
MD5 digest
Ox8C Ox75 OxC5 OxDE OxE9 Ox7C Ox2D Ox8B

Local updater ID is 1.1 . 1. 2 on interface Vil (lowest numbered VLAN interface found)
! SW3 next

VLAN
Name
Status
default
activ e
Ports
FaO / 1, FaO / 2, FaO / 3, FaO / 4

FaO / 5, FaO / 6, FaOI7 , FaO / 8
FaO/9, FaO / 10, FaO / ll, FaO/12
FaO/14, FaO / 15 , FaO / 16, FaO / 17
FaO / 18 , FaO / 19, FaO / 20, FaO/21
FaO / 22, FaO / 23, FaO / 24, GiO/1
VLANOO03
active
VLANOO04
active
VLANOO05
active
FaO / 13
20
VLAN20
active
1002
fddi-default
act / unsup
1003
trcrf-default
act / unsup
1004
fddinet-default
act / unsup
1005
trbrf-default
act / unsup
SW3#Show interfaces trunk
Port
Mode
Encapsulation
Status
Native vlan
35
36

GiO/2
desirable
n-802.1q
Port
GiO/2
1-4094
trunking
Port
Vlans allowed and active in management dornain
GiO/2
1,3-5,20
Port
GiO/2
1,3-5,20

VTP Version
: 2
134
Maxirnum VLANs supported locally

Nurnber of existing VLANs
1005
: 9
VTP Operating Mode
Server
VTP Dornain Narne
Larry
VTP pruning Mode
Disabled
VTP V2 Mode
Enabled
Disabled
M05 digest
Ox76 Ox1E Ox06 Ox1E Ox1C Ox46 Ox59 Ox75
Configuration last rnodified by 1.1.1.3 at 3-1-93 01:07:29

Local updater lD is 1.1.1.3 on interface Vl1 (lowest nurnbered VLAN interface found)
Para o Passo 1, os comandos show cdp neighbors e show interfaces trunk fornecem informaes suficientes para
confirmar a topologia, bem como mostrar quais links esto operando como trunks. O comando show interfaces trunk
apresenta apenas interfaces em um estado de trunking em funcionamento. Alternadamente, o comando show interfaces
switchport tambm apresenta o modo operacional (trunk ou access). A Figura 1-12 mostra o diagrama de rede. Observe
tambm que o link entre SW1 e SW3 no est utilizando trunking no momento.
Figura 1-12 Topologia de rede de switches no Exemplo 1-6

Cliente
Servidor
Servidor
Para o Passo 2, uma rpida reviso do resultado do comando show vlan brief de cada switch mostra que todos os trs
switches possuem bancos de dados de VLAN diferentes. Por exemplo, todos os trs switches sabem da existncia da
VLAN 3, enquanto SW1 o nico switch que sabe sobre a existncia da VLAN 50, e SW3 o nico switch que sabe
sobre a existncia da VLAN 20.
Como todos os trs pares de switches vizinhos possuem bancos de dados de VLAN diferentes, o Passo 3 do processo de
resoluo de problemas sugere que cada par seja examinado. Comeando com SW1 e SW2, uma rpida olhada no comando
show vtp status em ambos os switches identifica o problema: SW1 utiliza o nome de domnio Larry enquanto SW2 utiliza
larry, e os nomes diferem por causa da primeira letra maiscula ou minscula. Analogamente, SW3 e SW2 apresentam
dificuldades por causa do nome de domnio VTP que no combina. Como SW2 o nico switch em que a palavra larry est
com letra minscula, uma soluo seria reconfigurar SW2 para que ele usasse Larry como nome de domnio.
Continuando o Passo 3 para SW1 e SW3, os dois switches possuem o mesmo nome de domnio (Passo 3B), mas, ao olhar
o Passo 3A, vemos que no h nenhum trunk conectando SW1 a SW3. O CDP confmna que a interface GiO/2 de SW1
se conecta a SW3, mas o comando show interfaces trunk em SW1 no apresenta a interface GiO/2. Em conseqncia
CCNA ICND2
disso, nenhum dos switches pode enviar mensagens VTP um ao outro. A raiz do problema , muito provavelmente, um
lapso na conflgurao do subcomando de interface switchport mode.
Embora o exemplo no tenha tido nenhum problema com a no-combinao de senhas VTP, importante saber como
verificar as senhas. Primeiro, a senha pode ser exibida em cada switch com o comando show vtp password. Alm disso,
o comando show vtp status apresenta um hash MD5 derivado tanto do nome de domnio VTP quanto da senha VTP.
Portanto, se dois switches possuem o mesmo nome de domnio e a mesma senha, sensveis a letras maisculas e minsculas,
o valor para o hash MD5 apresentado no resultado do comando show vtp status ser o mesmo. Entretanto, se dois
switches apresentam valores diferentes para o hash MD5 , necessrio examinar os nomes de domnio. Se estes forem
iguais, as senhas deveriam ter sido diferentes, j que os hashes MD5 so diferentes.
Antes de passar para o prximo tpico, veja este breve comentrio sobre a verso VTP e como ela no impede que os
switcbes funcionem. Se voc examinar o resultado do comando show vtp status novamente no Exemplo 1-6, observe
os cabealhos VTP Version (Verso VTP) e V2 Mode Enabled (Modo V2 Ativado). A primeira linha apresenta a verso
VTP mais alta aceita pelo software daquele switch. A outra linha mostra o que o switch est atualmente usando. Se um
switch tiver o comando VTP verso 2 conflgurado, sobrescrevendo o padro da verso 1, o switch utilizar vtp version
2 - mas somente se os outros switches do domnio tambm aceitarem a verso 2. Portanto, a no-combinao da verso
VTP conflgurada significa que os switches funcionam, mas que eles devem usar a verso 1 do VTP, e a linha que exibe
"VTP V2 Mode" apresentaria a palavra disabled (desativado), significando que a verso 1 do VTP utilizada.
Problemas ao conectar novos switches e criar trunks
o VTP pode estar funcionando perfeitamente h meses, e um belo dia uma enxurrada de chamadas por ajuda descrevem
casos nos quais grandes grupos de usurios no conseguem mais utilizar a rede. Aps um exame minucioso, aparentemente
quase todas as VLANs foram excludas. Os switches continuam tendo vrias interfaces com comandos switchport
access vlan que se referem s VLANs agora excludas. Nenhum dos dispositivos presentes nessas VLANs agora
excludas funciona, porque os switches Cisco no encaminham frames para VLANs inexistentes.
Esse cenrio pode acontecer ocasionalmente (e acontece), principalmente quando um novo switch conectado a uma
rede existente. Se esse problema acontecer por acidente ou como um ataque de negao de servio (DoS), a causa
geradora que, quando um novo trunk de VLANs (ISL ou 802.1Q) surge entre dois switches, e os dois switcbes so
servidores ou clientes VTP, eles enviam atualizaes VTP um para o outro. Se um switch receber um aviso VTP que
possua o mesmo nome de domnio e tenha sido gerado com a mesma senha VTP, um outro switch sobrescreve seu banco
de dados de VLAN como parte do processo de sincronizao. Especificamente, o switch que tinha o menor nmero de
reviso, sincroniza seu banco de dados de VLAN para combinar com um switch vizinho (que possui o maior nmero de
.....~eviso). Resumindo o processo mais formalmente:
...;plco
37
Passo 1 Confirmar que o trunking ocorrer no novo link: (refira-se Tabela 1-5 para detalhes).
'. Chave
....
Passo 2 ConfIrmar que os dois switches utilizam o mesmo nome de domnio e senha VTP, sensveis a letras maisculas
e minsculas.
Passo 3 Os Passos 1 e 2 conflrmam que o VTP vai funcionar. O switch com menor nmero de reviso atualiza seu
banco de dados de VLAN para combinar com outro switch.
Por exemplo, o Exemplo 1-6 e a Figura 1-12 mostram que o link formado entre SW1 e SW3 no est formando um trunking.
Se esse link tivesse de ser configurado para formar um trunk, SW1 e SW3 enviariam mensagens VTP um para o outro,
utilizando o mesmo nome de domnio VTP e a mesma senha VTP. Portanto, um switch atualizaria seu banco de dados de
VLAN para que ele combinasse com o outro. O Exemplo 1-6 mostra SW1 com o nmero de reviso 131 e SW3 com
nmero de reviso 134; logo, SW1 vai sobrescrever seu banco de dados de VLAN para combinar com SW3, excluindo,
assim, as VLANs 49 e 50. O Exemplo 1-7 retoma a histria ao final do Exemplo 1-6, mostrando o surgimento do trunk entre
SW1 e SW3, permitindo a sincronizao do VTP e resultando em alteraes no banco de dados VLAN do SW1.
Exemplo 1-7 Exemplo de resoluo de problemas de VTP
SWl (config) #interface giO/2
SW1(config- if)# switchport mode dynamic desirable

SW1(config -if)# AZ
SWl#
01:43:46: %SYS-5-CONFIG_I : Configured from cons ole by console
01:43:46 : %LINEPROTO-5-UPDOWN: Line protocol on Interfa ce GigabitEthernetO/2. chang ed
state t o d own
SW1#01 : 43 : 49 : %L I NEPROTO-5 - UPDOWN: Li n e pro t ocol on Interface GigabitEthernetO/2.
changed state to u p
SWl# show vlan brief
VLAN
Name
Status
Ports
default
active
FaO/1. FaO/2 . FaO/3. FaO/4

FaO/5. FaO/6 . FaO/7 Fa O/8
Fa O/9. FaO/10 . FaO/13 FaO/14
FaO/15. FaO/16. FaO/1?
FaO/18
FaO/19. FaO/20. FaO/2 1 . FaO/22

FaO/23. FaO/2 4 . GiO/1
3
VLANOO03
VLANOO04
active
active
VLANOO05
active
20
VLAN20
act ive
1002
fddi-default
act/unsup
1003
trcrf-default
act/unsup
1004
fddinet-default
act/unsup
1005
trbrf- d efau lt
ac t /un s u p
FaO/ll
Na vida real, voc tem vrias formas de ajudar a reduzir a chance de que tais problemas ocorram quando estiver
instalando um novo switcb em um domnio VTP existente. Especificamente, antes de conectar um novo switch a um
domnio VTP existente, defina o nmero de reviso do VTP do novo switch em O utilizando um dos seguintes mtodos:
Configure o novo switch em modo VTP transparente e depois volte para o modo VTP cliente ou servidor.
Apague o arquivo vlan.dat em memria flash do novo switch e reinicialize o switch. Esse arquivo contm o banco
de dados de VLAN do switch, incluindo o nmero de reviso.
Evitando problemas de VTP atravs das prticas ideais

Alm da sugesto de definir o nmero de reviso do banco de dados de VLAN antes de instalar um novo switch, existem
algumas outras excelentes convenes de VTP, chamadas prticas ideais, que podem ajudar a evitar algumas das ciladas
do VTP. Sejam elas:
..........
f Tpico
Se voc no pretende utilizar o VTP, configure cada switch para utilizar o modo transparente.
\ Ch.".
".
Se estiver usando o modo VTP servidor ou cliente, sempre use uma senha VTP.
Desative o trunking com os comandos switchport mode access e switchport nonegotiate em todas as interfaces,
exceto em trunks conhecidos, evitando ataques VTP e impedindo o estabelecimento dinmico de trunks.
Ao evitar a negociao de trunking com a maioria das portas, o hacker nunca conseguir ver uma atualizao VTP a
partir de um dos seus switches. Tendo definido uma senha VTP, mesmo que o backer consiga fazer com que o trunking
funcione em um switch existente, ele teria de saber a senha para causar qualquer dano. E, ao utilizar o modo transparente,
voc consegue evitar os tipos de problemas descritos anteriormente, na seo "Cuidados ao sair da configurao VTP
padro".
CCNA ICND2
39
Atividades de preparao para o exame
Revise todos os tpicos-chave
Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina.
A Tabela 1-8 relaciona esses tpicos-chave e os nmeros das pginas nas quais cada um encontrado.
Tabela 1-8 Tpicos-chave do Captulo 1

Elemento do tpico-chave
Descrio
Nmero da pgina
Lista
Razes para usar VLANs
Figura 1-2
Diagrama de trunkings de VLANs
Figura 1-4
Cabealho 802.1 Q
11
Tabela 1-2
Comparaes entre 802.1 Q e ISL
11
Figura 1-6
Conceitos do processo de sincronizao do VTP
13
Lista
Requisitos para o funcionamento doVTP

entre dois switches
14
Tabela 1-3
Resumo dos recursos do VTP
17
Lista
Lista de verificao de configurao para configurar

VLANs e atribuir interfaces
18
Lista
Configurao VTP e VLAN padro
18
Tabela 1-4
Opes do comando switchport mode
22
Tabela 1-5
Resultados de trunking esperados com base na

configurao do comando switchport mode
24
Lista
Quatro razes por que um trunk no

transmite trfego para uma VLAN
25
Tabela 1-6
Configurao e termos da Voice e Data VLAN
27
Lista
Recomendaes sobre como proteger portas

de switches no-utilizadas
27
Lista
Lista de verificao da configurao do VTP
28
Tabela 1-7
Comandos de configurao do VTP e

VLAN e onde eles so armazenados
31
Lista
Processo de resoluo de problemas de VTP

33
utilizado quando o VTP no est funcionando atualmente
Lista
Prevendo o que acontecer com o VTP quando

um novo switch se conectar a uma rede
37
Lista
Prticas ideais de VTP para evitar problemas
38
Complete as tabelas e listas usando a memria

Imprima uma cpia do Apndice J, "Tabelas de memria", e complete as tabelas e listas usando a memria. O Apndice
K, " Respostas das Tabelas de Memria, inclui tabelas e listas completadas para voc conferir o seu trabalho.
Definies de termos-chave
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: 802.1Q, ISL, trunk:,
modo administrativo do trunking, modo operacional do trunking, VLAN, banco de dados de configurao da VLAN,
vlan.dat, VTP, modo VTP cliente, VTP Pruning, modo VTP servidor, modo VTP transparente.
Referncia aos comandos para verificar sua memria

Embora voc no precise necessariamente memorizar as informaes contidas nas tabelas desta seo, ela inclui uma
referncia para os comandos de configurao abordados neste captulo. Na prtica, voc deve memorizar os comandos
como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de preparao para o exame. Para
verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra o lado esquerdo
da tabela com um pedao de papel, leia as descries do lado direito e veja se voc se lembra do comando.
Tabela 1-9 Referncia aos comandos de configurao do Captulo 1

Comando
Descrio
vlan vlan-id
Comando de configurao global que cria a VLAN e coloca CU no
modo de configurao de VLAN
name vlan-name
Subcomando de VLAN que d nome VLAN
shutdown
Subcomando de VLAN que impede que um switch encaminhe o trfego
naquela VLAN
shutdown vlan vlan-id
Comando de configurao global que desativa administrativamente uma

VLAN, evitando que o switch encaminhe frames naquela VLAN
vtp domain domain-name
Comando de configurao global que defme o nome de domnio VTP
vtp password password
Comando de configurao global que define a senha VTP
vtp {server I client I transparent}
Comando de configurao global que define o modo VTP
vtp pruning
Comando de configurao global que diz ao servidor VTP para dizer a

todos os switches utilizarem VTP Pruning
switchport mode {access I dynamic
Subcomando de interface que configura o modo
{auto I desirable} I trunk}

switchport trunk allowed vlan {add I alI
administrativo do trunking na interface
Subcomando de interface que define a lista de
except I remove} vlan-list
VLANs permitidas
switchport access vlan vlan-id
Subcomando de interface que configura estaticamente a interface

naquela VLAN especfica
switchport trunk encapsulation
Subcomando de interface que define qual tipo de trunking usar,
{dotlq I isl I nego tia te}
considerando que o trunking seja configurado ou negociado
'.
CCNA ICND2
41
show interfaces interface-id switchport
Relaciona informaes sobre qualquer interface com respeito s

definies administrativas e o estado operacional
show interfaces interface-id trunk
Relaciona informaes sobre todos os trunks em funcionamento (mas

nenhuma outra interface), incluindo a lista de VLANs
show vlan [brief I id vlan-id
Relaciona informaes sobre a VLAN
I name vlanname I summary]

show vlan [vlan]
Exibe informaes sobre a VLAN
show vtp status
Relaciona informaes sobre a configurao e o status do VTP
show vtp password
Relaciona a senha do VTP

seguintes assuntos:
Protocolo Spanning Tree (IEEE 802.1d): esta seo
explica os conceitos principais por trs da operao dos
protocolos STP originais do IEEE.
Rapid STP (IEEE 802.1w): esta seo se concentra nas
diferenas entre o padro 802.1d STP antigo e o novo
padro 802.1 w RSTP.
Configurao e verificao do STP: esta seo explica
como configurar o STP em switches Cisco lOS e como
verificar o status atual do STP em cada switch e interface.
Resoluo de problemas de STP: esta seo sugere uma
abordagem sobre como prever a funo da porta de cada
interface STP, prevendo, assim, a topologia do spanning
tree.
Protocolo Spanning Tree

(Spanning Tree Protocol)
CAPTULO
Quando os designs das LANs requerem vrios switches, a maioria dos engenheiros de rede inclui segmentos Ethernet
redundantes entre os switches. O objetivo simples. Os switches podem falhar, e os cabos podem estar cortados ou
desligados, mas, se switches e cabos redundantes forem instalados, o servio de rede pode, ainda assim, permanecer
disponvel para a maioria dos usurios.
LANs com links redundantes oferecem a possibilidade de os frames fazerem um loop em torno da rede indefinidamente.
Essas frames em looping causariam problemas de desempenho na rede. Entretanto, LANs utilizam o STP (Spanning Tree
Protocol, ou Protocolo Spanning Tree), que permite que os links redundantes da LAN sejam utilizados e impedem, ao mesmo
tempo, que os frames faam um loop em torno da LAN, indefinidamente, atravs destes links redundantes. Este captulo
aborda o STP, junto com alguns comandos de configurao utilizados para regular o comportamento do STP.
Este captulo aborda os detalhes do STP, acrescidos de uma variao mais nova chamada RSTP (Rapid Spanning Tree
Protocol, ou Protocolo Spanning Tree Rpido). O fInal do captulo aborda a confIgurao do STP em switches 2960
seriais, junto com algumas sugestes sobre como abordar problemas sobre STP em exames.
dez questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A
Tabela 2-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o
material dessas sees. Isso ajudar voc a avaliar o seu conhecimento nessas reas especfficas.
Questes
Spanning Tree Protocol (IEEE 802.1d)
1-5
Rapid STP
(IEEE 802.1 w) 6-7
ConfIgurao e verifIcao do STP

Resoluo de problemas de STP
8-9
10
1. Quais dos seguintes estados da porta 802.1d IEEE so estados estveis utilizados quando o STP completou uma
convergncia?
a.Bloqueio
b. Encaminhamento (Forwarding)
c. Escuta (Listening)
d. Aprendizado (learning)
e. Descarte
44 Captulo 2: Protocolo Spanning Tree

2. Quais dos seguintes estados da porta 802.1d IEEE so transitrios e utilizados somente durante o processo de
convergncia do STP?
a.Bloqueio
b. Encaminhamento
c. Escuta
d. Aprendizado
e. Descarte
3. Qual dos seguintes bridge IDs seriam escolhidos como raiz, considerando que os switches que possuem esses bridge
IDs estivessem na mesma rede?
a.32768:02oo.1111.1111
b.32768:02oo.2222.2222
c.2oo:02oo.1111.1111
d.200:02oo.2222.2222
e. 40,000:0200.1111.1111
4. Qual dos fatos a seguir determina a freqncia em que uma bridge ou um switch no-raiz envia uma mensagem Hello
BPDU 802.1d STP?
a. O timer (cronmetro/temporizador) Hello como configurado naquele switch.
b. O timer Hello como configurado no switch raiz.
c. Sempre a cada 2 segundos.
d. O switch reage aos BPDUs recebidos do switch raiz enviando outro BPDU 2 segundos aps o recebimento da
BPDU raiz.
5. Qual recurso STP faz com que uma interface seja colocada no Estado de Encaminhamento (Forwarding State) assim
que a interface se toma fisicamente ativa?
a. STP
b.RSTP
c. Root Guard
d.802.1w
e. PortFast
f. EtherChannel
6. Qual das respostas apresenta o nome do padro IEEE que melhora o padro STP original e diminui o tempo de
convergncia?
a. STP
b. RSTP
c. Root Guard
d.802.1w
e. PortFast
f. Trunking
7. Quais dos seguintes estados da porta RSTP possuem o mesmo nome de um estado de porta semelhante no STP
tradicional?
'.
CCNA ICND2
45
a.Bloqueio
b. Encaminhamento
c. Escuta
d. Aprendizado
e. Descarte
f. Desativado
8. Em um switch 2960, quais dos seguintes comandos alteram o valor do bridge lO?
a. spanning-tree bridge-id value
b. spanning-tree vlan vlan-number root {primary
I secondary}
c. spanning-tree vlan vlan-number priority value

d. set spanning-tree priority value
9. Observe o seguinte trecho extrado do comando show spanning-tree de um switch Cisco:
Bridge 10 Priority 32771 (priority 32768 sys-id-ext 3)
Address 0019.e86a.6f80
Qual das respostas a seguir verdadeira com relao ao switch no qual este resultado foi exibido?
a. A informao relativa instncia STP para VLAN 1.
b. A informao relativa instncia STP para VLAN 3.
c. O resultado do comando confirma que este switch no pode ser o switch raiz.
d. O resultado do comando confirma que este switch atualmente o switch raiz.
10. O switch SW3 est recebendo somente dois Hello BPDUs, ambos provenientes do mesmo switch raiz, recebidos nas
duas interfaces listadas a seguir:
SW3#show interfaces status
Port Name Status Vlan Duplex Speed Type
FaO/13 connected 3 a-half a-lOO lO/lOOBaseTX
GiO/1 connected 1 a-fuli a-lOOO 1000BaseTX
SW3 no possui nenhum comando de configurao relacionado ao STP. O Helio recebido em FaO/13 apresenta custo 10,
e o Hello recebido em GiO/1 apresenta custo 20. Qual das seguintes afirmativas verdadeira com relao ao STP em
SW3?
a. SW3 escolher FaO/13 como sua porta raiz.
b. SW3 escolher GiO/1 como sua porta raiz.
c. A FaO/13 de SW3 passar a ser uma porta designada.
d. A GiO/1 de SW3 passar a ser uma porta designada.
Tpicos fundamentais
Sem o STP (Spanning Tree Protocol), uma LAN com links redundantes faria com que os frames Ethernet fizessem um
loop por um perodo indefinido de tempo. Com o STP ativado, alguns switches bloqueiam as portas de forma que essas
portas no encaminham frames. O STP escolhe quais portas bloquear para que exista somente uma passagem ativa entre
qualquer par de segmentos da LAN (domnios de coliso). Em conseqncia disso, os frames podem ser entregues a
cada dispositivo, sem causar os problemas criados quando os frames fazem loop atravs da rede.

Este captulo comea explicando a necessidade do padro IEEE original para o STP e corno esse padro funciona. A
segunda seo explica comparativamente corno o novo e muito mais veloz RSTP (Rapid STP) funciona. As ltimas duas
sees examinam a configurao e a resoluo de problemas de STP, respectivamente.
Protocolo Spanning Tree (IEEE 802.1 d)

o IEEE 802.1d, o primeiro padro pblico para o STP, definiu urna soluo razovel para o problema de frames que
fazem loops em tomo de links redundantes indefinidamente. As sees a seguir comeam com uma descrio mais
detalhada do problema, seguida de uma descrio do resultado final de como o 802.1d STP resolve o problema. As
sees terminam com uma descrio mais longa de como o STP funciona, como processo distribudo em todos os
switches da LAN, para evitar loops.
A necessidade de Spanning Tree
o problema mais comum que pode ser evitado utilizando o STP so as tempestades de broadcasts. Estas fazem com que
os broadcasts (ou multicasts ou unicasts de destino desconhecido) faam loops em tomo de uma LAN indefinidamente.
Em conseqncia disso, alguns links podem ficar saturados com cpias inteis do mesmo frame, excluindo frames bons,
bem como impactando significativamente o desempenho do PC do usurio final, o que faz com que os PCs processem um
nmero excessivo de frames de broadcasts. Para ver corno isso ocorre, a Figura 2-1 mostra um modelo de rede no qual
Bob envia um frame de broadcast. As linhas tracejadas mostram como os switches encaminham o frame quando o STP
no existe.
Figura 2-1 Tempestade de broadcasts

Larry
Switches distribuem broadcasts por todas as interfaces na mesma VLAN, exceto a interface na qual o frame chegou. Na
figura, isso significa que SW3 vai encaminhar o frame de Bob para SW2; SW2 vai encaminhar o frame para SW1; SW1
vai encaminhar o frame de volta a SW3; e SW3 vai encaminh-lo de volta para SW2 novamente. Esse frame far loops
at que algo mude - algum encerre uma interface, reinicialize um switch ou faa outra coisa para quebrar o loop.
Observe tambm que o mesmo evento acontece no sentido oposto. Quando Bob envia o frame original, SW3 tambm
encaminha urna cpia para SW1, SW1 a encaminha para SW2, e assim por diante.
A instabilidade de tabelas MAC tambm ocorre como resultado dos frames em looping. Instabilidade de tabelas MAC
significa que as tabelas de endereo MAC dos switches continuaro alterando as informaes apresentadas para o
endereo MAC fonte do frame em looping. Por exemplo, SW3 comea a Figura 2-1 com urna entrada de tabela MAC,
da seguinte forma:
0200.3333.3333 FaO/1 3 VLAN 1
Entretanto, pense agora no processo de aprendizado do switch que ocorre quando o frame em looping vai para SW2,
depois para SW1, e depois volta interface GiO/1 de SW3. SW3 pensa da seguinte forma: hmmm... o endereo MAC
fonte 0200.3333.3333, e chegou minha interface GiO/ l. Ento, atualize a minha tabela MAC!, resultando na seguinte
entrada em SW3:
0200.3333.3333 GiO/l VLAN 1
CCNA ICND2
47
Neste ponto, se um frame chega a SW3 - um frame diferente do frame em looping que causa os problemas - destinado
ao endereo MAC 0200.3333.3333 de Bob, SW3 encaminhar incorretamente o frame por GiO/l at SWl. Esse novo
frame tambm pode fazer um loop, ou simplesmente nunca ser entregue a Bob.
A terceira classe de problemas causados pela no-utilizao do STP em uma rede com redundncia que hosts de
trabalho recebem vrias cpias do mesmo frame. Considere o caso em que Bob envia um frame para Larry, mas nenhum
dos switches sabe o endereo MAC de Larry. (Switches distribuem frames enviados a endereos MAC unicast de
destino desconhecido). Quando Bob envia o frame (destinado ao endereo MAC de Larry), SW3 envia uma cpia de
SWl e SW2. SWl e SW2 tambm distribuem o frame, fazendo com que as cpias do frame faam um loop. SWl
tambm envia uma cpia de cada frame atravs de FaO/ll at Larry. Em conseqncia disso, Larry recebe vrias cpias
do frame, o que pode resultar em uma falha do aplicativo ou at mesmo problemas mais profundos de comunicao em
rede.
A Tabela 2-2 resume as trs classes principais de problemas que ocorrem quando o STP no utilizado em uma LAN
com redundncia.
/;~;;~o
Tabela 2-2 Trs classes de problemas causados pela no-utilizao do STP em LANs redundantes
~. Chave
....
Problema
Descrio
Tempestades de broadcasts
Encaminhamento de um frame, repetidas vezes, nos mesmos links,

consumindo partes significativas das capacidades dos links
Instabilidade de tabelas MAC
Atualizao contnua da tabela de endereos MAC de um switch com

entradas incorretas, em reao aos frames em looping, resultando no
envio dos frames aos locais errados
Transmisso mltipla de frames
Efeito colateral de frames em looping no qual vrias cpias de um frame

so entregues ao host desejado, confundindo o host
A funo do IEEE 802.1d Spanning Tree

STP impede a ocorrncia de loops colocando cada porta da bridge ou do switch em Estado de Encaminhamento (Forwarding
State) ou Estado de Bloqueio (Blocking State). As interfaces no Estado de Encaminhamento agem normalmente,
encaminhando e recebendo frames, mas as interfaces no Estado de Bloqueio no processam nenhum frame, exceto
mensagens STP. Todas as portas em Estado de Encaminhamento so consideradas no spanning tree atual. O conjunto
de portas de encaminhamento cria uma nica passagem atravs da qual os frames so enviados entre segmentos Ethernet.
A Figura 2-2 mostra uma rvore STP simples que resolve o problema mostrado na Figura 2-1 colocando uma porta de
SW3 no Estado de Bloqueio.
Figura 2-2 Rede com links redundantes e STP
Bob
0200.3333.3333

Agora, quando Bob enviar um frame de broadcast, ele no far loop. Bob envia o frame para SW3 (Passo 1), que, em
seguida, encaminha o frame somente para SW1 (passo 2), porque a interface GiO/2 de SW3 est em Estado de Bloqueio.
SW1 distribui o frame atravs de FaO/lI e GiO/1 (passo 3). SW2 distribui o frame atravs de FaO/12 e GiO/1 (Passo 4).
No entanto, SW3 ignora o frame recebido de SW2, novamente porque aquele frame entra na interface GiO/2 de SW3,
que est em Estado de Bloqueio.
Com a topologia STP mostrada na Figura 2-2, os switches simplesmente no utilizam um tink entre SW2 e SW3 para
transmitir o trfego nesta VLAN; esse o menor efeito colateral negativo do STP. No entanto, se o tink entre SW1 e
SW3 falhar, o STP converge de forma que SW3 encaminhe em sua interface GiO/2, em vez de bloquear.
Observao O termo convergncia do STP se refere ao processo atravs do qual os switches

percebem, conjuntamente, que algo foi alterado na topologia da LAN. Com isso, os switches
podero precisar alterar quais portas bloqueiam e quais portas encaminham.
Como o STP consegue fazer com que os switches bloqueiem ou encaminhem em cada interface? E como ele converge
para alterar do estado de Bloqueio para o de Encaminhamento para tirar proveito de tinks redundantes em resposta a
falhas na rede? As sees a seguir respondem a essas questes.
Como funciona o Spanning Tree

o algoritmo do STP cria uma spanning tree (rvore aberta)
das interfaces que encaminham frames . A estrutura em

rvore cria uma nica passagem de ida e de volta a cada segmento Ethemet, exatamente como voc traa uma nica
passagem em uma rvore viva e em crescimento, indo desde a base da rvore at cada folha.
Observao Como as bridges Ethernet so raramente usadas hoje em dia, este captulo se
refere somente a switches. Entretanto, tanto as bridges quanto os switches utilizam o STP.
o processo utilizado pelo STP, s vezes chamado de STA (Spanning Tree Algorithm, ou Algoritmo de Spanning Tree) ,
escolhe as interfaces que devem ser colocadas em Estado de Encaminhamento. Para qualquer interface que no tenha
sido escolhida para ficar em Estado de Encaminhamento, o STA coloca a interface em Estado de Bloqueio. Em outras
palavras, o STP simplesmente escolhe quais interfaces devem encaminhar.
O STP utiliza trs critrios para escolher se deve colocar uma interface em Estado de Encaminhamento:
O STP escolhe um switch raiz e coloca todas as interfaces de trabalho no switch raiz em Estado de Encaminhamento.
Cada switch no-raiz considera que uma de suas portas tenha o menor custo administrativo entre ele e o switch
raiz. O STP coloca essa interface de menor custo de raiz, chamada porta raiz (PR, ou RP (root port)) daquele
switch, em Estado de Encaminhamento.
Muitos switches podem se associar ao mesmo segmento Ethemet. O switch com menor custo administrativo entre
ele e a bridge raiz, em comparao com os outros switches associados ao mesmo segmento, colocado em Estado
de Encaminhamento. O switch de menor custo em cada segmento chamado de bridge designada, e a interface
desta bridge, associada ao segmento, chamada de porta designada (pA, ou DP (designated port)).
Observao A verdadeira razo pela qual a raiz coloca todas as interfaces em Estado de
Encaminhamento que todas as suas interfaces se tornaro PAs, mas mais fcil lembrar
simplesmente que todas as interfaces de trabalho dos switches raiz encaminharo frames.
Todas as outras interfaces so colocadas em Estado de Bloqueio. A Tabela 2-3 resume as razes pelas quais o STP
coloca uma porta em Estado de Encaminhamento ou de Bloqueio.
..........
Tabela 2-3 STP: Razes para encaminhar ou bloquear
[ Tpico
\ Chave
....
Caracterizao da porta
Estado do STP
Descrio
Todas as portas do switch raiz
Encaminhamento
O switch raiz sempre o switch atribudo em

todos os segmentos conectados
CCNA ICND2
49
Porta raiz de cada switch no-raiz
Encaminhamento
Porta atravs da qual os switches tm o menor

custo para alcanar o switch raiz
Porta designada de cada LAN
Encaminhamento.
o switch que encaminha o BPDU de menor custo para

o segmento o switch atribudo quele segmento
Todas as outras portas de trabalho
Bloqueio.
A porta no usada para encaminhar frames,

nem os frames so recebidas nessas interfaces
consideradas para encaminhamento
Observao O STP s considera interfaces de trabalho. Interfaces defeituosas (por exemplo,

interfaces sem nenhum cabo instalado) ou interfaces fechadas administrativamente so
colocadas em Estado STP Desativado. Portanto, esta seo utiliza o termo portas de trabalho
(working ports) para se referir a interfaces que poderiam encaminhar frames se o STP colocasse
a interface em Estado de Encaminhamento.
Bridge ID STP e Helio BPDU
o STA (Spanning Tree Algorithm) comea com a escolha de um switch para ser o switch raiz. Para entender melhor
esse processo de escolha, necessrio entender as mensagens STP enviadas entre switches bem como o conceito e
formato do identificador utilizado para identificar exclusivamente cada switch.
O BID (Bridge ID) STP um valor de 8 bytes exclusivo de cada switch. O bridge ID consiste em um campo de
prioridade de 2 bytes e um system ID de 6 bytes, com o system ID baseado em um endereo MAC gravado em cada
switch. O uso de um endereo MAC gravado assegura que o bridge ID de cada switch seja exclusivo.
O STP define mensagens chamadas bridge protocol data units (BPDU), que as bridges e os switches utilizam para
trocar informaes uns com os outros. A mensagem mais comum, chamada Helio BPDU, apresenta o bridge ID do
switch de envio. Ao apresentar o seu prprio bridge ID exclusivo, os switches podem perceber a diferena entre
BPDUs enviadas por switches diferentes. Essa mensagem tambm apresenta o bridge ID do atual switch raiz.
O STP define vrios tipos de mensagens BPDU, sendo a mensagem Helio BPDU a que faz a maior parte do trabalho.
A Helio BPDU inclui vrios campos, mas o mais importante que ela contm os campos apresentados na Tabela 2-4.
Tabela 2-4 Campos da Hello BPDU STP
..........
[ TpiCO
\~ha"
Campo
Descrio
Bridge ID raiz
O bridge ID da bridge ou do switch que o remetente deste Hello no

momento acredita ser o switch raiz
Bridge ID do remetente
Bridge ID da bridge ou do switch que envia este Hello BPDU
Custo para alcanar a raiz
Custo STP entre este switch e a raiz atual
Valores do timer no switch raiz
Inclui o timer Hello, o timer MaxAge e o timer Forward Delay (Atraso

de Encaminhamento)
Por enquanto, mantenha os trs primeiros itens da Tabela 2-4 em mente, j que as sees seguintes trabalham com os
trs passos ao discutir como o STP escolhe as interfaces a serem colocadas em Estado de Encaminhamento. Em
seguida, o texto examina os trs passos principais do processo STP.
Escolhendo o switch raiz

Os switches escolhem um switch raiz com base nos bridge IDs das BPDUs. O switch raiz aquele que possui o menor
valor para o bridge ID. Como o bridge ID, formado por duas partes, comea com o valor de prioridade, em essncia, o
switch que possui a menor prioridade se torna a raiz. Por exemplo, se um switch tiver prioridade 100, e outro tiver
prioridade 200, o switch com prioridade 100 ganha, independentemente de qual endereo MAC tenha sido usado para
criar o bridge ID para cada bridge/switch .

Se ocorrer um empate com base na poro da prioridade referente ao bridge ID, o switch com a menor poro do
endereo MAC no bridge ID a raiz. No dever ser necessria nenhuma outra forma de desempate porque os switches
utilizam um dos seus prprios endereos MAC gravados como segunda parte dos seus bridge IDs. Portanto, se as
prioridades empatarem, e um switch utilizar um endereo MAC 0020.0000.0000 como parte do bridge ID, e o outro
utilizar OFFF.FFFF.FFF, o primeiro switch (MAC 0200.0000.0000) torna-se a raiz.
O STP escolhe um switch raiz de forma nada diferente de uma eleio ou escolha poltica. O processo comea com todos
os switches alegando ser a raiz atravs do envio de Reno BPDUs listando seu prprio bridge ID como bridge ID raiz. Se
um switch escutar um Reno que apresente um bridge ID melhor (menor) - chamado de Reno Superior - este switch pra
de se anunciar como raiz e comea a encaminhar o Reno Superior. O Reno enviado pelo switch melhor apresenta o
bridge ID do switch melhor como raiz. Funciona como uma disputa poltica na qual um candidato menos popular desiste
e sai da disputa, dando seu apoio a outro candidato. Finalmente, todos concordam com qual switch tem o melhor (menor)
bridge ID, e todos apiam o switch escolhido (eleito) - e a termina a analogia com uma disputa poltica.
A Figura 2-3 mostra o incio do processo de escolha da raiz. Neste caso, SW1 se anunciou como raiz, assim como SW2
e SW3. No entanto, SW2 agora acredita que SW1 seja uma raiz melhor; portanto, SW2 est agora encaminhando o Reno
originado em SWl. Esse Reno encaminhado apresenta o BID de SW1 como BID raiz. Entretanto, neste ponto, SW1 e
SW3 ainda acreditam que eles so os melhores e, portanto, continuam apresentando seu prprio BID como raiz em seus
Reno BPDUs.
Figura 2-3 Incio do processo de escolha da raiz

Custo at Raiz: O
Meu BIO: 32,769:0200.0001 .0001
BIO Raiz: 32,769:0200.0001 .0001
Custo at Raiz: 4
Meu BIO: 32,769:0200.0002.0002
BIO Raiz: 32,769:0200.0001.0001
Custo at Raiz: O
Meu BIO: 32,769:0200.0001
BIO Raiz: 32,769:0200.0001.0001
Custo at Raiz: O
Meu BIO: 32,769:0200.0003.0003
BIO Raiz: 32,769:0200.0003.0003
Custo at Raiz: O
Meu BIO: 32,769:0200.0003.0003
BIO Raiz: 32,769:0200.0003.0003
Dois candidatos ainda existem na Figura 2-3: SW1 e SW3. Quem vence, ento? Bem, com base no bridge ID, o switch
com a menor prioridade vence; se ocorrer um empate, o menor endereo MAC vence. Conforme mostrado na figura,
SW1 possui o bridge ID menor (32769:0200.0000.0001) que SW3 (32769:0200.0003.0003); logo, SW1 vence e SW3
agora tambm acredita que SW1 seja o melhor switch. A Figura 2-4 mostra as mensagens Reno resultantes enviadas
pelos switches.
Depois de concluda a escolha, somente o switch raiz continua a originar mensagens Reno BPDU STP. Os outros
switches recebem as Renos, atualizam o campo BID do remetente (e o campo custo-para-alcanar-a-raiz) e encaminham
os Renos atravs de outras interfaces. A figura reflete esse fato, com SW1 enviando Renos no Passo 1, e SW2 e SW3
independentemente encaminhando a Reno atravs de suas outras interfaces no Passo 2.
CCNA ICND2
51
Figura 2-4 SWl vence a eleio

Custo at Raiz: O
Meu BID: 32,769:0200.0001.0001
BID Raiz: 32,769:0200.0001.0001
Custo at Raiz: 4
Meu BID: 32,769:0200.0002.0002
BID Raiz: 32,769:0200.0001.0001
Custo at Raiz: O
Meu BID: 32,769:0200.0001
BID Raiz: 32,769:0200.0001 .0001
Custo at Raiz: 5
Meu BID: 32,769:0200.0003.0003
BID Raiz: 32,769:0200.0001 .0001
Escolhendo a porta raiz de cada switch

A segunda parte do processo STP ocorre quando cada switch no-raiz escolhe sua nica porta raiz. A porta raiz (PR) de
um switch sua interface atravs da qual ele tem o menor custo STP para alcanar o switch raiz.
Para calcular o custo, um switch acrescenta o custo apresentado em um Helio recebido ao custo da porta STP designada
quela mesma interface. O custo da porta STP simplesmente um valor de nmero inteiro atribudo a cada interface com
a fInalidade de fornecer uma medida objetiva que permita que o STP escolha quais interfaces devem ser acrescentadas
topologia do STP.
A Figura 2-5 mostra um exemplo de como SW3 calcula o seu custo para alcanar a raiz atravs das duas passagens
possveis acrescentando o custo anunciado (em mensagens Helio) aos custos da interface apresentados na fIgura.
Figura 2-5 SW3 calculando o custo para alcanar a raiz e escolher sua PR
.... .--
.- ... -------- -- --- ---.
Custo at Raizt: O'

Meu BID: 32,769:0200.0001 .0001
BID Raiz: 32,769:0200.0001 .0001
0+4=4
~,
...... ,
,~toatRa~
Meu BID: 32,769:0200.0002.0002 ':

BID Raiz: 32,769:0200.0001.0001 :'
:' Meu BID: 32,769:0200.0001.0001

:' BI D Raiz: 32,769:0200.0001 .0001
,:
"
,,
,,
,
,
".
--- --- ---
--- ---
4+4=8
---~
4.,
0+5=5
---
..
,
,,
,
,
,
,,
,
,,
,,
,, ,
,
'
Como resultado do processo ilustrado na Figura 2-5, SW3 escolhe GiO/l como sua PR, porque o custo para alcanar o
switch raiz atravs desta porta (5) menor que a outra alternativa (GiO/2, custo 8). Analogamente, SW2 escolher GiO/

2 como sua PR, com um custo igual a 4 (o custo O anunciado de SWl mais o custo 4 da interface GiO/2 de SW2). Cada
switch coloca sua porta raiz em Estado de Encaminhamento.
Em topologias mais complexas, a escolha da porta raiz no ser to bvia assim. A seo "Resolvendo problemas de
STP", apresentada ainda neste captulo, mostra um exemplo em que a escolha da porta raiz requer um pouco mais de
raciocnio.
Escolhendo a porta designada em cada segmento de LAN
o ltimo passo do STP para escolher a topologia STP escolher a porta designada em cada segmento de LAN. A porta
designada em cada segmento de LAN a porta do switch que anuncia o Helio de menor custo em um segmento de LAN.
Quando um switch no-raiz encaminha um Helio, o switch no-raiz ajusta o campo do custo no Helio de acordo com o
custo daquele switch para alcanar a raiz. Na verdade, o switch com menor custo para alcanar a raiz, entre todos os
switches conectados ao segmento, torna-se a PD daquele segmento.
Por exemplo, na Figura 2-4, tanto SW2 quanto SW3 encaminham mensagens Helio para aquele segmento. Observe que
tanto SW2 quanto SW3 apresentam seu custo respectivo para alcanar o switch raiz (custo 4 em SW2 e custo 5 em
SW3). Como resultado, a porta GiO/l de SW2 a porta designada naquele segmento LAN.
Todas as PDs so colocadas em estado de encaminhamento. Neste caso, portanto, a interface GiO/l de SW2 ficar em
estado de encaminhamento.
Se os custos anunciados empatassem, os switches desempatariam escolhendo o switch que tivesse o menor bridge ID.
Nesse caso, SW2 teria vencido, com um bridge ID igual a 32769:0200.0002.0002 em comparao com
32769:0200.0003.0003 de SW3.
Observao Um switch pode conectar duas ou mais interfaces ao mesmo domnio de coliso
se forem utilizados hubs. Nesses casos, necessrio outro desempate: o switch escolhe a
interface que possui o menor nmero interno.
A nica interface que no tem motivo para estar em Estado de Encaminhamento nos trs switches dos exemplos mostrados
nas Figuras 2-3, 2-4 e 2-5 a porta GiO/2 de SW3. Portanto, o processo STP est agora concludo. A Tabela 2-5 mostra
o estado de cada porta e por que ela est naquele estado.
Tabela 2-5 Estado de cada interface

Interface do switch
Estado
Razo pela qual a interface est em estado de

encaminhamento
SW1 , GiO/l
Encaminhamento
A interface est no switch raiz
SWl , GiO/2
Encaminhamento
A interface est no switch raiz
SW2,GiO/2
Encaminhamento
A porta raiz
SW2,GiO/l
Encaminhamento
A porta designada a SW3 no segmento de LAN
SW3,GiO/1
Encaminhamento
A porta raiz
SW3,GiO/2
Bloqueio
No a porta raiz nem a porta designada
Os custos das portas podem ser configurados ou voc pode utilizar os valores padro. A Tabela 2-6 apresenta os custos
padro das portas definidos pelo IEEE; a Cisco usa estes mesmos padres. O IEEE revisou os valores de custo porque
os valores originais, estabelecidos no incio da dcada de 1980, no previram que o Ethernet cresceria e se tornaria o
Ethernet de lO-Gigabit.
.1
.'
CCNA ICND2
..........
Tabela 2-6 Custos padro das portas de acordo com o IEEE

Custo IEEE original
Velocidade da Ethernet
53
t Tplco
;. Chave
....
Custo IEEE revisado
lOMbps
100
100
100Mbps
10
19
1 Gbps
10 Gbps
Com o STP ativado, todas as interfaces de trabalho do switch entraro em Estado STP de Encaminhamento ou de Bloqueio,
at mesmo as portas de acesso. Para as interfaces do switch conectadas a hosts e roteadores, que no utilizam STP, o
switch continuar encaminhando Hellos para aquelas interfaces. Em virtude de ser o nico dispositivo que envia Hellos para
aquele segmento de LAN, o switch est enviando o Hello de menor custo para aquele segmento de LAN, fazendo com que
o switch se tome a porta designada naquele segmento de LAN. Portanto, o STP coloca as interfaces de acesso de trabalho
em Estado de Encaminhamento em conseqncia da parte do processo STP relativo porta designada.
Reagindo a mudanas na rede

Depois que a topologia STP - o conjunto de interfaces em estado de encaminhamento - tiver sido determinada, esse
conjunto de interfaces de encaminhamento no se altera, a no ser que a topologia da rede mude. Esta seo examina a
operao contnua do STP enquanto a rede est estvel. Em seguida, examina como o STP converge para uma nova
topologia quando algo muda.
O switch raiz envia um novo Hello BPDU a cada 2 segundos, de acordo com o padro. Cada switch encaminha o Helio
em todas as PAs, mas somente depois de alterar dois itens. O custo alterado para refletir o custo daquele switch para
alcanar a raiz, e, alm disso, o campo do bridge ID do remetente tambm alterado. (O campo do bridge ID da raiz no
alterado). Ao encaminhar os Helios recebidos (e alterados) atravs de todas as PAs, todos os switches continuam a
receber Helios a cada 2 segundos aproximadamente. A lista a seguir resume a operao estvel quando, no momento,
nada est sendo alterado na topologia STP:
e envia um Hello BPDU, com o custo 0, atravs de todas as suas interfaces de trabalho (aquelas em
(;~~;~o 1. AE raizd cria
d E
nh
)
' Chave
.....
sta
ncarrn
amento .
2. Os switches no-raiz recebem o Hello em suas portas raiz. Aps alterar o Heno para que ele apresente seus
prprios bridge IDs como sendo o BID do remetente e listar o custo raiz daquele switch, o switch encaminha o
Hello atravs de todas as portas designadas.
3. Os Passos 1 e 2 se repetem at que algo mude.
Cada switch depende desses Helios peridicos recebidos da raiz como forma de saber que o seu caminho at a raiz ainda
est funcionando. Quando um switch deixa de receber os Helios, significa que algo falhou, e o switch, portanto, reage e
comea o processo de alterao da topologia da spanning tree. Por vrias razes, o processo de convergncia requer o
uso de trs timers. Observe que todos os switches utilizam os timers conforme ditado pelo switch raiz, o qual a raiz
apresenta em suas mensagens peridicas Helio BPDU. O timer e suas descries so apresentados na Tabela 2-7. .......
~~~~
~
...
Timer
Descrio
Valor padro
Hello
Perodo de tempo entre Helios criados pela raiz
2 seg
Max Age
Tempo que qualquer switch deve esperar,

depois de parar de receber Henos, antes
de tentar alterar a topologia STP
10 vezes o HelIo
Forward Delay
Atraso que afeta o processo que ocorre quando

uma interface muda do Estado de Bloqueio
para o Estado de Encaminhamento.

Uma porta fica em Estado intermedirio de Escuta
(Listening) e, em seguida, em Estado intermedirio de
Aprendizado (Learning), durante o nmero de segundos
definido pelo timer forward delay
15 seg
Se um switch no recebe um Helio BPDU esperado dentro do tempo de HelIo, ele continua como normal. Entretanto, se
os HelIos no aparecerem novamente dentro do tempo MaxAge, o switch reage dando passos para alterar a topologia
STP. Neste ponto, o switch reavalia qual switch deve ser o switch raiz e, se ele no for a raiz, qual porta deve ser a sua
PR (Porta Raiz) e quais portas devem ser PDs (portas Designadas), considerando que os HelIos que ele vinha recebendo
antes pararam de chegar.
A melhor forma de descrever a convergncia STP mostrar um exemplo utilizando a mesma topologia familiar. A Figura 2-6
mostra a mesma figura familiar, com a GiO/2 de SW3 em Estado de Bloqueio, mas a interface GiO/2 de SWl acaba de falhar.
Figura 2-6 Reagindo falha de links entre SW1 e SW3

Raiz SW1
Eu sou SW1 ________ ~
Custo = O
Archie
RP
Raiz SW1
Eu sou SW2
Custo = 4
,,
~'
Legenda:
PR = Porta raiz
PO= Porta designada
SW3 reage alterao porque SW3 falha em receber seus HelIos esperados em sua interface GiO/l . Entretanto, SW2
no precisa reagir porque SW2 continua a receber seus HelIos peridicos em sua interface GiO/2. Nesse caso, SW3
reage quando o tempo MaxAge passa sem receber os Henos, ou assim que SW3 percebe que a interface GiO/l falhou.
(Se a interface falhar, o switch pode considerar que os HelIos no chegaro mais.)
Agora que SW3 pode agir, ele comea reavaliando a escolha do switch raiz. SW3 ainda recebe o Hello de SW1,
encaminhado por SW2, e SWl possui um bridge ID menor; do contrrio, SWl jamais teria sido a raiz. Portanto, SW3
decide que SWl continua sendo o melhor switch e que SW3 no a raiz.
Em seguida, SW3 reavalia sua escolha de PR (Porta Raiz). Neste ponto, SW3 s est recebendo Hellos em uma
interface, a interface GiO/2. Seja qual for o custo calculado, GiO/2 passar a ser a nova PR de SW3. (O custo seria 8: o
custo 4 anunciado por SW2 mais o custo 4 da interface GiO/2.)
SW3, ento, reavalia sua funo como PD (porta Designada) em qualquer outra interface. Neste exemplo, no necessrio
fazer nenhum trabalho real. SW3 j foi uma PD na interface FaO/13 e continua sendo a PD porque nenhum outro switch
se conecta quela porta.
Quando STP converge, um switch faz a transio de interfaces de um estado para outro. Entretanto, uma transio de
bloqueio para encaminhamento no pode ser feita imediatamente, pois uma alterao imediata para encaminhamento
poderia temporariamente causar loops nos frames. Para evitar estes loops temporrios, o STP faz a transio de uma
interface atravs de dois estados intermedirios, como mostrado a seguir:
CCNA ICND2
Escuta (Listening): assim como o estado de bloqueio, a interface no encaminha frames. O tempo das antigas
entradas da tabela MAC, hoje em dia incorretas, esgotado durante este estado, porque as antigas
entradas incorretas da tabela MAC seriam a causa raiz dos loops temporrios.
mas o switch comea a aprender os endereos MAC de frames recebidos na interface.
O STP passa uma interface do Estado de Bloqueio para o de Escuta, depois para o de Aprendizado e, em seguida, para o de
Encaminhamento. Ele deixa a interface em cada estado intermedirio por um tempo igual ao timer forward delay. Em
conseqncia disso, um evento de convergncia que faa com que uma interface mude de Bloqueio para Encaminhamento
requer 30 segundos para fazer essa transio. Alm disso, um switch pode ter de esperar tantos MaxAge segundos para
decidir alterar uma interface do estado de Bloqueio para o de Encaminhamento. Seguindo o mesmo exemplo mostrado nas
vrias figuras anteriores, SW3 pode ter de esperar tantos MaxAge segundos para decidir que no est mais recebendo o
mesmo BPDU raiz em sua porta raiz (o padro so 20 segundos) e, em seguida, esperar 15 segundos nos Estados de Escuta
(Listening) e Aprendizado (Learning) na interface GiO/2, resultando em um atraso de convergncia de 50 segundos.
A Tabela 2-8 resume os vrios estados de interface do Spanning Tree para facilitar a reviso.
Tabela 2-8 Estados do Spanning Tree IEEE 802.1d
Estado
Bloqueio
No
No
Estvel
Escuta
No
No
Transitrio
Aprendizado
No
Sim
Transitrio
Encaminhamento
Sim
Sim
Estvel
Desativado
No
No
Estvel
Recursos STP opcionais
/;:~;~o
\~h.ve
Aprendizado (Leraning): interfaces que estejam neste estado continuam no encaminhando frames,
55
Encaminha frames de dados?
Aprende MACs com base em frarnes recebidos?
Estado transitrio ou estvel?
O STP j existe h mais de 20 anos. Os switches Cisco implementam o IEEE 802.1d STP padro, mas, durante os anos
intermedirios, a Cisco acrescentou recursos patenteados para trazer melhorias ao STP. Em alguns casos, o IEEE
acrescentou essas melhorias, ou algo parecido, aos padres IEEE mais recentes, seja como uma reviso do 802.1d
padro ou como um padro adicional. As sees a seguir examinam trs dos acrscimos patenteados feitos ao STP:
EtherChannel, PortFast e BPDU Guard.
Observao Se voc pretende trabalhar em uma rede LAN de campus, aconselhvel

aprender mais sobre os recursos STP do que este livro aborda. Para isso, v ao guia de
configurao do software Cisco, procure os switches 2960 e leia os captulos sobre STP,
RSTP e recursos STP opcionais. A introduo deste livro apresenta informaes sobre como
encontrar a documentao relativa Cisco.
EtherChannel
Uma das melhores formas de diminuir o tempo de convergncia do STP evitar a convergncia como um todo. O
EtherChannel oferece uma forma de evitar que a convergncia do STP seja necessria quando ocorre a falha somente
de uma nica porta ou cabo.
o EtherChannel combina vrios segmentos paralelos de velocidade igual (at oito) entre o mesmo par de switches, embutido
em um EtherChannel. Os switches tratam o EtherChannel como uma nica interface com relao ao processo de
encaminhamento de frames bem como para o STP. Por conseguinte, se um dos links falhar, mas pelo menos um dos links
estiver funcionando, a convergncia do STP no tem necessariamente que ocorrer. Por exemplo, a Figura 2-7 mostra a rede
familiar composta de trs switches, mas agora com duas conexes Gigabit Ethemet entre cada par de switches .

Figura 2-7 EtherChannels de dois segmentos entre switches
Com cada par de links Ethernet configurado como um EtherChannel, o STP trata cada EtherChannel como um nico link.
Em outras palavras, para que um switch precise causar convergncia do STP tem de haver a falha dos dois links que
levam ao mesmo switch. Sem o EtherChannel, se voc tiver vrios links paralelos entre dois switches, o STP bloqueia
todos os links exceto um. Com o EtherChannel, todos os links paralelos podem estar funcionando perfeitamente ao
mesmo tempo e reduzir o nmero de vezes que o STP deve convergir, o que, por sua vez, toma a rede mais disponvel.
O EtherChannel tambm fornece uma maior largura de banda de rede. Todos os trunks em um EtherChannel esto
encaminhando ou bloqueando, porque o STP trata todos os trunks de um mesmo EtherChannel como um nico trunk.
Quando um EtherChannel est em Estado de Encaminhamento, os switches balanceiam a carga de trfego atravs de
todos os trunks, oferecendo uma maior largura de banda.
PortFast
O PortFast permite que um switch imediatamente coloque uma porta em Estado de Encaminhamento quando a porta se
toma fisicamente ativa, ignorando qualquer opo de topologia do STP e no passando pelos estados de Escuta e
Aprendizado. Entretanto, as nicas portas em que voc pode ativar o PortFast com segurana so as portas em que voc
sabe que no h nenhuma bridge, switch ou outro dispositivo STP conectado.
O PortFast mais adequado para conexes com dispositivos do usurio final. Se voc acionar o PortFast em portas
conectadas a dispositivos do usurio final, quando o PC do usurio final inicializar, to logo a NIC do PC esteja ativa, a
porta do switch pode passar para o Estado STP de Encaminhamento e encaminhar trfego. Sem o PortFast, cada porta
deve esperar enquanto o switch confirma se a porta uma PD (Porta Designada) e esperar enquanto a interface
permanece nos Estados temporrios de Escuta e Aprendizado at entrar no Estado de Encaminhamento.
Segurana do STP
Interfaces de switches que se conectam com dispositivos locais do usurio final na LAN ficam expostas em termos de
segurana. Um hacker poderia conectar um switch a uma dessas portas, com um baixo valor de prioridade STP, e se
tornar o switch raiz. Alm disso, ao conectar o switch do hacker a vrios switches legtimos, o switch do hacker pode
acabar enviando uma grande quantidade de trfego na LAN, e o hacker poderia usar um analisador de LAN para copiar
grandes quantidades de frames de dados enviados atravs da LAN. Alm disso, os usurios poderiam inocentemente
danificar a LAN. Por exemplo, um usurio poderia comprar e conectar um switch barato a um switch existente,
possivelmente criando um loop ou fazendo com que o novo switcb, com potncia relativamente baixa, se tornasse a raiz.
O recurso BPDU Guard da Cisco ajuda a combater esses tipos de problemas desativando a porta, caso BPDUs sejam
recebidos naquela porta. Portanto, esse recurso especialmente til em portas que devam ser usadas somente como
porta de acesso e nunca conectadas a outro switch. Alm disso, o recurso BPDU Guard , muitas vezes, usado na
CCNA ICND2
57
mesma interface que tem o PortFast ativado, j que uma porta com o PortFast ativada j estar em Estado de
Encaminhamento, o que aumenta a possibilidade de encaminhar loops.
O recurso Root Guard da Cisco ajuda a combater o problema quando o novo switch "malcriado" tenta se tomar o switch
raiz. O recurso Root Guard permite que outro switch seja conectado interface e participa do STP enviando e recebendo
BPDUs. Entretanto, quando a interface do switch, que possui o Root Guard ativado, recebe um BPDU superior ao switch
vizinho - um BPDU que tenha um bridge ID menor/melhor -, o switch com o Root Guard reage. No s o switch ignora o
BPDU superior mas tambm desativa a interface, no enviando nem recebendo frames, desde que os BPDUs superiores
continuem chegando. Se os BPDUs superiores pararem de chegar, o switch pode comear a utilizar a interface novamente.
Rapid STP (IEEE 802.1w)
Conforme mencionado anteriormente neste captulo, o IEEE define o STP no padro IEEE 802.1d. O IEEE aperfeioou
o protocolo 802.1d com a definio do RSTP (Rapid Spanning Tree Protocol), conforme definido no padro IEEE 802.1 w.
O RSTP (802.1w) funciona exatamente como o STP (802.1d) em vrios aspectos:
! ....
. . -plco
'~h.'"
Ele escolhe o switch raiz utilizando os mesmos parmetros de desempate .

Ele escolhe a porta raiz em switches no-raiz utilizando as mesmas regras.
Ele escolhe as portas designadas em cada segmento de LAN utilizando as mesmas regras.
Ele coloca cada porta em Estado de Encaminhamento ou de Bloqueio, embora o RSTP chame o Estado de Bloqueio
de Estado de Descarte.
O RSTP pode ser empregado junto com os switches 802.1d STP tradicionais, com os recursos RSTP funcionando em
switches que o aceitam e com os recursos 802.1d STP tradicionais funcionando nos switches que aceitam somente STP.
Com todas essas semelhanas, possvel.que voc esteja se perguntando por que o IEEE quis criar o RSTP. O motivo
a convergncia. O STP leva um tempo relativamente longo para convergir (50 segundos de acordo com as definies
padro). O RSTP melhora a convergncia da rede quando ocorrem alteraes na topologia.
O RSTP melhora a convergncia eliminando ou significativamente reduzindo os perodos de espera necessrios para que
o 802.1d STP impea loops durante a convergncia. O 802.1d STP requer um perodo de espera de tantos MaxAge
segundos (20 segundos, de acordo com o padro) para reagir a alguns eventos, enquanto o RSTP tem de esperar somente
3*Hello (6 segundos, de acordo com padro). Alm disso, o RSTP elimina o tempo de forward delay (15 segundos, de
acordo com o padro) nos estados de Escuta e Aprendizado. A convergncia tradicional do STP possui, em essncia, trs
perodos de tempo, cada qual melhorado pelo RSTP.
Esses trs perodos de espera de 20, 15 e 15 segundos (padro) criam a convergncia relativamente baixa do 802.1d STP,
e a reduo ou eliminao desses perodos de espera faz com que a convergncia do RSTP ocorra rapidamente.
Os tempos de convergncia do RSTP so normalmente menores que 10 segundos. Em alguns casos, podem chegar a 1
ou 2 segundos. As sees a seguir explicam a terminologia e os processos utilizados pelo RSTP para superar as deficincias
do 802.1d STP e melhorar o tempo de convergncia.
Observao Como a maioria dos textos, quando for preciso distinguir entre os padres
802.1d antigo e o 802.1 w mais recente, o STP se refere ao 802.1d e o RSTP se refere ao
802.1w.
Tipos de links e edges RSTP

O RSTP caracteriza os tipos de conectividade fsica em uma LAN de campus em trs tipos diferentes:
Tipo link ponto-a-ponto
Tipo link compartilhado
TipoEdge
A Figura 2-8 mostra cada tipo.
-i'
-i'

Figura 2-8 Tipos links e edges RSTP
Tipo Edge
Compartilhado - - -
Hub
Tipo Link
Compartilhado - - -
Hub
_ - - - Tipo Edge
Tipo Edge
pt-pt
A Figura 2-8 mostra dois modelos de rede. A rede da esquerda um projeto de rede de campus tpico de hoje em
dia, sem nenhum hub. Todos os switches se conectam com cabos Ethernet, e todos os dispositivos do usurio
final tambm se conectam com cabos Ethernet. O IEEE definiu o RSTP para melhorar a convergncia desses
tipos de rede.
Na rede do lado direito da figura, os hubs ainda esto em uso para conexes entre os switches, bem como para
conexes com dispositivos do usurio final. A maioria das redes no utiliza hubs mais. O IEEE no tentou fazer com
que o RSTP funcionasse em redes que utilizem hubs compartilhados e, por isso, o RSTP no melhoraria a convergncia
na rede da direita.
O RSTP chama de links as conexes Ethemet entre switches e de edges as conexes Ethernet com os dispositivos do
usurio final. Existem dois tipos de links: ponto-a-ponto, conforme mostrado no lado esquerdo da Figura 2-8, e compartilhado,
conforme mostrado no lado direito. O RSTP no distingue entre os tipos ponto-a-ponto e compartilhado para conexes de
edges.
O RSTP reduz o tempo de convergncia para conexes do tipo link ponto-a-ponto e do tipo edge. Ele no melhora a
convergncia em conexes do tipo link compartilhado. Entretanto, a maioria das redes modernas no utiliza hubs entre
switches; portanto, a ausncia das melhorias causadas pela convergncia RSTP para o tipo link compartilhado, na verdade,
no faz diferena.
Estados das portas RSTP

preciso tambm que voc se familiarize com os novos termos do RSTP para descrever o estado de uma porta. A Tabela
2-9 apresenta os estados, com algumas explicaes logo aps a tabela.
/;~~;~o
~ Chave
Tabela 2-9 Estados das portas RSTP e STP
....
Estado operacional
Estado STP (802.1d)
Estado RSTP (802.1w) Encaminha OS f'rame)

de dados neste estado?
Ativado
Bloqueio
Descarte
No
Ativado
Escuta
Descarte
No
Ativado
Aprendizado
Aprendizado
No
Ativado
Encaminhamento
Encaminhamento
Sim
Desativado
Desativado
Descarte
No
Semelhante ao STP, o RSTP estabiliza com todas as portas em Estado de Encaminhamento ou de Descarte. Descarte
significa que a porta no encaminha frames, no processa frames recebidos nem aprende endereos MAC, mas escuta
CCNA ICND2
59
BPDUs. Em resumo, ele age exatamente como o Estado STP de Bloqueio. O RSTP utiliza um Estado intermedirio de
Aprendizado quando altera uma interface do Estado de Descarte para o Estado de Encaminhamento. Entretanto, o RSTP
precisa utilizar o Estado de Aprendizado somente por um pequeno perodo de tempo.
Funes das portas RSTP

Tanto o STP (802.1d) quanto o RSTP (802.1 w) utilizam os conceitos de estados de portas e funes de portas. O
processo STP determina a funo de cada interface. Por exemplo, o STP determina quais interfaces esto atualmente na
funo de porta raiz ou porta designada. Em seguida, o STP determina o estado da porta estvel para utilizar em interfaces
para determinadas funes: o Estado de Encaminhamento para portas com as funes de PR e PD, e o Estado de
Bloqueio para portas com outras funes.
O RSTP acrescenta mais trs funes de portas, duas das quais so mostradas na Figura 2-9. (A terceira nova funo,
a funo desativada, no mostrada na figura; ela se refere simplesmente a interfaces fechadas.)
Figura 29 Funes das portas RSTP
A funo alternativa (alternate) das portas RSTP identifica a melhor alternativa de um switch para sua PR atual. Em
resumo, a funo de porta alternativa uma PR alternativa. Por exemplo, SW3 apresenta GiO/1 como sua PR, mas SW3
tambm sabe que est recebendo Helio BPDUs na interface GiO/2. O switch SW3 possui uma porta raiz, exatamente
como aconteceria com STP. (Veja a Figura 2-4 como referncia ao fluxo estvel de BPDUs). O RSTP designa portas
que recebem BPDUs subtimas (BPDUs que no so to "boas" como as recebidas na porta raiz) como portas alternativas.
Se o switch SW3 parar de receber Helios da bridge raiz, o RSTP em SW3 escolhe a melhor porta alternativa como sua
nova porta raiz para comear o processo de convergncia mais veloz.
O outro novo tipo de porta RSTP, a porta backup, se aplica somente quando um nico switch possui dois links com o
mesmo segmento (domnio de coliso). Para ter dois links com o mesmo domnio de coliso, o switch deve estar ligado
a um hub, conforme mostrado na Figura 2-9 em SW2. Na figura, o switch SW2 coloca uma das duas portas na funo
de porta designada (e finalmente em Estado de Encaminhamento) e a outra interface na funo backup (e finalmente
em Estado de Descarte). SW2 encaminha BPDUs atravs da porta em Estado de Encaminhamento e recebe a
mesma BPDU de volta na porta que est em Estado de Descarte. Portanto, SW2 sabe que tem uma conexo extra
com aquele segmento, chamada de porta backup. Se a porta PD em Estado de Encaminhamento falhar, SW2 pode
rapidamente passar aquela porta backup do Estado de Descarte para o Estado de Aprendizado e, depois, para o
Estado de Encaminhamento.
A Tabela 2-10 apresenta os termos usados para as funes das portas para o STP e o RSTP.

..........
Tabela 2-10 Funes das portas RSTP e STP
f Tpico
\ Chave
....
Funo RSTP
Funo STP
Definio
Porta raiz
Porta raiz
nica porta em cada switch no-raiz na qual o switch

recebe o melhor BPDU entre todos os BPDUs recebidos
Porta designada
Porta designada
De todas as portas do switch em todos os switches

ligados ao mesmo segmento/domnio de coliso, a porta
que anuncia o "melhor" BPDU
Porta alternativa
Porta de um switch que recebe um BPDU subtimo
Porta backup
Porta no-designada de um switch que est ligado ao

mesmo segmento/domnio de coliso com outra porta
do mesmo switch
Desativado
Porta que est administrativamente desativada ou no

capaz de funcionar por outros motivos
Convergncia do RSTP
Esta seo sobre RSTP comeou mostrando a voc a semelhana entre o RSTP e do STP: como ambos escolhem uma
raiz utilizando as mesmas regras, escolhem portas designadas utilizando as mesmas regras, e assim por diante. Se o
RSTP fizesse apenas as mesmas coisas que o STP, no haveria necessidade de atualizar o 802.1d STP padro original
com o novo padro 802.1 w RSTP. O principal motivo para o novo padro melhorar o tempo de convergncia.
O STA (Spanning Tree Algorithm) do RSTP funciona de forma um pouco diferente do seu predecessor mais antigo. Por
exemplo, em condies estveis, cada switch gera independentemente e envia Helio BPDUs, em vez de somente alterar
e encaminhar os Hellos recebidos pelo switch raiz. Entretanto, em condies estveis, os resultados fmais so os mesmos:
um switch que continue a receber os mesmos Hellos, com o mesmo custo e mesmo BID do switch raiz listados, deixa a
topologia do STP como est.
As principais alteraes na verso do STA do RSTP acontecem quando ocorrem mudanas na rede. O RSTP age de forma
diferente em algumas interfaces com base na caracterizao RSTP da interface e com base no que est conectado interface.
Comportamento do tipo edge e PortFast

O RSTP melhora a convergncia para conexes do tipo edge colocando a porta imediatamente em Estado de
Encaminhamento quando o link est fisicamente ativo. Na verdade, o RSTP trata essas portas exatamente como o
recurso PortFast patenteado pela Cisco. De fato, em switches Cisco, para ativar o RSTP em interfaces edge, basta
configurar o PortFast.
Tipo link compartilhado

Em links do tipo link compartilhado, o RSTP no faz nada diferente do STP. Entretanto, como a maioria dos links entre
switches de hoje em dia no compartilhado, mas so normalmente links full-duplex ponto-a-ponto, isso pouco importa.
Tipo link ponto-a-ponto

O RSTP melhora a convergncia em links fuli-duplex entre switches -links que o RSTP chama de "tipo de link ponto-aponto". A primeira melhoria feita pelo RSTP nesses tipos de links est relacionada a como o STP utiliza o MaxAge. O
STP requer que um switch que no mais recebe BPDUs raiz em sua porta raiz espere por um determinado nmero de
MaxAge segundos para iniciar a convergncia.
O MaxAge utiliza 20 segundos como padro. O RSTP reconhece a perda do caminho at a bridge raiz, atravs da porta
raiz, em 3 vezes o timer de Helio, ou 6 segundos, com um valor de timer de Helio padro de 2 segundos. Portanto, o RSTP
reconhece um caminho perdido at a raiz com muito mais rapidez.
CCNA ICND2
61
RSTP elimina a necessidade do Estado de Escuta (Listening) e reduz o tempo necessrio do Estado de Aprendizado
(Learning) descobrindo ativamente o novo estado da rede. O STP espera passivamente por novas BPDUs e reage a elas
durante os Estados de Escuta e Aprendizado. Com o RSTP, os switches negociam com switches vizinhos enviando
mensagens RSTP. As mensagens ativam os switches para rapidamente determinar se uma interface pode ser imediatamente
mudada para o Estado de Encaminhamento. Em muitos casos, o processo demora apenas 1 ou 2 segundos para todo o
domnio RSTP.
Exemplo de convergncia RSTP veloz

Em vez de explicar todos os detalhes da convergncia do RSTP, um exemplo pode lhe dar bastante conhecimento sobre
o processo. A Figura 2-10 mostra uma rede que explica a convergncia do RSTP.
Figura 2-10 Exemplo de convergncia RSTP: Passos 1 e 2

Passo 2
Passo 1
Raiz
Raiz
Melhor]
BPDU
Raiz
BPDU
Raiz antiga,
j no
to boa
A Figura 2-10 esquematiza o problema. Na esquerda, no Passo 1, a rede no apresenta nenhuma redundncia. O RSTP
colocou todos os links do tipo link ponto-a-ponto em Estado de Encaminhamento. Para acrescentar redundncia, o
engenheiro de rede acrescenta outro link do tipo link ponto-a-ponto entre SW1 e SW4, conforme mostrado do lado direito
no Passo 2. Portanto, a convergncia RSTP precisa ocorrer.
O primeiro passo da convergncia ocorre quando SW4 percebe que est recebendo um BPDU melhor que o que entrou
vindo de SW3. Como tanto o BPDU raiz antigo quanto o novo BPDU raiz anunciam o mesmo switch, ou seja, SW1, o
novo e "melhor" BPDU que chega pelo link direto de SW1 deve ser melhor por causa do custo mais baixo.
Independentemente da razo, SW4 precisa passar para o Estado de Encaminhamento no novo link com SW1, pois este
agora a porta raiz de SW4.
Neste ponto, o comportamento do RSTP diverge do STP. O RSTP em SW4 agora bloqueia temporariamente todas as
outras portas do tipo link. Ao fazer isso, SW4 impede a possibilidade de introduzir loops. Em seguida, SW4 negocia com
seu vizinho a nova porta raiz, SW1, utilizando mensagens RSTP de propostas e de acordos. Em conseqncia disso, SW4
e SW1 concordam que podem imediatamente colocar suas respectivas extremidades do novo link em Estado de
Encaminhamento. A Figura 2-11 mostra esse terceiro passo.
Por que SW1 e SW4 podem colocar suas extremidades do novo link em Estado de Encaminhamento sem provocar um
loop? Porque SW4 bloqueia todas as outras portas do tipo link. Em outras palavras, ele bloqueia todas as outras portas
conectadas a outros switches. Esta a chave para entender a convergncia do RSTP. Um switch sabe que precisa
mudar para uma nova porta raiz. Ele bloqueia todos os outros links e, em seguida, negocia para trazer a nova porta para
o Estado de Encaminhamento. Em essncia, SW4 diz a SW1 para confiar nele e comear a encaminhar, porque SW4
promete bloquear todas as outras portas at ter certeza de que pode voltar com algumas delas para o Estado de
Encaminhamento.

Figura 2-11 Exemplo de convergncia do RSTP: Passos 3 e 4
Negociaes
:::::::s
Passo 3
Passo 4
~Raiz
Raiz
BPDU
Raiz antiga,
j no to boa
.-............""
em Estado de
Encaminhamento
Imediato
BPDU
Raiz
melhor
...... .. r
Bloqueando Apresenta loops

enquanto est
negociando
--.
bloqueando
Entretanto, o processo ainda no est completo. A topologia RSTP atualmente mostra SW4 bloqueando, o que, neste
exemplo, no a melhor topologia nem a topologia fInal.
SW4 e SW3 repetem o mesmo processo que SW1 e SW4 acabaram de executar. No Passo 4, SW4 ainda bloqueia,
impedindo loops. No entanto, SW4 encaminha o novo BPDU raiz para SW3 e, portanto, SW3 agora recebe dois BPDUs.
Neste exemplo, considere que SW3 pensa que o BPDU vindo de SW4 melhor que o recebido de SW2; isso faz com que
SW3 repita o mesmo processo que SW4 acabou de executar. A partir deste ponto, adotado o seguinte fluxo geral:
1. SW3 decide mudar sua porta raiz com base neste novo BPDU de SW4.
2. SW3 bloqueia todas as outras portas do tipo link. (O RSTP chama esse processo de sincronizao.)
3. SW3 e SW4 negociam.
4. Como resultado da negociao, SW4 e SW3 podem passar para encaminhamento em suas interfaces em qualquer
extremidade do tipo link ponto-a-ponto.
5. SW3 mantm o Estado de Bloqueio em todas as outras portas do tipo link at o prximo passo da lgica.
A Figura 2-12 mostra alguns desses passos na parte do Passo 5, esquerda, e o comportamento resultante no Passo 6,
direita.
Figura 2-12 Exemplo de convergncia do RSTP: Passos 5 e 6

Passo 6
Passo 5
BPDU antigo
melhor que
odeSW3
Raiz
~
Bloqueando Apresenta loops
Nao!ao bom
quanto o BPDU
deSW1
~~~;;i enquanto est
negociando
SW3 continua bloqueando sua interface superior neste ponto. Observe que SW2 est agora recebendo dois BPDUs, o
mesmo antigo BPDU que ele vinha recebendo ainda o melhor BPDU. Portanto, SW2 no toma nenhuma ao e o
RSTP, ento, termina a convergncia!
Configurao e verificao do STP
CCNA ICND2
63
Embora tenham sido usadas vrias pginas para explicar, o processo neste exemplo pode levar apenas I segundo para
ser concludo. Para os exames CCNA, necessrio saber os termos relacionados ao RSTP, bem como o conceito de que
o RSTP melhora o tempo de convergncia em comparao com o STP.
Os switches Cisco utilizam (IEEE 802.ld) STP, como padro. possvel comprar alguns switches e conect-los com
cabos Ethernet em uma topologia redundante e o STP assegurar que no exista nenhum loop. E voc nunca mais ter
de pensar em alterar qualquer deftnio!
Embora o STP funcione sem nenhuma conftgurao, voc deve entender como o STP funciona, entender como interpretar
comandos show referentes ao STP e saber como ajustar o STP atravs da confIgurao de vrios parmetros. Por
exemplo, de acordo com o padro, todos os switches utilizam a mesma prioridade; portanto, o switch com o endereo
MAC gravado mais baixo se torna a raiz. Por outro lado, um switch pode ser confIgurado com uma prioridade mais baixa,
de forma que o engenheiro sempre saiba qual switch a raiz, considerando que aquele switch esteja funcionando
perfeitamente.
As sees a seguir comeam discutindo vrias opes para equilibrar a carga de trfego utilizando vrias instncias do
STP, seguido de uma pequena descrio de como confIgurar o STP para tirar maior proveito dessas mltiplas instncias
do STP. O restante dessas sees mostra vrios exemplos de confIgurao tanto para o STP quanto para o RSTP.
Mltiplas instncias do STP

Quando o IEEE padronizou o STP, as VLANs ainda no existiam. Quando as VLANs foram padronizadas mais tarde, o
IEEE no deftniu nenhum padro que permitisse mais de uma instncia do STP, mesmo com mltiplas VLANs. Naquela
poca, se um switch s seguisse os padres IEEE, ele aplicava uma instncia do STP a todas as VLANs. Em outras
palavras, se uma interface estivesse caminhando, ela assim o fazia para todas as VLANs, e se ela bloqueasse tambm o
fazia para todas as VLANs.
De acordo com o padro, os switches Cisco utilizam o IEEE 802.ld, e no o (802.1 w) RSTP, com um recurso patenteado
pela Cisco chamado Per-VLAN Spanning Tree Plus (PVST +) . O PVST+ (hoje em dia muitas vezes abreviado
simplesmente como PVST) cria uma instncia diferente do STP para cada VLAN. Portanto, antes de olhar os parmetros
ajustveis do STP, necessrio ter um conhecimento bsico do PVST+, pois as deftnies de conftgurao podem diferir
para cada instncia do STP.
O PVST+ d aos engenheiros uma ferramenta de balanceamento de carga. Ao alterar alguns parmetros de confIgurao
do STP em VLANs diferentes, o engenheiro poderia fazer com que os switches escolhessem PRs e PDs diferentes em
VLANs diferentes. Conseqentemente, parte do trfego em algumas VLANs pode ser encaminhado atravs de um
trunk e o trfego de outras VLANs pode ser encaminhado atravs de um trunk diferente. A Figura 2-13 mostra a idia
bsica, com SW3 encaminhando o trfego VLAN de nmero mpar atravs do trunk esquerdo (GiO/I) e as VLANs de
nmero par atravs do trunk da direita (GiO/2).
Figura 2-13 Equilbrio de carga com o PVST+
(;~~;~o
:' Cha".
....
GiOI2
iO/1
Archie
",/.'...Trfego de
Trfego de
VLANs
VLANs
rm pares
pares

Mais tarde, quando o IEEE introduziu o 802.1 W RSTP, ele ainda no tinha um padro para utilizar mltiplas instncias do
STP. Portanto, a Cisco implementou outra soluo patenteada para dar suporte a uma VLAN por cada spanning tree do
RSTP. A essa opo a Cisco chamou de RPVST (Rapid Per-VLAN Spanning Tree) e PVRST (Per-VLAN Rapid
Spanning Tree).
Independentemente dos acrnimos, a idia exatamente igual ao PVST+, mas conforme aplicada ao RSTP: uma instncia
do RSTP para controlar cada VLAN. Portanto, voc no s obtm uma convergncia rpida mas tambm pode balancear
a carga, conforme mostrado na Figura 2-13.
Mais tarde, o IEEE criou uma opo padronizada para mltiplas spanning trees. O padro IEEE (802.1s) , muitas
vezes, chamado de MST (Multiple Spanning Tree) ou MIST (Multiple Instances of Spanning Trees). O MIST permite a
definio de mltiplas instncias do RSTP, com cada VLAN sendo associada a uma instncia em particular. Por exemplo,
para alcanar o efeito de balanceamento de carga na Figura 2-13, o MIST criaria duas instncias do RSTP: uma para as
VLANs de nmero mpar e uma para as de nmero par. Se existissem 100 VLANs, os switches ainda assim precisariam
de apenas duas instncias do RSTP, em vez das 100 instncias utilizadas pelo PVRST. Entretanto, o MIST requer mais
configurao em cada switch, principalmente para definir as instncias do RSTP e associar cada VLAN com uma
instncia do STP.
A Tabela 2-11 resume essas trs opes para mltiplas spanning trees.
!;~;;~o
Tabela 2-11 Comparao entre trs opes para mltiplas spanning trees
\ Ch.ve
0'0
Opo
Aceita STP
Aceita RSTP Dificuldade de configurao Apenas uma instncia necessria

para cada caminho redundante
PVST+
Sim
No
pequena
No
PVRST
No
Sim
pequena
No
MIST
No
Sim
mdia
Sim
Opes de configurao que influenciam a topologia do Spanning Tree

Independentemente de usar o PVST+, o PVRST ou o MIST, duas opes principais de configurao podem ser utilizadas
para obter o tipo de efeito para balanceamento de carga descrito na Figura 2-13: o bridge ID e o custo da porta. Essas
opes tm impacto sobre a topologia "per-VLAN" (por VLAN) do STP da seguinte forma:
Os bridge IDs influenciam a escolha do switch raiz e, para switches no-raiz, influenciam a escolha da porta raiz.
O custo "per-VLAN" do STP para cada interface alcanar a raiz, que influencia a escolha da porta designada em
cada segmento de LAN.
As sees a seguir destacam alguns detalhes particulares para a implementao do STP em switches Cisco, alm dos
conceitos genricos abordados anteriormente neste captulo.
Extenso do bridge 10 e do System 10

Conforme mencionado anteriormente neste captulo, o bridge ID (BID) de um switch formado pela combinao da
prioridade do switch (2 bytes) e do endereo MAC (6 bytes). Na prtica, os switches Cisco utilizam um formato de BID
IEEE mais detalhado que separa a prioridade em duas partes. A Figura 2-14 mostra esse formato mais detalhado, com o
primeiro campo de prioridade de 16 bits agora incluindo um subcampo de 12 bits chamado de extenso do System ID .
Figura 2-14 Extenso do System ID no STP

2 bytes
6 bytes
Prioridade
(0-65,535)
!;~;;~o
\~h.V.
System 10
(Endereo MAC)
Bridge 10
em formato
.J-----------I.-,--- - -- - - - - ' original
"
.... ""
.............
_-- ............
r"---..-I----------"-Ir-----------,
- -".............
--
P~~\1~~e
de 4696
Extenso do System 10
(normalmente contm o VLAN 10)
L -_ _' - -_ _ __
4 bits
System 10
(Endereo MAC)
_ __ _' - - -_ _ _ __ _ _---'
12 bits
6 bytes
Extenso do
System 10
(Reduo do
endereo MAC)
65
CCNA ICND2
Para construir o BID de um switch para uma determinada instncia "per-VLAN" do STP, o switch deve utilizar uma
definio bsica de prioridade de um mltiplo do decimal 4096. (Todos esses mltiplos de 4096, quando convertidos para
binrio, terminam com 12 zeros binrios). Para criar os primeiros 16 bits do BID para uma determinada VLAN, o switch
comea com uma verso de 16 bits do valor base da prioridade, que tem todos os zeros binrio nos ltimos 12 algarismos.
O switch ento acrescenta o seu valor base da prioridade ao VLAN ID. O resultado que os 12 bits de baixa ordem no
campo de prioridade original listam o VLAN ID.
Um efeito interessante da utilizao da extenso do System ID que o PVST+ utiliza um BID diferente em cada VLAN.
Por exemplo, um switch configurado com as VLANs de 1 a 4, com uma prioridade base padro de 32,768 possui uma
prioridade STP padro de 32,769 na VLAN 1, 32,770 na VLAN 2,32,771 na VLAN 3, e assim por diante.
Custos "per-VLAN" das portas

Cada interface do switch define como padro para o seu custo "per-VLAN" do STP os valores mostrados anteriormente
na Tabela 2-6 (valores de custo IEEE revisados). Em switches Cisco, o custo STP baseado na velocidade real da
interface; portanto, se uma interface negocia utilizar uma velocidade mais baixa, o custo STP padro reflete essa velocidade
mais baixa de acordo com a Tabela 2-6. Se a interface negocia utilizar uma velocidade diferente, o switch tambm altera
dinamicamente o custo da porta STP.
Como alternativa, o custo da porta do switch pode ser configurado para todas as VLANs ou para uma nica VLAN de
cada vez. Tendo sido configurada, o switch ignora a velocidade negociada na interface, utilizando, em vez disso, o custo
configurado.
(;~;;~o
Resumo das opes de configurao do STP
:, Chave
....
A Tabela 2-12 resume as definies padro para o BID e para os custos das portas, relacionando tambm os comandos
opcionais de configurao abordados neste captulo.
Tabela 2-12 Padres e opes de configurao do STP
Defmio
Padro
Comando(s) para alterar o padro
Bridge ID
Prioridade: 32,768 + VLAN ID
spanning-tree vlan v/an-id root

{primary I secondary}
System: MAC gravado no switch

spanning-tree vlan v/an-id priority priority
Custo da Interface
De acordo com a Tabela 2-6: 100 para

10 Mbps, 19 para 100 Mbps,
4 para 1 Gbps, 2 para 10 Gbps
spanning-tree vlan v/an-id cost cost
PortFast
No-ativado
spanning-tree portfast
BPDU Guard
No-ativado
spanning-tree bpduguard enable
A seguir, a seo de configurao mostra como examinar a operao do STP em uma rede simples, mostrando tambm
como alterar essas definies padro.
Verificando a operao padro do STP

Os exemplos a seguir foram retirados de uma pequena rede com dois switches, conforme mostrado na Figura 2-15.
Nessa rede, utilizando as definies padro, todas as interfaces devem encaminhar, com exceo de uma interface em
um switch localizado nos links que conectam os switches. O Exemplo 2-1 apresenta vrios comandos show. O texto logo
aps o exemplo explica como o resultado do comando show identifica os detalhes da topologia do STP criados nessa
pequena rede.

Figura 2-15 Rede formada por dois switches
Trunks
Fa 0/16
Archie
Larry
Fa 0/12
Fa 0/11
VLAN3
Exemplo 2-1 Status do STP com parmetros padro do STP

SW1# show
spannin~tree
v1an 3
VLAN0003
Spanning tree enab1ed protocol ieee
Root I O
prior i ty
Bri dge IO
32 771
Address
001 9 .e8 59 . 5380
Cost
19
Port
16
Hello Time
2 sec Max Age 20 sec Forward Oelay 15 sec
(FastEthernetO/16)
pr iority
32 771 (prior i ty 3 276 8 sys - id- ext 3)
Address
0019. e 8 6a . 6f80
Hello Time
2 sec Max Age 20 sec Forward Oelay 15 s ec
Aging Time 300

Interface
Rol e Sts Cost
pr i o. Nbr
--------
-----------------------------------------
Type
-----------
---
FaO/11
Oe sg FWD 19
128.11
P2p
FaO / 16
Root FWD 19
128.1 6
P2p
FaO/17
Altn BLK 19
128.17
P2p
SW1# show
--- - ---
spannin~tree
Vlan
Roo t IO
root
Root
Hello
Max
Fwd
Cost
Time
Age
Oly
Root Port
--------
---------------------
----
----
---
---
--------- --------
VLANOO01
32769 0019.e859.5380
19
20
15
FaO/16
VLANOO02
32770 0019.e859.5380
19
20
15
FaO/16
VLANOO03
32771 0019 . e859.5380
19
20
15
FaO / 16
VLANOO04
32772 0019.e859.5380
19
20
15
FaO/16
! The next command supplies the same information as t he show spannin~tree vlan 3
! command about the local switch,
but in slightly briefer format
SW1# show span v1an 3 bridge
Vlan
VLAN0003
Bridge IO
HelIo
Max
Fwd
Time
Age
Oly
Root Port
20
15
ieee
32 771 (3 2 768 , 3) 0019 . e86a.6f80 2
o Exemplo 2-1 comea com o resultado do comando show spanning-tree vlan 3 em SW 1. Esse comando, primeiramente,
apresenta trs grupos principais de mensagens: um grupo de mensagens sobre o switch raiz, seguido de outro grupo sobre
o switch local, terminando com informaes sobre a funo da interface e o status. Comparando o root ID CID da raiz)
e o bridge ID (nas partes sombreadas) nos dois primeiros grupos de mensagens, voc consegue rapidamente dizer se o
switch local a raiz, pois, neste caso, o bridge ID e o root ID seriam iguais. Neste exemplo, o switch local no a raiz.
O terceiro grupo de mensagens no resultado do comando show spanning-tree vlan 3 identifica parte da topologia STP
neste exemplo relacionando todas as interfaces naquela VLAN (tanto interfaces de acesso quanto trunks que poderiam
CCNA ICND2
67
aceitar a VLAN), as funes de suas portas STP e os estados das portas STP. Por exemplo, SWI determina que FaO/ll
tem a funo de uma porta designada porque nenhum outro switch est competindo para se tornar a PD naquela porta,
conforme mostrado pela funo 'desg' no resultado do comando. Por isso, SWl precisa anunciar o Helio de menor custo
naquele segmento. Em conseqncia disso, SWl coloca FaO/ll em Estado de Encaminhamento.
Embora o resultado do comando mostre que SWl escolheu a interface FaO/16 como sua PR, a lgica de SWl ao fazer
essa escolha no aparente no resultado do comando. SWl recebe os Helio BPDUs do SW2 nas portas Fast Ethernet
0/16 e 0/17, ambas do SW2. Como FaO/16 e FaO/17 usam o mesmo custo padro de porta (19), o caminho de SWl at a
raiz o mesmo (19) em ambos os caminhos. Quando um switch se depara com um empate com relao ao custo para
alcanar a raiz, ele inicialmente utiliza os valores prioridade da porta (port priority) da interface para desempatar. Se
os valores de prioridade da porta empatam, o switch utiliza o menor nmero interno da interface. O nmero da prioridade
da interface e da porta interna so apresentados sob o cabealho "Prio.Nbr" no Exemplo 2-1. Nesse caso, SWl est
utilizando a prioridade de porta padro 128 em cada interface e, portanto, SWl utiliza o menor nmero de porta, FaO/16,
como sua porta raiz, colocando assim FaO/16 em Estado de Encaminhamento.
Observe tambm que o resultado do comando mostra que FaO/17 desempenha o papel de uma porta (raiz) alternativa,
conforme mostrado pela abreviao "Altn" no resultado do comando. Embora a funo da porta alternativa seja um conceito
do RSTP, a implementao 802.1d STP da Cisco tambm utiliza esse conceito e, por isso, o comando show lista a funo da
porta alternativa. Entretanto, como essa porta no nem uma PR nem uma PD, SWl a coloca em Estado de Bloqueio.
O prximo comando do exemplo, show spanning-tree root, apresenta o bridge ID do switch raiz em cada VLAN.
Observe que ambos os switches esto utilizando todas as definies padro; por isso, SW2 torna-se a raiz em todas as
quatro VLANs existentes. Esse comando tambm apresenta separadamente a poro relativa prioridade do bridge ID,
mostrando os valores de prioridade diferenciados (32,769, 32,770, 32,771 e 32,772) com base na extenso do System ID
explicada anteriormente neste captulo. O ltimo comando do exemplo, show spanning-tree vlan 3 bridge id, simplesmente
apresenta informaes sobre o bridge ID do switch local na VLAN 3.
Configurando os custos das portas do STP e a prioridade do switch

O Exemplo 2-2 mostra como causar impacto sobre a topologia do STP configurando o custo das portas e a prioridade do
switch. Primeiro, em SWl , o custo da porta diminudo em FastEthernet 0/17, o que torna o caminho de SWl at a raiz
atravs de FaO/17 melhor que o caminho por FaO/16, mudando assim a porta raiz de SWl. Em seguida, o exemplo mostra
SWl tornando-se o switch raiz atravs da alterao da prioridade da bridge de SW1.
Exemplo 2-2 Manipulando o custo das portas STP e a prioridade da bridge
SWI #debug apanning-tree eventa
Spanning Tree event debugging is on
SWI#configure terminal
SWI (config) #interface FaO/l7
SWI(config-if)#apanning-tree vlan 3 coat 2
00: 4 5:39 : STP: VLAN0003 new r oot p o rt FaO /1 7, c o st 2
00: 45:39: STP: VLANOO03 FaO / 17 -> I istening
00: 45 :39 : STP : VLANOO03 sent Topology Change Notice on FaO / 17
00 : 45 : 39: STP: VLANOO03 FaO / 1 6 -> bIocking
00: 45:54: STP: VLANOO03 FaO /1 7 - > Iearning
00:46 : 09: STP : VLANOO03 sent Topology Change Notice on FaO / 17
00: 46:09: STP : VLANOO03 FaO / 17 -> f o rwar ding
SWI (config-if)# AZ
SWI #ahow apanning-tree vlan 3
VLAN0003
Spa nning tree enabIed pro t ocol ieee
Root lD
Priority
32771
Address
0019 . e859.5380

Co st
Port
17
Hello Time
2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID priority
(Fas tEthernetO / 1 7 )
32771 (priority 32768 sys-id-ext 3)
Address
0019.e86a.6f80
Hello Time
Aging Time
15
Inter f ace
Role Sts Cost
Prio.Nbr
Type
FaO/11
Desg FWD 19
128.11
P2p
FaO/16
Altn BLK 19
128.16
P2p
Fa O/ 17
Root FWD 2
128.17
P2p
Enter configuration commands, one per line . End with CNTL/Z .
SW1(config)# spanning-tree vlan 3 root primary
00:46:58: setting bridge id (which=l) prio 24579 prio cfg 24576 sysid 3
(on)
id 6003.0019.e86a.6f80
00:46 : 58: STP: VLANOO03 we a r e the spanning tree root

00:46 : 58: STP: VLANOO03 FaO/16 -> listen ing
00:46:58 : STP : VLANOO03 Topology Change rcvd on FaO/16
00:47:13: STP: VLANOO03 FaO/16 - > lea rning
00:47 : 28 : STP : VLANOO03 FaO/16 -> forwarding
Este exemplo comea com o comando debug spanning-tree events em SW1. Esse comando diz ao switch para emitir
mensagens informativas de registro sempre que o STP realizar alteraes na funo ou no estado da interface. Essas
mensagens aparecem no exemplo em conseqncia dos comandos mostrados mais tarde no resultado do exemplo.
Em seguida, o custo da porta da interface FastEthernet O/17de SW1, apenas em VLAN 3, alterado utilizando o
comando spanning-tree vlan 3 cost 2, no modo de configurao da interface FaO/17. Logo aps esse comando, SW1
exibe as primeiras mensagens debug significativas. Essas mensagens basicamente declaram que FaO/17 agora a porta
raiz de SW1, que FaO/16 imediatamente passa para o Estado de Bloqueio e que FaO/17 lentamente passa para o Estado
de Encaminhamento passando, primeiramente, pelos Estados de Escuta e Aprendizado. Voc pode ver o tempo de 15
segundos (de acordo com a definio padro do forward delay) nos Estados de Aprendizado e Escuta, conforme mostrado
nas referncias de data e horas sombreadas no exemplo.
Observao A maioria dos comandos de configurao para a definio dos parmetros do

STP pode omitir o parmetro vlan, alterando assim a definio de todas as VLANs. Por exemplo,
o comando spanning-tree cost 2 poderia fazer com que o custo STP de uma interface fosse 2
para todas as VLANs.
Aps o primeiro conjunto de mensagens debug, o resultado do comando show spanning-tree apresenta a FastEthemet
0/16 em Bloqueio e a FastEthemet 0/17 em Encaminhamento, agora com o custo de apenas 2 at a bridge raiz, com base
no custo alterado da interface FastEthernet 0/17.
A prxima alterao ocorre quando o comando spanning-tree vlan 3 root primary emitido em SW1. Esse comando
altera a prioridade base para 24,576, fazendo com que a prioridade da VLAN 3 de SW1 seja 24,576 mais 3, ou seja,
24,579. Conseqentemente, SW1 toma-se o switch raiz, conforme mostrado nas mensagens debug seguintes.
O comando spanning-tree vlan vlan-id root primary diz ao switch para utilizar um determinado valor de prioridade
somente naquela VLAN, com o switch escolhendo um valor que far com que o switch se torne o switch raiz naquela
VLAN. Para isso, esse comando defme a prioridade base - o valor da prioridade que acrescentado ao VLAN ID para
calcular a prioridade do switch - com um valor mais baixo que a prioridade base do atual switch raiz. Esse comando
escolhe a prioridade base da seguinte forma:
CCNA ICND2
24,576, se a atual raiz tiver uma prioridade base mais alta que 24,576
69
(;:~;~o
\ Chave
...
4096 subtrado da prioridade base da atual raiz se a prioridade dela for 24,576 ou menor
O comando spanning-tree vlan vlan-id root secondary diz ao switch para utilizar o valor da prioridade base de forma
que o switch local se tome a raiz se o switch raiz principal falhar. Esse comando defrne a prioridade base do switch em
28,672, independentemente do atual valor da prioridade da atual raiz.
Observe que a prioridade tambm pode ser explicitamente definida com o comando de configurao global spanningtree vlan vlan-id priority value, que define a prioridade base do switch. Entretanto, como vrios designs de LANs
dependem de uma nica raiz conhecida, com um backup at a raiz, os outros comandos so normalmente preferidos.
Configurando o PortFast e o BPDU Guard

Os recursos PortFast e BPDU Guard podem ser facilmente configurados em qualquer interface. Para configurar o
PortFast, basta utilizar o subcomando de interface spanning-tree portfast. Para tambm ativar o BPDU Guard, acrescente
o subcomando de interface spanning-tree bpduguard enable.
Configurando o EtherChannel
Finalmente, os dois switches realmente possuem conexes Ethemet paralelas que podem ser configuradas para o
EtherChannel. Fazendo isso, o STP no bloqueia nenhuma interface, porque ele trata ambas as interfaces de cada switch
como um link. O Exemplo 2-3 mostra a configurao de SWl e os comandos show para o novo EtherChannel.
Exemplo 2-3 Configurando e monitorando o EtherChannel
En t er configu ration commands , one per l i n e. En d with CNTL / Z.
SW1(config)# interface fa 0/16
SW1(config- i f )#channel-group 1 mode on
SW1 (config )# int fa 0/17
SW1 (config-if)#channel-group 1 mode on
SW1(config-i f)# AZ
00:32:27: STP: VLAN0001 Po 1 -> learni ng
00 : 32:42 : STP: VLAN0001 Po1 -> f orward i n g
SW1 #show spanning-tree vlan 3
VLAN0003
Spanning t r ee e nabl e d p ro toco I ieee
Root ID
Bridge I D
Priority
28675
Address
0019.e859.5380
Cost
12
Port
72
HelIo Time
2 sec Max Age 20 s e c Forwa r d Del ay 1 5 sec
priori t y
28675
Addres s
0019.e86 a .6 f 80
He lIo Ti me
2 s ec Max Ag e 20 sec Forward De l ay 15 s ec
(Port-channell)
(pr i ority 28672 s ys-i d -ext 3)
Aging Ti me 300
Interface
Ro le Sts Cost
Prio.Nbr
Type
Fa O/ 11
De sg FWD 1 9
128 . 11
P2p
Po1
Root FWD 12
1 28 . 72
P2p
SW1 #show etherchannel 1 summary

Flags :
D -
down
P - in port-channel

I - stand-alone
s - suspended
H - Hot-standby
(LACP only)
R - Layer3
S - Layer2
u - in use
f - failed to allocate aggregator
u - unsui table for bundling

w - waiting to be aggregated
d - default port
Number of channel-groups in use
: 1
Number of aggregators
: 1
Group
Port-channel
Pro toc ol
Ports
---------+------------------+---------------+---------------------------------------------------------------Po l(SU)
FaO / 16(P) Fa O/ 17(P)
Em switches 2960, qualquer porta pode fazer parte de um EtherChannel, com at oito portas em um nico EtherChannel;
portanto, os comandos EtherChannel so sub comandos de interface. O subcomando de interface channelgroup 1
mode on ativa o EtherChannel nas interfaces FastEthernet 0/16 e 0/17. Ambos os switches devem concordar com o
nmero do EtherChannel, neste caso, 1, para que a configurao port-channel de SW2 seja idntica de SW l.
O comando channel-group permite que a configurao de uma interface seja sempre em um port channel (canal de porta)
(usando a palavra-chave on) ou seja dinamicamente negociada com outros switches utilizando as palavras-chave auto ou
desirable. Com a palavra-chave on usada em SW1 , se, por algum motivo, SW2 no estivesse configurado corretamente para
o EtherChannel, os switches no encaminhariam trfego atravs das interfaces. Como alternativa, os comandos de configurao
channel-group do EtherChannel em cada switch poderiam utilizar parmetros auto ou desirable em vez de on. Com esses
outros parmetros, os switches negociam se devem utilizar o EtherChannel. Se negociado, formado um EtherChannel. Se
no, as portas podem ser utilizadas sem formar um EtherChannel, com o STP bloqueando algumas interfaces.
O uso dos parmetros auto e desirable pode enganar. Se voc configurar auto em ambos os switches, o EtherChannel
nunca aparece! A palavra-chave auto diz ao switch para esperar que o outro switch comece as negociaes. Desde que
um dos dois switches esteja configurado com on ou desirable, o EtherChannel pode ser negociado com sucesso.
No restante do Exemplo 2-3, voc v vrias referncias a "port channel" ou "Po" . Como o STP trata o EtherChannel
como um link, o switch precisa de alguma forma para representar todo o EtherChannel. O lOS do 2960 utiliza o termo
"Po", abreviatura de "port channel" , como forma de dar nome ao EtherChannel. (O EtherChannel s vezes chamado
de port channel.) Por exemplo, prximo ao fmal do exemplo, o comando show etherchannell summary faz referncia
a Po1 como portchannel/EtherChannel 1.
Configurando o RSTP
No h nada de mais na configurao e na verificao do RSTP quando j se tem a compreenso completa das opes
de configurao do STP abordadas neste captulo. Cada switch requer um nico comando global, o spanning-tree
mode rapid-pvst. Como voc pode ver a partir do comando, ele no s ativa o RSTP mas tambm o PVRST, executando
uma instncia do RSTP para todas as VLANs defrnidas.
O restante dos comandos de configurao abordados nesta seo se aplica ao RSTP e ao PVRST sem nenhuma
alterao. Os mesmos comandos exercem impacto sobre o BID, o custo da porta e os EtherChannels. De fato, o
subcomando de interface spanning-tree portfast chega a funcionar, tecnicamente fazendo da interface uma interface
RSTP do tipo edge, em vez do tipo link, e instantaneamente passando a interface para o Estado de Encaminhamento.
O Exemplo 2-4 mostra como migrar do STP e do PVST+ para o RSTP e o PVRST e como saber se um switch est
utilizando RSTP ou STP.
Exemplo 2-4 Configurao e verificao do RSTP e do PVRST

Enter configuration commands, one per line . End wi t h CNTL/Z .
SW1(con f ig)#8panning-tree mode ?
mst
Mul t iple spanning tree mode
pvst
Per- Vlan spanning tree mode
.'
CCNA ICND2
r a pid - pvs t
71
Per-Vlan rap i d spanning tree mode
Th e next lin e con figures t h is switch to use RSTP and PVRST.
SW1(config)# spanning-tree mode rapid-pvst

SW1(config)# AZ
! The 'protocol RSTP' shaded text means that this switch uses RSTP,
not IEEE STP.
SW1# show spannlg-tree vlan ,

VLAN0004
Spanning tree enab l e d protocol rstp
Root ID
priority
32772
Addres s
0019.e859.5380
Cost
19
Port 16
(FastEthernetO/16)
Rello Time
Bridge 10 priority 32772 (priority 32768 sys-id-ext 4)

Address
0019.e86a.6f80
Rello Time
Aging Time 300

Interface
Role Sts Cost
Prio . Nbr
Type
FaO/16
FaO/17
Root FWD 19
128 . 16
P2p Peer ( STP)
Altn BLK 19
128.17
P2p Peer (STP)
De modo especial, tente comparar a frase "protocol rstp", sombreada no exemplo, com o resultado do comando show
spanning-tree nos exemplos anteriores. Os exemplos anteriores utilizaram a definio padro do STP e do PVST+,
listando o texto "protocol ieee", referindo-se ao padro original IEEE 802.1 d STP.
Resolvendo problemas do STP
As sees [mais concentram-se em como aplicar aos novos cenrios as informaes abordadas nas partes anteriores
deste captulo. Embora essa seo o ajude a se preparar para resolver problemas do STP em redes reais, o principal
objetivo prepar-lo para responder a questes sobre o STP nos exames CCNA. (Observe que essas sees no
introduzem nenhum fato novo sobre o STP.)
As questes sobre o STP tendem a intimidar boa parte dos candidatos. Um dos motivos pelo qual o STP causa mais
problemas aos candidatos prova que mesmo aqueles com experincia profissional podem nunca ter precisado resolver
problemas sobre o STP. O STP executado naturalmente e funciona bem utilizando as definies de configurao
padro em redes de pequeno a mdio porte, e, por isso, os engenheiros raramente precisam resolver problemas de STP.
Alm disso, embora a teoria e os comandos abordados neste captulo possam ser compreensveis, a aplicao de muitos
desses conceitos e comandos a um problema especfico do exame demorada.
Esta seo descreve e resume um plano de ataque para analisar e responder a diferentes tipos de problemas sobre STP no
exame. Algumas questes do exame podem exigir que voc determine quais interfaces devem encaminhar ou bloquear. Outras
questes podem querer saber qual switch a raiz, quais portas so portas raiz e quais portas so portas designadas. Com
certeza, outras variaes de questes tambm existem. Independentemente do tipo de questo, os trs passos a seguir podem
ser utilizados para analisar o STP em qualquer LAN e, por sua vez, responder a qualquer questo sobre STP no exame: ..... .
Passo 1 Determinar o switch raiz.
(i:::
".
Passo 2 Para cada switch no-raiz, determinar sua porta raiz (PR) e o custo para alcanar o switch raiz atravs desta
PRo
Passo 3 Para cada segmento, determinar a porta designada (PD) e o custo anunciado pela PD naquele segmento.

As sees a seguir revisam os pontos principais sobre cada um desses passos e relacionam algumas dicas para ajud-lo
a rapidamente encontrar a resposta para as questes do exame.
Determinando o switch raiz

Determinar o switch raiz do STP fcil se voc souber os BIDs de todos os switches; basta escolher o menor valor. Se
a questo apresenta a prioridade e o endereo MAC separadamente, como comum em resultados do comando show,
escolha o switch com a menor prioridade ou, em caso de empate, escolha o menor valor do endereo MAC.
Bem semelhante s redes reais, se uma questo requer que voc emita comandos show em vrias switches para encontrar o
switch raiz, uma estratgia organizada pode ajud-lo a responder s questes mais rapidamente. Primeiro, lembre-se de que muitas
variaes do comando show spanning-tree listam o BID da raiz, com a prioridade em uma linha e o endereo MAC na prxima,
na primeira parte do resultado; o BID do switch local apresentado na seo seguinte. (Veja o Exemplo 2-1, na parte sombreada)
Lembre-se tambm de que os switches Cisco usam o PVST+ como padro; portanto, tenha cuidado e observe os detalhes do STP
relativos VLAN correta. Com esses fatos em mente, a lista a seguir apresenta uma boa estratgia:
Passo 1 Escolha um switch com o qual comear e encontre o BID do switch raiz e do switch local na VLAN em
questo utilizando o comando exec show spanning-tree vlan v/anid.
Passo 2 Se o BID raiz e o BID local forem iguais, o switch local o switch raiz.
Passo 3 Se o BID raiz no for igual ao BID do switch local, faa da seguinte forma:
a. Encontre a interface da PR no switch local (tambm no resultado do comando show spanning-tree).
b. Utilizando o CDP (Cisco Discovery Protocolou outra documentao), determine qual switch est na outra extremidade
da interface da PR encontrada no Passo 3A.
c. Conecte-se ao switch na outra extremidade da interface da PR e repita esse processo, comeando no Passo 1.
O Exemplo 2-5 mostra o resultado de um comando show spanning-tree vlan 1. Sem nem mesmo saber a topologia da
LAN, tente agora essa estratgia de resoluo de problemas baseada no resultado do exemplo e compare o seu raciocnio
com as explicaes que se seguem ao exemplo.
Exemplo 2-5 Encontrando o switch raiz

SW2# show spanning-tree vlan 1
VLANOO01
Spanning tree enabled proto col ieee
Roo t ID
Bri dge ID
Priority
32769
Address
000a.b7dc.b780
Cost
19
Po rt
Hello Time
(FastEt hernetO / 1)
Pr i or ity
32769 (pri ori ty 3 2 768 sys-id- ext 1 )
Address
0011. 92bO . f500
Hello Time
2 s ec Max Ag e 20 s ec Forward Delay 15 sec
Aging Time 300

Interface
Role Sts Cost
Prio.Nbr
Type
---------
---- --- ----
-------
----------------------------------------
Fa O/ 1
Root FWD 19
128.1
P2p
FaO/19
Desg FWD 100
128.19
Shr
FaO/20
Desg FWD 100
128.20
Shr
SW2# show spanning-tree vlan 1 bridge id

VLANOO01
80 01. 0 011 . 9 2bO . f500
As partes sombreadas do exemplo destacam o BID da raiz (prioridade e endereo) bem como o BID diferenciado de
SW2. Como o BID do switch raiz diferente, o prximo passo dever ser encontrar a porta raiz, que apresentada em
CCNA ICND2
73
dois lugares diferentes no resultado do comando (FaO/1). O prximo passo seria repetir o processo no switch na outra
extremidade da interface FaO/1 de SW2, mas o exemplo no identifica esse switch.
Determinando a porta raiz em switches no-raiz

Cada switch no-raiz possui uma, e somente uma, porta raiz (PR). (Switches raiz no possuem PR). Para escolher sua
PR, o switch escuta os HelIos BPDUs de entrada. Para cada Helio recebido, o switch acrescenta ao custo da porta
daquele switch o custo relacionado no Heno BPDU, relativo porta em que o Heno foi recebido. O menor custo
calculado vence; em caso de empate, o switch escolhe a interface que possui a menor prioridade de porta, e, se houver
empate, o switch escolhe o menor nmero de porta interna.
Embora o pargrafo anterior resuma como um switch no-raiz escolhe sua PR, quando uma questo do exame fornece
informaes sobre o switch raiz e os custos de portas da interface, uma abordagem ligeiramente diferente pode faz-lo
chegar mais rpido a uma resposta. Considere a seguinte questo, por exemplo, proposta em relao rede mostrada na
Figura 2-16:
Na rede composta por switches, mostrada na Figura 2-16, todos os switches e segmentos esto funcionando perfeitamente,
com o STP ativado na VLAN 1. SW1 foi escolhido como raiz. A interface FaO/1 de SW2 utiliza uma definio de custo
igual a 20, com todas as outras interfaces utilizando o custo STP padro. Determine a PR em SW4.
Figura 2-16 Exemplo 1 de anlise do STP
Switch Raiz
Uma forma de comear a tentar resolver este problema especfico aplicar apenas os conceitos do STP, resumidos no
primeiro pargrafo desta seo. Como alternativa, voc pode encontrar a soluo um pouco mais rapidamente utilizando
o processo a seguir, comeando com um switch no-raiz:
Passo 1 Determine todos os caminhos possveis atravs do qual um frame, enviado por um switch no-raiz, possa
alcanar o switch raiz.
Passo 2 Para cada caminho possvel no Passo 1, acrescente os custos de todas as interfaces de sada naquele
caminho.
Passo 3 O menor custo encontrado o custo para alcanar a raiz, e a interface de sada a PR daquele switch.
Passo 4 Se o custo empatar, desempate de acordo com a prioridade das portas, e, se ainda houver empate, desempate
com o menor nmero da porta.
A Tabela 2-13 mostra o trabalho feito referente aos Passos 1 e 2 deste processo, apresentando os caminhos e os custos
respectivos para alcanar a raiz atravs de cada caminho. Nessa rede, SW4 possui cinco caminhos possveis at o switch
raiz. A coluna do custo relaciona os custos da interface na mesma ordem da primeira coluna, junto com o custo total.
Tabela 2-13 Encontrando a PR de SW4: calculando o custo

Caminho fsico (interfaces de sada)
Custo
SW4 (FaO/2) -> SW2 (FaO/1) -> SW1
19 + 20 = 39

SW4 (FaO/3) -> SW3 (FaO/l) -> SWl
19 + 19 = 38
SW4 (FaO/l) -> SWl
19 = 19
SW4 (FaO/2) -> SW2 (FaO/3) -> SW3 (FaO/l) -> SWl
19 + 19 + 19 = 57
SW4 (FaO/3) -> SW3 (FaO/2) -> SW2 (FaO/l) -> SWl
19 + 19 + 20 = 58
S para se assegurar de que o contedo da tabela esteja claro, examine o caminho fsico SW4 (FaO/2) ->
SW2 (FaOIl) -> SWl por um momento. Para esse caminho, as interfaces de sada so a interface FaO/2 de
SW4, com o custo padro de 19, e a interface FaO/l de SW2, configurada com custo de 20, perfazendo um
total de 39.
Voc deve tambm perceber quais custos de interfaces so ignorados com esse processo. Utilizando o mesmo exemplo,
o frame enviado por SW4 em direo raiz entraria na interface FaO/4 de SW2 e na interface FaO/2 de SW1. No seriam
considerados os custos de nenhuma das interfaces.
Neste caso, a PR de SW4 seria a sua interface FAO/l, porque o caminho de menor custo (custo 19) comea com
essa interface.
Tome cuidado ao fazer consideraes com relao a questes que requerem que voc encontre a PR de um switch.
Neste caso, por exemplo, pode ser intuitivo pensar que a PR de SW4 seria a sua interface FaO/l, pois ela est diretamente
conectada raiz. Entretanto, se as interfaces FaO/3 de SW4 e FaO/ l de SW3 fossem alteradas para um custo de porta
igual a 4, o caminho SW4 (FaO/3) -> SW3 (FaO/l) -> SWl totalizaria um custo igual a 8, e a PR de SW4 seria a sua
interface FaO/3. Portanto, s porque o caminho parece ser melhor no diagrama, lembre-se de que o ponto decisivo o
custo total.
Determinando a porta designada em cada segmento LAN

Cada segmento LAN possui um nico switch que age como porta designada (PD) naquele segmento. Em segmentos
que conectam um switch a um dispositivo que nem mesmo utilize STP - por exemplo, segmentos conectando um
switch a um PC ou a um roteador -, a porta do switch escolhida como PD porque o nico dispositivo que envia
um Hello para o segmento o switch. Entretanto, segmentos que conectam vrios switches requerem um pouco
mais de trabalho para descobrir qual deveria ser a PD. Por definio, a PD de um segmento determinada da
seguinte forma:
A interface do switch que encaminha o Helio BPDU de menor custo para o segmento a PD. No caso de empate, entre
os switches que enviam os Hellos cujo custo empatou, vence o switch que possui o menor BID.
Novamente, a defrnio formal descreve o que o STP faz, e voc pode aplicar esse conceito a qualquer questo sobre
STP. Entretanto, para os exames, se voc tiver acabado de encontrar a PR de cada switch no-raiz e tiver anotado o
custo para alcanar a raiz em cada switch (conforme mostrado, por exemplo, na Tabela 2-13), possvel facilmente
encontrar a PD da seguinte forma:
Passo 1 Para switches conectados ao mesmo segmento de LAN, o switch que possui o menor custo para alcanar a
raiz a PD daquele segmento.
Passo 2 No caso de empate, entre os switches que empataram no custo, o switch que possui o menor BID se
toma a PD.
Considere, por exemplo, a Figura 2-17. Essa figura mostra a mesma rede de switches da Figura 2-16, mas
com as PRs e PDs anotadas, bem como o menor custo de cada switch para alcanar a raiz atravs de sua
respectiva PRo
CCNA ICND2
75
Figura 2-17 Escolhendo as portas designadas

Switch Raiz
910:
30000:0200.2222.2222
9 10 :
32768:0200.3333.3333
PR
9 10 :
32768:0200.4444.4444
Custo para alcanar
a raiz: 19
Concentre-se nos segmentos que conectam os switches no-raiz por um momento. Para o segmento SW2-SW4, SW4
vence em virtude de ter um caminho de custo 19 at a raiz, enquanto o melhor caminho de SW2 tem custo 20. Pela
mesma razo, SW3 se toma a PD no segmento SW2-SW3. Para o segmento SW3-SW4, tanto SW3 quanto SW4
empatam em relao ao custo para alcanar a raiz. A figura apresenta os BIDs dos switches no-raiz, para que voc
possa ver que o BID de SW3 menor. Em conseqncia disso, SW3 vence o empate, fazendo de SW3 a PD daquele
segmento.
Observe tambm que o switch raiz (SWI) se toma a PD de todos os seus segmentos pelo fato de que o switch raiz
sempre anuncia Helios de custo O, e o custo calculado de todos os outros switches deve ser pelo menos 1, pois o menor
custo de porta permitido 1.
Para os exames, voc precisar saber como encontrar o switch raiz, a PR de cada switch e a PD de cada segmento,
depois de descobrir os BIDs, os custos das portas e a topologia da LAN. Neste ponto, voc tambm sabe quais interfaces
encaminham - aquelas que so PRs ou PDs - e as interfaces restantes responsveis por bloquear.
Convergncia do STP
A topologia do STP - o conjunto de interfaces em Estado de Encaminhamento - deve permanecer estvel enquanto a
rede permanecer estvel. Quando as interfaces e os switches oscilam, a topologia resultante do STP pode alterar; em
outras palavras, a convergncia do STP ocorrer. Esta seo destaca algumas estratgias que fazem uso do bom senso
para combater esses tipos de problemas nos exames.
Algumas questes do exame que tratam do STP podem ignorar os detalhes de transio quando a convergncia ocorre,
concentrando-se em quais interfaces passam de Encaminhamento para Bloqueio, ou de Bloqueio para Encaminhamento,
quando ocorre uma determinada alterao. Uma questo pode, por exemplo, apresentar detalhes de um cenrio e, em
seguida, perguntar: quais interfaces passam do Estado de Bloqueio para o de Encaminhamento? Para essas questes que
comparam as topologias antes e depois de uma alterao, basta aplicar os mesmos passos j abordados nesta seo,
porm, aplic-los duas vezes: uma vez para as condies anteriores s alteraes e uma vez para as condies que
provocaram a alterao.
Outras questes sobre STP podem concentrar-se no processo de transio, incluindo o timer Helio, o timer MaxAge, o
timer forward delay, os Estados de Escuta e Aprendizado e seus usos, conforme descrito anteriormente neste captulo.
Para esses tipos de questes, lembre-se dos seguintes fatos sobre o que ocorre durante a convergncia do STP:
Para interfaces que permanecem no mesmo estado STP, nada precisa ser alterado.
Para interfaces que precisam passar do Estado de Encaminhamento para o Estado de Bloqueio, o switch
imediatamente passa para o estado de Bloqueio.
Para interfaces que precisam passar do Estado de Bloqueio para o Estado de Encaminhamento, o switch inicialmente passa a interface para o Estado de Escuta e depois para o Estado de Aprendizado, cada um de acordo com
o tempo especificado pelo timer forward delay (15 segundos de acordo com padro). Somente depois disso que
a interface ser colocada em Estado de Encaminhamento.


Descrio
Tabela 2-2
Relaciona os trs principais problemas que ocorrem

quando no utilizamos o STP em uma LAN com
links redundantes
47
Relaciona os motivos pelos quais um switch escolhe

colocar uma interface em Estado de Encaminhamento
ou de Bloqueio
48
Relaciona os campos mais importantes em mensagens

Helio BPDUs
49
Figura 2-5
Mostra como os switches calculam seu custo raiz
51
Tabela 2-6
Relaciona os custos de portas STP padro originais

e atuais para vrias velocidades de interface
53
Resumo descritivo das operaes do STP

em steady-state
53
Tabela 2-7
Timers do STP
53
Lista
DefInies do que ocorre nos estados de

Escuta e Aprendizado
55
Tabela 2-8
Resumo dos estados 802.1 d
55
Lista
Semelhanas entre RSTP e STP
57
Tabela 2-9
Relaciona o 802.1d e os estados correspondentes

da interface 802.1 w
58
Relaciona funes e comparaes das portas no

STP e no RSTP
60
Viso conceitual dos benefcios do balanceamento

de carga no PVST+
63
Tabela 2-11
Compara trs opes de mltiplas spanning trees
64
Figura 2-14
Mostra o formato da extenso do System ID do

campo de prioridades do STP
64
Tabela 2-3
Tabela 2-4
Lista
Tabela 2-10
Figura 2-13
Nmero da pgina
-I
:1
-I
:1
-I
-I
:1
-I
:1
-I
:1
-I
:1
-I
:1
---
-
-
CCNA ICND2
Tabela 2-12
Lista
Lista
Relaciona as definies padro com as definies

de configuraes opcionais do STP e
comandos de configurao relacionados
65
Duas ramificaes da lgica sobre como o

comando spanning-tree root primary escolhe
uma nova prioridade base do STP
69
Estratgia para resolver problemas sobre STP

nos exames
71
77
Imprima uma cpia do Apndice J, "Tabelas de memria", ou pelo menos a seo referente a este captulo, e complete
as tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", inclui tabelas e listas
completas para voc conferir o seu trabalho.
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: porta alternativa,
porta baclcup, Estado de Bloqueio, BRDU Guard, bridge ID, BPDU (bridge protocol data unit), porta designada, porta
desativada, Estado de Descarte, EtherChannel, forward delay, Estado de Encaminhamento, Helio BPDU, IEEE 802.1d,
IEEE 802.1s, IEEE 802.1 w, Helio inferior, Estado de Aprendizado, Estado de Escuta, MaxAge, PortFast, RSTP (Rapid
Spanning Tree Protocol), porta raiz, switch raiz, STP (Spanning Tree Protocol).
referncia para os comandos de configurao e EXEC abordados neste captulo. Na prtica, voc deve memorizar os
comandos como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de preparao para o
exame. Para verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra
o lado esquerdo da tabela com um pedao de papel, leia as descries do lado direito e veja se voc se lembra do
comando.
Comando
Descrio
spanning-tree vlan vlan-number root primary
Comando de configurao global que muda este switch para

switch raiz. A prioridade do switch alterada para o menor
valor entre 24,576 ou 4096 subtrado da prioridade atual da bridge
raiz quando o comando foi emitido
spanning-tree vlan vlan-number root secondary
Comando de configurao global que define a prioridade base

do STP deste switch em 28,672
spanning-tree [vlan vlan-idJ {priority priority}
Comando de configurao global que altera a prioridade da

bridge deste switch para a VLAN especificada
spanning-tree [vlan vlan-number]cost cost
Subcomando de interface que altera o custo do STP para o

valor configurado
channel-group channel-groupnumber mode

{auto I desirable I on}
Subcomando de interface que ativa

o EtherChannel na interface
spanning-tree portfast
Subcomando de interface que ativa o PortFast na interface

spanning-tree bpduguard enable
Subcomando de interface para ativar o BPDU Guard em uma

interface
spanning-tree mode {mst I rapidpvst I pvst}
Comando global para ativar o PVST+ e o 802.1d (pvst), o

PVRST e o 802.1w (rapid-pvst), ou o IEEE 802.1s (mltiplas
spanning trees) e 0802.1 w (mst)
Tabela 2-16 Referncia aos comandos EXEC do Captulo 2

Comando
Descrio
show spanning-tree
Relaciona detalhes sobre o estado do STP no switch, incluindo o estado

de cada porta
show spanning-tree interface interface-id
Relaciona as informaes do STP somente para a porta especificada
show spanning-tree vlan vlan-id
Relaciona as informaes do STP para a VLAN especificada
show spanning-tree [vlan vlan-iJ root
Relaciona as informaes sobre a raiz de cada VLAN ou somente para

a VLAN especificada
show spanning-tree [vlan vlan-iJ bridge
Relaciona as informaes do STP sobre o switch local para cada VLAN

ou somente para a VLAN especificada
debug spanning-tree events
Faz com que o switch fornea mensagens informativas sobre as alteraes

feitas na topologia STP
show etherchannel [channel-group-number] Relaciona as informaes sobre o estado

{brief I detaill port I port-channell summary} dos EtherChannels neste switch
ceNA ICND2
79

seguintes assuntos:
Metodologias generalizadas para resoluo de
problemas: esta seo apresenta discusses e opinies
sobre como abordar problemas de comunicao em rede
quando uma investigao geral do problema no identifica
rapidamente a causa geradora.
Resolvendo problemas do plano de dados do LAN

Switching: esta seo sugere vrios passos organizados
para resolver problemas relacionados LAN Ethernet, com
uma reviso detalhada de comandos e mtodos.
Prevendo a operao normal do plano de dados do LAN

Switching: esta seo sugere como analisar figuras e os
resultados do comando show em switches utilizando um
modelo de LAN com switches para prever para onde um
frame deve ser encaminhado.
CAPTULO
: Resolvendo Problemas de Lan Switching
Este captulo, junto com o Captulo 7, "Resolvendo problemas de roteamento IP", e o Captulo 11, "Resolvendo problemas
em protocolos de roteamento", tem uma funo importante: ajud-lo a desenvolver as habilidades necessrias para
resolver problemas rapidamente e responder com confiana a certos tipos de questes nos exames. Ao mesmo tempo,
espera-se que este captulo possa torn-lo mais preparado para resolver problemas reais de comunicao em rede.
Observao Para entender melhor por que a resoluo de problemas to importante para
os exames, refira-se seo "Formato dos Exames CCNA" na introduo deste livro.
Os captulos relativos resoluo de problemas deste livro no tm o mesmo objetivo principal que os outros captulos.
Colocando de forma simples, os captulos que no tratam da resoluo de problemas se concentram em recursos e fatos
individuais sobre uma rea de tecnologia, enquanto os captulos voltados para a resoluo de problemas renem um
conjunto de conceitos muito mais amplo. Esses captulos, voltados para a resoluo de problemas, investigam mais a
fundo o mundo da comunicao em rede, concentrando-se em como as partes funcionam em conjunto, partindo do
princpio de que voc j conhea os componentes individuais.
Este captulo aborda a mesma tecnologia discutida nos outros captulos pertencentes a esta parte do livro (Captulo 1,
"LANs virtuais", e Captulo 2, "Protocolo Spanning Tree") e os respectivos materiais que so pr-requisitos (conforme
abordados no CCENT/CCNA rCNDI Guia Oficial de Certificao do Exame). Alm disso, como este captulo o
primeiro voltado para a resoluo de problemas neste livro, ele tambm explica alguns conceitos gerais sobre a metodologia
usada para resoluo de problemas.
: Questionrio "Eu j conheo isto?"
Como os captulos voltados para a resoluo de problemas deste livro utilizam conceitos de muitos outros captulos,
incluindo alguns captulos do CCENT/CCNA rCNDI Guia Oficial de Certificao do Exame, e mostram como abordar
algumas das questes mais desafiantes nos exames CCNA, aconselhvel ler esses captulos independentemente do seu
nvel de conhecimento atual. Por tais razes, os captulos voltados para a resoluo de problemas no incluem o questionrio
"Eu j conheo isto?". Entretanto, se voc se sente confiante com relao aos recursos de resoluo de problemas
relacionados a LAN Switching, abordados neste livro e no CCENT/CCNA rCNDI Guia Oficial de Certificao do
Exame, sinta-se vontade para passar direto seo "Atividades de preparao para o exame", prxima ao final deste
captulo, saltando assim boa parte do captulo.
Metodologias generalizadas para resoluo de problemas
Tpicos fundamentais
Este captulo composto de trs sees principais. A primeira seo se concentra no processo de resoluo de problemas
como objetivo principal. A segunda seo explica como aplicar os mtodos gerais de resoluo de problemas,
especificamente a um plano de dados do LAN Switching. A ltima seo apresenta algumas dicas e idias sobre tipos
especficos de problemas relacionados a LAN Switching.
Observao As estratgias e os mtodos genricos para resoluo de problemas aqui

descritos representam os meios para se chegar a um fim. No necessrio estudar esses
82 Captulo 3: Resolvendo Problemas de Lan Switching

processos ou memoriz-los para os propsitos do exame. Pelo contrrio, esses processos
podem ajud-lo a raciocinar sobre os problemas do exame para que voc possa responder s
questes com um pouco mais de rapidez e confiana.
Quando deparado com a necessidade de resolver um problema de comunicao em rede, todo mundo utiliza algum tipo
de metodologia para resoluo de problemas, seja ela formal ou informal. Algumas pessoas gostam de comear verificando
o cabeamento fsico e o status das interfaces de todos os links fsicos que pudessem afetar o problema. Outras gostam de
comear juntando tudo que pudesse lhes dizer mais sobre o problema e depois ir mais a fundo nos detalhes. Outras
chegam a tentar o que vier mente at que, intuitivamente, descubram o problema geral. Nenhum desses mtodos
inerentemente bom ou ruim; j tentei todos esses mtodos, e outros mais, e at obtive algum sucesso com cada tipo de
abordagem.
Embora a maioria das pessoas desenvolva hbitos e estilos de resolver problemas que funcionam bem com base em suas
prprias experincias e pontos fortes, uma metodologia mais sistemtica para resoluo de problemas pode ajudar qualquer
pessoa a aprender como resolver problemas e obter maior sucesso. As sees a seguir descrevem uma dessas metodologias
sistemticas de resoluo de problemas com o propsito de ajud-lo a se preparar para resolver problemas relacionados
comunicao em rede nos exames CCNA. Essa metodologia de resoluo de problemas possui trs ramificaes
principais, que geralmente ocorrem na ordem mostrada a seguir:
- Analisar/prever a operao normal: a descrio e a previso dos detalhes do que deve acontecer se a rede estiver
funcionando corretamente, com base em documentao, na configurao e no resultado dos comandos show e
debug.
- Isolar o problema: quando algum possvel problema esti ver acontecendo, descubra os componentes que no funcionam
corretamente em comparao com o comportamento previsto, baseado novamente em documentao, na
configurao e nos resultados dos comandos show e debug.
- Analisar a causa geradora: identifique as causas por trs dos problemas identificados no passo anterior,
especificamente as causas que possuem uma ao especfica com a qual o problema possa ser resolvido.
Seguindo esses trs passos, o engenheiro dever saber como consertar o problema, e no s os sintomas do problema. A
seguir, o texto explica algumas idias sobre como abordar cada passo do processo de resoluo de problemas.
Analisando e prevendo a operao normal da rede

A funo de qualquer rede entregar dados de um dispositivo do usurio final para outro. Para analisar uma rede, o
engenheiro precisa entender a lgica utilizada por cada dispositivo consecutivo medida que ele encaminha os dados ao
prximo dispositivo. Ao raciocinar sobre o que deve acontecer em cada dispositivo, o engenheiro consegue descrever o
fluxo inteiro de dados.
O termo plano de dados se refere a qualquer ao tomada pelos dispositivos de rede para o encaminhamento de um
frame ou pacote individual. Para encaminhar cada frame ou pacote, o dispositivo aplica ao frame ou ao pacote sua lgica
e seus processos referentes ao plano de dados. Quando o switch de uma LAN, por exemplo, recebe um frame em uma
interface na VLAN 3, ele tomar uma deciso de encaminhamento com base nas entradas feitas na VLAN 3 na tabela
de endereos MAC e encaminhar o pacote. Toda essa lgica faz parte do processamento do plano de dados de um
switch.
O termo plano de controle se refere aos processos que no precisam ser realizados para cada pacote ou frame. Pelo
contrrio, alguns processos do plano de controle do suporte ao processo de encaminhamento. O VTP (VLAN Trunking
Protocol) e os protocolos de roteamento IP so exemplos de processos de plano de controle. Outros processos de plano
de controle s podem estar indiretamente relacionados ao plano de dados. Por exemplo, o CDP (Cisco Discovery Protocol)
pode ser til para confrrmar a exatido da documentao da rede, mas pode ser desativado sem nenhum efeito sobre os
processos de encaminhamento do plano de dados.
Para prever a operao esperada de uma rede, ou para explicar os detalhes de como uma rede em funcionamento normal
est operando no momento, aconselhvel comear investigando o plano de controle ou o plano de dados. Este texto
mostra, primeiro, o plano de dados, mas na vida real voc pode escolher um ou outro com base nos sintomas conhecidos
do problema.
CCNA ICND2
83
Anlise do plano de dados

A resoluo de problemas do plano de dados examina cada dispositivo pertencente ao trajeto de encaminhamento esperado
para aqueles dados, na ordem. A anlise comea com o host criando os dados originais. Este host envia os dados para
algum outro dispositivo, que, em seguida, envia os dados para outro dispositivo, e assim por diante, at que os dados
alcancem o host na extremidade fmal. O host que recebe os dados normalmente envia algum tipo de resposta; portanto,
para entender completamente como acontecem essas comunicaes, necessrio analisar o processo inverso tambm.
De modo especial, os sintomas externos do problema normalmente identificam dois dispositivos do usurio final que no
podem se comunicar, mas o problema que existe por trs disso tudo pode estar relacionado somente a frames ou pacotes
que seguem em um nico sentido.
A no ser que os sintomas de um determinado problema j sugiram anteriormente em um problema especfico, a resoluo
de problemas do plano de dados deve comear com uma anlise do plano de dados da Camada 3. Se voc comear com a
Camada 3, conseguir ver os passos principais no envio e no recebimento de dados entre dois hosts. Em seguida, voc pode
examinar mais de perto cada passo de encaminhamento da Camada 3, observando os detalhes das Camadas 1 e 2. Por
exemplo, a Figura 3-1 mostra os seis principais passos de encaminhamento IP (plano de dados) em uma pequena rede.
Figura 3-1 Principais passos em um exemplo de encaminhamento IP
Para entender o comportamento esperado da Camada 3 neste caso, voc precisaria considerar como o pacote foi da
esquerda para a direita e como a resposta flui da direita para a esquerda. Utilizando os seis passos apresentados na
figura, pode-se fazer a seguinte anlise:
Passo 1 Pense no endereo IP e na mscara do PCl , no endereo IP e na mscara do PC2 e na lgica do PCl para
entender que PC2 est em outra sub-rede. Isso faz com que PCl escolha enviar o pacote para a sua porta de
comunicao padro (RI).
Passo 2 Considere a lgica de encaminhamento de RI para combinar o endereo IP de destino do pacote com a tabela
de roteamento de RI, com a expectativa de que RI escolha enviar o pacote para R2 em seguida.
Passo 3 Em R2, considere a mesma lgica de combinao da tabela de roteamento utilizada em RI no passo anterior,
utilizando a tabela de roteamento de R2. A entrada que combina deve ser uma rota conectada em R2.
Passo 4 Este passo diz respeito ao pacote de respostas do PC2, que utiliza a mesma lgica bsica do Passo 1.
Compare o endereo IP/mscara do PC2 com o endereo IP do PCl , observando que eles esto em sub-redes
diferentes. Em conseqncia disso, PC2 deve enviar o pacote para a sua porta de comunicao padro, ou seja, R2.
Passo 5 Considere a lgica de encaminhamento de R2 para pacotes destinados ao endereo IP de PCl, com a
expectativa de que a rota que combina faa com que R2 envie esses pacotes para RI em seguida.
Passo 6 O ltimo passo do roteamento, em RI, deve mostrar que um pacote destinado ao endereo IP de PCl
combina com uma rota conectada em RI , o que faz com que RI envie o pacote diretamente ao endereo MAC de
PC L
Depois de ter entendido bem os comportamentos esperados de cada passo na Camada 3, possvel examinar mais de
perto a Camada 2. Seguindo a mesma ordem novamente, voc pode dar uma olhada mais de perto no primeiro passo
referente ao roteamento da Camada 3 na Figura 3-1 (PCl enviando um pacote a RI), examinando os detalhes das
Camadas 1 e 2 sobre como o frame enviado por PCl para ser entregue a RI, conforme mostrado na Figura 3-2.

Figura 3-2 Principais passos no exemplo de encaminhamento de IAN Switching
Para essa anlise, voc novamente comearia com PC 1, desta vez considerando o cabealho e o trailer Ethernet, principalmente
os endereos MAC da fonte e do destino. Em seguida, no Passo 2, voc consideraria a lgica de encaminhamento de SW1,
que compara o endereo MAC de destino do frame com a tabela de endereos MAC de SW1, dizendo a SW1 para
encaminhar o frame at SW2. Os Passos 3 e 4 repetiriam a lgica do Passo 2 de SW2 e SW3, respectivamente.
Anlise do plano de controle

Muitos processos do plano de controle afetam diretamente o processo do plano de dados. Por exemplo, o roteamento IP
no pode funcionar sem as rotas IP adequadas, e, por isso, os roteadores utilizam um protocolo de roteamento dinmico
- um protocolo de plano de controle - para aprender as rotas. Os protocolos de roteamento so considerados protocolos
de plano de controle parciais porque o trabalho realizado por um protocolo de roteamento no tem de ser repetido para
cada frame ou pacote.
Embora os processos do plano de dados se entreguem a um processo de resoluo de problemas um pouco mais genrico
examinando a lgica de encaminhamento em cada dispositivo, os processos do plano de controle diferem muito uns dos
outros. Com isso, difcil acontecer um processo generalizado para resoluo de problemas. Entretanto, convm considerar
um conjunto especfico de passos para resoluo de problemas para cada protocolo especfico do plano de controle. O
Captulo 1, por exemplo, explica como abordar a resoluo de vrios tipos de problemas sobre VTP.
Prevendo operaes normais: resumo do processo

Nos exames, algumas questes vo simplesmente pedir que voc analise e preveja a operao normal de uma rede de
trabalho. Em outros casos, prever o comportamento normal simplesmente um precursor para isolar e resolver um
problema. Independentemente disso, se a questo no lhe d nenhuma dica especfica sobre a parte da rede na qual voc
deve se concentrar, a lista a seguir apresenta o resumo de uma abordagem sugerida para encontrar as respostas:
Passo 1 Examine o plano de dados da seguinte forma:
a. Determine os principais passos da Camada 3 - incluindo o host de origem at o roteador padro, cada roteador at
o prximo roteador, e o ltimo roteador at o host de destino - em ambos os sentidos.
b. Para cada rede de Camada 2 entre um host e um roteador ou entre dois roteadores, analise a lgica de
encaminhamento para cada dispositivo.
Passo 2 Examine o plano de controle da seguinte forma:
a. Identifique os protocolos do plano de controle que so utilizados e so essenciais para o processo de encaminhamento.
b. Examine cada protocolo essencial de plano de controle para que se tenha uma operao adequada; os detalhes
dessa anlise diferem para cada protocolo.
c. Adie qualquer anlise dos protocolos do plano de controle que no afetem a operao correta do plano de dados at
que voc consiga perceber claramente a necessidade de ter o protocolo para responder quela questo (por
exemplo, CDP).
Isolamento do problema
O processo de resoluo de problemas raramente um processo seqencial. Para frns de organizao, este captulo
relaciona o isolamento de problemas como o segundo dos trs passos utilizados para resoluo de problemas. Entretanto,
.'
CCNA ICND2
85
este passo mais provvel de acontecer assim que o primeiro passo (prevendo o comportamento normal) encontrar um
problema. Portanto, embora as listas genricas mostradas nesta seo ajudem a oferecer uma estrutura sobre como
resolver problemas, na prtica pode ser um pouco mais complicado.
Quando voc no tiver idia de como proceder, a no ser, talvez, o fato de que dois hosts no conseguem se comunicar,
novamente melhor comear com o plano de dados da Camada 3 - em outras palavras, a lgica de encaminhamento IP.
Em seguida, quando encontrar um passo de encaminhamento IP que no funcione, examine este passo mais de perto para
isolar ainda mais onde o problema est ocorrendo. Considere, por exemplo, a Figura 3-1 novamente, que mostra um
pacote sendo entregue de PC1 a PC2, e vice-versa, em seis passos de roteamento. Neste caso, entretanto, voc determina
que R2 receba o pacote, mas o pacote nunca entregue a PC2. Portanto, olhe mais de perto todo o processo de R2 atPC2 para isolar ainda mais o problema.
Depois de isolar o problema em um nico passo de encaminhamento IP (como mostrado na Figura 3-1), voc deve
continuar isolando ainda mais o problema at chegar ao menor nmero possvel de componentes. Por exemplo, se R2
recebe o pacote, mas PC2 no, o problema pode estar em R2, SW4, SW5, PC2, no cabeamento, ou possivelmente em
dispositivos deixados de fora da documentao da rede.
O processo utilizado para isolar ainda mais o problema normalmente requer pensar nas funes em vrias camadas
do modelo OSI, bem como nas funes do plano de dados e do plano de controle. Continuando com o mesmo
cenrio do problema-modelo, para conseguir encaminhar pacotes at PC2, R2 precisar saber o endereo MAC de
PC2 conforme este foi aprendido atravs do ARP (Address Resolution Protocol, ou Protocolo de Resoluo de
Endereos). Se descobrir que R2 no possui uma entrada ARP em PC2, possvel que voc seja tentado a pensar
que exista algum tipo de problema relacionado a IP. Entretanto, esse problema pode ser causado pelo nofuncionamento do trunk SW4-SW5, o que significa que a solicitao ARP do IP de R2 - um broadcast na LAN no pode ser entregue a SW5 por SW4, e, depois, a PC2. Portanto, o problema com o processo de encaminhamento
do pacote de R2 para PC2 pode estar relacionado a um protocolo de controle (ARP), mas a solicitao ARP que
falhou pode ser causada ainda por outros dispositivos (a inatividade do trunk SW4-SW5), que podem muito bem ser
um problema de Camada 2 ou de Camada 1.
Se uma questo do exame no lhe der nenhuma dica sobre onde comear, o processo a seguir apresenta um resumo de
uma boa estratgia geral e sistemtica para isolar o problema:
Passo 1 Comece examinando o plano de dados da Camada 3 (encaminhamento IP), comparando os resultados com o
comportamento normal e esperado, at identificar o primeiro passo que falhar no roteamento.
Passo 2 Isole o problema ainda mais at chegar ao menor nmero possvel de componentes:
a. Examine as funes em todas as camadas, mas concentre-se nas Camadas 1, 2 e 3.
b. Examine as funes do plano de dados e do plano de controle.
Nos exames, lembre-se de que voc no ganha pontos extras por usar bons mtodos de resoluo de problemas;
portanto, simplesmente encontre a resposta da forma que puder, mesmo que isso signifique que voc tenha usado um
pouco de adivinhao com base no contexto da questo. Por exemplo, o processo sugerido no Passo 2A diz para
concentrar-se nas Camadas 1, 2 e 3; essa sugesto baseada no fato de que os exames CCNA concentram
principalmente nessas trs camadas. Mas voc deve procurar usar atalhos em tal processo tanto quanto possvel com
base no que a questo apresenta.
Anlise da causa geradora

O ltimo dos trs passos, ou seja, a anlise da causa geradora, tenta finalizar o processo de resoluo de problemas para
identificar o dispositivo e a funo especficos que precisam ser resolvidos. A causa geradora a verdadeira razo pela
qual o problema ocorreu e, ainda mais importante, a funo que, quando consertada, resolve aquele determinado
problema.
Encontrar a causa geradora extremamente importante porque ela, ao contrrio de muitos problemas identificados
atravs do processo de isolamento de problemas, possui uma soluo especfica associada a ela. Por exemplo, continuando
o mesmo problema em que R2 no consegue encaminhar pacotes para PC2, considere a lista de problemas identificados
atravs do isolamento de problemas:

- R2 no consegue encaminhar pacotes para PC2.
- R2 no recebe nenhuma resposta ARP de PC2.
- A interface de SW4 para o trunk com SW5 est em estado inativo/inativo.
- O cabo utilizado entre SW4 e SW5 utiliza os pinos de cabeamento errados.
Todas essas afirmativas podem ser verdadeiras com relao ao cenrio de um problema em particular, mas somente o
ltimo item apresenta uma soluo bvia e factvel (substituir por um cabo corretamente ligado). Embora as outras
afirmativas sejam fatos vlidos e importantes descobertos durante o isolamento do problema, elas no identificam a ao
especfica a ser tomada para resolver o problema. Em conseqncia disso, a anlise da causa geradora se reduz a duas
afirmativas simples:
Passo 1 Continue isolando o problema at identificar a verdadeira causa geradora, que, por sua vez, apresente uma
soluo bvia.
Passo 2 Se no puder reduzir o problema sua verdadeira causa geradora, isole o problema o tanto quanto possvel,
e mude algo na rede que possivelmente faa mudar os sintomas e ajud-lo a identificar a causa geradora.
o mundo real
versus os exames
No exame, voc deve procurar dicas sobre o tpico geral em relao ao qual voc precisa realizar parte do processo de
resoluo de problemas. Se a figura, por exemplo, mostrar uma rede como a da Figura 3-1, mas todas as respostas de mltipla
escolha se referirem a VLANs e VTP, comece observando o ambiente de LAN. Observe que, ainda assim, talvez valha a pena
considerar as Camadas de 1 a 3, e os detalhes dos planos de dados e de controle, para ajud-lo a encontrar as respostas.
Observao
Esta seo se aplica resoluo de problemas de forma geral, mas includa
apenas neste captulo porque este o primeiro captulo do livro dedicado a resoluo de
problemas.
Resolvendo problemas do plano de dados de LAN

Switching
As estratgias genricas para resoluo de problemas explicadas at ento neste captulo sugerem comear com o
processo de roteamento IP na Camada 3. Se o engenheiro identificar um problema em um determinado passo do processo
de encaminhamento IP, o prximo passo dever ser examinar mais de perto aquele passo do roteamento, incluindo a
observao do status da Camada 1 e 2.
As sees a seguir examinam as ferramentas e os processos utilizados para resolver problemas encontrados nos processos
do plano de dados de LANs nas Camadas 1 e 2. O restante deste captulo considera que no exista nenhum problema na
Camada 3; os Captulos de 7 a 11 examinam a resoluo de problemas da Camada 3. Este captulo tambm faz algumas
referncias aos protocolos do plano de controle, especificamente o VTP e o STP (Spanning Tree Protocol). Mas o VTP
e o STP j foram bastante abordados nos dois captulos anteriores. Portanto, essas sees concentram-se especificamente
no plano de dados de LAN Switching.
Essas sees comeam com uma reviso dos processos de encaminhamento dos switches de LAN s e uma introduo
aos quatro principais passos do processo de resoluo de problemas de LAN Switching, como sugerido neste captulo.
Em seguida, o texto examina cada um desses quatro passos em seqncia. Por ltimo, apresentado um exemplo de
como aplicar o processo de resoluo de problemas.
Viso geral do processo normal de encaminhamento dos switches

O processo de encaminhamento dos switches, descrito em detalhe no CCENT/CCNA ICNDJ Guia Oficial de
Certificao do Exame, no Captulo 7, relativamente simples. Entretanto, antes de dar uma olhada mais de perto em
como utilizar o resultado do comando show para prever a operao normal e isolar a causa geradora de um problema de
encaminhamento, aconselhvel revisar o que um switch pensa sobre o processo de encaminhamento quando no existe
nenhum problema. Os seguintes passos do processo esboam essa lgica:
CCNA ICND2
87
Passo 1 Determine a VLAN na qual o frame deve ser encaminhado, da seguinte forma:
a. Se o frame chega em uma interface de acesso, utilize a VLAN de acesso da interface.

b. Se o frame
ch~ga
em uma interface de trunk, utilize a VLAN listada no cabealho do trunking do frame.
Passo 2 Se a interface de entrada estiver no Estado STP de Encaminhamento ou de Aprendizado naquela VLAN,
acrescente o endereo MAC da fonte tabela de endereos MAC, com a interface de entrada e o VLAN ID
(caso j no esteja na tabela).
Passo 3 Se a interface de entrada no estiver em Estado STP de Encaminhamento naquela VLAN, descarte o frame.
Passo 4 Procure o endereo MAC de destino do frame na tabela de endereos MAC, mas somente para as entradas
feitas na VLAN identificada no Passo 1. Se o MAC de destino for encontrado ou no, faa da seguinte forma:
a. Encontrado: encaminhe o frame atravs da nica interface listada na entrada compatvel da tabela de endereos
b. No-encontrado: distribua o frame atravs de todas as portas de acesso naquela mesma VLAN que estejam em
Estado STP de Encaminhamento e atravs de todas as portas trunk que listem essa VLAN como completamente
aceita (na lista permitida, Encaminhamento STP ativo no-suprimido)
Para encaminhar um frame, um switch deve primeiramente determinar em qual VLAN o frame deve ser encaminhado
(Passo 1), aprender os endereos MAC da fonte conforme necessrio (Passo 2), e, em seguida, escolher para onde
encaminhar o frame. S para confirmar se o processo est claro, considere um exemplo utilizando a Figura 3-3, no qual
PC1 envia um frame sua porta de comunicao padro, R1, com os endereos MAC mostrados na figura.
Figura 3-3 Rede com switches utilizada na anlise no Captulo 3
0200.1111.1111
VLAN de acesso 3
FaOl10
FaOl1
0200.0101.0101
Neste caso, considere o frame como enviado de PC1 (MAC da fonte 0200.1111.1111) para R1 (MAC de destino
0200.0101.0101). SW1, utilizando o Passo 1 do resumo da lgica de encaminhamento, determina se a interface FaO/11
est operando como uma interface de acesso ou de trunk. Nesse caso, uma interface de acesso atribuda VLAN 3.
No Passo 2, SW1 acrescenta uma entrada sua tabela de endereos MAC, listando o endereo MAC 0200.1111.1111, a
interface FaO/11 e a VLAN 3. No Passo 3, SW1 confirma que a interface de entrada, FaO/11, est em Estado STP de
Encaminhamento. Finalmente, no Passo 4, SW1 procura uma entrada com o endereo MAC 0200.0101.0101 na VLAN
3. Se SW1 encontrar uma entrada que liste a interface GigabitO/1, ele encaminha o frame somente atravs de GiO/1. Se
a interface de sada (GiO/1) for uma interface de trunk, SW1 acrescenta um cabealho de trunking de VLAN que lista a
VLAN 3 e o VLAN ID determinado no Passo 1.
Como outro exemplo um pouco diferente, considere um broadcast enviado por PC1. Os Passos de 1 a 3 ocorrem como
antes, mas no Passo 4, SW1 distribui o frame. No entanto, SW3 s distribui o frame atravs das portas de acesso na
VLAN 3 e das portas de trunk que aceitam VLAN 3, com a restrio de que SW1 no encaminhar uma cpia do frame
atravs das portas que no estejam em Estado STP de Encaminhamento.
Embora essa lgica de encaminhamento seja relativamente simples, o processo de resoluo de problemas requer a
aplicao de quase todos os conceitos relacionados a LANs encontrados nos livros ICND1 e ICND2, alm de outros
tpicos tambm. Ao saber, por exemplo, que PC1 envia primeiramente frames a SW1, faz sentido verificar o status da
interface, assegurar-se de que a interf~ce esteja funcionando perfeitamente e consertar o problema da interface, caso ela .
no esteja funcionando corretamente. E possvel que dezenas de itens precisem ser verificados para resolver um problema .
Portanto, este captulo sugere um processo de resoluo de problemas para o plano de dados de uma LAN organizando
as aes em quatro passos principais:
Passo 1 Confirme os diagramas de rede utilizando CDP.

