Escolar Documentos
Profissional Documentos
Cultura Documentos
CCNA ICND2 - Guia Oficial de Certificação Do Exame
CCNA ICND2 - Guia Oficial de Certificação Do Exame
',
: 1-1-1-1-1
. , CISCO w
CCNAICND2
Guia Oficial de Certificao do Exame
Segunda Edio
-/ O-omine os tpicos dos exames ICN02 640-816
e CCNA 640-802 com este guia oficial de estudos
-/ Teste seu conhecimento em diversas questes
-/ Revise conceitos-chave com a Preparao para o Exame
ciscopress.com
.'
I
'.
CCNAICND2
Guia Oficial de Certificao do Exame
Segunda Edio
Rio de Janeiro.2008
Authorized translation trom English Language edition, entitled CCNA ICND2 Official Exam Certification Guide, Second
Editon, by Wendell Odom, published by Cisco Systems, Inc. Copyright 2008 by Cisco Systems, Inc. Portuguese
Language edition published by Editora Alta Books, Copyright 2008 by Editora Alta Books.
Todos os direitos reservados e protegidos pela Lei 5988 de 14/12f73. Nenhuma parte deste livro, sem autorizao prvia
por escrito da editora, poder ser reproduzida ou transmitida sejam quais forem os meios empregados: eletrnico, mecnico,
fotogrfico, gravao ou quaisquer outros. Todo o esforo foi feito para fornecer a mais completa e adequada informao,
contudo a editora e o(s) autor(es) no assumem responsabilidade pelos resultados e usos da informao fornecida.
Recomendamos aos leitores testar a informao, bem como tomar todos os cu idados necessrios (como o backup),
antes da efetiva utilizao. Este livro no contm CD-ROM , disquete ou qualquer outra mdia.
Erratas e atualizaes: Sempre nos esforamos para entregar a voc, leitor, um livro livre de erros tcnicos ou de
contedo; porm, nem sempre isso conseguido, seja por motivo de alterao de software, interpretao ou mesmo
quando alguns deslizes constam na verso original de alguns livros que traduzimos. Sendo assim, criamos em nosso site,
www.altabooks.com.br. a seo Erratas, onde relataremos, com a devida correo, qualquer erro encontrado em nossos
livros.
Avisos e Renncia de Direitos: Este livro vendido como est, sem garantia de qualquer tipo, seja expressa ou
impl cita.
Marcas Registradas: Todos os termos mencionados e reconhecidos como Marca Registrada e/ou comercial so de
responsabilidade de seus proprietrios. A Editora informa no estar associada a nenhum produto e/ou fomecedor apresentado
no livro. No decorrer da obra, imagens, nomes de produtos e fabricantes podem ter sido utilizados, e desde j a Editora
informa que o uso apenas ilustrativo e/ou educativo, no visando ao lucro, favorecimento ou desmerecimento do produto/
fabricante.
Produo Editorial: Editora Alta Books
Coordenao Editorial: Fernanda Silveira
Traduo: Tibrio Novais e Lcia Kinoshita
Reviso: Carolina Menegassi
Reviso Tcnica: Miguel Molina
Diagramao: BJ Carvalho
Impresso no Brasil
O cdigo de propriedade intelectual de 1Q de Julho de 1992 probe expressamente o uso coletivo sem autorizao dos
detentores do direito autoral da obra, bem como a cpia ilegal do original. Esta prtica generalizada nos estabelecimentos
de ensino, provoca uma brutal baixa nas vendas dos livros a ponto de impossibilitar os autores de criarem novas obras.
'.
'.
Sobre o autor
Wendell Odom, CCIE No 6614, j atua na indstria de comunicao em rede desde 1981. Atualmente, ensina as
disciplinas de QoS, MPLS e CCNA para a Skyline Advanced Technology Services (http://www.skyline-ats.com).
Wendell tambm trabalha como engenheiro de rede, consultor, engenheiro de sistemas, instrutor e desenvolvedor
de cursos. autor de todas as edies anteriores do CCNA Guia de Certificao do Exame, bem como do Guia
de Cisco QoS Exam Certification Guide, Second Edition, Computer Networking First-Step, CCIE Routing
and Switching Official Exam Certification Guide, Second Edition, e CCNA Video Mentor, todos da Cisco
Press.
VI
Stephen Kalman instrutor em segurana de dados e autor (ou editor tcnico) de mais de 20 livros, cursos e
ttulos da CBT. Seu mais recente livro Web Security Field Guide, publicado pela Cisco Press. Alm dessas
responsabilidades, ele administra uma empresa de consultoria, a Esquire Micro Consultants, especializada na
avaliao e resoluo de problemas de segurana em rede. Kalman possui os certificados SSCP, CISSP, ISSMP,
CEH, CHFI, CCNA, CCSA (Checkpoint), A+, Network+, and Security+ e membro da Ordem dos Advogados do
Estado de Nova York.
VII
Dedicatrias
minha maravilhosa, amvel e dedicada esposa. Muito obrigado por todo seu apoio, incentivo, amor e respeito.
VIII
Agradecimentos
A equipe que ajudou a produzir este livro foi simplesmente brbara. Todos que vieram a dar seu toque ao livro
contriburam para sua melhoria, e, de modo especial, toda a equipe foi de grande ajuda na deteco de erros que
sempre fazem parte de um manuscrito.
Teri e Steve realizaram excelentes trabalhos como editores tcnicos. A capacidade de Teri de ver cada frase no
contexto de um captulo inteiro, ou de um livro inteiro, esplndida, ajudando a detectar coisas que nenhuma outra
pessoa conseguiria perceber. Steve, como sempre, realizou seu excelente trabalho - algo como 5 ou 6 livros meus
nos quais ele participou -, e, como de costume, acabo aprendendo muito ao ler os comentrios feitos por Steve. A
profundidade das crticas sobre este livro foi muito melhor que qualquer outro livro meu graas a Teri eSteve;
muito obrigado!
Drew Cupp teve a "oportunidade" de desenvolver um de meus livros pela primeira vez em muito tempo. As vises
e opinies de Drew funcionaram maravilhosamente, e este novo par de olhos sobre os materiais copiados da
edio anterior serviu para fortalecer ainda mais essas partes. Tudo isso em meio aos malabarismos feitos dentro
de um prazo apertado - obrigado, Drew, pelo excelente trabalho!
A maravilhosa, e geralmente oculta, equipe de produo tambm desempenhou um esplndido trabalho. Ao perceber
que tinha retrabalhado algo, eu imediatamente pensava "Por que no escrevi isso antes?", o que me fez valorizar
a equipe que temos na Cisco Press. O processo de edio da cpia final, reviso de figuras e de pginas exigiu
grande esforo - principalmente com relao s iniciativas adicionais de qualidade que foram implementadas.
Muito obrigado a todos vocs!
Brett Bartow novamente foi o editor executivo do livro, como em quase todos os livros que ajudei a escrever. Brett,
como de costume, realizou seu excelente trabalho, com muita pacincia, sendo meu defensor de vrias maneiras.
Brett, muito obrigado por todas as coisas que fez, em todos os nveis, para nos ajudar a obter o sucesso juntos.
Alm disso, h outras pessoas que no trabalharam diretamente no livro, mas que tambm colaboraram para sua
execuo. Obrigado a Frank Knox pelas discusses sobre os exames, sobre os motivos pelos quais eles so to
difceis e como lidar com a resoluo de problemas. Obrigado a Rus Healy pela ajuda com a parte sobre "wireless"
(sem fio). Obrigado a Mikes, da Skyline, por fazer com que eu conseguisse cumprir o meu prazo para finalizar este
livro (e o livro ICNDl). Meus agradecimentos tambm s equipes de cursos e de exames da Cisco pela excelente
comunicao e interao sobre as alteraes feitas nos cursos e exames. E, como sempre, minha gratido especial
ao meu Senhor e Salvador Jesus Cristo - obrigado por me ajudar a regozijar-me em TI at mesmo no momento em
que fazia a reviso final de 1400 pginas de manuscrito em apenas algumas semanas!
IX
Resumo do contedo
Prefcio
Introduo
xxiii
xxiv
5
43
81
117
145
165
195
221
249
273
295
12 WANs ponto-a-ponto
13 Conceitos de Frame Relay
14 Configurao e resoluo de problemas de Frame Relay
15 Redes privadas virtuais
315
333
351
379
393
415
447
455
465
469
471
484
Contedo
Prefcio ................................................................................................................................... xxiii
Introduo ............................................................................................................................. xxiv
XI
Protocolo Spanning Tree (IEEE 802.1d) ... ............ ........ ........ .. ... .... ........... ................ ....... ........ ........ .......... ...................... 46
A necessidade de Spanning Tree .................... .............. ...... ........... ...... ..... ......... ........................ ... ........ ........................ 46
A funo do IEEE 802.1d Spanning Tree ... ....... .... .... ........ ...................... ..................... .... ......................... ......... ... ...... 47
Como funciona o Spanning Tree ................................ ........ .......... .............. ................................................. ..... ............ 48
Bridge ID STP e Helio BPDU ................... ........ ...... ......... ... .......... .. ........ ........ ... ..... .......... ...... .......... ....................... 49
Escolhendo o switch raiz ....... .......... ........ .................................................................................... .................... .......... 50
Escolhendo a porta raiz de cada switch .. ........ .... ...... ............................................ .................... ............ .................... 51
Escolhendo a porta designada em cada segmento de LAN ...................................................................................... 52
Reagindo a mudanas na rede .................... ........ ........ ...... ..... .... ...... ................... ..... ..... .... ........ ................... ....... ...... 53
Recursos STP opcionais ............................................................................................................................................ 55
EtherChannel .................................... .......................... .... ..... .. .. ........... .......... ......... ........ .... ........................................ 55
PortFast .................. ........................................ ....... ... .... ........... .... ............ ....... ...... ....... ................. .... ........ ......... ........ 56
Segurana do STP .. ....... ................ .................... ....... ................. ........ .... ... ... ...... ...... ..... ... ... .. ..... ............ .................... 56
Rapid STP (IEEE 802.1w) .................... .... .... ............ .... ........ ..... .... ..................... ...... ......... ...... .... .... ............... ......... ........ 57
Tipos de links e edges RSTP ..................................... .............................. .... .... ..... ... ..... .... .............. .......... ... ....... .... .... .. 57
Estados das portas RSTP .. .... .... ..... ................... .... .. .. ... ...... ............. .... ... .......... ....... ..... ......... .......... ....................... .... .. 58
Funes das portas RSTP ...... .. .. ..................................... ........ .. ......... ......... .... ......... .... .... ............................................ 59
Convergncia do RSTP .... ................................................. .... ................. ............ ...... ... ............... .............. ... ........ .. ... .. .. 60
Comportamento do tipo edge e PortFast ................................................................................................................... 60
Tipo link compartilhado .. ................................ ........ ............. ...................... ..... ... .... ... .......... ...... ...... .......... ... ..... .......... 60
Tipo link ponto-a-ponto .......... ... ..... ........ ... ..... .... .... ....... .... .... .. ........ ......................... ........... ........ ...... ....... .. ........... ..... 60
Exemplo de convergncia RSTP .... ........ ................................................ ................. ... ..... ..... ..... ......... ....................... 61
Configurao e verificao do STP ................................................ .......... ............. ...... ... ....... ................... ......... .......... .... 63
Mltiplas instncias do STP ..... .......... ...... ..................... ............... .... .... ...................... ................. ......................... ........ 63
Opes de configurao que influenciam a topologia do Spanning Tree ............... .... ......................... ..... .................... 64
Extenso do bridge ID e do System ID .................................................................................................................... 64
Custos "per-VLAN" das portas ... ..... ....... .... .... ...... ................... .... ....... ....................................... ....... ............ ..... ...... 65
Resumo das opes de configurao do STP ................ ... ..... .......................... ....... ........ ........ .... ........ ........... ..... .... .. 65
Verificando a operao padro do STP .......... .......... ................................................................................................... 65
Configurando os custos das portas do STP e a prioridade do switch .. ............. .......... ...... ......... ............... .... ..... ........... 67
Configurando o PortFast e o BPDU Guard ..... ............ ....... ....... ........ ...... ... ........ ........................ ........ ................. ........ 69
Configurando o EtherChannel ......... ... .... .... ................ ................. .... ....... .... ...................... ........ .... ...... ...... .................... 69
Configurando o RSTP ........... ........ ............... .... ..... .... ...................... ...... ..... ...................... ....... ......... ................... ......... 70
Resolvendo problemas do STP ... .......... ............................... ... ... ............ ....... ...... ..... ... ........ ................... ..... ............. ... ..... 71
Determinando o switch raiz ........ ............................ ......... ........... ............. ........... ...... ... ................. .... ... ...... ......... ......... . 71
Determinando a porta de raiz em switches no-raiz ... .......... ............. .... .. ... .................... ............. ...................... ... ....... 72
Determinando a porta designada em cada segmento de LAN ................ ...... ...... ... ........... ........... .... .... .... ..... .............. 74
Convergncia do STP .... ....... ........................... .... ............ ................ ........... .................... .... ......... .................... ... ......... 75
Atividade de preparao para o exame ..................................................................................................................... 76
Revise todos os tpicos-chave ...... ......... ..................... ......... ... ... ... ........... ............. ................ ... ............ ............... .... ..... .... 75
Complete as tabelas e listas usando a memria ...................... ......... .... ... ...... ....... ...... ....... ................... .............. .............. 76
Definies de termos-chave ...... ...... ........ ...... .... ........ .... ... ........... ............. ...... ... ............... .......... ........ ...... ....... ................ 76
Referncia aos comandos para verificar sua memria ......... ......... ........ ........... ....... ...... ......... ........... ..................... ........ 77
XII
Isolamento do problema ............................................................................................................................................... 84
Anlise da causa geradora ........................................................................................................................................... 85
O mundo real versus os exames ........................................................................................................................... ....... 86
Resolvendo problemas do plano de dados de LAN Switching ........................................................................................ 86
Viso geral do processo normal de encaminhamento dos switches ............................................................................. 86
Passo 1: ConfIrme os diagramas de rede utilizando CDP ............................................................................................ 88
Passo 2 : Isole os problemas de interface ............................................................................................................. ....... 89
Cdigos de status de interfaces e razes para os estados de no-funcionamento .................................................... 89
Estado notconnect e pinagem do cabeamento .......................................................................................................... 90
Questes sobre a velocidade da interface e do duplex ............................................................................................. 91
Passo 3: Isole problemas de fIltragem e de segurana de portas ................................................................................. 94
Passo 4 : Isole problemas de VLANS e de trunking .................................................................................................... 97
Assegurando que as interfaces de acesso corretas estejam nas VLANs corretas ..................................................... 97
VLANs de acesso no definidas ou ativas ............................................................................................................... 98
IdentifIque trunks e VLANs encaminhadas naqueles trunks .................................................................................... 98
Exemplo: resolvendo problemas do plano de dados ..................................................................................................... 99
Passo 1: verifIque a exatido do diagrama utilizando o CDP ..................................................................................... 100
Passo 2: verifIque a existncia de problemas de interfaces ....................................................................................... 102
Passo 3: verifIque a existncia de problemas de segurana de portas ....................................................................... 103
Passo 4: verifIque a existncia de problemas de VLANs e de trunks de VLANS ................................................... 105
Prevendo a operao normal do plano de dados do LAN Switching ............................................................................ 107
Broadcast de PC1 na VLAN 1 .................................................................................................................................. 107
Trajeto de encaminhamento: unicast de RI para PC1 ............................................................................................... 110
Atividade de preparao para o exame ................................................................................................................... 112
Revise todos os tpicos-chave ....................................................................................................................................... 112
Complete as tabelas e listas usando a memria .................................................................... ....... .................................. 113
Tpicos publicados do exame Cisco ICND2* ............................................................................................................ 114
~ .
XIII
Atividade de preparao para o exame ...................................................................................................................
Revise todos os tpicos-chave .......................................................................................................................................
Complete as tabelas e listas usando a memria .............................................................................................................
Definies de termos-chave ........................................................ ..................................................................................
Referncia aos comandos para verificar sua memria .................................................................................................
140
140
141
141
141
XIV
Tpicos variados sobre ACLs ........................................................................................................................................ 186
Controlando o acesso Telnet e SSH com ACLs ......................................................................................................... 186
Consideraes sobre a implementao de uma ACL .................................................................................................... 187
Listas de controle de acesso reflexivas ......................................................................................................................... 188
ACLs dinmicas ......................................................................................................................................................... 189
ACLs baseadas em tempo ......................................................................................................................................... 190
Atividade de preparao para o exame ................................................................................................................... 190
Revise todos os tpicos-chave ......................................................................... .............................................................. 190
Complete as tabelas e listas usando a memria ............................................................................................................. 191
Leia os cenrios do Apndice F ..................................................................................................................................... 191
DefInies de termos-chave .......................................................................................................................................... 191
Referncia aos comandos para verifIcar sua memria ................................................................................................. 191
,.
xv
Parte 111: Configurao e resoluo de problemas relativos a protocolos de
roteamento
XVI
Troca de bancos de dados ....................................................................................................................................... 256
Manuteno do LSDB estando completamente adjacente ..................................................................................... 256
Resumo dos estados entre vizinhos ......................................................................................................................... 257
Construindo a tabela de roteamento IP ...................................................................................................................... 257
Ajustando o OSPF atravs de um projeto hierrquico ........................................................ ....................................... 258
reas OSPF ............................................................................................................................................................ 259
Vantagens do projeto de reas OSPF ........................................................................................................................ 261
Configurao do OSPF .................................................................................................................................................. 261
Configurao do OSPF em uma nica rea ............................................................................................................... 261
Configurao do OSPF com vrias reas .................................................................................................................. 263
Configurando o RID CID do roteador) do OSPF ........................................................................................................ 265
Timers de Hello e Dead do OSPF .............................................................................................................................. 265
Mtrica do OSPF (Custo) ................................................................. ......................................................................... 266
Autenticao do OSPF ................................................................................................................................. .............. 267
Balanceamento de cargo OSPF ................................................................................................................................. 269
Atividade de preparao para o exame ................................................................................................................... 269
Revise todos os tpicos-chave ....................................................................................................................................... 269
Complete as tabelas e listas usando a memria ............................................................................................................. 270
Definies de termos-chave .......................................................................................................................................... 270
Referncia aos comandos para verificar sua memria ................................................................................................. 270
XVII
. ,. "Eu Ja
. , co nh eo Isto
. "?................................................................................................................................ 333
Questlonano
XVIII
Circuitos virtuais ......................................................................................................................................................... 337
LMI e tipos de encapsulamento ................................................................................................................................. 339
Endereamento no Frame Relay ................................................................................................................................... 341
Endereamento local no Frame Relay ....................................................................................................................... 341
Endereamento global no Frame Relay ..................................................................................................................... 341
Problemas da camada de rede em relao Frame Relay ........................................................................................... 343
Endereamento de camada 3 no Frame Relay: uma sub-rede contendo todos os DTE' Frame Relay ..................... 344
Endereamento de camada 3 no Frame Relay: uma sub-rede por VC ..................................................................... 344
Endereamento de camada 3 no Frame Relay: abordagem hfbrida ........................................................................... 345
Manipulao de broadcast na camada 3 .................................................................................................................... 346
Controlando a velocidade e os descartes na nuvem Frame Relay ................................................................................ 347
FECN e BECN .......................................................................................................................................................... 347
O bit DE (Discard Eligibility) ...................................................................................................................................... 348
Atividade de preparao para o exame .................................................................................................................. 348
Revise todos os tpicos-chave ....................................................................................................................................... 348
Complete as tabelas e listas usando a memria ............................................................................................................. 349
Definio de termos-chave ............................................................................................................................................ 349
.1
:J
-I
:1
:
:1
:1
-I
:1
XIX
xx
Dividindo endereos IPv6 unicast globais dentro de uma empresa ........................................................................... 424
Terminologia para prefixos ......................................................................................................................................... 426
Protocolos e endereamento no IPv6 ............................................................................................................................ 426
DHCP para IPv6 ........................................................................................................................................................ 427
Atribuio de endereo de host no IPv6 .................................................................................................................... 427
lD de interface no IPv6 e o formato EUI-64 .......................................................................................................... 427
Configurao esttica de endereos IPv6 ............................................................................................................. .. 428
Autoconfigurao stateless e anncios do roteador ................................................................................................ 429
Resumo da configurao de endereos IPv6 .......................................................................................................... 430
Descobrindo o roteador default com NDP ................................................................................................................. 431
Aprendendo o(s) endereo(s) IP de servidores DNS ................................................................................................ 431
Endereos IPv6 .......................................................................................................................................................... 431
Endereos IPv6 unicast ........................................................................................................................................... 432
Endereos multicast e outros endereos especiais IPv6 ......................................................................................... 433
Resumo dos protocolos e endereamento IP ............................................................................................................. 433
Configurando o roteamento e os protocolos de roteamento IPv6 .................................................................................. 434
Protocolos de roteamento IPv6 .................................................................................................................................. 435
Configurao do IPv6 ................................................................................................................................................ 435
Opes de transio para IPv6 ..................................................................................................................................... 438
Pilha dupla IPv4IIPv6 ................................................................................................................................................. 438
Tunelamento ............................................................................................................................................................... 438
Fazendo tradues entre IPv4 e IPv6 com NAT-PT ................................................................................................. 440
Resumo da transio .................................................................................................................................................. 440
Atividade de preparao para o exame .................................................................................................................. 440
Revise todos os tpicos-chave ....................................................................................................................................... 440
Complete as tabelas e listas usando a memria ............................................................................................................. 441
Definio de termos-chave ............................................................................................................................................ 441
Referncia aos comandos para verificar sua memria .................................................. ............................................... 441
'I:
~,
~
.
I.
XXI
Captulo 10 .................................................................................................................................................................. 459
Captulo 12 .................................................................................................................................................................. 459
Captulo 13 .................................................................................................................................................................. 460
Captulo 14 .................................................................................................................................................................. 460
Captulo 15 .................................................................................................................................................................. 461
Captulo 16 .................................................................................................................................................................. 461
Captulo 17 .................................................................................................................................................................. 462
XXII
Introduo
Servidor
Web
Impressora
Roteador
PBX
Navegador
Web
Telefone
PC
Laptop
Telefone IP
Switch
multi-servio
Ponto de acesso
Modem
de Cabo
Switch
ASA
Servidor
CSUIDSU
Switch ATM
Switch
Frame Relay
DSLAM
Switch WAN
~
Hub
Nuvem de rede
PIX Firewall
Ponte
z
Conexo Ethemet
Conexo
de linha serial
Circuito virtual
.'
."
Prefcio
CCNA ICND2 Guia Oficial de Certificao do Exame, segunda edio, uma excelente fonte para o estudo
autodidata para o exame CCNA ICND2. Passar no exame ICND2 significa validar o conhecimento e as habilidades
necessrias para obter sucesso ao instalar, operar e identificar problemas em redes empresariais de pequeno a
mdio porte. Este um de dois exames exigidos para a obteno da certificao CCNA.
A obteno da certificao em tecnologias Cisco essencial para o desenvolvimento educacional contnuo do
atual profissional da rea de comunicao em rede. Atravs de programas de certificao, a Cisco valida as
habilidades e a experincia exigidas para gerenciar de forma eficaz a moderna rede empresarial.
Os guias de certificao para exames e materiais de preparao da Cisco Press oferecem acesso excepcional e
flexvel ao conhecimento e s informaes necessrias para se manter atualizado em seu campo de atuao ou
para obter novos conhecimentos. Quer seja usado como suplemento para um treinamento mais tradicional ou
como fonte principal de aprendizado, estes materiais oferecem aos usurios as informaes e a validao de
conhecimento necessrias para adquirir um novo entendimento e uma nova proficincia.
Desenvolvido em conjunto com a equipe de treinamento e de certificaes da Cisco, os livros da Cisco Press so
os nicos livros autodidatas autorizados pela Cisco, e oferecem aos estudantes uma srie de ferramentas para a
realizao de exames simulados e materiais de recurso para assegurar que o aluno consiga assimilar completamente
os conceitos e as informaes apresentadas.
Na Cisco Learning Solutions Partners (Parceiros de Solues de Aprendizado Cisco), encontram-se cursos
dados por instrutores, aprendizado eletrnico, laboratrios e simulaes adicionais autorizados pela Cisco. Para
mais informaes visite a pgina http://www.cisco.com/go/training.
Espero que estes materiais sejam uma parte enriquecedora e de grande utilidade durante o seu preparo para o
exame.
Erik Ullanderson
Gerente de Certificaes Globais
Learning@Cisco
Agosto, 2007
XXIV
Introduo
Introduo
Parabns! Se voc estiver manuseando este livro ao ponto de ler sua introduo, provvel que j tenha decidido partir
em busca de uma certificao da Cisco. Se voc deseja obter sucesso como tcnico na indstria de comunicao em
rede, preciso conhecer a Cisco. Ela dona de uma fatia extremamente grande do mercado na rea de roteadores e
switches, com mais de 80 por cento do mercado em determinadas reas. Em muitos lugares e mercados ao redor do
mundo, comunicao em rede sinnimo de Cisco. Se seu desejo ser reconhecido seriamente como engenheiro de
rede, a certificao da Cisco faz total sentido.
Historicamente falando, a primeira certificao Cisco para iniciantes a certificao Cisco Certified Network Associate
(CCNA), oferecida pela primeira vez em 1998. As trs primeiras verses da certificao CCNA (1998, 2000 e 2002)
exigiam que voc passasse em um nico exame para se tomar certificado. Entretanto, com o passar do tempo, o exame
continuou crescendo, tanto em quantidade de material abordado quanto no nvel de dificuldade das questes. Portanto,
para a quarta grande reviso dos exames, anunciada em 2003, a Cisco continuou com uma nica certificao (CCNA),
mas passou a oferecer duas opes para que os exames fossem certificados: uma opo de exame nico e uma opo
formada por dois exames. A opo de dois exames permitia que as pessoas estudassem aproximadamente metade do
material, fizessem e passassem em um exame antes de seguir para o prximo.
Emjunho de 2007, a Cisco anunciou mudanas na certificao CCNA e nos exames. Este anncio inclua vrias mudanas,
principalmente:
Os exames passam a abranger coletivamente uma gama mais ampla de tpicos.
Os exames aumentam o foco na comprovao das habilidades do candidato (em comparao com somente o teste
de conhecimento).
A Cisco criou uma nova certificao para iniciantes: a certificao Cisco Certified Entry Network Technician
(CCENT)
Para as certificaes atuais, anunciadas em junho de 2007, a Cisco criou os exames rCND1 (640-822) e rCND2 (640812), junto com o exame CCNA (640-802). Para se certificar no CCNA, voc pode passar nos exames rCND1 e
rCND2, oferecendo-lhe duas opes para a obteno da sua certificao Cisco. O caminho que envolve os dois exames
oferece s pessoas menos experientes a chance de estudar para um conjunto menor de tpicos de cada vez, ao passo
que, na opo de exame nico, o caminho apresenta mais vantagens para aqueles que desejam se preparar para todos os
tpicos de uma s vez.
Embora a opo de dois exames possa ser til para alguns candidatos certificao, a Cisco elaborou o exame rCND 1
com um objetivo muito mais importante em mente. A certificao CCNA cresceu ao ponto de testar o conhecimento e as
habilidades alm do que um tcnico iniciante em rede precisaria ter. A Cisco precisava de uma certificao que refletisse
melhor as habilidades exigidas para cargos iniciantes em comunicao em rede. Portanto, ela elaborou o seu curso
Interconnecting Cisco Networking Devices 1 (ICND1), e o exame rCND1 (640-822) correspondente, de forma a incluir
o conhecimento e as habilidades mais necessrios a um tcnico iniciante em uma pequena rede empresarial. Para
mostrar que voc possui as habilidades necessrias para ocupar um cargo de iniciante, a Cisco criou uma nova certificao,
a CCENT, que pode ser obtida com a aprovao no exame rCND 1.
A Figura r-I mostra a organizao bsica das certificaes e dos exames usados para obter as certificaes CCENT e
CCNA. (Observe que no existe nenhuma certificao separada para aprovao no exame rCND2.)
Figura 1-1. Certificaes e Exames Cisco para lniciantes
Fazer exame
ICND1 (640-822)
Se aprovado
Certificado
TFazer exame
CCENT - - - - - - + ICND2 (640-816)
Se a,,","d,
Fazer exame
Se aprovado
Certificado
CCNA (640-802) - - . . . . . . : . - - - - - - - - - - - - - - - - , CCNA
it.
,fJ.
CCNA ICND2
XXV
Como voc pode ver na figura, embora a certificao CCENT possa ser obtida fazendo o exame ICND 1, no necessrio
ter a certificao CCENT primeiro para obter a sua certificao CCNA - voc pode optar por fazer somente o exame
CCNA sem ter de fazer o CCENT.
Os exames ICNDI e ICND2 abrangem diversos conjuntos de tpicos, com muito pouca sobreposio de assuntos. Por
exemplo, o ICNDI abrange endereamento IP e criao de sub-redes, enquanto o ICND2 abrange uma utilizao mais
complicada de sub-redes chamada VLSM (mascaramento de sub-redes de compartilhamento varivel); portanto o ICND2
deve abranger sub-redes de alguma forma. O exame CCNA abrange todos os tpicos abordados nos exames ICNDI e
ICND2.
Embora a popularidade da certificao CCENT s poder ser vista com o passar de alguns anos, certamente a certificao
CCNA da Cisco desfruta uma posio como programa mais popular de certificao para iniciantes em comunicao em
rede. Uma certificao CCNA prova que voc possui um embasamento slido nos componentes mais importantes da
linha de produtos Cisco, ou seja, roteadores e switches. Prova tambm que voc possui um amplo conhecimento de
protocolos e tecnologias de rede.
Testlets
Arrastar-e-soltar
Laboratrio simulado
Simlets
Os trs primeiros tipos de questes so relativamente comuns em vrios ambientes de testes. O formato mltipla escolha
simplesmente requer que voc aponte e clique em um crculo ao lado da resposta(s) correta(s). A Cisco tradicionalmente
lhe diz quantas respostas voc precisa escolher, e o software do teste impede que voc escolha mais respostas do que
necessrio. Testlets so questes que apresentam um cenrio geral, com vrias questes de mltipla escolha relativas a
este cenrio geral. Questes do tipo Arrastar-e-soltar requerem que voc clique com o boto do mouse e o mantenha
pressionado, mova um boto ou cone para outra rea, e solte o boto do mouse para colocar o objeto em outro lugar normalmente em uma lista. Portanto, em alguns casos, para acertar a questo, possvel que voc tenha que colocar uma
lista de cinco itens na ordem adequada.
Os dois ltimos tipos utilizam um simulador de rede para fazer perguntas. interessante notar que os dois tipos permitem
que a Cisco avalie duas habilidades bastante diferentes. Primeiro, as questes do tipo Laboratrio Simulado geralmente
descrevem um problema e a sua tarefa configurar um ou mais roteadores ou switches para consertar o problema. O
exame ento pontua a questo com base na configurao que voc alterou ou acrescentou. Novamente, interessante
notar que as questes do tipo Laboratrio Simulado so as nicas questes que a Cisco (at hoje) admite abertamente
conceder pontuao parcial.
As questes do tipo Simlet possivelmente so o estilo mais difcil de questo nestes exames. Este tipo de questo tambm
utiliza um simulador de rede, mas, em vez de responder questo alterando a configurao, a questo inclui uma ou mais
questes de mltipla escolha. As questes requerem a utilizao do simulador para examinar o comportamento atual de
XXVI
Introduo
uma rede, interpretando o resultado de sada de qualquer comando show do qual voc se lembre para responder
questo. Enquanto as questes do tipo Laboratrio Simulado requerem que voc resolva problemas relacionados a uma
configurao, as questes do tipo Simlet requerem que voc analise redes em funcionamento normal e redes com
problemas, correlacionando os resultados de sada dos comandos show com seu conhecimento de teoria sobre redes e
comandos de configurao.
o que cai
Desde os meus tempos de escola, sempre que o professor anunciava que em breve teramos um teste, algum sempre
perguntava: o que vai cair no teste? Mesmo j na universidade, todos tentavam obter mais informaes sobre o que cairia
nos exames. No fundo, o objetivo saber o que deve ser estudado com mais afinco, o que deve ser estudado mais
superficialmente, e o que no deve ser estudado.
A Cisco deseja que o pblico conhea a variedade de tpicos e tenha uma idia sobre os tipos de conhecimento e
habilidades necessrios para cada tpico, para cada exame de certificao da Cisco. Com este propsito, a Cisco publica
um conjunto de objetivos para cada exame. Os objetivos relacionam os tpicos especficos, como endereamento IP, RIP
e VLANs. Os objetivos tambm indicam os tipos de habilidades necessrias para aquele tpico. Um objetivo, por exemplo,
poderia comear com "Descrever... " e outro com "Descrever, configurar e resolver... ". O segundo objetivo deixa claro
que voc precisa ter um entendimento profundo e completo daquele tpico. Ao relacionar os tpicos e o nvel de
conhecimento, a Cisco nos ajuda a preparar para os exames.
Embora os objetivos do exame ajudem bastante, tenha em mente que a Cisco deixa claro que os tpicos relacionados
para todos os seus exames de certificao so apenas diretrizes. A Cisco se esfora em manter as questes do exame
dentro dos limites dos objetivos apresentados, e, por experincia prpria, em conversas com pessoas envolvidas no
processo, sei que todas as questes so analisadas quanto ao seu enquadramento dentro dos tpicos de exame apresentados.
Observao
A tabela inclui partes destacadas em cinza que sero explicadas na prxima
seo "Tpicos do Exame CCNA".
Tabela I-I. Tpicos do Exame ICNDJ
Nmero de referncia
Sees do livro
ICND1 onde o tpico
abordado
Tpico do exame
I, lI, III
le
r
I-IV
I-IV
I, m , IV
10
I-IV
11
II, m
12
II
13
II
14
II
15
II
16
II
17
II
18
II
19
II
XXVIII
Introduo
20
I, III
21
I, III
22
III
23
IV
24
I, III
25
III,IV
26
III, IV
27
III
28
UI
29
III
Identificar e corrigir
endereamento IP
questes
de
30
I, III
31
lU
32
I, III
33
III
34
III
35
III
36
III
37
III
Executar e verificar as tarefas de configurao de roteamento para uma rota esttica ou padro
de acordo com certos requisitos especficos de roteamento
38
III
39
III
40
III
41
III
Verificar o status de rede e a operao dos roteadores utilizando recursos bsicos (incluindo:
ping, traceroute, telnet, SSH, arp, ipconfig) e comandos SHOW & DEBUG
Explicar e selecionar
~s
42
11
Descrever padres associados com meios de comunicao sem fio (incluindo: IEEE, WI-FI
Alliance, ITUIFCC)
43
II
44
11
Identificar os parmetros bsicos a serem configurados em uma rede sem fio para garantir que
os dispositivos se conectem ao ponto de acesso correto
45
11
46
11
47
48
Explicar mtodos gerais para mitigar ameaas comuns segurana de dispositivos, hosts e
aplicativos de rede
49
50
I, n, III Descrever as prticas recomendadas de segurana incluindo os passos iniciais para se ter
dispositivos de rede seguros
Implementar e verificar links WAN
51
IV
52
IV
xxx
Introduo
Tpico do exame
101
Descrever tecnologias avanadas de switching (incluindo: VTP, RSTP, VLAN, PVSTP, 802.1q)
102
103
104
105
11
106
107
108
Interpretar o resultado de vrios comandos show e debug para verificar o status operacional de
uma rede de switches Cisco
109
11
111
11
112
Descrever as exigncias tecnolgicas para executar o IPv6 (incluindo: protocolos, pilha dupla,
tunneling, etc)
113
114
11, III
111
116
111
117
111
118
11, III
119
11, III
120
11, I1I, IV
121
11
Implementar, verificar e resolver problemas relativos a NAT e ACLs em uma rede empresarial de mdio porte
122
II
123
II
Configurar e aplicar listas de controle de acesso com base nas exigncias de filtragem de rede
124
II
Configurar e aplicar uma lista de controle de acesso para limitar o acesso telnet e SSH a roteadores
125
II
126
II
127
128
129
130
IV
131
IV
132
IV
133
IV
XXXII
Introduo
Objetivos e mtodos
o objetivo mais importante e, de certa forma, bvio deste livro ajud-lo a passar no exame ICND2 e no exame CCNA.
De fato, se o objetivo principal deste livro fosse diferente, o seu ttulo seria enganoso! Entretanto, os mtodos utilizados
neste livro para ajud-lo a passar nos exames tambm so elaborados para que voc adquira um conhecimento muito
maior sobre como realizar seu trabalho.
Este livro utiliza vrias metodologias importantes para ajud-lo a descobrir os tpicos do exame que precisam de mais
revises, para ajud-lo a entender por completo e lembrar-se destes detalhes, e para ajud-lo a provar a si mesmo que
assimilou seu conhecimento sobre estes tpicos. Portanto, este livro no pretende ajud-lo a passar em exames
simplesmente atravs da memorizao, mas atravs de um verdadeiro aprendizado e entendimento dos tpicos. A
certificao CCNA a base para a obteno de muitas certificaes profissionais da Cisco, e seria uma desconsiderao
a voc se este livro no o ajudasse a verdadeiramente aprender a matria. Por isso, este livro o ajuda a passar no exame
CCNA utilizando os seguintes mtodos:
Ajudando-o a descobrir quais tpicos do exame voc ainda no domina
Proporcionando explicaes e informaes para preencher as lacunas do seu conhecimento
Fornecendo exerccios que aprimoram a sua capacidade de lembrar e deduzir respostas s questes do teste
Caractersticas do livro
Para ajud-lo a customizar seu tempo de estudo utilizando estes livros, os captulos principais possuem vrios recursos
que o ajudam a tirar maior proveito do seu tempo:
Questionrios ''Eu j conheo isto?": Cada captulo comea com um questionrio que o ajuda a determinar
quanto tempo ser necessrio para estudar o captulo.
Tpicos fundamentais: Essas so as principais sees de cada captulo. Elas explicam os protocolos, os conceitos e a configurao referentes aos tpicos discutidos no captulo.
Atividades de Preparao para o Exame: Ao final da seo Tpicos Fundamentais de cada captulo, a seo
Atividades de Preparao para o Exame relaciona uma srie de atividades de estudo que devem ser realizadas ao
final do captulo. Cada captulo inclui as atividades que fazem mais sentido para o estudo dos tpicos do captulo.
Dentre as atividades, incluem-se as seguintes:
-
Reviso dos Tpicos Principais: O cone Tpicos Principais mostrado prximo aos itens mais importantes na
seo Tpicos Fundamentais do captulo. A atividade Reviso dos Tpicos Principais relaciona os tpicos principais
daquele captulo e o nmero da pgina. Como o contedo do captulo inteiro pode cair no exame, voc deve, com
certeza, saber as informaes relacionadas em cada tpico principal. Por isso, elas devem ser revisadas.
Completar Tabelas e Listas Usando a Memria: para ajud-lo a exercitar sua memria e memorizar algumas
listas de fatos , muitas das listas e tabelas mais importantes do captulo so includas no Apndice J. Este documento
relaciona somente informaes parciais, permitindo que voc complete a tabela ou a lista. O Apndice K relaciona
as mesmas tabelas e listas, preenchidas, para facilitar a comparao.
Definio dos Termos Principais: Embora seja improvvel que nos exames caiam perguntas do tipo "Defina
este termo", os exames CCNA requerem que voc aprenda e saiba vrias terminologias de comunicao em rede.
Esta seo relaciona os termos mais importantes do captulo, pedindo que voc escreva uma pequena definio e
compare sua resposta com o glossrio apresentado no fmal do livro.
Tabelas de Referncia a Comandos: Alguns captulos do livro abordam uma grande quantidade de comandos de
configurao e EXEC. Essas tabelas relacionam os comandos introduzidos no captulo, junto com uma explicao.
Para se preparar para o exame, use-as como referncia, mas tambm leia as tabelas uma vez quando estiver
executando as Atividades de Preparao para o Exame para assegurar-se de que voc se lembre de tudo que os
comandos podem fazer.
Prtica para a criao de sub-redes (Subnetting Practice): O Apndice D encontrado em ingls no website da
editora www.altabooks.com.br. contm um grande conjunto de problemas para praticar a criao de sub-redes,
com as respostas e as explicaes de como as respostas foram obtidas. Este um excelente recurso para se
preparar para a criao de sub-redes com agilidade e eficincia.
O site amigo: o site http://www.ciscopress.comltitle/1587201828 fornece os materiais atualizados mais recentemente que ajudam a esclarecer tpicos complexos do exame. Verifique este site regularmente e veja as atualizaes escritas pelo autor que fornecem uma viso mais profunda dos tpicos mais problemticos encontrados no
exame. (em ingls)
Captulo 1, ''LANs Virtuais": Este captulo explica os conceitos e a configurao em torno das LANs virtuais,
incluindo Trunking de VLANs e o VTP (VIAN Trunking Protocol, ou Protocolo de Trunking de VLANs
Captulo 2, ''Protocolo Spanning Tree": Este captulo mergulha fundo nos conceitos existentes por trs do STP
(Spanning Tree Protocol, ou Protocolo Spanning Tree), bem como no Rapid STP mais recente (RSTP), incluindo
conceitos de configurao e resoluo de problemas.
Captulo 3, "Resolvendo problemas de LAN Switching" : Este captulo explica algumas idias gerais sobre
como resolver problemas de comunicao em rede, concentrando-se principalmente no processo de encaminhamento utilizado por switches de LANs.
Captulo 4, "Roteamento IP: rotas estticas e rotas diretamente conectadas": Este captulo examina como
os roteadores acrescentam rotas estticas e rotas conectadas tabela de roteamento, revendo simultaneamente os
conceitos existentes por trs de como os roteadores direcionam ou encaminham pacotes.
Captulo 5, ''VLSM e sumarizao de rotas": Este captulo explica como o roteamento IP e os protocolos de
roteamento podem dar suporte ao uso de diferentes mscaras de sub-rede em uma nica rede classful (VLSM),
bem como os conceitos da matemtica existente por trs de como os roteadores conseguem sumarizar mltiplas
rotas em uma nica entrada na tabela de roteamento.
Captulo 6, ''Listas de controle de acesso IP": Este captulo examina como as ACLs podem filtrar pacotes
para que um roteador no encaminhe o pacote. O captulo examina os conceitos e a configurao de ACLs padro
e estendidas incluindo ACLs nomeadas e numeradas.
Captulo 7, "Resolvendo problemas de roteamento IP": Este captulo mostra um plano estruturado para
como isolar problemas relacionados a dois hosts que deveriam conseguir encaminhar pacotes um para o outro, mas
XXXIV
Introduo
no conseguem faz-lo. O captulo inclui tambm uma variedade de ferramentas e dicas para ajudar a atacar
problemas de roteamento.
Parte li: Configurao e resoluo de problemas relativos a protocolos de roteamento
-
Captulo 8, "Teoria dos protocolos de roteamento": Este captulo explica a teoria existente por trs dos
protocolos do vetor distncia e link-state.
- Captulo 9, "OSPF': Este captulo examina o OSPF, incluindo mais detalhes sobre a teoria link-state implementada
pelo OSPF, e a configurao do OSPE
-
Captulo 10, "EIGRP": Este captulo examina o EIGRP, incluindo uma descrio da teoria existente por trs do
EIGRP, bem como a configurao e a verificao do EIGRP.
Captulo 11, ''Resolvendo problemas em protocolos de roteamento": Este captulo explica algumas das
razes tpicas pelas quais os protocolos de roteamento falham ao trocar informaes de roteamento, mostrando
exemplos especficos de problemas comuns com o OSPF e EIGRP.
Captulo 12,"WANs ponto-a-ponto": Este curto captulo revisa os fundamentos das WANs e examina o PPP,
incluindo o CHAP, em mais detalhe.
Captulo 13, "Conceitos de Frame Relay": Este captulo se concentra na terminologia e na teoria existente por
trs do protocolo Frame Relay, incluindo opes de endereamento IP ao utilizar Frame Relay.
Captulo 14, "Configurao e resoluo de problemas de Frame Relay": Este captulo mostra uma variedade de opes de configurao para Frame Relay, incluindo subinterfaces ponto-a-ponto e multi pontos. Explica
tambm a melhor forma de utilizar os comandos show para isolar a causa geradora de problemas comuns envolvendo Frame Relay.
Captulo 15, ''Redes privadas virtuais": Este captulo examina os conceitos e protocolos utilizados para criar
VPNs seguras na Internet, incluindo os fundamentos do IPsec.
Captulo 16, "Traduo de endereos de rede": Este captulo examina de perto os conceitos existentes por
trs da exausto de espao de endereamento IPv4, e como o NAT, de modo especial a opo PAT (Port Address
Translation), ajuda na resoluo de problemas. O captulo tambm mostra como configurar o NAT em roteadores
que utilizam lOS CU.
Captulo 17, ''IP Verso 6": Este captulo introduz os fundamentos do IPv6, incluindo o formato de endereo de
128 bits, suporte OSPF e EIGRP ao IPv6, e a configurao original bsica do IPv6. Introduz tambm o conceito de
estratgias de migrao e de tunneling do IPv6.
Captulo 18, ''Preparao final": Este captulo sugere um plano de preparao final aps ter concludo as
principais partes do livro, explicando, de modo especial, as vrias opes de estudo disponveis no livro.
Apndice A, ''Respostas para os questionrios ''Eu j conheo isto?": Inclui as respostas a todas as questes desde o Captulo 1 at o Captulo 17.
- Apndice B, ''Tabela de converso de decimal para binrio": Relaciona os valores decimais de O a 255, junto
com os equivalentes binrios.
-
Apndice C, "Atualizaes no exame ICND2: verso 1.0": Este apndice aborda uma variedade de tpicos
que esclarecem ou espandem os tpicos abordados anteriormente no captulo. Este apndice atualizado de tempos em tempos e postado em http://www.ciscopress.comlccna. com a verso mais recente disponvel na poca de
impresso, includa aqui como Apndice C. (A primeira pgina do apndice inclui instrues sobre como verificar se
a ltima verso do Apndice C est disponvel on-line.)
-Glossrio: O glossrio contm definies para todos os termos relacionados na seo "Definio de termoschave", ao final dos Captulos 1 a 17.
Parte Vil: Apndices
-
Apndice F, Cenrios Adicionais: Um dos mtodos utilizados para melhorar a sua capacidade de anlise de
redes e de resoluo de problemas examinar quantos cenrios de redes forem possveis, raciocinar sobre eles e
obter feedback para verificar se voc chegou s concluses corretas. Este apndice oferece vrios cenrios deste
tipo.
Apndice H, Endereamento e Sub-rede IP: Este apndice uma cpia do Captulo 12 do Guia Oficial de
Certificao do Exame CCENT/CCNA ICNDJ. Este captulo explica endereamento IP e sub-redes, que so
considerados um conhecimento pr-requisito para o exame lCND2. O Apndice H includo neste livro para
aqueles que no possuem uma cpia do Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ.
necessrio, entretanto, revisar e aprender mais sobre sub-redes.
Apndice I, Configurao de WAN: Este apndice uma cpia do Captulo 17 do Guia Oficial de Certificao
do Exame CCENT/CCNA ICNDJ. O Captulo 12 deste livro (ICND2) , "WANs ponto-a-ponto", apresenta uma
sugesto para revisar alguns pontos pr-requisitos apresentados neste captulo. Este captulo includo neste livro
para aqueles que no possuem uma cpia do Guia Oficial de Certificao do Exame CENT/CCNA ICNDJ.
Apndice J, ''Tabelas de Memria": Este apndice contm as tabelas e listas de cada captulo, com a eliminao de parte do contedo. Este apndice pode ser impresso e, como exerccio de memria, as tabelas e listas podem
ser completadas. O objetivo ajud-lo a memorizar fatos que podem ser teis nos exames.
Apndice K, "Resposta das Tabelas de Memria": Este apndice contm a chave de respostas para os
exerccios do Apndice J.
Apndice L, ''1CND2 Open-Ended Questions": Este apndice proveniente de edies anteriores deste livro.
A edio mais antiga apresentava questes de resoluo livre com o propsito de ajud-lo a estudar para o exame,
mas as novas caractersticas tomam essas questes desnecessrias. Por questo de convenincia, as questes
antigas so includas aqui, porm no editadas desde a ltima edio.
XXXVI
Introduo
Se errar 1 ou menos,
mas deseja estudar
mais
Se errar 1 ou menos,
e deseja continuar
Ao concluir os Captulos de 1 a 17, voc poder usar as diretrizes apresentadas no Captulo 18 para detalhar o resto das
atividades de preparao para o exame. Este captulo inclui as seguintes sugestes:
Visite a pgina http://www.ciscopress.com para obter a cpia mais recente do Apndice C, que pode incluir tpicos
adicionais para estudo. (em ingls)
Repita as atividades em todas as sees "Atividades de Preparao para o Exame", encontradas ao fmal de cada
captulo.
Fundamentos de rede
LAN Switching
Gu ia de Certificao
do Exame ICND2
LAN Switching
Roteamento IP
Roteamento IP
Protocolos de Roteamento
Redes de rea estendida 1 - - - - +
Preparao final
Reduo do Espao
de Endereamento IP
Preparao Final
CCNAICND2XXXVII
Ambas as opes de plano de leitura oferecem alguns benefcios. Folhear as pginas dos livros pode ajud-lo a se
concentrar em um tpico geral de cada vez. Entretanto, observe que existe uma certa sobreposio entre os dois exames,
e, portanto, voc tambm perceber uma certa sobreposio de assuntos entre os dois livros. Com base nos comentrios
feitos por leitores sobre a edio anterior destes livros, aqueles que eram iniciantes na comunicao em rede mostraram
uma tendncia a se sair melhor completando todo o primeiro livro e, em seguida, passando para o segundo. J os leitores
mais experientes, e com maior conhecimento, antes de comear a ler os livros mostraram uma tendncia a preferir seguir
um plano de leitura como o mostrado na Figura 1-3.
Observe que, para a preparao final, voc pode utilizar o captulo final (Captulo 18) deste livro, em vez do captulo de
preparao final (Captulo 18) do livro ICNDl.
Alm do fluxo mostrado na Figura 1-3, ao estudar para o exame CCNA (em vez dos exames ICNDl e ICND2), voc
precisa dominar a criao de sub-redes IP antes de passar para as partes de roteamento IP e protocolos de roteamento
(partes II e li) deste livro. Este livro no revisa a criao de sub-redes nem a matemtica que existe por trs do texto
impresso, considerando que voc saiba como encontrar as respostas. Os captulos do ICND2, principalmente o Captulo
5 ("Sumarizao de Rotas e VLSM"), sero muito mais fceis de entender se voc puder executar com facilidade a
matemtica da criao de sub-redes.
~--------------------------------------------- .
Configurar, verificar e resolver problemas relativos a um switch utilizando VLANs e comunicaes entre .
switches
Descrever tecnologias avanadas de switching (incluindo: VTP, RSTP, VLAN, PVSTP, 802.1q)
Descrever como VLANs criam redes logicamente separadas e a necessidade de roteamento entre elas
Interpretar o resultado de vrios comandos sbow e debug para verificar o status operacional de uma rede
de switches Cisco
Implementar a segurana bsica de switches (incluindo: segurana de portas, portas no designadas, acesso .
a trunks etc.)
* Sempre verifique a pgina http://www.cisco.com para obter os tpicos mais recentes do exame.
CAPTULO
LANs virtuais
A primeira parte deste livro, que inclui os Captulos 1,2 e 3, se concentra no mundo das LANs. O Captulo 1 examina os
conceitos e as configuraes relacionados com as LANs virtuais (VLANs), enquanto o Captulo 2, "Spanning Tree
Protocol", aborda como o Spanning Tree Protocol (STP) evita a ocorrncia de loops em uma rede de switches. Finalmente,
o Captulo 3, "Resolvendo Problemas Relativos a LAN Switching", amarra vrios conceitos relacionados a LANs ao
mesmo tempo em que explora o processo de resoluo de problemas comuns encontrados em LANs.
Conforme mencionado na Introduo, este livro parte do princpio de que voc tenha um domnio slido dos tpicos mais
importantes abordados no exame ICND 1. Se tiver dvidas em relao a esses pr-requisitos, talvez valha a pena dar uma
olhada na lista de conhecimentos pressupostos para este livro, sob o ttulo "Tpicos do Exame ICNDl", encontrado na
Introduo.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
dez questes de avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A Tabela lI relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o material
dessas sees. Isso ajudar voc a avaliar o seu conhecimento nessas reas especficas.
As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.
Tabela 1-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?"
Seo dos tpicos fundamentais
Questes
1-5
6-8
9-10
1. Em uma LAN, qual dos seguintes termos mais se assemelha ao termo VLAN?
a. Domnio de coliso
b. Domnio de broadcast
c. Domnio de sub-rede
d. Switch nico
e. Trunk
2. Imagine um switch com trs VLANs configuradas. Quantas sub-redes IP so necessrias, considerando que todos os
hosts em todas as VLANs queiram usar TCPIIP?
a. O
b. 1
c. 2
d. 3
e. Impossvel saber com base nas informaes fornecidas.
CCNA ICND2
9. Um engenheiro acaba de instalar quatro novos switches 2960 e conectou os switches uns com os outros utilizando
cabos de crossover. Todas as interfaces esto em estado de pleno funcionamento. O engenheiro configura cada
switch usando Fred como nome de domnio VTP e deixa todos os quatro switches no modo de servidor VTP. O
engenheiro acrescenta VLAN 33 s 9 horas da manh e, em seguida, em 30 segundos, emite um comando show
vlan brief nos outros trs switches, mas no encontra VLAN 33 nos outros trs switches. Qual das respostas a
seguir apresenta o motivo mais provvel para o problema ocorrido neste caso?
a. VTP requer que todos os switches tenham uma mesma senha VTP.
b. O engenheiro devia ter tido mais pacincia e esperado que o SW1 enviasse sua prxima atualizao VTP peridica.
c. Nenhum dos links entre os switches formam um trunk por causa do modo administrativo padro auto do trunking
2960.
d. Nenhuma das respostas acima.
10. Os switches SW1 e SW2 se conectam atravs de um trunk operacional. O engenheiro deseja usar VTP para
comunicar as alteraes feitas na configurao de VLANs. Ele configura uma nova VLAN no SW1, VLAN 44, mas
o SW2 no reconhece a nova VLAN. Qual dos ambientes de configurao a seguir no SW1 e SW2 no seria uma
possvel causa para o SW2 no reconhecer VLAN 44?
a. Os nomes de domnio VTP larry e LARRY, respectivamente
b. As senhas VTP bob e BOB, respectivamente
c. VTP Pruning ativado e desativado, respectivamente
d. Os modos VTP de servidor e cliente, respectivamente
Tpicos fundamentais
Um switch Catalyst Cisco utiliza definies padro que permitem que ele funcione sem nenhuma configurao adicional,
sem necessidade de instalaes adicionais. Entretanto, a maioria das instalaes configura trs tipos principais de recursos
de switches: VLANs, conforme abordado neste captulo; Spanning Tree, conforme abordado no Captulo 2; e uma
variedade de ambientes administrativos que no causam impacto no comportamento de encaminhamento do switch,
explicados no Guia Oficial de Certificao do Exame CCENT/CCNA ICNDJ.
Todos os objetivos publicados para o exame ICND1 so considerados pr-requisitos para o exame ICND2, embora este
ltimo no aborde esses tpicos como finalidade. Por exemplo, conforme descrito no livro ICND 1, os switches reconhecem
endereos MAC examinando o endereo MAC fonte das frames de entrada e tomam decises de encaminhamento/
ftltragem com base no endereo MAC de destino das frames. Os captulos sobre LAN encontrados naquele livro (Captulo
3 e do Captulo 7 ao 11) tambm explicam os conceitos de renegociao automtica, colises, domnios de coliso e
domnios de broadcast. Portanto, embora o exame ICND2 possa no ter uma questo especfica sobre esses tpicos, eles
podem ser necessrios para responder a uma questo relacionada com os objetivos do exame ICND2. E, obviamente, o
exame CCNA aborda todos os tpicos e objetivos, tanto para o exame ICND1 quanto o ICND2.
Alm desses conceitos bsicos, o livro ICND 1 tambm descreve uma grande variedade de pequenas tarefas de configurao
que oferecem acesso a cada switch e ajudam a proteger o switch quando o acesso for concedido. Um switch deve ser
configurado com um endereo IP, uma mscara de sub-rede e um porto de entrada padro, permitindo acesso remoto ao
switch. Junto com este acesso, a Cisco recomenda vrias aes para se obter uma melhor segurana alm de simplesmente
proteger fisicamente o roteador com o intuito de impedir o acesso a partir do console do switch. Em especial, devem ser
configuradas senhas, e, para acesso remoto, deve ser usado o Secure Shell (SSH) em vez do Telnet, se possvel. O
servio HTTP tambm deve ser desativado, e devem ser configurados avisos para alertar sobre a existncia de possveis
ataques. Alm disso, as mensagens syslog de cada switch devem ser monitoradas para verificar a existncia de qualquer
mensagem relacionada a vrios tipos de ataques.
Os trs captulos desta primeira parte do livro contam a histria da LAN, explicando os tpicos especificamente relacionados
aos objetivos do exame ICND2. De modo especial, este captulo examina os conceitos relacionados a VLANs e, em
seguida, aborda a configurao e a operao de VLANs. A primeira seo deste captulo explica os conceitos principais,
incluindo como transmitir o trfego VLAN entre switches utilizando trunks de VLANs e como o VTP (VLAN Trunking
Protocol), patenteado pela Cisco, ajuda no processo de configurao de VLANs em uma LAN de compus. A segunda
seo deste captulo mostra como configurar VLANs e trunks de VLANs, como atribuir estaticamente interfaces a uma
VLAN e como configurar um switch para que um telefone e um PC na mesma interface estejam em duas VLANs
diferentes. A ltima seo aborda a configurao e a resoluo de problemas relativos a VTP.
.---_.--------------- .......
,,,.,.....
/",
. ...............
..
:
. VLAN1
Dino.
_~=;;~ Fred
.. '
......... ..
"", "
'
.........
000
'0
........
-~iiiiCi' Wilma
..
i VLAN2
..........
Betty'
....... ......
,,,
.. .... -
Ao colocar hosts em diferentes VLANs, voc obtm vrios benefcios, embora as razes possam no parecer to bvias
a partir da Figura 1-1. A chave para desfrutar esses benefcios entender que uma broadcast feito por um host em uma
VLAN ser recebida e processada por todos os outros hosts na VLAN, mas no por hosts em uma VLAN diferente.
Quanto mais hosts houver em uma nica VLAN, maior ser o nmero de broadcasts e maior ser o tempo de processamento
necessrio para cada host na VLAN. Alm disso, qualquer pessoa pode baixar vrios pacotes de software gratuitamente,
genericamente chamados de software analisador de protocolo, que podem capturar todos os frames recebidos por um
host. (Visite Wireshark, em http://www.wireshark.org, para obter gratuitamente um excelente pacote analisador.) Em
conseqncia disso, VLANs maiores expem nmeros e tipos de broadcast maiores para outros hosts, expondo mais
frames para hosts que poderiam ser usados por um hacker que utiliza softwares analisadores de protocolo para tentar
executar um ataque de reconhecimento. Essas so apenas algumas razes para separar os hosts em VLANs diferentes.
A seguir, apresentamos um resumo das razes mais comuns:
:~o
.....
-Criar projetos mais flexveis que agrupem usurios por departamento ou por grupos que trabalham juntos, em vez de
cri-los por localizao fsica
- Segmentar dispositivos em LANs menores (domnios de broadcast) para reduzir a sobrecarga causada a cada host
na VLAN
CCNAICND2
- Reduzir a carga de trabalho para o STP (Spanning Tree Protocol) limitando uma VLAN a um nico switch de acesso
- Impor uma melhor segurana mantendo os hosts que trabalham com dados sensveis em uma VLAN separada
- Separar o trfego enviado por um telefone IP do trfego enviado por PCs conectados aos telefones
Este captulo no chega a examinar com maior profundidade as razes para implementar VLANs, mas examina bem de
perto os mecanismos de como as VLANs funcionam em diferentes switches Cisco, incluindo a configurao necessria.
Com tal propsito, a prxima seo examina o Trunking de VLAN, um recurso necessrio para instalar uma VLAN que
existe em mais de um switch.