Passo 2 Isole os problemas das interfaces.
Passo 3 Isole problemas de filtragem e de segurana de portas.
Passo 4 Isole problemas de VLANs e de trunking.
As quatro prximas sees revisam e explicam os conceitos e ferramentas usados para executar cada um desses quatro
passos. Embora alguns fatos e algumas informaes sejam novos, a maioria dos conceitos especficos existentes por trs
do processo j foi abordada, seja no CCENT/CCNA ICNDI Guia Oficial de Certificao do Exame ou nos Captulos
1 e 2 deste livro. O principal objetivo ajud-lo a juntar todos os conceitos para que a anlise de cenrios especficos como ser necessrio nos exames - demore um pouco menos com uma maior chance de sucesso.
Observao As duas prximas sees, "Passo 1: Confirme os diagramas utilizando CDP",
e ''Passo 2: Isole os problemas das interfaces", so abordadas no Captulo 10 do livro ICND1.
Se estiver lendo os dois livros para se preparar para o exame CCNA, no necessrio ler
essas sees deste captulo nem as sees que recebem ttulos parecidos no Captulo 10 do
ICND1. Se estiver lendo os dois livros, sinta-se vontade para passar direto para a seo
"Passo 3: Isole problemas de r.Jtragem e de segurana de portas".
Passo 1: Conftrme os diagramas de rede utilizando CDP
O CDP (Cisco Discovery Protocol) pode ser til para verificar as informaes contidas nos diagramas de rede bem como
para completar o resto das informaes necessrias sobre os dispositivos e a topologia. Na vida real, os diagramas de
rede podem ser antigos e estar desatualizados, podendo acarretar problemas porque algum trocou algum cabo e no
atualizou os diagramas. Duvido que a Cisco criasse uma questo com informaes propositalmente incorretas na figura
associada questo, mas o exame pode facilmente incluir questes para as quais o diagramas de rede no apresentem
todas as informaes necessrias e voc pode ter de utilizar o CDP para encontrar o resto dos detalhes. Portanto, esta
seo revisa o CDP, e, para isso, um bom primeiro passo para resoluo de problemas do plano de dados de uma LAN
o seguinte:
Passo 1 Verifique a exatido e complete as informaes apresentadas no diagrama de rede utilizando o CDP.
Observao Este captulo mostra uma srie de passos numerados para a resoluo de
problemas de LAN Switching, comeados aqui com o Passo 1. Os passos e suas numeraes
no so importantes para o exame; os passos so numerados neste captulo para facilitar a
referncia.
Os roteadores, switches e outros dispositivos Cisco utilizam o CDP por vrias razes, mas os roteadores e os switches o
utilizam para anunciar informaes bsicas sobre cada um deles aos seus vizinhos - informaes como, por exemplo, o
hostname, o tipo de dispositivo, a verso do lOS e os nmeros das interfaces. Trs comandos em particular apresentam
as informaes do CDP adquiridas dos vizinhos, conforme mostrado na Tabela 3-1. De fato, em casos em que no exista
nenhum diagrama, o engenheiro poderia criar um diagrama de roteadores e switches utilizando o resultado do comando
show cdp.
Tabela 3-1 Comandos show cdp que apresentam informaes sobre vizinhos
Comando
Descrio
show cdp neighbors [type number]
Apresenta uma linha de resumo com as informaes sobre cada vizinho

ou simplesmente o vizinho encontrado em uma interface especfica caso
seja listada uma interface
CCNA ICND2
show cdp neighbors detail
89
Apresenta um conjunto grande de informaes (aproximadamente 15

linhas), um conjunto para cada vizinho
. --------------------------------------------------------------
show cdp entry name
--------------------------------------------------------
A nica parte complicada do processo de comparao do resultado do CDP com um diagrama que o resultado relaciona
duas interfaces ou portas em vrias linhas. Lendo da esquerda para a direita, o resultado normalmente apresenta o host
name do dispositivo vizinho sob o ttulo de "Device ID" ("ID do Dispositivo"). Entretanto, o ttulo seguinte "Local
Intrfce", que significa "interface local", o nome/nmero da interface do dispositivo local. O nome/nmero da interface
do dispositivo vizinho fica no lado direito do resultado do comando sob o ttulo de "Port ID". O Exemplo 3-1 apresenta um
exemplo do comando show cdp neighbors de SW2 na Figura 3-3. Compare as partes sombreadas do resultado do
comando com os detalhes incorretos na Figura 3-3 para ver quais campos listam as interfaces para quais dispositivos.
Exemplo 3-1 Exemplo de comando show cdp
Apresenta as mesmas informaes do comando show cdp neighbors

detail, mas apenas para o vizinho cujo nome foi indicado
SW2#show cdp neighbors

Capability Codes:

S - Switch, H - Host , 1 - lGMP , r - Repeater,
oevi ce 10
Lo ca l
lntrfc e
SW1
Gig 0 / 2
RI
Fas 0 / 10
139
P - Phone
Holdtme
Capability
Platform
Port 10
173
S 1
WS-C2960-2
Gig 0 / 1
R S 1
1841
Fas 0/1
O CDP, quando ativado, cria uma exposio de segurana. Para evitar essa exposio, que pode permitir que um hacker
saiba dos detalhes sobre cada switch, o CDP pode ser facilmente desativado. A Cisco recomenda que o CDP seja ativado
em todas as interfaces que no necessitem dele especificamente. As interfaces mais provveis que precisam utilizar o
CDP so as interfaces conectadas a outros roteadores ou switches Cisco e as interfaces conectadas a telefones Cisco
IP. Do contrrio, o CDP pode ser desativado por interface utilizando o subcomando de interface no cdp enable. (O
subcomando de interface cdp enable reativa o CDP). O comando global no cdp run desativa o CDP para o switch
inteiro, e o comando global cdp run reativa o CDP globalmente.
Passo 2: Isole os problemas das interfaces

A interface de um switch Cisco deve estar em estado de funcionamento para que o switch possa processar frames
recebidos na interface ou enviar frames atravs desta interface. Um passo um tanto bvio na resoluo de problemas
deve ser examinar o estado de cada interface, especificamente aquelas que se espera que sejam utilizadas para encaminhar
frames, e verificar se as interfaces esto funcionando perfeitamente.
Esta seo examina os possveis estados das interfaces em um switch Cisco baseado no lOS, apresenta as causas
geradoras para estados de no-funcionamento e aborda um problema comum que ocorre mesmo quando a interface
parece estar em estado de funcionamento. As tarefas especficas para este passo podem ser resumidas atravs dos
seguintes passos de resoluo de problemas:
Passo 2 Verifique a existncia de problemas nas interfaces da seguinte forma:

a. Determine o cdigo de status da interface para cada interface necessria e, se no estiver em estado connect
(conectado) ou ativo/ativo (up/up), resolva os problemas at que a interface atinja o estado connect ou ativo/ativo.
b. Para interfaces que estejam em estado connect (ativo/ativo), verifique tambm a existncia de dois outros problemas:
erros de combinao duplex e algumas variaes de segurana de portas que propositalmente entregam frames.
Cdigos de status de interfaces e razes para os estados de no-funcionamento

Os switches Cisco utilizam dois conjuntos diferentes de cdigos de status: um conjunto de dois cdigos (palavras), que
utiliza as mesmas convenes dos cdigos de status de interfaces de roteadores, e outro conjunto com um nico cdigo
(palavra). Ambos os conjuntos de cdigos de status podem determinar se uma interface est funcionando.
Os comandos de switches show interfaces e show interfaces description apresentam o status formado pelos dois cdigos assim
como roteadores. Os dois cdigos so chamados de status de linha (tine status) e status de protocolo (protocol status), onde os
cdigos geralmente se referem ao fato de a Camada 1 ou a Camada 2 estarem funcionando, respectivamente. As

interfaces de switches de uma LAN normalmente mostram uma interface com os dois cdigos "up"(ativos) ou os dois
cdigos "down" (inativos), pois todas as interfaces dos switches utilizam os mesmos protocolos de enlace Ethernet;
portanto, o protocolo de camada de enlace nunca dever apresentar problema.
----------------------------------------------------Observao Este livro se refere a esses dois cdigos de status resumidamente listando .
somente os dois cdigos com uma barra entre eles; por exemplo, ''up/up''(ativo/ativo).
------------~--------------~--~~~~---------- .
o comando show interfaces status apresenta um nico cdigo de status de interface. Esse nico cdigo de status de
interface corresponde a combinaes diferentes dos cdigos de status de interfaces tradicionais, formados por dois
cdigos, e pode ser facilmente correlacionado queles cdigos. O comando show interfaces status, por exemplo,
apresenta um estado "connect" (conectado) para interfaces em funcionamento, que corresponde ao estado "up/up"
(ativo/ativo) visto nos comandos show interfaces e show interfaces description.
Qualquer estado da interface, que no sejam os estados connect ou ativo/ativo, significa que o switch no consegue
encaminhar ou receber frames naquela interface. Cada estado de interface que no esteja funcionando tem um pequeno
conjunto de causas geradoras. Alm disso, observe que os exames poderiam facilmente fazer uma pergunta que mostrasse
somente um ou outro tipo de cdigo de status; portanto, para estar preparado para os exames, saiba os significados dos
dois conjuntos de cdigos de status de interfaces. A Tabela 3-2 apresenta as combinaes de cdigo e algumas causas
geradoras que poderiam ter provocado um status de interface especfico.
/;~;;~o
Tabela 3-2 Cdigos de status de interfaces de switches de uma LAN

Status de linha
Status de protocolo
(Line Status)
(protocol Status)
admin. inativo
(admin down)
inativo (down)
Status de interface
desati vado (disabled)
Tpica causa geradora
'. Chave
....
Interface configurada com o comando
shutdown
inativo (down)
inativo (down)
no-conectado (not connect)
ativo (up)
inativo (down)
no-conectado (not connect)
No esperado em interfaces dos

switches de uma LAN
inativo (down)
inativo (down)
(desativado para erros)

(err-disabled)
desativado para erros (err-disabled)

A segurana das portas (port security)
desativou a interface
ativo (up)
ativo (up)
conectado (connect)
A interface est funcionando
Nenhum cabo; cabo ruim; pinos do

cabo errados; velocidades inadequadas
nos dois dispositivos conectados;
dispositivo na outra extremidade do
cabo est desligado ou a outra
interface est fechada
Estado notconnect e pinagem do cabeamento

A Tabela 3-2 apresenta vrias razes pelas quais a interface de um switch pode estar no estado notconnect. A maioria
dessas razes no precisa de muito mais explicao do que o que j se encontra no texto da tabela. Se uma interface, por
exemplo, estiver conectada a outro switch, e a interface estiver em estado notconnect, verifique o outro switch para saber
se a interface dele foi desativada (shutdown). No entanto, uma das razes para o estado notconnect - pinagem dos cabos
incorretos - merece um pouco mais de ateno por ser um erro comum e por no ser abordado neste livro. (pinagem do
cabeamento Ethernet so abordados no Captulo 3 do CCENT/CCNA fCNDi Guia Oficial de Certificao do Exame.)
Os padres de cabeamento UTP (Unshielded Twisted Pair, ou Par Tranado sem Blindagem) Ethernet especificam os
pinos aos quais cada um dos fios deve se conectar nos conectores RJ/45 nas extremidades do cabo. Os dispositivos
transmitem utilizando pares de fios, em que o lOBASE-T e o lOOBASE-Tx utilizam dois pares: um para transmitir e um
CCNA ICND2
91
para receber dados. Ao conectar dois dispositivos que utilizam o mesmo par de pinos para transmitir, o cabo - um cabo
de cross over - deve conectar ou cruzar os fios conectados ao par de transmisso de cada dispositivo at o par de
recepo do outro dispositivo. Do contrrio, dispositivos que j utilizem pares opostos para transmisso de dados precisam
de um cabo contnuo (cabo straight-through) que no cruze os pares. A Figura 3-4 mostra um exemplo de uma LAN
tpica de switches, mostrando os tipos de pinagem do cabeamento.
/~~~~o
:, Chave
Figura 3-4 Exemplo de uso de cabos de cross over e contnuos (straight-through)
...
Prdio 2
Prdio 1
_ _+-_ Cabos Contnuos - - 1 - -__
Cabos de
Cabos
1 - - - - Contnuos
Uma resoluo de problemas eficaz requer o conhecimento de quais dispositivos transmitem em quais reas. A Tabela 33 apresenta os dispositivos mais comuns vistos no contexto do CCNA, junto com os pares utilizados. Observe que ao
conectar dois tipos de dispositivos da mesma coluna, necessrio um cabo de cross over; ao conectar dois dispositivos de
colunas diferentes da tabela, necessrio um cabo contnuo (straight-through).
/~:~;~o
:,Chave
Tabela 3-3 Pares de pinos 1OBA SE- T e 1OOBASE-Tx utilizados
...
Dispositivos que transmitem em 1,2 e recebem em 3,6
Dispositivos que trammitem em 3,6 e recebem em 1,2
NlCs do PC
Hubs
Roteadores
Switches
Pontos de acesso sem fio AP (wireless access points)

(interface Ethernet)
Impressoras de rede conectadas a Ethernet
Questes sobre a velocidade da interface e do duplex

As interfaces de switches podem encontrar suas definies de velocidades e duplex de vrias formas. De acordo com o
padro, as interfaces que utilizam fiao de cobre e so capazes de mltiplas definies de velocidades e duplex utilizam
o processo de negociao automtica do padro IEEE (IEEE 802.3x). Por outro lado, interfaces de switches, roteadores
e a maior parte dos NlCs (Network Inteiface Cards, ou cartes de interface da rede) tambm podem ser configurados
para utilizar uma velocidade especfica ou uma definio de duplex especfica. Em switches e roteadores, o subcomando
de interface speed {lO 1100 11000} com o subcomando de interface duplex {balf 1 full} definem esses valores.
Observe que configurar a velocidade e o duplex em uma interface do switch desativa o processo de negociao automtica
do padro IEEE naquela interface.
Os comandos sbow interfaces e sbow interfaces status apresentam as definies de velocidade e duplex em uma
interface, conforme mostrado no Exemplo 3-2.
Exemplo 3-2 Exibindo as definies de velocidade e duplex em inteifaces de switches

SW1# show interfaces status
Port
Name
Status
Vlan
Duplex
Speed
Type
FaO / l
notconnect
auto
auto
lO / lOOBaseTX
FaO / 2
notconnect
auto
auto
lO / lOOBaseTX
FaO / 3
notconnect
auto
auto
lO / lOOBaseTX

FaO/4
connected
a-full
a-100
10/100BaseTX
FaO/5
connected
a-full
a-100
10/100BaseTX
FaO/6
notconnect
auto
auto
10/100BaseTX
FaOI7
notconnect
auto
auto
10/100BaseTX
FaO/8
notconnect
auto
auto
10/100BaseTX
FaO/9
notconnect
auto
auto
10/100BaseTX
FaO/10
notconnect
auto
auto
10/100BaseTX
FaO/ll
connected
a-full
10
10/100BaseTX
FaO/12
connected
half
100
10/100BaseTX
FaO/13
connected
a-full
a-100
10/100BaseTX
FaO/14
disabled
auto
auto
10/100BaseTX
FaO/15
notconnect
auto
auto
10/100BaseTX
FaO/16
notconnect
auto
auto
10/100BaseTX
FaO/17
connected
a-full
a-100
10/100BaseTX
FaO/18
notconnect
auto
auto
10/100BaseTX
FaO/19
notconnect
auto
auto
10/100BaseTX
FaO/20
notconnect
auto
auto
10/100BaseTX
FaO/21
notconnect
auto
auto
10/100BaseTX
FaO/22
notconnect
auto
auto
10/100BaseTX
FaO/23
notconnect
auto
auto
10/100BaseTX
FaO/24
notconnect
auto
auto
10/100BaseTX
GiO/1
connected
trunk
full
1000
10/100/1000BaseTX
GiO/2
notconnect
auto
auto
10/100/1000BaseTX
SW1# s how int e r f a c es faO /13
FastEthernetO/13 is up,
line protocol is up (connected)
Hardware is Fast Ethernet, address is 0019.e86a.6f8d (bia 0019.e86a.6f8d)

MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255,
Encapsulation ARPA,
txload 1/255, rxload 1/255
loopback not set
Keepalive set (10 sec)

1-
1-
Full-duplex, 100Mb/s, media type is 10/100BaseTX

input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:05, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0
(size/max/drops/flushes); Total output drops: O
Queueing strategy: fifo

Output queue: 0/40
(size/max)
5 minute input rate O bits/sec,
O packets/sec
5 minute output rate O bits/sec,
O packets/sec
85022 packets input, 10008976 bytes, O no buffer

Received 284 broadcasts
O runts,
O giants,
(O multicast)
O throttles
O input errors, O CRC, O frame,

O watchdog, 281 multicast,
O overrun,
O ignored
O pause input
O input packets with dribble condition detected

95226 packets output, 10849674 bytes,
O output errors,
O collisions, 1 interface resets
O babbles, O late collision,

O lost carrier,
O underruns
O deferred
O no carrier, O PAUSE output
O output buffer failures,
O output buffers swapped out
CCNA ICND2
93
Embora os dois comandos possam ser teis, apenas o comando show interfaces status indica como o switch determinou
as defInies de velocidade e duplex. O resultado do comando apresenta as defInies negociadas automaticamente com
um "a_". Por exemplo, "a-full" signifIca full-duplex negociado automaticamente, ao passo que "full" signifIca full-duplex,
porm, confIgurado manualmente. O exemplo destaca o resultado do comando sombreado indicando que a velocidade e
o duplex das interfaces FaO/12 do switch no foram encontrados atravs da negociao automtica, mas FaO/13, na
verdade, utilizou a negociao automtica. Observe que o comando show interfaces FaO/13 (sem a opo status)
simplesmente apresenta a velocidade e o duplex para a interface FaO/13, sem nada indicando que os valores foram
aprendidos atravs da negociao automtica.
Os switches Cisco possuem alguns recursos interessantes referentes a velocidade das interfaces que podem ajud-lo a
determinar alguns tipos de problemas encontrados em interfaces. Se a interface de um switch Cisco tiver sido confIgurada
para utilizar uma determinada velocidade, e a velocidade no combinar com o dispositivo na outra extremidade do cabo,
a interface do switch fIcar em estado notconnect ou inativo/inativo (downldown). Entretanto, esse tipo de erro de
combinao de velocidades s pode ocorrer quando a velocidade tiver sido confIgurada manualmente no switch. As
interfaces de um switch Cisco que no tenham o comando speed confIgurado podem automaticamente detectar a
velocidade utilizada pelo outro dispositivo - mesmo que o outro dispositivo que desligue o processo de negociao automtica
IEEE - e utilizar aquela velocidade.
Na Figura 3-3, por exemplo, imagine que a interface GiO/2 de SW2 tenha sido confIgurada com os comandos speed 100
e duplex half (defInies no-recomendadas em uma interface Gigabit, a propsito). SW2 utilizaria essas defInies e
desativaria o processo de negociao automtica do padro IEEE porque os comandos speed e duplex foram
confIgurados. Se a interface GiO/l de SWl no tivesse um comando speed confIgurado, SWl, ainda assim, reconheceria
a velocidade (100 Mbps) - embora SW2 no utilizasse a negociao padro IEEE - e SWl tambm utilizaria uma
velocidade de 100 Mbps. O Exemplo 3-3 mostra os resultados deste caso especfIco sobre SWl.
Exemplo 3-3 Exibindo as definies de velocidade e duplex em interfaces de switches
SW1 # show interfaces giO/l status
Port
GiO/1
Name
Status
Vlan
Duplex
Speed
Type
conne c t e d
t r unk
a-half
a-100
lO/ l OO/ l OOOBaseTX
A velocidade e o duplex ainda aparecem com um prefIxo "a-" no exemplo, indicando negociao automtica. O motivo
que, neste caso, a velocidade foi encontrada automaticamente, e a defInio duplex foi escolhida por causa dos valores
padro utilizados pelo processo de negociao automtica IEEE. Os padres IEEE dizem que para portas rodando a 100
Mbps, se a negociao automtica falhar, deve-se utilizar uma defInio padro half-duplex.
Encontrar um erro de combinao duplex pode ser muito mais difcil do que achar um erro de combinao de velocidade
porque, se as definies duplex no combinarem nas extremidades de um segmento Ethernet, a interface do switch
estar em estado connect (conectado) (ativo/ativo). Neste caso, a interface funciona, mas pode funcionar precariamente,
apresentando mau desempenho e sintomas de problemas intermitentes. O motivo que o dispositivo que utiliza o half-duplex faz
uso da lgica CSMNCD (camer sense multipie access collision detect), querendo enviar ao receber um frame, acreditando
que as colises ocorrem quando, na verdade, isso no acontece fIsicamente, e parando de enviar frames porque o switch pensa
que ocorreu uma coliso. Com um trfego bastante carregado, a interface poderia estar em estado connect, mas ser essencialmente
intil para a transmisso do trfego, at mesmo provocando a perda de mensagens vitais de VTP e STP.
Para identifIcar problemas de erro de combinao de duplex, tente a seguintes aes:
/;~~;;,.,
\ Chave
....
Utilize comandos como show interfaces em cada extremidade do link para confIrmar a defInio de
duplex em cada extremidade.
Fique atento aos aumentos em certos contadores nas interfaces half-duplex. Os contadores - runts (pacotes muito
pequenos resultantes de colises de pacotes), colises e colises tardias - ocorrem quando o outro dispositivo utiliza
fu1l-duplex. (Observe que estes contadores tambm podem aumentar quando tambm ocorrem colises legtimas).
O Exemplo 3-2 (apresentado anteriormente nesta seo) utiliza o sombreamento para indicar esses contadores no resultado
do comando show interfaces.
A causa geradora dos erros de combinao de duplex pode estar relacionada aos padres escolhidos pelo processo de
negociao automtica IEEE (autonegociao). Quando um dispositivo tenta a negociao automtica, e o outro no
responde, o primeiro escolhe a defInio duplex padro com base na atual velocidade. As defInies duplex padro, de
acordo com o IEEE, so escolhidas da seguinte forma:

Se a velocidade for 10 ou 100 Mbps, usar o padro half-duplex.
Se a velocidade for 1000 Mbps, usar o padro full-duplex.
Observao
full-duplex.
/;~~;~o
'--Chave
".
As interfaces Ethernet que utilizam velocidades maiores que 1 Gbps utilizam
Passo 3: Isole problemas de filtragem e de segurana de portas

Falando de um modo geral, qualquer anlise do processo de encaminhamento deve considerar qualquer recurso de
segurana que possa descartar alguns frames ou pacotes. Por exemplo, roteadores e switches podem ser configurados
com ACL (access contrai lists, ou listas de controle de acesso) que examinam os pacotes e os frames enviados ou
recebidos em uma interface, com o roteador ou o switch descartando aqueles pacotes/frames.
Os exames CCNA no incluem a abordagem de ACLs de switches, mas abordam um recurso semelhante chamado
segurana de porta. Conforme abordado no CCENT/CCNA ICNDJ Guia Oficial de Certificao do Exame, no Captulo
9, o recurso de segurana de portas pode ser utilizado para fazer com que o switch descarte alguns frames enviados para
dentro e para fora de uma interface. A segurana de portas tem trs recursos bsicos com os quais possvel determinar
quais frames devem ser filtrados:
Limita quais endereos MAC especficos podem enviar e receber frames na interface de um switch, descartando
frames destinados e provenientes de outros endereos MAC.
Limita o nmero de endereos MAC que utilizam a interface, descartando frames destinados e provenientes de
/~:~;~o
endereos MAC aprendidos depois do limite mximo ter sido atingido.
Uma combinao dos dois pontos anteriores.
\ Chave
....
O primeiro passo na resoluo de problemas referentes segurana de portas deve ser encontrar quais interfaces tem a
segurana de portas ativada, determinando, em seguida, se alguma violao est atualmente ocorrendo. A parte mais
complicada est relacionada s diferenas naquilo que o lOS faz em relao s violaes com base no subcomando de
interface switchport port-security violation, que diz ao switch o que fazer quando ocorre uma violao. O processo
geral o seguinte:
Passo 3 Verifique a existncia de problemas na segurana de portas da seguinte forma:
a. Identifique todas as interfaces nas quais a segurana de portas est ativada (show running-config ou show portsecurity).
b. Determine se a violao de segurana est atualmente ocorrendo baseada, em parte, no modo de violao da
configurao da segurana de portas da interface, da seguinte forma:
- shutdown: A interface estar em estado err-disabled.
- restrict: A interface estar em estado connect, mas o comando show port-security interface mostrar um aumento
no contador de violaes.
- protect: A interface estar em estado connect, e o comando show port-security interface no mostrar nenhum
aumento no contador de violaes.
c. Em todos os casos, compare a configurao de segurana das portas com o diagrama bem como o campo "last
source address" ('ltimo endereo fonte") no resultado do comando show port-security interface.
Uma das dificuldades ao resolver problemas relacionados segurana de portas est relacionada com o fato de que
algumas configuraes de segurana de portas descartam apenas os frames ofensivos, mas no desativam a interface
em conseqncia disso, tudo baseado no modo de violao configurado. Todos os trs modos de violao descartam o
trfego conforme ditado pela configurao. Se, por exemplo, somente um endereo MAC pr-definido como 0200.1111.1111
permitido, o switch descarta todo o trfego naquela interface, com exceo do trfego que chega e parte de 0200.1111.1111.
Entretanto, o modo shutdown faz com que todo o trfego futuro seja descartado - at mesmo trfego legtimo proveniente
do endereo 0200.1111.1111 - aps a ocorrncia de uma violao. A Tabela 3-4 resume alguns dos pontos principais para
facilitar o estudo.
CCNA ICND2
6~~o
....
Tabela 3-4 Comportamento da segurana de portas baseado no modo de violao

Descarta todo o trfego
no estado err-disabled
95
Modo de violao
Descarta o
trfego ofensivo
da interface
Resultados
Aumento nos contadores
das violaes da interface
para cada nova violao
Shutdown
Sim
Sim
Sim
Sim
restrict
Sim
No
No
Sim
protect
Sim
No
No
No
o Passo 3B da resoluo de problemas se refere ao estado err-disabled (desativado para erros) da interface. Este estado
verifica se a interface foi configurada para utilizar segurana de portas, se ocorreu uma violao e se nenhum trfego
permitido na interface no presente momento. Este estado da interface implica que o modo de violao shutdown
utilizado, pois este o nico dos trs modos de segurana de portas que faz com que a interface seja desativada. Para
consertar este problema, a interface deve ser desativada (shut down) e, em seguida, ativada com o comando no shutdown.
O Exemplo 3-4 apresenta uma situao em que a interface est em estado err-disabeld.
Exemplo 3-4 Utilizando a segurana de portas para definir endereos MAC corretos de determinadas interfaces
The first command lists alI interfaces on which port security has been enabled,
and the violation mode, under the heading "Security Action".
SW1# show port-security
Secure Port
FaO / 13
MaxSecur eAddr
CurrentAddr
SecurityViolation
(Count)
(Count)
(Count)
Securi ty Action
Shutdown
Total Addresses in System (excluding one mac per port)

Max Addresses limit in System (excluding one mac per port)
: O
8320
The next command s h ows the err-disabled state , implying a security v iolation.
SW1# show interfaces FaO/13 status
Por t
Name
FaO / 13
Status
vlan
Duplex
Speed
Type
err- disabled
auto
auto
10/l00BaseTX
The next command ' s output has shading for several of the most important facts.
SWl# show port-security interface FaO/13
Port Security
Enabled
Port Status
Secure-shutdown
Violation Mode
Shutdown
Agin g Time
O mins
Agin g Type
Absolute
SecureStatic Address Aging
Disabled
Maximum MAC Ad dress es
: 1
Total MAC Addresses
: 1
Configured MAC Addresses
: 1
Sticky MAC Addres s e s
: O
Last Source Address:Vlan

Security Violation Count
0 2 00.3333 . 33 3 3:2
: 1
O resultado do comando show port-security interface apresenta alguns itens teis no processo de resoluo de problemas.
O status da porta "secure-shutdown" ("desativao segura") significa que a interface est desativada para todo o

trfego em conseqncia de uma violao, e que o estado da interface deve ser "err-disabled". O final do resultado do
comando apresenta um contador de violaes, aumentando em 1 para cada nova violao. interessante notar que, no
modo de violao shutdown, o contador aumenta em 1, a interface colocada em estado err-disabled e o contador no
consegue mais aumentar at que o engenheiro utilize os comandos shutdown ou no shutdown na interface, em seqncia.
Finalmente, observe que a penltima linha apresenta o endereo MAC da fonte do ltimo frame recebido na interface.
Este valor pode ser til na identificao do endereo MAC do dispositivo que provocou a violao.
Os modos de violao restrict e protect ainda provocam descartes de frames , mas com um comportamento diferente.
Nestes modos de violao, a interface permanece em estado connect (ativo/ativo) enquanto ainda est descartando os
frames inadequados por causa da segurana de portas. Portanto, evite a armadilha de considerar que uma interface em
estado connect, ou ativo/ativo, no possa ter nenhum outro motivo para no transmitir trfego.
O Exemplo 3-5 mostra um modelo de configurao e do comando show ao utilizar o modo protect. Neste caso, um PC
com endereo MAC 0200.3333.3333 enviou frames para a porta FaO/13, com a porta configurada para restringir FaO/13
para somente receber frames enviados por 0200.1111.1111.
Exemplo 3-5 Segurana de portas utilizando o modo protect
SW1ishow running-config
! Lines omitted for brevity
switchport port-security
switchport port-security mac-address 0200.1111.1111
switchport port-security violation protect
Lines omitted for brevity
SW1i show port-security interface FaO/13
Port Security
Enabled
Port Status
Secure-up
Vio1ation Mode
Protect
Aging Time
O mins
Aging Type
Absolute
Disabled
Maximum MAC Addresses
: 1
Total MAC Addresses
: 1
: 1
Sticky MAC Addresses

o
020 0.3333.3333:1
: O
Este resultado do comando show foi obtido aps o envio de vrios frames por um PC com o endereo MAC 0200.3333.3333,
com todos os frames sendo descartados pelo switch por causa da segurana de portas. O resultado do comando mostra
o endereo no-permitido MAC 0200.3333.3333 do PC como o ltimo endereo MAC fonte em um frame recebido.
Entretanto, observe que o status da porta apresentado como secure-up (seguro-ativo) e com o contador de violaes
em O - ambas indicaes podem lev-lo a concluir que tudo est bem. Entretanto, no modo protect, o comando show
port-security interface no mostra nenhuma informao confirmando a ocorrncia de uma violao real. A nica
indicao que o trfego do usurio final no chega aonde ele precisa ir.
Se este exemplo tivesse utilizado o modo de violao restrict, o status da porta tambm teria permanecido no estado
secure-up, mas o contador de segurana de violaes teria aumentado uma vez para cada frame violador.
Para os exames, a violao da segurana de uma porta pode no ser um problema; pode ser exatamente a funo
desejada. O texto da questo pode explicitamente dizer o que a segurana de porta deve estar fazendo. Nestes casos,
pode ser mais rpido imediatamente observar a configurao da segurana de portas. Em seguida, compare a configurao
com os endereos MAC dos dispositivos conectados interface. O problema mais provvel de ser encontrado nos
exames que os endereos MAC tenham sido configurados erroneamente e que o nmero mximo de endereos MAC
tenha sido definido muito baixo (o CCENT/CCNA fCNDi Guia Oficial de Certificao do Exame, Captulo 9, explica
os detalhes de configurao).
CCNA ICND2
97
Um ltimo recurso de segurana que precisa de uma breve meno a autenticao IEEE 802.1x. O IEEE 802.lx (no
confundir com o padro de negociao automtica IEEE 802.3x) define um processo para autenticar o usurio do PC
conectado porta de um switch. O 802.1x pode ser usado como parte de uma estratgia NAC (Network Admission
Control, ou Controle de Admisso Rede), na qual um usurio interno de uma LAN empresarial no consegue utilizar a
LAN at que o usurio fornea algum tipo de credencial de autenticao.
Com o 802.1x, cada usurio se comunica com um servidor AAA atravs de uma srie de mensagens de autenticao. O
switch de acesso escuta as mensagens, descartando todos os frames do link, exceto para mensagens 802.1x destinadas
e provenientes do PC. Quando o switch escuta a mensagem do servidor AAA dizendo que o usurio foi autenticado com
sucesso, ele permite que todo o trfego flua naquela porta. Se o usurio no for autenticado, o switch no permite trfego
naquela interface. Os detalhes de como configurar o 802.1x, e reconhecer uma falha de autenticao como causa
geradora de um determinado problema, foge ao escopo deste livro.
Passo 4: Isole problemas de VLANs e de trunking

O processo de encaminhamento de um switch depende das definies de VLAN s de acesso em interfaces de acesso e
em trunks de VLANs que podem transmitir trfego para vrias VLANs. Alm disso, para que um switch possa encaminhar
frames em uma VLAN, ele deve saber sobre a VLAN, seja atravs da configurao ou do VTP, e a VLAN deve estar
ativa. As sees a seguir examinam algumas das ferramentas envolvendo todas essas questes relativas a VLANs. Esta
fase da configurao inclui os seguintes passos:
Passo 4 Verifique as VLANs e os trunks de VLANs da seguinte forma:

a. Identifique todas as interfaces de acesso e suas VLANs de acesso designadas e designe novamente para as
VLANs corretas conforme a necessidade.
b. Determine se as VLANs existem (configuradas ou aprendidas atravs do VTP) e se esto ativas em cada switch.
Em caso negativo, configure e ative as VLANs para resolver problemas conforme a necessidade.
c. Identifique as interfaces operacionalmente em trunking em cada switch e determine as VLANs que podem ser
encaminhadas atravs de cada trunk.
As trs prximas sees discutem os passos 4A, 4B e 4C em seqncia.
Assegurando que as interfaces de acesso corretas estejam nas VLANs

corretas
Para assegurar que cada interface de acesso tenha sido designada VLAN correta, os engenheiros simplesmente
precisam determinar quais interfaces de switches so interfaces de acesso em vez de interfaces de trunk, determinar as
VLANs de acesso designadas em cada interface e comparar as informaes com a documentao. Os trs comandos
show apresentados na Tabela 3-5 podem ser bastante teis neste processo.
Tabela 3-5 Comandos que podem encontrar portas de acesso e VLANs
f;~~;~o
\ Chave
Comando EXEC
Descrio
".
show vlan brief
show vlan
Apresenta cada VLAN e todas as interfaces designadas quela VLAN,

mas no inclui trunks
show interfaces type number switchport
Identifica a VLAN de acesso de uma interface, a voice VLAN, o modo

administrativo (configurado) e o modo operacional (access ou trunking)
show mac address-table dynamic
Apresenta entradas na tabela MAC: endereos MAC com interfaces e

VLAN s associadas
Se possvel, inicie este passo com os comandos show vlan e show vlan brief, pois eles relacionam todas as VLANs
conhecidas e as interfaces de acesso designadas a cada VLAN. Esteja ciente, entretanto, de que o resultado destes
comandos inclui todas as interfaces que no esto operacionalmente em trunking no momento. Portanto, estes comandos

apresentam interfaces em estado notconnect, err-disabled, e ainda mais importante, interfaces que podem criar um trunk
depois que a interface subir. Estes comandos, por exemplo, podem incluir a interface GiO/2 na lista de interfaces da
VLAN 1, mas assim que GiO/1 surgir, a interface pode negociar um trunking - em cujo ponto a interface j no seria uma
interface de acesso e j no seria apresentada no resultado do comando show vlan brief.
Se os comandos show vlan e show interface switchport no estiverem disponveis em uma determinada questo da
prova, o comando show mac address-table tambm pode ajudar a identificar a VLAN de acesso. Esse comando
apresenta a tabela de endereos MAC, com cada entrada incluindo um endereo MAC, a interface e o VLAN ID. Se a
questo da prova indica que a interface de um switch se conecta a um nico dispositivo do PC, voc dever ver apenas
uma entrada na tabela MAC que lista aquela interface de acesso especfica; o VLAN ID apresentado para aquela
mesma entrada identifica a VLAN de acesso. (No possvel fazer essas consideraes para interfaces em trunking).
Aps determinar as interfaces de acesso e as VLANs associadas, se a interface for designada VLAN errada, utilize
o subcomando de interface switchport access vlan v/an-id para designar o VLAN ID correto.
VLANs de acesso no definidas ou ativas
o prximo passo de resoluo de problemas, o Passo 4B, examina o fato em que um switch no encaminha frames em
uma VLAN no-definida ou em uma VLAN definida que no esteja no estado ativo. Esta seo resume as melhores
formas de confirmar que um switch sabe da existncia de uma VLAN especfica, e, uma vez que ela exista, ele determina
o estado da VLAN.
Os servidores e clientes VTP s exibem sua lista atual de VLANs conhecidas com o comando show vlan. Nem o
arquivo running-config nem o startup-config contm os comandos de configurao global vlan v/an-id que defmem a
VLAN, nem os comandos name associados que do nome VLAN. Switches em modo transparente colocam estes
comandos de configurao nos arquivos vlan.dat e running-config, para que voc possa ver a configurao utilizando o
comando show running-config.
Aps determinar que uma VLAN no existe, o problema pode ser que a VLAN simplesmente precise ser definida. Neste
caso, siga o processo de configurao da VLAN, conforme descrito em detalhe no Captulo 1, resumido da seguinte forma:
Em servidores e clientes VTP, considerando que o VTP esteja funcionando: a VLAN deve estar configurada
em um servidor VTP, normalmente com o comando de configurao global vlan vlan-id, com os outros servidores
e clientes VTP aprendendo sobre a VLAN. A VLAN tambm pode ser configurada como resultado do subcomando
de interface switchport access vlan vlan-id, no servidor VTP no qual a VLAN ainda no existe, fazendo com
que o servidor automaticamente crie a VLAN.
Em servidores e clientes VTP, considerando que o VTP no esteja funcionando: resolva os problemas de
VTP conforme abordado na seo "Resolvendo problemas do VTP", no Captulo 1.
Em um switch VTP transparente: a configurao a mesma de um servidor, mas deve ser feita em cada switch,
pois os switches em modo VTP transparente no anunciam a nova VLAN a outros switches.
Para qualquer VLAN existente, verifique tambm se ela est ativa. O comando show vlan deve apresentar um entre
dois valores de estado da VLAN: ativo e shutdown. Destes estados, o segundo significa que a VLAN est desativada
(shut down). Para resolver este problema, utilize o comando de configurao global no shutdown vlan vlan-id. Observe
que este comando deve ser emitido em cada switch, pois este estado shutdown (desativado) no anunciado pelo VTP.
Identifique trunks e VLANs encaminhadas naqueles trunks

Neste passo (4C), voc pode separar os problemas em duas categorias gerais quando estiver comeando a isolar o
problema: problemas com os detalhes de como um trunk operacional funciona e problemas causados quando uma interface
que deveria criar um trunk no o faz.
A primeira categoria deste passo pode ser facilmente executada utilizando o comando show interfaces trunk, que
apresenta somente informaes sobre trunks atualmente em funcionamento (operacionais). O melhor lugar para comear
com este comando a ltima seo do resultado, que apresenta as VLANs cujo trfego ser encaminhado atravs do
trunk. Qualquer VLAN que chegue a essa lista fmal de VLANs no resultado do comando satisfaz aos seguintes critrios:
A VLAN existe e est ativa neste switch (conforme abordado na seo anterior e visto no comando show vlan).
li
CCNA ICND2
~ C Ico
99
A VLAN no foi removida da lista de VLAN s permitidas no trunk (conforme configurado com o subcomando de
interface switchport trunk allowed vlan).
A VLAN no foi suprimida do trunk pelo VTP (conforme feito automaticamente pelo VTP, considerando que o
VTP Pruning tenha sido ativado atravs do comando de configurao global vtp pruning).
O trunk est em Estado STP de Encaminhamento naquela VLAN (conforme tambm visto no comando show
spanning-tree vlan vlan-i).

O Exemplo 3-6 mostra um modelo do resultado de comando show interfaces trunk, com a ltima seo do resultado
sombreada. Neste caso, o trunk s encaminha trfego nas VLANs 1 e 4.
Exemplo 3-6 Lista de VLANs permitidas e lista de VLANs ativas

Por t
Mode
Encapsulation
Status
Native vlan
GiO/1
desira ble
802.1q
trunking
Port
Vla ns allowed on trunk
GiO/1
1-2,4 - 4094
Port
Vlans allowed and active in management doma in
GiO/1
1,4
Port
Vlans in spanning t ree forwardi ng state and n ot p runed
GiO/1
1,4
A ausncia de uma VLAN nessa ltima parte do resultado do comando no significa necessariamente que tenha ocorrido
um problema. Na verdade, uma VLAN pode ser legitimamente excluda de um trunk por qualquer uma das razes apresentadas
na lista antes do Exemplo 3-6. Entretanto, para uma determinada questo do exame, pode ser til saber por que o trfego de
uma VLAN no ser encaminhado atravs de um trunk. O resultado das trs listas de VLANs do comando show interfaces
trunk mostra uma progresso de razes pelas quais uma VLAN no encaminhada atravs de um trunk. Para lembrar-se
dos detalhes, revise os detalhes em tomo do Exemplo 1-4 do Captulo 1 e os poucos pargrafos anteriores ao exemplo.
A configurao da VLAN nativa de um trunk tambm deve ser verificada neste passo. O VLAN ID nativo pode ser
manualmente definido para diferentes VLANs em qualquer extremidade do trunk. Se as VLANs nativas diferirem, os
switches faro acidentalmente com que os frames saiam de uma VLAN e entrem em outra. Se o switch SW1, por exemplo,
enviar um frame utilizando a VLAN 1 nativa em um trunk 802.1 Q, ele no acrescentar um cabealho VLAN, como
acontece normalmente com uma VLAN nativa. Quando o switch SW2 receber o frame, notando que no existe nenhum
cabealho 802.1Q, ele considera que o frame faz parte da VLAN nativa configurada de SW2. Se SW2 tiver sido configurada
para pensar que VLAN 2 a VLAN nativa naquele trunk, ele tentar encaminhar o frame recebida para VLAN 2.
A segunda classe geral de problemas referentes a trunking que uma interface que deveria formar um trunk no o faz .
A causa mais provvel deste problema um erro de configurao do trunking nas extremidades opostas do link. O
subcomando de interface switchport mode {access I trunk I dynamic {desirable I auto} } diz interface se ela deve
criar um trunk e apresenta as regras com as quais ela deve negociar o trunking. possvel exibir o modo administrativo
(configurado) do trunking de qualquer interface, conforme definido por esse comando de configurao, utilizando o
comando show interface switchport. Certifique-se de que voc saiba o significado de cada uma das opes deste
comando de configurao, conforme apresentado na Tabela 1-4 do Captulo 1, e as combinaes existentes em cada
extremidade do segmento que resultou em trunking, conforme apresentado na Tabela 1-5 do Captulo 1.
Em alguns casos, uma interface pode falhar no uso do trunking devido a um erro de configurao do tipo de trunking - em
outras palavras, se deveria usar ISL ou 802.1Q. Se dois switches, por exemplo, em extremidades opostas de um segmento
configurassem os comandos switchport trunk encapsulation isl e switchport trunk encapsulation dotlQ,
respectivamente, o trunk no seria formado porque os tipos de trunk (o encapsulamento) no combinam.
Exemplo: resolvendo problemas do plano de dados

Esta seo mostra um exemplo de como aplicar os passos a uma rede e a um cenrio especficos. O cenrio inclui vrios
problemas baseados na Figura 3-5. No incio, PC1 , PC2 e PC3 no conseguem identificar a sua porta de comunicao
padro, RI, no endereo IP 2.2.2.9. Esta seo mostra como aplicar os processos de resoluo de problemas abordados

at ento neste captulo para desvendar os problemas e resolv-los. Para facilitar a referncia, os passos foram resumidos
aqui da seguinte forma:
Passo 1 Verifique a exatido e complete as informaes apresentadas no diagrama de rede utilizando o CDP.
Passo 2 Verifique a existncia de problemas nas interfaces da seguinte forma:
a. Determine o cdigo de status da interface para cada interface necessria, e, se no estiver em estado connect
/;~~;;,., (conectado) ou ativo/ativo (up/up), resolva os problemas at que a interface atinja o estado connect ou ativo/ativo.
~ C"'ve
. ..
b. Para interfaces que estejam em estado connect (ativo/ativo), verifique tambm a existncia de dois outros
problemas: erros de combinao de duplex e algumas variaes de segurana de portas que propositalmente
entregam frames.
Passo 3 Verifique a existncia de problemas de segurana de portas da seguinte forma:

a. Identifique todas as interfaces nas quais a segurana de portas esteja ativada (show running-config ou show
port-security) .
b. Determine se a violao de segurana est atualmente ocorrendo baseada, em parte, no modo de violao da
configurao da segurana de portas da interface, da seguinte forma:
- shutdown: A interface estar em estado err-disabled.

- restrict: A interface estar em estado connect, mas o comando show port-security interface mostrar um aumento
no contador de violaes.
- protect: A interface estar em estado connect, e o comando show port-security interface no mostrar nenhum
aumento no contador de violaes.
Passo 4 Verifique as VLANs e os trunks de VLANs da seguinte forma:

a. Identifique todas as interfaces de acesso e suas VLANs de acesso designadas e designe novamente para as
VLAN s corretas conforme a necessidade.
b. Determine se as VLANs existem (configuradas ou aprendidas atravs do VTP) e se esto ativas em cada switch.
Em caso negativo, configure e ative as VLANs para resolver problemas conforme a necessidade.
c. Identifique as interfaces operacionalmente em trunking em cada switch e determine as VLANs que podem ser
encaminhadas atravs de cada trunk.
Figura 3-5 Rede utilizada no exemplo de resoluo de problemas do plano de dados

2.2.2.1
0200.1111.1111
Passo 1: verifique a exatido do diagrama utilizando o CDP

O Exemplo 3-7 mostra uma variedade de modelos de resultados dos comandos show cdp neighbors e show cdp entry
nos trs switches da Figura 3-5. Uma simples comparao confirma os nomes e as interfaces na figura, com exceo de
que a interface FaO/9 de SW2 se conecta ao roteador RI, em vez da interface FaO/lO de SW2 mostrada na Figura 3-5.
CCNA ICND2
101
Exemplo 3-7 Verificando a Figura 3-5 utilizando o CDP

Capability Codes:

S - Switch, H - Host, I - IGMP , r - Repeater, P - phone
Holdtme Capability
Platform
Port lO
Gig 0/1
122
S I
WS-C2960-2
Gig 0 / 2
Gig 0 / 2
144
S I
WS-C3550-2
Gig 0 / 1
Oevice lO
Local Intrfce
SW2
SW3
!
SW2 commands next

Capability Codes:
R - Router, T - Trans Bridge , B - Source Route Bridge

Oevice lO
Local Intrfce
Holdtme Capa bility
Platform
SW1
Gig 0 /2
125
WS-C2960-2
Gig 0 / 1
SW3
Gig 0/ 1
170
S I
WS-C3550-2
Gig 0 / 2
R1
Fas 0 /9
157
R S I
1841
Fas 0 / 1
S I
Port lO
SW2# show cdp entry Rl

- - - --------- -- - -- - -- ---- ----------~~-----------------
Oevice TD: R1
Entry address(es):
IP address: 2.2.2.10
Platform: Cisco 1841 , Capabilities: Rout er Swi t c h IGMP
Interface: FastEthernetO/9,
Por t
l O (outgoing port): FastEthernetO / 1
Holdtime : 150 sec

Version :
Cisco lOS Software , 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12 . 4(9)T, RELEASE
SOFTWARE (fc1)
Technical Support:
http: //www . cisco.com/ techs upp ort
Copyright 1986-2006 by Cisco Systems,
I nc .
Comp iled Fri 16-Jun-06 21:26 by prod_rel_t eam

advertisement version : 2
VTP Management Oomain :
Duplex: full
Management a ddress(e s ):
! SW3 command next

Capability Codes :
R - Router , T - Trans Bridg e, B - Source Rou t e Bridge

S - Switch, H - Ho s t, I - I GMP, r - Repeater, P - Ph on e
Oevice l O
Local Intrfce
Holdtme
Capab ility
Platform
SW1
Gig 0 / 1
154
S I
WS-C2960-2
Gig 0/2
SW2
Gig 0 / 2
178
S I
WS-C2960-2
Gig 0/1
Port l O
Este erro de documentao mostrado na Figura 3-5 (apresentando a interface FaO/lO de SW2 em vez de FaO/9) no
afeta a operao da rede atual. Entretanto, se o trunking tivesse sido necessrio entre SW2 e RI, a interface FaO/9 (e no
FaO/lO) de SW2 teria de ter sido explicitamente configurada para ativar o trunking, pois os roteadores no podem
automaticamente negociar o uso do trunking. O Captulo 4, "Roteamento IP: Rotas estticas e conectadas" , aborda os
detalhes de configurao do trunking de um roteador.
Observe que o CDP no identifica problemas de documentao com as interfaces que se conectam aos PCs do usurio
final; para os propsitos deste exemplo, saiba que o resto das interfaces mostradas na Figura 3-5 so as interfaces corretas .

Passo 2: verifique a existncia de problemas de interfaces
O prximo passo examina o status das interfaces em cada uma das interfaces que deveriam ser usadas atualmente. O
Exemplo 3-8 apresenta vrios comandos show interface status tanto em SWl quanto em SW3. (Para os propsitos
deste captulo, considere que todas as interfaces em SW2 estejam funcionando corretamente). Examine o resultado,
identifique qualquer problema e faa uma lista de outros problemas relacionados com as interfaces que voc possa
querer investigar mais a fundo com base neste resultado.
Exemplo 3-8 Problemas de interfaces em SWl
.---------------------------------------------------------~
.
SW1# show interfaces faO/ll status
Port
Name
FaO / ll
Status
VI an
DupIex
Speed
Type
connected
a-full
a-1OO
l O/ lOOBaseTX
Status
VIan
DupIex
Speed
Type
notconnect
auto
auto
l O/ lOOBaseTX
Status
VIan
DupIex
Speed
Type
connected
trunk
a - full
a - lOOO
lO / lOO / lOOOBaseTX
Status
VIan
DupIex
Speed
Type
connected
a-full
a-1OOO
lO / lOO / lOOOBa seTX
Status
VIan
DupIex
Speed
Type
connected
a-haIf
a-1OO
lO / lOOBaseTX
Status
VIan
DupIex
Speed
Type
connected
a-full
a-1OOO
lOOOBaseTX
Status
VIan
DupIex
Speed
Type
connected
trunk
a-full
a-1OOO
lOOO BaseTX
SW1# show interfaces faO/12 status

Port
Name
FaO / 12
SW1# show interfaces GiO/l status

Port
Name
GiO / l
SW1# show interfaces GiO/2 status

Port
Name
GiO / 2
! Switching t o SW3 nex t
SW3 hh interfaces faO/13 status

Port
Name
FaO / 13
SW3# show interfaces GiO/l status

Port
Name
GiO / l
SW3# show interfaces GiO/2 status

Port
GiO / 2
Name
Existe um problema bvio em SWl, com a interface FaO/12 em estado notconnect. Existem vrios motivos para este estado, quase
todos relacionados a algum problema de cabeamento - desde um cabo que no esteja completamente encaixado na porta do
switch at problemas de interferncia no cabo, que so mais difceis de detectar. (Veja a Tabela 3-2 para ver os motivos sugeridos).
As interfaces de SW3 parecem no ter nenhum problema. Entretanto, todas as trs interfaces tm uma definio de duplex
que a mesma definio que o switch utilizaria se o processo de negociao automtica falhasse, destacando-se o uso do
half-duplex em FaO/3. Isso aumenta a possibilidade de um dos dois problemas de interfaces mencionados anteriormente no
captulo que podem ocorrer quando a interface est em estado connect, ou seja, um erro de combinao de duplex.
possvel determinar que as interfaces GigabitO/l e 0/2 de SW3 no tm nenhum erro de combinao simplesmente
utilizando o comando de status show interfaces em SWl e SW2 na outra extremidade desses link:s, respectivamente.
No entanto, as portas conectadas a um PC apresentam um problema na resoluo pelo fato de que voc provavelmente
no estar perto do PC, e, portanto, poder ter de guiar o usurio final atravs de alguns passos para verificar as
definies de velocidade e do duplex. Contudo, vale a pena procurar por sinais evidentes de runts, colises e colises
iniciais, conforme listado no resultado do comando show interfaces do Exemplo 3-9.
Exemplo 3-9 Sinais de um erro de combinao duplex
SW3#show interfaces faO/13
FastEthernetO / 13 i s up,
line protocol is up (connected )
CCNA ICND2
103
Hardware is Fast Ethernet, address is 000a.b7dc.b78d (bia 000a . b7dc . b78d)

MTU 1500 bytes, BW 100000 Kbit , DLY 100 usec,
reliability 255 / 255,
Encapsulation ARPA,
txload 1 / 255, rxload 1 / 255
loopback not set
Keepalive set (10 sec)

Half-duplex, 100Mb/ s , media type is 10 / 100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04 : 00:00
Last inpu t never, output 00:00:01 , output hang never
Input queue: 0 / 75 / 0 / 0 (size / max/drops / flushes);
Total output drops:
Queueing strategy: fifo

Ou tput queue: 0 / 40
(size / max)
5 minute input r a te O bits / sec , O packets / sec

5 minute output rate O bits / sec , O packets / sec
108 packets input,
6946 bytes,
Received 3 broadcasts
54 runts,
O giants,
O input errors,
O no buffer
(O multicast)
O throttles
O CRC, O frame,
O watchdog , 2 multicast,
O overrun,
O ignored
O pause input
O input packets with dribble condition detected

722 packets output , 52690 bytes,
O underruns
O output errors, 114 coll i s ions , 5 interface resets

O babbles, 78 late collisi on , 19 deferred
O lost carri er,
O no carrier,
O outpu t bu ffer failures,
O PAUSE output
O output buffers swapped out
Neste caso, um erro de combinao de duplex realmente existe. Entretanto, observe que estes mesmos contadores
aumentam em operaes half-duplex normais; portanto, estes contadores no identificam o problema de forma definitiva
como um erro de combinao de duplex. Neste caso, a configurao de SW3 foi alterada para usar full-duplex na
interface FaO/13, combinando com a definio manual em PC3 .
Passo 3: verifique a existncia de problemas de segurana de portas
O prximo passo examina a configurao e o status da segurana de portas em cada switch. Comear com o comando
show port-security que bastante til porque ele relaciona as interfaces nas quais o recurso foi ativado. O Exemplo 310 mostra esse comando em SW1 e SW2, com mais alguns comandos. Observe que tanto SW2 quanto SW3 no tm o
recurso da segurana de portas ativado.
Examine o resultado do Exemplo 3-10 e, antes de ler alm do exemplo, faa algumas anotaes sobre quais seriam os
prximos passos que voc daria para eliminar a segurana de portas como problema em potencial ou qual comando voc
usaria para isolar ainda mais um problema em potencial.
Exemplo 3-10 Segurana de portas em SWl e SW2

SW1# show port-s8curity
Secure Port
FaO/ll
MaxSecureAddr
CurrentAddr
SecurityViolation
(Count)
(Count)
(Count)
97
Security Action
Restrict
: O

! On SW2 be low,
8320
no interfaces have port security enabled.
SW2# show port-security
Secure
Port
MaxSecureAddr
CurrentAddr
SecurityViolation
(Count)
(Count)
(Count)

Security Action
: O
8320
Os comandos show port-security relacionam as interfaces nas quais a segurana de portas foi ativada - especificamente,
a interface FaO/11 de SW1 e nenhuma interface em SW2. Em SW1, os itens de destaque para resoluo de problemas
so que o cabealho da ao de segurana, que combina com a definio do modo de violao, mostra uma ao restrict.
Com a definio em restrict, a interface FaO/11 de SW1 pode estar no estado connect (conforme visto no Exemplo 3-8),
mas a segurana de portas pode estar descartando trfego que viola a configurao da segurana de portas. Portanto,
convm fazer um exame mais minucioso da configurao da segurana de portas, como mostrado no Exemplo 3-11.
Exemplo 3-11 Segurana de portas em SWl e SW2

SW1# show port-security interface faO/ll
Port Security
Enabled
Port Status
Secure-up
Violation Mode
Restrict
Aging Time
O mins
Aging Type
Absolute
Disabled
Maximum MAC Addresses
: 1
Total MAC Addresses
: 1
: 1
Sticky MAC Addresses
: O
0200.1111.1111:3
97
Next, the configuration shows that the configured MAC address does not
match PC1's MAC address.
SW1# show running-config interface faO/ll
switchport port-security
I~
switchport port-security violation restrict
1-
switchport port-security mac-address 0200.3333.3333
The following log message also points to a port security issue.

01:46:58: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC
address 0200.1111.1111 on port FastEthernetO/11.
O exemplo comea com a confirmao do modo de segurana e do contador de violaes e mostrando o ltimo endereo
MAC (0200.1111.1111) para enviar um frame interface FaOll1. O endereo MAC (0200.1111.1111) doPC1 no combina com
a configurao da segurana de portas como visto na segunda parte do exemplo, uma configurao que usa automaticamente,
no mximo, um endereo MAC com um endereo MAC explicitamente configurado igual a 0200.3333.3333. Uma soluo
simples reconfigurar a segurana de portas para, em vez disso, listar o endereo MAC de PC1. Observe que o engenheiro
no precisaria utilizar os comandos shutdown e, depois, o no shutdown, nessa interface para recuper-la, pois a configurao
usa o modo de violao restrict, que deixa a interface ativa enquanto descarta o trfego destinado e proveniente do PC1.
CCNA ICND2
105
o final do exemplo mostra uma mensagem de registro gerada pelo switch para cada violao quando est sendo usado
o modo restrict. Essa mensagem seria vista a partir do console ou de uma conexo Telnet ou Secure Shell (SSH) com o
switch, caso o usurio remoto tivesse emitido o comando EXEC terminal monitor.
Passo 4: verifique a existncia de problemas de VLANs e de trunks de VLANs
O Passo 4A comea examinando as interfaces de acesso para assegurar que elas tenham sido designadas para as
VLANs corretas. Neste caso, todas as interfaces conectadas a PCs e roteadores na Figura 3-5 deveriam ser designadas
para a VLAN 3. O Exemplo 3-12 apresenta um resultado do comando show bastante til. Reserve alguns minutos para
ler o exemplo e procure achar algum problema referente designao de VLANs.
Exemplo 3-12 Verificando designaes de VLANs das interfaces de acesso

SW1# show interfaces faO/ll status
Port
Name
FaO/ll
Status
Vlan
Duplex
Speed
Type
connected
a-full
a-1OO
lO/lOOBaseTX
Status
Vlan
Duplex
Speed
Type
notconnect
auto
auto
lO/lOOBaseTX

Port
Name
FaO/12
! SW2 next
._~--
SW2 #show interfaces status

FaO/9
connected
a-full
a-1OO
lO/lOOBaseTX
FaO/10
notconnect
auto
auto
lO/lOOBaseTX
Status
Vlan
Duplex
Speed
Type
connected
full
a-100
lO/lOOBaseTX
! SW3 next

Port
Name
FaO/13
O nico problema neste caso o fato de que, embora a interface FaO/lO de SW2 tenha sido designada para a VLAN 3,
de acordo com o desenho na Figura 3-5, SW2 se conecta com RI utilizando FaO/9 (como visto com o CDP no Exemplo
3-7). A interface FaO/9 automaticamente est na VLAN 1. Para resolver este problema especfico, em SW2, configure
o subcomando de interface switchport access vlan 3 na interface FaO/9.
A prxima parte do Passo 4 (Passo 4B) sugere verificar as VLANs para se assegurar de que elas estejam ativas em
cada switch. Este exemplo contnuo usa somente a VLAN 3; portanto, o Exemplo 3-13 mostra que a VLAN 3 realmente
conhecida em cada switch. Ao ler o exemplo, procure achar algum problema com a VLAN 3.
Exemplo 3-13 Encontrando um problema de half-duplex

SWl# show vlan id 3
VLAN
Name
Status
Ports
book-vlan3
activ e
FaO/ l l , FaO / 12 , GiO/ l, Gi O/2
Ports

! SW2 next

VLAN
Name
Status
defa ult
active
----------------------------FaO/l, FaO/2, FaO/3 , FaO/4

FaO/5, FaO/6, FaO/7 , FaO/8
FaO/ll, FaO/12, FaO/13 , FaO/14

FaO/23, FaO/24
VLAN0003
aetive
FaO/9, FaO/10
lines omitted for brevity

SW3 next
VLAN
Name
Status
Ports
default
aetive

FaO/S, FaO/6, FaOI7 , FaO/8
FaO/14, FaO/1S, FaO / 16, FaO/17
FaO/22, FaO/23, FaO/24
book-vlan3
aetive
FaO/13
Neste caso, a VLAN 3 existe e est ativa em todos os trs switches. Entretanto, SW2 apresenta um nome diferente do que
apresentado pelos outros switches. O nome no tem tanta importncia para a operao da VLAN. Portanto, essa diferena
no importa. Como deveria ser, SW2 est utilizando o modo VTP transparente, com SW1 e SW3 como switches em modo
VTP cliente e servidor, respectivamente. Logo, o nome VLAN 3 (book-vlan3) combina em SWl e SW3.
Finalmente, a ltima parte do Passo 4 (Passo 4C) para resoluo de problemas sugere que voc confIrme o status do
trunking de todas as interfaces de trunk esperadas. tambm de grande ajuda determinar em quais trunks as VLANs
sero encaminhadas. O Exemplo 3-14 lista resultados que ajudam a fornecer as respostas. Examine o resultado no
exemplo e, antes de continuar lendo alm do fInal do exemplo, liste qualquer trunk que atualmente no encaminhe trfego
na VLAN 3, e faa uma lista dos possveis motivos pelos quais a VLAN 3 omitida do trunk.
Exemplo 3-14 Verificando trunking e a VLAN 3

Port
Status
Native vlan
trunking
GiO / 2 desirable 802.1q
trunking
Port
Mode
Eneapsulation
GiO/1 desirable 802.1q
GiO/l 1-4094
GiO / 2 1-4094
Port
Vlans allowed and aetive in management domain
GiO/l 1,3
GiO / 2 1,3
Port
GiO / 1 3
GiO/2 1,3
! SW2 next

Eneapsulation
Status
Native vlan
GiO / 1 auto
802.1q
trunking
GiO/2 auto
802.1q
trunking
Port
Port
Mode
GiO / 1 1-4094
GiO/2 1-4094
Port
Vlans allowed and aetive in management domain
CCNA ICND2
107
GiO/1 1,3
GiO/2 1,3
Port
V1ans in spanning tree forwarding state and not pruned
GiO/1 1,3
! SW3 next

Encaps u1ation
Status
Native v1an
n-802.1q
trunking
GiO/2 de s irab1e n-802 . 1q
trunking
Port
Mode
GiO/1 auto
Port
V1ans a110wed on trunk
GiO/1 1-4094
GiO/2 1 - 4094
Port
V1ans a110wed and active in management dornain
GiO/1 1,3
GiO/2 1,3
Port
V1ans in spanning tree forwarding state and not pruned
GiO/1 1,3
: Prevendo a operao normal do plano de dados do

LAN Switching
Um dos passos da resoluo de problemas analisar o que deveria estar acontecendo para que voc possa ento comparar
com o que est realmente acontecendo - e, possivelmente, isolar a causa geradora de qualquer problema. Estas ltimas
sees do Captulo 3 completam o estudo deste captulo sobre como as LANs devem funcionar. Para isso, examinamos dois
exemplos de frames encaminhados atravs de uma verso de trabalho do mesmo modelo de rede utilizado no exemplo de
resoluo de problemas que acabamos de resolver.
O objetivo destas sees explicar como interpretar o atual resultado do comando show em switches para prever para onde cada
switch encaminharia um determinado frame. O primeiro exemplo mostra um broadcast enviado por PCI na Figura 3-5, e o
segundo exemplo mostra o processo de encaminhamento de um frame unicast enviado por RI para o endereo MAC de PCl.
Broadcast de PC1 na VLAN 1
o primeiro exemplo de plano de dados em funcionamento examina o trajeto de um broadcast enviado por PCl. PCI pode
no ter o endereo MAC de RI no cache ARP; neste caso, portanto, PCI envia um broadcast ARP com um endereo de
destino IP 255.255.255.255 e o endereo de destino Ethemet FFFF.FFFF.FFFF. Esta seo examina o que os vrios switches
fazem para encaminhar o broadcast a todas as partes da VLAN 3, conforme mostrado na Figura 3-6.

Figura 3-6 Trajeto de encaminhamento de PCI a RI de acordo com Exemplo 3-14
0200.1111 .1111
Para analisar o fluxo de broadcast, use como referncia o processo genrico de encaminhamento, conforme resumido na
seo "Viso geral do processo de encaminhamento normal de LAN Switching", apresentada anteriormente neste captulo.
Exemplos anteriores confIrmaram que a porta FaO/11 de SW1 est designada VLAN 3 e que a interface FaO/11 de
SW1 uma interface de acesso. Como o frame um broadcast, SW1 distribuir o frame. Sabendo destes fatos, o
Exemplo 3-15 apresenta informaes suficientes para prever as interfaces atravs das quais SW1 encaminhar o frame
broadcast enviado por PC1listando o resultado do comando show spanning-tree vlan 3 active.
Exemplo 3-15 Lista de interfaces ativas de SWI

SW1# ahow apanning-tree vlan 3 active
VLAN0003
Spanning tree enabled protocol ieee
Root 10
Priority
24579
Addres s
000a. b 7dc.b780
Cost
Port
26
Hello Time
2 sec Max Age 20 sec Forwa rd Oelay 15 sec
Bridge 10 Priority
(GigabitEthernetO/2)
32771 (priority 32768 sys - id-ext 3)
Address
0019.e86a.6f80
Hello Time
Aging Time 300

Interface
Role Sts Cost
prio.Nbr
Type
FaO / 11
Desg FWD 19
128.11
P2p
Gi O/l
Desg FWD 4
128.25
P2p
~~G~i~0~
/2~____~R~o~ot~FWD~~1~__~12~8~.~2~6______~P~2~p__________________________________________________~
Observe que SW1 no encaminhar o frame de volta atravs de FaO/ll , j que o frame entrou por FaO/11. Alm disso,
SW1 encaminhar o frame saindo pelas interfaces de trunk (GiO/1 e GiO/2). Anteriormente neste captulo, o Exemplo 3-
14 mostra evidncias de que os dois trunks de SW1 utilizam 802.1 Q, com a VLAN 1 nativa, de forma que SW1 acrescentar
um cabealho 802.1 Q, com o VLAN ID 3, a cada cpia do frame de broadcast enviado atravs destes dois trunks.
As aes de SW1 significam que SW2 e SW3 devem receber uma cpia do frame de broadcast enviado por PCl. No
caso de SW2, ele acaba descartando sua cpia do frame de broadcast de PC1 recebido na interface GiO/2 de SW2. SW2
descarta o frame por causa do Passo 3 do processo genrico de encaminhamento apresentado anteriormente no captulo,
j que a interface (GiO/2) de entrada de SW2 est em Estado de Bloqueio na VLAN 3. (O Exemplo 3-14 e o texto que
se segue ao exemplo mostraram a interface GiO/2 de SW2 em Estado de Bloqueio para VLAN 3). Observe que o Estado
de Bloqueio de SW2 no impediu que SW1 enviasse o frame para SW2; em vez disso, SW2 descarta silenciosamente o
frame recebido.
CCNA ICND2
109
Com relao cpia do frame de broadcast de PCl recebido por SW3 em sua interface GiO/l , SW3 distribui o frame.
SW3 determina a VLAN do frame com base no cabealho de entrada 802.1 Q e encontra a interface de entrada em
Estado STP de Encaminhamento. Baseado nestes fatos, SW3 encaminhar o frame dentro de VLAN 3. O Exemplo 316 mostra as informaes necessrias para saber em quais interfaces SW3 encaminha o broadcast da VLAN 3.
Exemplo 3-16 SW3: encaminhando um broadcast em VLAN 3

SW3# show mac address-tab1e dynamdc v1an 3
Mac Address Table
Vlan
Mac Addre s s
Type
Ports
0200.0101.0101
DYNAMIC
GiO / 2
0200 . 1111 . 1111
DYNAMIC
GiO / l
0200.3333 . 3333
DYNAMIC
FaO / 13
Tota l Mac Addresses for this criterion: 3

SW3# show spanning-tree v1an 3 active
VLAN0003
Spanning tree enabled protocol ieee
Root I D
priority
24579
Address
000a.b7dc.b780
This bridge is the root

HelIo Time
Bridge ID
pr iority
24579 (priority 24576 sys-id-ext 3)
Address
000a.b7dc . b780
HelIo Time
Agin g Time 300

Interface
Role Sts Cost
---------
--- ----
prio.Nbr
Type
---------
FaO / 13
Desg FWD 19
128.13
.P2p
GiO / l
Desg FWD 4
128.25
P2p
GiO/2
De sg FWD 4
128.26
P2p
Assim como SWl , SW3 no encaminha o broadcast saindo pela mesma interface na qual o frame chegou (GiO/1, neste
caso), mas distribui o frame saindo por todas as outras interfaces naquela VLAN e em Estado STP de Encaminhamento,
ou seja, FaO/13 e GiO/2. Alm disso, como a interface GiO/2 de SW3 atualmente utiliza o trunking 802.1 Q, com a VLAN
1 nativa, SW3 acrescenta um cabealho 802.1Q mostrando o VLAN ID 3.
Finalmente, quando SW2 recebe a cpia de broadcast vinda de SW3 na interface GiO/1 de SW2, SW2 segue o mesmo
processo genrico dos outros switches. SW2 identifica a VLAN com base no cabealho 802.1 Q de entrada, confrrma
que a interface de entrada est em Estado de Encaminhamento e distribui o broadcast saindo por todas as suas interfaces
que esto, ao mesmo tempo, em Estado de Encaminhamento e na VLAN 3. Neste caso, SW2 encaminha o frame saindo
somente pela interface FaO/9, conectada ao roteador Rl. O Exemplo 3-17 mostra o resultado do comando de apoio.
Exemplo 3-17 SW2: encaminhando uma broadcast na VLAN 3 recebida de SW3

First, note that the broadcast address FFFF.FFFF.FFFF i s n o t
in the VLAN 3 MAC table .
SW2# show mac address-tab1e dynamdc v1an 3
Mac Addre s s Table
Vlan
Mac Address
Type
Ports

3
000 a .b7dc .b79 a
DYNAMIC
GiO/1
0200.0101 . 01 01
DYNAMIC
FaO/9
0200.1111.1111
DYNAMIC
GiO/1
0200.3333.3333
DYNAMIC GiO/1
Total Ma c Addresses for this criterion : 4

! Next,
note that on FaO / 9 and GiO / 1 are in an STP forwarding state,
! and the broadcast came in GiO / 1 -
so SW2 floods the frame only out FaO / 9.
SW2# ahow apanning-tree v1an 3 active

!lines omitted for brevity
Interface
Role St s Cost
Prio . Nbr
Type
FaO / 9
Desg FWD 19
128.9
P2p
GiO/1
Root FWD 4
128.25
P2p
GiO / 2
Altn BLK 4
128.26
P2p
SW2 no encaminha o frame saindo por GiO/1 , pois o frame entrou pela interface GiO/1 de SW2.
Trajeto de encaminhamento: unicast de R1 para PC1
o segundo exemplo de plano de dados examina como os switches encaminham frames unicast. Para analisar o processo
de encaminhamento para frames unicast, considere a resposta ARP de RI com relao solicitao/broadcast ARP de
PC1. Os endereos de destino (IP e MAC) da resposta ARP de RI so os endereos IP e MAC de PC1 , respectivamente.
A Figura 3-7 mostra o trajeto de encaminhamento, com os exemplos que se seguem explicando como o processo genrico
de encaminhamento de frames se aplica a este caso em particular.
Figura 3-7 Trajeto de encaminhamento de R1 para PC1 de acordo com Exemplo 3-15
0200.1111 . 1111
Quando SW2 recebe o frame de RI, SW1 nota que o frame entrou pela interface FaO/9, uma interface de acesso na
VLAN 3. O final do Exemplo 3-17 anteriormente mostrou FaO/9 em Estado STP de Encaminhamento na VLAN 3 e, por
isso, SW2 tentar encaminhar o frame em vez de descart-lo. Conforme visto a seguir no Exemplo 3-18, a tabela de
endereos MAC de SW2 apresenta o endereo MAC de PC1 - 0200.1111.1111 - fora da interface GiO/1 e na VLAN 3;
portanto, SW2 encaminha o frame saindo por GiO/1 at SW3.
Exemplo 3-18 Lgica de SW2 ao encaminhar um unicast conhecido para PC1

SW2# ahow mac addreaa-table dynamic v1an 3
Mac Address Table
Vlan
Mac Address
Type
Ports
CCNA ICND2
000a .b7dc. b 79a
DYNAMIC
GiO / 1
0200 . 0101 . 0101
DYNAMIC
FaO / 9
0200 . 1111.1111
DYNAMIC
GiO / 1
111
To t al Mac Addres s es for this c riterion: 3
Quando SW3 recebe o frame de SW2, ele nota que o frame entrou pela interface GiO/2, uma interface de trunking, e que o
cabealho do trunking listava o VLAN ID 3. O final do Exemplo 3-16 anteriormente mostrou GiO/2 em Estado STP de
Encaminhamento na VLAN 3 (passo 3 do encaminhamento), e, por isso, SW3 no vai descartar o frame recebido por causa
do STP. Conforme visto a seguir no Exemplo 3-19, a tabela de endereos MAC de SW3 apresenta o endereo MAC de
PC1-0200.1111.1111-fora da interface GiO/1 e na VLAN 3; portanto, SW3 encaminha0 frame saindo por GiO/1 at SWl.
Exemplo 3-19 Lgica de SW3 ao encaminhar um unicast conhecido para PCl

SW3# show mac address-table dynamic v1an 3
Mac Address Table
Vlan
Mac Address
----
--------------
Type
Ports
------
------
0200.0101 . 0101
DYNAMIC
GiO / 2
02 0 0. 1111.1111
DYNAMIC
Gi O/ 1
0200 . 3333.3333
DYNAMIC
FaO / 13
Total Mac Addresses for this criterion: 3
Quando SW1 recebe o frame de SW3 , ele nota que o frame entrou pela interface GiO/2, uma interface de trunking, e que
o cabealho do trunking listava o VLAN ID 3. O final do Exemplo 3-15 anteriormente mostrou a GiOI2 de SWl em
Estado STP de Encaminhamento na VLAN 3, e, por isso, SW1 no vai descartar o frame pelo fato de a interface no
estar em Estado STP de Encaminhamento. Conforme visto a seguir no Exemplo 3-20, a tabela de endereos MAC de
SW1 apresenta o endereo MAC de PC1 - 0200.1111.1111 - fora da interface FaO/11 e da VLAN 3; portanto, SW1
encaminha o frame saindo por FaO/11 at PCl. Neste caso, SW1 remove o cabealho 802.1Q da VLAN porque a
interface FaO/11 uma interface de acesso.
Exemplo 3-20 Lgica de SWl ao encaminhar um unicast conhecido para PCl

SW1# show mac addres.-table dynamic vlan 3
Mac Address Table
Vla n
Mac Address
000a.b7dc.b799
Type
Ports
DYNAMIC
GiO / 2
0200.0101.0101
DYNAMIC
GiO / 2
0200.3333.3333
DYNAMIC
GiO / 2
To t al Mac Addresses for this criterion : 3

SW1# show mac address-table vlan 3
Mac Address Table
Vlan
Mac Address
Type
Ports
----
--------------
---- --
-----
A11
0100.0ccc.cccc
STATIC
CPU
All
0100 . 0ccc.cccd
STATIC
CPU
All
0180 . c200.0000
STATIC
CPU
All
0180.c200.0001
STATIC
CPU

All
0180.c200.0002
STATIC
CPU
All
0180.c200.0003
STATIC
CPU
All
0180.c200.0004
STATIC
CPU
All
0180.c200.0005
STATIC
CPU
All
0180.c200 . 0006
STATIC
CPU
All
0180.c200 . 0007
STATIC
CPU
All
0180.c200.0008
STATIC
CPU
All
0180.c200.0009
STATIC
CPU
All
0180.c200 . 000a
STATIC
CPU
All
0180.c200.000b
STATIC
CPU
All
0180.c200.000c
STATIC
CPU
All
0180.c200.000d
STATIC
CPU
All
0180.c200.000e
STATIC
CPU
All
0180.c200.000f
STATIC
CPU
All
0180.c200.0010
STATIC
CPU
All
ffff.ffff.ffff
STATIC
CPU
000a . b7dc.b799
DYNAMIC
GiO/2
0200.0101.0101
DYNAMIC
GiO/2
0200.1111.1111
STATIC
FaO/11
Total Mac Addresses for this criterion: 23
Este ltimo passo destaca um fato importante sobre a tabela de endereos MAC e sobre segurana de portas. Observe
que o comando show mac address-table dynamic em SW1 no apresenta o endereo MAC 0200.1111.1111 de PC1.
Por isso, possvel que voc tenha sido tentado pensar que SW1 distribuir o frame por ele ser um unicast desconhecido.
Entretanto, como SW1 configurou a segurana de portas em FaO/11 , incluindo o subcomando de interface switchport
port-security mac-address 0200.1111.1111, o lOS considera esse endereo MAC um endereo MAC esttico.
Portanto, ao deixar de fora a palavra-chave dynamic, o comando show mac address-table vlan 3 apresenta todos os
endereos MAC conhecidos na VLAN, incluindo 0200.1111.111. Esse resultado de comando confirma que SW1 encaminhar
o unicast para 0200.1111.1111 somente saindo pela interface FaO/11.


Nmero da pgina
Descrio
Tabela 3-2
Apresenta os dois conjuntos de cdigos

de status de interfaces e as causas tpicas
geradoras para cada estado
90
Usos tpicos dos cabos Ethernet straight-through e

de cross over
91
Apresenta dispositivos e os pinos nos quais eles

transmitem para lOBASE-T e 1ooBASE-Tx
91
Sugestes para observar problemas de erros de

combinao de duplex
93
Figura 3-4
Tabela 3-3
Lista
CCNA ICND2
Lista
Escolhas de negociao automtica duplex IEEE

padro com base na velocidade atual
94
Lista
Recursos da segurana de portas
94
Tabela 3-4
Modos de violao da segurana de portas com

diferenas em comportamento e comandos show
95
Tabela 3-5
Apresenta comandos show teis para encontrar

interfaces de acesso e suas VLANs designadas
97
113
Lista
Quatro motivos pelos quais um switch no transmite o

trfego de uma VLAN atravs de um determinado trunk
99
Lista
Apresenta os passos de resoluo de problemas

explicados neste captulo (no precisam ser memorizados)
100
Imprima uma cpia do Apndice J, "Tabelas de memria", ou pelo menos a seo referente a este captulo e complete as
tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", inclui tabelas e listas completadas
para voc conferir o seu trabalho.

Configurar, verificar e resolver problemas de um switch com VLANs e comunicaes entre switches
- Configurar, verificar e resolver problemas de roteamento entre VLANs
Implementar um esquema de endereamento IP e de servios IP para satisfazer aos requisitos de rede em
rede empresarial de porte mdio
um"
- Calcular e aplicar um projeto de endereamento VLSM a uma rede
- Determinar o esquema de endereamento classless adequado utilizando VLSM e sumarizao para satisfaze~
aos requisitos de endereamento em um ambiente LAN/WAN
- Identificar e corrigir problemas comuns associados a endereamento IP e configuraes de hosts
Configurar e resolver problemas de operao bsica e roteamento em dispositivos Cisco
- Verificar a configurao e a conectividade utilizando ping, traceroute, telnet ou SSH
- Resolver problemas da implementao de roteamento
- Verificar a operao de hardwares e softwares de roteadores utilizando os comandos SHOW e DEBUG
- Implementar a segurana bsica de roteadores
Implementar, verificar e resolver problemas de NAT e ACLs em uma rede empresarial de porte mdio
- Descrever o propsito e os tipos de listas de controle de acesso (ACLs)
- Configurar e aplicar listas de controle de acesso aos requisitos de filtragem de uma rede
- Configurar e aplicar uma lista de controle de acesso para limitar o acesso telnet e SSH ao roteador
- Verificar e monitorar ACLs em um ambiente de rede
- Resolver problemas de implementao de ACLs

Captulo 4 Roteamento IP: rotas estticas e
rotas diretamente conectadas
Captulo 5 VLSM e sumarizao de rotas
Captulo 6 Listas de controle de acesso IP
Captulo 7 Resolvendo problemas de
roteamento IP

seguintes assuntos:
Roteamento e endereamento IP: esta seo revisa a
relao existente entre endereamento IP e roteamento
IP acrescentando mais detalhes sobre como o roteamento
funciona com a sobreposio de mltiplas rotas.
Rotas at sub-redes diretamente conectadas: esta seo

examina como os roteadores acrescentam rotas no caso
de sub-redes conectadas s interfaces de um roteador.
Rotas estticas: esta seo descreve como configurar rotas

estticas incluindo rotas estticas padro.
CAPTULO
: Roteamento IP: rotas estticas e rotas
diretamente conectadas
. -----------------------------------------------------
Roteamento IP e Endereamento IP
1-2
Rotas at Sub-redes Diretamente Conectadas
3-4
Rotas Estticas
5-8
Este captulo inicia a Parte n, "Roteamento IP". Os quatro captulos desta parte concentram-se em recursos que causam
impacto sobre o processo de roteamento IP - tambm chamado encaminhamento IP - atravs do qual hosts e roteadores
entregam pacotes do host origem ao host de destino. Esses quatro captulos tambm, ocasionalmente, explicam tpicos
relacionados aos protocolos de roteamento IP, em parte porque o roteamento IP, que um recurso do plano de dados,
depende muito do trabalho feito no plano de controle pelos protocolos de roteamento.
Este captulo aborda vrios tpicos relacionados a rotas conectadas, que so rotas utilizadas para alcanar sub-redes
anexadas interface de um roteador. Este captulo tambm explica rotas estticas, incluindo rotas padro (default), alm
de revisar os tpicos bsicos dependentes do endereamento IP e do roteamento IP.
o questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
oito questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A
material destas sees. Isso ajudar voc a avaliar o seu conhecimento nestas reas especficas.
Questes
1. Um usurio liga seu computador e, assim que o computador comea a funcionar, ele abre um navegador Web para
visitar a pgina http://www.ciscopress.com. Qual (is) protocolo(s) definitivamente no seria(m) usado(s) pelo
computador durante este processo?
a. DHCP
b. DNS
c. ARP
d.ICMP
2. Um usurio liga seu computador e, assim que o computador comea a funcionar, ele abre um prompt de comando. A partir
da, ele emite o comando ping 2.2.2.2 e o ping mostra um sucesso de 100%. O endereo IP do PC 1.1.1.1 e a
mscara 255.255.255.0. Qual das seguintes definies seria necessria no PC para dar suporte ao ping bem-sucedido?
a. O endereo IP de um servidor DNS
b. O endereo IP de um gateway padro
c. O endereo IP de um servidor ARP
d. O endereo IP de um servidor DHCP
118 Captulo 4: Roteamento IP: rotas estticas e diretamente conectadas
3. O Roteador 1 possui uma interface Fast Ethernet O/O com o endereo IP 10.1.1.1. A interface est conectada a um
switch. Essa conexo , em seguida, migrada para utilizar o trunking 802.1 Q. Qual dos seguintes comandos poderia
fazer parte de uma configurao vlida para a interface FaO/O do Roteador 1?
a. interface fastethernet 0/0.4
b. dot1q enable
c. dotlq enable 4
d. trunking enable
e. trunking enable 4
f. encapsulation dotl q
4. Um roteador est configurado com o comando de configurao global no ip subnet-zero. Qual dos seguintes
subcomandos de interface no seria aceito por esse roteador?
a. ip address 10.1.1.1 255.255.255.0

b. ip address 10.0.0.129255.255.255.128
c. ip address 10.1.2.2255.254.0.0
d. ip address 10.0.0.5 255.255.255.252
5. Qual das seguintes afirmativas pode ser verdadeira antes que o lOS apresente uma rota "S" no resultado de um
comando show ip route?
a. O endereo IP deve estar configurado em uma interface.

b. O roteador deve receber uma atualizao de roteamento de um roteador vizinho.
c. O comando ip route deve ser acrescentado configurao.
d. O comando ip address deve utilizar a palavra-chave special.
e. A interface deve estar ativa e ativa (up e up).
6. Qual dos seguintes comandos configura corretamente uma rota esttica?
a. ip route 10.1.3.0255.255.255.010.1.130.253
b. ip route 10.1.3.0 serial O
c. ip route 10.1.3.0/2410.1.130.253
d. ip route 10.1.3.0/24 serial O
7. Qual das seguintes alternativas afetada pelo fato de um roteador estar executando o roteamento classful ou classless?
a. Quando utilizar uma rota padro
b. Quando utilizar mscaras em atualizaes de roteamento
c. Quando converter o endereo IP de destino de um pacote em um nmero de rede
d. Quando realizar enfileiramento com base na classificao de um pacote em uma fila em particular
8. Um roteador foi configurado com o comando de configurao global ip classless. O roteador recebe um pacote
destinado ao endereo IP 168.13.4.1. O texto a seguir apresenta o contedo da tabela de roteamento do roteador.
Qual das seguintes afirmativas verdadeira sobre como esse roteador encaminha o pacote?
Gateway of last resort is 168.13 .1.101 to network O. O. O. O

168.13.0.0/24 is subnetted, 2 subnets
C 168.13.1.0 is directly connected, FastEthernetO/O
R 168.13.3.0 [120/1] via 168.13.100.3, 00:00:05, SerialO.1
CCNA ICND2 119

a. Ele encaminhado para 168.13.100.3.
b. Ele encaminhado para 168.13.1.101.
. ------------------------------------------------------c. Ele encaminhado saindo pela interface FaO/O, diretamente ao host de destino.
d. O roteador descarta o pacote .
Tpicos fundamentais
Este captulo introduz vrios conceitos simples com relao a como um roteador acrescenta rotas sua tabela de
roteamento sem utilizar um protocolo de roteamento dinmico. De modo especial, este captulo aborda rotas conectadas,
incluindo aquelas quando o roteador utiliza o trunking de LANs. So tambm abordadas rotas estticas, com alguma
nfase em como os roteadores utilizam rotas estticas especiais chamadas rotas padro. Entretanto, como este captulo
o primeiro captulo deste livro voltado ao IP, ele comea com uma breve reviso de dois tpicos relacionados: roteamento
IP e endereamento IP.
Observao A introduo deste livro descreve um plano de leitura alternativo para leitores
que querem fazer o exame CCNA 640-802, que inclui a utilizao simultnea do CCENT/
CCNA ICNDJ Guia Oficial de Certificao do Exame e deste livro. Se estiver usando este
plano, observe que a primeira seo revisa tpicos do livro ICNDI. Se estiver seguindo
aquele plano de leitura, sinta-se vontade em passar direto para a seo ''Encaminhamento
IP atravs da combinao com a rota mais especfica".
Roteamento e endereamento IP
O roteamento IP depende das regras de endereamento IP, sendo um dos objetivos originais da criao do endereamento
IP a criao de um roteamento IP eficiente. O roteamento IP define como um pacote IP pode ser entregue ao host de
destino a partir do bost no qual o pacote criado. As convenes de endereamento IP agrupam endereos em conjuntos
de endereos numerados de forma consecutiva chamados sub-redes, que auxiliam o encaminhamento IP ou o processo
de roteamento IP.
Observao Este livro utiliza os termos roteamento IP e encaminhamento IP como sinnimos.

O termo protocolos de roteamento IP se refere aos protocolos de roteamento que os roteadores
utilizam para preencher dinamicamente as tabelas de roteamento com as melhores rotas atuais.
Observe que alguns textos e cursos utilizam o termo roteamento IP para se referir tanto ao
processo de encaminhamento de pacotes quanto aos protocolos utilizados para aprender rotas.
Roteamento IP
Tanto os hosts quanto os roteadores participam do processo de roteamento IP. A lista a seguir resume a lgica de um bost
ao encaminhar um pacote, considerando que o host esteja em uma LAN Ethernet ou em uma LAN sem fio:
ft~
~.
\te
1. Ao enviar um pacote, compare o endereo IP de destino do pacote com a percepo do host de recebimento em
relao ao intervalo de endereos contidos na sub-rede conectada, com base no endereo IP do host e na mscara
da sub-rede.
a. Se o destino estiver na mesma sub-rede do host, envie o pacote diretamente ao host de destino. necessrio utilizar
o ARP (Address Resoultion Protocol, ou Protocolo de Resoluo de Endereos) para encontrar o endereo
MAC do host de destino.
b. Se o destino no estiver na mesma sub-rede do host, envie o pacote diretamente ao gateway padro do host
(roteador padro). O ARP necessrio para encontrar o endereo MAC do gateway padro.

Os roteadores utilizam passos gerais mostrados a seguir, observando que, com roteadores, o pacote deve primeiramente
ser recebido, ao passo que o host de envio (conforme anteriormente explicado) comea com o pacote IP na memria:
..........
{ TpiCO
:"'~have
1. Para cada frame recebido, utilize o campo FCS (Frame Check Sequence, ou Seqncia de Verificao de Frames)
para links de dados para se assegurar de que o frame no continha nenhum erro; se tiver ocorrido algum erro,
descarte o frame (e no passe para o prximo passo).
2. Verifique o endereo de camada de enlace do destino do frame, e processe somente se forem endereados a este
roteador ou a um endereo broadcastlmulticast.
3. Descarte o antigo cabealho e o trailer de enlace do frame de entrada, abandonando o pacote IP.
4. Compare o endereo IP de destino do pacote com a tabela de roteamento e encontre a rota que combina com o
endereo de destino. Essa rota identifica a interface de sada do roteador e possivelmente o prximo roteador.
5. Determine o endereo de enlace do destino utilizado para encaminhar pacotes ao prximo roteador ou ao host de
destino (conforme instrues da tabela de roteamento).
6. Encapsule o pacote IP dentro de um novo cabealho e trailer de enlace, adequado interface de sada, e encaminhe
o frame saindo por aquela interface.
Considere a Figura 4-1, por exemplo, que mostra uma rede simples com dois roteadores e trs hosts. Neste caso, PC1
cria um pacote para ser enviado ao endereo IP de PC3, ou seja, 172.16.3.3. A figura mostra trs importantes passos do
roteamento, chamados de A, B e C: a lgica de roteamento do host de PC1 que encaminha o pacote em direo a RI, a
lgica de roteamento de RI que encaminha o pacote em direo a R2, e a lgica de roteamento de R2 que encaminha o
pacote em direo a PC2.
Primeiro, considere o Passo A da Figura 4-1. PC 1 conhece seu prprio endereo IP 172.16.1.1 e sua mscara 255.255.255 .0.
(Todas as interfaces utilizam uma mscara fcil, 255.255.255.0, neste exemplo.) PC1 pode calcular o seu nmero de subrede (172.16.1.0/24) e intervalo de endereos (172.16.1.1-172.16.1.254). O endereo de destino 172.16.3.3 no est na
sub-rede de PC1; portanto, PC1 utiliza o Passo 1B apresentado no resumo das lgicas de roteamento do host, isto , PC1
envia o pacote, dentro de uma frame Ethernet, ao seu endereo IP 172.16.1.251 de gateway padro.
Figura 4-1 Exemplo do processo de roteamento IP

Sub-rede 172.16.1.0, 255.255.255.0
Sub-rede 172.16.3.0, 255.255.255.0
Sub-rede 172.16.2.0, 255.255.255.0

172.16.2.2
172.16.3.3
172.16.1.1
PC1
PC3
FAO/O -.--,..,.-. FAO/1
172.16.1.251
FAO/O n~'t::~......:....:FA~0::...:
/1~_--1
I------'...;...;.:;.c~
172.16.3.252
172.16.2.252
172.16.2.251
Desencapsular
MAC Fonte = PC1

MAC de Destino R1 FAOIO
-1C
-1C
Tabela ARP de PCl
"
IP
MAC:
172.16.1.251 R1-FAO/0-MAC
MAC Fonte R2 FA0/1

MAC de Destino PC3
MAC Fonte R1 FA0/1

MAC de Destino R2 FAO/O
Tabela ARP de R1
"
IP
MAC:
172.16.2.252 R2-FAO/0-MAC
\
"
Tabela de roteamento IP
Network
172.16.3.0
d:~l'"
Out Int. Next-hop \

FA0/1
172.16.2.252 B
-1C
Tabela ARP de R2
"
IP
.:..:....-_
_ MAC I I
172.16.. 3.3 PC3-MAC
---'==~
Tabela de roteamento IP de R2
Subnet
172.16.3.0
=O=ut~ln=t~.~~~
FA0/1
CCNA ICND2 121
Este primeiro passo (Passo A) do PCl enviando o pacote ao seu gateway padro tambm revisa alguns conceitos
importantes. Como voc pode ver na parte inferior da figura, PCl utiliza seu prprio endereo MAC como endereo
MAC origem, mas utiliza o endereo MAC LAN de RI como endereo MAC de destino. Em conseqncia disso,
qualquer switch pode entregar o frame corretamente interface FaO/O de RI. Alm disso, observe que PCl procurou e
encontrou o endereo MAC de 172.16.1.251 no seu cache. Se o endereo MAC no tivesse sido encontrado, PCl teria
que ter utilizado o ARP para descobrir dinamicamente o endereo MAC utilizado por 172.16.1.251 (RI) para poder
enviar o frame mostrado na Figura 4-1.
A seguir, concentre-se no Passo B da Figura 4-1, que o trabalho feito pelo roteador RI para encaminhar o pacote.
Utilizando o resumo dos passos de roteamento que precedem a Figura 4-1, acontece o seguinte com RI: (Observe que a
figura denota muitos dos detalhes com a letra B)
1. RI verifica o FCS e o frame no contm nenhum erro.

2. RI encontra o endereo MAC de sua prpria interface FaO/O no campo do endereo MAC de destino do frame e,
portanto, RI deve processar o pacote encapsulado.
3. RI descarta o antigo cabealho e trailer de enlace, abandonando o pacote IP (conforme mostrado logo abaixo do
cone RI na Figura 4-1).
4. (Na parte inferior central da Figura 4-1) RI compara o endereo IP de destino (172.16.3.3) com a tabela de
roteamento de RI, encontrando a combinao de rota mostrada na figura, com a interface de sada FaO/l e o
prximo roteador (next hop) 172.16.2.252.
5. RI precisa encontrar o endereo MAC do prximo dispositivo (o endereo MAC de R2); portanto, RI procura e
acha o endereo MAC em sua tabela ARP.
6. RI encapsula o pacote IP em um novo frame Ethernet, com o endereo MAC da FaO/l de RI sendo o endereo
MAC origem, e o endereo MAC da FaO/O de R2 sendo o endereo MAC de destino. RI envia o frame.
Embora os passos possam parecer trabalhosos, voc pode pensar em verses mais abreviadas dessa lgica em casos em
que uma questo no exige esse nvel de profundidade. Por exemplo, ao resolver problemas de roteamento, concentrarse no Passo 4 - a combinao do endereo IP de destino do pacote com a tabela de roteamento do roteador -
provavelmente um dos passos mais importantes. Conseqentemente, um resumo mais sucinto do processo de roteamento
pode ser: o roteador recebe um pacote, combina o endereo de destino do pacote com a tabela de roteamento e envia o
pacote com base na combinao da rota. Embora essa verso abreviada ignore alguns detalhes, o trabalho pode ser
agilizado ao resolver problemas ou discutir questes sobre roteamento.
Para concluir o exemplo, considere os mesmos seis passos da lgica de encaminhamento do roteador, conforme aplicado
ao roteador R2, apresentado com a letra C na Figura 4-1, como se segue:
1. R2 verifica o FCS e o frame no contm nenhum erro.

2. R2 encontra o endereo MAC de sua prpria interface FaO/O no campo do endereo MAC de destino do frame;
portanto, R2 dever processar o pacote encapsulado.
3. R2 descarta o antigo cabealho e o trailer de enlace, abandonando o pacote IP (conforme mostrado logo abaixo do
cone R2 na Figura 4-1).
4. (No canto inferior direito da Figura 4-1) R2 compara o endereo IP de destino (172.16.3.3) com a tabela de
roteamento de R2, encontrando a combinao de rota mostrada na figura, com a interface de sada FaO/l e nenhum
prximo roteador listado.
5. Como no existe nenhum prximo roteador, R2 precisa encontrar o endereo MAC do verdadeiro host de destino (o
endereo MAC de PC3). Por isso, R2 procura e acha este endereo MAC em sua tabela ARP.
6. R2 encapsula o pacote IP em um novo frame Ethernet, com o endereo MAC da FaO/l de R2 sendo o endereo
MAC origem, e o endereo MAC de PC3 (de acordo com a tabela ARP) sendo o endereo MAC de destino.
Finalmente, quando esse frame chega a PC3, ele v seu prprio endereo MAC apresentado como o endereo MAC de
destino e, conseqentemente, comea a processar o frame.
O mesmo processo geral tambm funciona com links de WAN, com alguns detalhes diferentes. Em links ponto-a-ponto,
conforme mostrado na Figura 4-2, no necessrio ter uma tabela ARP. Como um link ponto-a-ponto pode ter no
mximo um outro roteador cone~tado a ele, voc pode ignorar o endereamento do enlace. Entretanto, com Frame Relay,
o processo de roteamento conSIdera OS endereos do enlace, chamados DLCI (data-link connection identifiers, ou
identificadores de conexo do enlace). Os detalhes de roteamento com relao aos DLCIs da Frame Relay so abordados
mais adiante, no Captulo 13 deste livro.
Figura 4-2 Exemplo do processo de roteamento IP

Sub-rede 172.16.4.0. 255.255.255.0
Sub-rede 172.16.3.0. 255.255.255.0
Sub-rede 172.16.1 .0. 255.255.255.0
172.16.3.3
172.16.1.1
PC1
PC3
FAOIO
172.16.1.251
SOIOIO
~S~0~ffi~/1i~~~F~AO~/1L---~
L -_ _ _ _
172.16.4.251
172.16.3.252
172.16.4.252
t.
Reencapsular
Desencaps la
u r.: Pacote IP .
,.---~~----,
I
MAC fonte = PC1

MAC de destino = R1 FAOIO
Endereamento IP no
Importante por ser uma
topologia ponto-a-ponto
MAC fonte = R2 FAOI1

MAC de destino PC3
O processo de roteamento IP, tanto nos hosts quanto nos roteadores, depende da capacidade desses dispositivos de
entender o endereamento IP e prever quais endereos IP esto em cada grupo ou em cada sub-rede. A prxima seo
oferece uma breve reviso dos endereos IP e da criao de sub-redes.
Endereamento IP e criao de sub-redes

As regras de endereamento IP ajudam os processos de roteamento IP exigindo que todos os endereos IP sejam
organizados em grupos formados por endereos IP numerados de forma consecutiva chamados de sub-redes. Para
oferecer uma forma resumida de se referir a uma sub-rede, o endereamento IP define o conceito de nmero de uma
sub-rede e de mscara de uma sub-rede, que juntos identificam exatamente o intervalo de endereos em uma sub-rede.
Os roteadores das Figuras 4-1 e 4-2, por exemplo, utilizavam roteadores que apresentavam o nmero de sub-rede
172.16.3.0 ao encaminhar o pacote destinado a PC3 (172.16.3.3). As figuras omitiram a mscara da sub-rede por falta de
espao, mas qualquer dispositivo pode olhar o nmero da sub-rede 172.16.3.0, com a mscara 255.255.255.0, e saber que
esses dois nmeros representam de forma resumida a seguinte sub-rede:
Nmero da sub-rede 172.16.3.0
Intervalo de endereos utilizveis na sub-rede: 172.16.3.1-172.16.3.254
.. ....
( TPICO
\....c...".
Endereo de broadcast da sub-rede (no utilizvel para hosts individuais): 172.16.3.255

A lista seguinte oferece uma breve reviso de alguns dos conceitos mais importantes de endereamento IP. Observe que
este captulo se concentra exclusivamente em endereos IP da verso 4 (IPv4), enquanto o Captulo 17, "IP Verso 6"
aborda o IPv6.
Endereos IP unicast so endereos IP que podem ser designados a uma interface indi vidual para envio e recebimento
de pacotes.
Cada endereo IP unicast reside em uma determinada rede Classe A, B ou C, chamada de rede IP classful.
Se forem utilizadas sub-redes, o que quase sempre verdade na vida real, cada endereo IP unicast tambm reside
em um subconjunto especfico da rede classful chamado de sub-rede.
A mscara da sub-rede, escrita na forma decimal com pontos (por exemplo, 255.255.255.0) ou na forma de notao
de prefixos (por exemplo, /24), identifica a estrutura dos endereos IP unicast e permite que dispositivos e pessoas
deduzam o nmero da sub-rede, o intervalo de endereos e o endereo de broadcast de uma sub-rede.
Dispositivos de uma mesma sub-rede devem utilizar a mesma mscara da sub-rede; do contrrio, eles tero opinies
diferentes sobre o intervalo de endereos da sub-rede, o que pode romper o processo de roteamento IP.
.'
CCNA ICND2 123

Dispositivos de uma nica VLAN devem estar na mesma e nica sub-rede IP.
Dispositivos de VLANs diferentes devem estar em sub-redes IP diferentes.
Para encaminhar pacotes entre sub-redes, deve ser utilizado um dispositivo que execute roteamento. Neste livro,
so mostrados apenas roteadores, mas switches multilayer (multi camadas) - switches que tambm executam
funes de roteamento - tambm podem ser utilizados.
Links seriais ponto-a-ponto utilizam uma sub-rede diferente das sub-redes de LAN, mas essas sub-redes s requerem
dois endereos IP, um para cada interface do roteador em qualquer extremidade do link.
Hosts separados por um roteador devem estar em sub-redes separadas.
A Figura 4-3 mostra um exemplo de inter-rede que exibe vrios destes recursos. O switch SW1 automaticamente coloca
todas as interfaces na VLAN 1, e, por isso, todos os hosts esquerda (incluindo PC1) esto em uma nica sub-rede.
Observe que o endereo IP de gerenciamento de SW 1, tambm na VLAN 1, ser daquela mesma sub-rede. Analogamente,
SW2 automaticamente coloca todas as portas na VLAN 1, requerendo uma segunda sub-rede. O link ponto-a-ponto
requer uma terceira sub-rede. A figura mostra os nmeros, as mscaras e o intervalo de endereos da sub-rede. Observe
que todos os endereos e sub-redes fazem parte da mesma e nica rede classful de Classe B 172.16.0.0, e todas as subredes utilizam uma mscara igual a 255.255.255.0.
Figura 4-3 Exemplo de projeto de endereamento IP

Sub-rede
Intervalo
172.16.1.0
172.16.1.1172.16.1.254
Broadcast 172.16.1 .255
Sub-rede
Intervalo
172.16.4.0
172.16.4.1172.16.4.254
Broadcast 172.16.4.255
Sub-rede 172.16.3.0
Intervalo
172.16.3.1172.16.3.254
Broadcast 172.16.3.255
A Figura 4-3 apresenta os nmeros da sub-rede, os intervalos de endereos e os endereos de broadcast da sub-rede.
Entretanto, cada dispositivo da figura pode encontrar as mesmas informaes baseado simplesmente em seu respectivo
endereo IP e na configurao da mscara de sub-rede, deduzindo o nmero da sub-rede, o intervalo de endereos e o
endereo de broadcast para cada sub-rede anexada.
Os exames CCNA exigem o domnio desses conceitos de endereamento e de criao de sub-redes IP, mas ainda mais
importante, eles exigem o domnio da matemtica utilizada para analisar as redes IP existentes e criar novas redes IP. Se
voc ainda no dedicou tempo suficiente para dominar a criao de sub-redes, aconselhvel estudar e praticar antes de
continuar a leitura do livro. Embora esta seo tenha revisado os fundamentos do endereamento IP, ela no cobre a
matemtica envolvida na criao de sub-redes.
Para aprender sobre a criao de sub-redes e a matemtica respectiva, existem algumas opes. Para aqueles que
tenham comprado a biblioteca composta por dois livros que inclui este livro e o CCENT/CCNA ICNDJ Guia Oficial de
Certificao do Exame, estude o Captulo 12 daquele livro e resolva os problemas prticos apresentados.
Para estar preparado para ler o restante deste livro sem deixar que a matemtica envolvida na criao de sub-redes
cause qualquer dificuldade, antes de continuar a leitura, faa as atividades apresentadas na lista a seguir, com tempo
suficiente. No necessrio encontrar as respostas rapidamente neste ponto da sua preparao, mas para estar preparado
para os exames, necessrio estar pronto para resolver essas atividades dentro dos limites de tempo apresentados:
Dada uma mscara decimal denotada com pontos, transforme-a em notao de prefixos, ou vice-versa. (Tempo
sugerido para o exame: 5 segundos)
Dados um endereo IP e uma mscara, encontre o nmero da sub-rede, o intervalo de endereos e os endereos de
broadcast da sub-rede. (Tempo sugerido: 15 segundos)
Dadas a mscara de uma sub-rede e a classe (A, B ou C) de uma rede, determine o nmero de sub-redes e de
hosts por sub-rede. (Tempo sugerido: 15 segundos)
Dados uma classe de rede (A, B ou C) e os requisitos de projeto para um nmero de sub-redes e um nmero de
hosts por sub-rede, encontre todas as mscaras que satisfazem aos requisitos e escolha a mscara que maxirniza o
nmero de sub-redes ou o nmero de hosts por sub-rede. (Tempo sugerido: 30 segundos)
Dadas a uma rede classful e uma nica mscara de sub-rede para usar em todas as sub-redes, liste os nmeros da
sub-rede e identifique a sub-rede zero e a sub-rede broadcast. (Tempo sugerido: 30 segundos)
Com esses detalhes sobre sub-redes em mente, a prxima seo examina como um roteador combina com a tabela de
roteamento quando as sub-redes listadas na tabela se sobrepem de fonna que o destino de um pacote combine com mais
de uma rota.
Encaminhamento IP atravs da combinao com a rota mais especfica
o processo de roteamento IP de qualquer roteador requer que o roteador compare o endereo IP de destino de cada
pacote com o contedo existente na tabela de roteamento IP daquele roteador. Muitas vezes, somente um roteador
combina com um endereo de destino especfico. No entanto, em alguns casos, um endereo de destino especfico
combina com mais de uma rota do roteador. Alguns motivos legtimos e nonnais para a sobreposio de rotas em uma
tabela de roteamento so os seguintes:
- Uso de rotas estticas

- Criao incorreta de sub-redes gerando a sobreposio de intervalos de endereos na sub-rede
o Captulo 5, "VSLM e sumarizao de rotas", explica em mais detalhe cada um desses motivos. Embora alguns casos
de sobreposio de rotas sejam problemas, outros fazem parte da operao nonnal resultante de algum outro recurso.
Esta seo concentra-se em como um roteador escolhe qual rota sobreposta utilizar, sendo os recursos que causam a
sobreposio abordados no Captulo 5.
A frase a seguir resume a lgica de encaminhamento de um roteador com rotas sobrepostas:
Quando um determinado endereo IP de destino combina com mais de uma rota na tabela de roteamento de um roteador,
o roteador utiliza a rota mais especfica - em outras palavras, a rota que tem o prefixo mais longo.
/;~~;~o
\~haY.
Para ver exatamente o que isso significa, a tabela de roteamento apresentada no Exemplo 4-1 mostra uma srie de rotas
sobrepostas. Primeiro, antes de ler qualquer texto abaixo do exemplo, tente prever qual rota seria utilizada para pacotes
enviados aos seguintes endereos IP:I72.16.1.1, 172.16.1.2, 172.16.2.3 e 172.16.4.3.
Exemplo 4-1 Comando show ip route com rotas sobrepostas

R1# ahow ip route rip
5 subnets, 4 masks
172 . 16.1.1/32 [120/1] via 172.16.25 . 2,
00:00 : 04,
Se rialO/1/1
1 7 2.16 . 1 . 0/24 [120/2] via 172.16 . 25.129 , 00:00:09, Serial O/1/0
172.16. 0.0/22
172.16.0.0/16 [120/2] via 172 . 16.25.129,
0.0 . 0. 0 /0 [120/3] via 172 . 16 . 25.129 , 00:00 : 09 , Serial O/ 1 /0
[120/1] via 172 . 16.25 . 2,
00:00:04, Ser ialO/1/1

00: 00: 09, SerialO/1/0
R1# ahow ip route 172.16.4.3

Routing entry for 172.16.0.0/16
Known vi a "rip', d i s tance 12 0 , metric 2
Red i s tributing via rip
Las t update from 172.16 . 25.129 on SerialO/1/0. 00:00 : 19 ago
Routing De s criptor Blocks:
el
- Sumarizao de rota manual
- I
- Uso do autosummary (sumarizao automtica)
172.16.0.0/16 is vari a b1y subne t ted,
- I
- I
-I
-- II
-I
CCNA ICND2 125

* 172.16.25.129, f rom 172 .1 6.25 . 129, 00:00 :1 9 ago , vi a SerialO/1/0
Route metric is 2, traffic share count is 1
Embora a questo possa fornecer um diagrama da inter-rede, voc s precisa realmente de duas informaes para
determinar qual rota ser combinada: o endereo IP de destino do pacote e o contedo da tabela de roteamento do
roteador. Examinando cada sub-rede e cada mscara na tabela de roteamento, voc consegue determinar o intervalo de
endereos IP em cada sub-rede. Neste caso, os intervalos defInidos por cada rota, respectivamente, so os seguintes:
172.16.1.1 (somente este endereo)
172.16.1.0-172.16.1.255
172.16.0.0-172.16.3.255
172.16.0.0-172.16.255.255
0.0.0.0-255.255.255.255 (todos os endereos)

Observao A rota apresentada como 0.0.0.0/0 a rota padro, que combina com todos
endereos IP, e explicada mais adiante neste captulo.
Como pode ser visto com base nestes intervalos, vrios intervalos de endereos das rotas se sobrepem. Quando ocorre
a combinao de mais de uma rota, utilize-se a rota que possui o prefixo mais longo. Por exemplo:
172.16.1.1: Combina com todas as cinco rotas; o prefIxo mais longo /32, a rota at 172.16.1.1132.
172.16.1.2: Combina com as ltimas quatro rotas; o prefIxo mais longo /24, a rota at 172.16.1.0/24.
172.16.2.3: Combina com as ltimas trs rotas; o prefIxo mais longo /22, a rota at 172.16.0.0/22.
172.16.4.3: Combina com as ltimas duas rotas; o prefixo mais longo /16, a rota at 172.16.0.0/16.
Alm de executar a matemtica da criao de sub-redes em cada rota da tabela de roteamento, o comando sbow ip
route ip-address tambm pode ser especialmente til. Esse comando apresenta informaes detalhadas sobre a rota
que o roteador combina em relao ao endereo IP apresentado no comando. Se mltiplas rotas forem combinadas com
relao ao endereo IP, esse comando apresenta a melhor rota: a rota que possui o prefIxo mais longo. Por exemplo, o
Exemplo 4-1 apresenta o resultado do comando sbow ip route 172.16.4.3. A primeira linha do comando (destacada)
apresenta a rota combinada: a rota at 172.16.0.0/16. O resto do resultado apresenta os detalhes daquela rota especffica.
Esse comando pode ser muito til na vida real e nas questes simuladas dos exames.
DNS, DHCP, ARP e ICMP
o processo de roteamento IP utiliza vrios protocolos relacionados, incluindo o protocolo ARP j mencionado neste
captulo. Antes de passar para os novos tpicos deste captulo, esta seo revisa vrios protocolos relacionados.
Para que um host possa enviar qualquer pacote IP, ele precisa conhecer vrios parmetros relacionados ao IP. Os hosts
geralmente utilizam o DHCP (Dynamic Host Configuration Protocol, ou Protocolo de Configurao Dinmica de
Hosts) para aprender sobre esses fatos essenciais, incluindo:
O endereo IP do host
A mscara da sub-rede associada
O endereo IP do gateway padro (roteador)
O(s) endereo(s) IP do(s) servidor(es) DNS
Para conhecer essas informaes, o host - um cliente DHCP - envia um broadcast que fInalmente chega ao servidor
DHCP. O servidor ento pode alugar um endereo IP quele host e fornecer as outras informaes da lista anterior.
Neste ponto, o host tem um endereo IP que pode utilizar como endereo IP fonte, e informaes suficientes para tomar
a deciso simples de roteamento do host decidindo se deve enviar pacotes diretamente ao outro host (mesma sub-rede)
ou ao gateway padro (outra sub-rede). (No Microsoft Windows XP, o comando ipconfig /alI apresenta as interfaces do
host com as informaes apresentadas antes deste pargrafo.)

Normalmente, o usurio refere-se direta ou indiretamente ao host name de outro host, que, por sua vez, faz com que o
host precise enviar um pacote ao outro host. Ao abrir um navegador Web, por exemplo, e digitar bttp://www.cisco.com
como URL voc identifica o host name de um servidor Web de propriedade da Cisco. Ao abrir um cliente de e-mail, como
o Microsoft Outlook, indiretamente feita uma referncia a um host name. O cliente de e-mail foi provavelmente
configurado para saber o host name do servidor de e-mail de entrada e de sada; por isso, embora o usurio no olhe as
definies todos os dias, o software do cliente de e-mail sabe o nome dos hosts com os quais ele deve trocar mensagens.
Como hosts no podem enviar pacotes a um host name de destino, a maioria deles utiliza os protocolos DNS (Doma in
Name System, ou Sistema de Nome de Domnio) para resolver o nome em seu endereo IP associado. O host age como
um cliente DNS, enviando mensagens ao endereo IP unicast do servidor DNS. A solicitao DNS apresenta o nome
(por exemplo, www.cisco.com). com o servidor que responde com o endereo IP correspondente quele hostname.
Depois de aprendido, o host pode armazenar no cache as informaes desde o nome at o endereo, precisando resolver
aquele nome novamente somente aps o tempo da entrada ter se esgotado. (No Windows XP, o comando ipconfig /
displaydns apresenta a lista atual de nomes e endereos do host.)
O ICMP (Internet Control Message Protocol, ou Protocolo de Mensagem de Controle da Internet) inclui vrias funes
diferentes, todas concentradas no controle e no gerenciamento de IP. O ICMP define um conjunto variado de mensagens
para propsitos diferentes, incluindo as mensagens ICMP Echo Request e ICMP Echo Reply. O conhecido comando
ping testa a rota at o host remoto e a rota inversa de volta ao host original, enviando mensagens Echo Request ao
endereo IP de destino, e com esse host de destino respondendo a cada mensagem Echo Request com uma mensagem
Echo Reply. Quando o comando ping recebe as mensagens Echo Reply, o comando sabe que a rota entre os dois hosts
funciona.
Todos esses protocolos trabalham juntos para ajudar o processo de roteamento IP, mas o DHCP, o DNS, o ICMP e o
ARP normalmente no ocorrem para todos os pacotes. Imagine, por exemplo, que um novo computador hospedeiro se
conecte a uma LAN, e o usurio digite o comando ping www.cisco.com. O DHCP poderia ser usado quando o sistema
operacional inicializa, quando o PC utiliza o DHCP para aprender o seu endereo IP e outras informaes, mas depois o
DHCP poderia no ser usado durante dias. O PC, ento, utiliza o DNS para resolver www.cisco.com em um endereo
IP, mas depois o PC no precisa utilizar o DNS novamente at que seja feita referncia a um novo host name. Se o host
estava identificando o host name atravs do ping, o host local cria um pacote IP, com uma ICMP Echo Request dentro do
pacote, tendo um endereo IP de destino aprendido pela solicitao DNS anterior. Finalmente, como o host acabou de
surgir, ele no tem uma entrada ARP para sua porta de comunicao padro e, por isso, o host deve utilizar o ARP para
encontrar o endereo IP da porta de comunicao padro. Somente depois disso que o pacote pode ser enviado ao
verdadeiro host de destino, conforme descrito na primeira parte deste captulo. Para pacotes subseqentes enviados ao
mesmo host name, estes protocolos provavelmente no precisam ser utilizados novamente, e o host local pode simplesmente
enviar o novo pacote.
A lista a seguir resume os passos utilizados por um host, conforme a necessidade, para os protocolos mencionados nesta seo:
(~:~;~o 1. Se ainda no forem conhecidos, o host utiliza o DHCP para aprender o seu endereo IP, sua mscara de sub-rede,
\~h.V.
os endereos IP DNS e o endereo IP do gateway padro. Se j forem conhecidos, o host salta este passo.
2. Se o usurio fizer referncia a um hostname que no esteja atualmente contido no cache de nomes do host, o host faz
uma solicitao DNS para resolver o nome em seu endereo IP correspondente. Do contrrio, o host salta este passo.
3. Se o usurio emitiu o comando ping, o pacote IP conter uma ICMP Echo Request; se, do contrrio, o usurio
utilizou um tpico aplicativo TCPIIP, ele utilizar protocolos adequados quele aplicativo.
4. Para construir o frame Ethernet, o host utiliza a entrada feita no cache ARP para o prximo dispositivo (next hop)
- o gateway padro (ao enviar para um host em outra sub-rede) ou o verdadeiro host de destino (ao enviar para
um host na mesma sub-rede). Se o cache ARP no contiver aquela entrada, o host utiliza o ARP para aprender as
informaes.
'.
CCNA ICND2 127
Fragmentao e MTU
o TCPIIP define um comprimento mximo para um pacote IP.
O termo utilizado para descrever esse comprimento

mximo MTU (maximum transmission unit, ou unidade mxima de transmisso).
o MTU varia baseado na configurao e nas caractersticas da interface. Como padro, um computador calcula o MTU
de uma interface com base no tamanho mximo da poro de dados do frame do enlace (onde o pacote colocado). O
valor padro do MTU, por exemplo, em interfaces Ethernet 1500.
Roteadores, como qualquer host IP, no podem encaminhar um pacote saindo por uma interface se o pacote for maior
que o MTU. Se o MTU da interface de um roteador for menor que um pacote que deve ser encaminhado, o roteador
fragmenta o pacote em pacotes menores. Fragmentao o processo de quebrar o pacote em pacotes menores, cada
qual menor ou igual ao valor do MTU. A Figura 4-4 mostra um exemplo de fragmentao em uma rede onde o MTU do
link serial foi baixado para 1000 bytes atravs da configurao.
Figura 4-4 Fragmentao IP

Koufax
Clemens
MTU 1000
Ethernet
IP (1500)
~_.. JI.
_ _ _.L..-_ _
HDLC
IP (750)
HDLC
IP (750)
Ethernet
IP (750)
I Ethernet
IP (750)
L...
Conforme ilustra a Figura 4-4, Koufax envia um pacote de 1500 bytes em direo ao roteador LA . LA remove o
cabealho Ethemet mas no pode enviar o pacote como est, porque ele tem 1500 bytes e o link HDLC - controle de
Enlace de Alto Nvel (High-Level Data Link Control) aceita um MTU de apenas 1000. Portanto, LA fragmenta o
pacote original em dois pacotes, cada um com 750 bytes de comprimento. O roteador faz a matemtica necessria para
calcular o nmero mnimo de fragmentos (neste caso, dois) e quebra o pacote original em pacotes de comprimentos
iguais. Por causa disso, qualquer outro roteador pelo qual o pacote possa passar tem menos probabilidade de ter de
executar uma fragmentao. Depois de encaminhar os dois pacotes, Boston recebe os pacotes e os encaminha sem
remont-los novamente. A remontagem feita pelo host da extremidade final, que, neste caso, Clemens.
O cabealho IP contm campos teis para remontar os fragmentos no pacote original. O cabealho IP inclui um valor 10
que o mesmo em cada pacote fragmentado, bem como o valor de deslocamento (offset) que define qual parte do pacote
original est contida em cada fragmento. Pacotes fragmentados que chegam com defeito podem ser identificados como
parte do mesmo pacote original e podem ser remontados na ordem correta utilizando o campo de deslocamento de cada
fragmento.
Dois comandos de configurao podem ser utilizados para mudar o tamanho do MTU IP em uma interface: o subcomando
de interface mto e o subcomando de interface ip rnto. O comando mto define o MTU para todos os protocolos de
Camada 3; este comando preferido, a no ser que exista a necessidade de variar a definio de acordo com o protocolo
de Camada 3. Se uma definio diferente for desejada para o IP, o comando ip mto define o valor utilizado para o IP. Se
ambos estiverem configurados em uma interface, a definio do MTU IP tem precedncia naquela interface. Entretanto,
se o comando mto for configurado depois que ip mtu estiver configurado, o valor ip mto redefinido com o mesmo valor
do comando mto. Tenha cuidado ao alterar esses valores.
A reviso sobre roteamento e endereamento IP est concluda. A seguir, este captulo examina rotas conectadas,
incluindo rotas conectadas relativas ao trunking de VLANs e endereos IP secundrios.
Rotas at sub-redes diretamente conectadas
Os roteadores automaticamente acrescentam uma rota sua tabela de roteamento para a sub-rede conectada a cada
interface, considerando que os dois fatos a seguir sejam verdadeiros:

- A interface est em estado de operao - em outras palavras, o status da interface no comando show interfaces
/'.......
apresenta um status de linha ativo e um status de protocolo ativo (ativo e ativo - up e up).
(=0
\.
- A interface possui um endereo IP designado atravs do subcomando de interface ip address ou utilizando

servios de cliente DHCP.
O conceito de rotas diretamente conectadas relativamente bsico. O roteador, obviamente, precisa saber o nmero da
sub-rede utilizado na rede fsica conectada a cada uma de suas interfaces, mas, se a interface no estiver atualmente
funcionando, o roteador precisa remover a rota da sua tabela de roteamento. O comando show ip route apresenta essas
rotas com um c como cdigo da rota, significando conectada, e o comando show ip route connected apresenta somente
rotas conectadas.
As sees seguintes sobre rotas conectadas concentram-se em algumas variaes de configurao que afetam rotas
conectadas, afetando, assim, a forma como os roteadores encaminham pacotes. O primeiro tpico diz respeito a uma
ferramenta chamada endereamento IP secundrio, enquanto o segundo diz respeito configurao de um roteador ao
utilizar o trunking de VLANs .
Endereamento IP secundrio
Suponha que voc tenha planejado o esquema de endereamento IP para uma rede. Mais tarde, uma determinada subrede cresce, e voc j utilizou todos os endereos IP vlidos naquela sub-rede. O que voc deveria fazer? Existem trs
opes principais:
- Aumentar a sub-rede existente
- Migrar os hosts para utilizarem endereos em uma sub-rede diferente e maior
- Utilizar endereamento secundrio
Todas as trs opes so razoveis mas todas apresentam alguns problemas.

Para aumentar a sub-rede, basta alterar a mscara utilizada naquela sub-rede. Entretanto, alterar a mscara
pode criar sub-redes sobrepostas. Se, por exemplo, a sub-rede 10.1.4.0/24 estiver ficando sem endereos e voc
fizer uma alterao na mscara 255.255.254.0 (9 bits do host, 23 bits da rede/sub-rede), a nova sub-rede incluir
endereos de 10.1.4.0 a 10.1.5.255. Se voc j tiver designado a sub-rede 10.1.5.0/24, com endereos de 10.1.5.1
at 10.1.5 .254, seria criada uma sobreposio, o que no permitido. No entanto, se os endereos 10.1.5.x no
tiverem sido usados, expandir a antiga sub-rede pode ser uma opo razovel.
A segunda opo simplesmente escolher uma sub-rede nova, ainda no utilizada, mas maior. Todos os endereos
IP teriam que ser alterados. Este um processo relativamente simples se a maioria ou todos os hosts utilizarem
DHCP, mas pode ser um processo trabalhoso se vrios hosts utilizarem endereos IP estaticamente configurados.
Observe que as duas primeiras solues implicam uma estratgia de uso de mscaras diferentes em partes
diferentes da rede. O uso dessas mscaras diferentes chamado VLSM (variable-length subnet masking, ou
mascaramento de sub-redes de comprimento varivel), que introduz mais complexidade rede, principalmente
para pessoas que esto monitorando e resolvendo problemas de rede.
A terceira opo utilizar um recurso de roteadores Cisco chamado endereamento IP secundrio. O
endereamento secundrio utiliza mltiplas redes ou sub-redes do mesmo enlace. Ao utilizar mais de uma subrede no mesmo meio, voc aumenta o nmero de endereos IP disponveis. Para faz-lo funcionar, o roteador
precisa de um endereo IP em cada sub-rede de forma que os hosts em cada sub-rede tenham um endereo IP
usvel para o gateway padro na mesma sub-rede. Alm disso, pacotes que precisem passar entre essas subredes devem ser enviados ao roteador. Por exemplo, a Figura 4-5 tem a sub-rede 10.1.2.0/24; considere que ela
tenha todos os endereos IP designados. Considerando que a soluo escolhida seja o endereamento secundrio,
a sub-rede 10.1.7.0/24 tambm poderia ser utilizada na mesma Ethernet. O Exemplo 4-2 mostra a configurao
do endereamento IP secundrio em Yosemite.
.'
CCNA ICND2 129

Figura 4-5 Rede TCPIIP com endereos secundrios
BUg5
Daffy
10.1 .1.0
---L----r---~---
10.1.128.252
10.1.129.0
51
51
10.1.129.252
10.1.129.253
Primrio
Seville
10.1.3.253
10.1 .3.0
10.1.2.252,
Secundrio
10.1.7.252
Emma
Sam
Elmer
Red
Exemplo 4-2 Configurao do endereamento IP secundrio e o comando show ip route em Yosemite

! Excerpt fro m ahow running-config follows . ..
Hoatname Yoaem1te
ip domain-lookup
ip nam&-aerver 10.1.1.100 10.1.2.100
interface ethernet O
ip acidreaa 10.1.7.252 255.255.255.0 aecondary
ip addreaa 10.1.2.252 255.255.255.0
interface aerial O
ip addreaa 10.1.128.252 255.255.255.0
interface aerial 1
ip addreaa 10.1.129.252 255.255.255.0
Yosemite# ahow ip route connected
1 0.0.0.0/24 is s ubnetted,
C
4 subnets
10.1.2.0 is direct l y connected , EthernetO
10 . 1.7.0 is directly connected , EthernetO
10.1. 1 29. O i s d irectly connected,
Seriall
10.1.128. O is directly connected,
SerialO
o roteador conectou rotas s sub-redes 10.1.2.0/24 e 10.1.7.0/24, e, portanto, pode encaminhar pacotes para cada subrede. Os hosts de cada sub-rede na mesma LAN podem utilizar 10.1.2.252 ou 10.1.7.252 como seus endereos IP do
gateway padro, dependendo da sub-rede na qual eles residem.
A maior desvantagem do endereamento secundrio que pacotes enviados entre hosts da LAN podem ser roteados de
forma ineficaz. Quando um host, por exemplo, na sub-rede 10.1.2.0, envia um pacote a um host em 10.1.7.0, a lgica do
host de envio enviar o pacote ao seu gateway, pois o destino est em uma sub-rede diferente. Portanto, o host de envio
envia o pacote ao roteador, que, em seguida, envia o pacote de volta mesma VLAN.
Dando suporte a rotas conectadas sub-rede zero

O lOS pode restringir o roteador de configurar um comando ip address com um endereo dentro da sub-rede zero. Subrede zero aquela em cada rede cIassful que possui todos os Os binrios na parte sub-rede da verso binria do nmero

da sub-rede. Em decimais, a sub-rede zero o mesmo nmero da rede c1assful. Com o comando ip subnet-zero
configurado, o lOS permite que a sub-rede zero se tome uma rota conectada em conseqncia de um comando ip
address configurado em uma interface.
Este comando j uma definio padro desde, pelo menos, a verso 12.0 do lOS, que era uma verso do lOS relativamente
antiga quando este livro foi publicado. Portanto, para o exame, se aparecer o comando ip subnet-zero configurado, ou
se a questo no especificar que o comando no ip subnet-zero esteja configurado, considere que a sub-rede zero pode
estar configurada.
Observao Edies mais antigas deste livro diziam que voc deveria considerar que a
sub-rede zero no pudesse ser utilizada, a no ser que uma questo do exame indicasse que
a sub-rede zero fosse utilizada. Os atuais exames CCNA, e portanto este livro, permitem que
a sub-rede zero seja utilizada a no ser que a questo do exame indique que ela no deva ser
utilizada.
Com o comando no ip subnet-zero configurado em um roteador, aquele roteador rejeita qualquer comando ip address
que utilize uma combinao endereo/mscara para a sub-rede zero. O subcomando de interface ip address 10.0.0.1
255.255.255.0, por exemplo, indica a sub-rede zero 10.0.0.0/24; logo, o roteador rejeitaria o comando se o comando de
configurao global no ip subnet-zero estivesse configurado. Observe que a mensagem de erro simplesmente diz "bad
mask" ("mscara ruim") em vez de dizer que o problema foi devido sub-rede zero.
O comando no ip subnet-zero em um roteador no afeta outros roteadores e no impede que um roteador aprenda
sobre a sub-rede zero atravs de um protocolo de roteamento. Ele simplesmente impede que o roteador configure uma
interface para que ela esteja em uma sub-rede zero.
Observe que nos atuais exames CCNA, voc pode considerar que a sub-rede zero tem permisso de ser utilizada a no
ser que a questo diga que ela no deve ser usada. Em especial, uma questo que utilize um protocolo de roteamento
c1assful (conforme discutido no Captulo 5), ou utilize o comando no ip subnet-zero, indica que as sub-redes zero e
broadcast devem ser evitadas.
Configurao ISL e 802.1 Q em roteadores

Conforme discutido no Captulo 1, "LANs virtuais", o trunking de VLANs pode ser utilizado entre dois switches e entre
um switch e um roteador. Ao utilizar o trunking em lugar da interface fsica de um roteador por VLAN, o nmero de
interfaces necessrias do roteador pode ser reduzido. Em vez de uma nica interface fsica no roteador para cada VLAN
do switch, pode ser usada uma interface fsica, e o roteador continua podendo rotear pacotes entre as vrias VLANs .
A Figura 4-6 mostra o roteador com uma nica interface Fast Ethernet e uma nica conexo com um switch. Tanto o
trunking ISL (Inter-Switch Link) quanto o 802.1 Q podem ser utilizados, apenas com pequenas diferenas na configurao
de cada um. Para frames que contenham pacotes que o roteador usa entre as duas VLANs, o frame de entrada
marcado pelo roteador com o outro VLAN ID. O Exemplo 4-3 mostra a configurao do roteador necessrio para dar
suporte ao encapsulamento ISL e o encaminhamento entre essas VLANs.
..... . ..
,,-------,
Figura 4-6 Roteador encaminhando
/
,,
,'
entre VIANs
VLAN1
Fred"
I
\
0;00
Sub-rede IP 10.1.1.0124
",
. - -. . .... Wilma "
FaOIO
I
I
VLAN1
I
I
\
I
VLAN 2
I Sub-rede IP 10.1.2.0124
Frame
Sarney I
VLAN2 1 Frame
,,
.;"'/~
/
,,"
VLAN3
Sub-rede IP 10.1.3.0124
I-
I.
CCNA ICND2 131

Exemplo 4-3 Configurao de roteador para o encapsulamento ISL mostrado na Figura 4-6
interface fastethernet 0/0.1
ip address 10.1.1.1 255.255.255.0
encapsu1ation is1 1

ip address 10.1.2.1 255.255.255.0
encapsu1ation is1 2

ip address 10.1.3.1 255.255.255.0
encapsu1ation is1 3
o Exemplo 4-3 mostra a configurao para trs subinterfaces da interface Fast Ethemet no roteador. Uma subinterface
uma subdiviso lgica de uma interface fsica. O roteador designa a cada subinterface um endereo IP e designa a
subinterface a uma nica VLAN. Portanto, em vez de trs interfaces fsicas do roteador, cada uma anexada a uma subredeNLAN diferente, o roteador utiliza uma interface fsica do roteador com trs subinterfaces lgicas, cada qual
anexada a urna sub-redeNLAN diferente. O comando encapsulation numera as VLANs, que devem combinar com a
configurao dos VLAN IDs no switch.
Este exemplo utiliza nmeros de subinterfaces que combinam com o VLAN ID em cada subinterface. No necessrio
que os nmeros combinem, mas a maioria das pessoas opta por faz-los combinar, simplesmente para tomar a configurao
mais bvia e facilitar a resoluo de problemas. Em outras palavras, os VLAN IDs podem ser 1, 2 e 3, mas os nmeros
das subinterfaces podem ter sido 4, 5 e 6, pois os nmeros das subinterfaces s so usados internamente pelo roteador.
O Exemplo 4-4 mostra a mesma rede, mas desta vez com 802.1 Q em vez de ISL. O 802.1 Q IEEE tem um conceito
chamado VLAN nativa, que urna VLAN especial em cada trunk para a qual no acrescentado nenhum cabealho
802.1Q s frames. Como padro, a VLAN 1 a VLAN nativa. O Exemplo 4-4 mostra a diferena na configurao.
Exemplo 4-4 Configurao do roteador para o encapsulamento 802.1 Q mostrado na Figura 4-6
interface fastethernet 0/0
ip address 10.1.1.1 255.255.255.0

ip address 10.1.2.1 255.255.255.0
encapsu1ation dot1q 2

ip address 10.1.3.1 255.255.255.0
encapsu1ation dot1q 3
A configurao cria trs VLANs na interface FaO/O do roteador. Duas das VLANs, as VLANs 2 e 3, so configuradas
exatamente como no Exemplo 4-3, exceto pelo fato de que o comando encapsulation apresenta 802.1Q como sendo o
tipo de encapsulamento.
A VLAN natIva, neste caso, a VLAN 1, pode ser configurada com dois estilos de configurao. O Exemplo 4-4 mostra
um estilo no qual o endereo IP da VLAN nativa configurado na interface fsica. Em conseqncia disso, o roteador
no utiliza os cabealhos de trunking da VLAN nesta VLAN, como o caso da VLAN nativa. A alternativa configurar
o endereo IP da VLAN nativa em outra subinterface e utilizar o subcomando de interface encapsulation dotlq 1
native. Esse comando diz ao roteador que a subinterface est associada VLAN 1, mas a palavra-chave native diz ao
roteador para no utilizar nenhum cabealho 802.1Q com aquela subinterface.
Roteadores no realizam negociao dinmica de trunking. Portanto, o switch conectado interface de um roteador deve
configurar o trunking manualmente, conforme abordado no Captulo 1. Por exemplo, um switch na outra extremidade da
interface FaO/O do roteador configuraria o subcomando de interface switchport mode trunk (para ativar o trunking
manualmente), e, se o switch for capaz de utilizar qualquer um tipo de trunking, configuraria o subcomando de interface
switchport trunk encapsulation dotlq para configurar estaticamente uso de 802.1Q.
Rotas estticas
Roteadores utilizam trs mtodos principais para acrescentar rotas s suas tabelas de roteamento: rotas conectadas,
rotas estticas e protocolos de roteamento dinmico. Roteadores sempre acrescentam rotas conectadas quando as
interfaces tm os endereos IP configurados e as interfaces esto ativas e em perfeito funcionamento. Na maioria das
redes, os engenheiros utilizam propositalmente protocolos de roteamento dinmico para fazer com que cada roteador
aprenda o resto das rotas da rede. O uso de rotas estticas - rotas acrescentadas a uma tabela de roteamento atravs de
configurao manual - o menos comum das trs opes.
O roteamento esttico consiste em comandos de configurao global ip route individuais que definem uma rota at um
roteador. O comando de configurao inclui uma referncia sub-rede - o nmero e a mscara da sub-rede - junto com
instrues sobre onde encaminhar pacotes destinados quela sub-rede. Para verificar a necessidade das rotas estticas,
e para verificar a configurao, observe o Exemplo 4-5, que mostra dois comandos ping testando a conectividade IP das
cidades de Albuquerque a Yosemite (veja Figura 4-7).
Figura 4-7 Modelo de rede utilizado em exemplos de configurao de rotas estticas

Bugs
Daffy
10.1.1.0
_ _- L_ _ _ _, -_ _- L_ __ _
10.1.130.253
sO
10.1.129.0
Yosemite
10.1.2.252
s1
10.1.129.253
Seville
10.1.3.253
10.1.3.0
10.1.2.0
Sam
Emma
Elmer
Red
Exemplo 4-5 Comandos EXEC do roteador de Albuquerque apenas com roteadores conectados
Albuquer que# 8how ip route
Codes:
c -
connected, 5 - static, I - IGRP, R - RI P , M - mobile, B - BGP
D - EIGRP, EX - EIGRP exte rna I , O - 05 PF, IA - 05PF inter area

N1 - 05PF N55A externa1 type 1, N2 - 05PF N55A externaI type 2
E1 - 05PF externaI type 1, E2 - 05PF externaI type 2, E - EGP
i - 15-15, L1 - 15 -15 level-1, L2 - 15-15 level-2, ia - 15-15 inter area
* - candidate d efau lt, U - per-user static route , o - ODR

P - periodic d ownl oaded static route
Gateway of last re s ort is not set
10.0.0.0 / 24 is subnetted, 3 subnets
C
10 . 1.1.0 is d i r ectly connec ted, EthernetO
10.1.130.0 is directly connected, 5erial1
10.1.128.0 is dire ctly connected , 5erialO
CCNA ICND2 133

Albuquerque#ping 10.1.128.252
Type escape sequence to abort o
Sending 5, 100-byte ICMP Echos to 10.1.128 . 252, t i meo u t i s 2 seconds:
! ! !! !
Success rate is 100 percent (5 / 5) , round-trip min / avg / max = 4/4 / 8 ms

Type escape sequence to aborto
Sending 5, 100-byte ICMP Echos to 10.1.2 . 252,
timeout is 2 seconds:
Success rate is O percent (0 / 5)
o final do exemplo mostra dois comandos ping diferentes no roteador de Albuquerque, um at 10.1.128.252 (endereo
SO IP deYosemite) e um at 10.1.2.252 (endereo LAN IP de Yosemite). O comando ping lOS envia cinco pacotes
ICMP Echo Request automaticamente, com o resultado do comando apresentando um ponto de exclamao (!) para
indicar que uma Echo Reply foi recebida, e um ponto final (.) para indicar que nenhuma resposta foi recebida. No
exemplo, a primeira instncia, ping 10.1.128.252, mostra cinco respostas (100%), e a segunda instncia, ping 10.1.2.252,
mostra que no foi recebida nenhuma resposta (0%). O primeiro comando ping funciona porque Albuquerque tem uma
rota at a sub-rede na qual 10.1.128.2 reside (a sub-rede 10.1.128.0/24). No entanto, o ping at 10.1.2.252 no funciona
porque Albuquerque no tem uma rota que combine com o endereo 10.1.2.25. Neste ponto, Albuquerque s possui rotas
para as suas trs sub-redes diretamente conectadas. Portanto, o comando ping 10.1.2.252 de Albuquerque cria os
pacotes, mas Albuquerque descarta os pacotes porque no existe nenhuma rota.
Configurando rotas estticas

Uma soluo simples para a falha do comando ping 10.1.2.252 ativar um protocolo de roteamento IP em todos os trs
roteadores. Na verdade, em uma rede real, esta a soluo mais provvel. Como altemativa, voc pode configurar rotas estticas.
Muitas redes possuem algumas rotas estticas, portanto voc precisa configur-las ocasionalmente. O Exemplo 4-6 mostra o
comando ip route em Albuquerque, que acrescenta rotas estticas e faz funcionar o ping que falhou no Exemplo 4-5.
Exemplo 4-6 Rotas estticas acrescentadas a Albuquerque
ip route 10.1.2.0 255.255.255.0 10.1.128.252
ip route 10.1.3.0 255.255.255.0 10.1.130.253
O comando ip route define a rota esttica atravs da definio do nmero da sub-rede e do IP do roteador de prximo salto
(next hop). Um comando ip route define uma rota at 10.1.2.0 (mscara 255.255.255.0), que est localizada saindo de
Yosemite; portanto o prximo endereo IP conforme configurado em Albuquerque 10.1.128.25, que o endereo SerialO IP
de Yosemite. Analogamente, uma rota at 10.1.3.0, a sub-rede saindo de Seville, aponta para o endereo SerialO IP de Seville,
10.1.130.5. Observe que o prximo endereo IP um endereo IP em uma sub-rede diretamente conectada; o objetivo definir
o prximo roteador para o qual enviar o pacote. Agora, Albuquerque pode enviar pacotes para essas duas sub-redes.
O comando ip route possui dois formatos bsicos. O comando pode se referir a um prximo endereo IP, conforme
mostrado no Exemplo 4-6. Por outro lado, para rotas estticas que utilizam links seriais ponto-a-ponto, o comando pode
apresentar a interface de sada em vez do prximo endereo IP. O Exemplo 4-6 poderia utilizar o comando de configurao
global ip route 10.1.2.0 255.255.255.0 serialO em vez do primeiro comando ip route.
Infelizmente, acrescentar as duas rotas bsicas do Exemplo 4-6 a Albuquerque no resolve todos os problemas de roteamento
da rede. As rotas estticas ajudam Albuquerque a entregar pacotes a essas duas sub-redes, mas os outros dois roteadores
no possuem informaes suficientes de roteamento para encaminhar pacotes de volta a Albuquerque. Por exemplo, o PC
Bugs no consegue identificar o PC Sam nesta rede, mesmo depois da adio dos comandos no Exemplo 4-6. O problema
que, embora Albuquerque possua uma rota at a sub-rede 10.1.2.0, onde Sam reside, Yosemite no possui uma rota at
10.1.1.0, onde Bugs reside. O pacote ping de solicitao vai de Bugs a Sam corretamente, mas o pacote ping de resposta de
Sam no pode ser roteado pelo roteador de Yosemite de volta a Bugs, passando por Albuquerque; portanto, o ping falha.
Comando ping estendido

Na vida real, possvel que voc no encontre um usurio, como Bugs, a quem voc possa pedir para testar sua rede
utilizando pingo Em vez disso, voc pode utilizar o comando ping estendido em um roteador para testar o roteamento da
mesma forma que um ping de Bugs para Sam faz. O Exemplo 4-7 mostra Albuquerque com o comando de trabalho ping
10.1.2.252 em operao, mas com um comando ping 10.1.2.252 estendido que funciona de forma semelhante a um
ping de Bugs para Sam - um ping que falha neste caso (somente as duas rotas estticas do Exemplo 4-6 foram
acrescentadas neste ponto).
Exemplo 4-7 Albuquerque: ping em operao aps acrescentar rotas padro e falha ocorrida no comando ping
estendido
Albuquerque# show ip route
c -
Codes:
connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA externaI type 1, N2 - OSPF NSSA externaI type 2
E1 - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP
i
- IS-IS, L1 - IS-IS level - 1, L2 - IS-IS level-2 , ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route
Gateway o f las t res o rt is not set
10.0.0.0 / 24 i s subn etted,
5 subnets
10.1.3.0 [l/O] via 10.1.130.253
10.1.2.0 [l/O] via 10.1.128.252
10.1.1. O is directly connec t ed, EthernetO
10.1.130 . O is directly connected,
Seriall
10.1.128. O is directly connected,
SerialO
Type escape sequence to abo rt o
Sending 5 , 10 0-byte ICMP Echos to 10 . 1.2 .2 52,
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 rns

Albuquerque#ping
Protocol
[ip]:
Target I P address : 10.1. 2. 2 52

Repeat count [5]:
Datagram size [100] :
Timeout in seconds [2]:
Extended cornrnands [n]: y
Source address or interface : 10.1.1.251
Type of service [O]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [OxABCD]:
Loose,
Strict, Record,
Timestamp, Verbose[none ]:
Sweep range of sizes [n] :

Sending 5, 100-byte ICMP Echos to 10.1.2 .2 52, timeout is 2 seconds:
Success rate is O percent (0/5)
...
(.
'
CCNA ICND2 135
o simples comando ping 10.1.2.252 funciona por uma razo bvia e outra no to bvia assim. Primeiro, Albuquerque
pode encaminhar um pacote para a sub-rede 10.1.2.0 por causa da rota esttica. O pacote de retomo, enviado por
Yosemite, enviado para o endereo 10.1.128.251, o endereo SerialO IP de Albuquerque, e Yosemite possui uma rota
conectada para chegar sub-rede 10.2.128.0. Mas por que Yosemite envia a Beho Reply ao endereo 10.1.128.251 SO IP
de Albuquerque? Bem, os pontos apresentados a seguir so verdadeiros em relao ao comando ping em roteadores Cisco:
Ico
- O comando ping Cisco utiliza, como padro, o endereo IP da interface de sada como o endereo fonte do pacote,
a no ser que seja especificado de outra forma no ping estendido. O primeiro ping, no Exemplo 4-7, usa uma fonte
10.1.128.251, porque a rota utilizada para enviar o pacote at 10.1.2.252 envia pacotes saindo pela interface SerialO
de Albuquerque, cujo endereo IP 10.1.128.251.
- Os pacotes de resposta do ping (lCMP Echo Replies) invertem os endereos IP utilizados na solicitao ping recebida
qual eles esto respondendo. Portanto, neste exemplo, o Echo Reply de Yosemite, em resposta ao primeiro ping do
Exemplo 4-7, usa 10.1.128.251 como endereo de destino e 10.1.2.252 como endereo IP fonte.
Como o comando ping 10.1.2.252 em Albuquerque utiliza 10.1.128.251 como endereo fonte do pacote, Yosemite pode
enviar uma resposta de volta a 10.1.128.251, pois Yosemite possui uma rota (conectada) at 10.1.128.0.
O perigo ao resolver problemas com o comando ping padro que podem continuar existindo problemas no roteamento,
mas o comando ping 10.1.2.252, que funcionou, lhe d uma falsa impresso de segurana. Uma alternativa mais abrangente
utilizar o comando ping estendido para agir como se voc tivesse emitido um ping a partir de um computador daquela subrede, sem ter de chamar o usurio e pedir-lhe que entre com um comando ping para voc no Pc. A verso estendida do
comando ping pode ser usada para refinar a causa por trs do problema alterando vrios detalhes do que o comando ping
envia em sua solicitao. Na verdade, quando o ping de um roteador funciona, mas o ping de um host no funciona, o ping
estendido pode ajud-lo a recriar o problema sem necessidade de trabalhar com o usurio final ao telefone.
Rotas estticas padro
No Exemplo 4-7, o comando ping em Albuquerque envia um pacote a partir do endereo IP fonte 10.1.1.251 (a Ethernet de
Albuquerque) para 10.1.2.252 (a Ethernet de Yosemite). De acordo com o resultado, Albuquerque no recebeu uma resposta.
Normalmente, o comando ping seria tirado do endereo IP da interface de sada. Com o uso da opo de endereos fonte do
ping estendido, o endereo fonte do pacote echo definido como endereo IP Ethernet de Albuquerque, 10.1.1.251. Como a
mensagem ICMP echo gerada pelo ping estendido tirada de um endereo da sub-rede 10.1.1.0, o pacote se parece mais com
um pacote de um usurio final daquela sub-rede. Yosernite constri um Beho Reply, com destino 10.1.1.251, mas no possui
uma rota at aquela sub-rede. Logo, Yosemite no pode enviar o pacote de respostas ping de volta a Albuquerque.
Para resolver este problema, todos os roteadores podem ser configurados para utilizar um protocolo de roteamento.
Outra alternativa simplesmente definir rotas estticas em todos os roteadores da rede.
Uma rota padro (default route) uma rota especial que combina com todos os destinos dos pacotes. Rotas padro podem
ser especialmente teis quando existe somente um caminho fsico de uma parte da rede a outra, e em casos nos quais um
roteador empresarial fornece conectividade Internet para aquela empresa. Na Figura 4-8, por exemplo, RI, R2 e R3 esto
conectados ao resto da rede atravs somente da interface LAN de RI. Todos trs roteadores podem enviar pacotes ao
resto da rede desde que os pacotes cheguem a RI, que, por sua vez, encaminha pacotes ao roteador Dist1.
Figura 4-8 Modelo de rede utilizando uma rota padro
-------
Vl.AN1
Fr.:d' , SubredelP 10.1.1 .0/24
,,
. . - . -. . Wilma ' \
\
I Vl.AN 2
) Sub rede IP 10.1 .2.0/24
Sarney I
I
I
/
/
/
- /
// Vl.AN 3
Sub-rede IP 10.1.3.0/24

As sees a seguir mostram duas opes para configurar rotas estticas padro: uma utilizando o comando ip route e
outra utilizando o comando ip default-network.
Rotas padro utilizando o comando ip route

Ao configurar uma rota padro em RI , sendo a prxima parada o roteador Distl, e ao fazer com que RI anuncie o padro
para R2 e R3, pode-se obter um roteamento padro. Ao utilizar uma rota padro, RI , R2 e R3 no devero precisar de
rotas especficas at as sub-redes direita do roteador Dist1. O Exemplo 4-8 comea examinando este esquema mostrando
a definio de uma rota esttica padro em RI e as informaes resultantes na tabela de roteamento IP de R I.
Exemplo 4-8 Configurao da rota esttica padro de Ri e tabela de roteamento
R1(config) #ip route 0.0.0.0 0.0.0.0 168.13.1.101
R1# show ip route
Codes :
connected, S
EIGRP , EX
static, I
IGRP , R - RIP, M - mobile, B
EIGRP exter nal, O
N1
OSPF NSSA externa l type 1, N2
E1
OSPF extern al type 1 , E2
OS PF, IA
BGP
OSPF i nter area
OSPF NSSA ext ernal type 2
OS PF external type 2, E
IS-IS, L1
candidate defau lt, U - per-user static route, o
periodic downloaded static rou te
IS-IS level-1, L2
IS - IS level-2, ia
EGP
IS-IS inter area
ODR
Gateway o f last resort is 168 . 13.1 . 101 to network 0 . 0.0.0

168 . 13 . 0.0/24 is s ubnetted,
4 subnets
16 8 .13.1.0 is directly connected, FastEthernetO / O
168.13.3.0 [120/1 1 via 168.13.100.3,
00:00:05 , SerialO.1
168.13.2.0 [120 / 11 via 168.13.100.2,
00:00 : 21 , SerialO . 1
168.13 . 100 . 0 is directly connected, SerialO.1
S * 0 .0.0.0 / 0 [1 / 01 via 16 8 .13.1.101
RI define a rota padro atravs de um comando ip route esttico, cujo destino 0.0.0.0, cuja mscara 0.0.0.0. Em
conseqncia disso, o comando show ip route de RI apresenta uma rota esttica at 0.0.0.0, uma mscara 0.0.0.0,
sendo a prxima parada 168.13.1.10 1 - em essncia, a mesma informao no comando de configurao global ip route
0.0.0.0 0.0.0.0 168.13.1.101. Um destino 0.0.0.0, com mscara
0.0.0.0, representa todos os destinos por conveno. Apenas com essa configurao, RI possui uma rota esttica que
combina com todos os destinos de pacotes IP.
Observe tambm, no Exemplo 4-8, que o resultado do comando show ip route de RI apresenta uma "gateway de ltimo
recurso" como 168.13.1.101. Quando o roteador sabe sobre pelo menos uma rota padro, ele marca a rota com um
asterisco na tabela de roteamento. Se um roteador fica sabendo sobre mltiplas rotas padro - atravs de configurao
esttica ou a partir dos protocolos de roteamento - ele marca cada rota padro com um asterisco na tabela de roteamento.
Em seguida, o roteador escolhe a melhor rota padro, marcando aquela escolha como a gateway de ltimo recurso. (A
distncia administrativa da fonte de informaes de roteamento, conforme definida pela definio de distncia administrativa,
tem impacto sobre essa escolha. O assunto distncia administrativa abordado no Captulo 8, "Teoria do protocolo de
roteamento", na seo "Distncia administrativa".)
Embora a configurao do RIP (Routing Information Protocol, ou Protocolo de Informaes de Roteamento) no seja
mostrada, RI tambm anuncia essa rota padro para R2 e R3, conforme mostrado no resultado do comando show ip
route em R3 no Exemplo 4-9.
Exemplo 4-9 R3: Nuances do uso bem sucedido da rota esttica em Ri
R3# show ip route
Codes : C - connected, S - static, I - IGRP , R - RIP , M - mob ile, B - BGP
D - EIGRP , EX - EIGRP ext ernal, O - OSPF, I A - OSPF in ter a r ea
N1 - OSPF NSSA external type 1 , N2 - OS PF NSSA external type 2
E1 - OSPF external t ype 1 , E2 - OSPF external
type 2, E - EGP
CCNA ICND2 137

i - IS-IS, L1 - IS-IS level - 1, L2 - IS - IS level - 2, ia - IS-IS inter area
- candidate default , U - per - user stat i c route, o - ODR
Gateway o f last resort is 168.13 .10 0 . 1 t o network 0 .0. 0 .0
168.13.0.0/24 is subnetted,
4 subnets
168.13.1.0 [120 / 1] via 168.13 . 100 . 1,
00 : 00:13, SerialO.1
168 . 13.3.0 is directly connected, EthernetO
168 . 13.2.0 [120 / 1] via 168.13 . 100 . 2,
16 8 .1 3 .1 00.0 is d i rectly c onnected,
00:00:06,
SerialO.1
Seri al O.1
Protocolos de roteamento diferentes anunciam rotas padro de maneiras diferentes. Como exemplo, quando R3 fica sabendo sobre uma
rota padro de RI utilizando RIP , R3listao destino da rota padro (0.0.0.0) e o prximo roteador, que, neste caso, R1 (168.13.100.1),
conforme destacado no Exemplo 4-9. Portanto, quando R3 precisa utilizar sua rota padro, ele encaminha pacotes at RI (168.13.100.1).
Rotas padro utilizando o comando ip default-network

Outro estilo de configurao da rota padro utiliza o comando ip default-network. Esse comando apresenta uma rede
IP c1assful como sendo seu parmetro, dizendo ao roteador para utilizar os detalhes de roteamento da rota relativos
quela rede c1assful como sendo os detalhes de encaminhamento de uma rota padro.
Esse comando mais til quando o engenheiro deseja utilizar a rota padro para alcanar redes alm das redes utilizadas dentro
daquela empresa. Na Figura 4-8, por exemplo, suponha que todas as sub-redes da rede Classe B 168.13.0.0 da empresa sejam
conhecidas; elas s existem prximas dos roteadores RI , R2 e R3; e essas rotas esto todas nas tabelas de roteamento de RI ,
R2 e R3. Alm disso, nenhuma das sub-redes de 168.1.0.0 est direita do Roteador Dist1. Se o engenheiro desejar utilizar uma
rota padro para encaminhar pacotes a destinos direita de Dist1 , o comando ip default-network funcionar bem.
Para utilizar o comando ip default-network para configurar uma rota padro, o engenheiro conta com seu conhecimento
de que Dist1 j est anunciando uma rota para a rede c1assful 10.0.0.0 at RI. A rota de RI at a rede 10.0.0.0 aponta
para o endereo 168.13.1.10 1 de Distl como o prximo endereo de parada. Sabendo disso, o engenheiro pode configurar
o comando ip default-network 10.0.0.0 em RI , que diz a RI para construir sua rota padro com base na rota que ele
aprendeu para a rede 10.0.0.0/8. O Exemplo 4-10 mostra vrios detalhes sobre esse cenrio em RI.
Exemplo 4-10 Uso do comando ip default-network de Ri

R1# configure terminal
R1(config)f ip defau1t-network 10.0.0.0
R1 (config) #exit
R1# show ip route
Codes:C - connected , S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP externai, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA externai type 1, N2 - OSPF NSSA externai type 2
E1 - OSPF externai type 1, E2 - OSPF externai type 2, E - EGP
i
- 18-18, LI - 18-18 leveI-I,
L2 - 18-18 level-2,
ia - 18-18 inter area
- candidate default, U - per-user static route, o - ODR

Gateway o f last re s ort
i s 168.13 . 1. 1 01 to networ k 10.0.0.0
168.13.0.0 / 24 is subnetted, 5 subnets

R
168.13.200.0 [120 / 1] via 168.13.1.101,
168 . 13.1.0 is directly connected, FastEthernetO / O
00:00:12, FastEthernetO / O
168.13 . 3 . 0 [120 / 1] via 168.13.100.3 , 00:00:00,
168 . 13.2.0 [120 / 1] via 168 . 13.100.2 , 00:00:00, SerialO . 1
SerialO.1
168.13.100.0 is directly connected, SerialO.1

-
R* 1 0 . 0.0.0/8
[120/ 1] via 168.13.1. 1 01 , 00 : 00: 1 2, Fas t EthernetO/O

RI mostra o resultado de se ter normalmente aprendido uma rota at a rede 10.0.0.0 atravs do RIP e os resultados
adicionais do comando global ip default-network 10.0.0.0. A rota RIP de RI para 10.0.0.0/8 apresenta o prximo
endereo IP 168.13.1.101, o endereo IP de Distl em sua LAN comum, como normal. Por causa do comando ip
default-network 10.0.0.0, RI decide utilizar os detalhes da rota at a rede 10.0.0.0 como sua rota padro. A ltima
parte da linha sobre o gateway de ltimo recurso apresenta a rede padro, 10.0.0.0. Alm disso, RI mostra um asterisco
ao lado da rota referida no comando ip default-network.
Resumo sobre rotas padro

Lembrar-se dos detalhes de configurao de rotas padro, e em particular os detalhes finais no resultado do comando
show ip route, pode ser um desafio. No entanto, tente lembrar-se destes pontos essenciais referentes a rotas padro:
- Rotas estticas padro podem ser configuradas estaticamente utilizando o comando ip route 0.0.0.0 0.0.0.0 nexthopaddress ou ip default-network net-number.
/;~~;~o
'. Chave
....
- Quando um roteador s combina com um pacote usando a rota padro, ele utiliza os detalhes de encaminhamento
apresentados na linha o gateway de ltimo recurso.
Independentemente de como a rota padro aparea - seja ela um gateway de ltimo recurso, uma rota at 0.0.0.0, ou
uma rota a alguma outra rede com um * do lado na tabela de roteamento - ela utilizada de acordo com as regras de
roteamento classless e classful, conforme explicado na prxima seo.
Roteamento classful e classless

Os roteadores Cisco possuem duas opes configurveis sobre como um roteador utiliza uma rota padro existente:
roteamento classless e roteamento classful. O roteamento classless faz com que o roteador utilize suas rotas padro para
qualquer pacote que no combine com outra rota. O roteamento classful apresenta uma restrio sobre quando o roteador
pode utilizar sua rota padro, resultando em casos em que o roteador possui uma rota padro mas opta por descartar o
pacote em vez de encaminh-lo com base na rota padro.
Os termos classless e classful tambm caracterizam o endereamento IP e o roteamento IP; portanto, existe bastante
confuso com relao ao significado dos termos. Antes de explicar os detalhes do roteamento classful e do roteamento
classless, a prxima seo resume o outro uso desses termos.
Resumo do uso dos termos classless e classful

Os termos endereamento classless e endereamento classful se referem a duas maneiras diferentes de analisar os
endereos IP. Ambos os termos se referem a uma perspectiva sobre a estrutura de um endereo IP de sub-rede. O
endereamento classless utiliza uma viso dos endereos IP dividida em duas partes, e o endereamento classful utiliza
uma viso composta por trs partes. Com o endereamento classful, o endereo sempre tem um campo de rede de 8, 16
ou 24 bits, baseado nas regras de endereamento das Classes A, B e C. O final do endereo tem uma parte referente ao
host que identifica exclusivamente cada host dentro de uma sub-rede. Os bits intermedirios rede e a parte referente ao
host compem a terceira parte, ou seja, a parte de do endereo referente sub-rede. Com o endereamento classless, as
partes referentes rede e sub-rede da viso classful so combinadas em uma nica parte, muitas vezes chamada de
sub-rede ou prefixo, com o endereo terminando na parte referente ao host.
Os termos protocolo de roteamento classless e protocolo de roteamento classful se referem aos recursos de diferentes
protocolos de roteamento IP. Esses recursos no podem ser ativados nem desativados; um protocolo de roteamento , naturalmente,
classless ou classful. De modo especial, os protocolos de roteamento classless anunciam informaes sobre a mscara de cada
sub-rede, dando aos protocolos classless a capacidade de aceitar VLSM e sumarizao de rotas. Os protocolos de roteamento
classful no anunciam informaes sobre mscara, e, portanto, no aceitam VLSM nem sumarizao de rotas.
O terceiro uso dos termos classless e classful - os termos roteamento classful e roteamento classless - tem a ver com
a forma em que o processo de roteamento IP faz uso da rota padro. interessante notar que este o nico dos trs usos
dos termos que pode ser alterado com base na configurao do roteador. A Tabela 4-2 apresenta os trs usos dos termos
classless e classful, com uma breve explicao. Logo aps a tabela, dada uma explicao mais completa sobre roteamento
classless e classful. O Captulo 5 d mais informaes sobre os termos protocolo de roteamento classless e protocolo
de roteamento classful.
Tabela 4-2 Comparando o uso dos termos classless e classful
Quando aplicado a
Classful
Classless
Endereos
Os endereos possuem trs partes: rede,

sub-rede e host.
Os endereos possuem duas partes:

sub-rede ou prefixo e host
Protocolos de roteamento
O protocolo de roteamento no anuncia

mscaras nem aceita VLSM, RIP-l e IGRP
O protocolo de roteamento anuncia

mscaras e aceita VLSM, RIP-2,
EIGRP e OSPF
Roteamento (Encaminhamento)
O processo de encaminhamento IP restrito

com relao forma em que ele utiliza a
rota padro
O processo de encaminhamento IP no
tem restries quanto ao uso da rota
padro
Comparao entre roteamento classless e classful
CCNA ICND2 139

..........
[ TpiCO
'.....C""".
o roteamento IP classless funciona exatamente como a maioria das pessoas pensa que o roteamento IP funcionaria
-.
te
;.
quando um roteador conhece uma rota padro. Em comparao com o roteamento classful, os principais conceitos do
roteamento classless so simples. O roteamento classful restringe o uso da rota padro. As duas explicaes a seguir do
uma descrio geral de cada um, com um exemplo logo aps as definies:
..
lco
ve
Roteamento classless: quando o destino de um pacote s combina com a rota padro de um roteador, e no
combina com nenhum outro roteador, encaminhe o pacote utilizando a rota padro.
Roteamento classful : quando o destino de um pacote s combina com a rota padro de um roteador, e no
combina com nenhum outro roteador, use a rota padro somente se este roteador no conhecer nenhuma rota da
rede classful na qual o endereo IP de destino resida.
O uso do termo classful se refere ao fato de que a lgica inclui algumas consideraes sobre as regras de endereamento
IP classful, ou seja, a rede classful (Classe A, B ou C) do endereo de destino do pacote. Para que este conceito faa
sentido, o Exemplo 4-11 mostra um roteador com uma rota padro; porm, o roteamento classful permite o uso da rota
padro em um caso, mas no no outro. O exemplo utiliza os mesmos exemplos de rotas padro apresentados anteriormente
neste captulo, com base na Figura 4-8. R3 e RI possuem uma rota padro que poderia encaminhar pacotes ao Roteador
Distl. Entretanto, conforme visto no Exemplo 4-11 , em R3, o ping 10.1.1.1 funciona mas o ping 168.13.200.1 falha.
Este exemplo utiliza a rota padro em R1, conforme definido com o comando ip
Observao
route e conforme explicado nos Exemplos 4-8 e 4-9, mas ele teria funcionado da mesma forma
independentemente de como a rota padro foi aprendida.
Exemplo 4-11 O roteamento classful fa z com que um ping em R3 falhe
R3# s how i p r oute
Codes :C - connected, S - static, I - IGRP, R - RI P , M - mobile, B - BGP
D - EIGRP, EX - EIGRP externaI, O - OSPF,
IA - OSPF inter a rea
N1 - OSPF NSSA externa I type 1 , N2 - OSPF NSSA externaI type 2

i - I S-IS , L1 - I S-IS level-1, L2 - IS-IS level-2,
i a - IS-IS inter area

P - p eriodic d ownloaded static rou te
Gateway of last resort is 168.13 . 100.1 to network 0 . 0.0 . 0
1 68.13.0.0/24 is subnetted , 4 subnets
R
168.13.1.0 [120/1] via 168.13.100.1,
168.13.3.0 is directly connected , EthernetO
00:00:13, Serial0 . 1
168.13.2.0 [120/1] via 168.13.100.2,
00 : 00:06, Serial0.1

C
1 68 . 13. 100.0 is di rectly connected , SerialO . 1
R3 #ping 10.1.1.1
Type escape sequence t o aborto
Sending 5, 100-byte ICMP Echos to 10.1 . 1.1 , timeout is 2 seconds:
! !! ! !
Success rate is 100 percent (5/5) , round- trip IDn / avg/max = 84 / 89/114 ms
R3#
R3#ping 168.13.200.1
Sending 5 , 100-byte ICMP Echos to 168 . 13.200.1, timeout is 2 seconds:
Success rate is O percent (0 / 5)
Primeiro, considere a tentativa de R3 combinar os destinos (10.1.1.1 e 168.13.200.1) em comparao com as rotas da
tabela de roteamento. A tabela de roteamento de R3 no possui nenhuma rota que combine com o endereo IP de destino,
a no ser a rota padro. Logo, a nica opo de R3 utilizar sua rota padro.
R3 configurado para utilizar o roteamento classful. Com roteamento classful, o roteador primeiramente combina com o
nmero da rede Classe A, B ou C no qual reside um dos destinos. Se a rede Classe A, B ou C for encontrada, o Software
Cisco lOS procura pelo nmero especfico da sub-rede. Se no for encontrada, o pacote descartado, como o caso das
mensagens ICMP echos enviadas com o comando ping
168.13.200.1. No entanto, com o roteamento classful, se o pacote no combinar com uma rede Classe A, B ou C da
tabela de roteamento, e existir uma rota padro, a rota padro utilizada - e por isso que R3 consegue encaminhar as
mensagens ICMP echos enviadas pelo comando ping 10.1.1.1 bem-sucedido.
Em resumo, com o roteamento classful, a nica vez em que a rota padro utilizada quando o roteador no sabe sobre
nenhuma sub-rede da rede de destino Classe A, B ou C do pacote.
possvel alternar entre o roteamento classless e classful com os comandos de configurao global ip classless e no
ip classless, respectivamente. Com o roteamento classless, o Software Cisco lOS procura pela melhor combinao,
ignorando as regras de classe. Se existir uma rota padro, com o roteamento classless, o pacote sempre, pelo menos,
combina com a rota padro. Se uma rota mais especfica combinar com o destino do pacote, aquela rota usada. O
Exemplo 4-12 mostra R3 alterada para utilizar o roteamento classless, e o ping 168.13.200.1 bem-sucedido.
Exemplo 4-12 O roteamento classless permite que o ping 168.13.200.1 agora obtenha sucesso
R3# eonfigure terminal
R3(config) ip ela le
R3 (config) # AZ
R3#ping 168.13.200.1
Sending 5 , 100-byte ICMP Echos to 168.13.200.1, timeout is 2 seconds:
! ! !! !
Success rate is 100 percent (5/5), round-trip min/avg/max = 80/88/112 ms

..........
f T6plco
'. Chave
....
CCNA ICND2 141

Descrio
Lista
Passos seguidos por um host ao encaminhar pacotes IP
119
Lista
Passos seguidos por um roteador ao encaminhar pacotes IP
120
Lista
Reviso dos pontos-chave sobre endereamento IP
122
Reflexo
Resumo da lgica utilizada por um roteador quando o

destino de um pacote combina com mais de uma rota
124
Lista
Itens normalmente aprendidos atravs do DHCP
125
Lista
Passos e protocolos utilizados por um host ao comunicar-se

com outro host
126
Lista
Regras referentes a quando um roteador cria uma rota conectada
128
Lista
Regras sobre o endereo origem utilizado por pacotes

gerados pelo comando ping lOS
135
Fatos importantes com relao definio de rotas

estticas padro
138
Resumo dos trs usos separados, mas relacionados,

dos termos classless e classful
139
Definies de roteamento classless e roteamento classful
139
Lista
Tabela 4-2
Lista
Nmero da pgina

Imprima uma cpia do Apndice J, "Tabelas de memria" ou pelo menos a seo referente a este captulo e complete as
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: endereamento
classful, endereamento classless, endereo IP secundrio, ping estendido, protocolo de roteamento classful, protocolo de
roteamento classless, roteamento classful, roteamento classless, sub-rede zero

exame. Para verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos,
cubra o lado esquerdo da tabela com um pedao de papel, leia as descries do lado direito e veja se voc se lembra
do comando.

Comando
Descrio
encapsulation dotlq vlan-id [native]
Subcomando de subinterface que diz ao roteador para usar o trunking

802.1 Q, para uma VLAN em particular, e com a palavra-chave native,
para no encapsular em um cabealho do trunking
encapsulation isl vlan-identifier
Subcomando de subinterface que diz ao roteador para usar o trunking

ISL, para uma VLAN em particular
[no] ip classless
Comando global que ativa (ip classless) ou desativa (no ip classless)

o roteamento c1assless
[no] ip subnet-zero
Comando global que permite (ip subnet-zero) ou desfaz a permisso

(no ip subnet-zero) de configurao de um endereo IP de interface
em uma sub-rede zero
ip address ip-address mask [secondary]
Subcomando de interface que designa o endereo IP da interface e d a

opo de fazer do endereo um endereo secundrio
ip route prefix mask {ip-address I

Comando de configurao global que cria uma rota esttica
interface-type interface-number} [distance]
[permanent]
ip default-network network-number
Comando global que cria uma rota padro baseada na

rota do roteador para alcanar a rede c1assfullistada no comando

Comando
Descrio
show ip route
Lista toda a tabela de roteamento do roteador
show ip route ip-address
Lista informaes detalhadas sobre a rota com a qual um roteador

combina para o endereo IP apresentado
ping {host-name
I ip-address}
traceroute {host-name
I ip-address}
Testa as rotas IP enviando um pacote ICMP ao host de destino

Testa as rotas IP descobrindo os endereos IP das rotas entre um roteador
e o destino listado
CCNA ICND2 143

seguintes assuntos:
VLSM: esta seo explica as questes e solues ao projetar
uma inter-rede que utiliza VLSM.
Sumarizao manual de rotas: esta seo explica o conceito

de sumarizao manual de rotas e descreve como projetar
inter-redes para facilitar a sumarizao.
Sumarizao automtica e redes classful no-contguas:

esta seo examina o recurso de sumarizao automtica
e explica como ele deve ser considerado em projetos de
inter-redes que utilizam redes no-contguas
: VLSM e sumarizao de rotas
CAPTULO
Enquanto o Captulo 4, "Roteamento IP: rotas estticas e diretamente conectadas", concentra-se em tpicos relacionados
ao roteamento IP, este captulo concentra-se em tpicos relacionados ao endereamento IP: VLSM (variable-length
subnet masking, ou mascaramento de sub-redes de comprimento varivel), sumarizao manual de rotas e sumarizao
automtica de rotas. Esses recursos esto relacionados ao endereamento IP pelo fato de exigirem raciocnio sobre o
intervalo de endereos IP indicado por um determinado endereo e uma mscara ou por uma sub-rede que faa parte de
uma rota sumarizada. Portanto, este captulo requer compreenso total de endereamento IP para que se possa entender
por completo os exemplos aqui apresentados.
Este captulo se concentra principalmente em conceitos e comandos show, com apenas alguns poucos comandos de
configurao de interesse.
Seo d os tpicos fun damentais
Questes
VLSM
1-3
Sumarizao manual de rotas
4-6
Sumarizao automtica e redes c1assful no-contguas
7-8
1. Qual dos seguintes protocolos de roteamento aceita VLSM?
I.
a. RIP-l
b. RIP-2
c. EIGRP
d. OSPF
2. O que significa o acrnimo VLSM?
a. Mscara de sub-redes de comprimento varivel
b. Mscara de sub-redes muito longas
c. Mscara de sub-redes longitudinais vociferante
d. Mscara de sub-redes de extenso vetorial
e. Mscara de sub-redes de loop vetorial
3. RI configurou a interface FaO/O com o comando ip address 10.5.48.1 255.255.240.0. Qual das seguintes subredes, quando configurada em outra interface em RI, no seria considerada uma sub-rede VLSM sobreposta?
146
Captulo 5: VLSM e sumarizao de rotas
a. 10.5.0.0255.255.240.0
b. 10.4.0.0255.254.0.0
c. 10.5.32.0255.255.224.0
d. 10.5.0.0255.255.128.0
4. Qual das seguintes sub-redes sumarizadas a menor rota de sumarizao (menor intervalo de endereos) que inclui as
sub-redes 10.3.95.0, 10.3.96.0 e 10.3.97.0 e a mscara 255.255.255.0?
a. 10.0.0.0255.0.0.0
b. 10.3.0.0255.255.0.0
c. 10.3.64.0255.255.192.0
d. 10.3.64.0255.255.224.0
5. Qual das seguintes sub-redes sumarizadas no uma sumarizao vlida que inclui as sub-redes 10.1.55.0, 10.1.56.0
e 10.1.57.0 e a mscara 255.255.255.0?
a. 10.0.0.0255.0.0.0
b. 10.1.0.0255.255.0.0
c. 10.1.55.0255.255.255.0
d. 10.1.48.0255.255.248.0
e. 10.1.32.0255.255.224.0
6. Qual dos seguintes protocolos de roteamento aceita sumarizao manual de rotas?
a. RIP-1
b. RIP-2
c. EIGRP
d.OSPF
7. Qual(is) protocolo(s) de roteamento executa(m) sumarizao automtica como padro?
a. RIP-1
b. RIP-2
c. EIGRP
d.OSPF
8. Uma inter-rede possui uma rede no-contgua 10.0.0.0, e est tendo problemas. Todos os roteadores utilizam RIP-l
com todas as configuraes padro. Qual das seguintes respostas apresenta uma ao que, por si s, resolveria o
problema e permitiria a rede no-contgua?
a. Migrar todos os roteadores para utilizar OSPF, usando quantos padres forem possveis.
b. Desativar a sumarizao automtica com o comando de configurao RIP no auto-summary.
c. Migrar para EIGRP, usando quantos padres forem possveis.
d. O problema no pode ser resolvido sem, primeiro, fazer com que a rede 10.0.0.0 se tome contgua.
Tpicos fundamentais
Este captulo discute trs tpicos relacionados: VLSM, sumarizao manual de rotas e sumarizao automtica de rotas.
Esses tpicos esto relacionados entre si principalmente por causa da matemtica existente por detrs, que requer que o
engenheiro consiga olhar o nmero e a mscara de uma sub-rede e rapidamente determinar o intervalo de endereos a
implcito. Este captulo comea abordando o VLSM, passando, em seguida, para a sumarizao manual de rotas e, por
ltimo, a sumarizao automtica.
CCNA ICND 2
147
VLSM
VLSM ocorre quando uma inter-rede utiliza mais de uma mscara em diferentes sub-redes de uma nica rede Classe A, B ou
C. O VSLM permite que os engenheiros reduzam o nmero de endereos IP desperdiados em cada sub-rede, possibilitando
mais sub-redes e evitando ter de obter outro nmero de rede IP registrado nas autoridades regionais de concesso de endereos
IP. Alm disso, mesmo quando estiverem utilizando redes IP privadas (conforme definido na RFC 1918), grandes corporaes
podem ainda assim precisar conservar o espao de endereos, novamente criando a necessidade de utilizar o VLSM.
A Figura 5-1 mostra um exemplo de VLSM usado na rede Classe A 10.0.0.0.
Figura 5-1 VLSM na rede 10.0.0.0: Mscaras 255.255.255.0 e 255.255.255.252

10.2.1.0
10.2.3.0
10.2.4.0
10.3.4.0
Albuquerque
10.1 .4.0/30
10.2.2.0
10.3.5.0
10.1.6.0130
10.3.6.0
SO/1
SOlO
Yosemite
Seville
10.3.7.0
10.1.1.0
Mscara: 255.255.255.0 exceto onde Indicado
A Figura 5-1 mostra uma tpica escolha de utilizar um prefixo /30 (mscara 255.255.255.252) em links seriais ponto-aponto, com alguma outra mscara (255.255.255.0, neste exemplo) nas sub-redes LAN. Todas as sub-redes so redes
Classe A 10.0.0.0, com duas mscaras sendo usadas, satisfazendo, portanto, a definio do VLSM.
Por mais estranho que possa parecer, as pessoas cometem um pequeno erro ao pensar que VLSM significa "usar mais
de uma mscara", em vez de "usar mais de uma mscara em uma nica rede c1assful" . Se em um diagrama de interrede, por exemplo, todas as sub-redes da rede 10.0.0.0 utilizarem uma mscara 255.255.240.0 e todas as sub-redes da
rede 11.0.0.0 utilizarem uma mscara 255.255.255.0, so utilizadas duas mscaras diferentes. Entretanto, somente uma
mscara fica dentro de cada respectiva rede c1assful e, portanto, este projeto especfico no estaria usando o VLSM.
O Exemplo 5-1 apresenta a tabela de roteamento em Albuquerque da Figura 5-1. Albuquerque usa duas mscaras dentro
da rede 10.0.0.0, conforme indicado na linha destacada no exemplo.
Exemplo 5-1 Tabela de roteamento de Albuquerque com VLSM

Codes:C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
Gateway of last resort is not set
10 .0. 0 . 0 / 8 is variab1y subnetted, 11 subnets, 2 masks
D
10.2.1.0/24 [90/2172416] via 10.1.4.2, 00:00:34, SerialO/O
10.2.2.0/24 [90/2172416] via 10.1.4.2, 00 : 00:34, SerialO/O
10.2.3.0/24 [90/2172416] via 10.1.4 . 2, 00:00:34, SerialO/O
10.2 . 4.0/24 [90/2172416] via 10.1.4.2, 00:00:34, SerialO/O
10.3.4.0/24 [90/2172416] via 10 . 1.6.2, 00:00:56, Se rial0/1
10.3 . 5.0/24 [90/2172416] via 10 . 1. 6 .2, 00:00 : 56, Serial0/1
10.3.6.0/24 [90/2172416] via 10.1.6.2, 00:00 : 56, SerialO/1
10.3.7.0/24 [90/2172416] via 10.1.6.2, 00:00 : 56, Serial0/1
c
c
10.1.1. 0/24 is directly connected, EthernetO/O
10.1.4 . 0/30 is directly connected, SerialO/O
10.1.6.0/30 is directly connected, SerialO/1
148 Captulo 5: VLSM e sumarizao de rotas
Protocolos de roteamento classless e classful

Para que um protocolo de roteamento aceite VLSM, ele deve anunciar no s o nmero da sub-rede mas tambm a
mscara da sub-rede quando estiver anunciando rotas. Alm disso, um protocolo de roteamento deve incluir mscaras de
sub-rede em suas atualizaes de roteamento para aceitar sumarizao manual de rotas.
Cada protocolo de roteamento IP considerado classless ou classful, com base no fato de ele enviar (classless) ou no
(classful) a mscara em atualizaes de roteamento. Cada protocolo de roteamento , naturalmente, classless ou classful;
no existe nenhum comando a ser ativado ou desativado se um determinado protocolo de roteamento for um protocolo
classless ou classful. A Tabela 5-2 apresenta os protocolos de roteamento, mostra se cada um classless ou classful e
oferece lembretes sobre os dois recursos (VLSM e sumarizao de rotas) ativados pela incluso de mscaras nas
atualizaes de roteamento.
/;~~;~o
\' Ch....
....
Tabela 5-2 Protocolos de roteamento IP internos classless e classful

Protocolo de roteamento
Classless?
nas atualizaes
Envia mscaras
Aceita
VLSM
Aceita sumarizao
manual de rotas
RIP-1
No
No
No
No
IGRP
No
No
No
No
RIP-2
Sim
Sim
Sim
Sim
EIGRP
Sim
Sim
Sim
Sim
OSPF
Sim
Sim
Sim
Sim
Sub-redes VLSM sobrepostas

As sub-redes escolhidas para serem usadas em qualquer projeto de inter-rede IP no podem sobrepor seus intervalos de
endereos. Com uma nica mscara de sub-rede em uma rede, as sobreposies so praticamente bvias; entretanto,
com o VLSM, as sub-redes sobrepostas podem no ser to bvias assim. Quando vrias sub-redes se sobrepem, as
entradas da tabela de roteamento de um roteador se sobrepem. Em conseqncia disso, o roteamento se toma imprevisvel,
e alguns hosts podem ser alcanados somente a partir de determinadas partes da inter-rede. Resumindo, um projeto que
utilize sub-redes sobrepostas considerado um projeto incorreto e no deve ser utilizado.
Existem dois tipos gerais de problemas relacionados a sub-redes VLSM sobrepostas, na vida real e nos exames: analisar
um projeto existente para identificar sobreposies e escolher novas sub-redes VLSM de forma a no criar uma subrede sobreposta. Para ter uma idia do que o exame pode abordar com relao ao VLSM e s sub-redes sobrepostas,
considere a Figura 5-2, que mostra uma nica rede Classe B (172.16.0.0), utilizando um projeto de VLSM que inclui trs
mscaras diferentes: /23, /24 e /30.
Figura 5-2 Projeto de VLSM com possvel sobreposio
172.16.4.1/23
172.16.2.1/23
172.16.9.5/30
172.16.5.1/24
Agora imagine que uma questo do exame lhe mostre a figura e, direta ou indiretamente, pergunte se existem sub-redes
sobrepostas. Este tipo de questo pode simplesmente dizer que alguns hosts no conseguem se identificar ou pode nem
CCNA ICND 2
149
mesmo mencionar que a causa geradora poderia ser a sobreposio de algumas sub-redes. Para responder a uma
questo como esta, voc pode seguir a sugesto simples, mas possivelmente trabalhosa, apresentada a seguir:
Passo 1 Calcule o nmero de sub-rede e o endereo de broadcast de sub-rede de cada sub-rede; assim voc obtm o
intervalo de endereos daquela sub-rede.
: e""".
Passo 2 Compare os intervalos de endereos de cada sub-rede e procure casos nos quais haja sobreposio dos
intervalos de endereos.
Na Figura 5-2, por exemplo, voc veria as cinco sub-redes e, utilizando o Passo 1, calcularia os nmeros da sub-rede, os
endereos de broadcast e o intervalo de endereos, com as respostas apresentadas na Tabela 5-3.
Localizao da sub-rede
RI LAN
Tabela 5-3 Sub-redes e intervalos de endereos na Figura 5-2

Nmero da sub-rede
Primeiro endereo
ltimo endereo Endereo de broadcast
172.16.2.0
172.16.2.1
172.16.3.254
172.16.3.255
R2LAN
172.16.4.0
172.16.4.1
172.16.5.254
172.16.5.255
R3 LAN
172.16.5.0
172.16.5.1
172.16.5.254
172.16.5.255
RI-R2 serial
172.16.9.0
172.16.9.1
172.16.9.2
172.16.9.3
RI-R3 serial
172.16.9.4
172.16.9.5
172.16.9.6
172.16.9.7
o Passo 2 um passo um tanto quanto bvio que diz para comparar os intervalos de endereos para verificar se
existe alguma sobreposio. Observe que nenhum dos nmeros de sub-rede so idnticos; entretanto, ao examinar
mais de perto as sub-redes R2 LAN e R3 LAN, pode-se ver que h sobreposio entre essas duas sub-redes.
Neste caso, o projeto invlido por causa da sobreposio e, conseqentemente, uma das duas sub-redes teria de
ser alterada.
Projetando um esquema de sub-redes utilizando VLSM
O CCENT/CCNA fCNDi Guia Oficial de Certificao do Exame explica como projetar o esquema de endereamento
IP para uma nova rede escolhendo sub-redes IP quando estiver utilizando uma nica mscara de sub-rede em toda a rede
classful. Para isso, o processo, primeiramente, analisa os requisitos de projeto para determinar o nmero de sub-redes e
o nmero de hosts da sub-rede maior. Em seguida, escolhida uma mscara para a sub-rede. Por fim, todas as sub-redes
possveis da rede, utilizando aquela mscara, so identificadas e, em seguida, as sub-redes reais utilizadas no projeto so
escolhidas a partir daquela lista. Na rede Classe B 172.16.0.0, por exemplo, um projeto poderia pedir dez sub-redes, com
a sub-rede maior tendo 200 hosts. A mscara 255.255.255.0 satisfaz os requisitos, com 8 bits de sub-rede e 8 bits de host,
aceitando 256 sub-redes e 254 hosts por sub-rede. Os nmeros das sub-redes seriam 172.16.0.0, 172.16.1.0, 172.16.2.0,
e assim por diante.
Ao utilizar o VLSM em um projeto, o processo comea com a deciso de quantas sub-redes de cada tamanho so
necessrias. A maioria das instalaes, por exemplo, utiliza sub-redes com um prefixo /30 para links seriais, porque essas
sub-redes aceitam exatamente dois endereos IP, que so todos os endereos necessrios em um link ponto-a-ponto. As
sub-redes baseadas em LANs, muitas vezes, tm requisitos diferentes, com prefixos menores (significando mais bits de
host) para nmeros maiores de hosts/sub-redes, e prefixos maiores (significando menos bits de host) para nmeros
menores de hosts/sub-redes.
Observao Para revisar o projeto de criao de sub-redes utilizando SLSM (static-length
subnet masks, ou mscaras de sub-redes de comprimento fixo), use como referncia o Captulo
12 do CCENT/CCNA ICNDI Guia Oficial de Certificao do Exame. (O Apndice D deste
livro - disponvel no idioma original no site da editora: www.altabooks.com.br -, "Subnetting
Practice", tambm inclui alguns problemas prticos relacionados a este tpico.)
Depois de determinar o nmero de sub-redes com cada mscara, o prximo passo encontrar nmeros de sub-redes que
combinem com os requisitos. Essa tarefa no particularmente difcil se voc j entende como encontrar nmeros de

sub-redes quando estiver utilizando mscaras de comprimento fixo. Entretanto, um processo mais formal pode facilitar,
como mostrado a seguir:
Passo 1 Determine o nmero de sub-redes necessrias para cada mscara/prefixo com base nos requisitos de projeto.
Passo 2 Utilizando o menor prefixo (maior nmero de bits de host), identifique as sub-redes da rede c1assful quando
estiver utilizando aquela mscara, at que o nmero necessrio dessas sub-redes tenha sido identificado.
Passo 3 Identifique o prximo nmero da sub-rede utilizando a mesma mscara do passo anterior.
Passo 4 Comeando com o nmero da sub-rede identificado no passo anterior, identifique sub-redes menores com
base no prximo maior prefixo necessrio para o projeto, at que o nmero necessrio de sub-redes daquele
tamanho tenha sido identificado.
Passo 5 Repita os Passos 3 e 4 at que todas as sub-redes de todos os tamanhos tenham sido encontradas.
Honestamente falando, utilizar o processo descrito acima pode ser um pouco difcil, mas um exemplo pode certamente
ajudar a entender o porqu do processo. Portanto, imagine um projeto de rede para o qual os seguintes requisitos foram
determinados, de acordo com o Passo 1 do processo anterior. O projeto pede o uso da rede Classe B 172.16.0.0:
- Trs sub-redes com mscara /24 (255.255.255.0)
- Trs sub-redes com mscara /26 (255.255.255.192)
- Quatro sub-redes com mscara /30 (255.255.255.252)
O Passo 2, neste caso, significa que as trs primeiras sub-redes da rede 172.16.0.0 devem ser identificadas, com a
mscara /24, porque este o menor prefixo dos trs prefixos apresentados nos requisitos de projeto. Utilizando a mesma
matemtica abordada em detalhe no livro ICNDl, as trs primeiras sub-redes seriam 172.16.0.0/24, 172.16.1.0/24 e
172.16.2.0/24:
- 172.16.0.0/24: Intervalo 172.16.0.1-172.16.0.254
-172.16.1.0/24: Intervalo 172.16.1.1-172.16.1.254
-172.16.2.0/24: Intervalo 172.16.2.1-172.16.2.254
O Passo 3, neste caso, diz para identificar mais uma sub-rede utilizando a mscara /24, de forma que a prxima sub-rede
numrica seria 172.16.3.0/24.
Antes de passar para o Passo 4, reserve alguns minutos para revisar a Figura 5-3. A figura mostra os resultados do Passo
2 na parte superior, apresentando as trs sub-redes identificadas neste passo como "alocadas", pois elas sero utilizadas
como sub-redes neste projeto. Ela apresenta tambm a prxima sub-rede, conforme encontrada no Passo 3, apresentandoa como no-alocada, pois ela ainda no foi escolhida para ser usada em uma parte especfica do projeto.
Figura 5-3 Projetando o uso de sub-redes VLSM

Passo 2: encontrar sub-redes com o prefixo 124
Alocada
172.16.1.0/24
172.16.29.0/25
172.16.3.0/25
172.16.0.0 172.16.0.255
172.16.1.1 172.16.1.255
172.16.2.1 172.16.2.255
172.16.3.1 172.16.3.255
---
Passos 3 e 4 (1 passo):
encontrar sub-redes
- - -locada
com prefixos 126
172.16.3.0/26
__ o
__ o
Alocada
Alocada
Alocada
172.16.0.0/24
.-- ----- --- --- ---
--- --- ---
Alocada
172.16.3.64/26
--- .-- --Alocada
172.16.3.128/26
No-alocada
172.16.3.192/26
Passos 3 e 4 (2 passo) :
encontrar sub-redes
com prefixos 130
CCNA ICND 2
151
Para encontrar as sub-redes do Passo 4, comece com o nmero da sub-rede no-alocada encontrada no Passo 3
(172.16.3.0), mas com o Passo 4 aplicando o prximo maior prefIxo, ou seja, /26 neste exemplo. O processo sempre
resulta no nmero da primeira sub-rede sendo o nmero de sub-rede encontrado no passo anterior, ou seja, 172.16.3.0
neste caso.
-172.16.3.0/26: Intervalo 172.16.3.1-172.16.3.62

- 172.16.3.64/26: Intervalo 172.16.3.65-172.16.3.126
-172.16.3.128/26: Intervalo 172.16.3.129-172.16.3.190
Finalmente, o Passo 5 diz para repetir os Passos 3 e 4 at que todas as sub-redes tenham sido encontradas. Neste caso,
ao repetir o Passo 3, a prxima sub-rede encontrada, utilizando o prefIxo /26, ou seja, a sub-rede 172.16.3.192/26. Essa
sub-rede considerada no-alocada por enquanto. Para repetir o Passo 4 para o prximo maior prefIxo, o Passo 4 utiliza
o prefIxo /30, comeando com o nmero de sub-rede 172.16.3.192. A primeira sub-rede ser 172.16.3.192, com mscara
/30, acrescida das trs prximas sub-redes com aquela mesma mscara, da seguinte forma:
- 172.16.3.192/30: Intervalo 172.16.3.193-172.16.3.194

-172.16.3.196/30: Intervalo 172.16.3.197-172.16.3.198
-172.16.3.200/30: Intervalo 172.16.3.201-172.16.3.202
-172.16.3.204/30: Intervalo 172.16.3.205-172.16.3.206
A descrio do processo formalizado pode parecer um pouco trabalhosa, mas o resultado obtido um conjunto de subredes VLSM que no se sobrepem. Ao utilizar uma abordagem estruturada que, em essncia, constitui primeiro na
alocao de sub-redes maiores e, depois, de sub-redes menores, pode-se geralmente escolher sub-redes de forma que os
intervalos de endereos no se sobreponham.
Acrescentando uma nova sub-rede a um projeto existente

Outra tarefa necessria ao trabalhar com inter-redes baseadas em VLSM escolher um nmero para uma nova subrede para uma inter-rede existente. Deve-se tomar cuidado extra, principalmente, ao escolher nmeros para novas subredes para evitar que acontea sobreposio entre a nova sub-rede e as sub-redes existentes. Considere, por exemplo, a
inter-rede da Figura 5-2, com a rede c1assfull72.16.0.0. Uma questo do exame poderia pedir que uma nova sub-rede,
com um prefIxo /23, fosse acrescentada ao projeto e pedir para escolher o menor nmero de sub-rede que pudesse ser
utilizado para a nova sub-rede. Portanto, as sub-redes devem ser identifIcadas e uma sub-rede sem sobreposio deve
ser escolhida.
Para atacar um problema como este, voc precisaria encontrar todos os nmeros de sub-redes que pudessem ser criados
naquela rede c1assful, utilizando a mscara mostrada ou indicada. Voc teria de se assegurar de que a nova sub-rede no
, .. se sobrepusesse a nenhuma sub-rede existente. Especillcamente, voc poderia usar os seguintes passos:
[_ 'CO
:.. ..
Passo 1 Se ainda no tiver sido apresentada como parte da questo, escolha a mscara da sub-rede (extenso do
prefIxo) com base nos requisitos de projeto, normalmente baseado no nmero de hosts necessrios na sub-rede.
Passo 2 Calcule todos os nmeros de sub-redes possveis da rede c1assful, utilizando a mscara determinada no Passo
1. (Se a questo do exame pedir o maior ou o menor nmero de sub-rede, voc pode optar por fazer essa matemtica
somente para as poucas primeiras ou poucas ltimas sub-redes).
Passo 3 Para as sub-redes encontradas no Passo 2, calcule o endereo de broadcast da sub-rede e o intervalo de
endereos para cada sub-rede considerada.
Passo 4 Compare as listas de possveis sub-redes e intervalos de redes com as sub-redes e os intervalos de endereos
existentes. Elimine qualquer sub-rede que possa se sobrepor a uma sub-rede existente.
Passo 5 Escolha um nmero de sub-rede a partir da lista encontrada no Passo 2 que no se sobreponha a qualquer
sub-rede existente, observando se a questo pede o menor ou o maior nmero de sub-rede.
Utilizando esse processo, composto por cinco passos, com o exemplo iniciado logo antes da lista de passos da Figura 5-2, a
questo forneceu a extenso de prefIxo /23 (passo 1). A Tabela 5-4 apresenta os resultados dos Passos 2 e 3, listando os
nmeros das sub-redes, os endereos de broadcast e o intervalo de endereos para as cinco primeiras sub-redes /23 possveis.
152
Tabela 5-4 Cinco primeiras sub-redes /23 possveis

Sub-rede
Nmero da sub-rede Primeiro endereo ltimo endereo Endereo de broadcast
Primeira (zero)
172.16.0.0
172.16.0.1
172.16.1.254
172.16.1.255
_Se_~_n_d_a____________
17_2_.1_6_.2_.0_________1_7_2._16_._2._1_______1_7_2_.1_6_.3_.2_54______
17_2_.1_6_.3_.2_5_5_______
Terceira
172.16.4.0
172.16.4.1
172.16.5.254
172.16.5.255
Quarta
172.16.6.0
172.16.6.1
172.16.7.254
172.16.7.255
Quinta
172.16.8.0
172.16.8.1
172.16.9.254
172.16.9.255
o Passo 4 compara as informaes da tabela com as sub-redes existentes. Neste caso, a segunda, a terceira e a quarta subredes da Tabela 5-4 se sobrepem s sub-redes existentes na Figura 5-2. O Passo 5 tem mais a ver com o exame do que com
redes reais. Questes de mltipla escolha s vezes precisam forar a questo a ter uma nica resposta e, por isso, pedir a
numericamente menor ou maior sub-rede resolve o problema. Este modelo especfico de problema pede o menor nmero de
sub-rede, e a sub-rede zero continua disponvel (176.16.0.0/23 com o endereo de broadcast 172.16.0.0/23). Se a questo
permitisse o uso da sub-rede zero, a sub-rede zero (176.16.0.0/23) seria a resposta correta. Entretanto, se o uso da sub-rede
zero fosse proibido, as quatro primeiras sub-redes apresentadas na Tabela 5-4 no estariam disponveis, fazendo da quinta subrede (172.16.8.0/23) a resposta correta. Observe que o Cenrio 5 do Apndice F - disponvel no idioma original no site da
editora: www.altabooks.com.br-. "Additional Scenarios", lhe d a oportunidade de praticar usando esse processo em particular.
Observao Para o exame, a sub-rede zero deve ser evitada se (a) a questo implicar no
uso de protocolos de roteamento classful ou (b) se os roteadores estiverem configurados
com o comando de configurao global no ip subnet-zero. Do contrrio, considere que a subrede zero pode ser usada.
Configurao do VLSM
Roteadores no ativam nem desativam o VLSM como recurso de configurao. Numa perspectiva de confi~rao, o
VLSM simplesmente um reflexo do subcomando de interface ip address. Os roteadores configuram o VLSM em
virtude de terem pelo menos duas interfaces de roteador, no mesmo roteador ou entre todos os roteadores da inter-rede,
com endereos IP na mesma rede c1assful, mas com mscaras diferentes. O Exemplo 5-2 mostra um exemplo simples no
Roteador R3 da Figura 5-2, com o endereo IP 172.16.5.1124 sendo designado interface FaOIO e o endereo IP
172.16.9.6/30 sendo designado interface SOIO/l, usando, assim, pelo menos, duas mscaras diferentes na rede 172.16.0.0.
Exemplo 5-2 Configurando o VLSM
R3{config)# interface FaO/O
R3{config-if)# ip address 172.16.5.1 255.255.255.0
R3{config- if)# interface SOIOll
R3{config-if)# ip address 172.16.9.6 255.255.255.252
Protocolos de roteamento c1assless, que aceitam o VLSM, no tm de ser configurados para ativar o VLSM. Suporte ao
VLSM apenas um recurso inerente a estes protocolos de roteamento.
A seguir, o texto passa para a segunda seo deste captulo, o tpico sobre sumarizao manual de rotas.
Sumarizao manual de rotas

Redes pequenas podem ter apenas algumas dezenas de rotas nas tabelas de roteamento de seus roteadores. Quanto maior
a rede, maior o nmero de rotas. Na verdade, os roteadores da Internet tm mais de 100 000 rotas em al~ns casos.
A tabela de roteamento pode se tomar muito grande em redes IP grandes. medida que as tabelas de roteamento
crescem, elas consomem mais memria do roteador. Alm disso, cada roteador pode demorar mais para rotear um
CCNA ICND 2
153
pacote, pois ele tem que combinar uma rota da tabela de roteamento, e procurar uma tabela maior geralmente demora
mais. E, com uma tabela de roteamento grande, mais demorado resolver problemas, porque os engenheiros que trabalham
com a rede precisam examinar cuidadosamente um nmero maior de informaes.
A sumarizao de rotas reduz o tamanho das tabelas de roteamento enquanto mantm rotas para todos os destinos da
rede. Em conseqncia disso, o desempenho do roteamento pode ser melhorado e a memria pode ser salva dentro de
cada roteador. A sumarizao tambm melhora o tempo de convergncia, pois o roteador que sumariza a rota no tem
mais de anunciar nenhuma alterao feita no status das sub-redes individuais. Ao anunciar apenas que toda a rota de
sumarizao est ativa ou inativa, os roteadores que possuem a rota de sumarizao no tm de convergir todas as vezes
que uma das sub-redes componentes se torna ativa ou inativa.
Este captulo se refere sumarizao de rotas como sendo a sumarizao manual de rotas, em contraste com o ltimo
tpico deste captulo, sumarizao automtica. O termo manual se refere ao fato de que a sumarizao manual de rotas
s ocorre quando um engenheiro configura um ou mais comandos. A sumarizao automtica ocorre automaticamente
sem nenhum comando de configurao especfico.
As sees a seguir examinam primeiramente os conceitos existentes por trs da sumarizao de rotas, seguido de
algumas sugestes de como determinar boas rotas de sumarizao. Observe que, embora os conceitos sejam abordados,
a configurao de rotas sumarizadas manualmente no um objetivo principal neste livro.
Conceitos de sumarizao de rotas
Os engenheiros utilizam a sumarizao de rotas para reduzir o tamanho das tabelas de roteamento na rede. A sumarizao
de rotas faz com que algumas rotas mais especficas sejam substitudas por uma nica rota que inclui todos os endereos
IP cobertos pelas sub-redes nas rotas originais.
As rotas de sumarizao, que substituem mltiplas rotas, devem ser configuradas por um engenheiro de rede. Embora o
comando de configurao no se parea exatamente com um comando static route, so configuradas as mesmas
informaes bsicas. Agora, o protocolo de roteamento anuncia somente a rota de sumarizao, em vez das rotas
originais.
A sumarizao de rotas funciona muito melhor quando a rede foi projetada com este recurso em mente. A Figura 5-1 , por
exemplo, apresentada anteriormente neste captulo, mostra os resultados de um bom planejamento de sumarizao.
Nesta rede, o engenheiro planejou suas escolhas de nmeros de sub-rede com base em seu objetivo de utilizar sumarizao
de rotas. Todas as sub-redes que saem do local principal (Albuquerque), incluindo links de WAN, comeam com 10.1.
Todas as sub-redes de LAN que saem de Yosemite comeam com 10.2, e, da mesma forma, todas as sub-redes de LAN
que saem de Seville comeam com 10.3.
O Exemplo 5-1 mostrou uma cpia da tabela de roteamento de Albuquerque sem sumarizao. Aquele exemplo mostra
as quatro rotas de Albuquerque at as sub-redes que comeam com 10.2, todas destacando sua interface serial O/O at
Yosemite. Analogamente, Albuquerque mostra quatro rotas at sub-redes que comeam com 10.3, todas destacando sua
interface serial O/I at Seville. Este projeto permite que os roteadores de Yosemite e Seville anunciem uma nica rota de
sumarizao em vez das quatro rotas que ele est atualmente anunciando at Albuquerque, respectivamente.
O Exemplo 5-3 mostra os resultados da configurao da sumarizao manual de rotas em Yoserrute e Seville. Neste caso,
Yosemite est anunciando uma rota de sumarizao para 10.2.0.0/16, que representa o intervalo de endereos 10.2.0.010.2.255.255 (todos os endereos que comeam com 10.2). Seville anuncia uma rota de sumarizao para a 10.3.0.0/16,
que representa o intervalo de endereos 10.3.0.0-10.3.255.255 (todos os endereos que comeam com 10.3).
Exemplo 5-3 Tabela de roteamento de Albuquerque depois da sumarizao de rotas

Nl - OSPF NSSA externaI type 1, N2 - OSPF NSSA externaI type 2
El - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP
i
IS-IS, Ll - IS-IS level-l, L2 - IS-IS level-2,
ia - IS-IS inter area
* - candidate d efault, U - per-us er static route, o - ODR

154
~----------------~----------------------------------------------~ ~
Gateway of 1ast resort is not set
10.0.0.0/8 is variab1y subnetted, 5 subnets, 3 masks
10.2.0.0/16 [90/2172416) via 10.1.4.2, 00:05:59, Seria10/0
10.3.0.0/16 [90/2172416) via 10.1.6.3, 00:05:40, Seria10/1
10.1.1. 0/24 is direct1y connected, EthernetO /O
10.1.6.0/30 is direct1y connected, Seria10/1
10.1.4.0/30 is direct1y connected, Seria10/0
A tabela de roteamento resultante em Albuquerque continua roteando pacotes corretamente, mas com mais eficincia e
menos memria. Na verdade, melhorar de 11 rotas para 5 rotas no ajuda muito, mas o mesmo conceito, aplicado a redes
maiores, ajuda bastante.
Os efeitos da sumarizao de rotas tambm podem ser vistos nos outros dois roteadores da figura. O Exemplo 5-4 mostra
Yosemite, incluindo a configurao da sumarizao de rotas e a tabela de roteamento de Yosemite. O Exemplo 5-5
mostra o mesmo tipo de informao em Seville.
Exemplo 5-4 Configurao e tabela de roteamento de Yosemite depois da sumarizao de rotas

Yosemite#configure terminal
Enter configuration commands, one per 1ine. End with CNTL/Z.

Yosemite(config)#interface serial O/O
Yosemite(config-if)# ip
summa~ddre
eigrp 1 10.2.0.0 255 255.0.0
Yosemite(config-if)#A Z
Yosemite#show ip route

D - EIGRP, EX - EIGRP externa1, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA externa1 type 1, N2 - OSPF NSSA externa1 type 2

E1 - OSPF externa1 type 1, E2 - OSPF externa1 type 2, E - EGP
i
- IS-IS, L1 - IS-IS 1eve1-1, L2 - IS-IS 1evel-2, ia - IS-IS inter area
* - candidate defau1t, U - per-user static route, o - ODR
P - periodic down1oaded static route
10.0.0.0/8 is variab1y subnetted, 9 subnets, 3 masks
10.2.0.0/16 is a summary,
10.3.0.0/16 [90/2684416) via 10.1.4.1, 00:04:30, Seria10/0
00:04:57, Nu110
10.2.1.0/24 is direct1y connected, FastEthernetO/O
10.1.1.0/24 [90/2195456) via 10.1.4.1, 00:04:52, Seria10/0
10.2.2.0/24 is direct1y connected, Loopback2
10.1.6.0/30 [90 /268 1856) via 10.1.4.1, 00:04:53,
10.1.4 . 0/30 is directly connected, Seria10/0
Seria10/0
Exemplo 5-5 Configurao e tabela de roteamento de Seville depois da sumarizao de rotas

Sevi11e#configure terminal
Enter configuration commands, one per 1ine. End with CNTL/Z.

Sevi11e(config)# interface serial 010
Sevi11e(config-if)#ip
.umma~ddre.s
eigrp 1 10.3.0.0 255.255.0.0
Sevil1e(config-if)#A Z
Sevi11e# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP externa1, O - OSPF, IA - OSPF inter area
CCNA ICND 2
155
N1 - OSPF NSSA external type 1, N2 - OS PF NSSA ext e rnal type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2,
ia - IS-IS inter a r ea

Gateway of 1ast resort is not set
10.0.0 . 0 / 8 is variably subnetted,
9 subnets , 3 masks
10.2 . 0.0 / 16 [90 / 2684416] via 10.1.6 . 1,
00:00:36 , SerialO/O
10.3.0.0 / 16 is a summary , 00:00:38, NullO
10.1.1.0/24 [90/2195456] via 10.1.6.1,
c
c
c
c
10.3 . 5.0/24 is directly connected, Loopback5
00:00:36, SerialO/O
10.3.4.0/24 is directly connected, Fas t EthernetO/O

10.1.6.0/30 is directly connected, SerialO/O
10.3.7.0/24 is directly connected, Loopback7
10.1.4.0/30 [90/2681856] via 10.1.6.1, 00:00:36, SerialO/O
10 . 3.6.0/24 is directly connected, Loopback6
A configurao da sumarizao de rotas difere para protocolos de roteamento diferentes; o EIGRP (Enhanced IGRP
(IGRP Avanado)) utilizado neste exemplo. As rotas de sumarizao para o EIGRP so criadas pelos subcomandos de
interface ip summary-address em Yosernite e Seville neste caso. Cada comando define uma nova rota sumarizada e diz
a EIGRP para anunciar somente a sumarizao que sai dessa interface e para no anunciar nenhuma rota contida na
sumarizao maior. Por exemplo, Yosemite defme uma rota de sumarizao at 10.2.0.0, com uma mscara 255.255.0.0,
que define uma rota at todos os hosts cujos endereos IP comeam com 10.2. De fato, esse comando faz com que
Yosernte e Seville anunciem as rotas 10.2.0.0255.255.0.0 e 10.3.0.0255.255.0.0, respectivamente, e no anunciem suas
quatro sub-redes LAN originais.
Observe que, no Exemplo 5-3, a tabela de roteamento de Albuquerque agora contm uma rota at 10.2.0.0 255.255.0.0
(a mscara apresentada com a notao de prefixos /16), mas no contm nenhuma das quatro sub-redes originais que
comeam com 10.2. O mesmo ocorre para a rota 10.3.0.0/16.
As tabelas de roteamento em Yosemite e Seville so um pouco diferentes da de Albuquerque. Concentrando-se em
Yosernite (Exemplo 5-4), observe que as quatro rotas at as sub-redes que comeam com 10.2 aparecem porque
so sub-redes diretamente conectadas. Yosemite no v as quatro rotas 10.3. Em vez disso, ela v uma rota de
sumarizao, pois Albuquerque agora anuncia somente a rota sumarizada 10.3.0.0/16. O contrrio verdadeiro em
Seville (Exemplo 5-5), que apresenta todas as quatro rotas conectadas que comeam com 10.3 e uma rota de
sumarizao para 10.2.0.0/16.
A parte mais interessante das tabelas de roteamento de Yosernite a rota at 10.2.0.0/16, com a interface de sada
definida em nullO. Quando as rotas se referem a uma interface de sada da interface nullO significa que os pacotes que
combinam com essa rota so descartados. O EIGRP acrescentou essa rota, com a interface nullO, em conseqncia do
comando ip summary-address. A lgica funciona da seguinte forma:
Yosemite precisa dessa rota estranha porque agora ela pode receber pacotes destinados a outros endereos 10.2 alm
das quatro sub-redes 10.2 existentes. Se um pacote destinado a uma das quatro sub-redes 1O.2.x existentes chegar,
Yosernte possui uma rota correta e mais especfica para combinar o pacote. Se um pacote cujo destino comece com 10.2
chegar, mas no estiver em uma das quatro sub-redes, a rota null combina o pacote, fazendo com que Yosemite descarte
o pacote - como deveria ser feito.
A tabela de roteamento em Seville semelhante de Yosemite em termos das entradas feitas na tabela e dos motivos
pelos quais elas esto na tabela.
Estratgias de sumarizao de rotas

Como mencionado anteriormente, a sumarizao manual de rotas funciona melhor quando o engenheiro de rede
planeja sua escolha de nmeros de sub-rede antecipando a sumarizao de rotas. Os exemplos anteriores consideraram
156
um plano bem estruturado, com os engenheiros usando somente sub-redes que comeassem com 10.2 para sub-redes
que sassem do roteador de Yosemite. Essa conveno permitiu a criao de uma rota de sumarizao para todos os
endereos comeando com 10.2 fazendo com que Yosemite anunciasse uma rota descrevendo a sub-rede 10.2.0.0,
com a mscara 255 .255.0.0.
Algumas rotas sumarizadas combinam vrias rotas em uma nica rota, mas esta pode no ser a "melhor" sumarizao.
A palavra melhor, quando aplicada escolha de qual rota de sumarizao deve ser configurada, significa que a sumarizao
deve incluir todas as sub-redes especificadas na questo, mas com o mnimo possvel de outros endereos. No exemplo
de sumarizao anterior, Yosemite sumarizou quatro sub-redes (10.2.1.0, 10.2.2.0, 10.2.3.0 e 10.2.4.0, todas com a
mscara 255.255.255 .0) na rota de sumarizao 10.2.0.0/16. Entretanto, essa sumarizao inclui muitos endereos IP
que no esto naquelas quatro sub-redes. Ser que a sumarizao funciona com base nos objetivos de projeto daquela
rede? Claro que sim. No entanto, em vez de simplesmente definir uma sumarizao que abranja vrios endereos
adicionais que ainda no existem em uma rede, possvel que o engenheiro deseje configurar a sumarizao mais concisa
e enxuta, ou seja, a melhor sumarizao: aquela que inclui todas as sub-redes, mas o mnimo possvel de sub-redes
adicionais (aquelas que ainda no foram designadas). Esta seo descreve uma estratgia para encontrar essas melhores
rotas concisas de sumarizao.
A lista a seguir descreve um processo binrio generalizado atravs do qual voc pode encontrar uma melhor rota de
sumarizao para um grupo de sub-redes:
..........
[ Tpico Passo 1 Liste todos os nmeros de sub-rede a serem sumarizadas em binrio.
\~h.Y.
Passo 2 Encontro os primeiros N bits dos nmeros de sub-rede em relao aos quais cada sub-rede tem o mesmo
valor, indo da esquerda para a direita. (Para nossos fins, considere essa primeira parte como a parte "em comum").
Passo 3 Para encontrar o nmero de sub-rede da rota de sumarizao, escreva os bits em comum do Passo 2 e os
zeros binrios para os bits restantes. Converta para decimal, 8 bits de cada vez, quando tiver terminado.
Passo 4 Para encontrar a mscara de sub-rede da rota de sumarizao, escreva N nmeros 1 binrios, sendo N o
nmero de bits em comum encontrados no Passo 2. Complete a mscara de sub-rede com todos os zeros binrios.
Converta para decimal, 8 bits de cada vez, quando tiver terminado.
Passo 5 Confira seu trabalho calculando o intervalo de endereos IP vlidos indicados pela nova rota de sumarizao,
comparando o intervalo com as sub-redes sumarizadas. A nova sumarizao deve abranger todos os endereos IP
das sub-redes sumarizadas.
Observando os nmeros de sub-rede em binrio, voc pode descobrir mais facilmente os bits em comum entre todos os
nmeros de sub-rede. Ao utilizar o maior nmero de bits em comum, voc consegue achar a melhor sumarizao. As
duas prximas sees mostram dois exemplos utilizando esse processo para encontrar as melhores rotas de sumarizao,
mais concisas e enxutas, para a rede apresentada na Figura 5-1.
Exemplo de "melhor" sumarizao em Seville

Seville possui as sub-redes 10.3.4.0, 10.3.5.0, 10.3.6.0 e 10.3.7.0, todas com a mscara 255.255.255.0. Comece o processo
escrevendo todos os nmeros de sub-rede em binrio:
0000 1 01 0 0000 0011 0000 01 00 0000 0000 - 10.3 . 4 . 0
000 0 10 1 0 0000 0011 0000 01 0 1 0 000 0 000 - 10 . 3.5.0
0000 1010 0000 0011 0000 01 10 0000 0000 - 10.3.6.0
0000 1010 0000 0011 0000 01 11 0000 0000 - 10.3.7 . 0
O Passo 2 requer que voc encontre todos os bits em comum no incio de todas as sub-redes. Mesmo antes de examinar os
nmeros em binrio, possvel perceber que os dois primeiros octetos so idnticos em todas as quatro sub-redes. Portanto,
uma rpida olhada nos primeiros 16 bits de todos os quatro nmeros de sub-rede confirma que todas tm o mesmo valor. Isso
significa que a parte em comum (passo 2) tem, pelo menos, 16 bits de comprimento. Um exame mais minucioso mostra que
os primeiros 6 bits do terceiro octeto tambm so idnticos, mas o stimo bit do terceiro octeto possui alguns valores
diferentes entre as diferentes sub-redes. Portanto, a parte em comum dessas quatro sub-redes so os primeiros 22 bits.
O Passo 3 diz para criar um nmero de sub-rede para a sumarizao tomando os mesmos bits da parte em comum e
escrever os zeros binrios para o resto. Neste caso:
CCNA ICND 2
157
0000 1010 0000 0011 0000 01 00 0000 0000 - 10.3 .4. 0
Passo 4 cria a mscara utilizando os 1 binrios para os mesmos bits da parte em comum, que so os primeiros 22 bits
neste caso, e, depois, os zeros binrios para os bits restantes, da seguinte forma:
1111 1111 1111 1111 1 111 11 00 0000 0000 - 2 55. 25 5. 252 .0
Portanto, a rota de sumarizao utiliza a sub-rede 10.3.4.0, com a mscara 255.255.252.0.

O Passo 5 sugere um mtodo para conferir o seu trabalho. A rota de sumarizao deve incluir todos os endereos IP
nas rotas sumarizadas. Neste caso, o intervalo de endereos para a rota de sumarizao comea com 10.3.4.0. O
primeiro endereo IP vlido 10.3.4.1, o ltimo endereo IP vlido 10.3.7.254 e o endereo de broadcast 10.3.7.255.
Neste caso, a rota de sumarizao inclui todos os endereos IP nas quatro rotas que ela sumariza e nenhum outro
endereo IP estranho.
Exemplo de "melhor" sumarizao em Vosemite

As quatro sub-redes em Yosemite no podem ser sumarizadas com tanta eficincia quanto em Seville. Em Seville, a
prpria rota de sumarizao cobre o mesmo conjunto de endereos IP que as quatro sub-redes sem nenhum endereo
extra. Como voc ver, a melhor rota de sumarizao em Yosernite inclui duas vezes mais endereos na sumarizao do
que aqueles que existem nas quatro sub-redes originais.
Yosernite possui as sub-redes 10.2.1.0, 10.2.2.0, 10.2.3.0 e 10.2.4.0, todas com a mscara 255.255.255 .0. O processo
comea no Passo 1 escrevendo todos os nmeros de sub-rede em binrio:
0000 1010 0000 0010 0000
0000 1010 0000 0010 0000
o
o
001 0000 0000 - 10.2.1.0

010 0000 0000 - 10.2.2.0
0000 1010 0000 0010 0000 O 011 0000 0000 - 10.2.3.0

0000 1010 0000 0010 0000 O 100 0000 0000 - 10.2 . 4.0
No Passo 2, aparentemente, os dois primeiros octetos so idnticos em todas as quatro sub-redes, acrescido dos primeiros
5 bits do terceiro octeto. Portanto, os primeiros 21 bits dos quatro nmeros de sub-rede so em comum.
O Passo 3 diz para criar um nmero de sub-rede para a rota de sumarizao tomando o mesmo valor para a parte em
comum e zeros binrios para o resto. Neste caso:
Sumarizao automtica e redes classful no-contguas
0000 1010 0000 0010 0000 O 000 0000 0000 - 10.2.0.0
O Passo 4 cria a mscara utilizada para a rota de sumarizao utilizando os 1 binrios para a parte em comum e zeros
binrios para o resto. A parte em comum deste exemplo so os primeiros 21 bits:
1111 1111 1111 1111 1111 1 000 0000 0000 - 255.255 . 248.0
Portanto, a melhor sumarizao 10.2.0.0, com a mscara 255 .255.248.0.
O Passo 5 sugere um mtodo para conferir o seu trabalho. A rota de sumarizao deve definir um superconjunto dos
endereos IP nas rotas sumarizadas. Neste caso, o intervalo de endereos comea com 10.2.0.0. O primeiro endereo IP
vlido 10.2.0.1, o ltimo endereo IP vlido 10.2.7.254 e o endereo de broadcast 10.2.7.255. Neste caso, a rota de
sumarizao sumariza um conjunto maior de endereos do que simplesmente as quatro sub-redes, mas inclui todos os
endereos de todas as quatro sub-redes.
Conforme abordado nas sees anteriores, a sumarizao manual de rotas pode melhorar a eficincia no roteamento,
reduzir o consumo de memria e melhorar a convergncia atravs da reduo do tamanho das tabelas de roteamento. As
sees finais deste captulo examinam a sumarizao automtica de rotas nos limites das redes classful, utilizando um
recurso chamado sumarizao automtica.
Como os protocolos de roteamento classful no anunciam informaes sobre a mscara da sub-rede, as atualizaes
de roteamento simplesmente listam os nmeros de sub-rede sem, porm, mostrar a mscara. Um roteador que receba
uma atualizao de roteamento atravs de um protocolo de roteamento classful presta ateno ao nmero de sub-rede
de atualizao, mas preciso que ele faa algumas suposies sobre qual mscara est associada sub-rede. Com os
roteadores Cisco, por exemplo, se RI e R2 tiverem redes conectadas da mesma e nica rede Classe A, B ou C, e se
R2 a receber uma atualizao de RI, R2 supe que as rotas descritas na atualizao de RI utilizem a mesma mscara

de R2. Em outras palavras, os protocolos de roteamento classful requerem um SLSM (static-length subnet mask, ou mscara
de sub-rede de comprimento fixo) por toda a extenso de cada rede classful para que cada roteador possa supor razoavelmente
que a mscara configurada para suas prprias interfaces seja a mesma mscara utilizada em toda aquela rede classful.
Quando um roteador possui interfaces em mais de uma rede Classe A, B ou C, ele pode anunciar uma nica rota para
toda uma rede Classe A, B ou C na outra rede classful. Este recurso chamado sumarizao automtica, e pode ser
caracterizado da seguinte forma:
/;~;~o Quando anunciadas em uma interface cujo endereo IP no esteja na rede X, as rotas relacionadas s sub-redes da
\~have rede X so sumarizadas e anunciadas como uma nica rota. Esta rota vale para toda a rede X Classe A, B ou C.
Em outras palavras, se R3 possuir interfaces nas redes 10.0.0.0 e 11.0.0.0, quando ele anunciar atualizaes de roteamento
saindo das interfaces com endereos IP que comeam com 11, as atualizaes anunciaro uma nica rota para a rede 10.0.0.0.
Analogamente, R3 anuncia uma nica rede at 11.0.0.0 saindo das suas interfaces cujos endereos IP comeam com 10.
Exemplo de sumarizao automtica

Como de costume, um exemplo esclarece bastante o conceito. Considere a Figura 5-4, que mostra duas redes em uso:
10.0.0.0 e 172.16.0.0. Seville possui quatro rotas (conectadas) a sub-redes da rede 10.0.0.0. O Exemplo 5-6 mostra o
resultado do comando show ip route em Albuquerque, bem como o resultado debug ip rip RIP-1 .
Figura 5-4 Sumarizao automtica

10.3.4.0
Albuquerque
10.3.5.0
172.16.3.0
S6 tenho
conhecimento
da rede 10.0.0.0
10.3.6.0
SO/l
Seville
10.3.7.0
172.16.1.0
Mscara: 255.255.255.0
Exemplo 5-6 Rotas de Albuquerque e debugs R/P

Albuquerque# ahow ip route
D - EIGRP , EX - EIGRP externaI, O - OSPF, IA - OSPF inter area
i - IS-IS , L1 - IS-IS level-1, L2 - I S-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route , o - ODR

C
172.16.1.0 is directly connected, EthernetO/O
172.16.3.0 i s d irectly connected , Serial0/1
10 . 0.0 . 0 / 8 [120/1] via 172.16 . 3.3 , 00:00 : 28, Serial0 / 1
Albuquerque#ddeebbuugg iipp rriipp

RIP protocol debugging is on
00 :05:36: RIP: received v1 update fr om 172.16.3 . 3 on Seri al0 / 1
00:05:36:
10.0.0.0 in 1 hops
Conforme mostrado no Exemplo 5-6, a atualizao recebida de Albuquerque no SerialO/1 de Seville anuncia somente toda
a rede Classe A 10.0.0.0 porque a sumarizao automtica est ativada em Seville (como padro). Em conseqncia
disso, a tabela de roteamento IP de Albuquerque apresenta somente uma rota at a rede 10.0.0.0.
Este exemplo tambm destaca outro recurso de como os protocolos de roteamento classful fazem suposies. Albuquerque
no possui nenhuma interface na rede 10.0.0.0. Portanto, quando Albuquerque recebe a atualizao de roteamento, ela
CCNA ICND 2
159
supe que a mscara utilizada em 10.0.0.0 seja 255 .0.0.0, a mscara padro para uma rede Classe A. Em outras
palavras, os protocolos de roteamento c1assful esperam que ocorra uma sumarizao automtica.
Redes classful no-contguas
A sumarizao automtica no causa nenhum problema desde que a rede sumarizada seja contgua em vez de nocontgua. Os residentes dos EUA tm idia do conceito de o que seja uma rede no-contgua com base no termo
comumente usado contiguous 48 (os 48 contguos), referindo-se aos 48 estados americanos com exceo do Alasca
e do Hava. Para ir de carro at o Alasca partindo dos 48 estados contguos, por exemplo, deve-se passar por outro pas
(neste caso, o Canad); portanto, o Alasca no contguo aos outros 48 estados, em outras palavras ele no-contguo.
Para entender melhor o que significam os termos contguo e no-contguo na comunicao em rede, use as duas
definies formais a seguir quando estiver estudando um exemplo de rede c1assful no-contgua:
.......... - Rede contgua: rede c1assful na qual pacotes enviados entre cada par de sub-redes podem passar somente atravs
6PlcO
... h.v.
das sub-redes daquela mesma rede c1assful, sem ter de passar por sub-redes de qualquer outra rede c1assful.
- Rede no-contgua: rede c1assful na qual pacotes enviados entre, pelo menos, um par de sub-redes deve passar por
sub-redes de uma rede c1assful diferente.
A Figura 5-5 mostra um exemplo de uma rede 10.0.0.0 no-contgua. Neste caso, pacotes enviados das sub-redes da
rede 10.0.0.0 esquerda, prxima a Yosernite, para as sub-redes da rede 10.0.0.0 direita, prxima a Seville, tm de
passar atravs das sub-redes da rede 172.16.0.0.
Figura 5-5 Rede 10.0.0.0 no-contgua
10.3.4.0
10.2.1.0
172.16.2.0
10.2.2.0
10.2.3.0
10.2.4.0
10.3.5.0
10.3.6.0
SOlO
Yosemite
Seville
10.3.7.0
172.16.1.0
Mscara: 255.255.255.0
A sumarizao automtica impede que uma inter-rede com uma rede no-contgua funcione adequadamente. O Exemplo
5-7 mostra os resultados do uso da sumarizao automtica na inter-rede mostrada na Figura 5-5, neste caso utilizando o
protocolo de roteamento c1assful RIP-l .
Exemplo 5-7 Tabela de roteamento de Albuquerque: a sumarizao automtica causa problemas de roteamento
com a rede 10.0.0.0 no-contgua
Albuquerque# 8how ip route
Codes:C - connected, S - static , I - IGRP, R - RIP, M - mobile , B - BGP
N1 - OSPF NSSA externaI t ype 1, N2 - OSPF NSSA externaI type 2
i
IS-IS, L1 - IS - IS level-1, L2 - IS-IS level-2 , ia - IS-IS inter area

72 . 16 . 0.0/24 is subnetted,
c
c
c
R
3 subnets
172 . 16.1.0 is directly connected, EthernetO I O

172.16.2 . 0 is directly connected, SerialO I O
172.16 . 3.0 is directly connected, Serial0/1
10.0.0.0 / 8
[1 2 0 / 1] via 172 . 16.3 . 3 ,
00: 00: 13 , Seri al0 /1
[120 / 1] via 172.16.2.2 ,
00: 0 0 :04 , Seri al O/O
160
Conforme mostrado no Exemplo 5-7, Albuquerque agora possui duas rotas at a rede 10.0.0.0/8: uma apontando para a esquerda
em direo a Yosemite e uma apontando para a direita em direo a Seville. Em vez de enviar pacotes destinados s sub-redes de
Yosemite saindo pelo Serial O/O, Albuquerque envia alguns pacotes saindo pelo SO/1 at Seville! Albuquerque simplesmente equilibra
os pacotes atravs das duas rotas, porque, pelo que Albuquerque saiba, as duas rotas so simplesmente rotas de custo igual at o
mesmo destino: toda a rede 10.0.0.0. Portanto, os aplicativos deixariam de funcionar corretamente nesta rede.
A soluo para este problema desativar o uso da sumarizao automtica. Como os protocolos de roteamento c1assful
devem utilizar sumarizao automtica, a soluo requer a migrao para um protocolo de roteamento c1assless e a
desativao do recurso de sumarizao automtica. O Exemplo 5-8 mostra a mesma inter-rede da Figura 5-5 e do
Exemplo 5-7, mas dessa vez com o EIGRP (c1assless), com a sumarizao automtica desativada.
.,
-I
1
:1
Exemplo 5-8 Protocolo de roteamento classless sem nenhuma sumarizao automtica permite redes no-contguas
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP



C
C
172.16.2 . 0 is directly connected, SerialO/O
172.16.3.0 is directly connected, Serial0/1

10 . 2 . 1.0/24 [90/2172416] via 172.16 . 2.2,
10.2.2.0/24 [90/2297856] via 172.16.2.2, 00:00:01, SerialO/O
00 : 00:01, SerialO/O
10.2.3 . 0/24 [90/2297856] via 172.16 . 2.2,
10.2.4.0/24 [90/2297856] via 172.16.2.2, 00 : 00:01, SerialO/O
10.3.5.0/24 [90/2297856] via 172 .16.3.3,
00: 00 : 29, Serial0/1
10.3.4.0/24 [90/2172416] via 172 . 16.3.3,
00:00 : 29, SerialO/1
10.3.7.0/24 [90/2297856] via 172.16.3.3,
00:00:29, Serial0/1
10.3 . 6 . 0/24
00:00:29,
[90/2297856] via 172.16.3.3,
00 : 00:01, SerialO/O
Serial0/1
Com a sumarizao automtica desativada em Yosemite e em Seville, nenhum dos roteadores anuncia uma sumarizao automtica
da rede 10.0.0.0/8 at Albuquerque. Pelo contrrio, cada roteador anuncia as sub-redes conhecidas e, portanto, agora Albuquerque
conhece as quatro sub-redes LAN que saem de Yosemite bem como as quatro sub-redes LAN que saem de Seville.
Configurao e suporte sumarizao automtica

Os protocolos de roteamento c1assful devem utilizar sumarizao automtica. Alguns protocolos de roteamento c1assless
aceitam sumarizao automtica, utilizando-a automaticamente, mas com a capacidade de desativ-la com o subcomando
de roteador no autosummary. Outros protocolos de roteamento c1assless, principalmente o OSPF (Open Shortest Path
First, algo como "Abra o Caminho Mais Curto Primeiro"), simplesmente no aceitam sumarizao automtica. A Tabela
5-5 resume os fatos sobre sumarizao automtica em roteadores Cisco.
..........
! T6plco
~ Chave
Tabela 5-5 Aceitao e padres de sumarizao automtica

Protocolo de roteamento
RIP-l
....
Classless? Aceita sumarizao Usa automaticamente a

automtica?
sumarizao automtica?
No
Sim
Sim
Pode desativar a
sumarizao
automtica?
No
.'.,
--
RIP-2
Sim
Sim
Sim
Sim
EIGRP
Sim
Sim
Sim
Sim
OSPF
Sim
No
Observe tambm que o recurso de sumarizao automtica causa impacto sobre os roteadores que se conectam diretamente
a partes de mais de uma rede classful. Na Figura 5-5, por exemplo, a soluo (conforme mostrado no Exemplo 5- 8)
requer o subcomando EIGRP no auto-summary tanto em Yosemite quanto em Seville. Entretanto, neste caso, Albuquerque,
cujas interfaces esto todas dentro de uma nica rede (a rede Classe B 172.16.0.0), no mudaria o seu comportamento
com os comandos auto-summary ou no auto-summary configurados .
CCNA ICND 2
161
----------------------------------------------------------
A Tabela 5-6 relaciona estes tpicos-chave e os nmeros das pginas nas quais cada um encontrado.
Tabela 5-6 Tpicos-chave do Cq.ptulo 5
!;~!o Elemento do tpico-chave
Descrio
Nmero da pgina
...c. .
".
Tabela 5-2
Lista de protocolos de roteamento IP, com fatos

sobre classless/classful, suporte a VLSM e
suporte sumarizao
148
Estratgia formada por dois passos para

encontrar sub-redes VLSM sobrepostas
149
Estratgia formada por cinco passos para

escolher uma nova sub-rede VLSM sem sobreposio
151
Lista
-.--------------------------------------------------------------
Lista
---------------------------------------------------------------
Definio
Definio generalizada de sumarizao automtica
158
Definies
Definies de rede contgua e rede no-contgua
159
Tabela 5-5
Imprima uma cpia do Apndice J, "Tabelas de memria" ou, pelo menos, a seo referente a este captulo, e complete
as tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", tambm inclui tabelas e listas
completadas para voc conferir o seu trabalho.
Lista
Processo formado por cinco passos para encontrar

a melhor rota manual de sumarizao
Lista de protocolos de roteamento e fatos

relacionados sumarizao automtica
156
160
: Definies de termos-chave
Defrna os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: mascaramento de
sub-redes de extenso varivel, protocolo de roteamento classful, protocolo de roteamento classless, rede classful, rede
contgua, rede no-contgua, rota de sumarizao, sub-redes sobrepostas, sumarizao automtica.
162
Leia os cenrios do Apndice F

o Apndice F -
disponvel no idioma original no site da editora: www.altabooks.com.br - , "Additional Scenarios",

contm cinco cenrios detalhados que lhe do a chance de analisar diversos projetos, problemas e resultados de comandos
mostrando-lhe como os conceitos de vrios captulos esto inter-relacionados. O Cenrio 1 do Apndice F, Parte A, e
todo o Cenrio 5 oferecem a oportunidade de praticar e desenvolver habilidades com o VLSM.
Este captulo introduz somente um novo comando que ainda no foi apresentado neste livro, isto , o comando do modo .
de configurao do roteador [no] auto-summary. Esse comando ativa a sumarizao automtica (omitindo a opo no)
ou desativa a sumarizao automtica (usando a opo no).
Este captulo inclui essa seo de referncia a comandos para que voc se lembre desse nico comando apresentado
neste captulo.
CCNA ICND 2
163

seguintes assuntos:
Listas de controle de acesso IP padro: esta seo explica
como as ACLs (Access Control Lists, ou listas de controle
de acesso) funcionam e como configur-las.
Listas de controle de acesso IP estendidas: esta seo

examina a maior complexidade das ACLs estendidas e
como configur-las.
Avanos no gerenciamento da configurao de ACLs:

esta seo examina as nuances de dois avanos
importantes feitos na configurao de ACLs com o passar
dos anos: ACLs nomeadas e nmeros de seqncia.
Tpicos variados sobre ACLs: esta seo explica alguns
conceitos adicionais sobre ACLs.
CAPTULO
: Listas e controle de acesso IP
A segurana de redes um dos tpicos mais discutidos em comunicao de redes atualmente. Embora a segurana
sempre tenha sido importante, a exploso da dimenso e da abrangncia da Internet criou mais situaes em que a
segurana fica exposta. Antigamente, a maioria das empresas no estava permanentemente conectada a uma rede
global- uma rede atravs da qual os outros pudessem ilegalmente acessar suas redes. Hoje em dia, como a maioria das
empresas est conectada Internet, muitas delas obtm uma receita significativa atravs de suas operaes baseadas na
rede - fatos estes que aumentam a exposio e o impacto causado quando a segurana quebrada.
Os roteadores Cisco podem ser utilizados como parte de uma boa estratgia de segurana geral. Uma das ferramentas mais
importantes dos softwares Cisco lOS utilizadas como parte dessa estratgia so as listas de controle de acesso (ou ACLs, do ingls
Access Controllists). As ACLs definem regras que podem ser usadas para impedir que certos pacotes passem pela rede. Seja
porque voc simplesmente deseja limitar o acesso ao servidor da folha de pagamentos somente a pessoas do departamento
financeiro ou porque esteja tentando impedir que hackers da Internet destruam o seu servidor Web de comrcio virtual, as ACLs
do lOS podem ser uma ferramenta de segurana essencial que faz parte de uma estratgia de segurana maior.
Este captulo est na Parte 11 deste livro, que orientada para os tpicos referentes a roteamento IP. A razo de ele estar
na Parte 11 que o uso mais comum das ACLs nos exames CCNA a filtragem de pacotes. Portanto, enquanto os
Captulos 4 e 5 discutem vrios recursos que causam impacto sobre o processo de roteamento IP para permitir a passagem
de pacotes, este captulo examina as ACLs que impedem que determinados pacotes fluam pela rede.
Questes
Listas de controle de acesso IP padro
1-3
Listas de controle de acesso IP estendidas
4-6
Avanos no gerenciamento da configurao de ACLs
7e8
Tpicos variados sobre ACLs
9 elO
1. Barney um host cujo endereo IP 10.1.1.1 na sub-rede 10.1.1.0/24. Qual das opes a seguir apresenta coisas que
uma ACL IP padro poderia estar configurada para fazer?
a. Combinar o endereo IP origem exato
b. Combinar os endereos 1P de 10.1.1.1 at 10.1.1.4 com um comando access-list sem combinar outros endereos 1P
c. Combinar todos os endereos 1P da sub-rede de Barney com um comando access-list sem combinar outros endereos 1P
d. Combinar somente o endereo IP de destino do pacote
166 Captulo 6: Listas e controle de acesso IP

2. Qual das seguintes mscaras curinga (wildcard mask) mais til para a combinao de todos os pacotes IP da subrede 10.1.128.0, mscara 255.255.255.0?
a.O.O.O.O
b.0.0.0.31
c. 0.0.0.240
d. 0.0.0.255
e. 0.0.15.0
f.0.0.248.255
3. Qual das seguintes mscaras curinga (wildcard mask) mais til para a combinao de todos os pacotes IP da subrede 10.1.128.0, mscara 255.255.240.0?
a.O.O.O.O
b.0.0.0.31
c. 0.0.0.240
d. 0.0.0.255
e. 0.0.15.255
f.0.0.248.255
4. Qual dos seguintes campos no pode ser comparado com base em uma ACL IP estendida?
a. Protocolo
b. Endereo IP origem
c. Endereo IP de destino
d. TOS byte
e. URL
f. Nome do arquivo para transferncias FfP
5. Qual dos seguintes comandos access-list permite trfego que combine pacotes que partem do host 10.1.1.1 para
todos servidores Web cujos endereos IP comecem com 172.16.5?
a. access-list 101 permi t tcp host 10.1.1.1 172.16.5. O O. O. 0.255 eq www
b. access-list 1951 permit ip host 10.1.1.1 172.16.5.0 0.0.0.255 eqwww
c. access-list 2523 permit ip host 10.1.1.1 eq www 172.16.5.0 0.0.0.255
d. access-list 2523 permit tcp host 10.1.1.1 eq www 172.16.5. O O. O. 0.255
e. access-list 2523 permit tcp host 10.1.1.1172.16.5.0 0.0.0.255 eq www
6. Qual dos seguintes comandos access-list permite trfego que combine pacotes direcionados a qualquer cliente Web
vindos de todos os servidores Web cujos endereos IP comecem com 172.16.5?
a. access-list 101 permit tcp host 10.1.1.1 172.16.5.0 0.0.0.255 eqwww
b. access-list 1951 permit ip host 10.1.1.1 172.16.5.0 0.0.0.255 eqwww
c. access-list 2523 permit tcp any eq www 172.16.5.0 0.0.0.255
d. access-list 2523 permit tcp 172.16.5.0 0.0.0.255 eqwww 172.16.5.0 0.0.0.255
e. access-list 2523 permit tcp 172.16.5. O O. O. 0.255 eq www any
CCNA ICND2
167
7. Qual dos seguintes campos pode ser comparado utilizando uma ACL IP estendida nomeada mas no uma ACL IP
estendida numerada?
a. Protocolo
b. Endereo IP origem
c. Endereo IP de destino
d. TOS byte
8. Em um roteador executando lOS 12.3, um engenheiro precisa excluir a segunda linha da ACL 101, que atualmente
possui quatro comandos configurados. Qual das seguintes opes poderia ser utilizada?
a. Excluir toda a ACL e reconfigurar as trs sentenas da ACL que devem permanecer na ACL.
b. Excluir uma linha da ACL utilizando o comando no access-list. ..
c. Excluir uma linha da ACL entrando no modo de configurao ACL e, depois, excluir somente a segunda linha com
base em seu nmero de seqncia.
d. Excluir as trs ltimas linhas daACL do modo de configurao ACL e, depois, acrescentar as duas ltimas sentenas
novamente ACL.
9. Que diretriz geral voc deve seguir ao instalar ACLs IP estendidas?

a. Executar toda a filtragem no resultado, se for possvel.
b. Colocar sentenas mais gerais logo no incio da ACL.

c. Filtrar os pacotes o mais prximo possvel da origem.
d. Ordenar os comandos da ACL com base nos endereos IP origem, do mais baixo para o mais alto, para melhorar
o desempenho.
10. Qual das seguintes ferramentas requer o usurio final at a telnet e at um roteador para ganhar acesso a hosts do
outro lado do roteador?
a. ACLs nomeadas
b. ACLs reflexivas
c. ACLs dinmicas
d. ACLs baseadas em tempo
Tpicos fundamentais
O Cisco lOS tem dado suporte s ACLs IP praticamente desde que os roteadores Cisco originais foram introduzidos ao
comrcio no final da dcada de 1980. O lOS identificou essas ACLs com um nmero. Anos mais tarde, como parte da
introduo do l OS 11 .2, a Cisco acrescentou a capacidade de criar ACLs nomeadas. Essas ACLs nomeadas oferecem
alguns outros pequenos benefcios quando comparadas s ACLs numeradas, mas ambas podem ser usadas para filtrar
exatamente os mesmos pacotes exatamente com as mesmas regras. Finalmente, com a introduo do lOS 12.3, a Cisco
melhorou novamente o suporte dado s ACLs, principalmente em relao forma como o lOS permite aos engenheiros
editarem ACLs existentes. Este ltimo grande passo no progresso das ACLs durante os anos faz com que as ACLs
numeradas e nomeadas dem suporte exatamente aos mesmos recursos, em vez da nica diferena bvia de utilizar um
nmero ou um nome para identificar a ACL.
Por causa da histria progressiva do suporte dado pela Cisco s ACLs, os exames CCNA continuam abordando muitas
das mesmas informaes e dos mesmos comandos de configurao que tm sido utilizados com roteadores Cisco h
quase 20 anos. Para sustentar toda essa histria, este captulo dedica a maior parte de seu tempo explicando ACLs IP ACLs IP numeradas - utilizando os mesmos comandos e a mesma sintaxe disponveis no lOS h muito tempo. De modo
especial, este captulo comea com uma descrio dos tipos mais simples de ACLs IP numeradas - as ACLs IP padro.

A segunda seo examina as ACLs mais complexas, as ACLs IP estendidas, que podem ser utilizadas para examinar
muitos mais campos dentro de um pacote IP. Logo em seguida, a prxima seo do captulo descreve o suporte cada vez
maior dado pelo lOS s ACLs - tanto a introduo de suporte s ACLs nomeadas com a verso lOS 11.2 quanto o
acrscimo posterior de suporte dado aos nmeros de seqncia das ACLs e edio avanada de ACLs com o lOS
12.3. O captulo termina abordando tpicos variados sobre ACLs.
Listas de controle de acesso IP padro

As ACLs IP fazem com que o roteador descarte alguns pacotes com base em critrios definidos pelo engenheiro de rede.
O objetivo desses filtros impedir trfego indesejado na rede - seja impedindo hackers de penetrarem na rede ou
simplesmente impedindo que os empregados utilizem sistemas que no deveriam. Listas de acesso devem simplesmente
fazer parte da poltica de segurana de uma organizao.
A propsito, as listas de controle de acesso IP tambm podem ser utilizadas para filtrar atualizaes de roteamento, para
combinar pacotes por questes de priorizao, para combinar pacotes para VPN tunneling e para combinar pacotes para
implementar recursos relativos qualidade de servio. Voc tambm vai ver ACLs usadas como parte da configurao
do NAT (NetworkAddress Translation) no Captulo 16, "Traduo de endereos de rede". Portanto, voc vai ver ACLs
na maioria dos outros exames de certificao Cisco medida que for progredindo em sua carreira.
Este captulo aborda duas categorias principais de ACLs IP do lOS - padro e estendida. As ACLs padro utilizam uma
lgica mais simples, enquanto as ACLs estendidas utilizam uma lgica mais complexa. A primeira seo deste captulo
aborda as ACLs IP padro, seguido de uma seo sobre ACLs IP estendidas. Vrias sees relacionadas aos dois tipos
de ACLs encerram o captulo.
Conceitos das ACLs IP padro

Os engenheiros precisam fazer duas escolhas importantes para qualquer ACL que v filtrar pacotes IP: quais pacotes
filtrar e onde, na rede, colocar a ACL. A Figura 6-1 serve como exemplo. Neste caso, suponha que Bob no tenha
permisso de acesso ao Serverl , mas que Larry a tenha.
Figura 6-1 Locais em que a lgica da lista de acesso pode ser aplicada na rede
172.16.3.8 172.16.3.9
A lgica de filtragem pode ser configurada em qualquer um dos trs roteadores em qualquer uma das suas interfaces. As
linhas pontilhadas da figura mostram os pontos mais adequados nos quais aplicar a lgica de filtragem em uma ACL.
Como o trfego de Bob o nico trfego que precisa ser filtrado e o objetivo impedir acesso ao Serverl, a lista de
acesso poderia ser aplicada a RI ou R3. E como a tentativa de transmisso de trfego de Bob para o Serverl no
precisaria passar por R2, R2 no seria um bom lugar para colocar a lgica da lista de acesso. Para fins desta discusso,
considere que RI onde a lista de acesso deve ser aplicada.
O software Cisco lOS aplica a lgica de filtragem de uma ACL quando um pacote entra em uma interface ou quando ele
sai da interface. Em outras palavras, o lOS associa uma ACL com uma interface, especificamente para o trfego que
entra ou sai da interface. Depois de escolher o roteador no qual voc deseja colocar a lista de acesso, necessrio
escolher a interface na qual a lgica de acesso ser aplicada bem como se a lgica dever ser aplicada a pacotes que
estejam para entrar ou que estejam para sair.
.'
.'
CCNA ICND2
169
Suponha, por exemplo, que voc deseje filtrar os pacotes de Bob enviados a ServerI. A Figura 6-2 mostra as opes de
ftltragem do pacote.
Figura 6-2 Processamento interno em Ri com relao ao local em que Ri pode filtrar pacotes
Roteador 1
/;~~;~o
'. Chave
....
Permitir
Permitir
ACL
lgica de
de_feia
rotearnemo
EO
Q)
Cl
......
.......
s1
'---
ACL
de.,...
Negar
Balde
deBIIB
Pacote IP
A lgica de ftltragem pode ser aplicada a pacotes que estejam entrando em SI ou que estejam saindo por EO em RI para
combinar com o pacote enviado por Bob ao ServerI. Em geral, possvel ftltrar pacotes criando e ativando listas de
acesso para pacotes de entrada e de sada em cada interface. Veja abaixo alguns recursos importantes das listas de
acesso Cisco:
- Os pacotes podem ser ftltrados ao entrarem em uma interface antes da deciso de roteamento.
- Os pacotes podem ser ftltrados antes de sarem de uma interface aps a deciso de roteamento.
- Negar o termo usado no software Cisco lOS para indicar que o pacote ser ftltrado.
- Permitir o termo usado no software Cisco lOS para indicar que o pacote no ser ftltrado.
- A lgica de ftltragem configurada na lista de acesso.
- No fim de cada lista de acesso existe uma sentena "negar todo o trfego" implcita. Por isso, se um pacote no
combinar com nenhuma das suas sentenas da lista de acesso, ele bloqueado.
Por exemplo, voc pode criar uma lista de acesso em RI e ativ-la na interface SI de RI. A lista de acesso procuraria
pacotes que viessem de Bob. Da, a lista de acesso teria de ser ativada para pacotes que estivessem para entrar, porque
nesta rede, os pacotes vindos de Bob entram em SI, e os pacotes destinados a Bob saem por SI.
As listas de acesso tm dois passos principais em sua lgica: combinao e ao. A lgica de combinao examina cada
pacote e determina se ele combina com a sentena access-list. O endereo IP de Bob, por exemplo, seria utilizado para
combinar pacotes enviados por Bob. As ACLs IP dizem ao roteador para, quando uma sentena for combinada, ele tomar
uma das duas aes seguintes: negar ou permitir. Negar significa descartar o pacote, e permitir indica que o pacote deve
continuar em seu caminho.
Portanto, a lista de acesso para impedir o trfego de Bob at o servidor pode ser algo parecido com o seguinte:
Procure pacotes com o endereo IP fonte de Bob e o endereo IP de destino do ServerI. Ao encontr-los, descarte-os.
Se encontrar qualquer outro pacote, no o descarte.
Como era de se esperar, as ACLs IP podem se tornar bem mais difceis do que na vida real. Mesmo uma pequena lista
de critrios de combinao pode criar listas de acesso complicadas em vrias interfaces em vrios roteadores. J ouvi
falar de algumas redes de maior dimenso com algumas pessoas trabalhando em tempo integral cuja funo nada mais
que planejar e implementar listas de acesso!

A Cisco chama os seus recursos de filtragem de pacotes de "listas de controle de acesso" em parte porque a lgica
criada com vrios comandos de configurao que so considerados como estando na mesma lista. Quando uma lista de
acesso tem vrias entradas, o lOS procura a lista seqencialmente at que a primeira sentena seja combinada. A
sentena combinada determina a ao a ser tomada. As duas figuras em forma de diamante na Figura 6-2 representam
a aplicao da lgica da lista de acesso.
..........
A lgica que o lOS utiliza com uma ACL de vrias entradas pode ser resumida da seguinte forma: [TpiCO
\ Chave
".
1. Os parmetros de combinao da sentena access-Iist so comparados com o pacote.
2. Se for feita uma combinao, a ao definida nesta sentena access-list (permitir ou negar) executada.
3. Se no for feita nenhuma condenao no Passo 2, repita os Passos 1 e 2 utilizando cada sentena sucessiva daACL
at que uma combinao seja feita.
4. Se no for feita nenhuma combinao com uma entrada da lista de acesso, a ao negar executada.
Mscaras curinga (wildcard masks)

As ACLs IP combinam pacotes observando os cabealhos IP, TCP e UDP do pacote. As listas de acesso estendidas
podem verificar os endereos IP da fonte e do destino, bem como os nmeros da porta da fonte e do destino, junto com
vrios outros campos. No entanto, as listas de acesso IP padro podem examinar somente o endereo IP da origem.
Independentemente do fato de voc utilizar ACLs IP padro ou estendidas, possvel dizer ao roteador para combinar
com base no endereo IP inteiro ou com base apenas em parte do endereo IP. Se voc quisesse, por exemplo, impedir
o envio de pacotes de Bob para o Serverl, voc observaria o endereo IP inteiro de Bob e do Serverl na lista de acesso.
Mas e se os critrios tivessem que impedir que todos os hosts da sub-rede de Bob chegassem ao Serverl? Como todos
os hosts da sub-rede de Bob tm os mesmos nmeros em seus 3 primeiros octetos, a lista de acesso poderia simplesmente
verificar os 3 primeiros octetos do endereo para combinar todos os pacotes com um nico comando access-list.
As mscaras curinga (wildcard masks) da Cisco definem a parte do endereo IP que deve ser examinada. Ao definir as
sentenas da ACL, como ser visto na prxima seo deste captulo, possvel definir uma mscara curinga junto com
um endereo IP. A mscara curinga diz ao roteador qual parte do endereo IP na sentena de configurao deve ser
comparada com o cabealho do pacote.
Suponha, por exemplo, que uma mscara indique que o pacote inteiro deva ser verificado e outra indique que somente os
3 primeiros octetos do endereo precisem ser examinados. (Quando estivesse usando uma mscara de sub-rede
255.255.255.0, voc poderia optar por fazer isso para combinar todos os hosts IP na mesma sub-rede.) Para executar
essa combinao, as listas de acesso da Cisco usam mscaras curinga.
Mscaras curinga so parecidas com mscaras de sub-redes, mas no so a mesma coisa. Mscaras curinga representam
um nmero de 32 bits, assim como as mscaras de sub-redes. Entretanto, os O bits da mscara curinga dizem ao roteador
que aqueles bits correspondentes no endereo devem ser comparados quando a lgica de combinao estiver sendo
executada. Os 1 binrios da mscara curinga dizem ao roteador que esses bits no precisam ser comparados. Na
verdade, muitas pessoas chamam esses bits de bits "tanto faz".
Para ter uma idia do que est por trs de uma mscara curinga, a Tabela 6-2 apresenta algumas das mscaras curinga
mais populares, junto com seus significados.
/;~~~o
Tabela 6-2 Exemplo de mscaras curinga de uma lista de acesso

Descrio
i, Chave
Mscara curinga
Verso binria da mscara
0.0.0.0
00000000.00000000.00000000.00000000 O endereo IP inteiro deve combinar
0.0.0.255
00000000.00000000.00000000.11111111
S os primeiros 24 bits devem combinar
0.0.255.255
00000000.()()()()()()()(.11111111.11111111
S os primeiros 16 bits devem combinar.
0.255.255.255
()()()()()()OO.11111111.11111111.11111111
....
CCNA ICND2
171
255.255.255.255
11111111.11111111.11111111.11111111
Considera-se que automaticamente combine

todo e qualquer endereo
0.0.15.255
()()()()()()()(.()()()()()()()(.()()()() 1111.11111111
0.0.3.255
()()()()()()()(.()()()()()()()(.0()()()()011.11111111
Os primeiros vrios exemplos mostram os usos tpicos da mscara curinga. Como pode ser visto, no uma mscara de
sub-rede. Um curinga 0.0.0.0 significa que o endereo IP inteiro deve ser examinado, e ser igual, para ser considerado
uma combinao. 0.0.0.255 significa que o ltimo octeto automaticamente combina, mas os 3 primeiros devem ser
examinados, e assim por diante. De uma forma mais geral, a mscara curinga significa o seguinte:
As posies dos bits do Obinrio significam que a lista de acesso compara a posio do bit correspondente no endereo
IP e certifica-se de que ela seja igual mesma posio do bit no endereo configurado na sentena access-list. As
posies dos bits do 1 binrio so bits "tanto faz". Estas posies dos bits so imediatamente consideradas combinaes.
As ltimas duas colunas da Tabela 6-2 mostram duas mscaras curinga que fazem sentido, mas no so bvias. 0.0.15.255
em binrio so 20 zeros binrios seguidos de 12 nmeros 1 binrios. Isso significa que os 20 primeiros bits devem
combinar. Analogamente, 0.0.3.255 significa que os primeiros 22 bits devem ser examinados para que se possa descobrir
se eles combinam. Por que eles so teis? Se a mscara de sub-rede for 255.255.240.0 e voc quiser combinar todos os
hosts na mesma sub-rede, o curinga 0.0.15.255 significa que todos os bits da rede e da sub-rede devem ser combinados,
e considera-se que todos os bits de hosts automaticamente combinem. Da mesma forma, se voc deseja filtrar todos os
hosts em uma sub-rede que utiliza a mscara de sub-rede 255.255.252.0, a mscara curinga 0.0.3.255 combina os bits da
rede e da sub-rede. Em geral, se voc deseja uma mscara curinga que o ajude a combinar todos os hosts em uma subrede, inverta a mscara de sub-rede e voc ter a mscara curinga correta.
Uma alternativa mais rpida para interpretar mscaras curinga

Tanto as ACLs IP padro (somente o endereo IP origem) quanto as estendidas (endereos origem e de destino) podem
ser configuradas para examinar todos os endereos ou parte de um endereo IP com base na mscara curinga. Entretanto,
principalmente para os exames, trabalhar com as mscaras em binrio pode ser lento e trabalhoso a no ser que voc
domine converses de binrio para decimal ou de decimal para binrio. Esta seo sugere um mtodo mais fcil de
trabalhar com mscaras curinga de ACLs que funciona bem se voc j tiver dominado a matemtica das sub-redes.
Em muitos casos, uma ACL precisa combinar todos os hosts em uma determinada sub-rede. Para combinar uma subrede com uma ACL, voc pode usar o seguinte atalho:
- Utilize o nmero de sub-rede como o valor de endereo no comando access-list.
/;~;;~o
'. Chave
- Utilize uma mscara curinga encontrada subtraindo a mscara de rede de 255.255.255.255.
....
Para a sub-rede 172.16.8.0255.255.252.0, por exemplo, use o nmero de sub-rede (172.16.8.0) como o parmetro do
endereo, e depois faa a seguinte matemtica para encontrar a mscara curinga:
2 5 5.255 . 255 . 255
-
2 5 5.255.252.0
3 . 255
Algumas questes do exame podem no pedir que voc identifique a sentena da ACL que precisa ser configurada,
pedindo, entretanto, que voc interprete alguns comandos access-list existentes.
Normalmente, essas questes apresentam sentenas da ACL pr-configuradas; seno, voc precisa exibir os contedos da ACL de
um simulador de roteador e decidir com qual sentena um determinado pacote combina Para isso, necessrio determinar o intervalo
de endereos IP combinados por uma determinada combinao de endereo/mscara curinga em cada sentena da ACL.
Se voc tiver dominado a matemtica de sub-redes usando qualquer um dos atalhos decimais, evitando a matemtica
binria, outro atalho pode ser usado para analisar cada par formado pelo endereo e o curinga em cada comando da
ACL. Para isso:
172
Captulo 6: Listas e controle de acesso IP

..........
Passo 1 Utilize o endereo no comando access-list como se ele fosse um nmero de sub-rede.
f Tpico
: Chave
.....
Passo 2 Utilize o nmero encontrado subtraindo a mscara curinga de 255.255.255.255 como uma mscara de sub-rede.
Passo 3 Trate os valores dos dois primeiros passos como um nmero de sub-rede e uma mscara de sub-rede e
encontre o endereo de broadcast para a sub-rede. A ACL combina com o intervalo de endereos entre o nmero
de sub-rede e o endereo de broadcast, inclusive.
O intervalo de endereos identificado por este processo o mesmo intervalo de endereos combinado pela ACL. Portanto,
se voc j consegue encontrar o intervalo de endereos de uma sub-rede rpida e facilmente, o uso deste processo para
alterar a matemtica da ACL pode ajud-lo a encontrar a resposta com mais rapidez nos exames. Com o comando
access-list 1 permit 172.16.200.0 0.0.7.255, por exemplo, voc primeiro pensaria em 172.16.200.0 como um nmero
de sub-rede. Em seguida, poderia calcular a mscara de sub-rede 255.255.248.0 pressuposta, como se segue:
255.255.255.255
255 255.248.0
o.
7.255 -
o.
A partir da, utilizando qualquer processo que desejar, use a matemtica das sub-redes para determinar se o endereo de
broadcast dessa sub-rede seria 172.16.207.255. Portanto, o intervalo de endereos combinado por essa sentena daACL
seria 172.16.200.0 at 172.16.207.255.
Observao O Cenrio 3 (Scenario 3) do Apndice F - disponvel no idioma original no site
da editora: www.altabooks.com.br -, oferece a oportunidade de praticar como escolher uma
mscara curinga para combinar com hosts em uma determinada sub-rede.
Configurao da lista de controle de acesso IP padro

A configurao das ACLs tende a ser mais simples do que a tarefa de interpretar o significado e as aes tomadas por
uma ACL. Com este fim, esta seo apresenta um plano de ataque para configurar ACLs. Em seguida, mostra alguns
exemplos que revisam a configurao e os conceitos implementados pelas ACLs.
A sintaxe genrica do comando de configurao padro das ACLs
access-list access-list-number {deny
I permit}
source [source-wildcard]
Uma lista de controle de acesso padro utiliza uma srie de comandos access-list que possuem o mesmo nmero. Os
comandos access-list com mesmo nmero so considerados como se estivessem na mesma lista, com os comandos sendo
apresentados na mesma ordem em que foram acrescentados configurao. Cada comando access-list pode combinar com
um intervalo de endereos lP fonte. Se ocorrer uma combinao, a ACL permite que o pacote continue seu caminho (ao
pennit (permitir)) ou descarta o pacote (ao deny (negar)). Cada ACL padro pode combinar com todos, ou somente parte,
dos endereos lP origem do pacote. Observe que para ACLs lP padro, o intervalo vai de 1 a 99 e de 1300 a 1999.
A lista a seguir resume um processo de configurao sugerido. No necessrio memorizar o processo para o exame;
ele simplesmente apresentado aqui como aUXIllo para estudos de reviso.
..........
fT6plco
Passo 1 Planeje a localizao (roteador e interface) e o sentido (entrada ou sada) naquela interface:
:, Chave
....
a. As ACLs padro devem ser colocadas prximas ao destino dos pacotes para que ele no descarte sem querer
pacotes que no devam ser descartados.
b. Como as ACLs padro s podem combinar com o endereo lP origem de um pacote, identifique os endereos lP
fonte dos pacotes medida que eles caminham no sentido que est sendo examinado pela ACL.
Passo 2 Configure um ou mais comandos de configurao global access-list para criar a ACL, mantendo em mente
o seguinte:
a. A lista procurada seqencialmente, usando a lgica da primeira combinao. Em outras palavras, quando um
pacote combina com uma das sentenas do access-list, a procura termina, mesmo que o pacote ainda combine
com sentenas subseqentes.
.'
CCNA ICND2
173
b. A ao padro, se um pacote no combinar com nenhum comando access-list, negar (descartar) o pacote.
Passo 3 Ative a ACL da interface escolhida do roteador, no sentido correto, utilizando o subcomando de interface ip
access-group number {in I out}.
A seguir, so apresentados dois exemplos de ACLs padro.
ACL IP padro: Exemplo 1
o Exemplo 6-1 tenta parar o trfego de Bob para o Serverl. Conforme mostrado na Figura 6-1 , Bob no tem permisso
de acesso ao Serverl. No Exemplo 6-1, a configurao ativa uma ACL para todos os pacotes que saem da interface
EthernetO de RI. A ACL combina com um endereo fonte do pacote - o endereo IP de Bob. Observe que os comandos
access-list esto na parte inferior do exemplo porque o comando show running-config tambm os apresenta prximo
parte inferior, aps os comandos de configurao da interface.
Exemplo 6-1 Lista de acesso padro em RI impedindo que Bob chegue ao ServerI
interface EthernetO
ip addre88 172.16.1.1 255.255.255.0
1-
ip aCCe88-gTOUp 1 out
acce88-1i8t 1 remark 8top a11 traffic wh08e 80urce IP i8 Bob

acce88-1i8t 1 deny 172.16.3.10 0.0.0.0
acce88-1i8t 1 permit 0.0.0.0 255.255.255.255
Primeiro, concentre-se na sintaxe bsica dos comandos. As listas de acesso IP padro utilizam um nmero no intervalo de
1 a 99 ou de 1300 e 1999. Este exemplo utiliza a ACL nmero 1 em vez de outros nmeros disponveis, sem nenhum
motivo especfico. (No h diferena alguma em utilizar um nmero ou outro, desde que ele esteja no intervalo correto.
Em outras palavras, a lista 1 no melhor nem pior que a lista 99.) Os comandos access-list, sobre os quais a lgica de
combinao e de ao so defrnidas, so comandos de configurao global. Para ativar aACL em uma interface e definir
o sentido dos pacotes aos quais a ACL aplicada, utiliza-se o comando ip access-group. Neste caso, ele ativa a lgica
para ACLl na EthernetO para pacotes que saem da interface.
AACLl impede que os pacotes enviados por Bob saiam pela interface Ethernet de RI , com base na lgica de combinao
do comando access-list 1 deny 172.16.3.10 0.0.0.0. A mscara curinga 0.0.0.0 significa "combinar com todos os 32
bits", portanto, somente pacotes cujo endereo IP combine exatamente com 172.16.3.10 combinam com essa sentena
e so descartados. O comando access-list 1 permit 0.0.0.0
255.255.255.255, a ltima sentena da lista, combina com todos os pacotes, pois a mscara curinga 255.255.255.255
significa "tanto faz" em relao a todos os 32 bits. Em outras palavras, a sentena combina com todos os endereos IP
origem. Esses pacotes so permitidos.
Finalmente, observe que o engenheiro tambm acrescentou um comando access-list 1 remark ACL. Esse comando
permite o acrscimo de um comentrio de texto, ou uma observao, para que voc possa rastrear a finalidade da ACL.
A observao somente aparece na configurao; ela no apresentada no resultado do comando show.
Embora parea ser um exemplo simples, neste caso a lista de acesso 1 tambm impede que os pacotes de Bob enviados
para o Server2 sejam entregues. Com a topologia mostrada na Figura 6-1, uma ACL de sada padro na interface EO de
RI no pode, de alguma forma, negar o acesso de Bob ao Serverl enquanto permite o acesso ao Server2. Para isso,
necessria uma ACL estendida que possa verificar os endereos da fonte e do destino.
interessante notar que se os comandos do Exemplo 6-1 forem inseridos no modo de configurao, o lOS altera a
sintaxe de configurao de alguns comandos. O resultado do comando show running-config no Exemplo 6-2 mostra o
que o lOS realmente coloca no arquivo de configurao.
Exemplo 6-2 Lista de acesso padro revisada impedindo que Bob alcance o Server I
interface EthernetO
ip addre88 172.16.1.1 255.255.255.0
ip acce88-group 1 out
acce88-1i8t 1 remark 8top a11 traffic who8e 80urce IP i8 Bob

acceaa-liat 1 deny hoat 172.16.3.10
acceaa-liat 1 permit any
Os comandos do Exemplo 6-1 so alterados com base em trs fatores. O Cisco lOS permite um estilo mais antigo e um
estilo mais novo de configurao para alguns parmetros. O Exemplo 6-1 mostra o estilo mais antigo, que o roteador
passa para a configurao equivalente, de estilo mais novo, no Exemplo 6-2. Primeiro, o uso de uma mscara curinga
0.0.0.0 realmente significa que o roteador deve combinar com aquele endereo IP especfico do host. A configurao de
estilo mais novo utiliza a palavra-chave host emfrente ao endereo IP especfico. A outra alterao feita na configurao
de estilo mais novo envolve o uso da mscara curinga 255.255.255 .255 significando "combinar com qualquer coisa" . A
configurao de estilo mais novo utiliza a palavra-chave any (qualquer) para substituir o endereo IP e a mscara
curinga 255.255.255.255 . A palavra any (qualquer) simplesmente significa que qualquer endereo IP combinado.
ACL IP padro: Exemplo 2

O segundo exemplo de ACL IP padro expe mais questes relativas a ACLs. A Figura 6-3 e os Exemplos 6-3 e 6-4
mostram o uso bsico das listas de acesso IP padro, com duas vises gerais tpicas na primeira tentativa de uma soluo
completa. Os critrios para as listas de acesso so os seguintes:
Sam no tem permisso de acesso a Bugs ou a Daffy.
Hosts na Ethernet de Seville no tm permisso de acesso a hosts da Ethernet de Yosemite.
Todas as outras combinaes so permitidas.
Figura 6-3 Diagrama de rede para o exemplo de lista de acesso padro

Bugs
10.1.1 .1
Daffy
10.1.1 .2
Albuquerque
s1
~3,
'&.
'
?
sO
Sub-rede10.1.129.0
s1
Yosemite
EO
s1
Sub rede 10.1.3.0
Sub-rede 10.1.2.0
Sam
10.1.2.1
Emma
10.1.2.2
Seville
EO
Elmer
10.1.3.1
Red
10.1.3.2
Exemplo 6-3 Configurao de Yosemite para o exemplo de lista de acesso padro

interface aerial O
ip acceaa-group 3 out
!-

CCNA ICND2
175
Exemplo 6-4 Configurao de Seville para o exemplo de lista de acesso padro

interface aerial 1
ip acceaa-group ,
out
acceaa-liat ,
deny 10.1.3.0 0.0.0.255
acceaa-liat ,
permit any
primeira vista, essas duas listas de acesso parecem executar a funo desejada. ACL 3, ativada para pacotes que
saem da interface SO de Yosemite, cuida do critrio 1, porque ACL 3 combina exatamente com o endereo IP de Sam.
ACL 4, em Seville, ativada para pacotes que saem da sua interface S 1, cuida do critrio 2, porque ACL 4 combina com
todos os pacotes provenientes da sub-rede 10.1.3.0/24. Ambos os roteadores satisfazem o critrio 3: um curinga permit
any utilizado na extremidade de cada lista de acesso para se sobrepor ao padro, que descartar todos os outros
pacotes. Logo, aparentemente todos os critrios so satisfeitos.
No entanto, quando um dos links WAN falha, podem aparecer alguns buracos nas ACLs. Se, por exemplo, o link de
Albuquerque a Yosemite falhar, Yosemite apremde uma rota at 10.1.1.0/24 passando por Seville. Pacotes vindos de
Sam, encaminhados por Yosemite e destinados a hosts em Albuquerque, saem da interface serial 1 de Yosemite sem
serem infiltrados. Portanto, o critrio 1 no mais satisfeito. Analogamente, se o link de Seville a Yosemite falhar, Seville
envia os pacotes passando por Albuquerque, roteando em tomo da lista de acesso ativada em Seville; portanto, o critrio
2 no mais satisfeito.
o Exemplo 6-5 ilustra uma soluo alternativa, com toda a configurao de Yosemite - uma configurao que funciona
mesmo quando alguns dos links falham.
Exemplo 6-5 Configurao de Yosemite para o exemplo de lista de acesso padro: soluo alternativa para os
Exemplos 6-3 e 6-4
interface aerial O
interface aerial 1
acceaa-liat 3 remark meeta cri teria 1

acceaa-liat 4 remark meeta cri teria 2

acceaa-liat 4 deny 10.1.3.0 0.0.0.255
A configurao mostrada no Exemplo 6-5 resolve o problema dos Exemplos 6-3 e 6-4. A ACL 3 verifica o endereo IP
fonte de Sam, que ativado nos dois links seriais para trfego de sada. Portanto, do trfego que roteado novamente por
causa de uma falha no link WAN, os pacotes vindos de Sam continuam sendo filtrados. Para satisfazer o critrio 2,
Yosemite filtra pacotes medida que eles saem de sua interface Ethernet. Por isso, independentemente de por qual dos
dois links WAN os pacotes entram, os pacotes da sub-rede de Seville no so encaminhados para a Ethernet de Yosemite.
Listas de controle de acesso IP estendidas

As listas de controle de acesso IP estendidas possuem semelhanas e diferenas quando comparadas com as ACLs IP padro.
Assim como as listas padro, as listas de acesso estendidas so ativadas nas interfaces para pacotes que estejam entrando ou
saindo da interface. O lOS procura a lista seqencialmente. A primeira sentena combinada encerra a busca atravs da lista e
define a ao a ser tomada. Todos esses recursos tambm so verdadeiros com relao a listas de acesso padro.

A nica diferena importante entre as duas a variedade de campos do pacote que podem ser comparados para que as
combinaes possam ser feitas pelas listas de acesso estendidas. Uma nica sentena de uma ACL estendida pode
examinar vrias partes dos cabealhos do pacote, exigindo que todos os parmetros sejam combinados corretamente
para que eles combinem com aquela sentena especfica da ACL. Essa lgica de combinao o que faz as listas de
acesso estendidas serem muito mais teis e mais complexas que as ACLs IP padro.
Esta seo comea com a abordagem dos conceitos relativos a ACLs IP estendidas que diferem das ACLs padro, ou
seja, a lgica de combinao. Em seguida, so abordados os detalhes de configurao.
Conceitos das ACLs IP estendidas

As listas de acesso estendidas criam uma poderosa lgica de combinao examinando vrias partes de um pacote. A
Figura 6-4 mostra vrios campos dos cabealhos dos pacotes que podem ser combinados.
Figura 6-4 Opes de combinao de listas de acesso estendidas

Cabealho IP
9
Campos de
Cabealhos
Variados
Soma de
Endereo
TIpo de
verificao
protocolo
IP fonte
do cabealho
Varivel
Endereo IP
de destino
Opes
TCP, UDP ICMP,

IGRP,IGMP...
IDefine o que vem aqui
Cabealho IP
9
Campos de
Cabealhos
Variados
Soma de
Protocolo
Endereo
verificao
6 (TCP)
IP fonte
do cabealho
TCP
Varivel
Endereo IP
de destino
Opes
Porta
fonte
16+
Porta Rest.
de
de
destino TCP
o conjunto de cabealhos na parte de cima mostra o tipo de protocolo IP, que identifica qual cabealho segue o cabealho
IP. Voc pode especificar todos os pacotes IP, ou aqueles com cabealhos TCP, cabealhos UDP, ICMP, e assim por
diante, verificando o campo Protocolo. possvel tambm verificar os endereos IP da fonte e do destino, conforme
mostrado. A parte inferior da figura mostra um exemplo com um cabealho TCP seguindo o cabealho IP, destacando o
local dos nmeros das portas TCP da fonte e do destino. Esses nmeros de portas identificam o aplicativo. A Web, por
exemplo, utiliza a porta 80 como padro. Se voc especificar um protocolo TCP ou UDP, possvel tambm verificar os
nmeros de portas.
A Tabela 6-3 resume os campos mais comumente usados que podem ser combinados com uma ACL estendida, em
comparao com as ACLs IP padro.
..........
Tabela 6-3 Listas de acesso IP padro e estendidas: combinao
( Tpico
Tipo de lista de acesso
o que pode ser combinado
ACLs padro e estendidas
endereo IP origem
:.....c:......
Partes do endereo IP fonte utilizando uma mscara curinga

Somente ACLs estendidas
Endereo IP de destino
Partes do endereo IP de destino utilizando uma mscara curinga
Tipo de protocolo (TCP, UDP, ICMP, IGRP, IGMP e outros)
Porta origem
Porta de destino
Todos os fluxos TCP exceto o primeiro
CCNA ICND2
177
TOS IP
precedncia IP
Saber o que procurar apenas metade da batalha. O lOS verifica todas as informaes da combinao configuradas em
um nico comando access-list. Tudo deve combinar com relao a este nico comando para que ele seja considerado
uma combinao e para que seja tomada a ao definida. As opes comeam com o tipo de protocolo (IP, TCP, UDP,
ICMP e outros), seguido do endereo IP origem, da porta origem, do endereo IP de destino e do nmero da porta de
destino. A Tabela 6-4 apresenta vrios exemplos de comandos access-list, com vrias opes configuradas e algumas
explicaes. Somente as opes de combinao esto sombreadas.
Tabela 6-4 Comandos access-list estendidos e explicao da lgica
Sentena access-list
o que ela combina
access-list 101 deny ip any host 10.1.1.1
Qualquer pacote IP, qualquer endereo IP origem, com um endereo IP

de destino 10.1.1.1
access-list 101 deny tcp any gt 1023

uma host 10.1.1.1 eq 23
Pacotes com um cabealho TCP, qualquer endereo IP origem, com

porta origem maior que (gt) 1023, um endereo IP de destino de
exatamente 10.1.1.1, e uma porta de destino igual a (eq) 23
access-list 101 deny tcp any host

10.1.1.1 eq 23
Idem ao exemplo anterior, mas qualquer porta origem combina, pois aquele
parmetro omitido neste caso
access-list 101 deny tcp any host

10.1.1.1 eq telnet
Idem ao exemplo anterior. A palavra-chave telnet usada em vez da

porta 23.
access-list 101 deny udp

1.0.0.0 0.255.255.255 It 1023 any
Um pacote com uma origem na rede 1.0.0.0, usando UDP com uma
porta origem menor que (It) 1023, com qualquer endereo IP de destino
Combinando os nmeros das portas TCP e UDP
As ACLs IP estendidas permitem a combinao do campo de protocolo do cabealho IP bem como a combinao dos
nmeros d~s portas TCP ou UD~ da fonte e d~ destino. Entretanto~ ~uitas pessoas encon~am difi~uldade ao }niciar a
. configu~aao de ACLs que combmem com os numeros das portas, pnnclpalmente quando esto combmando o numero da
porta ongem.
Ao considerar qualquer questo do exame que envolva portas TCP ou UDP, tenha em mente os seguintes pontos
essenciais:
. .. . . . .
MJ.6plco
...:-ha...
".
O comando access-list deve usar a palavra-chave tcp do protocolo para conseguir combinar as portas TCP e a
palavra-chave udp para conseguir combinar as portas UDP. A palavra-chave ip no permite a combinao dos
nmeros das portas.
Os parmetros da porta origem e da porta de destino no comando access-list so posicionais. Em outras palavras,
sua localizao no comando determina se o parmetro examina a porta origem ou a porta de destino.
Lembre-se de que as ACLs podem combinar pacotes enviados a um servidor comparando a porta de destino com
os nmeros das portas bem-conhecidos (well-known). Entretarlto, as ACLs precisam combinar a porta origem para
pacotes enviados pelo servidor.
Vale a pena memorizar os aplicativos TCP e UDP mais populares, e suas portas conhecidas, conforme apresentado
na Tabela 6-5, mostrado mais adiante neste captulo.
Considere, por exemplo, a rede simples mostrada na Figura 6-5. O servidor FTP fica direita, com o cliente esquerda.
A figura mostra a sintaxe de uma ACL que combina
Pacotes que incluem um cabealho TCP
Pacotes enviados da sub-rede do cliente
178
Captulo 6: Listas e controle de acesso IP
Pacotes enviados sub-rede do servidor
Pacotes com a porta de destino TCP 21
Figura 6-5 Filtrando pacotes com base na porta de destino
IFonte 172.16.1.1 Destino 172.16.3.1
I Fonte Destino> 1023 Destino Porta 21
172.16.1.0/24
Entrada
172.16.3.0/24172 .16.3.1
Sada
Entrada
FaOIO
SOlO
SO/1
access-list 101 permit tcp 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Para ter uma idia completa da combinao da porta de destino com o parmetro eq21, considere pacotes indo da
esquerda para a direita, de PC1 para o servidor. Se o servidor estiver usando a bem-conhecida porta 21 (porta de controle
FfP), o pacote enviado por PC1, no cabealho TCP, possui um valor de porta de destino igual a 21. A sintaxe da ACL
inclui o parmetro eq21 depois do endereo IP de destino, sendo que essa posio no comando indica que esse parmetro
combina com a porta de destino. Em conseqncia disso, a sentena da ACL mostrada na figura combinaria com esse
pacote e com a porta de destino 21, se utilizada em qualquer um dos quatro locais indicados pelas quatro setas na figura.
Por outro lad, a Figura 6-6 mostra o fluxo inverso, com um pacote enviado pelo servidor de volta em direo a PC1.
Neste caso, o cabealho TCP do pacote possui uma porta fonte 21, e, portanto, a ACL deve verificar o valor 21 da porta
fonte e deve estar localizada em interfaces diferentes.
Figura 6-6 Filtrando pacotes com base na porta fonte

(;~;;~o
\ Chave
".
Fonte 172.16.3.1 Destino 172.16.1.1
Fonte Porta 21DestinoPorta> 1023
172.16.1.0/24
Sada
FaOIO
Entrada
172.16.3.0/24
172.16.3.1
Sada _____ Entrada
SOlO
SO/1
FaOIO
access-list 101 permit tcp 172.16.3.0 0.0.0.255 eq 21 172.16.1.0 0.0.0.255
Para questes do exame que requeiram ACLs e a combinao de nmeros de portas, considere primeiramente se a
questo requer que a ACL seja colocada em um certo local e em um certo sentido. Em caso positivo, voc pode
determinar se aquela ACL processaria pacotes enviados ao servidor ou enviados pelo servidor. Neste ponto, voc pode
decidir se precisa verificar a porta de origem ou a porta de destino do pacote.
Como referncia, a Tabela 6-5 apresenta vrios nmeros de portas conhecidos e seus aplicativos e protocolos de camada
de transporte. Observe que a sintaxe dos comandos access-list aceita tanto os nmeros das portas quanto urna verso
resumida do nome do aplicativo.
Tabela 6-5 Aplicativos populares e os conhecidos nmeros de suas portas

Palavras-chave do nome do aplicativo
na sintaxe do comando access-list
Nmero(s) das portas
Protocolo
Aplicativo
20
TCP
Dados do FTP
ftp-data
21
TCP
Controle FfP
ftp
22
TCP
SSH
23
TCP
Telnet
telnet
25
TCP
SMTP
smtp
53
UDP, TCP
DNS
domain
CCNA ICND2
67,68
UDP
DHCP
nameserver
69
UDP
TFfP
tftp
80
TCP
HTTP (WWW)
www
110
TCP
POP3
pop3
snmp
161
UDP
SNMP
443
TCP
SSL
16,384-32,767
UDP
voz e vdeo baseado

em RTP (VoIP)
179
: Configurao de ACLs IP estendidas
Como as ACLs estendidas podem combinar com tantos campos diferentes nos vrios cabealhos de um pacote IP, a
sintaxe do comando no pode ser facilmente resumida em um nico comando genrico. Como referncia, a Tabela 6-6
apresenta a sintaxe dos dois comandos genricos mais comuns.
Tabela 6-6 Comandos de configurao de uma lista de acesso IP estendida
Comando
Modo de configurao e descrio
access-Iist access-list-number {deny I permit}

protocol source source-wildcard destination
destination-wildcard log I log-input]
Comando global para listas de acesso estendidas

numeradas. Use um nmero entre 100 e 199 ou 2000
e 2699, inclusive
access-Iist access-list-number {deny I permit}

Verso do comando access-Iist com
{tcp I udp} source source-wildcard [operator [port]] parmetros TCP especficos
destination destination-wildcard [operator [port]]
[established] [log]
o processo de configurao para ACLs estendidas praticamente combina com o mesmo processo utilizado para ACLs
padro. O local e o sentido devem ser escolhidos primeiro para que os parmetros da ACL possam ser planejados com
base nas informaes contidas nos pacotes que transitam naquele sentido. A ACL deve estar configurada com comandos
access-list. Em seguida, a ACL deve ser ativada com o mesmo comando ip access-group utilizado em ACLs padro.
Todos esses passos permanecem os mesmos das ACLs padro. Entretanto, as diferenas de configurao so resumidas
da seguinte forma:
~.......
.:~o
As ACLs estendidas devem ser colocadas o mais prximo possvel da fonte dos pacotes a serem filtrados, pois as
ACLs estendidas podem ser configuradas para que no descartem pacotes que no deveriam ser descartados.
Portanto, a filtragem prxima da fonte dos pacotes economiza um pouco de largura de banda.
Todos os campos de um comando access-list devem combinar com um pacote para que se possa considerar que
este pacote combina com aquela sentena access-Iist.
O comando access-list estendido utiliza nmeros entre 100 e 199 e entre 2000 e 2699, sendo que nenhum nmero
inerentemente melhor que o outro.
A verso estendida do comando access-Iist permite a combinao de nmeros de portas usando vrias operaes
bsicas, tais como "igual a" e "menor que". Contudo, os comandos utilizam abreviaes. A Tabela 6-7 apresenta as
abreviaes e uma explicao mais abrangente.
Tabela 6-7 Operadores utilizados na combinao de nmeros de portas
Operador no comando access-Iist
Significado
Igual a
eq
------------------------------------------------------------------------------------

neq
No igual a
It
Menor que
gt
Maior que
range
Intervalo dos nmeros das portas
Listas de acesso IP estendidas: Exemplo 1

Este exemplo se concentra na compreenso da sintaxe bsica. Neste caso, o acesso a todos os servidores na Ethemet de
RI negado a Bob e o acesso de Larry ao servidor Web Serverl tambm negado. A Figura 6-7 relembra a topologia
da rede. O Exemplo 6-6 mostra a configurao em RI.
Figura 6-7 Diagrama de rede referente ao Exemplo i de listas de acesso estendidas
172.16.3.8 172.16.3.9
Exemplo 6-6 Lista de acesso estendida de Ri: Exemplo i

interface SerialO
ip address 172.16.12.1 255.255.255.0
ip access-group 101 in
interface Serial1
ip address 172.16.13.12 255.255.255.0
access-list 101 remark Stop Bob to FTP servers,and Larry to Server1 web
access-list 101 deny tcp host 172.16.3.10 172.16.1.0 0.0.0.255 eq ftp
access-1ist 101 deny tcp host 172.16.2.10 host 172.16.1.100 eq ww
access-list 101 permit ip any any
No Exemplo 6-6, a primeira sentena da ACL impede o acesso de Bob aos servidores FTP na sub-rede
172.16.1.0. A segunda sentena impede o acesso de Larry aos servios Web em Server1. A sentena final
permite o trfego todo.
Concentrando-se na sintaxe por um momento, existem vrios novos itens a revisar. Primeiro, o nmero da lista de
acesso para listas de acesso estendidas cai no intervalo de 100 a 199 ou de 2000 a 2699. Seguindo a ao permit
ou deny, o parmetro protocol define se voc deseja verificar todos os pacotes IP ou somente aqueles com
cabealhos TCP ou UDP. Ao verificar os nmeros das portas TCP ou UDP, necessrio especificar o protocolo
TCP ou UDP.
Este exemplo utiliza o parmetro eq, significando "igual a", para verificar os nmeros das portas de destino para o
controle FTP (palavra-chave ftp) e o trfego HTTP (palavra-chave www). Voc pode usar os valores numricos ou,
para as opes mais populares, uma verso de texto mais bvia vlida. (Se tivesse de inserir eq 80, a configurao
mostraria eq www.)
CCNA ICND2
181
Neste primeiro exemplo de ACL estendida, as listas de controle de acesso poderiam ter sido colocadas em R2 e R3 em
vez de em RI. Conforme ser visto ao final deste captulo, a Cisco faz algumas recomendaes especficas sobre onde
colocar ACLs IP. Em relao s ACLs IP estendidas, a Cisco sugere que voc as coloque o mais prximo possvel da
origem do pacote. Portanto, o Exemplo 6-7 atinge o mesmo objetivo que o Exemplo 6-6 impedindo o acesso de Bob aos
servidores FrP no site principal, e isso foi feito com uma ACL em R3 .
Exemplo 6-7 Lista de acesso estendida de R3 impedindo que Bob alcance os servidores FTP prximos a RI
interface EthernetO
ip address 172.16.3.1 255.255.255.0
1_
...
access-list 101 remark deny Bob to FTP servers in subnet 172.16.1.0/24
access-list 101 deny tcp host 172.16.3.10 172.16.1.0 0.0.0.255 eq ftp
A ACL 101 se assemelha bastante com a ACL 101 do Exemplo 6-6, mas desta vez, a ACL no se preocupa em verificar os
critrios para combinar com o trfego de Larry, pois o trfego de Larry nunca entrar na interface Ethemet Ode R3. Como a ACL
foi colocada em R3, prxima a Bob, ela presta ateno nos pacotes que Bob envia e que entram em sua interface EthemetO. Por
causa da ACL, o trfego FfP de Bob para 176.16.1.0/24 negado, com todo o outro trfego entrando na interface EO de R3 e
chegando rede. O Exemplo 6-7 no apresenta nenhuma lgica para impedir o trfego de Larry.
Listas de acesso IP estendidas: Exemplo 2
o Exemplo 6-8, baseado na rede mostrada na Figura 6-8, mostra outro exemplo de como utilizar listas de acesso IP
estendidas. Esse exemplo utiliza os mesmos critrios e a mesma topologia de rede do segundo exemplo de ACL IP
padro, conforme repetido abaixo:
Sam no tem permisso de acesso a Bugs e Daffy.
Hosts da Ethemet de Seville no tm permisso de acesso a hosts na Ethemet de Yosemite.
Todas as outras combinaes so permitidas.
Figura 6-8 Diagrama de rede referente ao Exemplo 2 de listas de acesso estendidas

Bugs
Daffy
10.1 .1.1
10.1 .1.2
10.1.1.0
Seb-rede 10.1.129.0
Sam
Emma
Elmer
10.1.2.1
10.1.2.2
10.1.3.1
Red
10.1.3.2

Exemplo 6-8 Configurao de Yosemite referente ao Exemplo 2 de listas de acesso estendidas
access-list 110 deny ip host 10.1.2.1 10.1.1.0 0.0.0.255

access-list 110 deny ip 10.1.2.0 0.0.0.255 10.1.3.0 0.0.0.255
Essa configurao resolve o problema com poucas sentenas seguindo, simultaneamente, as diretrizes de projeto da
Cisco que diz para colocar ACLs estendidas o mais prximo possvel da fonte do trfego. A ACL ftltra pacotes que
entram na interface EO de Yosemite, que a interface do primeiro roteador onde entram pacotes enviados por Sam. A
questo de ter pacotes "roteados em tomo" de listas de acesso em interfaces seriais resolvida com sua colocao na
nica interface Ethemet de Yosemite. Alm disso, a ftltragem exigida pelo segundo requisito (desfazer a permisso de
acesso dos hosts LAN de Seville a Yosemite) satisfeita pela segunda sentena access-list. Interromper o fluxo de
pacotes da sub-rede LAN de Yosemite para a sub-rede LAN de Seville impede a comunicao efetiva entre as duas subredes. Outra opo seria ter configurado a lgica oposta em Seville.
Avanos no gerenciamento da configurao de ACLs

Agora que voc j tem um bom entendimento dos conceitos principais das ACLs IP do lOS, a prxima seo examina
alguns avanos feitos no suporte dado pelo lOS s ACLs: ACLs nomeadas e nmeros de seqncia de ACLs. Embora
ambos os recursos sejam teis e importantes, nenhum deles acrescenta nenhuma funo em relao ao que um roteador
pode ou no ftltrar, em comparao com as ACLs numeradas j abordadas neste captulo. Pelo contrrio, as ACLs
nomeadas e os nmeros de seqncia de ACLs do ao engenheiro opes de configurao que facilitam lembrar-se dos
nomes das ACLs e editar ACLs existentes quando necessria a alterao de uma ACL.
Listas de acesso IP nomeadas

As ACLs nomeadas, introduzidas com a verso do lOS 11.2, podem ser utilizadas para combinar os mesmos pacotes,
com os mesmos parmetros, que podem ser combinados com ACLs IP padro e estendidas. As ACLs Entretanto, IP
nomeadas apresentam, sim, algumas diferenas, algumas das quais facilitam o trabalho. A diferena mais ntida que o
lOS identifica as ACLs nomeadas usando nomes criados por voc, em vez de nmeros, pois mais fcil voc se lembrar
de um nome.
Alm de usar nomes mais fceis de lembrar, a outra vantagem das ACLs nomeadas em relao s ACLs numeradas, na
poca em que foram introduzidas no lOS, que voc podia excluir linhas individuais nas listas de acesso IP nomeadas.
Em toda a histria das ACLs IP numeradas e do comando global ip access-list, at a introduo do lOS 12.3, no se
podia excluir nenhuma linha de uma ACL numerada. Se, por exemplo, voc tivesse configurado anteriormente o comando
ip access-list 101 permit tcp any any eq 80, e depois inserido o comando no ip 101 permit tcp any any eq 80, a
ACL 101 inteira teria sido excluda! A vantagem da introduo de ACLs nomeadas que voc pode inserir um comando
que remove linhas individuais daACL.
Observao Com a verso do lOS 12.3, a Cisco expandiu o lOS para poder excluir linhas
individuais em ACLs numeradas, igualando o suporte dado pelo lOS edio de ACLs
nomeadas e numeradas. Esses detalhes so explicados na prxima seo.
A sintaxe de configurao bastante semelhante entre as listas de acesso IP nomeadas e numeradas. Os itens que
podem ser combinados com uma lista de acesso IP padro numerada so idnticos aos itens que podem ser combinados
com uma lista de acesso IP padro nomeada. Analogamente, os itens so idnticos tanto nas listas de acesso IP estendidas
numeradas quanto nas nomeadas.
Existem duas diferenas de configurao importantes entre as ACLs numeradas no estilo antigo e as listas de acesso nomeadas
mais novas. Uma diferena importante que as listas de acesso nomeadas utilizam um comando global que coloca o usurio em
um submodo da lista de acesso IP nomeada, sob o qual configurada a lgica de combinao e de permisso/negao. A outra
diferena que ao excluir uma sentena de combinao nomeada, somente aquela sentena especfica excluda.
CCNA ICND2
183
o Exemplo 6-9 mostra o uso de uma ACL IP nomeada. Ele apresenta a mudana no prompt de comando no modo de
configurao, mostrando que o usurio foi colocado no modo de configurao de ACL. Apresenta tambm as partes
pertinentes do resultado de um comando show running-configuration e termina com um exemplo de como excluir
linhas individuais em uma ACL nomeada.
Exemplo 6-9 Configurao de uma lista de acesso nomeada
.'
conf t
Enter configuration cornrnands, one per line. End with Ctrl-Z.
Router(config)#ip access-list extended barney
Router(config-ext-nacl)#permit tcp host 10.1.1.2 eq www any
Router(config-ext-na cl)#deny udp host 10.1.1 . 1 10.1.2.0 0.0.0.255
Router (config-ext-na cl)#deny ip 10.1.3.0 0.0.0.255 10.1.2.0 0 . 0 . 0.255
! The next statement is purposefully wrong so that the process of changing
! the list can be seen.
Rout e r(config-ext-nacl)#deny ip 10.1.2.0 0.0.0.255 10.2.3.0 0.0.0.255
Router(config-ext-nacl)#deny ip host 10.1.1.130 host 10.1.3.2
Rou ter(config-ext - nacl)#deny ip host 10.1.1.28 host 10.1 . 3 . 2
Rout e r(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#interface serial1
Router(config-if)#ip access-group barney out
Rout e r(config-if)#AZ
Router#show running- config
Building configuration ...
Current configuration:
unimportant statements omitted)

interface serial 1
ip access-group barney out
ip access-list ext e n ded barney
permit tcp host 10 . 1 . 1.2 e q www any
deny udp host 10.1.1 . 1 10.1.2.0 0.0 . 0.255
deny ip 10.1.3.0 0.0.0 . 255 10.1 . 2.0 0.0.0.255
deny ip 10 . 1.2.0 0 . 0.0.255 10.2 . 3.0 0.0.0.255
deny ip host 10 . 1.1.130 host 10.1.3.2
d e ny ip host 10 . 1.1.28 host 10 . 1 . 3 . 2
permit i p any any
Rout e r #conf t
Enter configuration commands, one per line. End with Ctrl-Z.
Router(config)#ip access-list extended barney
Router(config-ext-nacl)#n o deny ip 10 . 1. 2 . 0 0.0 . 0. 25 5 10. 2 .3.0 0 . 0.0.255
Router(config-ext-nacl)#AZ
Rout er#show acce s s-list
Ex t ended I P acce s s list barney
10 permit tcp host 10.1.1.2 eq www any
20 deny udp host 10.1.1.1 10.1.2.0 0.0.0.255
30 deny ip 10.1.3 . 0 0 . 0 . 0 . 255 10.1 . 2.0 0.0.0.255
50 deny ip hos t 10.1.1.130 host 10 . 1 . 3 . 2
60 deny ip ho st 1 0.1.1.28 h ost 10.1.3.2
7 0 permit ip a ny a ny
o Exemplo 6-9
comea com a criao de uma ACL chamada de barney. O comando ip access-list extended
barney cria a ACL, chamando-a de barney e colocando o usurio no modo de configurao do ACL. Esse comando
tambm diz ao lOS que barney uma ACL estendida. Em seguida, sete sentenas permit e deny diferentes
definem a lgica de combinao e a ao a ser tomada quando feita uma combinao. Os comandos permit e
deny utilizam exatamente a mesma sintaxe usada pelos comandos access-list numerados, comeando com as
palavras-chave deny e permito Neste exemplo, acrescenta-se um comentrio antes do comando que excludo
mais tarde no exemplo.
O resultado do comando show running-config apresenta a configurao da ACL nomeada antes de a entrada nica ser
excluda. Em seguida, o comando no deny ip ... exclui a entrada nica da ACL. Observe que o resultado do comando
show running-config continua apresentando a ACL, com seis comandos permit e deny, em vez de sete.
Editando ACLs usando nmeros de seqncia

As ACLs numeradas existem no lOS desde os primrdios dos roteadores Cisco. A partir de sua criao, at a verso do
lOS 12.2, a nica forma de editar uma ACL numerada existente - por exemplo, excluir simplesmente uma linha da ACL
- era apagar toda a ACL e depois reconfigurar a ACL inteira. Alm de ser uma inconvenincia para o engenheiro, esse
processo tambm causava alguns efeitos colaterais indesejados. Ao excluir a ACL, importante desativ-la de todas as
interfaces e, depois, exclu-la, reconfigur-la e ativ-la na interface. Do contrrio, durante o processo de reconfigurao,
antes que todas as sentenas tenham sido reconfiguradas, a ACL no executar todas as verificaes devidas, s vezes
causando problemas ou expondo a rede a vrios ataques.
Conforme mencionado na seo anterior, o suporte ao lOS original dado s ACLs nomeadas, introduzido na verso do
lOS 11.2, resolvia alguns dos problemas de edio. Os comandos originais para ACLs nomeadas permitiam que o
engenheiro exclusse uma linha de uma ACL, conforme mostrado na seo anterior no Exemplo 6-9. No entanto, os
comandos de configurao no permitiam que o usurio inserisse um novo comando permit ou deny na lista. Todos os
novos comandos eram adicionados ao final da ACL.
Com a verso do lOS 12.3, a Cisco introduziu vrias outras opes de configurao para ACLs - opes que se aplicam
a ACLs IP nomeadas e numeradas. Essas opes aproveitam o nmero de seqncia da ACL que acrescentado a cada
sentena permit ou deny da ACL, onde os nmeros representam a seqncia de sentenas da ACL. Os nmeros de
seqncia da ACL oferecem os seguintes recursos para ACLs numeradas e nomeadas:
- Pode-se excluir uma sentena permit ou deny individual da ACL simplesmente atravs da referncia feita ao
nmero de seqncia, sem excluir o resto da ACL.
- Comandos permit e deny recm acrescentados podem ser configurados com um nmero de seqncia, ditando a
localizao da sentena dentro da ACL.
- Comandos permit e deny recm acrescentados podem ser configurados sem um nmero de seqncia, onde o lOS
cria um nmero de seqncia e coloca o comando ao final da ACL.
Para aproveitar a capacidade de excluir e inserir linhas em uma ACL, as ACLs numeradas e nomeadas devem utilizar o
mesmo estilo geral de configurao e os comandos usados para ACLs nomeadas. A nica diferena na sintaxe se
usado um nome ou um nmero. O Exemplo 6-10 mostra a configurao de uma ACL IP padro numerada, utilizando esse
estilo alternativo de configurao. O exemplo mostra o poder do nmero de seqncia de uma ACL para editar. Neste
exemplo, ocorre o seguinte:
(;~;;~o
'. Chava
...
Passo 1 A ACL numerada 24 configurada, usando esse novo estilo de configurao com trs comandos permit.
Passo 2 O comando show ip access-list mostra os trs comandos permit, com os nmeros de seqncia 10, 20 e 30.
Passo 3 O engenheiro exclui somente o segundo comando permit, usando o subcomando ACL no 20, que simplesmente
se refere ao nmero de seqncia 20.
Passo 4 O comando show ip access-list confirma que a ACL agora tem duas linhas (nmeros de seqncia 10 e 30).
Passo 5 O engenheiro acrescenta um novo comando permit ao comeo da ACL, usando o subcomando ACL 5 deny
10.1.1.1.
Passo 6 O comando show ip access-list novamente confirma as alteraes, desta vez listando trs comandos
permit, os nmeros de seqncia 5, 10 e 30.
Observao
Para este exemplo, observe que o usurio no sai do modo de configurao;
pelo contrrio, ele usa o comando do para dizer ao lOS que ele emita o comando EXEC show
ip access-list a partir do modo de configurao.
Exemplo 6-10 Editando ACLs utilizando nmeros de seqncia
! Step 1: The 3-1ine Standard Numbered IP ACL is configured .

Enter configuration commands, one per line. End with Ctrl-Z.
R1(config)# ip access-1ist standard 24
R1(config-std-nacl)#permit 10.1.1.0 0.0.0.255
CCNA ICND2
185
R1(config-std-nac1)#permit 10.1.2.0 0.0.0.255

R1(config-std-nacl)#permit 10.1.3.0 0.0.0.255
! Step 2:
Displaying the ACL's contents, without leaving configuration mode.
R1(config-std-nacl)#do show ip acc8ss-1ist 24

Standard IP access list 24
10 permit 10.1.1.0, wildcard bits 0.0.0.255
! Step 3: Still in ACL 24 configuration mode,
the line with sequence number 20 is deleted.
R1(config-std-nacl)#nnoo 2200
! Step 4: Displaying the ACL's contents again,
without leaving configuration mode.
! Note that line number 20 is no longer listed.
R1(config-std-nacl)#do show ip acc8ss-1ist 24

10 permit 10.1.1.0, wi1dcard bits 0.0.0.255
30 permit 10.1.3.0, wildcard bits 0 . 0.0.255
1-
! Step 5: Inserting a new first line in the ACL.
R1(config-std-nacl)#55 ddeennyy 1100 .. 11 .. 11 .. 11

! Step 6: Displaying the ACL's contents one last time,
! number 5)
with the new statement (sequence
listed first.
R1(config-std-nacl)#do show ip access-list 24

5 deny 10.1.1.1
10 permit 10 . 1.1.0, wildcard bits 0.0.0.255
30 permit 10 . 1. 3. O, wildcard bits O.
o. 0.255
interessante notar que as ACLs numeradas podem ser configuradas com o novo estilo de configurao, conforme
mostrado no Exemplo 6-10, ou com o antigo estilo de configurao, usando os comandos de configurao global accesslist, conforme mostrado nos vrios exemplos iniciais deste captulo. Na verdade, voc pode usar os dois estilos de
configurao em uma nicaACL. No entanto, independentemente de qual estilo de configurao seja usado, o resultado
do comando show running-config continua mostrando os comandos do aritigo estilo de configurao. O Exemplo 6-11
demonstra esses fatos, comeando onde o Exemplo 6-10 parou, com os seguintes passos adicionais:
Passo 7 O engenheiro lista a configurao (show running-config), que lista os comandos no antigo estilo de
configurao - embora a ACL tenha sido criada com os comandos no novo estilo.
Passo 8 O engenheiro acrescenta uma nova sentena ao final da ACL, utilizando o comando de configurao global
access-list 24 permit 10.1.4.0 0.0.0.255 no antigo estilo.
Passo 9 O comando show ip access-list confirma que o comando access-list no estilo antigo do passo anterior
seguiu a regra de ser acrescentado somente ao final da ACL.
Passo 10 O engenheiro exibe a configurao para confmnar que as partes da ACL 24 configurada com os comandos
no novo estilo e no antigo estilo so todas apresentadas na mesma ACL no antigo estilo (show running-config).
Exemplo 6-11 Acrescentando e exibindo a configurao de uma ACL numerada
! Step 7: A configuration snippet for ACL 24.
R1#show running-config
! The only lines shown are the lines from ACL 24
access-list 24 deny 10.1.1.1

access-list 24 permit 10.1.1.0 0.0.0.255
!
Step 8: Adding a new access-list 24 command
R1#configure terminal

R1{con fig) #access-1ist 24 permit 1 0.1.4 .0 0 . 0 .0. 255
R1 (config) #AZ
Step 9: Displaying the ACL's contents again, with sequence nurnbers. Note that even
t he new statement has been automatically assigned a sequence nurnber .
R1#show ip access-list 24
5 deny 10.1.1.1
30 permit 10.1.3.0, wildcard bits 0.0 . 0.255
40 permi t
10.1.4.0, wildcard b it s 0.0.0.255
Step 10: The numbered ACL configuration remains in old-style configuration commands.
R1#show running-config
! The only lines shown are the lines from ACL 24
access-list 24 deny 10.1 . 1.1

access-list 24 permit 10.1.1.0 0.0 . 0.255
Tpicos variados sobre ACLs

Esta pequena seo aborda alguns tpicos menores : como filtrar o trfego Telnet e SSH usando ACLs e algumas
diretrizes gerais de implementao.
Controlando o acesso Telnet e SSH com ACLs

Um engenheiro pode controlar o acesso remoto a roteadores utilizando ACLs que procuram pelas portas conhecidas
usadas pela Telnet (23) e SSH (22). Entretanto, para fazer isso ativando ACLs em interfaces atravs do sub comando de
interface ip access-group , a ACL precisaria verificar todos os endereos IP do roteador e as portas Telnet e SSH.
medida que novas interfaces fossem configuradas, a ACL precisaria ser atualizada.
O lOS oferece uma opo muito mais fcil para proteger o acesso de entrada e de sada das portas de linha vty (virtual
terminal, ou terminal virtual). Em roteadores, os usurios Telnet e SSH se conectam a linhas vty e, portanto, para
proteger esse acesso, pode-se aplicar uma ACL IP a essas linhas vty. Voc pode usar ACLs para limitar os hosts IP que
podem entrar no roteador atravs da Telnet e tambm para limitar os hosts aos quais o usurio do roteador pode se
conectar atravs da Telnet.
Suponha, por exemplo, que somente hosts da sub-rede 10.1.1.0/24 consigam entrar em qualquer roteador Cisco de uma
rede atravs da Telnet. Neste caso, a configurao mostrada no Exemplo 6-12 poderia ser usada em cada roteador para
negar acesso quando provindo de endereos IP que no estejam naquela rede.
Exemplo 6-12 Controle de acesso vty utilizando o comando access-class
line vty o 4
l ogin
password cisco
l-
access-class 3 i n
I-
Next command is a global command

acce ss-list 3 perDdt 10 . 1 . 1.0 0 . 0 . 0 .2 55
O comando access-class se refere a lgica de combinao em access-list 3. A palavra-chave in se refere s conexes

Telnet neste roteador - em outras palavras, s pessoas que entram neste roteador atravs da Telnet. Conforme configurado,
a ACL 3 verifica o endereo IP fonte dos pacotes para conexes Telnet de entrada.
CCNA ICND2
187
Se o comando access-class 3 out tivesse sido usado, ele teria verificado no s as Telnets de sada, mas tambm o
endereo.IP de destino dos pacotes. Ao ftltrar ~onexes Telnet e SSH de s~da, a.verificao do .endereo IP fonte, ~ue
por defirno deve ser um dos endereos IP da lllterface daquele roteador, nao fana nenhum sentJ.do. Para ftltrar sessoes
Telnet de sada, mais sensato ftltrar com base no endereo IP de destino. Portanto, o uso do comando access-class 3
out, principalmente a palavra-chave out, um daqueles casos raros em que uma ACL IP padro olha o endereo IP de
destino e no o da origem.
Consideraes sobre a implementao de uma ACL
Em redes IP de produo, a criao, a resoluo de problemas e as atualizaes de ACLs IP podem consurrnr

uma
grande quantidade de tempo e de esforo. O exame ICND2 no traz muitas questes sobre ao que se deve ficar atento
ao implementar ACLs IP em redes reais, mas inclui alguns pequenos itens discutidos nesta seo.
A Cisco faz as seguintes recomendaes gerais nos cursos em que os exames CCNA so baseados:
.~;;~o
Crie suas ACLs usando um editor de texto fora do roteador, copie e cole as configuraes no roteador. (Mesmo
com a capacidade de excluir e inserir linhas em uma ACL, a criao dos comandos em um editor provavelmente
continuar sendo um processo mais fcil.)
Coloque ACLs estendidas o mais prximo possvel da origem do pacote para descartar os pacotes rapidamente.
Coloque as ACLs padro o mais prximo possvel do destino do pacote, pois as ACLs padro, quando colocadas
prximas origem, muitas vezes descartam pacotes que voc no deseja descartar.
Coloque sentenas mais especficas no incio da ACL.
Desative uma ACL de sua interface (utilizando o comando no ip access-group ) antes de fazer qualquer alterao
na ACL.
A primeira sugesto diz que voc deve criar as ACLs fora do roteador usando um editor. Dessa maneira, se voc
cometer algum erro de digitao, possvel consert-lo no editor. Essa sugesto no to importante quanto era antes da
verso do lOS 12.3, porque, conforme descrito anteriormente, na seo "Editando ACLs usando nmeros de seqncia",
esta verso aceita os nmeros de linhas de uma ACL e a excluso e insero de linhas individuais em uma ACL.
Observao Se voc criar todas as suas ACLs em um editor de texto, talvez valha a pena
comear cada arquivo com o comando no access-list number, seguido dos comandos de
configurao na ACL. Em seguida, todas as vezes que voc editar o arquivo de texto para
alterar a ACL, tudo que voc ter de fazer copiar/colar o contedo do arquivo inteiro, onde
a primeira linha exclui toda a ACL existente, e o resto das sentenas recria a nova ACL.
O segundo e o terceiro pontos lidam com o conceito de onde colocar suas ACLs. Se voc pretende filtrar um pacote,
filtrar mais prximo da origem do pacote significa que o pacote ocupa menos largura de banda na rede, o que parece ser
mais eficaz - e verdade. Por isso, a Cisco sugere colocar as ACLs estendidas o mais prximo possvel da origem.
No entanto, a Cisco tambm sugere, pelo menos nos cursos voltados para o CCNA, colocar as ACLs padro prximas
do destino. Por que no prximas origem dos pacotes? Bem, porque as ACLs padro s olham o endereo IP origem,
porque elas tendem a filtrar mais do que voc deseja quando colocadas prximas origem. Imagine, por exemplo, que
Fred e Barney estejam separados por quatro roteadores. Se voc ftltrar o trfego de Barney enviado a Fred no primeiro
roteador, Barney no poder alcanar nenhum host prximo aos outros trs roteadores. Portanto, o curso ICND2 da
Cisco faz uma recomendao geral que diz para colocar as ACLs padro mais prximas do destino para evitar filtrar o
trfego que voc no pretende filtrar.
Ao colocar parmetros de combinao mais especficos logo no incio de cada lista, h menos probabilidade de se
cometer erros na ACL. Imagine, por exemplo, que voc tenha uma sentena que permite a passagem de todo o trfego
de 10.1.1.1 para 10.2.2.2, destinado porta 80 (a Web), e outra sentena que negue todos os outros pacotes cuja fonte
seja a sub-rede 10.1.1.0/24. Ambas as sentenas combinariam com os pacotes enviados pelo host 10.1.1.1 para um
servidor Web em 10.2.2.2, mas, provavelmente, o que voc queria era combinar primeiro a sentena mais especfica
(perrnit). Em geral, colocar sentenas mais especficas primeiro tende a garantir que voc no perca nada.

Finalmente, a Cisco recomenda que voc desative as ACLs nas interfaces antes de alterar as sentenas da lista. Felizmente,
se voc tiver uma ACL IP ativada em uma interface com o comando ip access-group, e excluir a ACL inteira, o lOS
no filtra nenhum pacote. (Nem sempre foi assim com as verses lOS mais antigas!) Mesmo assim, assim que voc
acrescenta um comando ACL, o lOS comea a filtrar os pacotes. Suponha que voc tenha a ACL 101 ativada em SO
para pacotes de sada. Voc exclui a lista 101 para que todos os pacotes tenham permisso de passagem. Em seguida,
insere um nico comando access-list 101. Assim que voc teclar Enter, a lista passa a existir e o roteador filtra todos os
pacotes que saem de SO com base na lista composta de uma linha. Se desejar entrar em uma ACL maior, possvel que
voc filtre temporariamente pacotes que no deseja filtrar! Conseqentemente, a melhor forma desativar a lista da
interface, fazer alteraes na lista e, em seguida, reativ-Ia na interface.
Listas de acesso reflexivas

As ACLs reflexivas, tambm chamadas filtragem de sesso IP, oferecem uma forma de impedir uma classe de ataques
de segurana permitindo cada sesso TCP ou UDP individualmente. Para isso, o roteador reage ao ver o primeiro pacote
em uma sesso entre dois hosts. Ele reage ao pacote para acrescentar uma sentena permit ACL, permitindo o trfego
daquela sesso com base no endereo IP da origem e do destino e da porta TCPIUDP origem e destino.
A Figura 6-9 mostra um caso clssico em que ACLs tradicionais criam um buraco na segurana. Mas as ACLs podem
tapar este buraco. A maioria das empresas deseja permitir aos usurios utilizar um navegador Web para conectar-se a
servidores Web da Internet. UmaACL estendida tradicional pode permitir o trfego deixando passar o trfego de ida e de
volta de quaisquer dois endereos IP, mas com uma verificao adicional na porta TCP usada pelo HTTP (porta 80).
Neste caso, a figura mostra uma ACL que verifica a porta fonte 80 para pacotes que entram na empresa, o que significa
que os pacotes vieram de um servidor Web.
Figura 6-9 Necessidade de ACLs reflexivas
Hacker
.............
-- ---
Empresa
-'.
'"
........ -- .....
128.107.1.1
...........
Servidor Web
Usurio final
accesslist 101 permit tcp any eq www any
'--y-I
porta fonte
A ACL usada em R2 filtra todo o trfego de entrada exceto aquele proveniente de servidores Web. Isso permite que o
servidor Web da Internet, esquerda, envie pacotes ao usurio na empresa direita. Entretanto, ele tambm permite que o
hacker envie pacotes, com a porta fonte 80, com o roteador permitindo a passagem dos pacotes. Embora esses pacotes
possam no fazer parte de uma conexo TCP existente, vrios ataques conhecidos podem ser feitos utilizando esses pacotes
- desde um simples ataque DoS distribuindo pacotes pela empresa at a utilizao de bugs conhecidos no sistema operacional.
As ACLs reflexivas ainda permitem que usurios legtimos enviem e recebam pacotes atravs do roteador, enquanto descartam
os pacotes provenientes de outros hosts, tais como pacotes vindos do hacker mostrado na Figura 6-9. Com as ACLs
reflexivas, quando o usurio da empresa cria uma nova sesso, o roteador percebe a nova sesso e registra os endereos IP
da fonte e do destino e as portas utilizadas para aquela sesso. A ACL reflexiva em R2 no permitiria a entrada de todo o
trfego da porta 80. Pelo contrrio, ela permitiria somente pacotes cujos endereos e portas combinassem com o pacote
original. Se o PC da direita, por exemplo, iniciasse uma sesso com o servidor Web legtimo, a porta fonte 1030, R2 permitiria
a entrada de pacotes vindos da Internet desde que tivessem seguintes caractersticas: endereo IP fonte 64.100.2.2, endereo
IP de destino 128.107.1.1, porta fonte 80, porta de destino 1030. Em conseqncia disso, somente os pacotes provenientes
da seo legtima tm a passagem permitida pelo roteador e os pacotes enviados pelo hacker so descartados.
As ACLs reflexivas requerem algumas configuraes adicionais bem como o uso da configurao de ACLs estendidas
nomeadas.
CCNA.ICND2
189
e ACLs dinmicas
As ACLs dinmicas resolvem um problema diferente que tambm no pode ser facilmente resolvido utilizando ACLs
e tradicionais. Imagine um conjunto de servidores que precisam ser acessados por um pequeno conjunto de usurios. Com
ACLs, voc pode combinar o endereo IP dos hosts utilizados pelos usurios. Entretanto, se o usurio pegar emprestado
outro PC, ou alugar um novo endereo utilizando DHCP, ou levar seu laptop para casa, e assim por diante, o usurio
legtimo passa a ter o endereo IP diferente. Portanto, uma ACL tradicional teria de ser editada para aceitar cada novo
endereo IP. Com o passar do tempo, seria um grande transtorno manter uma ACL que verificasse a existncia de todos
esses endereos IP. Alm disso, haveria a possibilidade de buracos na segurana quando os hosts de outros usurios
comeassem a usar um dos antigos endereos IP.
As ACLs dinmicas, tambm chamadas Lock-and-Key Security (algo como Segurana a Chave-e-Cadeado), resolvem
esse problema amarrando a ACL a um processo de autenticao do usurio. Em vez de comear tentando conectar-se
ao servidor, deve-se solicitar aos usurios que, primeiramente, eles se conectem ao roteador atravs da Telnet. O roteador
pede a combinao nome de usurio/senha. Se ela for autntica, o roteador altera sua ACL dinamicamente, permitindo a
entrada de trfego do endereo IP do host que acabou de enviar os pacotes para autenticao. Aps um perodo de
inatividade, o roteador remove a entrada dinmica feita na ACL, tapando o possvel buraco na segurana. A Figura 6-10
ilustra essa idia.
Figura 6-10 ACLs dinmicas
Usurios
Fred
Sarney
Hacker
64.100.1.1
Senhas
$36%12
995"#7
Empresa
Internet
CD Telnet
(3) Trfego do usurio
R2 ACL: Antes da autenticao

access-lIst 101 permlt any any eq telnet
access-lIst 101 deny any any
R2 ACL: Depois da autenticao

ccess-lIst 101 permlt host 64.100.2.2 any
access-lIst
perm
any any eq telnet
access-lIst 101 deny any any
O processo mostrado na figura comea com o roteador negando todo o trfego, exceto a Telnet. (Embora a figura mostre
uma ACL que permite a conexo atravs da Telnet a qualquer endereo IP, na prtica, o trfego Telnet s precisa ser
permitido em um endereo IP do roteador.) Para iniciar o processo, ocorrem os seguintes passos:
Passo 1 O usurio se conecta ao roteador utilizando Telnet.
Passo 2 O usurio fornece um nome de usurio/senha, que o roteador compara com uma lista, autenticando o usurio.
Passo 3 Aps a autenticao, o roteador acrescenta dinamicamente uma entrada ao incio da ACL, permitindo a
passagem de trfego cuja origem o host autenticado.
Passo 4 Pacotes enviados pelo host permitido passam pelo roteador at o servidor.
:1
ACLs baseadas em tempo
O termo ACL baseada em tempos se refere a um recurso das ACLs IP normais (numeradas e nomeadas) no qual pode
ser acrescentada uma restrio de tempo aos comandos de configurao. Em alguns casos, pode ser til combinar .
pacotes em uma ACL, mas apenas em certas horas do dia, ou at mesmo em determinados dias da semana. As ACLs .
baseadas em tempo permitem a incluso de restries de tempo, onde o lOS mantm ou remove as sentenas da ACL
durante as devidas horas do dia.
_
------------------------------. 1
- II
(;~~;~o
'. Ch.".
Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina .
A Tabela 6-8 relaciona esses tpicos-chave e os nmeros das pginas em que cada um encontrado.

Descrio
Nmero da pgina
----------------------------------------------------------- .
Figura 6-2
Diagrama da lgica mostrando quando

um roteador examina os pacotes com ACLs
de entrada e de sada
169
Quatro passos que descrevem como um

roteador processa uma ACL composta por
vrias linhas
171
------------------------------------------------------------- .
Lista
----------------------------------------------------------- .
Tabela 6-2
Explica modelos de mscaras curinga e seus

significados
170-171
---------------------------------------------------------- .
Lista
Atalho para encontrar valores no comando

access-list para combinar com um nmero de
sub-rede, dados o nmero de sub-rede e a
mscara de sub-rede
171
------------------------------------------------------------- Lista
Atalho para interpretar o endereo e a mscara

curinga em um comando access-list como um
__________________________________n__m_e_r_o_e__
um
__a_m
__
s_c_ar_a__
de__su_b_-_re_d_e________________l_7_2_______
Lista
Lista de verificao de configurao e do

planejamento da ACL
176
---------------------------------------------------------- .
Tabela 6-3
Lista de campos de pacotes IP combinveis

com ACLs padro e estendidas
177
Dicas e sugestes sobre combinao de

portas TCP e UDP usando ACLs IP
178
------------------------------------------------------- .
Lista
---------------------------------------------------------- .
Figura 6-6
Mostra um pacote com a porta da origem e do

destino, com a localizao correspondente do
parmetro da porta fonte no comando
_________________________________a_c_c_es_s_-_Ii_st_________________________________
17_9_______
Trs itens que diferem entre ACLs IP padro
Lista
________________________________e_e_st_e_ndi__d_a_______________________________l_7_9______ ..
CCNA ICND2
Tabela6-7
Lista
Lista
Lista de operadores que podem ser usados ao

comparar nmeros de portas em comandos
access-list estendidos
179
Recursos para ACLs numeradas e nomeadas

fornecidos pelos nmeros de seqncia das
ACLs
184
Lista de prticas ideias sugeridas para ACLs

de acordo com os cursos Cisco CCNA autorizados
187
191

Imprima uma cpia do Apndice J, ''Tabelas de memria", ou pelo menos a seo referente a este captulo e complete as
Leia os cenrios do Apndice F

O Apndice F - disponvel no idioma original no site da editora: www.altabooks.com.br-. "Additional Scenarios", contm
cinco cenrios detalhados que do a voc a chance de analisar diversos projetos, problemas e resultados de comandos
mostrando-lhe como os conceitos de vrios captulos esto inter-relacionados. O Cenrio 3 concentra-se em ACLs IP
incluindo prticas sobre como escolher mscaras curinga de ACLs que combinem com todos os hosts de uma sub-rede.
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: ACL dinmica,
ACL reflexive, lista de acesso estendida, lista de acesso nomeada, lista de acesso padro, mscara curinga

comando.
Comando
Descrio
access-list access-list-number {deny I permit }source

[sou rce-wildcard] [log]
Comando global para listas de acesso padro numeradas

Use um nmero entre 1 e 99 ou 1300 e 1999, inclusive
access-list access-list-number {deny I permit }protocol

source source-wildcard destination destination-wildcard
[log]
Comando global para listas de acesso estendidas

numeradas. Use um nmero entre 100 e 199 ou
2000 e 2699, inclusive
access-list access-list-number {deny I permit}tcp source

source-wildcard [operator [port]] destination destinationwildcard [operator [port]] [log]
Verso do comando access-list com parmetros

TCP especficos
access-list access-list-number remark text
Defrne um comentrio que ajuda voc a se lembrar

do que a ACL supostamente deve fazer.
ip access-group {number I name [in I out]}
Subcomando de interface para ativar listas de acesso

access-c1ass number I name [in I out]
Subcomando de linha para ativar listas de acesso padro ou

estendida
ip access-list {standard I extended} name
Comando global para configurar umaACL estendida ou padro

nomeada e entrar no modo de configurao ACL
{deny I permit} source [source-wildcard] [log]
Subcomando do modo ACL para configurar os detalhes de

combinao e a ao para uma ACL padro nomeada
{deny I permit} protocol source source-wildcard

destination destination-wildcard [log]
Subcomando do modo ACL para configurar os detalhes

de combinao e a ao para uma ACL estendida nomeada
{deny I permit} tcp source source-wildcard

[operator [port]] destination destination-wildcard
[operator [port]] [log]
Subcomando do modo ACL para configurar os

detalhes de combinao e a ao para uma ACL nomeada
que combina com segmentos TCP
remark text
Subcomando do modo ACL para configurar uma

descrio de uma ACL nomeada

Comando
Descrio
show ip interface [type number]
Inclui uma referncia s listas de acesso ativadas na interface
show access-lists [access-list-number

access-list-name]
Mostra detalhes de listas de acesso configuradas para todos os protocolos
CCNA ICND2
193

seguintes assuntos:
Os comandos ping e traceroute: esta seo explica como
os comandos ping e traceroute funcionam, junto com as
variaes de como eles podem ser usados para melhor
resolver problemas relativos a roteamento.
Resolvendo problemas relativos ao processo de

encaminhamento de pacotes: esta seo examina o
processo de encaminhamento de pacotes, concentrando
no roteamento de hosts e como os roteadores direcionam
pacotes. Alm disso, so abordadas questes relacionadas
ao encaminhamento de pacotes em ambos os sentidos.entre
dois hosts.
Ferramentas e dicas para resoluo de problemas: esta
seo aborda uma grande variedade de tpicos que
influenciam o processo de encaminhamento de pacotes.
Inclui vrias dicas sobre vrios comandos e conceitos que
podem auxiliar o processo de resoluo de problemas.
: Resolvendo problemas de roteamento IP
CAPTULO
e _____________________________________________________
Este captulo voltado para a resoluo de problemas tem vrios objetivos. Primeiro, ele explica vrias ferramentas e
funes no abordadas desde o Captulo 4 at o Captulo 6 - especificamente, ferramentas que podem ser bastante teis
quando voc estiver analisando problemas. Este captulo tambm revisa conceitos de todos os outros trs captulos da
Parte n, "Roteamento IP", unindo-os e apresentando uma sugesto de processo para resoluo de problemas relativos a
roteamento, bem como exemplos de como utilizar o processo. A segunda metade do captulo se concentra em uma srie
de dicas para resoluo de problemas para vrios tpicos especficos abordados desde o Captulo 4 at o Captulo 6.

:
Os captulos voltados para a resoluo de problemas deste livro unem conceitos de vrios outros captulos, incluindo
alguns captulos do CCENT/CCNA ICNDJ Guia Oficial de Certificao do Exame. Alm disso, eles tambm mostram
como abordar algumas das questes mais desafiantes nos exames CCNA. Por isso, vale a pena ler estes captulos
independentemente do seu nvel de conhecimento atual. Por essas razes, os captulos voltados para a resoluo de
problemas no incluem o questionrio "Eu j conheo isto?". Entretanto, se voc se sentir suficientemente confiante em
relao resoluo de problemas relativos aos recursos de roteamento IP abordados neste captulo e no CCENT/CCNA
ICND 1 Guia Oficial de Certificao do Exame, sinta-se vontade de passar direto para a seo "Atividades de Preparao
para o Exame", prxima ao [mal deste captulo, saltando assim boa parte do captulo.
- T'
.
OplCOS f un damentals
Este captulo se concentra na resoluo de problemas relativos ao processo de roteamento IP. Com essa finalidade, ele
comea com uma seo sobre duas ferramentas importantes na resoluo de problemas: o ping e o traceroute. Em
seguida, o captulo examina o processo de roteamento IP a partir de uma perspectiva de resoluo de problemas,
concentrando, principalmente, em como isolar problemas de roteamento para identificar a causa geradora do problema.
A seo final aborda uma grande variedade de pequenos tpicos, todos os quais podem ser teis quando voc estiver
resolvendo problemas relativos a roteamento IP.
Observao Este captulo e o Captulo 15 do CCENT/CCNA ICNDI Guia Oficial de

Certificao do Exame explicam detalhes de como resolver problemas relativos ao processo
de roteamento IP. O roteamento IP extremamente importante tanto no exame ICNDl quanto
no ICND2, bem como no exame CCNA, havendo assim uma sobreposio entre os exames,
acarretando uma sobreposio nos livros. Entretanto, este captulo aborda vrios tpicos que
vo alm dos detalhes exigidos pelo exame ICND1. Para estar totalmente preparado, leia
todo o captulo, mas sinta-se vontade para passar de forma mais superficial pelas partes do
captulo que lhe paream repetitivas com relao ao livro ICND1.
: Os comandos ping e traceroute
Esta seo examina o processo sugerido de resoluo de problemas de roteamento IP - em outras palavras, o processo
do plano de dados de como hosts e roteadores encaminham pacotes IP. Com essa finalidade, esta seo examina,
primeiramente, um conjunto de ferramentas e protocolos teis - de modo especial, o ICMP, o ping e o traceroute. Em
seguida, o texto sugere um bom processo geral para resoluo de problemas relativos a IP, com alguns exemplos para
mostrar como usar os processos.
196 Captulo 7: Resolvendo problemas de roteamento IP
ICMP (Internet Control Message Protocol, ou Protocolo de Mensagem de

Controle da Internet)
o TCPIIP inclui o ICMP, um protocolo elaborado para ajudar a gerenciar e controlar a operao de uma rede TCPIIP. O
protocolo ICMP oferece uma grande variedade de informaes sobre o status operacional e a sade de uma rede. A
Mensagem de Controle a parte mais descritiva do nome. O ICMP ajuda a controlar e gerenciar o trabalho do IP
definindo um conjunto de mensagens e procedimentos sobre a operao do IP. Por isso, o ICMP considerado parte da
camada de rede TCPIIP. Como o ICMP ajuda a controlar o IP, ele pode proporcionar informaes teis para a resoluo
de problemas. Na verdade, as mensagens ICMP ficam dentro de um pacote IP, sem nenhum cabealho de camada de
transporte; portanto, o ICMP realmente uma extenso da camada de rede TCPIIP.
A RFC 792 define o ICMP. O seguinte trecho extrado da RFC 792 descreve bem o protocolo:
Ocasionalmente uma porta de comunicao (roteador) ou o host de destino vo se comunicar com um host da
fonte, por exemplo, para relatar um erro ocorrido no processamento do datagrama. Para tais fins, utiliza-se este
protocolo, o ICMP (Internet Control Message Protocol)o O ICMP utiliza o suporte bsico do IP como se ele fosse
um protocolo de nvel mais alto; no entanto, o ICMP na verdade uma parte integral do IP e deve ser implementado
por todos os mdulos IP.
.
.
O ICMP define vrios tipos diferentes de mensagens para realizar suas diversas tarefas, conforme resumidas na Tabela :
7-1.
(~~~;~o
\~h_
Tabela 7-1 Tipos de mensagens ICMP

Mensagem
Descrio
--------------------------------------------------------------- .
Destino Inalcanvel
Diz ao host da origem que h um problema na entrega do pacote
--------------------------------------------------------------- .
Tempo Excedido
O tempo que um pacote leva para ser entregue expirou e, por isso, o
pacote foi descartado
Redirecionar
O roteador que envia a mensagem recebeu um pacote para o qual outro

roteador possui uma rota melhor.
A mensagem diz ao remetente para usar a melhor rota
Echo Request, Echo Reply
Utilizadas pelo comando ping para verificar a conectividade
-------------------------------------------------------- .
O comando ping e as mensagens Echo Request e Echo Reply do ICMP
o comando ping utiliza as mensagens Echo Request e Echo Reply do ICMP. Na verdade, quando as pessoas dizem que
enviaram um pacote ping, elas realmente querem dizer que enviaram uma Echo Request ICMP. Essas duas mensagens
so relativamente auto-explicativas. A Echo Request simplesmente significa que o host para o qual ela est endereada
deve responder ao pacote. A Echo Reply o tipo de mensagem ICMP que deve ser usada na resposta. A Echo Request
inclui alguns dados que podem ser especificados pelo comando ping; sejam quais forem os dados enviados na Echo
Request eles so enviados de volta na Echo Reply.
O prprio comando ping oferece vrias formas criativas de utilizar as Echo Requests e Echo Replies. O comando ping,
por exemplo, permite especificar o comprimento bem como os endereos da fonte e do destino, e permite tambm definir
outros campos do cabealho IP. O Captulo 4, "Roteamento IP: Rotas estticas e conectadas", mostra um exemplo do
comando ping estendido apresentando as vrias opes.
A mensagem ICMP de Destino Inalcanvel
Este livro se concentra em IP. Mas, se voc olhar de forma mais ampla, a funo do conjunto inteiro de protocolos TCP/
IP entregar dados do aplicativo de envio para o aplicativo de recebimento. Hosts e roteadores enviam mensagens
ICMP de Destino Inalcanvel de volta ao host de envio quando aquele host ou roteador no consegue entregar os dados
por completo ao aplicativo no host de destino.
CCNA ICND2
197
Para auxiliar a resoluo de problemas, a mensagem ICMP Inalcanvel inclui cinco funes inalcanveis separadas
(cdigos) que identificam ainda mais a razo pela qual o pacote no pode ser entregue. Todos os cinco tipos de cdigo
pertencem diretamente a um recurso IP, TCP ou UDP.
A inter-rede mostrada na Figura 7-1, por exemplo, pode ser utilizada para melhor entender alguns dos cdigos Inalcanveis.
Considere que Fred esteja tentando conectar-se ao servidor Web, chamado Web. (Web utiliza HTTP, que, por sua vez,
utiliza TCP como protocolo de camada de transporte.) Trs dos cdigos ICMP inalcanveis podem ser usados pelos
Roteadores A e B. Os outros dois cdigos so usados pelo servidor Web. Esses cdigos ICMP so enviados a Fred em
conseqncia do pacote originalmente enviado por Fred.
Figura 7-1 Modelo de rede para discutir os cdigos ICMP Inalcanveis

10.1 .1.0/24
10.1.2.0/24
A Tabela 7-2 resume os cdigos ICMP inalcanveis mais comuns. Aps a tabela, o texto explica como cada cdigo
ICMP pode ser necessrio rede mostrada na Figura 7-1.
Tabela 7-2 Cdigos ICMP inalcanveis
Cdigo in alcanvel
Quando ele usado
Rede inalcanvel
No h nenhuma combinao
em uma tabela de roteamento
para o destino do pacote
Roteador
O pacote pode ser direcionado

para um roteador conectado
sub-rede de destino, mas o host
no est respondendo
Roteador
O pacote tem o bit Don 't

Fragment (No Fragmentar)
definido e um roteador deve
fragmentar para encaminhar o
pacote
Roteador
O pacote entregue ao host de

destino mas o protocolo de
camada de transporte no est
disponvel naquele host
Host
O pacote entregue ao host de

destino mas a porta de destino
no foi aberta por um aplicativo
Host
10.1.3.0/24
Web
Fred
10.1 .2.14
Quem normalmente o envia
. ------------------------------------------------------------
Host inalcanvel
No pode fragmentar
e -------------------------------------------------------
e.
Protocolo inalcanvel
Porta inalcanvel
A lista a seguir explica em mais detalhe cada cdigo da Tabela 7-2 utilizando a rede da Figura 7-1 como exemplo:
- Rede inalcanvel: o Roteador A utiliza esse cdigo se no houver uma rota que lhe diga para onde encaminhar o
pacote. Neste caso, o Roteador A precisa direcionar o pacote para a sub-rede 10.1.2.0/24. Se no for possvel, o
Roteador A envia a Fred a mensagem ICMP de Destino Inalcanvel com o cdigo "rede inalcanvel" em
resposta ao pacote de Fred destinado a 10.1.2.14.
- Host inalcanvel: este cdigo indica que o nico host de destino no est disponvel. Se o Roteador A tiver uma .
rota at 10.1.2.0/24, o pacote entregue ao Roteador B. Se a interface de LAN do Roteador B estiver funcionando,
B tambm tem uma rota conectada a 10.1.2.0/24 e, portanto, B tenta utilizar a ARP e aprender o endereo MAC
do servidor Web. Entretanto, se o servidor Web estiver inativo, o Roteador B no recebe uma resposta ARP da
Web. O Roteador B envia a Fred a mensagem ICMP de Destino Inalcanvel com o cdigo "host inalcanvel",
significando que B possui uma rota mas no pode encaminhar o pacote diretamente a 10.1.2.14.
- No pode fragmentar: este cdigo o ltimo dos trs cdigos ICMP inalcanveis que um roteador pode enviar. A
fragmentao defme o processo no qual um roteador precisa encaminhar um pacote, mas a interface de sada s
permite pacotes que sejam menores que aquele pacote. O roteador tem permisso de fragmentar o pacote em
pedaos, mas o cabealho do pacote pode ser definido com o bit "No Fragmentar" no cabealho IP. Neste caso,
se os Roteadores A ou B precisarem fragmentar o pacote, mas, se o bit No Fragmentar estiver defrnido no
cabealho IP, o roteador descarta o pacote e envia a Fred uma mensagem ICMP de Destino Inalcanvel com o
cdigo "no pode fragmentar".
- Protocolo inaicanvel: se o pacote chegar com sucesso ao servidor Web, dois outros cdigos inalcanveis so
possveis. Um indica que o protocolo IP, normalmente o TCP oU o UDP, no est funcionando naquele host. Isso
muito improvvel, pois a maioria dos sistemas operacionais que utilizam TCPIIP usam um nico pacote de software
que fornece as funes IP, TCP e UDP. Mas, se o host receber o pacote IP e o TCP oU o UDP no estiverem
disponveis, o host do servidor Web envia a Fred uma mensagem ICMP de Destino o com o cdigo "protocolo
inalcanvel" em resposta ao pacote de Fred destinado a 10.1.2.14.
.
.
- Porta inalcanvel: esse ltimo valor do campo de cdigos mais provvel hoje em dia. Se o servidor, ou seja, o
computador, estiver ativo e funcionando perfeitamente, mas o software do servidor Web no estiver sendo executado,
o pacote pode chegar a um servidor mas no pode ser entregue ao software do servidor Web. Na verdade, o
servidor no est escutando a porta conhecida daquele protocolo do aplicativo. Portanto, o host 10.1.2.14 envia a
Fred a mensagem ICMP de Destino Inalcanvel com o cdigo "porta inalcanvel" em resposta ao pacote de
Fred destinado a 10.1.2.14.
------------------~--------------~----~~-----.
Observao A maioria das polticas de segurana atualmente mtra essas vrias mensagens
inaicanveis para ajudar a sustentar o perfIl de segurana da rede.
----~~~~--------~----~--~-----------------
O comando ping lista vrias respostas que, em alguns casos, indicam que uma mensagem ina1canvel foi recebida. A
Tabela 7-3 apresenta os vrios cdigos inalcanveis que podem ser exibidos pelo comando ping do Software Cisco .
lOS.
Descrio
Echo Reply do ICMP recebida
Tabela 7-3 Cdigos que o comando ping recebe em resposta sua Echo Request do [CMP
Cdigo do comando ping
------------------------------------------------------------- .
_________________________N_a_d_a_f_o_i_re_c_e_b_id_o_an
__t_es__d_e_o_t_e_m_p_o_d_o__c_o_m_an
__d_o_p_in
__
g_t_er_e_s_g_o_ta_d_0___ -
ICMP de (destino) inalcanvel recebida
ICMP de (rede/sub-rede) inalcanvel recebida
---------------------------------------------------------- .
A mensagem ICMP de Redirecionar
A mensagem ICMP de Redirecionar fornece uma maneira atravs da qual os roteadores podem dizer aos hosts para
utilizarem outro roteador como porta de comunicao padro para certos endereos de destino. A maioria dos hosts utiliza
o conceito de um endereo IP do roteador padro, enviando pacotes destinados a sub-redes para o seu roteador padro.
Entretanto, se vrios roteadores se conectarem mesma sub-rede, a porta de comunicao padro do host pode no ser o
_M_________________________________M
__e_n_sa_g_e_m__
IC_MP
____
de__N__o_F_r_a_gm
__e_n_tar
__r_ec_e_b_id_a_________________ . .
?
Pacote desconhecido recebido
'.
CCNA ICND2
199
melhor roteador naquela sub-rede para o qual encaminhar pacotes enviados a alguns destinos. A porta de comunicao
padro pode reconhecer que um roteador diferente seja a melhor opo. Em seguida, ela pode enviar mensagens ICMP de
redirecionamento ao host dizendo-lhe que envie os pacotes destinados quele endereo de destino a esse roteador diferente.
Na Figura 7-2, por exemplo, o PC utiliza o Roteador B como seu roteador padro. No entanto, a rota do Roteador A at
a sub-rede 10.1.4.0 a melhor rota. (Considere o uso da mscara 255.255.255.0 em cada sub-rede da Figura 7- 2.) O PC
envia um pacote ao Roteador B (Passo 1 da Figura 7- 2). O Roteador B tenta encaminhar o pacote com base em sua
prpria tabela de roteamento (Passo 2); aquela rota aponta para o Roteador A, que possui a melhor rota. Finalmente, o
Roteador B envia a mensagem ICMP de redirecionamento ao PC (Passo 3), dizendo-lhe para encaminhar futuros
pacotes destinados a 10.1.4.0 para o Roteador A. Ironicamente, o host pode ignorar o redirecionamento e continuar
enviando os pacotes para o Roteador B, mas neste exemplo, o PC acredita na mensagem de redirecionamento, enviando
seu prximo pacote (passo 4) diretamente ao Roteador A.
A mensagem ICMP de Tempo Excedido

A mensagem ICMP de Tempo Excedido notifica o host quando um pacote enviado por ele foi descartado por estar "fora
da hora". Os pacotes na verdade no so cronometrados, mas para evitar que eles sejam encaminhados indefinidamente
quando h um loop de roteamento, cada cabealho IP utiliza um campo TIL (Time to Live, ou Tempo de Vida). Os
roteadores diminuem o TIL em 1 todas as vezes que encaminham um pacote; se um roteador diminuir o TIL para O, ele
joga o pacote fora . Isso evita que os pacotes fiquem rodando indefinidamente. A Figura 7-3 mostra o processo bsico.
Figura 7-2 ICMP Redirecionar

S
..., ~ ', !',acote 1

\
__ /<.,
---- -- --
",'"
' '"
G),,"'" /~O,f
'" ~'lJ.v
//
....
'"
.,-
.. - - -- CMP Redirecionar
-Utilizar Roteador A
Host
Figura 7-3 ITL Decrementar para O
(;~~;~
Sarney
Fred
,. Ch.ve
....
10.1 .3.254
10.1.3.253
/
TIL = 5
10.1.2.14
TIL=4
TIL=3
TIL=2
TIL = 1
TIL menos 1 igual a O!
Pare!
Descartar pacote.
ICMP Tempo Excedido

TIL Excedido
Como pode ser visto na figura, o roteador que descarta o pacote tambm envia uma mensagem ICMP de Tempo Excedido,
com um campo de cdigo "tempo excedido", ao host que enviou o pacote. Dessa maneira, o remetente sabe que o pacote no
foi entregue. Receber uma mensagem de Tempo Excedido tambm pode ajud-lo quando estiver resolvendo problemas em
uma rede. Tomara que voc no receba muitas dessas mensagens; do contrrio, significa que existem problemas de roteamento.
o comando traceroute
o comando ping uma poderosa ferramenta de resoluo de problemas que pode ser utilizada para responder pergunta
"A rota que vai daqui para l funciona?" O comando traceroute oferece uma ferramenta possivelmente melhor para
resoluo de problemas, pois ela no s pode determinar se a rota funciona mas tambm pode fornecer o endereo IP de
cada roteador da rota. Se a rota no estiver funcionando, o traceroute pode identificar os melhores lugares por onde
comear a resolver os problemas.
O comando do lOS traceroute utiliza a mensagem de Tempo Excedido e o campo TIL IP para identificar cada
roteador sucessivo de uma rota. O comando traceroute envia um conjunto de mensagens com valores TIL crescentes,
comeando com 1. O comando traceroute espera que essas mensagens sejam descartadas quando os roteadores
diminuem o TTL para 0, retomando as mensagens de Tempo Excedido para o comando traceroute. Os endereos IP
origem das mensagens de Tempo Excedido identificam os roteadores que descartaram as mensagens, que podem
ento ser exibidas pelo comando traceroute.
Para ver como esse comando funciona, considere o primeiro conjunto de pacotes (trs pacotes de acordo com o padro)
enviados pelo comando traceroute. Os pacotes so pacotes IP, com a camada de transporte UDP e com o TIL definido
em 1. Quando os pacotes chegam ao prximo roteador, o roteador diminui o TIL para em cada pacote, descarta o
pacote e envia uma mensagem de Tempo Excedido de volta ao host que enviou o pacote descartado. O comando
traceroute olha o endereo IP fonte do primeiro roteador no pacote de Tempo Excedido recebido.
Em seguida, o comando traceroute envia outro conjunto de trs pacotes IP, dessa vez com o TIL = 2. O primeiro
roteador diminui o TIL para 1 e encaminha os pacotes, enquanto o segundo roteador diminui o TIL para e descarta os
pacotes. Esse segundo roteador envia as mensagens de Tempo Excedido de volta ao roteador onde o comando traceroute
foi usado, e o comando traceroute agora conhece o segundo roteador da rota.
O comando traceroute sabe quando os pacotes de teste chegam ao host de destino porque o host envia de volta
uma mensagem ICMP de Porta Ina1canvel. Os pacotes originais enviados pelo comando lOS traceroute
utilizam um nmero de porta de destino UDP muito pouco provvel de ser usado no host de destino; portanto,
assim que o TTL fica alto o suficiente para permitir que o pacote chegue ao host de destino, o host percebe que
ele no tem um aplicativo escutando aquela porta UDP especfica. Portanto, o host de destino retoma uma
mensagem de Porta Ina1canvel, que diz ao comando traceroute que a rota completa foi encontrada, e o
comando ento pode parar.
A Figura 7-4 mostra um exemplo, mas com apenas uma das trs mensagens em cada definio do TIL (para evitar
confuso). O Roteador A utiliza o comando traceroute para tentar encontrar a rota at Bamey. O Exemplo 7-1 mostra
esse comando traceroute no Roteador A, com mensagens debug do Roteador B, mostrando as trs mensagens de
Tempo Excedido resultantes.
Figura 7-4 Comando traceroute do Software Cisco lOS: mensagens geradas
trace 10.1.2.14
Fred
10.1.3.254
10.1.3.253
/~~~;;,.,
\ Ch.".
".
Porta de destino randomizada
--.J
Porta de destino randomizada
ICMP Porta Inalcanvel
--.J
ICMP Porta Inalcanvel
CCNA ICND2
201
Exemplo 7-1 debug [eMP no Roteador B quando o comando traceroute est sendo executado no Roteador A
RouterA#traceroute 10.1.2.14
Tracing the route to 10.1.2.14
1 10.1.3.253 8 msec 4 msec 4 msec
2 10.1.2.14 12 msec 8 msec 4 msec
RouterA#
! Moving to Router B now
! The following output occurs in reaction to the traceroute command on A
RouterB#debug ip icmp
RouterB#
ICMP: time exceeded (time to live) sent to 10.1.3.254 (dest was 10.1.2.14)
o comando traceroute apresenta o endereo IP do Roteador B na primeira linha e o endereo IP do host de destino na
segunda linha. Observe que ele apresenta o endereo IP esquerdo do Roteador B. B responde com a mensagem de
Tempo Excedido, utilizando o endereo IP da interface de sada de B como o endereo fonte daquele pacote. Em
conseqncia disso, o comando traceroute apresenta aquele endereo IP. Se o endereo for conhecido de um servidor
DNS, ou se ele estiver na tabela de hostnames do Roteador A, o comando pode listar o hostname em vez do endereo IP.
Semelhante ao comando ping estendido conforme descrito na seo intitulada "O Comando ping Estendido", no Captulo 4,
a verso estendida do comando traceroute realiza um trabalho muito melhor de simular pacotes enviados por hosts do
usurio final, principalmente para testar rotas inversas. No Exemplo 7-1, o comando traceroute de A usa o endereo IP
10.1.3.254 de A como endereo origem dos pacotes enviados, pois A utiliza a interface com o endereo 10.1.3.254 para
enviar os pacotes gerados pelo comando traceroute. Portanto, o comando traceroute no Exemplo 7-1 testa a rota de
encaminhamento em direo a 10.1.2.14 e a rota inversa at 10.1.3.254. Ao utilizar o comando traceroute estendido, o
comando pode ser usado para testar uma rota inversa mais adequada, tal como a rota at a sub-rede LAN no lado esquerdo
do Roteador A. O Exemplo 7-2, mais adiante neste captulo, mostra um exemplo do comando traceroute estendido.
Observao O comando tracert nos sistemas operacionais Microsoft funciona de forma bem
parecida ao comando do lOS traceroute. No entanto, importante observar que o comando
Microsoft tracert envia Echo Requests ICMP e no usa UDP. Portanto, as ACLs IP poderiam
fazer com que o lOS traceroute falhasse enquanto o Microsoft tracert funcionasse, e vice-versa.
: Resolvendo problemas relativos ao processo de

encaminhamento de pacotes
A resoluo de problemas no processo de roteamento IP uma das tarefas mais complexas enfrentadas pelos engenheiros
de rede. Como de costume, utilizar uma abordagem estruturada pode ajudar. O Captulo 4, de modo especial, bem como os
Captulos 5 e 6, j explicaram bastante sobre a primeira parte do processo de resoluo de problemas, isto , o que deve
acontecer em uma rede. Esta seo se concentra no segundo passo: o isolamento do problema. (para obter uma referncia
mais geral sobre tcnicas de resoluo de problemas, reflIa-se ao Captulo 3, "Resolvendo problemas de LAN Switching".)
Observao Este captulo deixa qualquer resoluo detalhada de problema em relao a protocolos
de roteamento para o Captulo 11, ''Resolvendo problemas de protocolos de roteamento".
Isolando problemas de roteamento IP relacionados a hosts

O processo de resoluo de problemas apresentado neste captulo separa os passos da resoluo - uma parte para os
hosts e outra para os roteadores. Em essncia, para qualquer problema em que dois hosts no possam se comunicar, a

primeira parte desse processo de resoluo de problemas examina as questes que podem causar impacto na capacidade
de cada host enviar pacotes para e a partir de seu respectivo gateway padro. A segunda parte isola problemas relacionados
a como os roteadores encaminham pacotes.
A lista a seguir apresenta os passos para resoluo de problemas concentrando-se em testar a conectividade do host ao
primeiro roteador:
Passo 1 Verifique a capacidade do host de enviar pacotes dentro de sua prpria sub-rede. Identifique o endereo IP da
/;~;~o porta de comunicao padro do host com o ping a partir do host ou o endereo IP do host a partir da porta de
\~ve comunicao padro. Se o ping falhar, faa o seguinte:
a. Certifique-se de que a interface do roteador utilizada como gateway padro esteja em estado ''up and up" (ativo e
em perfeito funcionamento).
b. Verifique o endereo IP do host da fonte e a definio da mscara em comparao com a interface do roteador
utilizada como gateway padro. Certifique-se de que ambas concordam com o nmero e a mscara de sub-rede e,
por conseguinte, concordam com o intervalo de endereos vlidos na sub-rede.
c. Se o roteador utilizar trunking de VLANs, resolva qualquer questo relativa configurao do trunk, certificandose de que o roteador esteja configurado para aceitar a mesma VLAN na qual o host reside.
d. Se os outros passos no levarem a uma soluo, investigue problemas na Camada 1/2 com a LAN, conforme
abordado no Captulo 3. Por exemplo, procure uma VLAN indefinida.
Passo 2 Verifique a definio do gateway padro no host identificando, atravs do ping, um dos outros endereos IP
de interface do roteador padro. Ou, a partir do roteador padro, utilize um ping estendido do endereo IP do host
com um endereo fonte de uma outra interface do roteador.
Na Figura 7-5, por exemplo, os sintomas do problema podem ser que PCl no consiga navegar no servidor Web em PC4.
Para testar a capacidade de PCl enviar pacotes pela sua sub-rede local, PCl poderia usar o comando ping 10.1.1.1
para testar a conectividade at o roteador padro em sua mesma sub-rede. Ou o engenheiro poderia simplesmente usar
o ping 10.1.1.10 a partir de RI (Passo 1). Qualquer um dos locais do ping funciona bem, porque ambos os locais do ping
requerem que o pacote seja enviado em cada sentido. Se o ping falhar, um isolamento maior do problema deve desvendar
as duas reas especficas do problema apresentadas nos Passos IA, lB e le. Se no, o problema provavelmente um
problema de Camada 1 ou 2, conforme discutido no Captulo 3.
Figura 7-5 Modelo de rede para resoluo de cenrios de problemas

Default Gateway
10.1.1.1
PC1
5010/1
10.1.13.3
172.16.1.3
10.1.0.10
PC4
O Passo 2 destaca um conceito de resoluo de problemas geralmente despercebido para verificar se a definio do
gateway padro est funcionando. Nenhuma das opes ping apresentadas no Passo 1 requer que o host utilize sua
definio de porta de comunicao padro, pois o endereo da fonte e do destino de cada pacote esto na mesma subrede. O Passo 2 fora o host a enviar um pacote a um endereo IP em outra sub-rede, testando assim a definio da porta
de comunicao padro do host. Alm disso, ao identificar o endereo IP atravs do ping na porta de comunicao
CCNA ICND2
203
(roteador) padro, em vez de ir a algum endereo IP de um host distante, esse passo retira do teste boa parte da
complexidade do roteamento IP. Em vez disso, o foco passa a ser se a definio da porta de comunicao padro do host
funciona. Na Figura 7-5, por exemplo, um comando ping 10.1.13.1 em PCl fora PCl a utilizar sua definio da porta
de comunicao padro porque 10.1.13.1 no est na sub-rede (10.1.1.0/24) de PC 1. Mas o endereo IP est no roteador
RI, que remove a maior parte do restante da rede como sendo uma possvel causa caso o ping venha a falhar.
: Isolando problemas de roteamento IP relacionados a roteadores
Quando o processo de isolamento de um problema no host est concludo, e todos os pings funcionam, tanto no host de envio
quanto no de recebimento, qualquer questo remanescente sobre o roteamento IP deve estar entre o primeiro e o ltimo
roteador tanto na rota avante quanto na rota inversa entre os dois hosts. A lista a seguir escolhe o processo de resoluo de
problemas como o gateway/roteador padro do host da fonte, com base no comando traceroute do roteador. (Observe que
o comando equivalente do host, como o tracert nos sistemas operacionais Microsoft, tambm pode ser utilizado.)
Observao Embora a lista a seguir possa ser til para referncia, ela um pouco extensa.
No fique preso a detalhes, mas leia os exemplos de seu uso logo aps a lista, pois eles
devero esclarecer vrios passos. Como de costume, no necessrio memorizar nenhum
processo de resoluo de problema aqui apresentado. Eles tm o objetivo de ser ferramentas
de aprendizado para ajud-lo a construir seu conhecimento.
Passo 3 Teste a conectividade at o host de destino usando o comando traceroute estendido na porta de comunical .. ..
: T6plco
\~
o padro do bost, utilizando a interface do roteador anexada ao host fonte para o endereo IP fonte dos pacotes.
Se o comando for concludo com sucesso:
a. No existe nenhum problema de roteamento nos sentidos da rota avante ou da rota inversa.
b. Se o trfego do usurio final ainda assim no funcionar (muito embora o traceroute tenha funcionado), resolva
qualquer problema existente em ACLs em cada interface de cada roteador da rota, em ambos os sentidos.
Passo 4 Se o comando traceroute no Passo 3 no for concludo, teste a rota avante da seguinte forma:
a. Use o telnet at o ltimo roteador rastreado (o ltimo roteador apresentado no comando traceroute).
b. Encontre a rota daquele roteador que combina com o endereo IP de destino utilizado no comando traceroute
original (show ip route, show ip route ip-address).
c. Se no for encontrada nenhuma rota de combinao, investigue por que a rota esperada est faltando. Normalmente,
esta uma questo de protocolo de roteamento ou um erro de configurao da rota esttica. Pode tambm estar
relacionado a uma rota conectada ausente.
d. Se for encontrada uma rota de combinao, e a rota for a rota padro, confirme que ela ser usada com base na
definio para os comandos ip classless/no ip classless.
e. Se for encontrada uma rota de combinao, use o ping para o prximo endereo IP de parada apresentado na rota.
Ou, se a rota for uma rota conectada, utilize o ping para o verdadeiro endereo IP de destino.
Se o ping falhar, investigue problemas de Camada 2 entre esse roteador e o endereo IP que foi identificado atravs
do ping e investigue possveis problemas em ACLs.
Se o ping funcionar, investigue problemas relacionados s ACLs.
f. Se for encontrada uma rota de combinao, e no for encontrado nenhum outro problema, confirme se a rota no
est apontando erroneamente no sentido errado.
Passo 5 Se o Passo 4 no identificar nenhum problema na rota avante, teste a rota inversa:
a. Se a rota avante do ltimo roteador rastreado se referir a outro roteador como sendo o roteador da prxima parada,
repita os subpassos do Passo 3 a partir daquele roteador. Analise a rota inversa, ou seja, a rota para alcanar o
endereo IP fonte usado pelo comando traceroute que falhou.
b. Se a rota avante do ltimo roteador rastreado se referir a uma sub-rede conectada, verifique as definies IP do
host de destino. Principalmente, confirme as definies do endereo IP, da mscara e da porta de comunicao
padro.