(;:~;~
....
:, Chav.
OI
CD
Ethernet Frame
'
,.
:-:.LAN 1
.. '
.
..
Ethernet Frame
. .............. ----........
VLAN
,/;J.~~-----1
..... ..... 1
'
..
..
,
'
"
~.~N 2
01"23
.........................
Trun
I VLAN 10 I
.. '
............ __ ........
..
,
'
"
de VLAN
Ethernet Frame
o
O uso de trunking permite que os switches transmitam frames de vrias VLANs atravs de uma nica conexo fsica.
Por exemplo, a Figura 1-2 mostra o switch 1 recebendo uma frame de broadcast na interface FaO/1 no Passo 1. Para
distribuir o frame, o switch 1 precisa encaminhar o frame de broadcast para o switch 2. Entretanto, o switch 1 precisa
avisar ao switch 2 que o frame faz parte da VLAN 1. Portanto, conforme mostrado no Passo 2, antes de enviar o frame,
o switch 1 acrescenta um cabealho de VLAN ao frame Ethemet original, com o cabealho de VLAN apresentando o
nmero 1 como VLAN ID, neste caso. Quando o switch 2 recebe o frame, ele percebe que o frame veio de um
dispositivo na VLAN 1, e, por isso, o switch 2 sabe que s deve encaminhar o broadcast para fora de suas prprias
interfaces na VLAN 1. O switch 2 remove o cabealho de VLAN, encaminhando o frame original para fora de suas
interfaces na VLAN 1 (Passo 3).
Como outro exemplo, considere o caso em que o dispositivo na interface FaO/5 do switch 1 envia um broadcast. O switch
1 envia o broadcast para fora da porta FaO/6 (porque esta porta est na VLAN 2) e para fora da porta Fa0/23 (por que
ela um trunk, o que significa que aceita vrias VLANs diferentes). O switch 1 acrescenta um cabealho de trunking ao
frame, listando o nmero 2 como VLAN ID. O switch 2 retira o cabealho de trunking quando percebe que o frame faz
parte da VLAN 2; portanto, o switch 2 sabe que deve encaminhar o frame somente para as portas FaO/5 e FaO/6, e no
para as portas FaO/1 e FaO/2.
10
Os switches Cisco aceitam dois protocolos de trunking diferentes: o Inter-Switch Link (ISL) e o IEEE 802.1Q. OS
protocolos de trunking oferecem vrios recursos. O mais importante o fato de poderem definir cabealhos que identificam
a VLAN ID, como mostra a Figura 1-2. Eles apresentam tambm algumas diferenas, conforme discutido a seguir.
ISL
A Cisco criou o ISL muitos anos antes do IEEE criar o protocolo padro 802.1 Q para Trunking de VLAN. Como o ISL
patenteado pela Cisco, ele pode ser usado somente entre dois switches Cisco que aceitem ISL. (Alguns switches Cisco
mais novos no aceitam ISL; pelo contrrio, aceitam somente a alternativa padronizada 802.1Q.) O ISL encapsula
completamente cada frame Ethernet original em um cabealho e trailer ISL. O frame Ethernet original, contido dentro do
cabealho e trailer ISL, permanece inalterado. A Figura 1-3 mostra a criao do frame para o ISL.
~ '
Dino
..........
Fred
,,'
..
: VLAN1
. . ; "
.,'
- "ta;;;,
"
.
.................
Wilma
O cabealho ISL inclui vrios campos, mas o mais importante que o campo VLAN do cabealho ISL oferece um lugar
para codificar o nmero da VLAN. Ao marcar um frame com o nmero da VLAN correto dentro do cabealho, o switch
de envio pode assegurar que o switch de recebimento sabe a qual VLAN o frame encapsulado pertence. Alm disso, os
endereos da fonte e de destino do cabealho ISL utilizam os endereos MAC do switch de envio e de recebimento, ao
contrrio dos dispositivos que realmente enviaram o frame original. Fora isso, os detalhes do cabealho ISL no tm
maior importncia.
IEEE 802.1Q
Hoje em dia, o IEEE padroniza muitos dos protocolos relacionados a LANs, e o Trunking de VLAN no exceo. Anos
aps a Cisco ter criado o ISL, o IEEE [malizou seus trabalhos em cima do 802.1 Q padro, que define uma forma
diferente de fazer trunking. Atualmente, o 802.1 Q se tomou o protocolo de trunking mais popular, ao ponto de a Cisco no
aceitar ISL em alguns de seus modelos mais recentes de switches LAN, incluindo os switches 2960 utilizados nos
exemplos deste livro.
O 802.1 Q utiliza um estilo diferente de cabealho, em comparao com o ISL, para marcar frames com um nmero
VLAN. Na verdade, o 802.1Q no encapsula o frame original em outro cabealho e trailer Ethernet. Pelo contrrio, o
802.1 Q insere um cabealho de VLAN de 4 bytes no cabealho Ethernet do frame original. Como resultado, ao contrrio
do ISL, o frame continua com os mesmos endereos MAC da fonte e de destino originais. Alm disso, como o cabealho
original foi expandido, o encapsulamento do 802.1Q fora um novo clculo do campo FCS (frame check sequence ou
seqncia de verificao daframe) original no trailer Ethernet, porque o FCS se baseia no contedo do frame inteiro.
A Figura 1-4 mostra o cabealho 802.1Q e a criao do frame do cabealho Ethernet revisado.
CCNA ICND2
11
Endereo de Destino
---
Observao O 802.1Q nem sempre aceitou vrias instncias de STP. Portanto, possvel
que algumas referncias mais antigas tenham corretamente declarado que, na poca, o 802.1Q
s aceitava uma nica instncia de STP.
Uma ltima diferena importante entre o ISL e o 802.1Q abordada aqui est relacionada com um recurso chamado
native VIAN (VIAN nativo). Em cada trunk, o 802.1Q define uma VLAN como sendo a VLAN nativa, ao passo que o
ISL no utiliza tal conceito. Como padro, a VLAN nativa do 802.1Q a VLAN 1. Por definio, o 802.1Q simplesmente
no acrescenta um cabealho 802.1Q aos frames na VLAN nativa.
Quando o switch do outro lado do trunk recebe um frame que no possui um cabealho 802.1 Q, o switch de recebimento
reconhece que o frame faz parte da VLAN nativa. Observe que, por causa desse comportamento, ambos os switches
devem concordar com qual VLAN a VLAN nativa.
A VLAN nativa 802.1 Q oferece algumas funes interessantes, principalmente para dar suporte a conexes com dispositivos
que no entendem trunking. Por exemplo, um switch Cisco poderia ser ligado por um cabo com um switch que no
entende o trunking 802.1Q. Este switch Cisco poderia enviar frames existentes na VLAN nativa (o que significa que o
frame no possui nenhum cabealho de trunking) de forma que o outro switch entendesse o frame. O conceito de VLAN
nativa d aos switches a capacidade de, pelo menos, transmitir o trfego em uma VLAN (a VLAN nativa), o que pode
proporcionar algumas funes bsicas, como a possibilidade de acesso telnet dentro de um switch.
A tabela 1-2 resume os recursos principais e pontos de comparao entre o ISL e o 802.1Q.
ISL
802.1Q
Definido por
Cisco
IEEE
No
Sim
Sim
Sim
Sim
No
Sim
Sub-redes IP e VLANs
Ao incluir VLANs em um projeto, os dispositivos de uma VLAN precisam estar na mesma sub-rede. Seguindo a mesma
lgica de projeto, dispositivos de VLANs diferentes precisam estar em sub-redes diferentes.
Por causa dessas regras de projeto, muitas pessoas pensam que uma VLAN uma sub-rede e que uma sub-rede uma
VLAN. Embora no seja totalmente verdade, como uma VLAN um conceito de Camada 2 e uma sub-rede um
conceito de Camada 3, a idia geral at razovel porque os mesmos dispositivos de uma nica VLAN so os mesmos
dispositivos em uma nica sub-rede.
Assim como em todas as sub-redes IP, para que um host de uma sub-rede encaminhe pacotes para um host em outra subrede, pelo menos um roteador deve estar envolvido. Considere, por exemplo, a Figura 1-5, que mostra um switch com trs
VLANs, circulado por linhas tracejadas, com parte da lgica utilizada quando um host na VLAN 1 envia um pacote IP a
um host na VLAN 2.
I
/
IFrame I
IVLAN21 Frame I
~
\ VLAN 2
: Sub-rede IP 10.1.2.024
I
,,/
<.::....----~B;riiey'"
" VLAN 3
: Sub-rede IP 10.1.3.024
Neste caso, quando Fred envia um pacote para o endereo IP de Wilma, Fred envia um pacote para o seu prprio
roteador padro porque o endereo IP de Wilma est em uma sub-rede diferente. O roteador recebe o frame com um
cabealho VLAN que implica que o frame faz parte da VLAN 1. O roteador toma uma deciso de encaminhamento,
enviando o frame de volta atravs do mesmo link fsico, mas, desta vez, com um cabealho de Trunking de VLAN que
mostra a VLAN 2. O switch encaminha o frame na VLAN 2 para Wilma.
Pode parecer um pouco ineficaz enviar o pacote do switch para o roteador e de volta para o switch - e, na verdade, o
que acontece. Atualmente, uma opo mais provvel em LAN s de compus utilizar um switch chamado switch multilayer
(multi camada) ou um switch Camada 3. Estes switches podem executar switching de Camada 2 e roteamento de
Camada 3, combinando a funo de roteador mostrada na Figura 1-5 no switch.
--
Por incrvel que parea, os switches Cisco no podem desativar o VTP. A opo mais prxima utilizar o modo transparente,
que faz com que esse switch ignore para si mensagens VTP, porm ele continua a encaminhar essas mensagens de
forma que qualquer outro cliente ou servidor VTP possa receber uma cpia dessas mensagens.
A prxima seo explica as operaes normais quando o engenheiro utiliza os modos servidor e cliente para usufruir das
capacidades do VTP, seguidas de uma explicao da maneira relativamente incomum de desativar o VTP atravs da
ativao do modo VTP transparente.
";6PIcO
. CMve
I-
13
Como este livro ainda no mostrou como configurar VLANs, para apreciar melhor o VTP, considere este exemplo sobre
o que o VTP pode fazer. Suponha que uma rede possua dez switches conectados de alguma forma usando trunks de
VLAN, e que cada switch tenha, pelo menos, uma porta atribuda a uma VLAN com VLAN ID 3 e o nome Accounting
(Contabilidade). Sem o VTP, qualquer engenheiro teria de entrar em todos os dez switches e inserir os mesmos dois
comandos config para criar a VLAN e definir o seu nome. Com VTP, voc criaria a VLAN 3 em um switch, e os outros
nove switches reconheceriam a VLAN 3 e o seu nome utilizando o VTP.
....... Figura 1-6 Nmeros de reviso da configurao VFP e processo de atualizao VFP
CCNA ICND2
@Rev3-Rev4
Cliente
VTP
@Rev3-Rev4
@Sinc novas inform VLAN
A~~:iiiI
Cliente
VTP
@Rev3-Rev4
@Sinc novas inform VLAN
14
A Figura 1-6 comea com todos os switches tendo o mesmo nmero de reviso da configurao de VLAN, o que
significa que eles possuem o mesmo banco de dados de configurao de VLAN. Isso significa que todos os switches
reconhecem os mesmos nmeros de VLAN e nomes de VLAN. O processo comea com cada switch reconhecendo
que o nmero atual de reviso da configurao 3. Os passos mostrados na Figura 1-6 so os seguintes:
1. Algum configura uma nova VLAN a partir da CU (command-line interface, interface de linha de comando) de um
servidor VTP.
2. O servidor VTP atualiza seu nmero de reviso do banco de dados da VLAN de 3 para 4.
3. O servidor envia as mensagens de atualizao VTP atravs de suas interfaces do trunk, mostrando o nmero 4 como
nmero de reviso.
4. Os dois switches cliente VTP percebem que as atualizaes apresentam um nmero de reviso mais alto (4) que seus
nmeros atuais de reviso (3).
5. Os dois switches cliente atualizam seus bancos de dados de VLAN com base nas atualizaes VTP do servidor.
Embora este exemplo mostre uma LAN muito pequena, o processo funciona da mesma forma para redes maiores.
Quando um servidor VTP atualiza a configurao de VLAN, o servidor imediatamente envia mensagens VTP atravs de
todos os seus trunks. Os switches vizinhos na outra extremidade dos trunks processam as mensagens recebidas e
atualizam seus bancos de dados de VLAN e, em seguida, enviam mensagens VTP aos seus vizinhos. O processo se
repete nos switches vizinhos, at que, finalmente, todos os switches tenham reconhecido o novo banco de dados de
VLAN.
Observao O processo completo atravs do qual um servidor muda a configurao de VLAN
e todos os switches VTP reconhecem a nova configurao, resultando em todos os switches
reconhecendo os mesmos nomes e IDs de VLANs, chamado sincronizao.
Os servidores e clientes VTP tambm enviam mensagens VTP peridicas a cada 5 minutos, caso qualquer switch recm
acrescentado precise saber sobre a configurao de VLAN. Alm disso, quando surge um novo trunk, os switches
podem imediatamente enviar uma mensagem VTP pedindo que o switch vizinho envie o seu banco de dados de VLAN.
At ento, este captulo tem se referido a mensagens VTP como atualizaes VTP ou mensagens VTP. Na prtica, o
VTP define trs tipos diferentes de mensagens: avisos de resumo, avisos de subconjunto e solicitaes de aviso. Os
avisos de resumo relacionam o nmero de reviso, o nome de domnio e outras informaes, mas no inclui nenhuma
informao sobre a VLAN. As mensagens VTP peridicas que ocorrem a cada cinco minutos so avisos de resumo
VTP. Se alguma coisa mudar, conforme indicado por um nmero de reviso maior que 1, a mensagem com o aviso de
resumo seguida por um ou mais avisos de subconjunto, cada qual alertando sobre algum subconjunto do banco de dados
de VLAN. A terceira mensagem, ou seja, a mensagem de solicitao de aviso, permite que um switch imediatamente
solicite mensagens VTP de um switch vizinho assim que surgir um trunk. Entretanto, os exemplos mostrados para os fins
deste livro no fazem distines sobre uso dessas mensagens.
O link entre os switches deve estar operando como um trunk de VLAN (ISL ou 802.1Q).
O nome de domnio VTP, sensvel a letras maisculas e minsculas, dos dois switches deve conferir.
Se configurado em pelo menos um dos switches, a senha VTP, sensvel a letras maisculas e minsculas, dos dois
switches deve conferir.
O nome de domnio VTP fornece uma ferramenta de projeto atravs da qual os engenheiros podem criar vrios grupos
de switches VTP, chamados domnios, cujas configuraes de VLAN so autnomas. Para isso, o engenheiro pode
configurar um conjunto de switches em um domnio VTP e outro conjunto em outro domnio VTP, e os switches dos
diferentes domnios vo ignorar as mensagens de VTP uns dos outros. Os domnios VTP permitem que os engenheiros
desmembrem a rede de switches em domnios administrativos diferentes. Por exemplo, em um prdio grande com uma
CCNA ICND2
15
grande equipe de TI, a equipe de TI de uma diviso pode usar Accounting (Contabilidade) como nome de domnio VTP,
enquanto outra parte da equipe de TI pode usar Sales (Vendas) como nome de domnio, mantendo o controle das suas
configura')es, mas, ainda assim, podendo encaminhar o trfego entre as divises atravs da infra-estrutura e LAN.
O mecanismo de senhas VTP fornece uma maneira atravs da qual um switch pode impedir que ataques nocivos forcem
o switch a alterar sua configurao de VLAN. A senha em si nunca transmitida em texto transparente.
16
Switches em modo transparente armazenam a configurao de VLAN no arquivo running-config e no arquivo vlan.dat
em memria flash. O running-config pode ser salvo no startup-config tambm.
Observao Em algumas verses mais antigas do lOS de switches da Cisco, os servidores VTP
armazenavam a configurao da VLAN tanto no arquivo vlan.dat quanto no arquivo running-config.
Verses VTP
A Cisco aceita trs verses VTP, devidamente chamadas de verses 1, 2 e 3. A maior parte das diferenas entre essas
verses no importante para as discusses contidas neste livro. Entretanto, a verso 2 do VTP apresentou uma importante
melhoria em relao verso 1, relativa ao modo VTP transparente. Essa melhoria descrita sucintamente nesta seo.
A seo "Evitando o VTP utilizando o modo VTP transparente", apresentada anteriormente neste captulo, descrevia
como um switch que utilizasse a verso 2 do VTP funcionaria. Entretanto, na verso 1 do VTP, um switch que estivesse
no modo VTP transparente verificaria, primeiramente, o nome do domnio e a senha recebidos da atualizao VTP. Se o
switch em modo transparente no combinasse com os dois parmetros, o switch em modo transparente descartaria a
atualizao VTP, em vez de encaminhar a atualizao. O problema encontrado na verso 1 do VTP que, em casos onde
o switch em modo transparente existisse em uma rede com vrios domnios VTP, o switch no encaminharia todas as
atualizaes VTP. Portanto, a verso 2 do VTP mudou a lgica do modo transparente, ignorando o nome do domnio e a
senha, o que permite que um switch em modo transparente da verso 2 do VTP encaminhe todas as atualizaes VTP
recebidas.
VTP Pruning
Como padro, os switches Cisco distribuem broadcasts (e unicasts de destino desconhecido) em cada VLAN ativa por
todos os trunks, desde que a topologia STP atual no bloqueie o trunk. (Mais informaes sobre STP podem ser obtidas
no Captulo 2.) Entretanto, na maioria das redes, existem muitas VLANs em apenas alguns switches, mas no em todos
os switches. Por isso, um desperdcio encaminhar broadcasts por todos os trunks, fazendo com que os frames cheguem
at switches que no possuem nenhuma porta naquela VLAN.
Os switches aceitam dois mtodos atravs dos quais os engenheiro!) podem limitar qual trfego de VLAN flui pelo trunk.
Um dos mtodos requer a configuraao manual da lista de VLANs permitidas (allowed VLAN list) em cada trunk; essa
configurao manual abordada mais adiante neste captulo. O segundo mtodo, VTP Pruning, permite que o VTP
determine dinamicamente quais switches no precisam de frames de certas VLANs. Depois disso, o VTP suprime essas
VLANs dos devidos trunks.
Pruning um termo que significa simplesmente que as devidas interfaces do trunk do switch no distribuem frames
naquela VLAN. A Figura 1-7 mostra um exemplo onde os retngulos desenhados em linha tracej ada denotam os trunks
a partir dos quais a VLAN 10 foi automaticamente limpa.
Switch 4
Porta 2
Distribuio
de trfego est
suprimida
(p
VLAN
10
CCNA ICND2
17
Na Figura 1-7, os switches 1 e 4 possuem portas na VLAN 10. Com o VTP Pruning ativado em toda a rede, o switch 2
e o switch 4 automaticamente usam o VTP para saber que nenhum dos switches na parte esquerda inferior da figura
possui portas atribudas VLAN 10. Em conseqncia disto, o switch 2 e o switch 4 suprimem a VLAN 10 dos trunks,
conforme mostrado. O pruning faz com que o switch 2 e o switch 4 no enviem para fora desses trunks os frames
encontrados na VLAN 10. Por exemplo, quando a estao A envia um broadcast, os switches distribuem o broadcast,
conforme mostrado pelas linhas com setas na Figura 1-7.
O VTP Pruning aumenta a largura de banda disponvel restringindo o trfego distribudo e um dos motivos mais fortes
para se utilizar o VTP; o outro motivo so a facilidade e a consistncia obtidas na configurao da VLAN.
Servidor
Cliente
Transparente
Sim
Sim
Sim
Sim
No
Sim
Sim
Sim
Sim
No
Sim
Sim
No
Sim
Sim
No
No
No
Sim
No
No
Sim
Sim
Sim
Sim
b. (Opcional) Use o subcomando name name VLAN para associar um nome para a VLAN. Se no estiver configurado,
o nome da VLAN VLANZZZZ, onde ZZZZ a VLAN ID decimal de 4 algarismos.
Passo 2 Para configurar uma VLAN para cada interface de acesso, siga os passos abaixo:
a. Use o comando interface para passar para o modo de configurao de interfaces para cada interface desejada.
b. Use o subcomando de interfaces switchport access vlan id-number para especificar o nmero da VLAN associado
com aquela interface.
c. (Opcional) Para desativar o trunking naquela mesma interface, assegurando que a interface seja uma interface de
acesso, use o subcomando de interfaces switchport mode access.
(;:~;~o
....
~ Ch_
CCNA ICND2
19
"
..........
". " .
Name
Status
Ports
default
active
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup
Above, VLAN 2 did not yet existo Below, VLAN 2 is added, with name Freds-vlan,
with two interfaces assigned to VLAN 2.
swl-2960#configure terminal
------------------------------------------------------------1
swl-2960(config)'vlan 2
swl-2960 (config-vlan) #name Freda-'Vlan
swl-2960 (config-vlan) #exit
swl-2960(config)# interface range faatethernet 0/13 -
14
interface FastEthernetO/13
switchport access vlan 2
switchport mode access
interface FastEthernetO/14
switchport access vlan 2
switchport mode access
Name
Status
Ports
default
active
Freds-vlan
active
1002
fddi-default
act/unsup
1003
token-ring-default
act/unsup
1004
fddinet-default
act/unsup
1005
trnet-default
act/unsup
Fa O/13 , Fa O/14
o exemplo comea com o comando show vlan brief, conflrmando as deflnies padro de cinco VLANs que no so
possveis de excluir, com todas as interfaces atribudas VLAN 1. De modo especial, observe que este switch 2960
possui 24 portas Fast Ethernet (FaO/1-Fa0/24) e duas portas Gigabit Ethernet (GiO/1 e GiO/2), todas apresentadas como
estando na VLAN 1.
A seguir, o exemplo mostra o processo de criao da VLAN 2 e da atribuio das interfaces FaO/13 e FaO/14 VLAN
2. Observe, principalmente, que o exemplo utiliza o comando interface range, que faz com que o subcomando da
interface switchport access vlan 2 seja aplicado a ambas as interfaces no intervalo, como confrrmado no resultado do
comando show running-config no flnal do exemplo.
Depois de acrescentada a conflgurao, para apresentar a nova VLAN, o exemplo repete o comando show vlan brief.
Observe que este comando apresenta a VLAN 2, name Freds-vlan, e as interfaces atribudas quela VLAN (FaO/13 e FaO/
14).
Observao O Exemplo 1-1 utiliza a configurao VTP padro. Entretanto, se o switch tivesse
sido configurado para o modo VTP transparente, os comandos de configurao vlan 2 e name
Freds-vlan tambm teriam sido vistos no resultado do comando show running-config. Como
esse switch est no modo VTP servidor (padro), o switch armazena esses dois comandos
somente no arquivo vlan.dat.
possvel que um switch no utilize a VLAN atribuda pelo comando switchport access vlan vlan-id em alguns casos,
dependendo do modo operacional da interface. O modo operacional de um switch Cisco tem a ver com o fato de a
interface estar atualmente utilizando um protocolo de trunking. Uma interface que esteja atualmente utilizando o trunking
chamada de interface de trunk (trunk interface), e todas as outras interfaces so chamadas interfaces de acesso
(access interfaces). Portanto, os engenheiros utilizam frases como "FaO/2 uma porta de trunk" ou "FaO/13 uma
interface de acesso", com referncia a se o design pretende utilizar uma determinada interface para formar um trunk
(modo trunk) ou para se conectar a uma nica VLAN (modo de acesso).
O subcomando de interface opcional switchport mode access diz ao switch para somente permitir que a interface seja
uma interface de acesso, o que significa que a interface no utilizar o trunking e utilizar a VLAN de acesso atribuda.
Se omitir o subcomando de interface opcional switchport mode access, a interface poder negociar o uso do trunking,
tomando-se uma interface de trunk e ignorando a VLAN de acesso conflgurada.
CCNA ICND2
21
histria exatamente onde o Exemplo 1-1 parou, mostrando o acrscimo da VLAN 3 (conforme visto na Figura 1-8).
Observe que SWl no sabe da existncia da VLAN 3 no incio do exemplo.
16
Name
Status
Ports
default
active
Freds-vlan
active
FaO / 13 , FaO / 14
VLANOO03
active
Fa0/15, FaO/16
1002
fddi-default
ac t /unsup
1003
token-ring-default
act/unsup
1004
f ddinet-default
ac t /unsup
1005
trnet-default
act/ u nsup
SW1#
O Exemplo 1-2 mostra como um switch pode dinamicamente criar uma VLAN - o equivalente do comando de configurao
global vlan vlan-id - quando o subcomando de interface switchport access vlan se refere a uma VLAN atualmente
no configurada. Este exemplo comea sem que o SWl saiba sobre existncia da VLAN 3. Quando o subcomando de
interface switchport access vlan 3 foi utilizado, o switch percebeu que a VLAN 3 no existia, e, conforme observado
na mensagem sombreada no exemplo, o switch criou a VLAN 3 utilizando um nome padro (VLAN0003). No
necessrio nenhum outro passo para criar a VLAN. Ao fmal do processo, a VLAN 3 existe no switch, e as interfaces
FaO/15 e FaO/16 esto na VLAN 3, conforme observado na parte sombreada que aparece no resultado do comando
show vlan brief.
Como lembrete, observe que algumas das configuraes mostradas nos Exemplos 1-1 e 1-2 s terminam no arquivo
vlan.dat em memria flash, enquanto outras terminam somente no arquivo running-config. De modo especial, os
subcomandos de interface esto no arquivo running-config, e, portanto, um comando copy running-config startupconfig seria necessrio para salvar a configurao. Entretanto, as definies das novas VLANs 2 e 3 j foram
automaticamente salvas no arquivo vlan.dat em memria flash. A Tabela 1-7, apresentada posteriormente neste captulo,
apresenta uma referncia dos vrios comandos de configurao, onde eles so armazenados e como confmnar as
definies de configurao.
Tabela 1-4 Opes do modo administrativo de trunking com o comando switchport mode ....
Opo de comando
Descrio
access
Impede o uso de trunking, fazendo com que a porta sempre aja como
porta de acesso (sem trunk)
trunk
dynamic desirable
dynamic auto
Por exemplo, considere os dois switches mostrados na Figura 1-9. Essa figura mostra uma expanso da rede da Figura 1-8,
com um trunk com um novo switch (SW2) e com partes das VLANs 1 e 3 em portas anexadas a SW2. Os dois switches
utilizam um link Gigabit Ethemet para o trunk. Neste caso, o trunk no se forma dinamicamente como padro, porque ambos
os switches (2960) utilizam o padro dynamic auto do modo administrativo, o que significa que nenhum dos switches inicia
o processo de negociao do trunk. Ao mudar um switch para que ele utilize o modo dynamic desirable , que no inicia a
negociao, os switches negociam para utilizar o trunking, especificamente o 802.1Q, porque os 2960 s aceitam 802.1Q.
". . ........... . . .
..........
VLAN 1
VLAN3
. .... .
..' ----
CCNA ICND2
23
o Exemplo 1-3 comea mostrando os dois switches com a configurao padro de forma que os dois switches no
formem um trunk. O exemplo mostra a configurao de SWl de forma que os dois switches negociam e utilizam o
trunking 802.1Q.
Exemplo 1-3 Configurao de trunking e comandos show em switches 2960
SW1# show interfaces gigabit 0/1 switchport
Name: GiO/1
Switchport: Enabled
Administr at ive Mode: dynami c auto
Operat i onal Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: nativ e ________________________________________________________________________________________________________
Negotiation of Trunking: On
Access Mode VLAN : 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN : none
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
v oice VLAN: none
Administrative private-vlan host-a s sociation: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative priva te - vlan trunk Native VLAN tagging : enabled
Administrative private-vlan trunk encapsulation : dot1q
Administrative priva te-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs : none
Opera tional priva te-vlan: none
Trunking VLANs Enabled: ALL
pruning VLANs Enabled : 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected:
false
swa
! Next,
SW1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#interface gigabit 0/1
SW1(config-if)j awitchport mode dynamic desirable
SW1(config-if)j AZ
swa
01:43:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernetO / 1 , changed
state to down
! The next command f o rmer1y 1 i sted a sing1e empty 1 ine of output; n ow it 1 i sts
! information about the 1 operationa l
trunk.
Mode
Encapsulat i on
Status
Gi O/ 1
des i rable
802 . 1q
trunking
Port
GiO / 1
1 -4094
Port
GiO / 1
1-3
Port
GiO / 1
1- 3
Primeiro, concentre-se em itens importantes a partir do resultado do comando show interfaces switchport no incio do Exemplo 1-3. O
resultado apresenta a definio padrii.o dynamic auto do modo administrativo. Como o SW2 tambm utiliza o padrii.o dynamic auto, o
comando relaciona o status operacional de SW1 como acesso, o que significa que ele no est utilizando o trunking. A terceira linha
sombreada destaca o nico tipo de trunking aceito (802.1 Q) nesse switch 2960. (Em um switch que aceita tanto ISL quanto 802.1 Q, esse
valor, de acordo com o padrii.o, apresentaria "negociar", significando que o tipo ou o encapsulamento negociado). Finalmente, o tipo do
trunking em funcionamento apresentado como "nativo", o que uma forma sutil de dizer que, nessa porta, o switch no acrescenta
nenhurn cabealho de trunking a frames encaminhadas, tratando os frames como se eles estivessem em urna VLAN nativa 802.1Q.
Para ativar o trunking, os modos administrativos dos dois switches devem estar definidos para uma combinao de
valores que resulte em trunking. Ao alterar SW1 para utilizar o modo dynamic desirable, conforme mostrado a seguir no
Exemplo 1-3, o SW1 iniciar agora as negociaes, e os dois switches utilizaro o trunking. especialmente interessante
observar o fato de que o switch traz a interface a um estado de desativao, e, em seguida, de ativao novamente, em
conseqncia da alterao feita no modo administrativo da interface.
Para verificar se o trunking est funcionando agora, o fmal do Exemplo 1-3 apresenta o comando show interfaces
switchport. Observe que o comando continua apresentando as definies administrativas, que denotam os valores
configurados junto com as definies operacionais que mostram o que o switch est fazendo atualmente. Neste caso,
SW1 agora diz estar em um modo operacional de trunk, tendo dot1 Q como encapsulamento do trunking em funcionamento.
Para os exames ICND2 e CCNA, voc deve estar preparado para interpretar o resultado do comando show interfaces switchport,
entender o modo administrativo subentendido pelo resultado e saber se o link: deve formar um trunk operacionalmente com base
nessas definies. A Tabela 1-5 apresenta as combinaes dos modos administrativos do trunking e o modo operacional esperado
(trunk ou acesso) resultantes das definies configuradas. A tabela relaciona o modo administrativo utilizado em uma extremidade
do link: esquerda e o modo administrativo, utilizado no switch, na outra extremidade do link: na parte superior da tabela. ..........
Tabela 1-5 Modo operacional esperado do trunking com base nos modos administrativos configurados
Modo administrativo
Access
Access
Access
Access
Access
i Tplco
,"-Chave
...
CCNA ICND2
dynamic auto
Access
Access
Trunk
Trunk
trunk
Access
Trunk
Trunk:
Trunk:
dynamic desirable
Access
Trunk
Trunk:
Trunk
25
o recurso allowed VIAN list oferece um mecanismo para que os engenheiros desativem administrativamente uma
VLAN de um trunk. Como padro, os switches incluem todas as VLANs possveis (l a 4094) na lista de VLANs
permitidas de cada trunk. Entretanto, o engenheiro pode limitar as VLANs permitidas no trunk utilizando o seguinte
subcomando de interface:
switchport trunk al l owed vlan {add
alI
except
remove} vl a n - li s t
Este comando oferece uma forma de facilmente acrescentar e remover VLANs de uma lista. Por exemplo, a opo add
permite que o switch acrescente VLANs lista existente de VLANs permitidas, e a opo remove permite que o
switch remova VLANs da lista existente. A opo ali significa todas as VLANs e, portanto, pode ser utilizada para voltar
com o switch sua definio padro original (permitindo VLANs de 1 a 4094 no trunk). A opo except um pouco
complicada: ela acrescenta lista todas as VLAN s que no so parte do comando. Por exemplo, o subcomando de
interface switchport trunk allowed vlan except 100-200 acrescenta as VLANs de 1 a 99 e de 201 a 4094 lista
existente de VLANs permitidas naquele trunk.
Alm da lista de VLANs permitidas, um switch tem outras trs razes para impedir que o trfego de uma VLAN
especfica cruze o trunk:. Todas essas quatro razes so resumidas na lista a seguir:
Uma VLAN foi removida da lista allowed VLAN do trunk:
........... Uma VLAN no existe, ou no est ativa, no banco de dados de VLAN do switch (conforme visto no comando
{Tpico
, Chave
show vlan)
o livro relaciona as quatro razes para se limitarem VLANs em um trunk: na mesma ordem em que o lOS descreve
essas razes no resultado do comando show interfaces trunk. Tal comando inclui uma progresso de trs listas das
VLANs aceitas em um trunk:. Essas trs listas so as seguintes:
VLANs da lista de VLANs permitidas no trunk
VLANs do grupo anterior que tambm so configuradas e ativas (no-fechadas) no switch
VLANs do grupo anterior que tambm no so suprimidas e que esto no Forwarding State (Estado de
Encaminhamento) do STP
Para ter uma idia dessas trs listas dentro do resultado do comando show interfaces trunk, o Exemplo 1-4 mostra
como as VLANs podem ter sua permisso bloqueada em um trunk: por vrios motivos. O resultado do comando
retirado do SW1 na Figura 1-9, aps o trmino da configurao, conforme mostrado nos Exemplos 1-1, 1-2 e 1-3. Em
outras palavras, as VLANs de 1 a 3 existem e o trunking est operando. Em seguida, durante o exemplo, os seguintes
itens so configurados em SW1:
(1-4094),
(1-3)
Mode
Encapsulation
Status
Native vlan
GiO/1
desirable
802.1q
trunking
Port
GiO/1
1-4094
Port
GiO/1
1-3
Port
GiO/1
! Next,
1-3
the switch is configured with new VLAN 4; VLAN 2 is shutdown;
! and VLAN 3 is removed from the allowed VLAN list on the trunk.
(1-2, 4-4094),
(1,4)
Mode
Encapsulation
Status
Native vlan
GiO/1
desirable
802.1q
trunking
Port
GiO/1
1-2,4-4094
! VLAN 2 is omitted below because it is shutdown . VLANs 5-4094 are omitted below
Port
GiO/1
1,4
Port
GiO/1
1,4
CCNA ICND2
27
IP). Os telefones Cisco IP podem enviar pacotes VoIP para outros telefones IP que aceitem chamadas de voz, bem como
enviar pacotes VoIP para portas de comunicao de voz, que, por sua vez, conectam-se rede de telefonia tradicional
existente, oferecendo a possibilidade de chamar praticamente qualquer telefone do mundo.
A Cisco previu que cada mesa de escritrio em uma empresa poderia ter sobre ela um telefone Cisco IP e um PC. Para
reduzir o emaranhado de cabos, a Cisco inclui um pequeno switch na parte de baixo de cada telefone Cisco IP. O
pequeno switch permite que um cabo faa o percurso desde o quadro de fiao at a mesa e se conecte ao telefone IP;
e, em seguida, o PC pode se conectar ao switch ligando um pequeno cabo Ethemet (contnuo) do PC at a parte de baixo
do telefone IP. A Figura 1-10 mostra o cabeamento e mais alguns detalhes.
Figura 1-10 Conexo tpica de um telefone Cisco IP e de um PC a um switch Cisco
Voice VLAN 12
Not Trunking
Access VLAN 2
As diretrizes do projeto de telefonia da Cisco sugerem que o link entre o telefone e o switch deva utilizar o trunking
802.1Q, e que o telefone e o PC devam estar em VLANs diferentes (e, portanto, em sub-redes diferentes). Ao colocar
os telefones em uma VLAN, e os PCs conectados aos telefones em outra VLAN diferente, os engenheiros podem
gerenciar mais facilmente o espao do endereo IP, aplicar mais facilmente os mecanismos de qualidade de servio
(QoS) aos pacotes VoIP e oferecer mais segurana separando os dados e o trfego de voz.
A Cisco chama de voice VLAN a VLAN utilizada para o trfego do telefone IP e de data VLAN, ou access VLAN, a
VLAN utilizada para os dados. Para que o switch encaminhe o trfego corretamente, os switches Cisco precisam saber
o VLAN ID da voice VLAN e do data VLAN. O data VLAN (ou access VLAN) configurada exatamente como visto
nos ltimos exemplos, utilizando o comando switchport access vlan vlan-id. A voice vlan configurada com o subcomando
de interface switchport voice vlan vlan-id. Por exemplo, para combinar com a Figura 1-10, a interface FaO/6 precisaria
do sub comando de interface switchport access vlan 2 e do sub comando switchport voice vlan 12.
/~:~;~
\ Cha".
....
Telefone
PC
---------------------------------------------------------------
Os switches so expostos a vrios tipos de vulnerabilidades de segurana tanto em portas utilizadas quanto portas noutilizadas. Por exemplo, um hacker poderia conectar um computador a uma tomada de parede ligada por um cabo porta
de um switch e causar problemas na VLAN atribuda quela porta. Alm disso, o hacker poderia negociar o trunking e
causar vrios outros tipos de problemas, alguns relacionados ao VTP.
A Cisco faz algumas recomendaes sobre como proteger portas de switches no-utilizadas. Em vez de usar as definies
padro, a Cisco recomenda configurar essas interfaces da seguinte forma:
28
Na verdade, se voc apenas encerrar a interface, a exposio da segurana vai embora, mas as outras duas tarefas
impedem qualquer problema imediato caso outro engenheiro ative a interface configurando um comando no shutdown.
Alm dessas recomendaes sobre portas no-utilizadas, a Cisco recomenda que a negociao do trunking seja desativada
em todas as interfaces de acesso em uso, sendo todos os trunks configurados manualmente para formarem um trunk. A
exposio quer dizer que um hacker pode desconectar o computador de um usurio legtimo da porta RJ-45, conectar o
PC do hacker e tentar negociar o trunking. Ao configurar todas as interfaces em uso que no deviam estar formando um
trunk com o subcomando de interface switchport nonnegotiate, essas interfaces no vo decidir dinamicamente formar
o trunk, reduzindo a exposio a problemas relacionados ao trunking. Para qualquer interface que precise formar um
trunk, a Cisco recomenda configurar o trunking manualmente.
....
Passo 1 Configurar o modo VTP utilizando o comando de configurao global vtp mode {server I client} .
Passo 2 Configurar o nome de domnio VTP (sensvel a letras maisculas e minsculas) utilizando o comando de
configurao global vtp domain domain-name.
Passo 3 (Opcional) Tanto nos clientes quanto nos servidores, configurar a mesma senha (sensvel a letras maisculas
e minsculas) utilizando o comando de configurao global vtp password password-value.
Passo 4 (Opcional) Configurar o VTP Pruning nos servidores VTP utilizando o comando de configurao global vtp
pruning.
Passo 5 (Opcional) Ativar a verso 2 do VTP com o comando de configurao global vtp version 2.
Passo 6 Criar trunks entre os switches.
O Exemplo 1-5 mostra um modelo de configurao, junto com um comando show vtp status, para os dois switches da
Figura 1-11. A figura destaca as definies de configurao nos dois switches antes de o Exemplo 1-5 mostrar a configurao
do VTP sendo acrescentada. De modo especial, observe que os dois switches utilizam as definies de configurao
padro do VTP.
.,
.,
",
CCNA ICND2
29
GiOI1
1, 2, 3,1002-1005
VLANs:
Server
ModoVTP :
Domnio VTP: <null>
Senha VTP :
<null>
Reviso VTP : 5
Endereo IP: 192.168.1.105
Trunk
GiOl2
VLANs:
ModoVTP:
Domnio VTP :
Senha VTP :
Reviso : 1
Endereo IP:
1,1002-1005
Servidor
<null>
<null>
192.168.1.1 06
o Exemplo 1-5 mostra a seguinte configurao em SW1 e SW2, seguida dos resultados:
SW1: Configurado como servidor, tendo Freds-domain como nome de domnio VTP, Freds-password como senha
VTP e o VTP Pruning ativado
SW2: Configurado como cliente, tendo Freds-domain como nome de domnio VTP e Freds-password como senha
VTP
SW1#configure terminal
Enter configuration commands, one per line. End with CNTL / Z.
SW1(config)#vtp mode server
Setting device to VTP SERVER mo de
SW1(config)#vtp domain Preds-domain
Changing VTP domain name from NULL to Freds-domain
SW1(config)#vtp password Preds-password
Setting device VLAN database password to Freds-password
SW1(config)#vtp pruning
pruning switched on
SW1 (config) #A Z
! Switching to SW2 now
SW2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW2(config)#vtp mode client
Setting device to VTP CLlENT mode.
SW2(config)#vtp domain Preds-domain
Domain name already set to Freds-domain.
SW2(config)#vtp password Preds-password
Setting device VLAN database password to Freds-password
SW2(config)#A Z
! The output below shows configuration revision number 5,
!
: 2
Configuration Revision
: 5
255
Client
Freds-domain
Enabled
VTP V2 Mode
Disabled
Disabled
M05 digest
! from SW1
Name
Status
Ports
default
active
Freds-vlan
active
VLANOO03
active
1002
fddi-default
act/unsup
1003
token-ring-default
act/unsup
1004
fddinet-default
act/unsup
1005
trnet-default
act/unsup
the output be10w confirms the same revision number as SW2, meaning
: 2
Configuration Revision
: 5
: 255
: 7
Server
Freds-domain
Enabled
VTP V2 Mode
Disabled
Disabled
M05 digest
.,
o exemplo relativamente longo, mas a configurao simples. Ambos os switches foram configurados com o modo
VTP (servidor e cliente), o mesmo nome de domnio e a mesma senha, com o trunking j tendo sido configurado. A
configurao resultou em SW2 (cliente) sincronizando o seu banco de dados de VLAN para combinar com SWl (servidor).
Os switches Cisco lOS no modo VTP servidor ou cliente armazenam os comandos de configurao vtp, e mais alguns
CCNA ICND2
31
outros comandos de configurao, no arquivo vlan.dat em memria flash. Os switches no armazenam os comandos de
configurao no arquivo running-config. Pelo contrrio, para verificar esses comandos de configurao e suas definies,
so usados os comandos show vtp status e show vlan. Como referncia, a Tabela 1-7 relaciona os comandos de
configurao relacionados VLAN, o local no qual o servidor ou o cliente VTP armazena os comandos e a forma de
visualizar as definies para os comandos.
Tabela 1-7 Local em que os clientes e servidores VTP armazenam as configuraes relacionadas VIAN (;~~;~o
\ Ch.".
Comandos de configurao
Onde so armazenados
Como visualizar
vtp domain
vlan.dat
vtp mode
vlan.dat
vtp password
vlan.dat
vtp pruning
vlan.dat
vlan vlan-id
vlan.dat
name vlan-name
vlan.dat
running~config
running-config
...
interfaces switchport
Qualquer anlise de VTP e de VLANs feita em switches Cisco depende de dois comandos importantes: os comandos
show vtp status e show vlan. Primeiro, observe que, quando o domnio sincronizado, o comando show vtp status em
todos os switches deve ter o mesmo nmero de reviso de configurao. Alm disso, o comando show vlan deve
apresentar as mesmas VLANs e os mesmos nomes de VLANs. Por exemplo, tanto SWl quanto SW2 terminam o
Exemplo 1-5 com um nmero de reviso igual a 5, e ambos sabem da existncia de sete VLANs: de 1 a 3 e de 1002 a
1005. Ambas as instncias do comando show vtp status no Exemplo 1-5 relacionam o endereo IP do ltimo switch
para modificar o banco de dados da VLAN, ou seja, SW1, 192.168.1.105; portanto, mais fcil determinar qual switch
provocou a ltima alterao na configurao da VLAN. Somente em servidores VTP, o comando show vtp status
termina com uma linha que relaciona o endereo IP daquele switch e que se identifica ao avisar sobre as atualizaes do
VTP, facilitando a confrnnao de qual switch provocou a ltima alterao na configurao da VLAN.
Observe que a senha VTP s pode ser exibida com o comando show vtp password. O comando show vtp status exibe
uma forma MD5 resumida da senha.
Observao Os switches Cisco enviam mensagens VTP e mensagens CDP (Cisco Discovery
Protocol) em trunks utilizando a VLAN 1.
CCNA ICND2
problemas que ocorrem quando surge um trunk, possivelmente acionando os switches vizinhos para enviarem atualizaes
VTP e sobrescreverem um dos bancos de dados de VLAN do switch. Esse tpico termina com as prticas ideais
sugeridas para evitar problemas de VTP.
33
o primeiro passo da resoluo de problemas de VTP envolve determinar se existe um problema, para incio de conversa.
Para switches que deveriam estar usando VTP, no mesmo domnio, o problema pode ser identificado, primeiramente,
quando quaisquer dois switches vizinhos tiverem bancos de dados de VLAN diferentes. Em outras palavras, eles reconhecem
VLAN ID diferentes, com nomes diferentes e com um nmero de reviso de configurao diferente. Aps identificar
dois switches vizinhos cujos bancos de dados de VLAN no combinam, o prximo passo verificar a configurao e o
modo operacional do trunking (e no o modo administrativo) e corrigir quaisquer problemas. A lista a seguir detalha os
passos especficos:
Passo 1 Confirmar os nomes dos switches, a topologia (incluindo quais interfaces conectam quais switches) e os
modos VTP dos switches.
/;~;;~o
Passo 2 Identificar com o
'. Cha...
....
comando show vlan conjuntos formados por dois switches vizinhos que deveriam ser
clientes ou servidores VTP cujos bancos de dados de VLAN diferem.
Passo 3 Em cada par formado por dois switches vizinhos cujos bancos de dados diferem, verificar o seguinte:
a. Pelo menos um trunk deve existir entre os dois switches (use o comando show interfaces trunk, show interfaces
switchport ou show cdp neighbors).
b. Os switches devem ter o mesmo nome de domnio VTP (show vtp status) (sensvel a letras maisculas e minsculas).
c. Se configurada, os switches devem ter a mesma senha VTP (show vtp password) (sensvel a letras maisculas e
minsculas).
d. Embora o VTP Pruning deva estar ativado ou desativado em todos os servidores no mesmo domnio, ter dois
servidores configurados com definies opostas de Pruning no impede o processo de sincronizao.
Passo 4 Para cada par de switches identificado no Passo 3, resolva a questo solucionando o problema do trunking ou
reconfigurando o switch para que ele combine corretamente com o nome de domnio ou a senha.
Observao Para LANs reais, alm dos itens dessa lista, considere tambm o projeto do
VTP desejado.
Embora o processo apresente vrios passos, seu principal objeti vo mostrar como atacar o problema com o conhecimento
abordado anteriormente neste captulo. O processo basicamente diz que, se os bancos de dados de VLAN diferem, e os
switches deveriam ser clientes ou servidores VTP, ento existe um problema de VTP - e a causa geradora geralmente
algum problema de configurao do VTP. Entretanto, no exame, possvel que voc seja forado a descobrir a resposta
com base no resultado do comando show. Por exemplo, considere um problema no qual trs switches (SW1 , SW2 e
SW3) se conectem todos uns com os outros. Uma determinada questo do exame pode pedir que voc encontre qualquer
problema de VTP na rede, com base no resultado dos comandos show, como os do Exemplo 1-6.
34
Name
Status
Ports
active
-------------
default
VLANOO03
active
VLANOO04
active
FaO/ll
VLANOO05
active
49
VLAN0049
active
50
VLAN0050
active
1002
fddi-default
act/unsup
1003
trcrf-default
act/unsup
1004
fddinet-default
act/unsup
1005
trbrf-default
act/unsup
Mode
Encapsulation
Status
Native vlan
GiO /1
desirable
802.1q
trunking
Port
GiO /1
1-4094
Port
GiO/1
1,3-5,49-50
Port
GiO/1
3-5,49-50
Configuration Revision
131
255
10
Client
Larry
Oisabled
VTP V2 Mode
Enabled
Oisabled
M05 digest
Oevice 10
Local Intrfce
Holdtme
Capability
Platform Port 10
SW1
Gig 0/2
175
S I
WS-C2960-2Gig 0/1
CCNA ICND2
S I
155
Gig 0/1
SW3
WS-C3550-2Gig 0/2
Name
Status
Ports
default
active
VLAN0003
activ e
1002
fddi-default
act / unsup
1003
trcrf-default
act / unsup
1004
fddinet-default
act / unsup
1005
trbrf-default
act / unsup
VTP Version
Configuration Revision
255
Server
larry
Disabled
VTP V2 Mode
Enabled
Disabled
MD5 digest
Name
Status
default
activ e
Ports
VLANOO03
active
VLANOO04
active
VLANOO05
active
FaO / 13
20
VLAN20
active
1002
fddi-default
act / unsup
1003
trcrf-default
act / unsup
1004
fddinet-default
act / unsup
1005
trbrf-default
act / unsup
Port
Mode
Encapsulation
Status
Native vlan
35
36
desirable
n-802.1q
Port
GiO/2
1-4094
trunking
Port
GiO/2
1,3-5,20
Port
GiO/2
1,3-5,20
: 2
Configuration Revision
134
1005
: 9
Server
Larry
Disabled
VTP V2 Mode
Enabled
Disabled
M05 digest
Para o Passo 1, os comandos show cdp neighbors e show interfaces trunk fornecem informaes suficientes para
confirmar a topologia, bem como mostrar quais links esto operando como trunks. O comando show interfaces trunk
apresenta apenas interfaces em um estado de trunking em funcionamento. Alternadamente, o comando show interfaces
switchport tambm apresenta o modo operacional (trunk ou access). A Figura 1-12 mostra o diagrama de rede. Observe
tambm que o link entre SW1 e SW3 no est utilizando trunking no momento.
Servidor
Servidor
Para o Passo 2, uma rpida reviso do resultado do comando show vlan brief de cada switch mostra que todos os trs
switches possuem bancos de dados de VLAN diferentes. Por exemplo, todos os trs switches sabem da existncia da
VLAN 3, enquanto SW1 o nico switch que sabe sobre a existncia da VLAN 50, e SW3 o nico switch que sabe
sobre a existncia da VLAN 20.
Como todos os trs pares de switches vizinhos possuem bancos de dados de VLAN diferentes, o Passo 3 do processo de
resoluo de problemas sugere que cada par seja examinado. Comeando com SW1 e SW2, uma rpida olhada no comando
show vtp status em ambos os switches identifica o problema: SW1 utiliza o nome de domnio Larry enquanto SW2 utiliza
larry, e os nomes diferem por causa da primeira letra maiscula ou minscula. Analogamente, SW3 e SW2 apresentam
dificuldades por causa do nome de domnio VTP que no combina. Como SW2 o nico switch em que a palavra larry est
com letra minscula, uma soluo seria reconfigurar SW2 para que ele usasse Larry como nome de domnio.
Continuando o Passo 3 para SW1 e SW3, os dois switches possuem o mesmo nome de domnio (Passo 3B), mas, ao olhar
o Passo 3A, vemos que no h nenhum trunk conectando SW1 a SW3. O CDP confmna que a interface GiO/2 de SW1
se conecta a SW3, mas o comando show interfaces trunk em SW1 no apresenta a interface GiO/2. Em conseqncia
CCNA ICND2
disso, nenhum dos switches pode enviar mensagens VTP um ao outro. A raiz do problema , muito provavelmente, um
lapso na conflgurao do subcomando de interface switchport mode.
Embora o exemplo no tenha tido nenhum problema com a no-combinao de senhas VTP, importante saber como
verificar as senhas. Primeiro, a senha pode ser exibida em cada switch com o comando show vtp password. Alm disso,
o comando show vtp status apresenta um hash MD5 derivado tanto do nome de domnio VTP quanto da senha VTP.
Portanto, se dois switches possuem o mesmo nome de domnio e a mesma senha, sensveis a letras maisculas e minsculas,
o valor para o hash MD5 apresentado no resultado do comando show vtp status ser o mesmo. Entretanto, se dois
switches apresentam valores diferentes para o hash MD5 , necessrio examinar os nomes de domnio. Se estes forem
iguais, as senhas deveriam ter sido diferentes, j que os hashes MD5 so diferentes.
Antes de passar para o prximo tpico, veja este breve comentrio sobre a verso VTP e como ela no impede que os
switcbes funcionem. Se voc examinar o resultado do comando show vtp status novamente no Exemplo 1-6, observe
os cabealhos VTP Version (Verso VTP) e V2 Mode Enabled (Modo V2 Ativado). A primeira linha apresenta a verso
VTP mais alta aceita pelo software daquele switch. A outra linha mostra o que o switch est atualmente usando. Se um
switch tiver o comando VTP verso 2 conflgurado, sobrescrevendo o padro da verso 1, o switch utilizar vtp version
2 - mas somente se os outros switches do domnio tambm aceitarem a verso 2. Portanto, a no-combinao da verso
VTP conflgurada significa que os switches funcionam, mas que eles devem usar a verso 1 do VTP, e a linha que exibe
"VTP V2 Mode" apresentaria a palavra disabled (desativado), significando que a verso 1 do VTP utilizada.
o VTP pode estar funcionando perfeitamente h meses, e um belo dia uma enxurrada de chamadas por ajuda descrevem
casos nos quais grandes grupos de usurios no conseguem mais utilizar a rede. Aps um exame minucioso, aparentemente
quase todas as VLANs foram excludas. Os switches continuam tendo vrias interfaces com comandos switchport
access vlan que se referem s VLANs agora excludas. Nenhum dos dispositivos presentes nessas VLANs agora
excludas funciona, porque os switches Cisco no encaminham frames para VLANs inexistentes.
Esse cenrio pode acontecer ocasionalmente (e acontece), principalmente quando um novo switch conectado a uma
rede existente. Se esse problema acontecer por acidente ou como um ataque de negao de servio (DoS), a causa
geradora que, quando um novo trunk de VLANs (ISL ou 802.1Q) surge entre dois switches, e os dois switcbes so
servidores ou clientes VTP, eles enviam atualizaes VTP um para o outro. Se um switch receber um aviso VTP que
possua o mesmo nome de domnio e tenha sido gerado com a mesma senha VTP, um outro switch sobrescreve seu banco
de dados de VLAN como parte do processo de sincronizao. Especificamente, o switch que tinha o menor nmero de
reviso, sincroniza seu banco de dados de VLAN para combinar com um switch vizinho (que possui o maior nmero de
.....~eviso). Resumindo o processo mais formalmente:
...;plco
37
Passo 1 Confirmar que o trunking ocorrer no novo link: (refira-se Tabela 1-5 para detalhes).
'. Chave
....
Passo 2 ConfIrmar que os dois switches utilizam o mesmo nome de domnio e senha VTP, sensveis a letras maisculas
e minsculas.
Passo 3 Os Passos 1 e 2 conflrmam que o VTP vai funcionar. O switch com menor nmero de reviso atualiza seu
banco de dados de VLAN para combinar com outro switch.
Por exemplo, o Exemplo 1-6 e a Figura 1-12 mostram que o link formado entre SW1 e SW3 no est formando um trunking.
Se esse link tivesse de ser configurado para formar um trunk, SW1 e SW3 enviariam mensagens VTP um para o outro,
utilizando o mesmo nome de domnio VTP e a mesma senha VTP. Portanto, um switch atualizaria seu banco de dados de
VLAN para que ele combinasse com o outro. O Exemplo 1-6 mostra SW1 com o nmero de reviso 131 e SW3 com
nmero de reviso 134; logo, SW1 vai sobrescrever seu banco de dados de VLAN para combinar com SW3, excluindo,
assim, as VLANs 49 e 50. O Exemplo 1-7 retoma a histria ao final do Exemplo 1-6, mostrando o surgimento do trunk entre
SW1 e SW3, permitindo a sincronizao do VTP e resultando em alteraes no banco de dados VLAN do SW1.
Exemplo 1-7 Exemplo de resoluo de problemas de VTP
SW1#configure terminal
Enter configuration commands, one per line. End with CNTL / Z.
SWl (config) #interface giO/2
SW1(config- if)# switchport mode dynamic desirable
Name
Status
Ports
default
active
FaO/18
VLANOO03
VLANOO04
active
active
VLANOO05
active
20
VLAN20
act ive
1002
fddi-default
act/unsup
1003
trcrf-default
act/unsup
1004
fddinet-default
act/unsup
1005
trbrf- d efau lt
ac t /un s u p
FaO/ll
Na vida real, voc tem vrias formas de ajudar a reduzir a chance de que tais problemas ocorram quando estiver
instalando um novo switcb em um domnio VTP existente. Especificamente, antes de conectar um novo switch a um
domnio VTP existente, defina o nmero de reviso do VTP do novo switch em O utilizando um dos seguintes mtodos:
Configure o novo switch em modo VTP transparente e depois volte para o modo VTP cliente ou servidor.
Apague o arquivo vlan.dat em memria flash do novo switch e reinicialize o switch. Esse arquivo contm o banco
de dados de VLAN do switch, incluindo o nmero de reviso.
Se voc no pretende utilizar o VTP, configure cada switch para utilizar o modo transparente.
\ Ch.".
".
Se estiver usando o modo VTP servidor ou cliente, sempre use uma senha VTP.
Desative o trunking com os comandos switchport mode access e switchport nonegotiate em todas as interfaces,
exceto em trunks conhecidos, evitando ataques VTP e impedindo o estabelecimento dinmico de trunks.
Ao evitar a negociao de trunking com a maioria das portas, o hacker nunca conseguir ver uma atualizao VTP a
partir de um dos seus switches. Tendo definido uma senha VTP, mesmo que o backer consiga fazer com que o trunking
funcione em um switch existente, ele teria de saber a senha para causar qualquer dano. E, ao utilizar o modo transparente,
voc consegue evitar os tipos de problemas descritos anteriormente, na seo "Cuidados ao sair da configurao VTP
padro".
CCNA ICND2
39
Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina.
A Tabela 1-8 relaciona esses tpicos-chave e os nmeros das pginas nas quais cada um encontrado.
Descrio
Nmero da pgina
Lista
Figura 1-2
Figura 1-4
Cabealho 802.1 Q
11
Tabela 1-2
11
Figura 1-6
13
Lista
14
Tabela 1-3
17
Lista
18
Lista
18
Tabela 1-4
22
Tabela 1-5
24
Lista
25
Tabela 1-6
27
Lista
27
Lista
28
Tabela 1-7
31
Lista
Lista
37
Lista
38
Definies de termos-chave
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: 802.1Q, ISL, trunk:,
modo administrativo do trunking, modo operacional do trunking, VLAN, banco de dados de configurao da VLAN,
vlan.dat, VTP, modo VTP cliente, VTP Pruning, modo VTP servidor, modo VTP transparente.
Descrio
vlan vlan-id
name vlan-name
shutdown
naquela VLAN
vtp pruning
VLANs permitidas
'.
CCNA ICND2
41
CAPTULO
Quando os designs das LANs requerem vrios switches, a maioria dos engenheiros de rede inclui segmentos Ethernet
redundantes entre os switches. O objetivo simples. Os switches podem falhar, e os cabos podem estar cortados ou
desligados, mas, se switches e cabos redundantes forem instalados, o servio de rede pode, ainda assim, permanecer
disponvel para a maioria dos usurios.
LANs com links redundantes oferecem a possibilidade de os frames fazerem um loop em torno da rede indefinidamente.
Essas frames em looping causariam problemas de desempenho na rede. Entretanto, LANs utilizam o STP (Spanning Tree
Protocol, ou Protocolo Spanning Tree), que permite que os links redundantes da LAN sejam utilizados e impedem, ao mesmo
tempo, que os frames faam um loop em torno da LAN, indefinidamente, atravs destes links redundantes. Este captulo
aborda o STP, junto com alguns comandos de configurao utilizados para regular o comportamento do STP.
Este captulo aborda os detalhes do STP, acrescidos de uma variao mais nova chamada RSTP (Rapid Spanning Tree
Protocol, ou Protocolo Spanning Tree Rpido). O fInal do captulo aborda a confIgurao do STP em switches 2960
seriais, junto com algumas sugestes sobre como abordar problemas sobre STP em exames.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
dez questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A
Tabela 2-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o
material dessas sees. Isso ajudar voc a avaliar o seu conhecimento nessas reas especfficas.
As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.
Tabela 1-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?"