Se, por exemplo, PCl no puder se comunicar com PC 4 na Figura 7-5, e os hosts puderem se comunicar atravs de suas
respectivas portas de comunicao padro, o Passo 3 do processo de isolamento de problemas orientado a roteadores
poderia comear com um traceroute 172.16.2.7, utilizando o endereo IP FaO/O (10.1.1.1) de RI como endereo IP
fonte. Se o comando traceroute apresentar 10.1.13.3 como o ltimo endereo IP no resultado do comando, em vez de
concluir, voc comearia o Passo 4, que examina a rota avante de R3 em direo a 172.16.2.7. Se a anlise do Passo 4
no desvendar o problema, o Passo 5 passaria ento para o prximo roteador, neste caso, R4, e examinaria a rota inversa
de R4, ou seja, sua rota de volta ao endereo fonte original 10.1.1.1.
A seguir, dois cenrios separados mostram como utilizar esses passos para resoluo de problemas e isolar alguns
modelos de situaes problemticas.
Resoluo de problemas: Cenrio 1: Problema relativo rota avante
o primeiro exemplo do processo de resoluo de problemas de roteadores utiliza a mesma inter-rede mostrada na Figura
7-5. Neste caso, PCl no consegue usar um navegador Web para conectar-se ao Servio Web em PC4. Aps uma
melhor investigao, PC 1 no consegue identificar 172.16.2.7 (PC4) atravs do pingo O Exemplo 7-2 mostra os comandos
utilizados em RI e R4 para os Passos 1 e 2 orientados ao host, bem como o incio do Passo 3 orientado ao roteador.
Exemplo 7-2 Resoluo de problemas: Cenrio 1: Passos 1 e 2 e parte do Passo 3
R1#ping 10.1.1.10
Sending 5, 100-byte ICMP Echos to 10 . 1.1.10, timeout is 2 seconds:
!!!! !
Success rate is 100 percent (5 / 5) , round-trip min/avg/max
1/2/4 ms
Rl# ping
Protocol
[ip] :
Target IP a ddress: 10.1.1.10

Repeat count [5]:
Datagram size [100] :
Tirneout in seconds [2]:
Extended commands [n]: yy
Source address or interface: 10.1.13.1
Type of service [O]:
Set DF bit in IP header? [no]:
VaIidate rep1y data?
[no]:
Data pat tern [OxABCD]:

Loose,
Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:

Sending 5, 100-byte ICMP Echos to 10.1.1. 1 0,
Packet sent with a source address of 10.1 . 13.1

!!!! !
Success rate is 100 percent (5/5), round- trip min/avg/max
1/2/4 ms
Rl#
! Now moving to R4 to repeat the test
R4#ping 172.16.2.7
Sending 5, 100-byte ICMP Echos to 172 . 16.2.7 , timeout is 2 seconds:
Success rate is O p ercent (0/5)

R4# show ip interface brief
CCNA ICND2
I n terface I
P-Address
OK? Method Status Protocol
FastEthernetO / O
172 . 16.2 . 4
YES manual adrninistratively down d own
Fa s tEthernetO/1
172 . 16.1.4
YES manual up up
SerialO/O/O
unassigned
YES unset adrninistratively down down
SerialO/O/l
unassigned
YES uns et adrninistratively down down
SerialO/1/0
unassigned
YES unset a drninistratively d own d own
205
Os pings padro e estendido em RI no incio do exemplo, em essncia, executam os Passos 1 e 2, ou seja, os passos
orientados ao host, para confirmar que PC1 aparentemente est funcionando bem. Entretanto, o exemplo mostra em
seguida que R4 no consegue alcanar PC4 porque a interrace LAN de R4 foi fechada, conforme mostrado no final do
exemplo. Embora esse cenrio possa parecer um pouco simples, ele oferece um bom ponto de partida para a resoluo
de um problema.
Para obter uma viso mais completa do processo de resoluo de problemas, considere esse mesmo cenrio, com o
mesmo problema inicial, mas, dessa vez, voc no tem acesso ao roteador R4. Portanto, voc s pode executar os Passos
1 e 2 para o PC1, passos estes que funcionam, mas no pode executar os mesmos passos para PC4 a partir de R4.
Conseqentemente, o Exemplo 7-3 passa direto aos Passos 3 e 4. O incio do exemplo mostra o Passo 3, onde RI utiliza
traceroute 172.16.2.7, com um endereo IP fonte 10.1.1.1. Este comando no concludo, referindo-se a 10.1.13.3
(R3) como o ltimo roteador. O Passo 4 prossegue observando como R3 direciona pacotes destinados a 172.16.2.7.
Exemplo 7-3 Resoluo de problemas: Cenrio 1: Passo 4
R1# traceroute
Protocol [ip]:
Target IP address: 172.16.2.7
Source address: 10.1.1.1
Nurneric display [n]:
Timeout in seconds [3]:
Prob e c ount [3 ]:
Minimurn Time to Live [1]:
Maximurn Time to Live [30]:
Po rt Nurnber [33434]:
Loose,
Strict, Record, Times tamp , Verbose[none]:

1 10.1 . 13.3 O msec 4 msec O msec
2 10 . 1 . 13.3 !H * !H
Note above that the cornrnand did stop by itself, but it does not list the
destination host 172 . 16 . 2 . 7
R3 #show ip route 172.16.2.7
% Subnet not in table

R3#show ip route
Codes : C - connected , S - static, R - RIP, M - mobile, B - BGP
E1 - OSPF externaI type 1, E2 - OSPF ext e rnaI type 2
i - IS-IS, su - IS-IS surnrnary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area,
* - candidate default, U - per - user static route
o - ODR, P - periodic downloaded static route

172.16.0.0 / 24 is subnetted , 1 subnets
C
172 . 16.1.0 is d i rectly connected, FastEthernetO / O

10 . 0.0.0/24 is subne tted, 4 subnets
C
10.1 . 13.0 i s di rect1y connected , Seria10/0/1
10.1.1.0 [120/11 via 10.1.13.1,
10 . 1.0.0 [120/11 via 10 . 1.23.2 , 00 : 00 : 01 , Ser ia10/1/0
10 . 1.23 . 0 is direc t 1y connec t e d , Seria10/1/0
00:00 : 04,
Seria10/0/1
o comando traceroute estendido no incio do exemplo mostra o resultado identificando R3 (10.1.13.3) como o ltimo
dispositivo apresentado no resultado do comando (passo 3). O Passo 4 prossegue com um exame da rota avante de R3 em
direo ao endereo IP 172.16.2.7. O comando show ip route 172.16.2.7 vai direto ao ponto. A mensagem "subnet not in
table" ("sub-rede no encontrada na tabela") significa que R3 no possui um endereo de destino 172.16.2.7 para combinao
da rota. Se a questo no fornecer acesso a um simulador, mas somente o resultado do comando show ip route, seria
necessrio examinar as rotas para determinar se nenhuma delas se refere a um intervalo de endereos que inclua 172.16.2.7.
Sempre que o processo de isolamento de um problema apontar para uma rota que est faltando, o prximo passo
determinar como o roteador deveria ter aprendido a rota. Neste caso, R3 deveria ter utilizado RIP-2 para aprender a rota .
Portanto, os prximos passos seriam resolver qualquer problema relativo ao protocolo de roteamento dinmico.
A causa geradora desse problema no mudou - R4 fechou sua interface FaO/O - mas os sintomas so bastante interessantes.
Como a interface est fechada, R4 no anuncia uma rota para a sub-rede 172.16.2.0/24 at R3. Entretanto, R3 anuncia
uma rota sumarizada automaticamente at a rede 172.16.0.0/16 para RI e R2; portanto, por causa da definio de
sumarizao automtica padro do RIP-2, tanto RI quanto R2 podem encaminhar pacotes destinados a 172.16.2.7 para
R3. Em conseqncia disso, o comando traceroute em RI pode encaminhar pacotes para R3.
Resoluo de problemas: Cenrio 2: Problema relativo rota inversa

Este prximo exemplo utiliza o mesmo diagrama de rede mostrado na Figura 7-5, com todas as informaes mostradas na
figura ainda sendo verdadeiras. Contudo, os detalhes mencionados na seo anterior podem ter sofrido alguma alterao
- principalmente o problema existente para tornar o exemplo mais interessante. Portanto, resolva este segundo problema
apenas baseando-se na figura como sendo verdadeira.
Neste cenrio, PC1 novamente no consegue identificar 172.16.2.7 (PC4) atravs do pingo As verificaes do gateway
padro do host sugeridas nos Passos 1 e 2 novamente funcionam para PC1, mas os testes no podem ser executados
para o sentido inverso, porque o engenheiro no pode acessar PC4 ou o roteador R4. Portanto, o Exemplo 7-4 toma o
processo de resoluo de problemas sugerido no Passo 3, mostrando o resultado do comando traceroute estendido em
RI. Observe que o comando nem mesmo apresenta o endereo IP 10.1.13.3 de R3 neste caso. Portanto, o resto do
Exemplo 7-4 mostra as investigaes feitas nos subpassos especficos do Passo 4.
Exemplo 7-4 Resoluo de problemas: Cenrio 2: Passos 3 e 4
R1# traceroute ip 172.16.2.7 source faO/O
1
* * *
2 *
3 *
R1# show ip route 172.16.2.7

Routing entry for 1 7 2. 16 .0.0/ 1 6
Known via "rip", distance 120, metric 1
Redistributing via rip
Last update from 10.1.13.3 on SerialO/1/0 , 00 : 00:05 ago
Routing Des criptor Blocks:
* 10.1 . 13.3, from 10.1.13.3, 00 : 00:05 ago, via SerialO/1/0

R1#ping 10.1.13.3
Sending 5, 100-byte ICMP Echos to 10.1.13.3, timeout is 2 seconds:
CCNA ICND2
207
!! !! !
8uccess rate is 100 percent (5/5), round-trip min/ a vg/max
1/2/ 4 ms
R1 #show ip acc.ss-lists
. r----------------=====================================~
! 8witching to router R3 next
R3tshow ip acc.ss-lists
R3#
~----------------------------------------------------------~
o exemplo comea mostrando o Passo 3 do processo, com o comando traceroute apresentando somente linhas de
asteriscos. Isso significa que o comando no identificou com sucesso nem mesmo o prximo roteador da rota.
Em seguida, passando para o Passo 4, a lista a seguir apresenta os subpassos do Passo 4 conforme aplicados a este
exemplo:
Passo 4a O exemplo j havia comeado com uma Telnet em RI; portanto, no necessrio nenhum trabalho extra.
Passo 4b O prximo comando, show ip route 172.16.2.7, mostra que RI possui uma rota no-padro para a rede
172.16.0.0, apontando para R3 (10.1.13.3) como a prxima parada.
Passo 4c Este passo no se aplica a este caso, porque uma rota de combinao foi encontrada no Passo 4B.
Passo 4d Este passo no se aplica a este caso, porque a rota de combinao no uma rota at 0.0.0.0/0 (a rota padro).
Passo 4e O prximo comando apresentado, ping 10.1.13.3, testa a capacidade de RI de enviar pacotes atravs do
link at o prximo roteador identificado no Passo 4B. O ping funciona.
Passo 4f Tanto em RI quanto no prximo roteador (R3), o comando show ip access-Iists confirma que nenhum dos
roteadores possui qualquer ACL IP configurada.
Como todos os passos para examinar a rota avante foram aprovados, o processo segue para o Passo 5. O comando
traceroute original no Exemplo 7-4 utilizou o endereo IP da interface FaO/O de RI , 10.1.1.1 , como endereo IP origem.
Para o Passo 5, o processo comea em R3 com uma anlise da rota inversa de R3 para alcanar 10.1.1.1. Examine o
resultado do Exemplo 7-5, e procure qualquer problema antes de ler as explicaes que se seguem ao exemplo.
Exemplo 7-5 Resoluo de problemas: Cenrio 2: Passo 5
I
I
The next command shows the matched route , f or subnet 10.1 . 1.0 / 26 ,
with next-hop 10.1.23.2 .
Routing entry for 10.1.1 . 0 /2 6

Known via "static " , distance 1 , metric O
Routing Descriptor Blocks:
10 .1.2 3. 2
Route metric is O, traffic share count is 1
The next command shows the overlapp i ng subnets - 10.1.1.0 / 26 and 10.1.1.0 / 24 .
R3# show ip route

Codes : C - connected, 8 - static , R - RIP, M - mobile , B - BGP
D - EIGRP, EX - EIGRP externaI , O - 08PF, IA - 08 PF inter area
N1 - 08PF N88A externaI type 1, N2 - 08PF N88A externaI type 2
E1 - 08PF externaI type 1, E2 - 08PF externaI type 2
i - 18-18, su - 18-18 summary, L1 - 18-18 level-1, L2 - 18-18 level - 2
ia - 18-18 inter area , - candidate default, U - per-user static route
o - ODR , P - periodic download e d static route
172.16.0 . 0 / 24 is subnetted, 2 subne ts
C
172 . 16.1.0 is directly connected, FastEthernetO / O
172 .1 6.2.0
[120 / 1] via 172.16.1.4, 00:00:18, FastEthernetO / O
10.0.0 . 0 / 8 is variably subnetted , 5 subnet s, 2 masks

C
10.1. 1 3.0 / 24 is directly connected, 8eriaI0 / 0 / 1

S
10.1.1.0/26 [1 / 0] via 10.1.23.2
10 . 1.1.0 / 24 [120 / 1 ] v ia 10.1.13.1 , 00:00:10, SerialO/0 / 1
10.1.0.0/24 [120/1] via 10 . 1 . 23 . 2, 00:00:11, SerialO/1/0
10.1.23.0/24 is directly conne cted, Seria lO/1/0
R3 possui uma rota esttica configurada incorretamente para a sub-rede 10.1.1.0/26. Essa sub-rede inclui o intervalo de endereos
10.1.1.0-10.1.1.63, que inclui o endereo IP 10.1.1.1. Quando R3 tenta enviar um pacote de volta a 10.1.1.1 , R3 tem duas rotas que
combinam com o endereo de destino. Mas R3 escolhe a rota mais especfica (prefixo mais longo) para a sub-rede 10.1.1.0/26.
Essa rota faz com que R3 encaminhe pacotes destinados a 10.1.1.1 saindo pelo link de R3 para R2, em vez de para RI.
Embora voc no possa necessariamente determinar a verdadeira inteno dessa rota esttica, este processo identificou
a causa geradora, ou seja, a rota esttica at 10.1.1.0/26 em R3. Se a LAN que sai de RI devesse incluir todos os
endereos entre 10.1.1.0 elO.1.1.255, a rota esttica ento deveria simplesmente ser excluda.
Processo alternativo de isolamento de problemas para os Passos 3, 4 e 5

Os passos orientados a roteadores do processo de isolamento de problemas de roteamento IP dependem do comando
traceroute, confiando na capacidade deste comando de identificar em qual roteador deve comear a resoluo do
problema relacionado ao roteador. Como alternativa, os comandos ping e telnet podem ser utilizados. No entanto, como
esses comandos no podem identificar rapidamente os roteadores mais provveis nos quais existe o problema, para usar
o ping e o telnet necessrio executar um conjunto de tarefas no primeiro roteador da rota (a porta de comunicao
padro/roteador do host) e, em seguida, no prximo roteador, e assim por diante, at que o problema seja identificado.
Portanto, s para concluir, observe que voc pode executar as mesmas sub-tarefas especficas conforme j explicado
nos Passos 4 e 5, mas ao usar o ping, basta repetir os passos em cada roteador sucessivo. Para aplicar esse processo
revisado, por exemplo, ao primeiro dos dois cenrios que acabamos de apresentar, o processo comearia com o roteador
RI , ou seja, o roteador padro de PC1. No primeiro cenrio, RI no tinha nenhuma questo relativa rota avante para
encaminhar pacotes at 172.16.2.7 (PC4), e tambm no tinha nenhuma questo relativa rota inversa e nenhumaACL.
Esse novo processo alternativo sugeriria ento passar para o prximo roteador (R3). Neste exemplo, o problema da rota
avante de R3, isto , no ter ':lma rota que combine com o endereo de destino 172.16.2.7, seria encontrado.
Ferramentas e dicas para resoluo de problemas

A segunda metade deste captulo aborda uma grande variedade de ferramentas e dicas para resoluo de problemas que
podem ser teis quando voc estiver resolvendo problemas em redes reais. Algumas das informaes contidas nesta
seo podem se aplicar diretamente aos exames CCNA. Outras partes desta seo sero indiretamente teis para os
exames. As informaes podero ajud-lo a aprender medida que voc for lidando com redes em seu trabalho, fazendo
com que voc esteja mais bem preparado para os cenrios exclusivos apresentados nos exames.
Ferramentas de roteamento de hosts

Esta seo aborda dois tpicos pequenos relacionados a como os hosts processam pacotes IP. O primeiro tpico apresenta vrias
dicas para resoluo de problemas relacionados a hosts. O segundo tpico revisa as informaes abordadas no CCENr/CCNA
ICNDJ Guia Oficial de Certificao do Exame sobre como a configurao IP de um switch funciona como se fosse um host.
Dicas para resoluo de problemas relacionados a hosts

Quando voc est tentando isolar a causa de problemas relativos comunicao em rede, as dicas apresentadas na
Tabela 7-4 podem ajud-lo a encontrar mais rapidamente os problemas relacionados a hosts. As dicas so organizadas de
acordo com os sintomas tpicos, junto com as causas geradoras comuns. Observe que a tabela no apresenta todas as
causas possveis, mas apenas as mais comuns.
Tabela 7-4 Sintomas comuns em problemas com hosts e as razes tpicas

Sintoma
Causa geradora comum
O host pode enviar pacotes a hosts na mesma

sub-rede, mas no para outras sub-redes.
O host no possui um gateway padro configurado

ou o endereo IP do gateway padro est incorreto.
CCNA ICND2
.
.
.
O host pode enviar pacotes a hosts na mesma

mas no para outra sub-redes.
209
O gateway padro do host est em uma sub-rede diferente sub-rede,

do endereo IP do host (de acordo com a percepo que o host tem da
sub-rede) .
-----------------------------------------------------------------Alguns hosts de uma sub-rede podem se

comunicar com hosts em outras sub-redes,
mas outros no podem.
Pode ser causado pelo gateway (roteador) padro

utilizando uma mscara diferente da dos hosts. Pode resultar
na rota conectada do roteador no incluindo alguns dos hosts na LAN.
--------------------------------------------------------------Alguns hosts da mesma VLAN podem enviar Os hosts podem no estar usando a mesma mscara.
pacotes uns para os outros, mas outros no podem.
-----------------------------------------------------------------Ao resolver problemas relacionados comunicao em rede na vida real, vale a pena acostumar-se a pensar nos
sintomas, pois a que normalmente comea o processo de isolamento do problema. Entretanto, para os exames, a
maioria dos problemas de comunicao de hosts causada por apenas alguns poucos pontos:
........ Passo 1 Verifique todos os hosts e roteadores que deveriam estar na mesma sub-rede para se assegurar de que todos
_.
. 6plC:O
eles utilizam a mesma mscara e que seus endereos esto realmente na mesma sub-rede .
ChllWl
Passo 2 Compare a definio do gateway padro de cada host com a configurao do roteador para se assegurar de
que o endereo IP esteja correto.
Passo 3 Se os dois primeiros itens estiverem corretos, observe em seguida as questes relativas s Camadas 1 e 2,
conforme abordado nos Captulos 1,2 e 3.
: Suporte IP a switches
Os switches Ethernet no precisam saber nada sobre a Camada 3 para executar sua funo bsica da Camada 2 de
encaminhar frames Ethernet. Entretanto, para dar suporte a vrios recursos importantes, tais como a capacidade de
utilizar telnet ou SSH no switch para resolver problemas, os switches de LAN precisam de um endereo IP.
Switches agem como hosts quando se trata de configurao IP. Em comparao a um PC, um switch Cisco no utiliza
um NIe. Pelo contrrio, ele utiliza uma interface virtual interna associada com a VLAN 1 que, em essncia, d ao prprio
switch uma interface na VLAN 1. Em seguida, os mesmos tipos de itens que podem ser configurados em um host para
o IP podem ser configurados nessa interface da VLAN: o endereo IP, a mscara e a porta de comunicao padro.
Endereos IP do servidor DNS tambm podem ser configurados.
A lista a seguir repete a lista de verificao de configurao IP de switches LAN, retirada do CCENT/CCNA ICNDI
Guia Oficial de Certificao do Exame. Aps a lista, o Exemplo 7-6 mostra a configurao de endereos IP para o
switch SW1 na Figura 7-5, apresentada anteriormente no captulo.
....... Passo 1 Entre no modo de configurao VLAN utilizando o comando de configurao global interface vlan 1 (a
. ;PICO
\ Chave
partir de qualquer modo de configurao).
. ..
Passo 2 Designe um endereo IP e uma mscara utilizando o subcomando de interface ip address ip-address mask.
Passo 3 Ative a interface VLAN 1 utilizando o subcomando de interface no
ShUtdOWD.
Passo 4 Acrescente o comando global ip default-gateway ip-address para configurar a porta de comunicao
padro.
Exemplo 7-6 Configurao do endereo IP esttico de um switch

SWl#configure terminal
SW1(config)# interface vlan 1
SW1(config-if)# ip addre 10.1.1.200 255.255.255.0
SW1(config-if)#no shutdown
00:25:07: %LINK- 3-UPDOWN: Interface Vlanl, changed state to up
00:25:08: %LINEPROTO-5-UPDOWN : Line protocol on Interface Vlanl , changed
sta t e t o up
SWl (config-if) #exit
SWl (confiq) # ip default-gateway 10.1.1.1

-------------------------------------------------------
.
Observao A interface VLAN de um switch fica em estado administrativamente inativo

at que o usurio emita o comando no shutdown; o switch no pode enviar pacotes IP at que
a interface VLAN 1 esteja ativa.
--------------~--------------------------------------- .
Um descuido comum ao configurar ou resolver problemas relativos conectividade IP com switches est relacionado ao
trunking de VLANs. A Cisco geralmente sugere evitar colocar dispositivos do usurio [mal na VLAN 1, mas o endereo
IP do switch pode estar sim configurado na VLAN 1. Para dar suporte capacidade que o switch tem de enviar e
receber pacotes a hosts em sub-redes diferentes, aceitando assim o Telnet no switch a partir daquelas sub-redes do
usurio [mal, a configurao do trunking do roteador deve incluir a configurao da VLAN 1 bem como das VLANs do
usurio final .
Referncia ao show ip route

o comando show ip route tem uma funo importante na resoluo de problemas relativos
a roteamento IP e ao
protocolo de roteamento IP. Muitos captulos deste livro e do livro ICND1 mencionam vrios fatos sobre esse comando.
Esta seo une os conceitos em um nico lugar para facilitar a referncia e o estudo.
A Figura 7-6 mostra o resultado do comando show ip route apresentado no Exemplo 7-3. A figura numera vrias partes
do resultado do comando para facilitar a referncia, onde a Tabela 7-5 descreve o resultado indicado por cada nmero.
Figura 7-6 Referncia ao resultado do comando show ip route
~ is
subnetted,
<!:SUbn~
10.1.13 . 0 is directly connec ted, SerialO/0/1

R
10.1.1.0 [120/1] via 10.1.13.1, 00:00 : 04, Ser ialO/0/1
O
C
10.1.23.0 is d i rectly connected, SerialO/1/0
10 1 O O
[l2Q/ ~ ]
vi a 10 1 23 . 2, 000001, SerialO/1/0
Tabela 7-5 Descries do resultado do comando show ip route

Nmero do item
Item
Valor na figura
Descrio
Rede classful
10.0.0.0
A tabela de roteamento organizada pela rede classful.

Essa linha est na linha de cabealho da rede classful
10.0.0.0
Comprimento
do prefixo
/24
Quando esse roteador s conhece uma mscara de

sub-rede para todas as sub-redes da rede, esse local
apresenta aquela mscara, em notao de prefixos,
como padro
Nmero de
sub-redes
4 sub-redes
Apresenta o nmero de rotas para sub-redes da rede

classful conhecidas deste roteador
Cdigo de
legenda
R,C
Um cdigo pequeno que identifica a fonte da

informao do roteamento. R representa RIP e C
representa rede diretamente conectada. A figura omite
o texto da legenda na parte superior do resultado do
comando show ip route, mas ele pode ser visto no
Exemplo 7-3
Nmero de
sub-rede
1O.l.0.0
Nmero de sub-rede dessa rota especfica
CCNA ICND2
10
211
Distncia
administrati va
120
Se um roteador aprender rotas para a sub-rede

apresentada a partir de mais de uma fonte de
informaes do roteamento, o roteador utilizar a fonte
com a menor DA (distncia administrativa)
Mtrica
A medida dessa rota
Prximo
roteador
(next router)
10.1.23.2
Para pacotes que combinam com essa rota, o endereo

IP do prximo roteador ao qual o pacote deve ser
encaminhado
Timer
00:00:01
Tempo decorrido desde que essa rota foi aprendida em

uma das atualizaes de roteamento
Interface de
sada
SerialO/1I0
Para pacotes que combinam com essa rota, a interface

da qual o pacote deve ser encaminhado
o resultado do comando difere ligeiramente quando se utiliza VLSM. A figura mostra um exemplo em que no se utiliza
VLSM na rede 10.0.0.0, com a mscara /24 utilizada para todas as sub-redes daquela rede. Portanto, o lOS lista a
mscara uma vez, na linha de cabealho (/24 neste caso). Se o VLSM estivesse em uso, alinha de cabealho simplesmente
indicaria que a rede invariavelmente dividida em sub-redes e cada rota listaria a mscara. Como exemplo, veja o
Exemplo 5-1 do Captulo 5 "VLSM e sumarizao de rotas".
Status da interface
Um dos passos do processo de resoluo de problemas de roteamento IP descritos anteriormente, na seo "Resolvendo
problemas relacionados ao processo de encaminhamento de pacotes", diz para verificar o status da interface, assegurandose de que a interface necessria esteja funcionando. Para que a interface de um roteador esteja funcionando, os dois
cdigos de status da interface devem ser apresentados como "up" ("ativo"), onde os engenheiros geralmente dizem que
a interface est "up and up" ("ativa e funcionando perfeitamente").
Este captulo no explica os passos de resoluo de problemas para interfaces de um roteador, considerando simplesmente
que cada interface esteja realmente em estado ativo/ativo. No Captulo 12, a seo intitulada "Resolvendo problemas de
links seriais" aborda vrios detalhes para resolver problemas de interfaces de roteadores. Para interfaces de LAN de
roteadores conectados a um switch, os principais itens a verificar nos roteadores so se o roteador e o switch combinam
com as definies de velocidade e duplex um do outro, e que se o trunking estiver configurado, tanto o roteador quanto o
switch tenham sido manualmente configurados para o trunking, j que roteadores no negociam o trunking dinamicamente.
Questes relativas ao VLSM

Esta seo examina vrias questes ao utilizar VLSM:
- Reconhecer se o VLSM utilizado e, em caso positivo, quais protocolos de roteamento podem ser usados
- Entender as condies nas quais os roteadores podem permitir um erro de configurao de sub-redes VLSM sobrepostas
- Entender os sintomas externos que podem ocorrer quando existem sub-redes VLSM sobrepostas
Reconhecendo quando o VLSM utilizado

Um descuido comum ao resolver um problema em uma inter-rede desconhecida no reconhecer se o VLSM utilizado.
Conforme definido no Captulo 5, uma inter-rede utiliza VLSM quando vrias mscaras de sub-rede so usadas para diferentes
sub-redes de uma nica rede classful. Se, por exemplo, em uma inter-rede todas as sub-redes da rede 10.0.0.0 utilizarem a
mscara 255.255.240.0, e todas as sub-redes da rede 172.16.0.0 utilizarem uma mscara 255.255.255.0, o projeto no utiliza
VLSM. Se vrias mscaras forem usadas para as sub-redes da rede 10.0.0.0, o VLSM estaria em uso.
O conceito conclusivo que somente protocolos de roteamento classless (RIP-2, EIGRP, OSPF) podem aceitar VLSM;
protocolos de roteamento classful (RIP-l, IGRP) no podem. Portanto, uma rpida determinao se o VLSM est
realmente sendo usado pode dizer-lhe se um protocolo de roteamento classless se faz necessrio. Observe que o protocolo

de roteamento no requer nenhuma configurao especial para aceitar o VLSM. Ele simplesmente um recurso do
protocolo de roteamento.
Configurando sub-redes VLSM sobrepostas

As regras das sub-redes IP requerem que os intervalos de endereos das sub-redes utilizadas em uma inter-rede no se
sobreponham. O lOS pode reconhecer quando um novo comando ip address cria uma sub-rede sobreposta, mas somente
em alguns casos. Esta seo examina as condies sob as quais as sub-redes sobrepostas podem ser configuradas,
comeando com as seguintes aflrmativas gerais sobre quando as sobreposies podem ou no ser configuradas:
. - Evitando a sobreposio: o lOS detecta a sobreposio quando o comando ip address indica uma sobreposio
/~~ ;~o
:. Ch:VO
".
com outro comando ip address no mesmo roteador. Se a interface que est sendo configurada est ativa/ativa, o
lOS rejeita o comando ip address. Se no, o lOS aceita o comando ip address, mas nunca ir exibir a interface.
- Permitindo a sobreposio: o lOS no consegue detectar uma sobreposio quando um comando ip address se
sobrepe com um comando ip address em outro roteador.
O roteador mostrado no Exemplo 7-7 impede a conflgurao de uma sub-rede VLSM sobreposta. O exemplo mostra o
roteador R3 configurando FaO/O com o endereo IP 172.16.5.1124, e FaO/1 com 172.16.5.193/26. Os intervalos de
endereos em cada sub-rede so:
Sub-rede 172.16 . 5.0/24: 172.16.5.1- 172.16.5 . 254
Sub- rede 172 . 16.5.192/26: 172 . 16 . 5 .1 93- 172 .16.5 . 254
Exemplo 7-7 Um nico roteador rejeita sub-redes sobrepostas

R3(conf i g )# interface FaO/O
R3(con fig-if)# ip address 172.16.5.1 255.255.255.0
R3 (config-if) #interface FaO/1
R3(conf i g -i f )# ip address 172.16.5.193 255.255.255.192
% 172.16.5.192 ov erlaps with FastEthernetO / O

R3(config-if)#
O lOS sabe que ilegal sobrepor os intervalos de endereos indicados por uma sub-rede. Neste caso, como ambas as
sub-redes seriam sub-redes conectadas, esse nico roteador sabe que essas duas sub-redes no devem coexistir, pois
isso faria com que as regras de criao de sub-redes fossem quebradas; portanto, o lOS rejeita o segundo comando.
No entanto, possvel configurar sub-redes sobrepostas se elas estiverem conectadas a roteadores diferentes. A Figura
7-7 mostra uma figura bastante semelhante Figura 5-2 do Captulo 5, a qual foi usada naquele captulo para explicar o
problema de sub-redes sobrepostas. O Exemplo 7-8 mostra a configurao das duas sub-redes sobrepostas em R2 e R3,
com a tabela de roteamento resultante em R2.
Figura 7-7 Inter-rede que permite a configurao de sub-redes sobrepostas
172.16.5.1/24
Exemplo 7-8 Dois roteadores aceitam sub-redes sobrepostas

R2(config )# interface FaO/O
R2(con fig-if)# ip address 172.16.4.1 255.255.254.0
172.16.5.3
CCNA ICND2
213
R3#configure terminal
R3(config )# interface FaO/O
R3(config -if)# ip address 172.16.5.1 255.255.255.0
Para os exames, tenha em mente que sub-redes sobrepostas podem ser configuradas se as sub-redes no se conectarem
ao mesmo roteador. Portanto, se uma questo pedir para escolher um novo nmero de sub-rede e configurar uma
interface para que ela esteja naquela sub-rede, o fato de o roteador aceitar o seu comando ip address no necessariamente
quer dizer que voc executou a matemtica corretamente.
O tpico a seguir explica alguns dos sintomas dos problemas que voc poder encontrar caso haja sobreposio.
Sintomas de sub-redes sobrepostas

Observao Embora esta seo seja includa por questo de complementao, os tipos de
problemas aqui descritos podem estar alm do escopo dos exames CCNA.
Os sintomas externos dos problemas diferem dependendo do fato de o endereo em questo estar na parte sobreposta
das sub-redes e se vrios hosts esto tentando utilizar exatamente o mesmo endereo IP. Os endereos nas partes no
sobrepostas da sub-rede normalmente funcionam bem ao passo que aqueles na rea sobreposta simplesmente podem ou
no funcionar. Por exemplo, continuando com as sub-redes sobrepostas mostradas na Figura 7-6, as sub-redes 172.16.4.0/
23 e 172.16.5.0/24 se sobrepem - especificamente, os endereos 172.16.5.0-172.16.5.255. Hosts no intervalo no
sobreposto de 172.16.4.0-172.16.4.255 provavelmente funcionam bem.
Para os endereos do intervalo sobreposto, em muitos casos, os hosts da menor das duas sub-redes sobrepostas funcionam
bem, mas este j no o caso dos hosts da maior das duas sub-redes. Para entender por qu, considere o caso em que
PC1 na Figura 7-7 tenta identificar 172.16.5.2 (pC2, saindo de R2) e 172.16.5.3 (pC3 , saindo de R3) atravs do pingo
(para este exemplo, considere que os endereos IP de PC2 e PC3 no so duplicados na sub-rede sobreposta oposta.)
Como pode ser visto a partir das tabelas de roteamento em RI e R3 e o comando traceroute 172.16.5.2 no Exemplo 79, o pacote enviado por PC1 para PC2 na verdade seria entregue de RI para R3, e em seguida para a LAN de R3.
Exemplo 7-9 Dois roteadores aceitam sub-redes sobrepostas

! R1's r o ute t o reach 172 . 16 . 5. 2,
off R2 , points to R3

Routing en t ry fo r 17 2. 16.5 . 0 /2 4
Known via "rip', distance 120, metric 1
Last update from 172.16.9.6 on Seria1 0/ 1 / 0 , 00:00:25 ago
Routing Descriptor B1ocks:
172 .16.9. 6,
from 172.16.9.6, 00:00:25 ago, via Seria10/1/0

1-
R1 ' s route t o r each 172 .1 6.5 .3, off R3 , points to R3

Rout i ng entry f o r 17 2 .16 . 5.0 /2 4
Known via "rip', distance 120, metric 1
Last update from 172.16 . 9.6 on SerialO / 1 / 0 , 00:00:01 ago
Routing Descriptor Blocks:
* 1 7 2 .1 6. 9.6 , from 172.16.9.6, 00:00:01 ago, via Seria10/1/0

The traceroute to PC2 s hows R3, not R2, as the first router, so the packet neve r
reaches PC2, and the command neve r completes until stopped by the user.
R1# traceroute 172.16.5.2

1 172.16.9.6 4 rnsec
rns e c 4 msec
2 * *
3 *
4
R1#traceroute 172.16.5.3
1 172.16.9.6 O msec 4 rnsec O msec
2 172.16.5.3 4 msec * O msec
o exemplo mostra que RI encaminha pacotes para os hosts 172.16.5.2 (PC2) e 172.16.5.3
(PC3) enviando-os para R3 em seguida. R3 ento tenta envi-los para a sub-rede LAN de R3 , que funciona bem para
PC3 mas no to bem para PC2. Logo, PC3, na menor das duas sub-redes sobrepostas, funciona bem, ao passo que PC2,
na maior das duas sub-redes sobrepostas, no funciona bem.
Os sintomas podem piorar ainda mais quando os endereos so duplicados. Imagine, por exemplo, que PC22 tenha sido
acrescentado sub-rede LAN de R2, com o endereo IP 172.16.53 duplicando o endereo IP de PC3. Agora, quando o
usurio do PC22 chamar para dizer que o seu PC no consegue se comunicar com outros dispositivos, o assistente da
rede utiliza um ping 172.16.5.3 para testar o problema - e o ping funciona! O ping funciona com a instncia errada
172.16.5.3, mas funciona. Portanto, os sintomas podem ser particularmente difceis de identificar.
Outra dificuldade encontrada em sub-redes VLSM sobrepostas que o problema pode no aparecer durante um tempo. Neste
mesmo exemplo, imagine que todos os endereos de ambas as sub-redes devessem ser designados por um servidor DHCP, comeando
com os menores endereos IP. Durante os primeiros seis meses, o servidor s designou endereos IP que comeavam com 172. 16.4.x
na sub-rede LAN de R2. Finalmente, foram instalados hosts em nmero suficiente na LAN de R2 de forma que fosse necessrio o
uso de endereos que comeassem com 172.16.5, como o endereo 172.16.5.2 de PC2 utilizado no exemplo anterior.
Infelizmente, ningum pode enviar pacotes para esses hosts. primeira vista, o fato de que o problema apareceu bem
depois da instalao da configurao pode, na verdade, obscurecer questo.
Resumo para resoluo de problemas relativos ao VLSM

A lista a seguir resume os pontos principais a serem considerados ao resolver possveis problemas relacionados ao VLSM nos exames:
Preste bastante ateno se o projeto realmente utiliza VLSM. Em caso positivo, observe se utilizado um protocolo
de roteamento classless.
Saiba que sub-redes sobrepostas podem sim ser configuradas.
Os sintomas externos do problema podem ser que alguns hosts de uma sub-rede funcionem bem, mas outros no
conseguem enviar pacotes para fora da sub-rede local.
Utilize o comando traceroute para procurar rotas que direcionem pacotes para a parte errada da rede. Isso pode
ser resultado de sub-redes sobrepostas.
Nos exames, possvel deparar-se com uma questo que voc pense estar relacionada ao VLSM ou a endereos
IP. Neste caso, o melhor plano de ataque pode ser analisar a matemtica de cada sub-rede e assegurar-se de que
no exista nenhuma sobreposio, em vez de resolver o problema utilizando ping e traceroute.
Redes no-contguas e sumarizao automtica

O Captulo 5 explicou o conceito de redes no-contguas, junto com a soluo: utilizar um protocolo de roteamento classless com
sumarizao automtica desativada. Esta seo examina um caso particular em que uma rede no-contgua existe somente
durante parte do tempo. A Figura 7-8 mostra uma inter-rede com duas redes classful: 10.0.0.0 e 172.16.0.0. O projeto mostra duas
redes contguas porque existe uma rota composta apenas por duas sub-redes de cada rede entre todas as sub-redes daquela rede.
CCNA ICND2
215
Figura 7-8 Inter-rede com redes (atualmente) contguas
'.
Nesta figura, com todos os links ativos e funcionando, utilizando um protocolo de roteamento com sumarizao automtica
ativada como padro, todos os hosts podem identificar todos os outros hosts atravs do pingo Neste projeto, os pacotes da
rede 172.16.0.0 trafegam pela rota de cima e os pacotes da rede 10.0.0.0 trafegam pela rota de baixo.
Infelizmente, pode ocorrer um problema mais tarde quando um dos quatro links entre os roteadores falhar. Se qualquer link
entre os roteadores falhar, uma das duas redes c1assful passa a ser no-contgua. Se o link R3 e R4 falhar, por exemplo, a
rota de RI a R4 passa pelas sub-redes da rede 172.16.0.0 e, portanto, a rede 10.0.0.0 torna-se no-contgua. Mesmo com
um protocolo de roteamento c1assless, mas com a sumarizao automtica ativada, tanto RI quanto R4 anunciam uma rota
para 10.0.0.0/8 at R2, e R2 v duas rotas at toda a rede 10.0.0.0 - uma atravs de RI e outra atravs de R4. A soluo,
como sempre, utilizar um protocolo de roteamento c1assless com a sumarizao automtica desativada.
Embora o projeto da Figura 7-8 possa parecer um pouco artificial, ele acontece com mais freqncia do que voc pensa
- principalmente medida que as empresas so compradas e vendidas. Tanto para a vida real quanto para os exames,
tenha em mente o conceito de redes no-contguas para casos de funcionamento normal e para casos em que haja a falha
de links redundantes.
Dicas para resoluo de problemas de listas de controle de acesso
A resoluo de problemas impactados por ACLs pode ser uma das tarefas mais difceis em comunicao de redes. Uma
das principais dificuldades que as ferramentas tradicionais utilizadas para resoluo de problemas, tais como o ping e
o traceroute, no enviam pacotes que se paream com pacotes combinados pelos vrios campos existentes em ACLs
estendidas. Portanto, embora um ping possa funcionar, o host do usurio final pode no conseguir chegar ao aplicativo
certo, ou vice-versa.
Esta seo resume algumas dicas para atacar problemas relacionados a ACLs na vida real e nos exames:
co
Passo 1 Determine em quais interfaces as ACLs esto ativadas e em que sentido (show running-config, show ip
interfaces) .
Passo 2 Determine quais sentenas da ACL so combinadas pelos pacotes de teste (show access-lists, show ip
access-lists) .
Passo 3 Analise as ACLs para prever quais pacotes devem combinar com uma ACL, concentrando nos seguintes
pontos:
a. Lembre-se de que a ACL utiliza a lgica da primeira combinao.
b. Considere utilizar a matemtica (possivelmente) mais rpida descrita no Captulo 6, "Listas de controle de acesso
IP", que converte os pares endereo/mscara curinga de ACLs em pares endereo/mscara de sub-rede que
permitem o uso da mesma matemtica de sub-redes.
c. Observe o sentido do pacote em relao ao servidor (indo para o servidor, vindo do servidor). Certifique-se de que
os pacotes tenham valores especficos como o endereo IP origem e a porta origem, ou o endereo IP de destino
e a porta de destino, quando processados pela ACL ativada para um sentido especfico (entrada ou sada).
d. Lembre-se de que as palavras-chave tcp e udp devem ser usadas se o comando precisar verificar os nmeros das
portas. (Veja a Tabela 6-5 do Captulo 6 para obter uma lista dos nmeros porta populares TCP e UDP.)
e. Observe que os pacotes ICMP no utilizam UDP nem TCP. ICMP considerado outro protocolo combinvel com
a palavra-chave icmp (em vez de ip, tco e udp).

f. Em vez de usar o "deny any" (negar qualquer um) implcito no fmal de cada ACL, utilize o comando de configurao
explcito para negar todo o trfego no final da ACL de forma que os contadores do comando show aumentem
quando essa ao tomada.
O Captulo 6 abordou as informaes existentes por trs das dicas apresentadas no Passo 3. O restante desta seo se
concentra em comandos disponveis para investigar problemas existentes nos dois primeiros passos.
Se um problema no encaminhamento de pacotes IP estiver ocorrendo, e houver a possibilidade de que as ACLs existentes
estejam causando o problema, o primeiro passo no isolamento do problema encontrar o local e o sentido das ACLs. A
maneira mais rpida de fazer isso olhar o resultado do comando show running-config e procurar comandos ip
access-group em cada interface. Entretanto, em alguns casos, o acesso em modo ativado pode no ser permitido e os
comandos show so necessrios. A nica maneira de encontrar as interfaces e o sentido de qualquer ACL IP o
comando show ip interface, conforme mostrado no Exemplo 7-10.
Exemplo 7-10 Modelo de comando show ip interface
Internet address is 10 . 1.2 . 1/24
. 1
. 1
Broadcast address is 255.255.255.255

Address determined by setup command
MTU is 1500 bytes
He1per address is not set
Directed broadcast forwarding is disab1ed
Mu1ticast reserved groups joined: 224 . 0.0.9
Outgoing access 1ist is n o t set
Inbound access 1ist is 102
rough1y 26 more 1ines omitted for brevity
Observe que o resultado do comando mostra se a ACL est ativada, em ambos os sentidos , e qual essa ACL.
O exemplo mostra uma verso abreviada do comando show ip interface SO/O/l, que apresenta mensagens
somente para uma interface. O comando show ip interface apresentaria as mesmas mensagens para cada
interface do roteador.
O Passo 2 diz que o contedo da ACL deve ser encontrado. Novamente, a forma mais rpida de olhar a ACL usar o
comando show running-config. Se o modo enable (ativado) no for permitido, os comandos show access-lists e show
ip access-lists do o mesmo resultado. A nica diferena que se outras ACLs no-IP tiverem sido configuradas, o
comando show accesslists tambm apresenta as ACLs no-IP. O resultado fornece os mesmos detalhes mostrados nos
comandos de configurao, bem como um contador para o nmero de pacotes que combinam com cada linha da ACL. O
Exemplo 7-11 ilustra um desses casos.
Exemplo 7-11 Modelo de comando show ip access-lists
R1# show ip access-lists
Extended IP access 1ist 102
10 permit ip 10.1.2.0 0.0 . 0 . 255 10.1.1.0 0.0 . 0.255
.'
:1
Seria1010/1 is up, 1ine protoco1 is up
- I
R1 >show ip interface sO/0/1
(1 5 matches)
Depois que os locais, os sentidos e os detalhes de configurao das vrias ACLs tiverem sido descobertos nos Passos
1 e 2, comea a parte difcil: interpretar o que a ACL realmente faz. De interesse especial o ltimo item da lista de
dicas para resoluo de problemas, ou seja, o item 3E. Na ACL mostrada no Exemplo 7-11, alguns pacotes (15 at
ento) combinaram com a nica sentena access-list configurada na ACL 102. Entretanto, alguns pacotes foram
provavelmente negados por causa da lgica implcita "deny ali" (negar todos) dos pacotes no final de uma ACL. Ao
configurar o comando access-list 102 deny ip any any no final da ACL, que combina explicitamente com todos
pacotes e os descarta, o comando show ip access-lists mostraria o nmero de pacotes que esto sendo negados no
fmal da ACL. A Cisco s vezes recomenda acrescentar a sentena explcita "deny ali" no final da ACL para facilitar
a resoluo de problemas.
e _____________________________________________________________
CCNA ICND2
217
(~~~;~o
,. c_
....
Descrio
Tabela 7-1
Mensagens ICMP populares e suas finalidades
196
Figura 7-3
Diagrama de como o campo do cabealho TIL

IP e a mensagem ICMP de Tempo Excedido funcionam
199
Nmero da pgina
. ------------------------------------------------------------
Figura 7-4
Demonstrao de como o comando traceroute utiliza

o campo TIL e a mensagem de Tempo Excedido
200
Dois passos principais e vrios subpassos em um

processo sugerido de isolamento de problemas
relativos a roteamento de hosts
202
. ------------------------------------------------------------
Lista
Lista
Trs passos principais para o isolamento de

problemas relativos a roteamento IP em roteadores,
com a lista numerada como continuao da lista
de isolamento de problemas relativos a roteamento
de hosts
203
e ________________________________________________________________
__
Lista
Trs dicas de itens gerais a serem verificados ao

resolver problemas relativos a conectividade de hosts
209
-----------------------------------------------------------------Lista
Lista de passos de configurao para detalhes de

IP em switches
Lista
Condies sob as quais as sub-redes sobrepostas

podem ser configuradas e quando o lOS pode
evitar esse erro
209
------------------------------------------------------------------------------------
212
e ---------------------------------------------------------------
Lista
Resumo das dicas de resoluo de problemas

para questes em que o VLSM possa estar
causando um problema
214
. --------------------------------------------------------------
Lista
Trs passos para resoluo de problemas relativos

a ACLs, principalmente quando a configurao no
pode ser exibida
215
. ---------------------------------------------------------------
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: rota avante, rota inversa.

- Implementar um esquema de endereamento IP e de servios IP para satisfazer aos requisitos de rede

uma rede empresarial de porte mdio
- Identificar e corrigir problemas comuns associados a endereamento IP e configuraes de hosts
- Configurar e resolver problemas de operao bsica e roteamento em dispositivos Cisco
- Comparar e contrastar mtodos de roteamento e protocolos de roteamento

- Configurar, verificar e resolver problemas relativos a OSPF
- Configurar, verificar e resolver problemas relativos a EIGRP
- Verificar a configurao e a conectividade utilizando ping, traceroute, telnet ou SSH
- Resolver problemas de implementao de roteamento
- Verificar a operao de hardwares e softwares de roteadores utilizando os comandos SHOW e DEBUG .
Parte 111: Configurao e

resol uo de problemas
relativos a protocolos de
roteamento
-------------------------------------------
Captulo 8 Teoria dos protocolos de

roteamento
Captulo 9 OSPF
Captulo 10 EIGRP
Captulo 11 Resolvendo problemas em

protocolos de roteamento

seguintes assuntos:
Viso geral sobre o protocolo de roteamento dinmico:
esta seo introduz os principais conceitos por trs do
funcionamento dos protocolos de roteamento e vrios
termos relacionados a protocolos de roteamento.
Recursos do protocolo de roteamento vetor distncia:

esta seo explica como os protocolos de roteamento vetor
distncia funcionam, concentrando em recursos que evitam
a ocorrncia de loops.
Recursos do protocolo de roteamento link-state: esta

seo explica como os protocolos de roteamento link-state
funcionam, utilizando OSPF como exemplo especfico.
CAPTULO
: Teoria dos protocolos de roteamento
e _______________________________________________________
A Parte lI, "Roteamento IP", concentrou-se no processo de roteamento IP (encaminhamento de pacotes), com uma
abordagem de como os roteadores preenchem suas tabelas de roteamento. A Parte m, "Configurao e resoluo de
problemas relativos a protocolos de roteamento", que comea com este captulo, muda o foco para como os roteadores
preenchem suas tabelas de roteamento utilizando protocolos de roteamento dinmico.
Os protocolos de roteamento IP funcionam em um conjunto de roteadores, enviando mensagens a roteadores prximos
para ajudar esses roteadores a aprender todas as melhores rotas para se alcanar cada sub-rede. Embora esse objetivo
fundamental seja simples, os processos utilizados pelos protocolos de roteamento tendem a ser alguns dos tpicos mais
complexos e detalhados nos exames CCNA. Este captulo comea com o exame feito por este livro sobre protocolos de
roteamento IP e explicando os conceitos fundamentais e a teoria existente por trs de como os protocolos de roteamento
funcionam. Os Captulos 9 e 10 continuam o assunto fornecendo muito mais detalhes sobre o funcionamento do OSPF e
do EIGRP, respectivamente. O Captulo 11 conclui esta parte do livro examinando alguns processos e dicas para resoluo
de problemas relativos a OSPF e EIGRP.
o questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
Questes
Viso geral sobre o protocolo de roteamento dinmico
1-5
Recursos do protocolo de roteamento do vetor distncia
6-8
Protocolo de roteamento link-state
9 elO
1. Quais dos seguintes protocolos de roteamento utilizam a lgica vetor distncia?
a. RIP-1
b. RIP-2
c. EIGRP
d.OSPF
e. BGP
f. IS-IS Integrado
2. Quais dos seguintes protocolos de roteamento utilizam a lgica link-state?
a. RIP-1
b. RIP-2
222 Captulo 8: Teoria dos protocolos de roteamento

c. EIGRP
d.OSPF
e. BGP
f. IS-IS Integrado
3. Quais dos seguintes protocolos de roteamento utilizam uma mtrica que , como padro, pelo menos parcialmente
afetada pela largura de banda do link?
3.
RIP-l
b. RIP-2
c. EIGRP
d.OSPF
e. BGP
4. Quais dos seguintes protocolos de roteamento interior aceitam o VLSM?
3.
RIP-l
b. RIP-2
c. EIGRP
d.OSPF
e. IS-IS Integrado
5. Qual das seguintes situaes faria com que um roteador utilizando RIP-2 removesse todas as rotas aprendidas de um
roteador vizinho em particular?
3.
Falha no RIP keepalive
b. No receber mais atualizaes daquele vizinho

c. Atualizaes recebidas 5 ou mais segundos aps a ltima atualizao ter sido enviada quele vizinho
d. Atualizaes daquele vizinho tm um flag global "route bad" ("rota ruim")
6. Qual dos seguintes recursos do vetor distncia impede a ocorrncia de loops de roteamento fazendo com que o
protocolo de roteamento anuncie apenas um subconjunto de rotas conhecidas, ao contrrio da tabela de roteamento
completa, sob condies estveis e normais?
3.
Contagem at o infinito
b. Poison reverse
c. Holddown
d.Splithorizon
e. Route poisoning (envenenamento de rotas)
7. Qual dos seguintes recursos do vetor distncia impede a ocorrncia de loops de roteamento anunciando uma rota com :
mtrica infinita quando uma rota falha?
3. Holddown
b. Atualizaes completas (Full Updates)

c. Split horizon
d. Route poisoning
8. Um roteador que est usando um protocolo vetor distncia acabou de receber uma atualizao de roteamento que .
apresenta uma rota como tendo uma mtrica inflnita. A atualizao de roteamento anterior daquele vizinho apresentou
uma mtrica vlida. Qual das seguintes aflrmativas no uma reao normal a este cenrio?
CCNA ICND2
223
a. Imediatamente enviar uma atualizao parcial que inclui uma rota envenenada para a rota que falhou
b. Colocar a rota no estado holddown
c. Suspender o split horizon para aquela rota e enviar uma rota poison reverse
d. Enviar uma atualizao completa apresentando uma rota envenenada (route poisoning) para a rota que falhou
9. Uma inter-rede est usando um protocolo de roteamento link-state. Os roteadores distriburam todos os LSAs e a rede
est estvel. Qual das seguintes afirmativas descreve o que os roteadores faro para redistribuir os LSAs?
a. Cada roteador redistribui cada LSA utilizando um timer peridico com um tempo semelhante aos timers de atualizao
do vetor distncia.
b. Cada roteador redistribui cada LSA utilizando um timer peridico muito maior que os timers de atualizao do vetor
distncia.
c. Os roteadores nunca redistribuem os LSAs desde que eles no mudem.
d. Os roteadores redistribuem todos os LSAs sempre que um deles muda.
10. Qual das seguintes afIrmativas verdadeira sobre como um roteador que utiliza um protocolo de roteamento linkstate escolhe a melhor rota para alcanar uma sub-rede?
a. O roteador encontra a melhor rota no banco de dados link-state.
b. O roteador calcula a melhor rota executando um algoritmo SPF em comparao com as informaes contidas no
banco de dados link-state.
c. O roteador compara as mtricas apresentadas para aquela sub-rede nas atualizaes recebidas de cada vizinho e
escolhe a melhor (mais baixa) rota mtrica.
: Tpicos fundamentais
Viso geral sobre os protocolos de roteamento dinmico
Os protocolos de roteamento defInem vrias maneiras em que os roteadores conversam entre si para determinar as
melhores rotas at cada destino. Conforme as redes foram se tornando mais complexas com o passar do tempo, os
roteadores adquiriram maior poder de processamento e RAM. Em conseqncia disso, os engenheiros comearam a
projetar protocolos de roteamento mais novos, aproveitando os links e os roteadores mais velozes, transformando os
protocolos de roteamento. Este captulo segue esse progresso at certo ponto, comeando com uma introduo aos
protocolos de roteamento. Em seguida, explicada a teoria existente por trs dos protocolos de roteamento vetor distncia,
utilizada com os primeiros protocolos de roteamento IP. A seo fInal deste captulo examina a teoria por trs dos
protocolos de roteamento link-state, utilizada por alguns dos protocolos de roteamento defInidos mais recentemente.
Observao Se voc estiver usando o plano de leitura sugerido na Introduo, provvel

que j tenha lido sobre protocolos de roteamento no CCENT/CCNA ICNDJ Guia Oficial de
Certificao do Exame. Em caso positivo, se desejar, examine de forma mais rpida o texto
que vai deste ponto at o subttulo "Comparaes do IGP: Resumo", pois as vrias pginas
a seguir abordam tpicos j discutidos no Captulo 14 do livro ICND1.
Os roteadores acrescentam rotas IP s suas tabelas de roteamento utilizando trs mtodos: rotas para redes diretamente
conectadas, rotas estticas e rotas aprendidas utilizando protocolos de roteamento dinmico. Entretanto, antes de nos
aprofundarmos na discusso, importante defInir alguns termos relacionados e esclarecer qualquer erro de concepo
sobre os termos protocolo de roteamento, protocolo roteado e protocolo rotevel. Os conceitos por trs desses
termos no so to difceis, mas como os termos so muito semelhantes, e como muitos documentos do pouca ateno
a quando cada um dos termos usado, eles podem se tornar um pouco confusos. Esses termos so geralmente defInidos
como se segue:
224
Captulo 8: Teoria dos protocolos de roteamento
- Protocolo de roteamento: conjunto de mensagens, regras e algoritmos utilizados por roteadores com a finalidade _
/;~~;~o
de aprender rotas. Este processo inclui a troca e a anlise de informaes sobre roteamento. Cada roteador escolhe
\ chave a melhor rota para alcanar uma sub-rede (escolha de trajeto) e finalmente coloca essas melhores rotas em sua
'.
tabela de roteamento IP. Exemplos incluem RIP, EIGRP, OSPF e BGP.
- Protocolo roteado e protocolo rotevel: ambos os termos se referem a um protocolo que define uma estrutura de
pacote e um endereamento lgico, permitindo que os roteadores encaminhem ou direcionem pacotes. Os roteadores
encaminham ou direcionam pacotes definidos pelos protocolos roteado ou rotevel. Exemplos incluem IP e IPX
(parte do modelo de protocolo Novell NetWare).
Observao O termo escolha de trajeto s vezes se refere a parte do trabalho de um protocolo

de roteamento, em que o protocolo de roteamento escolhe a melhor rota, ou melhor caminho
para alcanar o destino.
~----~--------------------------------------------
Muito embora protocolos de roteamento (tais como o RIP) sejam diferentes dos protocolos roteados (tais como o IP),
eles trabalham juntos e bem prximos. O processo de roteamento encaminha pacotes IP, mas se um roteador no possuir
nenhuma rota em sua tabela de roteamento IP que combine com o endereo de destino de um pacote, o roteador descarta
o pacote. Os roteadores precisam dos protocolos de roteamento para que possam aprender todas as rotas possveis e
acrescent-las tabela de roteamento para que o processo de roteamento possa encaminhar (direcionar) protocolos
roteveis tais como o IP.
Funes do protocolo de roteamento

O software Cisco lOS aceita vrios protocolos de roteamento IP, executando as mesmas funes gerais:
1. Aprender informaes de roteamento dadas por outros roteadores vizinhos com relao a sub-redes IP.
-.
/;~~;~o
\~h.ve
2. Anunciar informaes de roteamento sobre sub-redes IP aos outros roteadores vizinhos.
3. Se existir mais de uma rota possvel para alcanar uma sub-rede, escolher a melhor rota com base em uma mtrica.
4. Se a topologia de rede mudar - por exemplo, um link falhar -, reagir anunciando que algumas rotas falharam e
escolher uma nova melhor rota atual. (Este processo chamado de convergncia.)
Observao Um roteador vizinho se conecta ao mesmo link (por exemplo, o mesmo link
WAN ou a mesma LAN Ethernet) de outro roteador, sendo que os dois roteadores so vizinhos.
A Figura 8-1 mostra um exemplo de trs das quatro funes da lista. Tanto RI quanto R3 aprendem sobre uma rota at
a sub-rede 172.16.3.0/24 a partir de R2 (funo 1). Depois que R3 fica sabendo sobre a rota at 172.16.3.0/24 a partir de
R2, R3 anuncia aquela rota a RI (funo 2). Em seguida, RI deve tomar uma deciso sobre as duas rotas aprendidas
para alcanar a sub-rede 172.16.3.0/24: uma com a mtrica 1 a partir de R2 e outra com a mtrica 2 a partir de R3. RI
e colhe a rota com a menor mtrica passando por R2 (funo 3).
A quarta funo do protocolo de roteamento apresentada aqui a convergncia. O termo convergncia se refere a um
processo que ocorre quando a topologia muda, isto , quando um roteador ou um link falha ou volta a ficar ativo novamente.
Quando algo muda, as melhores rotas disponveis na rede podem mudar. A convergncia simplesmente se refere ao
processo atravs do qual todos os roteadores percebem conjuntamente que algo mudou, anunciam a informao sobre as
alteraes ocorridas a todos os outros roteadores e todos os roteadores ento escolhem as melhores rotas atuais para
cada sub-rede. A capacidade de convergir rapidamente, sem provocar loops, uma das consideraes mais importantes
ao escolher qual protocolo de roteamento IP usar.
CCNA ICND2
225
Figura 8.1 Trs das quatro funes bsicas dos protocolos de roteamento
172.1 6.5.253
FAOto
Tabela de Roteamento IP de R1
Sub-rede
Interface Prxima
de Sarda
172.16.3.0 SOlO
172.16.2.252
Parada
Mtrica
Possuo uma rota at

172.16.3.Qf24, mtrica 1
Na Figura 8-1, pode ocorrer convergncia se o link entre RI e R2 falhar. Neste caso, RI deveria deixar de usar sua
antiga rota para a sub-rede 172.16.3.0/24 (passando diretamente por R2), enviando, em vez disso, pacotes a R3.
Protocolos de roteamento internos e externos
Os protocolos de roteamento IP se enquadram em duas categorias principais: IGP (Interior Gateway Protocols, ou
Protocolo de Roteamento Interior) ou EGP (Exterior Gateway Protocol, ou Protocolo de Roteamento Exterior). As
definies de cada um so as seguintes:
......... - IGP: Protocolo de roteamento projetado para uso dentro de um nico sistema autnomo (autonomous system (AS),
.,. ~:~o

ou sistema autnomo) .
- EGP: Protocolo de roteamento projetado para uso entre diferentes sistemas autnomos.
Observao Os termos IGP e EGP incluem a palavra gateway porque os roteadores
antigamente eram chamados de gateways.
Essas definies utilizam outro termo novo: sistema autnomo (AS). UmAS uma inter-rede sob o controle administrativo
de uma nica organizao. Por exemplo, uma inter-rede criada e mantida por uma nica empresa provavelmente um
nico AS, e uma inter-rede criada por um nico sistema escolar provavelmente um nico AS. Outros exemplos incluem
grandes divises de um governo estadual ou nacional, onde diversas agncias governamentais podem construir suas
prprias inter-redes. Cada ISP (Internet Service Provider, ou Provedor de Servios de Internet) tambm normalmente
um nico AS diferente.
Alguns protocolos de roteamento funcionam melhor dentro de um nico AS com base no projeto, e, portanto, esses
protocolos de roteamento so chamados IGPs. Por outro lado, protocolos de roteamento projetados para trocar rotas
entre roteadores em diferentes sistemas autnomos so chamados EGPs. (Atualmente, existe somente um EGP legtimo:
o BGP (Border Gateway Protocol).
Pode-se designar um nmero a cada AS chamado (obviamente) AS number (ASN, em ingls). Assim como os endereos
IP pblicos, o ICANN (Internet Corporation for Assigned Network Numbers , http://www.icann.org) controla os
direitos de designao de ASNs em todo o mundo. Ele delega essa autoridade a outras organizaes ao redor do mundo,
normalmente as mesmas organizaes que designam endereos IP pblicos. Na Amrica do norte, por exemplo, o ARIN
(American Registry for Internet Numbers, http://www.arin.netl) designa intervalos de endereos IP pblicos e ASNs.
A Figura 8-2 mostra uma pequena idia da Internet mundial. A figura mostra duas empresas e trs ISPs utilizando IGPs
(OSPF e EIGRP) dentro de suas prprias redes, com o BGP sendo usado entre os ASNs.
Figura 8-2 comparando locais para utilizar IGPs e EGPs

ASN 100
Comparando IGPs
Atualmente, na verdade no existe uma opo de qual EGP usar: voc simplesmente usa o BGP. Entretanto, ao escolher
um IGP para utilizar dentro de uma nica organizao, existem vrias opes. As opes mais razoveis hoje em dia so
RIP-2, EIGRP e OSPE Desses trs IGPs, o RIP-2 j foi abordado em mais detalhe no CCENT/CCNA ICNDJ Guia
Oficial de Certificao do Exame e este livro aborda OSPF e EIGRP em mais profundidade nos Captulos 9 elO,
respectivamente. Esta seo introduz alguns pontos de comparao importantes entre os vrios IGPs IP.
Algoritmos do protocolo de roteamento IGP

O algoritmo existente por trs de um protocolo de roteamento determina como o protocolo de roteamento executa seu
trabalho. O termo algoritmo de protocolo de roteamento simplesmente se refere lgica e aos processos utilizados por
diferentes protocolos de roteamento para resolver o problema do aprendizado de todas as rotas, da escolha da melhor
rota at cada sub-rede e a convergncia em reao s alteraes feitas na inter-rede. Existem trs ramos principais de
algoritmos de protocolo de roteamento para protocolos de roteamento IGP:
- Vetor distncia (s vezes chamado Bellman-Ford, em homenagem a seus criadores)
/;~;;~o
- Link-state
\ Ch.ve
00 0
- Balanced hybrid (s vezes chamado vetor distncia avanado)

Historicamente falando, os protocolos vetor distncia foram inventados primeiro, principalmente no incio da dcada de
1980. O RIP foi o primeiro protocolo do vetor distncia IP usado popularmente, com o IGRP (Interior Gateway Routing
Protocol), patenteado pela Cisco, sendo introduzido um pouco mais tarde. J no incio da dcada de 1990, a convergncia
um tanto lenta e o potencial de ocorrncia de loops dos protocolos vetor distncia conduziram o desenvolvimento de
novos protocolos alternativos de roteamento que usavam novos algoritmos. Os protocolos link-state - de modo especial,
o OSPF e o IS-IS Integrado - resolveram as principais questes relativas aos protocolos vetor distncia, mas exigiram
um maior planejamento em redes de porte mdio e grande
Por volta da mesma poca em que o OSPF foi introduzido, a Cisco criou um protocolo de roteamento patenteado
chamado EIGRP (Enhanced Interior Gateway Routing Protocol, ou Protocolo de Roteamento Interno Avanado), que .
CCNA ICND2
227
utilizava alguns recursos do antigo protocolo IGRP. O EIGRP resolvia os mesmos problemas que os protocolos de
roteamento link-state, mas com uma menor necessidade de planejamento ao implementar a rede. Com o passar do
tempo, o EIGRP foi classificado como um tipo exclusivo de protocolo de roteamento - nem vetor distncia nem link-state
- e, portanto, ele chamado de protocolo balanced hybrid ou de protocolo vetor distncia avanado.
A segunda e a terceira sees deste captulo examinam os algoritmos vetor distncia e link-state em mais detalhe. O
Captulo 10 explica os conceitos de balanced hybrid no contexto de discusso do EIGRP.
- M'I'
e rica
Os protocolos de roteamento escolhem a melhor rota para alcanar uma sub-rede optando pela rota que possui a menor
mtrica. O RIP, por exemplo, utiliza um contador do nmero de rotas (paradas) entre um roteador e a sub-rede de
destino. A Tabela 8-2 apresenta os protocolos de roteamento IP mais importantes para os exames CCNA e alguns
detalhes sobre a mtrica em cada caso.
Tabela 8-2 Mtrica IGP IP
IGP
Mtrica
RIP-l, RIP-2
Contagem de saltos
(Hop count)
Descrio
. ------------------------------------------------------------Nmero de roteadores (saltos) entre um

roteador e a sub-rede de destino
. ---------------------------------------------------------.
OSPF
Custo
Soma de todas as definies de custo das

interfaces para todos os links de uma rota, com
o custo automaticamente baseado na largura
de banda da interface
EIGRP
banda e retardo
Composto de largura de
(delay)
Calculado com base no link mais lento

da rota e no retardo cumulativo
associado a cada interface da rota
Ao contrrio do RIP-l e RIP-2, as mtricas do OSPF e do EIGRP sofrem impacto das vrias definies de largura de
banda da interface. A Figura 8-3 compara o impacto da mtrica utilizada pelo RIP e pelo EIGRP.
Figura 8-3 Comparao entre a mtrica do RIP e do EIGRP
RIP, Independentemente da Largura de Banda
Sub-rede da tabela de roteamento
EIGRP
Sub-rede da tabela de roteamento

Conforme mostrado na parte de cima da figura, a rota RIP do Roteador B at 10.1.1.0 passa pelo Roteador A porque
essa rota tem uma contagem de paradas mais baixa (1) que a rota que passa pelo Roteador C (2). No entanto, na metade
inferior da figura, ao utilizar o EIGRP, o Roteador B escolhe a rota composta de duas paradas que passa pelo Roteador
C porque a largura de banda dos dois links da rota so muito mais velozes (melhores) do que na rota composta por uma
nica parada. Observe que, para que o EIGRP faa a escolha certa, o engenheiro configura corretamente a largura de
banda da interface para combinar com as velocidades reais do link, permitindo assim que o EIGRP escolha a rota mais
veloz. (O subcomando de interface bandwidth no altera a velocidade fsica real da interface. Ele simplesmente diz ao
lOS qual velocidade deve-se considerar que a interface est usando.)
Comparaes do IGP: Resumo
.
.
Para facilitar a comparao e o estudo, a Tabela 8-3 resume vrios recursos aceitos por vrios IGPs. A tabela inclui itens
especificamente mencionados neste captulo ou em captulos anteriores deste livro.
.. .
Tabela 8-3 Comparao entre protocolos de roteamento IP internos
Recurso
RIP-l
RIP-2
EIGRP
OSPF
Classless
No
Sim
Sim
Sim
Aceita VLSM
No
Sim
Sim
Sim
Sim
Envia a mscara na atualizao
No
Sim
Sim
Sim
Sim
Vetor distncia
Sim
Sim
No l
No
NO :
Link-state
No
No
No l
Sim
Sim
Aceita sumarizao automtica
No
Sim
Sim
No
No .
Aceita sumarizao manual
No
Sim
Sim
Sim
Sim
Patenteado / Proprietrio
No
No
Sim
No
No
IS-IS{c
Sim ...
Atualizaes de roteamento so
enviadas para um endereo IP multicast No
Sim
Sim
Sim
-A--------------------------N--------------S-un----------Sun
- ---------Sun----------Sun--
celta autentIcao
ao
-------------------------------------------------------- .
Convergncia
1
Lenta
Lenta
Muito rpida
Rpida
Rpida
O EIGRP muitas vezes descrito como um protocolo de roteamento balanced hybrid, em vez de link-state ou vetor distncia. Alguns
documentos se referem ao EIGRP como um protocolo vetor distncia avanado.
Alm da Tabela 8-3, a Tabela 8-4 apresenta vrios outros itens sobre RIP-2, OSPF e EIGRP. Os itens da Tabela 8-4 so
explicados por completo nos Captulos 9 e 10, mas so includos aqui para sua referncia durante o estudo.
Tabela 8-4 Comparao de recursos de IGPs: RIP-2, EIGRP e OSPF
/;~~;~D
\~have
Recursos
RIP-2
OSPF
EIGRP
Mtrica
Contagem de saltos
(Hop count)
Custo do link
Funo da largura de banda e

do retardo (delay)
Envia atualizaes peridicas
Sim (30 segundos)
No
No
Atualizaes de roteamento inteiras

ou parciais
Inteira
Parcial
Parcial
Para onde as atualizaes so enviadas
(224.0.0.9) 1
(224.0.0.5,
224.0.0.6)
(224.0.0.10)
CCNA ICND2
Mtrica considerada "infinita"
16
(2 24
Aceita balanceamento de carga de custo desigual
No
No
1)
(2 32
229
1)
Sim
Esta tabela especificamente se refere a recursos do RIP-2, mas a nica diferena em relao ao RIP-l nessa tabela
que o RIP-l transmite atualizaes para o endereo IP 255.255.255.255.
Distncia administrativa
Muitas empresas e organizaes utilizam um nico protocolo de roteamento. Entretanto, em alguns casos, uma empresa
precisa utilizar vrios protocolos de roteamento. Se duas empresas, por exemplo, conectam as suas redes de forma que
possam trocar informaes, necessrio que elas troquem algumas informaes de roteamento. Se uma empresa utiliza
RIP e a outra utiliza EIGRP, em pelo menos um roteador, tanto o RIP quanto o EIGRP devem ser usados. Da, aquele
roteador pode tomar rotas aprendidas pelo RIP e anunci-las ao EIGRP, e vice-versa, atravs de um processo chamado
redistribuio de rotas.
Dependendo da topologia de rede, os dois protocolos de roteamento podem aprender rotas que levam s mesmas subredes. Quando um nico protocolo de roteamento aprende vrias rotas que levam mesma sub-rede, a mtrica diz a ele
qual a melhor rota. No entanto, quando dois protocolos de roteamento diferentes aprendem rotas que levam mesma
sub-rede, pois a mtrica de cada protocolo de roteamento baseada em informaes diferentes, o lOS no consegue
comparar a mtrica. O RIP, por exemplo, pode aprender uma rota at a sub-rede 10.1.1.0 com mtrica 1, e o EIGRP
pode aprender uma rota at 10.1.1.0 com mtrica 2,195,416, mas o EIGRP pode ser a melhor rota-ou no. Simplesmente
no h uma base de comparao entre as duas mtricas.
Quando o lOS tem de escolher entre rotas aprendidas utilizando protocolos de roteamento diferentes, ele utiliza um
conceito chamado distncia administrativa. A distncia administrativa um nmero que denota o quo confivel um
protocolo de roteamento em um nico roteador. Quanto mais baixo o nmero, melhor ou mais confivel o protocolo de
roteamento. O RIP, por exemplo, possui uma distncia administrativa padro igual a 120, e o EIGRP igual a 90, fazendo
com que o EIGRP seja mais confivel que o RIP. Portanto, quando os dois protocolos de roteamento aprendem rotas que
levam mesma sub-rede, o roteador acrescenta somente a rota EIGRP tabela de roteamento.
Os valores da distncia administrativa so configurados em um nico roteador e no so trocados com outros roteadores.
A Tabela 8-5 apresenta as vrias fontes de informao de roteamento, junto com as distncias administrativas padro.
Tabela 8-5 Distncias administrativas padro
!;~;;~o
Tipo de rota
Distncia administrativa
Conectada
Esttica
BGP (rotas externas)
20
EIGRP (rotas internas)
90
IGRP
100
OSPF
IS-IS
110
115
RIP
120
EIGRP (rotas externas)
170
BGP (rotas internas)
200
No usvel
255
:. Chave
....
230 Cap tulo 8: Teoria dos protocolos de roteamento

Observao O comando show ip route apresenta a distncia administrativa de cada rota como
o primeiro dos dois nmeros contidos em parnteses. O segundo nmero dentro dos
parnteses a mtrica.
A tabela mostra os valores das distncias administrativas padro, mas o lOS pode ser configurado para alterar a distncia
administrativa de um determinado protocolo de roteamento, de uma rota especfica ou at mesmo de uma rota esttica.
O comando ip route 10.1.3.0 255.255.255.0 10.1.130.253, por exemplo, define uma rota esttica com uma distncia
administrativa padro igual a 1, mas o comando ip route 10.1.3.0 255.255.255.0 10.1.130.253 210 define a mesma
rota esttica com uma distncia administrativa igual a 210.
Recursos do protocolo de roteamento vetor distncia

Esta seo explica os conceitos bsicos dos protocolos de roteamento do vetor distncia, utilizando RIP como exemplo.
Esta seo comea examinando as operaes bsicas normais dos protocolos do vetor distncia, seguido de uma explicao
completa dos vrios recursos para evitar a ocorrncia de loops no vetor distncia.
Conceito de distncia e de vetor

O termo vetor distncia descreve o que um roteador sabe sobre cada rota. Ao final do processo, quando um roteador
aprende sobre uma rota que leva a uma sub-rede, tudo que o roteador sabe alguma medida da distncia (a mtrica), o
roteador do prximo salto e a interface de sada a ser usada para aquela rota (um vetor ou um sentido) . Para mostrar mais
exatamente o que faz um protocolo vetor distncia, a Figura 8-4 apresenta uma viso do que um roteador aprende com
o protocolo de roteamento do vetor distncia. A figura mostra uma inter-rede na qual RI aprende sobre trs rotas para
alcanar a sub-rede X:
- A rota composta por quatro saltos passando por R2
- A rota composta por trs saltos passando por R5
- A rota composta por dois saltos passando por R7
Figura 8-4 Informaes aprendidas utilizando protocolos vetor distncia
I~ -
Atualizao de roteamento
RI aprende sobre a sub-rede e urna mtrica associada quela sub-rede, e nada mais. RI deve escolher a melhor rota
para alcanar a sub-rede X. Neste caso, ele escolhe a rota composta por dois saltos passando por R7, pois ela possui a
menor mtrica. Para ter uma melhor idia do significado do termo vetor distncia, considere a Figura 8-5, que mostra o
que RI realmente sabe sobre a sub-rede X da Figura 8-4.
CCNA ICND2
231
Figura 8-5 Representao grfica do conceito de vetor distncia

Viso que o vetor distncia
de R1 tem da topologia
para alcanar a sub-rede X
Sub-rede X
Efetivamente, tudo que RI sabe sobre a sub-rede X so trs vetores. O comprimento dos vetores representa a mtrica,
que descreve o quanto a rota boa (ou ruim). O sentido do vetor representa o roteador do prximo salto. Portanto, com
a lgica do vetor distncia, os protocolos de roteamento no aprendem muito sobre a rede quando recebem atualizaes
de roteamento. Tudo que os protocolos de roteamento sabem algum conceito de vetor: o comprimento de um vetor a
distncia (mtrica) para alcanar uma sub-rede, e o sentido de um vetor passa pelo vizinho que anunciou a rota.
Operao do vetor distncia em uma rede estvel
Protocolos de roteamento do vetor distncia enviam atualizaes de roteamento completas periodicamente. A Figura 86 ilustra esse conceito em uma inter-rede simples composta por dois roteadores, trs sub-redes LAN e uma sub-rede
WAN. A figura mostra as tabelas de roteamento completas de ambos os roteadores, apresentando todas as quatro rotas,
e as atualizaes completas e peridicas enviadas por cada roteador.
Figura 8-6 Operaes RIP normais em Steady-State (estveis)

Fonte
Sub-rede
RiP
RIP
Conn .
Conn .
172.30.21.0/24
172.30.22.0124
172.30.1.0/24
172.30.1 1.0/24
Interface Prxima parada

de sada
5010
172.30.1.2
SOlO
172.30.1.2
NIA
5010
FaOIO
NIA
Mtrica
O
O
Fonte
Conn.
Conn.
Conn .
RIP

de sada
172.30.21.0/24 FaOIO
NIA
N/A
172.30.22.0124 FaOl1
NIA
172.30.1.0/24 50/1/0
172.30.1 .1
172.30.11 .0/24 5011 /0
Sub-rede
Mtrica
O
O
O
FAO/1 - 172.30.22.2124
I-
....,.....~FA.:.:O:.:./O~---=~~~S::::O/O,,":-:--:-:-_ _ _~
172.30.11.1
50/1/0
"'-_ _ _ _1;.;.72
;;;..30;..;.;.;.
.1;.;;,
.2. .
172.30.1.1
FAO/O . 172.30.21.2124
Atualizao RIP
1172.30.11.0,
mtrica1~ -
- - -
Atualizao RIP 1172.30.11.0, mtrical~----~
~----
~----
Atualizao RIP
Para entender melhor as operaes do vetor distncia nessa figura, concentre-se em alguns dos fatos mais importantes
sobre o que o roteador RI aprende em relao sub-rede 172.30.22.0/24, que a sub-rede conectada interface FaO/
1 de R2:
1. R2 considera que tem uma rota sem nenhum salto em relao sub-rede 172.30.22.0/24, e, portanto, na atualizao
de roteamento enviada por R2 (mostrada abaixo do cone do roteador R2), R2 anuncia uma rota com mtrica 1
(contagem de paradas 1).
2. RI recebe a atualizao RIP de R2, e como RI no aprendeu nenhuma outra rota possvel at 172.30.22.0/24, essa
deve ser a melhor rota de RI at a sub-rede.

3. R 1 acrescenta a sub-rede sua tabela de roteamento, listando-a como uma rota RIP aprendida.
4. Para a rota aprendida, RI utiliza uma interface de sada SOlO, pois RI recebeu a atualizao de roteamento de R2 na .
interface SOlO de RI.

5. Para a rota aprendida, RI utiliza um prximo roteador 172.30.1.2, pois RI aprendeu a rota a partir de uma atualizao .
RIP cujo endereo IP fonte era 172.30.1.2.
Ao final deste processo, RI aprendeu uma nova rota. O resto das rotas RIP aprendidas neste exemplo segue o mesmo :
processo.
Alm do processo de anunciar e aprender rotas, a Figura 8-6 tambm destaca alguns outros fatos importantes sobre
protocolos vetor distncia:
/;:~;~o
\~have
- Peridico: os cones que mostram uma ampulheta representam o fato de que as atualizaes se repetem em ciclos
regulares. O RIP utiliza um intervalo de atualizao de 30 segundos, como padro.
- Atualizaes completas: os roteadores sempre enviam atualizaes completas em vez de enviar somente informaes
de roteamento novas ou alteradas.
- Atualizaes completas limitadas por regras de split horizon: o protocolo de roteamento omite algumas rotas
das atualizaes completas peridicas devido s regras de split horizon. Split horizon um recurso que evita a
ocorrncia de loops, abordado nas prximas pginas.
Preveno de loops com o vetor distncia
Como pode ser visto, o verdadeiro processo do vetor distncia bastante simples. Infelizmente, a simplicidade dos
protocolos do vetor distncia trouxe consigo a possibilidade de loops de roteamento. Loops de roteamento ocorrem
quando os roteadores encaminham pacotes de forma que o mesmo pacote acabe voltando aos mesmos roteadores,
repetidas vezes, desperdiando largura de banda e nunca entregando o pacote. Em redes de produo, o nmero de
pacotes em loop pode congestionar a rede ao ponto de ela se tomar no usvel; portanto, loops de roteamento devem ser
evitados tanto quanto possvel. O resto da abordagem sobre protocolos vetor distncia neste captulo voltado para a
descrio dos vrios recursos do vetor distncia que auxiliam na preveno de loops.
Route Poisoning (Envenenamento de rotas)
Quando uma rota falha, os protocolos de roteamento do vetor distncia correm o risco de provocar loops de roteamento
at que todos os roteadores da inter-rede acreditem e saibam que a rota original falhou. Em conseqncia disso, os
protocolos vetor distncia precisam de uma maneira de identificar especificamente quais rotas falharam.
Os protocolos vetor distncia espalham a m notcia sobre a falha de uma rota envenenando a rota. O Route poisoning
(envenenamento da rota) se refere prtica de anunciar uma rota, mas com um valor de mtrica especial chamado
infinito. Simplificando, os roteadores consideram que as rotas anunciadas com uma mtrica infinita falharam. Observe
que cada protocolo de roteamento vetor distncia utiliza o conceito de um valor de mtrica verdadeiro que representa o
infinito. O RIP defme o infinito como 16.
_
__
A Figura 8-7 mostra um exemplo de route poisoning com o RIP, com a falha da interface FaO/1 de R2, significando que
a rota de R2 para 172.30.22.0/24 falhou.
----------------------------------~------------Observao Embora rotas envenenadas pelo RIP tenham uma mtrica igual a 16, o comando .
show ip route no lista o valor da mtrica. Em vez disso, ele apresenta a frase ''possibly down"
("possivelmente inativo").
--~------------------------------------------------~
\.
Figura 8-7 Route Poisoning (Envenenamento de Rotas)
..........
Fonte
Sub-rede
RIP
RIP
Conn.
Conn.
172.30.21.0124
172.30.22.0124
172.30 .1.0124
172.30 .11 .0124
( T6plco
:. Chave
de sarda
5010
172.30.1.2
172.30.1.2
SOlO
N/A
5010
FaOIO
N/A
Mtrica
Fonte
16~~
Conn.
eOlili.
Conn.
RIP
O
O

de sada
172.30.21.0124 FaOIO
N/A
172.96.22.11124 Fal!o'1
NM
172.30.1.0124 50/110
N/A
172.30.11.0124 50/110
172.30.1.1
Sub-rede
Mtrica
....
6
O
1
72.30.22.2124
FAOIO ~....,......... SOlO
1-1~72:-:.3O~.~11;';'
. 1"
SO/110
172.30.1.2
172.30.1.1
0.----------,
172.30.21 .0, mtrica 1
_ _ _ _
172.30.22.0, mtrica 16
A Figura 8-7 mostra o seguinte processo:
233
CCNA ICND2
1. A interface FaO/l de R2 falha.

2. R2 remove de sua tabela de roteamento a sua rota conectada referente a 172.30.22.0/24.
3. R2 anuncia 172.30.22.0 com uma mtrica infinita, que para o RIP 16.
4. RI mantm a rota em sua tabela de roteamento, com uma mtrica infinita, at remover a rota da tabela de roteamento.
Qualquer valor de mtrica abaixo do infinito pode ser utilizado como uma mtrica vlida para uma rota vlida. Com o RIP,
isso significa que uma rota composta por 15 saltos seria uma rota vlida. Algumas das maiores redes empresariais do
mundo possuem no mximo quatro ou cinco roteadores na maior rota entre quaisquer duas sub-redes; portanto, uma
mtrica mxima vlida com 15 saltos suficiente.
Problema: contagem at o infinito em um nico link
Os protocolos de roteamento vetor distncia correm o risco de provocar loops de roteamento durante o tempo entre o
momento em que o primeiro roteador percebe que uma rota falhou at o momento em que todos os roteadores sabem que
a rota falhou. Sem os mecanismos de preveno de loops explicados neste captulo, os protocolos vetor distncia podem
enfrentar um problema chamado contagem at o infinito. Certamente, os roteadores nunca poderiam literalmente contra
at o infinito, mas eles podem contar at a sua verso de infinito - por exemplo, at 16 no RIP.
A contagem at o infinito provoca dois problemas relacionados. Vrios recursos de preveno de loops do vetor distncia
se concentram em impedir os seguintes problemas:
- Os pacotes podem fazer loops em tomo da inter-rede enquanto os roteadores contam at o infinito, sendo que a
largura de banda consumida pelos pacotes em loop prejudica a inter-rede.
- O processo de contagem at o infinito pode levar vrios minutos, significando que a ocorrncia de loops pode fazer
com que os usurios acreditem que a rede falhou.
Quando os roteadores contam at o infinito, eles ficam conjuntamente mudando de opinio sobre a mtrica da rota que
falhou. A mtrica fica mais lenta at alcanar o infinito, em cujo ponto os roteadores fmalmente acreditam que a rota
falhou. A melhor maneira de entender esse conceito ver um exemplo; a Figura 8-8 mostra os primeiros passos do.
problema relativo contagem at o infinito.
234
Captulo 8: Teoria dos protocolos de roteamento
Figura 8-8 R2 acredita erroneamente que RI possui uma rota at 172.16.22.0/24

Tabela de roteamento IP de Rl (Aps o Passo 4)
Fonte
RIP
~ RIP
Conn.
Conn.
Sub-rede
172.30.21.0/24
172.30.22.0/24
172.30.1.0/24
172.30.11 .0/24
Tabela de roteamento IP de R2 (Aps o Passo 3)

de sarda
SOlO
172.30.1.2
SOlO
172.30.1.2
N/A
SOlO
FaOIO
N/A
Mtrica
16
O
O

de sarda
172.30.21 .0/24 FaOIO
N/A
172.30.22.0/24 FaOl1
172.30.1.1
172.30.1.0/24 SO/110
N/A
172.30.11.0/24 SOI1IO
172.30.1.1
Fonte
Sub-rede
Conn.
Conn.
Conn .
RIP
SO/110 .-.....____,
. . - -...-.. SOlO
Mtrica
O
2~
O
1
72.30.22.2/24
172.30.1.2
172.30.1 .1
172.30.22.0, mtrica 16
'--_ _ _ _ _----' ......... <",."
, _ _ __ __ _ __ __
Minha antiga rota

composta por 1 parada
~ .,
., .,
., .,
., .... .,""
(outras rotas nAo mostradas)
.............
.... ....
Polsoned Route
....
....
.... ~
at 172.30.22.0 falhou mudar minha tabela

de roteamento I
Eis aqui uma nova rota

composta por 2 paradas
at 172.30.22.0 acrescente-a minha
tabela de roteamentol
A chave deste exemplo saber que a atualizao peridica de RI at R2 (da esquerda para direita na Figura 8- 8) ocorre
praticamente no mesmo instante em que R2 faz o anncio da rota envenenada para RI. A Figura 8-8 mostra o seguinte
processo:
1. A interface FaO/l de R2 falha, e, portanto, R2 remove de sua tabela de roteamento sua rota conectada para
172.30.22.0/24.
2. R2 envia um anncio de rota envenenada (mtrica de 16 para o RIP) a RI, mas aproximadamente no mesmo
instante, o timer de atualizao peridica de RI expira; portanto, RI envia sua atualizao regular, incluindo um
anncio sobre 172.30.22.0, mtrica 2.
3. R2 fica sabendo sobre a rota de mtrica 2 para alcanar 172.30.22.0 a partir de RI. Como R2 j no possui uma
rota para a sub-rede 172.30.22.0, ele acrescenta a rota composta por dois saltos sua tabela de roteamento, o
roteador RI.
4. Aproximadamente no mesmo instante do Passo 3, RI recebe a atualizao de R2, dizendo a RI que sua antiga rota
at 172.30.22.0, passando por R2, falhou. Em conseqncia disso, RI muda sua tabela de roteamento passando a
apresentar uma mtrica 16 para a rota at 172.30.22.0.
Neste ponto, RI e R2 encaminham pacotes destinados a 172.30.22.0/24 para l e para c, um para outro. R2 possui uma
rota para 172.30.22.0/24, apontando para RI , e RI possui o inverso. H a ocorrncia de loop at que RI e R2 contem at
o infinito. A Figura 8-9 mostra o prximo passo em sua marcha conjunta at o infinito.
Figura 8-9 RI e R2 contam at o infinito

Tabela de roteamento IP de R2
Tabela de roteamento IP de Rl
Fonte
RIP
~ RIP
Conn.
Conn.
Sub-rede

de sarda
172.30.21.0/24 SOlO
172.30.1.2
172.30.22.0/24 SOlO
172.30.1.2
172.30.1.0/24 SOlO
N/A
172.30.11.0/24 FaOIO
N/A
Mtrica
Fonte
1
3
O
O
Conn.
Conn.
Conn .
RIP
Sub-rede

de sarda
172.30.21.0/24 FaOIO
N/A
172.30.1 .1
172.30.22.0/24 FaOll
172.30.1.0/24 SO/1/0
N/A
172.30.11.0/24 SO/110
172.30.1.1
Mtrica
O
16 ~ - O
72.30.22.2/24
- --,.-... SOlO
172.30.11 .1
SOI1IO _
172.30.1.2
172.30.1.1
"....
........
......_
172.30.22.0, mtrica 3
(outras rotas nao mostradas)
' - - - - - - - - - - - '........ .,..-<.. .......... ' - - - - - - - - - '
_____ .... ____
Acabei de ficar sabendo

sobre uma nova rota
vlida - mtrica 3 acrescente-a minha
tabela de roteamento I
k"""
., .,.. .... "
..............
....
.........
Minha rota de
.... ~ duas paradas
falhou I - marque-a
como inativa
(mtrica 16)1
'.
I.
CCNA ICND2
235
A Figura 8-9 mostra as prximas atualizaes peridicas de ambos os roteadores, como se segue:
1. Os timers de atualizao de RI e de R2 expiram aproximadamente no mesmo instante. RI anuncia uma rota
envenenada (mtrica 16) e R2 anuncia uma rota com mtrica 3. (Lembre-se de que os roteadores RIP acrescentam
1 mtrica antes de anunciar a rota.)
2. R2 recebe a atualizao de RI e, portanto, R2 altera sua rota referente a 172.30.22.0 para utilizar uma mtrica igual
a 16.
3. Aproximadamente no mesmo instante que o Passo 2, RI recebe a atualizao de R2 e, portanto, RI altera sua rota
referente a 172.30.22.0 para utilizar uma mtrica igual a 3.
O processo continua atravs de cada atualizao peridica, com os dois roteadores finalmente alcanando a mtrica 16.
Neste momento, os roteadores poderiam expirar (dar time out) as rotas e remov-las de suas tabelas de roteamento.
Split Horizon
Na inter-rede simples usada nas Figuras 8-8 e 8-9, o roteador R2 possui uma rota conectada at 172.30.22.0, e RI
aprende a rota por causa de uma atualizao de roteamento enviada por R2. Entretanto, h pouca necessidade de RI
anunciar essa mesma rota novamente para R2, porque, a princpio, RI aprendeu essa rota com R2. Portanto, uma
maneira de evitar o problema de contagem at o infinito mostrado nessas figuras fazer com que RI simplesmente no
anuncie a sub-rede 172.30.22.0, utilizando um recurso chamado split horizon. O split horizon definido da seguinte forma:
/ .......
: Tpico
\~have
Em atualizaes de roteamento enviadas saindo pela interface X, no inclua informaes de roteamento sobre
rotas que se referem interface X como a interface de sada.
Os protocolos vetor distncia funcionam de forma bastante parecida a como as pessoas de uma vizinhana espalham
boatos. As pessoas contam aos seus vizinhos, que, por sua vez, contam a outros vizinhos, at que finalmente todo mundo
da vizinhana fica sabendo da ltima notcia. Seguindo essa analogia, se seu vizinho Fred lhe contasse um boato, voc no
viraria e lhe contraria o mesmo boato. Da mesma forma, o split horizon significa que, quando o roteador RI aprende uma
rota com o roteador R2, RI no precisa anunciar aquela mesma rota para o roteador R2 novamente.
A Figura 8-10 mostra o efeito do split horizon sobre os roteadores RI e R2 na mesma inter-rede conhecida. A tabela de
roteamento de RI (na parte de cima da figura) apresenta quatro rotas, trs das quais tm a interface SOlO de RI como a
interface de sada. Portanto, o split horizon impede que RI inclua essas trs rotas na atualizao enviada por RI saindo
de sua interface SOlO.
Figura 8-10 Efeitos do split horizon sem poison reverse

Tabela de Roteamento IP de Rt
Fonte
RIP
RIP
Conn.
Conn.

de sarda
172.30.21.0/24 SOlO
172.30.1 .2
172.30.22.0124 5010
172.30.1 .2
172.30.1.0/24 SOlO
N/A
172.30.11.0/24 FaOIO
N/A
Sub-rede
Mtrica
16
O
O
Fonte
+-
Atualizao
completa,
limitada pelo
split horizon
172.30.1.1
.---------,0
1~-1172.30.11.0, mtrica
Bc"".
Conn.
RIP

de sarda
172.30.21 .0/24 FaOIO
N/A
11'1I.99.1!Ii!
Fa8P'1
U"'A
172.30.1.0/24 SO/11O
N/A
172.30.11.0/24 SO/11O
172.30.1.1
.w,
- - ..
___cp
r17-2-.30-.2-1.o,-m-t- rlca-'1
172.30.22.0, mtrica 1
1172.30.11.0, mtrica 1
Mtrica
SO/11O ,...."".~_1'
172.30.1.2
FAO/O ..,.-.,......... SOlO

172.30.11.1
Conn.
Sub-rede
~0_ --..
Atualizao
completa,
limitada pelo
split horizon
0.------,
172.30.22.0, mtrica 16
_ _ _ _
(outras rotas no mostradas)
Rota
envenenada
O
O

A Figura 8-10 mostra o seguinte processo:
1. RI envia sua atualizao completa normal e peridica, que, devido s regras do split horizon, inclui somente uma
rota.
2. R2 envia sua atualizao completa normal e peridica, que, devido s regras do split horizon, inclui apenas duas
rotas.
3. A interface FaO/l de R2 falha.
4. R2 remove de sua tabela de roteamento sua rota conectada referente a 172.30.22.0/24.
5. R2 anuncia 172.30.22.0 com uma mtrica infinita, que, para o RIP, a mtrica 16.
6. RI temporariamente mantm a rota referente a 172.30.22.0 em sua tabela de roteamento, removendo-a da tabela
mais tarde.
7. Em sua prxima atualizao regular, RI , devido ao split horizon, ainda no anuncia a rota referente a 172.30.22.0.
O split horizon evita o problema de contagem at o infinito mostrado nas Figuras 8-8 e 8-9 porque RI simplesmente no
anuncia 172.30.22.0 a R2. Em conseqncia disso, R2 nunca fica sabendo sobre uma rota alternativa (incorreta) at
172.30.22.0. O Cisco lOS usa automaticamente o split horizon na maioria das interfaces.
Observao A implementao do RIP com o Cisco lOS no age exa tamente conforme
descrito no Passo 7 desse exemplo especfico. Em vez disso, ela utiliza um recurso chamado
poison rever se, conforme descrito na prxima seo.
Poison Reverse e Triggered Updates

Os protocolos do vetor distncia podem atacar o problema de contagem at o inftnito garantindo que todos os roteadores
fiquem sabendo que a rota falhou, atravs de todos os meios possveis, o mais rapidamente possvel. Os dois prximos
recursos para evitar a ocorrncia de loops fazem exatamente isso e so deftnidos da seguinte forma:
/;~;~o
-Triggered update (Atualizao instantnea): Quando uma rota falha, no espere pela prxima atualizao peridica.
\~have
Pelo contrrio, envie uma atualizao instantnea, ou triggered update, imediatamente listando a rota envenenada.
- Poison reverse: Ao ficar sabendo sobre uma rota que falhou, suspenda as regras do split horizon para aquela rota
e anuncie uma rota envenenada.
A Figura 8-11 mostra um exemplo de cada um desses recursos, com a interface FaO/l de R2 falhando mais uma vez.
Observe que a figura comea com todas as interfaces funcionando e todas as rotas conhecidas.
Figu ra 8-11 R2 enviando uma triggered update, com Ri anunciando uma rota poison reverse
Tabela de Roteamento IP de RI
Fonte
Sub-rede
Mtrica
Fonte
de sada
RIP
RIP
Conn.
Conn.
172.30.21 .0/24 SOlO

172.30.22.0124 SOlO
172.30.1.0/24 SOlO
172.30.11 .0/24 FaOIO
172.30.1.2
172.30.1.2
N/A
N/A
1
16
O
O
..... SOlO
gelll4.
Conn.

de sa rda
172.30.21 .0124 FaOIO
N/A
He.99.ee.M!1 FaBol4
N/A
172.30.1.0/24 SOI1IO
172.30.1.1
.--- ----,0
Mtrica
,.....
9
O
RIP
SO/11O
172.30.1.2
~......,.
172.30.22.0, mtrica 16
(SOMENTE esta rota
triggered update parcial)
Conn.
Sub-rede
---""""~;~:~~===
0.-------,
172.30.22.0, mtrica 16
... - - - -
- - - - ..
(SOMENTE esta rota

triggered update parcial)
Trlggered
Update
parcial:
0.----- --, Prxima
... _ _ _ _
Prxima
atualizao
peridica:
172.30.21 .0, mtrica 1

172.30.22.0, mtrica 16
atualizao
peridica:
CCNA ICND2
237
O processo mostrado na Figura 8-11 funciona da seguinte forma:
1. A interface FaO/1 de R2 falha.

2. R2 imediatamente envia uma triggered update parcial apenas com as informaes alteradas - neste caso, uma rota
envenenada para 172.30.22.0.
3. RI responde alterando sua tabela de roteamento e enviando de volta uma atualizao parcial imediata (triggered
update), listando somente 172.30.22.0 com uma mtrica infinita (mtrica 16). Esta uma rota poison reverse.
4. Na prxima atualizao peridica regular de R2, R2 anuncia todas as rotas tpicas, incluindo a rota envenenada para
172.30.22.0, durante um tempo.
5. Na prxima atualizao peridica regular de RI, RI anuncia todas as rotas tpicas, mais a rota poison reverse para
172.30.22.0, durante um tempo.
Neste exemplo, R2 reage imediatamente enviando a atualizao triggered update. RI tambm reage imediatamente,
suspendendo as regras do split horizon referentes rota que falhou para enviar uma rota poison reverse. Na verdade, a
rota envenenada de R2 no considerada uma rota poison reverse, porque R2 j estava anunciando uma rota para
172.30.22.0. Entretanto, a rota envenenada de RI uma rota poison reverse porque foi anunciada de volta ao roteador
com o qual RI ficou sabendo sobre a rota que falhou. De fato, alguns livros tambm se referem ao poison reverse como
split horizon com poison reverse, porque o roteador suspende a regra do split horizon para a rota que falhou.
Problema: contagem at o infinito em uma rede redundante
o split horizon impede que o problema de contagem at o infinito ocorra entre dois roteadores. No entanto, com projetos
redundantes em uma inter-rede, o que verdade na maioria das inter-redes hoje em dia, o split horizon sozinho no
impede a ocorrncia do problema de contagem at o infinito. Para visualizar o problema, a Figura 8-12 mostra a nova
rede de trabalho em seu estado normal, estvel, em que tudo est funcionando. As Figuras 8-13 e 8-14 mostram, em um
determinado momento, como ocorre o problema de contagem at o infinito, mesmo quando o split horizon est ativado.
Figura 8-12 Atualizaes peridicas em uma inter-rede triangular estvel

Todos os endereos comeam com 172.30.
31 .3/24
FAOto
172.30.3.0, mtrica 1
0 /
172.30.22.0, mtrica 2
172.30.2.0, mtrica 1
172.30.11.0, mtrica 2
172.30.31.0, mtrica 1
172.30.21.0, mtrica 2
172.30.31.0, mtrica 1
172.30.1.0 , mlrica 1
172.30.11.0, mtrica 1
172.30.21 .0 , mtrica 2
172.30.22.0, mtrica 2
1f
, CD
172.30.1.0, mtrica 1
172.30.11 .0, mtrica 1
172.30.21.0, mtrica 1
172.30.22.0, mtrica 1
FAO/1 22.2124
FAOto 21 .2124
172.30.2.0, mtrica 1
172.30.11.0, mtrica 1
172.30.31.0, mtrica 2
f.\ 172.30.3.0, mtrica 1
~_ ~
172.30.21 .0 , mtrica 1
172.30.22.0, mtrica 1
172.30.31 .0, mtrica 2
Observao A Figura 8-12 omite as atualizaes do RIP que seriam enviadas saindo pelas
interfaces LAN para evitar que a figura fique sobrecarregada.
Alm de mostrar a operao normal de outra rede, a Figura 8-12 oferece um bom exemplo de como funciona o split
horizon. Novamente utilizando a sub-rede 172.30.22.0 como exemplo, ocorre o seguinte processo nesta inter-rede:

1. R2 anuncia a RI e R3 uma rota de mtrica 1 em suas atualizaes.
2. Em seguida, RI anuncia a R3 uma rota de mtrica 2 para 172.30.22.0, e R3 anuncia a R2 uma rota de mtrica 2 para
a 172.30.22.0.
3. Tanto RI quanto R3 acrescentam a rota de mtrica 1, aprendida diretamente com R2, s suas tabelas de roteamento,
e ignoram as rotas de duas paradas que um aprende do outro. RI, por exemplo, coloca a rota 172.30.22.0 em sua
tabela de roteamento, utilizando a interface de sada SOlO e o prximo roteador 172.30.1.2 (R2).
O split horizon impede que RI e R3 anunciem a sub-rede 772.30.22.0 a R2 novamente. Observe que a Figura 8-12 mostra todos
os anncios de rotas para 172.30.22.0 em negrito. RI e R3 no apresentam 172.30.22.0 em suas atualizaes enviadas de volta
a R2. Na verdade, todas as atualizaes de roteamento mostradas na Figura 8-12 apresentam os efeitos do split horizon.
Agora que voc j possui um bom conhecimento da inter-rede mostrada na Figura 8-12, a Figura 8-13 mostra a mesma
inter-rede, mas com a fase inicial do problema de contagem at o infinito, embora o split horizon esteja ativado. Novamente,
a FaOll de R2 comea o exemplo falhando.
Figura 8-13 Contagem at o infinito em uma rede redundante

Todos os endereos comeam com 172.30.

Sub-rede

de sarda
172.30.22.0124 SOlO
172.30.2.1
Mtrica
2
o1f
,
,, ,
,
,, ,
,
l'
~ , 01172.30.22.0, mtrica 161
,,
,
rl17-2-.30-.22-.-0,-m-ct-rlc-'a=,21,,'
,,
.2124
~----------
0,..-------,
<1(- - -1172.30.22.0, mtrica 161

Fonte
RIP
Sub-rede

de sarda
172.30.22.0124 SOlO
172.30.1.2
Mtrica
16
O processo mostrado na Figura 8-13 como descrito a seguir. Como de costume, este exemplo conta com uma contagem
de tempo inadequada para as atu~zaes de roteamento peridicas no momento em que a rota falha.
1. A interface FaOll de R2 falha.
2. R2 imediatamente envia uma atualizao triggered update parcial, envenenando a rota para 172.30.22.0. R2 envia
as atualizaes saindo por todas as interfaces que ainda esto funcionando.
3. R3 recebe a atualizao triggered update de R2 que envenena a rota para 172.30.22.0, e, portanto, R3 atualiza sua
tabela de roteamento apresentando a mtrica 16 para essa rota.
4. Antes que a atualizao descrita no Passo 2 chegue a RI, RI envia sua atualizao normal e peridica a R3, listando
172.30.22.0, mtrica 2, como normal. (Observe que a Figura 8-13 ornite parte do que seria a atualizao peridica
de RI para evitar sobrecarga no desenho.)
5. RI recebe a atualizao triggered update de R2 (descrita no Passo 2) que envenena a rota para 172.30.22.0, e,
portanto, RI atualiza sua tabela de roteamento apresentando a mtrica 16 para essa rota.
6. R3 recebe a atualizao peridica enviada por RI (descrita no Passo 4), apresentando uma rota de mtrica 2 para
172.30.22.0. Em conseqncia disso, R3 atualiza sua tabela de roteamento para apresentar uma rota de mtrica 2,
passando por RI como o roteador de prximo salto, com a interface de sada SOlO.
CCNA ICND2
239
Neste ponto, R3 tem uma rota incorreta de mtrica 2 para 172.30.22.0, apontando de volta a RI. Dependendo da
contagem do tempo de quando as entradas so inseridas e saem da tabela de roteamento, os roteadores podem acabar
encaminhando os pacotes enviados sub-rede 172.30.22.0/24 atravs da rede, possivelmente causando loop em alguns
pacotes da rede vrias vezes, enquanto o processo de contagem at o infinito continua.
processo Holddowm e o Timer Holddown
o ltimo recurso a ser abordado neste captulo com o intuito de evitar a ocorrncia de loops um processo chamado
holddown, que impede a ocorrncia do problema de loops e de contagem at o inf'mito mostrado na Figura 8-13. Os
protocolos vetor distncia utilizam holddown para evitar especillcamente os loops criados por problemas de contagem at
o infinito que ocorrem em inter-redes redundantes. O termo holddown (segurar no lugar, deixar como est) d uma idia
sobre o que ele significa:
Assim que a rota considerada inativa, segure-a no lugar (deixe-a como est) por um tempo at que os
roteadores tenham tempo para se certillcar de que todos os roteadores saibam que a rota falhou.
O processo holddown diz ao roteador para ignorar novas informaes sobre a rota que falhou, por um perodo de tempo
chamado de tempo de holddown, de acordo com a contagem feita atravs do timer holddown. O processo de holddown
pode ser resumido da seguinte forma:
/~~~;~o
\ Chave
".
Ao ficar sabendo sobre uma rota envenenada (route poisoning), inicie o timer holddown para aquela rota. At que
o timer expire, no acredite em nenhuma outra informao de roteamento sobre a rota que falhou, pois acreditar
nessa informao pode provocar um loop de roteamento. No entanto, voc pode acreditar nas informaes aprendidas
com o vizinho que originalmente anunciou a rota em funcionamento antes que o timer holddown expire.
O conceito de holddown pode ser melhor entendido com um exemplo. A Figura 8-14 repete o exemplo da Figura 8-13,
mas com o processo holddown de R3 impedindo o problema de contagem at o infinito. A figura mostra como R3 ignora
qualquer nova informao sobre a sub-rede 172.30.22.0 por causa do holddown. Como de costume, a figura comea com
todas as interfaces ativas e em perfeito funcionamento, com todas as rotas conhecidas, e com o Passo 1 sendo a falha da
mesma interface que sai do roteador R2.
Figura 8-14 Utilizando holddown para impedir a contagem at o infinito

Fonte
RIP
5ub-rede

de sada
172.30.22.0124 5011
172.30.3.2
Mtrica
16
~Im.,..".,. m''''~ "I

1
50/1/0
1.2
FAOtO 21 .2124
0 ....f------ ~172.30.22.0. mtrica 16 1

Fonte
RIP
5ub-rede

de sarda
172.30.22.0124 5010
172.30.1 .2
Mtrica
16
O processo mostrado na Figura 8-14 como descrito a seguir, com os Passos "3 e 6 diferindo da Figura 8-13:
1. A interface FaO/1 de R2 falha.

2. R2 imediatamente envia uma atualizao triggered update parcial, envenenando a rota para 172.30.22.0. R2 envia
as atualizaes saindo por todas as interfaces que ainda esto funcionando.
3. R3 recebe a atualizao triggered update de R2 que envenena a rota para 172.30.22.0, e, portanto, R3 atualiza sua
tabela de roteamento para apresentar a mtrica 16 para essa rota. R3 tambm coloca a rota para a 172.30.22.0 em
holddown e inicia o timer holddown para a rota (o padro so 180 segundos para o RIP).
4. Antes que a atualizao descrita no Passo 2 chegue a RI , RI envia sua atualizao normal e peridica a R3,
apresentando 172.30.22.0, mtrica 2, como normal. (Observe que a Figura 8-14 omite alguns detalhes da atualizao
peridica de RI para evitar sobrecarga no desenho.)
5. RI recebe a atualizao triggered update de R2 (descrita no Passo 2) que envenena a rota para 172.30.22.0, e,
portanto, RI atualiza sua tabela de roteamento para apresentar a mtrica 16 para essa rota.
6. R3 recebe a atualizao de RI (descrita no Passo 4), apresentando uma rota de mtrica 2 para 172.30.22.0. Como
R3 colocou essa rota em estado holddown, e essa nova rota de mtrica 2 foi aprendida com um roteador diferente
(RI) da rota original (R2), R3 ignora a nova informao de roteamento.
Em conseqncia da lgica holddown de R3 descrita no Passo 6, todos os trs roteadores possuem uma rota
de mtrica 16 para 172.30.22.0. Neste ponto, qualquer atualizao de roteamento futura s apresentar rotas
de mtrica 16 para essa sub-rede - pelo menos at que uma rota real at a sub-rede se torne disponvel
novamente.
A definio de holddown permite que os roteadores acreditem no mesmo roteador que originalmente anunciou a rota,
antes mesmo que o timer holddown expire. O processo inteiro da Figura 8-14, por exemplo, pode acontecer dentro de
apenas poucos segundos por causa de todas as atualizaes triggered updates. Se a interface FaO/l de R2 surgir novamente,
R2 anuncia uma rota de mtrica 1 para esperar quase mais 3 minutos para que seus timers holddown expirem para a subrede 172.30.22.0. Como resultado, acreditar na atualizao de roteamento do mesmo roteador que originalmente anunciou
a rota no causa o risco de loops. Por isso, o holddown permite que os roteadores (neste caso, RI e R3) acreditem no
anncio feito por R2.
Resumo sobre vetor distncia

Antes de encerrar a abordagem de como evitar loops com o vetor distncia, vale a pena revisar os conceitos aqui
apresentados. Esta seo abordou bastante teoria, parte da qual pode ser um pouco complicada, mas os principais
recursos podem ser facilmente resumidos:
- Durante perodos de estabilidade, os roteadores enviam atualizaes de roteamento completas e peridicas com base
em um timer curto de atualizao (o padro do RIP so 30 segundos). As atualizaes apresentam todas as rotas
conhecidas, exceto as rotas omitidas devido s regras do split horizon.
- Quando ocorrem alteraes que fazem com que uma rota falhe, o roteador que percebe a falha reage imediatamente
enviando atualizaes triggered updates parciais, listando apenas as rotas recm envenenadas (que falharam) com
uma mtrica infinita.
- Outros roteadores que ficam sabendo sobre a rota envenenada tambm enviam atualizaes triggered updates
parciais, envenenando a rota que falhou.
- Os roteadores suspendem as regras do split horizon para a rota que falhou enviando uma rota poison reverse de volta
em direo ao roteador a partir do qual a rota envenenada foi aprendida.
- Todos os roteadores colocam a rota em estado holddown e iniciam o timer holddown para aquela rota aps ficarem
sabendo que a rota falhou. Cada roteador ignora todas as novas informaes sobre essa rota at que o timer
holddown expire, a no ser que as informaes venham do mesmo roteador que originalmente anunciou a boa rota
quela sub-rede.
Recursos do protocolo de roteamento link-state

Assim como os protocolos de roteamento do vetor distncia, os protocolos link-state enviam atualizaes de roteamento
aos roteadores vizinhos, que, por sua vez, enviam atualizaes aos seus roteadores vizinhos, e assim por diante. Ao final
do processo, assim como os protocolos do vetor distncia, os roteadores que utilizam protocolos link-state acrescentam as
CCNA ICND2
241
melhores rotas a suas tabelas de roteamento, com base na mtrica. Entretanto, alm deste nvel de explicao, esses dois
tipos de algoritmos de protocolo de roteamento tm pouco em comum.
Esta seo aborda os mecanismos mais bsicos de funcionamento dos protocolos link-state, com os exemplos
usando o OSPF (Open Shortest Path First), o primeiro protocolo de roteamento IP do tipo link-state. A seo
comea mostrando como os protocolos de roteamento link-state distribuem informaes de roteamento por toda a
inter-rede. Em seguida, ela descreve como os protocolos link-state processam as informaes de roteamento para
escolher as melhores rotas.
Construindo o mesmo LSOB em todos os roteadores

Os roteadores que utilizam protocolos de roteamento link-state precisam anunciar conjuntamente a todos os outros
roteadores praticamente todos os detalhes sobre a inter-rede. Ao fmal do processo, chamado de distribuio (ouflooding),
todos os roteadores da inter-rede dispem exatamente das mesmas informaes sobre a inter-rede. Os roteadores
utilizam essas informaes, armazenadas em RAM dentro de uma estrutura de dados chamada LSDB (link-state database,
ou banco de dados link-state), para executar o outro importante processo link-state para calcular as melhores rotas atuais
at cada sub-rede. Distribuir uma grande quantidade de informaes detalhadas a todos os roteadores parece ser muito
trabalho; e em comparao aos protocolos de roteamento do vetor distncia, , sim, bastante trabalho.
O OSPF (Open Shortest Path First), o mais popular protocolo de roteamento IP do tipo link-state, anuncia informaes
em mensagens de atualizao de roteamento de vrios tipos, com as atualizaes contendo informaes chamadas LSAs
(link-state advertisements, ou anncios link-state). Os LSAs vm em vrias formas, incluindo os dois principais tipos a
segurr:
- LSA de roteador: inclui um nmero para identificar o roteador (ID do roteador), os endereos e as mscaras IP da
interface do roteador, o estado (ativo ou inativo) de cada interface e o custo (mtrica) associado interface.
- LSA de link: identifica cada link (sub-rede) e os roteadores que esto anexados quele link. Identifica tambm o
estado do link (ativo ou inativo).
Alguns roteadores devem primeiro criar os LSAs dos roteadores e dos links, e, em seguida, distribuir os LSAs a todos os
outros roteadores. Cada roteador cria um LSA de roteador para si mesmo e, em seguida, distribui aquele LSA a outros
roteadores em mensagens de atualizao de roteamento. Para distribuir um LSA, o roteador envia o LSA a seus vizinhos.
Esses vizinhos, por sua vez, encaminham o LSA a seus vizinhos, e assim por diante, at que todos os roteadores tenham
ficado sabendo sobre o LSA. Para os LSAs de links, o roteador anexado a uma sub-rede tambm cria e distribui um LSA
de link para cada sub-rede. (Observe que, em alguns casos, no necessrio ter um LSA de links, normalmente quando
apenas um roteador se conecta sub-rede.) Ao final do processo, todos os roteadores tm o LSA de roteador de
roteadores alternados e uma cpia de todos os LSAs de links tambm.
A Figura 8-15 mostra a idia geral do processo de distribuio, com R8 criando e distribuindo seu LSA de roteador. Observe
que a Figura 8-15, na verdade, mostra apenas um subconjunto das informaes contidas no LSA de roteador de R8.
Figura 8-15 Distribuindo LSAs utilizando um protocolo de roteamento link-state
LSA de roteador de R8 - Contedo parcial

A Figura 8-15 mostra o processo de distribuio relativamente bsico, com R8 enviando o LSA original para si mesmo, e
os outros roteadores distribuindo o LSA encaminhando-o at que todos os roteadores tenham uma cpia. Para evitar a
ocorrncia de loops em anncios LSA, um roteador que saiba sobre o LSA primeiro pergunta a seu vizinho se aquele
vizinho j sabe sobre esse LSA. R8, por exemplo, comearia perguntando a R4, R6 e R7 separadamente se eles sabem
sobre o LSA de roteador referente a R8. Esses trs roteadores responderiam, dizendo que eles no sabem sobre o LSA
de roteador de R8. Somente a que R8 envia o LSA a cada um desses roteadores vizinhos. O processo se repete com
todos os vizinhos. Se um roteador j souber sobre o LSA - independentemente de qual trajeto seguido - ele pode
educadamente dizer que j tem o LSA, evitando assim que o LSA seja anunciado em loops por toda a rede.
As origens do termo link state podem ser explicadas considerando o contedo (parcial) do LSA do roteador mostrado na
Figura 8-15. A figura mostra um dos quatro endereos IP de interface que seriam apresentados no LSA de roteador de
R8 , junto com o estado da interface. Os protocolos link-state herdam seus nomes pelo fato de os LSAs anunciarem cada
interface (link) e a interface estar ativa ou inativa (estado). Portanto, o LSDB contm informaes no s sobre os
roteadores, interfaces e links (sub-redes) ativos e em pleno funcionamento mas tambm sobre todos os roteadores,
interfaces e links (sub-redes), mesmo se as interfaces estiverem inativas.
Depois que o LSA tiver sido distribudo, mesmo que os LSAs no mudem, os protocolos link-state requerem uma
redistribuio peridica dos LSAs, semelhante s atualizaes peridicas enviadas por protocolos do vetor distncia. No
entanto, os protocolos do vetor distncia normalmente utilizam um timer curto; o RIP, por exemplo, envia atualizaes
peridicas a cada 30 segundos e envia uma atualizao completa apresentando todas as rotas normalmente anunciadas.
O OSPF redistribui cada LSA com base no timer separado de cada LSA (30 segundos, de acordo com padro). Em
conseqncia disso, em uma inter-rede estvel, os protocolos link-state na verdade utilizam menos largura de banda da
rede do que os protocolos vetor distncia para enviar informaes de roteamento. Se um LSA mudar, o roteador
imediatamente distribuir o LSA alterado. Se, por exemplo, a interface de LAN do roteador R8 da Figura 8-15 falhasse,
R8 precisaria redistribuir o LSA de R8, dizendo que a interface agora est inativa.
Aplicando a matemtica Dijkstra SPF para encontrar as melhores

rotas
O processo de distribuio link-state resulta em todos os roteadores dispondo de uma cpia idntica do LSDB em
memria, mas o processo de distribuio sozinho no faz com que um roteador saiba quais rotas devem ser acrescentadas
tabela de roteamento IP. Embora extremamente detalhadas e teis, as informaes contidas no LSDB no dizem
eXplicitamente qual a melhor rota de cada roteador para chegar a um destino. Os protocolos link-state devem utilizar
outra parte importante do algoritmo link-state para encontrar e acrescentar rotas tabela de roteamento IP, ou seja, rotas
que apresentem uma mscara e um nmero de sub-rede, uma interface de sada e um endereo IP do prximo roteador.
Esse processo utiliza algo chamado algoritmo Dijkstra SPF (Shortest Path First, ou Menor Caminho Primeiro).
O algoritmo SPF pode ser comparado forma em que os seres humanos pensam quando esto viajando usando um mapa
de estradas. Todos podem comprar o mesmo mapa de estradas, e, conseqentemente, qualquer pessoa pode saber todas
as informaes sobre as estradas. Entretanto, ao olhar o mapa, primeiro voc encontra os seus locais de partida e de
chegada, e depois analisa o mapa para encontrar as possveis rotas. Se vrias rotas parecem semelhantes em comprimento,
voc pode acabar decidindo por tomar uma rota mais extensa se as estradas forem vias expressas de alta velocidade em
vez de estradas vicinais. Outra pessoa pode estar de posse do mesmo mapa mas estar partindo de um local diferente, e
indo para um local diferente, podendo escolher, portanto, uma rota totalmente diferente.
Na analogia, o LSDB funciona como o mapa, e o algoritmo SPF funciona como a pessoa que est lendo o mapa. O LSDB
contm todas as informaes sobre todos os roteadores e links possveis. O algoritmo SPF define como o roteador deve
processar o LSDB, onde cada roteador se considera o ponto de partida para a rota. Cada roteador utiliza a si mesmo como
ponto de partida porque ele precisa colocar rotas em sua prpria tabela de roteamento. O algoritmo SPF calcula todas as
rotas possveis para alcanar uma sub-rede, e a mtrica cumulativa para cada rota completa, para cada sub-rede de destino
possvel. Em suma, cada roteador deve se ver como o ponto de partida, e cada sub-rede como o destino, e utilizar o algoritmo
SPF para olhar o mapa de estradas do LSDB para encontrar e escolher a melhor rota at cada sub-rede.
A Figura 8-16 mostra uma visualizao grfica dos resultados do algoritmo SPF executados pelo roteador RI ao tentar encontrar
a melhor rota para alcanar a sub-rede 172.16.3.0/24 (com base na Figura 8-15). AFigura 8-16 mostra RI na parte de cima da
figura em vez de estar esquerda, porque o SPF cria uma rvore matemtica. Essas rvores so normalmente desenhadas
com a base ou a raiz da rvore na parte de cima da figura e as folhas (sub-redes) na parte de baixo.
CCNA ICND2
Figura 8-16 rvore SPF para encontrar a rota de R1 at 172.16.3.0/24
..........
[ Tpico
I.
243
\ Chave
...
, . - - Posslvel Rota
A Figura 8-16 no mostra a matemtica do algoritmo SPF (na verdade, quase ningum se importa com a matemtica),
mas mostra um desenho do tipo de anlise feita pelo algoritmo SPF em Rl. Geralmente, cada roteador executa o
processo SPF para encontrar todas as rotas at cada sub-rede, e, depois, o algoritmo SPF pode escolher a melhor rota.
Para escolher a melhor rota, o algoritmo SPF do roteador acrescenta o custo associado a cada link entre ele mesmo e a
sub-rede de destino, em cada possvel rota. A Figura 8-16 mostra os custos associados a cada rota ao lado dos links, onde
as retas com setas mostram as trs rotas que RI encontra entre si e a sub-rede X (172.16.3.0/24).
A Tabela 8-6 apresenta as trs rotas mostradas na Figura 8-16, com seus custos cumulativos, mostrando que a melhor
rota de RI at 172.16.3.0/24 comea passando por R5.
Tabela 8-6 Comparando as trs alternativas de R1 para a rota at 172.16.3.0/24

Rota
Localizao na Figura 8-16
Custo cumulativo
RI-R7-R8
Esquerda
10 + 180 + 10 = 200
RI -R5-R6-R8
Meio
20 + 30 + 40 + 10 = 100
RI-R2-R3-R4-R8
Direita
30 + 60 + 20 + 5 + 10 = 125
Em conseqncia da anlise do LSDB feita pelo algoritmo SPF, RI acrescenta sua tabela de roteamento uma rota at
a sub-rede 172.16.3.0/24, sendo R5 o prximo roteador.
Convergncia com os protocolos link-state

Assim que a inter-rede estiver estvel, os protocolos link-state redistribuem cada LSA regularmente. (O OSPF usa
automaticamente 30 minutos.) No entanto, quando um LSA muda, os protocolos link-state reagem rapidamente, convergindo
a rede e utilizando as melhores rotas atuais o mais rpido possvel. Imagine, por exemplo, que o link entre R5 e R6 falhe
na inter-rede das Figuras 8-15 e 8-16. A lista a seguir explica o processo que RI utiliza para mudar para uma rota
diferente. (Passos semelhantes ocorreriam para alteraes feitas em outros roteadores e rotas.)
1. R5 e R6 distribuem LSAs que dizem que suas interfaces esto agora em estado "down" ("inativo"). (Em uma rede
deste porte, a distribuio normalmente leva talvez um ou dois segundos.)
2. Todos os roteadores executam o algoritmo SPF novamente para ver se h alguma rota que tenha mudado. (Este
processo pode levar mais 1 segundo em uma rede deste porte.)

3. Todos os roteadores substituem as rotas, conforme a necessidade, com base nos resultados do SPF. (Isso no leva
praticamente nenhum tempo adicional aps o SPF ter concludo.) Por exemplo, RI muda sua rota para a sub-rede
X (172.16.3.0/24) para utilizar R2 como o prximo roteador.
Estes passos permitem a rpida convergncia do protocolo de roteamento link-state, muito mais rpida que os protocolos
de roteamento vetor distncia.
Resumo e comparaes com relao aos protocolos vetor distncia

Os protocolos de roteamento link-state oferecem uma rpida convergncia, que provavelmente o recurso mais
importante de um protocolo de roteamento, evitando tambm a ocorrncia de loops. Os protocolos de roteamento linkstate no precisam utilizar a grande variedade de recursos para evitar loops utilizados pelos protocolos vetor distncia,
que em si reduzem enormemente o tempo de convergncia. Os principais recursos de um protocolo de roteamento
link-state so os seguintes:
- Todos os roteadores aprendem as mesmas informaes detalhadas sobre todos os roteadores de sub-redes da
inter-rede.
..........
f Tpico
\ Cha..
".
- Os trechos individuais de informaes sobre a topologia so chamados LSAs. Todos os LSAs so armazenados em
RAM em uma estrutura de dados chamada LSDB (link-state database, o banco de dados link-state) .
- Os roteadores distribuem LSAs quando 1) so criados, 2) em um intervalo de tempo regular (mas longo) se os LSAs
no mudarem com o passar do tempo, e 3) imediatamente quando um LSA muda.
- O LSDB no contm rotas, mas contm informaes que podem ser processadas pelo algoritmo Dijkstra SPF para
encontrar a melhor rota de um roteador para alcanar cada sub-rede.
- Cada roteador executa um algoritmo SPF, sendo o LSDB a entrada, resultando no acrscimo das melhores rotas
(menor custo/menor mtrica) tabela de roteamento IP.
- Os protocolos link-state convergem rapidamente redistribuindo imediatamente os LSAs alterados e reexecutando o
algoritmo SPF em cada roteador.
Um dos pontos de comparao mais importantes entre os diferentes protocolos de roteamento a velocidade em que o
protocolo de roteamento converge. Com certeza, os protocolos link-state convergem com muito mais rapidez que os
protocolos vetor distncia. A lista a seguir resume alguns dos pontos de comparao principais para os diferentes protocolos
de roteamento, comparando os pontos fortes dos algoritmos:
- Convergncia: os protocolos link-state convergem muito mais rpido.
- CPU e RAM: Os protocolos link-state consomem muito mais CPU e memria que os protocolos vetor distncia,
embora com um projeto adequado, essa desvantagem possa ser reduzida.
- Evitando loops de roteamento: os protocolos link-state inerentemente evitam loops, ao passo que os protocolos
vetor distncia requerem vrios recursos adicionais (por exemplo, o split horizon).
- Esforo de projeto: os protocolos vetor distncia no requerem muito planejamento, ao passo que os protocolos
link-state requerem muito mais planejamento e empenho de projeto, principalmente em redes maiores.
- Configurao: os protocolos vetor distncia normalmente requerem menos configurao, principalmente quando o
protocolo link-state requer o uso de recursos mais avanados.

Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave. A Tabela 8-7 relaciona estes
tpicos-chave e onde cada um encontrado.
Descrio
Lista
Deflnies e comparao dos termos do

protocolo de roteamento, protocolo roteado
e protocolo rotevel
224
CCNA ICND2
Nmero da pgina
f;~~;~o
\" Chave
00 0
Lista
Lista das principais funes de um protocolo

de roteamento
224
Lista
Deflnies de IGP e EGP
225
Lista
Trs tipos de algoritmos do protocolo de

roteamento IGP
226
Tabela 8-3
Pontos de comparao para os protocolos IGP
228
Tabela 8-4
Mais comparaes entre RIP-2, OSPF e EIGRP
228
Tabela 8-5
Lista de fontes de informaes sobre roteamento

e sua respectiva distncia administrativa
229
Visualizao grflca do signiflcado do vetor distncia
231
Descrio das atualizaes peridicas, atualizaes

completas do vetor distncia e atualizaes completas
limitadas pelo split horizon
232
Figura8-5
Lista
Figura8-7
Exemplo de route poisoning (envenenamento de rotas)
233
Definio
Split horizon
235
Deflnies
Triggered updates, poison reverse
236
Definio
Holddown
239
Figura 8-16
Representao grflca de um clculo link-state do SPF
243
Resumo das operaes link-state
245
244
Lista
tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria" , inclui tabelas e listas completadas
Defrna os seguintes termos-chave encontrados neste captulo e veriflque suas respostas no glossrio: algoritmo Dijkstra
SPF (Shortest Path First), atualizao completa, atualizao parcial, atualizao peridica, contagem at o inflnito,
convergncia, EGP (protocolo externo de porta de comunicao), balanced hybrid, holddown (tirner holddown), IGP
(protocolo interno de porta de comunicao), inflnito, link-state, LSA (anncio de link-state), LSDB (banco de dados linkstate), mtrica, poison reverse, protocolo de roteamento, protocolo roteado, protocolo rotevel, split borizon, triggered
update, vetor distncia.

Este captulo no se refere a nenhum comando que no seja abordado em mais profundidade em outro captulo. Assim,
este captulo, ao contrrio da maioria dos outros deste livro, no possui nenhuma tabela de referncia a comandos.
CCNA ICND2
247

seguintes assuntos:
Protocolo OSPF: esta seo conclui a discusso sobre protocolos link-state iniciada no Captulo 8, ''Teoria dos protocolos de roteamento", descrevendo pontos especficos da
operao do OSPE
Configurao do OSPF: esta seo examina como configurar o OSPF em uma nica rea e em vrias reas, a
autenticao do OSPF e alguns outros recursos menores.
CA PTULO
: OSPF
e _______________________________________________________
Os protocolos de roteamento link-state foram originalmente desenvolvidos no incio da dcada de 1990. Os criadores dos
protocolos partiram do princpio de que as velocidades dos links, as CPUs dos roteadores e a memria dos roteadores continuariam
se aprimorando com o passar do tempo; portanto, os protocolos foram elaborados para oferecer recursos muito mais poderosos
tirando proveito desses aprimoramentos. Por enviarem mais informaes e exigirem que os roteadores executem mais
processamento, os protocolos link-state ganham algumas importantes vantagens em relao aos protocolos vetor distncia - de
modo especial, urna convergncia muito mais rpida. O objetivo permanece o mesmo, ou seja, acrescentar as melhores rotas
atuais tabela de roteamento, mas esses protocolos utilizam mtodos diferentes para encontrar e acrescentar essas rotas.
Este captulo explica o protocolo de roteamento link-state mais comumente usado - o OSPF (Open Shortest Path First,
ou Abrir o Trajeto Mais Curto Primeiro). Um outro protocolo link-state, o IS-IS Integrado, praticamente ignorado nos
exames CCNA.
Questes
Operao e protocolos OSPF
1-5
Configurao do OSPF
6-10
1. Qual das seguintes alternativas afeta o clculo das rotas OSPF quando todos os possveis valores padro so utilizados?
a. Largura de banda
b. Retardo (delay)
c. Carga
d. Confiabilidade
e. MTU
f. Contagem de paradas
2. O OSPF executa um algoritmo para calcular a melhor rota atual. Quais dos termos seguintes se referem a esse algoritmo?
a. SPF
b. DUAL
c. Feasible successor
d. Dijkstra
e. o bom e velho bom senso
250
Captulo 9: OSPF
3. Dois roteadores OSPF se conectam mesma VLAN utilizando suas interfaces FaO/O. Qual das seguintes deflnies
das interfaces desses dois possveis roteadores vizinhos impediria que os dois roteadores se tomassem vizinhos
OSPF?
a. Os endereos IP 10.1.1.1124 e 10.1.1.254/25, respectivamente
b. O acrscimo de um endereo IP secundrio na interface de um roteador, mas no na de outro
c. Ambas as interfaces do roteador designadas rea 3
d. Um roteador conflgurado para utilizar autenticao MD5 e o outro no conflgurado para utilizar autenticao
4. Qual dos seguintes estados entre vizinhos esperado quando concluda a troca de informaes de topologia para que
os roteadores vizinhos tenham o mesmo LSDB?
a. Two-way
b. Full
c. Exchange
d. Loading
5. Qual das seguintes alternativas verdadeira sobre um roteador designado OSPF existente?
a. Um roteador recm conectado mesma sub-rede, com uma prioridade OSPF mais alta, substitui o DR existente
tomando-se o novo DR.
b. Um roteador recm conectado mesma sub-rede, com uma prioridade OSPF mais baixa, substitui o DR existente
tornando-se o novo DR.
c. O DR pode ser eleito com base no ID mais baixo de um roteador OSPE

d. O DR pode ser eleito com base no ID mais alto de um roteador OSPE
e. O DR tenta se tornar completamente adjacente a todos os outros vizinhos da sub-rede.
6. Qual dos seguintes comandos network, seguindo o comando router ospf 1, diz a esse roteador para comear a usar
o OSPF em interfaces cujos endereos IP so 10.1.1.1 , 10.1.100.1 e 1O.1.120.1?
a. network 10.0.0.0 255.0.0.0 area O

b. network 10.0.0.0 0.255.255.255 area O
c. network 10.0.0.1255.0.0.255 area O
d. network 10.0.0.1 0.255.255.0 area O
7. Qual dos seguintes comandos network, seguindo o comando router ospf 1, diz a esse roteador para comear a usar
o OSPF em interfaces cujos endereos IP so 10.1.1.1 , 10.1.100.1 e 1O.1.120.1?
a. network 0.0.0.0 255.255.255.255 are a O

b. network 10.0.0.0 0.255.255.0 area O
c. network 10.1.1.0 0.x.1x.0 area O
d. network 10.1.1.0 255.0.0.0 area O
e. network 10.0.0.0 255.0.0.0 area O
8. Qual dos seguintes comandos listam os vizinhos OSPF que saem da interface serialO/O?
a. show ip ospf neighbor

b. show ip ospf interface
c. show ip neighbor
d. show ip interface
e. show ip ospf neighbor interface serial O/ O
CCNA ICND2
251
9. Os roteadores OSPF RI, R2 e R3 esto anexados mesma VLAN. R2 foi configurado com o sub comando de
interface ip ospf authentication message-digest na interface LAN conectada VLAN em comum. O comando
show ip ospf neighbor lista RI e R3 como vizinhos, em estado Init e Full, respectivamente. Quais das seguintes
afirmativas so verdadeiras?
a. R3 deve ter um subcomando de interface ip ospf authentication message-digest configurado.
b. R3 deve ter um subcomando de interface ip ospf authentication message-digest-key configurado.
c. A falha de RI deve ser devida ao fato de ter configurado um tipo de autenticao OSPF incorreto.
d. A falha de RI pode ou no estar relacionada autenticao.
10. Um roteador OSPF fica sabendo sobre seis possveis rotas para alcanar a sub-rede 10.1.1.0/24. Todas as seis rotas
tm custo igual a 55, e todas as seis so rotas inter-reas. De acordo com padro, quantas rotas so colocadas na
tabela de roteamento?
a.I
b.2
c.3
d.4
e. 5
f.6
Este captulo examina os conceitos e a configurao do OSPF (Open Shortest Path First), partindo do ponto em que
paramos com a abordagem do link-state no Captulo 8. De modo especial, a primeira metade deste captulo explica uma
variedade de conceitos bsicos relacionados ao funcionamento do OSPF. A segunda metade examina como configurar o
OSPF em roteadores Cisco.
Protocolo OSPF
O protocolo OSPF possui uma grande variedade de recursos por vezes complexos. Para ajudar no processo de aprendizado,
os recursos OSPF podem ser divididos em trs categorias principais: vizinhos, troca de banco de dados e clculo de rotas.
Primeiramente, os roteadores OSPF formam uma relao de vizinhos que fornece a base para toda a comunicao
contnua do OSPF. Depois que os roteadores se tomam vizinhos, eles trocam o contedo de seus respectivos LSDBs
atravs de um processo chamado troca de banco de dados. Finalmente, assim que um roteador tem as informaes de
topologia em seu LSDB (banco de dados link-state), ele utiliza o algoritmo Dijkstra SPF (Shortest Path First) para
calcular as melhores rotas atuais e acrescent-las tabela de roteamento IP.
interessante notar que os comandos show lOS tambm aceitam essa mesma estrutura. O lOS possui uma tabela de
vizinhos OSPF (show ip ospf neighbor), um LSDB do OSPF (show ip ospf database) e, obviamente, uma tabela de
roteamento IP (show ip route). Os processos explicados na primeira metade deste captulo podem ser vistos em ao
em roteadores por meio da exibio dos contedos dessas trs tabelas.
Vizinhos OSPF
Embora existam algumas variaes, uma definio geral do que vem a ser um vizinho OSPF , na perspectiva de um
roteador, outro roteador que se conecta ao mesmo link de dados com o qual o primeiro roteador pode e deve trocar
informaes de roteamento utilizando OSPF. Embora essa definio esteja correta, possvel entender melhor o verdadeiro
significado do conceito de vizinhos OSPF pensando no propsito das relaes de vizinhos OSPF. Primeiro, vizinhos
conferem e verificam as definies bsicas do OSPF antes de trocar informaes de roteamento, ou seja, definies que
devem combinar umas com as outras para que o OSPF funcione corretamente. Segundo, o processo contnuo que
envolve o roteador saber quando o seu vizinho est saudvel, e quando a conexo com o vizinho foi perdida, diz ao
252
Captulo 9: OSPF
roteador quando ele deve recalcular as entradas feitas na tabela de roteamento para reconvergir a um novo conjunto de
rotas. Alm disso, o processo OSPF Hello deflne como os vizinhos podem ser dinamicamente descobertos, o que signiflca
que novos roteadores podem ser adicionados a uma rede sem a necessidade de reconflgurao de todos os roteadores.
O processo OSPF Hello atravs do qual novas relaes de vizinhos so formadas funciona de forma bastante parecida
a quando voc muda para uma nova casa e apresentado aos seus vrios vizinhos. Ao se encontrarem do lado de fora,
vocs podem ir um casa do outro, cumprimentar-se e saber o nome um do outro. Depois de conversar um pouco, voc
cria uma primeira impresso, principalmente se voc vai gostar de conversar com esse vizinho ocasionalmente ou se
melhor simplesmente acenar para ele e no gastar seu tempo conversando na prxima vez que o vir do lado de fora.
Analogamente, com o OSPF, o processo comea com mensagens chamadas OSPF Hello. Os Hellos, por sua vez,
apresentam o RID (Router ID, ou ID do roteador) de cada roteador, que serve como o nome ou identiflcador exclusivo
de cada roteador para o OSPF. Por flm, o OSPF realiza vrias veriflcaes das informaes contidas nas mensagens de
Hello para se assegurar de que os dois roteadores devam se tornar vizinhos.
Identificando roteadores OSPF atravs do RIO (10 do roteador)
o OSPF precisa identiflcar exclusivamente cada roteador por vrios motivos. Primeiro, os vizinhos precisam de uma
forma de saber qual roteador enviou uma determinada mensagem OSPF. Alm disso, o LSDB do OSPF lista um conjunto
de LSAs (Link State Advertisements, ou anncios link-state), alguns dos quais descrevem cada roteador da inter-rede;
portanto, o LSDB precisa de um identiflcador exclusivo para cada roteador. Com este propsito, o OSPF utiliza um
conceito chamado RID (ID do roteador) OSPF.
Os RIDs do OSPF so nmeros de 32 bits escritos na forma decimal, com pontos, de tal forma que utilizar o endereo IP
uma excelente maneira de encontrar o RID padro. Outra alternativa configurar o RID do OSPF diretamente,
conforme abordado em uma das prximas sees "Conflgurando o ID OSPF do roteador".
Conhecendo e cumprimentando os vizinhos

Assim que o roteador escolhe seu RID OSPF, e algumas interfaces flcam ativas, o roteador est pronto para conhecer
seus vizinhos OSPF. Os roteadores OSPF podem se tornar vizinhos se estiverem conectados mesma sub-rede (e em
alguns outros casos especiais no abordados nos exames CCNA). Para descobrir outros roteadores que falam a mesma
lngua do OSPF, o roteador envia pacotes multicast de OSPF Hello a cada interface e espera receber pacotes OSPF
Hello de outros roteadores conectados a essas interfaces. A Figura 9-1 ilustra o conceito bsico.
Figura 9-1 Pacotes Hello link-state
Intervalo
Helio
Intervalo
Helio
Os roteadores A e B enviam mensagens Hello para a LAN. E continuam a enviar Hello com base em suas deflnies do
Hello Timer. Logo em seguida, os dois roteadores podem comear a trocar informaes de topologia um com o outro.
Depois, executam o algoritmo Dijkstra para preencher a tabela de roteamento com as melhores rotas. As mensagens
Hello possuem os seguintes recursos:
- A mensagem Hello segue o cabealho do pacote IP, com o tipo 89 do protocolo do pacote IP.
- Os pacotes Hello so enviados ao endereo IP multicast 224.0.0.5, que um endereo IP multicast para todos os
roteadores que falam a lngua do OSPF.
- Os roteadores OSPF flcam escuta de pacotes enviados ao endereo IP multicast 224.0.0.5, em parte esperando
receber pacotes Hello e flcar sabendo sobre novos vizinhos.
Os roteadores aprendem vrias informaes importantes observando os pacotes Hello recebidos. A mensagem Hello
inclui o RID do roteador de envio, o ID da rea, o intervalo Hello, o intervalo morto (dead interval), a prioridade do
CCNA ICND2
253
roteador, o RID do roteador designado, o RID do roteador designado para backup e uma lista de vizinhos que o roteador
de envio j conhece na sub-rede. (Mais adiante sero vistos mais detalhes sobre esses itens.)
A lista de vizinhos tem especial importncia no processo de Helio. Quando o Roteador A, por exemplo, recebe uma Helio
do Roteador B, o Roteador A precisa de alguma forma dizer ao Roteador B que o Roteador A recebeu o Helio. Para isso,
o Roteador A acrescenta o RID do Roteador B lista de vizinhos OSPF dentro da prxima (e futura) Helio que o
Roteador A transmite em multicast rede. Da mesma forma, quando o Roteador B recebe o Helio do Roteador A, as
prximas (e contnuas) HelIos do Roteador B incluem o RID do Roteador A na lista de vizinhos.
Assim que o roteador v seu prprio RID em um Hello recebido, ele acredita que uma comunicao two-way (nos
dois sentidos) foi estabelecida com aquele vizinho. O estado two-way importante para um vizinho, porque neste
ponto, informaes mais detalhadas, tais como LSAs, podem ser trocadas. Alm disso, em alguns casos em LANs, os
vizinhos podem atingir o estado two-way e parar por a. Este assunto voltar a ser explorado na seo "Escolhendo um
roteador designado".
Possveis problemas ao se tornar um vizinho

interessante notar que receber um Hello de um roteador na mesma sub-rede nem sempre resulta em dois roteadores
tomando-se vizinhos. como conhecer um novo vizinho na vida real. Se vocs discordarem sobre vrias coisas, e no
se derem bem, possvel que no conversem com tanta freqncia. Da mesma forma, com o OSPF, os roteadores da
mesma sub-rede devem concordar com vrios parmetros trocados no Hello; do contrrio, os roteadores simplesmente
no se tomam vizinhos. Especificamente, os seguintes pontos devem ser combinados para que dois roteadores se
tomem vizinhos:
/;~~;~o
:"CIuove
- A mscara de sub-rede utilizada na sub-rede
".
- O nmero de sub-rede (conforme deduzido utilizando a mscara de sub-rede e o endereo IP da interface de cada
roteador)
- O intervalo Hello (Hello timer)
- O intervalo morto (dead interval)
- O ID OSPF da rea
- Devem ser aprovados nas verificaes de autenticao (se utilizadas)
- O valor da flag da stub area
Se qualquer um desses parmetros diferir, os roteadores no se tomam vizinhos. Em suma, se estiver resolvendo problemas
relativos ao OSPF quando os roteadores deveriam ser vizinhos, e no o so, verifique essa lista!
Observao A flag da stub area est relacionada a conceitos fora do escopo dos exames
CCNA, mas apresentada aqui como requisito para que dois roteadores se tornem vizinhos
para que a lista fique completa.
Alguns itens da lista precisam de maiores explicaes. Primeiro, um possvel vizinho confirma que est na mesma subrede comparando o endereo IP do roteador vizinho e a mscara de sub-rede, conforme apresentada na mensagem
Hello, com o seu prprio endereo e mscara. Se estiverem exatamente na mesma sub-rede, com o mesmo intervalo de
endereos, essa verificao aprovada.
Em seguida, duas definies de timers, o Intervalo Hello e o Intervalo Morto, devem combinar. Os roteadores OSPF
enviam mensagens de Hello a cada Intervalo Hello. Quando o roteador j no escuta uma Hello vinda de um vizinho
durante o tempo definido pelo Intervalo Morto (dead interval), ele acredita que o vizinho no seja mais alcanvel, e
reage e reconverge rede. Em interfaces Ethemet, por exemplo, os roteadores Cisco utilizam automaticamente um
intervalo Hello de 10 segundos e o intervalo morto de 4 vezes o intervalo Hello, ou seja, 40 segundos. Se um roteador
no escuta nenhuma mensagem de Hello vinda daquele vizinho durante 40 segundos, ele marca o atual roteador
silencioso como "down" em sua tabela de vizinhos. Neste ponto, os roteadores podem reagir e convergir para utilizar
as atuais melhores rotas.
254 Captulo 9: OSPF
Estados entre vizinhos
o OSPF defme um grande conjunto de possveis aes que dois vizinhos utilizam para se comunicar um com o outro.
Para manter o controle do processo, os roteadores OSPF colocam cada vizinho em um de vrios estados OSPF entre
vizinhos. O estado OSPF entre vizinhos a percepo que o roteador tem de quanto trabalho foi concludo nos processos
normais executados por dois roteadores vizinhos. Se, por exemplo, os Roteadores RI e R2 se conectam a uma mesma
LAN e se tomam vizinhos, RI lista o estado entre vizinhos relativo a R2, que a percepo que RI tem do que aconteceu
entre os dois roteadores at ento. Da mesma forma, R2 apresenta um estado entre vizinhos relativo a RI, representando
a viso que R2 tem do que aconteceu entre R2 de RI at ento. (O comando mais comum para apresentar os vizinhos e
os estados show ip ospf neighbor.)
Como os estados entre vizinhos refletem vrios pontos dos processos OSPF normais utilizados entre dois roteadores, vale
a pena discutir esses estados junto com esses processos e as mensagens OSPF. Alm disso, ao entender os estados
OSPF entre vizinhos e seus significados, o engenheiro pode determinar mais facilmente se um vizinho OSPF est funcionando
normalmente ou se existe um problema.
A Figura 9-2 mostra vrios estados de vizinhos utilizados no incio do estabelecimento de uma relao entre vizinhos. A
figura mostra as mensagens de Helio e os estados de vizinhos resultantes.
Figura 9-2 Estados iniciais entre vizinhos

Estado entre vizinhos
Oown
Oown
/~~~;~o
;. Ch.".
....
(O link entre R1 e R2 fica ativo up ...)

RIO 1.1.1.1
Init
Init
RIO 2.2.2.2
Helio. Seen [null]. RIO 1.1.1.1
Helio. Seen [1 .1.1.1]. RIO 2.2.2.2
2-way
2-way
Helio. Seen [1.1.1.1 . 2.2.2.2]. RIO 1.1.1.1
Os dois primeiros estados, o estado Down e o estado lnit, so relativamente simples. Em casos em que o roteador j sabia
sobre um vizinho, mas a interface falhou, o vizinho listado como em estado Down. Assim que a interface fica ativa, os
dois roteadores podem enviar Hellos, passando aquele vizinho para o estado Init. Init significa que a relao entre
vizinhos est sendo inicializada.
Um roteador passa do estado Init para o estado two-way quando dois importantes fatos so verdadeiros: quando uma
Hello recebida apresenta o RID do roteador como tendo sido visto e quando aquele roteador verificou todos os parmetros
relativos ao vizinho e eles aparentemente no apresentam problema. Esses dois fatos significam que o roteador est
querendo comunicar com esse vizinho. Para que o processo funcione, quando cada roteador recebe um Helio de um novo
vizinho, o roteador verifica os detalhes de configurao do vizinho, conforme descrito anteriormente. Se aparentemente
tudo estiver certo, o prximo Helio do vizinho apresenta o RID do vizinho na lista de roteadores "vistos". Depois que
ambos os roteadores tiverem verificado os parmetros e enviado um Hello apresentando o RID do outro roteador como
"visto", ambos os roteadores devero ter atingido o estado two-way.
Na Figura 9-2, por exemplo, R2 recebe o primeiro Hello, listando "Seen [nuli]" ("Visto [nulo]"). Essa notao significa
que RI ainda no viu nenhum possvel vizinho aprovado. Quando R2 envia seu Helio, ele lista o RID de RI, indicando que
R2 viu o Helio de RI e verificou que todos os parmetros esto aparentemente corretos. RI retoma um terceiro Helio,
enviando um intervalo de Helio maior do que o primeiro intervalo enviado.
Quando j estiverem em estado two-way, os dois roteadores esto prontos para trocar informaes de topologia, conforme
abordado na prxima seo.
Troca de bancos de dados da topologia OSPF

Os roteadores OSPF trocam o contedo de seus LSDBs de forma que ambos os vizinhos tenham uma cpia exata do
mesmo LSDB ao fmal do processo de troca de bancos de dados - um princpio fundamental do funcionamento dos
protocolos de roteamento link-state. O processo possui vrios passos, com muito mais detalhes do que aqui descritos.
Esta seo comea explicando uma viso geral de todo o processo, seguida de um exame mais profundo de cada passo.
CCNA ICND2
255
Viso geral do processo de troca de bancos de dados OSPF
interessante observar que, depois que dois roteadores OSPF se tornam vizinhos e atingem o estado two-way, o prximo
passo pode no ser a troca de informaes de topologia. Primeiro, com base em vrios fatores, os roteadores tm de
decidir se devem trocar informaes de topologia diretamente, ou se os dois vizinhos devem aprender as informaes da
topologia um do outro, na forma de LSAs, indiretamente. Assim que um par de vizinhos OSPF sabe que deve compartilhar
informaes de topologia diretamente, comea a troca de dados de topologia (LSAs). Quando estiver concludo, o
processo passa para um estado de manuteno relativamente silencioso no qual os roteadores ocasionalmente redistribuem
as LSAs e ficam atentos a alteraes feitas na rede.
O processo geral funciona da seguinte forma, com a explicao de cada passo nas pginas a seguir:
~t~~o Passo 1 Com base no tipo de interface OSPF, os roteadores podem ou no eleger em conjunto um DR (Designated
.
Router, ou Roteador Designado) e um BDR (Backup Designated Router, ou Roteador Designado para Backup).
Passo 2 Para cada par de roteadores que precise se tornar completamente adjacente, troque o contedo de seus
respectivos LSDBs mutuamente.
Passo 3 Quando concludo, os vizinhos monitoram as alteraes e periodicamente redistribuem LSAs enquanto estiverem
no estado Full (completamente adjacente) entre vizinhos.
Escolhendo um roteador designado
O OSPF diz se uma sub-rede deve ou no utilizar um roteador designado (DR) ou um roteador designado para backup
(BDR) com base no tipo de interface OSPF (s vezes tambm chamada de tipo de rede OSPF). Existem vrios tipos de
interface OSPF, mas para os exames CCNA voc deve conhecer dois tipos principais: ponto-a-ponto e broadcast. (Esses
tipos podem ser configurados com o comando ip ospf network type .) Esses tipos de interface OSPF fazem uma
referncia geral ao tipo de protocolo de link de dados utilizado. Como os prprios nomes devem sugerir, o tipo ponto-aponto tem o objetivo de ser utilizado em links ponto-a-ponto, e o tipo broadcast voltado para uso em links de dados que
aceitam frames broadcast, tais como LANs.
A Figura 9-3 mostra um exemplo clssico de dois conjuntos de vizinhos - um utilizando o tipo de interface OSPF padro
ponto-a-ponto em um link serial e o outro utilizando o tipo de interface OSPF padro broadcast em uma LAN. O
resultado final da eleio do DR que as informaes de topologia so trocadas apenas entre vizinhos mostrados pelas
retas com setas na figura. Concentre-se na parte inferior direita da figura.
Figura 9-3 Nenhum DR no link ponto-a-ponto, com um DR na IAN
Nenhum roteador designado necessrio
Roteador designado necessrio:

os roteadores negociam e o Roteador A ganha
DR
Pacotes de descrio do
banco de dados, com LSAs
Aps a escolha, os pacotes de descrio do banco
de dados vo para o DR e, em seguida,
o DR encaminha para os outros roteadores
DR
~~
Quando no necessrio um DR, os roteadores vizinhos podem seguir em frente e comear o processo de troca de
topologia, conforme mostrado no lado esquerdo da figura. Na terminologia do OSPF, os dois roteadores da esquerda
devem continuar trabalhando para trocar informaes de topologia e se tornar completamente adjacentes. No lado direito
da figura, a parte superior mostra uma topologia de LAN onde foi feita a eleio de um DR, onde o Roteador A ganhou
a eleio. Com um DR, o processo de troca de topologias acontece entre o DR e cada roteador alternado, mas no entre
256 Captulo 9: OSPF
todos os pares de roteadores. Em conseqncia disso, todas as atualizaes de roteamento vo e voltam do Roteador A,
com o Roteador A distribuindo essencialmente as informaes de topologia aos outros roteadores. Todos os roteadores
aprendem todas as informaes de topologia vindas de todos os outros roteadores, mas o processo s causa uma troca
direta de informaes de roteamento entre o DR e cada um dos roteadores no-DR.
O conceito de DR impede a sobrecarga de uma sub-rede que tenha muito trfego OSPF quando muitos roteadores esto em
uma sub-rede. Obviamente, muitos roteadores podem estar anexados a uma LAN, o que explica a necessidade de um DR
para roteadores neste caso. Se dez roteadores, por exemplo, estivessem anexados mesma sub-rede, e tivessem permisso
de encaminhar as atualizaes OSPF a cada um dos outros nove roteadores, as atualizaes de topologia fluiriam entre 45
pares diferentes de vizinhos - onde quase todas as informaes seriam redundantes. Com o conceito de DR, conforme
mostrado no lado direito da Figura 9-3, aquela mesma LAN s precisaria de atualizaes de roteamento entre o DR e os
outros nove roteadores, reduzindo significativamente a distribuio de informaes do OSPF por toda a LAN.
Como o DR to importante para a troca de informaes de roteamento, a perda do DR eleito poderia causar retardos
na convergncia. O OSPF inclui o conceito de BDR (DR para Baclcup) em cada sub-rede para que, quando um DR
falhar ou perder a conectividade com a sub-rede, o BDR possa assumir o controle como DR. (Todos os roteadores,
exceto o DR e o BDR, so normalmente chamados "DROther" no resultado do comando show lOS .)
Observao Todos os roteadores no-DR e no-BDR tentam se tornar completamente

adjacentes com o DR e o BDR, mas a Figura 9-3 mostra apenas as relaes com o DR para
evitar sobrecarga do desenho.
Quando h a necessidade de um DR, os roteadores vizinhos realizam uma eleio. Para eleger um DR, os roteadores
vizinhos olham em dois campos dentro dos pacotes Hello recebidos e escolhem o DR com base nos seguintes critrios:
.......... - O roteador que envia o Hello com a definio de prioridade do OSPF mais alta se toma o DR.
( TpiCO
\~h.ve
_Se dois ou mais roteadores empatam com relao definio de prioridade mais alta, o roteador que envia o Hello
com o RlD mais alto ganha.
- Nem sempre o caso, mas normalmente o roteador que possui a segunda prioridade mais alta se torna o BDR.
- Uma definio de prioridade em O significa que o roteador no participa da eleio e nunca pode se tomar o DR ou
o BDR.
- O intervalo de valores da prioridade que permitem que um roteador seja candidato vai de 1 a 255.
- Se um novo e melhor candidato surgir depois que o DR ou o BDR tiverem sido eleitos, o novo candidato no substitui
o DR ou o BDR existente.
Troca de bancos de dados

O processo de troca de bancos de dados pode estar bastante ligado a vrias mensagens OSPF. Os detalhes do processo
podem ser ignorados para os fins deste livro, mais uma breve viso geral pode ajudar a dar alguma perspectiva ao
processo total.
Quando dois roteadores decidem trocar bancos de dados, eles no enviam simplesmente o contedo do banco de dados
inteiro. Primeiro, eles contam um para o outro sobre uma lista de LSAs em seus respectivos bancos de dados, mas no
todos os detalhes dos LSAs, somente uma lista. Em seguida, cada roteador compara a lista do outro roteador com seu
prprio LSDB. Para qualquer LSA do qual o roteador no tenha uma cpia, ele pede ao vizinho uma cpia do LSA, e o
vizinho envia o LSA inteiro.
Quando dois vizinhos concluem esse processo, considera-se que eles tenham concludo totalmente o processo de troca
de bancos de dados. Portanto, o OSPF utiliza o estado Full entre vizinhos indicando que o processo de troca de bancos
de dados foi concludo.
Manuteno do LSOB estando completamente adjacente

Vizinhos em estado Full continuam executando trabalhos de manuteno. Eles continuam enviando Hellos a cada intervalo
Hello. A ausncia de Hellos por um tempo igual ao Intervalo Morto significa que a conexo com o vizinho falhou. Alm
CCNA ICND2
257
disso, se ocorrer qualquer alterao na topologia, os vizinhos enviam novas cpias dos LSAs alterados a cada vizinho de
forma que o vizinho possa alterar seus LSDBs. Se uma sub-rede falha, por exemplo, o roteador atualiza o LSA referente
quela sub-rede refletindo seu estado Down. Esse roteador, ento, envia o LSA a seus vizinhos, e eles, por sua vez, o
enviam a seus vizinhos, at que todos os roteadores tenham novamente uma cpia idntica do LSDB. Cada roteador
pode tambm utilizar o SPF para recalcular qualquer rota afetada pela sub-rede que falhou.
O roteador que cria cada LSA tambm tem a responsabilidade de redistribuir o LSA a cada 30 minutos (padro), mesmo
que no ocorra nenhuma alterao. Esse processo bastante diferente do conceito de vetor distncia de atualizaes
peridicas. Os protocolos vetor distncia enviam atualizaes completas em um intervalo de tempo curto, apresentando
todas as rotas (exceto aquelas omitidas devido a ferramentas para evitar loops tais como o split horizon). O OSPF no
envia todas as rotas a cada 30 minutos. Pelo contrrio, cada LSA possui um timer separado, com base em quando o LSA
foi criado. Portanto, em momento algum o OSPF envia vrias mensagens para redistribuir todos os LSAs. Em vez disso,
cada LSA redistribudo pelo roteador que criou o LSA, a cada 30 minutos.
Como lembrete, alguns roteadores no tentam se tomar completamente adjacentes. De modo especial, em interfaces em
que um DR seja eleito, os roteadores que no so nem DR nem BDR se tomam vizinhos, mas no se tornam completamente
adjacentes. Esses roteadores que no so completamente adjacentes no trocam LSAs diretamente. Alm disso, o
comando show ip ospf neighbor nesses roteadores apresenta esses vizinhos em estado two-way como sendo o estado
estvel normal entre vizinhos, e em estado Full como sendo o estado estvel normal para o DR e o BDR.
: Resumo dos estados entre vizinhos
Para facilitar a referncia e o estudo, a Tabela 9-2 apresenta e descreve sucintamente os estados entre vizinhos mencionados
neste captulo.
Tabela 9-2 Estados OSPF entre vizinhos e seus significados
Significado
Down
Um vizinho conhecido no mais alcanvel, muitas vezes por causa

de uma falha em uma interface subjacente
Init
Estado intermedirio em que um Helio proveniente do vizinho foi

escutado, mas esse Helio no apresenta o RID do roteador como j
____________________________________te_n_d_o_s_id_o__
vl_s_to__________________________________________
Two-way
---------------------------------------------------------------
Full
/;~~;~o
'. Chave
....
O vizinho enviou um Helio que apresenta o RID do roteador local na

lista de roteadores vistos, indicando tambm que todas as verificaes
do vizinho foram aprovadas
Ambos os roteadores conhecem exatamente os mesmos detalhes
do LSDB e so completamente adjacentes
--------------------------------------------------------------: Construindo a tabela de roteamento IP
Os roteadores OSPF enviam mensagens para aprender sobre vizinhos, apresentando esses vizinhos na tabela de vizinhos
OSPF. Os roteadores OSPF enviam mensagens para trocar dados sobre a topologia com esses mesmos vizinhos,
armazenando as informaes na tabela de topologia OSPF, mais comumente chamada de banco de dados LSDB ou
OSPF. Para preencher a terceira tabela utilizada pelo OSPF, a tabela de roteamento IP, o OSPF no envia nenhuma
mensagem. Cada roteador executa o algoritmo Dijkstra SPF com relao ao banco de dados da topologia OSPF, escolhendo
as melhores rotas com base neste processo.
O banco de dados da topologia OSPF consiste em listas de nmeros de sub-rede (chamados de links, da o nome banco
de dados link-state). Ele contm tambm listas de roteadores, junto com os links (sub-redes) aos quais cada roteador
est conectado. Munido do conhecimento de links e roteadores, o roteador pode executar o algoritmo SPF para computar
as melhores rotas at todas as sub-redes. O conceito bastante semelhante a juntar as peas de um quebra-cabeas. A
cor e o formato de cada pea o ajudam a identificar quais peas se encaixam uma ao lado da outra. Analogamente, as
informaes detalhadas em cada LSA - tais como o LSA de um link apresentando os roteadores anexados sub-rede
258 Captulo 9: OSPF
e o LSA de um roteador apresentando seus endereos IP e suas mscaras - d ao algoritmo SPF informaes suficientes
para saber quais roteadores se conectam a cada sub-rede e criar o equivalente matemtico de um diagrama de rede.
Cada roteador independentemente utiliza o algoritmo Dijkstra SPF, conforme aplicado ao LSDB do OSPF, para encontrar
a melhor rota que vai daquele roteador a cada sub-rede. No LSDB, o algoritmo encontra o menor trajeto que vai daquele
roteador a cada sub-rede. Em seguida, o roteador coloca a melhor rota at cada sub-rede na tabela de roteamento IP.
Parece simples e realmente quando se tem um desenho de uma inter-rede que apresente todas as informaes .
Felizmente, embora a matemtica por trs do algoritmo SPF possa ser um pouco assustadora, no necessrio saber a
matemtica do SPF para os exames ou para servios reais de comunicao em rede. Entretanto, necessrio saber
como prever as rotas que o OSPF vai escolher utilizando diagramas de rede e as documentaes.
O OSPF escolhe a rota de menor custo entre o roteador e uma sub-rede somando os custos OSPF das interfaces de
sada. Cada interface tem um custo OSPF associado a ela. O roteador olha cada possvel rota, soma os custos das
interfaces das quais os pacotes sairiam e seriam encaminhados naquela rota e, em seguida, escolhe a rota de menor
custo. A Figura 9-4, por exemplo, mostra uma inter-rede simples com os valores de custo OSPF ao lado de cada interface.
Nessa figura, o roteador R4 possui dois trajetos possveis com os quais alcanar a sub-rede 10.1.5.0/24. As duas rotas
so as seguintes, apresentando cada roteador e sua interface de sada:
R4 FaO/O-Rl SO/1-R5 FaO/O

R4 FaO/O-R2 SO/1-R5 FaO/O
Figura 9-4 Modelo de rede OSPF com os custos apresentados

Rota R4 - R1 - R5 : custo 1 + 100 + 10 = 111
Rota R4 - R2 - R5 : custo 1 + 64 + 10 = 75
Cl
10.5.1 .0/24
Cl0
10.1.1.0/24
FaOto
Cl
C 1 FaO/O
Se voc somar o custo associado a cada interface, a primeira das duas rotas totaliza um custo igual a 111, e a segunda .
totaliza 75. Portanto, R4 acrescenta a rota que passa por RI como sendo a melhor rota e apresenta o endereo IP de RI
como o endereo IP do prximo salto (next hop).
Agora que voc j viu como os roteadores OSPF executam as funes mais fundamentais do OSPF, a seo a seguir
examina o OSPF mais de perto, principalmente alguns pontos importantes relativos ao projeto.
Ajustando o OSPF atravs de um projeto hierrquico

Em algumas redes, o OSPF pode ser utilizado sem se preocupar com questes relativas ao projeto. Basta ligar o OSPF
em todos os roteadores e ele funciona! Entretanto, em redes maiores, os engenheiros precisam pensar e planejar como
utilizar vrios recursos do OSPF que o permitam funcionar bem em redes maiores. Para ter uma idia das questes
existentes por trs da escalabilidade do OSPF, e da necessidade de se ter um bom projeto que permita a escalabilidade,
observe a Figura 9-5.
Figura 9-5 OSPF em uma nica rea
10.1 .6.0
10.1.7.0
10.1.8.0
-.
10.1.9.0
CCNA ICND2
259
Na rede mostrada na Figura 9-5, o banco de dados da topologia em todos os nove roteadores a mesma topologia
completa que combina com a figura. Com uma rede deste tamanho, basta ativar o OSPF e ele funciona perfeitamente.
Mas imagine uma rede com 900 roteadores em lugar de apenas nove, e vrios milhares de sub-redes. Em uma rede deste
tamanho, a mera quantidade de processamento necessrio para executar o complexo algoritmo do SPF poderia fazer
com que o tempo de convergncia ficasse lento e que os roteadores ficassem com falta de memria. Os problemas
podem ser resumidos da seguinte forma:
~;~o
- Um banco de dados de topologia maior requer mais memria em cada roteador.
T/ulve - O processamento do banco de dados de topologia maior com o algoritmo SPF requer que o poder de processamento
cresa exponencialmente com o tamanho do banco de dados da topologia.

- Uma simples mudana no status da interface (up para down ou down para up) fora todos os roteadores a executarem
o SPF novamente!
Embora no haja uma definio exata do que considerado "grande" neste contexto, em redes com pelo menos 50
roteadores e pelo menos algumas centenas de sub-redes, os engenheiros devem utilizar os recursos de escalabilidade do
OSPF para reduzir os problemas que acabamos de descrever. Esses nmeros so generalizaes grosseiras. Eles dependem
em grande parte do projeto da rede, da potncia da CPU do roteador, da quantidade de RAM, etc .
,
Areas OSPF
Utilizar as reas OSPF resolvem muitos, mas no todos, dos problemas mais comuns encontrados ao executar o OSPF
em rede maiores. As reas OSPF dividem a rede de forma que os roteadores de uma rea saibam menos informaes
sobre a topologia das sub-redes da outra rea, e que eles no saibam sobre os roteadores da outra rea. Com bancos de
dados de topologia menores, os roteadores consomem menos memria e levam menos tempo de processamento para
executar o SPF. A Figura 9-6 mostra a mesma rede da Figura 9-5, mas com duas reas OSPF, chamadas de rea 1 e
rea O.
A mesma topologia mostrada na parte superior da figura, mas a parte inferior da figura mostra o banco de dados da
topologia nos Roteadores 1, 2 e 4. Ao colocar parte da rede em outra rea, os roteadores dentro da rea 1 ficam
desprovidos de alguns detalhes. O Roteador 3 conhecido como ABR (Area Border Router, ou Roteador de Limite de
rea) do OSPF, por estar no limite entre duas reas diferentes. O Roteador 3 no anuncia para os Roteadores 1,2 e 4 as
informaes de topologia completas sobre a ~arte da rede que est na rea O. Pelo contrrio, o Roteador 3 anuncia
informaes resumidas sobre as sub-redes da Area O, efetivamente fazendo com que os Roteadores 1,2 e 4 pensem que
a topologia se parece com a parte inferior da Figura 9-6. Por isso, os Roteadores 1, 2 e 4 vem o mundo como se ele
tivesse menos roteadores. Em conseqncia disso, o algoritmo SPF leva menos tempo e o banco de dados da topologia
usa menos memria.
rea O
Figura 9-6 OSPF com duas reas
rea 1
(rea "espinha dorsal")
10.1.6.0
10.1.7.0
10.1.8.0
10.1.9.0
10.1.6.0
~~y 10.1.7.0
10.1.8.0
10.1.9.0
260 Captulo 9: OSPF
o projeto do OSPF introduz alguns termos importantes que devem ser conhecidos para os exames. Esses termos so
definidos na Tabela 9-3.
Tabela 9-3 Terminologia para o projeto do OSPF

Termo
Descrio
ABR (Area Border Router, ou Roteador

Limite de rea)
Roteador OSPF com interfaces conectadas rea "backbone" e a de

pelo menos outra rea
ASBR (Autonomous System Border Router,

ou Roteador de Limite de Sistema Autnomo)
Roteador OSPF que se conecta a roteadores que no utilizam o OSPF

com o propsito de trocar rotas externas para dentro e para fora do
domnio OSPF
Roteador "backbone"
Roteador de uma rea, neste caso a rea "backbone"
Roteador interno
Roteador de uma nica rea que no a rea "backbone"
rea
Conjunto de roteadores e links que compartilham as mesmas

informaes detalhadas do LSDB, mas no com roteadores de outras
reas, por questes de melhor eficincia
rea "backbone"
Area O. rea OSPF especial qual todas as outras reas devem se

conectar.
Rota externa
para dentro do domnio OSPF
Rota aprendida de fora do domnio OSPF e, em seguida, anunciada
Rota intra-reas
Rota at uma sub-rede dentro da mesma rea que o roteador
Rota inter-reas
Rota at uma sub-rede de uma rea da qual o roteador no faz parte
Sistema autnomo
No OSPF, referncia a um conjunto de roteadores que utilizam OSPF
muito importante observar a diferena entre as informaes resumidas (ou sumarizadas) mostradas na Figura 9-6 em
comparao com as rotas sumarizadas abordadas no Captulo 5, "VLSM e Sumarizao de rotas". Neste caso, o termo
"resumido" (ou "sumarizado") significa apenas que um roteador dentro de uma rea recebe informaes mais sucintas
no LSA de uma sub-rede, diminuindo portanto a quantidade de memria necessria para armazenar as informaes. Na
Figura 9-6, por exemplo, o roteador RI (na rea 1) aprende somente um LSA bem sucinto sobre as sub-redes da rea
O. Este processo reduz o tamanho e a complexidade do algoritmo SPF. Alm disso, o termo "resumo" (ou "sumrio")
pode se referir a uma rota sumarizada configurada no OSPF, com os conceitos gerais abordados no Captulo 5. A
sumarizao manual de rotas no OSPF reduz o nmero de sub-redes, que, por sua vez, tambm reduzem o tamanho e o
esforo de clculo do SPF.
Observao Embora as perspectivas dos roteadores da rea 1 sejam mostradas na Figura

9-6, o mesmo acontece inversamente - os roteadores da rea O no conhecem os detalhes da
topologia da rea 1.
Observe que a linha divisria entre as reas no um link, mas um roteador. Na Figura 9-6, o Roteador 3 est tanto na
rea 1 quanto na rea O. O OSPF utiliza o termo ABR (Area Border Router, ou Roteador de Limite de rea) para
descrever um roteador que esteja em ambas as reas. Um ABR tem o banco de dados da topologia de ambas as reas
e executa o SPF quando os links mudam de status em qualquer uma das reas. Portanto, embora utilizar reas ajude a
melhorar o funcionamento do OSPF reduzindo o tamanho do LSDB e o tempo para computar uma tabela de roteamento,
a quantidade de RAM e de CPU consumida em ABRs pode na verdade aumentar. Em conseqncia disso, os roteadores
que agem como ABRs devem ser roteadores mais rpidos e ter relativamente mais memria.
CCNA ICND2
261
Vantagens do projeto de reas do OSPF
Utilizar reas melhora as operaes do OSPF de vrias maneiras, principalmente em inter-redes maiores:
- Um menor LSDB por rea requer menos memria.
- O roteador requer menos ciclos de CPU para processar o menor LSDB por rea com o algoritmo SPF, reduzindo a
sobrecarga da CPU e melhorando o tempo de convergncia.
- O algoritmo SPF tem de ser executado em roteadores internos somente quando um LSA dentro da rea sofre
mudana, e, portanto, os roteadores tm de executar o SPF com menos frequncia.
- Menos informaes devem ser anunciadas entre reas, reduzindo a largura de banda necessria para enviar LSAs.
- A sumarizao manual s pode ser configurada em ABRs e ASBRs, e, portanto, as reas permitem tabelas de
roteamento IP menores permitindo a configurao da sumarizao manual de rotas.
: Configurao do OSPF
A configurao do OSPF inclui apenas alguns poucos passos obrigatrios, mas possui vrios passos opcionais. Tendo sido
escolhido o projeto do OSPF - tarefa que pode ser complexa em inter-redes IP maiores - a configurao pode ser to
simples quanto ativar o OSPF em cada interface do roteador e colocar aquela interface na rea OSPF correta.
Esta seo mostra vrios exemplos de configurao, comeando com uma inter-rede composta por um OSPF de uma
nica rea e, em seguida, uma inter-rede OSPF de vrias reas. Seguindo esses exemplos, o texto passa a abordar vrias
definies adicionais de configuraes opcionais. Para referncia, a lista a seguir mostra os passos de configurao
abordados neste captulo bem como uma breve referncia aos comandos necessrios:
Passo 1 Entre no modo de configurao OSPF para um processo OSPF especfico utilizando o comando global
router ospf process-id.
..........
Passo 2 (Opcional) Configure o ID OSPF do roteador da seguinte forma:
( TpIco
:. Chave
....
a. Configurando o subcomando de roteador router-id id-value.

b. Configurando um endereo IP em uma interface loopback.
Passo 3 Configure um ou mais subcomandos de roteador network ip-address wildcard-mask area area-id,
acrescentando qualquer interface combinada rea listada.
Passo 4 (Opcional) Altere os intervalos Helio e Morto (dead) da interface utilizando os subcomandos de interface ip
ospf heUo-interval time e ip ospf dead-interval time
Passo 5 (Opcional) Faa as escolhas de roteamento ajustando os custos de interface da seguinte forma:
a. Configure os custos diretamente utilizando o subcomando de interface ip ospf cost value.
b. Altere as larguras de banda das interfaces utilizando o sub comando de interface bandwidth value .
c. Altere o numerador da frmula para calcular o custo baseado na largura de banda da interface, utilizando o
subcomando de roteador auto-cost reference-bandwidth value.
Passo 6 (Opcional) Configure a autenticao do OSPF:

a. Considerando cada interface individualmente utilizando o subcomando de interface ip ospf authentication.
b. Para todas as interfaces de uma rea utilizando o sub comando de roteador area authentication.
Passo 7 (Opcional) Configure o suporte para vrias rotas de mesmo custo utilizando o subcomando de roteador
maximum-paths number.
Configurao do OSPF de uma nica rea

A configurao do OSPF difere ligeiramente da configurao do RIP quando utilizada uma nica rea OSPE A melhor
forma de descrever a configurao e as diferenas em comparao com a configurao dos outros protocolos de
roteamento utilizar um exemplo. A Figura 9-7 mostra um modelo de rede e o Exemplo 9-1 mostra a configurao em
Albuquerque.
262 Captulo 9: OSPF

Figura 9-7 Modelo de rede para a configurao do OSPF de uma nica rea
Sub-rede 10.1.1.0
Sub-rede 10.1.5.0
Yosemite
'e;;r.:::....;..-----z.-----..Q!:1f~~~seville
Exemplo 9-1 Configurao do OSPF de uma nica rea em Albuquerque

interface ethernet %
ip address 10.1.1.1 255.255.255.0
interface serial O/O
ip address 10.1.4.1 255.255.255.0
interface serial 0/14
ip address 10.1.6.1 255.255.255.0
router ospf 1
network 10.0.0.0 0.255.255.255 area O
A configurao ativa o OSPF corretamente em todas as trs interfaces de Albuquerque. Primeiro, o comando global
router ospf 1 coloca o usurio no modo de configurao OSPF. O comando router ospf possui um parmetro chamado
process-id OSPF. Em alguns casos, possvel que voc queira executar vrios processos OSPF em um nico roteador
e, portanto, o comando router utiliza o process-id para distinguir um processo do outro. O process-id no tem de
combinar com cada roteador e pode ser qualquer nmero inteiro entre 1 e 65.535.
O comando network diz ao roteador para ativar o OSPF em cada interface combinada, descobrir vizinhos naquela
interface, designar a interface quela rea e anunciar a sub-rede conectada a cada interface. Neste caso, o comando
network 10.0.0.0 0.255.255.255 area O combina com todas as trs interfaces de Albuquerque porque o comando
OSPF network combina com as interfaces utilizando um endereo e uma mscara do tipo curinga como aquelas utilizadas
nas ACLs IP. A mscara curinga mostrada no Exemplo 9-1 0.255.255.255, com o endereo 10.0.0.0. Com base nos
detalhes includos no Captulo 6, "Listas de controle de acesso IP", essa combinao feita com todas as trs interfaces
de Albuquerque, colocando-as na rea O, e faz com que Albuquerque tente descobrir vizinhos nessas interfaces. Alm
disso, faz tambm com que Albuquerque anuncie as trs sub-redes conectadas.
A mscara curinga no comando OSPF network funciona como a mscara curinga de uma ACL, mas existe uma
restrio com relao aos valores usados. A mscara curinga OSPF deve ter somente uma string de nmeros 1 binrios
consecutivos e uma string de zeros binrios consecutivos. Uma mscara 0.0.255.255, por exemplo, representa 16 zeros
binrios e 16 nmeros 1 binrios e seria permitida. Da mesma forma, uma mscara 255.255.255.0 seria permitida, pois
ela tem uma string de 24 nmeros 1 binrios seguida de oito zeros binrios. No entanto, um valor de 0.255.255.0 no seria
permitido, pois ele tem dois conjuntos de oito zeros binrios, separados por uma string de 16 nmeros 1 binrios.
O Exemplo 9-2 mostra uma configurao alternativa para Albuquerque que tambm ativa o OSPF em cada interface.
Neste caso, o endereo IP para cada interface combinado com um comando network diferente. A mscara curinga
0.0.0.0 significa que todos os 32 bits devem ser comparados e devem combinar; por isso, os comandos network
incluem o endereo IP especfico de cada interface, respectivamente. Muitas pessoas preferem esse estilo de
configurao em redes de produo, pois ele elimina qualquer ambigidade sobre as interfaces nas quais o OSPF est
sendo executado.
CCNA ICND2
263
Exemplo 9-2 Configurao do OSP F de nica rea em Albuquerque utilizando trs comandos network
~----------------------------------------------------------.
interface ethernet O/ O
ip address 10 . 1.1.1 255. 2 55 . 255.0

ip address 10.1.4.1 255.255.255.0
interface serial 0 / 1
ip address 10.1.6.1 255.255.255.0
router ospf 1
network 10.1.1.1 0.0.0.0 area O
network 10.1.4.1 0.0.0.0 area O
network 10.1.6.1 0.0.0.0 area O
: Configurao do OSPF com vrias reas
A configurao do OSPF com vrias reas simples quando se entende a configurao do OSPF de uma nica rea. A
parte difcil projetar a rede OSPF fazendo boas escolhas sobre quais sub-redes devem ser colocadas em quais reas!
Aps concludo o projeto das reas, a configurao fcil. Considere a Figura 9-8, por exemplo, que mostra algumas subredes da rea O e algumas da rea 1.
rea O
Figura 9-8 Rede OSPF com vrias reas

"~-,""
..
""',~,Ub.rede 10.1.1.0
rea 1....... " '..-.--..
o"
.'
. .
~ ,
--
o
o
o
o
o
o
o
o
o
o
o
o
o
~~~~~______~S~Ub~.r~ed~e~10~.~1.:5.:0____-1~
Yosemite': o
o
~.rede 10.1.2.0
.. '
----- ............... __ ...... - ..
:/
o
o
'
Em uma rede pequena, no h necessidade de vrias reas, mas, neste exemplo, so utilizadas duas reas para mostrar
a configurao. Observe que Albuquerque e Seville so ABRs, mas Yosemite est totalmente dentro da rea 1, e, por
isso, no um ABR. Os Exemplos 9-3 e 9-4 mostram a configurao em Albuquerque e Yosemite, junto com vrios
comandos show.
Exemplo 9-3 Configurao do OSPF com vrias reas e comandos show em Albuquerque
! On1y the OSPF configuration is shown to conserve space
router oapf 1
network 10.1.1.1 0.0.0.0 area O
network 10.1.'.1 0.0.0.0 area 1
network 10.1.6.1 0.0.0.0 are a O
A1buquerque# ahow ip route
Codes:C - connected, S - static , I - IGRP, R - RIP , M - mobile , B - BGP
264
Captulo 9: OSPF
D - EIGRP, EX - EIGRP external,
o - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2


O
10.1.3.0 [110/65] via 10.1.6.3, 00:01:04, SerialO/1
10.1.2.0 [110/65] via 10.1.4.2, 00:00:39, SerialO/O
10.1.6.0 is directly connected, SerialO/1
10.1.5 . 0 [110 /128] via 10.1.4.2, 00:00:39, SerialO/O
10.1.4.0 is directly connected, SerialO/O
Albuquerque# show ip route ospf

6 subnets
10.1.3.0 [110/65] via 10.1.6.3, 00:01:08, SerialO/1
10.1.2.0 [110/65] via 10.1.4.2, 00:00:43, SerialO/O
10.1.5.0 [110 / 128] via 10.1.4.2, 00:00:43,
SerialO /O
Exemplo 9-4 Configurao do OSPF com vrias reas e comandos show em Yosemite
! Only the OSPF configuration is shown to conserve space
router ospf 1
network 10.0.0.0 0.255.255.255 area 1
Yosemite# show ip route
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

6 subnets
IA
10.1.3.0 [110/65] via 10.1.5 . 1, 00:00:54, SerialO/1
IA
10.1.1.0 [110/65] via 10.1.4.1, 00 : 00:49, SerialO/O
10 . 1.2.0 is directly connected, EthernetO/O
10 . 1.5.0 is directly connected, SerialO/1
IA
10.1.6.0 [110 /128 ] via 10.1.4.1, 00:00:38, SerialO/O
A configurao precisa definir o nmero de rea correto nas interfaces adequadas. O comando network 10.1.4.1
0.0.0.0 area 1, por exemplo, no incio do Exemplo 9-3, combina com o endereo IP da interface Serial O/O de Albuquerque,
colocando essa interface na rea 1. Os comandos network 10.1.6.1 0.0.0.0 area O e network 10.1.1.1 0.0.0.0 area
Ocolocam a Serial 0/1 e a Ethemet O/O, respectivamente, na rea O. Ao contrrio do Exemplo 9-1, Albuquerque no pode
ser configurada para combinar com todas as trs interfaces com um nico comando network, pois uma interface (Serial
O/O) est em uma rea diferente das outras duas interfaces.
Continuando com o Exemplo 9-3, o comando show ip route ospf apresenta apenas rotas aprendidas atravs do OSPF, ao
contrrio da tabela de roteamento IP inteira. O comando show ip route apresenta todas as trs rotas conectadas, bem
CCNA ICND2
265
como as trs rotas aprendidas atravs do OSPE Observe que a rota de Albuquerque at 10.1.2.0 tem a designao O ao seu
lado, significando intra-rea, pois aquela sub-rede reside na rea 1 e Albuquerque faz parte da rea 1 e da rea O.
No Exemplo 9-4, observe que a configurao do OSPF em Yosemite requer apenas um nico comando network porque
todas as interfaces de Yosemite esto na rea 1. Observe tambm que as rotas aprendidas por Yosemite a partir dos outros
dois roteadores aparecem como rotas inter-reas (IA) , pois essas sub-redes esto na rea O e Yosemite est na rea 1.
Configurando o RIO (10 do roteador) do OSPF
Roteadores que falam a lngua do OSPF devem possuir um RID para o funcionamento correto. Para encontrar seu RID,
um roteador Cisco utiliza o seguinte processo quando ele recarrega e comea o processo OSPE Observe que, quando
um desses passos identifica o RID, o processo pra .
.........
pico 1. Se o subcomando OSPF router-id rid estiver configurado, esse valor utilizado como RID.
ve
2. Se qualquer interface loopback tiver um endereo IP configurado e tiver uma linha e um status de protocolo up/up
(ativo/ativo), o roteador escolhe o endereo IP mais alto entre as interfaces loopback em up/up.
3. O roteador escolhe o endereo IP mais alto a partir de todas as interfaces operantes (up/up).
O primeiro e o terceiro critrios devem fazer algum sentido imediatamente: o RID est configurado ou retirado do endereo
IP de uma interface operante. Entretanto, este li vro ainda no explicou o conceito de interface loopback, conforme mencionado
no Passo 2. Interface loopback uma interface virtual que pode ser configurada com o comando interface loopback interfacenumber, onde interface-number um nmero inteiro. Interfaces loopback esto sempre em estado "ativo e em perfeito
funcionamento" a no ser que administrativamente colocadas em estado shutdown. Uma simples configurao do comando
interface loopback O, por exemplo, seguida de ip address 192.168.200.1 255.255.255.0, criaria uma interface e lhe
designaria um endereo IP. Como as interfaces loopback no dependem de nenhum hardware, essas interfaces podem estar
em up/up sempre que o lOS estiver rodando, fazendo delas boas interfaces para se basear um RID do OSPE
Cada roteador escolhe seu RID OSPF quando o OSPF inicializado. A inicializao acontece durante a carga inicial do
lOS. Portanto, se o OSPF ficar ativo, e mais tarde outras interfaces ficarem ativas e tiverem endereos IP mais altos, o
RID OSPF no mudar at que o processo OSPF seja reiniciado. O OSPF pode tambm ser reiniciado com o comando
c1ear ip ospf process, mas dependendo das circunstncias, o lOS pode ainda assim no alterar seu RID OSPF at a
prxima recarga do lOS.
Muitos comandos apresentam o RID OSPF de vrios roteadores. No Exemplo 9-5, o primeiro vizinho no resultado do
comando show ip ospf neighbor lista o RID 10.1.5.2, que o RID de Yosemite. Em seguida, show ip ospf lista o
prprio RID de Albuquerque.
Exemplo 9-5 Ex ibindo informaes relativas ao OSPF em Albuquerque
Albuquerque# show ip ospf neighbor
Neighbor ID
Pri
State
10.1.6.3
FULL /
1 0 . 1.5. 2
FULL / -
Dead Time
Address
Interface
00:00:35
10.1.6.3
SerialO / 1
00:00:37
10.1.4.2
SerialO / O
Albuquerque# show ip ospf neighbor

Rou tin g Process "ospf 1" wi th ID 10.1. 6 . 1
Timers Helio e Morto do OSPF
As definies padro dos timers Hello e Morto do OSPF normalmente funcionam sem nenhum problema. Entretanto,
importante observar que um erro de combinao na definio faz com que dois possveis vizinhos nunca se tomem
vizinhos, no alcanando o estado two-way. O Exemplo 9-6 apresenta a forma mais comum de ver as definies atuais
utilizando o comando show ip ospf interface, com base em Albuquerque, quando configurado conforme mostrado no
exemplo de OSPF com vrias reas (Exemplos 9-3 e 9-4).
Exemplo 9-6 Exibindo os timers Hello e Morto em Albuquerque
Albuquerque# show ip ospf interface
SerialO / 1 is up,
line pro t o c o l
is up
266
Captulo 9: OSPF
Internet Address 10.1.6.1/24, Area O
Process ID 1, Router ID 10.1.6.1, Network Type POINT_TO_POINT, Cost: 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:07
Index 2/3, flood queue length O
Next OxO(O)/OxO(O)
Last flood scan length is 2, maximum is 2
Last flood scan time is O msec, maximum is O msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.1.6.3
Suppress hello for O neighbor(s)

EthernetO/O is up,
line protocol is up
Internet Address 10.1.1.1/24, Area O

Process ID 1, Router ID 10.1.6.1, Network Type BROADCAST , Cost: 10
Transmit Delay is 1 sec, State DR, priority 1
Designated Router (ID) 10.1.6.1, Interface address 10.1.1.1
No backup designated router on this network
Next OxO(O)/OxO(O)
Last flood scan length is O, maximum is O
Neighbor Count is O, Adjacent neighbor count is O
Suppress hello for O neighbor(s)
SerialO/O is up, line protocol is up
Internet Address 10.1.4.1/24, Area 1
Process ID 1, Router ID 10.1.6.1, Network Type POINT_TO_POINT, Cost: 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Next OxO(O)/OxO(O)
Last flood scan length is 1, maximum is 1
Neighbor Count is 1, Adjacent neighbor count is 1
1-
Adjacent with neighbor 10.1.5.2
1Suppress hello for O neighbor(s)
Observe tambm que o comando show ip ospf interface apresenta mais informaes detalhadas sobre a operao do
OSPF em cada interface. Este comando, por exemplo, apresenta o nmero da rea, o custo OSPF e qualquer vizinho
conhecido em cada interface. Os timers utilizados na interface, incluindo o timer Helio e Morto, tambm so apresentados.
Para configurar os intervalos Helio e Morto, voc pode usar os subcomandos de interface the ip ospf hello-interval
value e ip ospf dead-interval value. interessante notar que, se o intervalo Hello estiver configurado, o lOS
automaticamente reconfigure o intervalo morto da interface para que ele seja 4 vezes o intervalo Helio.
Mtrica do OSPF (Custo)

O OSPF calcula a mtrica para cada possvel rota somando os custos OSPF das interfaces de sada. O custo OSPF de uma
interface pode ser configurado ou o roteador pode calcular o custo com base na definio da largura de banda da interface.
CCNA ICND2
267
Como lembrete, a definio da largura de banda de uma interface pode ser configurada utilizando o subcomando de
interface bandwidth. Esse comando define a percepo que o roteador tem da velocidade da interface, com uma
unidade de Kbps. Observe que a definio da largura de banda da interface no tem de combinar com a velocidade fsica
da interface, mas geralmente faz sentido definir a largura de banda para que ela combine com a velocidade fsica da
interface. Em interfaces Ethernet, a largura de banda reflete a atual velocidade negociada - 10.000 (significando 10.000
Kbps ou 10 Mbps) para uma Ethernet de 10 Mbps, e 100.000 (significando 100.000 Kbps ou 100 Mbps) para 100 Mbps.
Para interfaces seriais, a largura de banda utiliza automaticamente 1544 (significando 1544 Kbps ou velocidade TI), mas
o lOS no pode ajustar essa definio dinamicamente.
O lOS escolhe o custo de uma interface com base nas seguintes regras:
1. O custo pode ser explicitamente definido em um valor entre 1 e 65.535 (inclusive) utilizando o subcomando de
interface ip ospf cost x.
2. O lOS pode calcular o valor com base na forma genrica Ref-BW / Int-BW, onde Ref-BW uma largura de banda
de referncia que utiliza automaticamente 100 Mbps e Int-BW a definio da largura de banda da interface.
3. A largura de banda de referncia pode ser configurada a partir de sua definio padro de 100 (100 Mbps) utilizando
o subcomando de roteador OSPF auto-cost reference-bandwidth ref-bw, que, por sua vez, afeta o clculo do
custo padro da interface.
A frmula simples para calcular o custo OSPF padro apresenta uma parte que pode causar confuso. O clculo requer
que o numerador e o denominador utilizem as mesmas unidades, ao passo que os comandos bandwidth e auto-cost
reference-bandwidth utilizam unidades diferentes. O software Cisco lOS faz com que as interfaces Ethernet utilizem
automaticamente uma largura de banda 10.000, significando 10.000 Kbps ou 10 Mbps. A largura de banda de referncia
utiliza automaticamente o valor de 100, significando 100 Mbps. Portanto, o custo OSPF padro de uma interface Ethernet
seria 100 Mbps / 10 Mbps, depois de fazer com que os valores utilizem a unidade Mbps. Interfaces seriais de maior
velocidade utilizam automaticamente uma largura de banda de 1544, resultando em um custo padro de 108 bps / 1.544.000
bps, arredondado para baixo at o valor de 64, conforme mostrado na interface SO/l no Exemplo 9-6. Se a largura de
banda de referncia tivessem sido alterada para 1000, utilizando o sub comando de roteador OSPF auto-cost referencebandwidth 1000, a mtrica calculada seria 647.
A principal motivao para alterar a largura de banda de referncia para que os roteadores possam ter valores de custo
diferentes para interfaces funcionando a velocidades de 100 Mbps e mais altas. Com a definio padro, uma interface
que tenha uma definio de largura de banda de 100 Mbps (por exemplo, uma interface FE) e uma interface que tenha
uma largura de banda de 1000 Mbps (por exemplo, uma interface GE) teriam ambas um custo padro igual a 1. Ao alterar
a largura de banda de referncia para 1000, significando 1000 Mbps, o custo padro de uma interface que tem a largura
de banda igual a 100 Mbps seria 10, em comparao com o custo padro 1 de uma interface com largura de banda igual
a 1000 Mbps.
Observao A Cisco recomenda utilizar a mesma definio de largura de banda de referncia
OSPF em todos roteadores OSPF da rede.
Autenticao do OSPF
A autenticao possivelmente o mais importante dos recursos opcionais de configurao do OSPE A ausncia de
autenticao abre a rede para ataques em que um hacker conecta um roteador rede, onde os roteadores legtimos
acreditam nos dados OSPF do roteador intruso. Em conseqncia disso, o hacker pode facilmente provocar um ataque
de negao de servio (DoS) fazendo com que todos os roteadores removam as rotas legtimas at todas as sub-redes,
instalando rotas que encaminham pacotes para o roteador intruso. O hacker pode tambm executar um ataque de
reconhecimento, aprendendo informaes sobre a rede escutando e interpretando mensagens OSPE
O OSPF aceita trs tipos de autenticao: um chamado de autenticao nula (significando nenhuma autenticao), um
que utiliza uma senha simples de texto e que, portanto, fcil de desvendar, e um que utiliza MD5. Honestamente falando,
se tiver de configurar uma opo na vida real, a opo do MD5 a nica opo razovel. Assim que um roteador acaba
de configurar a autenticao OSPF em uma interface, ele deve ser aprovado no processo de autenticao para todas as
268
Captulo 9: OSPF
mensagens OSPF, com todos os roteadores vizinhos naquela interface. Isso significa que cada roteador vizinho quela
interface deve tambm ter o mesmo tipo de autenticao e a mesma senha de autenticao configurada.
A configurao pode utilizar dois subcomandos de interface em cada interface - um para ativar o tipo especfico de autenticao
e outro para definir a senha utilizada para a autenticao. O Exemplo 9-7 mostra um modelo de configurao em que autenticao
simples de uma senha configurada na interface FaO/O e a autenticao MD5 configurada em FaO/l.
Exemplo 9-7 Autenticao do OSPF utilizando apenas sub comandos de interface

! The following commands enable OSPF simple password authentication and
! set the password to a value of "key-t1".
R1# show running-config

interface FastEthernetO/O
i p o spf auth enticati on
ip o spf authentication-key key-t1
!
Below,
the neighbor relationship formed, proving that authentication worked.
Rl# show ip ospf neighbor fa O/O

Neighbor 10
pri
State
Oead Time
Address
Interface
2.2.2.2
FULL/BOR
00:00 : 37
10.1.1.2
FastEthernetO/O
! Next,
each interface's OSPF authentication type can be seen in the last line
! or two in the output of the show ip ospf interface command.
Rl# show ip ospf interface fa O/O
,,
Simple pas s wo rd authent ication enabled
! Below,
R1's FaO/1 interface is configured to use type 2 authentication.
! No t e that the key must be defined with

! the ip ospf message-digest-key interface subcommand .

ip ospf authentication message-digest
,-
i p o sp f me ssage- dig es t-key 1 md5 k e y-t2
1-
! Below,
the command confirms type 2 (M05) authentication, key number 1.
R1# show ip ospf interface fa 0/1

! Lin es omitted for brevity
Message digest authentication enabled

Youngest key i d i s 1
A parte mais complicada da configurao lembrar-se da sintaxe de comando utilizada em dois subcomandos de interface.
Observe os subcomandos de interface utilizados para configurar as chaves de autenticao, com a sintaxe diferindo com base no
tipo de autenticao. Para referncia, a Tabela 9-4 apresenta os trs tipos de autenticao OSPF e os comandos correspondentes.
(~:;;;~o
Tabela 9-4 Tipos de autenticao OSPF

Tipo
Significado
Comando para ativar a autenticao
:. Chave
....
O que configura a senha
Nenhum
ip ospf authentication null
Texto puro
ip ospf authentication
ip ospf authentication-key
key-value
ip ospf authentication
messagedigest
ip ospf message-digestkey key-number md5 key-value
MD5
.1
CCNA ICND2
Observe que as senhas, ou chaves de autenticao, so mantidas em texto puro na configurao, a no ser que voc
acrescente o comando global service password-encryption configurao. (Se tiver uma cpia do CCENT/CCNA
ICNDJ Guia Oficial de Certificao do Exame, talvez valha a pena referir-se ao Captulo 9 daquele livro para obter
mais informaes sobre o comando service passwordencryption.)
A definio padro para utilizar a autenticao do tipo O - que realmente significa nenhuma autenticao - pode ser
sobrescrita de rea em rea utilizando o comando de roteador area authentication. O roteador RI no Exemplo 9-7, por
exemplo, poderia ser configurado com o subcomando de roteador area 1 authentication message-digest, que faz com
que aquele roteador utilize automaticamente a autenticao MD5 em todas as suas interfaces da rea 1. Analogamente,
o subcomando de roteador area 1 authentication ativa a autenticao simples de senhas para todas as interfaces da
rea 1, tomando o subcomando de interface ip ospf authentication desnecessrio. Observe que as chaves de autenticao
(senhas) devem continuar sendo configuradas com os subcomandos de interface apresentados na Tabela 9-4.
Balanceamento de carga OSPF

Quando o OSPF utiliza o SPF para calcular a mtrica de cada uma das vrias rotas para alcanar uma sub-rede,
possvel que uma das rotas tenha a mtrica mais baixa e, portanto, o OSPF coloca essa rota na tabela de roteamento.
Entretanto, quando h um empate entre mtricas, o roteador pode colocar at 16 rotas diferentes de custo igual na tabela
de roteamento (o padro so quatro rotas diferentes) com base na definio do subcomando de roteador maximumpaths number. Se uma inter-rede, por exemplo, tivesse seis trajetos possveis entre algumas partes da rede, e o engenheiro
quisesse que todas as rotas fossem usadas, os roteadores poderiam ser configurados com o subcomando maximumpatbs 6 abaixo de router ospf.
O conceito mais desafiante est relacionado a como os roteadores utilizam essas vrias rotas. O roteador poderia
balancear a carga dos pacotes analisando cada pacote por vez. Se o roteador, por exemplo, tivesse trs rotas OSPF de
custo igual para a mesma sub-rede da tabela de roteamento, ele poderia enviar o prximo pacote pela primeira rota, o
pacote seguinte pela segunda rota, o pacote seguinte pela terceira rota e, em seguida, comear novamente com a
primeira rota para o prximo pacote. Outra alternativa fazer o balanceamento de carga com base no endereo IP de
cada destino.

Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave. A Tabela 9-5 relaciona estes
tpicos-chave e onde cada um encontrado.
..........
( Tpico
\Chave
Descrio
Lista
Itens que devem combinar com vizinhos

OSPF antes de se tomarem vizinhos e
alcanarem o estado two-way (pelo menos)
253
Estados entre vizinhos e mensagens durante

a formao de vizinhos OSPF
254
Resumo composto por trs passos referente ao

processo de troca de bancos de dados de
topologia OSPF
255
Desenho comparativo de adjacncias completas

formadas com e sem um DR
255
269
Figura9-2
Lista
Figura 9-3
000
Nmero da pgina
270
Captulo 9: OSPF
Lista
Regras para eleger um roteador designado
256
Tabela 9-2
Estados entre vizinhos OSPF e seus significados
257
Lista
Lista de razes pelas quais o OSPF precisa de

reas para funcionar bem
259
Tabela 9-3
Termos e definies do projeto do OSPF
260
Lista
Lista de verificaes da configurao do OSPF
261
Lista
Detalhes de como o lOS determina o custo

OSPF de uma interface
265
Tipos de autenticao e comandos de configurao

do OSPF
268
Tabela 9-4

Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: anncios link-state,
atualizao link-state, ABR (Area Border Router, ou Roteador de Limite de rea), ASBR (Autonomous System Border
Router, ou Roteador de Limite de Sistema Autnomo), banco de dados da topologia, completamente adjacente, descrio
de banco de dados, estado Fuli, estado two-way, intervalo Helio, intervalo morto, RID (Router ID, ou ID do roteador),
roteador designado, Roteador Designado para Backup, solicitao link-state, tabela de vizinhos, vizinho.

comando.

Comando
Descrio
router ospf process-id
Entra no modo de configurao OSPF para o processo listado
network ip-address wildcardmask

area area-id
Subcomando de roteador que ativa o OSPF em interfaces que combinam

com a combinao endereo/curinga e define a rea OSPF
ip ospf cost interface-cost
Subcomando de interface que define o custo OSPF associado interface
bandwidth bandwidth
interface (Kbps)
Subcomando de interface que defrne diretamente a largura de banda da
.'
CCNA ICND2
autocost reference-bandwidth number
Subcomando de roteador que diz ao OSPF o numerador da frmula RefBW/lnt-BW utilizada para calcular o custo OSPF com base na largura
de banda da interface
ip ospf helio number
Subcomando de interface que define o intervalo Hello OSPF e tambm

redefine o Intervalo Morto em 4 vezes este nmero
ip ospf dead-interval number
Subcomando de interface que define o timer Morto do OSPF
ip ospf network type
Comando OSPF que define estaticamente o RID
ip ospf hello-interval seconds
Subcomando de interface que define o intervalo para Hellos peridicas
ip ospf priority number-value
Subcomando de interface que define a prioridade OSPF em uma interface
maximum-paths number-ofpaths
Subcomando de roteador que define o nmero mximo de rotas de custo

igual que pode ser acrescentado tabela de roteamento
271
Subcomando de interface que ativa a autenticao tipo O (nula), tipo 1

(nenhum parmetro opcional listado) ou tipo 2 (message-digest)
ip ospf message-digest-key
key-number md5 key -value
Subcomando de interface que define a chave de autenticao OSPF se

for usada a autenticao MD5
ip ospf authentication key-value
Subcomando de interface que define a chave de autenticao OSPF se

for usada a autenticao simples de senhas
area area authentication

[message-digest I null]
Subcomando de roteador que configura o servio de autenticao padro

para interfaces da rea listada
ip ospf authentication [nuU

message-digest]
Tabela 9-7 Referncia aos Comandos EXEC do Captulo 9

Comando
Descrio
show ip route ospf
Apresenta rotas da tabela de roteamento aprendidas pelo OSPF
show ip protocols
Mostra os parmetros do protocolo de roteamento e os atuais valores

dotimer
show ip ospf interface
Apresenta a rea na qual a interface reside, os vizinhos adjacentes a

essa interface e os timers Hello e Morto
show ip ospf neighbor [neighbor-RID]
Apresenta os vizinhos e o atual status com os vizinhos, por interface, e

opcionalmente apresenta detalhes referentes ao RID listado no comando
debug ip ospf events
Emite mensagens de registro para cada pacote OSPF
debug ip ospf packet
Emite mensagens de registro descrevendo o contedo de todos os

pacotes OSPF
debug ip ospf heUo
Emite mensagens de registro descrevendo Hellos e falhas de Hellos
.
~

seguintes assuntos:
Conceitos e operao do EIGRP: esta seo explica os
conceitos relativos vizinhana, troca de informaes sobre
topologia e clculo de rotas no EIGRP.
Configurao e verificao do EIGRP: esta seo mostra

como configurar o EIGRP, incluindo autenticao e ajuste
de mtricas, bem como a forma de se determinar as rotas
para sucessor e para sucessor possvel na sada dos
comandos show.
: EIGRP
CAPTULO
10
o EIGRP (Enhanced Interior Gateway Routing Protocol)
disponibiliza um conjunto impressionante de recursos e

atributos destinados ao seu propsito principal, que consiste em aprender rotas IP. O EIGRP converge muito rapidamente,
de modo similar ou at mesmo mais rpido que o OSPF, mas sem algumas das desvantagens do OSPE Em particular, o
EIGRP necessita de muito menos tempo de processamento, muito menos memria e muito menos esforo de projeto que
o OSPE A nica desvantagem significativa que o EIGRP proprietrio da Cisco, de modo que, se uma interconexo de
rede usar alguns roteadores que no so da Cisco, o EIGRP no poder ser usado nestes roteadores.
o EIGRP no se enquadra perfeitamente nas categorias gerais de protocolos de roteamento vetor distncia e link-state.
s vezes, a Cisco se refere ao EIGRP simplesmente como um protocolo vetor distncia avanado, mas em outras
ocasies, a Cisco se refere ao EIGRP como sendo um tipo novo: um protocolo de roteamento balanced hybrid. No
importa a categoria, os conceitos fundamentais e os processos usados pelo EIGRP podem ter algumas semelhanas com
outros protocolos de roteamento, mas o EIGRP possui muito mais diferenas, tomando-o um protocolo de roteamento
nico, por si mesmo.
Este captulo comea examinando alguns dos conceitos-chave a respeito de como o EIGRP funciona. A segunda metade
deste captulo d explicaes sobre configurao e verificao do EIGRP.
: Questionrio "Eu j conheo isto"?
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. Se voc errar no mais que uma
destas nove questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame". A Tabela 10-1 lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
material destas sees. Isto ajudar voc a avaliar seu conhecimento nestas reas especficas. As respostas ao questionrio
"Eu j conheo isto?" aparecem no Apndice A.
Tabela 10-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu j conheo isto ?"
Seo dos Tpicos Fundamentais
Perguntas
Conceitos e operao do EIGRP
1-4
Configurao e verificao do EIGRP
5-9
1. Qual(is) dos seguintes itens afeta(m) o clculo das mtricas do EIGRP quando todos os valores default possveis so
usados?
a . Largura de banda
b. Atraso
c . Carga
d. Confiabilidade
e. MTU
f . Nmero de Hops
2. Como o EIGRP percebe quando um roteador vizinho falha?
a. O vizinho que falhou manda uma mensagem antes da falha.
274 Captulo 10: EIGRP

b. O vizinho que falhou manda uma mensagem "dying gasp".
c. O roteador percebe a falta de atualizao de roteamentos por um perodo de tempo.
d. O roteador percebe a falta de mensagens Helio por um perodo de tempo.
3. Qual dos seguintes itens verdadeiro a respeito do conceito de feasible distance do EIGRP?
a. A feasible distance de uma rota a mtrica calculada de uma rota para sucessor possvel.
b. A feasible distance de uma rota a mtrica calculada da rota para sucessor.
c. A feasible distance a mtrica de uma rota sob a perspectiva de um roteador vizinho.
d. A feasible distance a mtrica EIGRP associada a cada rota possvel para se alcanar uma sub-rede.
4. Qual dos seguintes itens verdadeiro a respeito do conceito de reported distance do EIGRP?
a. A reported distance de uma rota a mtrica calculada de uma rota para sucessor possvel.
b. A reported distance de uma rota a mtrica calculada da rota para sucessor.
c. A reported distance de uma rota a mtrica de uma rota sob a perspectiva de um roteador vizinho.
d. A reported distance a mtrica EIGRP associada a cada rota possvel para se alcanar uma sub-rede.
5. Qual(is) dos seguintes comandos network, depois do comando router eigrp 1, diz(em) a este roteador para comear
a usar o EIGRP nas interfaces cujos endereos IP so 10.1.1.1, 10.1.100.1 e 1O.1.120.1?
a.network 10.0.0.0
b.network 10.1.lx.0
c.network 10.0.0.0.
0.255.255.255
d.network 10.0.0.0 255.255.255.0

6. Os roteadores RI e R2 esto conectados mesma VLAN com endereos IP 10.0.0.1 e 10.0.0.2, respectivamente.
RI est configurado com os comandos router eigrp 99 e network 10.0.0.0. Qual(is) dos seguintes comandos
pode(m) fazer parte de uma configurao EIGRP em funcionamento em R2, e que garante que os dois roteadores se
tomem vizinhos e troquem rotas?
a.network 10
b. router eigrp 98
c.network 10.0.0.2 0.0.0.0
d.network 10.0.0.0
7. Examine o seguinte trecho de um CU de um roteador:
P 10 . 1 . 1 . 0/24, 1 suc c essors, FD is 2172416
via 10.1.6.3
(2172416/28160),
via 10.1.4.2
(26844 1 6/2284156),
Seria lO/1
via 1 0 .1. 5.4
(2684416/2165 4 32), Seria ll/O
SerialO/O
Qual(is) dos seguintes endereos identifica(m) um endereo IP de um next-hop em uma rota para sucessor possvel?
a. 10.1.6.3
b. 10.1.4.2
c. 10.1.5.4
d. No pode ser determinado a partir da sada deste comando.
8. Qual(is) dos seguintes itens deve(m) ocorrer para se configurar a autenticao MD5 para o EIGRP?
a. Configurar a chave de autenticao MD5 atravs de algum subcomando de interface
b. Configurar pelo menos uma cadeia de chave
CCNA ICND2
275
c. Definir um tempo de vida vlido para a chave
Conceitos e operao do EIGRP
d. Habilitar a autenticao MD5 do EIGRP em uma interface
9. No comando show ip route, qual designao de cdigo implica que uma rota foi aprendida com o EIGRP?
a. E
b. I
c. G
d. R
e. P
f. D
Tpicos fundamentais
Como no OSPF, o EIGRP segue trs passos gerais para poder adicionar rotas na tabela de roteamento IP:
1. Descoberta de vizinhos: Os roteadores EIGRP enviam mensagens Helio para descobrir roteadores EIGRP
vizinhos em potencial, e executam verificaes bsicas de parmetros para determinar quais roteadores devem se
tomar vizinhos.
2. Troca de topologia: Os vizinhos trocam atualizaes completas da topologia quando a relao de vizinhana
surgir, e depois somente atualizaes parciais quando necessrio, baseadas em mudanas na topologia da rede.
3. Escolha de rotas: Cada roteador analisa sua respectiva tabela de topologia do EIGRP, selecionando a rota com a
mtrica mais baixa para alcanar cada sub-rede.
Como resultado destes trs passos, o lOS mantm trs importantes tabelas do EIGRP. A tabela de vizinhos do EIGRP
lista os roteadores vizinhos, e consultada atravs do comando show ip eigrp neighbor. A tabela de topologia do
EIGRP guarda todas as informaes sobre topologia aprendida com os vizinhos EIGRP, e apresentada atravs do
comando show ip eigrp topology. Finalmente, a tabela de roteamento IP guarda todas as melhores rotas, e
apresentada atravs do comando show ip route.
As prximas sees descrevem alguns detalhes sobre como o EIGRP forma relaes de vizinhana, troca rotas e
adiciona entradas na tabela de roteamento IP. Alm destes trs passos, esta seo explica algumas lgicas particulares
que o EIGRP usa quando estiver convergindo e reagindo a mudanas em uma interconexo de rede -lgica que no
vista com outros tipos de protocolos de roteamento.
Vizinhos EIGRP
Um vizinho EIGRP outro roteador que fala EIGRP, e que est conectado a uma sub-rede em comum, e com o qual o
roteador deseja trocar informaes EIGRP sobre topologia. O EIGRP usa as mensagens Helio do EIGRP, enviadas ao
endereo IP multicast 224.0.0.10 para descobrir dinamicamente os vizinhos em potencial. Um roteador aprende sobre
vizinhos em potencial atravs do recebimento de um Helio.
Os roteadores executam algumas verificaes bsicas para cada vizinho em potencial antes que este roteador se tome
um vizinho EIGRP. Um vizinho em potencial um roteador a partir do qual uma mensagem Helio do EIGRP foi recebida.
Ento, o roteador verifica as seguintes configuraes para determinar se deve permitir que este roteador se tome um
vizinho:
Ele deve passar pelo processo de autenticao.

Ele deve usar o mesmo nmero AS configurado.
O endereo IP de origem usado pelo Helio do vizinho deve estar na mesma sub-rede.
/;~~;~o
\ Chave
....

Observao Os valores K do EIGRP do roteador tambm devem ser os mesmos, mas este
tpico est fora do escopo deste livro.
As verificaes so relativamente diretas. Se a autenticao estiver configurada, os dois roteadores devem estar usando
o mesmo tipo de autenticao e a mesma chave para autenticao. A configurao do EIGRP inclui um parmetro
chamado ASN (Autonomous System Number, ou Nmero do Sistema Autnomo), que deve ser o mesmo em dois
roteadores vizinhos. Finalmente, os endereos IP usados para enviar as mensagens Helio do EIGRP - os respectivos
endereos IP de interface dos roteadores - devem estar no intervalo de endereos da respectiva sub-rede conectada ao
outro roteador.
A relao de vizinhana do EIGRP muito mais simples do que a do OSPF. O EIGRP no possui o conceito adicional de
estar totalmente adjacente como no OSPF, e no existem estados nos vizinhos, como no OSPF. Assim que um vizinho
EIGRP descoberto e passa nas verificaes bsicas, este roteador se torna um vizinho. Neste ponto, os dois roteadores
podem comear a trocar informaes sobre topologia. Os vizinhos enviam Helios a cada intervalo de Helio do EIGRP. Um
roteador considera que no pode mais alcanar seu vizinho EIGRP depois que os Helios do vizinho param de ocorrer pelo
nmero de segundos definidos pelo Hold Timer do EIGRP - o equivalente, a grosso modo, do Dead Interval do OSPF.
Trocando informaes sobre topologia no EIGRP

O EIGRP usa as mensagens de Atualizao do EIGRP para enviar informaes sobre topologia aos vizinhos. Estas
mensagens de Atualizao podem ser enviadas para o endereo IP multicast 224.0.0.10 se o roteador que est enviando
precisar atualizar vrios roteadores na mesma sub-rede; caso contrrio, as atualizaes sero enviadas ao endereo IP
unicast do vizinho em particular. (Mensagens Helio so sempre enviadas ao endereo multicast 224.0.0.10.) De modo
diferente do OSPF, no existe nenhum conceito de DR (Designated Router, ou Roteador Designado) ou BDR (Backup
Designated Router, ou Roteador Designado de Backup), mas o uso de pacotes multicast em LANs permite ao EIGRP
trocar informaes sobre roteamento com todos os vizinhos na LAN, de modo eficiente.
As mensagens de atualizao so enviadas usando o RTP (Reliable Transport Protocol)o O que significativo no RTP
que, como no OSPF, o EIGRP re-envia as atualizaes sobre roteamento que forem perdidas em trnsito. Atravs do
uso do RTP, o EIGRP pode evitar melhor os loops.
Observao O acrnimo RTP tambm se refere a um diferente protocolo, o Real-time Transport Protocol (RTP), que usado para transmitir pacotes IP de voz e vdeo.
Vizinhos usam os dois tipos de atualizaes de roteamento, as completas e as parciais, como mostrado na Figura 10-1.
Uma atualizao completa significa que um roteador envia informaes sobre todas as rotas conhecidas, enquanto que
uma atualizao parcial inclui apenas as informaes a respeito de rotas recentemente alteradas. Atualizaes completas
ocorrem quando os vizinhos surgem pela primeira vez. Depois disso, os vizinhos enviam apenas atualizaes parciais em
resposta a alteraes em uma rota. De cima para baixo, a Figura 10-1 mostra a descoberta de vizinhos com Hellos, o
envio de atualizaes completas, a manuteno da relao de vizinhana com Hellos em andamento, e as atualizaes
parciais.
Figura 10-1 Atualizaes Completas e Parciais no EIGRP
/~~~;~o
\ Chave
000
-- I
-
IDescoberta de Vizinhos (Helio) I
'IA-t-ua-li-za--o-C-o-m-p-Ie-ta-de-R-o-te-a-m-e-n---'toI
o
.-------~
Hellos Contnuos
I-
IDescoberta de Vizinhos (Helio) I

Atualiz~o ~ 'IA-tu-a-liz-a--o-C-o-m-p-Ie-ta-d-e-R-o-te-a-m-e-nt---'oI
Conftavel
o
,-----~
Hellos Contnuos
CCNA ICND2
277
Calculando as melhores rotas para a tabela de roteamento
Clculo de mtrica um dos recursos mais interessantes do EIGRP. O EIGRP usa uma mtrica composta, calculada
como uma funo da largura da banda e do atraso, por default. O clculo tambm pode incluir a carga e a confiabilidade
da interface, embora a Cisco recomende no usar nenhuma delas. O EIGRP calcula a mtrica para cada rota possvel
inserindo os valores da mtrica composta em uma frmula.
Documentos e livros do passado geralmente afirmavam que o EIGRP, e seu predecessor, o IGRP, tambm podiam usar
o MTU como sendo parte da mtrica, mas o MTU no pode ser usado e nunca foi considerado como parte dos clculos.
A frmula para o clculo da mtrica no EIGRP na verdade ajuda a descrever alguns dos pontos-chave a respeito da
mtrica. A frmula, assumindo que as configuraes default usem somente largura de banda e atraso, a seguinte:
Mtrica
10
7
)
Menor largura de banda
+ atraso cumulativo *256
Nesta frmula, o termo largura de banda mnima representa o enlace com menor largura de banda da rota, usando uma
unidade de kilobits por segundo. Por exemplo, se o enlace mais lento em uma rota for um link Ethemet de lO-Mbps, a
primeira parte da frmula ser 107/1Q4, que igual a 1000. Voc usa 104 na frmula porque 10 Mbps igual a 10.000 kbps
(1Q4 kbps). O valor do atraso cumulativo usado nesta frmula a soma de todos os valores de atraso para todos os
enlaces da rota, em uma unidade de "dezenas de rnicrossegundos". Voc pode configurar ambos, largura de banda e
atraso para cada enlace, usando os subcomandos de interface inteligentemente chamados de bandwidth e delay.
Observao A maioria dos comandos show, incluindo show ip eigrp topology e show interfaces,
apresenta configuraes de atraso como sendo o nmero de microssegundos de atraso. A
frmula da mtrica usa uma unidade de dezenas de microssegundos.
As atualizaes no EIGRP listam o nmero e a mscara da sub-rede, juntamente com o atraso cumulativo, e a largura
mnima de banda, juntamente com as outras partes tipicamente no usadas da mtrica composta. O roteador ento
considera as configuraes de largura de banda e atraso da interface da qual a atualizao foi recebida, e calcula uma
nova mtrica. Por exemplo, a Figura 10-2 mostra Albuquerque aprendendo sobre a sub-rede 10.1.3.0/24, a partir de
Seville. A atualizao mostra uma largura mnima de banda de 100.000 kbps, e um atraso cumulati vo de 100 rnicrossegundos.
RI possui uma largura de banda da interface configurada em 1544 kbps - a largura de banda default em um enlace serial
- e um atraso de 20.000 rnicrossegundos.
Figura 10-2 Como Albuquerque Calcula Sua Mtrica EIGRP para 10.1.3.0/24
Albuquerque
Largura de Banda:1544
Atraso: 20.000
Sub-rede 10.1.3.0/24
Seville
FAOIO . - -.........
50/1
FaOI1
10.1.3.0/24
Largura Mnima de Banda = 100.000
Atraso Cumulativo = 100
Atualizao no EIGRP
Neste caso, Albuquerque descobre que a largura de banda de sua interface SO/1 (1544) menor que a largura mnima de
banda anunciada de 100.000; portanto Albuquerque usa esta nova e mais lenta largura de banda no clculo da mtrica.
(Se a interface SO/1 de Albuquerque tivesse uma largura de banda de 100.000 ou mais neste caso, Albuquerque usaria a
largura mnima de banda listada na Atualizao do EIGRP, recebida de Seville, no lugar.) Albuquerque tambm soma o
atraso da interface SO/1 (20.000 rnicrossegundos, convertidos para 2000 dezenas de rnicrossegundos para a frmula) ao
atraso cumulativo recebido de Seville, na atualizao (100 rnicrossegundos, convertidos para 10 dezenas de rnicrossegundos).
Isto resulta no seguinte clculo de mtrica:
Mtrica =
I~l
1544
+ (10+2000)
* 256=2,172,416
Observao O lOS arredonda a diviso desta frmula para baixo, para o inteiro mais prximo,
antes de executar o resto da frmula. Neste caso, 107/1544 arredondado para baixo para 6476.
Se existissem vrias rotas possveis para a sub-rede 10.1.3.0/24, Albuquerque tambm calcularia a mtrica para estas
rotas e escolheria a rota com a melhor (menor) mtrica para ser adicionada na tabela de roteamento. Se houver empate
na mtrica, um roteador iria colocar at quatro rotas com mtricas iguais na tabela de roteamento, por default, enviando
parte do trfego em cada rota. A seo mais adiante "Nmero Mximo de Caminhos e Varincia no EIGPR" explica com
um pouco mais de detalhes a respeito de como o EIGRP pode adicionar mltiplas rotas com mtricas iguais e mltiplas
rotas com mtricas diferentes na tabela de roteamento.
Feasible Distance e Reported Distance
o exemplo descrito pela Figura 10-2 fornece um pano de fundo conveniente para se definir um par de termos do EIGRP:
/;~~;~o. Feasible Distance (FD): A mtrica da melhor rota para se alcanar uma sub-rede, conforme calculado em um
\~h....
roteador.
Reported Distance (RD): A mtrica, conforme calculada em um roteador vizinho, e depois reportada e aprendida
atravs de uma Atualizao do EIGRP.
Por exemplo, na Figura 10-2, Albuquerque calcula um FD de 2.195.631 para alcanar a sub-rede 10.1.3.0/24 atravs de
Seville. Seville tambm calcula sua prpria mtrica para alcanar a sub-rede 10.1.3.0/24. Seville tambm lista esta
mtrica em sua atualizao EIGRP enviada para Albuquerque. De fato, baseado nas informaes da Figura 10-2, o FD
de Seville para alcanar a sub-rede 10.1.3.0/24, que ento conhecido por Albuquerque como sendo o RD de Seville
para alcanar 10.1.3.0/24, poderia ser facilmente calculado:
107
+ (10)* (256 = 28.160)
1000
FD e RD sero mencionados em uma futura discusso a respeito de como o EIGRP reage e converge quando ocorre
uma mudana em uma interconexo de rede.
Cuidados com a largura da banda em enlaces seriais

As mtricas robustas do EIGRP do a ele a capacidade de escolher rotas que incluem mais hops em roteadores, mas com
enlaces mais rpidos. No entanto, para garantir que as rotas corretas sero selecionadas, os engenheiros devem tomar
cuidado para configurar larguras de banda e atrasos que sejam significativos. Particularmente, os enlaces seriais possuem
largura de banda de 1544 e um atraso de 20.000 micros segundos como defaults, conforme usados no exemplo mostrado
na Figura 10-2. Porm, o lOS no pode alterar automaticamente as configuraes de largura de banda e de atraso
baseado na velocidade da Camada 1 de um enlace serial. Portanto, usar as configuraes default de largura de banda em
enlaces seriais pode conduzir a problemas.
A Figura 10-3 mostra o problema relativo ao uso da configurao default de largura de banda, e como o EIGRP usa a
melhor (mais rpida) rota quando a largura de banda configurada corretamente. A figura foca na rota do roteador B
para a sub-rede 10.1.1.0/24, em cada caso. Na parte superior da figura, todas as interfaces seriais usam defaults, embora
o enlace serial da parte superior seja um lento 64 kbps. A figura na parte inferior mostra os resultados quando o comando
bandwidth do enlace serial mais lento alterado para refletir a velocidade correta (mais lenta).
. 1
CCNA ICND2
279
Figura 10-3 Impacto da Largura de Banda no Clculo da Mtrica no EIGRP

EIGRP, Largura de Banda Default
~-------------
-----...........'f"_.,
Tabela de Roteamento
sub-rede
Interface de Sarda
Largura de Banda 1544 SO
10.1.1 .0
80
64 kbps
Subrede10.1.1.0
EIGRP, Largura de Banda Correta
Tabela de Roteamento
sub-rede
Interface de Sarda
10.1 .1.0
81
Subrede10.1.1.0
" " " Largura de Banda 1544
Convergncia no EIGRP
Evitar loops se apresenta como um dos problemas mais difceis para qualquer protocolo de roteamento dinmico. Protocolos
vetor distncia resolvem este problema com uma variedade de ferramentas, algumas das quais responsveis por uma
grande parte do tempo de convergncia com durao de minutos, aps a falha em um enlace. Protocolos link-state
resolvem este problema fazendo com que cada roteador mantenha uma topologia completa da rede, de modo que executando
um modelo matemtico bem complexo, um roteador pode evitar quaisquer loops.
O EIGRP evita loops mantendo algumas informaes bsicas de topologia, mas evita consumir muita CPU e memria
mantendo as informaes de modo conciso. Quando um roteador aprende mltiplas rotas para a mesma sub-rede, ele
coloca a melhor rota na tabela de roteamento IP. O EIGRP mantm algumas informaes da topologia pelas mesmas
razes que o OSPF - para que possa convergir bem rapidamente e usar uma nova rota sem causar um loop. Essencialmente,
o EIGRP mantm um registro de cada roteador que pode ser um next-hop, e alguns detalhes relacionados a estas rotas,
mas nenhuma informao sobre a topologia alm dos roteadores next-hop. Esta informao mais esparsa sobre topologia
no exige o sofisticado algoritmo SPF, resultando em uma convergncia rpida e com menos sobrecarga, sem loops.
O processo de convergncia no EIGRP usa um de dois caminhos em sua lgica, baseado no fato da rota que falhou
possuir ou no uma rota para sucessor possvel. Se uma rota para sucessor possvel existir, o roteador pode usar
imediatamente esta rota. Caso contrrio, o roteador deve usar um processo de query and response para encontrar uma
rota alternativa livre de loops. Ambos os processos resultam em convergncia rpida, tipicamente menos que 10 segundos,
mas o processo de query and response leva um pouco mais de tempo.
Sucessores e sucessores possveis no EIGRP

O EIGRP calcula a mtrica de cada rota, para alcanar cada sub-rede. Para uma sub-rede em particular, a rota com a
melhor mtrica chamada de sucessor, com o roteador preenchendo a tabela de roteamento IP com esta rota. (A mtrica
desta rota chamada de FD (Feasible Distance), conforme apresentado anteriormente.)
Sobre as outras rotas para se alcanar a mesma sub-rede - rotas cujas mtricas foram maiores que o FD da rota - o
EIGRP precisa determinar quais podem ser usadas imediatamente caso a melhor rota corrente falhar, sem causar um
loop no roteamento. O EIGRP executa um algoritmo simples para identificar quais rotas poderiam ser usadas, mantendo
estas rotas backup livres de loop em sua tabela de topologia, e usando-as no caso da melhor rota corrente falhar. Estas
rotas alternativas, que podem ser imediatamente usadas so chamadas de rotas para sucessor possvel porque elas so
possveis de serem usadas quando a rota para sucessor falhar. Um roteador determina se uma rota um sucessor
possvel baseado em sua condio de viabilidade:
Se o RD de uma rota que no sucessor for menor que o FD, a rota uma rota para sucessor possvel.
Embora seja tecnicamente correta, esta definio muito mais compreensvel atravs do exemplo mostrado na Figura
10-4. A figura ilustra como o EIGRP descobre quais rotas so sucessores possveis para a sub-rede 1. Na figura, o
Roteador E aprende trs rotas para a Sub-rede 1, dos Roteadores B, C e D. Aps calcular a mtrica para cada rota,

baseado nas informaes de largura de banda e atraso recebidas durante as atualizaes de roteamento e nas interfaces
de sada correspondentes de E, o Roteador E descobre que a rota atravs do Roteador D possui a menor mtrica;
portanto o Roteador E adiciona esta rota em sua tabela de roteamento, conforme mostrado. O FD a mtrica calculada
para esta rota, um valor de 14.000 neste caso.
Figura 10-4 Sucessores e Sucessores Possveis no EIGRP

Roteador E Calcula o FO para Cada Rota:
Rota Atravs do Roteador B - 19.000
Rota Atravs do Roteador C - 17.500
Rota Atravs do Roteador D - 14.000
Sub-rede 1 Mtrica 13.000
:.iiiiiIt----I Sub-rede 1
Sub-rede 1 Mtrica 14.000. Atravs do Roteador D
Tabela de Topologia do Roteador E para Sub-rede 1

Rota Atravs do Roteador D - Sucessor
Rota Atravs do Roteador C - Sucessor Possfvel
(O RO de C 13.000, que Menor Que a Mtrica de E
O EIGRP decide se uma rota pode seu um sucessor possvel se a RD (Reported Distance) para aquela rota (a mtrica,
conforme calculada naquele vizinho) for menor que sua prpria melhor mtrica calculada (o FD). Quando este vizinho
tiver uma mtrica menor para a rota, para a sub-rede em questo, diz-se que esta rota atingiu a condio de viabilidade.
Por exemplo, o Roteador E calcula uma mtrica (FD) de 14.000 para sua melhor rota (atravs do Roteador D). A mtrica
calculada no Roteador C - sua RD para esta rota - menor que 14.000 ( 13.000). Como resultado, E sabe que a melhor
rota de C para esta sub-rede no poderia possivelmente apontar em direo ao roteador E; ento, o Roteador E acredita
que ele poderia comear a usar a rota atravs do Roteador C, sem causar um loop. Como resultado, o Roteador E
adiciona uma rota atravs do Roteador C na tabela de topologia como sendo uma rota para sucessor possvel. Por outro
lado, a RD do Roteador B de 15.000, que maior que o FD do Roteador E, de 14.000; portanto, o Roteador E no
considera a rota atravs do Roteador B como sendo um sucessor possvel.
Se a rota para a Sub-rede 1 atravs do Roteador D falhar, o Roteador E pode colocar a rota atravs do Roteador C
imediatamente na tabela de roteamento, sem medo de criar um loop. A convergncia ocorre quase que instantaneamente
neste caso.
o processo de consulta e resposta
(query and reply)
Quando uma rota falha e no possui nenhum sucessor possvel, o EIGRP usa um algoritmo distribudo chamado DUAL
(Diffusing Update Algorithm). O DUAL envia consultas procura de rotas livres de loop para a sub-rede em questo.
Quando a nova rota encontrada, o DUAL a adiciona na tabela de roteamento.
O processo DUAL do EIGRP simplesmente usa mensagens para confirmar que uma rota existe e que no criaria um
loop, antes de decidir substituir uma rota que falhou por uma rota alternativa. Por exemplo, na Figura 10-4, imagine que
ambos os Roteadores, C e D falhem. O Roteador E no possui uma rota para sucessor possvel para a sub-rede 1, mas
existe um caminho bvio e fisicamente disponvel atravs do Roteador B. Para usar esta rota, o Roteador E envia
mensagens de query (consulta) do EIGRP para seus vizinhos que esto em funcionamento (neste caso, o Roteador B).
A rota do Roteador B para a sub-rede 1 ainda est funcionando bem, portanto o Roteador B responde ao Roteador E com
uma mensagem reply (resposta) do EIGRP, simplesmente enviando os detalhes da rota em funcionamento para a subrede 1, e confirmando que ela continua vivel. O Roteador E pode ento adicionar uma nova rota para a sub-rede 1 em
sua tabela de roteamento, sem medo de criar um loop.
Substituir uma rota em falha por um sucessor possvel toma um perodo de tempo muito curto, tipicamente menos que um
ou dois segundos. Quando queries e replies so necessrios, a convergncia pode levar um pouco mais de tempo, mas na
maior parte das redes, a convergncia ainda pode ocorrer em menos de 10 segundos.
CCNA ICND2
281
Resumo do EIGRP e comparaes com OSPF
o EIGRP um IGP popular por diversas razes. Funciona bem, convergindo rapidamente, ao mesmo tempo em que evita
loops, como consequncia de seus algoritmos balanced hybrid/vetor distncia avanado, que esto em sua base. No
requer muitas configuraes ou muitos planejamentos, mesmo quando escalados para suportar interconexes maiores de
redes.
O EIGRP tambm possui uma outra vantagem que no mais to importante hoje em dia como foi em anos passados: o
suporte aos protocolos de Camada 3 IPX da Novell e AppleTalk da Apple. Os roteadores podem executar o EIGRP para
aprender rotas IP, rotas IPX e rotas AppleTalk, com as mesmas facilidades de incrvel performance. No entanto, como
muitos outros protocolos de Camada 3, o IP tomou o lugar do IPX e do AppleTalk na maioria das vezes, tomando o
suporte a estes protocolos de Camada 3 uma vantagem menos significativa.
A Tabela 10-2 resume diversos recursos importantes do EIGRP comparados aos do OSPE
Tabela 10-2 Recursos do EIGRP Comparados aos do OSPF
Recurso
EIGRP
OSPF
/ .. 0 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
\e
I
Converge rapidamente
Sim
Sim
------------------------------
Preveno contra loop embutido
Sim
Sim
Envia atualizaes parciais de roteamento, anunciando apenas informaes

novas ou alteradas
Sim
Sim
Classless; sendo assim, suporta sumarizao manual e VLSM
Sim
Sim
Permite sumarizao manual em qualquer roteador
Sim
No
Envia informaes de roteamento usando IP multicast em LAN s
Sim
Sim
Usa o conceito de DR (Designated Router, ou Roteador Designado) em uma LAN
No
Sim
. ----------------------------------------------------------------
------------------------------------------------------------------
Design flexvel de rede sem a necessidade de se criar reas
Sim
No
Suporta ambos os tipos de balanceamento de carga, com mtricas iguais e

com mtricas diferentes
Sim
No
Mtrica robusta baseada em largura de banda e atraso
Sim
No
Pode anunciar rotas IP, IPX e AppleTalk
Sim
No
Padro pblico
No
Sim
. ------------------------------
: Configurao e verificao do EIGRP
A configurao bsica do EIGRP se parece bastante com a configurao de RIP e OSPE O comando router eigrp
habilita o EIGRP e coloca o usurio em modo de configurao EIGRP, no qual um ou mais comandos network so
configurados. Para cada interface que casar com o que for definido atravs do comando network, o EIGRP tenta
descobrir vizinhos naquela interface, e o EIGRP anuncia a sub-rede conectada interface.
Esta seo examina a configurao do EIGRP, incluindo diversas facilidades opcionais. Ela tambm explica o significado
da sada de muitos comandos show para ajudar a associar a teoria coberta na primeira parte deste captulo com a
realidade da implementao do EIGRP no lOS. A seguinte lista de verificao de configurao resume as principais
....~tividades de configurao cobertas neste captulo:
.... 6P1c0
Passo 1 Entre no modo de configurao do EIGRP e defina o ASN do EIGRP usando o comando global router eigrp
as-number.

Passo 2 Configure um ou mais subcomandos de roteador network ip-addess [wildcard-mask}. Isto habilita o EIGRP
em qualquer interface que casar, e faz com que o EIGRP anuncie a sub-rede conectada.
Passo 3 (Opcional) Mude o temporizador de Helio e o hold timer da interface usando os subcomandos de interface ip
hello-interval eigrp asn time e ip hold-time eigrp asn time.
Passo 4 (Opcional) Impacte os clculos da mtrica ajustando a largura da banda e o atraso, usando os subcomandos
de interface bandwidth value e delay value.
Passo 5 (Opcional) Configure a autenticao do EIGRP.
Passo 6 (Opcional) Configure o suporte para mltiplas rotas de custos iguais usando os subcomandos de roteador
maximum-paths number e variance multiplier.
Configurao bsica do EIGRP

O Examplo 10-1 apresenta uma amostra de configurao do EIGRP, juntamente com comandos show em Albuquerque
na Figura 10-5. A configurao do EIGRP necessria em Yosemite e Seville casam exatamente com as duas linhas de
configurao do EIGRP de Albuquerque.
Figura 10-5 Exemplo de Interconexo de Rede Usado na Maioria dos Exemplos de EIGRP
Sub-rede 10.1 .1.0
Faoto
Sub-rede 10.1.5.0
Yosemite
C==;~~f~----"":::::::::::Z:":~:"'__...J!.QL!~
Exemplo 10-1 Amostra de Configurao de Roteador com EIGRP Habilitado

router eigrp 1
network 10.0.0.0
AIbuquerque# show ip route
Codes:C - connected, S - static, I - IGRP, R - RIP, M - mobi l e, B - BGP
o - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter area
E1 - OSPF ext ernaI type 1, E2 - OSPF externaI type 2, E - EGP
- candidate defa ult, U - per-user static route , o - OOR
Gateway of last resort is not s et
10.0.0.0/24 is s ubnetted, 6 s ub nets
O
10.1.3.0 [90/2172416] via 10.1.6 . 3, 00:00:43, SerialO/l
10.1.2 . 0 [90/2172416] via 10 . 1.4 . 2,
10 . 1 . 1 . 0 is directly connected, FastEthernetO/O
00:00:43, SerialO/O
10 . 1 . 6 . 0 is directly conne cted, Seri al0/1
10.1.5.0 [90/2681856] via 10.1.6.3, 00:00:45, Serial0/1

[90/2681856] via 10.1 . 4.2, 00 : 00:45, SerialO/O
Seville
CCNA ICND2
C
10 . 1.4.0 is directly connected, SerialO/O
Albuquerque# show ip route eigrp

10.0 . 0.0/24 is subnetted,
6 subnets
10.1.3.0 [90/2172416) via 10.1.6.3, 00:00:47, SerialO/1
10 . 1.2.0 [90/2172416) via 10.1.4 . 2,
10 . 1.5.0 [90/2681856) via 10.1.6.3, 00:00:49, SerialO/1
00:00:47, SerialO/O
[90/2681856) via 10.1.4.2, 00:00:49,
I.
283
SerialO/O
Albuquerque# show ip eigrp neighbors

IP-EIGRP neighbors for process 1
H
o
1
10 . 1.4.2
10 . 1.6.3
RTO Q Seq Type
Hold Uptime
SRTT
(sec)
(ms)
Se O/O
11 00: 00: 54
32
200 O 4
SeO /1
12 00:10:36
20
200 O 24
Interface
Address
Cnt Num
Albuquerque# show ip eigrp interfaces

IP-EIGRP interfaces for process 1
Xmit Queue
Interface
Mean
pacing Time
Multicast
Pending
SRTT
Un/Reliable
Flow Timer
Routes
o
o
o
Peers Un/Reliable
Fa O/ O
O/O
0/10
SeO/O
O/O
32
0/15
50
SeO / 1
O/O
20
0/15
95
Albuquerque# show ip eigrp topology summary

IP-EIGRP Topology Table for AS(1)/I D(10.1.6.1)
Head serial 1, next serial 9
6 routes, O pending replies,
O dummies
IP-EIGRP(O) enabled on 3 interfaces, 2 neighbors present on 2 interfaces

Quiescent interfaces : SeO/1/0 SeO/0/1
Para a configurao do EIGRP, todos aos trs roteadores devem usar o mesmo nmero AS no comando router eigrp.
Por exemplo, todos eles usam router eigrp 1 neste exemplo. O nmero real usado na verdade no importa, desde que
seja o mesmo em todos os trs roteadores. (A faixa de nmeros AS vlidos vai de 1 a 65.535 , da mesma forma que a
faixa de Process IDs vlidos no comando router ospf.) O comando network 10.0.0.0 habilita o EIGRP em todas as
interfaces cujos endereos IP estejam na rede 10.0.0.0, que inclui todas as trs interfaces de Albuquerque. Com os dois
comandos EIGRP idnticos de configurao nos outros dois roteadores, o EIGRP tambm habilitado, da mesma forma,
em todas as trs interfaces destes roteadores porque estas interfaces tambm esto na rede 10.0.0.0.
Ambos os comandos, show ip route e show ip route eigrp, listam as rotas aprendidas com o EIGRP com um "D" ao lado
delas. "D" significa EIGRP. A letra E j estava sendo usada para EGP (Exterior Gateway Protocol) quando a Cisco criou
o EIGRP, ento a Cisco escolheu a letra mais prxima no usada, D, para representar rotas aprendidas com EIGRP.
Voc pode ver informaes relativas a vizinhos EIGRP atravs do comando show ip eigrp neighbors, e informaes
sobre o nmero de vizinhos ativos (chamados de peers na sada do comando) atravs do comando show ip eigrp
interfaces, conforme mostrado na ltima parte do exemplo. Estes comandos tambm fornecem alguma viso dos processos
bsicos do EIGRP, tais como o uso do RTP para transmisses confiveis. Por exemplo, o comando show ip eigrp
neighbors mostra uma coluna "Q Cnt" (Queue Count), listando o nmero de pacotes esperando para serem enviados a
um vizinho, ou de pacotes que foram enviados, mas para os quais nenhuma confIrmao foi recebida. O comando show
ip eigrp interfaces lista informaes similares na coluna "Xmit Queue UnlReliable", com estatsticas separadas para
mensagens EIGRP que foram enviadas com o RTP (confIvel) ou sem ele (no confivel).
Por ltimo, o final do exemplo apresenta o RIO de Albuquerque. O EIGRP aloca seu RIO exatamente como o OSPF baseado no valor configurado, ou no endereo IP mais alto de uma interface loopback up/up, ou no endereo IP mais alto
de uma interface no loopback, nesta ordem de precedncia. A nica diferena comparada ao OSPF que o RIO do
EIGRP configurado atravs do subcomando de roteador eigrp router-id value.
O comando network do EIGRP pode ser configurado sem uma mscara curinga, como mostrado no Exemplo 10-1. Sem
uma mscara curinga, o comando network deve usar uma rede classful como nico parmetro, e todas as interfaces
desta rede c1assful casam. O Exemplo 10-2 mostra uma configurao alternativa que usa um comando network com um
endereo e uma mscara curinga. Neste caso, o comando casa o endereo IP de uma interface que casaria se o
endereo e a mscara no comando network fossem parte de um ACL. O exemplo mostra trs comandos network em
Albuquerque, cada um casando com cada uma das trs interfaces.

Exemplo 10-2 Usando Mscaras Curinga na Configurao do EIGRP
Albuquerque# router eigrp 1
Albuquerque(config_router)#network 10.1.1.0 0.0.0.255
Albuquerque(config_router)#network 10.1.4.0 0.0.0.255
~_A_I_b_
u_
qu
_e_r_qu
__
e _(C_O_n_f _ig
___r_o_u_t _e r_ )_#_n_e_two
__r_k__1_0_.1_._6_._0__
0_.0_._0_._2_5_5__________________________________________________~
Mtricas, sucessores e sucessores possveis (feasible successors)

no EIGRP
Como definido anteriormente neste captulo, uma rota para sucessor no EIGRP a rota que possui a melhor
mtrica para se alcanar uma sub-rede, e uma rota FS (Feasible Successor, ou Sucessor Possvel) uma rota
que poderia ser usada caso a rota para sucessor falhe. Esta seo examina a forma de consultar as rotas para
sucessor e as rotas FS com o EIGRP, juntamente com as mtricas calculadas. Para isso, o Exemplo 10-3 mostra
a nica melhor rota de Albuquerque para alcanar a sub-rede 10.1.3.0/24, em ambas as tabelas, na de roteamento
e como a rota para sucessor na tabela de topologia do EIGRP. Tambm lista as duas rotas para sucessor com
mtricas iguais para a sub-rede 10.1.5.0/24, com ambas as rotas para sucessor em destaque na tabela de topologia
do EIGRP. Algumas das explicaes esto apresentadas no exemplo, e as explicaes mais longas esto aps o
exemplo.
Exemplo 10-3 Usando Mscaras Curinga na Configurao do EIGRP e Examinando o Sucessor Possvel
~--------------------------------------------------------~
.
Be low, note the single route to subnet 10.1.3 . 0, and the two
equal_metric routes to 10.1.5.0.

Albuquerque# ahow ip route
Codes : C - connected, S - static, R - RIP, M - mobile, B - BGP
N1 - OSPF NSSA externaI t ype 1, N2 - OSPF NSSA externaI type 2
E1 - OSPF ext ernaI type 1, E2 - OSPF externaI type 2
i
- IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2,
ia - IS-IS inter area

Gateway of last re s ort is not se t
10 . 1. 3. O [90 / 217 2416] v ia 10.1.6 . 3 , 00 : 00: 57 , Seri al0 / 1
D
D
10.1. 2. O [90/2172416] via 10.1.4.2, 00:00:57, SerialO/O
c
c
10.1.1 . 0 is d irectly connected , EthernetO/O
10 .1 .5.0 [90 / 2681856] v ia 10.1 . 4 .2 , 00:00:57 , SerialO / O
10.1 . 6.0 i s d ire ctly connected, Serial0/1
[90/2681 856] via 10 . 1.6 .3, 00:00:57, Serial0 / 1
Next, the EIGRP t op ology tabl e shows one s u ccessor for the rout e to 10.1.3.0,
and two succes s ors for 10.1.5 . 0, reconfirming that EIGRP installs successor
routes (not fea s ible successor routes) into the IP routing table.
Albuquerque# ahow ip eigrp topo1ogy
I P- EIGRP Topology Table for AS(1)/ ID(10.1.6.1)
Codes :
P - Pas s ive, A - Active , U - Upda t e, Q - Query, R - Rep l y,

r - reply Status, s - sia Status

.-p
CCNA ICND2
285
10.1.3 .0/2 4 , 1 successor s , FD i s 217 2 416
v i a 10.1. 6.3 {2172416 / 28160}, SerialO / 1
P 10.1.2 . 0/24, 1 successors, FD is 2172416

via 10.1.4.2 {2172416/28160}, SerialO/O
P 10.1.1.0/24, 1 successors, FD is 281600
via Connected, EthernetO/O
P 10.1 . 6.0/24, 1 successors, FD is 2169856
4t _____
via Connected, SerialO/1
P 10.1.5 . 0 / 24 , 2 successors , FD is 2 681856
via 10.1. 4 . 2 {2681856 / 2169856} , SerialO / O
via 10.1.6.3 {2681856 /2 169856} , SerialO / 1
..
P 10.1.4.0/24, 1 successors, FD is 2169856
via Connected, SerialO/O
Os comentrios no exemplo explicam os pontos-chave principais, a maioria dos quais so relativamente diretos. No
entanto, um olhar mais de perto no comando show ip eigrp topology pode fornecer alguns detalhes. Em primeiro lugar,
observe a listagem do nmero de rotas para sucessor na tabela de topologia do EIGRP. A entrada para 10.1.3.0/24 afirma
. . que existe um sucessor, de modo que a tabela de roteamento IP mostra uma rota aprendida com o EIGRP para a sub-rede
10.1.3.0/24. Em comparao, a entrada na tabela de topologia do EIGRP para a sub-rede 10.1.5.0/24 afirma que existem
dois sucessores, de modo que a tabela de roteamento IP mostra duas rotas aprendidas com o EIGRP para esta sub-rede .
.. A seguir, observe os nmeros entre colchetes da entrada na tabela de topologia do EIGRP, para 10.1.3.0/24. O primeiro
nmero a mtrica calculada por Albuquerque para cada rota. O segundo nmero o RD - a mtrica calculada no
roteador vizinho 10.1.6.3 (Seville) e conforme reportada para Albuquerque. Pelo fato destes roteadores terem usado
valores default para configurao de largura de banda e atraso, os valores das mtricas so iguais aos dos clculos das
mtricas do exemplo mostrado na seo anterior, "Calculando as Melhores Rotas para a Tabela de Roteamento".
Criando e vendo uma rota para sucessor possvel
Com todas as configuraes default nesta interconexo de rede, nenhuma das rotas de Albuquerque atinge a condio de
viabilidade, na qual o RD de uma rota alternativa seja inferior ou igual ao FD (a mtrica da melhor rota). O Exemplo 10. . 4 muda a largura de banda em uma das interfaces de Yosemite, abaixando o FD de Yosemite para alcanar a sub-rede
10.1.3.0/24. Por sua vez, o RD de Yosemite para esta mesma rota, conforme reportado para Albuquerque, ser agora
menor, atingindo a condio de viabilidade; portanto Albuquerque ter agora uma rota FS .
Exemplo 10-4 Criando uma Rota Para Sucessor Possvel em Albuquerque

Below, the bandwidt h of Yosemite's link to Seville {Yosemite's SO/l interface}
is changed from 1544 to 2000, which lowers Yosemite's metric for
subnet 10.1.3.0.
..
Yosemite{config}# interface SO/l

Yosemite{config-if}#baDdwi d t h 2 000
r-~~M~ov~
in-g~b-ack~t-o~
A7
1b
~u-qu
-erqu-e------------------------------------~
1-
Below,
the EIGRP top ology table shows a sing le s u ccessor route f or 10.1.3.0,
but two entries listed - the new entry is a feasible successor rou te. The new
entry shows a route to 10.1.3.0 through 10.1.4 . 2 {which is Yosemite} .
Albuquerque# show ip e igrp topo1ogy
IP-EIGRP Topology Table for AS{l}/ID{10.1.6.1}
Codes : P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10 . 1 . 3 . 0 /2 4, 1 success ors , FD i s 2172416
via 10.1.6 . 3 {217 2 416/28160} , SerialO / 1
v ia 10 . 1.4 . 2
{2684416 / 1794560}, SerialO / O
1-- ! the rest o f the lines omitted for brevity

r-~y~o~.~~~~~~~~~~----------------------------------------------------------------~
10 . 0.0.0/24 is s ubn etted,
5 s ubnets
10.1.3.0 [90/1794560] via 10.1.5 . 3,
00:40:14, SerialO/1
10.1.1.0 [90/ 2195456 ] via 10 . 1 . 4 . 1, 00:42:19, SerialO/O
..
Para ver a rota para sucessor possvel, e por que ela um sucessor possvel, observe os dois nmeros entre parntesis na segunda . .
linha em destaque a partir do comando show ip eigrp topology em Albuquerque. O primeiro deles a mtrica calculada pelo
roteador de Albuquerque para a rota, e o segundo nmero o RD do vizinho. Das duas rotas possveis - uma atravs de 10.1.6.3
(Seville) e outra atravs de 10.1.4.2 (Yosemite) - a rota por Seville possui a menor mtrica (2.172.416), tomando-a uma rota para
sucessor, e fazendo com que o FD tambm seja de 2.172.416. Albuquerque coloca esta rota na tabela de roteamento IP. No .
entanto, observe o RD na segunda das duas rotas (a rota por Yosemite), com um valor de RD de 1.794.560. A condio de
viabilidade que o RD da rota deve ser menor que a melhor mtrica calculada por este roteador - seu FD - para a mesma sub-
rede destino. Portanto, a rota por Yosemite satisfaz esta condio, tomando-a uma rota para sucessor possvel. Os seguintes pontos .
resumem as informaes-chave a respeito das rotas para sucessor e sucessor possvel deste exemplo:
(;~~;~o
A rota para 10.1.3.0 atravs de 10.1.6.3 (Seville) a rota para sucessor porque a mtrica calculada (2.172.416),
mostrada como o primeiro dentre os dois nmeros entre parntesis, a melhor mtrica calculada.
A rota para 10.1.3.0 atravs de 10.1.4.2 (Yosemite) uma rota para sucessor possvel porque o RD (Reported .
Distance) do vizinho (1.794.560, mostrado como o segundo nmero entre parntesis) menor que o FD de Albuquerque.
Embora ambas as rotas, para sucessor e para sucessor possvel estejam na tabela de topologia do EIGRP, apenas .
a rota para sucessor adicionada na tabela de roteamento IP.
'. Ch8ve
....
----------------------------------------------------.
Observao O comando show ip eigrp topology lista apenas as rotas para sucessor e para
sucessor possvel. Para ver as outras rotas, use o comando show ip eigrp topology all-links.
----------------------------------------------------~ .
Convergncia usando a rota para sucessor possvel
Uma das vantagens do EIGRP que ele converge muito rapidamente. O Exemplo 10-5 mostra um destes exemplos,
usando mensagens de debug para mostrar o processo. Algumas das mensagens de debug podem no fazer muito
sentido, mas o exemplo ilustra algumas mensagens de debug interessantes e compreensveis.
Para este exemplo, o enlace entre Albuquerque e Seville ser desativado, mas isto no est mostrado no exemplo. As . .
mensagens de debug em Albuquerque mostram comentrios sobre a lgica do EIGRP para alterar a rota original para
10.1.3.0/24 para a nova rota atravs de Yosemite. Preste ateno em especial aos time stamps, que mostram que o
processo de convergncia leva menos de 1 segundo.
Exemplo 10-5 Mensagens de Debug Durante a Convergncia para a Rota Para Sucessor Possvel, para a Sub-
rede 10.1.3.0/24
~-------------------------------------------------------,
!!!!! ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! !!!!!!!!!!!!!!!!! ! ! ! !!!!!!!!!!!!!!!!!!!!! !
Below, debug eigrp fSM is enabled, and then Seville's link to Albuquerque
!
(Seville's SOlO interface) will be disabled, but not shown in the example texto
! SOME DEBUG MESSAGES are omitted to improve readability .
Albuquerque#debug eigrp fsm

EIGRP FSM Events/Actions debugging is on
Albuquerque#
*Mar 1 02:35 : 31.836: %LINK-3-UPDOWN: Interface SerialO/1, changed state to down
*Ma r 1 02:35 : 31.848 : DUAL: rcvupdate: 10.1.6.0 / 24 v ia Connected metric 429 4 967 2
95/4294967295
*Mar 1 02:35:31.848: DUAL: Find FS for dest 10.1 . 6.0/24. FD is 2169856, RD is 2
169856
*Mar 1 02 : 35:31.848: DUAL: 0.0.0.0 metric 4294967295/4294967295 not f ound D
min is 4294967295
*Mar 1 02:35:31.848: DUAL: Peer total/stub 2/0 template/full-stub 2/0
.
.
CCNA ICND2
"Mar 1 02:35:31.848: DUAL: Dest 10.1.6.0/24 entering active state.

"Mar 1 02 : 35:31.852 : DUAL: Set reply-status table. Count is 2.
"Mar 1 02:35:31 . 852: DUAL: Not doing split horizon
Next, Albuquerque realizes that neighbor 10 . 1.6.3
(Seville) is down, so
Albuquerque can react.
"Mar 1 02:35:31.852: %DUAL-5-NBRCHANGE: IP-EIGRP(O) 1: Neighbor 10.1.6.3

(Seri a l O/ 1 ) is down: i nterfac e d own
1-
The next two highlighted messages imply that the old route to 10.1.3.0 is
removed, and the new successor route (previously the feasible successor route)
is added to the "RT " (routing table).
"Mar 1 02 : 35:31.852: DUAL: Dest i nati on 1 0. 1 . 3.0 /2 4

"Mar 1 02:35:31.852: DUAL: Find FS fo r dest 1 0. 1. 3 .0 /2 4 . FD i s 2 1 72 416,
RD is 2172 416
"Mar 1 02:35:31 . 856: DUAL : 10.1.6 . 3 metric 4294967295/4294967295
"Mar 1 02:35 : 31.856: DUAL: 10.1.4.2 metric 2684416/1794560 found Dmin is 2684416
The next two highlighted messages state that the old route is removed, and the
new route thr ough Yosemite is added to the "RT " (routing table).
"Mar 1 02:35:31.856: DUAL: Removing dest 10 .1. 3. 0 /2 4 , n ext hop 10 .1. 6.3
"Mar 1 02:35 : 31.856: DUAL: RT i nstalled 1 0. 1 . 3 . 0 /2 4 v ia 1 0.1 .4 .2
"Mar 1 02:35 : 31.856: DUAL: Send update about 10.1.3.0/24. Reason: metric chg
"Mar 1 02 : 35:31.860: DUAL: Send update about 10.1.3.0/24. Reason : new if
Autenticao no EIGRP
o EIGRP suporta um tipo de autenticao: o MD5. Configurar a autenticao MD5 requer diversos passos:
287
Passo 1 Criar uma cadeia de chave (para autenticao):
/;~~;~o
'. Ch.ve
....
a. Criar a cadeia e dar a ela um nome atravs do comando global key chain name (isto tambm coloca o usurio no
modo de configurao cadeia de chave).
b. Criar um ou mais nmeros-chave usando o comando key number no modo de configurao cadeia de chave.
c. Definir o valor da chave de autenticao usando o comando key-string value no modo de configurao chave.
d. (Opcional) Definir o tempo de vida (perodo de tempo) para ambos, enviar e aceitar esta chave em particular.
Passo 2 Habilitar a autenticao MD5 do EIGRP em uma interface, para um ASN do EIGRP em particular, usando o
subcomando de interface ip authentication mode eigrp asn mdS.
Passo 3 Referenciar a cadeia de chave correta a ser usada em uma interface usando o subcomando de interface ip
authentication key-chain eigrp asn name-of-chain.
A configurao no Passo 1 razoavelmente detalhada, mas os Passos 2 e 3 so relativamente simples. Essencialmente,
o lOS configura os valores das chaves separadamente, depois exige um subcomando de interface para se referenciar aos
valores das chaves. Para suportar a capacidade de ter mltiplas chaves, e at mesmo mltiplos conjuntos de chaves, a
configurao inclui o conceito de cadeia de chaves e de mltiplas chaves em cada cadeia de chaves.
O conceito de cadeia de chaves do lOS lembra as cadeias de chave e as chaves usadas no dia-a-dia. A maioria das
pessoas possui pelo menos uma cadeia de chaves, com as chaves tipicamente usadas todos os dias. Se voc possuir
muitas chaves, do trabalho e de casa, voc poderia ter duas cadeias de chave para fazer com que seja mais fcil

encontrar a chave correta. Voc poderia at ter uma cadeia de chaves com chaves raramente usadas, e que voc
mantm em algum lugar numa estante. De modo similar, o lOS permite configurar vrias cadeias de chaves, de modo que
diferentes cadeias de chaves possam ser usadas em diferentes interfaces. Cada cadeia de chaves pode incluir mltiplas
chaves. Ter mltiplas chaves em uma cadeia de chaves permite que os vizinhos continuem ativos e em funcionamento
enquanto as chaves estiverem sendo trocadas. (Da mesma forma que acontece com todas as senhas e chaves para
autenticao, mudar as chaves ocasionalmente melhora a segurana.) Para configurar estes detalhes principais, siga os
Passos IA, lB e lC para criar a cadeia de chaves, criar uma ou mais chaves e atribuir a chave de texto (senha).
O ltimo item opcional que pode ser configurado para autenticao no EIGRP o tempo de vida til para cada chave. Se
isto no for configurado, a chave ser vlida para sempre. No entanto, se isto for configurado, o roteador usar a chave
somente durante os perodos definidos. Este recurso permite que a cadeia de chaves inclua diversas chaves, cada uma
com diferentes e sucessivos perodos de vida Por exemplo, poderiam ser definidas 12 chaves, uma para cada ms do ano.
Os roteadores ento, usariam automaticamente a chave com o menor nmero, cujo intervalo de tempo seja vlido,
mudando as chaves automaticamente a cada ms, neste exemplo. Este recurso permite que um engenheiro configure as
chaves uma vez e faa com que os roteadores usem chaves novas ocasionalmente, melhorando a segurana.
Para suportar o conceito de tempo de vida til, um roteador deve conhecer a data e a hora. Os roteadores podem
configurar a data e a hora atravs do comando EXEC c10ck set. Os roteadores tambm podem usar o NTP (Network
Time Protocol), um protocolo que permite que os roteadores sincronizem seus relgios que marcam a hora do dia.
A melhor forma de se apreciar esta configurao ver um exemplo. O Exemplo 10-6 apresenta uma amostra de
configurao que usa duas cadeias de chave. A cadeia de chaves "fred" possui duas chaves, cada uma com diferentes
perodos de vida, de modo que o roteador ir usar chaves novas automaticamente ao longo do tempo. O exemplo tambm
mostra as duas cadeias de chaves sendo referenciadas em duas interfaces diferentes.
Exemplo 10-6 Autenticao no EIGRP

Chain "carkeys" will be used on Rl's FaO/O i n terface . Rl will use key "fred"
for about a month and then start using "wilma."
key chain carkeys

key 1
key-strinl1 fred
accept-lifetime 08:00:00 Jan 11 2005 08:00:00 Feb 11 2005
send-lifetime 08:00:00 Jan 11 2005 08:00:00 Feb 11 2005
key 2
key-strinl1 wilma
accept-lifetime 08:00:00 Feb 10 2005 08:00:00 Mar 11 2005
send-lifetime 08:00:00 Feb 10 2005 08:00:00 Mar 11 2005
Next, key chain "anoth ersetofkeys" defines the key to be used on
interface FaO/l.
key chain anothersetofkeys
key 1
key-strinl1 barney
Next, Rl's interface subcommands are shown . First,
the key chain is referenced
using the ip authentication key-chain command, and the ip authentication mode eil1rp
command causes the router to use an MOS digest of the key string.
ip address 172.31.11.1 255.255.255.0
ip authentication mode eil1rp 1 md5
-
ip authentication key-chain eil1rp 1 carkeys

-
Below, Rl enables EIGRP authentication on int erface FaO/l,
CCNA ICND2
289
! using the o ther key chain .
ip address 172.31.12.1 255.255.255.0
ip a uthent i c atio n eigrp 1 md5
i p auth entic ation key-chain eigrp 1 anothersetofkeys
Para que a autenticao funcione, roteadores vizinhos devem ambos ter a autenticao MD5 do EIGRP habilitada, e as
strings de chaves em uso corrente devem ser idnticas. Observe que o nome da cadeia de chaves no precisa ser o
mesmo. Os problemas mais comuns esto relacionados ao fato dos tempos de vida til no serem iguais, ou o relgio de
um dos roteadores ter a hora errada. Para implementaes na vida real, o NTP deve ser habilitado e usado antes de se
restringir as chaves para um determinado intervalo de tempo.
Para verificar se a autenticao funcionou, use o comando show ip eigrp neighbors. Se a autenticao falhou, a
relao de vizinhana no ser formada. Alm disso, se voc vir que rotas foram aprendidas a partir de um vizinho
naquela interface, isto tambm prova que a autenticao funcionou. Voc poder ver maiores detalhes sobre o processo
de autenticao usando o comando debug eigrp packets, particularmente se a autenticao falhou.
Nmero mximo de caminhos e varincia no EIGRP
Da mesma forma que no OSPF, o EIGRP suporta a capacidade de colocar vrias rotas com mtricas iguais na tabela de
roteamento. Como no OSPF, o default do EIGRP suportar quatro destas rotas para cada sub-rede, e ele pode ser
configurado para suportar at 16, atravs do subcomando do EIGRP maximum-paths number. Porm, o clculo de
mtrica do EIGRP geralmente evita que rotas concorrentes tenham exatamente a mesma mtrica. A frmula pode
resultar em mtricas similares, mas dado que os valores das mtricas podem estar facilmente na casa dos milhes,
calcular exatamente a mesma mtrica estatisticamente improvvel.
O lOS inclui o conceito de varincia do EIGRP para superar este problema. A varincia permite que as rotas cujas
mtricas estejam relativamente prximas com relao a seu valor sejam consideradas iguais, permitindo que mltiplas
rotas para a mesma sub-rede, com mtricas diferentes, sejam adicionadas na tabela de roteamento.
O subcomando de roteador do EIGRP variance multiplier define um inteiro entre 1 e 128. O roteador ento multiplica
a varincia pelo FD da rota - a melhor mtrica com a qual se alcana a sub-rede em questo. Quaisquer rotas FS cujas
mtricas sejam menores que o produto da varincia pelo FD sero consideradas rotas iguais e podero ser colocadas na
tabela de roteamento, dependendo da configurao no comando maximum-paths.
Um exemplo de varincia pode tornar este conceito mais claro. Para manter os nmeros mais bvios, a Tabela 10-3
mostra um exemplo com valores de mtrica pequenos. A tabela apresenta as mtricas para trs rotas, para a mesma subrede, conforme calculado pelo roteador R4. A tabela tambm mostra o RD dos roteadores vizinhos, e a deciso de
adicionar rotas na tabela de roteamento, baseada em diversas configuraes de varincia.
Tabela 10-3 Exemplo de Rotas Selecionadas como Iguais Em Funo da Varincia

Prximo Hop
RI
R2
Mtrica
RD
Adicionado na TR
com Varincia 1?
Adicionado na TR
com Varincia 2?
Adicionado na TR
com Varincia 3?
50
30
Sim
Sim
Sim
90
40
No
Sim
Sim
120
60
No
No
No
R3
--------------------------------------------------------------Antes de considerar a varincia, observe que neste caso, a rota atravs de RI a rota para sucessor porque ela possui
a menor mtrica. Isto tambm significa que a mtrica para a rota atravs de RI, 50, o FD. A rota atravs de R2 uma
rota FS porque seu RD de 40 menor que o FD de 50. A rota atravs de R3 no uma rota FS porque o RD de R3, igual
a 60, maior que o FD de 50.
Na configurao default de varincia 1, as mtricas devem ser exatamente iguais para serem consideradas iguais,
portanto apenas a rota para sucessor adicionada na tabela de roteamento. Com varincia 2, o FD (50) multiplicado
pela varincia (2) resultando num produto de 100. A rota atravs de R2, com FD de 90, menor que 100, portanto R4

adiciona a rota atravs de R2 na tabela de roteamento tambm. O roteador pode ento balancear a carga de trfego
atravs destas duas rotas.
No terceiro caso, com varincia igual a 3, o produto do FD (50) vezes 3 resulta em um produto de ISO, e todas as mtricas
calculadas para as trs rotas so menores que 150. No entanto, a rota atravs de R3 no uma rota FS, portanto ela no
pode ser adicionada na tabela de roteamento, temendo-se causar um loop no roteamento.
A seguinte lista resume os pontos-chave a respeito de varincia:
(~~;;~o
\ Chave
".
Quaisquer rotas FS cujas mtricas calculadas sejam menores ou iguais ao produto da varincia vezes o FD so
adicionadas na tabela de roteamento IP, assumindo que a configurao em maximum-paths permita mais rotas.
A varincia multiplicada pelo FD corrente (a mtrica da melhor rota para se alcanar uma sub-rede).
Rotas que no so nem sucessor e nem sucessor possvel nunca podero ser adicionadas na tabela de roteamento
IP, independentemente da configurao da varincia.
Assim que as rotas so adicionadas na tabela de roteamento, o roteador suporta uma variedade de opes a respeito de
como balancear a carga de trfego atravs das rotas. O roteador pode balancear o trfego proporcionalmente s mtricas,
significando que rotas com mtricas menores enviaro mais pacotes. O roteador poder enviar todo o trfego atravs da
rota de menor mtrica, com as outras rotas estando na tabela de roteamento somente para convergncia mais rpida
caso a melhor rota falhe. Porm, os detalhes sobre o processo de balanceamento de carga exigem uma discusso muito
mais profunda com relao aos detalhes mais internos do processo de encaminhamento no lOS, e este tpico est fora do
escopo deste livro.
Ajustando o clculo da mtrica no EIGRP

Por default, o EIGRP calcula uma mtrica inteira, baseado na mtrica composta pela largura de banda e pelo atraso.
Ambas as configuraes podem ser alteradas em qualquer interface usando-se os subcomandos de interface bandwidth
value e delay value.
A Cisco recomenda configurar a largura de banda de cada interface com um valor bem preciso, ao invs de configurar
a largura de banda para alterar o clculo da mtrica no EIGRP. Embora as interfaces LAN tenham configuraes default
de largura de banda bem precisas, enlaces seriais de roteadores devem ser configurados atravs do comando bandwidth
speed, com um valor de velocidade em kbps, ajustando-se velocidade real da interface.
Em funo de poucas facilidades basearem-se na configurao de atraso da interface, a Cisco recomenda que, se voc
quiser ajustar a mtrica do EIGRP, ento deve alterar as configuraes de atraso da interface. Para alterar a configurao
de atraso da interface, use o comando delay value, onde o valor a configurao de atraso em uma unidade incomum:
dezenas de micros segundos. De modo interessante, a frmula da mtrica do EIGRP tambm usa a unidade de dezenas
de microssegundos; no entanto, os comandos show apresentam o atraso em uma unidade de microssegundos. O Exemplo
10-7 mostra um exemplo, com os seguintes detalhes:
1. O FaO/O do roteador possui uma configurao default de atraso de 100 rnicrossegundos (usec).
2. O comando delay 123 configurado na interface, e significa 123 dezenas de microssegundos.

3. O comando show interfaces faO/O agora lista um atraso de 1230 microssegundos.
Exemplo 10-7 Configurando o Atraso da Interface
Yosemite# show interfaces faO/O
FastEthernetO/O is up, line protocol is up
Hardware is Gt96k FE, address is 0013.197b.5026
(bia 0013 . 197b.5026)
Internet addres s is 10.1.2.252/24

MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec ,
Yosemite# configure terminal
Enter configuration commands, one per l ine. End with CNTL/Z.
Yosemite(config)# interface faO/O
Yosemite(config-if)#de1ay 123
CCNA ICND2
Yosemite(config-if)# AAZZ
Yosemite #show interfaces faO/O
291
. L-______________________________________________________
Hardwa re is Gt96k FE, address is 0013 . 197b.5026 (bia 0013.197b.5026)

Internet address is 10.1.2.252/24
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave. A Tabela 10-4 lista
estes tpicos-chave e onde cada um deles foi discutido.
..........
( Tpico
\~have
Tabela 10-4 Tpicos-Chave do Captulo 10
Elemento do Tpico-Chave
Descrio
Lista
Razes pelas quais os roteadores EIGRP

no podem se tomar vizinhos
275
Figura 10-1
Descreve a progresso normal atravs da

descoberta de vizinhos, atualizaes completas
de roteamento, Hellos em andamento e
atualizaes parciais
276
Lista
Definies de FD (Fesible Distance) e RD

(Reported Distance)
278
Nmero da Pgina
. ----------------------------------------------------------
Figura 10-4
Exemplo de como os roteadores determinam

quais rotas so sucessores possveis
280
Comparaes entre recursos do EIGRP e do

OSPF
281
. ------------------------------------------------------------
Tabela 10-2
e ------------------------------------------------------------
Lista
Lista de verificao da configurao do EIGRP
281-282
Lista
286
Pontos-chave sobre como determinar uma rota

para sucessor possvel a partir da sada do
comando show
-------------------------------------------------------------
Lista
287
Pontos-chave a respeito de varincia do EIGRP
290
------------------------------------------------------------------------------------
---------------------------------------------------------------
Lista de verificao da configurao da

autenticao MD5 do EIGRP
Lista

tabelas e listas usando a memria. O Apndice K, "Respostas das tabelas de memria", inclui as tabelas e listas completadas
Definio de termos-chave
Defina os seguintes termos-chave deste captulo, e verifique suas respostas no glossrio:
atualizao completa, atualizao parcial, condio de viabilidade, feasible distance, reported distance, sucessor, :
sucessor possvel

Embora voc no precise necessariamente memorizar as informaes das tabelas desta seo, ela inclui uma referncia
para os comandos de configurao e EXEC cobertos neste captulo. Na prtica, voc deve memorizar os comandos
da tabela, leia as descries do lado direito, e veja se voc se lembra do comando.
Tabela 10-5 Referncia aos Comandos de Configurao do Captulo 10
.
.
Comando
Descrio
--------------------------------------------------------------- e
router eigrp autonomous-system
Comando global para mudar o usurio para o modo de configurao do
_______________________________E_IG_RP
__,_p_ar_a_o_A
__
SN
__li_sta
__
do____________________________
network network-number [wildcard mask] Subcomando de roteador do EIGRP que casa todas as interfaces em
uma rede classful, ou um subconjunto de interfaces baseado na mscara

curinga estilo ACL, habilitando o EIGRP nestas interfaces
maximum-paths number-paths
Subcomando de roteador que define o nmero mximo de rotas com

custos iguais que podem ser adicionadas na tabela de roteamento
----------------------------------------------------------------
variance multiplier
Subcomando de roteador que define um multiplicador do EIGRP usado

para se determinar se a mtrica de uma rota para sucessor possvel est
prxima o suficiente da mtrica do sucessor para ser considerada igual
bandwidth bandwidth
Subcomando de interface que configura diretamente a largura de banda

da interface (kbps)
delay delay-value
Subcomando de interface para configurar o valor de atraso da interface,

em unidades de dezenas de microssegundos
ip hello-interval eigrp as-number timer-value Sub comando de interface que configura o intervalo de Helio do EIGRP
para este processo do EIGRP
ip hold-time eigrp as-number timer-value
Subcomando de interface que configura o hold time do EIGRP para a

interface
-m-a-XI-om-u-m---p-a-th-s-n-u-m-b-e-r--o-if--p-a-th-s-----S-u-b-c-o-m-an-d-o-d-e-r-o-te-a-d-or-q-u-e-d-e-fi-m-e-o-n-m-e-ro-m-xim-
-o-d-e-ro-t-a-s-c-om--
custos iguais que podem ser adicionadas na tabela de roteamento
ip authentication key-chain eigrp

asn chain-name
Subcomando de interface que faz referncia cadeia de chaves usada

na autenticao MD5 do EIGRP
ip authentication mode eigrp asn md5
Subcomando de interface que habilita a autenticao MD5 do EIGRP

para todos os vizinhos que podem ser alcanados pela interface
key chain name
Comando global para criar e nomear uma cadeia de chaves para

autenticao
CCNA ICND2
send-lifetime start-time { infmite
end-time I duration seconds }
determinada chave
293
Comando do modo cadeia de chaves para configurar o intervalo de tempo

durante o qual um roteador ir enviar mensagens EIGRP usando uma
. ----------------------------------------------------------------
Comando
Descrio
show ip route eigrp
Lista as rotas da tabela de roteamento aprendidas com o EIGRP
show ip route ip-address [maskJ
Mostra a tabela de roteamento completa, ou um subconjunto se forem

colocados parmetros
. ---------------------------------------------------------------. ---------------------------------------------------------------
I
I
show ip protocols
Mostra os parmetros do protocolo de roteamento e os valores correntes

dos temporizadores
--------------------------------------------------------------show ip eigrp neighbors
Lista os vizinhos EIGRP e seus estados.
show ip eigrp topology
Lista o contedo da tabela de topologia do EIGRP, incluindo os sucessores

e os sucessores possveis
---------------------------------------------------------------show ip eigrp tramc
Lista estatsticas relativas ao nmero de mensagens do EIGRP enviadas

e recebidas por um roteador
--------------------------------------------------------------debug eigrp packets

Apresenta o contedo dos pacotes do EIGRP
. -----------------------------------------------------------
debug eigrp fsm
Apresenta mudanas nas rotas para sucessor e sucessor possvel do

EIGRP
. ------------------------------------------------------------
debug ip eigrp
Apresenta uma sada similar ao do comando debug eigrp packets,

mas especificamente para o IP
. -------------------------------------------------------------
------------------------------ .
-------------------------------- .
seguintes assuntos:
-------------------------------- .
Perspectivas sobre a resoluo de problemas em
protocolos de roteamento: esta pequena seo
introdutria explica o processo de resoluo de problemas
que este livro sugere para problemas em protocolos de
roteamento.
Interfaces habilitadas com um protocolo de roteamento:

esta seo mostra como determinar as interfaces nas quais
um roteador tenta formar relaes de vizinhana e as sub-
redes conectadas de quem devem ser anunciadas.
Relaes de vizinhana: esta seo examina por que os

roteadores podem falhar em se tomarem vizinhos de
roteadores com os quais eles deveriam ser vizinhos.
CAPTULO 11
Resolvendo problemas em protocolos de

roteamento
Os Captulos 3 e 7, os outros dois captulos deste livro dedicados resoluo de problemas, focam no processo de
encaminhamento de dados. Em particular, o Captulo 7, "Resolvendo problemas de roteamento IP", em sua maior parte,
ignora como as rotas so adicionadas na tabela de roteamento, focando inteiramente no processo de plano de dados do
encaminhamento de pacotes IP, e em como resolver problemas neste processo. O Captulo 7 assume que os processos de
plano de controle relacionados ao preenchimento da tabela de roteamento sero cobertos em outro lugar - principalmente
na Parte l i deste livro.
Este captulo fecha a cobertura do plano de controle do IPv4 - o processo de preencher as tabelas de roteamento dos
roteadores com boas rotas - examinando a forma de solucionar problemas no OSPF e no EIGRP. O processo de
resoluo de problemas em si relativamente direto, pelo menos no que se refere profundidade exigida pelos exames
CCNA. No entanto, como sempre, voc precisa pensar em diversos detalhes diferentes enquanto estiver resolvendo os
problemas; deste modo, o processo pode ajudar a garantir que voc vai verificar cada componente antes de prosseguir
para a prxima funo.
Este captulo conclui a Parte l i deste livro. Se voc estiver se preparando especificamente para o exame CCNA usando
o plano de leitura mencionado na Introduo, observe que depois deste captulo, voc deveria voltar para o CCENT/
CCNA fCNDI Guia Oficial de Certificao do Exame, Parte IV.
Os captulos a respeito de resoluo de problemas deste livro renem conceitos de muitos outros captulos, inclusive de
alguns captulos do CCENT/CCNA fCNDI Guia Oficial de Certificao do Exame . Eles tambm mostram como
abordar algumas das perguntas mais desafiadoras dos exames CCNA. Sendo assim, ser til ler estes captulos,
independentemente de seu nvel atual de conhecimentos. Por estas razes, os captulos relativos resoluo de problemas
no incluem um questionrio "Eu j conheo isto?". No entanto, se voc se sentir particularmente autoconfiante com
respeito resoluo de problemas no OSPF e no EIGRP, sinta-se vontade para seguir adiante at seo "Atividades
de preparao para o exame", prxima ao final deste captulo, e avanar pela maior parte deste captulo.
Tpicos fundamentais
O melhor passo inicial quando estiver resolvendo problemas em um protocolo de roteamento examinar a configurao
dos vrios roteadores. Comparar a configurao do protocolo de roteamento, particularmente dos subcomandos network,
com os endereos IP da interface pode rapidamente confirmar se o protocolo de roteamento foi habilitado em todas as
devidas interfaces. Se o mesmo estiver habilitado em todas as interfaces corretas em todos os roteadores, um exame, a
seguir, na configurao da interface e na configurao da autenticao pode verificar se algum parmetro de configurao
pode estar impedindo que dois roteadores na mesma sub-rede se tomem vizinhos. Uma falha em passar por todos os
requisitos necessrios para se tomar vizinhos ir impedir que dois roteadores troquem informaes sobre roteamento.
O Captulo 9, "OSPF' e o Captulo 10, "EIGRP", cobrem a fundo a configurao dos protocolos de roteamento, de modo
que este captulo no tentar explicar como resolver problemas procurando por erros na configurao. Porm, a configurao
pode nem sempre estar disponvel nos exames ou na vida real. Este captulo foca em como resolver problemas em
protocolos de roteamento usando-se apenas os comandos show e debug. Em primeiro lugar, este captulo discute algumas
opes para resolver problemas em protocolos de roteamento, incluindo a sugesto de um processo que possui dois
296 Captulo 11 : Resolvendo problemas em protocolos de roteamento

passos principais. As outras duas sees principais deste captulo examinam como executar cada um destes passos
principais na resoluo de problemas, para ambos os protocolos, o EIGRP e o OSPE
Perspectivas sobre a resoluo de problemas em protocolos

de roteamento
Pelo fato da funo de um protocolo de roteamento ser a de preencher a tabela de roteamento de um roteador com as
melhores rotas correntes, faz sentido dizer que resolver problemas em potencial nos protocolos de roteamento poderia
comear pela tabela de roteamento IP. Dadas as informaes bsicas a respeito de uma interconexo de rede, incluindo
os roteadores, seus endereos IP e as mscaras, e o protocolo de roteamento, voc poderia calcular os nmeros das subredes que deveriam estar na tabela de roteamento do roteador e listar o(s) provvel(is) roteador(es) next-hop para cada
rota. Por exemplo, a Figura 11-1 mostra uma interconexo de rede com seis sub-redes. A tabela de roteamento do
roteador RI deveria listar todas as seis sub-redes, com trs rotas conectadas, duas rotas aprendidas de R2 (172.16.4.0/
24 e 172.16.5.0/24), e uma rota aprendida de R3 (172.16.6.0/24).
Portanto, um possvel processo para resolver problemas seria analisar a interconexo de rede, olhar a tabela de roteamento
e procurar por rotas que estejam faltando. Se uma ou mais rotas esperadas estiverem faltando, o prximo passo seria
determinar se aquele roteador aprendeu alguma rota a partir do suposto roteador next-hop (vizinho). Os prximos passos
para isolar o problema so bem diferentes caso um roteador esteja tendo problemas para formar uma relao de vizinhana
com outro roteador, versus ter uma relao de vizinhana em funcionamento, mas no ser capaz de aprender todas as
rotas.
Figura 11-1 Interconexo de rede com Seis Sub-Redes
172.16.6.1/24
Por exemplo, suponha que RI na Figura 11-1 tenha aprendido uma rota para a sub-rede 172.16.4.0/24 da Figura 11-1,
mas no para a sub-rede 172.16.5.0/24. Neste caso, fica claro que RI possui uma relao de vizinhana em funcionamento
com R2. Nestes casos, a causa raiz deste problema ainda pode estar relacionada ao protocolo de roteamento, ou pode
no ter nada a ver com o protocolo de roteamento. Por exemplo, o problema pode ocorrer pelo fato da interface da LAN
inferior de R2 estar fora. No entanto, se RI no tivesse uma rota nem para 172.16.4.0/24 nem para 172.16.5.0/24, a
relao de vizinhana entre RI e R2 poderia ser o problema.
Resolver problemas de protocolos de roteamento em interconexes reais de rede pode ser bastante complexo - muito
mais complexo que a mais difcil das questes do exame CCNA. Definir um processo genrico para resoluo de
problemas com o qual atacar ambos os tipos de problemas de protocolo de roteamento, os simples e os complexos, iria
exigir bastante espao e seria improdutivo na preparao para os exames CCNA. Este captulo oferece um processo
direto para atacar problemas relativos a protocolos de roteamento - especificamente, problemas similares em profundidade
e complexidade aos dos exames CCNA.
Se uma questo do exame parecer estar relacionada a um problema com um protocolo de roteamento, voc poderia
rapidamente identificar alguns erros comuns de configurao usando o seguinte processo - mesmo sem ter a configurao
ou a capacidade de usar o comando show running-config. O processo possui trs caminhos principais:
Passo 1 Examine o desenho da interconexo de rede para determinar em quais interfaces o protocolo de roteamento
deveria estar habilitado e quais roteadores espera-se que se tomem vizinhos.
CCNA ICND2 297

Passo 2 Verifique se o protocolo de roteamento est habilitado em cada interface (de acordo com o Passo 1). Se no
estiver, determine a causa raiz e corrija o problema.
Passo 3 Verifique se todos os roteadores formaram todas as relaes de vizinhana esperadas. Caso contrrio,
encontre a causa raiz e corrija o problema.
Neste ponto, tendo completado os captulos 9 elO, o Passo 1 no deveria exigir maiores explicaes. As duas principais
sees restantes deste captulo examinaro os Passos 2 e 3. Ao completar estes passos e corrigir qualquer problema
encontrado durante este processo, voc dever ter corrigido os problemas de protocolo de roteamento do nvel
CCNA.
Interfaces habilitadas com um protocolo de roteamento

Esta seo examina o segundo maior passo na resoluo de problemas apresentado na seo anterior deste captulo:
como conferir as interfaces nas quais o protocolo de roteamento foi habilitado. Ambas as configuraes, do EIGRP e do
OSPF, habilitam o protocolo de roteamento em uma interface atravs do subcomando de roteador network. Para qualquer
interface que casar atravs dos comandos network, o protocolo de roteamento tentar as duas seguintes aes:
Tentar encontrar vizinhos em potencial na sub-rede conectada interface.
Anunciar a sub-rede conectada a esta interface.
!;~~;~o
\ Cluo".
".
Ao mesmo tempo, o subcomando de roteador passive-interface pode ser configurado, de modo que o roteador no
tentar encontrar vizinhos na interface (a primeira ao que acabou de ser listada), mas ainda assim anunciar a sub-rede
conectada (a segunda ao).
Trs comandos show so tudo o que necessrio para se saber exatamente quais interfaces foram habilitadas com
EIGRP e OSPF, e quais interfaces so passivas. Em particular, o comando show ip eigrp interfaces lista todas as
interfaces com EIGRP habilitado e que no so interfaces passivas. O comando show ip pr otocols lista essencialmente
os contedos dos comandos network configurados para cada protocolo de roteamento, bem como uma lista separada
das interfaces passivas. A comparao entre estes dois comandos identifica todas as interfaces habilitadas com EIGRP
e aquelas que so passivas. Para OSPF, o comando funciona de um modo um pouco diferente, com o comando show ip
ospf interface brief mostrando todas as interfaces com OSPF habilitado (inclusive as interfaces passivas). A Tabela 111 resume estes comandos para uma referncia mais fcil.
Tabela 11-1 Comandos-Chave Para Encontrar Interfaces com Protocolo de Roteamento Habilitado
!;~~;~o
\ Chave
".
Comando
I nformao-Cha ve
show ip eigrp interfaces
Lista as interfaces nas quais o protocolo de roteamento est habilitado

(baseado nos comandos network), exceto as interfaces passivas
show ip ospf interfaces br ief
Lista as interfaces nas quais o OSPF est habilitado (baseado nos

comandos network), inclusive as interfaces passivas
show ip protocols
Lista os contedos dos comandos de configurao network para cada

processo de roteamento, e lista as interfaces habilitadas, porm passivas
Observao Todos os comandos da Tabela 11-1 listam as interfaces, independentemente

do estado da interface, com efeito, informando a voc os resultados dos comandos de
configurao network e passive-interface.
Assim, para o principal passo na resoluo de problemas coberto nesta seo, a tarefa consiste em usar os comandos da
Tabela 11-1 e analisar as respectivas sadas. Primeiramente ser mostrado um exemplo para EIGRP, seguido de um
exemplo para OSPF.
Exemplo de resoluo de problema em uma interface EIGRP

Esta seo mostra alguns exemplos de comandos no contexto da Figura 11-2, que ser usada em todos os exemplos deste
captulo.
298 Captulo 11: Resolvendo problemas em protocolos de roteamento

Figura 11-2 Amostra de Interconexo de Rede para Exemplos de Resoluo de Problemas de EIGRP/OSPF
FaO/O
FaO/O
10.1.1 .1/24
10.1.1.3/24
FaO/O
FaO/O
10.1.1.2/24
10.1.1.4/24
Este exemplo inclui quatro roteadores, com o seguinte cenrio neste caso:
RI e R2 esto configurados corretamente em ambas as interfaces da LAN.
R3 no est corretamente habilitado com EIGRP em sua interface FaO/l.
R4 pretendia usar o comando passive-interface faO/l porque nenhum outro roteador est alm da LAN FaO/l de
R4, mas ao invs disso, R4 configurou o comando passive-interface faO/O.
O Exemplo 11-1 comea mostrando os comandos pertinentes, com um exemplo em RI ou em R2. O exemplo tambm
mostra a configurao em RI para efeitos de comparao.
Exemplo 11-1 Problemas com Interfaces no EIGRP
! only pertinent lines shown
router eigrp 99
network 10.0.0.0
R1> show ip eigrp interfaces

! apenas as l inhas pertin e n tes sero mostrad as

Xmit Queu e
Interface
Mean
pacing Time
Mu lticast
pendin g
SRTT
Un/Reliable
Flow Timer
Routes
0/10
50
0/10
Peers Un/Reliable
FaO / O
O/O
620
Fa O/ 1
O/O
R1> show ip eigrp protocol

Routing Protocol is "ei grp 99 "
Outgoing update filter li s t for al I interfaces i s not set
Incoming update filter list for alI inter faces is not set
Default networks flagged in outgoing updates
Default networks accepted from incoming updates
EIGRP metric weight KI=l, K2=0, K3=1, K4=0, K5=0
EIGRP maximum hopcount 100
EIGRP maximum metric vari ance 1
Redistributing: eigrp 99
EIGRP NSF-aware route hold timer is 240s
Automatic network summarization is in ef f ect
Maximum pa th : 4
Routing for Networks:
10.0 . 0.0
Routin g Information Sources:
Gateway
Distance
Last Update
10.l.l.2
90
00:13:11
10.l.l.3
90
00:13:09
CCNA ICND2 299

Distance: internal 90 external 170
Os comandos seguintes so no roteador R2
R2> show ip eigrp interfaces

Interface
Xmit Queue
Mean
pacing Time
Multicast
pending
Peers Un/Reliable
SRTT
Un/Reliable
Flow Timer
Routes
FaO/O
O/O
736
0/1
3684
FaO/1
O/O
0/1
R2> show ip protoco1s

Routing Protocol is "eigrp 99"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Default networks accepted from incoming updates
EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
EIGRP maximum metric variance 1
Automatic network summarization is in effect
Maximum path: 4
,-

10.0 .0.0
Routing Information Sources:
Gateway
Distance
Last Update
10.l.l.3
90
00:13:25
10.l.l.1
90
00:13:25
Distance: internal 90 external 170

R2> show ip route eigrp
D
10.1.11.0 [90/30720] via 10.1.1.1, 00:13:38, FastEthernetO/O
A sada do comando show ip eigrp interfaces em ambos, RI e R2, mostra como RI e R2 configuraram o EIGRP
usando o process ID 99, e que o EIGRP foi habilitado em ambos, FaO/O e FaOIl em RI e em R2. Este comando lista
apenas as interfaces nas quais o EIGRP foi habilitado, no incluindo as interfaces passivas.
As partes em destaque na sada do comando show ip protocols em cada roteador so particularmente interessantes.
Estas partes mostram os parmetros dos comandos network configurados. Para cada comando network, o comando
show ip protocols mostra uma linha separada sob o ttulo "Routing for Networks", com cada linha apresentando o
contedo dos vrios subcomandos de roteador network. Por exemplo, RI usa o comando de configurao network
10.0.0.0 (mostrado no incio do exemplo), que casa com a linha "10.0.0.0" na sada do comando show ip protocols.
O fmal do exemplo d uma viso breve do problema atual em R3, do ponto de vista de R2. O final do comando show ip
protocols em R2 lista duas fontes de informaes sobre roteamento: 10.1.1.1 (RI ) e 10.1.1.3 (R3). No entanto, R2
aprendeu apenas uma rota com o EIGRP (10.1.11.0/24), conforme mostrado na sada do comando show ip route eigrp.
Se estivesse funcionando corretamente, R2 deveria ter aprendido trs rotas com o EIGRP - uma para cada uma das subredes LAN externas mostradas na Figura 11-2.
A seguir, o Exemplo 11-2 mostra os problemas em R3 e R4, e que impedem que RI e R2 aprendam sobre as sub-redes
10.1.33.0/24 e 10.1.44.0/24. O exemplo mostra a configurao pertinente em cada roteador para efeitos de perspectiva,
bem como os comandos show que apontam os problemas .

Exemplo 11-2 Problemas com o EIGRP em R3 e em R4
! Iines omitted for brevity
router eigrp 99
network 10.1.1.3 0.0.0.0
network 10.1.13.3 0.0.0.0
auto-summary
R3# show ip eigrp interfaces

Xmit Queue
Mean
Pacing Time
MuIticast
Pending
Interface Peers Un/ReIiabIe
SRTT
Un/ReliabIe F
Iow Timer
Routes
FaOIO
0/10
50
010
R3# show ip protoco1s

Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
DefauIt networks flagged in outgoing updates
DefauIt networks accepted from incoming updates
EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
EIGRP maximum metric variance 1
Automatic network summarization is in effect
Maximum pa th : 4
10.l.l.3/32
10.l.13.3/32
Gateway
Distance
Last Update
10.l.l.2
90
00 : 28 : 16
10.l.l.1
90
00:28:14
Distance: internaI 90 externaI 170

! R4 output starts here

! Iines omitted for brevity
router eigrp 99
passive-interface FastE t hern etOIO
-
network 10.0.0 . 0
auto-summary
R4#show ip eigrp interfaces
pacing Time
MuIticast
Pending
SRTT
Un/ReliabIe F
Iow Timer
Routes
0/1
Xmit Queue
Interface Peers Un/ReIiabIe
FaO/1
010
Mean
R4# show ip protocols
CCNA ICND2
301
Outgoing upda t e filter list for alI interfaces is no t set

Incoming update filter list f o r alI interfa c e s i s not set
Default n e tworks a ccepted from incomin g upda tes
EI GRP me t ric we igh t K1=1, K2=0, K3=1 , K4=0, K5 =0
EIGRP rnaximurn hopcount 100
EIGRP maximurn metric v ariance 1
Automatic network surnrnarization is in effect
Maximurn pa t h: 4
1-
Routing for Networks :

10 . 0.0 . 0
1-
Passive I nterface(s) :
FastEt h e rnetO / O
Routing Inforrnation Sources:
Gateway
Distance
Last Update
Distance : internaI 90 externaI 170
A causa raiz do problema em R3 que R3 possui o comando de configurao network 10.1.13.3 0.0.0.0, que no casa
com o endereo IP 10.1.33.3 de FaO/l de R3. Se a configurao no estiver disponvel na questo do exame, o comando
show ip protocols poderia ser usado para ver essencialmente os mesmos detalhes de configurao. Neste caso, o
comando show ip protocols em R3 apresenta o texto " 10.1.13.3/32" como uma referncia ao contedo dos parmetros
incorretos do comando network. Como resultado, R3 no tenta encontrar vizinhos em sua interface FaO/l , o que no
um grande problema neste caso, mas R3 tambm no anuncia a sub-rede 10.1.33.0/24, a sub-rede conectada alm de sua
interface FaO/l. Tambm observe que o comando show ip eigrp interfaces em R3 omite a interface FaO/l , o que por
si s6 no determina a causa raiz, mas pode ajudar voc a isolar o problema.
Em R4, o engenheiro poderia ter usado corretamente o subcomando de roteador passive-interface fastethernetO/1 porque
nenhum outro roteador deveria existir alm da interface FaO/l de R4. No entanto, o engenheiro erroneamente fez referncia
interface FaO/O em R4, ao invs da interface FaO/l. O comando show ip eigrp interfaces em R4 omite propositadamente a
interface passiva (FaO/O), e a parte em destaque na sada do comando show ip protocols de R4lista FaO/O como uma interface
passiva. Pelo fato de FaO/O de R4 ser passiva, R4 nem mesmo tenta se tomar vizinho de outros roteadores na mesma LAN.
Exemplo de resoluo de problemas em uma interface OSPF

OSPF possui os mesmos requisitos bsicos de EIGRP para interfaces, com algumas excees. Em primeiro lugar,
roteadores EIGRP precisam usar o mesmo ASN ou process ID que seus roteadores vizinhos, conforme configurado
atravs do comando global de configurao router. Roteadores OSPF podem usar qualquer process ID, sem a necessidade
de ser o mesmo que o de seus vizinhos. Em segundo lugar, o OSPF exige que as interfaces conectadas mesma sub-rede
sejam atribudas mesma rea do OSPF, enquanto que o EIGRP no possui o conceito de reas.
O Exemplo 11-3 mostra uma interconexo de rede OSPF funcionado em sua maior parte, novamente baseado na Figura
11-2. Os seguintes problemas existem:
R2 foi configurado para colocar ambas as interfaces na rea 1. RI , R3 e R4 foram configurados para colocar suas
interfaces de LAN em comum (FaO/O em cada caso) na rea O, quebrando as regras de design do OSPE
O Exemplo 11-3 mostra como isolar a causa raiz do problema. O exemplo mostra tambm a sada normal quando em
funcionamento, usando os comandos show ip ospf interface brief e show ip protocols.
Exemplo 11-3 Problemas com o OSPF em R2
R1> show ip ospf interface brief
Interface
PID
Ar ea
IP Address / Mask
Cost
State Nbrs F / C
FaO / 1
11
10.1.11.1 / 24
DR
O/ O
FaO / O
11
10.1.1.1 / 24
DROTH
2/ 2

R1> Bhow ip protocolB
Routing Pro toco I is "os pf 11"
Outgoing update filter list for alI interfaces is not set
Incoming update filter list for alI interfaces is not set
Router ID 1.1.1.1
Number of areas in this router is 1. 1 normal O stub O nssa
Maximurn pa th : 4
Rou ting for Ne t works :
1-
10.0.0.0 0.255.255 . 255 area O

Gateway
Distance
Last Update
3.3 . 3 . 3
110
00 : 01:12
4.4.4.4
110
00:01:12
1.1.1.1
110
00:01:12
Distance:
(default is 110)
R1> Bhow ip route oBpf

10.1.44.0 [110/2) via 10.1.1.4,
00:01:19, FastEthernetO/O
10.1.33 . 0 [110/2) via 10.1.1.3,
00:01:19, FastEthernetO/O
! Now moving to router R2
R2> Bhow ip oBpf interface brief

Interface
PID
Area IP
Address/Mask
Cost
State
Nbrs F /C
FaO/1
22
10 . 1.22.2/24
DR
O/O
FaO/O
22
10.1.1.2/24
DR
O/O
R2> Bhow ip protocolB

Routing Protocol is "ospf 22"
Outgoing update filter list for alI interfaces is not set
Incoming update filter list for alI interfaces is not set
--More-- ________________ Router ID 2 . 2.2.2
Number of areas in this router is 1. 1 normal O stub O nssa
Maximurn path: 4
I~
Ro ut i ng f o r Networks:
1 0. 0. 0 . 0 0. 2 55. 2 55. 2 55 area 1
I~
Reference bandwidth unit is 100 mbps

Gateway Distance Last Update
Distance:
(default is 110)
R2>
! ! !!!!!!! ! ! !!! ! !! ! !!! ! ! !!!! ! !!!!!!!!! !! !!! !!! ! !! !! !! !!! ! !!!!!! ! !!! !! !!!!! !! !!! ! !
May 28 18:30:26.659: %OSPF-4-ERRRCV: Received i nvalid packet: mismatch area ID ,

from backbone area must be virtual-link but not found from 10.1.1.4,
FastEthernetO/O
Para o OSPF, o comando show ip ospf interface brief apresenta a sada de modo similar ao do comando show ip eigrp
interface, com uma linha para cada interface habilitada. (O comando show ip ospf interface, que no foi mostrado no
exemplo, apresenta informaes detalhadas do OSPF para cada interface.) Neste exemplo, ambos, RI e R2 possuem
OSPF habilitado em ambas as interfaces de LAN, mas este comando tambm lista o nmero da rea para cada interface,
com R2 tendo ambas as interfaces de LAN na rea 1. Como resultado, a interface FaO/O de R2 est em uma rea
diferente com relao s interfaces dos outros trs roteadores na mesma LAN.
.'
CCNA ICND2 303
Uma olhada mais de perto na sada do comando show ip protocols em R2, particularmente na parte que est em
destaque, aponta o erro de configurao. A frase em destaque "10.0.0.0 0.255.255.255 area 1" tem, na verdade, a sintaxe
exata de um comando network no roteador R2, exceto pela palavra "network". Reconfigurar R2 de modo que sua
interface FaO/O case com os outros trs roteadores resolveria este problema em particular.
O [mal do exemplo mostra uma mensagem de log no solicitada, gerada pelo roteador R2, notificando o usurio do
console de que este roteador recebeu um Helio de um roteador de uma rea diferente.
Enquanto voc verifica as interfaces, voc tambm poderia verificar diversos outros detalhes mencionados na cobertura
da resoluo de problemas de IP, no Captulo 7. Faz sentido seguir adiante e verificar os endereos IP da interface, as
mscaras e o estado da interface usando os comandos show interfaces e show ip interface brief. Em particular, til
observar quais interfaces esto up/up porque um protocolo de roteamento no tentar encontrar vizinhos ou anunciar
sub-redes conectadas para uma interface que no estiver em um estado up/up. Estas verificaes foram discutidas em
detalhes no Captulo 7, portanto elas no sero repetidas aqui.
: Relaes de vizinhana
Conforme mencionado logo no comeo deste captulo, quando um protocolo de roteamento for habilitado em uma interface, e a
interface no estiver configurada como uma interface passiva, o protocolo de roteamento ir tentar descobrir vizinhos e formar
uma relao de vizinhana com cada vizinho que compartilhar a sub-rede em comum. Esta seo examina o grande nmero de
fatos que cada roteador deve verificar com cada vizinho em potencial, antes que os dois roteadores se tomem vizinhos.
Ambos os protocolos, OSPF e EIGRP, usam mensagens Hello para aprender sobre novos vizinhos e para trocar informaes
usadas para executar algumas verificaes bsicas. Por exemplo, como acabou de ser mostrado no Exemplo 11-3, um roteador
OSPF no deve se tomar vizinho de outro roteador que estiver em outra rea porque todos os roteadores em uma sub-rede em
comum deveriam estar na mesma rea, por questes de designo (A fronteira entre reas um roteador, e no um enlace.)
Depois que um roteador EIGRP ou OSPF escuta um Helio de um novo vizinho, o protocolo de roteamento examina as
informaes no Helio, juntamente com algumas configuraes locais para decidir se os dois vizinhos deveriam sequer
tentar se tomar vizinhos. Pelo fato de no existir nenhum termo formal para todos estes itens que um protocolo de
roteamento deve considerar, este livro simplesmente os chama de requisitos para vizinhana. A Tabela 11-2 lista os
requisitos para vizinhana para ambos, EIGRP e OSPF. Depois da tabela, as prximas pginas examinam algumas destas
configuraes para ambos, EIGRP e OSPF, usando novamente exemplos baseados na Figura 11-2.
..........
[ TpiCO
\ Cha""
".
Tabela 11-2 Requisitos para Vizinhana no EIGRP e no OSPF
Requisito
EIGRP
OSPF
Interfaces devem estar no estado up/up
Sim
Sim
Interfaces devem estar na mesma sub-rede
Sim
Sim
Devem passar pela autenticao do vizinho (se configurado)
Sim
Sim
Devem usar o mesmo ASN/process-ID no comando de configurao router
Sim
No
Temporizadores de Helio e holdldead devem ser iguais
No
Sim
MTU do IP deve ser igual
No
Sim
IDs do roteadores devem ser nicos
No l
Sim
Valores K devem ser iguais
Sim
N/A
Devem estar na mesma rea
N/A
Sim
lTer RIDs duplicados no EIGRP no impede que roteadores se tornem vizinhos, mas pode causar problemas quando rotas EIGRP externas so
adicionadas na tabela de roteamento.
Observao Embora seja importante estudar e se lembrar dos itens desta tabela, pode no
ser melhor estudar esta tabela de imediato. Ao invs disso, leia o resto do captulo antes
porque os itens desta tabela sero mencionados e revisados ao longo do resto deste captulo.
De modo diferente dos demais requisitos para vizinhana listados na Tabela 11-2, o primeiro requisito tem muito pouco a
ver com os protocolos de roteamento propriamente ditos. Os dois roteadores devem ser capazes de enviar pacotes um ao
outro atravs da rede fsica qual ambos esto conectados. Para fazer isso, as interfaces do roteador devem estar up/up.
Na prtica, antes de examinar o resto dos detalhes de por que dois roteadores no se tomam vizinhos, confIrme se os dois
roteadores podem fazer ping um no outro na sub-rede local. Se o ping falhar, investigue todas as possibilidades nas
Camadas 1, 2 e 3 que poderiam impedir que o ping funcionasse (tal como uma interface no estar up/up), conforme
coberto em vrios captulos deste livro e no CCENT/CCNA ICNDi Official Exam Certification Guide (Guia ofIcial de
certificao do exame CCENT/CCNA ICNDl).
------------------------------------------------------- .
Pelo fato dos detalhes serem um pouco diferentes para os dois protocolos de roteamento, esta seo examinar o EIGRP
primeiro, seguido pelo OSPE
Observao
Esta seo assume que o protocolo de roteamento foi realmente habilitado em
cada interface necessria, conforme coberto anteriormente neste captulo na seo chamada
"Interfaces habilitadas com um protocolo de roteamento".
Requisitos para vizinhana no EIGRP

Quaisquer dois roteadores EIGRP que se conectam ao mesmo enlace de dados, cujas interfaces foram habilitadas para
EIGRP e que no so passivas, iro no mnimo considerar se tomar vizinhos. Para saber de modo rpido e defrniti vo quais
vizinhos em potencial passaram por todos os requisitos para vizinhana no EIGRP, basta olhar na sada do comando show
ip eigrp neighbors. Este comando lista apenas vizinhos que passaram por todas as verificaes para se tomarem
vizinhos. O Exemplo 11-4 mostra um exemplo, com os quatro roteadores da Figura 11-2 novamente, mas com todos os
problemas anteriores de configurao do EIGRP resolvidos.
Exemplo 11-4 Comando show ip eigrp neighbors em Ri com Todos os Problemas Solucionados
R1# show ip eigrp neighbors
IP- EIGRP neighbors for process 99
H
Address
Interface
Hold Uptime
SRTT
( s ec)
(ms)
13 00:00:04
616
RTO
10.l.l.3
FaO / O
3696
10.l.l.4
FaO / O
12 00 : 00 : 54
200
10.l.l.2
Fa O/ O
14 00 : 01:19
123
738
Seq
Cnt
Num
o
o
o
8
45
43
Se o comando show ip eigrp neighbors no listar um ou mais vizinhos esperados, e os dois roteadores puderem efetuar
ping no endereo IP um do outro em sua sub-rede comum, o problema provavelmente estar relacionado a um dos
requisitos para vizinhana listados nas Tabelas 11-2 e 11-3. A Tabela 11-3 resume os requisitos para vizinhana no EIGRP
e apresenta os melhores comandos com os quais determinar qual requisito a causa raiz do problema.
Tabela 11-3 Requisitos para Vizinhana no EIGRP e os Melhores Comandos show/debug
/;~~;~o
\. Chave
. ..
Requisito
Melhor(es) Comando(s) para Isolar o Problema
Devem estar na mesma sub-rede
show interfaces
Devem passar em qualquer autenticao de vizinhos
debug eigrp packets
Devem usar o mesmo ASN no comando de configurao
router show ip eigrp interfaces, show protocols
Valores K devem ser iguais
show protocols
CCNA ICND2 305
Todos os requisitos listados na Tabela 11-3, exceto o ltimo, foram explicados no Captulo 10. Os valores K do EIGRP se
referem aos parmetros que podem ser configurados para se alterar o que o EIGRP usa em seu clculo de mtricas. A
Cisco recomenda deixar estes valores em sua configurao default, usando apenas a largura de banda e o atraso no clculo
da mtrica. Pelo fato da Cisco recomendar que estes valores no sejam alterados, este problema em particular no muito
comum. No entanto, voc pode verificar os valores K em ambos os roteadores usando o comando show ip protocols.
O Exemplo 11-5 mostra trs problemas que podem fazer com que dois roteadores que deveriam se tomar vizinhos no
EIGRP no tenham xito em faz-lo. Para este exemplo, os seguintes problemas foram introduzidos:
R2 foi configurado com endereo IP 10.1.2.2/24 em uma sub-rede diferente da de RI , R3 e R4.
R3 foi configurado para usar ASN 199 com o comando router eigrp 199, ao invs de ASN 99, usado nos outros
trs roteadores.
R4 foi configurado para usar autenticao MD5, como os outros roteadores, mas R4 possui um valor de chave de
"FRED" ao invs do valor "fred", usado pelos outros trs roteadores.
RI , na verdade, pode detectar dois dos problemas sem precisar usar comandos nos outros roteadores. RI gera uma
mensagem de log no solicitada para o problema de sub-rede diferente, e um comando debug em RI pode revelar
a falha na autenticao. Um exame rpido de alguns comandos show em R3 pode identificar que o ASN errado foi
usado no comando de configurao router. O Exemplo 11-5 mostra os detalhes.
Exemplo 11-5 Problemas Comuns que Impedem a Formao de Vizinhos no EIGRP
! F irst,
Rl h as no n eighbor relationships yet. R1 uses ASN (process) 99 .
R1# show ip eigrp neighbors

IP-EIGRP neighbors fo r process 99
R1#
! Next,
R1 generates a log mes s age, which s hows up at the console , stating
! that the router with IP address 10.1.2.2 is not on the s arne subnet as R1.
*May 28 20:02:22.355:
IP-EIGRP(Default-IP-Routing-Table:99): Neighbor
10 . 1 . 2 . 2 not on cornrnon subnet for FastEthernetO / O

I-
Next, R1 e n ables a debug that shows messages for each p a cket received from R4,
! which use s the wrong password
(au t hentication key string)
R1#debug eigrp packets

EIGRP Packe ts debuggin g is on
(UPDATE , REQUEST, QUERY , REPLY, HELLO,
IPXSAP , PROBE, ACK,
STUB, SIAQUERY,
SIAREPLY)
*May 28 20 : 0 4 :00.931: EIGRP: pkt key id = 1, authentication mismatch
*May 28 20:04:00.931: EIGRP: FastEthernetO/O: ignored packet from 10 .1 .1.4,
opcode = 5 (invalid authentication)
! The rest of the output is from R3
! The first line of output from the show ip protocols cornrnand lists ASN 199
R3# show ip protocols

Routing Protocol is " eigrp 199 "
! The first line of output from show ip eigrp interfaces lists ASN 199
R3# show ip eigrp interfaces

IP-EIGRP int e rfaces for process 199

Xrnit Queue
Mean
Pacing Time
Mu lticast
pending
Interface
Peers
Un/Reliable
SRTT
Un/Reliable
Flow Timer
Routes
FaOIO
010
0110
FaO/1
010
0110
~--------------------------------------------------------~ .
Requisitos para vizinhana no OSPF

De modo similar ao EIGRP, um comando show ip ospf neighbor em um roteador lista todos os roteadores vizinhos que
cumpriram todos os requisitos para se tomarem um vizinho no OSPF, conforme listado na Tabela 11-2 - com uma pequena
exceo (MTU que no so iguais). (Se o MTU for diferente, os dois roteadores sero listados no comando show ip ospf
neighbor. Este problema em particular ser discutido posteriormente, na seo "O Requisito de MTU Idntico".) Portanto,
o primeiro passo na resoluo de problemas relativos a vizinhos no OSPF olhar para a lista de vizinhos.
O Exemplo 11-6 mostra a sada do comando show ip ospf neighbor no roteador R2, da Figura 11-2, com a configurao
correta em cada um dos quatro roteadores da figura.
Exemplo 11-6 Comando show ip ospf neighbors Funcionando Normalmente no Roteador R2

R2# show ip ospf neighbor
Neighbor ID
Pri
State
Dead Time
Address
Interface
1.1.1.1
FULL/BDR
00 : 00:37
10.1.1.1
FastEthernetOIO
3.3.3.3
2WAY/DROTHER
00 : 00:37
10.1.1.3
FastEthernetOIO
4 . 4.4.4
FULL/DR
00 : 00:31
10 . 1.1.4
FastEthernetOIO
Uma breve reviso dos estados de vizinhos no OSPF (conforme explicado no Captulo 9) pode ajudar voc a entender
algumas das sutilezas na sada do comando, no exemplo. O estado apresentado para cada roteador, para cada um de seus
vizinhos OSPF - o estado do vizinho - deve se enquadrar nos estados two-way ou Full sob operao normal. Para
vizinhos que no precisam trocar diretamente suas bases de dados, tipicamente, dois roteadores no DR em uma LAN,
os roteadores devem se enquadrar em um estado de vizinho two-way. Na maioria dos casos, dois roteadores vizinhos
precisam trocar diretamente suas LSDBs completas, um com o outro. To logo este processo termine, os dois roteadores
vo para o estado de vizinho Full. No Exemplo 11-6, o roteador R4 o DR, e RI o BDR, portanto R2 e R3 (por no
serem DRs) no precisam trocar rotas diretamente. Sendo assim, o estado de vizinho de R2 para R3 (RID 3.3.3.3) no
Exemplo 11-6 est listado como two-way.
Observao Notadamente, os vizinhos OSPF no precisam usar o mesmo process ID no
comando router ospf process-id para se tornarem vizinhos. No Exemplo 11-6, todos os quatro
roteadores usam diferentes process IDs.
Se o comando show ip ospf neighbor no listar um ou mais vizinhos esperados, antes de prosseguir para ver os
requisitos para vizinhana no OSPF, voc deveria confirmar se os dois roteadores so capazes de efetuar ping um no
outro na sub-rede local. Assim que os dois roteadores vizinhos puderem efetuar ping um no outro, caso os dois roteadores
ainda no se tomem vizinhos OSPF, o prximo passo ser examinar cada um dos requisitos para vizinhana no OSPE A
Tabela 11-4 resume os requisitos, listando os comandos mais teis com os quais se podem encontrar as respostas.
Tabela 11-4 Requisitos para Vizinhana no OSPF e os Melhores Comandos show/debug
/;~;~o
\ Cheve
Requisito
Melhor(es) Comando(s) para Isolar o Problema
Devem estar na mesma sub-rede
show interfaces, debug ip ospf hello
Devem passar em qualquer autenticao do vizinho
debug ip ospf adj
Temporizadores de Hello e hold/dead devem ser iguais
show ip ospf interface, debug ip ospf hello
Devem estar na mesma rea
debug ip ospf adj, show ip ospf interface brief
IDs dos roteadores devem ser nicos
show ip ospf
....
CCNA ICND2 307
o restante desta seo mostra dois exemplos nos quais dois roteadores OSPF poderiam se tomar vizinhos, mas no o
fazem por causa de algumas das razes desta tabela. A seguir, seguem informaes a respeito do requisito de MTU
idntico.
Exemplo 1 de Vizinhana no OSPF
Neste primeiro exemplo de problemas com vizinhana no OSPF, a mesma rede de sempre, com quatro roteadores da
Figura 11-2 ser usada. Esta interconexo de redes foi desenhada para usar uma nica rea, a rea O. Neste caso, os
seguintes problemas foram introduzidos no design:
R2 foi configurado com ambas as interfaces de LAN na rea 1, enquanto que as interfaces FaO/O dos outros trs
roteadores foram atribudas para a rea O.
R3 est usando o mesmo RID (1.1.1.1) que RI.
R4 est usando autenticao MD5, da mesma forma que os outros trs roteadores, mas R4 foi erroneamente
configurado com relao ao valor de sua chave de autenticao (FRED, em vez de fred) .
O Exemplo 11-7 mostra a evidncia dos problemas, com comentrios seguindo o exemplo.
Exemplo 11-7 Encontrando reas Diferentes, o Mesmo RID e Problemas de Autenticao

R1# debug ip ospf adj
OSPF adjacency events debugging is on
Rl#
*May 28 23:59 : 21.031: OSPF: Send with youngest Key 1
*May 28 23:59 : 24.463: OSPF: Rcv pkt from 10.1.1.2, FastEthernetO/O, area 0.0.0.0
mismatch area 0.0.0.1 in the header
*May 28 23:59:24 . 907: OSPF: Rcv pkt from 10.1.1.4, FastEthernetO/O :
Mismatch Authentication Key - Message Oigest Key 1
Rl#undebug all
All possible debugging has been turned off
R1# show ip ospf interface brief
Interface PIO Area
IP Address / Mask
Cost
State
Nbrs F / C
FaO / 1
11
10.1.11.1 / 24
OR
O/ O
FaO / O
11
10.1.1.1 / 24
OR
O/ O
! Now to R2
! R2 shows that FaO/O is in area 1
R2# show ip ospf interface brief

Interface PIO Area
IP Address / Mask
Cost
State
Nbrs F / C
FaO/1
FaO/O
! Next,
22
10.1.22.2 / 24
OR
O/ O
22
10.1.1. 2 / 24
OR
O/ O
on R3
! R3 lists the RIO of 1.1.1.1
R3# show ip ospf

Routing Process "ospf 33" wi th lO 1. 1.1.1
Supports only single TOS(TOSO) routes
! Back to R1 again
! Next command confirms that R1 is also trying to use RIO 1 . 1.1.1
R1 #Show ip ospf
308
Captulo 11: Resolvendo problemas em protocolos de roteamento

Routing Process "os pf 11" with I D 1.1.1.1
Supports only s i ng le TOS(TOSO) routes
!
lines omi t ted f o r brevity
*May 29 00:01:25 . 679: %OSPF-4-DUP_RTRID_NBR: OSPF detected duplicate router-id

1.1.1.1 from 10 . 1 . 1.3 on interface FastEthernetO / O
Como observado na Tabela 11-4, o comando debug ip ospf adj ajuda a resolver problemas relacionados a reas diferentes
no OSPF, bem como problemas de autenticao. As mensagens em destaque nas primeiras linhas do exemplo mostram que
o roteador com endereo 10.1.1.2 (R2) possui um ID de rea diferente, igual a 0.0.0.1 , o que significa rea 1. Na verdade,
R2 foi configurado erroneamente para colocar sua interface FaO/O na rea 1. Logo a seguir est uma referncia a uma
"mismatched authentication key" (ou chave de autenticao diferente), o que significa que o tipo correto de autenticao foi
usado, mas as chaves configuradas possuem valores diferentes, especificamente para o roteador 10.1.1.4 (R4).
Observao Roteadores tratam mensagens de debug como sendo mensagens de log, que o
lOS envia ao console, por default. Para ver essas mensagens atravs de uma conexo Telnet
ou SSH, use o comando terminal monitor. Para desabilitar a apresentao destas mensagens,
use o comando terminal no monitor.
A prxima parte do exemplo mostra o comando show ip ospf interface brief em ambos, RI e R2, enfatizando como
cada interface FaO/O do roteador est em uma rea OSPF diferente.
O final do exemplo apresenta as informaes que mostram RI e R3 , ambos tentando usar o RID 1.1.1.1. De modo
interessante, ambos os roteadores geram automaticamente uma mensagem de log para o problema de RID duplicado no
OSPF, entre RI e R3 . Um RID duplicado provoca problemas significativos no OSPF, muito alm de somente dois
roteadores no poderem se tornar vizinhos. O final do Exemplo 11-7 mostra a mensagem de log (em destaque). Os
comandos show ip ospf em ambos, R3 e RI tambm mostram como voc pode listar facilmente o RID de cada roteador,
percebendo que ambos usam o mesmo valor.
Exemplo 2 de Vizinhana no OSPF

Neste prximo exemplo, a mesma rede da Figura 11-2 ser usada novamente. Os problemas em R2, R3 e R4 do exemplo
anterior foram resolvidos, mas novos problemas foram introduzidos em R2 e R4 para mostrar os sintomas. Neste caso, os
seguintes problemas foram introduzidos no design:
R2 foi configurado com temporizador de Hello/Dead de 5/20 em sua interface FaO/O, ao invs de 10/40 usados (por
default) em RI, R3 e R4.
Os problemas de R3 foram resolvidos; no existe nenhum problema relacionado vizinhana no OSPE
R4 est usando agora a string chave correta (fred), mas com autenticao clear-text (ou texto claro), ao invs da
autenticao MD5 usada pelos outros trs roteadores.
O Exemplo 11-8 mostra a evidncia dos problemas, com comentrios aps o exemplo. Como sempre, o comando debug
ip ospf adj ajuda a descobrir problemas de autenticao. Alm disso, o comando debug ip ospf heUo ajuda a tornar
claros os erros descobertos nas mensagens Hello, incluindo endereos IP/mscaras e temporizadores que no casam.
Exemplo 11-8 Encontrando Temporizadores de Hello/Dead Diferentes e Tipos Errados de Autenticao

R1# debug ip ospf adj
OSPF adjacency events debugging is on
R1#
*May 29 10:41:30.639: OS PF: Rcv pkt from 10 . 1.1.4, FastEthernetO / O :
Mi sma t ch Authentication type. Input packet specified type 1, we use type 2
R1#
R1# undebug alI
AlI possible debugging has been turned off
R1#debug ip ospf helIo
OSPF helIo events debugging is on
CCNA ICND2 309

Rl#
*May 29 10:41:42.603 : OSPF: Rcv he110 from 2.2.2 . 2 area O from
FastEthernetO/O 10.1.1.2
*May 29 10:41:42.603: OSPF: Mismatched hello parameters from 10.1 . 1.2
*Ma y 29 10 : 41 : 42.603 : OS PF: Dead R 20 C 40, Hello R 5 C 10
Ma sk R 255.255 . 255.0 C 255.255.255.0
Rl#undebug a11
A1l possible debugging has been turned off

R1 #show ip ospf interface faO/O
FastEthernetO / O is u p , line protocol is up
Internet Address 1 0.1.1.1/24, Area O
Process ID 11, Router ID 1.1 . 1.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DR,
Backup Designated router (ID) 3.3.3.3 , Interface address 10.1.1.3
priority 1
Designated Router (ID) 1.1 . 1.1, In t erface address 10.1.1.1
Timer intervals configured , Hello 10, Dead 40, Wait 40, Retransmit 5
lines omit t ed for brevity
Moving on t o R2 next
R2# show ip ospf interface faO/O

FastEthernetO / O is up, line protocol is up
Internet Address 10 . 1.1.2/24, Area O
Process ID 22, Router ID 2.2.2.2, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 2.2.2.2 , Interface address 10.1.1.2
No backu p designated router on this network
Timer intervals c onfigured, Hel l o 5 , Dead 20, Wait 20, Retransmit 5
o exemplo comea com as mensagens de debug relacionadas ao problema de autenticao entre RI , que usa autenticao
MD5, e R4, que agora usa a autenticao c1ear-text. Conforme listado na Tabela 9-4 do Captulo 9, o lOS considera a
autenticao c1ear-text do OSPF como sendo autenticao do tipo 1 e o MD5 como sendo do tipo 2. A mensagem de
debug em destaque conflrma este tipo de pensamento, mostrando que RI recebeu um pacote de 10.1.1.4 (R4), com
autenticao do tipo 1, mas com RI esperando autenticao do tipo 2.
A seguir, o exemplo mostra as mensagens geradas pelo comando debug ip ospf heUo - especiflcamente, aquelas
relacionadas a temporizador de HeliolDead diferentes. A mensagem em destaque usa um "C", que signiflca "configured
value" (ou valor configurado) - em outras palavras, o valor no roteador local, ou em RI , neste caso. O "R" na
mensagem signiflca "Received value" (ou valor recebido), ou o valor listado no Hello recebido. Neste caso, o termo
"Dead R 20 C 40" signiflca que o roteador que gerou esta mensagem, RI, recebeu um Hello com um temporizador
para Dead configurado em 20, mas o valor configurado em RI na interface de 40, portanto os valores no so
idnticos. De modo similar, a mensagem mostra a diferena nos temporizadores de Helio tambm. Observe que
qualquer problema de diferena na sub-rede IP tambm poderia ser encontrado com este mesmo debug, baseado nas
mscaras de sub-rede recebidas e configuradas.
A maior parte ocupada pelo exemplo mostra a sada do comando show ip ospf interface, tanto de RI como de R2, a qual
lista os temporizadores de Helio e Dead de cada interface, confumando os detalhes mostrados nas mensagens de debug.
requisito de MTU idntico
De todos os problemas em potencial entre dois vizinhos OSPF em potencial listados na Tabela 11-2, apenas um problema,
o problema do MTU que no idntico, permite que o vizinho seja listado na sada do comando show ip ospf neighbor
do outro roteador. Quando dois roteadores se conectam mesma sub-rede, com conflgurao diferente de MTU de IP

na interface, os dois roteadores podem se tornar vizinhos e alcanar o estado two-way. No entanto, quando os dois
roteadores tentarem trocar LSDBs, o processo de troca de base de dados ir falhar por causa da diferena no MTU.
Quando o MTU no idntico, os roteadores se movem tipicamente entre alguns estados de vizinhos enquanto tentam
solucionar o problema. O estado mais comum o estado Exchange, conforme mostrado no Exemplo 11-9. Neste caso,
RI e R3 no tm nenhum outro problema que os impea de se tornarem vizinhos OSPF, exceto que R3 foi configurado
com um MTU de IP de 1200 bytes em sua interface FaO/O, ao invs do default de 1500 usado por RI.
Exemplo 11-9 Resultados de MTUs Diferentes em Vizinhos OSPF

R1# show ip o s p f ne i ghbor
Neighbor 10
Pri
State
Oead Time
Address
Interface
3 . 3.3.3
EXCHANGE/ OR
00 : 00:36
10.1.1.3
Fast EthernetO/O
O estado executa tipicamente um ciclo a partir do estado Exchange, de volta ao estado Init, e depois de volta ao estado
Exchange.

/;~~;~o
\. Chave
....
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave. A Tabela 11-5 lista estes
tpicos-chave e onde cada um deles foi discutido.

Elemento do Tpico-Chave Descrio
Nmero da Pgina
Lista
Duas coisas que acontecem quando EIGRP

ou OSPF esto habilitados na interface de um roteador
297
Tabela 11-1
Lista de trs comandos que so teis para se

determinar em quais interfaces o EIGRP ou o
OSPF foram habilitados
297
Tabela 11-2
Lista dos requisitos para vizinhana em ambos

os protocolos, EIGRP e OSPF
303
Tabela 11-3
Lista dos requisitos para vizinhana no EIGRP

e comandos teis para isolar o respectivo requisito
como sendo a causa raiz de um problema
de vizinhana
304
Tabela 11-4
As mesmas informaes da Tabela 11-3, mas

para OSPF
306


CCNA ICND2 311
Comando
Descrio
ip helIo-interval eigrp as-number timer-value
Subcomando de interface que configure o intervalo de Hello no

EIGRP para este processo do EIGRP
ip hold-time eigrp as-number timer-value
Subcomando de interface que configure o hold time do EIGRP

para a interface
. --------------------------------------------------------------
ip ospf helIo-interval seconds
---------------------------------------------------------------
ip ospf dead-interval number
Subcomando de interface que configura o intervalo para Hellos

peridicos
Subcomando de interface que configura o Temporizador para
Dead do OSPF
---------------------------------------------------------------
-------------------------------------------------------------
Comando
Descrio
show ip protocols
Mostra os parmetros do protocolo de roteamento e os valores

correntes dos temporizadores, incluindo uma cpia efetiva dos
comandos network dos protocolos de roteamento e uma lista
das interfaces passivas
show ip eigrp interfaces
Lista as interfaces nas quais o EIGRP foi habilitado para cada

processo EIGRP, exceto as interfaces passivas
show ip route eigrp
Lista somente as rotas aprendidas com EIGRP da tabela de

roteamento
debug eigrp packets
Apresenta o contedo dos pacotes EIGRP, incluindo muitas

informaes teis a respeito das razes pelas quais as relaes
de vizinhana no se formam
show ip eigrp neighbors
Lista os vizinhos EIGRP e seus estados
show ip ospf interface brief
Lista as interfaces nas quais o protocolo OSPF foi habilitado

(baseado nos comandos network), incluindo as interfaces
passivas
show ip ospf interface [type number]
Lista configuraes detalhadas do OSPF para todas as

interfaces, ou para a interface listada, incluindo temporizadores
de Hello e Dead e a rea do OSPF
show ip route ospf
Lista as rotas na tabela de roteamento aprendidas atravs do

OSPF
show ip ospf neighbor
Lista os vizinhos e o estado corrente com os vizinhos, para

cada interface
debug ip ospf events
Envia mensagens de log para cada ao tomada pelo OSPF,

incluindo a recepo de mensagens
debug ip ospf packet
Envia mensagens de log descrevendo o contedo de todos os

pacotes OSPF
debug ip ospf helIo
Envia mensagens de log descrevendo Hellos e falhas em Hellos

Configurar e resolver problemas relativos operao bsica e roteamento nos dispositivos da Cisco
- Verificar a operao do hardware e do software do roteador usando os comandos SHOW & DEBUG
Implementar e verificar enlaces de WAN
- Configurar e verificar o Frame Relay em roteadores Cisco

- Resolver problemas relativos implementao de WAN
- Descrever a tecnologia VPN (incluindo: importncia, benefcios, papel, impacto, componentes)
- Configurar e verificar conexes PPP entre roteadores Cisco
*Sempre verifique o site http://www.cisco.com para ver os tpicos de exame colocados recentemente.
.,
.'
Parte IV: Redes de longa

distncia (WANs)
. ----------------------------------------------
Captulo 12 WANs ponto-a-ponto
Captulo 13 Conceitos de Frame Relay
Captulo 14 Configurao e resoluo de

problemas de Frame Relay
Captulo 15 Redes privadas virtuais
----------------------------_
--------------------------------- ..
seguintes assuntos:
_______________________________
e
Este captulo cobre os seguintes assuntos:
Conceitos de PPP: Esta seo examina os conceitos de

PPP, incluindo protocolos de controle e PAP/CHAP.
Configurao do PPP: Esta seo mostra como configurar

um simples enlace serial PPP, bem como o modo de se
configurar o CHAP.
Resolvendo Problemas em Enlaces Seriais: Esta seo

examina o processo geral para resoluo de problemas
em enlaces seriais, incluindo razes tpicas pelas quais uma
interface possui um determinado cdigo de estado.
CAPTULO
12
: WANs ponto-a-ponto
Este captulo o primeiro dentre quatro captulos da Parte IV deste livro. Esta parte se concentra em tecnologias WAN. Este
captulo completa a anlise de enlaces ponto-a-ponto, examinado mais detalhes a respeito de como o PPP funciona, juntamente
com uma grande variedade de tpicos relacionados resoluo de problemas referentes a linhas privativas ponto-a-ponto. O
Captulo 13, "Conceitos de Frame Relay" , e o Captulo 14, "Configurao e resoluo de problemas de Frame Relay", exploram
as tecnologias de Frame Relay. O Captulo 15, ''Redes privadas virtuais", mostra os conceitos por detrs das VPNs (Virtual
Private Networks, ou Redes Privadas VIrtuais). Os VPNs permitem que voc crie caminhos seguros para comunicao que
funcionam como enlaces WAN, usando ao mesmo tempo outras redes menos seguras, tais como a Internet.
Questionrio "Eu j conheo isto"?
o questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. Se voc errar no mais que uma
destas sete questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame" . A Tabela 12-1 lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
Tabela 12-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu j conheo isto ?"
Perguntas
Conceitos de PPP
le2
Configurao do PPP
3-5
Resolvendo problemas em enlaces seriais
6e7
1. Qual(is) dos seguintes protocolos de autenticao PPP autentica(m) um dispositivo na outra extremidade de um
enlace sem enviar nenhuma informao de senha em texto claro?
a. MD5
b. PAP
c. CHAP
d. DES
2. Qual(is) dos seguintes protocolos PPP controla(m) a operao do CHAP?
a . CDPCP
b. IPCP
c. LCP
d. IPXCP
Dois roteadores no possuem nenhuma configurao inicial. Eles esto conectados em um laboratrio atravs de um
3. cabo DTE conectado a RI e um cabo DCE conectado a R2, com os cabos DTE e DCE conectados um ao outro. O
engenheiro quer criar um enlace PPP que funcione. Qual(is) dos seguintes comando (so) necessrio(s) em RI
para que o enlace alcance um estado no qual RI possa fazer ping no endereo IP serial de R2, assumindo que o
enlace fsico esteja fisicamente funcionando de ponta a ponta?
316 Captulo 12:Wans ponto-a-ponto

a. encapsulation ppp
b. no encapsulation hdlc
c. clock rate
d. ip address
4. Imagine que dois roteadores, RI e R2, possuam uma linha privativa entre eles. Cada roteador teve sua configurao
apagada e foi depois configurado novamente. RI foi configurado com os seguintes comandos:
hostname R1
interface sOlO
encapsulation ppp
ppp authentication chap
Qual(is) dos seguintes comandos de configurao pode(m) completar a configurao de RI de modo que o
CHAP possa funcionar corretamente? Assuma que R2 tenha sido configurado corretamente e que a senha
seja fred.
a. Nenhuma configurao adicional necessria.
b. ppp chap (comando global)
c. username Rl password fred
d. username R2 password fred
e. ppp chap password fred
5. Considere o seguinte trecho da sada de um comando show:
SerialO/0/1 is up, line protocol is up
Hardware is GT96K Serial
relia bility 255/255,
Encapsulation PPP, LCP Open

Open: CDPCP, IPCP,
l oopback not set
Qual(is) dos seguintes itens (so) verdadeiro(s) a respeito da interface SOIOII deste roteador?
a. A interface est usando HDLC.
b. A interface est usando PPP.
c. A interface no pode passar trfego IPv4 atualmente.
d. O enlace deveria ser capaz de passar frames PPP no presente momento.
6. Considere o seguinte trecho da sada do comando show interfaces em uma interface configurada para usar PPP:
SerialO/0/1 is up, line protocol is down
Hardwa re is GT96K Seri al
Interne t address i s 192.168.2.1/24
Um ping no endereo IP da outra extremidade do enlace falha. Qual(is) dos seguintes itens ()so razo(es) para a
falha, assumindo que o problema apresentado na resposta seja o nico problema com o enlace?
a. O CSUIDSU conectado ao outro roteador no est ligado.
b. O endereo IP do roteador na outra extremidade do enlace no est na sub-rede 192.168.2.0/24.
c. A autenticao CHAP falhou .
d. O roteador na outra extremidade do enlace foi configurado para usar HDLC.
e. Nenhuma das outras respostas est correta.
~l
CCNA ICND2
317
I
Dois roteadores possuem um enlace serial entre eles, com o enlace configurado para usar PPP, e com EIGRP
7. configurado corretamente em todas as interfaces. O engenheiro pode fazer ping no endereo IP da outra extremidade
do enlace, mas no no endereo IP da interface da LAN do outro roteador. Qual(is) das seguintes respostas (so)
uma causa provvel do problema?
a. O CSUIDSU conectado ao outro roteador no est ligado.
b. O endereo IP serial no roteador da outra extremidade do enlace no est na mesma sub-rede que o roteador local.
c. A autenticao CHAP falhou.
d. O roteador na outra extremidade do enlace foi configurado para usar HDLC.
Tpicos fundamentais
O PPP (Point-to-Point Protocol) define um protocolo para enlace de dados com muitos recursos alm de simplesmente
ajudar dois dispositivos a enviarem dados atravs do enlace. Este captulo comea explicando os diversos recursos do
PPP disponveis nos roteadores, seguido da configurao do PPP, incluindo a configurao da autenticao no PPP. Este
captulo termina com uma seo sobre resoluo de problemas em enlaces seriais, cobrindo uma grande variedade de
tpicos incluindo PPP.
Opes para WAN tais como linhas privativas, packet switching e CSUsIDSUs, bem como
conhecimentos bsicos de HDLC e PPP, so todos considerados conhecimentos que so prrequisitos para o exame ICND2 e para este livro. Para isso, voc poder adquirir o livro
CCENT/CCNA fCNDI Guia Oficial de Certificao do Exame, Captulo 17.
: Conceitos de PPP
o PPP fornece
vrias funes bsicas, porm importantes, que so teis em uma linha privativa que conecta dois
dispositivos, conforme revisados na seguinte lista:
..........
Definio de um cabealho e um trailer que permite a entrega de um frame de dados atravs do enlace
( TpiCO
'. Chave
....
Suporte a enlaces sncronos e assncronos
As prximas pginas analisam mais de perto o campo protocolo, a autenticao e os protocolos de controle.
Campo Protocolo do PPP
Um campo tipo de protocolo no cabealho, permitindo que vrios protocolos de Camada 3 passem atravs do
mesmo enlace
Ferramentas de autenticao embutidas: PAP (Password Authentication Protocol) e CHAP (Challenge
Handshake Authentication Protocol)
Protocolos de controle para cada protocolo de camada mais alta que executa sobre o PPP, permitindo uma integrao
mais fcil e suporte a estes protocolos.
Um dos recursos mais importantes includos no padro PPP, mas no no padro HDLC, o campo Protocolo. O campo
Protocolo identifica o tipo do pacote dentro do frame. Quando o PPP foi criado, este campo permitia que os pacotes dos
diversos protocolos de Camada 3 passassem atravs de um nico enlace. Atualmente, o campo de tipo do protocolo ainda
disponibiliza a mesma funo, at mesmo para o suporte de duas diferentes verses de IP (IPv4 e IPv6). A Figura 12-1
compara os detalhes de empacotamento no HDLC e no PPP, mostrando o campo Protocolo proprietrio no HDLC e o
campo Protocolo padronizado no PPP.

Figura 12-1 Empacotamento no PPP e no HDLC
2
Varivel
Varivel
HOLC
ppp
/;~~;~o
O PPP define um conjunto de mensagens de controle de Camada 2 que executam diversas funes de controle do
enlace. Estas funes de controle se enquadram em duas categorias principais:
- As que so necessrias independentemente do protocolo da Camada 3 enviado atravs do enlace

- As que so especficas para cada protocolo de Camada 3
O LCP (Link Control Protocol) do PPP implementa as funes de controle que funcionam da mesma forma, no
importa o protocolo usado na Camada 3. Para as facilidades relacionadas a qualquer protocolo de camada superior,
tipicamente protocolos de Camada 3, o PPP usa uma srie de CPs (control protocols, ou protocolos de controle) do
PPP, como por exemplo, o IPCP (lP Control Protocol, ou Protocolo de Controle IP). O PPP usa urna instncia do LCP
por enlace, e um CP para cada protocolo de Camada 3 definido no enlace. Por exemplo, em um enlace PPP usando IPv4,
IPv6 e CDP (Cisco Discovery Protocol), o enlace usa uma instncia de LCP, mais IPCP (para IPv4), IPv6CP (para
IPv6) e CDPCP (para CDP).
A prxima seo resume as funes do LCP em primeiro lugar, e depois explica urna destas funes, a autenticao, em
maiores detalhes.
o LCP (Link Control Protocol) do PPP
O LCP fornece quatro recursos notveis, que sero cobertos neste captulo. A Tabela 12-2 resume as funes, d os
nomes dos recursos do LCP e descreve os recursos de modo resumido. Aps a tabela, o texto explica cada um dos
recursos em maiores detalhes. Note que os recursos listados na tabela so opcionais e ficam desabilitados por default.
Tabela 12-2 Recursos do LCP do PPP
\~haY1l
Funo
Recurso do LCP
Descrio
Deteco de loop em enlace
Magic number (nmero mgico)
Detecta se h um loop no enlace e

desabilita a interface, permitindo o
redirecionamento para uma rota que

esteja em funcionamento.
------------------------------------------------------------Deteco de erro
LQM (Link Quality Monitoring,

ou Monitoramento da Qualidade
do Enlace)
Suporte a mltiplos enlaces
Multilink PPP
Autenticao
PAP e CHAP
Troca nomes e senhas de modo que

cada dispositivo possa verificar a
identidade do dispositivo na outra
extremidade do enlace.
CCNA ICND2
319
Deteco de loop em enlace
Deteco de erro e deteco de loop em enlace so dois recursos-chave do PPP. A deteco de enlaces em loop permite
convergncias mais rpidas quando um enlace falha pelo fato de estar em loop. Mas o que significa "estar em loop"?
Bem, para testar um circuito, a companhia telefnica pode colocar o circuito em loop. O tcnico da companhia telefnica
pode se sentar sua mesa e, atravs de comandos, fazer com que o switch da companhia telefnica faa um loop no
circuito. Isso significa que a companhia telefnica pega o sinal eltrico enviado pelo dispositivo CPE e envia a mesma
corrente eltrica de volta ao mesmo dispositivo.
claro que os roteadores no conseguem enviar bits uns aos outros enquanto o enlace estiver em loop. No entanto, o
roteador pode no perceber que o enlace est em loop porque o roteador continua recebendo algo atravs do enlace! O
PPP ajuda o roteador a reconhecer um enlace em loop rapidamente, de modo que o mesmo possa desabilitar a interface
e possivelmente usar uma rota alternativa.
Em alguns casos, a convergncia do protocolo de roteamento pode ser agilizada pelo reconhecimento de loop do LCP. Se
o roteador puder perceber imediatamente que o enlace est em loop, ele poder colocar a interface em um estado "down
and down", e os protocolos de roteamento podero alterar suas atualizaes de roteamento baseados no fato de que o
enlace foi desativado. Se um roteador no perceber que um enlace est em loop, o protocolo de roteamento dever
esperar por timeouts - algo como no escutar nada vindo do roteador na outra extremidade do enlace por um determinado
perodo de tempo.
O LCP percebe enlaces em loop rapidamente atravs de uma facilidade chamada magic numbers (nmeros mgicos).
Quando o PPP est sendo usado, o roteador envia mensagens LCP do PPP ao invs dos keepalives proprietrios da
Cisco atravs do enlace; estas mensagens incluem um nmero mgico, que diferente para cada roteador. Se uma linha
estiver em loop, o roteador receber uma mensagem LCP com seu prprio nmero mgico, ao invs de obter uma
mensagem com o nmero mgico do outro roteador. Quando um roteador recebe seu prprio nmero mgico, este
roteador sabe que o frame que ele enviou foi enviado de volta; portanto o roteador pode desabilitar a interface, o que
agiliza a convergncia.
Deteco aprimorada de erro
De modo similar a muitos outros protocolos de enlace de dados, o PPP usa um campo FCS no trailer do PPP para
determinar se um determinado frame possui um erro. Se um frame for recebido com erro, ele ser descartado. Porm, o
PPP pode monitorar a freqncia com que frames com erro so recebidos, de modo que possa desabilitar uma interface
caso muitos erros ocorram.
O LCP do PPP analisa a taxa de erros em um enlace usando uma facilidade do PPP chamada LQM (Link Quality
Monitoring, ou Monitoramento da Qualidade do Enlace). O LCP em cada extremidade do enlace envia mensagens
descrevendo o nmero de pacotes e bytes recebidos corretamente. O roteador que enviou os pacotes compara este
nmero de frames com erro com o nmero de frames e bytes que ele enviou, e calcula a porcentagem de perdas. O
roteador pode desabilitar o enlace depois que uma taxa de erro configurada for excedida.
A nica ocasio em que o LQM ajuda quando voc possuir rotas redundantes na rede. Ao desabilitar um enlace que
apresenta muitos erros, voc poder fazer com que os pacotes usem um caminho alternativo que pode no ter tantos
erros.
Multilink PPP
Quando existem mltiplos enlaces PPP entre os mesmos dois roteadores - chamados de enlaces paralelos - os roteadores
devem ento determinar como usar estes enlaces. Com enlaces HDLC, e com enlaces PPP usando a mais simples das
configuraes, os roteadores devem usar o balanceamento de carga da Camada 3. Isto significa que os roteadores
possuem mltiplas rotas para as mesmas sub-redes destinos. Por exemplo, a parte superior da Figura 12-2 mostra o efeito
do balanceamento de carga em RI quando est encaminhando pacotes para a sub-rede 192.168.3.0/24.

Figura 12-2 Balanceamento de Carga Sem o Multilink do PPP
....:I
Dest. = 192.168.3.11
1_
-----Ir-
....=::::jl-_ _ _
~
192.168.2.1
SOlOl1
192.168.2.2
L2.:19~2.~168~~1.1~~~'iI~~~===~=:S:0/:1/=0=~JJ192.168.3.2
FaOIO \ .
R~ S0l1/0
192.168.4.1
S0/1 /1
FaO/1
Sub-rede
192.168.3.0/24
192.168.4.2
Tabela de Roteamento de R1
Sub-rede
192.168.3.0/24
Int. de Sada
SO/0/1
SO/1/0
Dest. = 192.168.3.12
A figura mostra dois pacotes, um grande e outro pequeno. Usando a lgica da Camada 3, o roteador pode escolher enviar
um pacote atravs de um enlace, e o prximo pacote atravs de outro. No entanto, pelo fato de os pacotes poderem ter
tamanhos diferentes, o roteador poder no distribuir o trfego igualmente em cada enlace. Em alguns casos, de modo
particular quando a maior parte dos pacotes enviada para alguns poucos hosts destinos, o nmero de pacotes enviados
atravs de cada enlace pode nem mesmo estar balanceado, o que poder sobrecarregar um dos enlaces e deixar o outro
enlace com folga.
o Multilink PPP distribui a carga de trfego igualmente atravs dos enlaces, ao mesmo tempo em que permite que a
lgica da Camada 3 em cada roteador trate os enlaces paralelos como sendo um nico enlace. Quando est encapsulando
um pacote, o PPP fragmenta o pacote em frames menores, enviando um fragmento atravs de cada enlace. Por exemplo,
para a rede mostrada na Figura 12-2, com dois enlaces, RI criaria dois frames para cada pacote de Camada 3, com cada
frame possuindo, grosso modo, metade do pacote original. Ento, o PPP envia um fragmento de cada pacote original
atravs de cada um dos dois enlaces. Pelo fato de enviar metade de cada pacote atravs de cada enlace, o multilink do
PPP pode distribuir a carga de trfego de modo mais equilibrado. Como um benefcio adicional, o multilink do PPP
permite que as tabelas de roteamento de Camada 3 utilizem uma nica rota que se refere aos enlaces combinados,
fazendo com que a tabela de roteamento seja menor. Por exemplo, na Figura 12-2, RI usaria uma rota para a sub-rede
192.168.3.0/24, referindo-se ao grupo de interfaces atravs de um conceito chamado multilink group.
Autenticao no PPP
O termo autenticao refere-se a um conjunto de funes relativas segurana que ajuda um dispositivo a confirmar se
o outro dispositivo deveria poder se comunicar, e que o mesmo no nenhum impostor. Por exemplo, se espera-se que RI
e R2 possam se comunicar atravs de um enlace serial, RI pode querer que R2 prove de alguma forma que ele
realmente R2. A autenticao fornece um modo de provar a identidade de um dispositivo.
A autenticao em WAN geralmente necessria principalmente quando so usadas linhas discadas. No entanto, a
configurao das facilidades para autenticao a mesma, no importa se uma linha privativa ou uma linha discada
estiver sendo usada.
PAP e CHAP autenticam os pontos fmais em ambas as extremidades de um enlace serial ponto-a-ponto. CHAP o
mtodo preferido hoje em dia porque o processo de identificao usa valores escondidos em um hash unidirecional em
uma Message Digest 5 (MD5), que mais seguro que as senhas em texto claro enviadas pelo PAP.
Tanto o PAP quanto o CHAP exigem a troca de mensagens entre os dispositivos. Quando uma linha discada usada, o
roteador para o qual foi feita a discagem espera receber um nome de usurio e uma senha do roteador que discou, com
ambos, PAP e CHAP. Em uma linha privativa, ambos os roteadores tipicamente autenticam-se mutuamente. No PAP,
tanto para linha privativa quanto para linha discada, o nome de usurio e a senha so enviados na primeira mensagem. No
CHAP, o protocolo comea com uma mensagem chamada de challenge (desafio), que pede ao outro roteador para que
envie seu nome de usurio e a senha. A Figura 12-3 resume os diferentes processos no caso em que os enlaces so
discados. O processo funciona da mesma forma quando o enlace usa uma linha privativa.
321
Figura 12-3 Processo de Autenticao PAP e CHAP
CCNA ICND2
PAP
Esperando
pela Discagem
Fred
Roteador
Eu sou Barney
Senha = Betty
Ack.
CHAP
Esperando
pela Discagem
Roteador
Challenge !
Eu sou #$%#$@
Fred
O fluxo no PAP muito menos seguro que no CHAP porque o PAP envia o nome do host e a senha em texto claro na
mensagem. Estes podem ser lidos facilmente se algum colocar uma ferramenta de tracing no circuito. Por outro lado, o
CHAP usa um algoritmo de hash unidirecional, cuja entrada para o algoritmo uma senha que nunca passa pelo enlace,
mais um nmero aleatrio compartilhado. O challenge do PAP define o nmero aleatrio; ambos os roteadores so prconfigurados com a senha. O roteador desafiado executa o algoritmo de hash usando o nmero aleatrio recm aprendido
e a senha secreta, e envia os resultados de volta para o roteador que enviou o desafio. O roteador que enviou o desafio
executa o mesmo algoritmo usando o nmero aleatrio (enviado atravs do enlace) e a senha (no enviada atravs do
enlace). Se o resultado for idntico, as senhas devem ser idnticas.
A parte mais interessante do processo do CHAP que em nenhum momento a senha propriamente dita passa pelo
enlace. Com o nmero aleatrio, o valor de hash ser diferente a cada vez. Portanto, mesmo que algum veja o valor de
hash que foi calculado usando uma ferramenta de trace, o valor no ser significativo como uma forma de fazer uma
invaso em uma prxima ocasio. A autenticao do CHAP difcil de quebrar, mesmo com uma ferramenta de tracing
no enlace da WAN.
Configurao do PPP
Esta seo examina como configurar o PPP e como adicionar a configurao do CHAP a seguir. Ao mesmo tempo, esta
seo tambm examina alguns comandos que ajudam a verificar se o PPP est ativo e funcionando.
Operao bsica do PPP
Para configurar o PPP necessrio somente o comando encapsulation ppp nas duas extremidades do enlace. Para
voltar a usar o default que HDLC, o engenheiro' precisa simplesmente usar o comando encapsulation hdlc em ambas
as extremidades do enlace tambm. No entanto, alm desta configurao bsica, o enlace serial fsico precisa ser
solicitado e instalado. Esta seo assume que o enlace fsico foi instalado e est funcionando. Se voc quiser saber mais
detalhes a respeito do enlace fsico, v ao Captulo 17 de CCENT/CCNA ICNDJ Guia Oficial de Certificao do
Exame.
O Exemplo 12-1 mostra uma configurao simples usando os dois roteadores mostrados na Figura 12-4. O exemplo inclui
a configurao do endereo IP, mas os endereos IP no precisam estar configurados para que o PPP funcione. Pelo fato
da maior parte das instalaes usarem o IP, a configurao foi adicionada para apresentar alguma perspectiva para os
comandos show na segunda parte do exemplo.

Figura 12-4 Interconexo de Rede com Dois Roteadores Usado nos Exemplos de PPP
192.168.1.1
192.168.2.1
SOIO/1
192.168.2.2
~~~~~::::":"'_--:;;~_ _~SO~I1~/1_.[~--~'
FaOIO ~
192.168.3.2
FaO/1
Exemplo 12-1 Configurao Bsica do PPP