Seo dos tpicos fundamentais
Questes
1-5
Rapid STP
8-9
10
1. Quais dos seguintes estados da porta 802.1d IEEE so estados estveis utilizados quando o STP completou uma
convergncia?
a.Bloqueio
b. Encaminhamento (Forwarding)
c. Escuta (Listening)
d. Aprendizado (learning)
e. Descarte
e. Descarte
3. Qual dos seguintes bridge IDs seriam escolhidos como raiz, considerando que os switches que possuem esses bridge
IDs estivessem na mesma rede?
a.32768:02oo.1111.1111
b.32768:02oo.2222.2222
c.2oo:02oo.1111.1111
d.200:02oo.2222.2222
e. 40,000:0200.1111.1111
4. Qual dos fatos a seguir determina a freqncia em que uma bridge ou um switch no-raiz envia uma mensagem Hello
BPDU 802.1d STP?
a. O timer (cronmetro/temporizador) Hello como configurado naquele switch.
b. O timer Hello como configurado no switch raiz.
c. Sempre a cada 2 segundos.
d. O switch reage aos BPDUs recebidos do switch raiz enviando outro BPDU 2 segundos aps o recebimento da
BPDU raiz.
5. Qual recurso STP faz com que uma interface seja colocada no Estado de Encaminhamento (Forwarding State) assim
que a interface se toma fisicamente ativa?
a. STP
b.RSTP
c. Root Guard
d.802.1w
e. PortFast
f. EtherChannel
6. Qual das respostas apresenta o nome do padro IEEE que melhora o padro STP original e diminui o tempo de
convergncia?
a. STP
b. RSTP
c. Root Guard
d.802.1w
e. PortFast
f. Trunking
7. Quais dos seguintes estados da porta RSTP possuem o mesmo nome de um estado de porta semelhante no STP
tradicional?
'.
CCNA ICND2
45
a.Bloqueio
b. Encaminhamento
c. Escuta
d. Aprendizado
e. Descarte
f. Desativado
8. Em um switch 2960, quais dos seguintes comandos alteram o valor do bridge lO?
a. spanning-tree bridge-id value
b. spanning-tree vlan vlan-number root {primary
I secondary}
Tpicos fundamentais
Sem o STP (Spanning Tree Protocol), uma LAN com links redundantes faria com que os frames Ethernet fizessem um
loop por um perodo indefinido de tempo. Com o STP ativado, alguns switches bloqueiam as portas de forma que essas
portas no encaminham frames. O STP escolhe quais portas bloquear para que exista somente uma passagem ativa entre
qualquer par de segmentos da LAN (domnios de coliso). Em conseqncia disso, os frames podem ser entregues a
cada dispositivo, sem causar os problemas criados quando os frames fazem loop atravs da rede.
o problema mais comum que pode ser evitado utilizando o STP so as tempestades de broadcasts. Estas fazem com que
os broadcasts (ou multicasts ou unicasts de destino desconhecido) faam loops em tomo de uma LAN indefinidamente.
Em conseqncia disso, alguns links podem ficar saturados com cpias inteis do mesmo frame, excluindo frames bons,
bem como impactando significativamente o desempenho do PC do usurio final, o que faz com que os PCs processem um
nmero excessivo de frames de broadcasts. Para ver corno isso ocorre, a Figura 2-1 mostra um modelo de rede no qual
Bob envia um frame de broadcast. As linhas tracejadas mostram como os switches encaminham o frame quando o STP
no existe.
Switches distribuem broadcasts por todas as interfaces na mesma VLAN, exceto a interface na qual o frame chegou. Na
figura, isso significa que SW3 vai encaminhar o frame de Bob para SW2; SW2 vai encaminhar o frame para SW1; SW1
vai encaminhar o frame de volta a SW3; e SW3 vai encaminh-lo de volta para SW2 novamente. Esse frame far loops
at que algo mude - algum encerre uma interface, reinicialize um switch ou faa outra coisa para quebrar o loop.
Observe tambm que o mesmo evento acontece no sentido oposto. Quando Bob envia o frame original, SW3 tambm
encaminha urna cpia para SW1, SW1 a encaminha para SW2, e assim por diante.
A instabilidade de tabelas MAC tambm ocorre como resultado dos frames em looping. Instabilidade de tabelas MAC
significa que as tabelas de endereo MAC dos switches continuaro alterando as informaes apresentadas para o
endereo MAC fonte do frame em looping. Por exemplo, SW3 comea a Figura 2-1 com urna entrada de tabela MAC,
da seguinte forma:
0200.3333.3333 FaO/1 3 VLAN 1
Entretanto, pense agora no processo de aprendizado do switch que ocorre quando o frame em looping vai para SW2,
depois para SW1, e depois volta interface GiO/1 de SW3. SW3 pensa da seguinte forma: hmmm... o endereo MAC
fonte 0200.3333.3333, e chegou minha interface GiO/ l. Ento, atualize a minha tabela MAC!, resultando na seguinte
entrada em SW3:
0200.3333.3333 GiO/l VLAN 1
CCNA ICND2
47
Neste ponto, se um frame chega a SW3 - um frame diferente do frame em looping que causa os problemas - destinado
ao endereo MAC 0200.3333.3333 de Bob, SW3 encaminhar incorretamente o frame por GiO/l at SWl. Esse novo
frame tambm pode fazer um loop, ou simplesmente nunca ser entregue a Bob.
A terceira classe de problemas causados pela no-utilizao do STP em uma rede com redundncia que hosts de
trabalho recebem vrias cpias do mesmo frame. Considere o caso em que Bob envia um frame para Larry, mas nenhum
dos switches sabe o endereo MAC de Larry. (Switches distribuem frames enviados a endereos MAC unicast de
destino desconhecido). Quando Bob envia o frame (destinado ao endereo MAC de Larry), SW3 envia uma cpia de
SWl e SW2. SWl e SW2 tambm distribuem o frame, fazendo com que as cpias do frame faam um loop. SWl
tambm envia uma cpia de cada frame atravs de FaO/ll at Larry. Em conseqncia disso, Larry recebe vrias cpias
do frame, o que pode resultar em uma falha do aplicativo ou at mesmo problemas mais profundos de comunicao em
rede.
A Tabela 2-2 resume as trs classes principais de problemas que ocorrem quando o STP no utilizado em uma LAN
com redundncia.
/;~;;~o
Tabela 2-2 Trs classes de problemas causados pela no-utilizao do STP em LANs redundantes
~. Chave
....
Problema
Descrio
Tempestades de broadcasts
Bob
0200.3333.3333
Observao Como as bridges Ethernet so raramente usadas hoje em dia, este captulo se
refere somente a switches. Entretanto, tanto as bridges quanto os switches utilizam o STP.
o processo utilizado pelo STP, s vezes chamado de STA (Spanning Tree Algorithm, ou Algoritmo de Spanning Tree) ,
escolhe as interfaces que devem ser colocadas em Estado de Encaminhamento. Para qualquer interface que no tenha
sido escolhida para ficar em Estado de Encaminhamento, o STA coloca a interface em Estado de Bloqueio. Em outras
palavras, o STP simplesmente escolhe quais interfaces devem encaminhar.
O STP utiliza trs critrios para escolher se deve colocar uma interface em Estado de Encaminhamento:
O STP escolhe um switch raiz e coloca todas as interfaces de trabalho no switch raiz em Estado de Encaminhamento.
Cada switch no-raiz considera que uma de suas portas tenha o menor custo administrativo entre ele e o switch
raiz. O STP coloca essa interface de menor custo de raiz, chamada porta raiz (PR, ou RP (root port)) daquele
switch, em Estado de Encaminhamento.
Muitos switches podem se associar ao mesmo segmento Ethemet. O switch com menor custo administrativo entre
ele e a bridge raiz, em comparao com os outros switches associados ao mesmo segmento, colocado em Estado
de Encaminhamento. O switch de menor custo em cada segmento chamado de bridge designada, e a interface
desta bridge, associada ao segmento, chamada de porta designada (pA, ou DP (designated port)).
Observao A verdadeira razo pela qual a raiz coloca todas as interfaces em Estado de
Encaminhamento que todas as suas interfaces se tornaro PAs, mas mais fcil lembrar
simplesmente que todas as interfaces de trabalho dos switches raiz encaminharo frames.
Todas as outras interfaces so colocadas em Estado de Bloqueio. A Tabela 2-3 resume as razes pelas quais o STP
coloca uma porta em Estado de Encaminhamento ou de Bloqueio.
..........
Tabela 2-3 STP: Razes para encaminhar ou bloquear
[ Tpico
\ Chave
....
Caracterizao da porta
Estado do STP
Descrio
Encaminhamento
CCNA ICND2
49
Encaminhamento
Encaminhamento.
Bloqueio.
o STA (Spanning Tree Algorithm) comea com a escolha de um switch para ser o switch raiz. Para entender melhor
esse processo de escolha, necessrio entender as mensagens STP enviadas entre switches bem como o conceito e
formato do identificador utilizado para identificar exclusivamente cada switch.
O BID (Bridge ID) STP um valor de 8 bytes exclusivo de cada switch. O bridge ID consiste em um campo de
prioridade de 2 bytes e um system ID de 6 bytes, com o system ID baseado em um endereo MAC gravado em cada
switch. O uso de um endereo MAC gravado assegura que o bridge ID de cada switch seja exclusivo.
O STP define mensagens chamadas bridge protocol data units (BPDU), que as bridges e os switches utilizam para
trocar informaes uns com os outros. A mensagem mais comum, chamada Helio BPDU, apresenta o bridge ID do
switch de envio. Ao apresentar o seu prprio bridge ID exclusivo, os switches podem perceber a diferena entre
BPDUs enviadas por switches diferentes. Essa mensagem tambm apresenta o bridge ID do atual switch raiz.
O STP define vrios tipos de mensagens BPDU, sendo a mensagem Helio BPDU a que faz a maior parte do trabalho.
A Helio BPDU inclui vrios campos, mas o mais importante que ela contm os campos apresentados na Tabela 2-4.
..........
[ TpiCO
\~ha"
Campo
Descrio
Bridge ID raiz
Bridge ID do remetente
Por enquanto, mantenha os trs primeiros itens da Tabela 2-4 em mente, j que as sees seguintes trabalham com os
trs passos ao discutir como o STP escolhe as interfaces a serem colocadas em Estado de Encaminhamento. Em
seguida, o texto examina os trs passos principais do processo STP.
Custo at Raiz: 4
Meu BIO: 32,769:0200.0002.0002
BIO Raiz: 32,769:0200.0001.0001
Custo at Raiz: O
Meu BIO: 32,769:0200.0001
BIO Raiz: 32,769:0200.0001.0001
Custo at Raiz: O
Meu BIO: 32,769:0200.0003.0003
BIO Raiz: 32,769:0200.0003.0003
Custo at Raiz: O
Meu BIO: 32,769:0200.0003.0003
BIO Raiz: 32,769:0200.0003.0003
Dois candidatos ainda existem na Figura 2-3: SW1 e SW3. Quem vence, ento? Bem, com base no bridge ID, o switch
com a menor prioridade vence; se ocorrer um empate, o menor endereo MAC vence. Conforme mostrado na figura,
SW1 possui o bridge ID menor (32769:0200.0000.0001) que SW3 (32769:0200.0003.0003); logo, SW1 vence e SW3
agora tambm acredita que SW1 seja o melhor switch. A Figura 2-4 mostra as mensagens Reno resultantes enviadas
pelos switches.
Depois de concluda a escolha, somente o switch raiz continua a originar mensagens Reno BPDU STP. Os outros
switches recebem as Renos, atualizam o campo BID do remetente (e o campo custo-para-alcanar-a-raiz) e encaminham
os Renos atravs de outras interfaces. A figura reflete esse fato, com SW1 enviando Renos no Passo 1, e SW2 e SW3
independentemente encaminhando a Reno atravs de suas outras interfaces no Passo 2.
CCNA ICND2
51
Custo at Raiz: 4
Meu BID: 32,769:0200.0002.0002
BID Raiz: 32,769:0200.0001.0001
Custo at Raiz: O
Meu BID: 32,769:0200.0001
BID Raiz: 32,769:0200.0001 .0001
Custo at Raiz: 5
Meu BID: 32,769:0200.0003.0003
BID Raiz: 32,769:0200.0001 .0001
Figura 2-5 SW3 calculando o custo para alcanar a raiz e escolher sua PR
.... .--
0+4=4
~,
...... ,
,~toatRa~
,:
"
,,
,,
,
,
".
--- ---
4+4=8
---~
4.,
0+5=5
---
..
,
,,
,
,
,
,,
,
,,
,,
,, ,
,
'
Como resultado do processo ilustrado na Figura 2-5, SW3 escolhe GiO/l como sua PR, porque o custo para alcanar o
switch raiz atravs desta porta (5) menor que a outra alternativa (GiO/2, custo 8). Analogamente, SW2 escolher GiO/
o ltimo passo do STP para escolher a topologia STP escolher a porta designada em cada segmento de LAN. A porta
designada em cada segmento de LAN a porta do switch que anuncia o Helio de menor custo em um segmento de LAN.
Quando um switch no-raiz encaminha um Helio, o switch no-raiz ajusta o campo do custo no Helio de acordo com o
custo daquele switch para alcanar a raiz. Na verdade, o switch com menor custo para alcanar a raiz, entre todos os
switches conectados ao segmento, torna-se a PD daquele segmento.
Por exemplo, na Figura 2-4, tanto SW2 quanto SW3 encaminham mensagens Helio para aquele segmento. Observe que
tanto SW2 quanto SW3 apresentam seu custo respectivo para alcanar o switch raiz (custo 4 em SW2 e custo 5 em
SW3). Como resultado, a porta GiO/l de SW2 a porta designada naquele segmento LAN.
Todas as PDs so colocadas em estado de encaminhamento. Neste caso, portanto, a interface GiO/l de SW2 ficar em
estado de encaminhamento.
Se os custos anunciados empatassem, os switches desempatariam escolhendo o switch que tivesse o menor bridge ID.
Nesse caso, SW2 teria vencido, com um bridge ID igual a 32769:0200.0002.0002 em comparao com
32769:0200.0003.0003 de SW3.
Observao Um switch pode conectar duas ou mais interfaces ao mesmo domnio de coliso
se forem utilizados hubs. Nesses casos, necessrio outro desempate: o switch escolhe a
interface que possui o menor nmero interno.
A nica interface que no tem motivo para estar em Estado de Encaminhamento nos trs switches dos exemplos mostrados
nas Figuras 2-3, 2-4 e 2-5 a porta GiO/2 de SW3. Portanto, o processo STP est agora concludo. A Tabela 2-5 mostra
o estado de cada porta e por que ela est naquele estado.
Estado
SW1 , GiO/l
Encaminhamento
SWl , GiO/2
Encaminhamento
SW2,GiO/2
Encaminhamento
A porta raiz
SW2,GiO/l
Encaminhamento
SW3,GiO/1
Encaminhamento
A porta raiz
SW3,GiO/2
Bloqueio
Os custos das portas podem ser configurados ou voc pode utilizar os valores padro. A Tabela 2-6 apresenta os custos
padro das portas definidos pelo IEEE; a Cisco usa estes mesmos padres. O IEEE revisou os valores de custo porque
os valores originais, estabelecidos no incio da dcada de 1980, no previram que o Ethernet cresceria e se tornaria o
Ethernet de lO-Gigabit.
.1
.'
CCNA ICND2
..........
Velocidade da Ethernet
53
t Tplco
;. Chave
....
lOMbps
100
100
100Mbps
10
19
1 Gbps
10 Gbps
Com o STP ativado, todas as interfaces de trabalho do switch entraro em Estado STP de Encaminhamento ou de Bloqueio,
at mesmo as portas de acesso. Para as interfaces do switch conectadas a hosts e roteadores, que no utilizam STP, o
switch continuar encaminhando Hellos para aquelas interfaces. Em virtude de ser o nico dispositivo que envia Hellos para
aquele segmento de LAN, o switch est enviando o Hello de menor custo para aquele segmento de LAN, fazendo com que
o switch se tome a porta designada naquele segmento de LAN. Portanto, o STP coloca as interfaces de acesso de trabalho
em Estado de Encaminhamento em conseqncia da parte do processo STP relativo porta designada.
e envia um Hello BPDU, com o custo 0, atravs de todas as suas interfaces de trabalho (aquelas em
(;~~;~o 1. AE raizd cria
d E
nh
)
' Chave
.....
sta
ncarrn
amento .
2. Os switches no-raiz recebem o Hello em suas portas raiz. Aps alterar o Heno para que ele apresente seus
prprios bridge IDs como sendo o BID do remetente e listar o custo raiz daquele switch, o switch encaminha o
Hello atravs de todas as portas designadas.
3. Os Passos 1 e 2 se repetem at que algo mude.
Cada switch depende desses Helios peridicos recebidos da raiz como forma de saber que o seu caminho at a raiz ainda
est funcionando. Quando um switch deixa de receber os Helios, significa que algo falhou, e o switch, portanto, reage e
comea o processo de alterao da topologia da spanning tree. Por vrias razes, o processo de convergncia requer o
uso de trs timers. Observe que todos os switches utilizam os timers conforme ditado pelo switch raiz, o qual a raiz
apresenta em suas mensagens peridicas Helio BPDU. O timer e suas descries so apresentados na Tabela 2-7. .......
~~~~
~
...
Timer
Descrio
Valor padro
Hello
2 seg
Max Age
10 vezes o HelIo
Forward Delay
15 seg
Se um switch no recebe um Helio BPDU esperado dentro do tempo de HelIo, ele continua como normal. Entretanto, se
os HelIos no aparecerem novamente dentro do tempo MaxAge, o switch reage dando passos para alterar a topologia
STP. Neste ponto, o switch reavalia qual switch deve ser o switch raiz e, se ele no for a raiz, qual porta deve ser a sua
PR (Porta Raiz) e quais portas devem ser PDs (portas Designadas), considerando que os HelIos que ele vinha recebendo
antes pararam de chegar.
A melhor forma de descrever a convergncia STP mostrar um exemplo utilizando a mesma topologia familiar. A Figura 2-6
mostra a mesma figura familiar, com a GiO/2 de SW3 em Estado de Bloqueio, mas a interface GiO/2 de SWl acaba de falhar.
Archie
RP
Raiz SW1
Eu sou SW2
Custo = 4
,,
~'
Legenda:
PR = Porta raiz
PO= Porta designada
SW3 reage alterao porque SW3 falha em receber seus HelIos esperados em sua interface GiO/l . Entretanto, SW2
no precisa reagir porque SW2 continua a receber seus HelIos peridicos em sua interface GiO/2. Nesse caso, SW3
reage quando o tempo MaxAge passa sem receber os Henos, ou assim que SW3 percebe que a interface GiO/l falhou.
(Se a interface falhar, o switch pode considerar que os HelIos no chegaro mais.)
Agora que SW3 pode agir, ele comea reavaliando a escolha do switch raiz. SW3 ainda recebe o Hello de SW1,
encaminhado por SW2, e SWl possui um bridge ID menor; do contrrio, SWl jamais teria sido a raiz. Portanto, SW3
decide que SWl continua sendo o melhor switch e que SW3 no a raiz.
Em seguida, SW3 reavalia sua escolha de PR (Porta Raiz). Neste ponto, SW3 s est recebendo Hellos em uma
interface, a interface GiO/2. Seja qual for o custo calculado, GiO/2 passar a ser a nova PR de SW3. (O custo seria 8: o
custo 4 anunciado por SW2 mais o custo 4 da interface GiO/2.)
SW3, ento, reavalia sua funo como PD (porta Designada) em qualquer outra interface. Neste exemplo, no necessrio
fazer nenhum trabalho real. SW3 j foi uma PD na interface FaO/13 e continua sendo a PD porque nenhum outro switch
se conecta quela porta.
Quando STP converge, um switch faz a transio de interfaces de um estado para outro. Entretanto, uma transio de
bloqueio para encaminhamento no pode ser feita imediatamente, pois uma alterao imediata para encaminhamento
poderia temporariamente causar loops nos frames. Para evitar estes loops temporrios, o STP faz a transio de uma
interface atravs de dois estados intermedirios, como mostrado a seguir:
CCNA ICND2
Escuta (Listening): assim como o estado de bloqueio, a interface no encaminha frames. O tempo das antigas
entradas da tabela MAC, hoje em dia incorretas, esgotado durante este estado, porque as antigas
entradas incorretas da tabela MAC seriam a causa raiz dos loops temporrios.
mas o switch comea a aprender os endereos MAC de frames recebidos na interface.
O STP passa uma interface do Estado de Bloqueio para o de Escuta, depois para o de Aprendizado e, em seguida, para o de
Encaminhamento. Ele deixa a interface em cada estado intermedirio por um tempo igual ao timer forward delay. Em
conseqncia disso, um evento de convergncia que faa com que uma interface mude de Bloqueio para Encaminhamento
requer 30 segundos para fazer essa transio. Alm disso, um switch pode ter de esperar tantos MaxAge segundos para
decidir alterar uma interface do estado de Bloqueio para o de Encaminhamento. Seguindo o mesmo exemplo mostrado nas
vrias figuras anteriores, SW3 pode ter de esperar tantos MaxAge segundos para decidir que no est mais recebendo o
mesmo BPDU raiz em sua porta raiz (o padro so 20 segundos) e, em seguida, esperar 15 segundos nos Estados de Escuta
(Listening) e Aprendizado (Learning) na interface GiO/2, resultando em um atraso de convergncia de 50 segundos.
A Tabela 2-8 resume os vrios estados de interface do Spanning Tree para facilitar a reviso.
Estado
Bloqueio
No
No
Estvel
Escuta
No
No
Transitrio
Aprendizado
No
Sim
Transitrio
Encaminhamento
Sim
Sim
Estvel
Desativado
No
No
Estvel
/;:~;~o
\~h.ve
Aprendizado (Leraning): interfaces que estejam neste estado continuam no encaminhando frames,
55
O STP j existe h mais de 20 anos. Os switches Cisco implementam o IEEE 802.1d STP padro, mas, durante os anos
intermedirios, a Cisco acrescentou recursos patenteados para trazer melhorias ao STP. Em alguns casos, o IEEE
acrescentou essas melhorias, ou algo parecido, aos padres IEEE mais recentes, seja como uma reviso do 802.1d
padro ou como um padro adicional. As sees a seguir examinam trs dos acrscimos patenteados feitos ao STP:
EtherChannel, PortFast e BPDU Guard.
EtherChannel
Uma das melhores formas de diminuir o tempo de convergncia do STP evitar a convergncia como um todo. O
EtherChannel oferece uma forma de evitar que a convergncia do STP seja necessria quando ocorre a falha somente
de uma nica porta ou cabo.
o EtherChannel combina vrios segmentos paralelos de velocidade igual (at oito) entre o mesmo par de switches, embutido
em um EtherChannel. Os switches tratam o EtherChannel como uma nica interface com relao ao processo de
encaminhamento de frames bem como para o STP. Por conseguinte, se um dos links falhar, mas pelo menos um dos links
estiver funcionando, a convergncia do STP no tem necessariamente que ocorrer. Por exemplo, a Figura 2-7 mostra a rede
familiar composta de trs switches, mas agora com duas conexes Gigabit Ethemet entre cada par de switches .
Com cada par de links Ethernet configurado como um EtherChannel, o STP trata cada EtherChannel como um nico link.
Em outras palavras, para que um switch precise causar convergncia do STP tem de haver a falha dos dois links que
levam ao mesmo switch. Sem o EtherChannel, se voc tiver vrios links paralelos entre dois switches, o STP bloqueia
todos os links exceto um. Com o EtherChannel, todos os links paralelos podem estar funcionando perfeitamente ao
mesmo tempo e reduzir o nmero de vezes que o STP deve convergir, o que, por sua vez, toma a rede mais disponvel.
O EtherChannel tambm fornece uma maior largura de banda de rede. Todos os trunks em um EtherChannel esto
encaminhando ou bloqueando, porque o STP trata todos os trunks de um mesmo EtherChannel como um nico trunk.
Quando um EtherChannel est em Estado de Encaminhamento, os switches balanceiam a carga de trfego atravs de
todos os trunks, oferecendo uma maior largura de banda.
PortFast
O PortFast permite que um switch imediatamente coloque uma porta em Estado de Encaminhamento quando a porta se
toma fisicamente ativa, ignorando qualquer opo de topologia do STP e no passando pelos estados de Escuta e
Aprendizado. Entretanto, as nicas portas em que voc pode ativar o PortFast com segurana so as portas em que voc
sabe que no h nenhuma bridge, switch ou outro dispositivo STP conectado.
O PortFast mais adequado para conexes com dispositivos do usurio final. Se voc acionar o PortFast em portas
conectadas a dispositivos do usurio final, quando o PC do usurio final inicializar, to logo a NIC do PC esteja ativa, a
porta do switch pode passar para o Estado STP de Encaminhamento e encaminhar trfego. Sem o PortFast, cada porta
deve esperar enquanto o switch confirma se a porta uma PD (Porta Designada) e esperar enquanto a interface
permanece nos Estados temporrios de Escuta e Aprendizado at entrar no Estado de Encaminhamento.
Segurana do STP
Interfaces de switches que se conectam com dispositivos locais do usurio final na LAN ficam expostas em termos de
segurana. Um hacker poderia conectar um switch a uma dessas portas, com um baixo valor de prioridade STP, e se
tornar o switch raiz. Alm disso, ao conectar o switch do hacker a vrios switches legtimos, o switch do hacker pode
acabar enviando uma grande quantidade de trfego na LAN, e o hacker poderia usar um analisador de LAN para copiar
grandes quantidades de frames de dados enviados atravs da LAN. Alm disso, os usurios poderiam inocentemente
danificar a LAN. Por exemplo, um usurio poderia comprar e conectar um switch barato a um switch existente,
possivelmente criando um loop ou fazendo com que o novo switcb, com potncia relativamente baixa, se tornasse a raiz.
O recurso BPDU Guard da Cisco ajuda a combater esses tipos de problemas desativando a porta, caso BPDUs sejam
recebidos naquela porta. Portanto, esse recurso especialmente til em portas que devam ser usadas somente como
porta de acesso e nunca conectadas a outro switch. Alm disso, o recurso BPDU Guard , muitas vezes, usado na
CCNA ICND2
57
mesma interface que tem o PortFast ativado, j que uma porta com o PortFast ativada j estar em Estado de
Encaminhamento, o que aumenta a possibilidade de encaminhar loops.
O recurso Root Guard da Cisco ajuda a combater o problema quando o novo switch "malcriado" tenta se tomar o switch
raiz. O recurso Root Guard permite que outro switch seja conectado interface e participa do STP enviando e recebendo
BPDUs. Entretanto, quando a interface do switch, que possui o Root Guard ativado, recebe um BPDU superior ao switch
vizinho - um BPDU que tenha um bridge ID menor/melhor -, o switch com o Root Guard reage. No s o switch ignora o
BPDU superior mas tambm desativa a interface, no enviando nem recebendo frames, desde que os BPDUs superiores
continuem chegando. Se os BPDUs superiores pararem de chegar, o switch pode comear a utilizar a interface novamente.
Conforme mencionado anteriormente neste captulo, o IEEE define o STP no padro IEEE 802.1d. O IEEE aperfeioou
o protocolo 802.1d com a definio do RSTP (Rapid Spanning Tree Protocol), conforme definido no padro IEEE 802.1 w.
! ....
. . -plco
'~h.'"
Ele escolhe as portas designadas em cada segmento de LAN utilizando as mesmas regras.
Ele coloca cada porta em Estado de Encaminhamento ou de Bloqueio, embora o RSTP chame o Estado de Bloqueio
de Estado de Descarte.
O RSTP pode ser empregado junto com os switches 802.1d STP tradicionais, com os recursos RSTP funcionando em
switches que o aceitam e com os recursos 802.1d STP tradicionais funcionando nos switches que aceitam somente STP.
Com todas essas semelhanas, possvel.que voc esteja se perguntando por que o IEEE quis criar o RSTP. O motivo
a convergncia. O STP leva um tempo relativamente longo para convergir (50 segundos de acordo com as definies
padro). O RSTP melhora a convergncia da rede quando ocorrem alteraes na topologia.
O RSTP melhora a convergncia eliminando ou significativamente reduzindo os perodos de espera necessrios para que
o 802.1d STP impea loops durante a convergncia. O 802.1d STP requer um perodo de espera de tantos MaxAge
segundos (20 segundos, de acordo com o padro) para reagir a alguns eventos, enquanto o RSTP tem de esperar somente
3*Hello (6 segundos, de acordo com padro). Alm disso, o RSTP elimina o tempo de forward delay (15 segundos, de
acordo com o padro) nos estados de Escuta e Aprendizado. A convergncia tradicional do STP possui, em essncia, trs
perodos de tempo, cada qual melhorado pelo RSTP.
Esses trs perodos de espera de 20, 15 e 15 segundos (padro) criam a convergncia relativamente baixa do 802.1d STP,
e a reduo ou eliminao desses perodos de espera faz com que a convergncia do RSTP ocorra rapidamente.
Os tempos de convergncia do RSTP so normalmente menores que 10 segundos. Em alguns casos, podem chegar a 1
ou 2 segundos. As sees a seguir explicam a terminologia e os processos utilizados pelo RSTP para superar as deficincias
do 802.1d STP e melhorar o tempo de convergncia.
Observao Como a maioria dos textos, quando for preciso distinguir entre os padres
802.1d antigo e o 802.1 w mais recente, o STP se refere ao 802.1d e o RSTP se refere ao
802.1w.
TipoEdge
-i'
-i'
Tipo Edge
Compartilhado - - -
Hub
Tipo Link
Compartilhado - - -
Hub
_ - - - Tipo Edge
Tipo Edge
pt-pt
A Figura 2-8 mostra dois modelos de rede. A rede da esquerda um projeto de rede de campus tpico de hoje em
dia, sem nenhum hub. Todos os switches se conectam com cabos Ethernet, e todos os dispositivos do usurio
final tambm se conectam com cabos Ethernet. O IEEE definiu o RSTP para melhorar a convergncia desses
tipos de rede.
Na rede do lado direito da figura, os hubs ainda esto em uso para conexes entre os switches, bem como para
conexes com dispositivos do usurio final. A maioria das redes no utiliza hubs mais. O IEEE no tentou fazer com
que o RSTP funcionasse em redes que utilizem hubs compartilhados e, por isso, o RSTP no melhoraria a convergncia
na rede da direita.
O RSTP chama de links as conexes Ethemet entre switches e de edges as conexes Ethernet com os dispositivos do
usurio final. Existem dois tipos de links: ponto-a-ponto, conforme mostrado no lado esquerdo da Figura 2-8, e compartilhado,
conforme mostrado no lado direito. O RSTP no distingue entre os tipos ponto-a-ponto e compartilhado para conexes de
edges.
O RSTP reduz o tempo de convergncia para conexes do tipo link ponto-a-ponto e do tipo edge. Ele no melhora a
convergncia em conexes do tipo link compartilhado. Entretanto, a maioria das redes modernas no utiliza hubs entre
switches; portanto, a ausncia das melhorias causadas pela convergncia RSTP para o tipo link compartilhado, na verdade,
no faz diferena.
Estado operacional
Ativado
Bloqueio
Descarte
No
Ativado
Escuta
Descarte
No
Ativado
Aprendizado
Aprendizado
No
Ativado
Encaminhamento
Encaminhamento
Sim
Desativado
Desativado
Descarte
No
Semelhante ao STP, o RSTP estabiliza com todas as portas em Estado de Encaminhamento ou de Descarte. Descarte
significa que a porta no encaminha frames, no processa frames recebidos nem aprende endereos MAC, mas escuta
CCNA ICND2
59
BPDUs. Em resumo, ele age exatamente como o Estado STP de Bloqueio. O RSTP utiliza um Estado intermedirio de
Aprendizado quando altera uma interface do Estado de Descarte para o Estado de Encaminhamento. Entretanto, o RSTP
precisa utilizar o Estado de Aprendizado somente por um pequeno perodo de tempo.
A funo alternativa (alternate) das portas RSTP identifica a melhor alternativa de um switch para sua PR atual. Em
resumo, a funo de porta alternativa uma PR alternativa. Por exemplo, SW3 apresenta GiO/1 como sua PR, mas SW3
tambm sabe que est recebendo Helio BPDUs na interface GiO/2. O switch SW3 possui uma porta raiz, exatamente
como aconteceria com STP. (Veja a Figura 2-4 como referncia ao fluxo estvel de BPDUs). O RSTP designa portas
que recebem BPDUs subtimas (BPDUs que no so to "boas" como as recebidas na porta raiz) como portas alternativas.
Se o switch SW3 parar de receber Helios da bridge raiz, o RSTP em SW3 escolhe a melhor porta alternativa como sua
nova porta raiz para comear o processo de convergncia mais veloz.
O outro novo tipo de porta RSTP, a porta backup, se aplica somente quando um nico switch possui dois links com o
mesmo segmento (domnio de coliso). Para ter dois links com o mesmo domnio de coliso, o switch deve estar ligado
a um hub, conforme mostrado na Figura 2-9 em SW2. Na figura, o switch SW2 coloca uma das duas portas na funo
de porta designada (e finalmente em Estado de Encaminhamento) e a outra interface na funo backup (e finalmente
em Estado de Descarte). SW2 encaminha BPDUs atravs da porta em Estado de Encaminhamento e recebe a
mesma BPDU de volta na porta que est em Estado de Descarte. Portanto, SW2 sabe que tem uma conexo extra
com aquele segmento, chamada de porta backup. Se a porta PD em Estado de Encaminhamento falhar, SW2 pode
rapidamente passar aquela porta backup do Estado de Descarte para o Estado de Aprendizado e, depois, para o
Estado de Encaminhamento.
A Tabela 2-10 apresenta os termos usados para as funes das portas para o STP e o RSTP.
f Tpico
\ Chave
....
Funo RSTP
Funo STP
Definio
Porta raiz
Porta raiz
Porta designada
Porta designada
Porta alternativa
Porta backup
Desativado
Convergncia do RSTP
Esta seo sobre RSTP comeou mostrando a voc a semelhana entre o RSTP e do STP: como ambos escolhem uma
raiz utilizando as mesmas regras, escolhem portas designadas utilizando as mesmas regras, e assim por diante. Se o
RSTP fizesse apenas as mesmas coisas que o STP, no haveria necessidade de atualizar o 802.1d STP padro original
com o novo padro 802.1 w RSTP. O principal motivo para o novo padro melhorar o tempo de convergncia.
O STA (Spanning Tree Algorithm) do RSTP funciona de forma um pouco diferente do seu predecessor mais antigo. Por
exemplo, em condies estveis, cada switch gera independentemente e envia Helio BPDUs, em vez de somente alterar
e encaminhar os Hellos recebidos pelo switch raiz. Entretanto, em condies estveis, os resultados fmais so os mesmos:
um switch que continue a receber os mesmos Hellos, com o mesmo custo e mesmo BID do switch raiz listados, deixa a
topologia do STP como est.
As principais alteraes na verso do STA do RSTP acontecem quando ocorrem mudanas na rede. O RSTP age de forma
diferente em algumas interfaces com base na caracterizao RSTP da interface e com base no que est conectado interface.
CCNA ICND2
61
RSTP elimina a necessidade do Estado de Escuta (Listening) e reduz o tempo necessrio do Estado de Aprendizado
(Learning) descobrindo ativamente o novo estado da rede. O STP espera passivamente por novas BPDUs e reage a elas
durante os Estados de Escuta e Aprendizado. Com o RSTP, os switches negociam com switches vizinhos enviando
mensagens RSTP. As mensagens ativam os switches para rapidamente determinar se uma interface pode ser imediatamente
mudada para o Estado de Encaminhamento. Em muitos casos, o processo demora apenas 1 ou 2 segundos para todo o
domnio RSTP.
Passo 1
Raiz
Raiz
Melhor]
BPDU
Raiz
BPDU
Raiz antiga,
j no
to boa
A Figura 2-10 esquematiza o problema. Na esquerda, no Passo 1, a rede no apresenta nenhuma redundncia. O RSTP
colocou todos os links do tipo link ponto-a-ponto em Estado de Encaminhamento. Para acrescentar redundncia, o
engenheiro de rede acrescenta outro link do tipo link ponto-a-ponto entre SW1 e SW4, conforme mostrado do lado direito
no Passo 2. Portanto, a convergncia RSTP precisa ocorrer.
O primeiro passo da convergncia ocorre quando SW4 percebe que est recebendo um BPDU melhor que o que entrou
vindo de SW3. Como tanto o BPDU raiz antigo quanto o novo BPDU raiz anunciam o mesmo switch, ou seja, SW1, o
novo e "melhor" BPDU que chega pelo link direto de SW1 deve ser melhor por causa do custo mais baixo.
Independentemente da razo, SW4 precisa passar para o Estado de Encaminhamento no novo link com SW1, pois este
agora a porta raiz de SW4.
Neste ponto, o comportamento do RSTP diverge do STP. O RSTP em SW4 agora bloqueia temporariamente todas as
outras portas do tipo link. Ao fazer isso, SW4 impede a possibilidade de introduzir loops. Em seguida, SW4 negocia com
seu vizinho a nova porta raiz, SW1, utilizando mensagens RSTP de propostas e de acordos. Em conseqncia disso, SW4
e SW1 concordam que podem imediatamente colocar suas respectivas extremidades do novo link em Estado de
Encaminhamento. A Figura 2-11 mostra esse terceiro passo.
Por que SW1 e SW4 podem colocar suas extremidades do novo link em Estado de Encaminhamento sem provocar um
loop? Porque SW4 bloqueia todas as outras portas do tipo link. Em outras palavras, ele bloqueia todas as outras portas
conectadas a outros switches. Esta a chave para entender a convergncia do RSTP. Um switch sabe que precisa
mudar para uma nova porta raiz. Ele bloqueia todos os outros links e, em seguida, negocia para trazer a nova porta para
o Estado de Encaminhamento. Em essncia, SW4 diz a SW1 para confiar nele e comear a encaminhar, porque SW4
promete bloquear todas as outras portas at ter certeza de que pode voltar com algumas delas para o Estado de
Encaminhamento.
Negociaes
:::::::s
Passo 3
Passo 4
~Raiz
Raiz
BPDU
Raiz antiga,
j no to boa
.-............""
em Estado de
Encaminhamento
Imediato
BPDU
Raiz
melhor
...... .. r
--.
bloqueando
Entretanto, o processo ainda no est completo. A topologia RSTP atualmente mostra SW4 bloqueando, o que, neste
exemplo, no a melhor topologia nem a topologia fInal.
SW4 e SW3 repetem o mesmo processo que SW1 e SW4 acabaram de executar. No Passo 4, SW4 ainda bloqueia,
impedindo loops. No entanto, SW4 encaminha o novo BPDU raiz para SW3 e, portanto, SW3 agora recebe dois BPDUs.
Neste exemplo, considere que SW3 pensa que o BPDU vindo de SW4 melhor que o recebido de SW2; isso faz com que
SW3 repita o mesmo processo que SW4 acabou de executar. A partir deste ponto, adotado o seguinte fluxo geral:
1. SW3 decide mudar sua porta raiz com base neste novo BPDU de SW4.
2. SW3 bloqueia todas as outras portas do tipo link. (O RSTP chama esse processo de sincronizao.)
3. SW3 e SW4 negociam.
4. Como resultado da negociao, SW4 e SW3 podem passar para encaminhamento em suas interfaces em qualquer
extremidade do tipo link ponto-a-ponto.
5. SW3 mantm o Estado de Bloqueio em todas as outras portas do tipo link at o prximo passo da lgica.
A Figura 2-12 mostra alguns desses passos na parte do Passo 5, esquerda, e o comportamento resultante no Passo 6,
direita.
Passo 5
BPDU antigo
melhor que
odeSW3
Raiz
~
Bloqueando Apresenta loops
Nao!ao bom
quanto o BPDU
deSW1
negociando
SW3 continua bloqueando sua interface superior neste ponto. Observe que SW2 est agora recebendo dois BPDUs, o
mesmo antigo BPDU que ele vinha recebendo ainda o melhor BPDU. Portanto, SW2 no toma nenhuma ao e o
RSTP, ento, termina a convergncia!
CCNA ICND2
63
Embora tenham sido usadas vrias pginas para explicar, o processo neste exemplo pode levar apenas I segundo para
ser concludo. Para os exames CCNA, necessrio saber os termos relacionados ao RSTP, bem como o conceito de que
o RSTP melhora o tempo de convergncia em comparao com o STP.
Os switches Cisco utilizam (IEEE 802.ld) STP, como padro. possvel comprar alguns switches e conect-los com
cabos Ethernet em uma topologia redundante e o STP assegurar que no exista nenhum loop. E voc nunca mais ter
de pensar em alterar qualquer deftnio!
Embora o STP funcione sem nenhuma conftgurao, voc deve entender como o STP funciona, entender como interpretar
comandos show referentes ao STP e saber como ajustar o STP atravs da confIgurao de vrios parmetros. Por
exemplo, de acordo com o padro, todos os switches utilizam a mesma prioridade; portanto, o switch com o endereo
MAC gravado mais baixo se torna a raiz. Por outro lado, um switch pode ser confIgurado com uma prioridade mais baixa,
de forma que o engenheiro sempre saiba qual switch a raiz, considerando que aquele switch esteja funcionando
perfeitamente.
As sees a seguir comeam discutindo vrias opes para equilibrar a carga de trfego utilizando vrias instncias do
STP, seguido de uma pequena descrio de como confIgurar o STP para tirar maior proveito dessas mltiplas instncias
do STP. O restante dessas sees mostra vrios exemplos de confIgurao tanto para o STP quanto para o RSTP.
(;~~;~o
:' Cha".
....
GiOI2
iO/1
Archie
",/.'...Trfego de
Trfego de
VLANs
VLANs
rm pares
pares
!;~;;~o
Tabela 2-11 Comparao entre trs opes para mltiplas spanning trees
\ Ch.ve
0'0
Opo
Aceita STP
PVST+
Sim
No
pequena
No
PVRST
No
Sim
pequena
No
MIST
No
Sim
mdia
Sim
6 bytes
Prioridade
(0-65,535)
!;~;;~o
\~h.V.
System 10
(Endereo MAC)
Bridge 10
em formato
.J-----------I.-,--- - -- - - - - ' original
"
.... ""
.............
_-- ............
r"---..-I----------"-Ir-----------,
- -".............
--
P~~\1~~e
de 4696
Extenso do System 10
(normalmente contm o VLAN 10)
L -_ _' - -_ _ __
4 bits
System 10
(Endereo MAC)
_ __ _' - - -_ _ _ __ _ _---'
12 bits
6 bytes
Extenso do
System 10
(Reduo do
endereo MAC)
65
CCNA ICND2
Para construir o BID de um switch para uma determinada instncia "per-VLAN" do STP, o switch deve utilizar uma
definio bsica de prioridade de um mltiplo do decimal 4096. (Todos esses mltiplos de 4096, quando convertidos para
binrio, terminam com 12 zeros binrios). Para criar os primeiros 16 bits do BID para uma determinada VLAN, o switch
comea com uma verso de 16 bits do valor base da prioridade, que tem todos os zeros binrio nos ltimos 12 algarismos.
O switch ento acrescenta o seu valor base da prioridade ao VLAN ID. O resultado que os 12 bits de baixa ordem no
campo de prioridade original listam o VLAN ID.
Um efeito interessante da utilizao da extenso do System ID que o PVST+ utiliza um BID diferente em cada VLAN.
Por exemplo, um switch configurado com as VLANs de 1 a 4, com uma prioridade base padro de 32,768 possui uma
prioridade STP padro de 32,769 na VLAN 1, 32,770 na VLAN 2,32,771 na VLAN 3, e assim por diante.
:, Chave
....
A Tabela 2-12 resume as definies padro para o BID e para os custos das portas, relacionando tambm os comandos
opcionais de configurao abordados neste captulo.
Tabela 2-12 Padres e opes de configurao do STP
Defmio
Padro
Bridge ID
PortFast
No-ativado
spanning-tree portfast
BPDU Guard
No-ativado
A seguir, a seo de configurao mostra como examinar a operao do STP em uma rede simples, mostrando tambm
como alterar essas definies padro.
Archie
Larry
Fa 0/12
Fa 0/11
VLAN3
spannin~tree
v1an 3
VLAN0003
Spanning tree enab1ed protocol ieee
Root I O
prior i ty
Bri dge IO
32 771
Address
Cost
19
Port
16
Hello Time
(FastEthernetO/16)
pr iority
Address
0019. e 8 6a . 6f80
Hello Time
pr i o. Nbr
--------
-----------------------------------------
Type
-----------
---
FaO/11
Oe sg FWD 19
128.11
P2p
FaO / 16
Root FWD 19
128.1 6
P2p
FaO/17
Altn BLK 19
128.17
P2p
SW1# show
--- - ---
spannin~tree
Vlan
Roo t IO
root
Root
Hello
Max
Fwd
Cost
Time
Age
Oly
Root Port
--------
---------------------
----
----
---
---
--------- --------
VLANOO01
32769 0019.e859.5380
19
20
15
FaO/16
VLANOO02
32770 0019.e859.5380
19
20
15
FaO/16
VLANOO03
19
20
15
FaO / 16
VLANOO04
32772 0019.e859.5380
19
20
15
FaO/16
! The next command supplies the same information as t he show spannin~tree vlan 3
! command about the local switch,
Vlan
VLAN0003
Bridge IO
HelIo
Max
Fwd
Time
Age
Oly
Root Port
20
15
ieee
o Exemplo 2-1 comea com o resultado do comando show spanning-tree vlan 3 em SW 1. Esse comando, primeiramente,
apresenta trs grupos principais de mensagens: um grupo de mensagens sobre o switch raiz, seguido de outro grupo sobre
o switch local, terminando com informaes sobre a funo da interface e o status. Comparando o root ID CID da raiz)
e o bridge ID (nas partes sombreadas) nos dois primeiros grupos de mensagens, voc consegue rapidamente dizer se o
switch local a raiz, pois, neste caso, o bridge ID e o root ID seriam iguais. Neste exemplo, o switch local no a raiz.
O terceiro grupo de mensagens no resultado do comando show spanning-tree vlan 3 identifica parte da topologia STP
neste exemplo relacionando todas as interfaces naquela VLAN (tanto interfaces de acesso quanto trunks que poderiam
CCNA ICND2
67
aceitar a VLAN), as funes de suas portas STP e os estados das portas STP. Por exemplo, SWI determina que FaO/ll
tem a funo de uma porta designada porque nenhum outro switch est competindo para se tornar a PD naquela porta,
conforme mostrado pela funo 'desg' no resultado do comando. Por isso, SWl precisa anunciar o Helio de menor custo
naquele segmento. Em conseqncia disso, SWl coloca FaO/ll em Estado de Encaminhamento.
Embora o resultado do comando mostre que SWl escolheu a interface FaO/16 como sua PR, a lgica de SWl ao fazer
essa escolha no aparente no resultado do comando. SWl recebe os Helio BPDUs do SW2 nas portas Fast Ethernet
0/16 e 0/17, ambas do SW2. Como FaO/16 e FaO/17 usam o mesmo custo padro de porta (19), o caminho de SWl at a
raiz o mesmo (19) em ambos os caminhos. Quando um switch se depara com um empate com relao ao custo para
alcanar a raiz, ele inicialmente utiliza os valores prioridade da porta (port priority) da interface para desempatar. Se
os valores de prioridade da porta empatam, o switch utiliza o menor nmero interno da interface. O nmero da prioridade
da interface e da porta interna so apresentados sob o cabealho "Prio.Nbr" no Exemplo 2-1. Nesse caso, SWl est
utilizando a prioridade de porta padro 128 em cada interface e, portanto, SWl utiliza o menor nmero de porta, FaO/16,
como sua porta raiz, colocando assim FaO/16 em Estado de Encaminhamento.
Observe tambm que o resultado do comando mostra que FaO/17 desempenha o papel de uma porta (raiz) alternativa,
conforme mostrado pela abreviao "Altn" no resultado do comando. Embora a funo da porta alternativa seja um conceito
do RSTP, a implementao 802.1d STP da Cisco tambm utiliza esse conceito e, por isso, o comando show lista a funo da
porta alternativa. Entretanto, como essa porta no nem uma PR nem uma PD, SWl a coloca em Estado de Bloqueio.
O prximo comando do exemplo, show spanning-tree root, apresenta o bridge ID do switch raiz em cada VLAN.
Observe que ambos os switches esto utilizando todas as definies padro; por isso, SW2 torna-se a raiz em todas as
quatro VLANs existentes. Esse comando tambm apresenta separadamente a poro relativa prioridade do bridge ID,
mostrando os valores de prioridade diferenciados (32,769, 32,770, 32,771 e 32,772) com base na extenso do System ID
explicada anteriormente neste captulo. O ltimo comando do exemplo, show spanning-tree vlan 3 bridge id, simplesmente
apresenta informaes sobre o bridge ID do switch local na VLAN 3.
Priority
32771
Address
0019 . e859.5380
Port
17
Hello Time
Bridge ID priority
(Fas tEthernetO / 1 7 )
Address
0019.e86a.6f80
Hello Time
Aging Time
15
Inter f ace
Prio.Nbr
Type
FaO/11
Desg FWD 19
128.11
P2p
FaO/16
Altn BLK 19
128.16
P2p
Fa O/ 17
Root FWD 2
128.17
P2p
SW1#configure terminal
Enter configuration commands, one per line . End with CNTL/Z .
SW1(config)# spanning-tree vlan 3 root primary
00:46:58: setting bridge id (which=l) prio 24579 prio cfg 24576 sysid 3
(on)
id 6003.0019.e86a.6f80
Este exemplo comea com o comando debug spanning-tree events em SW1. Esse comando diz ao switch para emitir
mensagens informativas de registro sempre que o STP realizar alteraes na funo ou no estado da interface. Essas
mensagens aparecem no exemplo em conseqncia dos comandos mostrados mais tarde no resultado do exemplo.
Em seguida, o custo da porta da interface FastEthernet O/17de SW1, apenas em VLAN 3, alterado utilizando o
comando spanning-tree vlan 3 cost 2, no modo de configurao da interface FaO/17. Logo aps esse comando, SW1
exibe as primeiras mensagens debug significativas. Essas mensagens basicamente declaram que FaO/17 agora a porta
raiz de SW1, que FaO/16 imediatamente passa para o Estado de Bloqueio e que FaO/17 lentamente passa para o Estado
de Encaminhamento passando, primeiramente, pelos Estados de Escuta e Aprendizado. Voc pode ver o tempo de 15
segundos (de acordo com a definio padro do forward delay) nos Estados de Aprendizado e Escuta, conforme mostrado
nas referncias de data e horas sombreadas no exemplo.
O comando spanning-tree vlan vlan-id root primary diz ao switch para utilizar um determinado valor de prioridade
somente naquela VLAN, com o switch escolhendo um valor que far com que o switch se torne o switch raiz naquela
VLAN. Para isso, esse comando defme a prioridade base - o valor da prioridade que acrescentado ao VLAN ID para
calcular a prioridade do switch - com um valor mais baixo que a prioridade base do atual switch raiz. Esse comando
escolhe a prioridade base da seguinte forma:
CCNA ICND2
24,576, se a atual raiz tiver uma prioridade base mais alta que 24,576
69
(;:~;~o
\ Chave
...
4096 subtrado da prioridade base da atual raiz se a prioridade dela for 24,576 ou menor
O comando spanning-tree vlan vlan-id root secondary diz ao switch para utilizar o valor da prioridade base de forma
que o switch local se tome a raiz se o switch raiz principal falhar. Esse comando defrne a prioridade base do switch em
28,672, independentemente do atual valor da prioridade da atual raiz.
Observe que a prioridade tambm pode ser explicitamente definida com o comando de configurao global spanningtree vlan vlan-id priority value, que define a prioridade base do switch. Entretanto, como vrios designs de LANs
dependem de uma nica raiz conhecida, com um backup at a raiz, os outros comandos so normalmente preferidos.
Configurando o EtherChannel
Finalmente, os dois switches realmente possuem conexes Ethemet paralelas que podem ser configuradas para o
EtherChannel. Fazendo isso, o STP no bloqueia nenhuma interface, porque ele trata ambas as interfaces de cada switch
como um link. O Exemplo 2-3 mostra a configurao de SWl e os comandos show para o novo EtherChannel.
SW1#configure terminal
En t er configu ration commands , one per l i n e. En d with CNTL / Z.
SW1(config)# interface fa 0/16
SW1(config- i f )#channel-group 1 mode on
SW1 (config )# int fa 0/17
SW1 (config-if)#channel-group 1 mode on
SW1(config-i f)# AZ
00:32:27: STP: VLAN0001 Po 1 -> learni ng
00 : 32:42 : STP: VLAN0001 Po1 -> f orward i n g
SW1 #show spanning-tree vlan 3
VLAN0003
Spanning t r ee e nabl e d p ro toco I ieee
Root ID
Bridge I D
Priority
28675
Address
0019.e859.5380
Cost
12
Port
72
HelIo Time
priori t y
28675
Addres s
0019.e86 a .6 f 80
He lIo Ti me
(Port-channell)
Aging Ti me 300
Interface
Ro le Sts Cost
Prio.Nbr
Type
Fa O/ 11
De sg FWD 1 9
128 . 11
P2p
Po1
Root FWD 12
1 28 . 72
P2p
D -
down
P - in port-channel
s - suspended
H - Hot-standby
(LACP only)
R - Layer3
S - Layer2
u - in use
: 1
Number of aggregators
: 1
Group
Port-channel
Pro toc ol
Ports
---------+------------------+---------------+---------------------------------------------------------------Po l(SU)
Em switches 2960, qualquer porta pode fazer parte de um EtherChannel, com at oito portas em um nico EtherChannel;
portanto, os comandos EtherChannel so sub comandos de interface. O subcomando de interface channelgroup 1
mode on ativa o EtherChannel nas interfaces FastEthernet 0/16 e 0/17. Ambos os switches devem concordar com o
nmero do EtherChannel, neste caso, 1, para que a configurao port-channel de SW2 seja idntica de SW l.
O comando channel-group permite que a configurao de uma interface seja sempre em um port channel (canal de porta)
(usando a palavra-chave on) ou seja dinamicamente negociada com outros switches utilizando as palavras-chave auto ou
desirable. Com a palavra-chave on usada em SW1 , se, por algum motivo, SW2 no estivesse configurado corretamente para
o EtherChannel, os switches no encaminhariam trfego atravs das interfaces. Como alternativa, os comandos de configurao
channel-group do EtherChannel em cada switch poderiam utilizar parmetros auto ou desirable em vez de on. Com esses
outros parmetros, os switches negociam se devem utilizar o EtherChannel. Se negociado, formado um EtherChannel. Se
no, as portas podem ser utilizadas sem formar um EtherChannel, com o STP bloqueando algumas interfaces.
O uso dos parmetros auto e desirable pode enganar. Se voc configurar auto em ambos os switches, o EtherChannel
nunca aparece! A palavra-chave auto diz ao switch para esperar que o outro switch comece as negociaes. Desde que
um dos dois switches esteja configurado com on ou desirable, o EtherChannel pode ser negociado com sucesso.
No restante do Exemplo 2-3, voc v vrias referncias a "port channel" ou "Po" . Como o STP trata o EtherChannel
como um link, o switch precisa de alguma forma para representar todo o EtherChannel. O lOS do 2960 utiliza o termo
"Po", abreviatura de "port channel" , como forma de dar nome ao EtherChannel. (O EtherChannel s vezes chamado
de port channel.) Por exemplo, prximo ao fmal do exemplo, o comando show etherchannell summary faz referncia
a Po1 como portchannel/EtherChannel 1.
Configurando o RSTP
No h nada de mais na configurao e na verificao do RSTP quando j se tem a compreenso completa das opes
de configurao do STP abordadas neste captulo. Cada switch requer um nico comando global, o spanning-tree
mode rapid-pvst. Como voc pode ver a partir do comando, ele no s ativa o RSTP mas tambm o PVRST, executando
uma instncia do RSTP para todas as VLANs defrnidas.
O restante dos comandos de configurao abordados nesta seo se aplica ao RSTP e ao PVRST sem nenhuma
alterao. Os mesmos comandos exercem impacto sobre o BID, o custo da porta e os EtherChannels. De fato, o
subcomando de interface spanning-tree portfast chega a funcionar, tecnicamente fazendo da interface uma interface
RSTP do tipo edge, em vez do tipo link, e instantaneamente passando a interface para o Estado de Encaminhamento.
O Exemplo 2-4 mostra como migrar do STP e do PVST+ para o RSTP e o PVRST e como saber se um switch est
utilizando RSTP ou STP.
pvst
.'
CCNA ICND2
r a pid - pvs t
71
priority
32772
Addres s
0019.e859.5380
Cost
19
Port 16
(FastEthernetO/16)
Rello Time
0019.e86a.6f80
Rello Time
Prio . Nbr
Type
FaO/16
FaO/17
Root FWD 19
128 . 16
Altn BLK 19
128.17
De modo especial, tente comparar a frase "protocol rstp", sombreada no exemplo, com o resultado do comando show
spanning-tree nos exemplos anteriores. Os exemplos anteriores utilizaram a definio padro do STP e do PVST+,
listando o texto "protocol ieee", referindo-se ao padro original IEEE 802.1 d STP.
As sees [mais concentram-se em como aplicar aos novos cenrios as informaes abordadas nas partes anteriores
deste captulo. Embora essa seo o ajude a se preparar para resolver problemas do STP em redes reais, o principal
objetivo prepar-lo para responder a questes sobre o STP nos exames CCNA. (Observe que essas sees no
introduzem nenhum fato novo sobre o STP.)
As questes sobre o STP tendem a intimidar boa parte dos candidatos. Um dos motivos pelo qual o STP causa mais
problemas aos candidatos prova que mesmo aqueles com experincia profissional podem nunca ter precisado resolver
problemas sobre o STP. O STP executado naturalmente e funciona bem utilizando as definies de configurao
padro em redes de pequeno a mdio porte, e, por isso, os engenheiros raramente precisam resolver problemas de STP.
Alm disso, embora a teoria e os comandos abordados neste captulo possam ser compreensveis, a aplicao de muitos
desses conceitos e comandos a um problema especfico do exame demorada.
Esta seo descreve e resume um plano de ataque para analisar e responder a diferentes tipos de problemas sobre STP no
exame. Algumas questes do exame podem exigir que voc determine quais interfaces devem encaminhar ou bloquear. Outras
questes podem querer saber qual switch a raiz, quais portas so portas raiz e quais portas so portas designadas. Com
certeza, outras variaes de questes tambm existem. Independentemente do tipo de questo, os trs passos a seguir podem
ser utilizados para analisar o STP em qualquer LAN e, por sua vez, responder a qualquer questo sobre STP no exame: ..... .
(i:::
".
Passo 2 Para cada switch no-raiz, determinar sua porta raiz (PR) e o custo para alcanar o switch raiz atravs desta
PRo
Passo 3 Para cada segmento, determinar a porta designada (PD) e o custo anunciado pela PD naquele segmento.
Passo 1 Escolha um switch com o qual comear e encontre o BID do switch raiz e do switch local na VLAN em
questo utilizando o comando exec show spanning-tree vlan v/anid.
Passo 2 Se o BID raiz e o BID local forem iguais, o switch local o switch raiz.
Passo 3 Se o BID raiz no for igual ao BID do switch local, faa da seguinte forma:
a. Encontre a interface da PR no switch local (tambm no resultado do comando show spanning-tree).
b. Utilizando o CDP (Cisco Discovery Protocolou outra documentao), determine qual switch est na outra extremidade
da interface da PR encontrada no Passo 3A.
c. Conecte-se ao switch na outra extremidade da interface da PR e repita esse processo, comeando no Passo 1.
O Exemplo 2-5 mostra o resultado de um comando show spanning-tree vlan 1. Sem nem mesmo saber a topologia da
LAN, tente agora essa estratgia de resoluo de problemas baseada no resultado do exemplo e compare o seu raciocnio
com as explicaes que se seguem ao exemplo.