! The example sta rts with router RI
interface Serial O/O/1

ip address 192 . 168.2.1 255.255.255.0
1-
encapsulation ppp
clockrate 1536000
! Next,
the configuration on rou ter R2
interface SerialO/l/l
ip address 192.168.2.2 255.255.255.0
1encapsulation ppp
! Back to router RI again
Rl# show interfaces serial 0/0/1

SerialO / O/l is u p, l i n e protocol is up
Hardware is GT96 K Serial
Internet add res s is 192 . 168 . 2 . 1/24
re1iabi1ity 255/255,
txload 1/255, rxload 1 / 255
Encapsulatio n PPP, LCP Open

Open : CDPCP, I PCP,
loopback n o t set
! lines omit t ed for b revity
Este exemplo mostra uma configurao simples, com ambos os roteadores precisando usar o encapsulamento PPP. Se
um dos roteadores usasse o default de HDLC e o outro configurasse o PPP conforme mostrado, o enlace no seria
habilitado, permanecendo em um estado de interface "up and down".
O comando show interfaces na parte inferior do exemplo mostra a sada normal quando o enlace est ativo e funcionando.
O segundo cdigo de estado da interface se refere tipicamente ao estado do enlace de dados, com o valor "up" significando
que o enlace de dados est funcionando. Alm disso, em algumas linhas na sada, as frases em destaque mostram que o
PPP est realmente configurado, e que o LCP completou o seu trabalho com sucesso, conforme indicado atravs do
termo "LCP Open". Alm disso, a sada apresenta o fato de que dois CPs, o CDPCP e o IPCP tambm foram habilitados
com sucesso - tudo isso so boas indicaes de que o PPP est funcionando corretamente.
Configurao e verificao do CHAP

A verso mais simples da configurao do CHAP exige apenas alguns poucos comandos. A configurao usa uma senha
configurada em cada roteador. Como uma alternativa, a senha poderia ser configurada em um servidor externo AAA
(Authentication, Authorization, and Accounting), fora do roteador. Os passos para a configurao so os seguintes:
/~:;;;~ Passo 1 Configure os nomes de hosts dos roteadores usando o comando global de configurao hostname name.
\ C""".
\.
Passo 2 Configure o nome do outro roteador e a senha secreta a ser compartilhada usando o comando global de
configurao username name password password.
Passo 3 Habilite o CHAP na interface de cada roteador usando o subcomando de interface ppp authentication
chap.
O Exemplo 12-2 apresenta uma amostra de configurao usando os mesmos dois roteadores do exemplo anterior (veja
Figura 12-4).
CCNA ICND2
323
Exemplo 12-2 Exemplo de Configurao de CHAP

hostname Rl
hostname R2
username R2 password =wPass
username Rl password =wPass
interface serial 0/0/1
interface serial 0/1/1
encapsulation ppp
encapsulation ppp
Os comandos propriamente ditos no so complicados, mas fcil cometer erros na configurao dos nomes de hosts e
das senhas. Observe que cada um dos roteadores se refere ao nome de host do outro roteador no comando username,
mas ambos os roteadores devem configurar o mesmo valor para a senha. Alm disso, no somente as senhas diferenciam
letras maisculas de minsculas (neste caso, mypass), como tambm os nomes dos hosts, conforme referenciados
atravs do comando username, tambm diferenciam maisculas de minsculas.
Pelo fato do CHAP ser uma funo do LCP, se o processo de autenticao falhar, o LCP no se completa, e a interface
vai para o estado de interface "up and down".
Configurao do PAP
O PAP usa exatamente os mesmos comandos de configurao do CHAP, exceto que o comando ppp encapsulation
pap usado ao invs de ppp encapsulation chap. Os demais comandos para verificao funcionam da mesma forma,
no importando qual dos dois tipos de autenticao est sendo usado. Por exemplo, se a autenticao PAP falhar, o LCP
falha, e o enlace vai para o estado "up and down".
O Software lOS da Cisco tambm suporta a capacidade de configurar o roteador para primeiro tentar um dos mtodos
de autenticao e, se o outro lado no responder, tentar a outra opo. Por exemplo, o subcomando de interface ppp
authentication chap pap diz ao roteador para enviar mensagens CHAP e, se nenhuma resposta for recebida, tentar o
PAP. Observe que a segunda opo no ser tentada se as mensagens CHAP flurem entre os dois dispositivos e o
resultado for uma falha na autenticao. A segunda opo ser usada somente se o outro dispositivo no enviar nenhuma
mensagem de volta.
A prxima seo discutir uma grande variedade de tpicos relativos resoluo de problemas em WAN, incluindo
alguns detalhes a mais sobre resoluo de problemas relativos ao CHAP.
: Resolvendo problemas em enlaces seriais
Esta seo discute a forma de se isolar e encontrar a causa raiz de problemas relacionados aos tpicos cobertos
anteriormente neste captulo, bem como a alguns tpicos relativos WAN ponto-a-ponto cobertos em CCENT/CCNA
ICNDI Guia Oficial de Certificao do Exame. Alm disso, esta seo no tentar repetir a cobertura de resoluo de
problemas de IP das Partes nem deste livro, mas apontar alguns dos possveis sintomas em um enlace serial quando
um erro de sub-rede na Camada 3 ocorrer, em extremidades opostas de um enlace serial, o que impedir que os roteadores
encaminhem pacotes atravs do enlace serial.
Um simples comando ping pode determinar se um enlace serial pode ou no encaminhar pacotes IP. Um ping no
endereo IP serial do outro roteador - por exemplo, um comando ping 192.168.2.2 que esteja funcionando em RI na
Figura 12-4 - prova se o enlace funciona ou no.
Se o ping no funcionar, o problema poderia estar relacionado a funes nas Camadas OSI 1,2 ou 3. O melhor meio de
se isolar qual a camada mais provvel de ser a causa examinar os cdigos de estado da interface, descritos na Tabela
12-3. (Somente para lembrar, as interfaces dos roteadores possuem dois cdigos de estado - estado da linha e estado do
protocolo.)
Tabela 12-3 Cdigos de Estado da Interface e Significados Tpicos Quando Um Ping No Funciona
Estado da Linha (Line status)
Estado do Protocolo
(Protocol Status)
Razo Provvel/Camada
Down por questes administrativas
Down
Interface foi desabilitada
/;~;~o
...
,," Cha..

Down
Down
Camada 1
Up
Down
Camada 2
Up
Up
Camada3
o processo de verificao e resoluo de problemas no enlace serial deve comear com um processo simples de trs
passos:
Passo 1 A partir de um dos roteadores, efetue um ping no endereo IP serial do outro roteador.
Passo 2 Se o ping falhar, examine o estado da interface nos dois roteadores e investigue os problemas relacionados s
reas provveis de apresentarem problemas, e que esto listadas na Tabela 12-4 (ser apresentada mais adiante
neste captulo).
Passo 3 Se o ping funcionar, verifique tambm se todos os protocolos de roteamento esto trocando rotas atravs do
enlace.
Observao Os cdigos de estado da interface podem ser encontrados usando-se os comandos
show interfaces, show ip interface brief e show interfaces description.
o resto deste captulo ir explorar os itens especficos que devem ser examinados quando um ping falhar, baseado nas
combinaes de cdigos de estado da interface apresentados na Tabela 12-3.
Resolvendo problemas de camada 1
Os cdigos de estado da interface, ou estado da interface, possuem um papel importante para isolar as causas-raiz dos
problemas em enlaces seriais. De fato, o estado em ambas as extremidades do enlace podem ser diferentes, por isso
importante examinar o estado em ambas as extremidades do enlace para ajudar a determinar o problema.
Um problema de Camada 1, que simples e fcil de ser encontrado, ocorre quando um dos dois roteadores tiver sua
interface serial desabilitada pelo administrador, atravs do subcomando de interface ShUtdOWD. Se a interface serial de
um roteador estiver no estado desabilitado por administrador, a soluo simples - basta configurar o comando de
configurao de interface no shutdoWD na interface. Alm disso, se a interface de um dos roteadores tiver o estado da
linha como down, o outro roteador poder estar desabilitado, portanto verifique ambas as extremidades do enlace.
A combinao de estado de linha down em ambas as extremidades do enlace serial tipicamente indica um problema de
Camada 1. A seguinte lista descreve as razes mais provveis:
......... - A linha privativa est desabilitada (um problema da companhia telefnica).
/ T6plco
\~h.V.
_A linha da companhia telefnica no est conectada em um dos, ou ambos os CSUIDSUs.

- Um CSUIDSU falhou ou foi configurado de modo incorreto.
- Um cabo serial de um roteador para seu CSUIDSU est desconectado ou em falha.
Os detalhes a respeito de como isolar posteriormente estes quatro problemas esto alm do escopo deste livro.
De modo interessante, pode ocorrer um outro problema comum da camada fsica, e que faz com que as interfaces dos
dois roteadores fiquem no estado up/down. Em um enlace serial de ponta a ponta, se o comando clock rate necessrio
estiver faltando no roteador com um cabo DCE instalado, as interfaces seriais dos dois roteadores iro falhar e ficaro
com o estado de linha como up, mas o estado de protocolo da linha como down. O Exemplo 12-3 mostra um exemplo
destes, indicando algumas maneiras de se verificar se a falta de um comando clock rate o problema. As duas melhores
formas para se encontrar este problema so verificar a ausncia do comando clock rate no roteador com o cabo DCE,
e observar o termo "no c1ock" na sada do comando show controUers serial. (Este exemplo mostra R1 da Figura 124, com o comando clock rate removido.)
CCNA ICND2
325
Exemplo 12-3 Problema: Sem o Comando clock rate no Lado DCE

R1# show controller sO/O/l
Interface SerialOl0/1
Hardware is PowerQUICC MPC860
,,_
DCE V. 35 , no clock
!
R1# show running-config interface SOIOll

Building configuration ...
Cu rrent configuration : 42 bytes
interface SerialOl0/1
ip address 192.168 . 2 . 1 255 . 255.255 . 0
end
Observao Algumas verses recentes de lOS na verdade impedem o usurio de remover

o comando c10ck rate da interface, se um cabo DCE ou se nenhum cabo estiver instalado, em
um esforo para impedir a omisso no intencional do comando c10ck rate. Alm disso, o lOS
s vezes apresenta o comando c10ck rate como sendo c1ockrate; ambos so aceitveis.

Quando o estado da linha serial em ambos os roteadores for up, mas pelo menos um dos estados de protocolo da linha
destes roteadores (o segundo cdigo de estado da interface) for down ou ficar alternando continuamente entre up e
down, a interface provavelmente possui um de dois tipos de problemas na camada de enlace de dados. Esta seo explica
ambos os problemas, que esto resumidos na Tabela 12-4.
Tabela 12-4 Razes Provveis Para Problemas no Enlace de Dados em Enlaces Seriais
/;~~;~
;.Ch_
....
Estado da Linha
Estado do Protocolo
Razo Provvel
Up
Down (estvel) em ambas as extremidades

ou Down (estvel) em uma das extremidades,
alternando entre up e down na outra
Comandos encapsulation diferentes
Up
Down em uma das extremidades, up na outra
Keepalive est desabilitado na

extremidade que est no estado up
Up
Down (estvel) em ambas as extremidades
Falha na autenticao PAP/CHAP
Observao Da mesma forma que nos demais tpicos sobre resoluo de problemas deste
livro, a Tabela 12-4 lista alguns dos tipos mais comum de falhas, mas no todos.
o primeiro destes dois problemas - uma diferena nos protocolos configurados no enlace de dados - fcil de se
identificar e de se corrigir. O comando show interfaces apresenta o tipo de encapsulamento na stima linha da sada,
portanto usar este comando em ambos os roteadores pode identificar rapidamente o problema. De modo alternativo, uma
olhada rpida na configurao, mais lembrar-se de que o HDLC o encapsulamento serial default pode confirmar se os
encapsulamentos esto diferentes. A soluo simples - reconfigure um dos dois roteadores de modo a casar com o
comando encapsulation do outro roteador.
As outras duas causas raiz exigem um pouco mais de discusso para entender a questo, e para se determinar se elas so
realmente a causa raiz. As prximas duas sees apresentam cada uma delas em maiores detalhes.
Falha no keepalive
o segundo item est relacionado a uma facilidade chamada keepalive. A facilidade de keepalive ajuda um roteador a
reconhecer quando um enlace no est mais funcionando, assim o roteador pode desabilitar a interface, esperando ento
usar uma rota IP alternativa.
A funo keepalive (por default) faz com que os roteadores enviem mensagens de keepalive um ao outro a cada 10
segundos (a configurao default). (A Cisco define uma mensagem HDLC keepalive proprietria, enquanto que o PPP
defrne uma mensagem de keepalive como parte do LCP.) Este temporizador de 10 segundos o intervalo do keepalive.
Se um roteador no receber nenhuma mensagem de keepalive do outro roteador por um determinado nmero de intervalos
de keepalive (trs ou cinco intervalos, por default, dependendo da verso do lOS), o roteador desabilitar a interface,
assumindo que a interface no est mais funcionando.
Em redes reais, til simplesmente deixar o keepalive habilitado. No entanto, voc poder cometer um erro e desligar os
keepalives em uma das extremidades de um enlace serial, deixando-os habilitados na outra extremidade, e fazendo com
que o enlace falhe. Por exemplo, se RI fosse configurado com o subcomando de interface no keepalive, desabilitando
os keepalives, RI no enviaria mais as mensagens de keepalive. Se R2 continuasse com o padro de usar keepalives, R2
continuaria a enviar mensagens de keepalive, e R2 iria esperar receber mensagens de keepalive de RI. Depois que
vrios intervalos de keepalive tivessem se passado, R2, no tendo recebido nenhuma mensagem de keepalive de RI, iria
alterar o estado da interface para "up and down". Ento, R2 iria trazer o enlace de volta para up continuamente, continuar
a no receber nenhum keepalive de RI , e ento voltar novamente para o estado "up and down", alternando entre up e
down repetidamente. RI, no se importando com keepalives, deixaria a interface em um estado "up and up" o tempo
todo. O Exemplo 12-4 mostra exatamente este exemplo, novamente com os roteadores da Figura 12-4.
Exemplo 12-4 Problemas na Linha Por Causa de Keepalive Somente em R2
! R1 disables keepalives,
and rernains in an up/up state.
Rl# configure terminal

Enter configuration commands, one per line . End with CNTL/Z.
R1 (config) # interface s 0/0/1
R1 (config-if) #no keepalive
R1(config-if)# AZ
R1# show interfaces sO/ O/l
Seri a l O/ 0 / 1 is up,
line proto col is up
Hardware is PowerQUICC Serial

Internet address is 192.168.2.1/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
Encapsulation HDLC,
loopback not set
Ke e pa live not set

! Below,
R2 still has keepalives enabled (default)
R2# show interfaces SO/l/l

SerialO / 1 / 1 is up,
line protocol is down
1-
Hardware is PowerQUICC Serial

Internet address is 192.168.2 . 2/24
Encapsulation HDLC,
1-
loopback not set
Keepal i ve set (1 0 sec)
1-
! lines omitted for b r evity
Observao Habilitar keepalives em apenas uma das extremidades de um enlace serial

ponto-a-ponto constitui um erro de configurao. Parece que algumas verses bem recentes
de lOS percebem quando os keepalives so desabilitados erroneamente em uma das
,
e
,-
I.
CCNA ICND2
327
extremidades de um enlace e evitam que o problema descrito aqui acontea. Para os exames
CCNA, basta ficar ciente de que os keepalives devem ser habilitados em ambas as
extremidades do enlace, ou desabilitados em ambas.
Falha na autenticao com PAP e CHAP

Conforme mencionado anteriormente, uma falha no processo de autenticao PAP/CHAP resulta em ambos os roteadores
ficarem no estado "up and down" . Para descobrir se uma falha no PAP/CHAP realmente a causa raiz, voc pode usar
o comando debug ppp authentication. Para efeitos de perspectiva, o Exemplo 12-5 mostra a sada deste comando
quando o CHAP configurado da mesma forma como mostrado anteriormente no Exemplo 12-2, com o CHAP funcionando
..........
corretamente neste caso.
( Tpico
\ Chave
...
Exemplo 12-5 Mensagens de Debug Confirmando a Operao Correta do CHAP
R1#debug ppp authentication
PPP authentication debugging is on
Rl#
*May 21 18:26:55.731: SeO/O/l PPP: Using default call direction

*May 21 18:26:55.731: SeO/O/l PPP: Treating connection as a dedicated line
*May 21 18:26:55.731: SeO/O/l PPP: Authorization required
*May 21 18:26:55.731: SeO /O/l CHAP: O CHALLENGE id 16 len 23 from "RI"
*May 21 18:26:55 . 731: SeO/O/l CHAP : I CHALLENGE id 49 len 23 from "R2"
*May 21 18:26:55.735: SeO/O/l CHAP: Using hostname from unknown source
*May 21 18:26:55 . 735: SeO/O/l CHAP: Using password from AAA
*May 21 18:26:55.735: SeO/O/l CHAP: O RESPONSE id 49 len 23 from "RI"
*May 21 18:26:55.735: SeO/O/l CHAP: I RESPONSE id 16 len 23 from "R2"
*May 21 18:26:55 . 735: SeO/O/l PPP: Sent CHAP LOGIN Request
*May 21 18:26:55.735: SeO/O/l PPP: Received LOGIN Response PASS
*May 21 18:26:55.735: SeO/O/l PPP: Sent LCP AUTHOR Request
*May 21 18:26 : 55.735: SeO/O/l PPP: Sent IPCP AUTHOR Request
*May 21 18:26:55.735: SeO/O/l LCP: Received AAA AUTHOR Response PASS
*May 21 18 : 26:55.739: SeO/O/l IPCP: Received AAA AUTHOR Response PASS
*May 21 18:26:55.739: SeO/O/l CHAP: O SUCCESS id 16 len 4
*May 21 18:26:55.739: SeO/O/l CHAP: I SUCCESS id 49 len 4
o CHAP utiliza a troca de trs mensagens, como mostrado antes na Figura 12-3, com um conjunto de mensagens fluindo
para autenticao em cada uma das direes, por default. As trs linhas em destaque mostram o processo de autenticao
pelo qual RI autentica R2; comea com RI enviando uma mensagem de desafio. A primeira mensagem em destaque no
Exemplo 12-5 apresenta um "O", que significa "output". Isto indica que a mensagem uma mensagem de desafio, e que
ela foi enviada por RI. A prxima mensagem em destaque a mensagem de resposta recebida (indicada com um "I" de
input), de R2. A ltima linha em destaque a terceira mensagem, enviada por RI , informando que a autenticao ocorreu
com sucesso. Voc tambm poder ver as mesmas trs mensagens na sada, para autenticao de R2 por RI , mas estas
mensagens no esto em destaque no exemplo.
Quando a autenticao CHAP falha, a sada do debug mostra algumas mensagens razoavelmente bvias. O Exemplo
12-6 mostra o resultado usando a mesma interconexo de rede com os dois roteadores, mostrada na Figura 12-4, desta
vez com senhas configuradas incorretamente, de modo que o CHAP ir falhar.
Exemplo 12-6 Mensagens de Debug Confirmando a Falha no CHAP

Rl#debug ppp authentication
PPP authentication debugging is on
*May 21 18:24:03.171: SeO/0/1 PPP: Sent CHAP LOGIN Request

*May 21 18:24:03.171 : SeO/O/l PPP: Received LOGIN Response FAIL
*May 21 18:24:03.171: SeO/O/l CHAP: O FAILURE id 15 len 25 msg is "Authentication failed"

Este captulo sugere que o melhor lugar para comear a resolver problemas em enlaces seriais fazer ping no endereo
IP do roteador que estiver na outra extremidade do enlace - especificamente, no endereo IP do enlace serial. De modo
interessante, o enlace serial pode estar em um estado "up and up", mas o ping ainda assim pode falhar por causa de erros
na configurao da Camada 3. Em alguns casos, o ping pode funcionar, mas os protocolos de roteamento podero no ser
capazes de trocar rotas. Esta pequena seo examina os sintomas, que sero um pouco diferentes, dependendo se o
HDLC ou o PPP estiver sendo usado, e da causa raiz.
Em primeiro lugar, considere um enlace HDLC no qual os detalhes fsicos e do enlace de dados estejam funcionado
corretamente. Neste caso, as interfaces dos dois roteadores estaro no estado "up and up" . No entanto, se os endereos
IP configurados nas interfaces seriais dos dois roteadores estiverem em sub-redes diferentes, um ping para o endereo IP
na outra extremidade do enlace ir falhar porque os roteadores no possuem uma rota que casa. Por exemplo, na Figura
12-4, se o endereo IP serial de R1 permanecer como 192.168.2.1,e o de R2 for alterado para 192.168.3.2 (ao invs de
192.168.2.2), ainda com uma mscara de /24, os dois roteadores teriam rotas conectadas a diferentes sub-redes. Eles
no possuiriam uma rota casando com o endereo IP serial do roteador oposto.
Encontrar e corrigir um problema de sub-redes diferentes com enlaces HDLC relativamente simples. Voc pode
encontrar o problema executando o primeiro passo de sempre, que fazer um ping no endereo IP na outra extremidade
do enlace, e falhando. Se os dois cdigos de estado da interface nas interfaces dos dois roteadores estiverem up, o
problema possivelmente esta sub-rede IP diferente.
Para enlaces PPP, com o mesmo erro de configurao no endereo IP/mscara, as interfaces de ambos os roteadores
tambm estaro no estado "up and up", mas o ping no endereo IP do outro roteador na verdade funcionar. Acontece
que um roteador usando PPP anuncia o endereo IP de sua interface serial para o outro roteador, com um prefixo /32, que
uma rota para alcanar exatamente este host. Sendo assim, ambos os roteadores possuem uma rota para a qual
encaminhar pacotes para a outra extremidade do enlace, mesmo que os dois roteadores nas extremidades opostas de um
enlace serial possuam endereos IP incorretos. Por exemplo, na Figura 12-4 novamente, se o endereo IP de R2 for
192.168.4.2/24, enquanto que o de R1 permanecer como 192.168.2.1/24, os dois endereos estariam em diferentes subredes, mas os pings iriam funcionar porque o PPP anuncia as rotas do host. O Exemplo 12-7 mostra exatamente este
cenrio.
Observao Uma rota com um prefIXO /32, que representa um nico host, chamada de
rota para host.
Exemplo 12-7 PPP Permitindo um Ping Atravs do Enlace Serial, Mesmo Em Sub-redes Diferentes
R1# ahow ip route
Codes : C - connected, S - static, R - RIP, M - mobile, B - BGP
E1 - OSPF external type 1, E2 - OSPF external type 2
i
- IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area,

o - ODR,
- candidate default, U - per-user static route
C 192.168.1.0/24 is directly connected, FastEthernetO/O

C 19 2 . 1 68 .2 . 0/2 4 i s direct l y connected , SerialO / 0 / 1
C
19 2 .168 . 4 . 2 is directly connected,
SerialO/0/1
R1# ping 192.168.4.2

Sending 5, 100-byte ICMP Echos to 192.168.4 . 2,
!!!! !
Success rate is 100 percent (5/5),
round-trip min/avg/max = 1/2/4 ms
CCNA ICND2
329
A primeira linha em destaque no exemplo mostra a rota conectada normalmente no enlace serial, para a rede 192.168.2.01
24. RI acha que esta sub-rede a sub-rede conectada a SOIOII por causa do endereo IP configurado de RI (192.168.2.11
24). A segunda linha em destaque mostra a rota para o host criada pelo PPP, especificamente para o novo endereo IP
serial de R2 (192.168.4.2). (R2 ter uma rota similar para 192.168.2.1132, o endereo IP serial de RI.) Portanto, ambos
os roteadores possuem uma rota que lhes permite encaminhar pacotes ao endereo IP na outra extremidade do enlace,
o que permite que o ping para o outro lado do enlace serial funcione, apesar do fato dos endereos em cada uma das
extremidades estarem em sub-redes distintas.
Embora o ping para a outra extremidade do enlace funcione, os protocolos de roteamento ainda assim no anunciam as
rotas por causa da diferena na sub-rede IP nas extremidades opostas do enlace. Portanto, quando estiver resolvendo
problemas em uma rede, no assuma que uma interface serial em um estado "up/up" esteja totalmente em funcionamento,
ou nem mesmo que uma interface serial sobre a qual um ping funcione esteja totalmente funcionando. Certifique-se
tambm de que o protocolo de roteamento est trocando rotas e de que os endereos IP estejam na mesma sub-rede. A
Tabela 12-5 resume o comportamento em enlaces HDLC e PPP quando os endereos IP em cada uma das extremidades
no esto na mesma sub-rede, e nenhum outro problema adicional existe.
Tabela 12-5 Resumo dos Sintomas Para Sub-Redes Diferentes em Enlaces Seriais
Sintomas Quando Endereos IP em Um Enlace Serial Esto em Sub-redes Diferentes
-----------------------------------------------------------
HDLC PPP
O ping no endereo IP serial do outro roteador funciona?
No
Sim
Os protocolos de roteamento podem trocar rotas atravs do enlace?
No
No
----------------------------------------------------------------------------------- Atividades de preparao para o exame
. .........
Descrio
Lista
Recursos do PPP
317
rn.
\~...ve
Nmero da Pgina
-----------------------------------------------------------
Tabela 12-2
Recursos do LCP do PPP
318
Tabela 12-3
Comparao entre mensagens enviadas

pelo PAP e pelo CHAP
321
-----------------------------------------------------------
Lista
Tabela 12-3
Lista de verificao da configurao do CHAP
322
Lista das combinaes tpicas dos cdigos de

estado das interfaces seriais, e a razo geral tpica
para cada combinao
323-324
---------------------------------------------------------------
Lista
Causas comuns para problemas de

Camada 1 em enlaces seriais
324
Tabela 12-4
Sintomas comuns e causas para problemas

comuns de Camada 2 em enlaces seriais
325
8 ----------------------------------------------------------
Exemplo 12-5
Amostra de mensagens de debug

mostrando um processo de autenticao
CHAP com sucesso
327
. -------------------------------------------------------------

CHAP,
IP Control Protocol,
keepalive,
Link Control Protocol,
PAP

Embora voc no precise necessariamente memorizar as informaes das tabelas desta seo, esta seo inclui uma
referncia para os comandos de configurao e EXEC cobertos neste captulo. Na prtica, voc deve memorizar os
o lado esquerdo da tabela, leia as descries do lado direito, e veja se voc se lembra do comando.

Comando
Descrio
encapsulation {hdlc I ppp}
Subcomando de interface que define o protocolo no enlace de dados

serial
ppp authentication {pap I chap

pap chap I chap pap }
username name password secret
Subcomando de interface que habilita apenas PAP, apenas CHAP ou

ambos (dependente da ordem)
Comando global que configura a senha que este roteador espera usar
quando estiver autenticando o roteador com o nome de host listado

Comando
Descrio
show interfaces [type number]
Lista estatsticas e detalhes da configurao da interface, incluindo o

tipo de encapsulamento
debug ppp authentication
Gera mensagens para cada passo do processo de autenticao no PAP

ou no CHAP
debug ppp negotiation
Gera mensagens de debug para as mensagens de negociao no LCP e

no NCP, trocadas pelos dispositivos
CCNA ICND2
331

seguintes assuntos:
Viso geral do Frame Relay: esta seo introduz a
terminologia, as funes e o propsito do protocolo Frame
Relay.
Endereamento no Frame Relay: esta seo examina o
DLCI, que o endereo de enlace de dados do Frame
Relay, e como ele usado para transferir frames atravs
da nuvem Frame Relay.
Problemas da camada de rede em relao Frame
Relay: esta seo examina, em sua maior parte, as diversas
opes para o uso de sub-redes de Camada 3 em uma
rede Frame Relay.
Controlando a velocidade e os descartes na nuvem
Frame Relay: esta pequena seo explica alguns dos
recursos relacionados ao controle de fluxo de dados na
rede Frame Relay.
C A P T ULO 13
: Conceitos de Frame Relay

. -------------------------------------------------------
Frame Relay continua sendo a tecnologia de WAN mais popular usada hoje em dia. No entanto, sua popularidade vem
decaindo. O mesmo est sendo substitudo principalmente pela tecnologia VPN (Virtual Priva te Network, ou Redes
Privadas VIrtuais), de dois tipos principais: VPNs de Internet, que usam a Internet para transportar pacotes, e VPNs
MPLS (Multiprotocol Label Switching), que segue o mesmo modelo bsico de servio do Frame Relay, tipicamente
oferecido pelos mesmos provedores de Frame Relay, mas com vantagens tcnicas significativas. No entanto, o Frame
Relay ainda usado por muitas empresas hoje em dia, e tambm pode ser conectado a VPNs MPLS e de Internet, de
modo que o Frame Relay ainda continuar sendo um tpico importante relacionado a redes por algum tempo.
O Frame Relay pode ser comparado mais de perto camada de enlace de dados (Camada 2) do OS!. Se voc se lembrar
de que a palavra "frame" descreve a unidade de dados do protocolo da camada de enlace de dados (pDU), ser fcil se
lembrar de que o Frame Relay est relacionado Camada 2 do OS!. Como outros protocolos de enlace de dados, o
Frame Relay pode ser usado para entregar pacotes (PDUs de Camada 3) entre roteadores. Os cabealhos e trailers do
protocolo Frame Relay so usados simplesmente para permitir que um pacote atravesse a rede Frame Relay, da mesma
forma que cabealhos e trailers Ethernet so usados para ajudar um pacote a atravessar um segmento Ethernet.
Este captulo descreve os detalhes do protocolo Frame Relay. O Captulo 14, "Configurao e resoluo de problemas de
Frame Relay", examina a configurao, verificao e resoluo de problemas em redes Frame Relay.
destas oito questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
Tabela 13-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu J Conheo Isto?"
Perguntas
VIso geral do Frame Relay
1-3
Endereamento no Frame Relay
4e5
Problemas da camada de rede em relao Frame Relay
6e7
Controlando a velocidade e os descartes na nuvem Frame Relay
1. Qual(is) dos seguintes itens (so) um protocolo usado entre o DTE Frame Relay e o switch Frame Relay?
a. VC
b. CIR
c. LMI
d. Q.921
e . DLCI
f. FRF.5
g. Encapsulamento
334 Captulo 13: Conceitos de Frame Relay

2. Qual(is) das seguintes afirmaes ()so verdadeira(s) com relao ao Frame Relay?
a. O DTE fica tipicamente do lado do usurio.
b. Os roteadores enviam mensagens LMI um ao outro para sinalizar o estado de um Vc.
c . O DLCI origem de um frame deve permanecer inalterado, mas o DLCI destino de um frame pode ser alterado
medida que o frame atravessa a nuvem Frame Relay.
d. O tipo de encapsulamento no Frame Relay no roteador enviador deve ser idntico ao tipo de encapsulamento no
roteador receptor para que o roteador receptor seja capaz de entender o contedo do frame.
3. O que significa DLCI?
a. Data-link connection identifier
b. Data-link connection indicator
c. Data-link circuit identifier
d. Data-link circuit indicator
4. O roteador R1 recebe um frame do roteador R2 com o valor de DLCI de 222 no frame. Qual das seguintes afirmaes
sobre esta rede a mais precisa?
a. 222 representa o Roteador RI.
b. 222 representa o Roteador R2.
c . 222 o DLCI local em R1, que representa o VC entre R1 e R2.
d. 222 o DLCI local em R2, que representa o VC entre R1 e R2.
5. Um diagrama de planejamento de Frame Relay mostra o nmero 101 ao lado de RI, 102 ao lado de R2, 103 ao lado
de R3 e 104 ao lado de R4. Nenhum outro DLCI aparece. O engenheiro de rede na liderana informa a voc que o
diagrama de planejamento usa endereamento global de DLCI e que uma malha total de VCs existe. Qual(is) dos
seguintes itens (so) verdadeiro(s)?
a. Frames enviados de R1 para R2, como passam pelo link de acesso de R2, possuem DLCI igual a 102.
b. Frames enviados de R1 para R2, como passam pelo link de acesso de R2, possuem DLCI igual a 101.
c. Frames enviados de R3 para R2, como passam pelo link de acesso de R3 , possuem DLCI igual a 102.
d. Frames enviados de R3 para R1, como passam pelo link de acesso de R3, possuem DLCI igual a 102.
6. FredsCo possui cinco sites, com roteadores conectados mesma rede Frame Relay. Foram definidos VCs (Virtual
Circuits, ou Circuitos Virtuais) entre cada par de roteadores. Qual a mnima quantidade de sub-redes que FredsCo
poderia usar na rede Frame Relay?
a. 1
b. 2
c. 3
d. 4
e. 5
f. 10
7. BarneysCo possui cinco sites, com roteadores conectados mesma rede Frame Relay. Foram definidos VCs entre
cada par de roteadores. Barney, o presidente da companhia, ir demitir qualquer um que configurar o Frame Relay
sem usar subinterfaces ponto-a-ponto. Qual a menor quantidade de sub-redes que BarneyCo poderia usar na rede
Frame Relay?
a. 1
b. 4
c. 8
d. 10
CCNA ICND2
.8 .
335
e. 12
f. 15
RI envia um frame Frame Relay para o roteador R2 atravs de um Vc. Ao mesmo tempo, um switch Frame Relay
percebe que existem pacotes demais tentando sair da rede Frame Relay atravs do link de acesso conectado a R2.
Qual dos seguintes itens o resultado mais provvel causado por este cenrio?
a. RI eventualmente recebe um frame com BECN configurado.
b. RI eventualmente recebe um frame com FECN configurado.
c. RI eventualmente recebe um frame com DE configurado.
d. Nenhuma das respostas est correta.
'
fun damentals
.
TOplCOS
Nos enlaces seriais ponto-a-ponto, uma empresa solicita uma linha privativa ou circuito entre dois pontos. A companhia
telefnica cria o circuito, instalando um cabo de dois pares (quatro pares) dentro do prdio em uma das extremidades do
circuito. A companhia telefnica cria o circuito, de modo que o mesmo ir executar a uma velocidade pr-configurada
solicitada pelo cliente, tipicamente, algum mltiplo de 64 kbps. Assim que o cabo da companhia telefnica for conectado
a um CSUIDSU, e a um roteador em cada extremidade do circuito, os roteadores tero um enlace fsico dedicado, com
a capacidade de enviar dados em ambas as direes, simultaneamente.
O Frame Relay um conjunto de padres de WAN que cria um servio de WAN mais eficiente quando comparado aos
enlaces ponto-a-ponto, ao mesmo tempo em que continua permitindo que um par de roteadores envie dados diretamente
um ao outro. Com linhas privativas, cada linha privativa precisa de uma interface serial em cada roteador, e um circuito
fsico separado (e caro) fornecido pela companhia telefnica. O Frame Relay suporta a capacidade de enviar dados a
vrios roteadores remotos atravs de um nico circuito fsico de WAN. Por exemplo, uma empresa com um site central
e dez sites remotos precisaria de dez linhas privativas para se comunicar com o site central, e dez interfaces seriais no
roteador do site central. Com o Frame Relay, o site central poderia ter uma nica linha privativa conectando-o ao servio
de Frame Relay, e uma nica interface serial no roteador do site central, e ainda assim ser capaz de se comunicar com
cada um dos dez roteadores dos sites remotos.
A primeira seo deste captulo se concentra no bsico sobre o Frame Relay, incluindo vrias terminologias novas. A
segunda seo examina o endereamento de enlace de dados no Frame Relay. Este tpico exige certa ateno porque os
endereos Frame Relay so necessrios tanto para configurao quanto para resoluo de problemas no roteador. As
duas ltimas sees principais deste captulo examinam algumas preocupaes relativas camada de rede quando o
Frame Relay estiver sendo usado, juntamente com alguns recursos que impactam a velocidade e a taxa de descarte de
frames dentro da nuvem Frame Relay.
Viso geral do Frame Relay
As redes Frame Relay disponibilizam mais recursos e benefcios que simples enlaces WAN ponto-a-ponto, mas para isso,
o protocolo Frame Relay possui mais detalhes. Por exemplo, redes Frame Relay so redes de multiacesso, o que significa
que mais de dois dispositivos podem se conectar rede, de modo similar s LANs. De modo diferente das LANs, voc
no pode enviar um broadcast na camada de enlace de dados sobre o Frame Relay. Sendo assim, redes Frame Relay so
chamadas de redes NBMA (nonbroadcast multiaccess). Alm disso, pelo fato do Frame Relay ser multiacesso, ele
exige o uso de um endereo que identifica a qual dos roteadores remotos cada frame est endereado.
A Figura 13-1 apresenta a topologia fsica bsica e a terminologia relacionada a uma rede Frame Relay.
Figura 13-1 Componentes do Frame Relay
Link de
Frame
Relay
!~~~;~o
'. Ch.".
....
Mensagens
LMI
Frame
Relay
Link de

A Figura 13-1 mostra os componentes mais bsicos de uma rede Frame Relay. Uma linha privativa est instalada entre
o roteador e um switch Frame Relay prximo; este enlace chamado de link de acesso. Para garantir que o link est
funcionando, o dispositivo fora da rede Frame Relay, chamado de DTE (Data Terminal Equipment) troca mensagens
regulares com o switch Frame Relay. Estas mensagens de keepalive, juntamente com outras mensagens, so definidas
pelo protocolo LMI (Local Management Interface) do Frame Relay. Os roteadores so considerados DTEs, e os
switches Frame Relay so os DCEs (Data Communications Equipment).
Enquanto a Figura 13-1 mostra a conectividade fsica de cada conexo para a rede Frame Relay, a Figura 13-2 mostra a
conectividade lgica ou virtual, fim-a-fim, associada a um VC (Virtual Circuit, ou Circuito Virtual).
Figura 13-2 Conceito de PVC no Frame Relay
..........
( Tpico
\. Chava
....
Os caminhos lgicos para comunicao entre cada par de DTEs um Vc. O trio de linhas paralelas na figura representa
um nico VC; este livro usa uma linha tracejada bem grossa para garantir que voc vai perceber a linha facilmente.
Tipicamente, o provedor de servio pr-configura todos os detalhes necessrios de um VC; VCs pr-definidos so
chamados de PVCs (Permanent Virtual Circuit, ou Circuito Virtual Permanente).
Os roteadores usam o DLCI (Data-Link Connection Identifier) como o endereo no Frame Relay; ele identifica o VC
atravs do qual o frame deve trafegar. Portanto, na Figura 13-2, quando RI precisa encaminhar um pacote para R2, RI
encapsula o pacote da Camada 3 em um cabealho e trailer Frame Relay, e depois envia o frame. O cabealho do Frame
Relay inclui o DLCI correto, de modo que os switches Frame Relay do provedor encaminham corretamente o frame para
R2.
A Tabela 13-2 apresenta os componentes mostrados nas Figuras 13-1 e 13-2 e alguns termos associados. Depois da
tabela, os recursos mais importantes do Frame Relay sero descritos em maiores detalhes.
Tabela 13-2 Termos e Conceitos do Frame Relay

Termo
Descrio
VIrtual circuit, ou circuito virtual (VC)
Um conceito lgico que representa o caminho que os frames percorrem

entre DTEs. VCs so particularmente teis quando se compara o Frame
Relay a circuitos fsicos privativos.
Permanent virtual circuit, ou circuito

permanente (PVC)
Um VC pr-definido. Um PVC pode see comparado a uma linha virtual

privativa, conceitualmente.
Switched virtual circuit, ou circuito

virtual comutado (SVC)
Um VC que configurado dinamicamente quando necessrio. Um SVC

pode ser comparado a uma conexo discada, conceitualmente.
Data terminal equipment (DTE)
DTEs so conectados a um servio Frame Relay de uma companhia de

telecomunicaes. Eles ficam tipicamente nos locais usados pelas
empresas que esto comprando o servio de Frame Relay.
Data communications equipment (DCE)
Switches Frame Relay so dispositivos DCE. DCEs tambm so

conhecidos como equipamentos de circuitos terminais de dados. DCEs
ficam tipicamente na rede do provedor de servio.
Access link, ou link de acesso
A linha privativa entre o DTE e o DCE.
Access rate, ou taxa de acesso (AR)
A velocidade com a qual o link de acesso sincronizado. Esta opo

afeta o preo da conexo.
ceNA ICND2
337
Committed Information Rate, ou Taxa

de Informao Comissionada (CIR)
A velocidade com a qual os bits podem ser enviados atravs de um VC,

de acordo com o contrato de negcios entre o cliente e o provedor.
Data-link connection identifier (DLCI)
Um endereo Frame Relay usado em cabealhos Frame Relay para

identificar o VC.
Nonbroadcast multiaccess (NBMA)
Uma rede na qual os broadcasts no so suportados, mas mais de dois

dispositivos podem ser conectados.
Local Management Interface (LMI)
o protocolo usado entre um DCE e um DTE para administrar a conexo.

Mensagens de sinalizao para SVCs, mensagens de estado do PVC e
keepalives so todos mensagens LMI.
Padres Frame Relay

As definies do Frame Relay esto contidas em documentos do International Telecommunications Union (lTU) e do
American National Standards Institute (ANSI). O Frame Relay Frum (http://www.frforum.com). um consrcio de
vendedores, tambm defme diversas especificaes do Frame Relay, muitas das quais so anteriores s especificaes
originais do !TU e do ANSI, sendo que o ITU e o ANSI usaram muitos dos padres do frum. A Tabela 13-3 mostra as
mais importantes destas especificaes.
Tabela 13-3 Especificaes do Protocolo Frame Relay

O Que a Especificao Define
Documento do ITU
Documento do ANSI
Especificaes do enlace de dados,

incluindo cabealho/trailer LAPF
Q.922 Anexo A (Q.922-A)
T1.618
Gerenciamento do PVC, LMI
Q.933 Anexo A (Q.933-A)
T1.617 Anexo D (T1.617-D)
Sinalizao SVC
Q.933
T1.617
Encapsulamento multiprotocolo
(originado na RFC 1490/2427)
Q.933 Anexo E (Q.933-E)
T1.617 Anexo F (T1.617-F)
Circuitos virtuais
Frame Relay fornece vantagens significativas com relao a simplesmente usar linhas privativas ponto-a-ponto. A principal
vantagem tem a ver com circuitos virtuais. Considere a Figura 13-3, que mostra uma tpica rede Frame Relay com trs
sites.
Figura 13-3 Rede Frame Relay Tpica com Trs Sites

Um circuito virtual define um caminho lgico entre dois DTEs Frame Relay. O termo circuito virtual descreve bem o
conceito. Ele atua como um circuito ponto-a-ponto, fornecendo a capacidade de enviar dados entre dois pontos atravs
de uma WAN. No existe nenhum circuito fsico diretamente entre os dois pontos, portanto ele virtual. Por exemplo, RI
o ponto fmal de dois VCs - um cuja outra extremidade R2, e outro cuja outra extremidade R3. RI pode enviar
trfego diretamente para qualquer um dos outros dois roteadores enviando-o atravs do VC apropriado.
Os VCs compartilham o link de acesso e a rede Frame Relay. Por exemplo, ambos os VCs que terminam em RI usam
o mesmo link de acesso. De fato , muitos clientes compartilham a mesma rede Frame Relay. Originalmente, as pessoas
com redes de linhas privativas ficavam relutantes em migrar para Frame Relay porque elas estariam competindo com
outros clientes pela capacidade do provedor dentro da nuvem. Para enderear estes temores, o Frame Relay foi criado
com o conceito de CIR (Committed Information Rate, ou Taxa de Informao Comissionada). Cada VC possui um
CIR, que uma garantia do provedor de que um VC em particular ter pelo menos aquela quantidade de largura de
banda. Portanto, voc poder migrar de uma linha privativa para Frame Relay, tendo um CIR de pelo menos a largura de
banda que voc tinha anteriormente com sua linha privativa.
O interessante que, mesmo com uma rede de trs sites, fica provavelmente mais barato usar o Frame Relay do que usar
enlaces ponto-a-ponto. Pense em uma organizao com 100 localidades que precisa de conexo de qualquer local-paraqualquer local. Quantas linhas privativas seriam necessrias? 4950! E, alm disso, a organizao precisaria de 99 interfaces
seriais por roteador se estivesse usando linhas privativas ponto-a-ponto. Com Frame Relay, uma organizao poderia ter
100 links de acesso para os switches Frame Relay locais, um por roteador, e ter 4950 VCs executando atravs deles. Isto
exigiria bem menos enlaces fsicos reais, e voc precisaria somente de uma interface serial em cada roteador!
Provedores de servio podem construir suas redes com Frame Relay de modo mais eficiente com relao a custos que
com linhas privativas. Como seria de se esperar, isto faz com que o custo para o usurio do Frame Relay tambm seja
menor. Pelo fato de conectar diversos sites WAN, o Frame Relay simplesmente mais econmico que linhas privativas.
Dois tipos de VCs so permitidos - permanente (PVC) e comutado (SVC). PVCs so pr-defrnidos pelo provedor;
SVCs so criados dinamicamente. PVCs so de longe o mais popular dentre os dois tipos. Provedores de Frame Relay
raramente oferecem SVCs como um servio. (O resto deste captulo e o Captulo 14 ignoram SVCs.)
Quando uma rede Frame Relay concebida, o design poderia no incluir um VC entre cada par de sites. A Figura 13-3
inclui PVCs entre cada par de sites; isto chamado de rede Frame Relay totalmente em malha. Quando nem todos os
pares possuem um PVC direto, ela chamada de rede parcialmente em malha. A Figura 13-4 mostra a mesma rede da
Figura 13-3, mas desta vez com uma malha parcial e apenas dois PVCs. Isto tpico quando RI est no site principal e
R2 e R3 esto em escritrios remotos que raramente precisam se comunicar diretamente.
Figura 13-4 Rede Frame Relay Tpica, Parcialmente em Malha
Servidor 1
A malha parcial tem algumas vantagens e algumas desvantagens se comparada malha total. A principal vantagem que
a malha parcial mais barata porque o provedor cobra por Vc. A desvantagem que o trfego do site de R2 para o site
de R3 deve ir primeiro para RI, e depois ser encaminhado. Se for uma pequena quantidade de trfego, um preo baixo
a se pagar. Se for muito trfego, uma malha completa provavelmente valeria o dinheiro extra porque o trfego entre os
dois sites remotos teria que cruzar o link de acesso de RI duas vezes.
CCNA ICND2
339
Um obstculo conceitual com PVCs que tipicamente existe um nico link de acesso atravs do qual mltiplos PVCs
fluem. Por exemplo, considere a Figura 13-4 sob a perspectiva de RI. O Servidor I envia um pacote para Larry. O pacote
atravessa a Ethernet. RI obtm o pacote e consulta a tabela de roteamento para Larry, que diz a ele para enviar o pacote
atravs da SerialO, que o link de acesso de RI. Ele encapsula o pacote em um cabealho e trailer Frame Relay, e depois
o envia. Qual PVC ele usa? O switch Frame Relay deveria encaminh-lo para R2, mas por que ele o faz?
Para resolver este problema, o Frame Relay usa um endereo para diferenciar um PVC de outro. Este endereo
chamado de DLCI (data-link connection identifier). O nome descritivo: o endereo destinado a um protocolo de
Camada 2 do modelo OSI (enlace de dados), e identifica um VC, que s vezes chamado de conexo virtual. Assim,
neste exemplo, RI usa o DLCI que identifica o PVC para R2, de modo que o provedor encaminha o frame corretamente
atravs do PVC para R2. Para enviar frames para R3, RI usa o DLCI que identifica o VC para R3. Os DLCls e a forma
como eles funcionam sero cobertos em maiores detalhes posteriormente neste captulo.
LMI e tipos de encapsulamento

Quando voc est aprendendo sobre Frame Relay pela primeira vez, comum confundir o LMI com o encapsulamento
usado no Frame Relay. O LMI uma definio das mensagens usadas entre o DTE (por exemplo, um roteador) e o DCE
(por exemplo, o switch Frame Relay pertencente ao provedor de servio). O encapsulamento define os cabealhos
usados por um DTE para mandar algumas informaes para o DTE na outra extremidade de um Vc. O switch e seus
roteadores conectados se importam com o fato de usarem o mesmo LMI; o switch no se importa com o encapsulamento.
Os roteadores terminais (DTE) se importam com o encapsulamento.
A mensagem LMI mais importante relacionada aos tpicos do exame a mensagem LMI para perguntar o estado.
.....~ensagens de estado executam duas funes-chave:
6 PICO .... h.V.
Elas executam a funo keepalive entre o DTE e o DCE. Se o link de acesso tiver um problema, a ausncia de
mensagens keepalive implica que o enlace est desativado.
- Elas sinalizam se um PVC est ativo ou inativo. Embora cada PVC esteja pr-definido, seu estado pode mudar. Um
link de acesso pode estar ativo, mas um ou mais VCs poderiam estar desativados. O roteador precisa saber quais
VCs esto funcionado e quais no esto. Ele aprende esta informao do switch, atravs de mensagens de estado
doLMI.
Trs opes do protocolo LMI esto disponveis no software lOS da Cisco: Cisco, ITU e ANSI. Cada opo de LMI
um pouco diferente, e sendo assim, incompatvel com os outros dois. Desde que tanto o DTE quanto o DCE em cada
extremidade de um link de acesso usem o mesmo padro de LMI, o LMI funcionar bem.
As diferenas entre os tipos de LMI so sutis. Por exemplo, o LMI da Cisco faz uso do DLCI 1023, enquanto que o
ANSI TI.6I7-D e o ITU Q.933-A especificam o DLCI O. Algumas das mensagens possuem campos diferentes em seus
cabealhos. O DTE simplesmente precisa saber quais dos trs LMIs usar, para que ele possa usar o mesmo usado pelo
switch local.
Configurar o tipo de LMI fcil. A opo mais popular hoje em dia usar a configurao default de LMI. Esta configurao
usa o recurso de auto-deteco do LMI, na qual o roteador simplesmente descobre qual tipo de LMI o switch est
usando. Portanto, voc pode simplesmente deixar que o roteador reconhea automaticamente o LMI e nunca se preocupar
em configurar o tipo de LMI. Se voc preferir configurar o tipo de LMI, o roteador ir desabilitar a facilidade de
reconhecimento automtico.
A Tabela 13-4 mostra os trs tipos de LMI, suas origens e o termo usado no sub comando de interface frame-relay Imitype no software lOS da Cisco.
/;~~~O
Tabela 13-4 Tipos de LMI no Frame Relay
\c.......
Nome
Documento
Parmetro Tipo de LMI no lOS
Cisco
Proprietrio
cisco
ANSI
TI.6I7 Anexo D
ansi
ITU
Q.933 Anexo A
q933a
".

Um roteador conectado via Frame Relay encapsula cada pacote de Camada 3 dentro de um cabealho e trailer Frame
Relay antes de envi-lo atravs de um link de acesso. O cabealho e o trailer so definidos pela especificao LAPF
(Link Access Procedure Frame Bearer Services), ITU-Q.922-A. O framing LAPF esparso fornece deteco de erro
com um FCS no trailer, bem como os campos DLCI, DE, FECN e BECN no cabealho (que sero discutidos mais tarde) .
A Figura 13-5 mostra o diagrama de um frame.
Figura 13-5 Cabealho LAPF
' - - - - - - - - FECN , BECN, DE (1 Bit Cada)

' - - - - - - - - - DLCI (Geralmente10 Bits)
No entanto, o cabealho e o trailer LAPF no fornecem todos os campos tipicamente necessrios aos roteadores. Em
particular, a Figura 13-5 no mostra um campo Tipo de Protocolo. Cada cabealho do enlace de dados necessita de um
campo para definir o tipo de pacote que se segue ao cabealho do enlace de dados. Se o Frame Relay estiver usando
somente o cabealho LAPF, os DTEs (incluindo os roteadores) no podero suportar trfego multiprotocolo porque no
h nenhuma maneira de se identificar o tipo de protocolo no campo Informao.
:1
Duas solues foram criadas para se compensar a falta de um campo Tipo de Protocolo no cabealho Frame Relay
padro:
- A Cisco e outras trs companhias criaram um cabealho adicional, que vem entre o cabealho LAPF e o pacote de
Camada 3 mostrado na Figura 13-5. Ele inclui um campo Tipo de Protocolo de 2 bytes, com valores idnticos ao
mesmo campo que a Cisco usa para o HDLC.
- A RFC 1490 (que foi posteriormente substituda pela RFC 2427; voc deve conhecer ambos os nmeros), Multiprotocol
Interconnect over Frame Relay (ou Interconexo Multiprotocolo sobre Frame Relay), definiu a segunda soluo.
A RFC 1490 foi escrita para garantir a interoperabilidade entre DTEs Frame Relay de diversos fabricantes. Esta
RFC defrne um cabealho similar, tambm colocado entre o cabealho LAPF e o pacote da Camada 3, e inclui um
campo Tipo de Protocolo, alm de muitas outras opes. ITU e ANSI mais tarde incorporaram os cabealhos RFC
1490 em suas especificaes Q.933 Anexo E e T1.617 Anexo F, respectivamente.
A Figura 13-6 apresenta estas duas alternativas.
Figura 13-6 Encapsulamento Cisco e RFC 1490/2427

..........
( Tpico
'. Chave
....
Inclui - - - '
DLCI
ITU e ANSI de Acordo cor

as Especiaficaes da RF
Cabealho indui Campo
Tipo de Protocolo
Os DTEs usam e reagem aos campos especificados por estes dois tipos de encapsulamento, mas os switches Frame
Relay ignoram estes campos. Pelo fato dos frames flurem de DTE para DTE, ambos os DTEs deveriam entrar em
acordo com relao ao encapsulamento usado. Os switches no se importam. No entanto, cada VC pode usar um
tipo diferente de encapsulamento. Na configurao, o encapsulamento criado pela Cisco chamado de cisco, e o outro
chamado de ietf.
Agora que voc j tem um amplo entendimento dos conceitos e da terminologia do Frame Relay, a prxima seo
apresentar uma viso bem mais detalhada dos DLCIs no Frame Relay.
:1
.,
CCNA ICND2
341
Endereamento no Frame Relay
o Frame Relay define as regras pelas quais os dispositivos entregam frames Frame Relay atravs de uma rede Frame
Relay. Pelo fato de que um roteador usa um nico link de acesso que tem muitos VCs conectando-o a diversos roteadores,
deve haver algo para identificar cada um dos roteadores remotos - em outras palavras, um endereo. O DLCI o
endereo no Frame Relay.
O DLCI funciona de modo um pouco diferente de outros endereos de enlace de dados cobertos nos exames CCNA.
Esta diferena ocorre principalmente por causa do uso do DLCI, e pelo fato de que o cabealho possui um nico
campo DLCI, e no dois campos DLCI, de Origem e de Destino.
Voc deveria compreender algumas caractersticas dos DLCls antes de comearmos a us-lo. Os DLCls do Frame
Relay possuem significados locais; isto significa que os endereos precisam ser nicos apenas no link de acesso local.
Uma analogia popular que explica o endereamento local que deve existir apenas um nico endereo Avenida Pensil vnia,
2000 em Washington DC, mas pode haver uma Avenida Pensilvnia, 2000 em todas as cidades dos Estados Unidos. Da
mesma forma, DLCls devem ser nicos em cada link de acesso, mas os mesmos nmeros de DLCI podem ser usados
em todos os link de acesso em sua rede. Por exemplo, na Figura 13-7, observe que o DLCI 40 est sendo usado em dois
links de acesso para descrever dois diferentes PVCs. No existe nenhum conflito porque o DLCI 40 usado em dois
links de acesso diferentes.
Figura 13-7 Endereamento no Frame Relay, Com o Roteador A Enviando Para os Roteadores B e C
Endereamento local, que o termo comum para o fato de que os DLCls so significativos no local, um fato. como
o Frame Relay funciona. Colocado de forma simples, um nico link de acesso no pode usar o mesmo DLCI para
representar mltiplos VCs no mesmo link de acesso. Do contrrio, o switch Frame Relay no saberia como encaminhar
corretamente os frames . Por exemplo, na Figura 13-7, o Roteador A deve usar valores de DLCI diferentes para os PVCs
em seu link de acesso local (41 e 42, neste exemplo).
Endereamento local no Frame Relay
Endereamento global no Frame Relay
Muitas pessoas se confundem a respeito de DLCls da primeira vez que elas pensam a respeito do significado local dos
DLCls, e sobre a existncia de um nico campo DLCI no cabealho do Frame Relay. O endereamento global resolve
este problema fazendo com que o endereamento DLCI conceitualmente se parea com o endereamento de LAN.
Endereamento global simplesmente uma forma de selecionar nmeros DLCls quando uma rede Frame Relay estiver
sendo planejada, fazendo com que trabalhar com DLCls seja muito mais fcil. Pela fato do endereamento local ser um
fato, o endereamento global no altera estas regras. O endereamento global simplesmente faz com que as atribuies
de DLCI sejam mais bvias - to logo voc se acostume com ela.
Eis como funciona o endereamento global: o provedor de servio entrega uma planilha e um diagrama de planejamento.
A Figura 13-8 um exemplo de um diagrama destes, com os DLCls globais sendo mostrados.

Figura 13-8 DLCls Globais no Frame Relay
Global
OLCI41
Global
OLCI40
Global
OLCI42
o endereamento global planejado conforme mostrado na Figura 13-8, com os DLCls posicionados nos frames do
Frame Relay, como mostrado na Figura 13-9. Por exemplo, o Roteador A usa o DLCI 41 quando estiver enviando um
frame ao Roteador B porque o DLCI global do Roteador B 41. Da mesma forma, o Roteador A usa o DLCI 42 quando
estiver enviando frames atravs do VC para o Roteador C. A vantagem que o endereamento global muito mais
lgico para a maioria das pessoas porque ele funciona como uma LAN, com um nico endereo MAC para cada
dispositivo. Em uma LAN, se os endereos MAC forem MAC-A, MAC-B e MAC-C para os trs roteadores, o Roteador
A usa o endereo destino MAC-B quando estiver enviando frames ao Roteador B e usa MAC-C como destino para
alcanar o Roteador C. Da mesma forma, com DLCls globais 40, 41 e 42 usados respectivamente pelos Roteadores A,
B e C, o mesmo conceito se aplica. Pelo fato dos DLCls enderearem VCs, a lgica algo como isto quando o Roteador
A envia um frame ao Roteador B: "Ei, switch local! Quando voc obter este frame, envie-o atravs do VC que combinamos
numerar como DLCI 41." A Figura 13-9 mostra este exemplo.
Figura 13-9 Endereamento Global no Frame Relay do Ponto de Vista do Enviador

/;~~;~o
B
Global
OLCI41
:. Chave
....
Global
OLCI40
1Frame com OLCI 421
"'"
"
Ir-F-ra-m-e-co-m-O-LC-I-4""'O1--.
Global
OLCI42
o Roteador A envia frames com DLCI 41, e eles chegam ao switch local. O switch local v o campo DLCI e encaminha
o frame atravs da rede Frame Relay at que este alcance o switch conectado ao Roteador B. Ento, o switch local do
Roteador B encaminha o frame para o link de acesso do Roteador B. O mesmo processo acontece entre o Roteador A
e o Roteador C quando o Roteador A usa o DLCI 42. A beleza do endereamento global consiste no fato de que voc
pensa em cada roteador como tendo um endereo, como no endereamento de LAN. Se voc quiser enviar um frame
para algum, voc coloca o seu DLCI no cabealho, e a rede entrega o frame ao DTE correto.
O ltimo ponto-chave com respeito ao endereamento global que os switches Frame Relay na verdade alteram o valor
do DLCI antes de entregar o frame. Voc notou que a Figura 13-9 mostra um valor diferente de DLCI medida que os
frames so recebidos pelos Roteadores B e C? Por exemplo, o Roteador A envia um frame ao Roteador B, e o Roteador
A coloca o DLCI 41 no frame. O ltimo switch altera o campo para DLCI 40 antes de encaminh-lo ao Roteador B. O
resultado que, quando os Roteadores B e C receberem seus frames, o valor de DLCI ser na verdade o DLCI do
enviador. Por qu? Bem, quando o Roteador B recebe o frame, pelo fato do DLCI ser 40, ele sabe que o frame veio
atravs do PVC entre ele mesmo e o Roteador A. Em geral, os seguintes itens so verdadeiros:
- O enviador trata o campo DLCI como o endereo de destino, usando o DLCI global de destino no cabealho.
- O receptor pensa no campo DLCI como sendo o endereo de origem porque ele contm o DLCI global do enviador
do frame.
.,
---------------------------------------------------------------------------------------------~
CCNA ICND2
343
A Figura 13-9 descreve o que acontece em uma rede Frame Relay tpica. Provedores de servio fornecem uma
planilha de planejamento e diagramas com DLCIs globais listados. A Tabela 13-5 d a voc uma viso organizada
de quais DLCls so usados na Figura 13-9.
Tabela 13-5 Troca de DLCI na Nuvem Frame Relay da Figura 13-9
O Frame Enviado Pelo Roteador
Com
Campo DLCI
Entregue ao Roteador Com Campo DLCI
41
B
e -----------------------------------------------------------------------------------A
e
42
c
~
. ------------------------------------------------------------------
_B_____________________~
__________A
______________4_1___________________
eC
42
O endereamento global toma o endereamento DLCI mais intuitivo para a maioria das pessoas. Isto tambm faz com
que a configurao do roteador seja mais direta e permite que voc adicione novos sites de modo mais conveniente. Por
exemplo, observe a Figura 13-10, que adiciona os Roteadores D e E na rede mostrada na Figura 13-9. O provedor de
servio simplesmente afirma que os DLCIs globais 43 e 44 sero usados para estes dois roteadores. Se estes dois
roteadores tambm tiverem apenas um PVC para o Roteador A, todo o planejamento de DLCI estar completo. Voc
sabe que o Roteador D e o Roteador E usam DLCI 40 para alcanar o Roteador A, e que o Roteador A usa DLCI 43
para alcanar o Roteador D e DLCI 44 para alcanar o Roteador E.
Figura 13-10 Adicionando Sites Frame Relay: Endereamento Global

B
DLCI41
DLCI40
--- -------
DLCI43
DLCI44
c
DLCI42
Os exemplos restantes deste captulo usam endereamento global em qualquer diagrama de planejamento, a menos que
o contrrio seja dito. Uma maneira prtica de se determinar se um diagrama lista as convenes para DLCIs locais ou
para DLCIs globais esta: se dois VCs terminarem no mesmo DTE, e um nico DLCI for mostrado, ele provavelmente
representa a conveno para DLCI global. Se um DLCI for mostrado por VC, o endereamento local de DLCI est
sendo representado.
Agora que voc tem uma melhor compreenso de como o Frame Relay usa os DLCIs para enderear cada VC, fazendo
com que os frames sejam corretamente entregues atravs de uma nuvem Frame Relay, a prxima seo prosseguir
para a Camada 3, examinando as convenes para endereamento IP que podem ser usadas sobre Frame Relay.
Problemas da camada de rede em relao a Frame Relay
Redes Frame Relay possuem tanto semelhanas quanto diferenas quando comparadas com LAN e enlaces WAN
ponto-a-ponto. Estas diferenas introduzem algumas consideraes adicionais relacionadas ao transporte de pacotes de
Camada 3 atravs de uma rede Frame Relay. Voc precisa se preocupar com algumas questes-chave relativas ao fluxo
de Camada 3 atravs do Frame Relay:
- Escolha de endereos de Camada 3 em interfaces Frame Relay
- Manipulao de broadcast

Em particular, a implementao de Frame Relay da Cisco define trs opes diferentes para atribuir sub-redes e endereos
IP em interfaces Frame Relay:
- Uma sub-rede contendo todos os DTEs Frame Relay
- Uma sub-rede por VC
- Um hibrido das duas primeiras opes
Esta seo examina as trs opes principais para endereamento IP sobre Frame Relay, bem como a manipulao de
broadcast, que impacta a forma como os protocolos de roteamento funcionam sobre Frame Relay.
Endereamento de camada 3 no Frame Relay: uma sub-rede

contendo todos os DTEs Frame Relay
A Figura 13-11 mostra a primeira alternativa, que consiste em usar uma nica sub-rede para a rede Frame Relay. Esta
figura mostra uma rede Frame Relay totalmente em malha porque a opo de sub-rede nica tipicamente usada quando
uma malha completa de VCs existir. Em uma rede totalmente em malha, cada roteador possui um VC para cada um dos
demais roteadores, o que significa que cada roteador pode enviar frames diretamente para cada um dos outros roteadores.
Isto lembra bastante a forma como uma LAN funciona. Portanto, uma nica sub-rede pode ser usada para todas as
interfaces Frame Relay dos roteadores, conforme configurado nas interfaces seriais dos roteadores. A Tabela 13-6
resume os endereos usados na Figura 13-11.
Figura 13-11 Rede Totalmente em Malha com Endereos IP

Sub-rede
199.1.10.0/24
Mount Pilot
Raleigh
Sub-rede
Sub-rede
199.1.11 .0/24
199.1.12.0/24
Tabela 13-6 Endereos IP Sem Subinterfaces

Roteador
Endereo IP da Interface Frame Relay
Mayberry
199.1.1.1
MountPilot
199.1.1.2
Raleigh
199.1.1.3
Esta alternativa de sub-rede nica direta e conserva seu espao de endereamento IP. Ela tambm se parece com
aquilo que voc est habituado em LANs, o que a toma fcil de se conceituar. Infelizmente, a maior parte das empresas
constri redes Frame Relay parcialmente em malha, e a opo de sub-rede nica tem algumas deficincias quando a rede
parcialmente em malha.
Endereamento de camada 3 no Frame Relay: uma sub-rede por VC

A segunda alternativa de endereamento IP, ter uma nica sub-rede para cada VC, funciona melhor com uma rede
Frame Relay parcialmente em malha, conforme mostrado na Figura 13-12. Boston no pode encaminhar frames diretamente
para Charlotte porque no est definido nenhum VC entre eles. Esta uma rede Frame Relay mais tpica porque a
I.
CCNA ICND2
345
maioria das empresas com diversos sites tende a agrupar aplicaes em servidores em alguns poucos locais centralizados,
e a maior parte do trfego ocorre entre cada site remoto e estes servidores.
Figura 13-12 Rede Parcialmente em Malha com Endereos IP

140.1.11 .0/24
140.1.12.0/24
140.1.13.0/24
140.1.14.0/24
A alternativa de uma sub-rede por VC casa com a lgica por trs de um conjunto de enlaces ponto-a-ponto. Usando
mltiplas sub-redes ao invs de uma grande sub-rede desperdia alguns endereos IP, mas resolve algumas questes
relativas aos protocolos de roteamento vetor distncia.
A Tabela 13-7 mostra os endereos IP para a rede Frame Relay parcialmente em malha mostrada na Figura 13-12.
Tabela 13-7 Endereos IP com Subinterfaces Ponto-A -Ponto

Roteador
Sub-rede
Endereo IP
Atlanta
140.1.1.0
140.1.1.1
Charlotte
140.1.1.0
140.1.1.2
Atlanta
140.1.2.0
140.1.2.1
Nashville
140.1.2.0
140.1.2.3
Atlanta
140.1.3.0
140.1.3.1
Boston
140.1.3.0
140.1.3.4
o Software lOS da Cisco possui um recurso de configurao chamado subinterfaces que cria uma sub-diviso lgica de
uma interface fsica. Subinterfaces permitem que o roteador de Atlanta tenha trs endereos IP associados sua interface
fsica SerialO atravs da configurao de trs subinterfaces separadas. Um roteador pode tratar cada subinterface, e o
VC associado a ela, como se fosse um enlace serial ponto-a-ponto. Cada uma das trs subinterfaces da SerialO de
Atlanta seria atribuda a um endereo IP diferente da Tabela 13-7. (O Captulo 14 mostra diversos exemplos de
configuraes.)
NOTA O exemplo usa prefIXOS de endereo IP /24 para manter a matemtica simples. Em
redes comerciais, subinterfaces ponto-a-ponto usam tipicamente um prefIXO igual a /30
(mscara 2SS.2SS.2SS.2S2) porque isto permite somente dois endereos IP vlidos - o nmero
exato necessrio em uma subinterface ponto-a-ponto. claro que usar mscaras diferentes
na mesma rede significa que seu protocolo de roteamento tambm deve suportar VLSM.
Endereamento de camada 3 no Frame Relay: abordagem hbrida

A terceira alternativa para endereamento de Camada 3 um hbrido das duas primeiras alternativas. Considere a Figura
13-13, a qual mostra trs roteadores com VCs entre cada um deles, assim como dois outros VCs para sites remotos.

Existem duas opes para endereamento de Camada 3, neste caso. A primeira tratar cada VC como sendo um grupo
separado de Camada 3. Neste caso, cinco sub-redes sero necessrias para a rede Frame Relay. Porm, os Roteadores
A, B e C criam uma rede menor totalmente em malha entre eles. Isto permite que os Roteadores A, B e C usem uma subrede. Os outros dois VCs - um entre os Roteadores A e D e outro entre os Roteadores A e E - so tratados como dois
grupos separados de Camada 3. Isto resulta em um total de trs sub-redes.
Figura 13-13 Hbrido entre Rede Totalmente e Parcialmente em Malha
Para ter qualquer um dos tipos de endereamento de Camada 3 neste terceiro e ltimo caso, so usadas subinterfaces.
Subinterfaces ponto-a-ponto so usadas quando um nico VC considerado como sendo tudo o que existe no grupo - por
exemplo, entre os roteadores A e D, e entre os Roteadores A e E. Subinterfaces multiponto so usadas quando mais de
dois roteadores so considerados como sendo do mesmo grupo - por exemplo, no caso dos Roteadores A, B e C.
Subinterfaces multiponto terminam mais de um VC, logicamente. De fato, o nome "multiponto" implica na funo porque
mais de um site remoto pode ser alcanado atravs de um VC associado a uma subinterface multiponto.
A Tabela 13-8 resume os endereos e as subinterfaces usadas na Figura 13-13.
Tabela 13-8 Endereos IP Com Subinterfaces Ponto-a-Ponto e Multiponto

Roteador
Sub-rede
Endereo IP
Tipo da Subinterface
140.1.1.0/24
140.1.1.1
Multiponto
----------------------------------------------------------B
140.1.1.0/24
140.1.1.2
Multiponto
140.1.1.0/24
140.1.1.3
Multiponto
140.1.2.0/24
140.1.2.1
Ponto-a-Ponto
140.1.2.0/24
140.1.2.4
Ponto-a-Ponto
140.1.3.0/24
140.1.3.1
Ponto-a-Ponto
140.1.3.0/24
140.1.3.5
Ponto-a-Ponto
.
.
O que voc ver em uma rede de verdade? Na maior parte das vezes, so usadas subinterfaces ponto-a-ponto, com uma
nica sub-rede por PVC. No entanto, voc deveria entender todas as opes para os exames CCNA.
NOTA O Captulo 14 disponibiliza configuraes completas para todos os trs casos ilustrados
atravs das Figuras 13-11, 13-12 e 13-13.
CCNA ICND2
347
Manipulao de broadcast na camada 3
Depois de despender esforos com o endereamento de Camada 3 sobre Frame Relay, o prximo item a considerar
como lidar com broadcasts na Camada 3. O Frame Relay pode enviar cpias de um broadcast sobre todos os VCs, mas
no existe nenhum equivalente aos broadcasts de LAN. Em outras palavras, no existe nenhuma capacidade para que
um DTE Frame Relay envie um nico frame para uma rede Frame Relay, e tenha este frame replicado e entregue
atravs de mltiplos VCs, para mltiplos destinos. No entanto, os roteadores precisam enviar broadcasts para que diversas
facilidades funcionem. Em particular, atualizaes de protocolo de roteamento podem ser tanto broadcasts como multicasts.
A soluo para o dilema do broadcast no Frame Relay possui duas partes. Na primeira parte, o software lOS da Cisco
envia cpias dos broadcasts atravs de cada VC, assumindo que voc configurou o roteador para encaminhar estes
broadcasts necessrios. Se houver somente poucos VCs, isto no seria um grande problema. No entanto, se centenas de
VCs terminarem em um roteador, centenas de cpias seriam enviadas, para cada broadcast.
Na segunda parte da soluo, o roteador tenta minimizar o impacto da primeira parte da soluo. O roteador coloca as cpias dos
broadcasts em uma fila de sada diferente em relao quela usada pelo trfego de usurio, de modo que o usurio no sentir um
pico de atraso muito longo cada vez que um broadcast for replicado e enviado para todos os VCs. O software lOS da Cisco
tambm pode ser configurado para limitar a quantidade de largura de banda que ser usada para estes broadcasts replicados.
Embora estas questes a respeito de escalabilidade sejam mais provveis de aparecerem no exame de Roteamento
CCNP, um pequeno exemplo mostra a importncia da sobrecarga causada por um broadcast. Se um roteador conhece
1000 rotas, usa o RIP e possui 50 VCs, 1.072 MB de atualizaes RIP sero enviadas a cada 30 segundos. Isto d uma
mdia de cerca de 285 kbps. (A matemtica foi feita da seguinte maneira: pacotes RIP de 536 bytes, com 25 rotas em
cada pacote, vezes 40 pacotes por atualizao, com cpias enviadas atravs de 50 VCs. 536 * 40 * 50 = 1.072 MB a cada
intervalo de atualizao. 1.072 * 8/30 segundos = 285 kbps.) Isto um bocado de sobrecarga!
A forma de dizer ao roteador para encaminhar estes broadcasts para cada VC ser coberta na seo "Configurao e
Verificao do Frame Relay", no Captulo 14. As questes relativas forma de se lidar com o volume destas atualizaes
so tpicos mais associados aos exames CCNP e CCIE.
: Controlando a velocidade e os descartes na nuvem Frame Relay
Este captulo j examinou os tpicos mais importantes do Frame Relay relacionados forma como o Frame Relay
entrega os frames atravs da rede. Esta pequena seo final examina algumas estratgias que voc pode usar para fazer
ajustes [mos na operao de uma rede Frame Relay.
O cabealho Frame Relay inclui trs flags de um bit cada, que o Frame Relay pode usar para ajudar a controlar o que
acontece dentro de uma nuvem Frame Relay. Estes bits podem ser teis em particular quando um ou mais sites usam
uma taxa de acesso - a taxa de clock de um link de acesso - que excede de longe o CIR de um vc. Por exemplo, se um
roteador possuir um link de acesso Frame Relay TI, mas apenas 128 kpbs de CIR (Committed Information Rate, ou
Taxa de Informao Comissionada) em um VC que vai atravs deste enlace, o roteador pode enviar muito mais dados
para dentro da rede Frame Relay do que o contrato de negcios com o provedor de Frame Relay permite. Esta seo
examina os 3 bits que impactam a forma como os switches podem ajudar a controlar a rede quando a rede ficar
congestionada por causa destes descompassos na velocidade - cujos nomes so: FECN (Forward Explicit Congestion
Notification) , BECN (Backward Explicit Congestion Notification) e DE (Discard Eligibility).
FECNeBECN
Para lidar com situaes em que um roteador pode enviar mais dados que o VC permite, o lOS inclui um recurso
chamado Traffic Shaping, que possibilita que um roteador envie alguns pacotes, espere, envie mais, espere novamente
e assim por diante. Traffic Shaping permite que o roteador abaixe a taxa mdia de envio de bits a uma velocidade menor
que a taxa de acesso, at mesmo to baixa quanto o CIR de um Vc. Por exemplo, com um link de acesso TI e um CIR
de 128 kbps, o Traffic Shaping poderia ser definido de modo a enviar uma mdia de apenas 256 kbps atravs do VC. A
idia que o provedor do Frame Relay ir provavelmente descartar um bocado de trfego se o roteador enviar dados
atravs deste VC a uma mdia prxima velocidade do TI, que de 12 vezes o CIR, neste caso. No entanto, o provedor
de Frame Relay poder no descartar o trfego se a taxa mdia for de apenas 256 kbps - duas vezes o CIR, neste caso.
Voc pode configurar o Traffic Shaping para usar uma nica velocidade ou para se adaptar de modo a ficar entre duas configuraes
de velocidade. Quando o mesmo for configurado para se adaptar entre duas velocidades, se a rede no estiver congestionada, a
velocidade mais alta ser usada; quando a rede estiver congestionada, o roteador se adaptar de modo a usar a taxa mais baixa
Para se adaptar s taxas, os roteadores precisam de uma maneira de saber se est ocorrendo congestionamento - e a
que entram o FECN e o BECN. A Figura 13-14 mostra a utilizao bsica dos bits FECN e BECN.
Figura 13-14 Operao Bsica do FECN e do BECN
/;~~;~
:.Ch_
...
Rede Frame Relay
O FECN e o BECN so bits do cabealho Frame Relay. Em qualquer ponto - ou em um roteador ou dentro de uma
nuvem Frame Relay - um dispositivo pode ligar o bit FECN, o que significa que este frame em particular passou por
congestionamento. Em outras palavras, o congestionamento existe na direo em que este frame est sendo encaminhado .
Na Figura 13-14, no Passo 1, o roteador envia um frame, com FECN=O. O switch Frame Relay percebe o congestionamento
e configura FECN = 1 no Passo 2.
Porm, o objetivo de todo o processo fazer com que o roteador que enviou - RI , nesta figura - abaixe a velocidade .
Sendo assim, sabendo que o FECN foi ligado em um frame no Passo 2 da figura, o switch Frame Relay pode ligar o bit
BECN no prximo frame que estiver indo de volta para RI atravs daquele VC, mostrado como sendo o Passo 3 na
figura. O BECN informa RI de que ocorreu congestionamento na direo oposta, ou seja, para trs, com relao
direo do frame. Em outras palavras, ele diz que ocorreu congestionamento para o frame enviado de RI para R2. RI
pode ento escolher entre abaixar (ou no) a velocidade, dependendo de como o Trafic Shaping estiver configurado.
o bit DE (Discard Eligibility)

Quando a rede do provedor fica congestionada, parece ser razovel que o provedor tente descartar os frames enviados
pelos clientes que esto causando o congestionamento. Os provedores tipicamente constroem suas redes para lidar com
cargas de trfego muito alm dos CIRs coletivos de todos os VCs. No entanto, se um ou mais cliente abusar do direito de
enviar dados a velocidades muito alm das velocidades de CIR contratadas, o provedor poderia corretamente descartar
apenas o trfego enviados por estes clientes.
Os protocolos Frame Relay definem uma maneira de diminuir o impacto quando o cliente envia mais do que CIR bits por
segundo sobre um VC, fazendo com que o provedor descarte alguns frames. O cliente pode configurar o bit DE em
alguns frames. Se os switches do provedor precisarem descartar frames por causa de congestionamento, os switches
podem descartar os frames que tenham o bit DE ligado. Se o cliente ligar o bit DE nos frames corretos, tais como para
os de trfego de menor importncia, o cliente pode garantir que o trfego importante atravessar a rede Frame Relay,
mesmo quando o provedor tiver de descartar trfego. Quando a rede do provedor no estiver to congestionada, o cliente
pode enviar muitos dados extras atravs da rede Frame Relay sem que o mesmo seja descartado.

/;~~;~o
:' Ch_
....
Descrio
Figura 13-1
Figura listando diversos termos relacionados

topologia Frame Relay
Nmero da Pgina
335
Tabela 13-2
---------------------------------------------------------------
Lista
Duas funes importantes do LMI do Frame Relay
339
Tabela 13-4
Tipos de LMI no Frame Relay e os termos para

configurao do tipo de LMI
339
340
Figura mostrando cabealhos e posies para
os cabealhos adicionais da Cisco e do IETF
no Frame Relay
-----------------------------------------------------------------------------342
Figura mostrando o conceito de endereamento
Figura 13-9
global no Frame Relay
CCNA ICND2
Tabela listando os termos-chave e as definies
do Frame Relay
349
336
Figura 13-6
Lista
Trs opes para sub-redes usadas em uma

rede Frame Relay
344
Figura 13-14
Operao e uso dos bits FECN e BECN
348
Imprima uma cpia do Apndice J, Tabelas de memria, ou pelo menos a seo referente a este captulo e complete as
tabelas e listas usando a memria. O Apndice K, "Respostas das tabelas de memria", inclui as tabelas e listas
completadas para voc conferir o seu trabalho.
Defina os seguintes termos-chave deste captulo e verifique suas respostas no glossrio:
,.
ARP Inverso, CIR (Committed Information Rate, ou Taxa de Informao Comissionada), DCE
do Frame Relay, DLCI (Data-Link Connection Identifier), DTE do Frame Relay, link de acesso,
LMI (Local Management Interface), mapeamento Frame Relay, NBMA (nonbroadcast
multiaccess), PVC (Permanent Virtual Circuit, ou Circuito Virtual Permanente), taxa de acesso,
VC (Vutual Circuit, ou Circuito Virtual).

seguintes assuntos:
Configurao e verificao do Frame Relay: esta seo
mostra como configurar os recursos necessrios e opcionais

do Frame Relay, e como fazer uma verificao bsica para
cada recurso.
Resoluo de problemas de Frame Relay: esta seo

analisa um processo atravs do qual um engenheiro
consegue encontrar o motivo pelo qual um roteador Frame
Relay no consegue fazer ping em outro roteador Frame
Relay.
CAPTULO 14
Configurao e resoluo de problemas de

Frame Relay
o Captulo 13, "Conceitos de Frame Relay" introduziu e explicou os principais conceitos por detrs de Frame
Relay. Este captulo mostra como configurar os recursos dos roteadores Cisco, como conferir se cada recurso
est funcionando, e como resolver problemas relativos ao encaminhamento de pacotes atravs de uma rede
Frame Relay.
destas oito questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame". A Tabela 14-1lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
Tabela 14-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu j conheo isto?"
Perguntas
Configurao e verificao do Frame Relay
1-5
Resoluo de problemas de Frame Relay
6-8
1. Imagine dois roteadores Cisco, RI e R2, usando um servio de Frame Relay. RI se conecta a um switch que usa o
tipo ANSI T1.617 de LMI, e R2 se conecta a um switch que usa ITU Q.933a. Quais termos poderiam ser usados na
configurao de RI e de R2, de modo que os LMIs funcionem corretamente?
a. ansi e itu
b. T1617 e q933
c. ansi e q933
d. T1617 e itu
e . Isto no funcionar com dois tipos diferentes.
2.
BettyCo possui cinco sites, com roteadores conectados mesma rede Frame Relay. Foram definidos VCs entre cada
par de roteadores. Betty, a presidente da companhia, ir demitir qualquer um que configurar qualquer coisa que possa
ser deixado facilmente como default. Qual(is) dos seguintes comandos de configurao, usados para a rede Frame
Relay, faria(m) com que o engenheiro fosse demitido?
a. ip address
b. encapsulation
c. lmi-type
d. frame-relay map
e. frame-relay inverse-arp
352
Captulo 14: Configurao e resoluo de problemas de Frame Relay
3. WilmaCo possui alguns roteadores conectados rede Frame Relay. RI um roteador de um site remoto, com um
nico VC ligado matriz de WilmaCo. A configurao atual de RI se parece com:
ip address 10.1.1 . 1 255.255.255.0
encapsulation frame-relay
Wilma, a presidente da companhia, ouviu falar que subinterfaces ponto-a-ponto so legais, e ela quer que voc altere a
configurao para usar uma subinterface ponto-a-ponto. Qual(is) dos seguintes comandos voc precisar usar para
alterar a configurao?
a. no ip address
b. interface-dlci
c. no encapsulation
d. encapsulation frame-relay
e. frame-relay interface-dlci
4. WilmaCo possui outra rede com um roteador no site principal, que possui dez VCs conectados a dez sites remotos.
Wilma agora acha que subinterfaces multi ponto so at mais legais que ponto-a-ponto. A configurao atual do
roteador do site principal se parece com:
ip address 172.16 . 1.1 255.255.255.0
Wilma quer que voc altere a configurao para usar uma subinterface multiponto. Qual(is) das seguintes opes voc
precisar para alterar a configurao? (Nota: DLCls 101 a 110 foram usados para os dez VCs.)
a. interface-dlci 101 110

b. interface-dlci 101-110
c . Dez comandos interface-dlci diferentes
d. frame-relay interface-dlci 101 110

e. frame-relay interface-dlci 101-110
f. Dez comandos frame-relay interface-dlci diferentes
5. Qual(is) dos seguintes comandos apresenta(m) a informao aprendida pelo ARP Inverso?
a. show ip arp
b. showarp
c. show inverse arp
d. show frame-relay inverse-arp
e. show map
f. show frame-relay map
6. Qual das seguintes opes so cdigos de estado de PVC no Frame Relay, no(s) qual(is) um roteador envia frames
para o PVC associado?
a. up
b. Down
c. Ativo
d. Inativo
e . Esttico
f. Deletado
CCNA ICND2
353
7. O roteador RC do site central possui VCs que se conectam a dez roteadores remotos (RI a RIO), sendo os DLCls
locais de RC, de 101 a 110, respectivamente. RC agrupou os DLCls 107, 108 e 109 em uma nica subinterface
multiponto SOI0.789, cujo estado corrente "up and up". Qual(is) das seguintes opes deve(m) ser vedadeira(s)?
a. A Serial 010 poderia estar em um estado up/down.
b. O PVC com DLCI 108 poderia estar em um estado inativo.
c. O comando show frame-relay map apresenta informaes sobre mapeamento para todos os trs VCs.
d. Ao menos um dos trs PVCs est em um estado ativo ou esttico.
8. O roteador Frame Relay RI usa a interface SOlO para se conectar a um link de acesso Frame Relay. A interface
fsica est no estado up/down. Qual(is) dos seguintes itens poderia(m) causar o problema?
a. O link de acesso possui um problema fsico e no pode passar bits entre o roteador e o switch.
b. O switch e o roteador esto usando tipos diferentes de LMI.
c. Est faltando o comando encapsulation frame-relay na configurao do roteador, na interface SOlO.
d. O roteador recebeu uma mensagem de estado LMI vlida que listava alguns dos DLCls como inativos.
Tpicos fundamentais
Este captulo possui duas sees principais. A primeira seo examina a configurao do Frame Relay, com explicaes
a respeito de diversos comandos show. A segunda seo discute como abordar e resolver problemas de Frame Relay.
: Configurao e verificao do Frame Relay
A configurao do Frame Relay pode ser bem bsica ou um tanto quanto detalhada, dependendo de quantas configuraes
default podem ser usadas. Por default, o lOS da Cisco automaticamente percebe o tipo de LMI e descobre automaticamente
o mapeamento entre o DLCI e os endereos IP que so next-hop (usando o ARP Inverso). Se voc usa roteadores que
so todos da Cisco, o default de usar o encapsulamento da Cisco funcionar sem nenhuma configurao adicional. Se
voc tambm conceber a rede Frame Relay para usar uma nica sub-rede, voc pode configurar os roteadores para que
usem as interfaces fsicas sem nenhuma subinterface - fazendo com que a configurao se tome menor ainda. De fato,
se usarmos tantas configuraes default quantas forem possveis, o nico comando novo de configurao para o Frame
Relay, quando comparado a WANs ponto-a-ponto, o comando encapsulation frame-realy.
As questes sobre Frame Relay nos exames CCNS podem ser difceis por duas razes. Primeiro, o Frame Relay inclui
uma variedade de configuraes opcionais que podem ser feitas. Segundo, para engenheiros de rede que j possuem
alguma experincia com Frame Relay, esta experincia pode estar relacionada a uma dentre trs opes principais para
configurao de Frame Relay (fsica, multiponto ou ponto-a-ponto), mas os exames cobrem todas as opes. Portanto,
para os exames, importante que voc invista tempo para ver exemplos das trs opes, que sero cobertas aqui.
Planejando uma configurao de Frame Relay
Os engenheiros devem fazer uma quantidade razovel de planejamentos antes de saber por onde comear com a
configurao. Embora a maioria das Empresas modernas possua conexes Frame Relay, quando voc estiver planejando
novos sites, voc deve considerar os seguintes itens e comunic-los ao provedor de Frame Relay, que por sua vez tero
alguns impactos nas configuraes de Frame Relay dos roteadores:
- DefInir quais sites fsicos precisaro de um link de acesso Frame Relay instalado, e defInir a taxa de clock (taxa de
acesso) usada em cada link.
- DefInir cada VC identifIcando as extremidades e configurando o CIR
- Combinar um tipo de LMI (geralmente indicado pelo provedor)
Alm disso, o engenheiro dever escolher o tipo particular de configurao baseado nos itens a seguir. Para estes itens,
o engenheiro da empresa no precisa consultar o provedor de Frame Relay:
- Selecionar o esquema de sub-rede IP: uma sub-rede para todos os VCs, uma sub-rede para cada VC ou uma subrede para cada subconjunto que estiver totalmente em malha.
354 Captulo 14: Configurao e resoluo de problemas de Frame Relay

- Selecionar se deve atribuir endereos IP para subinterfaces fsicas, multiponto ou ponto-a-ponto.
- Selecionar quais VCs precisam usar o encapsulamento IETF ao invs do valor default "cisco". Encapsulamento
IETF usado tipicamente quando um roteador no um roteador da Cisco.
Depois que o planejamento estiver completo, os passos da configurao decorrem diretamente das escolhas feitas quando
a rede foi planejada. A seguinte lista resume os passos da configurao, principalmente como uma ferramenta para
ajudar voc a se a lembrar de todos os passos quando voc estiver fazendo sua preparao fmal para o exame. Sinta-se
vontade para voltar a esta lista medida que os exemplos seguintes mostrarem como configurar as diversas opes.
(No h necessidade de se memorizar os passos; a lista somente uma ferramenta para ajudar voc a organizar suas
idias a respeito da configurao.)
/~~~;~o Passo 1 Configure a interface fsica para usar encapsulamento Frame Relay (subcomando de interface encapsulation
" Chave
....
frame-relay) .
Passo 2 Configure um endereo IP na interface ou sub interface (subcomando ip address).
Passo 3 (Opcional) Configure o tipo de LMI manualmente em cada interface serial fsica (sub comando de interface
frame-relay lmi-type).
Passo 4 (Opcional) Mude o encapsulamento default de cisco para ietf da seguinte forma:
a. Para todos os VCs da interface, adicione o termo ietf ao subcomando de interface encapsulation frame-relay.
b. Para um nico VC, adicione o termo ietf ao subcomando de interface frame-relay interface-dlci (somente
subinterfaces ponto-a-ponto) ou ao comando frame-relay map.
Passo 5 (Opcional) Se voc no estiver usando o ARP Inverso (default) para mapear o DLCI ao endereo IP do
roteador next-hop, defina um mapeamento esttico usando o subcomando de interface frame-relay map ip dlci ipaddress broadcast.
Passo 6 Nas subinterfaces, associe um (ponto-a-ponto) ou mais (multiponto) DLCls com a subinterface, atravs de
uma destas duas maneiras:
a. Usando o subcomando de subinterface frame-relay interface-dlci dlci
b. Como conseqncia do mapeamento esttico, usando o subcomando de subinterface frame-relay map ip dlci ipaddress broadcast.
O restante desta seo mostra exemplos de todos estes passos de configurao, juntamente com algumas discusses a
respeito de como verificar se a rede Frame Relay est funcionando corretamente.
Rede totalmente em malha com uma sub-rede IP

O primeiro exemplo mostra a mais concisa das configuraes Frame Relay possveis, uma que usa somente os dois
primeiros passos da lista de verificao para configurao deste captulo. O design para o primeiro exemplo inclui as
seguintes opes:
- Instalar um link de acesso em trs roteadores.
- Criar uma malha completa de PVCs.
- Usar uma nica sub-rede (rede Classe C 199.1.1.0) na rede Frame Relay.
- Configurar os roteadores usando suas interfaces fsicas.
Use as configuraes default para LMI, ARP Inverso e encapsulamento. Os Exemplos 14-1, 14-2 e 14-3 mostram a
configurao para a rede mostrada na Figura 14-1.
CCNA ICND2
Figura 14-1 Rede Totalmente em Malha com Endereos IP
Sub-rede 199.1.10.0/24
Mount Pilot
Sub-rede 199.1.11.0/24
Raleigh
Sub-rede 199.1.12.0/24
Exemplo 14-1 Configurao de Mayberry
355
interface serialO / O/O

ip address 199.1.1.1 255.255.255.0
interface fastethernet O/ O
ip address 199.1.10.1 255.255.255.0
router eigrp 1
network 199.1.1.0
network 199.1.10.0
Exemplo 14-2 Configurao de Mount Pilot

interface serialO / O/ O
1-
ip address 199 . 1.1.2 255.255.255.0
ip address 199.1 . 11.2 255.255.255.0
router eigrp 1
network 199.1.1.0
network 199.1.11.0
Exemplo 14-3 Configurao de Raleigh

interface serialO / O/ O
ip address 199.1.1.3 255.255.255.0
ip address 199.1.12 . 3 255.255 . 255 . 0
router eigrp 1
network 199.1.1.0
network 199.1.12.0
A configurao simples quando comparada aos conceitos do protocolo. O comando encapsulation frame-relay diz
aos roteadores para usar os protocolos Frame Relay de enlace de dados, ao invs do default, que HDLC. Observe que
os endereos IP nas interfaces seriais dos trs roteadores esto todos na mesma rede Classe C. Alm disso, esta
356
Captulo 14: Configurao e resoluo de problemas de Frame Relay
configurao simples usa as vantagens das seguintes configuraes default do lOS:
-----------------------------------------------------------------1
- O tipo de LMI percebido automaticamente.
- O encapsulamento (default) Cisco ao invs de IETF.
..........
[ Tpico
:, Chave
....
- Os DLCls do PVC so aprendidos atravs de mensagens de estado do LMI.
- O ARP Inverso est habilitado (por default) e acionado quando a mensagem de estado declarando que os VCs
esto ativos recebida.
Configurando o encapsulamento e o LMI
Em alguns casos, os valores default no so apropriados. Por exemplo, voc deve usar o encapsulamento IETF se um
roteador no for um roteador da Cisco. Com o propsito de mostrar uma configurao alternativa, suponha que os
seguintes requisitos tenham sido adicionados:
- O roteador Raleigh precisa de encapsulamento IETF em ambos os VCs.
- O tipo de LMI de Mayberry dever ser ANSI, e o reconhecimento automtico de LMI no deve ser usado.
Para mudar estes defaults, os Passos 3 e 4 apresentados como configuraes opcionais na lista de verificao para
configurao devero ser usados. Os Exemplos 14-4 e 14-5 mostram as alteraes que devero ser feitas em Mayberry
e Raleigh.
Exemplo 14-4 Configurao de Mayberry com Novos Requisitos

interface serial O/O/O
frame-relay lmi-type ansi
frame-relay interface-dlci 53 ietf
ip address 199.1 . 1.1 255 . 255.255.0
rest of configurat i on unchanged from Example 14 -1 .
Exemplo 14-5 Configurao de Raleigh com Novos Requisitos

interface seria l O/O/O
----
encapsulation frame-relay ietf
ip address 199.1. 1. 3 255 . 255.255.0
! rest of con fi gur at ion unch ange d from Example 14-3.
As configuraes diferem das anteriores (dos Exemplos 14-1 e 14-2) de duas maneiras. Em primeiro lugar, Raleigh
alterou seu encapsulamento para ambos os seus PVCs com o termo ietf no comando encapsulation. Este termo se
aplica a todos os VCs da interface. No entanto, Mayberry no pode alterar seu encapsulamento da mesma maneira
porque apenas um dos dois VCs que terminam em Mayberry precisa usar o encapsulamento IETF, e o outro precisa usar
o encapsulamento Cisco. Portanto, Mayberry forado a dar o comando frame-relay interface-dlci, referenciando o
DLCI do VC para Raleigh, usando o termo ietf. Com este comando, voc pode mudar a configurao de encapsulamento
para cada VC, em oposio configurao em Raleigh, que muda o encapsulamento para todos os VCs.
A segunda alterao principal na configurao do LMI. A configurao do LMI em Mayberry estaria correta sem
nenhuma alterao porque o uso do default de reconhecimento automtico de LMI reconheceria ANSI como sendo o tipo
do LMI. No entanto, por causa do uso do subcomando de interface frame-relay lmi-type ansi, Mayberry deve usar ANSI
porque este comando no apenas configura o tipo do LMI, mas tambm desabilita a negociao automtica do tipo de LMI.
NOTA A configurao de LMI uma configurao por interface fsica, mesmo que
subinterfaces estejam sendo usadas, portanto o comando frame-relay lmi-type sempre um
subcomando sob a interface fsica.
Mount Pilot precisa configurar .um comando frame-relay interface-dlci com o termo ietf para seu VC para Raleigh, da
mesma forma que Mayberry. Esta alterao no foi mostrada nos exemplos.
CCNA ICND2
357
Mapeamento de endereos Frame Relay
A Figura 14-1 no se preocupa nem mesmo em listar os DLCls usados para os VCs. As configuraes funcionam
conforme foram apresentadas, e francamente, mesmo que voc nunca conhecesse os DLCls, esta rede funcionaria! No
entanto, para os exames, e para trabalhos em redes reais, voc precisa compreender um conceito importante relacionado
a Frame Relay - o mapeamento de endereo no Frame Relay. A Figura 14-2 mostra a mesma rede, desta vez mostrando
valores globais de DLCI.
Figura 14-2 Rede totalmente em Malha Mostrando DLCls Globais

Sub-rede 199.1.10.0/24
Moun! Pilo!
Raleigh
DLCI53
Sub-rede 199.1.11 .0/24
O "mapeamento" no Frame Relay cria uma correlao entre um endereo de Camada 3 e seu endereo correspondente
na Camada 2. O conceito similar ao cache do ARP para interfaces LAN. Por exemplo, o cache do ARP (Addess
Resolution Protocol) do IP usado em LANs um exemplo de mapeamento de endereo de Camada 3 para Camada 2.
Com o ARP do IP, voc conhece o endereo IP de outro dispositivo na mesma LAN, mas no o endereo MAC; quando
o ARP se completa, voc conhece o endereo (Camada 2) de LAN do outro dispositivo. De modo similar, os roteadores
que usam Frame Relay precisam de um mapeamento entre o endereo de Camada 3 de um roteador e o DLCI usado
para alcanar este outro roteador.
Esta seo discute os pontos bsicos de por que o mapeamento necessrio para conexes LAN e Frame Relay, com o
foco no Frame Relay. Eis uma definio mais genrica de mapeamento:
/;~~o
~ c_
A informao que correlaciona o endereo de Camada 3 de um roteador next-hop com o endereo

de Camada 2 usado para alcan-lo chamado de mapeamento. O mapeamento necessrio em
redes multiacesso.
Pensar a respeito de roteamento ajuda a tornar mais evidente a necessidade do mapeamento. Imagine que um host na
Ethernet de Mayberry envie um pacote IP para um host na Ethernet de Mount Piloto O pacote chega no roteador de
Mayberry atravs da LAN, e Mayberry descarta o cabealho e o trailer Ethernet. Mayberry olha a tabela de roteamento,
a qual lista uma rota para 199.1.11.0, interface de sada Serial O/O/O, e roteador next-hop 199.1.1.2, que o endereo IP
Frame Relay de Mount Piloto
A prxima deciso que o roteador deve tomar para completar o processo evidencia a necessidade do mapeamento: qual
DLCI Mayberry deveria colocar no cabealho Frame Relay? Ns no configuramos nenhum DLCI. No entanto, funciona
como se tivesse sido configurado! Para saber a resposta, considere o Exemplo 14-6, que mostra alguns comandos
importantes que podem ser usados para ver como Mayberry faz a escolha certa para o DLCI.
Exemplo 14-6 Comandos show em Mayberry, Mostrando a Necessidade do Mapeamento

Mayberry# 8how ip route

D
199.1.11.0 / 24 [90/2195456] via 199.1.1.2, 00:00:26, SerialO / O/ O
199.1.10.0/24 is directly connected, FastethernetO/O
199.1.12.0/24 [90/2185984] via 199.1.1.3, 00:01:04, SerialO/O/O
199.1.1 . 0/24 is directly connected, SerialO/O/O
192.68.1.0/24 is directly connected, FastethernetO/O
192.168.1 . 0/24 is directly connected, FastethernetO/O
Mayberry# show frame-re1ay pvc

PVC Statistics for interface SerialO/O/O (Frame Relay DTE)
Active
Inactive
Deleted
Static
Local
Switched
Unused
DLC I
52, DLCI USAGE
LOCAL, PVC STATUS
input pkts 46
output pkts 22
out bytes 1794
dropped pkts O
in BECN pkts O out FECN pkts O

in DE pkts O
ACTIVE, INTERFACE
SerialO/O/O
in bytes 2946
in FECN pkts O
out BECN pkts O
out DE pkts O
out bcast pkts 21 out bcast bytes 1730

pvc create time 00:23:07, last time pvc status changed 00:21:38
DLCI
53, DLCI USAGE
LOCAL, PVC STATUS
ACTIVE, INTERFACE
input pkts 39
output pkts 18
in bytes 2564
out bytes 1584
dropped pkts O
in FECN pkts O

in DE pkts O
SerialO/O/O
out BECN pkts O
out DE pkts O

Mayberry# show frame-re1ay map
SerialO/O/O (up): ip 199 . 1 . 1. 2 dlci 52 (Ox34 , OxC40), dynamic,
broadcast"
status defined, active
SerialO/O/O (up): ip 199.1.1.3 dlci 53(Ox35,OxC50), dynamic,

broadcast"
o exemplo destaca todas as informaes relacionadas ao envio de pacotes para a rede 199.1.11.0/24, de Mayberry para
Mount Pilot. A rota de Mayberry para 199.1.11.0 se refere interface de sada Serial 0/0/0 e para 199.1.1.2 como sendo
o endereo do next-hop. O comando show frame-relay pvc apresenta dois DLCIs, 52 e 53, e ambos esto ativos. Como
Mayberry conhece os DLCIs? Bem, as mensagens de estado do LMI informam Mayberry a respeito dos VCs, dos
DLCIs associados e do estado (ativo).
Qual DLCI Mayberry deve usar para encaminhar o pacote? A sada do comando show frame-relay map tem a resposta.
Observe o termo em destaque "ip 199.1.1.2 dlci 52" na sada. De alguma forma, Mayberry mapeou 199.1.1.2, que o
endereo next-hop da rota, ao DLCI correto, que 52. Portanto, Mayberry sabe usar o DLCI 52 para alcanar o
endereo IP next-hop 199.1.1.2.
Mayberry pode usar dois mtodos para construir o mapeamento mostrado no Exemplo 14-6. Um deles usa um mapeamento
configurado estaticamente, e o outro usa um processo dinmico chamado ARP Inverso. As duas pequenas sees
seguintes explicam os detalhes de cada uma destas opes.
CCNA ICND2
359
ARP Inverso
o ARP Inverso cria clinamicamente um mapeamento entre o endereo de Camada 3 (por exemplo, o endereo IP) e o endereo de
Camada 2 (o DLCI). O resultado final do ARP Inverso o mesmo que o do ARP IP em uma LAN: o roteador constri um
mapeamento entre um endereo de Camada 3 na vizinhana e um endereo de Camada 2 correspondente. Porm, o processo usado
pelo ARP Inverso diferente do ARP em uma LAN. Depois que o VC fica ativo, cada roteador anuncia sua endereo de camada de
rede enviando uma mensagem do ARP Inverso atravs daquele Vc. Isto funciona conforme mostrado na Figura 14-3.
/;~~;~o
Figura 14-3 Processo do ARP Inverso
\ Chave
....
Estado: DLCI 52 Up
Estado: DLCI 51 Up
I-ARP Eu Sou 199.1.1.1 (IP)

I-ARP Eu Sou 199.1 .1.2 (IP)
Como mostrado na Figura 14-3, o ARP Inverso anuncia seus endereos de Camada 3 assim que o LMI sinaliza que os PVCs
esto ativos. O ARP Inverso comea aprendendo o endereo DLCI da camada de enlace de dados (via mensagens LMI), e
depois anuncia seus prprios endereos de Camada 3 que usam este VC. O ARP Inverso fica habilitado, por default.
No Exemplo 14-6, Mayberry mostra duas entradas diferentes na sada do comando show frame-relay map. Mayberry
usa o ARP Inverso para aprender que o DLCI 52 est mapeado ao endereo IP next-hop 199.1.1.2, e que o DLCI 53 est
mapeado ao endereo IP next-hop 199.1.1.3. De modo interessante, Mayberry aprende esta informao recebendo um
ARP Inverso de Mount Pilot e Raleigh, respectivamente.
A Tabela 14-2 resume o que acontece com o ARP Inverso na rede mostrada na Figura 14-2.
Tabela 14-2 Mensagens do ARP Inverso para a Figura 14-2

Roteador
transmissor
Roteador Receptor
DLCI Quando
o Frame Enviado
DLCI Quando
Informao na
o Frame Recebido Mensagem do ARP
Inverso
Mayberry
52
MountPilot
51
Eu sou 199.1.1.1.
Mayberry
53
Raleigh
51
Eu sou 199.1.1.1.
MountPilot
51
Mayberry
52
Eu sou 199.1.1.2.
MountPilot
53
Raleigh
52
Eu sou 199.1.1.2.
Raleigh
51
Mayberry
53
Eu sou 199.1.1.3.
Raleigh
52
MountPilot
53
Eu sou 199.1.1.3.
Para entender o ARP Inverso, observe as duas ltimas colunas da Tabela 14-2. Cada roteador recebe alguns "anncios"
do ARP Inverso. A mensagem do ARP Inverso contm o endereo de Camada 3 do enviador, e o cabealho Frame
Relay, claro, possui um DLCI nele. Estes dois valores so colocados no cache do ARP Inverso, do roteador receptor.
Por exemplo, na terceira linha, Mayberry recebe um ARP Inverso. O DLCI 52 quando o frame chega em Mayberry, e
o endereo IP 199.1.1.2. Isto adicionado na tabela de mapeamento do Frame Relay em Mayberry, o qual est
mostrado na parte em destaque do comando show frame-relay map, no Exemplo 14-6.
Mapeamento esttico no Frame Relay

Voc pode configurar estaticamente as mesmas informaes sobre mapeamento, ao invs de usar o ARP Inverso. Em
uma rede real, voc provavelmente iria seguir adiante e usar o ARP Inverso. Para os exames, voc precisa saber como

configurar os comandos para mapeamento esttico. O Exemplo 14-7 mostra o mapeamento Frame Relay esttico para
os trs roteadores apresentados na Figura 14-2, juntamente com a configurao usada para desabilitar o ARP Inverso.
Exemplo 14-7 Comandos frame-relay map

Mayberry
interface serial 0 / 0 / 0
no frame - relay inverse-arp
frame-relay map ip 199.1.1.2 52 broadcas t
frame-relay map ip 199.1.1.3 53 b roadcas t
Mount pilot
no frame-relay inverse-ar p
frame-relay map ip 199.1.1.1 51 broad cast
frame-relay map ip 199 . 1.1.3 53 broad cas t
Raleigh
no frame - relay inverse-arp
frame-relay map ip 199 . 1 . 1 . 1 51 broadcast
frame-relay map ip 199 . 1.1 . 2 52 broadca s t
O comando frame-relay map dado em Mayberry, referindo-se a 199.1.1.2, usado para pacotes indo de Mayberry para
Mount Pilot. Quando Mayberry cria um cabealho Frame Relay, esperando que o mesmo seja entregue para Mount Pilot,
Mayberry deve usar o DLCI 52. O comando frame-realy map em Mayberry correlaciona o endereo IP de Mount Pilot,
199.1.1.2, ao DLCI usado para alcanar Mount Pilot - o DLCI 52. Da mesma forma, um pacote enviado de volta de Mount
Pilot para Mayberry faz com que Mount Pilot use seu comando map para se referir ao endereo IP de Mayberry, que
199.1.1.1. O mapeamento necessrio para cada endereo next-hop de Camada 3, para cada protocolo de Camada 3 sendo
roteado. Mesmo em uma rede to pequena como esta, o processo de configurao pode ser bem trabalhoso.
I NOTA O termo broadcast necessrio quando o roteador precisa enviar broadcasts ou

multicasts a um roteador vizinho - por exemplo, para suportar mensagens de protocolo de
roteamento, tais como as mensagens de Hellos.
Rede parcialmente em malha com uma sub-rede IP por VC

O segundo exemplo de rede, baseado no cenrio mostrado na Figura 14-4, usa subinterfaces ponto-a-ponto. Os Exemplos
14-8 a 14-11 mostram a configurao para esta rede. Os prompts dos comandos foram includos no primeiro exemplo
porque eles mudam quando voc configura subinterfaces.
Figura 14-4 Rede Parcialmente em Malha com Endereos IP

140.1.11 .0/24
~ I
Rede Frame Relay

Parcialmente em Malha
~ I
..: I
~ I
,... I
50/0/0 DLCI 53
Boston
Charlotte
140.1.12.0/24
140.1.13.0/24
140.1.14.0/24
CCNA ICND2
Exemplo 14-8 Configurao de Atlanta
Atlanta(config)# interface aerialO/O/O
Atlanta(config-if)# encapaulation frame-relay
Atlanta(config-if)# interface aerial 0/0/0.1 point-to-point
361
Atlanta(config-subif) # ip addreaa 140.1.1.1 255.255.255.0

Atlanta(config-subif) frame-relay interface-dlci 52
Atlanta(config-fr-dlci)# interface aerial 0/0/0.2 point-to-point
Atlanta(config-subif)# ip addreaa 140.1.2.1 255.255.255.0
Atlanta(config-subif)# frame-relay interface-dlci 53
Atlanta(config-fr-dlci)# interface aerial 0/0/0.3 point-to-point
Atlanta(config - subif)# ip addreaa 140.1.3.1 255.255.255 . 0
Atlanta(config-subif)# frame-relay interface-d1ci 54
Atlanta(config-fr-dlci)# interface faatethernet %
Atlanta(config-if)# ip addreaa 140.1.11.1 255.255.255.0
Exemplo 14-9 Configurao de Charlotte

interface serialO/O/O
I~
interface serial 0/010.1 point-to-point

ip address 140.1.1.2 255.255 . 255.0
1-
frame-relay interface-d1ci 51
!
interface fastethernet 0 10
ip address 140.1.12 . 2 255.255 . 255.0
Exemplo 14-10 Configurao de Nashville

encapsulation fr ame-relay
interface serial 01010.2 point-to-point

ip address 140.1.2.3 255.255.255.0
frame-relay interface-dlci 51
interface fastethe rnet O/O

ip address 140.1.13.3 255.255.255.0
Exemplo 14-11 Configurao de Boston

i n terface serialOIOIO
encapsulation frame - relay
interface serial 0/010.3 point-to-point

ip address 140.1 . 3.4 255.255.255.0
frame-relay inter face-dlci 51
interface fastethernet O/O

ip address 140.1 . 14.4 255.255.255.0
Novamente, os defaults so abundantes nesta configurao, mas alguns defaults so diferentes com relao a quando
voc est configurando nas interfaces fsicas. O tipo do LMI reconhecido automaticamente, e o encapsulamento Cisco
est sendo usado, que exatamente como nos exemplos das redes totalmente em malha. O ARP Inverso no realmente

necessrio em subinterfaces ponto-a-ponto, mas est habilitado por default para o caso do roteador na outra extremidade
do VC precisar usar o ARP Inverso, conforme ser explicado posteriormente nesta seo.
Dois novos comandos criam a configurao necessria para subinterfaces ponto-a-ponto. O primeiro comando, interface
serial 0/0/0.1 point-to-point cria uma subinterface lgica de nmero 1 sob a interface fsica Serial O/O/O. Depois, o
subcomando de subinterface frame-relay interface-dlci diz ao roteador qual DLCI nico est associado quela subinterface.
Um exemplo de como o comando frame-relay interface-dlci funciona pode ajudar. Considere o roteador de Atlanta na
Figura 14-4. Atlanta recebe mensagens LMI na SerialO/OIO afirmando que trs PVCs, com DLCls 52, 53 e 54 esto
ativos. Qual PVC est associado a qual subinterface? O software lOS da Cisco precisa associar o PVC correto com a
subinterface correta. Isto conseguido atravs do comando frame-relay interface-dlci.
Os nmeros das subinterfaces no precisam ser idnticos aos do roteador na outra extremidade do PVC, nem o nmero do DLCI.
Neste exemplo, eu simplesmente numerei as subinterfaces para que fossem fceis de serem lembradas. Na vida real, til
codificar algumas informaes a respeito do esquema de numerao de sua rede no nmero da subinterface. Por exemplo, uma
empresa pode codificar parte do ID do circuito do provedor no nmero da subinterface, de modo que a equipe de operaes
poderia encontrar a informao correta para passar para a companhia telefnica quando estiver resolvendo problemas no enlace.
Muitos sites usam o DLCI como sendo o nmero da subinterface. claro que informaes teis para resoluo de problemas, tais
como o DLCI, o nome do roteador na outra extremidade do VC e assim por diante tambm podem ser configurados como texto
atravs do comando description. De qualquer forma, no existe nenhum requisito para que os nmeros das subinterfaces sejam
iguais. Este exemplo simplesmente faz com que o nmero da subinterface seja igual ao do terceiro octeto do endereo IP.
Atribuindo um DLCI a uma determinada subinterface

Conforme mencionado na lista de verificao para configurao no comeo da seo "Configurao e verificao do
Frame Relay", quando as subinterfaces estiverem sendo configuradas, os DLCIs devem ser associados a cada subinterface
atravs de uma dentre duas maneiras. Os Exemplos de 14-8 a 14-11 mostraram como associar os DLCIs atravs do
subcomando de subinterface frame-relay interface-dlci. A configurao alternativa seria usar o comando frame-relay
map como sendo um subcomando de subinterface. Este comando faria as duas coisas: associar um DLCI a uma
subinterface e configurar estaticamente um mapeamento de endereo IP de Camada 3 do next-hop com este DLCI. Por
exemplo, em Atlanta, o comando frame-relay map ip 140.1.1.2 52 broadcast sob a interface SOIOIO.1 poderia ser
usado, substituindo o comando frame-relay interface-dlci do Exemplo 14-8.
O roteador desabilita o ARP Inverso em uma subinterface quando o comando frame-relay map configurado. Portanto,
quando estiver usando mapeamento esttico no roteador em uma extremidade do VC, fique ciente de que o roteador na
outra extremidade do VC no receber nenhuma mensagem do ARP Inverso, e portanto pode precisar ser configurado
tambm com o comando frame-relay map.
Comentrios a respeito de endereamento global e local

Quando voc faz os exames CCNA da Cisco, se a figura para uma pergunta mostrar trs ou mais roteadores, voc
deveria ser capaz de decidir facilmente se a figura apresenta valores locais ou globais de DLCI. Por exemplo, a Figura
14-4 mostra um site principal com trs PVCs, um para cada site remoto. No entanto, apenas um DLCI mostrado ao
lado do roteador do site principal, o que implica no uso de endereamento global. Se DLCIs locais estivessem sendo
usados, a figura precisaria mostrar um DLCI para cada PVC ao lado do roteador do site principal.
Nos casos em que uma figura para uma pergunta mostrar apenas dois roteadores, a figura pode no implicar se o
endereamento local ou global de DLCI est sendo usado. Nestes casos, procure por pistas na questo, nas respostas e
em qualquer configurao. As melhores pistas se relacionam ao seguinte fato:
Dado qualquer roteador, apenas valores locais de DLCI esto presentes na configurao ou nos comandos show.
Novamente, considere a Figura 14-4, juntamente com os Exemplos de 14-8 at 14-11. A figura mostra DLCIs globais,
com o DLCI 51 ao lado do roteador de Atlanta. No entanto, os comandos frame-relay interface-dlci no roteador de
Atlanta (Exemplo 14-8) e os comandos show de Atlanta no Exemplo 14-12 a seguir mostram os DLCIs 52, 53 e 54.
Embora a Figura 14-4 tome bvio que o endereo global est sendo usado, mesmo se apenas dois roteadores estivessem
sendo mostrados, os comandos show e os comandos de configurao teriam ajudado a identificar os DLCIs corretos a
serem usados.
CCNA ICND2
363
Verificao no Frame Relay
o Exemplo 14-12 mostra a sada dos comandos EXEC de Frame Relay mais populares do software lOS da Cisco para
monitorar Frame Relay, conforme executados no roteador de Atlanta.
Exemplo 14-12 Sada dos Comandos EXEC em Atlanta

Atlanta# show frame-relay pvc
Active
Inactive
Deleted Static
Local
Switched
Unused
DLCI = 52, DLCI USAGE
LOCAL, PVC STATUS
ACTIVE, INTERFACE
input pkts 843
output pkts 876
in bytes 122723
out bytes 134431
dropped pkts O
in FECN pkts O
SerialO/O/O.1
1o_u _t _ B
_E
_CN
out FECN pkts O _______
I______in BECN pkts O
n DE pkts O
pkts _O
~
____________~____~__~______~____~~__________~
out DE pkts O

-MoreDLCI
53, DLCI USAGE
input pkts O
= LOCAL,
PVC STATUS
ACTIVE,
output pkts 875
out bytes 142417
SerialO/0/O.2
in bytes O
dropped pkts O
in FECN pkts O

in DE pkts O
INTERFACE
out BECN pkts O
out DE pkts O

pvc create time 05:19:51, last time pvc status changed 04 : 55:41
-MoreDLCI = 54, DLCI USAGE = LOCAL, PVC STATUS
input pkts 10
ACTIVE, INTERFACE
output pkts 877
out bytes 142069
in bytes 1274
dropped pkts O
in FECN pkts O

in DE pkts O
SerialO/0/0.3
out BECN pkts O
out DE pkts O
Atlanta# show frame-relay map

SerialO / 0 / 0.3
(up): point-to-point dlci , dlc i
54(Ox36,OxC60) , broadcast

SerialO/0/0.2
(up): point-to-point dlci, dlci 53(Ox35,OxC50), broadcast
SerialO/0/0.1 (up): point-to-point dlci, dlci 52(Ox34,OxC40), broadcast

Atlanta#debug frame-relay lmi

Frame Relay LMI debugging is on
Displaying all Frame Relay LMI data

SerialO/O/O(out): StEnq, myseq 163, yourseen 161, DTE up
datagramstart
FR encap
Ox45AED8, datagramsize
13
OxFCF10309
00 75 01 01 01 03 02 A3 A1
I
I

SerialO/O/O(in): Status, mys eq 163
RT IE 1, len gth 1, type 1
KA IE 3, length 2, yourseq 162, mys eq 163
o comando show frame-relay
pvc apresenta informaes teis de gerenciamento. Por exemplo, os contadores de
pacotes para cada VC, mais os contadores para FECN e BECN, podem ser teis, em particular. Da mesma forma,
comparar os pacotes/bytes enviados por um roteador versus os contadores daquilo que foi recebido no roteador da outra
extremidade do VC bastante til. Isto reflete o nmero de pacotes/bytes perdidos dentro da nuvem Frame Relay. Alm
disso, o estado do PVC um timo lugar para comear quando se est resolvendo problemas.
O comando frame-relay map mostra informaes sobre mapeamento. Com o exemplo anterior de rede totalmente em
malha, na qual a configurao no usa nenhuma subinterface, um endereo de Camada 3 foi listado com cada DLCI. Neste
exemplo, um DLCI est listado em cada entrada, mas no h nenhuma meno a endereos de Camada 3 correspondentes.
O objetivo geral do mapeamento correlacionar um endereo de Camada 3 com um endereo de Camada 2, mas no existe
nenhum endereo de Camada 3 na sada do comando show frame-relay map! O motivo que esta informao est
armazenada em algum outro lugar. As subinterfaces exigem o uso do comando de configurao frame-relay interfacedJci. Pelo fato destas subinterfaces serem ponto-a-ponto, quando uma rota apresenta uma nica subinterface, o DLCI a ser
usado para enviar frames est implcito na configurao. Mapeamento atravs do ARP Inverso ou comandos frame-relay
map estticos so necessrios apenas quando mais de dois VCs terminam na interface ou na subinterface porque estes so
os nicos casos nos quais pode acontecer alguma confuso a respeito de qual DLCI usar.
A sada de debug frame-relay lmi apresenta informaes para as solicitaes LMI enviadas e recebidas. O switch
envia a mensagem de estado, e o DTE (roteador) envia o estado interrogado. A configurao default com o software lOS
da Cisco enviar, e esperar que estas mensagens de estado sejam recebidas. O comando no keepalive do software
lOS da Cisco usado para desabilitar o uso de mensagens de estado LMI. De forma diferente de outras interfaces, as
mensagens keepallve da Cisco no fluem de roteador para roteador sobre o Frame Relay. Ao invs disso, elas so
simplesmente usadas para detectar se o roteador possui conectividade com o seu switch Frame Relay local.
Rede parcialmente em malha com algumas partes totalmente em malha

Voc tambm pode optar por usar subinterfaces multi ponto em uma configurao Frame Relay. Este ltimo exemplo de
rede, baseado na rede mostrada na Figura 14-5 usa ambas as subinterfaces, multiponto e ponto-a-ponto. Os Exemplos de
14-13 a 14-17 mostram a configurao para esta rede. A Tabela 14-3 resume os endereos e as subinterfaces usadas.
Figura 14-5 Hbrido Entre Rede Totalmente e Parcialmente em Malha
, "
II
,
. - -....."""',
,,
, "
I
DlCI 503..,.--..........
II
,,
,,
,
\
\
\
\
\
\
\
\
~--
,,
,,
,
~-~ ,
DlCI 505, ~~__
-.~-l D
Exemplo 14-13 Configurao do Roteador A

interface seri a lO/O/O
interface serial 0/0 / 0.1 multipoint

ip address 140 . 1.1.1 255.255.255.0
CCNA ICND2
365
frame - relay interface-dl ci 502

frame-relay interface-dlc i
503
------------------------------------------------~----------~-----interface serial 0/0/0.2 po i nt-to-point

ip address 140.1.2.1 255.255.255.0
interface serial 0/0/0.3 point-to-point

ip address 140.1 . 3.1 255.255.255.0
Exemplo 14-14 Configurao do Roteador B

interface serial 0/0/0.1 multipoint

ip address 140.1 . 1.2 255.255.255.0
Exemplo 14-15 Configurao do Roteador C

interface serial 0/0/0.1 multipoint

ip address 140.1.1.3 255 . 255 . 255.0
Exemplo 14-16 Configurao do Roteador D

interface serial 0/0/0.1 point-to-point

ip address 140.1.2.4 255.255.255.0
Exemplo 14-17 Configurao do Roteador E

interfa ce seri a l
0/0/0.1 point- t o-point
ip address 140 . 1.3.5 255.255 . 255.0

Tabela 14-3 Endereos IP com Subinterfaces Ponto-a-Ponto e Multiponto

Roteador
Sub-rede
Endereo IP
Tipo de Subinterface
140.1.1.0/24
140.1.1.1
Multiponto
140.1.1.0/24
140.1.1.2
Multiponto
140.1.1.0/24
140.1.1.3
Multiponto
140.1.2.0/24
140.1.2.1
Ponto-a-ponto

D
140.1.2.0/24
140.1.2.4
Ponto-a-ponto
140.1.3.0/24
140.1.3.1
Ponto-a-ponto
140.1.3.0/24
140.1.3.5
Ponto-a-ponto
Subinterfaces multiponto funcionam melhor quando se possui uma rede totalmente em malha com um conjunto de roteadores.
Nos Roteadores A, B e C, uma subinterface multiponto foi usada na configurao que faz referncia aos outros dois
roteadores porque voc pode pensar nestes trs roteadores como se formassem um subconjunto totalmente em malha na
rede.
O termo multiponto simplesmente significa que existe mais de um VC, de modo que voc pode enviar e receber a partir
de mais de um VC na subinterface. Como nas subinterfaces ponto-a-ponto, as subinterfaces multiponto usam o comando
frame-relay interface-dlci. Observe que existem dois comandos para cada subinterface multi ponto, neste caso, porque
cada um dos dois PVCs associados a esta subinterface deve ser identificado como sendo usado nesta subinterface.
O Roteador A o nico roteador usando ambas as subinterfaces, multiponto e ponto-a-ponto. Na interface SerialO/O/O.l
multiponto do Roteador A, so listados os DLCIs para os Roteadores B e C. Nas outras duas subinterfaces do Roteador
A, que so ponto-a-ponto, apenas um nico DLCI precisa ser listado. De fato, apenas um comando frame-relay interfacedlci permitido em uma subinterface ponto-a-ponto porque apenas um VC permitido. No mais, as configuraes entre
os dois tipos so similares.
Nenhum comando de mapeamento necessrio para as configuraes mostradas nos Exemplos de 14-13 a 14-17 porque
o ARP Inverso fica habilitado por default nas subinterfaces multiponto. O mapeamento nunca necessrio em uma
subinterface ponto-a-ponto porque o nico DLCI associado interface configurado estaticamente atravs do comando
frame-relay interface-dlci.
O Exemplo 14-18 mostra outro comando show frame-relay map, apresentando as informaes de mapeamento aprendidas
com o ARP Inverso, para a subinterface multiponto. Observe que a sada agora inclui os endereos de Camada 3,
enquanto que o mesmo comando usado em subinterfaces ponto-a-ponto (no Exemplo 14-12) no incluem. Isto ocorre
porque as rotas podem se referir a um endereo IP next-hop que pode ser alcanado atravs de uma interface multiponto;
porm, pelo fato de termos mais de um DLCI associado interface, o roteador precisa de informaes sobre mapeamento
para casar o endereo IP do next-hop com o DLCI correto.
Exemplo 14-18 Mapeamento Frame Relay e ARP Inverso no Roteador C

RouterC# show frame-relay map
SerialO/0/0 . 1 (up): ip 140.1.1.1 dlci SOl(Ox1FS,Ox7CSO), dynamic ,
broadcast, , status defined,
active
SerialO/0/0.1 (up) : ip 140.1.1.2 dlci 502 (Ox1F6,Ox7C60), dynamic ,

broadcast, , status defined, active
RouterC#debug frame-relay events

Frame Relay events debugging is on
RouterC# configure terminal
Enter configuration commands, one per line. End wi th Ct rl-Z .
RouterC(config)# interface serial 0/0/0.1
RouterC(config-subif)# shutdown
RouterC(config-subif)#no shutdown
RouterC(config-subif)# AAZZ
RouterC#
SerialO/0/O.1: FR ARP input
SerialO/0/0.1: FR ARP input
SerialO/0/0.1: FR ARP input
datagramstart
OxE42ES8, datagramsize
FR encap = Ox7CS10300
30
CCNA ICND2
367
80 0 0 00 00 0 8 06 00 OF 08 00 0 2 04 00 0 9 00 00
8C 01 01 01 7C 51 8C 01 01 03
d atagramstart
OxE420E8, datagrams i ze = 30
FR e nca p = Ox7C610300
80 00 00 00 08 06 00 OF 08 00 02 0 4 00 09 00 0 0
8C 01 01 02 7C 61 8C 01 0 1 03
As mensagens sobre o ARP Inverso na sada de debug frame-relay events no so to bvias. Um exerccio fcil
procurar pela verso hexa dos endereos IP na sada. Estes endereos esto em destaque no Exemplo 14-18. Por
exemplo, os primeiros 4 bytes de 140.1.1.1 so 8C 010101 em hexadecimal. Este campo comea no lado esquerdo da
sada, portanto fcil reconhec-lo.
Resoluo de problemas de Frame Relay
o Frame Relay possui muitos recursos e opes que podem ser configurados. Tanto na vida real quanto para os exames,
resolver problemas de Frame Relay geralmente significa que voc precisar olhar as configuraes de todos os roteadores
e garantir que as configuraes atendem aos requisitos. Os tipos de LMI devem ser idnticos ou serem detectados
automaticamente, as informaes de mapeamento da Camada 3 precisam ser aprendidas ou mapeadas estaticamente, os
valores corretos de DLCI devem ser associados a cada subinterface e assim por diante. Portanto, para estar bem
preparado para os exames CCNA, voc deve revisar e memorizar as diversas opes de configurao do Frame Relay
e o que significa cada uma destas opes.
No entanto, os exames podem conter questes sobre Frame Relay que exigem que voc encontre um problema sem
olhar a configurao. Esta segunda seo principal deste captulo examina a resoluo de problemas de Frame
Relay, com nfase em como usar comandos show, juntamente com os sintomas de um problema, para isolar a
causa raiz do problema.
Sugesto de processo para resoluo de problemas de Frame Relay
Para isolar um problema de Frame Relay, o processo deveria comear com alguns pings. De modo ideal, pings de
um host que um usurio final em uma LAN para outro host em uma LAN remota podem determinar rapidamente
se a rede pode atender seu verdadeiro objetivo no momento, que o de encaminhar pacotes entre computadores.
Se este ping falhar, um ping de um roteador para o endereo IP Frame Relay de outro roteador o passo seguinte.
Se este ping funcionar, mas o ping do usurio final falhou, o problema provavelmente tem a ver com questes
relativas Camada 3, e resolver tais questes foi devidamente coberto nos Captulos 7 e 11 . Porm, se o ping de um
roteador para o endereo IP Frame Relay de outro roteador falhar, o problema provavelmente est relacionado com
a rede Frame Relay.
Este seo se concentra na resoluo de problemas quando um roteador Frame Relay no consegue fazer ping no
endereo IP Frame Relay de outro roteador. Neste ponto, o engenheiro deveria fazer ping nos endereos IP Frame Relay
de todos os outros roteadores na outra extremidade de cada VC para determinar o seguinte:
Os pings falharam para todos os endereos IP Frame Relay de todos os roteadores remotos, ou alguns pings falharam
e outros funcionaram?
Por exemplo, a Figura 14-6 mostra um exemplo de rede Frame Relay que ser usado nos prximos exemplos deste
captulo. Se RI tentou fazer ping no endereo IP Frame Relay de R2 (10.1.2.2, neste caso) e falhou , a prxima pergunta
seria se os pings de R I para R3 (10.1.34.3) e para R4 (10.1.34.4) funcionam.
Figura 14-6 Exemplo de Rede Frame Relay Para os Exemplos de Resoluo de Problemas
Sub-rede 10.1.2.0/24
(R1/R2)
DLCI102
PC1
..
.. .. .. ,
10.1 .2.1/24
'
'
..................
OLCI101
10.1.2.2124
'
SOIOIO
10.1 .11 .11/24
10 1 341 '"
.. .
PC3
OLCI103
".
...........
........
10.1.12.22/24
........................................... _................................ ..
OLCI104
......... " .
Legenda:
Frame
Relay
Swilch
". ".
". '"
Subrede 10.1.34.0/24
(R1/R3/R4)
'"
".
OLCI101
10.1.34.4/24
10.1 .14.44/24
Este captulo organiza as explicaes a respeito de como resolver problemas de Frame Relay baseado neste primeiro
passo para isolamento do problema. A lista seguinte resume as aes principais, com cada passo desta lista sendo
examinado na seqncia, aps a lista.
Se os pings de um roteador Frame Relay falharem para todos os roteadores remotos cujos VCs compartilham um nico
link de acesso, faa o seguinte:
/;~~;~o Passo 1 Verifique se existem problemas de Camada 1 no link de acesso entre o roteador e o switch Frame Relay local
\~vtI
(todos os roteadores).
Passo 2 Verifique se existem problemas de Camada 2 no link de acesso, particularmente no encapsulamento e no

LMI.
Depois de resolver quaisquer problemas relativos aos dois primeiros passos, ou se os testes originais de ping mostrarem
que o roteador Frame Relay pode fazer ping em alguns, mas no em todos os outros roteadores Frame Relay cujos
VCs compartilham um nico link de acesso, siga estes passos:
Passo 3 Verifique se existem problemas no PVC, baseado no estado do PVC e no estado da subinterface.
Passo 4 Verifique se existem problemas de Camada 2/3 tanto para mapeamento esttico quanto para dinmico (ARP
Inverso).
Passo 5 Verifique se existem problemas de Camada 2/3 relacionado a diferenas no encapsulamento fim-a-fim (cisco
ou ietf) . .
Passo 6 Verifique se existem outras questes relativas Camada 3, incluindo sub-redes diferentes.
O restante deste captulo explica alguns dos detalhes a respeito de cada passo deste processo sugerido para resoluo de
problemas.
Problemas de camada 1 no link de acesso (passo 1)

Se a interface fsica de um roteador usada para o link de acesso Frame Relay no estiver no estado "up and up", o
roteador no poder enviar nenhum frame atravs deste enlace. Se a interface tiver um estado de linha (o primeiro
cdigo de estado da interface) como sendo down, a interface provavelmente tem um problema relacionado Camada 1.
Do ponto de vista da Camada 1, um link de acesso Frame Relay nada mais do que uma linha privativa entre um roteador
e um switch Frame Relay. Sendo assim, os mesmos problemas de Camada 1 existem tanto para este enlace como para
uma linha privativa ponto-a-ponto. Pelo fato das possveis causas raiz e os passos sugeridos para resoluo de problemas
espelharem o que deveria ser feito em uma linha privativa, v seo "Resolvendo problemas de camada I" do Captulo
12, "WANs ponto-a-ponto", para maiores informaes sobre este passo.
CCNA ICND2
369
Problemas de camada 2 no link de acesso (passo 2)
Se o estado de linha da interface fsica de um roteador estiver up, mas o estado de protocolo da linha (segundo cdigo de
estado) estiver down, o enlace possui tipicamente um problema de Camada 2 entre o roteador e o switch Frame Relay
local. Com interfaces Frame Relay, o problema est tipicamente relacionado com o comando encapsulation ou com o
LMI do Frame Relay.
o problema em potencial relacionado ao comando encapsulation bem simples de se verificar. Se a configurao da

interface serial de um roteador omitir o subcomando de interface encapsulation frame-relay, mas o link de acesso
fsico estiver funcionando, a interface fsica ir para o estado up/down. Se a configurao no estiver disponvel, o
comando show interfaces pode ser usado para ver o tipo de encapsulamento configurado, que mostrado nas primeiras
linhas da sada do comando.
o outro problema em potencial est relacionado ao LMI. Mensagens de estado do LMI fluem em ambas as direes
entre o roteador (DTE) e o switch Frame Relay (DCE), por dois motivos principais:
.~~o
c......
Para que o DCE informe o DTE a respeito do DLCI de cada VC e de seu estado
- Para fornecer a funo keepalive, para que o DTE e o DCE possam dizer facilmente quando o link de acesso no
pode mais passar trfego
Um roteador coloca um enlace fsico no estado up/down quando o enlace funciona fisicamente, mas o roteador para de
ouvir mensagens LMI do switch. Se a interface no estiver no estado up/up, o roteador no tentar enviar nenhum pacote
IP atravs da interface, portanto todos os pings iro falhar neste ponto.
Um roteador poder parar de receber mensagens LMI do switch tanto por razes legtimas quanto por causa de erros. O
propsito normal e legtimo da funo keepalive do LMI de fazer com que, se o enlace realmente estiver com problemas
e no puder transmitir dados, o roteador possa perceber a perda de mensagens keepalive e desabilitar o enlace. Isto
permite que o roteador use uma rota alternativa, assuroindo que a mesma exista. No entanto, um roteador pode parar de
receber mensagens LMI e desabilitar a interface por causa dos seguintes erros:
- O LMI foi desabilitado no roteador (atravs do subcomando de interface fsica no keepalive), mas foi deixado como
habilitado no switch - ou vice-versa
- Foram configurados tipos diferentes de LMI no roteador (atravs do subcomando de interface fsica frame-relay
Imi-type type) e no switch
Voc pode facilmente verificar ambos, o encapsulamento e o LMI, usando o comando show frame-relay lmi. Este
comando apresenta sadas apenas para interfaces que possuem o comando encapsulation frame-relay configurado,
assim voc pode confirmar rapidamente se o comando encapsulation frame-relay foi configurado nas interfaces seriais
corretas. Este comando tambm mostra o tipo do LMI usado pelo roteador, e mostra contadores para o nmero de
mensagens LMI enviadas e recebidas. O Exemplo 14-19 mostra um exemplo do roteador RI da Figura 14-6.
Exemplo 14-19 Comando show frame-relay lmi em Ri
R1#ahow frame-relay lmi

LMI Sta t i s tics for interface SerialO / O/O I (Frame Relay DTE ) LMI TYPE = ANSI
Invalid Unnumbe red i n fo O Invalid Prot Di s c O
Inva lid dumrny Ca ll Ref O Invalid Msg Type O
Invalid Status Me s sage O I nvalid Lock Shift O
I n v al id Informat i o n ID O Invalid Rep ort I E Len O
Inva lid Report Request O Invalid Keep IE Len O
___
Num Status Enq. Sent 122 Num Status msgs Rcvd 34

Num Update Sta tus Rcvd O Num Status Timeouts 88
La st Ful l Status Req 00:00:04 Las t Fu ll Sta tus Rcvd 00:13:24
Para este exemplo, o roteador RI foi configurado estaticamente com o subcomando de interface frame-relay Imi-type
ansi, com o switch SI ainda usando o tipo cisco de LMI. Quando a configurao do LMI foi alterada, o roteador e o
switch tinham trocado 34 mensagens LMI (do tipo cisco). Depois da mudana, o contador do nmero de mensagens
enviadas para interrogar estado em RI continuou aumentando (122 quando a sada do comando show frame-relay Imi
foi capturada), mas o contador do nmero de mensagens de estado LMI recebidas do switch permaneceu em 34. Logo
abaixo deste contador est o nmero de timeouts, que conta o nmero de vezes que o roteador esperou receber uma
mensagem LMI peridica do switch, mas no recebeu. Neste caso, o roteador estava ainda recebendo as mensagens
LMI, mas elas no eram mensagens LMI ANSI, portanto o roteador no as entendeu nem reconheceu.
Se o uso repetido do comando show frame-relay lmi mostrar que o nmero de mensagens de estado recebidas permanece
o mesmo, a causa provvel, ao invs de ser um enlace que no est funcionando, que os tipos de LMI no so iguais.
A melhor soluo permitir o reconhecimento automtico de LMI atravs da configurao do sub comando de interface
fsica no frame-relay lmi-type type, ou, de maneira alternativa, configurar o mesmo tipo de LMI que foi usado no
switch.
Se voc achar e corrigir qualquer problema encontrado nos Passos 1 e 2, em todos os roteadores Frame Relay conectados,
todas as interfaces fsicas dos links de acesso dos roteadores devero estar no estado up/up. Os quatro ltimos passos
analisam problemas que se aplicam a PVCs individuais e vizinhos.
Problemas e estado do PVC (passo 3)

O objetivo neste passo do processo de resoluo de problemas descobrir o DLCI do PVC usado para alcanar um
determinado vizinho, e depois descobrir se o PVC est funcionando. Para se determinar o PVC correto, particularmente
se pouca ou nenhuma configurao ou documentao estiver disponvel, voc ter de comear com o comando ping que
falhou. O comando ping identifica o endereo IP do roteador vizinho. Baseado no endereo IP do vizinho, alguns comandos
show podem ligar o endereo IP do vizinho com a sub-rede conectada associada, a sub-rede conectada com a interface
do roteador local, e a interface do roteador local com os possveis DLCIs. Alm disso, a informao de mapeamento do
Frame Relay pode identificar o PVC especfico. Embora este livro tenha coberto todos os comandos usados para encontrar
estas informaes, a lista a seguir resume os passos que levaro voc do endereo IP do vizinho at o DLCI local correto
usado para enviar frames para este vizinho.
Passo 3a Descubra o endereo IP e a mscara de cada interface/subinterface Frame Relay (show interfaces, show
ip interface brief) e calcule as sub-redes conectadas.
Passo 3b Compare o endereo IP do comando ping que falhou, e selecione a interface/subinterface cuja sub-rede
conectada seja a mesma sub-rede.
Passo 3c Descubra o(s) PVC(s) que foi (foram) atribudo(s) a esta interface ou subinterface (show frame-relay
~.
Passo 3d Se mais de um PVC foi atribudo interface ou subinterface, determine qual PVC usado para alcanar um
determinado vizinho (show frame-relay map).
NOTA Como lembrete, listas como esta so feitas para se ter uma referncia prtica quando
voc estiver lendo o captulo. fcil achar a lista quando voc estiver estudando e quiser se
lembrar de uma deter minada parte a respeito de como atacar um dado problema. Voc no
precisa decorar a lista, mas pratique-a at que voc absorva a informao.
Os Passos 3a, 3b, 3c e 3d descobrem o PVC correto a ser examinado. Depois que o mesmo for descoberto, o Passo 3 do
processo sugerido para resoluo de problemas interpreta o estado deste PVC, e da interface ou subinterface associada,
para determinar a causa de qualquer problema.
Esta seo observa mais de perto um exemplo no qual RI no consegue fazer ping no endereo IP Frame Relay de R2,
que 10.1.2.2. Antes de focar no processo de determinar qual VC foi usado, til ver a resposta final, de modo que a
Figura 14-7 mostra alguns dos detalhes. Para este exemplo, o comando ping 10.1.2.2 de RI falha neste caso.
CCNA ICND2
371
Figura 14-7 Fatos Relativos Configurao, Relacionados Falha no Comando ping 10.1.2.2 de RI
Tabela de Roteamento de R1
Sub-rede
10.1.2.0/24
Int. de Sada
SO/0/0.2
Next-hop
N/A
Configurao de R1
SO/0/0.2 Ponto-a-Ponto
10.1.2.1/24
DLCI102
DLCI102 ..................... ..
......... .........
......... ...
...... ...........
.......... . . ......
-10.1.2.2124
...
Encontrar a sub-rede conectada e a interface de sada (passos 3a e 3b)

Os primeiros dois subpassos para encontrar o PVC de RI (DLCI) que se conecta a R2 (Subpassos 3a e 3b) deveriam ser
relativamente simples, assumindo que voc j tenha terminado as' Partes 11 e m deste livro. Sempre que voc fizer um
ping no endereo IP Frame Relay de um roteador vizinho, este endereo IP deveria estar em uma das sub-redes tambm
conectadas ao roteador local. Para achar a interface usada por um roteador local quando estiver encaminhando pacotes
para o roteador remoto, voc s precisa encontrar a sub-rede conectada em comum.
Neste exemplo, com RI fazendo ping em 10.1.2.2, o Exemplo 14-20 mostra alguns comandos que confirmam que a
subinterface SO/0/0.2 de RI est conectada na sub-rede 10.1.2.0/24, que inclui o endereo IP 10.1.2.2 de R2.
Exemplo 14-20 Encontrando a Sub-rede 10.1.2.0/24 e a Subinterface SO/0/0.2
R1> show ip interface brief
Interface
IP-Address
OK?
Method
Status
Protocol
Fa stEthernetO/O 10.1.11.1
YES
NVRAM
up
Fas tEthernetO/1 unassigned
YES
NVRAM administratively down
Se rialO/O/O
unassigned
YES
NVRAM
up
up
SerialO/0 / 0.2
10.1.2.1
YES
NVRAM
down
down
SerialO/0/0.5
10.1.5.1
YES
manual
down
down
SerialO/0/0.34
10.1.34.1
YES
NVRAM
up
up
up
down
R1# show interfaces s 0/0/0.2

Seri a lO/0/0.2 is down,
line protocol is down
Hardware i s GT96K Serial
1-
Internet address is 10.1 . 2.1 / 24
1-

Encapsulation FRAME-RELAY
Encontrar os PVCs atribudos interface (Passo 3c)

O comando show frame-relay pvc responde diretamente questo sobre quais PVCs foram atribudos a quais interfaces
e subinterfaces. Se o comando for executado sem nenhum parmetro, o comando mostra cerca de dez linhas de sada
para cada VC, com o final da primeira linha mostrando a interface ou subinterface associada. O Exemplo 14-21 mostra
o comeo da sada do comando.
Exemplo 14-21 Correlacionando a Subinterface SO/0/0.2 ao PVC com DLCI 102
R1> show frame-re1ay pvc
PVC Sta t istics for interface Seria lO/O/O (Frame Relay DTE)
Local
Active
Inactive
Deleted
Static
O
O
O
Switched
Unused
DLCI
= 102 ,
DLCI USAGE
= LOCAL,
PVC STATUS
INACTIVE,
INTERFACE
input pkts 33
output pkts 338
in bytes 1952
out bytes 29018
dropped pkts O
i n pkts dropped O
out pkts dropped O
SerialO l 010.2
out bytes dropped O
in FECN pkts O
in BECN pkts O
out FECN pkts O
out BECN pkts O
in DE pkts O
out DE pkts O

5 minu te input r a t e O bits/sec, O packets/sec
5 minute outpu t ra te O bits/sec , O packe t s/sec
DLCI
= 103,
DLCI USAGE
= LOCAL,
PVC STATUS
= INACTIVE,
INTERFACE
input pkts 17
output pkts 24
in bytes 1106
out bytes 2086
dropped pkts O
i n pkts dropped O
out pkts dropped O
Serial0 10 1 0.34
out bytes dropped O
in FECN pkts O
in BECN p kts O
out FECN pkts O
out BECN pkts O
in DE pkt s O
o ut DE pkts O
out bcast pkts 11
o u t bcast bytes 674
5 minute input rat e O bi t s/sec, O packets /sec

5 minute outpu t rate O bits/sec, O packets/sec
pvc create time 00 : 30:07, last time pvc status changed 00:02:57
DLCI
= 104,
DLCI USAGE
= LOCAL,
PVC STATUS
= ACTIVE,
INTERFACE
input pkts 41
o u tput pkts 42
in bytes 2466
out bytes 3017
dropped pkts O
in pkts dropped O
out pkts dropped O
= Serial0 10 10 . 34
out byt es d roppe d O
in FECN pkts O
i n BECN pkts O
o u t FECN pkt s O
out BECN pkts O
in DE pkts O
o u t DE pkts O
out bcast pkts 30
out bcast bytes 1929
5 minute inpu t r ate O bits/sec, O packets/sec

5 minute output rate O bits/sec , O packets/sec
Para encontrar todos os PVCs associados a uma interface ou subinterface, basta olhar as partes em destaque na sada
do Exemplo 14-21. Neste caso, SO/0/0.2 est listado com apenas um PVC, aquele com DLCI 102, portanto apenas um
PVC est associado SO/0/0.2, neste caso.
Determinar qual PVC est sendo usado para alcanar um determinado

vizinho (passo 3d)
Se a configurao do roteador associar mais de um pvc a uma interface ou subinterface, o prximo passo descobrir qual dos
PVCs usado para enviar trfego a um determinado vizinho. Por exemplo, o Exemplo 14-21 mostra que RI usa uma subinterface
multiponto SO/0/0.34 com DLCls 103 e 104, com DLCI 103 usado para o PVC que se conecta com R3, e DLCI 104 para o
PVC que se conecta com R4. Assim, se voc estiver resolvendo um problema no qual o comando ping 10.1.34.3 falhou em
RI , o prximo passo seria determinar qual dos dois DLCls (103 ou 104) identifica o VC que conecta RI a R3.
Infelizmente, voc nem sempre consegue encontrar a resposta sem olhar para outras documentaes. O nico comando
CCNA ICND2
show que pode ajudar o show frame-relay map, o qual pode correlacionar o endereo IP next-hop com o DLCI.
Infelizmente, se o roteador local se basear no ARP Inverso, o roteador local tambm no poder aprender a informao
de mapeamento neste momento, portanto a tabela de roteamento pode no ter nenhuma informao til nela. No entanto,
se o mapeamento esttico foi usado, o PVCIDLCI correto poder ser identificado.
No exemplo em que RI falha quando est fazendo ping em 10.1.2.2 (R2), pelo fato de apenas um PVC estar associado
interface correta (SO/0/0.2), o PVC j foi identificado, portanto voc pode ignorar este passo, por enquanto.
Estado do PVC
Neste ponto do Passo 3 principal para resoluo de problemas, a interface/subinterface correta de sada e o PVODLCI corretos
foram identificados. Finalmente, o estado do PVC poder ser examinado para ver se o mesmo indica que o PVC tem um problema
...
Roteadores usam quatro cdigos diferentes de estado para o PVc. Um roteador aprende a respeito de dois dos possveis valores
de estado, ativo, e inativo, atravs de mensagens LMI do switch Frame Relay. A mensagem LMI do switch lista todos os
DLCls para todos os PVCs configurados no link de acesso, e se o PVC pode ser usado neste momento (ativo) ou no (inativo).
O primeiro dos dois estados do PVC que no so aprendidos usando LMI chamado de estado esttico. Se o LMI estiver
desabilitado, o roteador no aprende nenhuma informao do switch a respeito do estado do PVc. Sendo assim, o roteador mostra
todos os seus DLCIs configurados no estado esttico, o que significa configurado estaticamente. O roteador no sabe se os PVCs
iro funcionar, mas pode ao menos enviar frames usando estes DLCIs e esperar que a rede Frame Relay possa entreg-los.
O outro estado do PVC, deletado, usado quando o LMI est funcionando, mas a mensagem LMI do switch no menciona
nada a respeito de um determinado valor de DLCI. Se o roteador possui uma configurao para um DLCI (por exemplo, em
um comando frame-relay interface-dlci), mas a mensagem LMI do switch no lista este DLCI, o roteador mostra este
DLCI em um estado deletado. Este estado significa que o roteador configurou o DLCI, mas o switch no. Na vida real, o
estado deletado pode significar que o roteador ou o switch foi configurado erroneamente, ou que o switch Frame Relay ainda
no foi configurado com o DLCI correto. A Tabela 14-4 resume os quatro cdigos de estado do PVC no Frame Relay.
(T
\
373
Tabela 14-4 Valores dos Estados de PVC

~stado
PP
Ativo
Inativo
Deletado
Esttico
PVC est defInido na rede Frame Relay
Sim
Sim
No
Desconhecido
roteador tentar enviar frames atravs de um VC neste estado
Sim
No
No
Sim
Conforme pode ser observado na ltima linha da tabela, os roteadores enviam dados atravs de PVCs somente se os
mesmos estiverem no estado ativo ou esttico. Alm disso, mesmo que o PVC esteja no estado esttico, no h nenhuma
garantia de que a rede Frame Relay possa realmente enviar frames atravs deste PVC porque o estado esttico implica
que o LMI est desabilitado, e que o roteador no aprendeu nenhuma informao de estado.
O prximo passo no processo de resoluo de problemas encontrar o estado do PVC usado para se alcanar um
determinado vizinho. Continuando com o problema da falha de RI quando est fazendo ping em R2 (10.1.2.2), o Exemplo
14-22 mostra o estado do PVC com DLCI 102, conforme identifIcado anteriormente.
Exemplo 14-22 Comando show frame-relay pvc em Ri

R1> ahow frame-ra1ay pvc 102
DLCI
= 102 ,
DLCI USAGE
= LOCAL,
PVC STATUS
= INACTIVE ,
INTERFACE
input pkts 22
output pkts 193
in b ytes 1256
out bytes 16436
dropped pkts O
in pkts dropped O
out pkts dropped O
out bytes dropped O
in FECN pkts O
in BECN pkts O
out FECN pkts O
out BECN pkts O
in DE pkts O
out DE pkts O

5 minute input rate O bits/sec,
5 minute output rate O bits/sec,
O packets/sec
O packets/sec
= SerialO/0/0.2

pvc create time 01 :1 2:56, last time pvc status changed 00:22:45
~------------------------------------------------------------~
Neste caso, RI no consegue fazer ping em R2 porque o PVC com DLCI 102 est no estado inativo.
Para isolar melhor o problema e encontrar a causa raiz, voc precisar analisar profundamente as razes pelas quais um
PVC pode estar em um estado inativo. Em primeiro lugar, como sempre, repita os mesmos passos para resoluo de
problemas no outro roteador - neste caso, em R2. Se nenhum problema for encontrado em R2, alm de um PVC inativo,
o problema pode ser um problema genuno na rede do provedor de Frame Relay, portanto entrar em contato com o
provedor poder ser o passo seguinte. Porm, voc poder encontrar outros problemas no roteador remoto. Por exemplo,
para criar a falha e os comandos show desta seo, o link de acesso de R2 foi desativado, assim uma rpida analisada no
Passo 1 para resoluo de problemas no roteador R2 teria identificado o problema. No entanto, se a anlise mais a fundo
do problema mostrar que ambos os roteadores apresentam suas extremidades do PVC no estado inativo, a causa raiz
estar dentro da rede do provedor de Frame Relay.
Encontrar a causa raiz de um problema relacionado a um PVC em um estado deletado relativamente fcil. O estado
deletado significa que a configurao do switch Frame Relay e a configurao do roteador esto diferentes, com o
roteador configurando um DLCI que no est configurado no switch. Ou o provedor disse que configuraria um PVC com
um determinado DLCI e no o fez , ou o engenheiro do lado do roteador configurou o valor errado de DLCI.
Estado da subinterface
Subinterfaces possuem cdigo para estado de linha (line status) e para estado de protocolo (protocol status), da mesma
forma que interfaces fsicas. No entanto, pelo fato das subinterfaces serem virtuais, os cdigos de estado e seus significados
so um pouco diferentes com relao s interfaces fsicas. Esta seo examina de modo conciso como as subinterfaces
Frame Relay funcionam, e como o lOS decide se uma subinterface Frame Relay deveria estar em um estado up/up ou
downldown.
A configurao do Frame Relay associa um ou mais DLCls a uma subinterface atravs de dois comandos: frame-relay
interface-dlci e frame-relay map. Para todos os DLCls associados a uma subinterface, o lOS usa as seguintes regras
para determinar o estado de uma subinterface:
/;~~;~o
-down/down: Todos os DLCls associados a uma subinterface esto inativos ou deletados, ou a interface fsica bsica
:. Chave
....
no est no estado up/up.
- up/up: No mnimo, um dos DLCls associados subinterface est ativo ou esttico.