Bri dge ID
Priority
32769
Address
000a.b7dc.b780
Cost
19
Po rt
Hello Time
(FastEt hernetO / 1)
Pr i or ity
Address
Hello Time
Prio.Nbr
Type
---------
-------
----------------------------------------
Fa O/ 1
Root FWD 19
128.1
P2p
FaO/19
128.19
Shr
FaO/20
128.20
Shr
As partes sombreadas do exemplo destacam o BID da raiz (prioridade e endereo) bem como o BID diferenciado de
SW2. Como o BID do switch raiz diferente, o prximo passo dever ser encontrar a porta raiz, que apresentada em
CCNA ICND2
73
dois lugares diferentes no resultado do comando (FaO/1). O prximo passo seria repetir o processo no switch na outra
extremidade da interface FaO/1 de SW2, mas o exemplo no identifica esse switch.
Switch Raiz
Uma forma de comear a tentar resolver este problema especfico aplicar apenas os conceitos do STP, resumidos no
primeiro pargrafo desta seo. Como alternativa, voc pode encontrar a soluo um pouco mais rapidamente utilizando
o processo a seguir, comeando com um switch no-raiz:
Passo 1 Determine todos os caminhos possveis atravs do qual um frame, enviado por um switch no-raiz, possa
alcanar o switch raiz.
Passo 2 Para cada caminho possvel no Passo 1, acrescente os custos de todas as interfaces de sada naquele
caminho.
Passo 3 O menor custo encontrado o custo para alcanar a raiz, e a interface de sada a PR daquele switch.
Passo 4 Se o custo empatar, desempate de acordo com a prioridade das portas, e, se ainda houver empate, desempate
com o menor nmero da porta.
A Tabela 2-13 mostra o trabalho feito referente aos Passos 1 e 2 deste processo, apresentando os caminhos e os custos
respectivos para alcanar a raiz atravs de cada caminho. Nessa rede, SW4 possui cinco caminhos possveis at o switch
raiz. A coluna do custo relaciona os custos da interface na mesma ordem da primeira coluna, junto com o custo total.
Custo
19 + 20 = 39
19 + 19 = 38
19 = 19
SW4 (FaO/2) -> SW2 (FaO/3) -> SW3 (FaO/l) -> SWl
19 + 19 + 19 = 57
SW4 (FaO/3) -> SW3 (FaO/2) -> SW2 (FaO/l) -> SWl
19 + 19 + 20 = 58
S para se assegurar de que o contedo da tabela esteja claro, examine o caminho fsico SW4 (FaO/2) ->
SW2 (FaOIl) -> SWl por um momento. Para esse caminho, as interfaces de sada so a interface FaO/2 de
SW4, com o custo padro de 19, e a interface FaO/l de SW2, configurada com custo de 20, perfazendo um
total de 39.
Voc deve tambm perceber quais custos de interfaces so ignorados com esse processo. Utilizando o mesmo exemplo,
o frame enviado por SW4 em direo raiz entraria na interface FaO/4 de SW2 e na interface FaO/2 de SW1. No seriam
considerados os custos de nenhuma das interfaces.
Neste caso, a PR de SW4 seria a sua interface FAO/l, porque o caminho de menor custo (custo 19) comea com
essa interface.
Tome cuidado ao fazer consideraes com relao a questes que requerem que voc encontre a PR de um switch.
Neste caso, por exemplo, pode ser intuitivo pensar que a PR de SW4 seria a sua interface FaO/l, pois ela est diretamente
conectada raiz. Entretanto, se as interfaces FaO/3 de SW4 e FaO/ l de SW3 fossem alteradas para um custo de porta
igual a 4, o caminho SW4 (FaO/3) -> SW3 (FaO/l) -> SWl totalizaria um custo igual a 8, e a PR de SW4 seria a sua
interface FaO/3. Portanto, s porque o caminho parece ser melhor no diagrama, lembre-se de que o ponto decisivo o
custo total.
Passo 1 Para switches conectados ao mesmo segmento de LAN, o switch que possui o menor custo para alcanar a
raiz a PD daquele segmento.
Passo 2 No caso de empate, entre os switches que empataram no custo, o switch que possui o menor BID se
toma a PD.
Considere, por exemplo, a Figura 2-17. Essa figura mostra a mesma rede de switches da Figura 2-16, mas
com as PRs e PDs anotadas, bem como o menor custo de cada switch para alcanar a raiz atravs de sua
respectiva PRo
CCNA ICND2
75
910:
30000:0200.2222.2222
9 10 :
32768:0200.3333.3333
PR
9 10 :
32768:0200.4444.4444
Custo para alcanar
a raiz: 19
Concentre-se nos segmentos que conectam os switches no-raiz por um momento. Para o segmento SW2-SW4, SW4
vence em virtude de ter um caminho de custo 19 at a raiz, enquanto o melhor caminho de SW2 tem custo 20. Pela
mesma razo, SW3 se toma a PD no segmento SW2-SW3. Para o segmento SW3-SW4, tanto SW3 quanto SW4
empatam em relao ao custo para alcanar a raiz. A figura apresenta os BIDs dos switches no-raiz, para que voc
possa ver que o BID de SW3 menor. Em conseqncia disso, SW3 vence o empate, fazendo de SW3 a PD daquele
segmento.
Observe tambm que o switch raiz (SWI) se toma a PD de todos os seus segmentos pelo fato de que o switch raiz
sempre anuncia Helios de custo O, e o custo calculado de todos os outros switches deve ser pelo menos 1, pois o menor
custo de porta permitido 1.
Para os exames, voc precisar saber como encontrar o switch raiz, a PR de cada switch e a PD de cada segmento,
depois de descobrir os BIDs, os custos das portas e a topologia da LAN. Neste ponto, voc tambm sabe quais interfaces
encaminham - aquelas que so PRs ou PDs - e as interfaces restantes responsveis por bloquear.
Convergncia do STP
A topologia do STP - o conjunto de interfaces em Estado de Encaminhamento - deve permanecer estvel enquanto a
rede permanecer estvel. Quando as interfaces e os switches oscilam, a topologia resultante do STP pode alterar; em
outras palavras, a convergncia do STP ocorrer. Esta seo destaca algumas estratgias que fazem uso do bom senso
para combater esses tipos de problemas nos exames.
Algumas questes do exame que tratam do STP podem ignorar os detalhes de transio quando a convergncia ocorre,
concentrando-se em quais interfaces passam de Encaminhamento para Bloqueio, ou de Bloqueio para Encaminhamento,
quando ocorre uma determinada alterao. Uma questo pode, por exemplo, apresentar detalhes de um cenrio e, em
seguida, perguntar: quais interfaces passam do Estado de Bloqueio para o de Encaminhamento? Para essas questes que
comparam as topologias antes e depois de uma alterao, basta aplicar os mesmos passos j abordados nesta seo,
porm, aplic-los duas vezes: uma vez para as condies anteriores s alteraes e uma vez para as condies que
provocaram a alterao.
Outras questes sobre STP podem concentrar-se no processo de transio, incluindo o timer Helio, o timer MaxAge, o
timer forward delay, os Estados de Escuta e Aprendizado e seus usos, conforme descrito anteriormente neste captulo.
Para esses tipos de questes, lembre-se dos seguintes fatos sobre o que ocorre durante a convergncia do STP:
Para interfaces que permanecem no mesmo estado STP, nada precisa ser alterado.
Para interfaces que precisam passar do Estado de Encaminhamento para o Estado de Bloqueio, o switch
imediatamente passa para o estado de Bloqueio.
Para interfaces que precisam passar do Estado de Bloqueio para o Estado de Encaminhamento, o switch inicialmente passa a interface para o Estado de Escuta e depois para o Estado de Aprendizado, cada um de acordo com
o tempo especificado pelo timer forward delay (15 segundos de acordo com padro). Somente depois disso que
a interface ser colocada em Estado de Encaminhamento.
Descrio
Tabela 2-2
47
48
49
Figura 2-5
51
Tabela 2-6
53
53
Tabela 2-7
Timers do STP
53
Lista
55
Tabela 2-8
55
Lista
57
Tabela 2-9
58
60
63
Tabela 2-11
64
Figura 2-14
64
Tabela 2-3
Tabela 2-4
Lista
Tabela 2-10
Figura 2-13
Nmero da pgina
-I
:1
-I
:1
-I
-I
:1
-I
:1
-I
:1
-I
:1
-I
:1
---
-
-
CCNA ICND2
Tabela 2-12
Lista
Lista
65
69
71
77
Definies de termos-chave
Imprima uma cpia do Apndice J, "Tabelas de memria", ou pelo menos a seo referente a este captulo, e complete
as tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", inclui tabelas e listas
completas para voc conferir o seu trabalho.
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: porta alternativa,
porta baclcup, Estado de Bloqueio, BRDU Guard, bridge ID, BPDU (bridge protocol data unit), porta designada, porta
desativada, Estado de Descarte, EtherChannel, forward delay, Estado de Encaminhamento, Helio BPDU, IEEE 802.1d,
IEEE 802.1s, IEEE 802.1 w, Helio inferior, Estado de Aprendizado, Estado de Escuta, MaxAge, PortFast, RSTP (Rapid
Spanning Tree Protocol), porta raiz, switch raiz, STP (Spanning Tree Protocol).
Embora voc no precise necessariamente memorizar as informaes contidas nas tabelas desta seo, ela inclui uma
referncia para os comandos de configurao e EXEC abordados neste captulo. Na prtica, voc deve memorizar os
comandos como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de preparao para o
exame. Para verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra
o lado esquerdo da tabela com um pedao de papel, leia as descries do lado direito e veja se voc se lembra do
comando.
Tabela 2-15 Referncia aos comandos de configurao do Captulo 2
Comando
Descrio
spanning-tree portfast
Descrio
show spanning-tree
ceNA ICND2
79
CAPTULO
Este captulo, junto com o Captulo 7, "Resolvendo problemas de roteamento IP", e o Captulo 11, "Resolvendo problemas
em protocolos de roteamento", tem uma funo importante: ajud-lo a desenvolver as habilidades necessrias para
resolver problemas rapidamente e responder com confiana a certos tipos de questes nos exames. Ao mesmo tempo,
espera-se que este captulo possa torn-lo mais preparado para resolver problemas reais de comunicao em rede.
Observao Para entender melhor por que a resoluo de problemas to importante para
os exames, refira-se seo "Formato dos Exames CCNA" na introduo deste livro.
Os captulos relativos resoluo de problemas deste livro no tm o mesmo objetivo principal que os outros captulos.
Colocando de forma simples, os captulos que no tratam da resoluo de problemas se concentram em recursos e fatos
individuais sobre uma rea de tecnologia, enquanto os captulos voltados para a resoluo de problemas renem um
conjunto de conceitos muito mais amplo. Esses captulos, voltados para a resoluo de problemas, investigam mais a
fundo o mundo da comunicao em rede, concentrando-se em como as partes funcionam em conjunto, partindo do
princpio de que voc j conhea os componentes individuais.
Este captulo aborda a mesma tecnologia discutida nos outros captulos pertencentes a esta parte do livro (Captulo 1,
"LANs virtuais", e Captulo 2, "Protocolo Spanning Tree") e os respectivos materiais que so pr-requisitos (conforme
abordados no CCENT/CCNA rCNDI Guia Oficial de Certificao do Exame). Alm disso, como este captulo o
primeiro voltado para a resoluo de problemas neste livro, ele tambm explica alguns conceitos gerais sobre a metodologia
usada para resoluo de problemas.
Como os captulos voltados para a resoluo de problemas deste livro utilizam conceitos de muitos outros captulos,
incluindo alguns captulos do CCENT/CCNA rCNDI Guia Oficial de Certificao do Exame, e mostram como abordar
algumas das questes mais desafiantes nos exames CCNA, aconselhvel ler esses captulos independentemente do seu
nvel de conhecimento atual. Por tais razes, os captulos voltados para a resoluo de problemas no incluem o questionrio
"Eu j conheo isto?". Entretanto, se voc se sente confiante com relao aos recursos de resoluo de problemas
relacionados a LAN Switching, abordados neste livro e no CCENT/CCNA rCNDI Guia Oficial de Certificao do
Exame, sinta-se vontade para passar direto seo "Atividades de preparao para o exame", prxima ao final deste
captulo, saltando assim boa parte do captulo.
Tpicos fundamentais
Este captulo composto de trs sees principais. A primeira seo se concentra no processo de resoluo de problemas
como objetivo principal. A segunda seo explica como aplicar os mtodos gerais de resoluo de problemas,
especificamente a um plano de dados do LAN Switching. A ltima seo apresenta algumas dicas e idias sobre tipos
especficos de problemas relacionados a LAN Switching.
- Analisar/prever a operao normal: a descrio e a previso dos detalhes do que deve acontecer se a rede estiver
funcionando corretamente, com base em documentao, na configurao e no resultado dos comandos show e
debug.
- Isolar o problema: quando algum possvel problema esti ver acontecendo, descubra os componentes que no funcionam
corretamente em comparao com o comportamento previsto, baseado novamente em documentao, na
configurao e nos resultados dos comandos show e debug.
- Analisar a causa geradora: identifique as causas por trs dos problemas identificados no passo anterior,
especificamente as causas que possuem uma ao especfica com a qual o problema possa ser resolvido.
Seguindo esses trs passos, o engenheiro dever saber como consertar o problema, e no s os sintomas do problema. A
seguir, o texto explica algumas idias sobre como abordar cada passo do processo de resoluo de problemas.
CCNA ICND2
83
Para entender o comportamento esperado da Camada 3 neste caso, voc precisaria considerar como o pacote foi da
esquerda para a direita e como a resposta flui da direita para a esquerda. Utilizando os seis passos apresentados na
figura, pode-se fazer a seguinte anlise:
Passo 1 Pense no endereo IP e na mscara do PCl , no endereo IP e na mscara do PC2 e na lgica do PCl para
entender que PC2 est em outra sub-rede. Isso faz com que PCl escolha enviar o pacote para a sua porta de
comunicao padro (RI).
Passo 2 Considere a lgica de encaminhamento de RI para combinar o endereo IP de destino do pacote com a tabela
de roteamento de RI, com a expectativa de que RI escolha enviar o pacote para R2 em seguida.
Passo 3 Em R2, considere a mesma lgica de combinao da tabela de roteamento utilizada em RI no passo anterior,
utilizando a tabela de roteamento de R2. A entrada que combina deve ser uma rota conectada em R2.
Passo 4 Este passo diz respeito ao pacote de respostas do PC2, que utiliza a mesma lgica bsica do Passo 1.
Compare o endereo IP/mscara do PC2 com o endereo IP do PCl , observando que eles esto em sub-redes
diferentes. Em conseqncia disso, PC2 deve enviar o pacote para a sua porta de comunicao padro, ou seja, R2.
Passo 5 Considere a lgica de encaminhamento de R2 para pacotes destinados ao endereo IP de PCl, com a
expectativa de que a rota que combina faa com que R2 envie esses pacotes para RI em seguida.
Passo 6 O ltimo passo do roteamento, em RI, deve mostrar que um pacote destinado ao endereo IP de PCl
combina com uma rota conectada em RI , o que faz com que RI envie o pacote diretamente ao endereo MAC de
PC L
Depois de ter entendido bem os comportamentos esperados de cada passo na Camada 3, possvel examinar mais de
perto a Camada 2. Seguindo a mesma ordem novamente, voc pode dar uma olhada mais de perto no primeiro passo
referente ao roteamento da Camada 3 na Figura 3-1 (PCl enviando um pacote a RI), examinando os detalhes das
Camadas 1 e 2 sobre como o frame enviado por PCl para ser entregue a RI, conforme mostrado na Figura 3-2.
Para essa anlise, voc novamente comearia com PC 1, desta vez considerando o cabealho e o trailer Ethernet, principalmente
os endereos MAC da fonte e do destino. Em seguida, no Passo 2, voc consideraria a lgica de encaminhamento de SW1,
que compara o endereo MAC de destino do frame com a tabela de endereos MAC de SW1, dizendo a SW1 para
encaminhar o frame at SW2. Os Passos 3 e 4 repetiriam a lgica do Passo 2 de SW2 e SW3, respectivamente.
Isolamento do problema
O processo de resoluo de problemas raramente um processo seqencial. Para frns de organizao, este captulo
relaciona o isolamento de problemas como o segundo dos trs passos utilizados para resoluo de problemas. Entretanto,
.'
CCNA ICND2
85
este passo mais provvel de acontecer assim que o primeiro passo (prevendo o comportamento normal) encontrar um
problema. Portanto, embora as listas genricas mostradas nesta seo ajudem a oferecer uma estrutura sobre como
resolver problemas, na prtica pode ser um pouco mais complicado.
Quando voc no tiver idia de como proceder, a no ser, talvez, o fato de que dois hosts no conseguem se comunicar,
novamente melhor comear com o plano de dados da Camada 3 - em outras palavras, a lgica de encaminhamento IP.
Em seguida, quando encontrar um passo de encaminhamento IP que no funcione, examine este passo mais de perto para
isolar ainda mais onde o problema est ocorrendo. Considere, por exemplo, a Figura 3-1 novamente, que mostra um
pacote sendo entregue de PC1 a PC2, e vice-versa, em seis passos de roteamento. Neste caso, entretanto, voc determina
que R2 receba o pacote, mas o pacote nunca entregue a PC2. Portanto, olhe mais de perto todo o processo de R2 atPC2 para isolar ainda mais o problema.
Depois de isolar o problema em um nico passo de encaminhamento IP (como mostrado na Figura 3-1), voc deve
continuar isolando ainda mais o problema at chegar ao menor nmero possvel de componentes. Por exemplo, se R2
recebe o pacote, mas PC2 no, o problema pode estar em R2, SW4, SW5, PC2, no cabeamento, ou possivelmente em
dispositivos deixados de fora da documentao da rede.
O processo utilizado para isolar ainda mais o problema normalmente requer pensar nas funes em vrias camadas
do modelo OSI, bem como nas funes do plano de dados e do plano de controle. Continuando com o mesmo
cenrio do problema-modelo, para conseguir encaminhar pacotes at PC2, R2 precisar saber o endereo MAC de
PC2 conforme este foi aprendido atravs do ARP (Address Resolution Protocol, ou Protocolo de Resoluo de
Endereos). Se descobrir que R2 no possui uma entrada ARP em PC2, possvel que voc seja tentado a pensar
que exista algum tipo de problema relacionado a IP. Entretanto, esse problema pode ser causado pelo nofuncionamento do trunk SW4-SW5, o que significa que a solicitao ARP do IP de R2 - um broadcast na LAN no pode ser entregue a SW5 por SW4, e, depois, a PC2. Portanto, o problema com o processo de encaminhamento
do pacote de R2 para PC2 pode estar relacionado a um protocolo de controle (ARP), mas a solicitao ARP que
falhou pode ser causada ainda por outros dispositivos (a inatividade do trunk SW4-SW5), que podem muito bem ser
um problema de Camada 2 ou de Camada 1.
Se uma questo do exame no lhe der nenhuma dica sobre onde comear, o processo a seguir apresenta um resumo de
uma boa estratgia geral e sistemtica para isolar o problema:
Passo 1 Comece examinando o plano de dados da Camada 3 (encaminhamento IP), comparando os resultados com o
comportamento normal e esperado, at identificar o primeiro passo que falhar no roteamento.
Passo 2 Isole o problema ainda mais at chegar ao menor nmero possvel de componentes:
a. Examine as funes em todas as camadas, mas concentre-se nas Camadas 1, 2 e 3.
b. Examine as funes do plano de dados e do plano de controle.
Nos exames, lembre-se de que voc no ganha pontos extras por usar bons mtodos de resoluo de problemas;
portanto, simplesmente encontre a resposta da forma que puder, mesmo que isso signifique que voc tenha usado um
pouco de adivinhao com base no contexto da questo. Por exemplo, o processo sugerido no Passo 2A diz para
concentrar-se nas Camadas 1, 2 e 3; essa sugesto baseada no fato de que os exames CCNA concentram
principalmente nessas trs camadas. Mas voc deve procurar usar atalhos em tal processo tanto quanto possvel com
base no que a questo apresenta.
Passo 1 Continue isolando o problema at identificar a verdadeira causa geradora, que, por sua vez, apresente uma
soluo bvia.
Passo 2 Se no puder reduzir o problema sua verdadeira causa geradora, isole o problema o tanto quanto possvel,
e mude algo na rede que possivelmente faa mudar os sintomas e ajud-lo a identificar a causa geradora.
o mundo real
versus os exames
No exame, voc deve procurar dicas sobre o tpico geral em relao ao qual voc precisa realizar parte do processo de
resoluo de problemas. Se a figura, por exemplo, mostrar uma rede como a da Figura 3-1, mas todas as respostas de mltipla
escolha se referirem a VLANs e VTP, comece observando o ambiente de LAN. Observe que, ainda assim, talvez valha a pena
considerar as Camadas de 1 a 3, e os detalhes dos planos de dados e de controle, para ajud-lo a encontrar as respostas.
Observao
Esta seo se aplica resoluo de problemas de forma geral, mas includa
apenas neste captulo porque este o primeiro captulo do livro dedicado a resoluo de
problemas.
CCNA ICND2
87
Passo 1 Determine a VLAN na qual o frame deve ser encaminhado, da seguinte forma:
ch~ga
Passo 2 Se a interface de entrada estiver no Estado STP de Encaminhamento ou de Aprendizado naquela VLAN,
acrescente o endereo MAC da fonte tabela de endereos MAC, com a interface de entrada e o VLAN ID
(caso j no esteja na tabela).
Passo 3 Se a interface de entrada no estiver em Estado STP de Encaminhamento naquela VLAN, descarte o frame.
Passo 4 Procure o endereo MAC de destino do frame na tabela de endereos MAC, mas somente para as entradas
feitas na VLAN identificada no Passo 1. Se o MAC de destino for encontrado ou no, faa da seguinte forma:
a. Encontrado: encaminhe o frame atravs da nica interface listada na entrada compatvel da tabela de endereos
b. No-encontrado: distribua o frame atravs de todas as portas de acesso naquela mesma VLAN que estejam em
Estado STP de Encaminhamento e atravs de todas as portas trunk que listem essa VLAN como completamente
aceita (na lista permitida, Encaminhamento STP ativo no-suprimido)
Para encaminhar um frame, um switch deve primeiramente determinar em qual VLAN o frame deve ser encaminhado
(Passo 1), aprender os endereos MAC da fonte conforme necessrio (Passo 2), e, em seguida, escolher para onde
encaminhar o frame. S para confirmar se o processo est claro, considere um exemplo utilizando a Figura 3-3, no qual
PC1 envia um frame sua porta de comunicao padro, R1, com os endereos MAC mostrados na figura.
Figura 3-3 Rede com switches utilizada na anlise no Captulo 3
0200.1111.1111
VLAN de acesso 3
FaOl10
FaOl1
0200.0101.0101
Neste caso, considere o frame como enviado de PC1 (MAC da fonte 0200.1111.1111) para R1 (MAC de destino
0200.0101.0101). SW1, utilizando o Passo 1 do resumo da lgica de encaminhamento, determina se a interface FaO/11
est operando como uma interface de acesso ou de trunk. Nesse caso, uma interface de acesso atribuda VLAN 3.
No Passo 2, SW1 acrescenta uma entrada sua tabela de endereos MAC, listando o endereo MAC 0200.1111.1111, a
interface FaO/11 e a VLAN 3. No Passo 3, SW1 confirma que a interface de entrada, FaO/11, est em Estado STP de
Encaminhamento. Finalmente, no Passo 4, SW1 procura uma entrada com o endereo MAC 0200.0101.0101 na VLAN
3. Se SW1 encontrar uma entrada que liste a interface GigabitO/1, ele encaminha o frame somente atravs de GiO/1. Se
a interface de sada (GiO/1) for uma interface de trunk, SW1 acrescenta um cabealho de trunking de VLAN que lista a
VLAN 3 e o VLAN ID determinado no Passo 1.
Como outro exemplo um pouco diferente, considere um broadcast enviado por PC1. Os Passos de 1 a 3 ocorrem como
antes, mas no Passo 4, SW1 distribui o frame. No entanto, SW3 s distribui o frame atravs das portas de acesso na
VLAN 3 e das portas de trunk que aceitam VLAN 3, com a restrio de que SW1 no encaminhar uma cpia do frame
atravs das portas que no estejam em Estado STP de Encaminhamento.
Embora essa lgica de encaminhamento seja relativamente simples, o processo de resoluo de problemas requer a
aplicao de quase todos os conceitos relacionados a LANs encontrados nos livros ICND1 e ICND2, alm de outros
tpicos tambm. Ao saber, por exemplo, que PC1 envia primeiramente frames a SW1, faz sentido verificar o status da
interface, assegurar-se de que a interf~ce esteja funcionando perfeitamente e consertar o problema da interface, caso ela .
no esteja funcionando corretamente. E possvel que dezenas de itens precisem ser verificados para resolver um problema .
Portanto, este captulo sugere um processo de resoluo de problemas para o plano de dados de uma LAN organizando
as aes em quatro passos principais:
Descrio
CCNA ICND2
89
. --------------------------------------------------------------
--------------------------------------------------------
A nica parte complicada do processo de comparao do resultado do CDP com um diagrama que o resultado relaciona
duas interfaces ou portas em vrias linhas. Lendo da esquerda para a direita, o resultado normalmente apresenta o host
name do dispositivo vizinho sob o ttulo de "Device ID" ("ID do Dispositivo"). Entretanto, o ttulo seguinte "Local
Intrfce", que significa "interface local", o nome/nmero da interface do dispositivo local. O nome/nmero da interface
do dispositivo vizinho fica no lado direito do resultado do comando sob o ttulo de "Port ID". O Exemplo 3-1 apresenta um
exemplo do comando show cdp neighbors de SW2 na Figura 3-3. Compare as partes sombreadas do resultado do
comando com os detalhes incorretos na Figura 3-3 para ver quais campos listam as interfaces para quais dispositivos.
oevi ce 10
Lo ca l
lntrfc e
SW1
Gig 0 / 2
RI
Fas 0 / 10
139
P - Phone
Holdtme
Capability
Platform
Port 10
173
S 1
WS-C2960-2
Gig 0 / 1
R S 1
1841
Fas 0/1
O CDP, quando ativado, cria uma exposio de segurana. Para evitar essa exposio, que pode permitir que um hacker
saiba dos detalhes sobre cada switch, o CDP pode ser facilmente desativado. A Cisco recomenda que o CDP seja ativado
em todas as interfaces que no necessitem dele especificamente. As interfaces mais provveis que precisam utilizar o
CDP so as interfaces conectadas a outros roteadores ou switches Cisco e as interfaces conectadas a telefones Cisco
IP. Do contrrio, o CDP pode ser desativado por interface utilizando o subcomando de interface no cdp enable. (O
subcomando de interface cdp enable reativa o CDP). O comando global no cdp run desativa o CDP para o switch
inteiro, e o comando global cdp run reativa o CDP globalmente.
b. Para interfaces que estejam em estado connect (ativo/ativo), verifique tambm a existncia de dois outros problemas:
erros de combinao duplex e algumas variaes de segurana de portas que propositalmente entregam frames.
Os comandos de switches show interfaces e show interfaces description apresentam o status formado pelos dois cdigos assim
como roteadores. Os dois cdigos so chamados de status de linha (tine status) e status de protocolo (protocol status), onde os
----------------------------------------------------Observao Este livro se refere a esses dois cdigos de status resumidamente listando .
somente os dois cdigos com uma barra entre eles; por exemplo, ''up/up''(ativo/ativo).
------------~--------------~--~~~~---------- .
o comando show interfaces status apresenta um nico cdigo de status de interface. Esse nico cdigo de status de
interface corresponde a combinaes diferentes dos cdigos de status de interfaces tradicionais, formados por dois
cdigos, e pode ser facilmente correlacionado queles cdigos. O comando show interfaces status, por exemplo,
apresenta um estado "connect" (conectado) para interfaces em funcionamento, que corresponde ao estado "up/up"
(ativo/ativo) visto nos comandos show interfaces e show interfaces description.
Qualquer estado da interface, que no sejam os estados connect ou ativo/ativo, significa que o switch no consegue
encaminhar ou receber frames naquela interface. Cada estado de interface que no esteja funcionando tem um pequeno
conjunto de causas geradoras. Alm disso, observe que os exames poderiam facilmente fazer uma pergunta que mostrasse
somente um ou outro tipo de cdigo de status; portanto, para estar preparado para os exames, saiba os significados dos
dois conjuntos de cdigos de status de interfaces. A Tabela 3-2 apresenta as combinaes de cdigo e algumas causas
geradoras que poderiam ter provocado um status de interface especfico.
/;~;;~o
Status de protocolo
(Line Status)
(protocol Status)
admin. inativo
(admin down)
inativo (down)
Status de interface
'. Chave
....
shutdown
inativo (down)
inativo (down)
ativo (up)
inativo (down)
inativo (down)
inativo (down)
ativo (up)
ativo (up)
conectado (connect)
CCNA ICND2
91
para receber dados. Ao conectar dois dispositivos que utilizam o mesmo par de pinos para transmitir, o cabo - um cabo
de cross over - deve conectar ou cruzar os fios conectados ao par de transmisso de cada dispositivo at o par de
recepo do outro dispositivo. Do contrrio, dispositivos que j utilizem pares opostos para transmisso de dados precisam
de um cabo contnuo (cabo straight-through) que no cruze os pares. A Figura 3-4 mostra um exemplo de uma LAN
tpica de switches, mostrando os tipos de pinagem do cabeamento.
/~~~~o
:, Chave
...
Prdio 2
Prdio 1
Cabos de
Cabos
1 - - - - Contnuos
Uma resoluo de problemas eficaz requer o conhecimento de quais dispositivos transmitem em quais reas. A Tabela 33 apresenta os dispositivos mais comuns vistos no contexto do CCNA, junto com os pares utilizados. Observe que ao
conectar dois tipos de dispositivos da mesma coluna, necessrio um cabo de cross over; ao conectar dois dispositivos de
colunas diferentes da tabela, necessrio um cabo contnuo (straight-through).
/~:~;~o
:,Chave
...
NlCs do PC
Hubs
Roteadores
Switches
Name
Status
Vlan
Duplex
Speed
Type
FaO / l
notconnect
auto
auto
lO / lOOBaseTX
FaO / 2
notconnect
auto
auto
lO / lOOBaseTX
FaO / 3
notconnect
auto
auto
lO / lOOBaseTX
connected
a-full
a-100
10/100BaseTX
FaO/5
connected
a-full
a-100
10/100BaseTX
FaO/6
notconnect
auto
auto
10/100BaseTX
FaOI7
notconnect
auto
auto
10/100BaseTX
FaO/8
notconnect
auto
auto
10/100BaseTX
FaO/9
notconnect
auto
auto
10/100BaseTX
FaO/10
notconnect
auto
auto
10/100BaseTX
FaO/ll
connected
a-full
10
10/100BaseTX
FaO/12
connected
half
100
10/100BaseTX
FaO/13
connected
a-full
a-100
10/100BaseTX
FaO/14
disabled
auto
auto
10/100BaseTX
FaO/15
notconnect
auto
auto
10/100BaseTX
FaO/16
notconnect
auto
auto
10/100BaseTX
FaO/17
connected
a-full
a-100
10/100BaseTX
FaO/18
notconnect
auto
auto
10/100BaseTX
FaO/19
notconnect
auto
auto
10/100BaseTX
FaO/20
notconnect
auto
auto
10/100BaseTX
FaO/21
notconnect
auto
auto
10/100BaseTX
FaO/22
notconnect
auto
auto
10/100BaseTX
FaO/23
notconnect
auto
auto
10/100BaseTX
FaO/24
notconnect
auto
auto
10/100BaseTX
GiO/1
connected
trunk
full
1000
10/100/1000BaseTX
GiO/2
notconnect
auto
auto
10/100/1000BaseTX
FastEthernetO/13 is up,
1-
(size/max)
O packets/sec
O packets/sec
O giants,
(O multicast)
O throttles
O overrun,
O ignored
O pause input
O underruns
O deferred
CCNA ICND2
93
Embora os dois comandos possam ser teis, apenas o comando show interfaces status indica como o switch determinou
as defInies de velocidade e duplex. O resultado do comando apresenta as defInies negociadas automaticamente com
um "a_". Por exemplo, "a-full" signifIca full-duplex negociado automaticamente, ao passo que "full" signifIca full-duplex,
porm, confIgurado manualmente. O exemplo destaca o resultado do comando sombreado indicando que a velocidade e
o duplex das interfaces FaO/12 do switch no foram encontrados atravs da negociao automtica, mas FaO/13, na
verdade, utilizou a negociao automtica. Observe que o comando show interfaces FaO/13 (sem a opo status)
simplesmente apresenta a velocidade e o duplex para a interface FaO/13, sem nada indicando que os valores foram
aprendidos atravs da negociao automtica.
Os switches Cisco possuem alguns recursos interessantes referentes a velocidade das interfaces que podem ajud-lo a
determinar alguns tipos de problemas encontrados em interfaces. Se a interface de um switch Cisco tiver sido confIgurada
para utilizar uma determinada velocidade, e a velocidade no combinar com o dispositivo na outra extremidade do cabo,
a interface do switch fIcar em estado notconnect ou inativo/inativo (downldown). Entretanto, esse tipo de erro de
combinao de velocidades s pode ocorrer quando a velocidade tiver sido confIgurada manualmente no switch. As
interfaces de um switch Cisco que no tenham o comando speed confIgurado podem automaticamente detectar a
velocidade utilizada pelo outro dispositivo - mesmo que o outro dispositivo que desligue o processo de negociao automtica
IEEE - e utilizar aquela velocidade.
Na Figura 3-3, por exemplo, imagine que a interface GiO/2 de SW2 tenha sido confIgurada com os comandos speed 100
e duplex half (defInies no-recomendadas em uma interface Gigabit, a propsito). SW2 utilizaria essas defInies e
desativaria o processo de negociao automtica do padro IEEE porque os comandos speed e duplex foram
confIgurados. Se a interface GiO/l de SWl no tivesse um comando speed confIgurado, SWl, ainda assim, reconheceria
a velocidade (100 Mbps) - embora SW2 no utilizasse a negociao padro IEEE - e SWl tambm utilizaria uma
velocidade de 100 Mbps. O Exemplo 3-3 mostra os resultados deste caso especfIco sobre SWl.
Exemplo 3-3 Exibindo as definies de velocidade e duplex em interfaces de switches
SW1 # show interfaces giO/l status
Port
GiO/1
Name
Status
Vlan
Duplex
Speed
Type
conne c t e d
t r unk
a-half
a-100
A velocidade e o duplex ainda aparecem com um prefIxo "a-" no exemplo, indicando negociao automtica. O motivo
que, neste caso, a velocidade foi encontrada automaticamente, e a defInio duplex foi escolhida por causa dos valores
padro utilizados pelo processo de negociao automtica IEEE. Os padres IEEE dizem que para portas rodando a 100
Mbps, se a negociao automtica falhar, deve-se utilizar uma defInio padro half-duplex.
Encontrar um erro de combinao duplex pode ser muito mais difcil do que achar um erro de combinao de velocidade
porque, se as definies duplex no combinarem nas extremidades de um segmento Ethernet, a interface do switch
estar em estado connect (conectado) (ativo/ativo). Neste caso, a interface funciona, mas pode funcionar precariamente,
apresentando mau desempenho e sintomas de problemas intermitentes. O motivo que o dispositivo que utiliza o half-duplex faz
uso da lgica CSMNCD (camer sense multipie access collision detect), querendo enviar ao receber um frame, acreditando
que as colises ocorrem quando, na verdade, isso no acontece fIsicamente, e parando de enviar frames porque o switch pensa
que ocorreu uma coliso. Com um trfego bastante carregado, a interface poderia estar em estado connect, mas ser essencialmente
intil para a transmisso do trfego, at mesmo provocando a perda de mensagens vitais de VTP e STP.
Para identifIcar problemas de erro de combinao de duplex, tente a seguintes aes:
/;~~;;,.,
\ Chave
....
Utilize comandos como show interfaces em cada extremidade do link para confIrmar a defInio de
duplex em cada extremidade.
Fique atento aos aumentos em certos contadores nas interfaces half-duplex. Os contadores - runts (pacotes muito
pequenos resultantes de colises de pacotes), colises e colises tardias - ocorrem quando o outro dispositivo utiliza
fu1l-duplex. (Observe que estes contadores tambm podem aumentar quando tambm ocorrem colises legtimas).
O Exemplo 3-2 (apresentado anteriormente nesta seo) utiliza o sombreamento para indicar esses contadores no resultado
do comando show interfaces.
A causa geradora dos erros de combinao de duplex pode estar relacionada aos padres escolhidos pelo processo de
negociao automtica IEEE (autonegociao). Quando um dispositivo tenta a negociao automtica, e o outro no
responde, o primeiro escolhe a defInio duplex padro com base na atual velocidade. As defInies duplex padro, de
acordo com o IEEE, so escolhidas da seguinte forma:
/;~~;~o
'--Chave
".
\ Chave
....
O primeiro passo na resoluo de problemas referentes segurana de portas deve ser encontrar quais interfaces tem a
segurana de portas ativada, determinando, em seguida, se alguma violao est atualmente ocorrendo. A parte mais
complicada est relacionada s diferenas naquilo que o lOS faz em relao s violaes com base no subcomando de
interface switchport port-security violation, que diz ao switch o que fazer quando ocorre uma violao. O processo
geral o seguinte:
Passo 3 Verifique a existncia de problemas na segurana de portas da seguinte forma:
a. Identifique todas as interfaces nas quais a segurana de portas est ativada (show running-config ou show portsecurity).
b. Determine se a violao de segurana est atualmente ocorrendo baseada, em parte, no modo de violao da
configurao da segurana de portas da interface, da seguinte forma:
- shutdown: A interface estar em estado err-disabled.
- restrict: A interface estar em estado connect, mas o comando show port-security interface mostrar um aumento
no contador de violaes.
- protect: A interface estar em estado connect, e o comando show port-security interface no mostrar nenhum
aumento no contador de violaes.
c. Em todos os casos, compare a configurao de segurana das portas com o diagrama bem como o campo "last
source address" ('ltimo endereo fonte") no resultado do comando show port-security interface.
Uma das dificuldades ao resolver problemas relacionados segurana de portas est relacionada com o fato de que
algumas configuraes de segurana de portas descartam apenas os frames ofensivos, mas no desativam a interface
em conseqncia disso, tudo baseado no modo de violao configurado. Todos os trs modos de violao descartam o
trfego conforme ditado pela configurao. Se, por exemplo, somente um endereo MAC pr-definido como 0200.1111.1111
permitido, o switch descarta todo o trfego naquela interface, com exceo do trfego que chega e parte de 0200.1111.1111.
Entretanto, o modo shutdown faz com que todo o trfego futuro seja descartado - at mesmo trfego legtimo proveniente
do endereo 0200.1111.1111 - aps a ocorrncia de uma violao. A Tabela 3-4 resume alguns dos pontos principais para
facilitar o estudo.
CCNA ICND2
6~~o
....
95
Modo de violao
Descarta o
trfego ofensivo
da interface
Resultados
Aumento nos contadores
das violaes da interface
para cada nova violao
Shutdown
Sim
Sim
Sim
Sim
restrict
Sim
No
No
Sim
protect
Sim
No
No
No
o Passo 3B da resoluo de problemas se refere ao estado err-disabled (desativado para erros) da interface. Este estado
verifica se a interface foi configurada para utilizar segurana de portas, se ocorreu uma violao e se nenhum trfego
permitido na interface no presente momento. Este estado da interface implica que o modo de violao shutdown
utilizado, pois este o nico dos trs modos de segurana de portas que faz com que a interface seja desativada. Para
consertar este problema, a interface deve ser desativada (shut down) e, em seguida, ativada com o comando no shutdown.
O Exemplo 3-4 apresenta uma situao em que a interface est em estado err-disabeld.
Exemplo 3-4 Utilizando a segurana de portas para definir endereos MAC corretos de determinadas interfaces
The first command lists alI interfaces on which port security has been enabled,
and the violation mode, under the heading "Security Action".
SW1# show port-security
Secure Port
FaO / 13
MaxSecur eAddr
CurrentAddr
SecurityViolation
(Count)
(Count)
(Count)
Securi ty Action
Shutdown
: O
8320
The next command s h ows the err-disabled state , implying a security v iolation.
SW1# show interfaces FaO/13 status
Por t
Name
FaO / 13
Status
vlan
Duplex
Speed
Type
err- disabled
auto
auto
10/l00BaseTX
The next command ' s output has shading for several of the most important facts.
SWl# show port-security interface FaO/13
Port Security
Enabled
Port Status
Secure-shutdown
Violation Mode
Shutdown
Agin g Time
O mins
Agin g Type
Absolute
Disabled
: 1
: 1
: 1
: O
0 2 00.3333 . 33 3 3:2
: 1
O resultado do comando show port-security interface apresenta alguns itens teis no processo de resoluo de problemas.
O status da porta "secure-shutdown" ("desativao segura") significa que a interface est desativada para todo o
interface FastEthernetO/13
switchport mode access
switchport port-security
switchport port-security mac-address 0200.1111.1111
switchport port-security violation protect
Lines omitted for brevity
SW1i show port-security interface FaO/13
Port Security
Enabled
Port Status
Secure-up
Vio1ation Mode
Protect
Aging Time
O mins
Aging Type
Absolute
Disabled
: 1
: 1
: 1
o
020 0.3333.3333:1
: O
Este resultado do comando show foi obtido aps o envio de vrios frames por um PC com o endereo MAC 0200.3333.3333,
com todos os frames sendo descartados pelo switch por causa da segurana de portas. O resultado do comando mostra
o endereo no-permitido MAC 0200.3333.3333 do PC como o ltimo endereo MAC fonte em um frame recebido.
Entretanto, observe que o status da porta apresentado como secure-up (seguro-ativo) e com o contador de violaes
em O - ambas indicaes podem lev-lo a concluir que tudo est bem. Entretanto, no modo protect, o comando show
port-security interface no mostra nenhuma informao confirmando a ocorrncia de uma violao real. A nica
indicao que o trfego do usurio final no chega aonde ele precisa ir.
Se este exemplo tivesse utilizado o modo de violao restrict, o status da porta tambm teria permanecido no estado
secure-up, mas o contador de segurana de violaes teria aumentado uma vez para cada frame violador.
Para os exames, a violao da segurana de uma porta pode no ser um problema; pode ser exatamente a funo
desejada. O texto da questo pode explicitamente dizer o que a segurana de porta deve estar fazendo. Nestes casos,
pode ser mais rpido imediatamente observar a configurao da segurana de portas. Em seguida, compare a configurao
com os endereos MAC dos dispositivos conectados interface. O problema mais provvel de ser encontrado nos
exames que os endereos MAC tenham sido configurados erroneamente e que o nmero mximo de endereos MAC
tenha sido definido muito baixo (o CCENT/CCNA fCNDi Guia Oficial de Certificao do Exame, Captulo 9, explica
os detalhes de configurao).
CCNA ICND2
97
Um ltimo recurso de segurana que precisa de uma breve meno a autenticao IEEE 802.1x. O IEEE 802.lx (no
confundir com o padro de negociao automtica IEEE 802.3x) define um processo para autenticar o usurio do PC
conectado porta de um switch. O 802.1x pode ser usado como parte de uma estratgia NAC (Network Admission
Control, ou Controle de Admisso Rede), na qual um usurio interno de uma LAN empresarial no consegue utilizar a
LAN at que o usurio fornea algum tipo de credencial de autenticao.
Com o 802.1x, cada usurio se comunica com um servidor AAA atravs de uma srie de mensagens de autenticao. O
switch de acesso escuta as mensagens, descartando todos os frames do link, exceto para mensagens 802.1x destinadas
e provenientes do PC. Quando o switch escuta a mensagem do servidor AAA dizendo que o usurio foi autenticado com
sucesso, ele permite que todo o trfego flua naquela porta. Se o usurio no for autenticado, o switch no permite trfego
naquela interface. Os detalhes de como configurar o 802.1x, e reconhecer uma falha de autenticao como causa
geradora de um determinado problema, foge ao escopo deste livro.
f;~~;~o
\ Chave
Comando EXEC
Descrio
".
show vlan
Se possvel, inicie este passo com os comandos show vlan e show vlan brief, pois eles relacionam todas as VLANs
conhecidas e as interfaces de acesso designadas a cada VLAN. Esteja ciente, entretanto, de que o resultado destes
comandos inclui todas as interfaces que no esto operacionalmente em trunking no momento. Portanto, estes comandos
o prximo passo de resoluo de problemas, o Passo 4B, examina o fato em que um switch no encaminha frames em
uma VLAN no-definida ou em uma VLAN definida que no esteja no estado ativo. Esta seo resume as melhores
formas de confirmar que um switch sabe da existncia de uma VLAN especfica, e, uma vez que ela exista, ele determina
o estado da VLAN.
Os servidores e clientes VTP s exibem sua lista atual de VLANs conhecidas com o comando show vlan. Nem o
arquivo running-config nem o startup-config contm os comandos de configurao global vlan v/an-id que defmem a
VLAN, nem os comandos name associados que do nome VLAN. Switches em modo transparente colocam estes
comandos de configurao nos arquivos vlan.dat e running-config, para que voc possa ver a configurao utilizando o
comando show running-config.
Aps determinar que uma VLAN no existe, o problema pode ser que a VLAN simplesmente precise ser definida. Neste
caso, siga o processo de configurao da VLAN, conforme descrito em detalhe no Captulo 1, resumido da seguinte forma:
Em servidores e clientes VTP, considerando que o VTP esteja funcionando: a VLAN deve estar configurada
em um servidor VTP, normalmente com o comando de configurao global vlan vlan-id, com os outros servidores
e clientes VTP aprendendo sobre a VLAN. A VLAN tambm pode ser configurada como resultado do subcomando
de interface switchport access vlan vlan-id, no servidor VTP no qual a VLAN ainda no existe, fazendo com
que o servidor automaticamente crie a VLAN.
Em servidores e clientes VTP, considerando que o VTP no esteja funcionando: resolva os problemas de
VTP conforme abordado na seo "Resolvendo problemas do VTP", no Captulo 1.
Em um switch VTP transparente: a configurao a mesma de um servidor, mas deve ser feita em cada switch,
pois os switches em modo VTP transparente no anunciam a nova VLAN a outros switches.
Para qualquer VLAN existente, verifique tambm se ela est ativa. O comando show vlan deve apresentar um entre
dois valores de estado da VLAN: ativo e shutdown. Destes estados, o segundo significa que a VLAN est desativada
(shut down). Para resolver este problema, utilize o comando de configurao global no shutdown vlan vlan-id. Observe
que este comando deve ser emitido em cada switch, pois este estado shutdown (desativado) no anunciado pelo VTP.
A VLAN existe e est ativa neste switch (conforme abordado na seo anterior e visto no comando show vlan).
li
CCNA ICND2
~ C Ico
99
A VLAN no foi removida da lista de VLAN s permitidas no trunk (conforme configurado com o subcomando de
interface switchport trunk allowed vlan).
A VLAN no foi suprimida do trunk pelo VTP (conforme feito automaticamente pelo VTP, considerando que o
VTP Pruning tenha sido ativado atravs do comando de configurao global vtp pruning).
O trunk est em Estado STP de Encaminhamento naquela VLAN (conforme tambm visto no comando show
Mode
Encapsulation
Status
Native vlan
GiO/1
desira ble
802.1q
trunking
Port
GiO/1
1-2,4 - 4094
Port
GiO/1
1,4
Port
GiO/1
1,4
A ausncia de uma VLAN nessa ltima parte do resultado do comando no significa necessariamente que tenha ocorrido
um problema. Na verdade, uma VLAN pode ser legitimamente excluda de um trunk por qualquer uma das razes apresentadas
na lista antes do Exemplo 3-6. Entretanto, para uma determinada questo do exame, pode ser til saber por que o trfego de
uma VLAN no ser encaminhado atravs de um trunk. O resultado das trs listas de VLANs do comando show interfaces
trunk mostra uma progresso de razes pelas quais uma VLAN no encaminhada atravs de um trunk. Para lembrar-se
dos detalhes, revise os detalhes em tomo do Exemplo 1-4 do Captulo 1 e os poucos pargrafos anteriores ao exemplo.
A configurao da VLAN nativa de um trunk tambm deve ser verificada neste passo. O VLAN ID nativo pode ser
manualmente definido para diferentes VLANs em qualquer extremidade do trunk. Se as VLANs nativas diferirem, os
switches faro acidentalmente com que os frames saiam de uma VLAN e entrem em outra. Se o switch SW1, por exemplo,
enviar um frame utilizando a VLAN 1 nativa em um trunk 802.1 Q, ele no acrescentar um cabealho VLAN, como
acontece normalmente com uma VLAN nativa. Quando o switch SW2 receber o frame, notando que no existe nenhum
cabealho 802.1Q, ele considera que o frame faz parte da VLAN nativa configurada de SW2. Se SW2 tiver sido configurada
para pensar que VLAN 2 a VLAN nativa naquele trunk, ele tentar encaminhar o frame recebida para VLAN 2.
A segunda classe geral de problemas referentes a trunking que uma interface que deveria formar um trunk no o faz .
A causa mais provvel deste problema um erro de configurao do trunking nas extremidades opostas do link. O
subcomando de interface switchport mode {access I trunk I dynamic {desirable I auto} } diz interface se ela deve
criar um trunk e apresenta as regras com as quais ela deve negociar o trunking. possvel exibir o modo administrativo
(configurado) do trunking de qualquer interface, conforme definido por esse comando de configurao, utilizando o
comando show interface switchport. Certifique-se de que voc saiba o significado de cada uma das opes deste
comando de configurao, conforme apresentado na Tabela 1-4 do Captulo 1, e as combinaes existentes em cada
extremidade do segmento que resultou em trunking, conforme apresentado na Tabela 1-5 do Captulo 1.
Em alguns casos, uma interface pode falhar no uso do trunking devido a um erro de configurao do tipo de trunking - em
outras palavras, se deveria usar ISL ou 802.1Q. Se dois switches, por exemplo, em extremidades opostas de um segmento
configurassem os comandos switchport trunk encapsulation isl e switchport trunk encapsulation dotlQ,
respectivamente, o trunk no seria formado porque os tipos de trunk (o encapsulamento) no combinam.
Passo 1 Verifique a exatido e complete as informaes apresentadas no diagrama de rede utilizando o CDP.
Passo 2 Verifique a existncia de problemas nas interfaces da seguinte forma:
a. Determine o cdigo de status da interface para cada interface necessria, e, se no estiver em estado connect
/;~~;;,., (conectado) ou ativo/ativo (up/up), resolva os problemas at que a interface atinja o estado connect ou ativo/ativo.
~ C"'ve
. ..
b. Para interfaces que estejam em estado connect (ativo/ativo), verifique tambm a existncia de dois outros
problemas: erros de combinao de duplex e algumas variaes de segurana de portas que propositalmente
entregam frames.
- protect: A interface estar em estado connect, e o comando show port-security interface no mostrar nenhum
aumento no contador de violaes.
CCNA ICND2
101
Platform
Port lO
Gig 0/1
122
S I
WS-C2960-2
Gig 0 / 2
Gig 0 / 2
144
S I
WS-C3550-2
Gig 0 / 1
Oevice lO
Local Intrfce
SW2
SW3
!
Oevice lO
Local Intrfce
Platform
SW1
Gig 0 /2
125
WS-C2960-2
Gig 0 / 1
SW3
Gig 0/ 1
170
S I
WS-C3550-2
Gig 0 / 2
R1
Fas 0 /9
157
R S I
1841
Fas 0 / 1
S I
Port lO
Oevice TD: R1
Entry address(es):
IP address: 2.2.2.10
Platform: Cisco 1841 , Capabilities: Rout er Swi t c h IGMP
Interface: FastEthernetO/9,
Por t
I nc .
Oevice l O
Local Intrfce
Holdtme
Capab ility
Platform
SW1
Gig 0 / 1
154
S I
WS-C2960-2
Gig 0/2
SW2
Gig 0 / 2
178
S I
WS-C2960-2
Gig 0/1
Port l O
Este erro de documentao mostrado na Figura 3-5 (apresentando a interface FaO/lO de SW2 em vez de FaO/9) no
afeta a operao da rede atual. Entretanto, se o trunking tivesse sido necessrio entre SW2 e RI, a interface FaO/9 (e no
FaO/lO) de SW2 teria de ter sido explicitamente configurada para ativar o trunking, pois os roteadores no podem
automaticamente negociar o uso do trunking. O Captulo 4, "Roteamento IP: Rotas estticas e conectadas" , aborda os
detalhes de configurao do trunking de um roteador.
Observe que o CDP no identifica problemas de documentao com as interfaces que se conectam aos PCs do usurio
final; para os propsitos deste exemplo, saiba que o resto das interfaces mostradas na Figura 3-5 so as interfaces corretas .
Exemplo 3-8 apresenta vrios comandos show interface status tanto em SWl quanto em SW3. (Para os propsitos
deste captulo, considere que todas as interfaces em SW2 estejam funcionando corretamente). Examine o resultado,
identifique qualquer problema e faa uma lista de outros problemas relacionados com as interfaces que voc possa
querer investigar mais a fundo com base neste resultado.
.---------------------------------------------------------~
.
SW1# show interfaces faO/ll status
Port
Name
FaO / ll
Status
VI an
DupIex
Speed
Type
connected
a-full
a-1OO
l O/ lOOBaseTX
Status
VIan
DupIex
Speed
Type
notconnect
auto
auto
l O/ lOOBaseTX
Status
VIan
DupIex
Speed
Type
connected
trunk
a - full
a - lOOO
lO / lOO / lOOOBaseTX
Status
VIan
DupIex
Speed
Type
connected
a-full
a-1OOO
Status
VIan
DupIex
Speed
Type
connected
a-haIf
a-1OO
lO / lOOBaseTX
Status
VIan
DupIex
Speed
Type
connected
a-full
a-1OOO
lOOOBaseTX
Status
VIan
DupIex
Speed
Type
connected
trunk
a-full
a-1OOO
lOOO BaseTX
Name
FaO / 12
Name
GiO / l
Name
GiO / 2
Name
FaO / 13
Name
GiO / l
Name
Existe um problema bvio em SWl, com a interface FaO/12 em estado notconnect. Existem vrios motivos para este estado, quase
todos relacionados a algum problema de cabeamento - desde um cabo que no esteja completamente encaixado na porta do
switch at problemas de interferncia no cabo, que so mais difceis de detectar. (Veja a Tabela 3-2 para ver os motivos sugeridos).
As interfaces de SW3 parecem no ter nenhum problema. Entretanto, todas as trs interfaces tm uma definio de duplex
que a mesma definio que o switch utilizaria se o processo de negociao automtica falhasse, destacando-se o uso do
half-duplex em FaO/3. Isso aumenta a possibilidade de um dos dois problemas de interfaces mencionados anteriormente no
captulo que podem ocorrer quando a interface est em estado connect, ou seja, um erro de combinao de duplex.
possvel determinar que as interfaces GigabitO/l e 0/2 de SW3 no tm nenhum erro de combinao simplesmente
utilizando o comando de status show interfaces em SWl e SW2 na outra extremidade desses link:s, respectivamente.
No entanto, as portas conectadas a um PC apresentam um problema na resoluo pelo fato de que voc provavelmente
no estar perto do PC, e, portanto, poder ter de guiar o usurio final atravs de alguns passos para verificar as
definies de velocidade e do duplex. Contudo, vale a pena procurar por sinais evidentes de runts, colises e colises
iniciais, conforme listado no resultado do comando show interfaces do Exemplo 3-9.
Exemplo 3-9 Sinais de um erro de combinao duplex
SW3#show interfaces faO/13
FastEthernetO / 13 i s up,
CCNA ICND2
103
(size / max)
6946 bytes,
Received 3 broadcasts
54 runts,
O giants,
O input errors,
O no buffer
(O multicast)
O throttles
O CRC, O frame,
O watchdog , 2 multicast,
O overrun,
O ignored
O pause input
O underruns
O no carrier,
O PAUSE output
Neste caso, um erro de combinao de duplex realmente existe. Entretanto, observe que estes mesmos contadores
aumentam em operaes half-duplex normais; portanto, estes contadores no identificam o problema de forma definitiva
como um erro de combinao de duplex. Neste caso, a configurao de SW3 foi alterada para usar full-duplex na
interface FaO/13, combinando com a definio manual em PC3 .
Passo 3: verifique a existncia de problemas de segurana de portas
O prximo passo examina a configurao e o status da segurana de portas em cada switch. Comear com o comando
show port-security que bastante til porque ele relaciona as interfaces nas quais o recurso foi ativado. O Exemplo 310 mostra esse comando em SW1 e SW2, com mais alguns comandos. Observe que tanto SW2 quanto SW3 no tm o
recurso da segurana de portas ativado.
Examine o resultado do Exemplo 3-10 e, antes de ler alm do exemplo, faa algumas anotaes sobre quais seriam os
prximos passos que voc daria para eliminar a segurana de portas como problema em potencial ou qual comando voc
usaria para isolar ainda mais um problema em potencial.
FaO/ll
MaxSecureAddr
CurrentAddr
SecurityViolation
(Count)
(Count)
(Count)
97
Security Action
Restrict
: O
8320
Secure
Port
MaxSecureAddr
CurrentAddr
SecurityViolation
(Count)
(Count)
(Count)
Security Action
: O
8320
Os comandos show port-security relacionam as interfaces nas quais a segurana de portas foi ativada - especificamente,
a interface FaO/11 de SW1 e nenhuma interface em SW2. Em SW1, os itens de destaque para resoluo de problemas
so que o cabealho da ao de segurana, que combina com a definio do modo de violao, mostra uma ao restrict.
Com a definio em restrict, a interface FaO/11 de SW1 pode estar no estado connect (conforme visto no Exemplo 3-8),
mas a segurana de portas pode estar descartando trfego que viola a configurao da segurana de portas. Portanto,
convm fazer um exame mais minucioso da configurao da segurana de portas, como mostrado no Exemplo 3-11.
Port Security
Enabled
Port Status
Secure-up
Violation Mode
Restrict
Aging Time
O mins
Aging Type
Absolute
Disabled
: 1
: 1
: 1
: O
0200.1111.1111:3
97
Next, the configuration shows that the configured MAC address does not
match PC1's MAC address.
SW1# show running-config interface faO/ll
interface FastEthernetO/11
switchport access vlan 3
switchport mode access
switchport port-security
I~
1-
O exemplo comea com a confirmao do modo de segurana e do contador de violaes e mostrando o ltimo endereo
MAC (0200.1111.1111) para enviar um frame interface FaOll1. O endereo MAC (0200.1111.1111) doPC1 no combina com
a configurao da segurana de portas como visto na segunda parte do exemplo, uma configurao que usa automaticamente,
no mximo, um endereo MAC com um endereo MAC explicitamente configurado igual a 0200.3333.3333. Uma soluo
simples reconfigurar a segurana de portas para, em vez disso, listar o endereo MAC de PC1. Observe que o engenheiro
no precisaria utilizar os comandos shutdown e, depois, o no shutdown, nessa interface para recuper-la, pois a configurao
usa o modo de violao restrict, que deixa a interface ativa enquanto descarta o trfego destinado e proveniente do PC1.
CCNA ICND2
105
o final do exemplo mostra uma mensagem de registro gerada pelo switch para cada violao quando est sendo usado
o modo restrict. Essa mensagem seria vista a partir do console ou de uma conexo Telnet ou Secure Shell (SSH) com o
switch, caso o usurio remoto tivesse emitido o comando EXEC terminal monitor.
Passo 4: verifique a existncia de problemas de VLANs e de trunks de VLANs
O Passo 4A comea examinando as interfaces de acesso para assegurar que elas tenham sido designadas para as
VLANs corretas. Neste caso, todas as interfaces conectadas a PCs e roteadores na Figura 3-5 deveriam ser designadas
para a VLAN 3. O Exemplo 3-12 apresenta um resultado do comando show bastante til. Reserve alguns minutos para
ler o exemplo e procure achar algum problema referente designao de VLANs.
Name
FaO/ll
Status
Vlan
Duplex
Speed
Type
connected
a-full
a-1OO
lO/lOOBaseTX
Status
Vlan
Duplex
Speed
Type
notconnect
auto
auto
lO/lOOBaseTX
Name
FaO/12
! SW2 next
._~--
FaO/9
connected
a-full
a-1OO
lO/lOOBaseTX
FaO/10
notconnect
auto
auto
lO/lOOBaseTX
Status
Vlan
Duplex
Speed
Type
connected
full
a-100
lO/lOOBaseTX
! SW3 next
Name
FaO/13
O nico problema neste caso o fato de que, embora a interface FaO/lO de SW2 tenha sido designada para a VLAN 3,
de acordo com o desenho na Figura 3-5, SW2 se conecta com RI utilizando FaO/9 (como visto com o CDP no Exemplo
3-7). A interface FaO/9 automaticamente est na VLAN 1. Para resolver este problema especfico, em SW2, configure
o subcomando de interface switchport access vlan 3 na interface FaO/9.
A prxima parte do Passo 4 (Passo 4B) sugere verificar as VLANs para se assegurar de que elas estejam ativas em
cada switch. Este exemplo contnuo usa somente a VLAN 3; portanto, o Exemplo 3-13 mostra que a VLAN 3 realmente
conhecida em cada switch. Ao ler o exemplo, procure achar algum problema com a VLAN 3.
Name
Status
Ports
book-vlan3
activ e
Ports
Name
Status
defa ult
active
aetive
FaO/9, FaO/10
Name
Status
Ports
default
aetive
book-vlan3
aetive
FaO/13
Neste caso, a VLAN 3 existe e est ativa em todos os trs switches. Entretanto, SW2 apresenta um nome diferente do que
apresentado pelos outros switches. O nome no tem tanta importncia para a operao da VLAN. Portanto, essa diferena
no importa. Como deveria ser, SW2 est utilizando o modo VTP transparente, com SW1 e SW3 como switches em modo
VTP cliente e servidor, respectivamente. Logo, o nome VLAN 3 (book-vlan3) combina em SWl e SW3.
Finalmente, a ltima parte do Passo 4 (Passo 4C) para resoluo de problemas sugere que voc confIrme o status do
trunking de todas as interfaces de trunk esperadas. tambm de grande ajuda determinar em quais trunks as VLANs
sero encaminhadas. O Exemplo 3-14 lista resultados que ajudam a fornecer as respostas. Examine o resultado no
exemplo e, antes de continuar lendo alm do fInal do exemplo, liste qualquer trunk que atualmente no encaminhe trfego
na VLAN 3, e faa uma lista dos possveis motivos pelos quais a VLAN 3 omitida do trunk.
Status
Native vlan
trunking
trunking
Port
Mode
Eneapsulation
GiO/l 1-4094
GiO / 2 1-4094
Port
GiO/l 1,3
GiO / 2 1,3
Port
GiO / 1 3
GiO/2 1,3
! SW2 next
Status
Native vlan
GiO / 1 auto
802.1q
trunking
GiO/2 auto
802.1q
trunking
Port
Port
Mode
GiO / 1 1-4094
GiO/2 1-4094
Port
CCNA ICND2
107
GiO/1 1,3
GiO/2 1,3
Port
GiO/1 1,3
! SW3 next
Status
Native v1an
n-802.1q
trunking
trunking
Port
Mode
GiO/1 auto
Port
GiO/1 1-4094
GiO/2 1 - 4094
Port
GiO/1 1,3
GiO/2 1,3
Port
GiO/1 1,3
Um dos passos da resoluo de problemas analisar o que deveria estar acontecendo para que voc possa ento comparar
com o que est realmente acontecendo - e, possivelmente, isolar a causa geradora de qualquer problema. Estas ltimas
sees do Captulo 3 completam o estudo deste captulo sobre como as LANs devem funcionar. Para isso, examinamos dois
exemplos de frames encaminhados atravs de uma verso de trabalho do mesmo modelo de rede utilizado no exemplo de
resoluo de problemas que acabamos de resolver.
O objetivo destas sees explicar como interpretar o atual resultado do comando show em switches para prever para onde cada
switch encaminharia um determinado frame. O primeiro exemplo mostra um broadcast enviado por PCI na Figura 3-5, e o
segundo exemplo mostra o processo de encaminhamento de um frame unicast enviado por RI para o endereo MAC de PCl.
o primeiro exemplo de plano de dados em funcionamento examina o trajeto de um broadcast enviado por PCl. PCI pode
no ter o endereo MAC de RI no cache ARP; neste caso, portanto, PCI envia um broadcast ARP com um endereo de
destino IP 255.255.255.255 e o endereo de destino Ethemet FFFF.FFFF.FFFF. Esta seo examina o que os vrios switches
fazem para encaminhar o broadcast a todas as partes da VLAN 3, conforme mostrado na Figura 3-6.
Para analisar o fluxo de broadcast, use como referncia o processo genrico de encaminhamento, conforme resumido na
seo "Viso geral do processo de encaminhamento normal de LAN Switching", apresentada anteriormente neste captulo.
Exemplos anteriores confIrmaram que a porta FaO/11 de SW1 est designada VLAN 3 e que a interface FaO/11 de
SW1 uma interface de acesso. Como o frame um broadcast, SW1 distribuir o frame. Sabendo destes fatos, o
Exemplo 3-15 apresenta informaes suficientes para prever as interfaces atravs das quais SW1 encaminhar o frame
broadcast enviado por PC1listando o resultado do comando show spanning-tree vlan 3 active.
VLAN0003
Spanning tree enabled protocol ieee
Root 10
Priority
24579
Addres s
000a. b 7dc.b780
Cost
Port
26
Hello Time
Bridge 10 Priority
(GigabitEthernetO/2)
Address
0019.e86a.6f80
Hello Time
prio.Nbr
Type
FaO / 11
Desg FWD 19
128.11
P2p
Gi O/l
Desg FWD 4
128.25
P2p
~~G~i~0~
/2~____~R~o~ot~FWD~~1~__~12~8~.~2~6______~P~2~p__________________________________________________~
Observe que SW1 no encaminhar o frame de volta atravs de FaO/ll , j que o frame entrou por FaO/11. Alm disso,
SW1 encaminhar o frame saindo pelas interfaces de trunk (GiO/1 e GiO/2). Anteriormente neste captulo, o Exemplo 3-
14 mostra evidncias de que os dois trunks de SW1 utilizam 802.1 Q, com a VLAN 1 nativa, de forma que SW1 acrescentar
um cabealho 802.1 Q, com o VLAN ID 3, a cada cpia do frame de broadcast enviado atravs destes dois trunks.
As aes de SW1 significam que SW2 e SW3 devem receber uma cpia do frame de broadcast enviado por PCl. No
caso de SW2, ele acaba descartando sua cpia do frame de broadcast de PC1 recebido na interface GiO/2 de SW2. SW2
descarta o frame por causa do Passo 3 do processo genrico de encaminhamento apresentado anteriormente no captulo,
j que a interface (GiO/2) de entrada de SW2 est em Estado de Bloqueio na VLAN 3. (O Exemplo 3-14 e o texto que
se segue ao exemplo mostraram a interface GiO/2 de SW2 em Estado de Bloqueio para VLAN 3). Observe que o Estado
de Bloqueio de SW2 no impediu que SW1 enviasse o frame para SW2; em vez disso, SW2 descarta silenciosamente o
frame recebido.
CCNA ICND2
109
Com relao cpia do frame de broadcast de PCl recebido por SW3 em sua interface GiO/l , SW3 distribui o frame.
SW3 determina a VLAN do frame com base no cabealho de entrada 802.1 Q e encontra a interface de entrada em
Estado STP de Encaminhamento. Baseado nestes fatos, SW3 encaminhar o frame dentro de VLAN 3. O Exemplo 316 mostra as informaes necessrias para saber em quais interfaces SW3 encaminha o broadcast da VLAN 3.
Vlan
Mac Addre s s
Type
Ports
0200.0101.0101
DYNAMIC
GiO / 2
DYNAMIC
GiO / l
0200.3333 . 3333
DYNAMIC
FaO / 13
priority
24579
Address
000a.b7dc.b780
pr iority
Address
000a.b7dc . b780
HelIo Time
---------
--- ----
prio.Nbr
Type
---------
FaO / 13
Desg FWD 19
128.13
.P2p
GiO / l
Desg FWD 4
128.25
P2p
GiO/2
De sg FWD 4
128.26
P2p
Assim como SWl , SW3 no encaminha o broadcast saindo pela mesma interface na qual o frame chegou (GiO/1, neste
caso), mas distribui o frame saindo por todas as outras interfaces naquela VLAN e em Estado STP de Encaminhamento,
ou seja, FaO/13 e GiO/2. Alm disso, como a interface GiO/2 de SW3 atualmente utiliza o trunking 802.1 Q, com a VLAN
1 nativa, SW3 acrescenta um cabealho 802.1Q mostrando o VLAN ID 3.
Finalmente, quando SW2 recebe a cpia de broadcast vinda de SW3 na interface GiO/1 de SW2, SW2 segue o mesmo
processo genrico dos outros switches. SW2 identifica a VLAN com base no cabealho 802.1 Q de entrada, confrrma
que a interface de entrada est em Estado de Encaminhamento e distribui o broadcast saindo por todas as suas interfaces
que esto, ao mesmo tempo, em Estado de Encaminhamento e na VLAN 3. Neste caso, SW2 encaminha o frame saindo
somente pela interface FaO/9, conectada ao roteador Rl. O Exemplo 3-17 mostra o resultado do comando de apoio.
Vlan
Mac Address
Type
Ports
DYNAMIC
GiO/1
0200.0101 . 01 01
DYNAMIC
FaO/9
0200.1111.1111
DYNAMIC
GiO/1
0200.3333.3333
DYNAMIC GiO/1
Role St s Cost
Prio . Nbr
Type
FaO / 9
Desg FWD 19
128.9
P2p
GiO/1
Root FWD 4
128.25
P2p
GiO / 2
Altn BLK 4
128.26
P2p
SW2 no encaminha o frame saindo por GiO/1 , pois o frame entrou pela interface GiO/1 de SW2.
o segundo exemplo de plano de dados examina como os switches encaminham frames unicast. Para analisar o processo
de encaminhamento para frames unicast, considere a resposta ARP de RI com relao solicitao/broadcast ARP de
PC1. Os endereos de destino (IP e MAC) da resposta ARP de RI so os endereos IP e MAC de PC1 , respectivamente.
A Figura 3-7 mostra o trajeto de encaminhamento, com os exemplos que se seguem explicando como o processo genrico
de encaminhamento de frames se aplica a este caso em particular.
Figura 3-7 Trajeto de encaminhamento de R1 para PC1 de acordo com Exemplo 3-15
0200.1111 . 1111
Quando SW2 recebe o frame de RI, SW1 nota que o frame entrou pela interface FaO/9, uma interface de acesso na
VLAN 3. O final do Exemplo 3-17 anteriormente mostrou FaO/9 em Estado STP de Encaminhamento na VLAN 3 e, por
isso, SW2 tentar encaminhar o frame em vez de descart-lo. Conforme visto a seguir no Exemplo 3-18, a tabela de
endereos MAC de SW2 apresenta o endereo MAC de PC1 - 0200.1111.1111 - fora da interface GiO/1 e na VLAN 3;
portanto, SW2 encaminha o frame saindo por GiO/1 at SW3.
Vlan
Mac Address
Type
Ports
CCNA ICND2
DYNAMIC
GiO / 1
DYNAMIC
FaO / 9
0200 . 1111.1111
DYNAMIC
GiO / 1
111
Quando SW3 recebe o frame de SW2, ele nota que o frame entrou pela interface GiO/2, uma interface de trunking, e que o
cabealho do trunking listava o VLAN ID 3. O final do Exemplo 3-16 anteriormente mostrou GiO/2 em Estado STP de
Encaminhamento na VLAN 3 (passo 3 do encaminhamento), e, por isso, SW3 no vai descartar o frame recebido por causa
do STP. Conforme visto a seguir no Exemplo 3-19, a tabela de endereos MAC de SW3 apresenta o endereo MAC de
PC1-0200.1111.1111-fora da interface GiO/1 e na VLAN 3; portanto, SW3 encaminha0 frame saindo por GiO/1 at SWl.
Vlan
Mac Address
----
--------------
Type
Ports
------
------
0200.0101 . 0101
DYNAMIC
GiO / 2
02 0 0. 1111.1111
DYNAMIC
Gi O/ 1
0200 . 3333.3333
DYNAMIC
FaO / 13
Quando SW1 recebe o frame de SW3 , ele nota que o frame entrou pela interface GiO/2, uma interface de trunking, e que
o cabealho do trunking listava o VLAN ID 3. O final do Exemplo 3-15 anteriormente mostrou a GiOI2 de SWl em
Estado STP de Encaminhamento na VLAN 3, e, por isso, SW1 no vai descartar o frame pelo fato de a interface no
estar em Estado STP de Encaminhamento. Conforme visto a seguir no Exemplo 3-20, a tabela de endereos MAC de
SW1 apresenta o endereo MAC de PC1 - 0200.1111.1111 - fora da interface FaO/11 e da VLAN 3; portanto, SW1
encaminha o frame saindo por FaO/11 at PCl. Neste caso, SW1 remove o cabealho 802.1Q da VLAN porque a
interface FaO/11 uma interface de acesso.
Vla n
Mac Address
000a.b7dc.b799
Type
Ports
DYNAMIC
GiO / 2
0200.0101.0101
DYNAMIC
GiO / 2
0200.3333.3333
DYNAMIC
GiO / 2
Vlan
Mac Address
Type
Ports
----
--------------
---- --
-----
A11
0100.0ccc.cccc
STATIC
CPU
All
0100 . 0ccc.cccd
STATIC
CPU
All
0180 . c200.0000
STATIC
CPU
All
0180.c200.0001
STATIC
CPU
0180.c200.0002
STATIC
CPU
All
0180.c200.0003
STATIC
CPU
All
0180.c200.0004
STATIC
CPU
All
0180.c200.0005
STATIC
CPU
All
0180.c200 . 0006
STATIC
CPU
All
0180.c200 . 0007
STATIC
CPU
All
0180.c200.0008
STATIC
CPU
All
0180.c200.0009
STATIC
CPU
All
0180.c200 . 000a
STATIC
CPU
All
0180.c200.000b
STATIC
CPU
All
0180.c200.000c
STATIC
CPU
All
0180.c200.000d
STATIC
CPU
All
0180.c200.000e
STATIC
CPU
All
0180.c200.000f
STATIC
CPU
All
0180.c200.0010
STATIC
CPU
All
ffff.ffff.ffff
STATIC
CPU
000a . b7dc.b799
DYNAMIC
GiO/2
0200.0101.0101
DYNAMIC
GiO/2
0200.1111.1111
STATIC
FaO/11
Este ltimo passo destaca um fato importante sobre a tabela de endereos MAC e sobre segurana de portas. Observe
que o comando show mac address-table dynamic em SW1 no apresenta o endereo MAC 0200.1111.1111 de PC1.
Por isso, possvel que voc tenha sido tentado pensar que SW1 distribuir o frame por ele ser um unicast desconhecido.
Entretanto, como SW1 configurou a segurana de portas em FaO/11 , incluindo o subcomando de interface switchport
port-security mac-address 0200.1111.1111, o lOS considera esse endereo MAC um endereo MAC esttico.
Portanto, ao deixar de fora a palavra-chave dynamic, o comando show mac address-table vlan 3 apresenta todos os
endereos MAC conhecidos na VLAN, incluindo 0200.1111.111. Esse resultado de comando confirma que SW1 encaminhar
o unicast para 0200.1111.1111 somente saindo pela interface FaO/11.
Elemento do tpico-chave
Descrio
Tabela 3-2
90
91
91
93
Figura 3-4
Tabela 3-3
Lista
CCNA ICND2
Lista
94
Lista
94
Tabela 3-4
95
Tabela 3-5
97
113
Lista
99
Lista
100
Imprima uma cpia do Apndice J, "Tabelas de memria", ou pelo menos a seo referente a este captulo e complete as
tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", inclui tabelas e listas completadas
para voc conferir o seu trabalho.
um"
- Determinar o esquema de endereamento classless adequado utilizando VLSM e sumarizao para satisfaze~
aos requisitos de endereamento em um ambiente LAN/WAN
- Identificar e corrigir problemas comuns associados a endereamento IP e configuraes de hosts
Configurar e resolver problemas de operao bsica e roteamento em dispositivos Cisco
- Verificar a configurao e a conectividade utilizando ping, traceroute, telnet ou SSH
- Resolver problemas da implementao de roteamento
- Verificar a operao de hardwares e softwares de roteadores utilizando os comandos SHOW e DEBUG
- Implementar a segurana bsica de roteadores
Implementar, verificar e resolver problemas de NAT e ACLs em uma rede empresarial de porte mdio
- Descrever o propsito e os tipos de listas de controle de acesso (ACLs)
- Configurar e aplicar listas de controle de acesso aos requisitos de filtragem de uma rede
- Configurar e aplicar uma lista de controle de acesso para limitar o acesso telnet e SSH ao roteador
- Verificar e monitorar ACLs em um ambiente de rede
- Resolver problemas de implementao de ACLs
* Sempre verifique a pgina http://www.cisco.com para obter os tpicos mais recentes do exame.
CAPTULO
diretamente conectadas
. -----------------------------------------------------
Roteamento IP e Endereamento IP
1-2
3-4
Rotas Estticas
5-8
Este captulo inicia a Parte n, "Roteamento IP". Os quatro captulos desta parte concentram-se em recursos que causam
impacto sobre o processo de roteamento IP - tambm chamado encaminhamento IP - atravs do qual hosts e roteadores
entregam pacotes do host origem ao host de destino. Esses quatro captulos tambm, ocasionalmente, explicam tpicos
relacionados aos protocolos de roteamento IP, em parte porque o roteamento IP, que um recurso do plano de dados,
depende muito do trabalho feito no plano de controle pelos protocolos de roteamento.
Este captulo aborda vrios tpicos relacionados a rotas conectadas, que so rotas utilizadas para alcanar sub-redes
anexadas interface de um roteador. Este captulo tambm explica rotas estticas, incluindo rotas padro (default), alm
de revisar os tpicos bsicos dependentes do endereamento IP e do roteamento IP.
o questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
oito questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A
Tabela 4-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o
material destas sees. Isso ajudar voc a avaliar o seu conhecimento nestas reas especficas.
As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.
Tabela 4-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?"
Questes
1. Um usurio liga seu computador e, assim que o computador comea a funcionar, ele abre um navegador Web para
visitar a pgina http://www.ciscopress.com. Qual (is) protocolo(s) definitivamente no seria(m) usado(s) pelo
computador durante este processo?
a. DHCP
b. DNS
c. ARP
d.ICMP
2. Um usurio liga seu computador e, assim que o computador comea a funcionar, ele abre um prompt de comando. A partir
da, ele emite o comando ping 2.2.2.2 e o ping mostra um sucesso de 100%. O endereo IP do PC 1.1.1.1 e a
mscara 255.255.255.0. Qual das seguintes definies seria necessria no PC para dar suporte ao ping bem-sucedido?
a. O endereo IP de um servidor DNS
b. O endereo IP de um gateway padro
c. O endereo IP de um servidor ARP
d. O endereo IP de um servidor DHCP
3. O Roteador 1 possui uma interface Fast Ethernet O/O com o endereo IP 10.1.1.1. A interface est conectada a um
switch. Essa conexo , em seguida, migrada para utilizar o trunking 802.1 Q. Qual dos seguintes comandos poderia
fazer parte de uma configurao vlida para a interface FaO/O do Roteador 1?
a. interface fastethernet 0/0.4
b. dot1q enable
c. dotlq enable 4
d. trunking enable
e. trunking enable 4
f. encapsulation dotl q
4. Um roteador est configurado com o comando de configurao global no ip subnet-zero. Qual dos seguintes
subcomandos de interface no seria aceito por esse roteador?
c. ip address 10.1.2.2255.254.0.0
d. ip address 10.0.0.5 255.255.255.252
5. Qual das seguintes afirmativas pode ser verdadeira antes que o lOS apresente uma rota "S" no resultado de um
comando show ip route?
7. Qual das seguintes alternativas afetada pelo fato de um roteador estar executando o roteamento classful ou classless?
a. Quando utilizar uma rota padro
b. Quando utilizar mscaras em atualizaes de roteamento
c. Quando converter o endereo IP de destino de um pacote em um nmero de rede
d. Quando realizar enfileiramento com base na classificao de um pacote em uma fila em particular
8. Um roteador foi configurado com o comando de configurao global ip classless. O roteador recebe um pacote
destinado ao endereo IP 168.13.4.1. O texto a seguir apresenta o contedo da tabela de roteamento do roteador.
Qual das seguintes afirmativas verdadeira sobre como esse roteador encaminha o pacote?
. ------------------------------------------------------c. Ele encaminhado saindo pela interface FaO/O, diretamente ao host de destino.
Tpicos fundamentais
Este captulo introduz vrios conceitos simples com relao a como um roteador acrescenta rotas sua tabela de
roteamento sem utilizar um protocolo de roteamento dinmico. De modo especial, este captulo aborda rotas conectadas,
incluindo aquelas quando o roteador utiliza o trunking de LANs. So tambm abordadas rotas estticas, com alguma
nfase em como os roteadores utilizam rotas estticas especiais chamadas rotas padro. Entretanto, como este captulo
o primeiro captulo deste livro voltado ao IP, ele comea com uma breve reviso de dois tpicos relacionados: roteamento
IP e endereamento IP.
Observao A introduo deste livro descreve um plano de leitura alternativo para leitores
que querem fazer o exame CCNA 640-802, que inclui a utilizao simultnea do CCENT/
CCNA ICNDJ Guia Oficial de Certificao do Exame e deste livro. Se estiver usando este
plano, observe que a primeira seo revisa tpicos do livro ICNDI. Se estiver seguindo
aquele plano de leitura, sinta-se vontade em passar direto para a seo ''Encaminhamento
IP atravs da combinao com a rota mais especfica".
Roteamento e endereamento IP
O roteamento IP depende das regras de endereamento IP, sendo um dos objetivos originais da criao do endereamento
IP a criao de um roteamento IP eficiente. O roteamento IP define como um pacote IP pode ser entregue ao host de
destino a partir do bost no qual o pacote criado. As convenes de endereamento IP agrupam endereos em conjuntos
de endereos numerados de forma consecutiva chamados sub-redes, que auxiliam o encaminhamento IP ou o processo
de roteamento IP.
Roteamento IP
Tanto os hosts quanto os roteadores participam do processo de roteamento IP. A lista a seguir resume a lgica de um bost
ao encaminhar um pacote, considerando que o host esteja em uma LAN Ethernet ou em uma LAN sem fio:
ft~
~.
\te
1. Ao enviar um pacote, compare o endereo IP de destino do pacote com a percepo do host de recebimento em
relao ao intervalo de endereos contidos na sub-rede conectada, com base no endereo IP do host e na mscara
da sub-rede.
a. Se o destino estiver na mesma sub-rede do host, envie o pacote diretamente ao host de destino. necessrio utilizar
o ARP (Address Resoultion Protocol, ou Protocolo de Resoluo de Endereos) para encontrar o endereo
MAC do host de destino.
b. Se o destino no estiver na mesma sub-rede do host, envie o pacote diretamente ao gateway padro do host
(roteador padro). O ARP necessrio para encontrar o endereo MAC do gateway padro.
..........
{ TpiCO
:"'~have
1. Para cada frame recebido, utilize o campo FCS (Frame Check Sequence, ou Seqncia de Verificao de Frames)
para links de dados para se assegurar de que o frame no continha nenhum erro; se tiver ocorrido algum erro,
descarte o frame (e no passe para o prximo passo).
2. Verifique o endereo de camada de enlace do destino do frame, e processe somente se forem endereados a este
roteador ou a um endereo broadcastlmulticast.
3. Descarte o antigo cabealho e o trailer de enlace do frame de entrada, abandonando o pacote IP.
4. Compare o endereo IP de destino do pacote com a tabela de roteamento e encontre a rota que combina com o
endereo de destino. Essa rota identifica a interface de sada do roteador e possivelmente o prximo roteador.
5. Determine o endereo de enlace do destino utilizado para encaminhar pacotes ao prximo roteador ou ao host de
destino (conforme instrues da tabela de roteamento).
6. Encapsule o pacote IP dentro de um novo cabealho e trailer de enlace, adequado interface de sada, e encaminhe
o frame saindo por aquela interface.
Considere a Figura 4-1, por exemplo, que mostra uma rede simples com dois roteadores e trs hosts. Neste caso, PC1
cria um pacote para ser enviado ao endereo IP de PC3, ou seja, 172.16.3.3. A figura mostra trs importantes passos do
roteamento, chamados de A, B e C: a lgica de roteamento do host de PC1 que encaminha o pacote em direo a RI, a
lgica de roteamento de RI que encaminha o pacote em direo a R2, e a lgica de roteamento de R2 que encaminha o
pacote em direo a PC2.
Primeiro, considere o Passo A da Figura 4-1. PC 1 conhece seu prprio endereo IP 172.16.1.1 e sua mscara 255.255.255 .0.
(Todas as interfaces utilizam uma mscara fcil, 255.255.255.0, neste exemplo.) PC1 pode calcular o seu nmero de subrede (172.16.1.0/24) e intervalo de endereos (172.16.1.1-172.16.1.254). O endereo de destino 172.16.3.3 no est na
sub-rede de PC1; portanto, PC1 utiliza o Passo 1B apresentado no resumo das lgicas de roteamento do host, isto , PC1
envia o pacote, dentro de uma frame Ethernet, ao seu endereo IP 172.16.1.251 de gateway padro.
172.16.3.3
172.16.1.1
PC1
PC3
FAO/O -.--,..,.-. FAO/1
172.16.1.251
FAO/O n~'t::~......:....:FA~0::...:
/1~_--1
I------'...;...;.:;.c~
172.16.3.252
172.16.2.252
172.16.2.251
Desencapsular
-1C
-1C
Tabela ARP de PCl
"
IP
MAC:
172.16.1.251 R1-FAO/0-MAC
Tabela ARP de R1
"
IP
MAC:
172.16.2.252 R2-FAO/0-MAC
\
"
Tabela de roteamento IP
Network
172.16.3.0
d:~l'"
-1C
Tabela ARP de R2
"
IP
.:..:....-_
_ MAC I I
172.16.. 3.3 PC3-MAC
---'==~
Tabela de roteamento IP de R2
Subnet
172.16.3.0
=O=ut~ln=t~.~~~
FA0/1
Este primeiro passo (Passo A) do PCl enviando o pacote ao seu gateway padro tambm revisa alguns conceitos
importantes. Como voc pode ver na parte inferior da figura, PCl utiliza seu prprio endereo MAC como endereo
MAC origem, mas utiliza o endereo MAC LAN de RI como endereo MAC de destino. Em conseqncia disso,
qualquer switch pode entregar o frame corretamente interface FaO/O de RI. Alm disso, observe que PCl procurou e
encontrou o endereo MAC de 172.16.1.251 no seu cache. Se o endereo MAC no tivesse sido encontrado, PCl teria
que ter utilizado o ARP para descobrir dinamicamente o endereo MAC utilizado por 172.16.1.251 (RI) para poder
enviar o frame mostrado na Figura 4-1.
A seguir, concentre-se no Passo B da Figura 4-1, que o trabalho feito pelo roteador RI para encaminhar o pacote.
Utilizando o resumo dos passos de roteamento que precedem a Figura 4-1, acontece o seguinte com RI: (Observe que a
figura denota muitos dos detalhes com a letra B)
mximo um outro roteador cone~tado a ele, voc pode ignorar o endereamento do enlace. Entretanto, com Frame Relay,
o processo de roteamento conSIdera OS endereos do enlace, chamados DLCI (data-link connection identifiers, ou
identificadores de conexo do enlace). Os detalhes de roteamento com relao aos DLCIs da Frame Relay so abordados
mais adiante, no Captulo 13 deste livro.
172.16.3.3
172.16.1.1
PC1
PC3
FAOIO
172.16.1.251
SOIOIO
~S~0~ffi~/1i~~~F~AO~/1L---~
L -_ _ _ _
172.16.4.251
172.16.3.252
172.16.4.252
t.
Reencapsular
Desencaps la
u r.: Pacote IP .
,.---~~----,
I
Endereamento IP no
Importante por ser uma
topologia ponto-a-ponto
O processo de roteamento IP, tanto nos hosts quanto nos roteadores, depende da capacidade desses dispositivos de
entender o endereamento IP e prever quais endereos IP esto em cada grupo ou em cada sub-rede. A prxima seo
oferece uma breve reviso dos endereos IP e da criao de sub-redes.
.. ....
( TPICO
\....c...".
Endereos IP unicast so endereos IP que podem ser designados a uma interface indi vidual para envio e recebimento
de pacotes.
Cada endereo IP unicast reside em uma determinada rede Classe A, B ou C, chamada de rede IP classful.
Se forem utilizadas sub-redes, o que quase sempre verdade na vida real, cada endereo IP unicast tambm reside
em um subconjunto especfico da rede classful chamado de sub-rede.
A mscara da sub-rede, escrita na forma decimal com pontos (por exemplo, 255.255.255.0) ou na forma de notao
de prefixos (por exemplo, /24), identifica a estrutura dos endereos IP unicast e permite que dispositivos e pessoas
deduzam o nmero da sub-rede, o intervalo de endereos e o endereo de broadcast de uma sub-rede.
Dispositivos de uma mesma sub-rede devem utilizar a mesma mscara da sub-rede; do contrrio, eles tero opinies
diferentes sobre o intervalo de endereos da sub-rede, o que pode romper o processo de roteamento IP.
.'
A Figura 4-3 mostra um exemplo de inter-rede que exibe vrios destes recursos. O switch SW1 automaticamente coloca
todas as interfaces na VLAN 1, e, por isso, todos os hosts esquerda (incluindo PC1) esto em uma nica sub-rede.
Observe que o endereo IP de gerenciamento de SW 1, tambm na VLAN 1, ser daquela mesma sub-rede. Analogamente,
SW2 automaticamente coloca todas as portas na VLAN 1, requerendo uma segunda sub-rede. O link ponto-a-ponto
requer uma terceira sub-rede. A figura mostra os nmeros, as mscaras e o intervalo de endereos da sub-rede. Observe
que todos os endereos e sub-redes fazem parte da mesma e nica rede classful de Classe B 172.16.0.0, e todas as subredes utilizam uma mscara igual a 255.255.255.0.
172.16.1.0
172.16.1.1172.16.1.254
Sub-rede
Intervalo
172.16.4.0
172.16.4.1172.16.4.254
Broadcast 172.16.4.255
Sub-rede 172.16.3.0
Intervalo
172.16.3.1172.16.3.254
Broadcast 172.16.3.255
A Figura 4-3 apresenta os nmeros da sub-rede, os intervalos de endereos e os endereos de broadcast da sub-rede.
Entretanto, cada dispositivo da figura pode encontrar as mesmas informaes baseado simplesmente em seu respectivo
endereo IP e na configurao da mscara de sub-rede, deduzindo o nmero da sub-rede, o intervalo de endereos e o
endereo de broadcast para cada sub-rede anexada.
Os exames CCNA exigem o domnio desses conceitos de endereamento e de criao de sub-redes IP, mas ainda mais
importante, eles exigem o domnio da matemtica utilizada para analisar as redes IP existentes e criar novas redes IP. Se
voc ainda no dedicou tempo suficiente para dominar a criao de sub-redes, aconselhvel estudar e praticar antes de
continuar a leitura do livro. Embora esta seo tenha revisado os fundamentos do endereamento IP, ela no cobre a
matemtica envolvida na criao de sub-redes.
Para aprender sobre a criao de sub-redes e a matemtica respectiva, existem algumas opes. Para aqueles que
tenham comprado a biblioteca composta por dois livros que inclui este livro e o CCENT/CCNA ICNDJ Guia Oficial de
Certificao do Exame, estude o Captulo 12 daquele livro e resolva os problemas prticos apresentados.
Para estar preparado para ler o restante deste livro sem deixar que a matemtica envolvida na criao de sub-redes
cause qualquer dificuldade, antes de continuar a leitura, faa as atividades apresentadas na lista a seguir, com tempo
suficiente. No necessrio encontrar as respostas rapidamente neste ponto da sua preparao, mas para estar preparado
para os exames, necessrio estar pronto para resolver essas atividades dentro dos limites de tempo apresentados:
Dada uma mscara decimal denotada com pontos, transforme-a em notao de prefixos, ou vice-versa. (Tempo
sugerido para o exame: 5 segundos)
Dados um endereo IP e uma mscara, encontre o nmero da sub-rede, o intervalo de endereos e os endereos de
broadcast da sub-rede. (Tempo sugerido: 15 segundos)
Dadas a mscara de uma sub-rede e a classe (A, B ou C) de uma rede, determine o nmero de sub-redes e de
hosts por sub-rede. (Tempo sugerido: 15 segundos)
Dados uma classe de rede (A, B ou C) e os requisitos de projeto para um nmero de sub-redes e um nmero de
hosts por sub-rede, encontre todas as mscaras que satisfazem aos requisitos e escolha a mscara que maxirniza o
nmero de sub-redes ou o nmero de hosts por sub-rede. (Tempo sugerido: 30 segundos)
Dadas a uma rede classful e uma nica mscara de sub-rede para usar em todas as sub-redes, liste os nmeros da
sub-rede e identifique a sub-rede zero e a sub-rede broadcast. (Tempo sugerido: 30 segundos)
Com esses detalhes sobre sub-redes em mente, a prxima seo examina como um roteador combina com a tabela de
roteamento quando as sub-redes listadas na tabela se sobrepem de fonna que o destino de um pacote combine com mais
de uma rota.
o processo de roteamento IP de qualquer roteador requer que o roteador compare o endereo IP de destino de cada
pacote com o contedo existente na tabela de roteamento IP daquele roteador. Muitas vezes, somente um roteador
combina com um endereo de destino especfico. No entanto, em alguns casos, um endereo de destino especfico
combina com mais de uma rota do roteador. Alguns motivos legtimos e nonnais para a sobreposio de rotas em uma
tabela de roteamento so os seguintes:
o Captulo 5, "VSLM e sumarizao de rotas", explica em mais detalhe cada um desses motivos. Embora alguns casos
de sobreposio de rotas sejam problemas, outros fazem parte da operao nonnal resultante de algum outro recurso.
Esta seo concentra-se em como um roteador escolhe qual rota sobreposta utilizar, sendo os recursos que causam a
sobreposio abordados no Captulo 5.
A frase a seguir resume a lgica de encaminhamento de um roteador com rotas sobrepostas:
Quando um determinado endereo IP de destino combina com mais de uma rota na tabela de roteamento de um roteador,
o roteador utiliza a rota mais especfica - em outras palavras, a rota que tem o prefixo mais longo.
/;~~;~o
\~haY.
Para ver exatamente o que isso significa, a tabela de roteamento apresentada no Exemplo 4-1 mostra uma srie de rotas
sobrepostas. Primeiro, antes de ler qualquer texto abaixo do exemplo, tente prever qual rota seria utilizada para pacotes
enviados aos seguintes endereos IP:I72.16.1.1, 172.16.1.2, 172.16.2.3 e 172.16.4.3.
00:00 : 04,
Se rialO/1/1
172.16. 0.0/22
el
- I
- I
- I
-I
-- II
-I
Embora a questo possa fornecer um diagrama da inter-rede, voc s precisa realmente de duas informaes para
determinar qual rota ser combinada: o endereo IP de destino do pacote e o contedo da tabela de roteamento do
roteador. Examinando cada sub-rede e cada mscara na tabela de roteamento, voc consegue determinar o intervalo de
endereos IP em cada sub-rede. Neste caso, os intervalos defInidos por cada rota, respectivamente, so os seguintes:
172.16.1.0-172.16.1.255
172.16.0.0-172.16.3.255
172.16.0.0-172.16.255.255
Como pode ser visto com base nestes intervalos, vrios intervalos de endereos das rotas se sobrepem. Quando ocorre
a combinao de mais de uma rota, utilize-se a rota que possui o prefixo mais longo. Por exemplo:
172.16.1.1: Combina com todas as cinco rotas; o prefIxo mais longo /32, a rota at 172.16.1.1132.
172.16.1.2: Combina com as ltimas quatro rotas; o prefIxo mais longo /24, a rota at 172.16.1.0/24.
172.16.2.3: Combina com as ltimas trs rotas; o prefIxo mais longo /22, a rota at 172.16.0.0/22.
172.16.4.3: Combina com as ltimas duas rotas; o prefixo mais longo /16, a rota at 172.16.0.0/16.
Alm de executar a matemtica da criao de sub-redes em cada rota da tabela de roteamento, o comando sbow ip
route ip-address tambm pode ser especialmente til. Esse comando apresenta informaes detalhadas sobre a rota
que o roteador combina em relao ao endereo IP apresentado no comando. Se mltiplas rotas forem combinadas com
relao ao endereo IP, esse comando apresenta a melhor rota: a rota que possui o prefIxo mais longo. Por exemplo, o
Exemplo 4-1 apresenta o resultado do comando sbow ip route 172.16.4.3. A primeira linha do comando (destacada)
apresenta a rota combinada: a rota at 172.16.0.0/16. O resto do resultado apresenta os detalhes daquela rota especffica.
Esse comando pode ser muito til na vida real e nas questes simuladas dos exames.
o processo de roteamento IP utiliza vrios protocolos relacionados, incluindo o protocolo ARP j mencionado neste
captulo. Antes de passar para os novos tpicos deste captulo, esta seo revisa vrios protocolos relacionados.
Para que um host possa enviar qualquer pacote IP, ele precisa conhecer vrios parmetros relacionados ao IP. Os hosts
geralmente utilizam o DHCP (Dynamic Host Configuration Protocol, ou Protocolo de Configurao Dinmica de
Hosts) para aprender sobre esses fatos essenciais, incluindo:
O endereo IP do host
A mscara da sub-rede associada
O endereo IP do gateway padro (roteador)
O(s) endereo(s) IP do(s) servidor(es) DNS
Para conhecer essas informaes, o host - um cliente DHCP - envia um broadcast que fInalmente chega ao servidor
DHCP. O servidor ento pode alugar um endereo IP quele host e fornecer as outras informaes da lista anterior.
Neste ponto, o host tem um endereo IP que pode utilizar como endereo IP fonte, e informaes suficientes para tomar
a deciso simples de roteamento do host decidindo se deve enviar pacotes diretamente ao outro host (mesma sub-rede)
ou ao gateway padro (outra sub-rede). (No Microsoft Windows XP, o comando ipconfig /alI apresenta as interfaces do
host com as informaes apresentadas antes deste pargrafo.)
2. Se o usurio fizer referncia a um hostname que no esteja atualmente contido no cache de nomes do host, o host faz
uma solicitao DNS para resolver o nome em seu endereo IP correspondente. Do contrrio, o host salta este passo.
3. Se o usurio emitiu o comando ping, o pacote IP conter uma ICMP Echo Request; se, do contrrio, o usurio
utilizou um tpico aplicativo TCPIIP, ele utilizar protocolos adequados quele aplicativo.
4. Para construir o frame Ethernet, o host utiliza a entrada feita no cache ARP para o prximo dispositivo (next hop)
- o gateway padro (ao enviar para um host em outra sub-rede) ou o verdadeiro host de destino (ao enviar para
um host na mesma sub-rede). Se o cache ARP no contiver aquela entrada, o host utiliza o ARP para aprender as
informaes.
'.
Fragmentao e MTU
o TCPIIP define um comprimento mximo para um pacote IP.
o MTU varia baseado na configurao e nas caractersticas da interface. Como padro, um computador calcula o MTU
de uma interface com base no tamanho mximo da poro de dados do frame do enlace (onde o pacote colocado). O
valor padro do MTU, por exemplo, em interfaces Ethernet 1500.
Roteadores, como qualquer host IP, no podem encaminhar um pacote saindo por uma interface se o pacote for maior
que o MTU. Se o MTU da interface de um roteador for menor que um pacote que deve ser encaminhado, o roteador
fragmenta o pacote em pacotes menores. Fragmentao o processo de quebrar o pacote em pacotes menores, cada
qual menor ou igual ao valor do MTU. A Figura 4-4 mostra um exemplo de fragmentao em uma rede onde o MTU do
link serial foi baixado para 1000 bytes atravs da configurao.
Clemens
MTU 1000
Ethernet
IP (1500)
~_.. JI.
_ _ _.L..-_ _
HDLC
IP (750)
HDLC
IP (750)
Ethernet
IP (750)
I Ethernet
IP (750)
L...
Conforme ilustra a Figura 4-4, Koufax envia um pacote de 1500 bytes em direo ao roteador LA . LA remove o
cabealho Ethemet mas no pode enviar o pacote como est, porque ele tem 1500 bytes e o link HDLC - controle de
Enlace de Alto Nvel (High-Level Data Link Control) aceita um MTU de apenas 1000. Portanto, LA fragmenta o
pacote original em dois pacotes, cada um com 750 bytes de comprimento. O roteador faz a matemtica necessria para
calcular o nmero mnimo de fragmentos (neste caso, dois) e quebra o pacote original em pacotes de comprimentos
iguais. Por causa disso, qualquer outro roteador pelo qual o pacote possa passar tem menos probabilidade de ter de
executar uma fragmentao. Depois de encaminhar os dois pacotes, Boston recebe os pacotes e os encaminha sem
remont-los novamente. A remontagem feita pelo host da extremidade final, que, neste caso, Clemens.
O cabealho IP contm campos teis para remontar os fragmentos no pacote original. O cabealho IP inclui um valor 10
que o mesmo em cada pacote fragmentado, bem como o valor de deslocamento (offset) que define qual parte do pacote
original est contida em cada fragmento. Pacotes fragmentados que chegam com defeito podem ser identificados como
parte do mesmo pacote original e podem ser remontados na ordem correta utilizando o campo de deslocamento de cada
fragmento.
Dois comandos de configurao podem ser utilizados para mudar o tamanho do MTU IP em uma interface: o subcomando
de interface mto e o subcomando de interface ip rnto. O comando mto define o MTU para todos os protocolos de
Camada 3; este comando preferido, a no ser que exista a necessidade de variar a definio de acordo com o protocolo
de Camada 3. Se uma definio diferente for desejada para o IP, o comando ip mto define o valor utilizado para o IP. Se
ambos estiverem configurados em uma interface, a definio do MTU IP tem precedncia naquela interface. Entretanto,
se o comando mto for configurado depois que ip mtu estiver configurado, o valor ip mto redefinido com o mesmo valor
do comando mto. Tenha cuidado ao alterar esses valores.
A reviso sobre roteamento e endereamento IP est concluda. A seguir, este captulo examina rotas conectadas,
incluindo rotas conectadas relativas ao trunking de VLANs e endereos IP secundrios.
Os roteadores automaticamente acrescentam uma rota sua tabela de roteamento para a sub-rede conectada a cada
interface, considerando que os dois fatos a seguir sejam verdadeiros:
\.
O conceito de rotas diretamente conectadas relativamente bsico. O roteador, obviamente, precisa saber o nmero da
sub-rede utilizado na rede fsica conectada a cada uma de suas interfaces, mas, se a interface no estiver atualmente
funcionando, o roteador precisa remover a rota da sua tabela de roteamento. O comando show ip route apresenta essas
rotas com um c como cdigo da rota, significando conectada, e o comando show ip route connected apresenta somente
rotas conectadas.
As sees seguintes sobre rotas conectadas concentram-se em algumas variaes de configurao que afetam rotas
conectadas, afetando, assim, a forma como os roteadores encaminham pacotes. O primeiro tpico diz respeito a uma
ferramenta chamada endereamento IP secundrio, enquanto o segundo diz respeito configurao de um roteador ao
utilizar o trunking de VLANs .
Endereamento IP secundrio
Suponha que voc tenha planejado o esquema de endereamento IP para uma rede. Mais tarde, uma determinada subrede cresce, e voc j utilizou todos os endereos IP vlidos naquela sub-rede. O que voc deveria fazer? Existem trs
opes principais:
- Aumentar a sub-rede existente
- Migrar os hosts para utilizarem endereos em uma sub-rede diferente e maior
- Utilizar endereamento secundrio
.'
Daffy
10.1 .1.0
---L----r---~---
10.1.128.252
10.1.129.0
51
51
10.1.129.252
10.1.129.253
Primrio
Seville
10.1.3.253
10.1 .3.0
10.1.2.252,
Secundrio
10.1.7.252
Emma
Sam
Elmer
Red
Hoatname Yoaem1te
ip domain-lookup
ip nam&-aerver 10.1.1.100 10.1.2.100
interface ethernet O
ip acidreaa 10.1.7.252 255.255.255.0 aecondary
ip addreaa 10.1.2.252 255.255.255.0
interface aerial O
ip addreaa 10.1.128.252 255.255.255.0
interface aerial 1
ip addreaa 10.1.129.252 255.255.255.0
Yosemite# ahow ip route connected
1 0.0.0.0/24 is s ubnetted,
C
4 subnets
Seriall
SerialO
o roteador conectou rotas s sub-redes 10.1.2.0/24 e 10.1.7.0/24, e, portanto, pode encaminhar pacotes para cada subrede. Os hosts de cada sub-rede na mesma LAN podem utilizar 10.1.2.252 ou 10.1.7.252 como seus endereos IP do
gateway padro, dependendo da sub-rede na qual eles residem.
A maior desvantagem do endereamento secundrio que pacotes enviados entre hosts da LAN podem ser roteados de
forma ineficaz. Quando um host, por exemplo, na sub-rede 10.1.2.0, envia um pacote a um host em 10.1.7.0, a lgica do
host de envio enviar o pacote ao seu gateway, pois o destino est em uma sub-rede diferente. Portanto, o host de envio
envia o pacote ao roteador, que, em seguida, envia o pacote de volta mesma VLAN.
..... . ..
,,-------,
/
,,
,'
entre VIANs
VLAN1
Fred"
I
\
0;00
Sub-rede IP 10.1.1.0124
",
FaOIO
I
I
VLAN1
I
I
\
I
VLAN 2
I Sub-rede IP 10.1.2.0124
Frame
Sarney I
VLAN2 1 Frame
,,
.;"'/~
/
,,"
VLAN3
Sub-rede IP 10.1.3.0124
I-
I.
o Exemplo 4-3 mostra a configurao para trs subinterfaces da interface Fast Ethemet no roteador. Uma subinterface
uma subdiviso lgica de uma interface fsica. O roteador designa a cada subinterface um endereo IP e designa a
subinterface a uma nica VLAN. Portanto, em vez de trs interfaces fsicas do roteador, cada uma anexada a uma subredeNLAN diferente, o roteador utiliza uma interface fsica do roteador com trs subinterfaces lgicas, cada qual
anexada a urna sub-redeNLAN diferente. O comando encapsulation numera as VLANs, que devem combinar com a
configurao dos VLAN IDs no switch.
Este exemplo utiliza nmeros de subinterfaces que combinam com o VLAN ID em cada subinterface. No necessrio
que os nmeros combinem, mas a maioria das pessoas opta por faz-los combinar, simplesmente para tomar a configurao
mais bvia e facilitar a resoluo de problemas. Em outras palavras, os VLAN IDs podem ser 1, 2 e 3, mas os nmeros
das subinterfaces podem ter sido 4, 5 e 6, pois os nmeros das subinterfaces s so usados internamente pelo roteador.
O Exemplo 4-4 mostra a mesma rede, mas desta vez com 802.1 Q em vez de ISL. O 802.1 Q IEEE tem um conceito
chamado VLAN nativa, que urna VLAN especial em cada trunk para a qual no acrescentado nenhum cabealho
802.1Q s frames. Como padro, a VLAN 1 a VLAN nativa. O Exemplo 4-4 mostra a diferena na configurao.
Exemplo 4-4 Configurao do roteador para o encapsulamento 802.1 Q mostrado na Figura 4-6
interface fastethernet 0/0
ip address 10.1.1.1 255.255.255.0
A configurao cria trs VLANs na interface FaO/O do roteador. Duas das VLANs, as VLANs 2 e 3, so configuradas
exatamente como no Exemplo 4-3, exceto pelo fato de que o comando encapsulation apresenta 802.1Q como sendo o
tipo de encapsulamento.
A VLAN natIva, neste caso, a VLAN 1, pode ser configurada com dois estilos de configurao. O Exemplo 4-4 mostra
um estilo no qual o endereo IP da VLAN nativa configurado na interface fsica. Em conseqncia disso, o roteador
no utiliza os cabealhos de trunking da VLAN nesta VLAN, como o caso da VLAN nativa. A alternativa configurar
o endereo IP da VLAN nativa em outra subinterface e utilizar o subcomando de interface encapsulation dotlq 1
native. Esse comando diz ao roteador que a subinterface est associada VLAN 1, mas a palavra-chave native diz ao
roteador para no utilizar nenhum cabealho 802.1Q com aquela subinterface.
Roteadores no realizam negociao dinmica de trunking. Portanto, o switch conectado interface de um roteador deve
configurar o trunking manualmente, conforme abordado no Captulo 1. Por exemplo, um switch na outra extremidade da
interface FaO/O do roteador configuraria o subcomando de interface switchport mode trunk (para ativar o trunking
manualmente), e, se o switch for capaz de utilizar qualquer um tipo de trunking, configuraria o subcomando de interface
switchport trunk encapsulation dotlq para configurar estaticamente uso de 802.1Q.
Rotas estticas
Roteadores utilizam trs mtodos principais para acrescentar rotas s suas tabelas de roteamento: rotas conectadas,
rotas estticas e protocolos de roteamento dinmico. Roteadores sempre acrescentam rotas conectadas quando as
interfaces tm os endereos IP configurados e as interfaces esto ativas e em perfeito funcionamento. Na maioria das
redes, os engenheiros utilizam propositalmente protocolos de roteamento dinmico para fazer com que cada roteador
aprenda o resto das rotas da rede. O uso de rotas estticas - rotas acrescentadas a uma tabela de roteamento atravs de
configurao manual - o menos comum das trs opes.
O roteamento esttico consiste em comandos de configurao global ip route individuais que definem uma rota at um
roteador. O comando de configurao inclui uma referncia sub-rede - o nmero e a mscara da sub-rede - junto com
instrues sobre onde encaminhar pacotes destinados quela sub-rede. Para verificar a necessidade das rotas estticas,
e para verificar a configurao, observe o Exemplo 4-5, que mostra dois comandos ping testando a conectividade IP das
cidades de Albuquerque a Yosemite (veja Figura 4-7).
Daffy
10.1.1.0
_ _- L_ _ _ _, -_ _- L_ __ _
10.1.130.253
sO
10.1.129.0
Yosemite
10.1.2.252
s1
10.1.129.253
Seville
10.1.3.253
10.1.3.0
10.1.2.0
Sam
Emma
Elmer
Red
Exemplo 4-5 Comandos EXEC do roteador de Albuquerque apenas com roteadores conectados
Albuquer que# 8how ip route
Codes:
c -
timeout is 2 seconds:
o final do exemplo mostra dois comandos ping diferentes no roteador de Albuquerque, um at 10.1.128.252 (endereo
SO IP deYosemite) e um at 10.1.2.252 (endereo LAN IP de Yosemite). O comando ping lOS envia cinco pacotes
ICMP Echo Request automaticamente, com o resultado do comando apresentando um ponto de exclamao (!) para
indicar que uma Echo Reply foi recebida, e um ponto final (.) para indicar que nenhuma resposta foi recebida. No
exemplo, a primeira instncia, ping 10.1.128.252, mostra cinco respostas (100%), e a segunda instncia, ping 10.1.2.252,
mostra que no foi recebida nenhuma resposta (0%). O primeiro comando ping funciona porque Albuquerque tem uma
rota at a sub-rede na qual 10.1.128.2 reside (a sub-rede 10.1.128.0/24). No entanto, o ping at 10.1.2.252 no funciona
porque Albuquerque no tem uma rota que combine com o endereo 10.1.2.25. Neste ponto, Albuquerque s possui rotas
para as suas trs sub-redes diretamente conectadas. Portanto, o comando ping 10.1.2.252 de Albuquerque cria os
pacotes, mas Albuquerque descarta os pacotes porque no existe nenhuma rota.
O comando ip route define a rota esttica atravs da definio do nmero da sub-rede e do IP do roteador de prximo salto
(next hop). Um comando ip route define uma rota at 10.1.2.0 (mscara 255.255.255.0), que est localizada saindo de
Yosemite; portanto o prximo endereo IP conforme configurado em Albuquerque 10.1.128.25, que o endereo SerialO IP
de Yosemite. Analogamente, uma rota at 10.1.3.0, a sub-rede saindo de Seville, aponta para o endereo SerialO IP de Seville,
10.1.130.5. Observe que o prximo endereo IP um endereo IP em uma sub-rede diretamente conectada; o objetivo definir
o prximo roteador para o qual enviar o pacote. Agora, Albuquerque pode enviar pacotes para essas duas sub-redes.
O comando ip route possui dois formatos bsicos. O comando pode se referir a um prximo endereo IP, conforme
mostrado no Exemplo 4-6. Por outro lado, para rotas estticas que utilizam links seriais ponto-a-ponto, o comando pode
apresentar a interface de sada em vez do prximo endereo IP. O Exemplo 4-6 poderia utilizar o comando de configurao
global ip route 10.1.2.0 255.255.255.0 serialO em vez do primeiro comando ip route.
Infelizmente, acrescentar as duas rotas bsicas do Exemplo 4-6 a Albuquerque no resolve todos os problemas de roteamento
da rede. As rotas estticas ajudam Albuquerque a entregar pacotes a essas duas sub-redes, mas os outros dois roteadores
no possuem informaes suficientes de roteamento para encaminhar pacotes de volta a Albuquerque. Por exemplo, o PC
Bugs no consegue identificar o PC Sam nesta rede, mesmo depois da adio dos comandos no Exemplo 4-6. O problema
que, embora Albuquerque possua uma rota at a sub-rede 10.1.2.0, onde Sam reside, Yosemite no possui uma rota at
10.1.1.0, onde Bugs reside. O pacote ping de solicitao vai de Bugs a Sam corretamente, mas o pacote ping de resposta de
Sam no pode ser roteado pelo roteador de Yosemite de volta a Bugs, passando por Albuquerque; portanto, o ping falha.
c -
Codes:
5 subnets
Seriall
SerialO
Albuquerque#ping 10.1.2.252
Type escape sequence to abo rt o
Sending 5 , 10 0-byte ICMP Echos to 10 . 1.2 .2 52,
timeout is 2 seconds:
!!!!!
[ip]:
Strict, Record,
Timestamp, Verbose[none ]:
...
(.
'
o simples comando ping 10.1.2.252 funciona por uma razo bvia e outra no to bvia assim. Primeiro, Albuquerque
pode encaminhar um pacote para a sub-rede 10.1.2.0 por causa da rota esttica. O pacote de retomo, enviado por
Yosemite, enviado para o endereo 10.1.128.251, o endereo SerialO IP de Albuquerque, e Yosemite possui uma rota
conectada para chegar sub-rede 10.2.128.0. Mas por que Yosemite envia a Beho Reply ao endereo 10.1.128.251 SO IP
de Albuquerque? Bem, os pontos apresentados a seguir so verdadeiros em relao ao comando ping em roteadores Cisco:
Ico
- O comando ping Cisco utiliza, como padro, o endereo IP da interface de sada como o endereo fonte do pacote,
a no ser que seja especificado de outra forma no ping estendido. O primeiro ping, no Exemplo 4-7, usa uma fonte
10.1.128.251, porque a rota utilizada para enviar o pacote at 10.1.2.252 envia pacotes saindo pela interface SerialO
de Albuquerque, cujo endereo IP 10.1.128.251.
- Os pacotes de resposta do ping (lCMP Echo Replies) invertem os endereos IP utilizados na solicitao ping recebida
qual eles esto respondendo. Portanto, neste exemplo, o Echo Reply de Yosemite, em resposta ao primeiro ping do
Exemplo 4-7, usa 10.1.128.251 como endereo de destino e 10.1.2.252 como endereo IP fonte.
Como o comando ping 10.1.2.252 em Albuquerque utiliza 10.1.128.251 como endereo fonte do pacote, Yosemite pode
enviar uma resposta de volta a 10.1.128.251, pois Yosemite possui uma rota (conectada) at 10.1.128.0.
O perigo ao resolver problemas com o comando ping padro que podem continuar existindo problemas no roteamento,
mas o comando ping 10.1.2.252, que funcionou, lhe d uma falsa impresso de segurana. Uma alternativa mais abrangente
utilizar o comando ping estendido para agir como se voc tivesse emitido um ping a partir de um computador daquela subrede, sem ter de chamar o usurio e pedir-lhe que entre com um comando ping para voc no Pc. A verso estendida do
comando ping pode ser usada para refinar a causa por trs do problema alterando vrios detalhes do que o comando ping
envia em sua solicitao. Na verdade, quando o ping de um roteador funciona, mas o ping de um host no funciona, o ping
estendido pode ajud-lo a recriar o problema sem necessidade de trabalhar com o usurio final ao telefone.
No Exemplo 4-7, o comando ping em Albuquerque envia um pacote a partir do endereo IP fonte 10.1.1.251 (a Ethernet de
Albuquerque) para 10.1.2.252 (a Ethernet de Yosemite). De acordo com o resultado, Albuquerque no recebeu uma resposta.
Normalmente, o comando ping seria tirado do endereo IP da interface de sada. Com o uso da opo de endereos fonte do
ping estendido, o endereo fonte do pacote echo definido como endereo IP Ethernet de Albuquerque, 10.1.1.251. Como a
mensagem ICMP echo gerada pelo ping estendido tirada de um endereo da sub-rede 10.1.1.0, o pacote se parece mais com
um pacote de um usurio final daquela sub-rede. Yosernite constri um Beho Reply, com destino 10.1.1.251, mas no possui
uma rota at aquela sub-rede. Logo, Yosemite no pode enviar o pacote de respostas ping de volta a Albuquerque.
Para resolver este problema, todos os roteadores podem ser configurados para utilizar um protocolo de roteamento.
Outra alternativa simplesmente definir rotas estticas em todos os roteadores da rede.
Uma rota padro (default route) uma rota especial que combina com todos os destinos dos pacotes. Rotas padro podem
ser especialmente teis quando existe somente um caminho fsico de uma parte da rede a outra, e em casos nos quais um
roteador empresarial fornece conectividade Internet para aquela empresa. Na Figura 4-8, por exemplo, RI, R2 e R3 esto
conectados ao resto da rede atravs somente da interface LAN de RI. Todos trs roteadores podem enviar pacotes ao
resto da rede desde que os pacotes cheguem a RI, que, por sua vez, encaminha pacotes ao roteador Dist1.
-------
Vl.AN1
Fr.:d' , SubredelP 10.1.1 .0/24
,,
. . - . -. . Wilma ' \
\
I Vl.AN 2
) Sub rede IP 10.1 .2.0/24
Sarney I
I
I
/
/
/
- /
// Vl.AN 3
Sub-rede IP 10.1.3.0/24
connected, S
EIGRP , EX
static, I
N1
E1
OS PF, IA
BGP
OS PF external type 2, E
IS-IS, L1
IS-IS level-1, L2
IS - IS level-2, ia
EGP
ODR
4 subnets
00:00:05 , SerialO.1
00:00 : 21 , SerialO . 1
RI define a rota padro atravs de um comando ip route esttico, cujo destino 0.0.0.0, cuja mscara 0.0.0.0. Em
conseqncia disso, o comando show ip route de RI apresenta uma rota esttica at 0.0.0.0, uma mscara 0.0.0.0,
sendo a prxima parada 168.13.1.10 1 - em essncia, a mesma informao no comando de configurao global ip route
0.0.0.0 0.0.0.0 168.13.1.101. Um destino 0.0.0.0, com mscara
0.0.0.0, representa todos os destinos por conveno. Apenas com essa configurao, RI possui uma rota esttica que
combina com todos os destinos de pacotes IP.
Observe tambm, no Exemplo 4-8, que o resultado do comando show ip route de RI apresenta uma "gateway de ltimo
recurso" como 168.13.1.101. Quando o roteador sabe sobre pelo menos uma rota padro, ele marca a rota com um
asterisco na tabela de roteamento. Se um roteador fica sabendo sobre mltiplas rotas padro - atravs de configurao
esttica ou a partir dos protocolos de roteamento - ele marca cada rota padro com um asterisco na tabela de roteamento.
Em seguida, o roteador escolhe a melhor rota padro, marcando aquela escolha como a gateway de ltimo recurso. (A
distncia administrativa da fonte de informaes de roteamento, conforme definida pela definio de distncia administrativa,
tem impacto sobre essa escolha. O assunto distncia administrativa abordado no Captulo 8, "Teoria do protocolo de
roteamento", na seo "Distncia administrativa".)