Por exemplo, para causar os problemas mostrados no Exemplo 14-22, R2 e R3 simplesmente desativaram seus links de
acesso Frame Relay. A Figura 14-8 mostra a prxima mensagem LMI de estado que o switch SI enviou para RI.
Figura 14-8 Resultado da Desativao dos Links de Acesso de R2 e R3
S0/0/0 .2 Ponto-a-Ponto
DLCI102
SO/O/O
,-----.,
Estado no LMI :
101
Inativo
103
Inativo
104 Ativo
S0/0/0 .34 Multiponto
DLCI 103, 104
CCNA ICND2
375
Como mostrado na figura, RI usa uma subinterface ponto-a-ponto (50/0/0.2) para o VC que se conecta com R2, e uma
subinterface multiponto (50/0/0.34) associada aos VCs para R3 e R4 (103 e 104, respectivamente). O incio do Exemplo
14-20 mostra que 50/0/0.2 est no estado down/down, o que acontece porque o nico DLCI associado com a subinterface
(102) est inativo. No entanto, 50/0/0.34 possui dois DLCls, um dos quais est ativo, portanto o 105 deixa 50/0/0.34 no
estado up/up.
Olhar o estado de uma subinterface pode ajudar quando voc estiver resolvendo problemas, mas tenha em mente que s
porque a subinterface est up, se for uma subinterface multiponto, o estado up/up no significa necessariamente que
todos os DLCls associados subinterface estejam funcionando.
Problemas de mapeamento no Frame Relay (passo 4)

:
Se voc seguiu os primeiros trs passos do processo sugerido para resoluo de problemas deste captulo, e resolveu os
problemas de cada passo, a esta altura as interfaces dos links de acesso de todos os roteadores devem estar no estado up/
up, e o PVC entre os dois roteadores deve estar no estado ativo (ou esttico). Se o roteadores ainda no conseguem fazer
ping nos endereos IP Frame Relay um do outro, o prximo item a ser verificado a informao relativa ao mapeamento
de endereo Frame Relay, o qual mapeia DLCls a endereos IP next-hop.
Esta seo no ir repetir a cobertura detalhada a respeito de mapeamento de endereos que apareceram tanto no
Captulo 13 quanto neste captulo. Porm, para efeitos de perspectiva, a seguinte lista aponta alguns lembretes e dicas a
serem lembrados quando voc estiver executando este passo para resoluo de problemas:
Em subinterfaces ponto-a-ponto:
t~!O
-Estas subinterfaces no precisam de ARP Inverso ou mapeamento esttico porque o 105 simplesmente acha que a
sub-rede definida na subinterface pode ser alcanada atravs do nico DLCI da subinterface.
- A sada do comando show frame-relay map continua listando estas subinterfaces, mas sem nenhum endereo IP
next-hop .
....:m interfaces fsicas e subinterfaces multi ponto:
.... 6plco -
Elas precisam usar o ARP Inverso ou o mapeamento esttico.
- O comando show frame-relay map deve listar o endereo IP Frame Relay do roteador remoto e o DLCI local do
roteador local para cada PVC associado interface ou subinterface.
- Se voc estiver usando mapeamento esttico, o termo broadcast necessrio para suportar um protocolo de
roteamento.
Para ficar mais completo, o Exemplo 14-23 mostra a sada do comando show frame-relay map no roteador RI da
Figura 14-6, sem nenhum problema de mapeamento. (Os problemas anteriores que haviam sido introduzidos foram
corrigidos.) Neste caso, a interface 50/0/0.2 uma subinterface ponto-a-ponto, e a 50/0/0.34 multiponto, com um
mapeamento aprendido atravs do ARP Inverso e um mapeamento configurado estaticamente.
Exemplo 14-23 Comando show frame-relay map em Rl

R1#ahow frame-relay map
SerialO/0/0.34 (up): ip 10.1.34.4 d1ci 104(Ox68,Ox1880),
static,
broadcast,
CISCO, status defined, active
SerialO/0/0.34 (up): ip 10.1 . 34 . 3 dlci 103 (Ox67,Ox1870), dynamic,
broadcast, , status defined, active
SerialO/0/0.2
(up): point-to-point dlci, dlci 102(Ox66,Ox1860), broadcast
status defined,
active
Encapsulamento fim-a-fim (passo 5)

o encapsulamento fim-a-fim em um PVC se refere aos cabealhos que esto depois do cabealho Frame Relay, com
duas opes: o cabealho proprietrio da Cisco e o cabealho padro IETF. Os detalhes de configurao foram cobertos
anteriormente neste captulo, na seo "Configurando <> encapsulamento e o LMI".

Acontece que uma configurao diferente de encapsulamento nos roteadores em extremidades opostas do enlace pode
causar problemas em um caso em particular. Se um roteador for um roteador Cisco, usando encapsulamento Cisco, e o
outro roteador for um roteador no-Cisco, usando encapsulamento IETF, os pings podem falhar por causa da diferena
no encapsulamento. Porm, dois roteadores Cisco podem entender ambos os tipos de encapsulamento, portanto isto no
deveria ser um problema em redes que tenham somente roteadores Cisco.'
Nmeros de sub-rede diferentes (passo 6)

A esta altura, se os problemas encontrados nos primeiros cinco dentre os seis passos para resoluo de problemas foram
resolvidos, todos os problemas de Frame Relay devem estar solucionados. No entanto, se os dois roteadores nas duas
extremidades do PVC tiverem erroneamente configurados os endereos IP em sub-redes diferentes, os roteadores no
sero capazes de fazer ping um no outro, e os protocolos de roteamento no se tomaro adjacentes. Assim, como ltimo
passo, voc deve confirmar os endereos IP em cada roteador, e as mscaras, e garantir que eles se conectam mesma
sub-rede. Para fazer isso, basta usar os comandos show ip interface brief e show interfaces nos dois roteadores.
.
.
------------------------------------------------------------- .
~
A~
ti~
v~
id~a~d~e~s~d
~e
~p~re
~p
~a
=r~a~
~
~
o~p~a=r~
a~o~
e=
xa
~m
~e~______________________
...........
i Tpico
\~h.'"

Descrio
Lista
Lista de verificao para configurao do

Frame Relay
354
Lista
Configuraes default do Frame Relay no lOS
356
Definio
Conceito e definio de mapeamento de

endereos no Frame Relay
357
Figura 14-3
Processo de ARP Inverso do Frame Relay
359
Lista
Lista de verificao com seis passos para

resoluo de problemas de Frame Relay
368
Lista
Resumo das duas principais funes do LMI
369
Tabela 14-4
Lista dos valores para estado de PVC e

seus significados
373
Lista
Razes para que as subinterfaces estejam

up/up ou down/down
374
Lista
Resumo das informaes sobre mapeamento

vistas em subinterfaces ponto-a-ponto
375
Lista
Resumo das informaes sobre mapeamento

vistas em subinterfaces multiponto
375
Nmero da Pgina
------------------------------------------------------------- .
---------------------------------------------------------------- .

tabelas e listas usando a memria. O Apndice K, "Respostas das tabelas de memria", tambm no CD, inclui as tabelas
e listas completadas para voc conferir o seu trabalho.
CCNA ICND2
Leia os cenrios do apndice F
3n
o Apndice F, "Additional Scenarios" - disponvel no idioma origina no site da editora: www.altabooks.com.br-. contm
cinco cenrios detalhados. Esses cenrios do a voc a chance de analisar designs, problemas e sadas de comando
diferentes, e mostram como os conceitos de diversos captulos diferentes se inter-relacionam. O Cenrio 4 examina
diversas opes e questes relacionadas implementao de Frame Relay.
Comando
Descrio
encapsulation frame-relay [ietf I cisco]
Comando do modo de configurao de interface que define o

encapsulamento Frame Relay usado no lugar do HDLC, do PPP etc
frame-relay lmi-type {ansi I q933a I cisco } Comando do modo de configurao de interface que define o tipo de
mensagens LMI enviadas ao switch
bandwidth num
Subcomando de interface que configura a velocidade da interface

percebida pelo roteador
. ------------------------------------------------------------
frame-relay map {protocol protocoladdress dlci} [broadcast] [ietf I cisco]
Comando do modo de configurao de interface que defme estaticamente

um mapeamento entre um endereo da camada de rede e um DLCI
keepalive sec
Comando do modo de configurao de interface que define se as

mensagens LMI para interrogar estado sero enviadas e esperadas e
com que freqncia
interface serial number.sub

[point-to-point I multipoint]
Comando do modo de configurao global que cria uma subinterface ou

faz referncia a uma sub interface previamente criada
frame-relay interface-dlci dlei [ietf I cisco] Comando do modo de configurao de subinterface que liga ou
. -------------------------------------------------------------
correlaciona um DLCI subinterface
. -------------------------------------------------------------
show interfaces [type number]
Mostra o estado da interface fsica

Apresenta informaes sobre o estado do PVC
show frame-relay pvc [interface
interface] [dlci]
show frame-relay lmi [type number]
Apresenta informaes sobre estado do LMI
debug frame-relay lmi
Apresenta o contedo das mensagens LMI
debug frame-relay events
Apresenta mensagens relacionadas a certos eventos do Frame

Relay, incluindo mensagens do ARP Inverso
___________________________
e
------------------------------- -

seguintes assuntos:
---------------------------------
Fundamentos de VPN: esta seo descreve os principais

objetivos e benefcios das VPNs.
VPNs IPsec: esta seo explica como a arquitetura do

protocolo IPsec (lP Security) fornece os principais
recursos necessrios tanto para VPNs de acesso como
para VPNs site-a-site.
VPNs SSL: esta ltima seo examina o uso do protocolo
SSL (Security Socket Layer) , que est includo nos
navegadores web mais comuns hoje em dia.
CAPTULO
15
: Redes privadas virtuais
. --------------------------------------------------------
Uma empresa com um site principal e dez sites remotos poderia comprar dez linhas TI, uma para cada conexo entre o
site central e cada um dos sites remotos. Uma soluo de menor custo seria usar Frame Relay. No entanto, especificamente
pelo fato de os sites remotos geralmente precisarem de acesso Internet, melhor ainda, para efeitos de custo,
simplesmente conectar cada escritrio Internet e enviar o trfego entre os sites atravs da Internet, usando-a como
uma WAN.
Infelizmente, a Internet nem chega perto das linhas privativas e do Frame Relay em termos de segurana. Por exemplo,
para que um hacker consiga roubar uma cpia de frames de dados passando atravs de uma linha privativa, ele teria de
se conectar fisicamente ao cabo, na maioria das vezes dentro de um prdio seguro, debaixo da rua ou na central telefnica
da companhia telefnica: todas estas trs aes podem resultar em priso. Com a Internet, um hacker pode encontrar
mtodos menos intrusivos para obter cpias dos pacotes, sem sequer sair da frente de seu computador em casa, e com
um risco bem menor ser pego e enviado priso.
VPNs (Virtual Private Networks, ou Redes Privadas Virtuais) resolvem os problemas de segurana associados ao fato
de usar a Internet como um servio de WAN. Este captulo explica os conceitos e a terminologia relacionados aos VPNs.
destas seis questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
Tabela 15-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu J Conheo Isto?"
Perguntas
Fundamentos de VPN
1-2
VPNs IPsec
3-5
VPNs SSL
1. Qual dos seguintes termos se refere a uma VPN que usa a Internet para conectar os sites de uma nica companhia,
ao invs de usar linhas privativas ou Frame Relay?
a. Intranet VPN
b. Extranet VPN
c . VPN de Acesso
d. Enterprise VPN
2. Qual(is) das seguintes opes no (so) considerado(s) objetivo(s) relativo(s) segurana desejvel(is) para um
VPN site-a-site?
a. Verificao de integridade de mensagem
b. Privacidade (criptografia)
380 Captulo 15: Redes privadas virtuais

c. Anti-vrus
d. Autenticao
3. Qual(is) das seguintes funes poderia(m) ser executada(s) pelo Cabealho de Autenticao IP do IPsec?
a. Autenticao
b. Criptografia
c. Verificao de integridade de mensagem
d. Anti-reply
4. Qual das seguintes opes considerado o melhor protocolo de criptografia para oferecer privacidade em um VPN
IPsec, quando comparado s outras respostas?
a. AES
b. HMAC-MD5
c. HMAC-SHA-l
d. DES
e. 3DES
5. Quais trs opes seguintes seriam as opes mais comumente usadas hoje em dia para componentes VPN recmcomprados e instalados?
a. ASA
b. Firewall PIX
c. Concentrador VPN
d. Roteador Cisco
e. Cliente VPN Cisco
6. Quando estiver usando a soluo Web VPN da Cisco, com o cliente usando um navegador web normal sem nenhum
software cliente especial, qual(is) das seguintes afirmaes (so) verdadeira(s)?
a. O usurio cria uma conexo TCP com um servidor Web VPN usando SSL.
b. Se o usurio se conectar a um servidor web normal dentro da empresa, e este servidor suportar somente HTTP, e
no o SSL, estes pacotes passaro atravs da Internet sem serem criptografados.
c. O servidor Web VPN se conecta a servidores web internos no lugar do cliente Web VPN, fazendo tradues entre
HTTP e SSL conforme necessrio.
d. O cliente web VPN no pode se conectar sem ao menos um software SSL thin-client instalado no cliente.
Tpicos fundamentais
Este captulo possui trs sees principais. A primeira seo introduz o conceito bsico de um VPN. A segunda seo (e
a maior delas) examina alguns dos detalhes da construo de VPNs usando as regras definidas nas RFCs de IPsec (IP
Security). A ltima seo explica as idias bsicas a respeito de uma tecnologia VPN alternativa chamada SSL.
Fundamentos de VPN
Linhas privativas possuem alguns recursos maravilhosos de segurana. O roteador em uma das extremidades conhece
com certeza a identidade do dispositivo na outra extremidade do enlace. O roteador receptor tambm tem boas razes
para crer que nenhum hacker viu os dados em trnsito, ou at mesmo os alterou para prejudicar algum.
As VPNs (Virtual Private Networks, ou Redes Privadas Virtuais) tentam oferecer os mesmos recursos de segurana
oferecidos por linhas privativas. Em particular, VPNs oferecem o seguinte:
CCNA ICND2
.:;;~o
. -
-Privacidade: Evita que algum no meio da Internet (uma pessoa no meio), e que copie um pacote da Internet, seja
capaz de ler os dados
- Autenticao: Verifica se quem enviou o pacote VPN um dispositivo legtimo, e no um dispositivo usado por um
hacker
- Integridade de dados: Verifica se o pacote no foi alterado enquanto o mesmo atravessava a Internet
- Antireplay: Evita que uma pessoa no meio copie pacotes enviados por um usurio legtimo, e depois os re-envie mais
tarde como se fosse um usurio legtimo
Para atingir tais objetivos, dois dispositivos nas extremidades da Internet criam uma VPN, s vezes chamado de tnel
VPN. Estes dispositivos adicionam cabealhos ao pacote original, e estes cabealhos incluem campos que permitem aos
dispositivos VPN executarem todas as funes. Os dispositivos VPN tambm criptografam o pacote IP original, o que
significa que o contedo do pacote original se toma indecifrvel para qualquer um que eventualmente veja uma cpia do
pacote, medida que o mesmo atravessa a Internet.
A Figura 15-1 mostra a idia geral daquilo que acontece tipicamente em um tnel VPN. A figura mostra uma VPN criada
entre o roteador de um escritrio remoto e um ASA (Adaptive Security Appliance) da Cisco. Neste caso, a VPN
chamada de VPN site-a-site porque conecta dois sites de uma determinada companhia. Esta VPN tambm chamada
de intranet VPN site-a-site porque conecta sites que pertencem a uma nica companhia.
Figura 15-1 Conceito de Tnel VPN para um Intranet VPN Site-a-Site
381
r---0rigem = 10.2.2.2
rDestino = 10.1.1.1
~ Pacote IP I:-
CD
Internet
Site Central
Escritrio Remoto
A figura mostra os seguintes passos, que explicam o fluxo geral na figura:

1. O host PCl (10.2.2.2) direita envia um pacote ao servidor web (10.1.1.1), da mesma forma que o faria sem um
VPN.
2. O roteador criptografa o pacote, adiciona alguns cabealhos VPN, adiciona outro cabealho IP (com endereos IP
pblicos) e encaminha o pacote.
3. Uma pessoa no meio copia o pacote, mas no consegue alterar o pacote sem ser notado, e no consegue ler o
contedo do pacote.
4. ASA-l recebe o pacote, confirma a autenticidade do enviador, confirma que o pacote no foi alterado, e depois
descriptografa o pacote original.
5. O servidor SI recebe o pacote descriptografado.
So muitos os benefcios de se usar um VPN baseado em Internet, conforme mostrado na Figura 15-1. O custo de uma
conexo Internet de alta velocidade tipicamente muito menor, tanto em relao linha privativa quanto em
relao WAN Frame Relay. A Internet aparentemente est em todos os lugares, fazendo com que este tipo de
soluo esteja disponvel em qualquer parte do mundo. E, por usar as tecnologias e protocolos VPN, as comunicaes
so seguras.

NOTA O termo tnel se refere genericamente a qualquer pacote de protocolo que enviado
encapsulando-se o pacote dentro de outro pacote. O termo tnel VPN implica que o pacote
encapsulado foi criptografado, enquanto que o termo tnel no diz se o pacote foi criptografado.
VPNs podem ser construdas com uma grande variedade de dispositivos e para vrios propsitos. A Figura 15-2 mostra
um exemplo de trs das principais razes para se construir uma VPN Internet hoje em dia.
Figura 15-2 Intranet, Extranet e VPNs de Acesso

Site Central
de Fredsco
Escritrio Remoto
de Fredsco
Intranet VPN
~--"
..' .. ' .. '
.. ..
'
'
........
Extranet VPN
PC2
VPN de Acess' - - __
Fornecedor
de Fredsco
--PC3
Fred em Casa
Na parte superior da figura, o site central e o escritrio remoto de uma empresa fictcia (Fredsco) esto conectados via
intranet VPN. A parte central da figura mostra Fredsco se conectando a outra empresa que fornece partes para Fredsco,
fazendo com que esta VPN seja uma extranet VPN. Finalmente, quando Fred leva seu laptop para casa ao final do dia
e se conecta Internet, a conexo VPN segura do laptop para a rede de Fredsco chamada de VPN de acesso remoto,
ou simplesmente VPN de acesso. Neste caso, o prprio laptop o ponto final do tnel VPN, ao invs do roteador de
acesso Internet. A Tabela 15-2 resume os pontos-chave a respeito destes trs tipos de VPNs.
/;~;;~o
Tabela 15-2 Tipos de VPNs
\ Chave
Tipo
Pr opsito Tpico
Intranet
Conecta todos os computadores de dois sites de uma mesma organizao,

usando tipicamente um dispositivo VPN em cada site
Extranet
Conecta todos os computadores de dois sites de organizaes diferentes,

porm parceiras, usando tipicamente um dispositivo VPN em cada site
Acesso
Conecta usurios individuais de Internet rede da empresa
000
Para construir uma VPN, um dispositivo em cada site precisa ter um hardware e/ou um software que entenda um
determinado conjunto de padres de segurana e protocolos VPN. Os dispositivos incluem o seguinte:
- Roteadores: Alm de encaminhamento de pacotes, o roteador tambm pode disponibilizar funes VPN. O roteador
pode ter placas adicionais especializadas que ajudam o roteador a efetuar as criptografias de modo mais rpido.
- ASA (Adaptive Security Appliances) : Principal dispositivo de segurana da Cisco que pode ser configurado para
diversas funes de segurana, inclusive VPNs.
- FirewaUs PIX: A linha antiga de produtos frrewall Cisco que podem executar funes VPN, alm de funcionarem
como frrewall. Novas instalaes hoje em dia usariam ASA, no lugar.
- Concentradores VPN: Linha antiga de produtos da Cisco, estes dispositivos fornecem uma plataforma de hardware
que se comporta especificamente como uma extremidade de um tnel VPN. Novas instalaes hoje em dia usariam
ASA, no lugar.
CCNA ICND2
383
- Cliente VPN: Para VPN s de acesso, o PC pode precisar executar as funes de VPN; o laptop precisa de software
para executar estas funes, sendo este software chamado de cliente VPN.
A seguir, sero examinados o uso de um conjunto de protocolos para criar VPNs, chamados de IPsec.
VPNs IPsec
IPsec uma arquitetura ou framework para prover servios de segurana em redes IP. O nome propriamente dito no
um acrnimo, mas uma verso resumida do ttulo de uma RFC que o define (RFC 4301, Security Architecture for the
Internet Protocol (Arquitetura de segurana para o protocolo de Internet)), genericamente chamado de IP Security ou
IPsec.
O IPsec define um conjunto de funes, por exemplo, de autenticao e criptografia, e algumas regras relativas a estas
funes, No entanto, da mesma forma que a arquitetura do protocolo TCPIIP define diversos protocolos, alguns dos quais
so alternativas um do outro, o IPsec permite o uso de vrias opes diferentes de protocolos para cada recurso da VPN.
Um dos pontos fortes do IPsec que seu papel como sendo uma arquitetura permite que o mesmo seja adicionado e
alterado ao longo do tempo, medida que melhorias so feitas nos protocolos de segurana.
As sees seguintes analisam os componentes do IPsec, comeando pela criptografia, e seguido pela troca de chaves,
integridade de mensagem e autenticao.
: Criptografia no IPsec
Alm destas funes de certa forma bvias, as duas frmulas matemticas foram escolhidas de modo que, se voc
interceptar o texto criptografado, mas no tiver a senha secreta (chamada de chave de criptografia), descriptografar este
pacote seria muito difcil. Alm disso, as frmulas tambm foram escolhidas de modo que, se acontecer de um hacker
conseguir descriptografar um pacote, esta informao no daria ao hacker nenhuma vantagem para descriptografar os
outros pacotes.
O processo de criptografar dados em uma VPN IPsec funciona em geral, como mostrado na Figura 15-3. Observe que
a chave para criptografia tambm conhecida como chave de sesso, chave compartilhada ou chave compartilhada de
sesso.
Figura 15-3 Processo Bsico de Criptografia IPsec
Se voc ignorar a matemtica - e ainda bem que voc pode -, a criptografia IPsec no muito difcil de se entender. A
criptografia IPsec usa um par de algoritmos para criptografia, que so essencialmente frmulas matemticas que atendem
a alguns requisitos. Em primeiro lugar, as duas frmulas matemticas so um conjunto complementar:
- Uma para esconder (criptografar) os dados
- Outra para recriar (descriptografar) os dados originais a partir dos dados criptografados
/~~~;~o
\Ch....
Host Receptor
Host Transmissor
".
Chave da Sesso
Pacote IP
Original
Chave da Sesso
ca-
Pacote IP
Original
10
ca-
1=
F' (Pacote IP, Chave da sesso)
1@
Dados Criptografados
F(Dados Criptografados,
Chave da sesso) =Dados Descriptografados
Cabealho IP
Cabealho VPN
Dados
"'\
crlPlogratado~

Os quatro passos em destaque na figura so os seguintes:
1. O dispositivo VPN transmissor (como o roteador do escritrio remoto da Figura 15-1) insere o pacote original e a
chave da sesso na frmula para criptografia, calculando os dados criptografados.
2. O dispositivo transmissor encapsula os dados criptografados em um pacote, que inclui o novo cabealho IP e o
cabealho VPN.
3. O dispositivo transmissor envia este novo pacote ao dispositivo VPN de destino (ASA-l na Figura 15-1).
4. O dispositivo VPN receptor executa a frmula correspondente para descriptografar, usando os dados criptografados
e a chave da sesso - o mesmo valor que foi usado no dispositivo VPN transmissor - para descriptografar os dados.
O IPsec suporta diversas variaes nos algoritmos para criptografia, algumas das quais foram simplesmente desenvolvidas
mais recentemente e so melhores, enquanto que outras possuem outras vantagens no que se refere ao custo-benefcio.
Em particular, o comprimento das chaves tem certo impacto tanto na dificuldade dos hackers para descriptografar os
dados, com chaves longas tomando isto mais difcil, como na desvantagem de geralmente exigir mais capacidade de
processamento. A Tabela 15-3 resume vrias destas opes e o comprimento das chaves.
Tabela 15-3 Comparando Algoritmos para Criptografia VPN
/;~~;~o
Algoritmo para Criptografia
'. Ch....
Comprimento da Chave (Bits) Comentrios
....
DES (Data Encryption Standard, ou Padro

Criptografia de Dados)
56
Opo mais antiga e menos segura de

que as demais listadas aqui
3DES (Triple DES, ou DES Triplo)
56 x 3
Aplica trs tipos diferentes de chave

DES de 56 bits sucessivamente,
melhorando a intensidade da
criptografia com relao ao DES
AES (Advanced Encryption Standard, ou Padro

Criptografia Avanada)
128 e 256
Considerada a melhor prtica atual,

com intensa criptografia e menor
processamento que 3DES
Troca de chave no IPsec

O uso de um valor comum de chave compartilhada (tambm chamada de chaves simtricas) para criptografia provoca
um pequeno problema do ovo e da galinha: se ambos os dispositivos precisam conhecer o mesmo valor de chave antes
que possam criptografar/descriptografar os dados, como os dois dispositivos poderiam enviar os valores de chave um
para o outro atravs da rede, sem precisar ter de enviar as chaves na forma de texto puro, merc de serem roubadas
por um hacker?
O problema relacionado distribuio de chave existe desde que a idia de criptografia surgiu pela primeira vez. Uma
opo simples, porm problemtica, usar PSK (Pre-Shared Keys, ou Chaves Pr-Compartilhadas), um termo elegante
para a idia de se configurar manualmente os valores em ambos os dispositivos. Com PSKs, voc poderia simplesmente
trocar as chaves entrando em contato com o engenheiro do site remoto, ou enviando uma carta ou (no faa isso em
casa) enviando um e-maU no-seguro com o valor da chave.
O problema com PSKs que, mesmo que ningum roube a chave compartilhada para criptografia, apenas da natureza
humana que os PSKs quase nunca seriam alterados. como alterar sua senha em um site da web que nunca exige que
voc troque sua senha: voc poder nunca pensar nisso, ningum far com que voc faa a troca, e voc no quer ter de
lembrar uma nova senha. No entanto, para melhorar a segurana, as chaves precisam ser alteradas ocasionalmente
porque, embora os algoritmos de criptografia tomem difcil descriptografar os dados, tecnicamente possvel que um
hacker descubra a chave, e ento seja capaz de descriptografar o pacote. Protocolos para troca dinmica de chave
permitem trocas freqentes das chaves para criptografia, reduzindo a quantidade de dados perdida de modo significativo,
caso um hacker comprometa uma chave de criptografia.
O IPsec, por ser uma arquitetura de segurana, utiliza uma troca dinmica de chave atravs de um processo definido
pela RFC 4306, e chamado de IKE (Internet Key Exchange, ou Troca de Chave na Internet). O IKE (RFC 4306) utiliza
um processo especfico chamado troca de chave DH (Diffie-Hellman), nomeado em homenagem aos inventores deste
CCNA ICND2
385
processo. A troca de chave DH resolve o problema do ovo e da galinha com um algoritmo que permite que os dispositivos
criem e troquem chaves de modo seguro, evitando que qualquer um que possa ver as mensagens descubra o valor da
chave.
A principal opo para configurao da troca de chave DH o comprimento das chaves usadas pelo processo de troca
de chaves DH para criptografar as mensagens para troca de chave. Quanto mais longa a chave de criptografia a ser
trocada, mais longa precisa ser a chave DH. A Tabela 15-4 resume as trs opes principais:
..........
Tabela 15-4 Opes DH
Opo
Comprimento da Chave
DH-1
768 bits
DH-2
1024 bits
DH-3
1536 bits
( TpiCO
\. Ch.".
....
Autenticao e integridade de mensagem no IPsec
O IPsec tambm possui diversas opes para o processo de autenticao e integridade de mensagem. A autenticao
geralmente se refere ao processo atravs do qual um dispositivo VPN receptor pode confirmar se um pacote recebido foi
realmente enviado por um parceiro VPN de confiana. Integridade de mensagem, s vezes chamada de autenticao de
mensagem, permite que o receptor confirme que a mensagem no foi alterada em trnsito.
Autenticao e verificao de integridade de mensagem no IPsec usam alguns dos mesmos conceitos gerais da criptografia
e do processo de troca de chaves, de modo que este texto no entrar em muitos detalhes. No entanto, vale a pena
entender o bsico.
Verificao de integridade das mensagens pode ser executado pelo protocolo AR (Authentication Header, ou Cabealho
de Autenticao) do IPsec, usando o conceito de chave compartilhada (simtrica), como no processo de criptografia, mas
usando uma funo hash ao invs de uma funo de criptografia. O hash funciona de modo similar ao conceito de FCS
iframe check sequence) presente no trailer da maioria dos protocolos de enlace de dados, mas de maneira muito mais
segura. O hash (um tipo de funo matemtica), com o nome formal de HMAC (Hashed-based Message Authentication
Code), tem como resultado um nmero menor que pode ser armazenado em um dos cabealhos VPN. O transmissor
calcula o hash e envia o resultado no cabealho VPN. O receptor recalcula o hash, usando uma chave compartilhada (o
mesmo valor de chave em ambas as extremidades), e compara o valor calculado com o valor presente no cabealho VPN.
Se os dois valores forem iguais, significa que os dados inseridos na frmula pelo transmissor so iguais aos que forma
inseridos na frmula pelo receptor, portanto o receptor sabe que a mensagem no foi alterada no caminho.
Essas funes de verificao de integridade com o HMAC usam tipicamente uma chave secreta que precisa ser pelo
menos duas vezes mais longa que a chave de criptografia que criptografa a mensagem. Como resultado, diversas opes
HMAC foram criadas ao longo dos anos. Por exemplo, o padro MD5 (message digest algorithm 5) suportado h muito
tempo, usa uma chave de 128 bits, permitindo que o mesmo suporte VPNs que usam chave de criptografia para DES,
com comprimento de 56 bits.
NOTA Se o VPN usar ESP para criptografar os pacotes, a funo HMAC para integridade de
mensagem no necessria porque o hacker teria de ter quebrado a chave de criptografia,
antes que pudesse ter alterado o contedo da mensagem.
O processo de autenticao usa o conceito de chave pblica/privada similar troca de chave DH, baseado na idia de
que um valor criptografado com a chave particular do enviador pode ser descriptografado com a chave pblica do
enviador. Como na verificao de integridade de mensagem, o enviador calcula um valor e o coloca no cabealho VPN,
mas desta vez usando a chave privada do enviador. O receptor usa a chave pblica do enviador para descriptografar o
valor transmitido, comparando-o com o valor presente no cabealho. Se os valores forem idnticos, o receptor sabe que
o transmissor autntico.
A Tabela 15-5 resume alguns dos protocolos e ferramentas especficas disponveis para autenticao e integridade de
mensagens no IPsec.
------------------------------------------------------------------------------

Tabela 15-5 Opes para Autenticao e Integridade de Mensagem no IPsec
Funo
Mtodo
Descrio
Integridade de mensagem
HMAC-MD5
HMAC-MD5 usa uma chave compartilhada de 128

bits, gerando um valor de hash de 128 bits
HMAC-SHA
HMAC-SHA (Secure Hash Algorithm) define

tamanhos diferentes de chave (por exemplo, SHA-1
[160], SHA-256 [256], e SHA-512 [512]) para suportar
tamanhos diferentes de chave para criptografia.
considerado melhor que MD5, mas exige mais tempo
de processamento
Autenticao
Ambos os dispositivos VPN devem ser prChaves PrCompartilhadas configurados com a mesma chave secreta
Autenticao
Assinaturas
digitais
Tambm chamado de assinaturas RSA (Rivest, Shamir

e Adelman). O transmissor criptografa um valor com
sua chave privada; o receptor descriptografa com a
chave pblica do transmissor e compara com o valor
inserido no cabealho, pelo transmissor
Protocolos de segurana ESP e AH

Para executar as funes VPN descritas neste captulo, o IPsec define dois protocolos de segurana, com cada protocolo
definindo um cabealho. Esses cabealhos esto mostrados de forma genrica, anteriormente na Figura 15-1 , como
sendo o cabealho VPN. Estes cabealhos simplesmente fornecem um lugar para armazenar informaes necessrias
s vrias funes VPN. Por exemplo, o processo de integridade de mensagem exige que o transmissor coloque o
resultado de uma funo hash no cabealho e transmita o cabealho (como parte da mensagem completa) ao dispositivo
VPN receptor, que por sua vez usa o valor armazenado neste cabealho para completar a verificao de integridade da
mensagem.
Dois dos protocolos definidos pelo IPsec so o ESP (Encapsulating Security Payload) e o AR (lP Authentication
Header). O ESP define regras para executar as quatro funes principais dos VPNs, conforme mencionados ao longo
deste captulo, e resumidos na Tabela 15-6. AR suporta duas facilidades, autenticao e integridade de mensagem. Um
VPN IPsec em particular pode usar um dos dois cabealhos, ou ambos. Por exemplo, AH poderia fornecer a autenticao
e a integridade de mensagem, e o ESP poderia fornecer a privacidade dos dados (criptografia).
Tabela 15-6 Resumo das Funes Suportadas por ESP e AH

Recurso
Suportado pelo ESP?
Suportado pelo AH?
Autenticao
Sim (fraco)
Sim (forte)
Sim
Sim
Criptografia
Sim
No
Antireplay
Sim
No
Consideraes sobre a implementao do IPsec

VPNs IPsec disponibilizam uma conexo segura atravs da Internet que no segura, de modo que os hosts possam se
comportar como se estivessem conectados diretamente rede corporativa. Para VPNs site-a-site, os hosts que so usurios
finais no tm a mnima idia de que uma VPN sequer exista, como seria o caso com uma linha privativa ou WAN Frame
Relay. O usurio final pode usar qualquer aplicao, como se estivesse conectado LAN do escritrio principal.
CCNA ICND2
387
Usurios de VPN IPsec para acesso remoto tm as mesmas funes disposio que os usurios de VPN site-a-site,
fornecendo ao usurio o acesso a toda e qualquer aplicao permitida. No entanto, VPNs para acesso remoto exigem um
certo esforo adicional, no sentido de que cada host precisa usar o software de cliente VPN da Cisco. Este software
implementa os padres IPsec no PC, ao invs de exigirem um suporte a VPN em um dispositivo separado. A instalao
no difcil, mas um pequeno trabalho adicional em cada host, ao passo que, comparado a um VPN site-a-site implementado
com um roteador da Cisco j instalado, o nico requisito poderia ser uma atualizao no lOS da Cisco.
Para facilitar a instalao e a configurao de VPNs, a Cisco fornece um framework e um conjunto de funes chamado
Easy VPN. O problema solucionado pelo Easy VPN pode ser facilmente compreendido se considerarmos o exemplo a
seguir. Uma empresa possui 200 sites remotos com os quais ela deseja criar uma intranet VPN usando a Internet. Alm
disso, esta empresa quer conexes extranet VPN site-a-site para uma dzia de parceiros. Finalmente, 2000 empregados
possuem laptops, e todos eles, ao menos ocasionalmente, levam seus laptops para casa e se conectam na rede da
empresa atravs da Internet. E, o IPsec possui diversas opes para cada funo, exigindo configuraes em cada site.
O Easy VPN ajuda a resolver as dores de cabea relativas administrao de um ambiente como este, permitindo que
um servidor Cisco Easy VPN, tipicamente o dispositivo VPN do site central (por exemplo, um ASA), informe dinamicamente
os dispositivos dos sites remotos a respeito de suas configuraes VPN IPsec. Os dispositivos remotos - roteadores,
ASAs, laptops com software de cliente VPN da Cisco e assim por diante - atuam como se fossem clientes Easy VPN,
conectando-se ao servidor Easy VPN e baixando as opes de configurao.
A seguir, a ltima seo deste captulo examina rapidamente uma tecnologia VPN alternativa chamada SSL.
: VPNs SSL
Todos os navegadores web comumente usados hoje em dia suportam um protocolo chamado SSL (Secure Socket
Layer). Estes mesmos navegadores tambm suportam tipicamente um padro conseqente, embora menos conhecido,
chamado TLS (Transport Layer Security) . Esta seo explica como o SSL pode ser usado para criar VPNs de acesso.
NOTA Ao invs de se referir a ambos, SSL e TLS, ao longo desta seo, o texto usar somente
o termo SSL, mais popular. SSL e TLS no so protocolos realmente equivalentes, mas
executam as mesmas funes e so iguais ao nvel de detalhes descritos neste captulo.
Navegadores web usam o HTIP para se conectarem a servidores web. Porm, quando a comunicao com o servidor
web precisa ser segura, o navegador alterna para o uso de SSL. O SSL usa a bem conhecida porta 443 , criptografando
os dados trocados entre o navegador e o servidor, e autenticando o usurio. Ento, as mensagens HTIP fluem atravs da
conexo SSL.
A maioria das pessoas j usou SSL, geralmente sem tomar conhecimento. Se voc j usou um site da web na Internet, e
precisou fornecer informaes sobre cartes de crdito ou outras informaes pessoais, o navegador provavelmente
alternou para usar SSL. A maioria dos navegadores mostra um cone que se parece com um cadeado, com o cadeado
aberto quando no est usando o SSL e o cadeado fechado (trancado) quando est usando o SSL.
Os servidores web podem escolher quando e como implementar o SSL. Pelo fato do SSL exigir mais trabalho, muitos
servidores web simplesmente usam o HTTP para fornecer informaes gerais, alternando para SSL somente quando o
usurio precisa fornecer informaes sigilosas, tais como credenciais para login e informaes financeiras. No entanto,
quando servidores web internos de uma empresa precisam enviar dados para um usurio em casa, do outro lado da
Internet, ao invs de para um usurio em uma LAN local da empresa, o servidor pode precisar garantir a segurana de
todas as comunicaes com o cliente para impedir a perda de dados.
A Cisco resolve alguns dos problemas relativos ao acesso interno da web para usurios baseados em Internet atravs de
um recurso chamado Web VPN. De modo diferente dos VPNs IPsec, o Web VPN permite tipicamente apenas trfego
de web, em oposio a todo o trfego. Porm, a grande maioria das aplicaes das empresas hoje em dia j acessvel
via web. Por exemplo, a maioria dos usurios finais precisa de acesso a aplicaes internas, que so executadas em
servidores web internos, e possivelmente acesso a servidores de e-mail. Se um usurio puder verificar seus e-mails
atravs de um navegador web, a maioria, se no todas as funes necessrias a este usurio poder ser executada a
partir de um navegador web, e o Web VPN pode proporcionar uma soluo razovel.
388
Captulo 15: Redes privadas virtuais
o Web VPN toma segura uma conexo entre o usurio da empresa em casa com a rede da empresa, usando SSL entre
o usurio final e um servidor Web VPN especial. A Figura 15-4 mostra a idia geral.
Figura 15-4 Web VPN Usando SSL

Site Principal
de Fredsco
Internet
_:b-_. .....
...
HTTP Local ou
Sesso SSL
_-------~
.--
SSL - Entre o Navegador

e o Servidor Web VPN
---------------------------------
---
-------~
Fred em Casa
Servidor Web
VPNASA-1
Para usar Web VPN, o usurio que est na Internet abre qualquer navegador web e se conecta a um servidor Web VPN
da Cisco. O servidor Web VPN pode ser implementado por diversos dispositivos, inclusive um ASA. Esta conexo usa o
SSL para todas as comunicaes, usando as capacidades para SSL embutidas no navegador web, de modo que todas as
comunicaes entre o cliente e o servidor Web VPN sejam seguras.
O servidor Web VPN atua como um servidor web, apresentando uma pgina web de volta para o cliente. A pgina web
apresenta as aplicaes da empresa que esto disponveis ao cliente. Por exemplo, ele pode listar todas as aplicaes
baseadas em web tpicas da empresa, o servidor de e-mail baseado em web e outros servios baseados em web. Quando
o usurio selecionar uma opo, o servidor Web VPN se conectar ao servio, usando HTIP ou SSL, conforme exigido
pelo servidor. Ento, o servidor Web VPN passar o trfego HTIP/SSL para/do servidor real atravs da conexo
somente SSL, de volta ao cliente na Internet. Como resultado, todas as comunicaes atravs da Internet estaro
seguras com o SSL.
O ponto forte desta soluo Web VPN reside no fato de que ela no exige nenhum software ou esforo especial por
parte do cliente. Os empregados podem at usar seus computadores pessoais, o computador de outra pessoa ou qualquer
computador conectado Internet e se conectar ao nome do host do servidor Web VPN.
A desvantagem do Web VPN que ele permite somente o uso de um navegador web. Se voc precisar usar uma
aplicao que no pode ser acessada atravs de um navegador, voc tem duas opes. Primeiro, voc poderia implementar
VPNs IPsec, como j discutido anteriormente. De modo alternativo, voc poderia usar uma variao do Web VPN na
qual o computador cliente carrega um thin client baseado em SSL, conceitualmente similar ao cliente VPN baseado em
IPsec da Cisco, usado nos VPNs IPsec. O computador cliente poderia ento se conectar ao servidor Web VPN usando
o thin client, e o servidor Web VPN simplesmente passaria o trfego do PC para a LAN local, permitindo o acesso como
se o cliente estivesse conectado na rede principal da empresa.

..........
[ TpiCO
:. Chave
....
Descrio
Nmero da Pgina
Lista
Recursos de segurana desejados em VPNs
381
Tabela 15-2
Trs tipos de VPNs e seus propsitos tpicos
382
Tabela 15-3
Partes significativas do processo de criptografia

na VPN
383
CCNA ICND2
Tabela 15-3
Fatos a respeito dos trs algoritmos para

criptografia da VPN IPsec para criptografar
todo o pacote
384
Tabela 15-4
Trs opes para troca de chave DH e

comprimentos de chave
385
Tabela 15-6
Resumo das funes suportadas pelos protocolos

ESP e AR do IPsec
386
389

chave compartilhada, cliente VPN, IPsec, SSL, troca de chave Diffie-Hellman, VPN, Web VPN.

Implementar um esquema de endereamento IP e Servios IP para atender aos requisitos de rede para a rede
de um escritrio remoto de uma Empresa de porte mdio
- Descrever os requisitos tecnolgicos para executar o IPv6 (incluindo: protocolos, pilha dual, tunelamento etc .
- Descrever endereos IPv6
Implementar, verificar e resolver problemas de NAT e ACLs na rede de um escritrio remoto de uma Empres.
de porte mdio.
- Explicar a operao bsica do NAT
- Dados os requisitos para a rede, configurar o NAT (Network Address Translation, ou Traduo de Endereo.
de Rede) usando CU
- Resolver problemas relativos implementao do NAT
*Sempre verifique o site http://www.cisco.com para ver os tpicos de exame colocados recentemente.
Parte V: Escalando o espao de

endereamento IP
----------------------------------------
Captulo 16 Traduo de endereos de rede

Captulo 17 IP verso 6

seguintes assuntos:
Perspectivas a respeito da escalabilidade de endereamento
no IPv4: esta seo explica a necessidade mais significativa
que direcionou o requisito para NAT nos idos dos anos 90.
Conceitos de traduo de endereos de rede: esta seo
explica como as diversas variaes de NAT funcionam.
Configurao e resoluo de problemas de NAT: esta
seo descreve como configurar o NAT, bem como a forma
de usar os comandos show e debug para resolver
problemas de NAT.
.'
CAPTULO 16
: Traduo de endereos de rede
Este captulo introduz a Parte V, "Escalando o espao de endereamento IP" . Os dois captulos desta parte do livro esto
relacionados um ao outro porque explicam as duas solues mais importantes para o que era um enorme obstculo para
o crescimento da Internet. O problema consistia no fato de que o espao de endereamento no IPv4 teria sido totalmente
consumido por volta de meados da dcada de 90 sem nenhuma soluo significativa. Uma das solues de curto prazo
mais significativas foi o NAT (Network Address Translation, ou Traduo de Endereos de Rede), que ser o foco
deste captulo. A soluo de longo prazo mais significativa o IPv6, que ataca o problema tomando o espao de
endereamento bem amplo. O IPv6 ser coberto no prximo captulo.
Este captulo comea com uma rpida cobertura do CIDR (Classless lnterdomain Routing), que ajuda os ISPs (Internet
Service Providers, ou Provedores de Servios da Internet) a administrarem o espao de endereamento IP, e o endereamento
IP privativo. A maior parte do restante deste captulo explica os conceitos e as configuraes relacionadas ao NAT.
Perguntas
Perspectivas a respeito da escalabilidade de endereamento no IPv4
1-3
Conceitos de traduo de endereos de rede
4-5
Configurao e resoluo de problemas de NAT
6-9
1. O que significa CIDR?
a. Classful IP Default Routing

b. Classful IP D-class Routing
c. Classful Interdomain Routing
d. Classless IP Defaul t Routing

e. Classless IP D-class Routing
f. Classless Interdomain Routing

2. Qual(is) das seguintes sub-redes resumidas representa(m) rotas que poderiam ter sido criados para atender ao
objetivo do CIDR de reduzir o tamanho das tabelas de roteamento da Internet?
a. 10. O. O. O 255.255.255. O
b. 10.1.0.0255.255.0.0
c. 200.1.1.0255.255.255.0
d. 200.1. O. O 255.255. O. O
394 Captulo 16: Traduo de endereos de rede

3. Qual(is) das seguintes opes no ()so endereo(s) privativo(s) de acordo com a RFC 1918?
a. 172.31.1.1
b.172.33.1.1
c. 10.255.1.1
d. 10. 1. 2 5 5 . 1
e. 191.168.1.1
4. Com NAT esttico, executando tradues somente para endereos internos, o que faz com que as entradas da tabela
NAT sejam criadas?
a. O primeiro pacote da rede interna para a rede externa
b. O primeiro pacote da rede externa para a rede interna
c. Configurao atravs do comando ip nat inside source
d. Configurao atravs do comando ip nat outside source
5. Com NAT dinmico, executando tradues somente para endereos internos, o que faz com que as entradas da
tabela NAT sejam criadas?
a. O primeiro pacote da rede interna para a rede externa
b. O primeiro pacote da rede externa para a rede interna
c. Configurao atravs do comando ip nat inside source
d. Configurao atravs do comando ip nat outside source
6. O NAT foi configurado para traduzir endereos de origem de pacotes recebidos da parte interna da rede, mas
somente para alguns hosts. Qual dos seguintes comandos identifica os hosts?
a. ip nat
inside
seurce
Iist
peeI
b. ip nat peeI barney 200.1.1.1

c . ip nat
inside
d. ip nat
inside
200.1.1.1
barney
200.1.1.254
netmask
255.255.255.0
200.1.1. 2
e. Nenhuma das alternativas anteriores est correta.

7. O NAT foi configurado para traduzir endereos de origem de pacotes recebidos da parte interna da rede, mas
somente para alguns hosts. Qual dos seguintes comandos identifica os endereos IP locais externos que sero
traduzidos?
a. ip nat inside source list 1 pool barney
b. ip nat pool barney 200.1.1.1 200.1.1.254 netmask 255.255.255. O
c. ip nat inside
d. ip nat inside 200.1.1.1 200.1.1.2
e . Nenhuma das alternativas anteriores est correta.

8. Examine os seguintes comandos de configurao:
interface EthernetO/O
ip address 10.1.1.1 255.255.255.0
ip nat inside
interface Seria10/0
ip address 200.1.1.249 255.255.255 . 252
ip nat inside source list 1 interface SerialO/O
CCNA ICND2
395
Se o objetivo da configurao foi habilitar a sobrecarga de NAT origem, qual(is) dos seguintes comandos poderia(m) ser
til(eis) para completar a configurao?
a. O comando ip nat outside
b. O comando ip nat pat
c. O termo overload
d. O comando ip nat pool
9. Examine a sada do seguinte comando show em um roteador configurado para NAT dinmico:
-
Inside Source
access-list 1 pool fred refcount 2288

pool fred: netmask 255.255.255.240
start 200 .1.1 .1 end 200.1.1.7
type generic,
total addresses 7, allocated 7 (100%), misses 965
Usurios esto reclamando que no conseguem acessar a Internet. Qual das seguintes opes a causa mais provvel?
a. O problema no est relacionado com o NAT, baseado nas informaes da sada do comando.
b. O pool do NAT no possui entradas suficientes para satisfazer todas as solicitaes.
c. A ACL 1 padro no pode ser usada; uma ACL estendida deve ser usada.
d. A sada do comando no fornece informaes suficientes para identificar o problema.
Este captulo cobre os detalhes a respeito de NAT em trs sees principais. A primeira seo explica os desafios ao
espao de endereamento do IPv4 causados pela revoluo da Internet nos anos 90. A segunda seo explica o conceito
bsico por detrs do NAT, como funcionam as diversas variaes do NAT, e como a opo PAT (Port Address Translation,
ou Traduo de Endereos de Porta) conserva o espao de endereamento no IPv4. A ltima seo mostra como
configurar o NAT a partir do CU (command-line interface, ou interface de linha de comando) do software lOS da
Cisco, e como resolver problemas de NAT.
Para aqueles que estiverem seguindo o plano de leitura opcional no qual voc se alterna entre este livro e o CCENT/
CCNA ICNDJ Official Exam Certification Guide (CCENT/CCNA ICNDl Guia oficial de certificao do exame),
observe que o Captulo 17 daquele livro tambm cobre NAT e PAT, com a configurao sendo feita a partir do SDM
(Security Device Manager). Este captulo cobre necessariamente alguns dos conceitos fundamentais, mas com descries
bem mais completas dos conceitos e da configurao.
: Perspectivas a respeito da escalabilidade de endereamento

no IPv4
O projeto original da Internet exigia que cada organizao solicitasse e recebesse um ou mais nmeros de rede IP classful
registrados. As pessoas administrando o programa garantiam que nenhuma das redes IP seriam reusadas. Desde que
todas as organizaes usassem apenas os endereos IP dentro de suas prprias numeraes de rede registradas, os
endereos IP nunca seriam duplicados, e o roteamento IP funcionaria de modo adequado.
Conectar-se Internet usando apenas um nmero de rede registrado, ou diversos nmeros de rede registrados funcionou
bem por um certo tempo. No incio e at meados da dcada de 90, tomou-se evidente que a Internet estava crescendo to
rapidamente que todos os nmeros de rede IP seriam atribudos at a metade da dcada de 90! Levantaram-se
preocupaes no sentido de que as redes disponveis seriam completamente atribudas, e que algumas organizaes no
seriam capazes de se conectar Internet.
A principal soluo de longo prazo para o problema de escalabilidade de endereos IP foi aumentar o tamanho do
endereo IP. Este nico fato foi a razo que mais contribuiu para o aparecimento da verso 6 do IP (IPv6). (A verso 5
foi definida bem antes, mas nunca foi implantada, de modo que a tentativa seguinte foi batizada de verso 6.) O IPv6 usa

um endereo de 128 bits, ao invs do endereo de 32 bits do IPv4. Com o processo idntico ou melhorado de atribuir
faixas nicas de endereos para cada organizao conectada Internet, o IPv6 pode facilmente suportar todas as
organizaes e indivduos do planeta, com o nmero de endereos IPv6 ultrapassando teoricamente 1038
Foram sugeridas muitas solues de curto prazo para o problema de endereamento, mas trs padres trabalharam em
conjunto para resolver o problema. Dois dos padres trabalham juntos de maneira bem prxima: NAT (NetworkAddress
Translation, ou Traduo de Endereos de Rede) e endereamento privativo. Estas facilidades juntas permitem que as
organizaes usem internamente nmeros de rede IP no registrados, e ainda assim consigam se comunicar bem com a
Internet. O terceiro padro, CIDR (Classless lnterdomain Routing), permite que os ISPs reduzam o desperdcio de
endereos IP atribuindo a uma companhia um subconjunto de um nmero de rede ao invs da rede toda. O CIDR
tambm pode permitir que os ISPs faam sumarizao de rotas, de modo que mltiplas redes Classes A, B ou C estejam
associadas a uma nica rota, o que ajuda a reduzir o tamanho das tabelas de roteamento da Internet.
CIDR
O CIDR uma conveno global para atribuio de endereos, que defme como o IANA (Internet Assigned Numbers
Authority), suas agncias membro e os ISPs devem atribuir o espao de endereamento IPv4 global e nico a organizaes
individuais. O CIDR, defmido na RFC 4632 (http://www.ietf.org/rfc/rfc4632.txt).temdoisobjetivosprincipais.Primeiro.
sua poltica diz que as opes para atribuio de endereos deve ajudar no processo de agregao (sumarizao) de
mltiplos nmeros de rede em uma nica entidade de roteamento, reduzindo o tamanho das tabelas de roteamento dos
roteadores da Internet. O segundo objetivo permitir que os ISPs atribuam a seus clientes faixas de endereos em tamanhos
diferentes de redes Classes A, B ou C inteiras, reduzindo o desperdcio, e adiando a data em que endereos IPv4 no estaro
mais disponveis para serem atribudos a novas organizaes e pessoas que querem se conectar Internet. As sees
seguintes explicam um pouco mais dos detalhes a respeito de cada um dos dois principais objetivos do CIDR.
Agregao de rotas para diminuir as tabelas de roteamento

Um dos principais objetivos do CIDR permitir agregar mais facilmente as rotas na Internet. Imagine um roteador na
Internet com uma rota para cada rede Classe A, B e C do planeta! Existem mais de 2 milhes de redes Classe C! Se os
roteadores da Internet tivessem que listar todas as redes c1assful em suas tabelas de roteamento, os roteadores teriam
que ter um bocado de memria, e as buscas na tabela de roteamento iriam exigir um bocado de capacidade de
processamento. Ao agregar rotas, menos rotas seriam necessrias na tabela de roteamento.
A Figura 16-1 mostra um caso tpico de como o CIDR poderia ser usado para consolidar rotas para vrias redes Classe
C em uma nica rota. Na figura, imagine que o ISP 1 seja dono das redes Classe C de 198.0.0.0 a 198.255.255.0 (isto
pode parecer estranho, mas estes so nmeros vlidos de redes Classe C). Sem o CIDR, todas as tabelas de roteamento
dos outros ISPs teriam uma rota separada para cada uma das 2 16 redes Classe C que comeassem com 198. Com o
CIDR, conforme mostrado na figura, os roteadores dos outros ISPs possuem uma nica rota para 198.0.0.0/8 - em
outras palavras, uma rota para todos os hosts cujos endereos IP comeam com 198. Existem mais de 2 milhes somente
de redes Classe C, mas o CIDR tem ajudado os roteadores da Internet a reduzirem suas tabelas de roteamento a um
tamanho mais bem administrvel- por volta de pouco mais de 200.000 rotas no incio de 2007.
..........
Figura 16-1 Uso Tpico do CIDR
( Tpico
'. Chave
....
Rota para 198.0.0.0 Mscara

255.0.0.0 Aponta para ISP #1
Cliente #1
198.8.3.0/24

Cliente #3
198.1 .0.0
.'
CCNA ICND2
397
Ao usar um protocolo de roteamento que troca a mscara, bem como o nmero da sub-rede/rede, pode-se conseguir uma
viso classless do nmero. Em outras palavras, trate o grupamento como se fosse um problema de matemtica, ignorando
as regras para Classes A, B e C. Por exemplo, 198.0.0.0/8 (198.0.0.0, mscara 255.0.0.0) defrne um conjunto de endereos
cujos primeiros 8 bits so iguais ao decirnall98. O ISP 1 anuncia esta rota para os outros ISPs, que precisam de apenas
uma rota para 198.0.0.0/8. Em seus roteadores, o ISP 1 sabe quais redes Classe C esto em quais sites de clientes.
desta forma que o CIDR d aos roteadores da Internet uma tabela de roteamento que pode crescer bem mais - reduzindo
o nmero de entradas nas tabelas.
Para que o CIDR funcione como mostrado na Figura 16-1, os ISPs precisam estar no controle dos nmeros de rede
consecutivos. Atualmente, as redes IP so alocadas por autoridades administrativas nas vrias regies do mundo. As
regies, por sua vez, alocam faixas consecutivas de nmeros de rede para determinados ISPs nestas regies. Isto
permite o resumo de diversas redes em uma nica rota, como mostrado na Figura 16-1.
Conservao de endereos no IPv4

O CIDR tambm ajuda a reduzir as chances de se esgotarem os endereos IPv4 para novas companhias que querem se
conectar Internet. Alm disso, o CIDR permite que um ISP aloque um subconjunto de uma rede Classe A, B ou C a um
nico cliente. Por exemplo, suponha que o cliente 1 do ISP 1 precise apenas de dez endereos IP e que o cliente 3 precisa
de 25 endereos IP. O ISP 1 faz algo mais ou menos assim: ele atribui a sub-rede IP 198.8.3.16/28, com endereos
disponveis de 198.8.3.17 a 198.8.3.30, ao cliente 1. Para o cliente 3, o ISP 1 sugere 198.8.3.32/27, com 30 endereos
disponveis (198.8.3.33 a 198.8.3.62). O ISP atendeu s necessidades dos clientes e ainda no usou toda a rede Classe C
198.8.3.0.
O CIDR ajuda a evitar o desperdcio de endereos IP, reduzindo assim a necessidade de nmeros de rede IP registrados.
Ao invs de dois clientes consumindo duas redes Classe C inteiras, cada um consome uma pequena poro de uma nica
rede Classe C. Ao mesmo tempo, o CIDR, juntamente com uma administrao inteligente dos nmeros de rede consecutivos
para cada ISP, permite que a tabela de roteamento da Internet suporte uma tabela de roteamento muito menor nos
roteadores da Internet do que seria necessrio, caso contrrio.
Endereamento IP privado
Pode ser que alguns computadores nunca sejam conectados Internet. Os endereos IP destes computadores poderiam
ser cpias de endereos IP registrados na Internet. Quando a conveno para o endereamento IP em tais redes estiver
sendo planejada, uma organizao poderia escolher e usar qual(is)quer nmero(s) de rede que quiser, e tudo funcionaria
bem. Por exemplo, voc pode comprar alguns roteadores, conect-los em seu escritrio, e configurar endereos IP na
rede 1.0.0.0, e eles funcionariam. Os endereos IP que voc usar podem ser cpias de endereos IP reais da Internet,
mas se tudo o que voc quiser fazer for aprender no laboratrio de seu escritrio, tudo estar bem.
Quando estiver construindo uma rede privada que no ter nenhuma conexo com a Internet, voc pode usar nmeros de
rede IP chamados de redes privadas (private intemets), conforme definido na RFC 1918, Address Allocation for
Private Intemets (Alocao de endereos para redes privadas, http://www.ietf.orglrfc/rfcI918.txt). Esta RFC define
um conjunto de redes que nunca sero atribudas a nenhuma organizao como sendo um nmero de rede registrado. Ao
invs de usar nmeros de rede registrados pertencentes a outras pessoas, voc pode usar nmeros em uma faixa que no
usada por mais ningum na Internet pblica. A Tabela 16-2 mostra o espao de endereamento privativo definido pela
RFC 1918.
/;~;;~o
Tabela 16-2 Espao de Endereamento IP Privado da RFC 1918

Faixa de Endereos IP
Classe das Redes
Nmero de Redes
10.0.0.0 a 10.255.255.255
172.16.0.0 a 172.31.255.255
16
192.168.0.0 a 192.168.255.255
256
:.....cu".
Em outras palavras, qualquer organizao pode usar estes nmeros de rede. No entanto, nenhuma organizao est
autorizada a anunciar estas redes na Internet usando um protocolo de roteamento.

Voc deve estar imaginando por que voc se preocuparia em reservar nmeros privativos de rede especiais quando no
importa se estes endereos esto duplicados. Bem, acontece que voc pode usar o endereamento privativo em uma
conexo de rede e se conectar Internet ao mesmo tempo, desde que voc use o NAT (Network Address Translation,
ou Traduo de Endereos de Rede). O restante deste captulo analisa e explica o NAT.
Conceitos de traduo de endereos de rede

O NAT, definido pela RFC 3022, permite que um host que no possua um endereo IP vlido, registrado e globalmente nico se
comunique com outros hosts atravs da Internet Os hosts podem estar usando endereos privativos ou endereos que foram
atribudos a outra organizao. Qualquer que seja o caso, o NAT permite que estes endereos que no podem ser usados
prontamente na Internet continuem sendo usados, e permite aiDda a comunicao com hosts atravs da Internet
O NAT consegue seu intento usando um endereo IP vlido e registrado para representar o endereo privativo para o
resto da Internet. A funo do NAT muda os endereos IP privativos para endereos IP registrados publicamente dentro
de cada pacote IP, como mostrado na Figura 16-2.
Figura 16-2 Troca de Endereo IP pelo NAT: Endereamento Privativo
/~~~;~o
\ c.......
...
10.1.1.1
Origem
Destino
10.1.1.1
1170.1.1.1
Origem
Destino
1170.1.1 .1
10.1 .1.1
Origem
www.cisco.com
170.1.1.1
Destino
1 200 .1 .1.1 1 170 . 1 .1.1
Origem
Destino
1170.1.1.1 1200.1.1.1
111(
111(
Observe que o roteador executando NAT, muda o endereo IP origem do pacote quando o pacote sai da organizao
privada. O roteador executando NAT tambm altera o endereo de destino de cada pacote encaminhado de volta para
dentro da rede privada (a rede 200.1.1.0 uma rede registrada na Figura 16-2). A facilidade de NAT, configurada no
roteador chamado NAT, executa a traduo.
O Software lOS da Cisco suporta diversas variaes de NAT. As prximas pginas a seguir cobrem os conceitos por
detrs de vrias destas variaes. A seo depois disso cobre a configurao relacionada a cada opo.
NATesttico
O NAT esttico funciona exatamente como no exemplo mostrado na Figura 16-2, mas com os endereos IP mapeados
estaticamente um ao outro. Para ajudar voc a compreender as implicaes do NAT esttico, e para explicar diversos
termos-chave, a Figura 16-3 mostra um exemplo similar, com mais informaes.
Figura 16-3 NAT Esttico Mostrando Endereos Locais Internos e Globais Internos
ISA 10.1.1.1
lSA200.1.1.11
10.1.1.1
Internet
10.1.1.2
Endere o Privativo
10.1.1 .1
10.1.1.2
Ender o Pblico
200.1.1 .1
200.1.1.2
CCNA ICND2
399
Em primeiro lugar, o conceito: o ISP da companhia atribuiu a ela a rede registrada 200.1.1.0. Sendo assim, o roteador
NAT deve fazer com que os endereos IP privativos paream estar na rede 200.1.1.0. Para fazer isso, o roteador NAT
altera os endereos IP de origem nos pacotes indo da esquerda para a direita na figura.
Neste exemplo, o roteador NAT altera o endereo de origem ("EO" na figura), de 10.1.1.1 para 200.1.1.1. Com o NAT
esttico, o roteador NAT simplesmente configura um mapeamento de um-para-um entre o endereo privativo e o endereo
registrado usado em seu lugar. O roteador NAT configurou estaticamente um mapeamento entre o endereo privativo
10.1.1.1 e o endereo pblico e registrado, 200.1.1.1.
Suportar dois hosts IP na rede privada exige um segundo mapeamento esttico de um-para-um, usando um segundo
endereo IP da faixa de endereos pblicos. Por exemplo, para suportar 10.1.1.2, o roteador mapeia estaticamente
10.1.1.2 para 200.1.1.2. Pelo fato da empresa ter uma nica rede Classe C registrada, ela pode suportar at 254 endereos
IP privativos com o NAT, tendo os dois nmeros reservados de sempre (o nmero da rede e o endereo de broadcast da
rede).
A terminologia usada com o NAT, particularmente com a configurao, pode ser um pouco confusa. Observe na Figura
16-3 que a tabela do NAT lista os endereos IP privativos como "privativo" e os endereos pblicos registrados da rede
200.1.1.0 como "pblico". A Cisco usa o termo Local interno (inside local) para os endereos IP privativos neste
exemplo, e global interno (inside global) para os endereos IP pblicos.
Na terminologia da Cisco, a rede da empresa que usa endereos privativos, e, sendo assim, precisa do NAT, a parte
"interna" (ou "in si de") da rede. O lado Internet da funo NAT a parte "externa" (ou "outside") da rede. Um host que
precisa de NAT (como o 10.1.1.1 no exemplo) possui um endereo IP que ele usa dentro da rede, e precisa de um
endereo IP que o represente fora da rede. Portanto, pelo fato do host precisar essencialmente de dois endereos
diferentes para represent-lo, voc precisa de dois termos. A Cisco chama o endereo IP privativo usado do lado de
dentro da rede, de endereo local interno e o endereo usado para representar o host para o resto da Internet de
endereo global interno. A Figura 16-4 repete o mesmo exemplo, com algumas das terminologias sendo apresentadas.
Figura 16-4 Terminologia do NAT Esttico

~1~S_A_10_.1_.1_.1~1__~I
1L-ILs_A_20_0_
.1._1._1LI__~
/~~~;~o
. _-------------------------,.--------------------------------_._-----------_.---------"""
""
""
Server
""
10.1.1.1
\~h.Y
':
Internet
""
""
"
________ )_Q.)~1~~ _________ j~" _________________________________________________________ _
Dentri
l DA 10.1.1 .1
Local Interno
10.1.1.1
10.1.1.2
Fora
I DA 200.1.1.1 I
Global Interno
200.1.1.1
200.1 .1.2
A maior parte das configuraes NAT tpicas altera apenas o endereo IP dos hosts internos. Sendo assim, a tabela NAT
atual apresentada na Figura 16-4 mostra os endereos locais internos e os endereos registrados globais internos
correspondentes. No entanto, o endereo IP do host do lado de fora tambm pode ser alterado com o NAT. Quando isto
acontece, os termos local externo (outside local) e global externo (outside global) denotam o endereo IP usado
para representar este host na rede interna e na rede externa, respectivamente. A Tabela 16-3 resume a terminologia e
seus significados.

Tabela 16-3 Termos do Endereamento NAT
/;~~;~o
'. Chave
....
Local interno (inside local)
Em um projeto de NAT tpico, o termo interno (inside) se refere a um

endereo usado por um host dentro de uma empresa. Um local interno
o endereo IP atribudo a um host na rede privada da empresa. Um
termo mais descritivo poderia ser privativo interno.
Global interno (inside global)
Em um projeto de NAT tpico, o termo interno (inside) se refere a um

endereo usado por um host dentro de uma empresa. O NAT usa um
endereo global interno para representar um host interno quando o pacote
enviado para a rede externa, tipicamente a Internet. Um roteador NAT
altera o endereo IP de origem de um pacote enviado por um host interno
com um endereo local interno, para um endereo global interno, quando
o pacote vai de dentro para fora da rede.
Um termo mais descritivo poderia ser pblico interno porque, quando
os endereos da RFC 1918 estiverem sendo usados em uma empresa, o
endereo global interno representa o host interno com um endereo IP
pblico que pode ser usado para fazer o roteamento na Internet pblica.
Global externo (outside global)
Local externo (outside local)
Em um projeto de NAT tpico, o termo externo (outside) se refere a um

endereo usado por um host fora da empresa - em outras palavras, na
Internet. Um endereo global externo o endereo IP real atribudo a
um host que fica na rede externa, tipicamente na Internet. Um termo
mais descritivo poderia ser pblico externo porque um endereo global
externo representa o host externo com um endereo IP pblico que pode
ser usado para fazer o roteamento na Internet pblica.
O NAT pode traduzir o endereo IP externo - o endereo IP que
representa o host fora da rede da empresa - embora esta no seja uma
opo muito usada. Quando um roteador NAT encaminha um pacote de
dentro para fora da rede, quando estiver usando o NAT para alterar o
endereo externo, o endereo IP que representa o host externo na forma
do endereo IP destino no cabealho do pacote chamado de endereo
IP local externo. Um termo mais descritivo seria privativo externo
porque, quando endereos da RFC 1918 estiverem sendo usados em
uma empresa, o endereo local externo representa o host externo com
um endereo IP privativo da RFC 1918.
NAT dinmico
O NAT dinmica possui algumas semelhanas e algumas diferenas quando comparado ao NAT esttico. Como no NAT
esttico, o roteador NAT cria um mapeamento de um-para-um entre um endereo local interno e global interno, e muda
os endereos IP dos pacotes medida que eles saem e entram na rede interna. No entanto, o mapeamento de um
endereo local interno para um endereo global interno acontece dinamicamente.
O NAT dinmico configura um pool de endereos globais internos possveis e define um critrio para determinar quais
endereos IP locais internos devem ser traduzidos com o N AT. Por exemplo, na Figura 16-5, um pool de cinco endereos
IP globais internos foram estabelecidos: 200.1.1.1 a 200.1.1.5. O NAT tambm foi configurado para traduzir qualquer
endereo local interno que comee com 10.1.1.
CCNA ICND2
401
Figura 16-5 NAT Dinmica
,--,-IS_A_1_0.1_.1_.1---,-_---,1 I ISA 200.1 .1.1 I

Fora
..
Dentro
................... -------- --------------------------------.-------------------------Ii
::
00
00
10.1.1.1
00
00
00
::
Internet
00
00
00
00
00
00
.1
________ .1_Q.) ~ 1"~ _________ J! __________________________________________________________ ~

NAT Antes do Primeiro Pacote
Local Interno
Global
Pool NAT:
Interno
~200 . 1 . 1 . 1
200.1 .1.2
Tabela NAT Aps o Primeiro Pacote
200.1.1.3
Local Interno
Global Interno
200.1.1.4
10.1.1.1
200.1 .1.1
200.1.1.5
Critrio para Hosts Sujeitos NAT:

10.1.1.0 -10.1.1.255
Os nmeros 1,2,3 e 4 na figura se referem seguinte seqncia de eventos:

1. O host 10.1.1.1 envia seu primeiro pacote ao servidor em 170.1.1.1.
2. Quando o pacote entra no roteador NAT, o roteador aplica algumas lgicas para decidir se o NAT deve ser aplicado
ao pacote. Pelo fato da lgica ter sido configurada para casar os endereos IP que comeam com 10.1.1 , o roteador
adiciona uma entrada na tabela NAT para 10.1.1.1, como um endereo local interno.
3. O roteador NAT precisa alocar um endereo IP do pool de endereos globais internos vlidos. Ele seleciona o
primeiro disponvel (200.1.1.1, neste caso) e o adiciona na tabela NAT para completar a entrada.
4. O roteador NAT traduz o endereo IP de origem e encaminha o pacote.
A entrada dinmica permanece na tabela enquanto o trfego fluir ocasionalmente. Voc pode configurar um valor de
timeout que define quanto tempo o roteador deve esperar para remover uma entrada dinmica, caso nenhum pacote seja
traduzido com este endereo. Voc tambm pode limpar manualmente as entradas dinmicas da tabela atravs do
comando c1ear ip nat translation *.
O NAT pode ser configurado com mais endereos IP na lista de endereos locais internos do que no pool de endereos
globais internos. O roteador aloca endereos do pool at que todos tenham sido alocados. Se um novo pacote chegar de
algum outro host, e o mesmo precisar de uma entrada NAT, mas todos os endereos IP do pool estiverem sendo usados,
o roteador simplesmente descartar o pacote. O usurio precisar tentar novamente at que ocorra timeout em uma
entrada NAT, e neste ponto a funo NAT funcionar para o prximo host que enviar um pacote. Essencialmente, o pool
de endereos globais internos precisa ser to grande quanto o nmero mximo de hosts concorrentes que precisam usar
a Internet ao mesmo tempo - a menos que voc use PAT, conforme ser explicado na prxima seo.
Sobrecarregando o NAT com a Traduo de Endereos de Portas (PAT)

Algumas redes precisam ter a maioria, seno todos os hosts acessando a Internet. Se esta rede usar endereos IP
privativos, o roteador NAT precisar de um conjunto grande de endereos IP registrados. Com o NAT esttico, para cada
host com IP privativo que precisar acessar a Internet, voc precisar de um endereo IP registrado publicamente,
destruindo completamente o objetivo de reduzir o nmero de endereos IPv4 pblicos necessrios a esta organizao. O
NAT dinmico reduz o problema at certo ponto porque raramente todos os hosts de uma rede precisariam se comunicar
com a Internet ao mesmo tempo. Porm, se um grande percentual dos hosts IP de uma rede precisar de acesso Internet
ao longo do horrio comercial normal da empresa, o NAT ainda precisar de um grande nmero de endereos IP
registrados, falhando novamente em reduzir o consumo de endereos IPv4.
o recurso de Sobrecarga de NAT (NAT Overload), tambm chamado de PAT (Port Address Translation, ou Traduo
de Endereos de Porta) resolve este problema. A sobrecarga permite que o NAT seja escalado para suportar vrios

clientes com apenas poucos endereos IP pblicos. A chave para entender como a sobrecarga funciona se lembrar de
como os hosts usam as portas TCP e UDP (User Datagram Protocol). A Figura 16-6 detalha um exemplo que ajuda a
tomar mais bvia a lgica por detrs da sobrecarga.
A parte superior da figura mostra uma rede com trs hosts diferentes se conectando a um servidor web usando TCP. A
parte inferior da figura mostra a mesma rede mais tarde, no mesmo dia, com trs conexes TCP a partir do mesmo
cliente. Todas as seis conexes se conectam ao endereo IP (170.1.1.1) e porta (80, a famosa porta para servios web)
do servidor. Em cada caso, o servidor diferencia as diversas conexes porque as combinaes entre seus endereos IP
e nmeros de porta so nicas.
O NAT se utiliza da vantagem relativa ao fato de que os servidores no se importam se possuem uma conexo com cada
um dos trs hosts diferentes, ou trs conexes para o endereo IP de um nico host. Portanto, para suportar diversos
endereos IP locais internos com apenas alguns endereos IP globais internos, registrados publicamente, a sobrecarga de
NAT (PAT) traduz ambos os endereos e provavelmente os nmeros de porta tambm. A Figura 16-7 apresenta esta
lgica.
Figura 16-6 Trs Conexes TCP: A Partir de Trs Hosts Diferentes e A Partir de Um Host
Trs Conexes Apartir de Trs PCs
10.1.1.1, Porta 1024
10.1.1.1
170.1.1.1, Porta 80
Servidor
10.1.1.2
170.1.1.1
10.1.1.3, Porta10
10.1.1.3
17 . .1.1, Porta 80
Trs Conexes Apartir de Um PC
200.1.1.2, Porta1024
170.1.1 .1, Porta 80
Servidor
200.1.1.2, Porta10
Internet
200.1.1.2, Porta1 26
170.1.1.1
17 . .1.1, Porta 80
Figura 16-7 Sobrecarga NAT (PAT)

10.1.1.1
10.1 .1.2
10.1.1.3
10.1.1.1, Porta 1024

~
...
Servidor
200.1.1.2, Porta 1025 170.1.1.1, Porta 80
200.1.1.2, Porta 1026 170.1.1 .1, Porta 80
10.1.1.3, Porta 1033
/;~;;~o
'. Chave
10.1.1.2, Porta 1024

(
.
.
.
200.1.1.2, Porta 1024 170.1.1 .1, Porta 80
170.1 .1.1
Tabela de NAT Dinmica, com Sobrecarga

Global Interno
Local Interno
10.1.1 .1 :1024
200.1.1.2:1024
10.1.1 .2:1024
200.1.1.2:1025
200.1.1.2:1026
10.1.1.3:1033
Quando O PAT cria o mapeamento dinmico, ele seleciona no apenas um endereo IP global inte[Ilo, mas tambm um
nmero de porta nico a ser usado com este endereo. O roteador NAT mantm uma entrada na tabela NAT para cada
combinao nica entre endereo IP local interno e porta, com a traduo para o endereo global interno e um nmero de
porta nico associado a este endereo global interno. E pelo fato do campo de nmero de porta ter 16 bits, a sobrecarga
CCNA ICND2
403
de NAT pode usar mais de 65.000 nmeros de portas, permitindo que seja bem escalado sem a necessidade de muitos
endereos IP registrados - em muitos casos, precisando somente de um endereo IP global externo.
Dos trs tipos de NAT cobertos neste captulo at agora, o PAT de longe a opo mais popular. Tanto o NAT Esttico
quanto o NAT Dinmico exigem um mapeamento de um-para-um de um endereo local interno para um endereo global
interno. O PAT reduz significativamente o nmero necessrio de endereos IP registrados, se comparado a estas outras
alternativas de NAT.
Traduzindo endereos sobrepostos

As primeiras trs opes de NAT explicadas nas sees anteriores so as mais provveis de serem usadas na maior
parte das redes. No entanto, existe ainda uma outra variao de NAT, uma que permite a traduo tanto do endereo IP
de origem quanto do endereo IP de destino. Esta opo particularmente til quando duas redes utilizam faixas de
endereos IP que se sobrepem, por exemplo, quando uma organizao no est usando endereamento privativo, mas
ao invs disso, est usando um nmero de rede registrado, pertencente a outra empresa. Se uma empresa usa
inapropriadamente um nmero de rede que est corretamente registrado para outra empresa diferente, e ambas se
conectam Internet, o NAT pode ser usada para permitir que ambas as empresas se comuniquem com hosts na Internet,
e uma com a outra. Para fazer isso, o NAT traduz tanto os endereos IP de origem quanto os endereos IP de destino,
neste caso. Por exemplo, considere a Figura 16-8, na qual a empresa A usa uma rede que est registrada para a Cisco
(170.1.0.0).
Figura 16-8 Troca de Endereos IP no NAT: Redes No-Registradas

Cliente
(Empresa A)
170.1.1.10
www.cisco.com
170.1.1.1
Destino
Origem
1 200.1.1.1
170.1.1.1
-------------------..
Origem
Destino
1 170.1.1.1 1 200.1.1.1
Tabela NAT Aps o Primeiro Pacote
Global Interno
200.1.1.1
Local Externo
192.168.1.1
Global Externo
170.1.1.1
Com um espao de endereamento que se sobrepe, um cliente na empresa A no pode enviar um pacote para o host
com endereo IP legtimo 170.1.1.1- ou, se o fizer, o pacote no chegaria nunca ao 170.1.1.1 de verdade. Por qu? As
tabelas de roteamento dentro da empresa ( esquerda) provavelmente possuem uma rota associada a 170.1.1.1 em sua
tabela de roteamento. Para o host 170.1.1.10 na figura, o mesmo est na sub-rede na qual o 170.1.1.1 "privativo" estaria,
portanto o host 170.1.1.10 nem mesmo tentaria encaminhar pacotes destinados a 170.1.1.1 para o roteador. Ao invs
disso, ele encaminharia os pacotes diretamente ao host 170.1.1.1 , assumindo que o mesmo est na mesma LAN! O NAT
pode resolver este problema, mas tanto os endereos de origem quanto os de destino devem ser alterados quando o
pacote passar pelo roteador NAT. Na Figura 16-8, observe que o pacote original enviado pelo cliente possui um endereo
de destino de 192.168.1.1. Este endereo, chamado de endereo local externo, representa o servidor fora da empresa.
Externo significa que o endereo representa o host que est fisicamente "do lado de fora" da rede. Local significa que
este endereo representa o host do lado privativo da rede.
Quando o pacote passar pelo roteador NAT (da esquerda para a direita), o endereo de origem alterado, exatamente
como nos exemplos anteriores. Porm, o endereo de destino tambm ser alterado, neste caso, para 170.1.1.1. O
endereo de destino tambm chamado de endereo global externo neste ponto, porque ele representa um host que
est sempre fisicamente do lado de fora da rede, e o endereo o endereo IP global, registrado publicamente e que pode
ser roteado atravs da Internet.

A configurao do NAT inclui um mapeamento esttico entre o endereo IPreal (global externo), 170.1.1 .1, e o endereo
IP privativo (local externo) usado para represent-lo dentro da rede privada - 192.168.1.1.
Pelo fato do cliente iniciar uma conexo com o servidor direita, o roteador NAT deve no apenas traduzir os endereos,
mas tambm modificar as respostas do DNS (Domain Name System, ou Sistema de Nomes de Domnio). O cliente, por
exemplo, executa uma solicitao de DNS para www.cisco.com. Quando a resposta do DNS chegar (da direita para a
esquerda) de volta at o roteador NAT, a NAT ir alterar a resposta do DNS de modo que o cliente na empresa pensar
que o endereo IP de www.cisco.com 192.168.1.1.
Hoje em dia, se houver opo, as empresas tendem simplesmente a usar o endereamento privativo para evitar a
necessidade de se traduzir ambos os endereos IP em cada pacote. Alm disso, o roteador NAT precisa de uma entrada
esttica para cada servidor no nmero de rede em sobreposio - uma tarefa potencialmente trabalhosa. Ao usar
endereos privativos, voc pode usar o NAT para conectar a rede na Internet e reduzir o nmero necessrio de endereos
IP registrados, tendo que executar a funo NAT somente para o endereo privativo de cada pacote.
A Tabela 16-4 resume o uso da terminologia NAT na Figura 16-8.
Tabela 16-4 Termos do Endereamento NAT Conforme Usados na Figura 16-8
Termo
Valor na Figura 16-8
Local interno (Inside local)
170.1.1.10
Global Interno (inside global)
200.1.1.1
Global Externo (Outside global)
170.1.1.1
Local Externo (Outside local)
192.168.1.1
Configurao e resoluo de problemas de NAT

Nas sees seguintes, voc vai ler a respeito de como configurar as trs variaes mais comuns de NAT: NAT esttico,
NAT dinmico e PAT, alm de ler a respeito dos comandos show e debug usados para resolver problemas de NAT.
Configurao do NAT esttico

A configurao do NAT esttico, quando comparada com as outras variaes de NAT, a que exige menos passos para
configurao. Cada mapeamento esttico entre um endereo local (privativo) e um endereo global (pblico) deve ser
configurado. Alm disso, necessrio informar ao roteador em quais interfaces ele deve usar o NAT, porque o NAT no
precisa estar habilitado em todas as interfaces. Em particular, o roteador precisa conhecer cada interface e saber se a
interface interna ou externa. A seguir, os passos especficos:
. . ........ Passo 1 Configure as interfaces que estaro na parte interna do design do NAT usando o subcomando de interface ip
nat mSlde.
....
: Tpico
~ Chave
Passo 2 Configure as interfaces que estaro na parte externa do design do NAT usando o subcomando de interface ip
nat outside.
Passo 3 Configure os mapeamentos estticos usando o comando global de configurao ip nat inside source static
inside-local inside-global.
A Figura 16-9 mostra a rede familiar usada anteriormente neste captulo na descrio do NAT esttico, a qual tambm
ser usada nos primeiros exemplos de configurao. Na Figura 16-9, voc pode notar que FredsCo obteve a rede Classe
C 200.1.1.0 como um nmero de rede registrado. Toda a rede, com mscara 255.255.255.0 est configurada no enlace
serial entre FredsCo e a Internet. Com um enlace serial ponto-a-ponto, apenas dois dos 254 endereos IP vlidos desta
rede sero consumidos, deixando 252 endereos disponveis.
CCNA ICND2
405
Figura 16-9 Troca de Endereos IP no NAT: Redes Privativas
Rede Registrada : 200.1.1.0
200. 1.1.251
FredsCo
_........................................................................ -,_ ..... . .
"
10.1.1.1
.1.252
""
"
""
"::
Servidor
"
Internet
""
""
" ____________________________ _____________________________ _
__ ______ )_(L1"1~~ _________ ~:
Fora
Dentro
Quando estiver planejando uma configurao NAT, voc precisa encontrar alguns endereos IP a serem usados como
endereos IP globais internos. Pelo fato destes endereos precisarem fazer parte de alguma faixa de endereos IP
registrados, muito comum se usar os endereos extras da sub-rede que conecta a empresa Internet - por exemplo, os
252 endereos IP extras da rede 200.1.1.0, neste caso. O roteador tambm pode ser configurado com uma interface
loopback e receber um endereo IP, que seja parte de uma faixa de endereos IP nicos e registrados globalmente.
O Exemplo 16-1 mostra a configurao do NAT, usando 200.1.1.1 e 200.1.1.2 para os dois mapeamentos NATestticos.
Exemplo 16-1 Configurao do NAT Esttico

NAT# show running-config
interface EthernetO / O
ip address 10.1.1 . 3 255.255.255.0
i p nat inside
interface SerialO / O
ip address 200 . 1.1.251 255.255.255.0
ip nat outside
!
ip nat inside source static 1 0. 1.1.2 200 . 1.1. 2

ip nat inside source static 10.1.1.1 200 . 1.1 . 1
NAT# show ip nat translations
Pro
Inside global
Inside local
2 00.1.1.1
10 . 1.1.1
2 00. 1.1.2
10.1.1.2
Outside local
NAT# show ip nat statistics

Total activ e translat i ons: 2 (2 stat i c, O dynamic; O extended)
Outside interfaces:
SerialO / O
Inside interfaces :
EthernetO / O
Hits: 100 Misses: O
Expired translations: O
Dynamic mappings:
Outside global

Os mapeamentos estticos foram criados atravs do comando ip nat inside source static. O termo inside significa que
o NAT traduzir endereos para hosts da parte interna da rede. O termo source significa que o NAT traduzir o
endereo IP de origem dos pacotes que chegarem em suas interfaces internas. O termo static significa que os parmetros
defmem uma entrada esttica, que no deve ser removida nunca da tabela NAT por causa de timeout. Pelo fato do design
exigir que dois hosts, 10.1.1.1 e 10.1.1.2 tenham acesso Internet, dois comandos ip nat inside so necessrios.
Depois de criar as entradas NAT estticas, o roteador precisa saber quais interfaces so "internas" e quais so "externas".
Os subcomandos de interface ip nat inside e ip nat outside identificam cada interface adequadamente.
Um par de comandos show apresenta as informaes mais importantes sobre NAT. O comando show ip nat translations
apresenta as duas entradas NAT estticas criadas na configurao. O comando show ip nat statistics apresenta
estatsticas, mostrando coisas como o nmero de entradas ativas na tabela de traduo neste momento. As estatsticas
tambm incluem o nmero de ocorrncias (bits), que incrementado a cada pacote no qual o NAT precisou fazer a
traduo de endereos.
Configurao do NAT dinmico
Como voc deve estar imaginando, a configurao do NAT dinmico difere do NAT esttico em alguns pontos, mas
tambm possui semelhanas. O NAT Dinmico tambm exige que cada interface seja identificada como sendo uma
interface interna ou externa, mas obviamente, o mapeamento esttico no necessrio. O NAT Dinmico usa uma ACL
(Access Control List, ou Lista de Controle de Acesso) para identificar quais endereos IP locais internos (privativos)
precisam ter seus endereos traduzidos, e define um conjunto de endereos IP pblicos registrados a serem alocados. A
seguir, os passos especficos:
/;~;;~o Passo 1 Como acontece no NAT esttico, configure as interfaces que estaro na parte interna do design do NAT
\~h.ve
usando o subcomando de interface ip nat inside.
Passo 1 Como acontece no NAT esttico, configure as interfaces que estaro na parte externa do design do NAT
usando o subcomando de interface ip nat outside.
Passo 3 Configure uma ACL que identifique os pacotes chegando nas interfaces internas, para os quais o NAT deve
ser executada.
Passo 4 Configure o pool de endereos IP registrados publicamente atravs do comando de configurao global ip nat
pool name first-address last-address mask subnet-mask.
Passo 5 Habilite o NAT dinmico fazendo referncia ACL (Passo 3) e ao pool (passo 4) atravs do comando de
configurao global ip nat source tist acl-number pool pool-name.
O prximo exemplo usa a mesma topologia de rede do exemplo anterior (veja a Figura 16-9). Neste caso, os mesmos dois
endereos locais internos, 10.1.1.1 e 10.1.1.2 precisam de traduo. Os mesmos endereos globais internos usados nos
mapeamentos estticos do exemplo anterior, 200.1.1.1 e 200.1.1.2 sero inseridos no conjunto de endereos globais
internos a serem atribudos dinamicamente. O Exemplo 16-2 mostra a configurao, alm de alguns comandos show.
Exemplo 16-2 Configurao do NAT Dinmico

ip address 10.1 . 1.3 255.255.255.0
1-
ip na t inside
I~
interface Seria10 / 0
ip address 200.1.1.251 255.255.255.0
ip n a t o utside
ip na t poo1 fr ed 2 0 0.1.1 . 1 200. 1 .1.2 ne tmask 255 . 25 5. 2 5 5.2 5 2
CCNA ICND2
407
ip nat inside source list 1 p ool f red
access-list 1 permit 10.1.1.2

access- l ist 1 permit 10.1.1.1
! The next cornrnand lists one empty line because no entries have been dynamically
! created yet.
NAT# show ip nat trans1ations

Total activ e translations: O (O static, O dynami c; O extended)
Outside interfaces:
SerialO/O
Inside interfaces :
EthernetO/O
Hits: O Misses : O
Expired translations:
Dynamic mappings:
-
- Inside Source
access-list 1 pool fred refcount O

star t 200.1.1 . 1 end 200.1.1.2
type generic , total addresses 2, allocated O ( 0%) , misses O
A configurao do NAT dinmico inclui um pool de endereos globais internos, alm de uma lista de acesso IP para
defInir os endereos locais internos para os quais o NAT ser executado. O comando ip nat pool apresenta o primeiro
e o ltimo nmero de uma faixa de endereos globais internos. Por exemplo, se o pool precisasse de dez endereos, o
comando teria listado 200.1.1.1 e 200.1.1.10. O parmetro netmask necessrio executa um certo tipo de verifIcao na
faixa de endereos. Se a faixa de endereos no estiver na mesma sub-rede assumindo que o netmask configurado foi
usado, o lOS ir rejeitar o comando ip nat pool. Neste caso, a sub-rede 200.1.1.0, mscara 255.255.255 .252 (o netmask
configurado) iria incluir 200.1.1.1 e 200.1.1.2 na faixa de endereos vlidos, portanto o lOS aceitaria este comando.
Como no NAT esttico, o NAT dinmico usa o comando ip nat inside source. De modo diferente do NAT esttico, a
verso deste comando no NAT dinmico faz referncia ao nome do pool NAT a ser usado para os endereos globais
internos - neste caso, fred. Este comando tambm faz referncia a uma IPACL, que defIne a lgica para casar os
endereos IP locais internos. O comando ip nat inside source tist 1 pool fred mapeia hosts que casam com a ACL 1,
com o pool chamado fred, que foi criado atravs do comando ip nat pool fred.
O Exemplo 16-2 termina com um par de comandos show que confIrmam que o roteador ainda no possui nenhuma
entrada na tabela de traduo NAT. No comeo, os comandos show ip nat translations e show ip nat statistics no
apresentam nada ou apresentam informaes mnimas de confIgurao. Neste ponto, nem o host 10.1.1.1 , nem o 10.1.1.2
ainda no enviou nenhum pacote, e o NAT no criou nenhuma entrada dinmica na tabela NAT ou traduziu endereos de
qualquer pacote.
O comando show ip nat statistics no [mal do exemplo apresenta algumas informaes para resoluo de problemas que
so particularmente interessantes, com dois contadores diferentes chamados de "misses" (ou perdas), que esto destacados
no exemplo. A primeira ocorrncia deste contador conta o nmero de vezes que um novo pacote chegou, precisando de
uma entrada NAT, e no encontrou nenhuma. Neste ponto, o NAT dinmico reage e monta uma entrada. O segundo
contador de perdas no fInal da sada do comando apresenta o nmero de perdas no pool. Este contador incrementado
somente quando o NAT dinmico tenta alocar uma nova entrada na tabela NAT e no encontra nenhum endereo
disponvel, de modo que o pacote no pode ser traduzido - fazendo com que provavelmente, o usurio fInal no consiga
acessar sua aplicao.
Para ver o contador de perdas e vrios outros fatos interessantes, o Exemplo 16-3 continua o exemplo iniciado no
Exemplo 16-2. Este exemplo mostra os resultados quando os hosts 10.1.1.1 e 10.1.1.2 comearam a criar conexes TCP,
neste caso com Telnet. Este exemplo continua a partir de onde o Exemplo 16-2 parou.

Exemplo 16-3 Verificando uma Operao Normal do NAT Dinmico
~--------------------------------------------------~
.
! A Telnet from 10.1.1.1 to 170.1.1.1 happened next; not shown
1-

Total active translations: 1 (O static, 1 dynamic; O extended)
Outside interfaces:
SerialO/O
Inside interfaces:
EthernetO /O
Hits: 69 Misses: 1
Expired translations: O
Dynamic mappings:
-
- Inside Source
access-list 1 pool fred refcount 1

start 200 . 1.1.1 end 200.1.1.2
type generic, total addresses 2, allocated 1 (50%), misses O
Pro
Inside global
Inside local Outside local Outside global
200 .1.1.1
10.1.1.1
NAT# c1.ar ip nat trans1ation *
I~
1-
! telnet from 10.1.1.2 to 170.1.1.1 happened next;
not shown

Pro Inside global Inside local Outside local Outside global
-
1-
200.1.1.1 10.1.1.2 - -
! Telnet from 10.1.1.1 to 170.1.1.1 happened next;
not shown
1-
NAT# debug ip nat

IP NAT debugging is on
01:25:44: NAT:
s=10.1.1.1->200.1.1.2, d=170.1.1.1
01:25:44: NAT:
s=170.1.1.1, d=200.1.1.2->10 . 1.1.1 [8228]
01:25:56: NAT:
s=10.1.1.1->200.1.1.2, d=170.1.1.1
01:25:56 : NAT: s=170.1.1.1,
[45119]
[45120]
d=200.1.1.2->10 .1. 1.1 [O]
o exemplo comea com o host 10.1.1.1 fazendo telnet para 170.1.1.1 (no foi mostrado), com o roteador NATcriando uma
entrada NAT. A tabela NAT mostra uma nica entrada, mapeando 10.1.1.1 para 200.1.1.1. Observe que o primeiro contador
de perdas do comando show ip nat statistics apresenta 1 perda, o que significa que o primeiro pacote da conexo TCP do
host 10.1.1.1 para 170.1.1.1 ocorreu e o roteador no encontrou uma entrada na tabela NAT, fazendo com que o contador
fosse incrementado. O contador de perdas no final da sada no foi incrementado porque o roteador foi capaz de alocar um
membro do pool e adicionar uma entrada na tabela NAT. Observe tambm que a ltima linha apresenta estatsticas a
respeito do nmero de membros alocados do pool (1) e o percentual do pool em uso no momento (50%).
Ocorre um timeout para a entrada na tabela NAT aps um perodo de inatividade. No entanto, para forar uma entrada
a sair da tabela, o comando clear ip nat translation * pode ser usado. Como mostrado na Tabela 16-7 no final deste
captulo, este comando possui diversas variantes. O Exemplo 16-3 usa a opo de fora bruta - clear ip nat translation
* que remove todas as entradas da tabela da NAT dinmica. O comando tambm pode apagar entradas individuais se
fizer referncia aos endereos IP.
'.
CCNA ICND2
409
Depois de apagar a entrada NAT, o host 10.1.1.2 faz telnet para 170.1.1.1. O comando show ip nat translations agora
mostra um mapeamento entre 10.1.1.2 e 200.1.1.1. Pelo fato de 200.1.1.1 no estar mais alocado na tabela NAT, o
roteador NAT pode aloc-lo na prxima solicitao de NAT. (O lOS da Cisco tende a pegar o menor endereo IP
disponvel quando est escolhendo o prximo endereo IP do pool.)
E por ltimo, ao final do Exemplo 16-3, voc pode ver que o host 10.1.1.1 fez um telnet para outro host da Internet, e pode
ver tambm a sada do comando debug ip nat. Este comando de debug faz com que o roteador gere uma mensagem a
cada vez que um pacote tiver seu endereo traduzido pelo NAT. Voc gera os resultados de sada entrando com algumas
linhas atravs da conexo Telnet de 10.1.1.1 para 170.1.1.1. Observe que a sada implica na traduo de 10.1.1.1 para
200.1.1.2, mas no implica em nenhuma traduo do endereo externo.
Configurao de sobrecarga do NAT (Configurao do PAT)
A Sobrecarga de NAT, conforme mencionado anteriormente, permite que o NAT suporte vrios endereos IP locais
internos com apenas um ou poucos endereos IP globais internos. Por traduzir essencialmente o endereo IP privativo e
o nmero da porta para um nico endereo global interno, mas com nmero de porta nico, o NAT pode suportar vrios
bosts privativos (mais de 65.000) com apenas um nico endereo global pblico.
Existem duas variaes de configurao do PAT no lOS. Se o PAT usar um pool de endereos globais internos, a
configurao se parecer exatamente com o NAT dinmico, exceto pelo fato do comando global ip nat inside source
list ter o termo overload adicionado no final. Se o PAT precisar usar somente um endereo IP global interno, o PAT pode
usar um de seus endereos IP de interface. Pelo fato do NAT poder suportar mais de 65.000 fluxos correntes com um
nico.end:reo global interno, um nico endereo IP pblico pode atender a demanda relativa ao NAT de toda uma
orgaruzaao .
...~ seguinte lista de verificao detalha a configurao quando um pool NAT estiver sendo usado:
. 6p!co
... have
Use os mesmos passos para configurar o NAT dinmico, conforme apresentado na seo anterior, mas inclua o
termo overload ao [mal do comando global ip nat inside source list.
A lista de verificao a seguir detalha a configurao quando um endereo IP de interface estiver sendo usado como o
nico endereo IP global interno:
Passo 1 Da mesma forma que no NAT dinmico e no NAT esttico, configure as interfaces internas usando o
subcomando de interface ip nat inside.
~;~~;~o
~hav.
- "
Passo 2 Da mesma forma que no NAT dinmico e no NAT esttico, configure as interfaces externas usando o
subcomando de interface ip nat outside.
Passo 3 Da mesma forma que no NAT dinmico, configure uma ACL que case os pacotes vindos das interfaces
internas.
Passo 4 Configure o comando de configurao global ip nat source list acl-number interface interface name/
number, referenciando a ACL criada no Passo 3 e a interface cujo endereo IP ser usado nas tradues.
O Exemplo 16-2 mostra uma configurao de NAT dinmico. Para convert-la em uma configurao de PAT, o comando
ip nat inside source list pool fred overload deveria ser usado no lugar, simplesmente adicionando o termo overload.
O prximo exemplo mostra a configurao do PAT usando um nico endereo IP de interface. A Figura 16-10 mostra a
mesma rede familiar, com algumas mudanas. Neste caso, o ISP atribuiu a FredsCo um subconjunto da rede 200.1.1.0:
a sub-rede CIDR 200.1.1.248/30. Em outras palavras, esta sub-rede possui dois endereos que podem ser usados:
200.1.1.249 e 200.1.1.250. Estes endereos so usados em qualquer uma das extremidades do enlace serial entre FredsCo
e seu ISP. A facilidade de NAT no roteador de FredsCo traduz todos os endereos NAT para seu endereo IP serial
200.1.1.249.
No Exemplo 16-4, que mostra a configurao do NAT sobrecarregado, o NAT faz a traduo usando somente o endereo
global interno 200.1.1.249, de modo que o pool do NAT no necessrio. Neste exemplo, conforme implcito na Figura
16-10, o host 10.1.1.1 cria duas conexes Telnet, e o host 10.1.1.2 cria uma conexo Telnet, fazendo com que trs
entradas do NAT dinmico sejam criadas, todas elas usando o endereo global interno 200.1.1.249, mas cada uma com
um nmero de porta nico.
410
Captulo 16: Traduo de endereos de rede
Figura 16-10 Sobrecarga do NAT e PAT