Embora a configurao do RIP (Routing Information Protocol, ou Protocolo de Informaes de Roteamento) no seja
mostrada, RI tambm anuncia essa rota padro para R2 e R3, conforme mostrado no resultado do comando show ip
route em R3 no Exemplo 4-9.
Exemplo 4-9 R3: Nuances do uso bem sucedido da rota esttica em Ri
R3# show ip route
Codes : C - connected, S - static, I - IGRP , R - RIP , M - mob ile, B - BGP
D - EIGRP , EX - EIGRP ext ernal, O - OSPF, I A - OSPF in ter a r ea
N1 - OSPF NSSA external type 1 , N2 - OS PF NSSA external type 2
E1 - OSPF external t ype 1 , E2 - OSPF external
type 2, E - EGP
4 subnets
00 : 00:13, SerialO.1
00:00:06,
SerialO.1
Seri al O.1
Protocolos de roteamento diferentes anunciam rotas padro de maneiras diferentes. Como exemplo, quando R3 fica sabendo sobre uma
rota padro de RI utilizando RIP , R3listao destino da rota padro (0.0.0.0) e o prximo roteador, que, neste caso, R1 (168.13.100.1),
conforme destacado no Exemplo 4-9. Portanto, quando R3 precisa utilizar sua rota padro, ele encaminha pacotes at RI (168.13.100.1).
L2 - 18-18 level-2,
00:00:12, FastEthernetO / O
SerialO.1
R* 1 0 . 0.0.0/8
/;~~;~o
'. Chave
....
- Quando um roteador s combina com um pacote usando a rota padro, ele utiliza os detalhes de encaminhamento
apresentados na linha o gateway de ltimo recurso.
Independentemente de como a rota padro aparea - seja ela um gateway de ltimo recurso, uma rota at 0.0.0.0, ou
uma rota a alguma outra rede com um * do lado na tabela de roteamento - ela utilizada de acordo com as regras de
roteamento classless e classful, conforme explicado na prxima seo.
Quando aplicado a
Classful
Classless
Endereos
Protocolos de roteamento
Roteamento (Encaminhamento)
O processo de encaminhamento IP no
tem restries quanto ao uso da rota
padro
'.....C""".
o roteamento IP classless funciona exatamente como a maioria das pessoas pensa que o roteamento IP funcionaria
-.
te
;.
quando um roteador conhece uma rota padro. Em comparao com o roteamento classful, os principais conceitos do
roteamento classless so simples. O roteamento classful restringe o uso da rota padro. As duas explicaes a seguir do
uma descrio geral de cada um, com um exemplo logo aps as definies:
..
lco
ve
Roteamento classless: quando o destino de um pacote s combina com a rota padro de um roteador, e no
combina com nenhum outro roteador, encaminhe o pacote utilizando a rota padro.
Roteamento classful : quando o destino de um pacote s combina com a rota padro de um roteador, e no
combina com nenhum outro roteador, use a rota padro somente se este roteador no conhecer nenhuma rota da
rede classful na qual o endereo IP de destino resida.
O uso do termo classful se refere ao fato de que a lgica inclui algumas consideraes sobre as regras de endereamento
IP classful, ou seja, a rede classful (Classe A, B ou C) do endereo de destino do pacote. Para que este conceito faa
sentido, o Exemplo 4-11 mostra um roteador com uma rota padro; porm, o roteamento classful permite o uso da rota
padro em um caso, mas no no outro. O exemplo utiliza os mesmos exemplos de rotas padro apresentados anteriormente
neste captulo, com base na Figura 4-8. R3 e RI possuem uma rota padro que poderia encaminhar pacotes ao Roteador
Distl. Entretanto, conforme visto no Exemplo 4-11 , em R3, o ping 10.1.1.1 funciona mas o ping 168.13.200.1 falha.
Este exemplo utiliza a rota padro em R1, conforme definido com o comando ip
Observao
route e conforme explicado nos Exemplos 4-8 e 4-9, mas ele teria funcionado da mesma forma
independentemente de como a rota padro foi aprendida.
Exemplo 4-11 O roteamento classful fa z com que um ping em R3 falhe
R3# s how i p r oute
Codes :C - connected, S - static, I - IGRP, R - RI P , M - mobile, B - BGP
D - EIGRP, EX - EIGRP externaI, O - OSPF,
00:00:13, Serial0 . 1
00 : 00:06, Serial0.1
R3 #ping 10.1.1.1
Type escape sequence t o aborto
Sending 5, 100-byte ICMP Echos to 10.1 . 1.1 , timeout is 2 seconds:
! !! ! !
Success rate is 100 percent (5/5) , round- trip IDn / avg/max = 84 / 89/114 ms
R3#
R3#ping 168.13.200.1
Type escape sequence to aborto
Sending 5 , 100-byte ICMP Echos to 168 . 13.200.1, timeout is 2 seconds:
Primeiro, considere a tentativa de R3 combinar os destinos (10.1.1.1 e 168.13.200.1) em comparao com as rotas da
tabela de roteamento. A tabela de roteamento de R3 no possui nenhuma rota que combine com o endereo IP de destino,
a no ser a rota padro. Logo, a nica opo de R3 utilizar sua rota padro.
R3 configurado para utilizar o roteamento classful. Com roteamento classful, o roteador primeiramente combina com o
nmero da rede Classe A, B ou C no qual reside um dos destinos. Se a rede Classe A, B ou C for encontrada, o Software
Cisco lOS procura pelo nmero especfico da sub-rede. Se no for encontrada, o pacote descartado, como o caso das
mensagens ICMP echos enviadas com o comando ping
168.13.200.1. No entanto, com o roteamento classful, se o pacote no combinar com uma rede Classe A, B ou C da
tabela de roteamento, e existir uma rota padro, a rota padro utilizada - e por isso que R3 consegue encaminhar as
mensagens ICMP echos enviadas pelo comando ping 10.1.1.1 bem-sucedido.
Em resumo, com o roteamento classful, a nica vez em que a rota padro utilizada quando o roteador no sabe sobre
nenhuma sub-rede da rede de destino Classe A, B ou C do pacote.
possvel alternar entre o roteamento classless e classful com os comandos de configurao global ip classless e no
ip classless, respectivamente. Com o roteamento classless, o Software Cisco lOS procura pela melhor combinao,
ignorando as regras de classe. Se existir uma rota padro, com o roteamento classless, o pacote sempre, pelo menos,
combina com a rota padro. Se uma rota mais especfica combinar com o destino do pacote, aquela rota usada. O
Exemplo 4-12 mostra R3 alterada para utilizar o roteamento classless, e o ping 168.13.200.1 bem-sucedido.
Exemplo 4-12 O roteamento classless permite que o ping 168.13.200.1 agora obtenha sucesso
R3# eonfigure terminal
Enter configuration commands, one per line. End with CNTL / Z.
R3(config) ip ela le
R3 (config) # AZ
R3#ping 168.13.200.1
Type escape sequence to aborto
Sending 5 , 100-byte ICMP Echos to 168.13.200.1, timeout is 2 seconds:
! ! !! !
f T6plco
'. Chave
....
Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina.
A Tabela 4-3 relaciona esses tpicos-chave e os nmeros das pginas nas quais cada um encontrado.
Descrio
Lista
119
Lista
120
Lista
122
Reflexo
124
Lista
125
Lista
126
Lista
128
Lista
135
138
139
139
Lista
Tabela 4-2
Lista
Nmero da pgina
Definies de termos-chave
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: endereamento
classful, endereamento classless, endereo IP secundrio, ping estendido, protocolo de roteamento classful, protocolo de
roteamento classless, roteamento classful, roteamento classless, sub-rede zero
Descrio
[no] ip classless
[no] ip subnet-zero
Descrio
show ip route
ping {host-name
I ip-address}
traceroute {host-name
I ip-address}
CAPTULO
Enquanto o Captulo 4, "Roteamento IP: rotas estticas e diretamente conectadas", concentra-se em tpicos relacionados
ao roteamento IP, este captulo concentra-se em tpicos relacionados ao endereamento IP: VLSM (variable-length
subnet masking, ou mascaramento de sub-redes de comprimento varivel), sumarizao manual de rotas e sumarizao
automtica de rotas. Esses recursos esto relacionados ao endereamento IP pelo fato de exigirem raciocnio sobre o
intervalo de endereos IP indicado por um determinado endereo e uma mscara ou por uma sub-rede que faa parte de
uma rota sumarizada. Portanto, este captulo requer compreenso total de endereamento IP para que se possa entender
por completo os exemplos aqui apresentados.
Este captulo se concentra principalmente em conceitos e comandos show, com apenas alguns poucos comandos de
configurao de interesse.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
oito questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A
Tabela 5-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o
material destas sees. Isso ajudar voc a avaliar o seu conhecimento nestas reas especficas.
Tabela 5-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?"
Questes
VLSM
1-3
4-6
7-8
I.
a. RIP-l
b. RIP-2
c. EIGRP
d. OSPF
2. O que significa o acrnimo VLSM?
a. Mscara de sub-redes de comprimento varivel
b. Mscara de sub-redes muito longas
c. Mscara de sub-redes longitudinais vociferante
d. Mscara de sub-redes de extenso vetorial
e. Mscara de sub-redes de loop vetorial
3. RI configurou a interface FaO/O com o comando ip address 10.5.48.1 255.255.240.0. Qual das seguintes subredes, quando configurada em outra interface em RI, no seria considerada uma sub-rede VLSM sobreposta?
146
a. 10.5.0.0255.255.240.0
b. 10.4.0.0255.254.0.0
c. 10.5.32.0255.255.224.0
d. 10.5.0.0255.255.128.0
4. Qual das seguintes sub-redes sumarizadas a menor rota de sumarizao (menor intervalo de endereos) que inclui as
sub-redes 10.3.95.0, 10.3.96.0 e 10.3.97.0 e a mscara 255.255.255.0?
a. 10.0.0.0255.0.0.0
b. 10.3.0.0255.255.0.0
c. 10.3.64.0255.255.192.0
d. 10.3.64.0255.255.224.0
5. Qual das seguintes sub-redes sumarizadas no uma sumarizao vlida que inclui as sub-redes 10.1.55.0, 10.1.56.0
e 10.1.57.0 e a mscara 255.255.255.0?
a. 10.0.0.0255.0.0.0
b. 10.1.0.0255.255.0.0
c. 10.1.55.0255.255.255.0
d. 10.1.48.0255.255.248.0
e. 10.1.32.0255.255.224.0
6. Qual dos seguintes protocolos de roteamento aceita sumarizao manual de rotas?
a. RIP-1
b. RIP-2
c. EIGRP
d.OSPF
7. Qual(is) protocolo(s) de roteamento executa(m) sumarizao automtica como padro?
a. RIP-1
b. RIP-2
c. EIGRP
d.OSPF
8. Uma inter-rede possui uma rede no-contgua 10.0.0.0, e est tendo problemas. Todos os roteadores utilizam RIP-l
com todas as configuraes padro. Qual das seguintes respostas apresenta uma ao que, por si s, resolveria o
problema e permitiria a rede no-contgua?
a. Migrar todos os roteadores para utilizar OSPF, usando quantos padres forem possveis.
b. Desativar a sumarizao automtica com o comando de configurao RIP no auto-summary.
c. Migrar para EIGRP, usando quantos padres forem possveis.
d. O problema no pode ser resolvido sem, primeiro, fazer com que a rede 10.0.0.0 se tome contgua.
Tpicos fundamentais
Este captulo discute trs tpicos relacionados: VLSM, sumarizao manual de rotas e sumarizao automtica de rotas.
Esses tpicos esto relacionados entre si principalmente por causa da matemtica existente por detrs, que requer que o
engenheiro consiga olhar o nmero e a mscara de uma sub-rede e rapidamente determinar o intervalo de endereos a
implcito. Este captulo comea abordando o VLSM, passando, em seguida, para a sumarizao manual de rotas e, por
ltimo, a sumarizao automtica.
CCNA ICND 2
147
VLSM
VLSM ocorre quando uma inter-rede utiliza mais de uma mscara em diferentes sub-redes de uma nica rede Classe A, B ou
C. O VSLM permite que os engenheiros reduzam o nmero de endereos IP desperdiados em cada sub-rede, possibilitando
mais sub-redes e evitando ter de obter outro nmero de rede IP registrado nas autoridades regionais de concesso de endereos
IP. Alm disso, mesmo quando estiverem utilizando redes IP privadas (conforme definido na RFC 1918), grandes corporaes
podem ainda assim precisar conservar o espao de endereos, novamente criando a necessidade de utilizar o VLSM.
10.3.4.0
Albuquerque
10.1 .4.0/30
10.2.2.0
10.3.5.0
10.1.6.0130
10.3.6.0
SO/1
SOlO
Yosemite
Seville
10.3.7.0
10.1.1.0
Mscara: 255.255.255.0 exceto onde Indicado
A Figura 5-1 mostra uma tpica escolha de utilizar um prefixo /30 (mscara 255.255.255.252) em links seriais ponto-aponto, com alguma outra mscara (255.255.255.0, neste exemplo) nas sub-redes LAN. Todas as sub-redes so redes
Classe A 10.0.0.0, com duas mscaras sendo usadas, satisfazendo, portanto, a definio do VLSM.
Por mais estranho que possa parecer, as pessoas cometem um pequeno erro ao pensar que VLSM significa "usar mais
de uma mscara", em vez de "usar mais de uma mscara em uma nica rede c1assful" . Se em um diagrama de interrede, por exemplo, todas as sub-redes da rede 10.0.0.0 utilizarem uma mscara 255.255.240.0 e todas as sub-redes da
rede 11.0.0.0 utilizarem uma mscara 255.255.255.0, so utilizadas duas mscaras diferentes. Entretanto, somente uma
mscara fica dentro de cada respectiva rede c1assful e, portanto, este projeto especfico no estaria usando o VLSM.
O Exemplo 5-1 apresenta a tabela de roteamento em Albuquerque da Figura 5-1. Albuquerque usa duas mscaras dentro
da rede 10.0.0.0, conforme indicado na linha destacada no exemplo.
c
c
/;~~;~o
\' Ch....
....
Classless?
nas atualizaes
Envia mscaras
Aceita
VLSM
Aceita sumarizao
manual de rotas
RIP-1
No
No
No
No
IGRP
No
No
No
No
RIP-2
Sim
Sim
Sim
Sim
EIGRP
Sim
Sim
Sim
Sim
OSPF
Sim
Sim
Sim
Sim
172.16.2.1/23
172.16.9.5/30
172.16.5.1/24
Agora imagine que uma questo do exame lhe mostre a figura e, direta ou indiretamente, pergunte se existem sub-redes
sobrepostas. Este tipo de questo pode simplesmente dizer que alguns hosts no conseguem se identificar ou pode nem
CCNA ICND 2
149
mesmo mencionar que a causa geradora poderia ser a sobreposio de algumas sub-redes. Para responder a uma
questo como esta, voc pode seguir a sugesto simples, mas possivelmente trabalhosa, apresentada a seguir:
Passo 1 Calcule o nmero de sub-rede e o endereo de broadcast de sub-rede de cada sub-rede; assim voc obtm o
intervalo de endereos daquela sub-rede.
: e""".
Passo 2 Compare os intervalos de endereos de cada sub-rede e procure casos nos quais haja sobreposio dos
intervalos de endereos.
Na Figura 5-2, por exemplo, voc veria as cinco sub-redes e, utilizando o Passo 1, calcularia os nmeros da sub-rede, os
endereos de broadcast e o intervalo de endereos, com as respostas apresentadas na Tabela 5-3.
Localizao da sub-rede
RI LAN
Primeiro endereo
172.16.2.0
172.16.2.1
172.16.3.254
172.16.3.255
R2LAN
172.16.4.0
172.16.4.1
172.16.5.254
172.16.5.255
R3 LAN
172.16.5.0
172.16.5.1
172.16.5.254
172.16.5.255
RI-R2 serial
172.16.9.0
172.16.9.1
172.16.9.2
172.16.9.3
RI-R3 serial
172.16.9.4
172.16.9.5
172.16.9.6
172.16.9.7
o Passo 2 um passo um tanto quanto bvio que diz para comparar os intervalos de endereos para verificar se
existe alguma sobreposio. Observe que nenhum dos nmeros de sub-rede so idnticos; entretanto, ao examinar
mais de perto as sub-redes R2 LAN e R3 LAN, pode-se ver que h sobreposio entre essas duas sub-redes.
Neste caso, o projeto invlido por causa da sobreposio e, conseqentemente, uma das duas sub-redes teria de
ser alterada.
Projetando um esquema de sub-redes utilizando VLSM
O CCENT/CCNA fCNDi Guia Oficial de Certificao do Exame explica como projetar o esquema de endereamento
IP para uma nova rede escolhendo sub-redes IP quando estiver utilizando uma nica mscara de sub-rede em toda a rede
classful. Para isso, o processo, primeiramente, analisa os requisitos de projeto para determinar o nmero de sub-redes e
o nmero de hosts da sub-rede maior. Em seguida, escolhida uma mscara para a sub-rede. Por fim, todas as sub-redes
possveis da rede, utilizando aquela mscara, so identificadas e, em seguida, as sub-redes reais utilizadas no projeto so
escolhidas a partir daquela lista. Na rede Classe B 172.16.0.0, por exemplo, um projeto poderia pedir dez sub-redes, com
a sub-rede maior tendo 200 hosts. A mscara 255.255.255.0 satisfaz os requisitos, com 8 bits de sub-rede e 8 bits de host,
aceitando 256 sub-redes e 254 hosts por sub-rede. Os nmeros das sub-redes seriam 172.16.0.0, 172.16.1.0, 172.16.2.0,
e assim por diante.
Ao utilizar o VLSM em um projeto, o processo comea com a deciso de quantas sub-redes de cada tamanho so
necessrias. A maioria das instalaes, por exemplo, utiliza sub-redes com um prefixo /30 para links seriais, porque essas
sub-redes aceitam exatamente dois endereos IP, que so todos os endereos necessrios em um link ponto-a-ponto. As
sub-redes baseadas em LANs, muitas vezes, tm requisitos diferentes, com prefixos menores (significando mais bits de
host) para nmeros maiores de hosts/sub-redes, e prefixos maiores (significando menos bits de host) para nmeros
menores de hosts/sub-redes.
Observao Para revisar o projeto de criao de sub-redes utilizando SLSM (static-length
subnet masks, ou mscaras de sub-redes de comprimento fixo), use como referncia o Captulo
12 do CCENT/CCNA ICNDI Guia Oficial de Certificao do Exame. (O Apndice D deste
livro - disponvel no idioma original no site da editora: www.altabooks.com.br -, "Subnetting
Practice", tambm inclui alguns problemas prticos relacionados a este tpico.)
Depois de determinar o nmero de sub-redes com cada mscara, o prximo passo encontrar nmeros de sub-redes que
combinem com os requisitos. Essa tarefa no particularmente difcil se voc j entende como encontrar nmeros de
Passo 1 Determine o nmero de sub-redes necessrias para cada mscara/prefixo com base nos requisitos de projeto.
Passo 2 Utilizando o menor prefixo (maior nmero de bits de host), identifique as sub-redes da rede c1assful quando
estiver utilizando aquela mscara, at que o nmero necessrio dessas sub-redes tenha sido identificado.
Passo 3 Identifique o prximo nmero da sub-rede utilizando a mesma mscara do passo anterior.
Passo 4 Comeando com o nmero da sub-rede identificado no passo anterior, identifique sub-redes menores com
base no prximo maior prefixo necessrio para o projeto, at que o nmero necessrio de sub-redes daquele
tamanho tenha sido identificado.
Passo 5 Repita os Passos 3 e 4 at que todas as sub-redes de todos os tamanhos tenham sido encontradas.
Honestamente falando, utilizar o processo descrito acima pode ser um pouco difcil, mas um exemplo pode certamente
ajudar a entender o porqu do processo. Portanto, imagine um projeto de rede para o qual os seguintes requisitos foram
determinados, de acordo com o Passo 1 do processo anterior. O projeto pede o uso da rede Classe B 172.16.0.0:
- Trs sub-redes com mscara /24 (255.255.255.0)
- Trs sub-redes com mscara /26 (255.255.255.192)
- Quatro sub-redes com mscara /30 (255.255.255.252)
O Passo 2, neste caso, significa que as trs primeiras sub-redes da rede 172.16.0.0 devem ser identificadas, com a
mscara /24, porque este o menor prefixo dos trs prefixos apresentados nos requisitos de projeto. Utilizando a mesma
matemtica abordada em detalhe no livro ICNDl, as trs primeiras sub-redes seriam 172.16.0.0/24, 172.16.1.0/24 e
172.16.2.0/24:
- 172.16.0.0/24: Intervalo 172.16.0.1-172.16.0.254
-172.16.1.0/24: Intervalo 172.16.1.1-172.16.1.254
-172.16.2.0/24: Intervalo 172.16.2.1-172.16.2.254
O Passo 3, neste caso, diz para identificar mais uma sub-rede utilizando a mscara /24, de forma que a prxima sub-rede
numrica seria 172.16.3.0/24.
Antes de passar para o Passo 4, reserve alguns minutos para revisar a Figura 5-3. A figura mostra os resultados do Passo
2 na parte superior, apresentando as trs sub-redes identificadas neste passo como "alocadas", pois elas sero utilizadas
como sub-redes neste projeto. Ela apresenta tambm a prxima sub-rede, conforme encontrada no Passo 3, apresentandoa como no-alocada, pois ela ainda no foi escolhida para ser usada em uma parte especfica do projeto.
172.16.29.0/25
172.16.3.0/25
172.16.0.0 172.16.0.255
172.16.1.1 172.16.1.255
172.16.2.1 172.16.2.255
172.16.3.1 172.16.3.255
---
Passos 3 e 4 (1 passo):
encontrar sub-redes
- - -locada
com prefixos 126
172.16.3.0/26
__ o
__ o
Alocada
Alocada
Alocada
172.16.0.0/24
Alocada
172.16.3.64/26
172.16.3.128/26
No-alocada
172.16.3.192/26
Passos 3 e 4 (2 passo) :
encontrar sub-redes
com prefixos 130
CCNA ICND 2
151
Para encontrar as sub-redes do Passo 4, comece com o nmero da sub-rede no-alocada encontrada no Passo 3
(172.16.3.0), mas com o Passo 4 aplicando o prximo maior prefIxo, ou seja, /26 neste exemplo. O processo sempre
resulta no nmero da primeira sub-rede sendo o nmero de sub-rede encontrado no passo anterior, ou seja, 172.16.3.0
neste caso.
Finalmente, o Passo 5 diz para repetir os Passos 3 e 4 at que todas as sub-redes tenham sido encontradas. Neste caso,
ao repetir o Passo 3, a prxima sub-rede encontrada, utilizando o prefIxo /26, ou seja, a sub-rede 172.16.3.192/26. Essa
sub-rede considerada no-alocada por enquanto. Para repetir o Passo 4 para o prximo maior prefIxo, o Passo 4 utiliza
o prefIxo /30, comeando com o nmero de sub-rede 172.16.3.192. A primeira sub-rede ser 172.16.3.192, com mscara
/30, acrescida das trs prximas sub-redes com aquela mesma mscara, da seguinte forma:
Para atacar um problema como este, voc precisaria encontrar todos os nmeros de sub-redes que pudessem ser criados
naquela rede c1assful, utilizando a mscara mostrada ou indicada. Voc teria de se assegurar de que a nova sub-rede no
, .. se sobrepusesse a nenhuma sub-rede existente. Especillcamente, voc poderia usar os seguintes passos:
[_ 'CO
:.. ..
Passo 1 Se ainda no tiver sido apresentada como parte da questo, escolha a mscara da sub-rede (extenso do
prefIxo) com base nos requisitos de projeto, normalmente baseado no nmero de hosts necessrios na sub-rede.
Passo 2 Calcule todos os nmeros de sub-redes possveis da rede c1assful, utilizando a mscara determinada no Passo
1. (Se a questo do exame pedir o maior ou o menor nmero de sub-rede, voc pode optar por fazer essa matemtica
somente para as poucas primeiras ou poucas ltimas sub-redes).
Passo 3 Para as sub-redes encontradas no Passo 2, calcule o endereo de broadcast da sub-rede e o intervalo de
endereos para cada sub-rede considerada.
Passo 4 Compare as listas de possveis sub-redes e intervalos de redes com as sub-redes e os intervalos de endereos
existentes. Elimine qualquer sub-rede que possa se sobrepor a uma sub-rede existente.
Passo 5 Escolha um nmero de sub-rede a partir da lista encontrada no Passo 2 que no se sobreponha a qualquer
sub-rede existente, observando se a questo pede o menor ou o maior nmero de sub-rede.
Utilizando esse processo, composto por cinco passos, com o exemplo iniciado logo antes da lista de passos da Figura 5-2, a
questo forneceu a extenso de prefIxo /23 (passo 1). A Tabela 5-4 apresenta os resultados dos Passos 2 e 3, listando os
nmeros das sub-redes, os endereos de broadcast e o intervalo de endereos para as cinco primeiras sub-redes /23 possveis.
152
Primeira (zero)
172.16.0.0
172.16.0.1
172.16.1.254
172.16.1.255
_Se_~_n_d_a____________
17_2_.1_6_.2_.0_________1_7_2._16_._2._1_______1_7_2_.1_6_.3_.2_54______
17_2_.1_6_.3_.2_5_5_______
Terceira
172.16.4.0
172.16.4.1
172.16.5.254
172.16.5.255
Quarta
172.16.6.0
172.16.6.1
172.16.7.254
172.16.7.255
Quinta
172.16.8.0
172.16.8.1
172.16.9.254
172.16.9.255
o Passo 4 compara as informaes da tabela com as sub-redes existentes. Neste caso, a segunda, a terceira e a quarta subredes da Tabela 5-4 se sobrepem s sub-redes existentes na Figura 5-2. O Passo 5 tem mais a ver com o exame do que com
redes reais. Questes de mltipla escolha s vezes precisam forar a questo a ter uma nica resposta e, por isso, pedir a
numericamente menor ou maior sub-rede resolve o problema. Este modelo especfico de problema pede o menor nmero de
sub-rede, e a sub-rede zero continua disponvel (176.16.0.0/23 com o endereo de broadcast 172.16.0.0/23). Se a questo
permitisse o uso da sub-rede zero, a sub-rede zero (176.16.0.0/23) seria a resposta correta. Entretanto, se o uso da sub-rede
zero fosse proibido, as quatro primeiras sub-redes apresentadas na Tabela 5-4 no estariam disponveis, fazendo da quinta subrede (172.16.8.0/23) a resposta correta. Observe que o Cenrio 5 do Apndice F - disponvel no idioma original no site da
editora: www.altabooks.com.br-. "Additional Scenarios", lhe d a oportunidade de praticar usando esse processo em particular.
Observao Para o exame, a sub-rede zero deve ser evitada se (a) a questo implicar no
uso de protocolos de roteamento classful ou (b) se os roteadores estiverem configurados
com o comando de configurao global no ip subnet-zero. Do contrrio, considere que a subrede zero pode ser usada.
Configurao do VLSM
Roteadores no ativam nem desativam o VLSM como recurso de configurao. Numa perspectiva de confi~rao, o
VLSM simplesmente um reflexo do subcomando de interface ip address. Os roteadores configuram o VLSM em
virtude de terem pelo menos duas interfaces de roteador, no mesmo roteador ou entre todos os roteadores da inter-rede,
com endereos IP na mesma rede c1assful, mas com mscaras diferentes. O Exemplo 5-2 mostra um exemplo simples no
Roteador R3 da Figura 5-2, com o endereo IP 172.16.5.1124 sendo designado interface FaOIO e o endereo IP
172.16.9.6/30 sendo designado interface SOIO/l, usando, assim, pelo menos, duas mscaras diferentes na rede 172.16.0.0.
Exemplo 5-2 Configurando o VLSM
R3# configure terminal
R3{config)# interface FaO/O
R3{config-if)# ip address 172.16.5.1 255.255.255.0
R3{config- if)# interface SOIOll
R3{config-if)# ip address 172.16.9.6 255.255.255.252
Protocolos de roteamento c1assless, que aceitam o VLSM, no tm de ser configurados para ativar o VLSM. Suporte ao
VLSM apenas um recurso inerente a estes protocolos de roteamento.
A seguir, o texto passa para a segunda seo deste captulo, o tpico sobre sumarizao manual de rotas.
CCNA ICND 2
153
pacote, pois ele tem que combinar uma rota da tabela de roteamento, e procurar uma tabela maior geralmente demora
mais. E, com uma tabela de roteamento grande, mais demorado resolver problemas, porque os engenheiros que trabalham
com a rede precisam examinar cuidadosamente um nmero maior de informaes.
A sumarizao de rotas reduz o tamanho das tabelas de roteamento enquanto mantm rotas para todos os destinos da
rede. Em conseqncia disso, o desempenho do roteamento pode ser melhorado e a memria pode ser salva dentro de
cada roteador. A sumarizao tambm melhora o tempo de convergncia, pois o roteador que sumariza a rota no tem
mais de anunciar nenhuma alterao feita no status das sub-redes individuais. Ao anunciar apenas que toda a rota de
sumarizao est ativa ou inativa, os roteadores que possuem a rota de sumarizao no tm de convergir todas as vezes
que uma das sub-redes componentes se torna ativa ou inativa.
Este captulo se refere sumarizao de rotas como sendo a sumarizao manual de rotas, em contraste com o ltimo
tpico deste captulo, sumarizao automtica. O termo manual se refere ao fato de que a sumarizao manual de rotas
s ocorre quando um engenheiro configura um ou mais comandos. A sumarizao automtica ocorre automaticamente
sem nenhum comando de configurao especfico.
As sees a seguir examinam primeiramente os conceitos existentes por trs da sumarizao de rotas, seguido de
algumas sugestes de como determinar boas rotas de sumarizao. Observe que, embora os conceitos sejam abordados,
a configurao de rotas sumarizadas manualmente no um objetivo principal neste livro.
Os engenheiros utilizam a sumarizao de rotas para reduzir o tamanho das tabelas de roteamento na rede. A sumarizao
de rotas faz com que algumas rotas mais especficas sejam substitudas por uma nica rota que inclui todos os endereos
IP cobertos pelas sub-redes nas rotas originais.
As rotas de sumarizao, que substituem mltiplas rotas, devem ser configuradas por um engenheiro de rede. Embora o
comando de configurao no se parea exatamente com um comando static route, so configuradas as mesmas
informaes bsicas. Agora, o protocolo de roteamento anuncia somente a rota de sumarizao, em vez das rotas
originais.
A sumarizao de rotas funciona muito melhor quando a rede foi projetada com este recurso em mente. A Figura 5-1 , por
exemplo, apresentada anteriormente neste captulo, mostra os resultados de um bom planejamento de sumarizao.
Nesta rede, o engenheiro planejou suas escolhas de nmeros de sub-rede com base em seu objetivo de utilizar sumarizao
de rotas. Todas as sub-redes que saem do local principal (Albuquerque), incluindo links de WAN, comeam com 10.1.
Todas as sub-redes de LAN que saem de Yosemite comeam com 10.2, e, da mesma forma, todas as sub-redes de LAN
que saem de Seville comeam com 10.3.
O Exemplo 5-1 mostrou uma cpia da tabela de roteamento de Albuquerque sem sumarizao. Aquele exemplo mostra
as quatro rotas de Albuquerque at as sub-redes que comeam com 10.2, todas destacando sua interface serial O/O at
Yosemite. Analogamente, Albuquerque mostra quatro rotas at sub-redes que comeam com 10.3, todas destacando sua
interface serial O/I at Seville. Este projeto permite que os roteadores de Yosemite e Seville anunciem uma nica rota de
sumarizao em vez das quatro rotas que ele est atualmente anunciando at Albuquerque, respectivamente.
O Exemplo 5-3 mostra os resultados da configurao da sumarizao manual de rotas em Yoserrute e Seville. Neste caso,
Yosemite est anunciando uma rota de sumarizao para 10.2.0.0/16, que representa o intervalo de endereos 10.2.0.010.2.255.255 (todos os endereos que comeam com 10.2). Seville anuncia uma rota de sumarizao para a 10.3.0.0/16,
que representa o intervalo de endereos 10.3.0.0-10.3.255.255 (todos os endereos que comeam com 10.3).
154
~----------------~----------------------------------------------~ ~
A tabela de roteamento resultante em Albuquerque continua roteando pacotes corretamente, mas com mais eficincia e
menos memria. Na verdade, melhorar de 11 rotas para 5 rotas no ajuda muito, mas o mesmo conceito, aplicado a redes
maiores, ajuda bastante.
Os efeitos da sumarizao de rotas tambm podem ser vistos nos outros dois roteadores da figura. O Exemplo 5-4 mostra
Yosemite, incluindo a configurao da sumarizao de rotas e a tabela de roteamento de Yosemite. O Exemplo 5-5
mostra o mesmo tipo de informao em Seville.
summa~ddre
Yosemite(config-if)#A Z
Yosemite#show ip route
10.2.0.0/16 is a summary,
00:04:57, Nu110
Seria10/0
.umma~ddre.s
Sevil1e(config-if)#A Z
Sevi11e# show ip route
CCNA ICND 2
155
ia - IS-IS inter a r ea
9 subnets , 3 masks
00:00:36 , SerialO/O
c
c
c
c
00:00:36, SerialO/O
A configurao da sumarizao de rotas difere para protocolos de roteamento diferentes; o EIGRP (Enhanced IGRP
(IGRP Avanado)) utilizado neste exemplo. As rotas de sumarizao para o EIGRP so criadas pelos subcomandos de
interface ip summary-address em Yosernite e Seville neste caso. Cada comando define uma nova rota sumarizada e diz
a EIGRP para anunciar somente a sumarizao que sai dessa interface e para no anunciar nenhuma rota contida na
sumarizao maior. Por exemplo, Yosemite defme uma rota de sumarizao at 10.2.0.0, com uma mscara 255.255.0.0,
que define uma rota at todos os hosts cujos endereos IP comeam com 10.2. De fato, esse comando faz com que
Yosernte e Seville anunciem as rotas 10.2.0.0255.255.0.0 e 10.3.0.0255.255.0.0, respectivamente, e no anunciem suas
quatro sub-redes LAN originais.
Observe que, no Exemplo 5-3, a tabela de roteamento de Albuquerque agora contm uma rota at 10.2.0.0 255.255.0.0
(a mscara apresentada com a notao de prefixos /16), mas no contm nenhuma das quatro sub-redes originais que
comeam com 10.2. O mesmo ocorre para a rota 10.3.0.0/16.
As tabelas de roteamento em Yosemite e Seville so um pouco diferentes da de Albuquerque. Concentrando-se em
Yosernite (Exemplo 5-4), observe que as quatro rotas at as sub-redes que comeam com 10.2 aparecem porque
so sub-redes diretamente conectadas. Yosemite no v as quatro rotas 10.3. Em vez disso, ela v uma rota de
sumarizao, pois Albuquerque agora anuncia somente a rota sumarizada 10.3.0.0/16. O contrrio verdadeiro em
Seville (Exemplo 5-5), que apresenta todas as quatro rotas conectadas que comeam com 10.3 e uma rota de
sumarizao para 10.2.0.0/16.
A parte mais interessante das tabelas de roteamento de Yosernite a rota at 10.2.0.0/16, com a interface de sada
definida em nullO. Quando as rotas se referem a uma interface de sada da interface nullO significa que os pacotes que
combinam com essa rota so descartados. O EIGRP acrescentou essa rota, com a interface nullO, em conseqncia do
comando ip summary-address. A lgica funciona da seguinte forma:
Yosemite precisa dessa rota estranha porque agora ela pode receber pacotes destinados a outros endereos 10.2 alm
das quatro sub-redes 10.2 existentes. Se um pacote destinado a uma das quatro sub-redes 1O.2.x existentes chegar,
Yosernte possui uma rota correta e mais especfica para combinar o pacote. Se um pacote cujo destino comece com 10.2
chegar, mas no estiver em uma das quatro sub-redes, a rota null combina o pacote, fazendo com que Yosemite descarte
o pacote - como deveria ser feito.
A tabela de roteamento em Seville semelhante de Yosemite em termos das entradas feitas na tabela e dos motivos
pelos quais elas esto na tabela.
156
um plano bem estruturado, com os engenheiros usando somente sub-redes que comeassem com 10.2 para sub-redes
que sassem do roteador de Yosemite. Essa conveno permitiu a criao de uma rota de sumarizao para todos os
endereos comeando com 10.2 fazendo com que Yosemite anunciasse uma rota descrevendo a sub-rede 10.2.0.0,
com a mscara 255 .255.0.0.
Algumas rotas sumarizadas combinam vrias rotas em uma nica rota, mas esta pode no ser a "melhor" sumarizao.
A palavra melhor, quando aplicada escolha de qual rota de sumarizao deve ser configurada, significa que a sumarizao
deve incluir todas as sub-redes especificadas na questo, mas com o mnimo possvel de outros endereos. No exemplo
de sumarizao anterior, Yosemite sumarizou quatro sub-redes (10.2.1.0, 10.2.2.0, 10.2.3.0 e 10.2.4.0, todas com a
mscara 255.255.255 .0) na rota de sumarizao 10.2.0.0/16. Entretanto, essa sumarizao inclui muitos endereos IP
que no esto naquelas quatro sub-redes. Ser que a sumarizao funciona com base nos objetivos de projeto daquela
rede? Claro que sim. No entanto, em vez de simplesmente definir uma sumarizao que abranja vrios endereos
adicionais que ainda no existem em uma rede, possvel que o engenheiro deseje configurar a sumarizao mais concisa
e enxuta, ou seja, a melhor sumarizao: aquela que inclui todas as sub-redes, mas o mnimo possvel de sub-redes
adicionais (aquelas que ainda no foram designadas). Esta seo descreve uma estratgia para encontrar essas melhores
rotas concisas de sumarizao.
A lista a seguir descreve um processo binrio generalizado atravs do qual voc pode encontrar uma melhor rota de
sumarizao para um grupo de sub-redes:
..........
[ Tpico Passo 1 Liste todos os nmeros de sub-rede a serem sumarizadas em binrio.
\~h.Y.
Passo 2 Encontro os primeiros N bits dos nmeros de sub-rede em relao aos quais cada sub-rede tem o mesmo
valor, indo da esquerda para a direita. (Para nossos fins, considere essa primeira parte como a parte "em comum").
Passo 3 Para encontrar o nmero de sub-rede da rota de sumarizao, escreva os bits em comum do Passo 2 e os
zeros binrios para os bits restantes. Converta para decimal, 8 bits de cada vez, quando tiver terminado.
Passo 4 Para encontrar a mscara de sub-rede da rota de sumarizao, escreva N nmeros 1 binrios, sendo N o
nmero de bits em comum encontrados no Passo 2. Complete a mscara de sub-rede com todos os zeros binrios.
Converta para decimal, 8 bits de cada vez, quando tiver terminado.
Passo 5 Confira seu trabalho calculando o intervalo de endereos IP vlidos indicados pela nova rota de sumarizao,
comparando o intervalo com as sub-redes sumarizadas. A nova sumarizao deve abranger todos os endereos IP
das sub-redes sumarizadas.
Observando os nmeros de sub-rede em binrio, voc pode descobrir mais facilmente os bits em comum entre todos os
nmeros de sub-rede. Ao utilizar o maior nmero de bits em comum, voc consegue achar a melhor sumarizao. As
duas prximas sees mostram dois exemplos utilizando esse processo para encontrar as melhores rotas de sumarizao,
mais concisas e enxutas, para a rede apresentada na Figura 5-1.
O Passo 2 requer que voc encontre todos os bits em comum no incio de todas as sub-redes. Mesmo antes de examinar os
nmeros em binrio, possvel perceber que os dois primeiros octetos so idnticos em todas as quatro sub-redes. Portanto,
uma rpida olhada nos primeiros 16 bits de todos os quatro nmeros de sub-rede confirma que todas tm o mesmo valor. Isso
significa que a parte em comum (passo 2) tem, pelo menos, 16 bits de comprimento. Um exame mais minucioso mostra que
os primeiros 6 bits do terceiro octeto tambm so idnticos, mas o stimo bit do terceiro octeto possui alguns valores
diferentes entre as diferentes sub-redes. Portanto, a parte em comum dessas quatro sub-redes so os primeiros 22 bits.
O Passo 3 diz para criar um nmero de sub-rede para a sumarizao tomando os mesmos bits da parte em comum e
escrever os zeros binrios para o resto. Neste caso:
CCNA ICND 2
157
Passo 4 cria a mscara utilizando os 1 binrios para os mesmos bits da parte em comum, que so os primeiros 22 bits
neste caso, e, depois, os zeros binrios para os bits restantes, da seguinte forma:
1111 1111 1111 1111 1 111 11 00 0000 0000 - 2 55. 25 5. 252 .0
o
o
No Passo 2, aparentemente, os dois primeiros octetos so idnticos em todas as quatro sub-redes, acrescido dos primeiros
5 bits do terceiro octeto. Portanto, os primeiros 21 bits dos quatro nmeros de sub-rede so em comum.
O Passo 3 diz para criar um nmero de sub-rede para a rota de sumarizao tomando o mesmo valor para a parte em
comum e zeros binrios para o resto. Neste caso:
O Passo 4 cria a mscara utilizada para a rota de sumarizao utilizando os 1 binrios para a parte em comum e zeros
binrios para o resto. A parte em comum deste exemplo so os primeiros 21 bits:
1111 1111 1111 1111 1111 1 000 0000 0000 - 255.255 . 248.0
O Passo 5 sugere um mtodo para conferir o seu trabalho. A rota de sumarizao deve definir um superconjunto dos
endereos IP nas rotas sumarizadas. Neste caso, o intervalo de endereos comea com 10.2.0.0. O primeiro endereo IP
vlido 10.2.0.1, o ltimo endereo IP vlido 10.2.7.254 e o endereo de broadcast 10.2.7.255. Neste caso, a rota de
sumarizao sumariza um conjunto maior de endereos do que simplesmente as quatro sub-redes, mas inclui todos os
endereos de todas as quatro sub-redes.
Conforme abordado nas sees anteriores, a sumarizao manual de rotas pode melhorar a eficincia no roteamento,
reduzir o consumo de memria e melhorar a convergncia atravs da reduo do tamanho das tabelas de roteamento. As
sees finais deste captulo examinam a sumarizao automtica de rotas nos limites das redes classful, utilizando um
recurso chamado sumarizao automtica.
Como os protocolos de roteamento classful no anunciam informaes sobre a mscara da sub-rede, as atualizaes
de roteamento simplesmente listam os nmeros de sub-rede sem, porm, mostrar a mscara. Um roteador que receba
uma atualizao de roteamento atravs de um protocolo de roteamento classful presta ateno ao nmero de sub-rede
de atualizao, mas preciso que ele faa algumas suposies sobre qual mscara est associada sub-rede. Com os
roteadores Cisco, por exemplo, se RI e R2 tiverem redes conectadas da mesma e nica rede Classe A, B ou C, e se
R2 a receber uma atualizao de RI, R2 supe que as rotas descritas na atualizao de RI utilizem a mesma mscara
/;~;~o Quando anunciadas em uma interface cujo endereo IP no esteja na rede X, as rotas relacionadas s sub-redes da
\~have rede X so sumarizadas e anunciadas como uma nica rota. Esta rota vale para toda a rede X Classe A, B ou C.
Em outras palavras, se R3 possuir interfaces nas redes 10.0.0.0 e 11.0.0.0, quando ele anunciar atualizaes de roteamento
saindo das interfaces com endereos IP que comeam com 11, as atualizaes anunciaro uma nica rota para a rede 10.0.0.0.
Analogamente, R3 anuncia uma nica rede at 11.0.0.0 saindo das suas interfaces cujos endereos IP comeam com 10.
Albuquerque
10.3.5.0
172.16.3.0
S6 tenho
conhecimento
da rede 10.0.0.0
10.3.6.0
SO/l
Seville
10.3.7.0
172.16.1.0
Mscara: 255.255.255.0
10.0.0.0 in 1 hops
Conforme mostrado no Exemplo 5-6, a atualizao recebida de Albuquerque no SerialO/1 de Seville anuncia somente toda
a rede Classe A 10.0.0.0 porque a sumarizao automtica est ativada em Seville (como padro). Em conseqncia
disso, a tabela de roteamento IP de Albuquerque apresenta somente uma rota at a rede 10.0.0.0.
Este exemplo tambm destaca outro recurso de como os protocolos de roteamento classful fazem suposies. Albuquerque
no possui nenhuma interface na rede 10.0.0.0. Portanto, quando Albuquerque recebe a atualizao de roteamento, ela
CCNA ICND 2
159
supe que a mscara utilizada em 10.0.0.0 seja 255 .0.0.0, a mscara padro para uma rede Classe A. Em outras
palavras, os protocolos de roteamento c1assful esperam que ocorra uma sumarizao automtica.
A sumarizao automtica no causa nenhum problema desde que a rede sumarizada seja contgua em vez de nocontgua. Os residentes dos EUA tm idia do conceito de o que seja uma rede no-contgua com base no termo
comumente usado contiguous 48 (os 48 contguos), referindo-se aos 48 estados americanos com exceo do Alasca
e do Hava. Para ir de carro at o Alasca partindo dos 48 estados contguos, por exemplo, deve-se passar por outro pas
(neste caso, o Canad); portanto, o Alasca no contguo aos outros 48 estados, em outras palavras ele no-contguo.
Para entender melhor o que significam os termos contguo e no-contguo na comunicao em rede, use as duas
definies formais a seguir quando estiver estudando um exemplo de rede c1assful no-contgua:
.......... - Rede contgua: rede c1assful na qual pacotes enviados entre cada par de sub-redes podem passar somente atravs
6PlcO
... h.v.
das sub-redes daquela mesma rede c1assful, sem ter de passar por sub-redes de qualquer outra rede c1assful.
- Rede no-contgua: rede c1assful na qual pacotes enviados entre, pelo menos, um par de sub-redes deve passar por
sub-redes de uma rede c1assful diferente.
A Figura 5-5 mostra um exemplo de uma rede 10.0.0.0 no-contgua. Neste caso, pacotes enviados das sub-redes da
rede 10.0.0.0 esquerda, prxima a Yosernite, para as sub-redes da rede 10.0.0.0 direita, prxima a Seville, tm de
passar atravs das sub-redes da rede 172.16.0.0.
10.3.4.0
10.2.1.0
172.16.2.0
10.2.2.0
10.2.3.0
10.2.4.0
10.3.5.0
10.3.6.0
SOlO
Yosemite
Seville
10.3.7.0
172.16.1.0
Mscara: 255.255.255.0
A sumarizao automtica impede que uma inter-rede com uma rede no-contgua funcione adequadamente. O Exemplo
5-7 mostra os resultados do uso da sumarizao automtica na inter-rede mostrada na Figura 5-5, neste caso utilizando o
protocolo de roteamento c1assful RIP-l .
Exemplo 5-7 Tabela de roteamento de Albuquerque: a sumarizao automtica causa problemas de roteamento
com a rede 10.0.0.0 no-contgua
Albuquerque# 8how ip route
Codes:C - connected, S - static , I - IGRP, R - RIP, M - mobile , B - BGP
D - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA externaI t ype 1, N2 - OSPF NSSA externaI type 2
E1 - OSPF externaI type 1, E2 - OSPF externaI type 2, E - EGP
i
c
c
c
R
3 subnets
160
Conforme mostrado no Exemplo 5-7, Albuquerque agora possui duas rotas at a rede 10.0.0.0/8: uma apontando para a esquerda
em direo a Yosemite e uma apontando para a direita em direo a Seville. Em vez de enviar pacotes destinados s sub-redes de
Yosemite saindo pelo Serial O/O, Albuquerque envia alguns pacotes saindo pelo SO/1 at Seville! Albuquerque simplesmente equilibra
os pacotes atravs das duas rotas, porque, pelo que Albuquerque saiba, as duas rotas so simplesmente rotas de custo igual at o
mesmo destino: toda a rede 10.0.0.0. Portanto, os aplicativos deixariam de funcionar corretamente nesta rede.
A soluo para este problema desativar o uso da sumarizao automtica. Como os protocolos de roteamento c1assful
devem utilizar sumarizao automtica, a soluo requer a migrao para um protocolo de roteamento c1assless e a
desativao do recurso de sumarizao automtica. O Exemplo 5-8 mostra a mesma inter-rede da Figura 5-5 e do
Exemplo 5-7, mas dessa vez com o EIGRP (c1assless), com a sumarizao automtica desativada.
.,
-I
1
:1
Exemplo 5-8 Protocolo de roteamento classless sem nenhuma sumarizao automtica permite redes no-contguas
Albuquerque# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP externaI, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA externaI type 1, N2 - OSPF NSSA externaI type 2
C
C
00 : 00:01, SerialO/O
00:00:29, Serial0/1
10.3 . 6 . 0/24
00:00:29,
00 : 00:01, SerialO/O
Serial0/1
Com a sumarizao automtica desativada em Yosemite e em Seville, nenhum dos roteadores anuncia uma sumarizao automtica
da rede 10.0.0.0/8 at Albuquerque. Pelo contrrio, cada roteador anuncia as sub-redes conhecidas e, portanto, agora Albuquerque
conhece as quatro sub-redes LAN que saem de Yosemite bem como as quatro sub-redes LAN que saem de Seville.
~ Chave
RIP-l
....
Sim
Sim
Pode desativar a
sumarizao
automtica?
No
.'.,
--
RIP-2
Sim
Sim
Sim
Sim
EIGRP
Sim
Sim
Sim
Sim
OSPF
Sim
No
Observe tambm que o recurso de sumarizao automtica causa impacto sobre os roteadores que se conectam diretamente
a partes de mais de uma rede classful. Na Figura 5-5, por exemplo, a soluo (conforme mostrado no Exemplo 5- 8)
requer o subcomando EIGRP no auto-summary tanto em Yosemite quanto em Seville. Entretanto, neste caso, Albuquerque,
cujas interfaces esto todas dentro de uma nica rede (a rede Classe B 172.16.0.0), no mudaria o seu comportamento
com os comandos auto-summary ou no auto-summary configurados .
CCNA ICND 2
161
----------------------------------------------------------
Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina.
A Tabela 5-6 relaciona estes tpicos-chave e os nmeros das pginas nas quais cada um encontrado.
Descrio
Nmero da pgina
...c. .
".
Tabela 5-2
148
149
151
Lista
-.--------------------------------------------------------------
Lista
---------------------------------------------------------------
Definio
158
Definies
159
Tabela 5-5
Imprima uma cpia do Apndice J, "Tabelas de memria" ou, pelo menos, a seo referente a este captulo, e complete
as tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", tambm inclui tabelas e listas
completadas para voc conferir o seu trabalho.
Lista
156
160
: Definies de termos-chave
Defrna os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: mascaramento de
sub-redes de extenso varivel, protocolo de roteamento classful, protocolo de roteamento classless, rede classful, rede
contgua, rede no-contgua, rota de sumarizao, sub-redes sobrepostas, sumarizao automtica.
162
Este captulo introduz somente um novo comando que ainda no foi apresentado neste livro, isto , o comando do modo .
de configurao do roteador [no] auto-summary. Esse comando ativa a sumarizao automtica (omitindo a opo no)
ou desativa a sumarizao automtica (usando a opo no).
Este captulo inclui essa seo de referncia a comandos para que voc se lembre desse nico comando apresentado
neste captulo.
CCNA ICND 2
163
CAPTULO
A segurana de redes um dos tpicos mais discutidos em comunicao de redes atualmente. Embora a segurana
sempre tenha sido importante, a exploso da dimenso e da abrangncia da Internet criou mais situaes em que a
segurana fica exposta. Antigamente, a maioria das empresas no estava permanentemente conectada a uma rede
global- uma rede atravs da qual os outros pudessem ilegalmente acessar suas redes. Hoje em dia, como a maioria das
empresas est conectada Internet, muitas delas obtm uma receita significativa atravs de suas operaes baseadas na
rede - fatos estes que aumentam a exposio e o impacto causado quando a segurana quebrada.
Os roteadores Cisco podem ser utilizados como parte de uma boa estratgia de segurana geral. Uma das ferramentas mais
importantes dos softwares Cisco lOS utilizadas como parte dessa estratgia so as listas de controle de acesso (ou ACLs, do ingls
Access Controllists). As ACLs definem regras que podem ser usadas para impedir que certos pacotes passem pela rede. Seja
porque voc simplesmente deseja limitar o acesso ao servidor da folha de pagamentos somente a pessoas do departamento
financeiro ou porque esteja tentando impedir que hackers da Internet destruam o seu servidor Web de comrcio virtual, as ACLs
do lOS podem ser uma ferramenta de segurana essencial que faz parte de uma estratgia de segurana maior.
Este captulo est na Parte 11 deste livro, que orientada para os tpicos referentes a roteamento IP. A razo de ele estar
na Parte 11 que o uso mais comum das ACLs nos exames CCNA a filtragem de pacotes. Portanto, enquanto os
Captulos 4 e 5 discutem vrios recursos que causam impacto sobre o processo de roteamento IP para permitir a passagem
de pacotes, este captulo examina as ACLs que impedem que determinados pacotes fluam pela rede.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
oito questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A
Tabela 6-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o
material destas sees. Isso ajudar voc a avaliar o seu conhecimento nestas reas especficas.
As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.
Tabela 6-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?"
Seo dos tpicos fundamentais
Questes
1-3
4-6
7e8
9 elO
1. Barney um host cujo endereo IP 10.1.1.1 na sub-rede 10.1.1.0/24. Qual das opes a seguir apresenta coisas que
uma ACL IP padro poderia estar configurada para fazer?
b. Combinar os endereos 1P de 10.1.1.1 at 10.1.1.4 com um comando access-list sem combinar outros endereos 1P
c. Combinar todos os endereos 1P da sub-rede de Barney com um comando access-list sem combinar outros endereos 1P
a.O.O.O.O
b.0.0.0.31
c. 0.0.0.240
d. 0.0.0.255
e. 0.0.15.0
f.0.0.248.255
3. Qual das seguintes mscaras curinga (wildcard mask) mais til para a combinao de todos os pacotes IP da subrede 10.1.128.0, mscara 255.255.240.0?
a.O.O.O.O
b.0.0.0.31
c. 0.0.0.240
d. 0.0.0.255
e. 0.0.15.255
f.0.0.248.255
4. Qual dos seguintes campos no pode ser comparado com base em uma ACL IP estendida?
a. Protocolo
b. Endereo IP origem
c. Endereo IP de destino
d. TOS byte
e. URL
f. Nome do arquivo para transferncias FfP
5. Qual dos seguintes comandos access-list permite trfego que combine pacotes que partem do host 10.1.1.1 para
todos servidores Web cujos endereos IP comecem com 172.16.5?
a. access-list 101 permi t tcp host 10.1.1.1 172.16.5. O O. O. 0.255 eq www
b. access-list 1951 permit ip host 10.1.1.1 172.16.5.0 0.0.0.255 eqwww
c. access-list 2523 permit ip host 10.1.1.1 eq www 172.16.5.0 0.0.0.255
d. access-list 2523 permit tcp host 10.1.1.1 eq www 172.16.5. O O. O. 0.255
e. access-list 2523 permit tcp host 10.1.1.1172.16.5.0 0.0.0.255 eq www
6. Qual dos seguintes comandos access-list permite trfego que combine pacotes direcionados a qualquer cliente Web
vindos de todos os servidores Web cujos endereos IP comecem com 172.16.5?
a. access-list 101 permit tcp host 10.1.1.1 172.16.5.0 0.0.0.255 eqwww
b. access-list 1951 permit ip host 10.1.1.1 172.16.5.0 0.0.0.255 eqwww
c. access-list 2523 permit tcp any eq www 172.16.5.0 0.0.0.255
d. access-list 2523 permit tcp 172.16.5.0 0.0.0.255 eqwww 172.16.5.0 0.0.0.255
e. access-list 2523 permit tcp 172.16.5. O O. O. 0.255 eq www any
CCNA ICND2
167
7. Qual dos seguintes campos pode ser comparado utilizando uma ACL IP estendida nomeada mas no uma ACL IP
estendida numerada?
a. Protocolo
b. Endereo IP origem
c. Endereo IP de destino
d. TOS byte
e. Nenhuma das respostas acima.
8. Em um roteador executando lOS 12.3, um engenheiro precisa excluir a segunda linha da ACL 101, que atualmente
possui quatro comandos configurados. Qual das seguintes opes poderia ser utilizada?
a. Excluir toda a ACL e reconfigurar as trs sentenas da ACL que devem permanecer na ACL.
b. Excluir uma linha da ACL utilizando o comando no access-list. ..
c. Excluir uma linha da ACL entrando no modo de configurao ACL e, depois, excluir somente a segunda linha com
base em seu nmero de seqncia.
d. Excluir as trs ltimas linhas daACL do modo de configurao ACL e, depois, acrescentar as duas ltimas sentenas
novamente ACL.
10. Qual das seguintes ferramentas requer o usurio final at a telnet e at um roteador para ganhar acesso a hosts do
outro lado do roteador?
a. ACLs nomeadas
b. ACLs reflexivas
c. ACLs dinmicas
d. ACLs baseadas em tempo
Tpicos fundamentais
O Cisco lOS tem dado suporte s ACLs IP praticamente desde que os roteadores Cisco originais foram introduzidos ao
comrcio no final da dcada de 1980. O lOS identificou essas ACLs com um nmero. Anos mais tarde, como parte da
introduo do l OS 11 .2, a Cisco acrescentou a capacidade de criar ACLs nomeadas. Essas ACLs nomeadas oferecem
alguns outros pequenos benefcios quando comparadas s ACLs numeradas, mas ambas podem ser usadas para filtrar
exatamente os mesmos pacotes exatamente com as mesmas regras. Finalmente, com a introduo do lOS 12.3, a Cisco
melhorou novamente o suporte dado s ACLs, principalmente em relao forma como o lOS permite aos engenheiros
editarem ACLs existentes. Este ltimo grande passo no progresso das ACLs durante os anos faz com que as ACLs
numeradas e nomeadas dem suporte exatamente aos mesmos recursos, em vez da nica diferena bvia de utilizar um
nmero ou um nome para identificar a ACL.
Por causa da histria progressiva do suporte dado pela Cisco s ACLs, os exames CCNA continuam abordando muitas
das mesmas informaes e dos mesmos comandos de configurao que tm sido utilizados com roteadores Cisco h
quase 20 anos. Para sustentar toda essa histria, este captulo dedica a maior parte de seu tempo explicando ACLs IP ACLs IP numeradas - utilizando os mesmos comandos e a mesma sintaxe disponveis no lOS h muito tempo. De modo
especial, este captulo comea com uma descrio dos tipos mais simples de ACLs IP numeradas - as ACLs IP padro.
Figura 6-1 Locais em que a lgica da lista de acesso pode ser aplicada na rede
172.16.3.8 172.16.3.9
A lgica de filtragem pode ser configurada em qualquer um dos trs roteadores em qualquer uma das suas interfaces. As
linhas pontilhadas da figura mostram os pontos mais adequados nos quais aplicar a lgica de filtragem em uma ACL.
Como o trfego de Bob o nico trfego que precisa ser filtrado e o objetivo impedir acesso ao Serverl, a lista de
acesso poderia ser aplicada a RI ou R3. E como a tentativa de transmisso de trfego de Bob para o Serverl no
precisaria passar por R2, R2 no seria um bom lugar para colocar a lgica da lista de acesso. Para fins desta discusso,
considere que RI onde a lista de acesso deve ser aplicada.
O software Cisco lOS aplica a lgica de filtragem de uma ACL quando um pacote entra em uma interface ou quando ele
sai da interface. Em outras palavras, o lOS associa uma ACL com uma interface, especificamente para o trfego que
entra ou sai da interface. Depois de escolher o roteador no qual voc deseja colocar a lista de acesso, necessrio
escolher a interface na qual a lgica de acesso ser aplicada bem como se a lgica dever ser aplicada a pacotes que
estejam para entrar ou que estejam para sair.
.'
.'
CCNA ICND2
169
Suponha, por exemplo, que voc deseje filtrar os pacotes de Bob enviados a ServerI. A Figura 6-2 mostra as opes de
ftltragem do pacote.
Figura 6-2 Processamento interno em Ri com relao ao local em que Ri pode filtrar pacotes
Roteador 1
/;~~;~o
'. Chave
....
Permitir
Permitir
ACL
lgica de
de_feia
rotearnemo
EO
Q)
Cl
......
.......
s1
'---
ACL
de.,...
Negar
Balde
deBIIB
Pacote IP
A lgica de ftltragem pode ser aplicada a pacotes que estejam entrando em SI ou que estejam saindo por EO em RI para
combinar com o pacote enviado por Bob ao ServerI. Em geral, possvel ftltrar pacotes criando e ativando listas de
acesso para pacotes de entrada e de sada em cada interface. Veja abaixo alguns recursos importantes das listas de
acesso Cisco:
- Os pacotes podem ser ftltrados ao entrarem em uma interface antes da deciso de roteamento.
- Os pacotes podem ser ftltrados antes de sarem de uma interface aps a deciso de roteamento.
- Negar o termo usado no software Cisco lOS para indicar que o pacote ser ftltrado.
- Permitir o termo usado no software Cisco lOS para indicar que o pacote no ser ftltrado.
- A lgica de ftltragem configurada na lista de acesso.
- No fim de cada lista de acesso existe uma sentena "negar todo o trfego" implcita. Por isso, se um pacote no
combinar com nenhuma das suas sentenas da lista de acesso, ele bloqueado.
Por exemplo, voc pode criar uma lista de acesso em RI e ativ-la na interface SI de RI. A lista de acesso procuraria
pacotes que viessem de Bob. Da, a lista de acesso teria de ser ativada para pacotes que estivessem para entrar, porque
nesta rede, os pacotes vindos de Bob entram em SI, e os pacotes destinados a Bob saem por SI.
As listas de acesso tm dois passos principais em sua lgica: combinao e ao. A lgica de combinao examina cada
pacote e determina se ele combina com a sentena access-list. O endereo IP de Bob, por exemplo, seria utilizado para
combinar pacotes enviados por Bob. As ACLs IP dizem ao roteador para, quando uma sentena for combinada, ele tomar
uma das duas aes seguintes: negar ou permitir. Negar significa descartar o pacote, e permitir indica que o pacote deve
continuar em seu caminho.
Portanto, a lista de acesso para impedir o trfego de Bob at o servidor pode ser algo parecido com o seguinte:
Procure pacotes com o endereo IP fonte de Bob e o endereo IP de destino do ServerI. Ao encontr-los, descarte-os.
Se encontrar qualquer outro pacote, no o descarte.
Como era de se esperar, as ACLs IP podem se tornar bem mais difceis do que na vida real. Mesmo uma pequena lista
de critrios de combinao pode criar listas de acesso complicadas em vrias interfaces em vrios roteadores. J ouvi
falar de algumas redes de maior dimenso com algumas pessoas trabalhando em tempo integral cuja funo nada mais
que planejar e implementar listas de acesso!
/;~~~o
i, Chave
Mscara curinga
0.0.0.0
0.0.0.255
00000000.00000000.00000000.11111111
0.0.255.255
00000000.()()()()()()()(.11111111.11111111
0.255.255.255
()()()()()()OO.11111111.11111111.11111111
....
CCNA ICND2
171
255.255.255.255
11111111.11111111.11111111.11111111
0.0.15.255
()()()()()()()(.()()()()()()()(.()()()() 1111.11111111
0.0.3.255
()()()()()()()(.()()()()()()()(.0()()()()011.11111111
Os primeiros vrios exemplos mostram os usos tpicos da mscara curinga. Como pode ser visto, no uma mscara de
sub-rede. Um curinga 0.0.0.0 significa que o endereo IP inteiro deve ser examinado, e ser igual, para ser considerado
uma combinao. 0.0.0.255 significa que o ltimo octeto automaticamente combina, mas os 3 primeiros devem ser
examinados, e assim por diante. De uma forma mais geral, a mscara curinga significa o seguinte:
As posies dos bits do Obinrio significam que a lista de acesso compara a posio do bit correspondente no endereo
IP e certifica-se de que ela seja igual mesma posio do bit no endereo configurado na sentena access-list. As
posies dos bits do 1 binrio so bits "tanto faz". Estas posies dos bits so imediatamente consideradas combinaes.
As ltimas duas colunas da Tabela 6-2 mostram duas mscaras curinga que fazem sentido, mas no so bvias. 0.0.15.255
em binrio so 20 zeros binrios seguidos de 12 nmeros 1 binrios. Isso significa que os 20 primeiros bits devem
combinar. Analogamente, 0.0.3.255 significa que os primeiros 22 bits devem ser examinados para que se possa descobrir
se eles combinam. Por que eles so teis? Se a mscara de sub-rede for 255.255.240.0 e voc quiser combinar todos os
hosts na mesma sub-rede, o curinga 0.0.15.255 significa que todos os bits da rede e da sub-rede devem ser combinados,
e considera-se que todos os bits de hosts automaticamente combinem. Da mesma forma, se voc deseja filtrar todos os
hosts em uma sub-rede que utiliza a mscara de sub-rede 255.255.252.0, a mscara curinga 0.0.3.255 combina os bits da
rede e da sub-rede. Em geral, se voc deseja uma mscara curinga que o ajude a combinar todos os hosts em uma subrede, inverta a mscara de sub-rede e voc ter a mscara curinga correta.
/;~;;~o
'. Chave
....
Para a sub-rede 172.16.8.0255.255.252.0, por exemplo, use o nmero de sub-rede (172.16.8.0) como o parmetro do
endereo, e depois faa a seguinte matemtica para encontrar a mscara curinga:
2 5 5.255 . 255 . 255
-
2 5 5.255.252.0
3 . 255
Algumas questes do exame podem no pedir que voc identifique a sentena da ACL que precisa ser configurada,
pedindo, entretanto, que voc interprete alguns comandos access-list existentes.
Normalmente, essas questes apresentam sentenas da ACL pr-configuradas; seno, voc precisa exibir os contedos da ACL de
um simulador de roteador e decidir com qual sentena um determinado pacote combina Para isso, necessrio determinar o intervalo
de endereos IP combinados por uma determinada combinao de endereo/mscara curinga em cada sentena da ACL.
Se voc tiver dominado a matemtica de sub-redes usando qualquer um dos atalhos decimais, evitando a matemtica
binria, outro atalho pode ser usado para analisar cada par formado pelo endereo e o curinga em cada comando da
ACL. Para isso:
172
Passo 1 Utilize o endereo no comando access-list como se ele fosse um nmero de sub-rede.
f Tpico
: Chave
.....
Passo 2 Utilize o nmero encontrado subtraindo a mscara curinga de 255.255.255.255 como uma mscara de sub-rede.
Passo 3 Trate os valores dos dois primeiros passos como um nmero de sub-rede e uma mscara de sub-rede e
encontre o endereo de broadcast para a sub-rede. A ACL combina com o intervalo de endereos entre o nmero
de sub-rede e o endereo de broadcast, inclusive.
O intervalo de endereos identificado por este processo o mesmo intervalo de endereos combinado pela ACL. Portanto,
se voc j consegue encontrar o intervalo de endereos de uma sub-rede rpida e facilmente, o uso deste processo para
alterar a matemtica da ACL pode ajud-lo a encontrar a resposta com mais rapidez nos exames. Com o comando
access-list 1 permit 172.16.200.0 0.0.7.255, por exemplo, voc primeiro pensaria em 172.16.200.0 como um nmero
de sub-rede. Em seguida, poderia calcular a mscara de sub-rede 255.255.248.0 pressuposta, como se segue:
255.255.255.255
255 255.248.0
o.
7.255 -
o.
A partir da, utilizando qualquer processo que desejar, use a matemtica das sub-redes para determinar se o endereo de
broadcast dessa sub-rede seria 172.16.207.255. Portanto, o intervalo de endereos combinado por essa sentena daACL
seria 172.16.200.0 at 172.16.207.255.
Observao O Cenrio 3 (Scenario 3) do Apndice F - disponvel no idioma original no site
da editora: www.altabooks.com.br -, oferece a oportunidade de praticar como escolher uma
mscara curinga para combinar com hosts em uma determinada sub-rede.
I permit}
source [source-wildcard]
Uma lista de controle de acesso padro utiliza uma srie de comandos access-list que possuem o mesmo nmero. Os
comandos access-list com mesmo nmero so considerados como se estivessem na mesma lista, com os comandos sendo
apresentados na mesma ordem em que foram acrescentados configurao. Cada comando access-list pode combinar com
um intervalo de endereos lP fonte. Se ocorrer uma combinao, a ACL permite que o pacote continue seu caminho (ao
pennit (permitir)) ou descarta o pacote (ao deny (negar)). Cada ACL padro pode combinar com todos, ou somente parte,
dos endereos lP origem do pacote. Observe que para ACLs lP padro, o intervalo vai de 1 a 99 e de 1300 a 1999.
A lista a seguir resume um processo de configurao sugerido. No necessrio memorizar o processo para o exame;
ele simplesmente apresentado aqui como aUXIllo para estudos de reviso.
..........
fT6plco
Passo 1 Planeje a localizao (roteador e interface) e o sentido (entrada ou sada) naquela interface:
:, Chave
....
a. As ACLs padro devem ser colocadas prximas ao destino dos pacotes para que ele no descarte sem querer
pacotes que no devam ser descartados.
b. Como as ACLs padro s podem combinar com o endereo lP origem de um pacote, identifique os endereos lP
fonte dos pacotes medida que eles caminham no sentido que est sendo examinado pela ACL.
Passo 2 Configure um ou mais comandos de configurao global access-list para criar a ACL, mantendo em mente
o seguinte:
a. A lista procurada seqencialmente, usando a lgica da primeira combinao. Em outras palavras, quando um
pacote combina com uma das sentenas do access-list, a procura termina, mesmo que o pacote ainda combine
com sentenas subseqentes.
.'
CCNA ICND2
173
b. A ao padro, se um pacote no combinar com nenhum comando access-list, negar (descartar) o pacote.
Passo 3 Ative a ACL da interface escolhida do roteador, no sentido correto, utilizando o subcomando de interface ip
access-group number {in I out}.
o Exemplo 6-1 tenta parar o trfego de Bob para o Serverl. Conforme mostrado na Figura 6-1 , Bob no tem permisso
de acesso ao Serverl. No Exemplo 6-1, a configurao ativa uma ACL para todos os pacotes que saem da interface
EthernetO de RI. A ACL combina com um endereo fonte do pacote - o endereo IP de Bob. Observe que os comandos
access-list esto na parte inferior do exemplo porque o comando show running-config tambm os apresenta prximo
parte inferior, aps os comandos de configurao da interface.
Exemplo 6-1 Lista de acesso padro em RI impedindo que Bob chegue ao ServerI
interface EthernetO
ip addre88 172.16.1.1 255.255.255.0
1-
ip aCCe88-gTOUp 1 out
Primeiro, concentre-se na sintaxe bsica dos comandos. As listas de acesso IP padro utilizam um nmero no intervalo de
1 a 99 ou de 1300 e 1999. Este exemplo utiliza a ACL nmero 1 em vez de outros nmeros disponveis, sem nenhum
motivo especfico. (No h diferena alguma em utilizar um nmero ou outro, desde que ele esteja no intervalo correto.
Em outras palavras, a lista 1 no melhor nem pior que a lista 99.) Os comandos access-list, sobre os quais a lgica de
combinao e de ao so defrnidas, so comandos de configurao global. Para ativar aACL em uma interface e definir
o sentido dos pacotes aos quais a ACL aplicada, utiliza-se o comando ip access-group. Neste caso, ele ativa a lgica
para ACLl na EthernetO para pacotes que saem da interface.
AACLl impede que os pacotes enviados por Bob saiam pela interface Ethernet de RI , com base na lgica de combinao
do comando access-list 1 deny 172.16.3.10 0.0.0.0. A mscara curinga 0.0.0.0 significa "combinar com todos os 32
bits", portanto, somente pacotes cujo endereo IP combine exatamente com 172.16.3.10 combinam com essa sentena
e so descartados. O comando access-list 1 permit 0.0.0.0
255.255.255.255, a ltima sentena da lista, combina com todos os pacotes, pois a mscara curinga 255.255.255.255
significa "tanto faz" em relao a todos os 32 bits. Em outras palavras, a sentena combina com todos os endereos IP
origem. Esses pacotes so permitidos.
Finalmente, observe que o engenheiro tambm acrescentou um comando access-list 1 remark ACL. Esse comando
permite o acrscimo de um comentrio de texto, ou uma observao, para que voc possa rastrear a finalidade da ACL.
A observao somente aparece na configurao; ela no apresentada no resultado do comando show.
Embora parea ser um exemplo simples, neste caso a lista de acesso 1 tambm impede que os pacotes de Bob enviados
para o Server2 sejam entregues. Com a topologia mostrada na Figura 6-1, uma ACL de sada padro na interface EO de
RI no pode, de alguma forma, negar o acesso de Bob ao Serverl enquanto permite o acesso ao Server2. Para isso,
necessria uma ACL estendida que possa verificar os endereos da fonte e do destino.
interessante notar que se os comandos do Exemplo 6-1 forem inseridos no modo de configurao, o lOS altera a
sintaxe de configurao de alguns comandos. O resultado do comando show running-config no Exemplo 6-2 mostra o
que o lOS realmente coloca no arquivo de configurao.
Exemplo 6-2 Lista de acesso padro revisada impedindo que Bob alcance o Server I
interface EthernetO
ip addre88 172.16.1.1 255.255.255.0
ip acce88-group 1 out
acce88-1i8t 1 remark 8top a11 traffic who8e 80urce IP i8 Bob
Os comandos do Exemplo 6-1 so alterados com base em trs fatores. O Cisco lOS permite um estilo mais antigo e um
estilo mais novo de configurao para alguns parmetros. O Exemplo 6-1 mostra o estilo mais antigo, que o roteador
passa para a configurao equivalente, de estilo mais novo, no Exemplo 6-2. Primeiro, o uso de uma mscara curinga
0.0.0.0 realmente significa que o roteador deve combinar com aquele endereo IP especfico do host. A configurao de
estilo mais novo utiliza a palavra-chave host emfrente ao endereo IP especfico. A outra alterao feita na configurao
de estilo mais novo envolve o uso da mscara curinga 255.255.255 .255 significando "combinar com qualquer coisa" . A
configurao de estilo mais novo utiliza a palavra-chave any (qualquer) para substituir o endereo IP e a mscara
curinga 255.255.255.255 . A palavra any (qualquer) simplesmente significa que qualquer endereo IP combinado.
Daffy
10.1.1 .2
Albuquerque
s1
~3,
'&.
'
?
sO
Sub-rede10.1.129.0
s1
Yosemite
EO
s1
Sub-rede 10.1.2.0
Sam
10.1.2.1
Emma
10.1.2.2
Seville
EO
Elmer
10.1.3.1
Red
10.1.3.2
CCNA ICND2
175
out
acceaa-liat ,
acceaa-liat ,
permit any
primeira vista, essas duas listas de acesso parecem executar a funo desejada. ACL 3, ativada para pacotes que
saem da interface SO de Yosemite, cuida do critrio 1, porque ACL 3 combina exatamente com o endereo IP de Sam.
ACL 4, em Seville, ativada para pacotes que saem da sua interface S 1, cuida do critrio 2, porque ACL 4 combina com
todos os pacotes provenientes da sub-rede 10.1.3.0/24. Ambos os roteadores satisfazem o critrio 3: um curinga permit
any utilizado na extremidade de cada lista de acesso para se sobrepor ao padro, que descartar todos os outros
pacotes. Logo, aparentemente todos os critrios so satisfeitos.
No entanto, quando um dos links WAN falha, podem aparecer alguns buracos nas ACLs. Se, por exemplo, o link de
Albuquerque a Yosemite falhar, Yosemite apremde uma rota at 10.1.1.0/24 passando por Seville. Pacotes vindos de
Sam, encaminhados por Yosemite e destinados a hosts em Albuquerque, saem da interface serial 1 de Yosemite sem
serem infiltrados. Portanto, o critrio 1 no mais satisfeito. Analogamente, se o link de Seville a Yosemite falhar, Seville
envia os pacotes passando por Albuquerque, roteando em tomo da lista de acesso ativada em Seville; portanto, o critrio
2 no mais satisfeito.
o Exemplo 6-5 ilustra uma soluo alternativa, com toda a configurao de Yosemite - uma configurao que funciona
mesmo quando alguns dos links falham.
Exemplo 6-5 Configurao de Yosemite para o exemplo de lista de acesso padro: soluo alternativa para os
Exemplos 6-3 e 6-4
interface aerial O
ip acceaa-group 3 out
interface aerial 1
ip acceaa-group 3 out
interface ethernet O
ip acceaa-group 4 out
A configurao mostrada no Exemplo 6-5 resolve o problema dos Exemplos 6-3 e 6-4. A ACL 3 verifica o endereo IP
fonte de Sam, que ativado nos dois links seriais para trfego de sada. Portanto, do trfego que roteado novamente por
causa de uma falha no link WAN, os pacotes vindos de Sam continuam sendo filtrados. Para satisfazer o critrio 2,
Yosemite filtra pacotes medida que eles saem de sua interface Ethernet. Por isso, independentemente de por qual dos
dois links WAN os pacotes entram, os pacotes da sub-rede de Seville no so encaminhados para a Ethernet de Yosemite.
9
Campos de
Cabealhos
Variados
Soma de
Endereo
TIpo de
verificao
protocolo
IP fonte
do cabealho
Varivel
Endereo IP
de destino
Opes
Cabealho IP
9
Campos de
Cabealhos
Variados
Soma de
Protocolo
Endereo
verificao
6 (TCP)
IP fonte
do cabealho
TCP
Varivel
Endereo IP
de destino
Opes
Porta
fonte
16+
Porta Rest.
de
de
destino TCP
o conjunto de cabealhos na parte de cima mostra o tipo de protocolo IP, que identifica qual cabealho segue o cabealho
IP. Voc pode especificar todos os pacotes IP, ou aqueles com cabealhos TCP, cabealhos UDP, ICMP, e assim por
diante, verificando o campo Protocolo. possvel tambm verificar os endereos IP da fonte e do destino, conforme
mostrado. A parte inferior da figura mostra um exemplo com um cabealho TCP seguindo o cabealho IP, destacando o
local dos nmeros das portas TCP da fonte e do destino. Esses nmeros de portas identificam o aplicativo. A Web, por
exemplo, utiliza a porta 80 como padro. Se voc especificar um protocolo TCP ou UDP, possvel tambm verificar os
nmeros de portas.
A Tabela 6-3 resume os campos mais comumente usados que podem ser combinados com uma ACL estendida, em
comparao com as ACLs IP padro.
..........
Tabela 6-3 Listas de acesso IP padro e estendidas: combinao
( Tpico
endereo IP origem
:.....c:......
Endereo IP de destino
Partes do endereo IP de destino utilizando uma mscara curinga
Tipo de protocolo (TCP, UDP, ICMP, IGRP, IGMP e outros)
Porta origem
Porta de destino
Todos os fluxos TCP exceto o primeiro
CCNA ICND2
177
TOS IP
precedncia IP
Saber o que procurar apenas metade da batalha. O lOS verifica todas as informaes da combinao configuradas em
um nico comando access-list. Tudo deve combinar com relao a este nico comando para que ele seja considerado
uma combinao e para que seja tomada a ao definida. As opes comeam com o tipo de protocolo (IP, TCP, UDP,
ICMP e outros), seguido do endereo IP origem, da porta origem, do endereo IP de destino e do nmero da porta de
destino. A Tabela 6-4 apresenta vrios exemplos de comandos access-list, com vrias opes configuradas e algumas
explicaes. Somente as opes de combinao esto sombreadas.
Sentena access-list
Idem ao exemplo anterior, mas qualquer porta origem combina, pois aquele
parmetro omitido neste caso
Um pacote com uma origem na rede 1.0.0.0, usando UDP com uma
porta origem menor que (It) 1023, com qualquer endereo IP de destino
As ACLs IP estendidas permitem a combinao do campo de protocolo do cabealho IP bem como a combinao dos
nmeros d~s portas TCP ou UD~ da fonte e d~ destino. Entretanto~ ~uitas pessoas encon~am difi~uldade ao }niciar a
. configu~aao de ACLs que combmem com os numeros das portas, pnnclpalmente quando esto combmando o numero da
porta ongem.
Ao considerar qualquer questo do exame que envolva portas TCP ou UDP, tenha em mente os seguintes pontos
essenciais:
. .. . . . .
MJ.6plco
...:-ha...
".
O comando access-list deve usar a palavra-chave tcp do protocolo para conseguir combinar as portas TCP e a
palavra-chave udp para conseguir combinar as portas UDP. A palavra-chave ip no permite a combinao dos
nmeros das portas.
Os parmetros da porta origem e da porta de destino no comando access-list so posicionais. Em outras palavras,
sua localizao no comando determina se o parmetro examina a porta origem ou a porta de destino.
Lembre-se de que as ACLs podem combinar pacotes enviados a um servidor comparando a porta de destino com
os nmeros das portas bem-conhecidos (well-known). Entretarlto, as ACLs precisam combinar a porta origem para
pacotes enviados pelo servidor.
Vale a pena memorizar os aplicativos TCP e UDP mais populares, e suas portas conhecidas, conforme apresentado
na Tabela 6-5, mostrado mais adiante neste captulo.
Considere, por exemplo, a rede simples mostrada na Figura 6-5. O servidor FTP fica direita, com o cliente esquerda.
A figura mostra a sintaxe de uma ACL que combina
178
172.16.1.0/24
Entrada
172.16.3.0/24172 .16.3.1
Sada
Entrada
FaOIO
SOlO
SO/1
Para ter uma idia completa da combinao da porta de destino com o parmetro eq21, considere pacotes indo da
esquerda para a direita, de PC1 para o servidor. Se o servidor estiver usando a bem-conhecida porta 21 (porta de controle
FfP), o pacote enviado por PC1, no cabealho TCP, possui um valor de porta de destino igual a 21. A sintaxe da ACL
inclui o parmetro eq21 depois do endereo IP de destino, sendo que essa posio no comando indica que esse parmetro
combina com a porta de destino. Em conseqncia disso, a sentena da ACL mostrada na figura combinaria com esse
pacote e com a porta de destino 21, se utilizada em qualquer um dos quatro locais indicados pelas quatro setas na figura.
Por outro lad, a Figura 6-6 mostra o fluxo inverso, com um pacote enviado pelo servidor de volta em direo a PC1.
Neste caso, o cabealho TCP do pacote possui uma porta fonte 21, e, portanto, a ACL deve verificar o valor 21 da porta
fonte e deve estar localizada em interfaces diferentes.
".
172.16.1.0/24
Sada
FaOIO
Entrada
172.16.3.0/24
172.16.3.1
SOlO
SO/1
FaOIO
Para questes do exame que requeiram ACLs e a combinao de nmeros de portas, considere primeiramente se a
questo requer que a ACL seja colocada em um certo local e em um certo sentido. Em caso positivo, voc pode
determinar se aquela ACL processaria pacotes enviados ao servidor ou enviados pelo servidor. Neste ponto, voc pode
decidir se precisa verificar a porta de origem ou a porta de destino do pacote.
Como referncia, a Tabela 6-5 apresenta vrios nmeros de portas conhecidos e seus aplicativos e protocolos de camada
de transporte. Observe que a sintaxe dos comandos access-list aceita tanto os nmeros das portas quanto urna verso
resumida do nome do aplicativo.
Protocolo
Aplicativo
20
TCP
Dados do FTP
ftp-data
21
TCP
Controle FfP
ftp
22
TCP
SSH
23
TCP
Telnet
telnet
25
TCP
SMTP
smtp
53
UDP, TCP
DNS
domain
CCNA ICND2
67,68
UDP
DHCP
nameserver
69
UDP
TFfP
tftp
80
TCP
HTTP (WWW)
www
110
TCP
POP3
pop3
snmp
161
UDP
SNMP
443
TCP
SSL
16,384-32,767
UDP
179
Como as ACLs estendidas podem combinar com tantos campos diferentes nos vrios cabealhos de um pacote IP, a
sintaxe do comando no pode ser facilmente resumida em um nico comando genrico. Como referncia, a Tabela 6-6
apresenta a sintaxe dos dois comandos genricos mais comuns.
Comando
o processo de configurao para ACLs estendidas praticamente combina com o mesmo processo utilizado para ACLs
padro. O local e o sentido devem ser escolhidos primeiro para que os parmetros da ACL possam ser planejados com
base nas informaes contidas nos pacotes que transitam naquele sentido. A ACL deve estar configurada com comandos
access-list. Em seguida, a ACL deve ser ativada com o mesmo comando ip access-group utilizado em ACLs padro.
Todos esses passos permanecem os mesmos das ACLs padro. Entretanto, as diferenas de configurao so resumidas
da seguinte forma:
~.......
.:~o
As ACLs estendidas devem ser colocadas o mais prximo possvel da fonte dos pacotes a serem filtrados, pois as
ACLs estendidas podem ser configuradas para que no descartem pacotes que no deveriam ser descartados.
Portanto, a filtragem prxima da fonte dos pacotes economiza um pouco de largura de banda.
Todos os campos de um comando access-list devem combinar com um pacote para que se possa considerar que
este pacote combina com aquela sentena access-Iist.
O comando access-list estendido utiliza nmeros entre 100 e 199 e entre 2000 e 2699, sendo que nenhum nmero
inerentemente melhor que o outro.
A verso estendida do comando access-Iist permite a combinao de nmeros de portas usando vrias operaes
bsicas, tais como "igual a" e "menor que". Contudo, os comandos utilizam abreviaes. A Tabela 6-7 apresenta as
abreviaes e uma explicao mais abrangente.
Tabela 6-7 Operadores utilizados na combinao de nmeros de portas
Operador no comando access-Iist
Significado
Igual a
eq
------------------------------------------------------------------------------------
No igual a
It
Menor que
gt
Maior que
range
172.16.3.8 172.16.3.9
interface Serial1
ip address 172.16.13.12 255.255.255.0
ip access-group 101 in
access-list 101 remark Stop Bob to FTP servers,and Larry to Server1 web
access-list 101 deny tcp host 172.16.3.10 172.16.1.0 0.0.0.255 eq ftp
access-1ist 101 deny tcp host 172.16.2.10 host 172.16.1.100 eq ww
access-list 101 permit ip any any
No Exemplo 6-6, a primeira sentena da ACL impede o acesso de Bob aos servidores FTP na sub-rede
172.16.1.0. A segunda sentena impede o acesso de Larry aos servios Web em Server1. A sentena final
permite o trfego todo.
Concentrando-se na sintaxe por um momento, existem vrios novos itens a revisar. Primeiro, o nmero da lista de
acesso para listas de acesso estendidas cai no intervalo de 100 a 199 ou de 2000 a 2699. Seguindo a ao permit
ou deny, o parmetro protocol define se voc deseja verificar todos os pacotes IP ou somente aqueles com
cabealhos TCP ou UDP. Ao verificar os nmeros das portas TCP ou UDP, necessrio especificar o protocolo
TCP ou UDP.
Este exemplo utiliza o parmetro eq, significando "igual a", para verificar os nmeros das portas de destino para o
controle FTP (palavra-chave ftp) e o trfego HTTP (palavra-chave www). Voc pode usar os valores numricos ou,
para as opes mais populares, uma verso de texto mais bvia vlida. (Se tivesse de inserir eq 80, a configurao
mostraria eq www.)
CCNA ICND2
181
Neste primeiro exemplo de ACL estendida, as listas de controle de acesso poderiam ter sido colocadas em R2 e R3 em
vez de em RI. Conforme ser visto ao final deste captulo, a Cisco faz algumas recomendaes especficas sobre onde
colocar ACLs IP. Em relao s ACLs IP estendidas, a Cisco sugere que voc as coloque o mais prximo possvel da
origem do pacote. Portanto, o Exemplo 6-7 atinge o mesmo objetivo que o Exemplo 6-6 impedindo o acesso de Bob aos
servidores FrP no site principal, e isso foi feito com uma ACL em R3 .
Exemplo 6-7 Lista de acesso estendida de R3 impedindo que Bob alcance os servidores FTP prximos a RI
interface EthernetO
ip address 172.16.3.1 255.255.255.0
1_
...
ip access-group 101 in
access-list 101 remark deny Bob to FTP servers in subnet 172.16.1.0/24
access-list 101 deny tcp host 172.16.3.10 172.16.1.0 0.0.0.255 eq ftp
access-list 101 permit ip any any
A ACL 101 se assemelha bastante com a ACL 101 do Exemplo 6-6, mas desta vez, a ACL no se preocupa em verificar os
critrios para combinar com o trfego de Larry, pois o trfego de Larry nunca entrar na interface Ethemet Ode R3. Como a ACL
foi colocada em R3, prxima a Bob, ela presta ateno nos pacotes que Bob envia e que entram em sua interface EthemetO. Por
causa da ACL, o trfego FfP de Bob para 176.16.1.0/24 negado, com todo o outro trfego entrando na interface EO de R3 e
chegando rede. O Exemplo 6-7 no apresenta nenhuma lgica para impedir o trfego de Larry.
o Exemplo 6-8, baseado na rede mostrada na Figura 6-8, mostra outro exemplo de como utilizar listas de acesso IP
estendidas. Esse exemplo utiliza os mesmos critrios e a mesma topologia de rede do segundo exemplo de ACL IP
padro, conforme repetido abaixo:
Daffy
10.1 .1.1
10.1 .1.2
10.1.1.0
Seb-rede 10.1.129.0
Sam
Emma
Elmer
10.1.2.1
10.1.2.2
10.1.3.1
Red
10.1.3.2
Essa configurao resolve o problema com poucas sentenas seguindo, simultaneamente, as diretrizes de projeto da
Cisco que diz para colocar ACLs estendidas o mais prximo possvel da fonte do trfego. A ACL ftltra pacotes que
entram na interface EO de Yosemite, que a interface do primeiro roteador onde entram pacotes enviados por Sam. A
questo de ter pacotes "roteados em tomo" de listas de acesso em interfaces seriais resolvida com sua colocao na
nica interface Ethemet de Yosemite. Alm disso, a ftltragem exigida pelo segundo requisito (desfazer a permisso de
acesso dos hosts LAN de Seville a Yosemite) satisfeita pela segunda sentena access-list. Interromper o fluxo de
pacotes da sub-rede LAN de Yosemite para a sub-rede LAN de Seville impede a comunicao efetiva entre as duas subredes. Outra opo seria ter configurado a lgica oposta em Seville.
CCNA ICND2
183
o Exemplo 6-9 mostra o uso de uma ACL IP nomeada. Ele apresenta a mudana no prompt de comando no modo de
configurao, mostrando que o usurio foi colocado no modo de configurao de ACL. Apresenta tambm as partes
pertinentes do resultado de um comando show running-configuration e termina com um exemplo de como excluir
linhas individuais em uma ACL nomeada.
.'
conf t
Enter configuration cornrnands, one per line. End with Ctrl-Z.
Router(config)#ip access-list extended barney
Router(config-ext-nacl)#permit tcp host 10.1.1.2 eq www any
Router(config-ext-na cl)#deny udp host 10.1.1 . 1 10.1.2.0 0.0.0.255
Router (config-ext-na cl)#deny ip 10.1.3.0 0.0.0.255 10.1.2.0 0 . 0 . 0.255
! The next statement is purposefully wrong so that the process of changing
! the list can be seen.
Rout e r(config-ext-nacl)#deny ip 10.1.2.0 0.0.0.255 10.2.3.0 0.0.0.255
Router(config-ext-nacl)#deny ip host 10.1.1.130 host 10.1.3.2
Rou ter(config-ext - nacl)#deny ip host 10.1.1.28 host 10.1 . 3 . 2
Rout e r(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#interface serial1
Router(config-if)#ip access-group barney out
Rout e r(config-if)#AZ
Router#show running- config
Building configuration ...
Current configuration:
o Exemplo 6-9
comea com a criao de uma ACL chamada de barney. O comando ip access-list extended
barney cria a ACL, chamando-a de barney e colocando o usurio no modo de configurao do ACL. Esse comando
tambm diz ao lOS que barney uma ACL estendida. Em seguida, sete sentenas permit e deny diferentes
definem a lgica de combinao e a ao a ser tomada quando feita uma combinao. Os comandos permit e
deny utilizam exatamente a mesma sintaxe usada pelos comandos access-list numerados, comeando com as
palavras-chave deny e permito Neste exemplo, acrescenta-se um comentrio antes do comando que excludo
mais tarde no exemplo.
O resultado do comando show running-config apresenta a configurao da ACL nomeada antes de a entrada nica ser
excluda. Em seguida, o comando no deny ip ... exclui a entrada nica da ACL. Observe que o resultado do comando
show running-config continua apresentando a ACL, com seis comandos permit e deny, em vez de sete.
...
Passo 1 A ACL numerada 24 configurada, usando esse novo estilo de configurao com trs comandos permit.
Passo 2 O comando show ip access-list mostra os trs comandos permit, com os nmeros de seqncia 10, 20 e 30.
Passo 3 O engenheiro exclui somente o segundo comando permit, usando o subcomando ACL no 20, que simplesmente
se refere ao nmero de seqncia 20.
Passo 4 O comando show ip access-list confirma que a ACL agora tem duas linhas (nmeros de seqncia 10 e 30).
Passo 5 O engenheiro acrescenta um novo comando permit ao comeo da ACL, usando o subcomando ACL 5 deny
10.1.1.1.
Passo 6 O comando show ip access-list novamente confirma as alteraes, desta vez listando trs comandos
permit, os nmeros de seqncia 5, 10 e 30.
Observao
Para este exemplo, observe que o usurio no sai do modo de configurao;
pelo contrrio, ele usa o comando do para dizer ao lOS que ele emita o comando EXEC show
ip access-list a partir do modo de configurao.
Exemplo 6-10 Editando ACLs utilizando nmeros de seqncia
! Step 1: The 3-1ine Standard Numbered IP ACL is configured .
CCNA ICND2
185
R1(config-std-nacl)#nnoo 2200
! Step 4: Displaying the ACL's contents again,
1-
! number 5)
listed first.
o. 0.255
interessante notar que as ACLs numeradas podem ser configuradas com o novo estilo de configurao, conforme
mostrado no Exemplo 6-10, ou com o antigo estilo de configurao, usando os comandos de configurao global accesslist, conforme mostrado nos vrios exemplos iniciais deste captulo. Na verdade, voc pode usar os dois estilos de
configurao em uma nicaACL. No entanto, independentemente de qual estilo de configurao seja usado, o resultado
do comando show running-config continua mostrando os comandos do aritigo estilo de configurao. O Exemplo 6-11
demonstra esses fatos, comeando onde o Exemplo 6-10 parou, com os seguintes passos adicionais:
Passo 7 O engenheiro lista a configurao (show running-config), que lista os comandos no antigo estilo de
configurao - embora a ACL tenha sido criada com os comandos no novo estilo.
Passo 8 O engenheiro acrescenta uma nova sentena ao final da ACL, utilizando o comando de configurao global
access-list 24 permit 10.1.4.0 0.0.0.255 no antigo estilo.
Passo 9 O comando show ip access-list confirma que o comando access-list no estilo antigo do passo anterior
seguiu a regra de ser acrescentado somente ao final da ACL.
Passo 10 O engenheiro exibe a configurao para confmnar que as partes da ACL 24 configurada com os comandos
no novo estilo e no antigo estilo so todas apresentadas na mesma ACL no antigo estilo (show running-config).
Exemplo 6-11 Acrescentando e exibindo a configurao de uma ACL numerada
! Step 7: A configuration snippet for ACL 24.
R1#show running-config
! The only lines shown are the lines from ACL 24
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Step 10: The numbered ACL configuration remains in old-style configuration commands.
R1#show running-config
! The only lines shown are the lines from ACL 24
access-class 3 i n
I-
CCNA ICND2
187
Se o comando access-class 3 out tivesse sido usado, ele teria verificado no s as Telnets de sada, mas tambm o
endereo.IP de destino dos pacotes. Ao ftltrar ~onexes Telnet e SSH de s~da, a.verificao do .endereo IP fonte, ~ue
por defirno deve ser um dos endereos IP da lllterface daquele roteador, nao fana nenhum sentJ.do. Para ftltrar sessoes
Telnet de sada, mais sensato ftltrar com base no endereo IP de destino. Portanto, o uso do comando access-class 3
out, principalmente a palavra-chave out, um daqueles casos raros em que uma ACL IP padro olha o endereo IP de
destino e no o da origem.
A Cisco faz as seguintes recomendaes gerais nos cursos em que os exames CCNA so baseados:
.~;;~o
Crie suas ACLs usando um editor de texto fora do roteador, copie e cole as configuraes no roteador. (Mesmo
com a capacidade de excluir e inserir linhas em uma ACL, a criao dos comandos em um editor provavelmente
continuar sendo um processo mais fcil.)
Coloque ACLs estendidas o mais prximo possvel da origem do pacote para descartar os pacotes rapidamente.
Coloque as ACLs padro o mais prximo possvel do destino do pacote, pois as ACLs padro, quando colocadas
prximas origem, muitas vezes descartam pacotes que voc no deseja descartar.
Desative uma ACL de sua interface (utilizando o comando no ip access-group ) antes de fazer qualquer alterao
na ACL.
A primeira sugesto diz que voc deve criar as ACLs fora do roteador usando um editor. Dessa maneira, se voc
cometer algum erro de digitao, possvel consert-lo no editor. Essa sugesto no to importante quanto era antes da
verso do lOS 12.3, porque, conforme descrito anteriormente, na seo "Editando ACLs usando nmeros de seqncia",
esta verso aceita os nmeros de linhas de uma ACL e a excluso e insero de linhas individuais em uma ACL.
Observao Se voc criar todas as suas ACLs em um editor de texto, talvez valha a pena
comear cada arquivo com o comando no access-list number, seguido dos comandos de
configurao na ACL. Em seguida, todas as vezes que voc editar o arquivo de texto para
alterar a ACL, tudo que voc ter de fazer copiar/colar o contedo do arquivo inteiro, onde
a primeira linha exclui toda a ACL existente, e o resto das sentenas recria a nova ACL.
O segundo e o terceiro pontos lidam com o conceito de onde colocar suas ACLs. Se voc pretende filtrar um pacote,
filtrar mais prximo da origem do pacote significa que o pacote ocupa menos largura de banda na rede, o que parece ser
mais eficaz - e verdade. Por isso, a Cisco sugere colocar as ACLs estendidas o mais prximo possvel da origem.
No entanto, a Cisco tambm sugere, pelo menos nos cursos voltados para o CCNA, colocar as ACLs padro prximas
do destino. Por que no prximas origem dos pacotes? Bem, porque as ACLs padro s olham o endereo IP origem,
porque elas tendem a filtrar mais do que voc deseja quando colocadas prximas origem. Imagine, por exemplo, que
Fred e Barney estejam separados por quatro roteadores. Se voc ftltrar o trfego de Barney enviado a Fred no primeiro
roteador, Barney no poder alcanar nenhum host prximo aos outros trs roteadores. Portanto, o curso ICND2 da
Cisco faz uma recomendao geral que diz para colocar as ACLs padro mais prximas do destino para evitar filtrar o
trfego que voc no pretende filtrar.
Ao colocar parmetros de combinao mais especficos logo no incio de cada lista, h menos probabilidade de se
cometer erros na ACL. Imagine, por exemplo, que voc tenha uma sentena que permite a passagem de todo o trfego
de 10.1.1.1 para 10.2.2.2, destinado porta 80 (a Web), e outra sentena que negue todos os outros pacotes cuja fonte
seja a sub-rede 10.1.1.0/24. Ambas as sentenas combinariam com os pacotes enviados pelo host 10.1.1.1 para um
servidor Web em 10.2.2.2, mas, provavelmente, o que voc queria era combinar primeiro a sentena mais especfica
(perrnit). Em geral, colocar sentenas mais especficas primeiro tende a garantir que voc no perca nada.
.............
-- ---
Empresa
-'.
'"
........ -- .....
128.107.1.1
...........
Servidor Web
Usurio final
'--y-I
porta fonte
A ACL usada em R2 filtra todo o trfego de entrada exceto aquele proveniente de servidores Web. Isso permite que o
servidor Web da Internet, esquerda, envie pacotes ao usurio na empresa direita. Entretanto, ele tambm permite que o
hacker envie pacotes, com a porta fonte 80, com o roteador permitindo a passagem dos pacotes. Embora esses pacotes
possam no fazer parte de uma conexo TCP existente, vrios ataques conhecidos podem ser feitos utilizando esses pacotes
- desde um simples ataque DoS distribuindo pacotes pela empresa at a utilizao de bugs conhecidos no sistema operacional.
As ACLs reflexivas ainda permitem que usurios legtimos enviem e recebam pacotes atravs do roteador, enquanto descartam
os pacotes provenientes de outros hosts, tais como pacotes vindos do hacker mostrado na Figura 6-9. Com as ACLs
reflexivas, quando o usurio da empresa cria uma nova sesso, o roteador percebe a nova sesso e registra os endereos IP
da fonte e do destino e as portas utilizadas para aquela sesso. A ACL reflexiva em R2 no permitiria a entrada de todo o
trfego da porta 80. Pelo contrrio, ela permitiria somente pacotes cujos endereos e portas combinassem com o pacote
original. Se o PC da direita, por exemplo, iniciasse uma sesso com o servidor Web legtimo, a porta fonte 1030, R2 permitiria
a entrada de pacotes vindos da Internet desde que tivessem seguintes caractersticas: endereo IP fonte 64.100.2.2, endereo
IP de destino 128.107.1.1, porta fonte 80, porta de destino 1030. Em conseqncia disso, somente os pacotes provenientes
da seo legtima tm a passagem permitida pelo roteador e os pacotes enviados pelo hacker so descartados.
As ACLs reflexivas requerem algumas configuraes adicionais bem como o uso da configurao de ACLs estendidas
nomeadas.
CCNA.ICND2
189
e ACLs dinmicas
As ACLs dinmicas resolvem um problema diferente que tambm no pode ser facilmente resolvido utilizando ACLs
e tradicionais. Imagine um conjunto de servidores que precisam ser acessados por um pequeno conjunto de usurios. Com
ACLs, voc pode combinar o endereo IP dos hosts utilizados pelos usurios. Entretanto, se o usurio pegar emprestado
outro PC, ou alugar um novo endereo utilizando DHCP, ou levar seu laptop para casa, e assim por diante, o usurio
legtimo passa a ter o endereo IP diferente. Portanto, uma ACL tradicional teria de ser editada para aceitar cada novo
endereo IP. Com o passar do tempo, seria um grande transtorno manter uma ACL que verificasse a existncia de todos
esses endereos IP. Alm disso, haveria a possibilidade de buracos na segurana quando os hosts de outros usurios
comeassem a usar um dos antigos endereos IP.
As ACLs dinmicas, tambm chamadas Lock-and-Key Security (algo como Segurana a Chave-e-Cadeado), resolvem
esse problema amarrando a ACL a um processo de autenticao do usurio. Em vez de comear tentando conectar-se
ao servidor, deve-se solicitar aos usurios que, primeiramente, eles se conectem ao roteador atravs da Telnet. O roteador
pede a combinao nome de usurio/senha. Se ela for autntica, o roteador altera sua ACL dinamicamente, permitindo a
entrada de trfego do endereo IP do host que acabou de enviar os pacotes para autenticao. Aps um perodo de
inatividade, o roteador remove a entrada dinmica feita na ACL, tapando o possvel buraco na segurana. A Figura 6-10
ilustra essa idia.
Usurios
Fred
Sarney
Hacker
64.100.1.1
Senhas
$36%12
995"#7
Empresa
Internet
CD Telnet
(3) Trfego do usurio
perm
O processo mostrado na figura comea com o roteador negando todo o trfego, exceto a Telnet. (Embora a figura mostre
uma ACL que permite a conexo atravs da Telnet a qualquer endereo IP, na prtica, o trfego Telnet s precisa ser
permitido em um endereo IP do roteador.) Para iniciar o processo, ocorrem os seguintes passos:
Passo 2 O usurio fornece um nome de usurio/senha, que o roteador compara com uma lista, autenticando o usurio.
Passo 3 Aps a autenticao, o roteador acrescenta dinamicamente uma entrada ao incio da ACL, permitindo a
passagem de trfego cuja origem o host autenticado.
Passo 4 Pacotes enviados pelo host permitido passam pelo roteador at o servidor.
:1
O termo ACL baseada em tempos se refere a um recurso das ACLs IP normais (numeradas e nomeadas) no qual pode
ser acrescentada uma restrio de tempo aos comandos de configurao. Em alguns casos, pode ser til combinar .
pacotes em uma ACL, mas apenas em certas horas do dia, ou at mesmo em determinados dias da semana. As ACLs .
baseadas em tempo permitem a incluso de restries de tempo, onde o lOS mantm ou remove as sentenas da ACL
durante as devidas horas do dia.
_
------------------------------. 1
Atividades de preparao para o exame
- II
(;~~;~o
'. Ch.".
Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina .
A Tabela 6-8 relaciona esses tpicos-chave e os nmeros das pginas em que cada um encontrado.
Descrio
Nmero da pgina
----------------------------------------------------------- .
Figura 6-2
169
171
------------------------------------------------------------- .
Lista
----------------------------------------------------------- .
Tabela 6-2
170-171
---------------------------------------------------------- .
Lista
171
------------------------------------------------------------- Lista
__________________________________n__m_e_r_o_e__
um
__a_m
__
s_c_ar_a__
de__su_b_-_re_d_e________________l_7_2_______
Lista
176
---------------------------------------------------------- .
Tabela 6-3
177
178
------------------------------------------------------- .
Lista
---------------------------------------------------------- .
Figura 6-6
_________________________________a_c_c_es_s_-_Ii_st_________________________________
17_9_______
Lista
________________________________e_e_st_e_ndi__d_a_______________________________l_7_9______ ..
CCNA ICND2
Tabela6-7
Lista
Lista
179
184
187
191
Definies de termos-chave
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: ACL dinmica,
ACL reflexive, lista de acesso estendida, lista de acesso nomeada, lista de acesso padro, mscara curinga
Comando
Descrio
remark text
Descrio
CCNA ICND2
193
CAPTULO
e _____________________________________________________
Este captulo voltado para a resoluo de problemas tem vrios objetivos. Primeiro, ele explica vrias ferramentas e
funes no abordadas desde o Captulo 4 at o Captulo 6 - especificamente, ferramentas que podem ser bastante teis
quando voc estiver analisando problemas. Este captulo tambm revisa conceitos de todos os outros trs captulos da
Parte n, "Roteamento IP", unindo-os e apresentando uma sugesto de processo para resoluo de problemas relativos a
roteamento, bem como exemplos de como utilizar o processo. A segunda metade do captulo se concentra em uma srie
de dicas para resoluo de problemas para vrios tpicos especficos abordados desde o Captulo 4 at o Captulo 6.
Os captulos voltados para a resoluo de problemas deste livro unem conceitos de vrios outros captulos, incluindo
alguns captulos do CCENT/CCNA ICNDJ Guia Oficial de Certificao do Exame. Alm disso, eles tambm mostram
como abordar algumas das questes mais desafiantes nos exames CCNA. Por isso, vale a pena ler estes captulos
independentemente do seu nvel de conhecimento atual. Por essas razes, os captulos voltados para a resoluo de
problemas no incluem o questionrio "Eu j conheo isto?". Entretanto, se voc se sentir suficientemente confiante em
relao resoluo de problemas relativos aos recursos de roteamento IP abordados neste captulo e no CCENT/CCNA
ICND 1 Guia Oficial de Certificao do Exame, sinta-se vontade de passar direto para a seo "Atividades de Preparao
para o Exame", prxima ao [mal deste captulo, saltando assim boa parte do captulo.
- T'
.
OplCOS f un damentals
Este captulo se concentra na resoluo de problemas relativos ao processo de roteamento IP. Com essa finalidade, ele
comea com uma seo sobre duas ferramentas importantes na resoluo de problemas: o ping e o traceroute. Em
seguida, o captulo examina o processo de roteamento IP a partir de uma perspectiva de resoluo de problemas,
concentrando, principalmente, em como isolar problemas de roteamento para identificar a causa geradora do problema.
A seo final aborda uma grande variedade de pequenos tpicos, todos os quais podem ser teis quando voc estiver
resolvendo problemas relativos a roteamento IP.
Esta seo examina o processo sugerido de resoluo de problemas de roteamento IP - em outras palavras, o processo
do plano de dados de como hosts e roteadores encaminham pacotes IP. Com essa finalidade, esta seo examina,
primeiramente, um conjunto de ferramentas e protocolos teis - de modo especial, o ICMP, o ping e o traceroute. Em
seguida, o texto sugere um bom processo geral para resoluo de problemas relativos a IP, com alguns exemplos para
mostrar como usar os processos.
o TCPIIP inclui o ICMP, um protocolo elaborado para ajudar a gerenciar e controlar a operao de uma rede TCPIIP. O
protocolo ICMP oferece uma grande variedade de informaes sobre o status operacional e a sade de uma rede. A
Mensagem de Controle a parte mais descritiva do nome. O ICMP ajuda a controlar e gerenciar o trabalho do IP
definindo um conjunto de mensagens e procedimentos sobre a operao do IP. Por isso, o ICMP considerado parte da
camada de rede TCPIIP. Como o ICMP ajuda a controlar o IP, ele pode proporcionar informaes teis para a resoluo
de problemas. Na verdade, as mensagens ICMP ficam dentro de um pacote IP, sem nenhum cabealho de camada de
transporte; portanto, o ICMP realmente uma extenso da camada de rede TCPIIP.
A RFC 792 define o ICMP. O seguinte trecho extrado da RFC 792 descreve bem o protocolo:
Ocasionalmente uma porta de comunicao (roteador) ou o host de destino vo se comunicar com um host da
fonte, por exemplo, para relatar um erro ocorrido no processamento do datagrama. Para tais fins, utiliza-se este
protocolo, o ICMP (Internet Control Message Protocol)o O ICMP utiliza o suporte bsico do IP como se ele fosse
um protocolo de nvel mais alto; no entanto, o ICMP na verdade uma parte integral do IP e deve ser implementado
por todos os mdulos IP.
.
.
O ICMP define vrios tipos diferentes de mensagens para realizar suas diversas tarefas, conforme resumidas na Tabela :
7-1.
(~~~;~o
\~h_
Descrio
--------------------------------------------------------------- .
Destino Inalcanvel
--------------------------------------------------------------- .
Tempo Excedido
O tempo que um pacote leva para ser entregue expirou e, por isso, o
pacote foi descartado
Redirecionar
-------------------------------------------------------- .
O comando ping e as mensagens Echo Request e Echo Reply do ICMP
o comando ping utiliza as mensagens Echo Request e Echo Reply do ICMP. Na verdade, quando as pessoas dizem que
enviaram um pacote ping, elas realmente querem dizer que enviaram uma Echo Request ICMP. Essas duas mensagens
so relativamente auto-explicativas. A Echo Request simplesmente significa que o host para o qual ela est endereada
deve responder ao pacote. A Echo Reply o tipo de mensagem ICMP que deve ser usada na resposta. A Echo Request
inclui alguns dados que podem ser especificados pelo comando ping; sejam quais forem os dados enviados na Echo
Request eles so enviados de volta na Echo Reply.
O prprio comando ping oferece vrias formas criativas de utilizar as Echo Requests e Echo Replies. O comando ping,
por exemplo, permite especificar o comprimento bem como os endereos da fonte e do destino, e permite tambm definir
outros campos do cabealho IP. O Captulo 4, "Roteamento IP: Rotas estticas e conectadas", mostra um exemplo do
comando ping estendido apresentando as vrias opes.
Este livro se concentra em IP. Mas, se voc olhar de forma mais ampla, a funo do conjunto inteiro de protocolos TCP/
IP entregar dados do aplicativo de envio para o aplicativo de recebimento. Hosts e roteadores enviam mensagens
ICMP de Destino Inalcanvel de volta ao host de envio quando aquele host ou roteador no consegue entregar os dados
por completo ao aplicativo no host de destino.
CCNA ICND2
197
Para auxiliar a resoluo de problemas, a mensagem ICMP Inalcanvel inclui cinco funes inalcanveis separadas
(cdigos) que identificam ainda mais a razo pela qual o pacote no pode ser entregue. Todos os cinco tipos de cdigo
pertencem diretamente a um recurso IP, TCP ou UDP.
A inter-rede mostrada na Figura 7-1, por exemplo, pode ser utilizada para melhor entender alguns dos cdigos Inalcanveis.
Considere que Fred esteja tentando conectar-se ao servidor Web, chamado Web. (Web utiliza HTTP, que, por sua vez,
utiliza TCP como protocolo de camada de transporte.) Trs dos cdigos ICMP inalcanveis podem ser usados pelos
Roteadores A e B. Os outros dois cdigos so usados pelo servidor Web. Esses cdigos ICMP so enviados a Fred em
conseqncia do pacote originalmente enviado por Fred.
10.1.2.0/24
A Tabela 7-2 resume os cdigos ICMP inalcanveis mais comuns. Aps a tabela, o texto explica como cada cdigo
ICMP pode ser necessrio rede mostrada na Figura 7-1.
Cdigo in alcanvel
Rede inalcanvel
No h nenhuma combinao
em uma tabela de roteamento
para o destino do pacote
Roteador
Roteador
Roteador
Host
Host
10.1.3.0/24
Web
Fred
10.1 .2.14
. ------------------------------------------------------------
Host inalcanvel
No pode fragmentar
e -------------------------------------------------------
e.
Protocolo inalcanvel
Porta inalcanvel
A lista a seguir explica em mais detalhe cada cdigo da Tabela 7-2 utilizando a rede da Figura 7-1 como exemplo:
- Rede inalcanvel: o Roteador A utiliza esse cdigo se no houver uma rota que lhe diga para onde encaminhar o
pacote. Neste caso, o Roteador A precisa direcionar o pacote para a sub-rede 10.1.2.0/24. Se no for possvel, o
Roteador A envia a Fred a mensagem ICMP de Destino Inalcanvel com o cdigo "rede inalcanvel" em
resposta ao pacote de Fred destinado a 10.1.2.14.
- Host inalcanvel: este cdigo indica que o nico host de destino no est disponvel. Se o Roteador A tiver uma .
rota at 10.1.2.0/24, o pacote entregue ao Roteador B. Se a interface de LAN do Roteador B estiver funcionando,
B tambm tem uma rota conectada a 10.1.2.0/24 e, portanto, B tenta utilizar a ARP e aprender o endereo MAC
do servidor Web. Entretanto, se o servidor Web estiver inativo, o Roteador B no recebe uma resposta ARP da
Web. O Roteador B envia a Fred a mensagem ICMP de Destino Inalcanvel com o cdigo "host inalcanvel",
significando que B possui uma rota mas no pode encaminhar o pacote diretamente a 10.1.2.14.
- No pode fragmentar: este cdigo o ltimo dos trs cdigos ICMP inalcanveis que um roteador pode enviar. A
fragmentao defme o processo no qual um roteador precisa encaminhar um pacote, mas a interface de sada s
permite pacotes que sejam menores que aquele pacote. O roteador tem permisso de fragmentar o pacote em
pedaos, mas o cabealho do pacote pode ser definido com o bit "No Fragmentar" no cabealho IP. Neste caso,
se os Roteadores A ou B precisarem fragmentar o pacote, mas, se o bit No Fragmentar estiver defrnido no
cabealho IP, o roteador descarta o pacote e envia a Fred uma mensagem ICMP de Destino Inalcanvel com o
cdigo "no pode fragmentar".
- Protocolo inaicanvel: se o pacote chegar com sucesso ao servidor Web, dois outros cdigos inalcanveis so
possveis. Um indica que o protocolo IP, normalmente o TCP oU o UDP, no est funcionando naquele host. Isso
muito improvvel, pois a maioria dos sistemas operacionais que utilizam TCPIIP usam um nico pacote de software
que fornece as funes IP, TCP e UDP. Mas, se o host receber o pacote IP e o TCP oU o UDP no estiverem
disponveis, o host do servidor Web envia a Fred uma mensagem ICMP de Destino o com o cdigo "protocolo
inalcanvel" em resposta ao pacote de Fred destinado a 10.1.2.14.
.
.
- Porta inalcanvel: esse ltimo valor do campo de cdigos mais provvel hoje em dia. Se o servidor, ou seja, o
computador, estiver ativo e funcionando perfeitamente, mas o software do servidor Web no estiver sendo executado,
o pacote pode chegar a um servidor mas no pode ser entregue ao software do servidor Web. Na verdade, o
servidor no est escutando a porta conhecida daquele protocolo do aplicativo. Portanto, o host 10.1.2.14 envia a
Fred a mensagem ICMP de Destino Inalcanvel com o cdigo "porta inalcanvel" em resposta ao pacote de
Fred destinado a 10.1.2.14.
------------------~--------------~----~~-----.
Observao A maioria das polticas de segurana atualmente mtra essas vrias mensagens
inaicanveis para ajudar a sustentar o perfIl de segurana da rede.
----~~~~--------~----~--~-----------------
O comando ping lista vrias respostas que, em alguns casos, indicam que uma mensagem ina1canvel foi recebida. A
Tabela 7-3 apresenta os vrios cdigos inalcanveis que podem ser exibidos pelo comando ping do Software Cisco .
lOS.
Descrio
Tabela 7-3 Cdigos que o comando ping recebe em resposta sua Echo Request do [CMP
Cdigo do comando ping
------------------------------------------------------------- .
_________________________N_a_d_a_f_o_i_re_c_e_b_id_o_an
__t_es__d_e_o_t_e_m_p_o_d_o__c_o_m_an
__d_o_p_in
__
g_t_er_e_s_g_o_ta_d_0___ -
---------------------------------------------------------- .
A mensagem ICMP de Redirecionar fornece uma maneira atravs da qual os roteadores podem dizer aos hosts para
utilizarem outro roteador como porta de comunicao padro para certos endereos de destino. A maioria dos hosts utiliza
o conceito de um endereo IP do roteador padro, enviando pacotes destinados a sub-redes para o seu roteador padro.
Entretanto, se vrios roteadores se conectarem mesma sub-rede, a porta de comunicao padro do host pode no ser o
_M_________________________________M
__e_n_sa_g_e_m__
IC_MP
____
de__N__o_F_r_a_gm
__e_n_tar
__r_ec_e_b_id_a_________________ . .
?
'.
CCNA ICND2
199
melhor roteador naquela sub-rede para o qual encaminhar pacotes enviados a alguns destinos. A porta de comunicao
padro pode reconhecer que um roteador diferente seja a melhor opo. Em seguida, ela pode enviar mensagens ICMP de
redirecionamento ao host dizendo-lhe que envie os pacotes destinados quele endereo de destino a esse roteador diferente.
Na Figura 7-2, por exemplo, o PC utiliza o Roteador B como seu roteador padro. No entanto, a rota do Roteador A at
a sub-rede 10.1.4.0 a melhor rota. (Considere o uso da mscara 255.255.255.0 em cada sub-rede da Figura 7- 2.) O PC
envia um pacote ao Roteador B (Passo 1 da Figura 7- 2). O Roteador B tenta encaminhar o pacote com base em sua
prpria tabela de roteamento (Passo 2); aquela rota aponta para o Roteador A, que possui a melhor rota. Finalmente, o
Roteador B envia a mensagem ICMP de redirecionamento ao PC (Passo 3), dizendo-lhe para encaminhar futuros
pacotes destinados a 10.1.4.0 para o Roteador A. Ironicamente, o host pode ignorar o redirecionamento e continuar
enviando os pacotes para o Roteador B, mas neste exemplo, o PC acredita na mensagem de redirecionamento, enviando
seu prximo pacote (passo 4) diretamente ao Roteador A.
__ /<.,
---- -- --
",'"
' '"
G),,"'" /~O,f
'" ~'lJ.v
//
....
'"
.,-
.. - - -- CMP Redirecionar
-Utilizar Roteador A
Host
(;~~;~
Sarney
Fred
,. Ch.ve
....
10.1 .3.254
10.1.3.253
/
TIL = 5
10.1.2.14
TIL=4
TIL=3
TIL=2
TIL = 1
TIL menos 1 igual a O!
Pare!
Descartar pacote.