Sub-rede Registrada: 200.1.1.248, Mscara 255.255.255.252
~~~~~ :~.:.::
..
.. m
.rr~.tr2~":met
.m.. m
.... m
.. m
.... m
..
.'.'.'.'.'
.'
.'
________ .1_Q.)" 1 "~ ___ ______ ~ : ___ __________ ______________________ ____ __ __ __ __ __ ________ _
Dentro
Fora
Local Interno
Global Interno
10.1 .1 .1 :3212
10.1.1.1 :3213
10.1.1.2:38913
200.1 .1.249:3212
200.1.1.249:3213
200.1.1.249:38913
Exemplo 16-4 Configurao de Sobrecarga do NAT
Lines Omitted for Brevity
ip address 10.1.1.3 255.255.255.0
ip nat inside
interface SerialO / O
ip address 200.1.1.249 255.255.255.252
ip nat outside
ip nat inside source list 1 interface SerialO/O overload
access-list 1 permit 10 . 1.1.2

access-list 1 permit 10.1.1.1
NAT# show ip nat translations

Pro Inside global
Inside local
Outside local
Outside global
tcp 200.1.1.249:3212
10.1.1 . 1:3212
170.1.1.1:23
170.1.1.1:23
tcp 200.1.1 . 249:3213
10.1.1.1:3213
170.1.1.1:23
170 . 1.1.1:23
170.1.1.1:23
170 . 1.1.1:23

Total active translations: 3 (O static, 3 dynamic; 3 extended)
Outside interfaces:
SerialO / O
Inside interfaces:
EthernetO/O
Hits : 103 Misses: 3
tcp 200.1.1.249 : 38913 10.1.1 . 2:38913
CCNA ICND2
Expired transla t ions:
411
Dynamic mappings:
-
- Inside Source
access-list 1 interface SerialO/O refcount 3
o comando ip
nat inside source tist 1 interface serial 0/0 overload possui diversos parmetros, mas se voc
entendeu a configurao do NAT dinmico, os novos parmetros no devero ser muito difceis de se entender. O
parmetro tist 1 significa o mesmo que no NAT dinmico: endereos IP locais internos que casarem com ACL 1 tero
seus endereos traduzidos. O parmetro interface serial 0/0 significa que o nico endereo IP global interno disponvel
o endereo IP da interface serial O/O do roteador NAT. E por ltimo, o parmetro overload significa que a sobrecarga
foi habilitada. Sem este parmetro, o roteador no executar a sobrecarga, mas apenas o NAT dinmico.
Como voc pode ver na sada do comando show ip nat translations, trs tradues foram adicionadas na tabela NAT. Antes
deste comando, o host 10.1.1.1 tinha criado duas conexes Telnet para 170.1.1.1, e o host 10.1.1.2 tinha criado uma nica
conexo Telnet. Trs entradas foram criadas, uma para cada combinao nica entre endereo IP local interno e porta.
Resoluo de problemas de NAT
As trs primeiras partes principais deste livro dedicam um captulo inteiro para resoluo de problemas. Em cada uma
destas partes, os captulos cobrem uma ampla variedade de tpicos relacionados aos assuntos tcnicos cobertos em cada
captulo. Os captulos relativos resoluo de problemas (3, 7 e 11) explicam os detalhes para resolver problemas em
cada rea da tecnologia, mas tambm ajudam a relacionar alguns conceitos.
A maior parte das questes relativas resoluo de problemas de NAT tem a ver com fazer a configurao correta. A
lista a seguir resume algumas das dicas e lembretes a respeito de como encontrar os principais problemas de configurao
do NAT. Aps a lista, o texto explica um problema de roteamento comum que pode fazer com que o NAT no funcione,
e que est relacionado principalmente com garantir que a configurao esteja correta.
Certifique-se de que a configurao inclui o subcomando de interface ip nat inside ou ip nat outside. Estes
comandos habilitam o NAT nas interfaces, e a designao inside/outside importante.
, ....Ico
No NAT esttico, certifique-se de que o comando ip nat source static apresenta o endereo local interno primeiro,
e o endereo IP global interno depois.
No NAT dinmico, certifique-se de que a ACL configurada para casar os pacotes enviados pelo host interno case
os pacotes deste host, antes que qualquer traduo NAT tenha ocorrido. Por exemplo, se um endereo local interno
de 10.1.1.1 deve ser traduzido para 200.1.1 .1, certifique-se de que a ACL case o endereo de origem 10.1.1.1 , no
0200.1.1.1.
No NAT dinmico sem PAT, certifique-se de que o pool possua endereos IP suficientes. Sintomas de que no existem
endereos suficientes incluem um valor crescente no segundo contador de perdas na sada do comando show ip nat
statistics, bem como ver todos os endereos da faixa definida no pool do NAT na lista de tradues dinmicas.
Com PAT, fcil esquecer de adicionar a opo overload no comando ip nat inside source tist. Sem ele, o NAT
funciona, mas o PAT no, geralmente fazendo com que os pacotes dos usurios no sejam traduzidos, e os hosts
no consigam acessar a Internet.
Talvez o PAT tenha sido configurado corretamente, mas existe uma ACL em uma das interfaces descartando os
pacotes. Note que o lOS processa as ACLs antes do NAT para os pacotes que estiverem entrando na interface, e
aps a traduo dos endereos para pacotes saindo da interface.
Por ltimo, a funo NAT em um roteador pode ser impactada por um problema de roteamento que ocorre em outro
roteador. Os roteadores do lado de fora da rede, geralmente da Internet, precisam ser capazes de rotear pacotes para os
endereos IP globais internos configurados no roteador NAT. Por exemplo, a Figura 16-4, anteriormente neste captulo,
mostra o fluxo de pacotes de dentro para fora, e de fora para dentro. Focando no fluxo de fora para dentro, os roteadores
da Internet precisariam saber como rotear pacotes para o endereo IP pblico e registrado 200.1.1.1. Tipicamente, esta
faixa de endereos seria anunciada por um protocolo de roteamento dinmico. Portanto, se uma reviso da configurao
do NAT mostrar que a mesma parece estar correta, observe as rotas tanto no roteador NAT, como nos outros roteadores
para garantir que os roteadores podem encaminhar os pacotes, baseado nos endereos usados em ambos os lados do
roteador executando a funo NAT.

----------------------------------------------------------
.
412
Captulo 16: Traduo de endereos de rede
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave. A Tabela 16-5 lista estes .
tpicos-chave e onde cada um deles foi discutido. Alm disso, tenha em mente que todas as listas de verificao para
configurao devem ser revistas e seus contedos estudados, mas voc no precisa memorizar os nmeros dos passos
ou a ordem - elas so apenas ferramentas convenientes para voc se lembrar de todos os passos.
..........
{TPICO .
\~h.V.
Descrio
Nmero da Pgina
--------------------------------------------------------------- .
Figura 16-1
Atribuio de endereo IPv4 global no CIDR

e conceito de agregao de rotas
396
----------------------------------------------------------- .
Tabela 16-2
Lista dos nmeros de rede IP privativos
397
Figura 16-2
Conceito principal de NAT traduzindo

endereos IP privativos em endereos
globais publicamente nicos
398
Figura 16-4
Diagrama de rede NAT tpica apresentando

termos-chave do NAT
399
Tabela 16-3
Lista de quatro termos-chave do NAT e seus
400
----------------------------------------------------------- .
________________________________s_ignifi
__
_c_ad_o_s_______________________________________
Figura 16-7
Conceitos por detrs da conservao de endereo

conseguida atravs da Sobrecarga do NAT (PAT)
402
Lista
Lista de verificao para configurao

de NAT esttico
404
Lista
Lista de verificao para configurao de

NAT dinmico
406
Lista
Resumo das diferenas entre configurao do NAT

dinmico e do PAT usando um pool
409
Lista
Lista de verificao para configurao de PAT

usando um endereo IP de interface
409
Lista
Os erros mais comuns em NAT
411

Defma os seguintes termos-chave deste captulo e verifique suas respostas no glossrio:
CIDR, global externo, global interno, local externo, local interno, PAT, rede IP privativa, sobrecarga do NAT.
4t
CCNA ICND2
413
da tabela, leia as descries do lado direito e veja se voc se lembra do comando.
Comando
Descrio
ip nat {inside I outside}
Subcomando de interface para habilitar NAT e identificar se a interface

est do lado interno ou externo da rede
ip nat inside source {list {access-list

-number I access-list-name}} {interface
type-number I pool pool-name} [overload]
Comando global que habilita o NAT de modo global, fazendo referncia

ACL que defme quais endereos de origem devem passar pelo NAT, e
a interface ou pool onde encontrar os endereos globais
ip nat pool name start-ip end-ip {netmask

netmask I prefix-Iength prefix-length}
Comando global para definer um pool de endereos NAT
Comando
Descrio
show ip nat statistics
Apresenta contadores para pacotes e entradas da tabela NAT, bem como

informaes bsicas de configurao
show ip nat translations [verbose]
Apresenta a tabela NAT
c1ear ip nat translation {* I [inside globalip local-ip] [outside local-ip global-ip]}
Apaga todas ou algumas das entradas dinmicas da tabela NAT,

dependendo de quais parmetros forem usados
c1ear ip nat translation protocol inside

global-ip global-port local-ip local-port
[outside local-ip global-ip]
Apaga algumas das entradas dinmicas da tabela NAT, dependendo de

quais parmetros forem usados
debug ip nat
Gera uma mensagem de log descrevendo cada pacote cujo endereo IP

foi traduzido com o NAT

seguintes assuntos:
Endereamento unicast global, roteamento e diviso em
sub-redes: esta seo introduz os conceitos por detrs
dos endereos IPv6 unicast, roteamento IPv6 e diviso
em sub-redes usando IPv6, todos comparados ao IPv4.
Protocolos e endereamento no 1Pv6: esta seo examina
os protocolos mais comuns usados em conjunto com o IPv6.
Configurando o roteamento e os protocolos de roteamento
1Pv6: esta seo mostra como configurar o roteamento e os
protocolos de roteamento IPv6 nos roteadores Cisco.
Opes de transio para 1Pv6: Esta seo explica algumas
das opes para migrar de IPv4 para IPv6.
: IP verso 6
CAPTUL017
A verso 6 do IP (IPv6), o protocolo que substitui o IPv4, bem conhecida por algumas razes. O IPv6 fornece a soluo
definitiva para o problema de esgotamento dos endereos IPv4 na Internet global, atravs do uso de endereos de 128
bits - aproximadamente 1038 endereos no total, versus um total de meros 4*109 endereos (aproximadamente) do IPv4.
Porm, o IPv6 tem sido a soluo definitiva de longo prazo por mais de dez anos, em parte porque as solues intermedirias,
incluindo NATIPAT (Network Address TranslationlPort Address Translation, ou Traduo de Endereos de Rede/
Traduo de Endereos de Porta), felizmente adiaram o dia em que realmente se esgotariam os endereos IP unicast
pblicos.
Este captulo se concentra no endereamento e roteamento no IPv6, em parte porque a principal motivao para a
eventual migrao para IPv6 a de se diminuir as restries de endereamento do IPv4. Este captulo tambm introduz
alguns dos outros recursos do IPv6 de modo geral, alm de explicar algumas das razes para a necessidade do IPv6.
Perguntas
Endereamento unicast global, roteamento e diviso em sub-redes
1,2
Protocolos e endereamento no IPv6
3-5
Configurando o roteamento e os protocolos de roteamento IPv6
6-8
Opes de transio para IPv6
1. Qual das seguintes opes a organizao mais provvel a partir da qual uma empresa poderia receber
administrativamente um bloco de endereos IP unicast global IPv6?
a . Um ISP
b. ICANN
c. Um RIR
d. Endereos unicast globais no so atribudos administrativamente por uma organizao externa
2. Qual das opes a seguir a abreviatura mais compacta, vlida para FE80:0000:0000:0100:0000:0000:0000:0123?
a. FE80:: 100: : 123

b. FE80: :1: :123
c. FE80: :100:0:0:0:123:4567
d. FE80:0:0:100: :123
416
Captulo 17: IP verso 6
3. Qual das seguintes opes apresenta um endereo IPv6 multicast?
a. 2000:: 1: 1234: 5678: 9ABC

b. F080: :1:1234:5678:9ABC
c. FE80: :1:1234:5678:9ABC
d. FF80: :1:1234:5678:9ABC
4. Qual(is) das seguintes opes apresenta(m) um protocolo ou funo que pode ser usado por um host para aprender
dinamicamente seu prprio endereo IPv6?
a. DHCP stateful
b. DHCP stateless
c. Autoconfigurao stateless
d. NDP (Neighbor Discovery Protocol)
5. Qual(is) das seguintes opes ajuda(m) a permitir que um host IPv6 aprenda o endereo IP de um gateway default
de sua sub-rede?
a. DHCP stateful
b. RS stateless
c . Autoconfigurao stateless
d. NDP (Neighbor Discovery Protocol)
6. Qual(is) das seguintes opes ()so protocolo(s) de roteamento que suporta(m) IPv6?
a. RIPng
b. RIP-2
c. OSPFv2
d. OSPFv3
e . OSPFv4
7. Na configurao a seguir, a interface FaO/O deste roteador possui um endereo MAC de 4444.4444.4444. Qual(is)
dos seguintes endereos IPv6 a interface usar?
ipv6 unicast-routing
ipv6 router rip tag1
interface FastEth ernetO/O
ipv6 address 3456: : 1/64
a. 3456:: C444: 44FF: FE44: 4444
b. 3456:: 4444: 44FF:FE44: 4444

c. 3456:: 1
d. FE80::1
e. FE80::6444:44FF:FE44:4444
f. FE80::4444:4444:4444
8. No texto relativo configurao da questo anterior, o RIP no estava funcionando na interface FaO/O. Qual dos
seguintes comandos de configurao iria habilitar o RIP em FaO/O?
a. network 3456: :/64

b. network 3456:: /16
c. network 3456:: 1/128
- I
.'.1
CCNA ICND2
417
d. ipv6 rip enable
e. ipv6 rip tagl enable

9. Qual(is) dos seguintes mtodos de transio IPv4-para-IPv6 a seguir permite(m) que um host somente-IPv4 se
comunique com um host somente-IPv6?
a. pilha dual
b. Tunelamento 6to4
c . Tunelamento ISATAP
d. NAT-PT
Tpicos fundamentais
o mundo passou por tremendas mudanas ao longo dos ltimos 10-20 anos, como resultado do crescimento e da maturidade
da Internet e das tecnologias de rede em geral. Vinte anos atrs, no existia nenhuma rede global na qual a populao em
geral pudesse facilmente se conectar. Dez anos atrs, a Internet pblica tinha crescido a tal ponto que as pessoas na
maior parte do mundo podiam se conectar Internet, mas com a maioria dos usurios de Internet sendo as pessoas mais
familiarizadas com computadores. Hoje em dia, praticamente todo mundo parece ter acesso Internet atravs de seus
PCs, dispositivos portteis, telefones ou at mesmo da geladeira.
A eventual migrao para IPv6 ser provavelmente causada pela necessidade de mais endereos. Praticamente todos os
telefones celulares suportam trfego de Internet, exigindo o uso de um endereo IP. A maioria dos carros novos capaz
de adquirir e usar um endereo IP, juntamente com a comunicao sem fio, permitindo que o vendedor do carro entre em
contato com o cliente quando um diagnstico no carro detectar um problema com o mesmo. Alguns fabricantes abraaram
a idia de que todos os seus aparelhos precisam ter a capacidade de usar IP.
Alm do grande aumento na necessidade de endereos IPv4, os editais das agncias governamentais poderiam direcionar
a demanda por IPv6. Na ocasio em que este livro foi escrito, o governo americano tinha estabelecido uma data em 2008
at a qual todas as agncias do governo deveriam estar executando IPv6 em suas redes IP principais. Tais iniciativas
podem ajudar a direcionar no sentido da adoo do IPv6.
Embora as duas maiores razes pelas quais as redes devem migrar para IPv6 sejam a necessidade de mais endereos e
mandatos das organizaes governamentais, ao menos o IPv6 inclui alguns recursos e ferramentas para migrao atraentes.
Algumas destas vantagens so as seguintes:
- Recursos para atribuio de endereos: A atribuio de endereos no IPv6 permite uma re-numerao
mais fcil, alocao dinmica e recuperao de endereos, com recursos interessantes para que dispositivos
mveis se movam e mantenham seu endereo IP (evitando assim a necessidade de ter de fechar e reabrir
uma aplicao).
- Agregao: O enorme espao de endereamento do IPv6 toma muito mais fcil a agregao de blocos de endereos na Internet.
- Nenhuma necessidade de NAP/PAT: Usar endereos nicos registrados publicamente em todos os dispositivos
elimina a necessidade de NATIPAT, o que tambm evita alguns problemas na camada de aplicao e problemas
relativos ao tunelamento VPN causados pelo NAT.
- IPsec: O IPsec funciona tanto com o IPv4 quanto com o IPv6, mas ele necessrio nos hosts IPv6, de modo que
voc pode contar com o suporte para IPsec, conforme necessrio no tunelamento VPN.
- Melhorias no cabealho: Embora possa parecer uma questo pouco significativa, o cabealho do IPv6 melhora
muitas coisas quando comparado ao IPv4. Em particular, os roteadores no precisam recalcular o checksum de um
cabealho para cada pacote, reduzindo a sobrecarga por pacote. Alm disso, o cabealho inclui uma identificao
de fluxo que permite uma fcil identificao dos pacotes enviados atravs de uma nica conexo TCP ou UDP
(User Datagram Protocol).
- Ferramentas para transio: Conforme ser coberto na ltima seo principal deste captulo, o IPv6 possui
diversas ferramentas para ajudar na transio do IPv4 para o IPv6.
418 Captulo 17: IPverso6

A migrao a nvel mundial do IPv4 para o IPv6 no ser um evento, ou nem mesmo um ano no calendrio. Ao invs disso,
ser um longo processo, um processo que j comeou. Engenheiros de rede possuem uma necessidade crescente de
aprender mais a respeito do IPv6. Este captulo cobre o bsico a respeito do IPv6, terminando com algumas discusses a
respeito das questes relativas a viver em um mundo no qual o IPv4 e o IPv6 ainda iro provavelmente coexistir por um
bom tempo.
NOTA A Information Week (bttp://www.informationweek.com) publicou um artigo interessante

a respeito da necessidade de se migrar para IPv6, na poca em que este livro estava sendo
terminado. Para ver o artigo, procure no website pelo artigo "The Impending Internet Address Shortage" ("A inevitvel diminuio de endereos de Internet").
Endereamento unicast global, roteamento e

diviso em sub-redes
Um dos objetivos do projeto original da Internet era de que todas as organizaes iriam registrar e teriam atribudas uma
ou mais redes IP pblicas (Classes A, B ou C). Ao se registrar para usar um determinado nmero de rede pblico, a
companhia ou organizao usando esta rede tinha a garantia das autoridades que fazem a atribuio da numerao, de
que nenhuma outra companhia ou organizao no mundo usaria os endereos desta rede. Como resultado, todos os hosts
do mundo teriam endereos IPs nicos e globais.
Do ponto de vista de infra-estrutura da Internet, em particular com respeito ao objetivo de evitar que as tabelas de
roteamento dos roteadores da Internet ficassem muito grandes, atribuir uma rede inteira a cada organizao ajudou, at
certo ponto. Os roteadores da Internet poderiam ignorar todas as sub-redes, e ter uma rota para cada rede classful, ao
invs. Por exemplo, se uma companhia registrasse e tivesse a rede Classe B 128.107.0.0/16 atribuda, os roteadores da
Internet precisariam de somente uma rota para toda esta rede.
Ao longo do tempo, a Internet cresceu tremendamente. Tomou-se claro no incio da dcada de 90 de que algo teria de ser
feito, ou o crescimento da Internet iria ser barrado quando todas as redes IP pblicas tivessem sido atribudas, e no
existisse mais nenhuma disponvel. Alm disso, as tabelas de roteamento IP dos roteadores da Internet estavam se
tomando muito grandes para a tecnologia dos roteadores daquela poca. Assim, a comunidade da Internet trabalhou em
conjunto para criar ambas as solues, de curto e de mdio prazo, para os dois problemas: o esgotamento dos endereos
pblicos e o tamanho das tabelas de roteamento.
As solues de curto prazo incluam uma poltica de atribuio de endereos pblicos muito mais inteligente, onde os
endereos pblicos no seriam atribudos somente como redes Classes A, B e C, mas como subdivises menores (prefixos),
reduzindo a perda. Alm disso, o crescimento das tabelas de roteamento da Internet foi reduzido por causa da atribuio
mais inteligente de faixas de endereos. Por exemplo, atribuir as redes Classe C comeando com 198 para apenas um
determinado ISP (Internet Service Provider, ou Provedor de Servios da Internet) em uma determinada parte do mundo
permite que outros ISPs usem uma nica rota para 198.0.0.0/8 - em outras palavras, todos os endereos que comeam
com 198 - ao invs de uma rota para cada uma das 65.536 redes Classe C diferentes que comeam com 198. Finalmente,
NATIPAT conseguiram resultados surpreendentes ao permitir que uma residncia ou escritrio pequeno tpicos consumissem
apenas um endereo IPv4 pblico, reduzindo enormemente a necessidade de endereos IPv4 pblicos.
A soluo definitiva para ambos os problemas o IPv6. O nmero enorme de endereos IPv6 resolve a questo de
esgotamento de endereos. As polticas para atribuio de endereos j usadas no IPv4 foram refinadas e aplicadas ao
IPv6, com bons resultados no que se refere a manter os tamanhos das tabelas de roteamento IPv6 menores nos roteadores
da Internet. As sees seguintes apresentam uma discusso geral sobre ambas as questes, em particular, sobre como os
endereos unicast globais, juntamente com boas prticas administrati vas na forma de atribuir prefixos de endereos IPv6,
ajudam no roteamento da Internet global. Estas sees sero concludas com uma discusso a respeito de diviso em
sub-redes no IPv6.
Agregao global de rotas para roteamento eficiente

Na poca em que o IPv6 estava sendo definido no incio da dcada de 90, estava claro que escolhas bem pensadas com
relao ao modo de atribuir o espao de endereamento pblico do IPv4 poderia ajudar na eficincia dos roteadores da
CCNA ICND2
419
Internet, ao manter suas tabelas de roteamento bem menores. Seguindo estas mesmas lies bem aprendidas, a atribuio
de endereos IP pblicos do 1Pv6 pode tomar o roteamento at mais eficiente, medida que a Internet migrar para o 1Pv6.
A estratgia para atribuio de endereos no IPv6 elegante, mas simples, e pode ser resumida, a grosso modo, da
seguinte forma:
- Os endereos IPv6 pblicos so agrupados (numericamente) por grandes regies geogrficas.
- Dentro de cada regio, o espao de endereamento subdividido por ISP dentro daquela regio.
- Dentro de cada ISP em uma regio, o espao de endereamento subdividido para cada usurio.
As mesmas organizaes que administram a atribuio de endereos no IPv4 tambm o fazem para o IPv6. A ICANN
(Internet Corporation for Assigned Network Numbers, ou Corporao da Internet para Atribuio de Nomes e Nmeros,
http://www.icann.org, www.icann.org.br) o dono do processo. A ICANN atribui uma ou mais faixas de endereos IPv6
para cada RIR (Regional Internet Registry), dos quais existem cinco na ocasio desta publicao, cobrindo, a grosso
modo, a Amrica do Norte, Amrica Central/do Sul, Europa, sia/Pacfico e frica. Estes RIR ento subdividem seus
espaos de endereamento recebidos em pores menores, atribuindo prefixos para diferentes ISPs e outros registradores
menores, com os ISPs ento atribuindo faixas de endereos ainda menores a seus clientes.
NOTA A IANA (Internet Assigned Numbers Authority, ou Autoridade para Atribuio de

Nmeros na Internet) era dona do processo de atribuio de endereos anteriormente, mas
este foi transferido para a ICANN.
O plano de atribuio de endereos IPv6 globais resulta em um roteamento mais eficiente, conforme mostrado na Figura
17-1. A figura mostra uma companhia fictCia (Companhia 1) que teve um prefixo IPv6 atribudo por um ISP fictcio, NAISP1 (que significa ISP Norte-Americano nmero 1). A figura mostra o ARIN (American Registry for Internet Numbers),
que o RIR para a Amrica do Norte.
..........
Figura 17-1 Viso Conceitual das Rotas Globais IPv6

Compania 1
[ T6plco
\ Chave
".
Amrica do Sul
Como mostrado na figura, os roteadores instalados pelos ISPs nas outras reas geogrficas principais do mundo podem
ter uma nica rota que identifica todos os endereos IPv6 da Amrica do Norte. Enquanto centenas de ISPs podem estar
420 Captulo 17: IP verso 6

operando na Amrica do Norte, e centenas de milhares de empresas clientes destes ISPs, e dezenas de milhes de
clientes individuais destes ISPs, todos os endereos 1Pv6 pblicos podem ser de um (ou de poucos) blocos de endereos
bem grandes - exigindo apenas uma (ou poucas) rota(s) nos roteadores da Internet das outras partes do mundo. De
modo similar, os roteadores dentro de outros ISPs na Amrica do Norte (por exemplo, NA-ISP2, indicando ISP NorteAmericano nmero 2 na figura) podem ter uma rota que identifica todas as faixas de endereos atribudas a NA-ISP2. E
os roteadores dentro de NA-ISP1 precisam simplesmente ter uma nica rota que identifica toda a faixa de endereos
atribuda Companhia1, ao invs de precisar conhecer todas as sub-redes dentro da Companhial.
Alm de manter a tabela de roteamento dos roteadores muito menor, este processo tambm resulta em menos alteraes
nas tabelas de roteamento da Internet. Por exemplo, se NA-ISP1 assinasse um contrato de servio com outra empresa
cliente, NA-ISP1 poderia atribuir outro prefixo dentro da faixa de endereos j atribuda NA-ISP1 pelo ARIN. Os
roteadores fora da rede de NA-ISP1 - a maior parte da Internet - no precisariam conhecer nenhuma rota nova porque
suas rotas existentes j identificam a faixa de endereo atribuda a este novo cliente. Os roteadores de NA-ISP2 (outro
ISP) j possuem uma rota que identifica toda a faixa de endereos atribuda a NA-ISP1, portanto eles no precisam de
nenhuma rota nova. Da mesma forma, os roteadores nos ISPs da Europa e da Amrica do Sul j possuem uma rota que
funciona adequadamente.
Embora o conceito geral possa no ser to difcil, um exemplo especfico pode ajudar. Porm, antes de ver um exemplo
especfico, ser til conhecer um pouco a respeito de como os endereos IPv6 e os prefixos so escritos.
Convenes para representar endereos IPv6

As convenes IPv6 usam 32 nmeros hexadecimais, organizados em 8 quartetos de 4 dgitos hexa separados por dois
pontos para representar um endereo IPv6 de 128 bits. Por exemplo:
2340:1111:AAAA:0001:1234:5678:9ABC
Cada dgito hexa representa 4 bits, portanto se voc quiser examinar o endereo em binrio, a converso fica relativamente
simples se voc memorizar os valores mostrados na Tabela 17-2.
Tabela 17-2 Tabela de Converso de Hexadecimal para Binrio

Hexa
Binrio
Hexa
Binrio
()()()()
1000
0001
1001
0010
1010
0011
1011
0100
1100
0101
1101
0110
1110
0111
1111
Escrever ou digitar 32 dgitos hexadecimais, embora seja mais conveniente que fazer o mesmo com 128 dgitos binrios,
ainda pode ser bastante rduo. Para facilitar um pouco as coisas, duas convenes permitem que voc abrevie o que
deve ser digitado para um endereo IPv6:
-
/;:~;~o
~ Ch....
....
Omita os Os na frente em qualquer quarteto.

Represente 1 ou mais quartetos consecutivos, todos com Os hexa, com dois pontos duplos (::), mas somente para
uma destas ocorrncias em um dado endereo.
NOTA No IPv6, um quarteto um conjunto de 4 dgitos hexa em um endereo 1Pv6. Oito

quartetos esto presentes em cada endereo IPv6.
tt
CCNA ICND2
421
Por exemplo, considere o endereo a seguir. Os dgitos em negrito representam os dgitos onde o endereo pode ser
abreviado.
FEOO:OOOO:OOOO:0001:0000:0000:0000:0056
Este endereo possui dois locais diferentes nos quais um ou mais quartetos possuem 4 Os hexa, portanto existem duas
opes principais para abreviar este endereo, usando a abreviatura :: em um ou outro local. As duas opes seguintes
mostram as duas abreviaes mais compactas:
- FEOO::l:0:0:0:56
- FEOO:O:O:l: :56
Em particular, observe que a abreviao::, que significa "um ou mais quartetos somente com Os" no pode ser usada duas
vezes, pois isto a tomaria ambgua. Portanto, a abreviao FEOO::l::56 no seria vlida.
Convenes para escrever prefixos IPv6

Prefixos IPv6 representam uma faixa ou bloco de endereos 1Pv6 consecutivos. O nmero que representa a faixa de
endereos, chamado de prefixo, geralmente visto em tabelas de roteamento IP, da mesma forma que voc v nmeros
de sub-rede IP em tabelas de roteamento IPv4.
Antes de analisar os prefixos IPv6 em maiores detalhes, ser til rever alguns dos termos usados no IPv4. Endereos
IPv4 podem ser analisados e entendidos usando tanto as regras de endereamento classful quanto as regras de
endereamento classless. (Este livro e o CCENTICCNA ICNDI Official Exam Certification Guide (CCENT/CCNA
ICNDl Guia oficial de certificao do exame), ambos usam a terminologia classful na maioria das vezes.) Endereamento
classful significa que a anlise de um endereo ou sub-rede IP inclui a idia de um nmero de rede classful, com uma
parte separada para a rede no endereo. A parte superior da Figura 17-2 faz uma reviso destes conceitos.
Figura 17-2 Endereamento Classless e Classful no IPv4, e Endereamento IPv6

Comprimento das Partes Referentes Rede + Sub-rede
Sub-rede
Rede
Host
Endereamento Classful do IPv4
~----~----~~--~
Prefixo
Host
Endereo Classless do IPv4
~----------~~--~
Comprimento do Prefixo
,..
-7
(10 daH_O_s_t
Interface)
_J-+-___________
__________----11. Endereamento IPv6
~....
L...c
_==========:p_re_fix_-=..0-=..-_-_-_-_-_-_-_-.......
V
Comprimento do Prefixo
Pensar em endereamento IPv4 como endereos classful ajuda a entender completamente algumas questes a respeito
de rede. Com endereamento classful, por exemplo, o valor escrito 128.107.3.0/24 significa 16 bits para rede (porque o
endereo est em uma rede Classe B) e 8 bits para host (porque a mscara possui 8 Os binrios), deixando 8 bits para
sub-rede. O mesmo valor, interpretado com as regras de classless, significa prefixo 128.107.3.0, comprimento do prefixo
24. Mesma sub-rede/prefixo, mesmo significado, mesma operao no roteador, mesma configurao - so somente duas
maneiras diferentes de pensar no significado dos nmeros.
O 1Pv6 usa uma viso classless de endereamento, sem nenhum conceito de endereamento classful. Como no IPv4, os
prefixos do IPv6 apresentam alguns valores, uma barra, e depois um comprimento de prefixo numrico. Como nos
prefixos do 1Pv4, a ltima parte do nmero, que vem depois do comprimento do prefixo, representada por Os binrios.
E finalmente, os nmeros de prefixo do IPv6 podem ser abreviados usando-se as mesmas regras que os endereos IPv4.
Por exemplo, considere o seguinte endereo IPv6 que foi atribudo a um host em uma LAN:
2000:1234:5678:9ABC:1234:5678:9ABC:llll!64

Este valor representa o endereo IP completo com 128 bits; na verdade, voc no tem opo para abreviar este endereo.
No entanto, o /64 significa que o prefixo (sub-rede) no qual este endereo reside a sub-rede que inclui todos os
endereos que comeam com os mesmos primeiros 64 bits deste endereo. Conceitualmente, a mesma lgica que em
um endereo IPv4. Por exemplo, o endereo 128.127.3.1/24 est em um prefixo (sub-rede) cujos primeiros 24 bits
possuem os mesmos valores que os do endereo 128.107.3.1.
Como no IPv4, quando estiver escrevendo ou digitando um prefixo, os bits alm do comprimento do prefixo so todos Os
binrios. No endereo IPv6 mostrado anteriormente, o prefixo no qual o endereo reside seria o seguinte:
2000:1234:5678:9ABC:OOOO:OOOO:OOOO:OOOO/64
Quando abreviado, o mesmo seria:
2000:1234:5678:9ABC::/64
A seguir, um ltimo fato a respeito das regras para a escrita dos prefixos antes de vermos alguns exemplos e seguir
adiante. Se o comprimento do prefixo no for mltiplo de 16, a fronteira entre a parte referente ao prefixo e a parte
referente ao host no endereo estar dentro de um quarteto. Nestes casos, o valor do prefixo deve listar todos os valores
do ltimo octeto da parte referente ao prefixo do valor. Por exemplo, se o endereo mostrado com comprimento de
prefixo de /64 tivesse comprimento de prefixo de /56 no lugar, o prefixo incluiria todos os 3 primeiros quartetos (um total
de 48 bits), mais os primeiros 8 bits do quarto octeto. Os ltimos 8 bits (ltimos 2 dgitos hexa) do quarto octeto deveriam
agora ser Os binrios. Portanto, por conveno, o restante do quarto octeto deve ser escrito, depois de serem configurados
com Os binrios, da seguinte forma:
2000:1234:5678:9AOO::/56
.........
A lista a seguir resume alguns pontos-chave sobre a forma de se escrever prefixos IPv6:
{TpiC:o
\ Ch.ve
".
- O prefixo possui o mesmo valor que os endereos IP do grupo para a primeira quantidade de bits, definida pelo
comprimento do prefixo.
- Quaisquer bits depois da quantidade de bits definida pelo comprimento do prefixo sero Os binrios.
- O prefixo pode ser abreviado usando-se as mesmas regras que as usadas para endereos IPv6.
- Se o comprimento do prefixo no estiver no limiar de um quarteto, escreva o valor de todo o quarteto.
Exemplos podem, com certeza, ajudar bastante neste caso. A Tabela 17-3 mostra diversos exemplos de prefixos, seus
formatos e uma rpida explicao.
Tabela 17-3 Exemplos de Prefixos IPv6 e Seus Significados

PrefIxo
Explicao
Alternativa Incorreta
2000::/3
Todos os endereos cujos 3 primeiros
2000/3 (omite o::) 2::/3 (omite
bits so iguais aos trs primeiros bits

do nmero hexa 2000 (os bits so 001)
o restante do primeiro
quarteto)
2340: 1140: :/26
Todos os endereos cujos primeiros

26 bits so iguais aos do nmero
hexa apresentado
2340:114::/26 (omite o ltimo

dgito do segundo quarteto)
2340:1111::/32
Todos os endereos cujos primeiros

32 bits so iguais aos do nmero hexa
apresentado
2340:1111/32 (omite o::)
Quase to importante para esta conveno observar quais opes no so permitidas. Por exemplo, 2: :/3 no permitido
no lugar de 2000::/3 porque o mesmo omite o restante do octeto, e um dispositivo no poderia distinguir se 2::/3 significa
"hexa 0002" ou "hexa 2000". Apenas Os na frente em um quarteto, e no zeros atrs podem ser omitidos quando
endereos ou prefixos IPv6 estiverem sendo abreviados.
Agora que voc entendeu algumas das convenes a respeito de como representar endereos e prefixos IPv6, um
exemplo especfico pode mostrar como a estratgia para atribuio de endereo IP unicast global IPv6 da ICANN pode
permitir o roteamento fcil e eficiente mostrado anteriormente na Figura 17-1.
CCNA ICND2
423
Exemplo de atribuio de prefixo unicast global

Os padres 1Pv6 reservam o prefixo 2000::/3 - o qual, quando interpretado de modo mais completo significa todos os
endereos que comeam com o binrio 001, ou hexa 2 ou hexa 3 - como sendo endereos unicast globais. Endereos
unicast globais so endereos que foram atribudos como endereos IPv6 nicos, pblicos e globais, permitindo que os
hosts que usem estes endereos se comuniquem atravs da Internet sem a necessidade de NAT. Em outras palavras,
estes endereos se enquadram dentro do design mais puro com relao forma de se implementar IPv6 na Internet
global.
A Figura 17-3 mostra um exemplo de um conjunto de prefixos, que poderia ter como resultado uma companhia (Companhia 1)
recebendo um prefixo 2340: 1111 :AAAA: :/48.
Figura 17-3 Exemplo de Atribuio de Prefixo IPv6 na Internet
..........
f T6plco
\. Ch.ve
Companhia1 Dona de
2340 :1111 :AAAAl4
...
Atribui
2340:1111 :AAAAl48
NA-ISP1 Dona de
2340 :1111/32
Atribui:
2340:1111132 :
~-
~
---. ---Atribui
---------------. --~
2340::112
O processo comea com a ICANN, que dona de todo o espao de endereamento IPv6, e d o direito ao prefixo de
registro 2340::/12 a um dos RIRs, ARIN neste caso (Amrica do Norte). Isto significa que o ARIN tem direitos de
atribuir qualquer endereo IPv6 que comece com os primeiros 12 bits do hexa 2340 (valor binrio 0010 0011 0100). Para
se ter uma idia, isto um grupo de endereos bem grande - 2 11 6 , para ser exato.
A seguir, o NA-ISP1 solicita ARIN a atribuio de um prefixo. Depois que ARIN garantir que NA-ISP1 atende a
certos requisitos, ARIN pode atribuir o prefixo de ISP 2340:1111: :/32 para NA-ISPl. Este grupo tambm bem grande
- 296 endereos, para ser exato. Para se ter uma idia, este nico bloco de endereos teria endereos IPv6 pblicos
suficientes at mesmo para o maior dos ISPs, sem que este ISP precisasse de outro prefixo IPv6.
Finalmente, a Companhia1 solicita a seu ISP, NA-ISP1, a atribuio de um prefixo IPv6. NA-ISP1 atribui Companhia1
o prefixo de site 2340:1111:AAAA::/48, que por sua vez tambm uma faixa bem grande de endereos - 280, neste caso.
No pargrafo seguinte, o texto mostrar o que a Companhia1 pode fazer com este prefixo, mas antes, observe a Figura
17 -4, que apresenta os mesmos conceitos mostrados na Figura 17-1 , mas agora mostrando os prefixos.

Figura 17-4 Conceitos de Roteamento Global com IPv6
Companhia1
Amrica do Sul
A figura mostra o ponto de vista dos roteadores fora da Amrica do Norte, dos roteadores de outro ISP na Amrica do
Norte, e outros roteadores no mesmo ISP. Roteadores fora da Amrica do Norte podem usar uma rota para o prefixo
2340::/12, sabendo que a ICANN atribuiu este prefixo para ser usado apenas pelo ARIN. Esta nica rota poderia
identificar todos os endereos IPv6 atribudos na Amrica do Norte. Roteadores em NA-ISP2, um exemplo de ISP
alternativo na Amrica do Norte, precisam de uma rota para 2340:1111::/32, o prefixo atribudo NA-ISPl. Esta nica
rota poderia identificar todos os pacotes destinados a todos os clientes de NA-ISPl. Dentro de NA-ISP1, seus roteadores
precisam saber para qual roteador de NA-ISP1 eles devem encaminhar os pacotes destinados a este determinado cliente
(o roteador chamado ISP-1, neste caso); portanto as rotas dentro dos roteadores de NA-ISP1 listam um prefixo
2340: 1111:AAAN48.
Dividindo endereos IPv6 unicast globais dentro de uma empresa

o projeto original da Internet IPv4 foi criado de modo que cada organizao tivesse um nmero de rede c1assful atribudo,
com a empresa subdividindo a rede em faixas de endereos menores, criando sub-redes na rede c1assful. Este mesmo
conceito de diviso em sub-redes foi trazido do IPv4 para o IPv6, com a empresa fazendo a diviso em sub-redes do
prefixo recebido de seu ISP em prefixos menores. Quando pensamos no conceito de diviso em sub-redes do IPv6,
poderamos fazer as seguintes analogias gerais com a diviso em sub-redes c1assful do IPv4, para ajudar a entender o
processo:
-
O prefixo atribudo empresa pelo ISP, que deve ser o mesmo para todos os endereos IPv6 em uma empresa,
O engenheiro da empresa estende o comprimento do prefixo, emprestando bits do host para criar uma parte
referente sub-rede no endereo.
A terceira e ltima parte principal a parte referente ao host no endereo, chamada de ID da inteiface no IPv6,
e serve para identificar unicamente um host dentro de uma sub-rede.
/~:~;~o
como se fosse a parte referente rede em um endereo IPv4.
\ Ch....
....
Por exemplo, a Figura 17-5 mostra uma viso mais detalhada da rede da Companhia1, mostrada em vrias das
figuras anteriores deste captulo. Os conceitos de design com relao a quantas sub-redes so necessrias com o
IPv6, so idnticos aos do IPv4: uma sub-rede necessria para cada VLAN e para cada enlace serial, com as
CCNA ICND2
425
mesmas opes para sub-redes com Frame Relay. Neste caso, existem duas LANs e duas interfaces seriais,
portanto a Companhia1 precisa de quatro sub-redes.
A figura tambm mostra como o engenheiro da empresa estendeu o comprimento do prefixo atribudo pelo ISP (/48) para
164, criando assim uma parte referente sub-rede, com 16 bits, dentro da estrutura do endereo. O prefixo 148
geralmente chamado de prefixo do site, e o prefixo mais longo usado em cada enlace chamado de prefixo da subrede. Para criar este campo extra de sub-rede com 16 bits, o engenheiro usa o mesmo conceito do IPv4 ao escolher uma
mscara de sub-rede, emprestando bits do campo de host de um endereo 1Pv4. Neste caso, pense no campo de host
como tendo 80 bits (porque o prefixo que o ISP atribuiu possui 48 bits, restando 80 bits), sendo que o design da Figura 175 empresta 16 bits para o campo de sub-rede, deixando meros 64 bits para o campo referente ao host.
Figura 17-5 Companhia1 Precisa de Quatro Sub-Redes

/;:~;~
Companhia 1
\ Chave
".
Sub-rede 1
Sub-rede 2
Sub-rede 3
16 Bits
48 Bits
Prefixo (atribudo pelo ISP) S b- ed

2340:1111 :AAAA
u r e
Prefixo da Sub-rede
64 Bits
Host
(ID da Interface)
Host
Um pouco de matemtica com relao s opes do design podem ajudar a dar uma idia da escala no IPv6. O campo
de sub-rede contendo 16 bits permite 216, ou 65.536 sub-redes - muito alm do necessrio at para a maior das organizaes
ou companhias. (Tambm no existem preocupaes a respeito de uma sub-rede zero ou broadcast no IPv6!) O campo
de host a princpio tambm um exagero: 264 hosts por sub-rede, o que mais de 1.000.000.000.000.000.000 de endereos
por sub-rede. No entanto, existe uma boa razo para esta parte de endereo para host ou ID de interface ser to grande,
pois isto permite que um dos recursos de atribuio automtica de endereo IPv6 funcione de forma adequada, conforme
ser coberto na seo "Atribuio de endereo de host no IPv6", mais adiante neste captulo.
A Figura 17-6 conduz o conceito sua concluso final, atribuindo as quatro sub-redes especficas para que sejam usadas
dentro da Companhia1. Observe que a figura mostra os campos de sub-rede e comprimentos de prefixo (64, neste caso)
em negrito.
Figura 17-6 Companhia1 com Quatro Sub-Redes Atribudas

Companhia 1
Prefixo
2340 :1111 :AAAA:0001 ::/64
Prefixo
2340 :1111 :AAAA:0002: :/64
SO/O/1
Prefixo
2340:1111 :AAAA:0003::/64
5011/0
NOTA Os nmeros da sub-rede na figura poderiam ser um pouco abreviados, removendo-se

os trs zeros na frente, dos ltimos quartetos mostrados.
A Figura 17-6 mostra apenas uma opo para dividir o prefixo atribudo Companhia1 em sub-redes. No entanto,
qualquer quantidade de bits para sub-rede poderia ter sido escolhida, desde que o campo de host continue com bits
suficientes para enumerar todos os hosts em uma sub-rede. Por exemplo, um comprimento de prefixo de 1112 poderia ser

usado, estendendo-se o prefixo /48 em 64 bits (4 quartetos hexa). Portanto, para o projeto da Figura 17-6, voc poderia
ter escolhido as quatro sub-redes a seguir:
- 2340:1111:AAAA::0001:0000 / 112
- 2340:1111:AAAA::0002:0000/112
- 2340:1111:AAAA: :0003:0000/112
- 2340:1111:AAAA::0004:0000 / 112
Atravs do uso de endereos IPv6 unicast globais, o roteamento na Internet pode se tornar bastante eficiente e as
empresas podem ter endereos IP e sub-redes em abundncia, sem nenhuma necessidade de funes NAT para conservar
o espao de endereamento.
Terminologia para prefixos

Antes de fechar este tpico, alguns termos novos precisam ser introduzidos. O processo de atribuio de endereos IPv6
unicast globais examina vrios prefixos diferente, com vrios comprimentos de prefixo. Ao longo do texto aparecem
alguns termos mais especficos, mas para facilitar o estudo, a Tabela 17-4 resume os quatro termos-chave, com alguns
lembretes sobre o que cada um deles significa.
Tabela 17-4 Exemplos de Prefixos IPv6 e Seus Significados

Termo
Atribuio
Exemplo do Captulo 17
Prefixo de registro
Pela ICANN, a um RIR
2340::/12
Prefixo de ISP
Por um RIR, a um ISPl
2340:1111/32
Prefixo de site
Por um ISP, a um cliente (site)
2340:1111:AAAA/48
Prefixo de sub-rede
Por um engenheiro da empresa, 2340:1111:AAAA:OOOll64

para cada enlace individual
As sees seguintes deste captulo ampliam a discusso sobre IPv6 para incluir mais tipos de endereos IPv6, juntamente
com os protocolos que controlam e administram vrias funes comuns do IPv6.
Protocolos e endereamento no IPv6

Os hosts IPv4 precisam conhecer vrias coisas bsicas antes que possam ser bem-sucedidos em tarefas simples como
abrir um navegador web para ver uma pgina de web. Os hosts IPv4 precisam tipicamente saber o endereo IP de um
ou mais servidores DNS (Domain Name System, ou Sistema de Nomes de Domnios) para que possam usar mensagens
do protocolo DNS para pedir que um servidor DNS transforme o nome em um endereo IPv4. Eles precisam conhecer
o endereo IP de um roteador para ser usado como gateway default (roteador default), com o host enviando pacotes
destinados a um host em uma sub-rede diferente para este roteador default. O host, claro, precisa conhecer seu
endereo IP unicast IPv4 e a mscara - ou conforme definido na terminologia classless, seu endereo IPv4 e o comprimento
do prefixo - a partir do qual o host poder calcular o prefixo (sub-rede) neste enlace.
Os hosts IPv6 precisam das mesmas informaes - endereos IP de DNS, endereo IP do roteador default e seu prprio
endereo/comprimento do prefixo - pelas mesmas razes. Os hosts IPv6 ainda usam nomes de hosts, e precisam ter o
nome do host traduzido em um endereo IPv6. Os hosts IPv6 ainda enviam pacotes diretamente aos hosts que esto na
mesma sub-rede, mas enviam pacotes ao roteador default para destinos que esto fora da sub-rede.
Embora os hosts IPv6 precisem conhecer as mesmas informaes, o IPv6 muda o mecanismo para aprender alguns
destes fatos, em comparao ao IPv4. As sees seguintes analisam as opes e os protocolos atravs dos quais um host
pode aprender estas informaes-chave. Ao mesmo tempo, estas sees introduzem vrios outros tipos de endereos
IPv6 que so usados pelos novos protocolos IPv6. O final destas sees resume os detalhes e a terminologia para os
vrios tipos de endereos IPv6.
.'
CCNA ICND2
427
DHCP para IPv6

Hosts IPv6 podem usar o DHCP (Dynamic Host Configuration Protocol, ou Protocolo de Configurao Dinmica de
Hosts) para aprender e conseguir a concesso de um endereo IP e o comprimento de prefixo correspondente (mscara),
o endereo IP do roteador default e o(s) endereo(s) IP do DNS. O conceito funciona basicamente como no DHCP para
IPv4: o host envia um pacote IPv6 (multicast) em busca do servidor DHCP. Quando um servidor responde, o cliente
DHCP envia uma mensagem solicitando a concesso de um endereo IP, e o servidor responde listando um endereo
IPv6, o comprimento de prefixo, o roteador default e os endereos IP de DNS. Os nomes e formatos das mensagens
DHCP propriamente ditas foram razoavelmente alterados da verso IPv4 para IPv6, portanto o DHCPv4 e o DHCPv6
diferem em alguns detalhes, mas o processo bsico continua o mesmo. (DHCPv4 se refere verso de DHCP usada
com IPv4, e DHCPv6 se refere verso do DHCP usada com o IPv6.)
Servidores DHCPv4 retm informaes a respeito de cada cliente, como por exemplo, o endereo IP concedido ao
respectivo cliente e a quantidade de tempo para o qual a concesso vlida. Este tipo de informao chamada de
informao de estado porque armazena o estado de cada cliente. Servidores DHCPv6 possuem dois modos de operao:
stateful, no qual o servidor armazena informaes de estado, e stateless, no qual o servidor no armazena informaes de
estado. Servidores DHCPv6 stateful tm o mesmo papel que os antigos servidores DHCPv4, enquanto que os servidores
DHCPv6 stateless possuem um papel em uma alternativa ao DHCP stateful do IPv6. (DHCP stateless e seu propsito
sero cobertos na seo "Atribuio de endereo de host no IPv6" adiante.)
Uma diferena entre o DHCPv4 e o DHCPv6 stateful que os hosts IPv4 enviam broadcasts IP para encontrar
servidores DHCP, enquanto que os hosts IPv6 enviam multicasts IPv6. Endereos 1Pv6 multicast possuem um prefixo de
FFOO: :/8, o que significa que os 8 primeiros bits de um endereo so o binrio 11111111, ou hexa FF. O endereo multicast
FF02::1:2 (por extenso, FF02:0000:0000:0000:0000:0000:0001 :0002) foi reservado no IPv6 para ser usado por hosts para
enviar pacotes a um servidor DHCP desconhecido, com os roteadores trabalhando no sentido de encaminhar estes
pacotes ao servidor DHCP apropriado.
Atribuio de endereo de host no IPv6

Quando o 1Pv4 est sendo usado em redes de empresas, os engenheiros tipicamente configuram endereos IPv4 estticos
em cada interface do roteador atravs do subcomando de interface ip address. Ao mesmo tempo, a maioria dos hosts
que so usurios finais usa o DHCP para aprender dinamicamente seus endereos IP e a mscara. Para acessar a
Internet, o roteador pode usar o DHCP para aprender seu prprio endereo IP pblico a partir do ISP.
O IPv6 segue o mesmo modelo geral, mas com os roteadores usando uma dentre duas opes para a atribuio esttica
de endereo IPv6, e com os hosts que so usurios fmais usando uma dentre duas opes para atribuio dinmica de
endereo 1Pv6. As sees seguintes analisam todas as quatro opes. Mas em primeiro lugar, para apreciar as opes de
configurao, voc precisar de um pouco mais de informaes a respeito dos 64 bits de menor ordem no formato do
endereo 1Pv6: o ID da interface.
10 de interface no IPv6 e o formato EUI-64

Anteriormente neste captulo, a Figura 17-5 mostrou o formato de um endereo IPv6 unicast global, com a segunda
metade do endereo chamada de host ou ID da interface. O valor da parte relativa ao ID da interface em um endereo
unicast global pode ser configurado com qualquer valor, desde que nenhum outro host na mesma sub-rede tente usar o
mesmo valor. (O 1Pv6 inclui um mtodo dinmico para que os hosts descubram se existe um endereo duplicado na subrede antes de comearem a usar o endereo.) Porm, o tamanho do ID da interface foi propositalmente selecionado para
permitir uma fcil configurao automtica dos endereos IP, juntando o endereo MAC de uma placa de rede ao campo
ID da interface em um endereo IPv6.
Endereos MAC possuem 6 bytes (48 bits) de comprimento, portanto para que um host decida automaticamente o valor
a ser usado no campo ID da interface de 8 bytes (64 bits), o IPv6 no pode simplesmente copiar somente o endereo
MAC. Para completar o ID da interface de 64 bits, o IPv6 o preenche com mais 2 bytes. De forma interessante, para
fazer isso, o IPv6 separa o endereo MAC em duas metades de 3 bytes, e insere o hexa FFFE entre as duas metades
para formar o campo ID da interface, alm de configurar 1 bit em especial para o binrio 1. Este formato, chamado de
formato EUI-64, est mostrado na Figura 17-7.
428
Captulo 17: IP verso 6
Figura 17-7 Formato do Endereo IPv6 com ID de Interface e EUI-64

/;~;~o
Prefixa0 da Sub-rede
'. Chave
'.~.
48 Bits
Prefixo (Atribudo pelo ISP)
16
Bit~
64 Bits
Sub-redE
10 da Interface
Formato EUI-64
Prefixo do Site
1" Metade
doMAC
2" Metade
doMAC
...,
,
Vire o 7 Bit (Lendo da Esquerda

Para a Direita) do Primeiro Byte
para o Binrio 1
Embora parea um pouco confuso, o mesmo funciona. Alm disso, com um pouco de prtica, voc poder ver um
endereo IPv6 e perceber rapidamente o FFFE no fmal do endereo, e ento encontrar facilmente as duas metades do
endereo MAC da interface correspondente.
Para completar, a figura enfatiza um outro pequeno detalhe relativo ao valor de ID da interface EUI-64. Dividir o
endereo MAC em duas metades e inserir o FFFE fcil . No entanto, o formato EUI-64 exige que o stimo bit do
primeiro byte do valor seja configurado com 1. A razo por detrs disso que os endereos MAC Ethemet so apresentados
com os bits de mais baixa ordem de cada byte na esquerda, e os bits de mais alta ordem na direita. Portanto, o oitavo bit
em um byte (lendo da esquerda para a direita) o bit de mais alta ordem do endereo, e o stimo bit (lendo da esquerda
para a direita) o segundo bit de mais alta ordem. Este segundo bit de mais alta ordem no primeiro byte - o stimo bit
lendo da esquerda para a direita - chamado de bit universa1/local (VIL). Quando configurado com o binrio 0, significa
que o endereo MAC um endereo MAC gravado. Configurado em 1, significa que o endereo MAC foi configurado
localmente. O EUI-64 diz que o bit VIL deve ser configurado com 1, o que significa local.
Por exemplo, as duas linhas seguintes mostram um endereo MAC de um host e o ID de interface correspondente em
formato EUI-64, assumindo o uso de uma opo de configurao de endereo que use o formato EUI-64:
- 0034:5678:9ABC
- 0234:56FF:FE78:9ABC
NOTA Para alterar o stimo bit do exemplo (lendo da esquerda para a direita), converta o
hexa 00 para o binrio 00000000, mude o stimo bit para 1 (00000010), e depois converta de
volta para hexa, para o hexa 02 como sendo os primeiros dois dgitos.
Configurao esttica de endereos IPv6

Sero cobertas neste livro, duas opes para a configurao esttica de endereos IPv6, e ambas esto disponveis tanto
nos roteadores quanto nos hosts: a configurao esttica de todo o endereo, e a configurao esttica de um prefixo /64,
com o host calculando seu ID de interface EUI-64 para completar o endereo IP. Esta seo mostra o conceito usando
roteadores.
Para configurar um endereo IPv6 em uma interface, o roteador precisa de um sub comando de interface ipv6 address
address/prefix-length [eui-64] em cada interface. Se o termo eui-64 no for includo, o endereo deve representar
todos os 128 bits do endereo. Se o termo eui-64 for includo, o endereo deve representar o prefixo de 64 bits, com o
roteador criando o ID da interface usando o formato EUI-64. O parmetro prefix-length deve ser o comprimento do
prefixo da sub-rede. Por exemplo, o Exemplo 17-1 mostra os comandos no Roteador RI da Figura 17-6 apresentada
anteriormente neste captulo, que um dos roteadores da Companhia 1. O comprimento usado para o prefixo do site de
/64. O exemplo mostra as duas verses do comando (com e sem o termo eui-64).
I.'.
CCNA ICND2
429
Exemplo 17-1 Configurando Endereos IPv6 Estticos

!
The first interface is in subnet 1 , and will use EUI-64 as the Interface ID
ipv6 address 2340:1111:AAAA:l::/64 eui-64
!
The next interface spells out the wh ole 128 bits, abbreviated. The longer
version is 2340:1111:AAAA:0003:0000 : 0000:0001 / 64. It is in subne t 2.
interface Seria10/0/1
ipv6 address 2340:1111:AAAAI2::1/64
!
The third interface is in subnet 4, with EUI-64 forma t Interface ID again.
interface SerialO/1/1
ipv6 address 2340:1111:AAAA:4::/64 eui-64
R1# show ipv6 interface faO/O

IPv6 is enabled, link-local address is FE80 : :213:19FF:FE7B:5004
1-
Global unicast address{es):

2340:1111:AAAA:1:213:19FF:FE7B:5004,
subnet is 2340:1111:AAAA :1 : : / 64 [EUI)
~----~--------~----~
R1# show ipv6 interface SO/O/l

SerialO/O / 1 is up, line pro toco 1 is up
IPv6 is enabled , link-local address is FE80 : :213:19FF:FE7B:5004
1-

2340 : 1111:AAAA : 3: :1 , subnet is 2340:1111:AAAA:3: : / 64
1!
Lines omitted for brevity
R1# show ipv6 interface sO/l/l

SerialO / 1 / 1 is up , line protocol is up
1-
IPv6 is enabled, link-local address is FE80: :213:19FF : FE7B:5004

2340 : 1111:AAAA:4:213:19FF:FE7B:5004, subnet is 2340:1111:AAAA:4:: / 64 [EUI)
! Lines ornitted for brevity
o final do exemplo mostra o endereo IPv6 unicast global completo como parte do comando show ipv6 interface. Quando a
opo EUI-64 estiver sendo usada, este comando especialmente til porque o comando de configurao no mostra o endereo
IPv6 completo. Observe que se o formato EUI for usado, o comando show ipv6 interface percebe isso (veja as interfaces FaO/
Oe SO/1/1 , versus SO/O/I). Alm disso, os roteadores no possuem endereos MAC associados a algumas interfaces, incluindo
as interfaces seriais, portanto para formar o ID da interface no formato EUI-64 nestas interfaces, os roteadores usam o endereo
MAC de uma interface LAN. Neste caso, o ID de interface de SO/1/1 baseado no endereo MAC de FaO/O.
Autoconfigurao stateless e anncios do roteador
O IPv6 suporta dois mtodos de configurao dinmica de endereos IPv6. Um usa um servidor DHCPv6 stateful, o
qual, conforme mencionado anteriormente, funciona da mesma forma que o DHCP dentro do conceito de IPv4, embora
muitos dos detalhes nas mensagens sejam diferentes entre o DHCPv4 e o DHCPv6. O IPv6 tambm disponibiliza uma
alternativa chamada de autoconfigurao stateless (no confundir com DHCP stateless, que ser coberto nesta seo).
Com a autoconfigurao stateless, um host aprende dinamicamente o prefixo /64 usado da sub-rede, e depois calcula o
restante de seu endereo usando ID de interface EUl-64 baseado no endereo MAC de seu NIC (Network Interface
Card, ou Placa de Interface de Rede).
O processo de autoconfigurao stateless usa um dentre os diversos recursos do NDP (Neighbor Discovery Protocol)
do IPv6 para descobrir o prefixo usado na LAN. O NDP executa diversas funes para o IPv6, todas relacionadas a algo
que ocorre entre dois hosts na mesma sub-rede. Por exemplo, uma parte do NDP substitui o protocolo ARP do IPv4. O
ARP do IPv4 permite que dispositivos na mesma sub-rede - vizinhos - aprendam o endereo MAC um do outro. Pelo
fato desta e de diversas outras atividades ocorrerem somente dentro de uma sub-rede local, entre vizinhos no mesmo
enlace, o IPv6 juntou estas funes bsicas em um nico pacote de protocolo, chamado de NDP.
A autoconfigurao stateless usa duas mensagens NDP, chamadas de mensagem RS (router solicitation) e mensagem RA
(router advertisement) para descobrir o prefixo IPv6 usado em uma LAN. O host envia a mensagem RS na forma de uma
mensagem IPv6 multicast, solicitando a todos os roteadores que respondam pergunta "Qual(is) prefixo(s) IPv6 (so)
usado(s) nesta sub-rede?", e "Qual(is) (so) o(s) endereo(s) IPv6 de qual(is)quer roteador(es) default nesta sub-rede?" A
Figura 17-8 mostra a idia geral, na sub-rede 1 da Figura 17-6, com o PCl enviando um RS, e o roteador RI respondendo com
o prefixo IPv6 usado na LAN e o prprio endereo IPv6 de RI como sendo um roteador default em potencial.
Figura 17-8 Exemplo do Processo RS/RA do NDP para Encontrar Roteadores Default
IRS -
Todos os Roteadores - Identifiquem-se
~-----
1- -- -- ~
RA - Todos os Ns:
Prefixo 2340:1111 :AAAA:1::/64
Roteador Default
2340 :1111 :AAAA:1 :213 :19FF:FE7B:5004
NOTA O IPv6 permite que mltiplos prefiXOS e mltiplos roteadores default sejam listados
na mensagem RA; a figura mostra somente um de cada por questes de simplicidade.
o IPv6 no usa broadcasts. Na verdade, no existe algo como um endereo de broadcast da sub-rede, um endereo de
broadcast para toda a rede, ou um equivalente ao endereo IPv4 255.255.255.255 de broadcast para todos os hosts. Ao
invs disso, o IPv6 usa endereos multicasts. Ao usar um endereo IPv6 multicast diferente para funes diferentes, um
computador que no tem necessidade de participar de uma determinada funo pode simplesmente ignorar estes multcasts
em particular, reduzindo o impacto para o host. Por exemplo, a mensagem RS precisa ser recebida e processada somente
por roteadores, portanto o endereo IP de destino da mensagem RS FF02::2, que o endereo reservado no IPv6 para
ser usado somente por roteadores IPv6. Mensagens RA so enviadas para um endereo multicast a ser usado por todos
os hosts IPv6 no enlace (FF02:: 1), portanto no s o host que enviou o RS ir aprender a informao, como tambm todos
os demais hosts do enlace tambm iro aprender os detalhes.
A Tabela 17-5 resume alguns dos detalhes mais importantes a respeito das mensagens RSIRA.
Tabela 17-5 Detalhes a Respeito do Processo RS/RA
Mensagem
RS
RA
Destino multicast
FF02::2
FF02::1
Significado do endereo multicast
Todos os roteadores neste enlace
Todos os ns IPv6 neste enlace
Resumo da configurao de endereos IPv6

Este captulo cobre quatro mtodos para atribuir endereos IPv6 a interfaces de hosts ou de roteadores. Duas variaes
usam configurao esttica, enquanto que duas aprendem o endereo dinamicamente. No entanto, para ambas as
configuraes, esttica e dinmica, existem duas alternativas - uma que fornece o endereo IPv6 completo e uma que
permite que o host calcule o ID da interface EUI-64. A Tabela 17-6 resume os mtodos de configurao.
.........
[ TpiCO
Tabela 17-6 Opes Para Configurao de Endereos IPv6
:. Chave
...
Esttica ou Dinmica
Opo
Parte Configurada ou Aprendida
Esttica
No use EUI-64
Endereo completo de 128 bits
I.
CCNA ICND2
Esttica
Use EUI-64
Somente o prefixo /64
Dinmica
DHCPv6 stateful
Endereo completo de 128 bits
Dinmica
Autoconfigurao stateless
Somente o prefixo /64
431
Descobrindo o roteador default com NDP

No IPv4, os hosts descobrem seu roteador default (gateway default) via configurao esttica no host, ou mais tipicamente,
via DHCP. Estas duas opes tambm podem ser usadas no IPv6, alm das mensagens RS/RA do NDP, conforme
explicado na seo anterior. O processo de descoberta de roteador com NDP ocorre nos hosts e roteadores IPv6 por
default, de modo que, embora o servidor DHCPv6 stateful possa fornecer o(s) endereo(s) IPv6 dos possveis roteadores
default, no IPv6, perfeitamente razovel simplesmente no se dar ao trabalho de configurar estes detalhes em um
servidor DHCP stateful, permitindo que as mensagens RS/RA do NDP sejam usadas, no lugar.
O processo de descoberta do roteador default relativamente simples. Os roteadores enviam mensagens RA
automaticamente, de modo peridico. Estas mensagens apresentam no apenas o endereo IPv6 do roteador enviador,
mas tambm todos os roteadores conhecidos nesta sub-rede. Um host pode esperar pela prxima mensagem RA peridica,
ou solicitar que todos os roteadores locais enviem um RA imediatamente, enviando uma solicitao aos roteadores
atravs da mensagem RS .
Aprendendo o(s) endereo(s) IP de servidores DNS

Como os bosts IPv4, os hosts IPv6 tipicamente precisam conhecer o endereo IP de um ou mais servidores DNS para
converter nomes nos endereos IP correspondentes. Com freqncia, o host tambm precisa aprender o nome de
domnio do DNS a ser usado. E como os hosts IPv4, os hosts IPv6 podem ser informados a respeito destes endereos IP
usando DHCP (stateful). Quando um host (ou se for o caso, um roteador) aprende seu endereo IPv6 usando DHCP
stateful, o host tambm pode aprender os endereos IP e o nome do domnio do servidor DNS, resolvendo este detalhe
em particular.
DHCP stateless, que mais til em conjunto com autoconfigurao stateless, um mtodo alternativo para encontrar os
endereos IP e o nome de domnio do servidor DNS . Um host que usa autoconfigurao stateless pode aprender seu
endereo IPv6 e o prefixo automaticamente, bem como aprender o endereo IP de seu roteador default, em ambos os
casos usando mensagens RS/RA do NDP. No entanto, o processo de autoconfigurao stateless no ajuda um host a
aprender endereos IP e nome de domnio do DNS. Portanto, o DHCP stateless fornece estas informaes usando as
mesmas mensagens que o DHCP stateful. Porm, para fornecer estas informaes, o servidor no precisa manter
nenhuma informao de estado a respeito de cada cliente, portanto um servidor DHCP stateless pode ser usado.
A Tabela 17-7 resume alguns dos recursos-chave do DHCPv6 stateful e stateless.
Tabela 17-7 Comparao Entre Servios DHCPv6 Stateless e Stateful
/~~;;~o
Recurso
DHCP Stateful
DHCP Stateless
Lembrar endereos IPv6 (informao de estado) de clientes

que fazem solicitaes
Sim
No
Atribuir endereos IPv6 a clientes
Sim
No
Fornecer informaes teis, como por exemplo, endereos

IP de servidor DNS
Sim
Sim
mais til em conjunto com autoconfigurao stateless
No
Sim
\ Chave
....
Endereos IPv6
Este captulo j fez a introduo dos conceitos por detrs do formato geral dos endereos IPv6, das idias por detrs de
endereos IPv6 unicast globais, e sobre alguns detalhes a respeito de endereos IPv6 multicast. As sees a seguir completam
a explicao a respeito de endereamentos, especificamente com relao s trs categorias de endereos IPv6:

/;~;;~o
Unicast: Endereos IP atribudos a interfaces individuais, com o propsito de permitir que este host envie e receba
....
dados.
'. Chave
- Multicast: Endereos IP que representam um grupo dinmico de hosts, com o propsito de enviar pacotes a todos
os membros correntes do grupo. Alguns endereos multicast so usados para finalidades especiais, como por
exemplo, para mensagens NDP, e a maior parte deles suporta aplicaes de usurios finais.
- Anycast: Uma opo de design na qual os servidores que suportam a mesma funo podem usar o mesmo
endereo IP anycast, com pacotes enviados pelos clientes sendo encaminhados para o servidor mais prximo,
permitindo a distribuio de trfego entre os diferentes servidores.
Endereos IPv6 unicast
o 1Pv6 suporta trs classes principais de endereos unicast. Uma destas classes, os endereos IP unicast globais, tem
propsito bastante semelhante ao dos endereos IP pblicos IPv4. Endereos unicast globais so atribudos pela ICANN
e pelos RIRs com o propsito de permitir endereos 1Pv6 globalmente nicos a todos os hosts. Estes endereos so
originados do prefixo 2000::/3, que inclui todos os endereos que comeam com 2 ou 3 (hexa).
A prxima classe de endereos IPv6 unicast coberta aqui, endereos unicast nicos locais, possui a mesma funo dos
endereos privativos IPv4 da RFC 1918. No 1Pv4, quase todas as empresas, e quase todos os escritrios pequenos ou
residncias conectadas Internet, usam as redes privadas do IPv4. Endereos unicast nicos locais comeam com o
hexa FD (FD00::/8), com o formato mostrado na Figura 17-9.
NOTA As RFCs originais do IPv6 defIniam uma classe de endereos privativos chamada sUe
local, signifIcando local dentro de um site (organizao). A classe original de endereos locais
ao site foi descontinuada e substituda pelos endereos unicast nicos locais.
Figura 17-9 Formato do Endereo nico Local
Prefixo da Sub-rede
's Bits
40 Bits
10 Global
(Pseudo-aleatrio)
16 Bits"'"
Sub-rede
64 Bits
10 da Interface
Para usar estes endereos, um engenheiro da empresa escolheria um 10 global de 40 bits de uma maneira pseudoaleatria, com o objetivo de que os endereos sejam esperadamente nicos no universo. Na realidade, pseudo-aleatrio
provavelmente um nmero criado pelo engenheiro. O campo de sub-rede de 16 bits e o 10 da interface de 64 bits
funcionam exatamente como nos endereos unicast globais, enumerando sub-redes e hosts diferentes, e permitindo a
atribuio EUI-64 para o 10 da interface. Como sempre, o engenheiro poderia evitar o uso de EUI-64' usando valores
fceis de serem lembrados, tais como 0000:0000:0000:0001 como sendo o 10 da interface.
Endereos link local a terceira classe de endereos IPv6 unicast coberta aqui. O IPv4 no possui nenhum conceito
semelhante ao endereo IP link local. O IPv6 usa estes endereos quando est enviando pacotes para a sub-rede local;
os roteadores nunca encaminham os pacotes destinados a endereos link local para outras sub-redes.
Endereos link local podem ser teis para funes que no precisam sair da sub-rede, em particular porque um host pode
derivar automaticamente seu prprio endereo IP link local sem enviar pacotes para a sub-rede. Assim, antes de enviar
os primeiros pacotes, o host pode calcular seu prprio endereo link local, de modo que ele ter um endereo IPv6 para
usar quando estiver fazendo suas primeiras mensagens de sobrecarga. Por exemplo, antes que um host envie uma
mensagem RS do NDP (router solicitation), o host j ter calculado seu endereo link local. O host usa seu endereo
link local como sendo o endereo IP de origem na mensagem RS.
Endereos link local provm da faixa FE80: :/10, o que significa todos os endereos que comeam com FE80, FE90, FEAO
e FEBO. No necessria nenhuma configurao especfica porque um host forma estes endereos usando os primeiros
10 bits do hexa FE80 (binrio 1111111010), mais 54 Os binrios, sendo os ltimos 64 bits, o 10 da interface do host no
formato EUI-64. A Figura 17-10 mostra o formato .
CCNA ICND2
433
Figura 17-10 Formato do Endereo Link Local

54 Bits
64 Bits
Todos Os
10 da Interface
Os roteadores tambm usam endereos link locais em cada interface habilitada para suportar IPv6. Como os hosts, os
roteadores calculam automaticamente seus endereos IP link locais. Na verdade, o Exemplo 17-1 anteriormente neste
captulo apresentou os endereos IP link locais do roteador (R 1) na sada do comando show ipv6 interface. interessante
que os roteadores normalmente usam endereos link locais como o endereo IP next-hop em rotas IPv6, ao invs do
endereo unicast global ou unicast nico local do roteador vizinho.
Endereos multicast e outros endereos especiais IPv6

Endereos multicast podem ser usados para fazer a comunicao com grupos dinmicos de hosts, com o enviador
enviando um nico pacote e com a rede replicando este pacote conforme necessrio, de modo que todos os hosts que
estiverem na escuta por pacotes enviados a este endereo multicast recebam uma cpia do pacote. O 1Pv6 pode limitar
o escopo para onde os roteadores encaminham multicasts, baseado no valor do primeiro quarteto do endereo. Este livro
examina apenas os multicasts que devem permanecer em um enlace local; todos estes endereos comeam com FF02::/
16, portanto podem ser reconhecidos facilmente.
Para referncia, a Tabela 17-8 mostra alguns dos endereos multicast 1Pv6 mais comuns. De interesse particular so os
endereos escolhidos para serem usados pelo RIP (Routing Information Protocol), OSPF (Open Shortest Path First)
e EIGRP (Enhanced IGRP), os quais de certa forma espelham os endereos multicast que cada protocolo usa no IPv4.
Tabela 17-8 Endereos Multicast Link Local Comuns

Propsito
Endereo IPv6
Equivalente no IPv4
Todos os ns IP no enlace
FF02::1
Endereo de broadcast da sub-rede
Todos os roteadores no enlace
FF02::2
N/A
Mensagens OSPF
FF02::5, FF02::6
224.0.0.5,224.0.0.6
Mensagens RIP-2
FF02::9
224.0.0.9
Mensagens EIGRP
FF02::A
224.0.0.10
Agentes DHCP relay (roteadores que

encaminham ao servidor DHCP)
FF02:1:2
N/A
Antes de completar a discusso sobre endereamento no IPv6, voc deveria conhecer dois endereos IPv6 especiais.
Primeiro, o IPv6 suporta o conceito de um endereo IP loopback, da seguinte forma:
: : 1 (127 Os binrios e um 1)
Da mesma forma que o endereo 127.0.0.1 de loopback do IPv4, este endereo pode ser usado para testar o software de
um host. Um pacote enviado por um host a este endereo desce por toda a pilha do protocolo, e depois volta subindo na
pilha, sem nenhuma comunicao com a placa de rede na base. Isto permite testar o software do host, em especial
quando novas aplicaes esto sendo testadas.
O outro endereo especial o endereo :: (todos Os binrios). Isto representa o endereo desconhecido, que os hosts
podem usar quando estiverem enviando pacotes em um esforo para descobrir seus endereos IP.
Resumo dos protocolos e endereamentos IP
Este captulo cobriu vrios conceitos e detalhes a respeito de endereos IPv6, muitos dos quais exigem algum esforo
para se lembrar e para se memorizar. Esta pequena seo inter-relaciona vrios conceitos desta seo principal sobre
protocolos e endereos IPv6 antes de prosseguir com mais alguns detalhes a respeito dos protocolos de roteamento e
configurao de roteador.

Quando um host IPv6 se inicializa, ele precisa executar diversas tarefas antes que possa enviar pacotes para outro host
atravs de um roteador. Quando um dos dois mtodos de aprendizado dinmico do endereo IPv6, que pode ser usado
para enviar pacotes atravs dos roteadores locais para o resto da rede, estiver sendo usado, os primeiros passos para
inicializao so os mesmos, com algumas diferenas nos passos posteriores. A lista a seguir resume os passos que um
host executa quando estiver se inicializando, ao menos com relao s funes cobertas neste captulo.
Passo 1 O host calcula seu endereo IPv6link local (comeado com FE80::/1O).
.......... Passo 2 O host envia uma mensagem RS (router solicitation) do NDP, com seu endereo link local como sendo o
(~~:~~o
endereo de origem e o endereo multicast de destino FF02::2, indicando todos os roteadores, para pedir aos
".
roteadores que forneam uma lista de roteadores default e o prefixo/comprimento usado na LAN.
Passo 3 O(s) roteador(es) responde(m) com uma mensagem RA, com origem sendo o endereo link local do roteador,
e enviam para o endereo multicast que significa todos os hosts IPv6 no enlace (FF02::1), fornecendo informaes
sobre roteador default e prefixo.
Passo 4 Se o tipo de atribuio dinmica de endereos for autoconfigurao stateless, ocorre o seguinte:
a. O host constri o endereo IP unicast que ele pode usar para enviar pacotes atravs do roteador, usando o prefixo
aprendido na mensagem RA, e calculando um ID de interface EUI-64, baseado no endereo MAC do NIe.
b. O host usa mensagens DHCP para solicitar a um servidor DHCP stateless pelos endereos IP e nome de domnio
do servidor DNS.
Passo 4 Se o tipo de atribuio dinmica de endereo for DHCP stateful, o host usa mensagens DHCP para solicitar
a um servidor DHCP stateful pela concesso de um endereo IP/comprimento de prefixo, bem como endereos de
roteadores default, endereos e nome de domnio do servidor DNS.
NOTA Outras atividades tambm ocorrem quando um host se inicializa, mas elas esto alm
do escopo deste livro.
O IPv6 inclui vrios tipos diferentes de endereos, incluindo unicast e multicast. Para ter um resumo deles, a Tabela 179 apresenta os tipos de endereos IPv6 mencionados neste captulo, com alguns detalhes, para uma referncia mais fcil
quando voc estiver estudando.
/;~;;~o
Tabela 17-9 Endereos Multicast Link Locais Comuns
:. Chave
Tipo de Endereo
Propsito
Prefixo
Prefixo(s) Hexa
...
Facilmente Reconhecidos
Unicast global
Pacotes unicast enviados

atravs da Internet pblica
2000: :/3
2 ou 3
nico Local
Pacotes unicast dentro de

uma organizao
FDOO::/8
FD
LinkLocal
Pacotes enviados dentro

da sub-rede local
FE80::/l0
FE8, FE9, FEA, FEB
Multicast (escopo do
enlace local)
Multicasts que permanecem

dentro da sub-rede local
FF02::/16
FF02
Configurando o roteamento e os protocolos de roteamento

IPv6
Para suportar o IPv6, todos os protocolos de roteamento IPv4 tiveram que passar por diversos graus de mudanas, sendo
que a mais bvia foi a de que todos tiveram que ser alterados para suportar endereos e prefixos mais longos. As sees
seguintes examinam alguns detalhes a respeito dos protocolos de roteamento e depois mostram como configurar o
roteamento e os protocolos de roteamento IPv6 nos roteadores Cisco.
CCNA ICND2
435
Protocolos de roteamento IPv6
Da mesma forma que no IPv4, a maior parte dos protocolos de roteamento IPv6 so IGPs (Interior Gateway Protocols),
com o BGP (Border Gateway Protocol) ainda sendo o nico EGP (Exterior Gateway Protocol) significativo. Todos
estes IGPs e BGP atuais foram atualizados para suportar IPv6. A Tabela 17-10 mostra os protocolos de roteamento e
suas novas RFCs (quando apropriado).
Tabela 17-10 Atualizao nos Protocolos de Roteamento para IPv6
Protocolo de Roteamento
Nome Completo
RFC
RIPng
RIP Next Generation
2080
OSPFv3
OSPF Verso 3
2740
MP-BGP4
BGP-4 multiprotocolo
2545/4760
EIGRP para IPv6
EIGRP para IPv6
Proprietrio
-----------------------------------------------------------
Cada um destes protocolos de roteamento teve que sofrer diversas alteraes para suportar IPv6. As mensagens usadas
para enviar e receber informaes sobre roteamento foram alteradas, usando-se os cabealhos IPv6 ao invs dos cabealhos
IPv4, e usando-se endereos IPv6 nestes cabealhos. Por exemplo, RIPng envia atualizaes de roteamento ao endereo
de destino IPv6 FF02::9 ao invs do antigo endereo IPv4 RIP-2 224.0.0.9. Alm disso, os protocolos de roteamento
anunciam tipicamente seu endereo IP link local como sendo o next hop em uma rota, como ser mostrado no Exemplo
17-2, mais adiante.
. -----------------------------------------------------------
Os protocolos de roteamento ainda mantiveram vrios dos mesmos recursos internos. Por exemplo, o RIPng, sendo
baseado no RIP-2, continua sendo um protocolo de vetor distncia, com contadores de hop como sendo a mtrica, e 15
hops como sendo a rota vlida de maior distncia (16 considerado infinito). O OSPFv3, criado especificamente para
suportar IPv6, continua sendo um protocolo link-state, com o custo como sendo a mtrica, mas com diversas alteraes
internas, incluindo mudanas nos tipos de LSA (link-state advertisement). Como resultado, o OSPFv2, conforme coberto
no Captulo 9, "OSPF", no compatvel com o OSPFv3. Porm, o conceito operacional principal continua o mesmo.
Configurao do IPv6
O lOS do roteador Cisco habilita o roteamento (encaminhamento) de pacotes IPv4 por default, com o IPv4 sendo
habilitado em uma interface quando a interface tiver um endereo IPv4 configurado. Para protocolos de roteamento
IPv4, o protocolo de roteamento deve ser configurado, com o comando network habilitando indiretamente o protocolo de
roteamento em uma interface.
A configurao do IPv6 segue algumas destas mesmas linhas mestras, com a maior diferena sendo a forma de se
habilitar um protocolo de roteamento em uma interface. O lOS do roteador Cisco no habilita o roteamento IPv6 por
default, portanto um comando global necessrio para se habilitar o roteamento IPv6. Os endereos IP unicast precisam
ser configurados nas interfaces, de modo similar ao IPv4. O protocolo de roteamento precisa ser configurado de modo
global, de forma similar ao IPv4. Por ltimo, o protocolo de roteamento precisa ser configurado em cada interface,
conforme necessrio, mas no IPv6, este processo no usa o subcomando de roteador network.
Esta seo mostra um exemplo de configurao, mostrando novamente o Roteador RI da rede da Companhia 1 mostrada
nas figuras anteriores deste captulo. O exemplo usa o RIPng como sendo o protocolo de roteamento. A seguinte lista
apresenta os quatro passos principais para se configurar o IPv6:
Passo 1 Habilite o roteamento IPv6 com o comando global ipv6 unicast-routing .
.:~;~o Passo 2 Habilite o protocolo de roteamento selecionado. Por exemplo, para RIPng, use o comando de configurao
. have
global ipv6 router rip name .
Passo 3 Configure um endereo IPv6 unicast em cada interface usando o comando de interface ipv6 address
address/prefix-length [eui-64].
Passo 4 Habilite o protocolo de roteamento na interface, por exemplo, com o subcomando de interface ipv6 rip name
enable (onde o nome o mesmo do comando de configurao global ipv6 router rip name).
o Exemplo 17-2 mostra a configurao, e mais alguns comandos show. Observe que a configurao do endereo IP a
mesma que a do Exemplo 17-1 anterior. Pelo fato do Exemplo 17-1 ter mostrado a configurao do endereo, este
exemplo mostra destaques em cinza somente nos novos comandos de configurao.
Exemplo 17-2 Configurando Roteamento e Protocolos de Roteamento IPv6 em RI
! output is edited to remove lines not p ertinent to t his example
1-
ipv 6 unicast-routing
1-
inter face FastEthernetO/O

ipv6 address 2340:1111:AAAA:1::/64 e u i-64
ipv6 rip atag enable
ipv6 address 2340:1111:AAAA : 2::1/64
ipv6 rip atag enable

!
ipv6 address 2340:1111:AAAA:4::/64 eui-64

ipv 6 rip atag enable
!
i pv 6 router r i p atag
R1# show ipv6 route

IPv6 Routing Table - 10 e n tries
Codes:C - Connected, L - Local , S - Static, R - RIP , B - BGP
U - Per-user Static route
11 - ISIS L1, 12 - ISIS L2,
IA - ISIS interarea , IS - ISIS s ummary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1 , OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
R : : /0 [120/2]
via FE80::213:19FF:FE7B : 2F58,
SerialO/1/1
C 2 340:1111:AAAA : 1:: / 64 [O/O]

via .. , FastEthernetO/O
L 2340:1111:AAAA:1:213:19FF:FE7B:5004 / 128
[O/O ]
via .. , Fas tEthernetO/O

C 2340:1111:AAAA:2: :/64
[O/O]
via o : , SerialO/0/1
L 2340: 1111 : AAAA:2: : 1/128 [O/O]
via . . , SerialO/0/1
R 2340:1111:AAAA:3: :/64 [120/2]
via FE80::213:19FF:FE7B:5026,
SerialO / 0 / 1
C 2340:1111:AAAA:4: :/64 [O/O]

L 2340:1111:AAAA:4:213 : 19FF:FE7B :5004/128
L FE80: :/10 [O/O]
via .. , NullO
L FFOO: : /8 [O/O]
via .. , NullO
[O/O]
CCNA ICND2
437
Rl# show ipv6 interface brief

FastEthernetO/O
[up/up]
FESO : : 2 13:19FF:FE7B:5004
2340: 11 11:AAAA: l :213:19FF:FE7B : 5004
FastEthernetO/l
[up/up]
unassigned
SerialO/O/O
[administratively down/down]
unassigned
SerialO/O/l
[up/up]
FESO: :213:19FF : FE7 B :5004

2340:1111:AAAA:2: :1
SerialO/l/0
[adrninistratively down/down]
unassigned
SerialO/l/l
[up/up]
FESO: :213:19FF:FE7B:5004
2340:1111:AAAA:4 : 213:19FF:FE7 B :5004
A configurao propriamente dita no exige muito trabalho alm da configurao de endereo IPv6 mostrada anteriormente
no Exemplo 17-1. O comando ipv6 router rip name exige um nome (anteriormente chamado de tag) que somente um
nome texto para o processo de roteamento. O Exemplo 17-2 mostra a configurao, usando uma tag para o RIP chamada
"atag". Esta tag no precisa ser a mesma para os diversos roteadores. No mais, a configurao propriamente dita bem
direta.
O comando show ipv6 route apresenta todas as rotas 1Pv6, mostrando algumas diferenas importantes em destaque, na
sada do comando. Em primeiro lugar, observe as primeiras linhas em destaque da sada deste comando, e o novo cdigo
de roteamento "L". Para cada interface com um endereo unicast, o roteador adiciona a rota geralmente conectada ao
prefixo conectado quela interface. Por exemplo, a primeira linha em destaque dentro deste comando apresenta
2340:1111:AAAA:1: :/64, que a sub-rede conectada interface FaO/O de RI. A sada tambm mostra uma rota para host
- uma rota com comprimento de prefixo /128 - como sendo uma rota local. Cada uma destas rotas locais, conforme
identificadas pela letra "L", apresenta o endereo especfico de cada interface, respectivamente.
As prximas linhas em destaque no mesmo comando show ipv6 route mostram algumas informaes interessantes
sobre next-hop em uma rota aprendida com RIP. O exemplo destaca a rota para a sub-rede 3, mostrando a interface de
sada SO/O/l, mas o endereo do next-hop o endereo IP linklocal de R2, FE80::213:19FF:FE7B:5026. Os protocolos de
roteamento IPv6 anunciam tipicamente os endereos link local como sendo os endereos next-hop.
Finalmente, a ltima parte do exemplo mostra a sada do comando show ipv6 interface brief, que apresenta os endereos
IP unicast de cada interface. As linhas em destaque mostram o endereo link local primeiro (todos comeando com FE8),
e depois o endereo unicast global, na interface FaO/O de RI. Cada uma das trs interfaces usadas neste exemplo possui
tanto o endereo link local, que gerado automaticamente, como os endereos unicast globais configurados, conforme
mostrado na primeira parte do Exemplo 17-2.
Configurar os nomes de hosts e servidores DNS nos roteadores para IPv4 pode ser uma pequena convenincia, mas no
1Pv6, pode muito bem ser uma necessidade. Por causa do comprimento dos endereos 1Pv6, at mesmo um simples
comando ping exige uma quantidade razovel de digitao e referncia sada de outro comando ou documentao.
Portanto, assim como no IPv4, voc pode querer configurar nomes de host estticos nos roteadores, ou se referenciar a
um servidor DNS, atravs dos dois comandos a seguir. Observe que os comandos e a sintaxe so os mesmos que os
comandos para 1Pv4, somente com endereos IPv6 usados como parmetros.
- ip host name ipv6-address [second-address [third-address [fourth-address]]]
- ip name-server server-addressl [server-address2 ... server-address6]
O primeiro comando configure o nome de um host conhecido somente pelos roteadores locais, enquanto que o segundo
se refere a um servidor DNS. Observe que o roteador tenta agir como se fosse um cliente DNS, por default, baseado no
comando de configurao global default ip domain-lookup. No entanto, se o comando no ip domain-lookup foi
configurado, mude o comando de volta para ip domain-lookup para comear a usar servios de DNS.

Enquanto que a configurao e os comandos show do Exemplo 17-2 podem ser teis para se aprender o bsico, necessrio
muito mais antes que uma interconexo de rede possa estar pronta para a implantao do IPv6. (Deploying IPv6 Networks
(Implantando redes IPv6) de Ciprian Popoviciu et al., publicado pela Cisco Press, um timo recurso, se voc quiser ler
mais a respeito.) A seo seguinte apresenta rapidamente um dos maiores problemas com relao implantao, que
como suportar os usurios durante uma migrao a nvel mundial, de IPv4 para IPv6, o que pode levar dcadas.
Opes de transio para IPv6

Embora o IPv6 resolva diversos problemas, uma migrao da noite para o dia do IPv4 para o IPv6 ridcula. A quantidade
de dispositivos na Terra que usam nmeros IPv4 est provavelmente na casa dos bilhes, e em alguns casos, mesmo que
voc quisesse migrar para IPv6, os dispositivos ou seus softwares poderiam nem mesmo ter suporte para IPv6, ou pelo
menos suporte bem testado para IPv6. A migrao de IPv4 para IPv6 ir durar pelo menos alguns anos, seno dcadas.
Ainda bem que muito tempo e esforo esto sendo dispensados para se pensar no processo de migrao e no
desenvol virnento de padres a respeito de como abordar a questo da migrao ou transio. As sees a seguir introduzem
as opes principais e explicam o bsico. Em especial, estas sees examinam a idia de se usar pilhas duais, tunelamento
e traduo entre as duas verses de IP. Note que nenhuma soluo sozinha tipicamente suficiente para solucionar todos
os problemas; muito provavelmente, uma combinao destas ferramentas ser necessria na maior parte das redes.
Pilha dupla IPv411Pv6

o termo pilha dupla significa que o host ou o roteador tem ambos, o IPv4 e o IPv6, ao mesmo tempo. Para os hosts, isto
significa que o host possui ambos os endereos, IPv4 e IPv6, associado a cada NIC, que o host pode enviar pacotes IPv4
para outros hosts IPv4, e que o host pode mandar pacotes IPv6 para outros hosts IPv6. Para os roteadores, isto significa
que, alm dos endereos IPv4 comuns, e dos protocolos de roteamento cobertos nos vrios outros captulos deste livro, os
roteadores tambm teriam endereos e protocolos de roteamento IPv6 configurados, conforme mostrado neste captulo.
Para suportar hosts tanto IPv4 quanto IPv6, o roteador poderia ento receber e encaminhar tanto pacotes IPv4 quanto
pacotes IPv6.
A abordagem de pilha dual pode ser um plano de ataque razovel para migrar uma empresa para IPv6, para comunicaes
dentro da empresa. Os roteadores poderiam ser facilmente migrados para usar pilhas duais, e a maior parte dos sistemas
operacionais (SO) dos desktops suporta IPv6 atualmente. Em alguns casos, a atualizao poderia exigir hardware ou
software novos, mas esta abordagem permite uma migrao mais lenta, o que no necessariamente uma coisa ruim
porque a equipe de suporte precisaria de tempo para aprender como o IPv6 funciona.
Tunelamento
Outra ferramenta para suportar a transio de IPv4 para IPv6 o tunelamento. Existem diversos tipos de tunelamento,
mas neste caso, a funo do tnel tipicamente pega um pacote IPv6 enviado por um host e o encapsula dentro de um
pacote IPv4. O pacote IPv4 pode ento ser encaminhado atravs de uma rede IPv4 existente, com outro dispositivo
removendo o cabealho IPv4, e revelando o pacote IPv6 original. O conceito muito parecido com o de um tnel VPN,
conforme explicado no Captulo 15, "Redes privadas virtuais".
A Figura 17-11 mostra um exemplo tpico, com um tipo de tnel genericamente chamado de tnel IPv6-para-IPv4, o que
significa IPv6 dentro de IPv4. A figura mostra um exemplo de interconexo de rede de empresas na qual os hosts em
algumas das LANs migraram para IPv6, mas a parte central da rede continua executando IPv4. Este pode ser o caso
durante uma fase inicial de testes dentro de uma empresa, ou poderia ser feito comumente com um ISP baseado em IPv4,
e que possua clientes querendo migrar para IPv6.
CCNA ICND2
Figura 17-11 Exemplo de Tnel IPv6-para-IPv4, Viso Fsica e Lgica

Viso Fsica
ApenaslPv4
439
Pacote IPv6
I Cabealho IP~4 Pacote IPv6
t L-Desti~o
r--
Pacote IPv6
= 10.2.2.2
L...----Ongem = 10.1.1.1
Viso Lgica do IPv6
Apenas IPv6
PC1
ApenaslPv6
PC2
Tnel O
FCOO::1I64
Na figura, o PC1 baseado em IPv6, envia um pacote IPv6. O Roteador RI ento encapsula ou tunela o pacote IPv6 em
um novo cabealho IPv4, com um endereo de destino IPv4 de um endereo no Roteador R4. Os Roteadores R2 e R3
encaminham alegremente o pacote, porque o mesmo possui um cabealho IPv4 normal, enquanto R4 desencapsula o
pacote IPv6 original, encaminhando-o ao PC2 baseado em IPv6. Isto chamado de tnel, em parte porque os pacotes
IPv6 dentro do tnel no podem ser vistos enquanto esto atravessando o tnel; os roteadores no meio da rede, R2 e R3
neste caso, percebem os pacotes como sendo pacotes IPv4.
Existem diversos tipos de tneis IPv6-para-IPv4. Para executar o tunelamento mostrado pelos roteadores da Figura 1711 , os primeiros trs dos seguintes tipos de tunelamento poderiam ser usados, com o quarto tipo (tneis Teredo) sendo
usado pelos hosts:
- MCT (Manually configured tunnels, ou Tneis configurados manualmente): Uma configurao simples na
qual so criadas interfaces de tnel, um tipo de interface virtual de roteador, com a configurao fazendo referncia
aos endereos IPv4 usados no cabealho IPv4 que encapsula o pacote IPv6.
- Tneis 6t04 dinmicos: Este termo se refere a um tipo especfico de tnel criado dinamicamente, feito tipicamente na Internet IPv4, no qual os endereos IPv4 das extremidades do tnel podem ser encontrados dinamicamente,
baseado no endereo IPv6 de destino.
- ISATAP (Intra-site Automatic Tunnel Addressing Protocol): Outro mtodo de tunelamento dinmico, usado
tipicamente dentro de uma empresa. De modo diferente dos tneis 6t04, os tneis ISATAP no funcionam se a
NAT IPv4 estiver sendo usada entre as extremidades do tnel.
-
Thnelamento Teredo: Este mtodo permite que hosts com pilhas duais criem um tnel para outro host, com o
prprio host criando o pacote IPv6 e encapsulando o pacote dentro do cabealho IPv4.
A Figura 17-12 mostra a idia bsica por detrs do tnel Teredo.
Figura 17-12 Exemplo de Encapsulamento em um Tnel Teredo Host-para-Host
I Cabealho IPV41 Pacote I P v 6 1 t - - - - - - - - - - - - - - - - - - - - - - - - - - I
Fazendo tradues entre IPv4 e IPv6 com NAT-PT
nest~
Ambas as classes de recursos para transio IPv6 mencionados at agora

captulo, pilha dupla e tneis, se baseiam
no fato de que os hosts finais suportem no mnimo o IPv6, se no ambos, o IPv4 e o IPv6. No entanto, em alguns casos,
um host somente IPv4 precisa se comunicar com um host somente IPv6. Uma terceira classe de recursos para transio
precisa ser usada neste caso: uma ferramenta que traduza os cabealhos de um pacote IPv6 para que se parea com um
pacote IPv4, e vice-versa.
Nos roteadores Cisco, o NAT-PT (Network Address Translation - Protocol Translation, ou Traduo de Endereo de
Rede - Traduo de Protocolo), definida pela RFC 2766 pode ser usada para executar a traduo. Para fazer seu
trabalho, um roteador configurado com NAT-PT deve saber quais endereos IPv6 deve traduzir para quais endereos
IPv4 e vice-versa, o mesmo tipo de informao armazenada na tabela de traduo NAT tradicional. E como no NAT
tradicional, o NAT-PT permite definio esttica, NAT dinmico e PAT dinmico, que pode ser usada para se conservar
endereos IPv4.
Resumo da transio
A Tabela 17-11 resume as opes de transio para IPv6 para facilitar a referncia e os estudos.
..........
Tabela 17-11 Resumo das Opes de Transio para IPv6

Nome
Tipo Particular
Pilha dupla
[ TpiCO
'.Chave
....
Descrio
Suporta ambos os protocolos, e envia IPv4 para hosts IPv4 e

IPv6 para hosts IPv6
Tnel
MCT
Tnel configurado manualmente; envia IPv6 atravs de rede

IPv4, tipicamente entre roteadores
Tnel
6t04
Extremidade dos tneis so descobertas dinamicamente; envia

IPv6 atravs de rede IPv4, tipicamente entre roteadores
Tnel
ISATAP
Extremidade dos tneis so descobertas dinamicamente; envia

IPv6 atravs de rede IPv4 entre roteadores; no suporta NAT
IPv4
Tnel
Teredo
Tipicamente usado pelos hosts; os hosts criam pacotes IPv6 e

os encapsulam em IPv4
NAT-PT
....
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave na margem externa
das pginas. A Tabela 17-12 lista uma referncia a estes tpicos-chave e onde cada um deles foi discutido.
Descrio
Figura 17-1
Conceitos de agregao de rotas na

Internet IPv6 global
. 1

:1
1
1
:1

/;~~;~o
:1
Roteador faz a traduo entre IPv4 e IPv6; permite que hosts

IPv4 se comuniquem com hosts IPv6
'. Chave
Nmero da Pgina
419
. 1
1
CCNA ICND2
Lista
Regras pMa abreviM endereos IPv6
420
Lista
Regras pMa escrever prefixos IPv6
422
Figura 17-3
Exemplo do processo de atribuio de prefixo
423
Lista
Principais passos ao subdividir um prefixo em

um prefixo de sub-rede em uma empresa
424
441
. ----------------------------------------------------------
Figura 17-5
Exemplo e estrutura de sub-redes IPv6
425
Figura 17-7
Estrutura dos endereos IPv6 e ID de interface

formatada com EUI-64
428
-Ta-b-e-Ia--17---6-------------------------L-i-st-a-d-~--q-ua-tr-o-p-n-n-c-ip-ru--s-op---e-s-p-M-a-c-o-nfi--g-ur-a--o-----4-30-------
de endereo IPv6
CompMaes entre servios DHCP IPv6
stateful e stateless
431
Tabela 17-7
-----------------------------------------------------------
Lista
Diferentes tipos e propsitos dos endereos IPv6
432
Figura 17-10
Formato e estrutura de endereos lin.k local
433
Lista
Resumo dos passos que um host executa pMa

aprender seu endereo, comprimento do prefixo,
DNS e roteador default
434
----------------------------------------------------------------
434
Resumo dos prefixos e propsito dos tipos
mais comuns de endereos IPv6
-----------------------------------------------------------------------------Lista de verificao pMa configurao do IPv6
435
Lista
Tabela 17-11
Tabela 17-9
: Complete as tabelas e listas usando a memria
Lista das opes de transio pMa IPv6
440
Imprima uma cpia do Apndice J, ''Tabelas de memria", ou pelo menos a seo referente a este captulo e complete as
pMa voc conferir o seu trabalho.
Autoconfigurao stateless, DHCP stateful, DHCP stateless, endereo link local, endereo unic~t global, endereo
nico local, NAT-PT, NDP (Neighbor Discovery Protocol), pilhas duais, prefixo de ISP, prefixo de registro,
prefixo de site, prefixo de sub-rede, RIR (Regional Internet Registry)
Embora voc no precise necessariamente memorizM as informaes d~ tabel~ desta seo, ela inclui uma referncia
pMa os comandos de configurao e EXEC cobertos neste captulo. Na prtica, voc deve memorizM os comandos
como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de prepMao pMa o exame. PMa
verificM o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra o lado esquerdo
da tabela com uma folha de papel, leia as descries do lado direito e veja se voc se lembra do comando.

Comando
Descrio
------------------------------------------------------------------ .
ipv6 unicast-routing
Comando global que habilita roteamento IPv6 no roteador
--------------------------------------------------------------- .
ipv6 router rip tag
Comando global que habilita RIPng
--------------------------------------------------------------- .
ipv6 rip name enable
Subcomando de interface que habilita RIPng na interface
ipv6 address {ipv6-address/prefix-length I Subcomando de interface que configura manualmente o endereo IP

prefix-name sub-bits/prefix-length} eui-64 inteiro da interface, ou um prefixo /64, com o roteador montando o ID da
interface no formato EUI-64 automaticamente
ipv6 host name ipv6-address1
Comando global que cria a definio de um nome de host esttico
[ipv6-address2 ... ipv6-address4]
ip name-server server-address1
[server-address2 ... server-address6]
[no] ip domain-Iookup
Comando global para apontar um ou mais nomes de servidores, para

converter um nome em endereo IPv4 ou IPv6
Comando global que habilita o roteador a ser um cliente DNS, ou com a
opo no, desabilita o roteador como sendo um cliente DNS

Comando
Descrio
--------------------------------------------------------------- .
show ipv6 route
Lista rotas IPv6
--------------------------------------------------------------- .
show ipv6 route ip-address
Lista a(s) rota(s) que este roteador iria encontrar, para pacotes enviados
ao endereo listado
show ipv6 route [prefixlprefix-length]
Lista a rota para o prefixo/comprimento listado especificamente
show ipv6 interface [type number]
Lista configuraes do IPv6 em uma interface, incluindo endereos link

local e outros endereos IP unicast
show ipv6 interface brief
Lista o estado da interface e os endereos IPv6 para cada interface
CCNA ICND2
443
Parte VI: Preparao Final
. ----------------------------------------
Captulo 18 Preparao Final
-------------------------
CAPTULO
18
Preparao Final
Os primeiros 17 captulos deste li vro cobrem as tecnologias, os protocolos, os comandos e os recursos que voc precisa
entender para passar no exame rCND2. Embora esses captulos forneam as informaes em detalhes, a maioria das
pessoas precisa de uma maior preparao alm de simplesmente ler os 17 primeiros captulos. Este captulo detalha um
conjunto de ferramentas e um plano de estudos para ajudar voc a completar sua preparao para os exames.
Se estiver se preparando para o exame CCNA atravs da leitura tanto deste livro como do CCENT/CCNA ICNDJ
Official Exam Certification Guide (Guia oficial de certificao do exame CCENT/CCNA rCNDl), voc sabe que
ambos os livros possuem um captulo de preparao final. Porm, voc pode se referenciar somente a este captulo para
ler a respeito do plano de estudos sugerido porque este captulo faz referncia s ferramentas tanto deste livro como do
livro rCNDI. Basta procurar pelos textos destacados em cinza, como nesta frase, para sugestes que se aplicam
preparao para o exame CC NA (640-802), mas no preparao para o exame rCND2 (640-816).
Este pequeno captulo possui duas sees principais. A primeira seo apresenta as ferramentas de preparao para o
exame que podem ser teis neste ponto de seu plano de estudos. A segunda seo apresenta a sugesto de um plano de
estudos, agora que voc j completou todos os captulos anteriores.
NOTA Este captulo faz referncia a vrios captulos e apndices deste livro. Alguns dos
apndices, comeando pelo Apndice D, esto disponveis no idioma original no site da editora
www.altabooks.com.br.
Ferramentas para preparao final
Esta seo apresenta algumas informaes a respeito das ferramentas disponveis e como acess-las.
CCNA Prep Center da Cisco
A Cisco oferece uma grande variedade de ferramentas de preparao para CCNA em um website da Cisco Systems,
chamado CCNA Prep Center. O CCNA Prep Center inclui demonstraes da interface de usurio do exame, exemplos
de perguntas, vdeos informativos, fruns de discusso e outras ferramentas .
Para usar o CCNA Prep Center, voc precisa de um login registrado em http://www.cisco.com. Para se registrar, basta
ir para http://www.cisco.com.clicar em Register na parte superior da pgina, e fornecer algumas informaes. (Voc
no precisa trabalhar para a Cisco ou para uma de suas parceiras para obter um login.)
Depois que tiver se registrado, v para http://www.cisco.com/go/prepcenter. e procure pelo link para o CCNA Prep
Center. Ali, voc poder fazer login e explorar os diversos recursos.
Captulos adicionais sobre diviso em sub-redes, pginas de

referncia e problemas prticos (em ingls)
Ser capaz de analisar o endereamento IP e a diviso em sub-redes em qualquer rede rpv4 deve ser a habilidade nica
mais importante para todos os exames CCNA. O Captulo 12 de CCENT/CCNA ICNDJ Official Exam Certification
Guide (Guia oficial de certificao do exame CCENT/CCNA rCNDl), "JP Addressing and Subnetting" (Endereamento
IP e diviso em sub-redes), cobre a maior parte destes detalhes, com o Captulo 5 deste livro, "VLSM e sumarizao de
rotas", complementando o quadro ao explicar o VLSM. (Caso voc no tenha o livro rCNDl, o Captulo 12 do rCNDl
448 Captulo 18:Preparao Final

est includo neste livro na forma do Apndice H, "Endereamento IP e diviso em sub-redes").
Este livro inclui diversas ferramentas para ajudar voc a praticar e melhorar suas habilidades com relao diviso em
sub-redes:
-
Subnetting Reference Pages: O Apndice E, disponibilizado em ingls no site da editora - www.altabooks.com.br.

"Subnetting Reference Pages" (Pginas de referncia para diviso em sub-redes) resume os processos binrio e
de atalho decimal, explicados tanto no Captulo 12 do rCNDl quanto no Captulo 5 deste livro. Cada pgina de
referncia apresenta um nico processo relacionado diviso em sub-redes, juntamente com informaes de
referncia teis para o respectivo processo. Estes processos resumidos podem ser ferramentas mais convenientes
para quando voc estiver praticando a diviso em sub-redes, se comparado a ficar virando as pginas at os
captulos relativos diviso em sub-redes, a procura do processo correto.
Subnetting Practice: O Apndice D, disponibilizado em ingls no site da editora - www.altabooks.com.br.

"Subnetting Practice" (Praticando a diviso em sub-redes), contm uma grande variedade de problemas para
praticar a diviso em sub-redes, incluindo 25 problemas para os quais voc precisa encontrar o nmero da sub-rede,
o endereo de broadcast da sub-rede, e a faixa de endereos IP vlidos. Este apndice mostra como usar tanto os
processos binrios como os de atalho para encontrar as respostas.
Cenrios
Conforme mencionado na introduo deste livro, algumas das perguntas do exame exigem que voc use as mesmas
habilidades comumente usadas para resolver problemas em redes reais. As sees relativas resoluo de problemas e
os captulos tanto do livro rCNDl quanto do rCND2 ajudam voc a se preparar para estes tipos de perguntas.
Outra maneira de se preparar para as perguntas relativas resoluo de problemas dos exames pensar em diferentes
cenrios de redes, prevendo o que deveria acontecer, e investigando se a rede est executando aquilo que deveria. O
Apndice F "Additional Scenarios" (Cenrios adicionais), tanto deste livro quanto do livro rCNDl , inclui vrios cenrios
que apresentam algumas tarefas que voc deveria tentar antes de ler a soluo sugerida, apresentada posteriormente no
apndice. Ao ler estes cenrios e fazer os exerccios, voc poder praticar algumas das habilidades necessrias quando
voc estiver analisando e resolvendo problemas de redes.
Plano de estudos
Voc poderia simplesmente estudar usando todos os recursos disponveis, conforme mencionado anteriormente neste
captulo. No entanto, esta seo sugere um plano de estudos em particular, com uma seqncia de tarefas que pode
funcionar melhor do que simplesmente usar os recursos de forma aleatria. Porm, fique vontade para usar as ferramentas
de qualquer maneira e a qualquer hora, de modo a ajudar voc a se preparar de modo completo para o exame.
Se voc estiver se preparando somente para o exame rCND2, voc pode ignorar as partes destacadas em cinza deste
plano de estudos. Se voc estiver estudando para o exame CCNA usando o livro rCNDl tambm, inclua as tarefas
destacadas em cinza.
O plano de estudos sugerido separa as atividades em quatro categorias:
-
Recorde os Fatos: Atividades que ajudam voc a se lembrar de todos os detalhes dos primeiros 17 captulos deste livro:
Pratique a Diviso em Sub-redes: Voc deve dominar a diviso em sub-redes para ser bem-sucedido nos
exames rCNDl, rCND2 e CCNA. Esta categoria apresenta os itens que voc pode usar para praticar as habilidades em efetuar diviso em sub-redes.
Desenvolva Habilidades na Resoluo de Problemas Atravs de Cenrios: Para responder a algumas

questes do exame que apresentam um cenrio, voc poder precisar recordar fatos, efetuar matemticas relacionadas diviso em sub-redes de modo rpido e preciso, e usar um simulador na prtica - tudo para responder a
uma nica pergunta. Esta seo do plano sugere atividades que ajudaro voc a reunir estas diferentes habilidades.
Recorde os fatos
Como na maioria dos exames, voc precisa se lembrar de di versos assuntos, conceitos e definies para se sair bem no
teste. Esta seo sugere um par de atividades que devem ajudar voc a se lembrar de todos os detalhes:
CCNA ICND2
449
Passo 1 Revise e repita, conforme necessrio, as atividades da seo "Atividades de preparao para o
exame" ao fmal de cada captulo. A maior parte destas atividades ajudar voc a refinar seu conhecimento a
respeito de um tpico, ao mesmo tempo em que ajuda tambm a memorizar os assuntos. Para a preparao para o
exame CCNA, faa isto para os Captulos de 2 a 17 do livro rCNDI, bem como para os Captulos de 1 a 17 deste
livro.
Passo 2 Revise todas as perguntas dos questionrios ''Eu j conheo isto?" no comeo de cada captulo.
Embora as perguntas possam ser familiares, l-los novamente ir ajudar voc a se lembrar melhor dos tpicos
cobertos nas questes. Alm disso, as perguntas do "Eu j conheo isto?" tendem a cobrir os tpicos mais importantes
do captulo, e nunca demais recordar estes tpicos.
Pratique a diviso em sub-redes

Sem dvida, a habilidade mais importante que voc precisa para ser bem-sucedido e passar nos exames rCNDI , rCND2
e CCNA, a de ser capaz de responder a questes sobre diviso em sub-redes de forma precisa, segura e rpida. Todos
os exames CCNA possuem um certo elemento relacionado presso com relao a tempo; as perguntas mas estressantes
so as sim, sirnlet e perguntas sobre diviso em sub-redes. Portanto, voc deve praticar a matemtica e os processos
relativos diviso em sub-redes, at que voc possa encontrar a resposta correta de forma consistente, em um intervalo
de tempo razovel.
Antes de sugerir a forma como voc deveria se preparar para as perguntas relativas diviso em sub-redes, por favor,
note que existem diversos mtodos alternativos para encontrar as respostas s perguntas sobre diviso em sub-redes.
Por exemplo, voc pode usar matemtica binria para todos os 32 bits de endereos e nmeros das sub-redes. De forma
alternativa, voc poderia reconhecer que 3 dos 4 octetos na maioria dos problemas relativos diviso em sub-redes so
facilmente previsveis sem matemtica binria e depois usar a matemtica binria no ltimo octeto interessante. Outra
opo seria usar atalhos decimais. (Este tpico foi coberto no Captulo 12 do rCNDI e no Apndice H deste livro.)
Atalhos no exigem nenhuma matemtica binria, mas exigem que voc pratique um processo at que voc o tenha
memorizado. Voc pode at mesmo usar variaes destes processos conforme ensinado em outros livros ou aulas.
No importa o processo que voc preferir, voc deve pratic-lo at que possa us-lo de modo preciso, seguro e rpido.
A lista de sugestes de atividades a seguir inclui atividades prticas que voc pode usar, no importa o processo que voc
tenha escolhido. Em alguns casos, esta lista inclui itens que ajudam voc a aprender sobre os atalhos includos neste livro:
Passo 1 Veja ou Imprima o Apndice E "Subnetting Reference Pages" (pginas de referncia para diviso
em sub-redes). Este pequeno apndice, disponibilizado em ingls no site da editora - www.altabooks.com.br. inclui
uma srie de resumos de pgina nica dos processos de diviso em sub-redes encontrados no Captulo 12 do
rCNDI (e no Apndice H deste livro, que uma cpia do Captulo 12 do rCNDI). O Apndice E inclui pginas de
referncia que resumem tanto o processo binrio quanto o de atalho decimal para o processo de diviso em subredes.
Passo 2 Veja ou imprima o Apndice D, "Subnetting Practice" (praticando a diviso em sub-redes). Este
apndice, sisponibilizado em ingls no site da editora - www.altabooks.com.br. inclui problemas suficientes para
praticar a diviso em sub-redes, de modo que, atravs de repetio, voc possa melhorar significativamente sua
velocidade e absorver os processos de atalho. Planeje trabalhar nestes problemas at que voc possa obter a
resposta correta de forma consistente e rpida e no precise mais parar e pensar a respeito do processo para
encontrar a resposta. O objetivo tornar o processo automtico para encontrar as respostas de tais problemas.
Candidatos ao exame CCNA: o Apndice D do ICND2 contm todos os problemas do Apndice D do ICNDI,
mais alguns outros, portanto use o Apndice D do ICND2.
Passo 3 Pratique a Diviso em Sub-Redes com o Jogo de Diviso em Sub-Redes da Cisco. A Cisco possui um
jogo para diviso em sub-redes, disponvel no CCNA Prep Center da Cisco. Ele apresenta diversos cenrios para
diviso em sub-redes e torna divertido praticar a diviso em sub-redes. Basta ir ao CCNA Prep Center (http://
www.cisco.comlgo/prepcenter). faalogincomseuIDdeUsurioCisco.com. selecione a guia Additional
Information, e procure pelo link para baixar o jogo. (Se voc no possui um login, voc pode criar um a partir desta
pgina de web.)
Passo 4 Desenvolva seus prprios problemas para prtica usando uma calculadora de sub-redes. Voc pode
baixar vrias calculadoras de sub-redes gratuitas da Internet, inclusive uma disponvel na Cisco que parte do
450
Captulo 18:Preparao Final

CCNA Prep Center. Voc pode inventar seus prprios problemas de diviso em sub-redes, como os do Apndice D,
resolver os problemas, e depois conferir suas respostas usando a calculadora de sub-redes.
Desenvolva habilidades na resoluo de problemas atravs de

cenrios
Assim como um problema real em uma rede real pode ter sido provocado por diversas razes - um protocolo de
roteamento, um cabo com problema, Spanning Tree, uma ACL incorreta, ou at mesmo erros em sua documentao a
respeito da interconexo da rede - o exame faz com que voc aplique uma grande variedade de conhecimentos para
responder a questes individuais. A nica atividade para esta seo a seguinte:
- Revise os cenrios do Apndice F deste livro (disponibilizado em ingls no site da editora www.altabooks.com.br). Estes cenrios fazem com que voc pense a respeito das questes cobertas em vrios
captulos deste livro. Eles tambm exigem pensamentos mais abstratos para resolver o problema. Os candidatos ao
exame CCNA devem revisar os cenrios do Apndice F de ambos os livros.
Sumrio
As ferramentas e sugestes apresentadas neste captulo foram criadas com um objetivo em mente: ajudar voc a
desenvolver as habilidades necessrias para passar nos exames ICND2 e CCNA. Este livro, e seu companheiro, o livro
ICNDI, foi desenvolvido no apenas para informar voc a respeito dos fatos, mas para ajudar voc a aprender como
aplicar os fatos . No importa qual o seu nvel de experincia quando voc fizer os exames, nossa esperana de que a
grande variedade de ferramentas para preparao, e at mesmo a estrutura destes livros e o foco na resoluo de
problemas, iro ajudar voc a passar nos exames com facilidade. Desejo-lhe boa sorte nos exames.
CCNA ICND2
451
Parte VII: Apndices
Apndice A Respostas para os

questionrios "Eu j conheo
isto?"
Apndice B Tabela de converso de decimal
para binrio
Apndice C Atualizaes no exame ICND2:
Verso 1.0
Glossrio
-----------------------
AP N DICE
: Respostas para os questionrios
"Eu j conheo isto?"
Captulo 1
1. B
2. D. Embora uma sub-rede e uma VLAN no sejam conceitos equivalentes, os dispositivos em uma VLAN esto
tipicamente na mesma sub-rede, e vice-versa.
3. B
4. C
5. B e C
6. A e C. A configurao auto significa que o switch pode negociar o trunking, mas pode somente responder a
mensagens de negociao e no pode iniciar o processo de negociao. Portanto, o outro switch deve ser configurado
para fazer trunking ou para iniciar o processo de negociao (dependendo se est configurado com a opo dynamic
desirable) .
7. A. A configurao VTP default do modo VTP servidor significa que o switch pode configurar VLANs, portanto a
VLAN configurada. No entanto, estando no modo servidor, os comandos de configurao aparecem apenas na
sada do comando show vlan brief, e no so apresentados como parte do arquivo running-config.
8. B eC
9. C. O VTP no exige uma senha, embora se a senha for usada, ela deve coincidir. O VTP envia atualizaes VTP
imediatamente aps uma mudana na base de dados da VLAN. No entanto, o VTP envia apenas mensagens VTP
atravs de trunks, e o default dos 2960s usar o modo administrativo de trunking auto, o qual no inicia o processo
de negociao de trunking. Portanto, nenhum dos switches forma automaticamente um trunk, e nenhuma mensagem
VTP enviada.
lO. C e D. O nome do domnio e a senha devem ser iguais, e os switches devem se conectar usando um trunk antes que
o VTP possa funcionar. normal ter alguns switches como servidores e alguns como clientes. Uma configurao
de pruning diferente no impede a sincronizao das bases de dados de VLAN.
Captulo 2
1. A e B. Estados de Escuta e de Aprendizado so estados transitrios de porta, usados apenas quando se passa do
estado de Bloqueio para o estado de Encaminhamento. Descarte no um estado de porta STP 802.Id.
2. C e D. Estados de Escuta e de Aprendizado so estados transitrios de porta, usados apenas quando se passa do
estado de Bloqueio para o estado de Encaminhamento. Descarte no um estado de porta STP 802.Id. Estado de
Encaminhamento e de Bloqueio so estados estveis.
3. C. O menor nmero de ID de bridge vence a eleio.
4. B. Switches que no so raiz encaminham Hellos recebidos da raiz; a raiz envia estes Hellos baseado no temporizador
de Hello configurado na raiz.
456
Apndice A: Respostas para os questionrios "Eu j conheo isto?"
5. E
6. B e D. O padro IEEE 802.1w, chamado Rapid STP, oferece uma convergncia STP muito mais rpida.
7. B e D. O RSTP usa estados de Encaminhamento, de Aprendizado e de Descarte para portas, com os estados de
Encaminhamento e de Aprendizado executando as mesmas funes bsicas que os estados de porta STP com o
mesmo nome.
8. B e C
9. B. Os switches Cisco usam um sistema estendido de formato de ID para IDs de bridge por default, no qual o campo
de prioridade dividido em um valor de prioridade base (32.768, neste caso), mais o ID da VLAN. A prioridade
deste switch permite que ele possa ser o switch raiz, mas a sada do comando no fornece informaes suficientes
para saber se este switch a raiz no momento.
10.B. As duas interfaces possuem um custo de porta default de 19 (FaO/13) e 4 (GiO/1), fazendo com que o custo de
SW3 para alcanar a raiz seja de 10+19 = 29 a partir de FaO/13, e 20+4 = 24 atravs de GiO/1. Portanto, SW3
seleciona GiO/1 como sendo sua porta raiz. SW3 poderia ento anunciar um custo de 24 (custo para alcanar a raiz)
Helio atravs de FaO/13, mas seria inferior ao Helio j sendo recebido em FaO/13 (custo 10), portanto SW3 no
escolheria FaO/13 como uma porta designada.
Captulo 4
1. D. o host pode precisar usar DHCP (Dynamic Host Configuration Protocol, ou Protocolo de Configurao
Dinmica de Host) para adquirir um endereo IP, e provavelmente iria usar um DNS (Domain Name System, ou
Sistema de Nome de Domnio) para converter www.ciscopress.com em um endereo IP. Ele tambm usaria o
ARP (Address Resolution Protocol, ou Protocolo para Resoluo de Endereo) para encontrar o endereo MAC
do gateway default porque o cache do ARP teria sido limpo como parte do processo de inicializao.
2. B. O comando ping 2.1.1.2 no usa o nome de um host, portanto no necessrio um servidor DNS. Um cliente
DHCP no precisa conhecer o endereo IP do servidor DHCP para usar o DHCP. No existe servidor ARP. No
entanto, para enviar o pacote para outra sub-rede, o PC precisa conhecer o endereo IP de seu gateway default.
3. AeF
4. C. Com o comando no ip subnet-zero configurado, o roteador no permitir que nenhuma interface seja configurada
com um endereo IP na sub-rede zero. Das respostas apresentadas, a sub-rede 10.0.0.0255.254.0.0 uma subrede zero, com uma faixa de endereos de 10.0.0.1 a 10.1.255.254. O comando ip address 10.1.2.2255.254.0.0
seria rejeitado.
5. C. A letra "s" significa que a rota uma rota esttica, que definida atravs do comando de configurao global ip
route.
6. A. A sintaxe correta apresenta um nmero de sub-rede, depois uma mscara de sub-rede no formato decimal com
pontos, e depois uma interface de sada ou um endereo IP next-hop.
7. A
8. B. Com o roteamento c1assless habilitado, o roteador usa a rota default, caso nenhuma outra rota seja encontrada.
A linha comeando com "Gateway of last resort... " apresenta o endereo IP do roteador next-hop, 168.13.1.101,
que ser usado como rota default.
Captulo 5
1. B, C e D
2. A. Observe que s vezes, VLSM significa variable-length subnet masking (ou mscara de sub-rede de
comprimento varivel), que se refere ao processo de usar diferentes mscaras na mesma rede c1assful, enquanto
que subnet mask (mscara de sub-rede) se refere s mscaras de rede propriamente ditas.
3. C e D. Sub-rede 10.5.0.0 255.255.240.0 implica na faixa 10.5.0.0 -10.5.15.255, que no se sobrepe. 10.4.0.0
255.254.0.0 implica na faixa 10.4.0.0 - 10.5.255.255, que se sobrepe. 10.5.32.0 255 .255 .224.0 implica na faixa
CCNAICND2
457
10.5.32.0 -10.5.63.255, que se sobrepe. 10.5.0.0255.255.128.0 implica na faixa 10.5.0.0 -10.5.127.255, que se
sobrepe.
4. C. Todas as respostas apresentadas incluem a faixa para todas as trs sub-redes, exceto para 10.3.64.0255.255.224.0,
que implica na faixa de endereos de 10.3.64.0 - 10.3.95.255. Das outras trs respostas, 10.3.64.0255.255.192.0
a menor faixa (10.3.64.0 - 10.3.127.255). Tambm a menor sumarizao de rota nica que inclui todas as trs
sub-redes da pergunta.
5. C e D. 10.0.0.0255.0.0.0 implica na faixa de todos os endereos comeados com lO, e 10.1.0.0255.255.0.0 implica
na faixa de todos os endereos comeados com 10.1, portanto ambas as respostas incluem todas as faixas de
endereo apresentadas na pergunta. 10.1.32.0255 .255.224.0 implica na faixa de 10.1.32.0 -10.1.63.255, que inclui
todos os endereos apresentados na pergunta. 10.1.55.0255.255.255.0 implica na faixa de somente 10.1.55.0 10.1.55255, que no inclui todos os endereos. 10.1.48.0255.255.248.0 implica na faixa de endereos de 10.1.48.0
- 10.1.55.255, que omite duas das sub-redes apresentadas na pergunta.
6. B, C e D
7. A, B e C
8. A. Redes no contguas so permitidas desde que a sumarizao automtica esteja desabilitada. OSPF nem mesmo
suporta sumarizao automtica, portanto usar o OSPF resolveria o problema. RIP-1 no consegue desabilitar a
sumarizao automtica. EIGRP consegue desabilitar a sumarizao automtica, mas a mesma fica habilitada, por
default.
Captulo 6
1. A e C. ACLs padro verificam o endereo IP de origem. Uma ACL pode identificar a faixa de endereos 10.1.1.1
- 10.1.1.4, mas so necessrios mltiplos comandos access-list. Pode-se casar todos os hosts na sub-rede de
Barney atravs do comando access-Iist 1 permit 10.1.1.0 0.0.0.255.
2. D. 0.0.0.255 casa todos os pacotes que possuem os mesmos 3 primeiros octetos. Isto til quando voc quer
identificar uma sub-rede na qual a parte referente sub-rede formada pelos 3 primeiros octetos, como neste caso.
3. E. 0.0.15.255 casa todos os pacotes com os mesmos primeiros 20 bits. Isto til quando voc quer identificar uma
sub-rede na qual a parte referente sub-rede formada pelos 20 primeiros bits, como neste caso.
4. E e F. ACLs estendidas podem olhar para os cabealhos de Camada 3 (IP) e de Camada 4 (TCP, UDP), e alguns
outros, mas para nenhuma informao da camada de aplicao. ACLs estendidas nomeadas podem olhar para os
mesmos campos que uma ACL estendida numerada.
5. A e E. A faixa correta de nmeros ACL para listas de acesso IP estendidas de 100 a 199 e de 2000 a 2699. As
respostas que apresentam o parmetro eq www depois de 10.1.1.1 casam o nmero da porta de origem, e os
pacotes esto indo em direo ao web server, e no do contrrio.
6. E. Pelo fato do pacote estar indo em direo a qualquer cliente web, voc precisa verificar o nmero da porta do
servidor web como sendo uma porta de origem. A faixa de endereo IP do cliente no est especificada na questo,
mas os servidores esto, portanto o endereo de origem comeando por 172.16.5 a resposta correta.
7. E. ACLs IP estendidas nomeadas podem identificar exatamente o mesmo conjunto de campos que as ACLs IP
estendidas numeradas.
8. A e C. Antes do lOS 12.3, as ACLS numeradas precisavam ser removidas e depois re-configuradas para se
remover uma linha da ACL. A partir do lOS 12.3, voc tambm pode usar o modo de configurao ACL e nmeros
seqenciais para apagar uma linha da ACL de cada vez.
9. C. O currculo autorizado da Cisco sugere a resposta C para ACLs IP estendidas, sugerindo que as ACLs padro
sejam colocadas o mais prximo possvel do destino.
10. C. ACLs dinmicas exigem que o usurio faa telnet no roteador e se autentique usando um nome de usurio e
senha, o que faz ento com que o roteador aceite pacotes enviados pelo host.
458 Apndice A: Respostas para os questionrios "Eu j conheo isto?"
Captulo 8
1. A e B
2. D eF
3. CeD
4. B,C,DeE
5. B. Protocolos vetor distncia se baseiam em atualizaes peridicas completas de roteamento de seus vizinhos .
para confIrmar que o vizinho ainda est funcionando.
6. D. O split horizon faz com que um roteador no anuncie rotas por uma interface se a rota fIzer com que os pacotes _
sejam enviados pela mesma interface.
7. D. Envenenamento de rota (route poisoning) signifIca anunciar a rota em falha com uma mtrica "infInita", em _
oposio simplesmente parar de anunciar a rota. Poison reverse o envenenamento de rota atravs do anncio
de uma rota que no estava sendo anunciada previamente por causa do split horizon.
8. A. O roteador no deveria enviar imediatamente uma atualizao completa. Em vez disso, os protocolos vetor .distncia enviam imediatamente uma atualizao parcial de roteamento, enviando apenas a rotas envenenada.
9. B. Protocolos link-state re-injetam cada LSA em um intervalo de tempo peridico, porm mais longo. Com RIP, o
temporizador para atualizao de 30 segundos, e com OSPF, o temporizador de 30 minutos.
1O.B. Protocolos link-state renem informaes sobre a interconexo de rede na forma de LSAs, que permanecem na
memria na base de dados do link-state. O roteador ento executa o algoritmo SPF para calcular a rota com a
melhor mtrica deste roteador para alcanar cada sub-rede.
Captulo 9
1. A. O OSPF calcula a mtrica baseado no custo associado a cada interface. O OSPF, por default, calcula o custo da
interface baseado na confIgurao de largura de banda.
2. A e D. O OSPF usa o algoritmo SPF, criado por um matemtico chamado Dijkstra.

3. A e D. Os roteadores devem usar o mesmo tipo de autenticao e, neste caso, a mesma chave para autenticao.
Alm disso, o nmero da sub-rede e a faixa de endereos, conforme calculado a partir dos endereos IP e mscaras
da interface, devem estar na mesma sub-rede.
4. B. Roteadores OSPF vizinhos que completam a troca de base de dados so considerados totalmente adjacentes e
permanecem no estado de vizinho Full.
5. De E. O DR eleito baseado na maior prioridade OSPF. Se houver empate, ser baseado no maior RIO OSPF. No
entanto, depois que o DR eleito, o papel de DR no pode ser tomado por um roteador melhor at que o DR e o
BDR tenham perdido a conexo com a sub-rede. O DR tenta fIcar totalmente adjacente a todos os outros roteadores
da sub-rede como parte do processo otimizado de troca de base de dados.
6. B. O comando network 10.0.0.0 0.255.255.255 area O funciona porque casa todas as interfaces cujo primeiro
octeto 10. O comando network 10.0.0.1 0.255.255.0 area O usa uma lgica de combinao que casa todas as
interfaces cujo primeiro octeto 10 e o ltimo octeto 1, o qual casa todos os trs endereos IP de interface. No
entanto, a mscara curinga nos comandos network do OSPF podem ter apenas uma string de 1s binrios consecutivos, _
com todos os demais dgitos sendo Os binrios, e esta mscara curinga quebra esta regra.
7. A. O comando network 0.0.0.0 255.255.255.255 area O casa todos, os endereos IP como resultado da mscara
curinga 255.255.255.255, portanto este comando habilita OSPF na Area O em todas as interfaces. A resposta com
a mscara curinga 0.255.255.0 ilegal porque representa mais de uma string de Os binrios separada por 1s
binrios. A resposta com x's est sintaticamente incorreta. A resposta com mscara curinga 255.0.0.0 signifIca
"Case todos os endereos cujos 3 ltimos octetos sejam 0.0.0", portanto nenhuma das trs interfaces casada.
CCNA ICND2
459
8. A, B e E
9. B e D. Para que o estado de vizinho de R3 no roteador R2 seja Full, R2 e R3 devem ter passado pelo processo de
autenticao, conforme exigido pela configurao de R2. A chave para autenticao deve estar configurada com o
subcomando de interface ip ospf authentication message-digest-key. No entanto, o tipo de autenticao no
precisa ser configurado com o subcomando de interface ip ospf authentication message-digest-key. RI est
em um estado Init por causa de um dentre diversos problemas que podem ocorrer, e que impedem vizinhos de se
comunicar, portanto no se pode determinar se o problema de RI um problema de autenticao.
1O.D. O subcomando de roteador do OSPF maximum-paths number configura a quantidade de rotas de custos
iguais adicionadas na tabela de roteamento. Este comando possui uma configurao default de 4.
Captulo 10
1. A e B
2. D
3. B. O FD (Feasible Distance) a mtrica para a melhor rota, para todas as rotas conhecidas para se alcanar uma
sub-rede. A melhor rota chamada de rota para sucessor, e ela adicionada na tabela de roteamento IP.
4. C. O RD (reported distance) de uma rota a mtrica usada pelo vizinho que anunciou a rota. Um roteador a usa
para determinar quais rotas atendem condio de viabilidade pela qual a rota pode ser uma rota para sucessor
possvel.
5. A e C. O comando network do EIGRP suporta como parmetro uma rede classful, habilitando o EIGRP em todas
as interfaces desta rede classful, ou um endereo e uma mscara curinga. No ltimo caso, os endereos IP de
interface que casam com o endereo configurado, quando a lgica do tipo ACL aplicada com a mscara curinga,
so os endereos identificados pelo comando.
6. C e D. O comando network 10.0.0.2 0.0.0.0 do EIGRP identifica exatamente a interface com o endereo
10.0.0.2 por causa da mscara curinga, habilitando o EIGP nesta interface. O valor de ASN do EIGRP deve ser o
mesmo em ambos os roteadores. O comando network 10 est sintaticamente incorreto; toda a rede classful deve
ser configurada.
7.
c. O primeiro nmero entre parnteses a mtrica calculada para a rota, e o segundo nmero o RD (reported
distance) da rota. A rota atravs de 10.1.6.3 a rota para sucessor, portanto no uma rota para sucessor possvel.
Para as outras duas rotas, apenas o RD da terceira rota menor ou igual ao FD (jeasible distance, ou a mtrica
da rota para sucessor).
8. B e D. A chave MD5 deve ser configurada. Ela no configurada atravs de um sub comando de interface, mas
como parte de uma cadeia de chaves. O tempo de vida til de uma chave pode ser configurado, mas no
obrigatrio.
9. F
Captulo 12
1. C. Das respostas possveis, apenas PAP e CHAP so protocolos de autenticao do PPP. O PAP envia a senha na
forma de texto claro entre os dois dispositivos.
2. C. O LCP (Link Control Protocol, ou Protocolo de Controle de Enlace) do PPP controla as funes que se
aplicam ao enlace, no importando o protocolo de Camada 3, incluindo a deteco de link em loop, monitoramento
da qualidade da linha e autenticao.
3. A e D. Ambos os roteadores precisam de um comando encapsulation ppp, e ambos tambm precisaro de
endereos IP antes que o ping possa funcionar. RI no precisa de um comando clock rate porque R2 est
conectado ao cabo DCE.
4. D. O comando username em um roteador deve se referir ao nome do host do outro roteador, diferenciando letras
maisculas de minsculas.

5. B e D. A sada mostra encapsulamento PPP, o que significa que a interface est configurada para usar PPP. Os
estados da linha e do protocolo esto ambos up, o LCP est aberto, e tanto o CDPCP quanto o IPCP esto abertos,
o que significa que os pacotes IP e CDP podem ser enviados atravs do enlace.
6. C e D. Problemas da camada fsica tipicamente resultam no valor de estado da linha (primeiro cdigo de estado) de
"down" . O endereo IP de um roteador remoto em uma sub-rede diferente no impediria uma interface configurada
com PPP de atingir o estado de protocolo (segundo estado da linha) "up" . Se a outra extremidade do enlace foi
configurada erroneamente para usar HDLC, ou se foi configurada para PPP, mas a autenticao CHAP falhou, a
interface poderia estar em um estado "up and down", como mostrado.
7. B. Com PPP, dois roteadores podem usar endereos IP em sub-redes diferentes em extremidades opostas de
enlaces, e um ping para o endereo IP serial do outro roteador funcionaria. No entanto, esta diferena na sub-rede
faz com que os protocolos de roteamento falhem quando esto formando relaes de vizinhana para efetuar troca
de rotas, de modo que nenhum dos roteadores aprender rotas EIGRP um do outro.
Captulo 13
1. C. o LMI administra o enlace entre o DTE e o switch, incluindo perceber quando um circuito virtual (VC) ativado
ou desativado.
2. A e D. O DTE fica tipicamente do lado do cliente, e o DCE no site do provedor de servios. Os switches Frame
Relay enviam mensagens LMI aos DTEs (tipicamente roteadores) para sinalizar o estado do Vc. Um frame
Frame Relay no possui um DLCI origem e destino, mas somente um nico campo DLCI.
3. A
4. C. O DLCI enderea um VC, no um roteador. O valor de DLCI no frame, medida que o mesmo atravessa o
enlace local, representa o VC no enlace. Pelo fato da pergunta se referir a um frame atravessando o link de acesso
conectado a RI , 222 o DLCI local em RI que identifica o Vc.
5. B e C. Os DLCls globais representam o DLCI que os outros roteadores usam quando esto enviando frames
atravs de seus links de acesso local. Portanto, quando RI envia um frame para R2, quando o frame atravessa o
link de acesso de R2, a rede altera o DLCI para o DLCI global de RI , 101. De modo similar, quando R3 envia um
frame para RI , enquanto o frame atravessa o link de acesso de R3, o frame possui o DLCI global de RI, 101.
6. A. Uma nica sub-rede pode ser usada em qualquer topologia Frame Relay, mas com uma rede totalmente em
malha, uma nica sub-rede pode ser usada sem nenhum problema relacionado aos protocolos de roteamento.
7. D. BarneyCo possui um total de dez VCs. Com todas elas configuradas em subinterfaces ponto-a-ponto, voc
precisa de dez sub-redes porque voc precisa de uma sub-rede por Vc.
8. A. O frame que passou por congestionamento estava indo de RI para R2, portanto o frame com o o bit BECN
(Backward (direo oposta) Explicit Congestion Notification) ligado seria o que vai na direo oposta, de R2
para RI.
Captulo 14
1. C. Os termos corretos so ansi e q933. No entanto, os roteadores detectam automaticamente o tipo de LMI por
default, portanto no configurar o LMI tambm funcionaria.
2. C, D e E. O tipo de LMI percebido automaticamente, por default. O ARP Inverso est ativado, por default
tambm, o que significa que ele no precisa ser habilitado atravs do comando frame-relay inverse-arp, e nenhum
comando para mapeamento esttico precisa ser adicionado.
3. A e E. O endereo IP se move para a subinterface, portanto ele precisa ser removido da interface serial primeiro
(com o comando no ip address). O encapsulamento fica na interface fsica. O comando frame-relay interfacedlci deve ser usado na subinterface, para que o roteador saiba qual DLCI vai com cada subinterface - mesmo que
exista apenas um DLCI.
4. F. Voc consegue codificar somente um DLCI no comando frame-relay interface-dlci, e voc precisa de um para
cada VC sob a interface multiponto.
CCNAICND2
461
5. F
6. C e E. Up e down no so cdigos de estado para PVc. Inativo significa que o switch acha que um PVC definido
no est funcionando, e deletado significa que o DLCI no est definido no switch.
7. D. Para que uma subinterface Frame Relay esteja no estado up/up, a interface fsica na base deve estar no estado
up/up, e pelo menos um dos PVCs associados subinterface deve estar em um dos dois estados de funcionamento
do PVC (ativo ou esttico).
8. B e C. Para que uma interface fsica Frame Relay tenha um estado de linha "up", os mesmos recursos da camada
fsica usados em linhas privativas devem estar funcionando. Para se ter tambm um estado de protocolo "down",
ou est faltando o comando encapsulation frame-relay no roteador, ou o roteador e o switch no esto de acordo
com relao ao tipo de LMI.
Captulo 15
A. Extranet VPNs conectam sites em empresas diferentes, mas parceiras. VPNs de acesso fornecem acesso a
1. usurios individuais, tipicamente de casa ou enquanto esto viajando. O termo "enterprise VPN" no geralmente
usado para descrever um tipo de VPN.
2. C. Software anti-vrus uma funo de segurana importante, mas no uma funo disponibilizada pelo prprio
VPN.
3. A e C. Cabealhos ESP (Encapsulating Security Payload) suportam todas as quatro funes apresentadas nas
respostas, enquanto que AH (Authentication Header) suporta apenas autenticao e integridade de mensagem.
4. A. Dentre estas respostas, apenas DES (Data Encryption Standard, ou Padro de Criptografia de Dados), 3DES
(Triple DES, ou DES Triplo) e AES (Advanced Encryption Standard, ou Padro de Criptografia Avanada) so
ferramentas de criptografia que criptografam todo o pacote. AES fornece uma criptografia melhor e menos tempo
de processamento, dentre as trs opes.
5. A, D e E. Todos os dispositivos e softwares apresentados nas respostas podem ser usados para terminar tneis
VPN. No entanto, ASAs substituram os firewalls PIX e os concentradores VPN na linha de produtos da Cisco.
6. A e C. O cliente sempre usa o SSL (Secure Socket Layer) para se conectar ao servidor Web VPN, portanto todas
as comunicaes na Internet so criptografadas. Uma das principais vantagens do Web VPN que o cliente no
precisa ter nenhum software cliente, usando simplesmente as capacidades para SSL embutidas nos navegadores
web tpicos.
Captulo 16
1. F
2. D. O objetivo original do CDIR era permitir a sumarizao de mltiplas redes Classes A, B e C para reduzir o
tamanho das tabelas de roteamento da Internet. Dentre as respostas, apenas 200.1.0.0 255.255.0.0 resume diversas
redes.
3. B e E. A RFC 1918 identifica os nmeros das redes privadas. Ela inclui a rede Classe A 10.0.0.0, as redes Classe
B de 172.16.0.0 a 172.31.0.0, e as redes Classe C de 192.168.0.0 a 192.168.255.0.
4. C. com o NAT esttico, as entradas so configuradas estaticamente. Pelo fato da pergunta mencionar traduo
para endereos internos, o termo inside necessrio no comando.
5. A. Com NAT dinmico, as entradas so criadas como resultado do fluxo do primeiro pacote a partir da rede interna.
6. A. O parmetro list 1 se refere a uma ACL IP, que casa pacotes, identificando os endereos locais internos.
7. E. Quando os endereos locais internos esto sendo traduzidos, o endereo externo no traduzido, portanto o
endereo local externo no precisa ser identificado na configurao.
8. A e C. Est faltando o termo overload na configurao, no comando ip nat inside source e no subcomando de
interface ip nat outside na interface serial.

9. B. A ltima linha indica que o pool possui sete endereos, com todos os sete alocados, e o contador de perdas
prximo de 1000 - o que significa que quase 1000 novos fluxos foram rejeitados por causa de espao insuficiente
no pool do NAT.
Captulo 17
1. A. Um mtodo para atribuio de endereo IPv6 unicast global que a ICANN aloca grandes blocos de endereos
para os RIRs, os RIRs atribuem blocos menores de endereos aos ISPs, e os ISPs atribuem blocos ainda menores
de endereos a seus clientes.
2. D. Dentro de um quarteto, qualquer Ona frente pode ser omitido, e uma seqncia de 1 ou mais quartetos todos com
Os podem ser substitudos por dois pontos duplos (::). A resposta correta substitui a seqncia mais longa de 3
quartetos com Os, por::.
3. D. Endereos unicast globais comeam com 2000::/3 , o que significa que os 3 primeiros bits so idnticos aos do
valor em hexa 2000. De modo similar, endereos nicos locais casam com FDOO::/8, e endereos link locais casam
com FE80::/1O (valores que comeam com FE8, FE9, FEA e FEB hexa). Endereos IPv6 multicast comeam com
FFOO: :/8, o que significa que os primeiros 2 dgitos hexa so F.
4. A e C. O IPv6 suporta DHCP stateful, que funciona de modo similar ao protocolo DHCP do IPv4 para atribuir
dinamicamente o endereo IP completo. Autoconfigurao stateless tambm permite a atribuio, descobrindo o
prefixo a partir de algum roteador nas proximidades e calculando o ID da interface usando o formato EUI-64.
5. A e D. Autoconfigurao stateless somente ajuda um host a aprender e formar seu prprio endereo IP, mas no
ajuda o host a aprender o gateway default. RS stateless no um termo ou um recurso vlido. NDP (Neighbor
Discovery Protocol) usado para vrios propsitos, incluindo o mesmo que o do ARP no IPv4, e para aprender
parmetros de configurao, tal como o endereo IP do gateway default.
6. A e D. OSPFv3, RIPng, EIGRP para IPv6 e MP-BGP4, todos suportam IPv6.
7. C e E. A configuraao atribui explicitamente o endereo IP 3456::1. A interface tambm forma o ID da interface
EUI-64 (6444:44FF:FE44:4444), adicionando-o a FE80::/64, para formar o endereo IP link local.
8. E. A configurao do RIPng no usa o comando network; em vez disso, o comando ipv6 rip configurado na
interface, apresentando a mesma tag que a do comando ipv6 router rip, e o termo enable.
9. D. NAT-PT (Network Address Translation - Protocol Translation, ou Traduo de Endereo de Rede - Traduo
de Protocolo) faz tradues de IPv4 para IPv6, e vice-versa. Os dois mtodos de tunelamento permitem que hosts
IPv6 se comuniquem com outros hosts IPv6, enviando pacotes atravs de uma rede IPv4. Pilha dupla permite que
um host ou roteador suporte ambos os protocolos de modo concorrente.
CCNA ICND2
463
.,
------------------------ .
APNDICE B
: Tabela de converso de decimal para binrio
Este apndice disponibiliza uma referncia prtica para converso do formato decimal para binrio, para nmeros decimais
de O a 255. Fique vontade para se referenciar a esta tabela quando estiver treinando com qualquer um dos problemas
de diviso em sub-redes encontrados neste livro.
Embora este apndice seja til como uma ferramenta de referncia, observe que, se voc planeja converter valores de
decimal para binrio quando estiver resolvendo os vrios tipos de problemas de diviso em sub-redes dos exames, me vez
de usar os processos de atalho, que em grande parte evitam a matemtica binria, voc provavelmente vai querer
praticar a converso entre os dois formatos antes do exame. Para praticar, selecione qualquer valor decimal entre O e
255, converta-o para um binrio de 8 bits e depois use esta tabela para descobrir se voc obteve a resposta correta. Alm
disso, selecione qualquer nmero binrio de 8 bits, converta-o para decimal e, novamente, use esta tabela para conferir
seu trabalho.
466 Apndice B: Tabela de converso de decimal para binrio

Valor Decimal Valor Binrio Valor Decimal
Valor Binrio Valor Decimal
Valor Binrio Valor Decimal Valor Binrio
32
001(XXXX)
64
01<XXXXX>
011(XXXX)
<XXXXXXll
33
OOHXXXH
65
01(xxxx)1
01100X>1
<XXXXX>1O
34
OOHXX110
<XXXXX>11
35
00100011
(XXXX)100
36
00100100
(xxxx)101
(XXXX)110
38
00100110
(xxxx)111
39
OOX>HXXl
0100X>1O
98
O1HXX110
67
0100X>11
99
01100011
68
01000100
100
01100100
01000101
101
01100101
70
01000110
102
01100110
00100111
71
01000111
103
01100111
40
00101000
72
01001000
104
01101000
OOX>1001
41
00101001
73
01001001
lOS
01101001
10
OOX>101O
42
00101010
74
01001010
HX
01101010
11
OOX>1011
43
00101011
75
01001011
HJ]
01101011
12
OOX>1100
44
00101100
76
01001100
108
01101100
13
OOX>1101
45
00101101
77
01001101
100
01101101
14
OOX>111O
46
00101110
78
01001110
110
01101110
15
OOX>1111
47
00101111
79
01001111
111
01101111
16
000100X>
48
001100X>
010100X>
112
011100X>
17
00010001
49
00110001
81
01010001
113
01110001
18
00010010
50
00110010
82
01010010
114
01110010
19
00010011
51
00110011
83
01010011
115
01110011
00010100
52
00110100
84
01010100
116
01110100
21
00010101
53
00110101
85
01010101
117
01110101
22
00010110
54
00110110
86
01010110
118
01110110
23
00010111
55
00110111
87
01010111
119
01110111
00011000
56
00111000
88
01011000
120
01111000
25
00011001
57
00111001
89
01011001
121
01111001
26
00011010
58
00111010
01011010
122
01111010
00011011
59
00111011
91
01011011
123
01111011
28
00011100
00111100
92
01011100
124
01111100
31
00100101
00011101
61
00111101
93
01011101
125
01111101
00011110
62
00111110
94
01011110
126
01111110
00011111
63
00111111
95
01011111
IV
01111111
.1
CCNA ICND2
467
Valor Decimal Valor Binrio Valor Decimal
Valor Binrio Valor Decimal
Valor Binrio Valor Decimal Valor Binrio
128
1<XXXXro
lro
101<Xm>
192
110CXXXX>
224
111<Xm>
129
10CXXXX>1
161
10 HXXXn
193
11<Xm>1
225
11HXXxn
----------------------------------------------------------------------------
41
-1~---------I-<Xm>---10-----I-&---------10-1-~--10-----I~----------11-00c0--I-0----~----------11-1~--1-0---
131
4t
132
l00c0l00
164
10100100
196
11~100
228
11100100
-13-3--------1-00c0--I-01-----1-~---------10-1-00-1-01-----1~----------11-~--10-1----~----------11-100--10-1---
-1~---------I-00c0---I1-0-----1~----------10-1-00-1-10-----19-8---------1-1~--1-1-0----~----------11-1-00-1-10----
tt
_13_5________1_00c0
___
l1_1_____16_~_________10_1_00_1_11_____1~
__________I_1~
__1_1_1____n_l_________11_1_00_1_11____
1<Xm>11
163
101~11
195
1100c011
111~11
.. _1~
_________I_~
__
I~
______I_~_________10_1_01_~
______
XO
__________
ll_00_1_~
_____n_2_________
11_10_1_~
____
137
1~1001
169
10101001
201
11001001
n3
11101001
---------------------------------------------------------------------------138
1~101O
170
10101010
202
11001010
~
11101010
----------------------------------------------------------------------~----
139
1~1011
171
10101011
203
11001011
n5
11101011
---------------------------------------------------------------------------140
1~1100
172
10101100
204
11001100
~
11101100
141
1~1101
173
10101101
205
11001101
237
11101101
142
1~111O
174
10101110
2(X)
11001110
n8
11101110
143
175
10101111
2fJ7
11001111
n9
11101111
1~1111
~ -IM---------l-00-100c0-------l-~---------10-1-100c0-------208----------11-01-00c0------~----------II-II-00c0-----
4t
_14_5________1_00_1_~
__I _____1n
__________l0_l_1~
__I_____~
__________1_10_1_~
__
1____~_1_________11_1_1~
__1____
146
10010010
178
10110010
210
11010010
~2
11110010
---------------------------------------------------------------------------147
10010011
179
10110011
211
11010011
~3
11110011
---------------------------------------------------------------------------148
10010100
180
10110100
212
11010100
~
11110100
---------------------------------------------------------------------------149
10010101
181
10110101
213
11010101
~5
11110101
-1~---------1-00-10-1-10-----1-~---------10-1-10-1-10-----21-4---------11-01-0-11-0----~----------11-11-0-11-0---
151
10010111
183
10110111
215
11010111
~7
11110111
152
l0011~
184
10111~
216
11011~
11111~
153
10011001
185
10111001
217
11011001
-1~---------1-00-1-10-1-0-----1~----------10-1-1-10-10-----2-18---------1-10-1-10-1-0----~----------11-1-11-0-10----
_15_5________1_00_1_10_1_1_____1~
__________10_1_1_10_11_____2_19_________1_10_1_10_1_1____~_1_________11_1_11_0_11____
156
10011100
188
10111100
220
11011100
~9
~2
11111001
11111100
---------------------------------------------------------------------------157
10011101
189
10111101
221
11011101
~3
11111101
---------------------------------------------------------------------------158
10011110
1~
10111110
222
11011110
~
11111110
---------------------------------------------------------------------------159
10011111
191
10111111
223
11011111
~5
11111111
-------------------------------------------------------------
-----------------------
:1
APENDICE
: Atualizaes no exame ICND2: Verso 1.0
I.
Ao longo do tempo, o retorno dos leitores permite que a Cisco Press tenha uma medida de quais tpicos oferecem
maiores problemas aos nossos leitores ao fazerem os exames. Alm disso, a Cisco pode fazer pequenas alteraes na
abrangncia dos tpicos do exame ou na nfase de determinados tpicos. Para dar assistncia aos leitores sobre estes
tpicos, o autor cria novos materiais esclarecendo e expandindo o conhecimento a respeito dos tpicos do exame que so
mais problemticos. Como mencionado na introduo, o contedo adicional a respeito do exame est em um documento
PDP no website da editora deste livro em http://www.ciscopress.com. O documento que voc est vendo a Verso 1.0
deste apndice.
Este apndice apresenta todas as informaes sobre atualizao mais recentes por ocasio da publicao deste livro.
Para garantir que est com a ltima verso deste documento, voc deve certificar-se de visitar o website da editora para
ver se foram disponibilizadas verses mais recentes desde que este livro foi impresso.
Este apndice tenta preencher o vazio deixado por qualquer livro impresso. Em particular, este apndice faz o seguinte:
- Menciona itens tcnicos que podem no ter sido mencionados em outro lugar do livro
- Cobre novos tpicos quando a Cisco adiciona tpicos aos modelos dos exames ICND2 e CCNA
- Disponibiliza uma maneira de obter informaes as mais recentes possveis sobre o contedo do exame
Sempre obtenha o mais recente a partir do website da editora
Voc est lendo a verso deste apndice que estava disponvel quando seu livro foi impresso. No entanto, dado que o
objetivo principal deste apndice o de ser um documento vivo, que se altera, muito importante que voc procure pela
verso on-line mais recente no website da editora. Para fazer isso:
1. V at http://www.ciscopress.comltitle/15872018lx.
2. Selecione a opo Downloads na caixa More Information.
3. Baixe o documento "ICND2 Appendix C" (ICND2 Apndice C) mais recente.
NOTA Observe que o documento baixado possui um nmero de verso. Se a verso do PDF
no website for a mesma que a do apndice de seu livro, seu livro contm a verso mais recente,
e no h necessidade de se baixar ou usar a verso on-line.
Contedo tcnico
A verso corrente deste apndice no cobre nenhum assunto tcnico adicional. Este apndice est aqui simplesmente
para disponibilizar instrues para voc verificar se existe uma verso on-line mais recente deste apndice.
------------------------
GLOSSRIO
ABR Area Border Router, ou Roteador de Limite de rea. Um roteador usando OSPF, onde o roteador possui
interfaces em vrias reas OSPF.
ACL Access controllist, ou lista de controle de acesso. Uma lista configurada em um roteador para controlar o fluxo
de pacotes atravs do roteador, como, por exemplo, para impedir que pacotes com um determinado endereo IP saiam
por uma determinada interface do roteador.
ACL dinmica Um tipo de ACL que vai alm das ACLs IP tradicionais para permitir dinamicamente o trfego de um
host se o usurio do host se conectar primeiro ao roteador via Telnet e passar por um processo de autenticao.
ACL reflexiva Um tipo de ACL que vai alm das ACLs IP tradicionais para monitorar a adio de novas sesses de
usurios. O roteador reage para adicionar uma entrada ACL que casa os endereos IP desta sesso e os nmeros de
porta TCP ou UDP.
algoritmo Dijkstra SPF (Shortest Path First) O nome do algoritmo usado pelos protocolos de roteamento link-state
para analisar o LSDB e encontrar as rotas de menor custo para cada sub-rede a partir deste roteador.
AND booleano
Uma operao matemtica executada em um par de nmeros binrios de um dgito. O resultado

outro nmero binrio de um dgito. 1 AND 1 resulta em 1; todas as demais combinaes resultam em O.
anncios link-state (LSA) No OSPF, o nome da estrutura de dados que fica dentro do LSDB e descreve em detalhes
os diversos componentes de uma rede, incluindo roteadores e enlaces (sub-redes).
aprender Bridges transparentes e switches aprendem endereos MAC analisando os endereos MAC de origem dos
frames que recebem. Eles adicionam cada endereo MAC novo, juntamente com o nmero de porta, da porta na qual
aprenderam o endereo MAC, a uma tabela de endereos.
AR Access Rate, ou Taxa de Acesso. No Frame Relay, a velocidade com a qual os bits so enviados atravs de um link
de acesso.
Area Border Router
Veja ABR.
ARP
Address Resolution Protocol, ou Protocolo de Resoluo de Endereo. Um protocolo de Internet usado para
mapear um endereo IP a um endereo MAC. Definido na RFC 826.
ARP Inverso Um protocolo do Frame Relay com o qual um roteador anuncia seu endereo de Camada 3 atravs de
um VC, fornecendo assim ao vizinho informaes teis sobre mapeamento de Camada 3 para Camada 2.
ASBR Autonomous System Border Router, ou Roteador de Limite de Sistema Autnomo. Um roteador usando OSPF
onde o roteador aprende rotas atravs de outra fonte, tipicamente atravs de outro protocolo de roteamento, trocando
rotas externas ao OSPF com o domnio OSPF.
assncrono
Descreve uma conveno para enviar dados com sinais digitais. O enviador e o receptor operam nas
mesmas velocidades, mas nenhuma tentativa feita no sentido do enviador e do receptor ajustarem suas velocidades
dinamicamente, baseados na velocidade do outro dispositivo.
atualizao completa
Nos protocolos de roteamento IP, o conceito geral de que a atualizao de um protocolo de

roteamento lista todas as rotas conhecidas. Veja tambm atualizao parcial.
atualizao link-state Um pacote do OSPF usado para enviar um LSA a um roteador vizinho.
atualizao parcial Nos protocolos de roteamento IP, o conceito genrico de que uma atualizao do protocolo de
roteamento lista um subconjunto de todas as rotas conhecidas. Veja tambm atualizao completa.
atualizao peridica Nos protocolos de roteamento, o conceito de que o protocolo de roteamento anuncia rotas em
uma atualizao de roteamento de modo peridico e regular. Isto tpico de protocolos de roteamento vetor distncia.
autoconfigurao stateless Um recurso do IPv6 no qual um host ou roteador podem ter um endereo IPv6 unicast
atribudo, sem a necessidade de um servidor DHCP stateful.
472
Glossrio
B
balanced hybrid Refere-se a um dos trs tipos genricos de algoritmos de protocolos de roteamento. Os outros dois
so vetor distncia e link-state. O EIGRP o nico protocolo de roteamento que a Cisco classifica como usando o
algoritmo balanced hybrid.
banco de dados da topologia Os dados estruturados que descrevem a topologia da rede a um protocolo de roteamento.
Protocolos de roteamento link-state e balanced hybrid usam tabelas de topologia a partir das quais eles constroem as
entradas da tabela de roteamento.
banco de dados de configurao da VLAN
switch Cisco.
O nome da configurao conjunta dos IDs e nomes de VLAN em um
Bc Commited burst. Um termo do Frame Relay que se refere quantidade de bits que podem ser enviados durante um
determinado intervalo de tempo. Isto ajuda a medir se/quando o DTE, na mdia, enviou mais dados que a velocidade
definida no contrato de trfego, atravs de um VC.
BECN Backward explicit congestion notification. O bit no cabealho do Frame Relay que implica que est ocorrendo
congestionamento na direo oposta (backward) ao frame. Os switches e os DTEs podem reagir diminuindo a taxa na
qual os dados so enviados nesta direo.
BPDU
Bridge protocol data unit. O nome genrico para mensagens do Spanning Tree Protocol.
BPDU Guard Um recurso do switch Cisco que fica escutando a chegada de mensagens BPDU do STP, desabilitando
a interface caso alguma seja recebida. O objetivo evitar loops quando um switch se conecta a uma porta onde se espera
que se tenha somente um host conectado a ela.
BRI Basic Rate Interface. Uma interface ISDN composta por dois canais de informaes e um canal de dados (D)
para comunicao circuit switching de voz, vdeo e dados.
Bridge ID (BID) Um identificador de 8 bytes para bridges e switches usado pelo STP e pelo RSTP. formado por um
campo de prioridade de 2 bytes, seguido por um campo de ID de Sistema de 6 bytes que geralmente preenchido com um
endereo MAC.
bridge protocol data unit
Veja BPDU.
bridge raiz Veja switch raiz.
c
CHAP Challenge Handshake Authentication Protocolo Um recurso relacionado segurana, definido pelo PPP, que
permite que uma das extremidades, ou ambas, de um enlace, autentique o outro dispositivo como sendo um dispositivo
autorizado.
chave compartilhada Uma referncia a uma chave de segurana cujo valor conhecido tanto pelo enviador quanto
pelo receptor.
chave privada Um valor secreto usado nos sistemas de criptografia de chave pblica/privada. Criptografa um valor
que pode ento ser descriptografado usando a chave pblica idntica, ou descriptografa um valor que foi previamente
criptografado com a chave pblica idntica.
chave pblica Um valor secreto usado nos sistemas de criptografia de chave pblica/privada. Criptografa um valor que
pode ento ser descriptografado usando a chave privada idntica, ou descriptografa um valor que foi previamente
criptografado com a chave privada idntica.
CIDR Uma ferramenta padronizada por RFC para atribuio de faixa de endereos IP globais. O CIDR reduz o
tamanho das tabelas de roteamento dos roteadores da Internet, ajudando a lidar com o crescimento rpido da Internet. O
termo classless se refere ao fato de que grupos resumidos de redes representam um grupo de endereos que no segue
as regras de agrupamento classful IPv4 (Classes A, B e C).
CIR Committed Information Rate, ou Taxa de Informao Comissionada. No Frame Relay e no ATM, a velocidade
mdia na qual os bits podem ser transferidos atravs de um circuito virtual, de acordo com o contrato de negcios entre
o cliente e o provedor de servios.
CCNA ICND2
473
circuit switching O sistema de comutao no qual deve existir um caminho atravs de um circuito fsico dedicado
entre o enviador e o receptor, durante a durao da "chamada". Usada com bastante freqncia na rede da companhia
telefnica.
circuito virtual permanente (PVC) Um caminho de comunicao pr-configurado entre dois DTEs Frame Relay,
identificado por um DLCI local em cada link de acesso Frame Relay, que oferece o equivalente funcional de um circuito
privativo, mas sem uma linha privativa fsica para cada VC.
classless interdomain routing (CIDR)
Veja CIDR.
cliente VPN Software que reside em um PC, geralmente em um laptop, de modo que o host possa implementar os
protocolos necessrios para ser uma extremidade de um VPN.
codificao As convenes a respeito de como um dispositivo varia os sinais eltricos ou pticos enviados atravs de
um cabo para indicar um determinado cdigo binrio. Por exemplo, um modem pode codificar um 1 ou Obinrio usando
uma freqncia que significa 1 e outra que significa O.
completamente adjacente No OSPF, uma caracterizao do estado de um vizinho na qual os dois vizinhos alcanaram
o estado Full.
condio de viabilidade No EIGRP, quando um roteador aprendeu diversas rotas para alcanar uma sub-rede, se a
mtrica da melhor rota for X, a condio de viabilidade a de que a distncia reportada de outra rota seja <= X.
contagem at o infinito Um infeliz efeito colateral dos protocolos de roteamento vetor distncia na qual os roteadores
aumentam lentamente a mtrica de uma rota em falha at que a mtrica atinja a definio finita de mtrica mxima
(chamada de infinito) deste protocolo de roteamento.
convergncia O tempo necessrio aos protocolos de roteamento para que reajam a mudanas na rede, removendo
rotas ruins e adicionando rotas novas e melhores, de modo que as melhores rotas no momento estejam em todas as
tabelas de roteamento dos roteadores.
CSUIDSU Channel service unit/data service unit. Um dispositivo que conecta um circuito fsico instalado pela
companhia telefnica a algum dispositivo CPE, fazendo adaptaes de voltagem, corrente, framing e conectores usados
no circuito, para a interface fsica suportada pelo DTE.
D
data-link connection identifier (DLCI)
Veja DLCI.
DCE Data communications equipment. Do ponto de vista da camada fsica, o dispositivo que fornece a taxa de c10ck
em um enlace WAN, tipicamente um CSUIDSU, o DCE. Do ponto de vista de packet-switching, o switch do provedor
de servios no qual o roteador deve estar conectado considerado o DCE.
DCE do Frame Relay
O switch Frame Relay.
DE Discard eligible. O bit no cabealho do Frame Relay que, caso seja necessrio descartar frames, indica a um
switch para escolher este frame para ser descartado, em vez de outro frame sem o bit DE ligado.
descrio de banco de dados Um tipo de pacote do OSPF que apresenta descries resumidas dos LSAs no LSDB
do OSPF.
DHCP stateful Um termo usado no IPv6 em oposio ao DHCP stateless. O DHCP stateful mantm o registro de
quais clientes tiveram quais endereos IPv6 atribudos (informaes de estado).
DHCP stateless Um termo usado no IPv6 em oposio ao DHCP stateful. Servidores DHCP stateless no concedem
endereos IPv6 a clientes. Em vez disso, eles fornecem outras informaes teis, tais como endereos IP de servidor
DNS, mas sem a necessidade de armazenar informaes sobre os clientes (informaes de estado).
Diffusing Update Algorithm (DUAL)
Veja DUAL.
distncia administrativa Nos roteadores Cisco, uma forma de um roteador escolher dentre diversas rotas para
alcanar a mesma sub-rede, quando estas rotas so aprendidas atravs de diferentes protocolos de roteamento. Quanto
menor a distncia administrativa, mais privilegiado ser o originador da informao sobre roteamento.
474
Glossrio
DLCI Data-Link Connection Identifier. O endereo Frame-Relay que identifica um VC em um determinado link de
acesso.
domnio de broadcast Um conjunto de todos os dispositivos que recebem frames de broadcast originados de qualquer
dispositivo do conjunto. Dispositivos na mesma VLAN esto no mesmo domnio de broadcast.
DTE Data terminal equipment. Do ponto de vista da Camada 1, o DTE sincroniza seu c10ck baseado no c10ck enviado
pelo DCE. Do ponto de vista de packet-switching, o DTE o dispositivo fora da rede do provedor de servios, tipicamente
um roteador.
DTE do Frame Relay O dispositivo do cliente conectado ao link de acesso Frame Relay, tipicamente um roteador.
DUAL Diffusing Update AIgorithm. Um algoritmo de convergncia usado no EIGRP quando uma rota falha e um
roteador no possui uma rota para sucessor possvel. O DUAL faz com que os roteadores enviem mensagens EIGRP de
Query e Reply para descobrir rotas alternativas livres de loop.
E
EGP (protocolo externo de porta de comunicao) Um protocolo de roteamento que foi criado para trocar informaes
sobre roteamento entre diferentes sistemas autnomos.
EIGRP
Enhanced Interior Gateway Routing Protocolo Uma verso avanada do IGRP desenvolvida pela Cisco.
Oferece propriedades superiores de convergncia e eficincia na operao, e combina as vantagens dos protocolos linkstate com as dos protocolos vetor distncia.
encaminhar Enviar um frame em direo a seu destino definitivo atravs de um dispositivo para interconexo de rede.
endereamento classful
Um conceito do endereamento IPv4 que define um endereo IP de sub-rede como tendo

trs partes: rede, sub-rede e host.
endereamento classless Um conceito do endereamento IPv4 que define um endereo IP de sub-rede como tendo
duas partes: um prefixo (ou sub-rede) e um host.
endereo de broadcast
Veja endereo de broadcast da sub-rede.
endereo de broadcast da sub-rede Um endereo especial em cada sub-rede - especificamente, o maior endereo
numrico da sub-rede - definido de modo que os pacotes enviados para este endereo devem ser entregues a todos os
hosts da sub-rede.
endereo de broadcast direcionado
O mesmo que endereo de broadcast da sub-rede.
endereo IP secundrio O segundo (ou subseqente) endereo IP configurado em uma interface de roteador, usando
o termo secondary no comando ip address.
endereo link local Um tipo de endereo IPv6 unicast que representa uma interface em um nico enlace de dados.
Pacotes enviados a um endereo link local atravessam apenas este enlace em particular, e nunca sero encaminhados a
outras sub-redes por um roteador. Usado para comunicaes que no precisam sair do enlace local, tais como para
descoberta de vizinhos.
endereo privativo Diversas redes Classes A, B e C que foram separadas para serem usadas dentro de organizaes
privadas. Estes endereos, conforme definidos pela RFC 1918, no podem ser encaminhados atravs da Internet.
endereo unicast global Um tipo de endereo IPv6 unicast que foi alocado a partir de uma faixa de endereos IPs
pblicos, globalmente nicos, conforme registrado pela ICANN, suas agncias membro e outros registradores ou ISPs.
endereo nico local Um tipo de endereo IPv6 unicast usado para substituir os endereos IPv4 privativos.
Estado de Aprendizado No STP, um estado de porta temporrio no qual a interface no encaminha frames , mas pode
comear a aprender endereos MAC dos frames recebidos na interface.
Estado de Bloqueio No STP 802.1d, um estado de porta no qual nenhum frame recebido processado, e o switch no
encaminha nenhum frame atravs da interface, com exceo de mensagens do STP.
Estado de Descarte Um estado de interface do RSTP no qual nenhum frame recebido processado, e o switch no
encaminha nenhum frame atravs da interface, com exceo das mensagens do RSTP.
CCNA ICND2
475
Estado de Encaminhamento Um estado de porta do STP e do RSTP no qual uma interface opera de forma irrestrita
no STP.
Estado de Escuta Um estado de porta STP temporrio que ocorre imediatamente quando uma interface em bloqueio
deve ir para o estado de Encaminhamento. O switch conta o tempo para expirar as entrada da tabela MAC durante este
estado. Ele tambm ignora os frames recebidos na interface, e no encaminha nenhum frame atravs da interface.
Estado Full No OSPF, um estado de vizinho que implica que os dois roteadores trocaram todo o contedo (completo)
de seus respectivos LSDBs.
estado two-way No OSPF, o estado de um vizinho que implica que o roteador trocou Hellos com o vizinho, e todos os
parmetros necessrios so idnticos.
EtherChannel Um recurso proprietrio da Cisco no qual at oito segmentos Ethernet paralelos entre dois dispositivos
iguais, todos usando a mesma velocidade, podem ser combinados para se comportarem como um nico enlace para
encaminhamento e lgica STP (Spanning Tree Protocol)o
feasible distance
No EIGRP, a mtrica da melhor rota para se alcanar uma sub-rede.
FECN Forward explicit congestion notification. O bit no cabealho do Frame Relay que avisa qualquer um que
estiver recebendo o frame (switches e DTEs) que est ocorrendo congestionamento na mesma direo do frame.
ftltro De modo geral, um processo ou um dispositivo que analisa trfego de rede em busca de certas caractersticas, tais
como endereo de origem, endereo de destino ou protocolo. Este processo determina se o trfego deve ser encaminhamento
ou descartado, baseado no critrio estabelecido.
forward delay Um temporizador do STP, com valor default de 15 segundos, usado para definir quanto tempo uma
interface permanece tanto no estado de Escuta quanto no estado de Aprendizado. Tambm chamado de temporizador
forward delay.
Frame Relay Um protocolo de enlace de dados de padro internacional que define a capacidade de criar um servio
frame-switched (packet-switched), permitindo que dispositivos DTE (tipicamente roteadores) enviem dados a vrios
outros dispositivos usando uma nica conexo fsica com o servio de Frame Relay.
framing As convenes a respeito de como a Camada 2 interpreta os bits enviados de acordo com a Camada 1 da OS!.
Por exemplo, depois que um sinal eltrico foi recebido e convertido para binrio, o framing identifica os campos com
informaes dentro dos dados.
FTP File Transfer Protocol, ou Protocolo para Transferncia de Arquivos. Um protocolo de aplicao, parte da pilha
de protocolo TCPIIP, usado para transferir arquivos entre ns da rede. O FTP est definido na RFC 959.
full duplex De modo geral, qualquer comunicao na qual dois dispositivos em comunicao podem enviar e receber
dados de modo concorrente. Especificamente para LANs Ethernet, a capacidade de ambos os dispositivos enviarem e
receberam ao mesmo tempo. Isto permitido quando existem apenas duas estaes em um domnio de coliso. O full
duplex habilitado desabilitando-se a lgica CSMAlCD de deteco de coliso.
global externo Um termo da NAT que se refere a um endereo IP usado por um host na parte externa (no confivel)
da rede, para os pacotes enquanto atravessam a parte externa da rede, geralmente a Internet global.
global interno Um termo da NAT que se refere ao endereo IP usado por um host dentro da parte confivel da rede,
mas em pacotes enquanto atravessam a parte global (no confivel) da rede.
HDLC High-Level Data-Link Control. Um protocolo de dados sncrono da camada de enlace, orientado a bit,
desenvolvido pela ISO (lnternational Organization for Standardization). Tendo originado do SDLC (synchronous
data-link control), o HDLC especifica um mtodo de encapsulamento de dados em enlaces seriais sncronos usando
caracteres de frame e checksums.
476
Glossrio
Helio (Mltiplas definies) 1) Um protocolo usado pelos roteadores OSPF para descobrir, estabelecer e manter
relaes de vizinhana. 2) Um protocolo usado pelos roteadores EIGRP para descobrir, estabelecer e manter relaes de
vizinhana. 3) No STP, refere-se ao nome da mensagem peridica originada na bridge raiz em um spanning tree.
Helio BPDU A mensagem STP e RSTP usada na maioria das comunicaes STP, apresentando o Bridge ID da raiz, o
Bridge ID do enviador e o custo do dispositivo enviador para se alcanar a raiz.
Helio inferior Quando se compara dois ou mais BPDUs HelIo recebidos, um Hello que apresenta o Bridge ID raiz
numericamente maior que outro HelIo, ou um HelIo que apresenta o mesmo Bridge ID raiz, mas com um custo maior.
holddown Um estado do protocolo Vetor Distncia atribudo a uma rota existente, onde os roteadores no anunciam a
rota, e nem aceitam anncios sobre ela por um determinado perodo de tempo (o temporizador de holddown). O holddown
usado para eliminar informaes ruins a respeito de uma rota, de todos os roteadores da rede. Uma rota tipicamente
colocada em holddown quando um enlace naquela rota falha.
IEEE 802.11
O padro baseado em IEEE para LANs sem fio.
IEEE 802.1ad O padro IEEE para o equivalente funcional do EtherChannel, proprietrio da Cisco.
IEEE 802.1d
O padro IEEE para o STP (Spanning Tree Protocol) original.
IEEE 802.1Q O padro IEEE para protocolo de trunking em VLAN. O 802.1Q inclui o conceito de uma VLAN nativa,
para a qual nenhum cabealho VLAN adicionado, e um cabealho VLAN de 4 bytes inserido aps o campo tipo/
comprimento do frame original.
IEEE 802.1s O padro IEEE para MIST (Multiple Instances oi Spanning Tree), que permite a distribuio da carga
de trfego entre VLANs diferentes.
IEEE 802.1 w O padro IEEE para uma verso melhorada de STP, chamada de Rapid STP, que aumenta a velocidade
da convergncia.
IEEE 802.3 O padro IEEE bsico para LANs do tipo Ethernet.
IGP (protocolo interno de porta de comunicao) Um protocolo de roteamento criado para ser usado para trocar
informaes sobre roteamento dentro de um nico sistema autnomo.
IGRP Interior Gateway Routing Protocolo Um IGP (Interior Gateway Protocol, ou Protocolo Interno de Porta de
Comunicao) antigo, no mais suportado, e desenvolvido pela Cisco.
infmito No contexto dos protocolos de roteamento IP, um valor de mtrica finito definido pelo protocolo de roteamento,
que usado para representar uma rota que no pode ser usada em uma atualizao do protocolo de roteamento.
Inter-Switch Link (ISL) O protocolo de trunking VLAN proprietrio da Cisco criado muitos anos antes do 802.1Q. O
ISL define um cabealho de 26 bytes que encapsula o frame Ethernet original.
intervalo Helio No OSPF e no EIGRP, um temporizador da interface que determina com que freqncia o roteador
deve enviar mensagens HelIo.
intervalo morto (dead interval) No OSPF, um temporizador usado para cada vizinho. Um roteador considera que o
vizinho est em falha se nenhum Hello for recebido deste vizinho dentro do intervalo de tempo definido pelo temporizador.
IP Control Protocol (IPCP) Um protocolo de controle definido como parte do PPP com o propsito de fazer a
inicializao e o controle do envio de pacotes IPv4 atravs de um enlace PPP.
IPsec O termo que se refere aos Protocolos de Segurana do IP (IP Security Protocols), que consiste em uma
arquitetura oferecendo servios de criptografia e de autenticao, tipicamente quando so criados servios VPN atravs
de uma rede IP.
ISDN Integrated Services Digital Network, ou Rede Digital de Servios Integrados. Um protocolo de comunicao
oferecido pelas companhias telefnicas que permite que a rede telefnica trafegue dados, voz e vdeo.
ISL Veja Inter-Switch Link.
CCNAICND2
477
isolamento de problema A parte do processo de resoluo de problemas na qual o engenheiro tenta descobrir as
causas possveis do problema, restringindo as causas possveis at que a causa-raiz do problema possa ser identificada.
K
keepalive Um recurso de vrios protocolos de enlace de dados no qual um roteador envia mensagens periodicamente
para permitir que o roteador vizinho saiba que o primeiro roteador continua vivo e funcionando.
L
LAN virtual (VLAN) Um grupo de dispositivos conectados a um ou mais switches que so agrupados em um nico
domnio de broadcast atravs de configurao. As VLANs permitem que os administradores de switch coloquem os
dispositivos conectados aos switches em VLANs separadas, sem exigir switches fsicos separados. Isto gera vantagens
de design para separar trfego sem o custo de comprar hardware adicional.
LAPF Link Access Procedure Frame Bearer Services. Define o cabealho e o trailer Frame Relay bsicos. O
cabealho inclui DLCI, e os bits FECN, BECN e DE.
linha privativa Uma linha de transmisso reservada pelas operadoras de comunicao para uso privado dos clientes.
Uma linha privativa um tipo de linha dedicada.
Link Control Protocol Um protocolo de controle definido como parte do PPP, com o objetivo de inicializar e manter
um enlace PPP.
link de acesso No Frame Relay, o enlace serial fsico que conecta um DTE do Frame Relay, geralmente um roteador,
com um switch Frame Relay. O link de acesso usa os mesmos padres de camada fsica que as linhas privativas pontoa-ponto.
link-state Uma classificao para o algoritmo base usado em alguns protocolos de roteamento. Protocolos link-state
constroem uma base de dados detalhada que apresenta enlaces (sub-redes) e seus estados (up, down), a partir dos quais
as melhores rotas podem ser calculadas.
lista de acesso estendida Uma lista de comandos globais de configurao access-list do lOS que pode casar
diversas partes de um pacote IP, incluindo o endereo IP de origem e de destino e portas TCP/UDP, para decidir quais
pacotes devem ser descartados e quais podem prosseguir atravs do roteador.
lista de acesso nomeada Uma ACL que identifica os diversos comandos em uma ACL nomeada, em vez de numerada.
lista de acesso padro Uma lista de comandos globais de configurao do lOS que pode identificar apenas o endereo
IP de origem do pacote, com o objetivo de decidir quais pacotes devem ser descartados e quais podem prosseguir atravs
do roteador.
LMI (Local Management Interface) Um protocolo Frame Relay usado entre um DTE (roteador) e um DCE (switch
Frame Relay). O LMI atua como se fosse um mecanismo de keepalive. A ausncia de mensagens LMI significa que o
outro dispositivo falhou. Ele tambm informa ao DTE a respeito da existncia de cada VC e DLCI, juntamente com seus
estados.
local externo Um termo do NAT que se refere a um endereo IP usado por um host na parte externa (no confivel)
da rede, para os pacotes enquanto atravessam a parte interna (confivel), ou local da rede.
local interno Um termo do NAT que se refere ao endereo IP usado por um host dentro da parte confivel da rede,
mas em pacotes enquanto atravessam a parte local (confivel) da rede.
LSA Veja anncios link-state.
LSDB (banco de dados link-state) No OSPF, a estrutura de dados em RAM de um roteador que armazena os
diversos LSAs, com o conjunto de LSAs representando a topologia completa da rede.
M
mapeamento Frame Relay As informaes que correlacionam, ou mapeiam, um DLCI Frame Relay com o endereo
de Camada 3 do DTE na outra extremidade do VC identificado pelo DLCI local.
478
Glossrio
mscara
Veja mscara de sub-rede.
mscara curinga A mscara usada nos comandos ACL do lOS da Cisco e nos comandos network do OSPF e EIGRP.
mscara de sub-rede Um nmero de 32 bits que descreve o formato de um endereo IP. Ele representa os bits de rede
e sub-rede combinados do endereo, com os valores dos bits da mscara em 1, e representa os bits do host no endereo,
com os bits da mscara em O.
mscara(mento) de sub-rede de extenso varivel
Veja VLSM.
MaxAge No STP, um temporizador que define quanto tempo um switch deve esperar quando no recebe mais Hellos
do switch raiz antes de entrar em ao para re-convergir a topologia STP. Tambm chamado de Temporizador MaxAge.
mtrica Uma medida numrica usada por um protocolo de roteamento para se determinar o quanto uma rota boa
quando comparada a outras rotas alternativas para se alcanar a mesma sub-rede.
MLP Multilink Point-to-Point Protocol. Um mtodo para dividir, recombinar e colocar frames em seqncia atravs
de mltiplos enlaces WAN ponto-a-ponto.
modo administrativo Veja modo administrativo do trunking.
modo administrativo do trunking A configurao de trunking configurada em uma interface do switch da Cisco,
conforme configurado atravs do comando switchport mode.
modo operacional do trunking O comportamento atual de uma interface do switch da Cisco para trunking VLAN.
modo VTP cliente Um dos trs modos VTP operacionais para um switch com o qual os switches aprendem os
nmeros e nomes das VLANs de outros switches, mas que no permite que o switch seja configurado diretamente com
informaes sobre VLAN.
modo VTP servidor Um dos trs conjuntos de caractersticas operacionais (modos) do VTP. Switches em modo
servidor podem configurar VLANs, informar outros switches a respeito de mudanas e aprender sobre mudanas na
VLAN a partir de outros switches.
modo VTP transparente Um dos trs conjuntos de caractersticas operacionais (modos) do VTP. Switches em modo
transparente podem configurar VLANs, mas no informam outros switches a respeito das mudanas, e no aprendem a
respeito de mudanas na VLAN a partir de outros switches.
MTU Maximum transmission unit. O tamanho mximo de pacote, em bytes, que uma determinada interface consegue
lidar.
N
NAT Network Address Translation, ou Traduo de Endereo de Rede. Um mecanismo para reduzir a necessidade de
endereos IPv4 globalmente nicos. O NAT permite que uma organizao com endereos que no so globalmente
nicos se conecte Internet, traduzindo estes endereos para o espao de endereamento que pode ser encaminhado
globalmente.
NAT-PT Um recurso do IPv6 no qual os pacotes so traduzidos de IPv4 para IPv6.

NBMA
Veja nonbroadcast multiaccess.
NDP (Neighbor Discovery Protocol) Um protocolo que parte do pacote de protocolo IPv6, usado para descobrir e
trocar informaes sobre dispositi vos na mesma sub-rede (vizinhos). De modo particular, ele substitui o protocolo ARP do
IPv4.
nonbroadcast multiaccess (NBMA) Uma caracterizao de um tipo de rede de Camada 2 na qual mais de dois
dispositivos se conectam rede, mas a rede no permite que frames de broadcast sejam enviados a todos os dispositivos
da rede.
notao CIDR Veja notao de prefixo.
notao de prefIXO Uma maneira resumida de se escrever uma mscara de sub-rede na qual o nmero de 1s binrios
na mscara simplesmente escrita em decimal. Por exemplo, /24 representa a mscara de sub-rede com 24 bits 1
binrios na mscara de sub-rede. O nmero de bits com valor binrio 1 na mscara considerado como sendo o prefixo.

. 0
CCNA ICND2
479
OSPF Open Shortest Path First. Um IGP link-state popular que usa uma base de dados link-state e o algoritmo SPF
(Shortest Path First) para calcular as melhores rotas para se alcanar cada sub-rede conhecida.
packet switching Um servio de WAN no qual cada dispositivo DTE se conecta companhia telefnica usando uma
nica linha fsica, com a possibilidade de ser capaz de encaminhar trfego para todos os demais sites conectados ao
mesmo servio. O switch da companhia telefnica toma a deciso de encaminhar baseado em um endereo presente no
cabealho do pacote.
Password Authentication Protocolo Um protocolo de autenticao PPP que permite que parceiros PPP se
PAP
autentiquem um ao outro.
parcialmente em malha Uma topologia de rede na qual mais do que dois dispositivos poderiam se comunicar fisicamente,
mas, por opo, apenas um subconjunto dos pares de dispositivos conectados rede pode se comunicar diretamente.
PAT
Veja Traduo de Endereo de Porta (Port Address Translation).
permitir (permit) Uma ao tomada por uma ACL que implica que o pacote tem permisso de prosseguir atravs do
roteador e ser encaminhado.
pilha dupla No 1Pv6, um modo de operao no qual um host ou um roteador executa tanto o IPv4 quanto o IPv6.
ping estendido Um comando do lOS no qual o comando ping aceita vrias outras opes alm do endereo IP de
destino somente.
poison reverse Um anncio de rota envenenada do vetor distncia para uma sub-rede que no seria anunciada por
causa das regras do split-horizon, mas que est sendo anunciada agora como uma rota envenenada.
porta (Mltiplas definies) 1) No TCP e no UDP, um nmero que usado para identificar unicamente o processo da
aplicao que enviou (porta origem) ou que deve receber (porta destino) dados. 2) Em LAN switching, outro termo para
interface com o switch.
porta alternativa No RSTP 802.1w, um papel de porta usado para indicar uma interface que est recebendo um
BPDU Hello inferior no momento, fazendo com que ela seja uma possvel substituta para a porta raiz. Tambm usada na
implementao de STP 802.1d da Cisco.
porta backup No RSTP 802.1w, um papel de porta usado quando vrias interfaces em um switch se conectam a um
nico domnio de coliso. Isto faz com que uma interface seja a DP (designated port, ou porta designada), e uma ou
mais alm desta fiquem disponveis para substituir a DP (papel de backup).
porta desativada No STP, um papel de porta para interfaces que no esto funcionando - em outras palavras,
interfaces que no esto em um estado de interface conectada ou up/up.
porta designada Tanto no STP quanto no RSTP, um papel de porta usado para determinar qual das vrias interfaces,
todas conectadas a um mesmo segmento ou domnio de coliso, deve encaminhar pacotes para o segmento. O switch que
anunciar o BPDU Hello com menor custo no segmento torna-se a DP.
porta raiz No STP, a porta de um switch que no raiz, na qual o Hello de menor custo recebido. Os switches
colocam as portas raiz no estado de Encaminhamento.
PortFast Um recurso de STP do switch no qual uma porta colocada no estado de Encaminhamento do STP assim que
a interface ativada, pulando os estados de Escuta e de Aprendizado. Este recurso destinado a portas conectadas a
dispositivos que so usurios finais.
PPP Point-to-Point Protocolo Um protocolo de enlace de dados que oferece conexes de roteador-para-roteador e de
host-para-rede atravs de circuitos sncronos e assncronos.
prefIxo de ISP No IPv6, o prefixo que descreve um bloco de endereos que foi atribudo a um ISP por algum
registrador da Internet.
480
Glossrio
prefIxo de registro No IPv6, o prefixo que descreve um bloco de endereos IPv6 pblicos, globalmente nicos,
atribudos a um RIR (Regional Internet Registry) pela ICANN.
prefIxo de site No IPv6, o prefixo que descreve um bloco de endereo IPv6 pblico, globalmente nico que foi
atribudo a uma organizao que um usurio final (por exemplo, uma Empresa ou agncia do governo). A atribuio
tipicamente feita por um ISP ou registrador da Internet.
prefIXo de sub-rede No IPv6, um termo para o prefixo atribudo a cada enlace de dados, atuando como uma sub-rede
do IPv4.
PRI Primary Rate Interface. Uma interface ISDN para taxa de acesso primrio. Taxa de acesso primrio consiste em
um nico canal D de 64-kbps mais 23 (TI) ou 30 (El) canais B para voz ou dados.
protocolo de roteamento Um conjunto de mensagens e processos com os quais os roteadores podem trocar informaes
a respeito de rotas para alcanar sub-redes em uma rede em particular. Exemplos de protocolos de roteamento incluem
EIGRP (Enhanced Interior Gateway Routing Protocol), OSPF (Open Shortest Path First) e RIP (Routing Information
Protocol)o
protocolo de roteamento classful Uma caractestica inerente ao protocolo de roteamento. De modo especfico, o
protocolo de roteamento no envia mscaras de sub-redes em suas atualizaes de roteamento. Isto exige que o protocolo
faa suposies a respeito de redes classful e faa com que o mesmo no seja capaz de suportar VLSM e sumarizao
manual de rotas.
protocolo de roteamento classless Uma caractestica inerente ao protocolo de roteamento. De modo especfico, o
protocolo de roteamento envia mscaras de sub-redes em suas atualizaes de roteamento, fazendo com que no seja
necessrio fazer nenhuma suposio a respeito dos endereos em uma sub-rede ou rede em particular. Isto permite que
o protocolo suporte VLSM e sumarizao manual de rotas.
protocolo roteado
IPv6.
Um protocolo de Camada 3 que defrne um pacote que pode ser encaminhado, tal como IPv4 e
protocolo rotevel
Veja protocolo roteado.
PVC Veja circuito virtual permanente.
R
RSTP (Rapid Spanning Tree Protocol) Definido pelo IEEE 802.1 w. Define uma verso melhorada do STP que
converge muito mais rapidamente e consistentemente que o STP (802.1d).
recusar (deny)
Uma ao tomada com uma ACL que implica que o pacote ser descartado.
rede classful Uma rede IPv4 Classe A, B ou C. So chamadas de redes classful porque estas redes so definidas pelas
regras para classe do endereamento IPv4.
rede contgua No IPv4, um design para interconexo de rede no qual os pacotes trocados entre duas sub-redes
quaisquer de uma nica rede classful passam apenas pelas sub-redes desta rede classful.
rede IP privada Um dentre os diversos nmeros de rede IPv4 classful que nunca sero atribudos para serem usados
na Internet, criados para serem usados dentro de uma nica empresa.
rede no-contgua No IPv4, um design para interconexo de rede no qual os pacotes trocados entre duas sub-redes de
uma nica rede classful devem passar atravs das sub-redes de outra rede classful.
rede privada virtual (VPN) Um conjunto de protocolos de segurana que, quando implementados por dois dispositivos
em cada extremidade de uma rede no segura, tal como a Internet, permite que os dispositivos enviem dados de forma
segura. Os VPNs fornecem privacidade, autenticao de dispositivos, servios anti-replay e servios relativos integridade
de dados.
reported distance Do ponto de vista de um roteador EIGRP, a mtrica para uma sub-rede, conforme calculada em um
roteador vizinho e reportada em uma atualizao de roteamento ao primeiro roteador.
RID (Router ID, ou ID do roteador) No OSPF, um nmero de 32 bits, escrito em decimal com pontos, que identifica
unicamente cada roteador.
'.
,.
CCNA ICND2
481
RIP Routing Information Protocolo Um IGP (Interior Gateway Protocol, ou Protocolo interno de porta de comunicao)
que usa a lgica de vetor distncia e contador de hop do roteador como mtrica. A verso 1 do RIP (RIP-l) se tornou
impopular. A verso 2 do RIP (RIP-2) disponibiliza mais recursos, incluindo suporte a VLSM.
RIR (Regional Internet Registry) O termo genrico para uma das cinco organizaes atuais responsveis pela
atribuio do espao de endereamento IPv4 e IPv6 pblicos, globalmente nicos.
rota avante Do ponto de vista de um host, a rota atravs da qual um pacote trafega, deste host para algum outro host.
rota de sumarizao Uma rota criada via comando de configurao para representar rotas para uma ou mais subredes atravs de uma nica rota, reduzindo assim, o tamanho da tabela de roteamento.
rota envenenada (poisoned route) Uma rota no anncio de um protocolo de roteamento que lista uma sub-rede com
um valor especial de mtrica, chamado de mtrica infinita, que define a rota como sendo uma rota em falha.
rota inversa Do ponto de vista de um host, para pacotes enviados de volta ao host a partir de outro host, a rota atravs
da qual o pacote trafega.
Roteador de Limite de Sistema Autnomo
Veja ASBR.
roteador designado No OSPF, em uma rede multi-acesso, o roteador que ganha uma eleio e sendo assim,
responsvel pela administrao de um processo serializado para troca de informaes sobre topologia OSPF entre todos
os roteadores conectados a esta rede.
roteador designado para backup Um roteador OSPF conectado a uma rede multi-acesso que monitora o funcionamento
do DR (designated router, ou roteador designado) e assume o trabalho do DR, se o DR falhar.
roteamento classful Uma variao do processo de encaminhamento (roteamento) do IPv4 que define o modo particular
com que uma rota default usada. A rota default usada somente se a rede classful na qual o endereo de destino do
pacote reside no estiver presente na tabela de roteamento do roteador.
roteamento classless Uma variao do processo de encaminhamento (roteamento) que define o modo particular com
que uma rota default usada. A rota default sempre usada para pacotes cujo endereo IP de destino no casa com
nenhuma outra rota.
RSTP Veja Rapid Spanning Tree Protocol.
S
Secure Sockets Layer (SSL) Um protocolo de segurana que est integrado nos navegadores webs comumente
usados, e que fornece servios de criptografia e autenticao entre o navegador e um website.
segmento (Mltiplas definies) 1) No TCP, um termo usado para descrever um cabealho TCP e seus dados encapsulados
(tambm chamado de L4PDU). 2) Tambm no TCP, o conjunto de bytes formados quando o TCP quebra uma grande
quantidade de dados recebidos da camada de aplicao em partes menores que cabem nos segmentos TCP. 3) No
Ethernet, ou um nico cabo Ethernet, ou um nico domnio de coliso (no importa quantos cabos estejam sendo usados).
sncrono A imposio de ordenao temporal em uma seqncia de bits. Na prtica, um dispositivo tenta usar a mesma
velocidade que outro dispositivo na outra extremidade de um enlace serial. No entanto, ao examinar as transies entre
estados de voltagem no enlace, o dispositivo consegue perceber pequenas variaes na velocidade em cada extremidade
e pode ajustar sua velocidade de acordo.
SLSM Static-length subnet mask, ou mscara de sub-rede de comprimento esttico. O uso da mesma mscara de
sub-rede para todas as sub-redes de uma nica rede Classe A, B ou C.
sobrecarga do NAT
Veja PAT (Port Address Translation, ou Traduo de Endereo de Porta).
solicitao link-state Um pacote do OSPF usado para pedir a um roteador vizinho que envie um determinado LSA.
split horizon Uma tcnica de roteamento do vetor distncia na qual as informaes sobre rotas so impedidas de sair
da interface do roteador atravs da qual a informao foi recebida. Atualizaes split-horizon so teis para evitar loops
no roteamento.
SSL Veja Secure Sockets Layer.
482
Glossrio
STP (Spanning Tree Protocol) Um protocolo definido pelo padro IEEE 802.Id. Permite que switches e bridges
criem uma LAN redundante, com o protocolo fazendo com que algumas portas bloqueiem o trfego dinamicamente, de
modo que a lgica de encaminhamento do switch/bridge no far com que os frames fiquem em loop indefinidamente na
LAN.
subinterface Uma das interfaces virtuais em uma nica interface fsica.
sub-rede Uma subdiviso de uma rede Classe A, B ou C, conforme configurado por um administrador de rede. Subredes permitem que uma nica rede Classe A, B ou C seja usada e ainda assim, permita um grande nmero de grupos de
endereos IP, conforme necessrio para um roteamento IP eficiente.
sub-rede de broadcast Quando uma rede Classe A, B ou C dividida, a sub-rede de cada rede classful na qual todos
os bits de sub-rede possuem um valor 1 binrio. O endereo de broadcast da sub-rede nesta sub-rede possui o mesmo
valor numrico que o endereo de broadcast para toda a rede, da rede classful.
sub-redes sobrepostas Uma condio de design (incorreta) de sub-rede IP, na qual uma faixa de endereo de subrede inclui endereos na faixa de outra sub-rede.
sub-rede zero Para toda rede IPv4 classful que dividida em sub-redes, a sub-rede cujo nmero de sub-rede possui
Os binrios em toda a parte referente sub-rede do nmero. Em decimal, a sub-rede O pode ser facilmente identificada
porque possui o mesmo nmero que o nmero da rede classful.
sucessor No EIGRP, a rota para alcanar uma sub-rede, que possui a melhor mtrica e deve ser colocada na tabela de
roteamento IP.
sucessor possvel
No EIGRP, uma rota que no a melhor rota (rota para sucessor), mas que pode ser usada de
imediato caso a melhor rota falhe, sem causar um loop. Tal rota atende condio de viabilidade.
sumarizao automtica Um recurso do protocolo de roteamento no qual um roteador que se conecta a mais de uma
rede classful anuncia rotas resumidas para cada rede classful inteira, quando envia atualizaes atravs das interfaces
conectadas a outras redes classful.
sumarizao de rota O processo de combinar mltiplas rotas em uma nica rota anunciada, com o objetivo de reduzir
o nmero de entradas nas tabelas de roteamento IP dos roteadores.
SVC Switched virtual circuito Um VC que configurado dinamicamente quando necessrio.

switch Um dispositivo de rede que ftltra, encaminha e injeta frames baseado em cada endereo de destino do frame. O
switch opera na camada de enlace de dados do modelo de referncia OSI (Open System Interconnection).
switch raiz No STP, o switch que ganha a eleio pelo fato de ter o menor Bridge ID e, como resultado, envia BPDUs
Hello peridicos (o default de 2 segundos).
T
tabela de vizinhos Para OSPF e EIGRP, uma lista de roteadores que alcanaram o status de vizinho.
taxa de acesso
Veja AR.
Taxa de Informao Comissionada (CIR)
Veja CIR
temporizador de atualizao O intervalo de tempo que regula a freqncia com que um protocolo de roteamento
envia sua prximas atualizaes de roteamento peridicas. Protocolos de roteamento vetor distncia enviam atualizaes
completas de roteamento a cada intervalo de atualizao.
temporizador de HeUo No STP, o intervalo de tempo no qual o switch raiz deve enviar BPDUs Hello.
TFTP Trivial File Transfer Protocolo Um protocolo de aplicao que permite que arquivos sejam transferidos de um
computador a outro atravs de uma rede, mas com apenas poucos recursos, fazendo com que o software exija pouco
espao para armazenamento.
tipo de protocolo Um campo no cabealho IP que identifica o tipo de cabealho que vem a seguir ao cabealho IP,
tipicamente um cabealho de Camada 4, tal como TCP ou UDP. As ACLs podem examinar o tipo do protocolo para
identificar pacotes com um determinado valor neste campo do cabealho.
CCNA ICND2
483
triggered update Um recurso do protocolo de roteamento no qual um protocolo de roteamento no espera pela
prxima atualizao peridica quando algo muda na rede, mas envia imediatamente uma atualizao no roteamento.
trunk Em campus com LAN, um segmento Ethernet no qual os dispositivos adicionam um cabealho VLAN que
identifica a VLAN na qual o frame existe.
trunking Tambm chamado de trunking VLAN. Um mtodo (que usa o protocolo ISL da Cisco ou o protocolo IEEE
802.1Q) para suportar mltiplas VLANs que possuem membros em mais de um switch.
Traduo de Endereo de Porta (PAT) Um recurso da NAT no qual um endereo IP Global Interno suporta mais de
65.000 conexes TCP e UDP concorrentes.
Troca de Chave Diffie-Hellman Um protocolo de troca de chaves no qual dois dispositivos podem trocar informaes
atravs de uma rede pblica. Combinado com alguns segredos previamente existentes, isto permite que os mesmos
calculem uma chave simtrica conhecida somente por eles.
var13ncia IGRP e EIGRP calculam suas mtricas, portanto as mtricas para rotas diferentes para a mesma sub-rede
raramente possuem o mesmo valor exato. O valor da varincia multiplicado pela menor mtrica quando existem vrias
rotas para a mesma sub-rede. Se o produto for maior que as mtricas das outras rotas, as rotas so consideradas como
tendo mtricas "iguais", permitindo que mltiplas rotas sejam adicionadas na tabela de roteamento.
VC Virtual circuit, ou circuito virtual. Um conceito lgico que representa o caminho pelo qual os frames trafegam entre
os DTEs. Os VCs so particularmente teis quando se compara o Frame Relay a circuitos fsicos privativos.
vetor distncia A lgica por detrs do comportamento de alguns protocolos de roteamento internos, tais como RIP e
IGRP. Algoritmos de roteamento vetor distncia fazem com que cada roteador envie sua tabela de roteamento completa
em cada atualizao, mas somente para seus vizinhos. Os algoritmos de roteamento vetor distncia podem ter tendncia
a ter loops no roteamento, mas so mais simples em termos de processamento que os algoritmos link-state. Tambm
chamado de algoritmo de roteamento Bellman-Ford.
vizinho Nos protocolos de roteamento, outro roteador com o qual um roteador decide trocar informaes sobre roteamento.
VLAN Veja LAN virtual.

vlan.dat O arquivo default usado para armazenar a base de dados da configurao de VLAN em um switch Cisco.
VLAN Trunking Protocol (VTP) Um protocolo de troca de mensagens proprietrio da Cisco usado entre switches
Cisco para transmitir informaes de configurao a respeito da existncia de VLANs, incluindo o ID da VLAN e o
nome da VLAN.
VLSM variable-length subnet mask(ing), ou mscara(mento) de sub-rede de comprimento varivel. A capacidade de
especificar uma mscara diferente de sub-rede para o mesmo nmero de rede Classe A, B ou C em sub-redes diferentes.
VLSM pode ajudar a otimizar o espao de endereamento disponvel.
VoIP Voice over IP, ou voz sobre IP. O transporte de trfego de voz dentro de pacotes IP atravs de uma rede IP.
VPN
VTP Veja VLAN Trunking Protocol.
Veja rede privada virtual (virtual private network).
VTP pruning A facilidade do VTP pela qual os switches selecionam dinamicamente as interfaces onde se impedem o
envio de frames em certas VLANs, quando os frames no precisam ir para todos os switches da rede.
W
web VPN Uma ferramenta oferecida pela Cisco na qual um usurio pode usar qualquer navegador web comum para se
conectar de forma segura usando SSL, a um servidor web VPN, que ento se conecta s aplicaes baseadas em web
da Empresa - aplicaes que podem ou no suportar SSL.
NDICE
: NMEROS
. A
802.1Q, trunking VLAN, 9 - 11

802.1 w. Veja RSTP (Rapid Spanning Tree Protocol)
B-C
Acesso, VPN, 381
ACL (Access Control Lists, ou Listas de Controle

de Acesso), 165
ACL baseada em tempo, 190
ACL dinmica, 191
ACL estendida, 173
casando nmeros de porta TCP/UDP, 188

ACL nomeada, configurando, 167
ACL numerada, configurando, 167
ACL padro, 168
BECN (Backward Error Congestion Notification) ,

nuvens Frame Relay, 347
BID (Bridge ID), STP, 49
bits DE (Discard Eligibility), nuvens Frame Relay, 348
BPDU (Bridge Protocol Data Units) 49

BPDU Guard, 56
broadcast storms, STP, 46
campo de Protocolo (PPP), 317
CCNA Prep Center, 449
CDP (Cisco Discovery Protocol), confirmao de
diagrama da rede (LAN switching), 88
ACL reflexiva, 188
cenrios de rede (preparao para o exame), 99
auto-avaliao, 165
configuraes PPP, 321
ACL (Access Control List, ou Lista de Controle de

Acesso) reflexiva, 188
agregao de rota, CIDR, 396
algoritmo Dijkstra SPF (Shortest Path First), protocolo
de roteamento link-state, 251
anncios de resumo (VTP), 17
anncios de subconjuntos (VTP), 14
CIDR (Classless lnterdomain Routing), NAT, 396

cdigos de hosts inatingveis (mensagens ICMP
Destination Unreachable), 198
cdigos de redes inatingveis (mensagens ICMP
cdigos para protocolos inatingveis (mensagens ICMP
AR (A ccess Rates, ou Taxas de Acesso), links de aceso,
comando debug ip nat 409
armazenando configuraes de VLAN, 347
comando debug ip ospf adj , 308
ARP (Address Resolution Protocol, ou Protocolo de

Resoluo de Endereo) 357
comando debug ip ospf hello, 309

comando debug ppp authentication, 327
ARP Inverso, mapeamento de endereo Frame Relay, 357
comando delay, 282
ARP Inverso, mapeamento de endereo Frame Relay, 358
comando eigrp router-id 283
ASA (Adaptive Security Appliances), VPN, 381
comando encapsulation, 131
ASN (Autonomous System Numbers) , 225
comando encapsulation frame-relay, 355
autenticao - 282
comando frame-relay interface-d1ci, 353
486 ndice
comando frame-relay lmi-type 356
comando show cdp, 88
comando frame-relay map 354
comando show cdp neighbors, 33
comando interface loopback, 265
comando show, 297
comando interface serial 0/0/0/1 point-to-point 118
comando show frame-relay map, 358
comando ip address, 129
comando show frame-relay pvc, 358
comando ip authentication key-chain eigrp, 287
comando show interfaces, 93
comando ip authentication mode eigrp, 287
comando show interfaces description, 90
comando ip default-network, rotas estticas default, 137
comando show interfaces faO/O, 290
comando ip hello-interval eigrp, 282
comando show interfaces FaO/13, 93
comando ip hold-time eigrp 282
comando show interfaces status, 90
comando ip mtu, 127
comando show interfaces switchport, 24
comando ip nat inside source list, 411
comando show interfaces trunk, 25
comando ip nat inside source list 1 interfaces serial O/O

overload, 411
comando ip nat inside source static, 411
comando ip nat pool, 407
comando ip ospf authentication, 251
comando ip ospf cost, 261
comando ip ospf dead-interval, 261, 266
comando ip ospfhello-interval, 261, 266
comando ip ospf network, 255
comando ip route, 133
comando ip subnet-zero, 130
comando ip summary-address, 155
comando ipv6 router rip, 437
comando maximum-paths, 261

comando mtu, 127
comando network, 250
comando no auto-summary, 146
comando show ip access-list, 207

comando show ip eigrp interface, 302
comando show ip eigrp interfaces, 283
comando show ip eigrp neighbor, 275
comando show ip eigrp neighbors, 283
comando show ip eigrp topology, 275
comando show ip interface brief, 301
comando show ip nat statistics, 406
comando show ip nat translations, 406
comando show ip ospf interface, 265
comando show ip ospf interface brief, 297
comando show ip ospf neighbor, 251
comando show ip protocols, 297
comando show ip route, 118
comando show ip route connected, 128
comando show ip route eigrp, 283
comando show ipv6 interface, 429
comando no ip subnet-zero, 118
comando show ipv6 interface brief, 437
comando no keepalive, 364
comando show mac address-table, 98
comando no shutdown, 28
comando show mac address-table dynamic, 112
comando passive-interface, 297
comando show mac address-table vlan 3, 112
comando ping, 117
comando show port-security, 94
comando router, 262
comando show port-security interface, 100
comando router eigrp, 274
comando show running-config, 6
comando router ospf, 250
comando show spanning-tree, 20
comando service password-encryption, 269
comando show spanning-tree vlan, 72
CCNA
DTE (Data Terminal Equipment) 384
comando show spanning-tree vlan 3 active, 108

comando show vlan, 25
comando show vlan brief, 6-7
comando show vtp password, 31
Echo Requests (lCMP), 196
comando show vtp status, 28
edges (RSTP), 57
comando shutdown, 90
comando spanning-tree vlan root primary, 68
comando spanning-tree vlan root secondary, 69
EGP (Exterior Gateway Protocols, ou Protocolos

externos de porta de comunicao), 225
EIGRP (Enhanced Interior Gateway Routing
Protocol), 226
comando static route, 153
endereamento privativo, NAT, 396
comando switchport access vlan, 18
endereos globais externos, NAT, 403
comando switchport mode, opes do, 22
endereos globais internos, NAT, 401
comando switchport trunk encapsulation dotlq, 99
endereos 1Pv6 multicast, 433
comando terminal monitor, 105
endereos IPv6 unicast, 429
comando traceroute, 195
endereos locais externos, NAT, 399
comando vtp domain, 32
endereos locais internos, NAT, 399
comando vtp mode, 32
endereos para mapeamento, Frame Relay, 400
comando vtp mode transparent, 32
enlaces (RSTP), 57
comando vtp pruning, 40
envenenamento de rota (route poisoning), 232
conexes virtuais. Veja VC (virtual circuits, ou circuitos

virtuais) 336
487
escalando OSPF, 258

Extranet, VPN, 382
configurando automaticamente endereos de host IPv6, 434
F
D
FD (Feasible Distance) , clculo de mtrica EIGRP, 278
deteco de enlace em loop, LCP, 318

deteco de erro, LCP, 319
DHCP (Dynamic Host Configuration Protocol, ou

Protocolo de Configurao Dinmica de Host) 427
ftltragem de pacotes. Veja ACL (Access Control Lists,

ou Listas de Controle de Acesso) 347
firewalls, PIX, 382

Frame Relay, 122
diagramas de rede, confirmando via CDP (LAN

switching), 88
distribuio de carga, OSPF, 265
diviso em sub-redes, 259

DKE (Dynamic Key Exchange, ou Troca Dinmica de
Chave), 384
DLCI (data-link connection identifiers), configuraes

de Frame Relay, 336
DNS (Domain Name System, ou Sistema de Nome
de Domnio), 126
DP (designated ports, ou portas designadas), 48
DR (Designated Routers, ou Roteadores Designados),
para troca de base de dados de topologia OSPF, 255
G-H-I
ICMP (Internet Control Message Protocol) 125
IEEE 802.1Q, trunking VLAN, 10
IGP (Interior Gateway Protocols, ou Protocolos

internos de porta de comunicao), 223
IKE (Internet Key Exchange, ou Troca de Chave da
Internet), 384
interfaces de acesso, 18
interfaces de trunk, 97
Intranet, VPN, 387
488 ndice
ISATAP (lntra-site Automatic Tunnel Addressing
Protocol), IPv6, 439
o
OSPF (Open Shortest Path First), 241
ISL (Inter-Switch Links) 6, 9-11
J-K-L
p
PAP (Password Authentication Protocol) 317
LAN switching, XLI

LCP (Link Control Protocol, ou Protocolo de
Controle de Enlace), 318
LMI (Local Management Interface), 336
LSA (Link-State Advertisements, ou anncios de linkstate), 241
PAT (Port Address Translation, ou Traduo de

Endereo de Porta), sobrecarregando NAT, 395
pilhas duplas (IPv4IIPv6), 438
planos de estudo, 447
poison reverse, loops em vetor distncia, 222
LSA (Link-State Advertisements, ou anncios de linkstate) de enlace, 241
PortFast, 55
LSA (Link-State Advertisements, ou anncios de linkstate) de roteador, 241
protocolos de roteamento, 233
PPP (Point-to-Point Protocol), 317
PVC (permanent virtual circuits, ou circuitos virtuais

permanentes), 336
PVRST+(Rapid Spanning Tree Plus por VLAN), 64
mapeamento de endereo, Frame Relay, 335
PVST+(Spanning Tree Plus por VLAN), 64
mapeamento esttico de endereos, mapeamento de

endereo no Frame Relay, 359
MCT (Manually Configured Tunnels, ou Tneis
Configurados Manualmente), IPv6, 439
Q-R
RA (Router Advertisements), endereos IPv6, 430
mensagens ICMP Destination Unreachable, 196

mensagens ICMP Redirect, resolvendo problemas de
roteamento IP, 198
RD (Reported Distance), clculo de mtrica EIGRP, 280
recurso Root Guard, segurana no STP, 57
MIST (Multiple Instances of Spanning Trees), 64

MST (Multiple Spanning Trees), 64
redes c1assful, 145

redes c1assful contguas, 159
redes no-contguas, 160
registro, 448
RP (root poris, ou portas raiz), STP, 48
NAT (Network AddressTtranslation, ou Traduo de

Endereo de Rede) 396
NAT Dinmica, 400
RSTP (Rapid Spanning Tree Protocol), 58

RTP (Reliable Transport Protocol), mensagens de
atualizao do EIGRP, 276
NAT Esttica, 398

NAT (Network Address Translation, ou Traduo de
Endereo de Rede) Esttica, 398
NAT-PT (Network Address Translation - Protocol
Translation, ou Traduo de Endereo de Rede - Traduo
de Protocolo), transies IPv4 e IPv6, 440
NDP (Neighbor Discovery Protocol), encontrando
roteadores IPv6 defaults, 429
s
SSH (Secure Shell), controle de acesso ACL, 105
SSL (Secure Socket Layer), VPN, 387
STA (Spanning Tree AIgorithm), 48
STP (Spanning Tree Protocol) 77

e T
CCNA
Telnet, 186
TLS (Transport Layer Security), 387
489
Traffic Shaping, 347

triggered update, loops em vetor distncia, 236
trunking (VLAN), 9
U-V
UDP (User Datagram Protocol), casando nmeros de

porta no ACL estendida, 402
VMPS, 18
VLSM (Variable-Length Subnet Masking, ou

Mscara de Sub-rede de Extenso Varivel), Veja
tambm sumarizao de rotas, 128
VMPS (VIAN Management Policy Server), 18
VPN (Virtual Private Networks, ou Redes Privadas
Virtuais), 379
VTP (VIAN Trunking Protocol), 7
W-X-Y-Z
WAN (Wide Area Networks, ou Redes de Longa

Distncia), PPP, 315
,.
I.
490
ndice
Impresso na Rotaplan Grfica e Editora LTDA

www.rotaplangrafica .com.br
Tel.: 21-2201 - 1444
I I
I I I I
CCNAICND2
CISCO .

Segunda Edio
Este guia de estudos lhe ajuda a

dominar todos os tpicos do exame
CC NA ICND2, incluindo:
LANs virtuais e Protocolo Spanning

Tree
Rotas estticas e conectadas
CCNA ICND 2 Guia Oficial de Certificao do Exame o melhor entre os guias de

estudo para exames da Cisco, concentrando-se especificamente nos objetivos do
exame CCNA ICND2. Esta edio, totalmente atualizada, apresenta revises
completas e uma experincia mais desafiadora e realista para a preparao para o
exame.
Wendell Odom, instrutor pleno e autor de best-sellers, compartilha dicas de
preparao para o exame e de como fazer as provas, ajudando-o a identificar reas de
pontos fracos e a melhorar seu conhecimento conceitual e suas habilidades prticas.
O material apresentado de forma concisa, concentrando-se em desenvolver seu
entendimento sobre os tpicos do exame e preparando voc para os inmeros
desafios apresentados pela prova.
VLSM e sumarizao de rotas

Listas de controle de acesso IP
Configurao do OSPF e EIGRP
WANs ponto-a-ponto
Frame Relay
.VPNs
Traduo de endereos de rede
.IPv6
Resoluo de problemas
Este volume faz parte da Srie Guia de

Certificao de Exames da Cisco
Press'll. Os livros desta srie fornecem
materais de preparao para exames
desenvolvidos oficialmente, os quais
oferecem avaliaes e revises
prticas para ajudar os candidatos nas
Certificaes de Carreira Cisco a
identificar seus pontos fracos, concentrar seus esforos de estudo e
maximizar sua confiana medida que
o dia do exame se aproxima.
Categoria: Cisco Press Certificao Cisco
Abrange: CCNA ICND2 Exame 640-816
CCNA ICND 2 Guia Oficial de Certificao do Exame apresenta uma rotina

organizada de preparao para o exame por meio do uso de tcnicas e elementos
comprovados. Questionrios do tipo "Eu j conheo isto?" abrem cada captulo e lhe
permitem decidir quanto tempo gastar em cada seo. As sees "Atividades de
Preparao para o Exame", ao fmal de cada captulo, ajudam-no a exercitar os
conceitos-chave que devem ser plenamente conhecidos e a aumentar sua velocidade
ao responder s questes, um obstculo dificil com o qual muitos candidatos se
deparam nos novos exames. Um captulo dedicado "Preparao Final" guia voc
atravs de ferramentas e recursos importantes para traar seu plano de estudo fmal.
Sees especiais, voltadas para a resoluo de problemas, ajudam-no a dominar os
complexos cenrios que tero de ser enfrentados no exame.
Bem conceituado pelo seu nivel de detalhamento, seus recursos de avaliao e suas
questes prticas desafiadoras, este livro lhe proporciona mais informaes
detalhadas e mais exerccios de prtica realista do que qualquer outro guia de estudos
da Cisco, possibilitando seu sucesso no exame j na primeira vez.
CCNA ICND 2 Guia Oficial de Certificao do Exame faz parte de um programa de

estudo recomendado, que inclui simulao e treinamento prtico da Cisco Learning
Partners e produtos autodidatas da Cisco Press. Para obter mais informaes sobre
treinamentos conduzidos por instrutores, aprendizado eletrnico e instrues
prticas oferecidas pela Cisco Learning Partners em todo o mundo, visite a pgina
www.cisco.comlgo/authorizedtraining.
te
LC.C.,).)~
~o,v"~
WendeU Odom, CCIE

. 1624, instrutor da Skyline Computer, onde
~~JJ rnlnistra cursos sobre preparao de laboratrio para o QoS, o CCNA e o
~~
CCIE. Odom tem trabalhado no campo de redes de computadores h 20 anos,
com:atividades em consultoria tcnica pr e ps-vendas, ensino e desenvolvimento
decursos.
w i1'~" ~ ,
ISBN 978-85-7608-188-3
1111111
978857
81883
'li
Este livro no possui ou acompanha CD-ROM

ou qualquer outra m/dia de armazenamento
ALTA BOOKS
J..,.,.
R... Vlv. CI.udlo, 211 RIo de J ....lro - RJ. CEP 20170.431

Te!: (21) 327~ Fu: 21 32n-1253
www.ltabooka.com.br ltal>c>c>bQloltabooka.com.br
ciscopress.com
,.

CCNA ICND2 - Guia Oficial de Certificação Do Exame

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CCNA ICND2 - Guia Oficial de Certificação Do Exame

Enviado por

Direitos autorais:

Formatos disponíveis

.

Wendell Odom, CCIEN 1624

Wendell Odom, CCIE N. 1624 ii

CC NA ICND2 Guia Oficial de Certificao do Exame, Segunda Edio

Rua Viva Cludio, 291 - Jacar

Sobre os revisores tcnicos

Parte I: LAN Switching

Parte 11: Roteamento IP

Parte 111: Configurao e resoluo de problemas relativos a protocolos de roteamento

8 Teoria dos protocolos de roteamento

Parte IV: Redes de longa distncia (WAN)

Parte V: Escalando o espao de endereamento IP

Parte VI: Preparao final

Parte VII: Apndices

Parte VII: (Disponvel no website da editora: www.altabooks.com.br)

Parte I: LAN Switching

Captulo 2 Protocolo Spanning Tree (Spanning Tree Protocol) .............................. 43

Tpicos fundamentais .................................................................................................................................................. 45

Captulo 3 Resolvendo Problemas de Lan Switching ............................................. 81

Tpicos fundamentais .................................................................................................................................................. 81

Parte 11: Roteamento IP

Captulo 4 Roteamento IP: rotas estticas e diretamente conectadas ................ 117

Captulo 5 VLSM e sumarizao de rotas ............................................................. 145

Captulo 6 Listas e controle de acesso IP ............................................................ 165

Captulo 7 Resolvendo problemas de roteamento IP .......................................... 195

Captulo 8 Teoria dos protocolos de roteamento .................................................. 221

Tpicos fundamentais ............................................................................................................................................... 223

Atividade de preparao para o exame ................................................................................................................... 244

Captulo 9 OSPF .................................................................................................... 249

Captulo 10 EIGRP ................................................................................................ 273

Tpicos fundamentais ................................................................................................................................................ 275

Captulo 11 Resolvendo problemas em protocolos de roteamento .................... 295

Parte IV: Redes de longa distncia (WANs)

Captulo 13 Conceitos de Frame Relay ................................................................ 333

Tpicos fundamentais ................................................................................................................................................ 335

Captulo 14 Configurao e resoluo de problemas de Frame Relay .............. . 351

Tpicos fundamentais ................................................................................................................................................ 353

Captulo 15 Redes privadas virtuais ...................................................................... 379

Parte V: Escalando o espao de endereamento IP

Tpicos fundamentais ................................................................................................................................................ 395

Captulo 17 IP verso 6 ......................................................................................... 415

Tpicos fundamentais ................................................................................................................................................ 417

Parte VI: Preparao Final

Parte VII: Apndices

Apndice B Tabela de converso de decimal para binrio ................................... 465

Icones usados neste livro

Conexo sem fio

Convenes de sintaxe de comandos

Barras verticais (I) separam elementos alternativos e mutuamente excludentes.

Formato dos exames CCNA

nos Exames CCNA?

Tpicos do exame ICND1

Descrever a operao das redes de dados

Descrever o propsito e as funes de vrios

Selecionar os componentes necessrios para

Utilizar os modelos OSI e TCPIIP e seus

CCNA ICND2 XXVII

Descrever aplicativos de rede comuns incluindo

Descrever o propsito e a operao bsica dos

Descrever o impacto de aplicativos (Voice

Interpretar diagramas de rede

Determinar o trajeto entre dois hosts dentro

Descrever os componentes necessrios para

Identificar e corrigir problemas de rede comuns