Como pode ser visto na figura, o roteador que descarta o pacote tambm envia uma mensagem ICMP de Tempo Excedido,
com um campo de cdigo "tempo excedido", ao host que enviou o pacote. Dessa maneira, o remetente sabe que o pacote no
foi entregue. Receber uma mensagem de Tempo Excedido tambm pode ajud-lo quando estiver resolvendo problemas em
uma rede. Tomara que voc no receba muitas dessas mensagens; do contrrio, significa que existem problemas de roteamento.
o comando traceroute
o comando ping uma poderosa ferramenta de resoluo de problemas que pode ser utilizada para responder pergunta
"A rota que vai daqui para l funciona?" O comando traceroute oferece uma ferramenta possivelmente melhor para
resoluo de problemas, pois ela no s pode determinar se a rota funciona mas tambm pode fornecer o endereo IP de
cada roteador da rota. Se a rota no estiver funcionando, o traceroute pode identificar os melhores lugares por onde
comear a resolver os problemas.
O comando do lOS traceroute utiliza a mensagem de Tempo Excedido e o campo TIL IP para identificar cada
roteador sucessivo de uma rota. O comando traceroute envia um conjunto de mensagens com valores TIL crescentes,
comeando com 1. O comando traceroute espera que essas mensagens sejam descartadas quando os roteadores
diminuem o TTL para 0, retomando as mensagens de Tempo Excedido para o comando traceroute. Os endereos IP
origem das mensagens de Tempo Excedido identificam os roteadores que descartaram as mensagens, que podem
ento ser exibidas pelo comando traceroute.
Para ver como esse comando funciona, considere o primeiro conjunto de pacotes (trs pacotes de acordo com o padro)
enviados pelo comando traceroute. Os pacotes so pacotes IP, com a camada de transporte UDP e com o TIL definido
em 1. Quando os pacotes chegam ao prximo roteador, o roteador diminui o TIL para em cada pacote, descarta o
pacote e envia uma mensagem de Tempo Excedido de volta ao host que enviou o pacote descartado. O comando
traceroute olha o endereo IP fonte do primeiro roteador no pacote de Tempo Excedido recebido.
Em seguida, o comando traceroute envia outro conjunto de trs pacotes IP, dessa vez com o TIL = 2. O primeiro
roteador diminui o TIL para 1 e encaminha os pacotes, enquanto o segundo roteador diminui o TIL para e descarta os
pacotes. Esse segundo roteador envia as mensagens de Tempo Excedido de volta ao roteador onde o comando traceroute
foi usado, e o comando traceroute agora conhece o segundo roteador da rota.
O comando traceroute sabe quando os pacotes de teste chegam ao host de destino porque o host envia de volta
uma mensagem ICMP de Porta Ina1canvel. Os pacotes originais enviados pelo comando lOS traceroute
utilizam um nmero de porta de destino UDP muito pouco provvel de ser usado no host de destino; portanto,
assim que o TTL fica alto o suficiente para permitir que o pacote chegue ao host de destino, o host percebe que
ele no tem um aplicativo escutando aquela porta UDP especfica. Portanto, o host de destino retoma uma
mensagem de Porta Ina1canvel, que diz ao comando traceroute que a rota completa foi encontrada, e o
comando ento pode parar.
A Figura 7-4 mostra um exemplo, mas com apenas uma das trs mensagens em cada definio do TIL (para evitar
confuso). O Roteador A utiliza o comando traceroute para tentar encontrar a rota at Bamey. O Exemplo 7-1 mostra
esse comando traceroute no Roteador A, com mensagens debug do Roteador B, mostrando as trs mensagens de
Tempo Excedido resultantes.
Figura 7-4 Comando traceroute do Software Cisco lOS: mensagens geradas
trace 10.1.2.14
Fred
10.1.3.254
10.1.3.253
/~~~;;,.,
\ Ch.".
".
--.J
--.J
CCNA ICND2
201
Exemplo 7-1 debug [eMP no Roteador B quando o comando traceroute est sendo executado no Roteador A
RouterA#traceroute 10.1.2.14
Type escape sequence to abort o
Tracing the route to 10.1.2.14
1 10.1.3.253 8 msec 4 msec 4 msec
2 10.1.2.14 12 msec 8 msec 4 msec
RouterA#
! Moving to Router B now
! The following output occurs in reaction to the traceroute command on A
RouterB#debug ip icmp
RouterB#
ICMP: time exceeded (time to live) sent to 10.1.3.254 (dest was 10.1.2.14)
ICMP: time exceeded (time to live) sent to 10.1.3.254 (dest was 10.1.2.14)
ICMP: time exceeded (time to live) sent to 10.1.3.254 (dest was 10.1.2.14)
o comando traceroute apresenta o endereo IP do Roteador B na primeira linha e o endereo IP do host de destino na
segunda linha. Observe que ele apresenta o endereo IP esquerdo do Roteador B. B responde com a mensagem de
Tempo Excedido, utilizando o endereo IP da interface de sada de B como o endereo fonte daquele pacote. Em
conseqncia disso, o comando traceroute apresenta aquele endereo IP. Se o endereo for conhecido de um servidor
DNS, ou se ele estiver na tabela de hostnames do Roteador A, o comando pode listar o hostname em vez do endereo IP.
Semelhante ao comando ping estendido conforme descrito na seo intitulada "O Comando ping Estendido", no Captulo 4,
a verso estendida do comando traceroute realiza um trabalho muito melhor de simular pacotes enviados por hosts do
usurio final, principalmente para testar rotas inversas. No Exemplo 7-1, o comando traceroute de A usa o endereo IP
10.1.3.254 de A como endereo origem dos pacotes enviados, pois A utiliza a interface com o endereo 10.1.3.254 para
enviar os pacotes gerados pelo comando traceroute. Portanto, o comando traceroute no Exemplo 7-1 testa a rota de
encaminhamento em direo a 10.1.2.14 e a rota inversa at 10.1.3.254. Ao utilizar o comando traceroute estendido, o
comando pode ser usado para testar uma rota inversa mais adequada, tal como a rota at a sub-rede LAN no lado esquerdo
do Roteador A. O Exemplo 7-2, mais adiante neste captulo, mostra um exemplo do comando traceroute estendido.
Observao O comando tracert nos sistemas operacionais Microsoft funciona de forma bem
parecida ao comando do lOS traceroute. No entanto, importante observar que o comando
Microsoft tracert envia Echo Requests ICMP e no usa UDP. Portanto, as ACLs IP poderiam
fazer com que o lOS traceroute falhasse enquanto o Microsoft tracert funcionasse, e vice-versa.
A resoluo de problemas no processo de roteamento IP uma das tarefas mais complexas enfrentadas pelos engenheiros
de rede. Como de costume, utilizar uma abordagem estruturada pode ajudar. O Captulo 4, de modo especial, bem como os
Captulos 5 e 6, j explicaram bastante sobre a primeira parte do processo de resoluo de problemas, isto , o que deve
acontecer em uma rede. Esta seo se concentra no segundo passo: o isolamento do problema. (para obter uma referncia
mais geral sobre tcnicas de resoluo de problemas, reflIa-se ao Captulo 3, "Resolvendo problemas de LAN Switching".)
Observao Este captulo deixa qualquer resoluo detalhada de problema em relao a protocolos
de roteamento para o Captulo 11, ''Resolvendo problemas de protocolos de roteamento".
5010/1
10.1.13.3
172.16.1.3
10.1.0.10
PC4
O Passo 2 destaca um conceito de resoluo de problemas geralmente despercebido para verificar se a definio do
gateway padro est funcionando. Nenhuma das opes ping apresentadas no Passo 1 requer que o host utilize sua
definio de porta de comunicao padro, pois o endereo da fonte e do destino de cada pacote esto na mesma subrede. O Passo 2 fora o host a enviar um pacote a um endereo IP em outra sub-rede, testando assim a definio da porta
de comunicao padro do host. Alm disso, ao identificar o endereo IP atravs do ping na porta de comunicao
CCNA ICND2
203
(roteador) padro, em vez de ir a algum endereo IP de um host distante, esse passo retira do teste boa parte da
complexidade do roteamento IP. Em vez disso, o foco passa a ser se a definio da porta de comunicao padro do host
funciona. Na Figura 7-5, por exemplo, um comando ping 10.1.13.1 em PCl fora PCl a utilizar sua definio da porta
de comunicao padro porque 10.1.13.1 no est na sub-rede (10.1.1.0/24) de PC 1. Mas o endereo IP est no roteador
RI, que remove a maior parte do restante da rede como sendo uma possvel causa caso o ping venha a falhar.
Quando o processo de isolamento de um problema no host est concludo, e todos os pings funcionam, tanto no host de envio
quanto no de recebimento, qualquer questo remanescente sobre o roteamento IP deve estar entre o primeiro e o ltimo
roteador tanto na rota avante quanto na rota inversa entre os dois hosts. A lista a seguir escolhe o processo de resoluo de
problemas como o gateway/roteador padro do host da fonte, com base no comando traceroute do roteador. (Observe que
o comando equivalente do host, como o tracert nos sistemas operacionais Microsoft, tambm pode ser utilizado.)
Observao Embora a lista a seguir possa ser til para referncia, ela um pouco extensa.
No fique preso a detalhes, mas leia os exemplos de seu uso logo aps a lista, pois eles
devero esclarecer vrios passos. Como de costume, no necessrio memorizar nenhum
processo de resoluo de problema aqui apresentado. Eles tm o objetivo de ser ferramentas
de aprendizado para ajud-lo a construir seu conhecimento.
Passo 3 Teste a conectividade at o host de destino usando o comando traceroute estendido na porta de comunical .. ..
: T6plco
\~
o padro do bost, utilizando a interface do roteador anexada ao host fonte para o endereo IP fonte dos pacotes.
Se o comando for concludo com sucesso:
a. No existe nenhum problema de roteamento nos sentidos da rota avante ou da rota inversa.
b. Se o trfego do usurio final ainda assim no funcionar (muito embora o traceroute tenha funcionado), resolva
qualquer problema existente em ACLs em cada interface de cada roteador da rota, em ambos os sentidos.
Passo 4 Se o comando traceroute no Passo 3 no for concludo, teste a rota avante da seguinte forma:
a. Use o telnet at o ltimo roteador rastreado (o ltimo roteador apresentado no comando traceroute).
b. Encontre a rota daquele roteador que combina com o endereo IP de destino utilizado no comando traceroute
original (show ip route, show ip route ip-address).
c. Se no for encontrada nenhuma rota de combinao, investigue por que a rota esperada est faltando. Normalmente,
esta uma questo de protocolo de roteamento ou um erro de configurao da rota esttica. Pode tambm estar
relacionado a uma rota conectada ausente.
d. Se for encontrada uma rota de combinao, e a rota for a rota padro, confirme que ela ser usada com base na
definio para os comandos ip classless/no ip classless.
e. Se for encontrada uma rota de combinao, use o ping para o prximo endereo IP de parada apresentado na rota.
Ou, se a rota for uma rota conectada, utilize o ping para o verdadeiro endereo IP de destino.
Se o ping falhar, investigue problemas de Camada 2 entre esse roteador e o endereo IP que foi identificado atravs
do ping e investigue possveis problemas em ACLs.
Se o ping funcionar, investigue problemas relacionados s ACLs.
f. Se for encontrada uma rota de combinao, e no for encontrado nenhum outro problema, confirme se a rota no
est apontando erroneamente no sentido errado.
Passo 5 Se o Passo 4 no identificar nenhum problema na rota avante, teste a rota inversa:
a. Se a rota avante do ltimo roteador rastreado se referir a outro roteador como sendo o roteador da prxima parada,
repita os subpassos do Passo 3 a partir daquele roteador. Analise a rota inversa, ou seja, a rota para alcanar o
endereo IP fonte usado pelo comando traceroute que falhou.
b. Se a rota avante do ltimo roteador rastreado se referir a uma sub-rede conectada, verifique as definies IP do
host de destino. Principalmente, confirme as definies do endereo IP, da mscara e da porta de comunicao
padro.
o primeiro exemplo do processo de resoluo de problemas de roteadores utiliza a mesma inter-rede mostrada na Figura
7-5. Neste caso, PCl no consegue usar um navegador Web para conectar-se ao Servio Web em PC4. Aps uma
melhor investigao, PC 1 no consegue identificar 172.16.2.7 (PC4) atravs do pingo O Exemplo 7-2 mostra os comandos
utilizados em RI e R4 para os Passos 1 e 2 orientados ao host, bem como o incio do Passo 3 orientado ao roteador.
Exemplo 7-2 Resoluo de problemas: Cenrio 1: Passos 1 e 2 e parte do Passo 3
R1#ping 10.1.1.10
Type escape sequence to aborto
Sending 5, 100-byte ICMP Echos to 10 . 1.1.10, timeout is 2 seconds:
!!!! !
1/2/4 ms
Rl# ping
Protocol
[ip] :
[no]:
timeout is 2 seconds:
1/2/4 ms
Rl#
! Now moving to R4 to repeat the test
R4#ping 172.16.2.7
Type escape sequence to abort o
Sending 5, 100-byte ICMP Echos to 172 . 16.2.7 , timeout is 2 seconds:
CCNA ICND2
I n terface I
P-Address
FastEthernetO / O
172 . 16.2 . 4
Fa s tEthernetO/1
172 . 16.1.4
YES manual up up
SerialO/O/O
unassigned
SerialO/O/l
unassigned
SerialO/1/0
unassigned
205
Os pings padro e estendido em RI no incio do exemplo, em essncia, executam os Passos 1 e 2, ou seja, os passos
orientados ao host, para confirmar que PC1 aparentemente est funcionando bem. Entretanto, o exemplo mostra em
seguida que R4 no consegue alcanar PC4 porque a interrace LAN de R4 foi fechada, conforme mostrado no final do
exemplo. Embora esse cenrio possa parecer um pouco simples, ele oferece um bom ponto de partida para a resoluo
de um problema.
Para obter uma viso mais completa do processo de resoluo de problemas, considere esse mesmo cenrio, com o
mesmo problema inicial, mas, dessa vez, voc no tem acesso ao roteador R4. Portanto, voc s pode executar os Passos
1 e 2 para o PC1, passos estes que funcionam, mas no pode executar os mesmos passos para PC4 a partir de R4.
Conseqentemente, o Exemplo 7-3 passa direto aos Passos 3 e 4. O incio do exemplo mostra o Passo 3, onde RI utiliza
traceroute 172.16.2.7, com um endereo IP fonte 10.1.1.1. Este comando no concludo, referindo-se a 10.1.13.3
(R3) como o ltimo roteador. O Passo 4 prossegue observando como R3 direciona pacotes destinados a 172.16.2.7.
Exemplo 7-3 Resoluo de problemas: Cenrio 1: Passo 4
R1# traceroute
Protocol [ip]:
Target IP address: 172.16.2.7
Source address: 10.1.1.1
Nurneric display [n]:
Timeout in seconds [3]:
Prob e c ount [3 ]:
Minimurn Time to Live [1]:
Maximurn Time to Live [30]:
Po rt Nurnber [33434]:
Loose,
00:00 : 04,
Seria10/0/1
o comando traceroute estendido no incio do exemplo mostra o resultado identificando R3 (10.1.13.3) como o ltimo
dispositivo apresentado no resultado do comando (passo 3). O Passo 4 prossegue com um exame da rota avante de R3 em
direo ao endereo IP 172.16.2.7. O comando show ip route 172.16.2.7 vai direto ao ponto. A mensagem "subnet not in
table" ("sub-rede no encontrada na tabela") significa que R3 no possui um endereo de destino 172.16.2.7 para combinao
da rota. Se a questo no fornecer acesso a um simulador, mas somente o resultado do comando show ip route, seria
necessrio examinar as rotas para determinar se nenhuma delas se refere a um intervalo de endereos que inclua 172.16.2.7.
Sempre que o processo de isolamento de um problema apontar para uma rota que est faltando, o prximo passo
determinar como o roteador deveria ter aprendido a rota. Neste caso, R3 deveria ter utilizado RIP-2 para aprender a rota .
Portanto, os prximos passos seriam resolver qualquer problema relativo ao protocolo de roteamento dinmico.
A causa geradora desse problema no mudou - R4 fechou sua interface FaO/O - mas os sintomas so bastante interessantes.
Como a interface est fechada, R4 no anuncia uma rota para a sub-rede 172.16.2.0/24 at R3. Entretanto, R3 anuncia
uma rota sumarizada automaticamente at a rede 172.16.0.0/16 para RI e R2; portanto, por causa da definio de
sumarizao automtica padro do RIP-2, tanto RI quanto R2 podem encaminhar pacotes destinados a 172.16.2.7 para
R3. Em conseqncia disso, o comando traceroute em RI pode encaminhar pacotes para R3.
* * *
2 *
3 *
CCNA ICND2
207
!! !! !
1/2/ 4 ms
R1 #show ip acc.ss-lists
. r----------------=====================================~
! 8witching to router R3 next
R3tshow ip acc.ss-lists
R3#
~----------------------------------------------------------~
o exemplo comea mostrando o Passo 3 do processo, com o comando traceroute apresentando somente linhas de
asteriscos. Isso significa que o comando no identificou com sucesso nem mesmo o prximo roteador da rota.
Em seguida, passando para o Passo 4, a lista a seguir apresenta os subpassos do Passo 4 conforme aplicados a este
exemplo:
Passo 4a O exemplo j havia comeado com uma Telnet em RI; portanto, no necessrio nenhum trabalho extra.
Passo 4b O prximo comando, show ip route 172.16.2.7, mostra que RI possui uma rota no-padro para a rede
172.16.0.0, apontando para R3 (10.1.13.3) como a prxima parada.
Passo 4c Este passo no se aplica a este caso, porque uma rota de combinao foi encontrada no Passo 4B.
Passo 4d Este passo no se aplica a este caso, porque a rota de combinao no uma rota at 0.0.0.0/0 (a rota padro).
Passo 4e O prximo comando apresentado, ping 10.1.13.3, testa a capacidade de RI de enviar pacotes atravs do
link at o prximo roteador identificado no Passo 4B. O ping funciona.
Passo 4f Tanto em RI quanto no prximo roteador (R3), o comando show ip access-Iists confirma que nenhum dos
roteadores possui qualquer ACL IP configurada.
Como todos os passos para examinar a rota avante foram aprovados, o processo segue para o Passo 5. O comando
traceroute original no Exemplo 7-4 utilizou o endereo IP da interface FaO/O de RI , 10.1.1.1 , como endereo IP origem.
Para o Passo 5, o processo comea em R3 com uma anlise da rota inversa de R3 para alcanar 10.1.1.1. Examine o
resultado do Exemplo 7-5, e procure qualquer problema antes de ler as explicaes que se seguem ao exemplo.
I
I
The next command shows the matched route , f or subnet 10.1 . 1.0 / 26 ,
with next-hop 10.1.23.2 .
R3# show ip route 10.1.1.1
10 .1.2 3. 2
Route metric is O, traffic share count is 1
The next command shows the overlapp i ng subnets - 10.1.1.0 / 26 and 10.1.1.0 / 24 .
172 .1 6.2.0
R3 possui uma rota esttica configurada incorretamente para a sub-rede 10.1.1.0/26. Essa sub-rede inclui o intervalo de endereos
10.1.1.0-10.1.1.63, que inclui o endereo IP 10.1.1.1. Quando R3 tenta enviar um pacote de volta a 10.1.1.1 , R3 tem duas rotas que
combinam com o endereo de destino. Mas R3 escolhe a rota mais especfica (prefixo mais longo) para a sub-rede 10.1.1.0/26.
Essa rota faz com que R3 encaminhe pacotes destinados a 10.1.1.1 saindo pelo link de R3 para R2, em vez de para RI.
Embora voc no possa necessariamente determinar a verdadeira inteno dessa rota esttica, este processo identificou
a causa geradora, ou seja, a rota esttica at 10.1.1.0/26 em R3. Se a LAN que sai de RI devesse incluir todos os
endereos entre 10.1.1.0 elO.1.1.255, a rota esttica ento deveria simplesmente ser excluda.
CCNA ICND2
.
.
.
209
--------------------------------------------------------------Alguns hosts da mesma VLAN podem enviar Os hosts podem no estar usando a mesma mscara.
pacotes uns para os outros, mas outros no podem.
-----------------------------------------------------------------Ao resolver problemas relacionados comunicao em rede na vida real, vale a pena acostumar-se a pensar nos
sintomas, pois a que normalmente comea o processo de isolamento do problema. Entretanto, para os exames, a
maioria dos problemas de comunicao de hosts causada por apenas alguns poucos pontos:
........ Passo 1 Verifique todos os hosts e roteadores que deveriam estar na mesma sub-rede para se assegurar de que todos
_.
. 6plC:O
eles utilizam a mesma mscara e que seus endereos esto realmente na mesma sub-rede .
ChllWl
Passo 2 Compare a definio do gateway padro de cada host com a configurao do roteador para se assegurar de
que o endereo IP esteja correto.
Passo 3 Se os dois primeiros itens estiverem corretos, observe em seguida as questes relativas s Camadas 1 e 2,
conforme abordado nos Captulos 1,2 e 3.
: Suporte IP a switches
Os switches Ethernet no precisam saber nada sobre a Camada 3 para executar sua funo bsica da Camada 2 de
encaminhar frames Ethernet. Entretanto, para dar suporte a vrios recursos importantes, tais como a capacidade de
utilizar telnet ou SSH no switch para resolver problemas, os switches de LAN precisam de um endereo IP.
Switches agem como hosts quando se trata de configurao IP. Em comparao a um PC, um switch Cisco no utiliza
um NIe. Pelo contrrio, ele utiliza uma interface virtual interna associada com a VLAN 1 que, em essncia, d ao prprio
switch uma interface na VLAN 1. Em seguida, os mesmos tipos de itens que podem ser configurados em um host para
o IP podem ser configurados nessa interface da VLAN: o endereo IP, a mscara e a porta de comunicao padro.
Endereos IP do servidor DNS tambm podem ser configurados.
A lista a seguir repete a lista de verificao de configurao IP de switches LAN, retirada do CCENT/CCNA ICNDI
Guia Oficial de Certificao do Exame. Aps a lista, o Exemplo 7-6 mostra a configurao de endereos IP para o
switch SW1 na Figura 7-5, apresentada anteriormente no captulo.
....... Passo 1 Entre no modo de configurao VLAN utilizando o comando de configurao global interface vlan 1 (a
. ;PICO
\ Chave
. ..
Passo 2 Designe um endereo IP e uma mscara utilizando o subcomando de interface ip address ip-address mask.
ShUtdOWD.
Passo 4 Acrescente o comando global ip default-gateway ip-address para configurar a porta de comunicao
padro.
-------------------------------------------------------
.
Um descuido comum ao configurar ou resolver problemas relativos conectividade IP com switches est relacionado ao
trunking de VLANs. A Cisco geralmente sugere evitar colocar dispositivos do usurio [mal na VLAN 1, mas o endereo
IP do switch pode estar sim configurado na VLAN 1. Para dar suporte capacidade que o switch tem de enviar e
receber pacotes a hosts em sub-redes diferentes, aceitando assim o Telnet no switch a partir daquelas sub-redes do
usurio [mal, a configurao do trunking do roteador deve incluir a configurao da VLAN 1 bem como das VLANs do
usurio final .
a roteamento IP e ao
protocolo de roteamento IP. Muitos captulos deste livro e do livro ICND1 mencionam vrios fatos sobre esse comando.
Esta seo une os conceitos em um nico lugar para facilitar a referncia e o estudo.
A Figura 7-6 mostra o resultado do comando show ip route apresentado no Exemplo 7-3. A figura numera vrias partes
do resultado do comando para facilitar a referncia, onde a Tabela 7-5 descreve o resultado indicado por cada nmero.
~ is
subnetted,
<!:SUbn~
O
C
10 1 O O
[l2Q/ ~ ]
vi a 10 1 23 . 2, 000001, SerialO/1/0
Item
Valor na figura
Descrio
Rede classful
10.0.0.0
Comprimento
do prefixo
/24
Nmero de
sub-redes
4 sub-redes
Cdigo de
legenda
R,C
Nmero de
sub-rede
1O.l.0.0
CCNA ICND2
10
211
Distncia
administrati va
120
Mtrica
Prximo
roteador
(next router)
10.1.23.2
Timer
00:00:01
Interface de
sada
SerialO/1I0
o resultado do comando difere ligeiramente quando se utiliza VLSM. A figura mostra um exemplo em que no se utiliza
VLSM na rede 10.0.0.0, com a mscara /24 utilizada para todas as sub-redes daquela rede. Portanto, o lOS lista a
mscara uma vez, na linha de cabealho (/24 neste caso). Se o VLSM estivesse em uso, alinha de cabealho simplesmente
indicaria que a rede invariavelmente dividida em sub-redes e cada rota listaria a mscara. Como exemplo, veja o
Exemplo 5-1 do Captulo 5 "VLSM e sumarizao de rotas".
Status da interface
Um dos passos do processo de resoluo de problemas de roteamento IP descritos anteriormente, na seo "Resolvendo
problemas relacionados ao processo de encaminhamento de pacotes", diz para verificar o status da interface, assegurandose de que a interface necessria esteja funcionando. Para que a interface de um roteador esteja funcionando, os dois
cdigos de status da interface devem ser apresentados como "up" ("ativo"), onde os engenheiros geralmente dizem que
a interface est "up and up" ("ativa e funcionando perfeitamente").
Este captulo no explica os passos de resoluo de problemas para interfaces de um roteador, considerando simplesmente
que cada interface esteja realmente em estado ativo/ativo. No Captulo 12, a seo intitulada "Resolvendo problemas de
links seriais" aborda vrios detalhes para resolver problemas de interfaces de roteadores. Para interfaces de LAN de
roteadores conectados a um switch, os principais itens a verificar nos roteadores so se o roteador e o switch combinam
com as definies de velocidade e duplex um do outro, e que se o trunking estiver configurado, tanto o roteador quanto o
switch tenham sido manualmente configurados para o trunking, j que roteadores no negociam o trunking dinamicamente.
. - Evitando a sobreposio: o lOS detecta a sobreposio quando o comando ip address indica uma sobreposio
/~~ ;~o
:. Ch:VO
".
com outro comando ip address no mesmo roteador. Se a interface que est sendo configurada est ativa/ativa, o
lOS rejeita o comando ip address. Se no, o lOS aceita o comando ip address, mas nunca ir exibir a interface.
- Permitindo a sobreposio: o lOS no consegue detectar uma sobreposio quando um comando ip address se
sobrepe com um comando ip address em outro roteador.
O roteador mostrado no Exemplo 7-7 impede a conflgurao de uma sub-rede VLSM sobreposta. O exemplo mostra o
roteador R3 configurando FaO/O com o endereo IP 172.16.5.1124, e FaO/1 com 172.16.5.193/26. Os intervalos de
endereos em cada sub-rede so:
Sub-rede 172.16 . 5.0/24: 172.16.5.1- 172.16.5 . 254
Sub- rede 172 . 16.5.192/26: 172 . 16 . 5 .1 93- 172 .16.5 . 254
O lOS sabe que ilegal sobrepor os intervalos de endereos indicados por uma sub-rede. Neste caso, como ambas as
sub-redes seriam sub-redes conectadas, esse nico roteador sabe que essas duas sub-redes no devem coexistir, pois
isso faria com que as regras de criao de sub-redes fossem quebradas; portanto, o lOS rejeita o segundo comando.
No entanto, possvel configurar sub-redes sobrepostas se elas estiverem conectadas a roteadores diferentes. A Figura
7-7 mostra uma figura bastante semelhante Figura 5-2 do Captulo 5, a qual foi usada naquele captulo para explicar o
problema de sub-redes sobrepostas. O Exemplo 7-8 mostra a configurao das duas sub-redes sobrepostas em R2 e R3,
com a tabela de roteamento resultante em R2.
Figura 7-7 Inter-rede que permite a configurao de sub-redes sobrepostas
172.16.5.1/24
172.16.5.3
CCNA ICND2
213
R3#configure terminal
R3(config )# interface FaO/O
R3(config -if)# ip address 172.16.5.1 255.255.255.0
Para os exames, tenha em mente que sub-redes sobrepostas podem ser configuradas se as sub-redes no se conectarem
ao mesmo roteador. Portanto, se uma questo pedir para escolher um novo nmero de sub-rede e configurar uma
interface para que ela esteja naquela sub-rede, o fato de o roteador aceitar o seu comando ip address no necessariamente
quer dizer que voc executou a matemtica corretamente.
O tpico a seguir explica alguns dos sintomas dos problemas que voc poder encontrar caso haja sobreposio.
off R2 , points to R3
rns e c 4 msec
2 * *
3 *
4
R1#traceroute 172.16.5.3
Type escape sequence to aborto
Tracing the route to 172.16.5.3
1 172.16.9.6 O msec 4 rnsec O msec
2 172.16.5.3 4 msec * O msec
o exemplo mostra que RI encaminha pacotes para os hosts 172.16.5.2 (PC2) e 172.16.5.3
(PC3) enviando-os para R3 em seguida. R3 ento tenta envi-los para a sub-rede LAN de R3 , que funciona bem para
PC3 mas no to bem para PC2. Logo, PC3, na menor das duas sub-redes sobrepostas, funciona bem, ao passo que PC2,
na maior das duas sub-redes sobrepostas, no funciona bem.
Os sintomas podem piorar ainda mais quando os endereos so duplicados. Imagine, por exemplo, que PC22 tenha sido
acrescentado sub-rede LAN de R2, com o endereo IP 172.16.53 duplicando o endereo IP de PC3. Agora, quando o
usurio do PC22 chamar para dizer que o seu PC no consegue se comunicar com outros dispositivos, o assistente da
rede utiliza um ping 172.16.5.3 para testar o problema - e o ping funciona! O ping funciona com a instncia errada
172.16.5.3, mas funciona. Portanto, os sintomas podem ser particularmente difceis de identificar.
Outra dificuldade encontrada em sub-redes VLSM sobrepostas que o problema pode no aparecer durante um tempo. Neste
mesmo exemplo, imagine que todos os endereos de ambas as sub-redes devessem ser designados por um servidor DHCP, comeando
com os menores endereos IP. Durante os primeiros seis meses, o servidor s designou endereos IP que comeavam com 172. 16.4.x
na sub-rede LAN de R2. Finalmente, foram instalados hosts em nmero suficiente na LAN de R2 de forma que fosse necessrio o
uso de endereos que comeassem com 172.16.5, como o endereo 172.16.5.2 de PC2 utilizado no exemplo anterior.
Infelizmente, ningum pode enviar pacotes para esses hosts. primeira vista, o fato de que o problema apareceu bem
depois da instalao da configurao pode, na verdade, obscurecer questo.
Preste bastante ateno se o projeto realmente utiliza VLSM. Em caso positivo, observe se utilizado um protocolo
de roteamento classless.
Os sintomas externos do problema podem ser que alguns hosts de uma sub-rede funcionem bem, mas outros no
conseguem enviar pacotes para fora da sub-rede local.
Utilize o comando traceroute para procurar rotas que direcionem pacotes para a parte errada da rede. Isso pode
ser resultado de sub-redes sobrepostas.
Nos exames, possvel deparar-se com uma questo que voc pense estar relacionada ao VLSM ou a endereos
IP. Neste caso, o melhor plano de ataque pode ser analisar a matemtica de cada sub-rede e assegurar-se de que
no exista nenhuma sobreposio, em vez de resolver o problema utilizando ping e traceroute.
CCNA ICND2
215
'.
Nesta figura, com todos os links ativos e funcionando, utilizando um protocolo de roteamento com sumarizao automtica
ativada como padro, todos os hosts podem identificar todos os outros hosts atravs do pingo Neste projeto, os pacotes da
rede 172.16.0.0 trafegam pela rota de cima e os pacotes da rede 10.0.0.0 trafegam pela rota de baixo.
Infelizmente, pode ocorrer um problema mais tarde quando um dos quatro links entre os roteadores falhar. Se qualquer link
entre os roteadores falhar, uma das duas redes c1assful passa a ser no-contgua. Se o link R3 e R4 falhar, por exemplo, a
rota de RI a R4 passa pelas sub-redes da rede 172.16.0.0 e, portanto, a rede 10.0.0.0 torna-se no-contgua. Mesmo com
um protocolo de roteamento c1assless, mas com a sumarizao automtica ativada, tanto RI quanto R4 anunciam uma rota
para 10.0.0.0/8 at R2, e R2 v duas rotas at toda a rede 10.0.0.0 - uma atravs de RI e outra atravs de R4. A soluo,
como sempre, utilizar um protocolo de roteamento c1assless com a sumarizao automtica desativada.
Embora o projeto da Figura 7-8 possa parecer um pouco artificial, ele acontece com mais freqncia do que voc pensa
- principalmente medida que as empresas so compradas e vendidas. Tanto para a vida real quanto para os exames,
tenha em mente o conceito de redes no-contguas para casos de funcionamento normal e para casos em que haja a falha
de links redundantes.
A resoluo de problemas impactados por ACLs pode ser uma das tarefas mais difceis em comunicao de redes. Uma
das principais dificuldades que as ferramentas tradicionais utilizadas para resoluo de problemas, tais como o ping e
o traceroute, no enviam pacotes que se paream com pacotes combinados pelos vrios campos existentes em ACLs
estendidas. Portanto, embora um ping possa funcionar, o host do usurio final pode no conseguir chegar ao aplicativo
certo, ou vice-versa.
Esta seo resume algumas dicas para atacar problemas relacionados a ACLs na vida real e nos exames:
co
Passo 1 Determine em quais interfaces as ACLs esto ativadas e em que sentido (show running-config, show ip
interfaces) .
Passo 2 Determine quais sentenas da ACL so combinadas pelos pacotes de teste (show access-lists, show ip
access-lists) .
Passo 3 Analise as ACLs para prever quais pacotes devem combinar com uma ACL, concentrando nos seguintes
pontos:
a. Lembre-se de que a ACL utiliza a lgica da primeira combinao.
b. Considere utilizar a matemtica (possivelmente) mais rpida descrita no Captulo 6, "Listas de controle de acesso
IP", que converte os pares endereo/mscara curinga de ACLs em pares endereo/mscara de sub-rede que
permitem o uso da mesma matemtica de sub-redes.
c. Observe o sentido do pacote em relao ao servidor (indo para o servidor, vindo do servidor). Certifique-se de que
os pacotes tenham valores especficos como o endereo IP origem e a porta origem, ou o endereo IP de destino
e a porta de destino, quando processados pela ACL ativada para um sentido especfico (entrada ou sada).
d. Lembre-se de que as palavras-chave tcp e udp devem ser usadas se o comando precisar verificar os nmeros das
portas. (Veja a Tabela 6-5 do Captulo 6 para obter uma lista dos nmeros porta populares TCP e UDP.)
e. Observe que os pacotes ICMP no utilizam UDP nem TCP. ICMP considerado outro protocolo combinvel com
a palavra-chave icmp (em vez de ip, tco e udp).
O Captulo 6 abordou as informaes existentes por trs das dicas apresentadas no Passo 3. O restante desta seo se
concentra em comandos disponveis para investigar problemas existentes nos dois primeiros passos.
Se um problema no encaminhamento de pacotes IP estiver ocorrendo, e houver a possibilidade de que as ACLs existentes
estejam causando o problema, o primeiro passo no isolamento do problema encontrar o local e o sentido das ACLs. A
maneira mais rpida de fazer isso olhar o resultado do comando show running-config e procurar comandos ip
access-group em cada interface. Entretanto, em alguns casos, o acesso em modo ativado pode no ser permitido e os
comandos show so necessrios. A nica maneira de encontrar as interfaces e o sentido de qualquer ACL IP o
comando show ip interface, conforme mostrado no Exemplo 7-10.
Exemplo 7-10 Modelo de comando show ip interface
. 1
. 1
Observe que o resultado do comando mostra se a ACL est ativada, em ambos os sentidos , e qual essa ACL.
O exemplo mostra uma verso abreviada do comando show ip interface SO/O/l, que apresenta mensagens
somente para uma interface. O comando show ip interface apresentaria as mesmas mensagens para cada
interface do roteador.
O Passo 2 diz que o contedo da ACL deve ser encontrado. Novamente, a forma mais rpida de olhar a ACL usar o
comando show running-config. Se o modo enable (ativado) no for permitido, os comandos show access-lists e show
ip access-lists do o mesmo resultado. A nica diferena que se outras ACLs no-IP tiverem sido configuradas, o
comando show accesslists tambm apresenta as ACLs no-IP. O resultado fornece os mesmos detalhes mostrados nos
comandos de configurao, bem como um contador para o nmero de pacotes que combinam com cada linha da ACL. O
Exemplo 7-11 ilustra um desses casos.
Exemplo 7-11 Modelo de comando show ip access-lists
R1# show ip access-lists
Extended IP access 1ist 102
10 permit ip 10.1.2.0 0.0 . 0 . 255 10.1.1.0 0.0 . 0.255
.'
:1
- I
(1 5 matches)
Depois que os locais, os sentidos e os detalhes de configurao das vrias ACLs tiverem sido descobertos nos Passos
1 e 2, comea a parte difcil: interpretar o que a ACL realmente faz. De interesse especial o ltimo item da lista de
dicas para resoluo de problemas, ou seja, o item 3E. Na ACL mostrada no Exemplo 7-11, alguns pacotes (15 at
ento) combinaram com a nica sentena access-list configurada na ACL 102. Entretanto, alguns pacotes foram
provavelmente negados por causa da lgica implcita "deny ali" (negar todos) dos pacotes no final de uma ACL. Ao
configurar o comando access-list 102 deny ip any any no final da ACL, que combina explicitamente com todos
pacotes e os descarta, o comando show ip access-lists mostraria o nmero de pacotes que esto sendo negados no
fmal da ACL. A Cisco s vezes recomenda acrescentar a sentena explcita "deny ali" no final da ACL para facilitar
a resoluo de problemas.
e _____________________________________________________________
CCNA ICND2
217
Revise os tpicos mais importantes deste captulo, indicados com o cone Tpicos-Chave na margem externa da pgina.
A Tabela 7-6 relaciona esses tpicos-chave e os nmeros das pginas nas quais cada um encontrado.
(~~~;~o
,. c_
Tabela 7-6 Tpicos-chave do Captulo 7
....
Elemento do tpico-chave
Descrio
Tabela 7-1
196
Figura 7-3
199
Nmero da pgina
. ------------------------------------------------------------
Figura 7-4
200
202
. ------------------------------------------------------------
Lista
Lista
203
e ________________________________________________________________
__
Lista
209
-----------------------------------------------------------------Lista
Lista
209
------------------------------------------------------------------------------------
212
e ---------------------------------------------------------------
Lista
214
. --------------------------------------------------------------
Lista
215
. ---------------------------------------------------------------
Imprima uma cpia do Apndice J, "Tabelas de memria" ou pelo menos a seo referente a este captulo e complete as
tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria", inclui tabelas e listas completadas
para voc conferir o seu trabalho.
: Definies de termos-chave
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: rota avante, rota inversa.
* Sempre verifique a pgina http://www.cisco.com para obter os tpicos mais recentes do exame.
-------------------------------------------
CAPTULO
e _______________________________________________________
A Parte lI, "Roteamento IP", concentrou-se no processo de roteamento IP (encaminhamento de pacotes), com uma
abordagem de como os roteadores preenchem suas tabelas de roteamento. A Parte m, "Configurao e resoluo de
problemas relativos a protocolos de roteamento", que comea com este captulo, muda o foco para como os roteadores
preenchem suas tabelas de roteamento utilizando protocolos de roteamento dinmico.
Os protocolos de roteamento IP funcionam em um conjunto de roteadores, enviando mensagens a roteadores prximos
para ajudar esses roteadores a aprender todas as melhores rotas para se alcanar cada sub-rede. Embora esse objetivo
fundamental seja simples, os processos utilizados pelos protocolos de roteamento tendem a ser alguns dos tpicos mais
complexos e detalhados nos exames CCNA. Este captulo comea com o exame feito por este livro sobre protocolos de
roteamento IP e explicando os conceitos fundamentais e a teoria existente por trs de como os protocolos de roteamento
funcionam. Os Captulos 9 e 10 continuam o assunto fornecendo muito mais detalhes sobre o funcionamento do OSPF e
do EIGRP, respectivamente. O Captulo 11 conclui esta parte do livro examinando alguns processos e dicas para resoluo
de problemas relativos a OSPF e EIGRP.
o questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
dez questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A
Tabela 8-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o
material destas sees. Isso ajudar voc a avaliar o seu conhecimento nestas reas especficas.
Tabela 8-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?"
Questes
1-5
6-8
9 elO
a. RIP-1
b. RIP-2
c. EIGRP
d.OSPF
e. BGP
f. IS-IS Integrado
2. Quais dos seguintes protocolos de roteamento utilizam a lgica link-state?
a. RIP-1
b. RIP-2
e. BGP
f. IS-IS Integrado
3. Quais dos seguintes protocolos de roteamento utilizam uma mtrica que , como padro, pelo menos parcialmente
afetada pela largura de banda do link?
3.
RIP-l
b. RIP-2
c. EIGRP
d.OSPF
e. BGP
4. Quais dos seguintes protocolos de roteamento interior aceitam o VLSM?
3.
RIP-l
b. RIP-2
c. EIGRP
d.OSPF
e. IS-IS Integrado
5. Qual das seguintes situaes faria com que um roteador utilizando RIP-2 removesse todas as rotas aprendidas de um
roteador vizinho em particular?
3.
6. Qual dos seguintes recursos do vetor distncia impede a ocorrncia de loops de roteamento fazendo com que o
protocolo de roteamento anuncie apenas um subconjunto de rotas conhecidas, ao contrrio da tabela de roteamento
completa, sob condies estveis e normais?
3.
Contagem at o infinito
b. Poison reverse
c. Holddown
d.Splithorizon
e. Route poisoning (envenenamento de rotas)
7. Qual dos seguintes recursos do vetor distncia impede a ocorrncia de loops de roteamento anunciando uma rota com :
mtrica infinita quando uma rota falha?
3. Holddown
8. Um roteador que est usando um protocolo vetor distncia acabou de receber uma atualizao de roteamento que .
apresenta uma rota como tendo uma mtrica inflnita. A atualizao de roteamento anterior daquele vizinho apresentou
uma mtrica vlida. Qual das seguintes aflrmativas no uma reao normal a este cenrio?
CCNA ICND2
223
a. Imediatamente enviar uma atualizao parcial que inclui uma rota envenenada para a rota que falhou
c. Suspender o split horizon para aquela rota e enviar uma rota poison reverse
d. Enviar uma atualizao completa apresentando uma rota envenenada (route poisoning) para a rota que falhou
9. Uma inter-rede est usando um protocolo de roteamento link-state. Os roteadores distriburam todos os LSAs e a rede
est estvel. Qual das seguintes afirmativas descreve o que os roteadores faro para redistribuir os LSAs?
a. Cada roteador redistribui cada LSA utilizando um timer peridico com um tempo semelhante aos timers de atualizao
do vetor distncia.
b. Cada roteador redistribui cada LSA utilizando um timer peridico muito maior que os timers de atualizao do vetor
distncia.
c. Os roteadores nunca redistribuem os LSAs desde que eles no mudem.
d. Os roteadores redistribuem todos os LSAs sempre que um deles muda.
10. Qual das seguintes afIrmativas verdadeira sobre como um roteador que utiliza um protocolo de roteamento linkstate escolhe a melhor rota para alcanar uma sub-rede?
a. O roteador encontra a melhor rota no banco de dados link-state.
b. O roteador calcula a melhor rota executando um algoritmo SPF em comparao com as informaes contidas no
banco de dados link-state.
c. O roteador compara as mtricas apresentadas para aquela sub-rede nas atualizaes recebidas de cada vizinho e
escolhe a melhor (mais baixa) rota mtrica.
: Tpicos fundamentais
Os protocolos de roteamento defInem vrias maneiras em que os roteadores conversam entre si para determinar as
melhores rotas at cada destino. Conforme as redes foram se tornando mais complexas com o passar do tempo, os
roteadores adquiriram maior poder de processamento e RAM. Em conseqncia disso, os engenheiros comearam a
projetar protocolos de roteamento mais novos, aproveitando os links e os roteadores mais velozes, transformando os
protocolos de roteamento. Este captulo segue esse progresso at certo ponto, comeando com uma introduo aos
protocolos de roteamento. Em seguida, explicada a teoria existente por trs dos protocolos de roteamento vetor distncia,
utilizada com os primeiros protocolos de roteamento IP. A seo fInal deste captulo examina a teoria por trs dos
protocolos de roteamento link-state, utilizada por alguns dos protocolos de roteamento defInidos mais recentemente.
Os roteadores acrescentam rotas IP s suas tabelas de roteamento utilizando trs mtodos: rotas para redes diretamente
conectadas, rotas estticas e rotas aprendidas utilizando protocolos de roteamento dinmico. Entretanto, antes de nos
aprofundarmos na discusso, importante defInir alguns termos relacionados e esclarecer qualquer erro de concepo
sobre os termos protocolo de roteamento, protocolo roteado e protocolo rotevel. Os conceitos por trs desses
termos no so to difceis, mas como os termos so muito semelhantes, e como muitos documentos do pouca ateno
a quando cada um dos termos usado, eles podem se tornar um pouco confusos. Esses termos so geralmente defInidos
como se segue:
224
- Protocolo de roteamento: conjunto de mensagens, regras e algoritmos utilizados por roteadores com a finalidade _
/;~~;~o
de aprender rotas. Este processo inclui a troca e a anlise de informaes sobre roteamento. Cada roteador escolhe
\ chave a melhor rota para alcanar uma sub-rede (escolha de trajeto) e finalmente coloca essas melhores rotas em sua
'.
tabela de roteamento IP. Exemplos incluem RIP, EIGRP, OSPF e BGP.
- Protocolo roteado e protocolo rotevel: ambos os termos se referem a um protocolo que define uma estrutura de
pacote e um endereamento lgico, permitindo que os roteadores encaminhem ou direcionem pacotes. Os roteadores
encaminham ou direcionam pacotes definidos pelos protocolos roteado ou rotevel. Exemplos incluem IP e IPX
(parte do modelo de protocolo Novell NetWare).
~----~--------------------------------------------
Muito embora protocolos de roteamento (tais como o RIP) sejam diferentes dos protocolos roteados (tais como o IP),
eles trabalham juntos e bem prximos. O processo de roteamento encaminha pacotes IP, mas se um roteador no possuir
nenhuma rota em sua tabela de roteamento IP que combine com o endereo de destino de um pacote, o roteador descarta
o pacote. Os roteadores precisam dos protocolos de roteamento para que possam aprender todas as rotas possveis e
acrescent-las tabela de roteamento para que o processo de roteamento possa encaminhar (direcionar) protocolos
roteveis tais como o IP.
-.
/;~~;~o
\~h.ve
3. Se existir mais de uma rota possvel para alcanar uma sub-rede, escolher a melhor rota com base em uma mtrica.
4. Se a topologia de rede mudar - por exemplo, um link falhar -, reagir anunciando que algumas rotas falharam e
escolher uma nova melhor rota atual. (Este processo chamado de convergncia.)
Observao Um roteador vizinho se conecta ao mesmo link (por exemplo, o mesmo link
WAN ou a mesma LAN Ethernet) de outro roteador, sendo que os dois roteadores so vizinhos.
A Figura 8-1 mostra um exemplo de trs das quatro funes da lista. Tanto RI quanto R3 aprendem sobre uma rota at
a sub-rede 172.16.3.0/24 a partir de R2 (funo 1). Depois que R3 fica sabendo sobre a rota at 172.16.3.0/24 a partir de
R2, R3 anuncia aquela rota a RI (funo 2). Em seguida, RI deve tomar uma deciso sobre as duas rotas aprendidas
para alcanar a sub-rede 172.16.3.0/24: uma com a mtrica 1 a partir de R2 e outra com a mtrica 2 a partir de R3. RI
e colhe a rota com a menor mtrica passando por R2 (funo 3).
A quarta funo do protocolo de roteamento apresentada aqui a convergncia. O termo convergncia se refere a um
processo que ocorre quando a topologia muda, isto , quando um roteador ou um link falha ou volta a ficar ativo novamente.
Quando algo muda, as melhores rotas disponveis na rede podem mudar. A convergncia simplesmente se refere ao
processo atravs do qual todos os roteadores percebem conjuntamente que algo mudou, anunciam a informao sobre as
alteraes ocorridas a todos os outros roteadores e todos os roteadores ento escolhem as melhores rotas atuais para
cada sub-rede. A capacidade de convergir rapidamente, sem provocar loops, uma das consideraes mais importantes
ao escolher qual protocolo de roteamento IP usar.
CCNA ICND2
225
Figura 8.1 Trs das quatro funes bsicas dos protocolos de roteamento
172.1 6.5.253
FAOto
Tabela de Roteamento IP de R1
Sub-rede
Interface Prxima
de Sarda
172.16.3.0 SOlO
172.16.2.252
Parada
Mtrica
Na Figura 8-1, pode ocorrer convergncia se o link entre RI e R2 falhar. Neste caso, RI deveria deixar de usar sua
antiga rota para a sub-rede 172.16.3.0/24 (passando diretamente por R2), enviando, em vez disso, pacotes a R3.
Os protocolos de roteamento IP se enquadram em duas categorias principais: IGP (Interior Gateway Protocols, ou
Protocolo de Roteamento Interior) ou EGP (Exterior Gateway Protocol, ou Protocolo de Roteamento Exterior). As
definies de cada um so as seguintes:
......... - IGP: Protocolo de roteamento projetado para uso dentro de um nico sistema autnomo (autonomous system (AS),
.,. ~:~o
ou sistema autnomo) .
- EGP: Protocolo de roteamento projetado para uso entre diferentes sistemas autnomos.
Observao Os termos IGP e EGP incluem a palavra gateway porque os roteadores
antigamente eram chamados de gateways.
Essas definies utilizam outro termo novo: sistema autnomo (AS). UmAS uma inter-rede sob o controle administrativo
de uma nica organizao. Por exemplo, uma inter-rede criada e mantida por uma nica empresa provavelmente um
nico AS, e uma inter-rede criada por um nico sistema escolar provavelmente um nico AS. Outros exemplos incluem
grandes divises de um governo estadual ou nacional, onde diversas agncias governamentais podem construir suas
prprias inter-redes. Cada ISP (Internet Service Provider, ou Provedor de Servios de Internet) tambm normalmente
um nico AS diferente.
Alguns protocolos de roteamento funcionam melhor dentro de um nico AS com base no projeto, e, portanto, esses
protocolos de roteamento so chamados IGPs. Por outro lado, protocolos de roteamento projetados para trocar rotas
entre roteadores em diferentes sistemas autnomos so chamados EGPs. (Atualmente, existe somente um EGP legtimo:
o BGP (Border Gateway Protocol).
Pode-se designar um nmero a cada AS chamado (obviamente) AS number (ASN, em ingls). Assim como os endereos
IP pblicos, o ICANN (Internet Corporation for Assigned Network Numbers , http://www.icann.org) controla os
direitos de designao de ASNs em todo o mundo. Ele delega essa autoridade a outras organizaes ao redor do mundo,
normalmente as mesmas organizaes que designam endereos IP pblicos. Na Amrica do norte, por exemplo, o ARIN
(American Registry for Internet Numbers, http://www.arin.netl) designa intervalos de endereos IP pblicos e ASNs.
A Figura 8-2 mostra uma pequena idia da Internet mundial. A figura mostra duas empresas e trs ISPs utilizando IGPs
(OSPF e EIGRP) dentro de suas prprias redes, com o BGP sendo usado entre os ASNs.
Comparando IGPs
Atualmente, na verdade no existe uma opo de qual EGP usar: voc simplesmente usa o BGP. Entretanto, ao escolher
um IGP para utilizar dentro de uma nica organizao, existem vrias opes. As opes mais razoveis hoje em dia so
RIP-2, EIGRP e OSPE Desses trs IGPs, o RIP-2 j foi abordado em mais detalhe no CCENT/CCNA ICNDJ Guia
Oficial de Certificao do Exame e este livro aborda OSPF e EIGRP em mais profundidade nos Captulos 9 elO,
respectivamente. Esta seo introduz alguns pontos de comparao importantes entre os vrios IGPs IP.
/;~;;~o
- Link-state
\ Ch.ve
00 0
Por volta da mesma poca em que o OSPF foi introduzido, a Cisco criou um protocolo de roteamento patenteado
chamado EIGRP (Enhanced Interior Gateway Routing Protocol, ou Protocolo de Roteamento Interno Avanado), que .
CCNA ICND2
227
utilizava alguns recursos do antigo protocolo IGRP. O EIGRP resolvia os mesmos problemas que os protocolos de
roteamento link-state, mas com uma menor necessidade de planejamento ao implementar a rede. Com o passar do
tempo, o EIGRP foi classificado como um tipo exclusivo de protocolo de roteamento - nem vetor distncia nem link-state
- e, portanto, ele chamado de protocolo balanced hybrid ou de protocolo vetor distncia avanado.
A segunda e a terceira sees deste captulo examinam os algoritmos vetor distncia e link-state em mais detalhe. O
Captulo 10 explica os conceitos de balanced hybrid no contexto de discusso do EIGRP.
- M'I'
e rica
Os protocolos de roteamento escolhem a melhor rota para alcanar uma sub-rede optando pela rota que possui a menor
mtrica. O RIP, por exemplo, utiliza um contador do nmero de rotas (paradas) entre um roteador e a sub-rede de
destino. A Tabela 8-2 apresenta os protocolos de roteamento IP mais importantes para os exames CCNA e alguns
detalhes sobre a mtrica em cada caso.
IGP
Mtrica
RIP-l, RIP-2
Contagem de saltos
(Hop count)
Descrio
. ---------------------------------------------------------.
OSPF
Custo
EIGRP
banda e retardo
Composto de largura de
(delay)
Ao contrrio do RIP-l e RIP-2, as mtricas do OSPF e do EIGRP sofrem impacto das vrias definies de largura de
banda da interface. A Figura 8-3 compara o impacto da mtrica utilizada pelo RIP e pelo EIGRP.
EIGRP
.
.
Para facilitar a comparao e o estudo, a Tabela 8-3 resume vrios recursos aceitos por vrios IGPs. A tabela inclui itens
especificamente mencionados neste captulo ou em captulos anteriores deste livro.
.. .
Recurso
RIP-l
RIP-2
EIGRP
OSPF
Classless
No
Sim
Sim
Sim
Aceita VLSM
No
Sim
Sim
Sim
Sim
No
Sim
Sim
Sim
Sim
Vetor distncia
Sim
Sim
No l
No
NO :
Link-state
No
No
No l
Sim
Sim
No
Sim
Sim
No
No .
No
Sim
Sim
Sim
Sim
Patenteado / Proprietrio
No
No
Sim
No
No
IS-IS{c
Sim ...
Atualizaes de roteamento so
enviadas para um endereo IP multicast No
Sim
Sim
Sim
-A--------------------------N--------------S-un----------Sun
- ---------Sun----------Sun--
celta autentIcao
ao
-------------------------------------------------------- .
Convergncia
1
Lenta
Lenta
Muito rpida
Rpida
Rpida
O EIGRP muitas vezes descrito como um protocolo de roteamento balanced hybrid, em vez de link-state ou vetor distncia. Alguns
documentos se referem ao EIGRP como um protocolo vetor distncia avanado.
Alm da Tabela 8-3, a Tabela 8-4 apresenta vrios outros itens sobre RIP-2, OSPF e EIGRP. Os itens da Tabela 8-4 so
explicados por completo nos Captulos 9 e 10, mas so includos aqui para sua referncia durante o estudo.
/;~~;~D
\~have
Recursos
RIP-2
OSPF
EIGRP
Mtrica
Contagem de saltos
(Hop count)
Custo do link
No
No
Inteira
Parcial
Parcial
(224.0.0.9) 1
(224.0.0.5,
224.0.0.6)
(224.0.0.10)
CCNA ICND2
16
(2 24
No
No
1)
(2 32
229
1)
Sim
Esta tabela especificamente se refere a recursos do RIP-2, mas a nica diferena em relao ao RIP-l nessa tabela
que o RIP-l transmite atualizaes para o endereo IP 255.255.255.255.
Distncia administrativa
Muitas empresas e organizaes utilizam um nico protocolo de roteamento. Entretanto, em alguns casos, uma empresa
precisa utilizar vrios protocolos de roteamento. Se duas empresas, por exemplo, conectam as suas redes de forma que
possam trocar informaes, necessrio que elas troquem algumas informaes de roteamento. Se uma empresa utiliza
RIP e a outra utiliza EIGRP, em pelo menos um roteador, tanto o RIP quanto o EIGRP devem ser usados. Da, aquele
roteador pode tomar rotas aprendidas pelo RIP e anunci-las ao EIGRP, e vice-versa, atravs de um processo chamado
redistribuio de rotas.
Dependendo da topologia de rede, os dois protocolos de roteamento podem aprender rotas que levam s mesmas subredes. Quando um nico protocolo de roteamento aprende vrias rotas que levam mesma sub-rede, a mtrica diz a ele
qual a melhor rota. No entanto, quando dois protocolos de roteamento diferentes aprendem rotas que levam mesma
sub-rede, pois a mtrica de cada protocolo de roteamento baseada em informaes diferentes, o lOS no consegue
comparar a mtrica. O RIP, por exemplo, pode aprender uma rota at a sub-rede 10.1.1.0 com mtrica 1, e o EIGRP
pode aprender uma rota at 10.1.1.0 com mtrica 2,195,416, mas o EIGRP pode ser a melhor rota-ou no. Simplesmente
no h uma base de comparao entre as duas mtricas.
Quando o lOS tem de escolher entre rotas aprendidas utilizando protocolos de roteamento diferentes, ele utiliza um
conceito chamado distncia administrativa. A distncia administrativa um nmero que denota o quo confivel um
protocolo de roteamento em um nico roteador. Quanto mais baixo o nmero, melhor ou mais confivel o protocolo de
roteamento. O RIP, por exemplo, possui uma distncia administrativa padro igual a 120, e o EIGRP igual a 90, fazendo
com que o EIGRP seja mais confivel que o RIP. Portanto, quando os dois protocolos de roteamento aprendem rotas que
levam mesma sub-rede, o roteador acrescenta somente a rota EIGRP tabela de roteamento.
Os valores da distncia administrativa so configurados em um nico roteador e no so trocados com outros roteadores.
A Tabela 8-5 apresenta as vrias fontes de informao de roteamento, junto com as distncias administrativas padro.
!;~;;~o
Tipo de rota
Distncia administrativa
Conectada
Esttica
20
90
IGRP
100
OSPF
IS-IS
110
115
RIP
120
170
200
No usvel
255
:. Chave
....
I~ -
Atualizao de roteamento
RI aprende sobre a sub-rede e urna mtrica associada quela sub-rede, e nada mais. RI deve escolher a melhor rota
para alcanar a sub-rede X. Neste caso, ele escolhe a rota composta por dois saltos passando por R7, pois ela possui a
menor mtrica. Para ter uma melhor idia do significado do termo vetor distncia, considere a Figura 8-5, que mostra o
que RI realmente sabe sobre a sub-rede X da Figura 8-4.
CCNA ICND2
231
Sub-rede X
Efetivamente, tudo que RI sabe sobre a sub-rede X so trs vetores. O comprimento dos vetores representa a mtrica,
que descreve o quanto a rota boa (ou ruim). O sentido do vetor representa o roteador do prximo salto. Portanto, com
a lgica do vetor distncia, os protocolos de roteamento no aprendem muito sobre a rede quando recebem atualizaes
de roteamento. Tudo que os protocolos de roteamento sabem algum conceito de vetor: o comprimento de um vetor a
distncia (mtrica) para alcanar uma sub-rede, e o sentido de um vetor passa pelo vizinho que anunciou a rota.
Protocolos de roteamento do vetor distncia enviam atualizaes de roteamento completas periodicamente. A Figura 86 ilustra esse conceito em uma inter-rede simples composta por dois roteadores, trs sub-redes LAN e uma sub-rede
WAN. A figura mostra as tabelas de roteamento completas de ambos os roteadores, apresentando todas as quatro rotas,
e as atualizaes completas e peridicas enviadas por cada roteador.
Sub-rede
RiP
RIP
Conn .
Conn .
172.30.21.0/24
172.30.22.0124
172.30.1.0/24
172.30.1 1.0/24
Tabela de Roteamento IP de R2
Mtrica
O
O
Fonte
Conn.
Conn.
Conn .
RIP
Mtrica
O
O
O
FAO/1 - 172.30.22.2124
I-
....,.....~FA.:.:O:.:./O~---=~~~S::::O/O,,":-:--:-:-_ _ _~
172.30.11.1
50/1/0
"'-_ _ _ _1;.;.72
;;;..30;..;.;.;.
.1;.;;,
.2. .
172.30.1.1
FAO/O . 172.30.21.2124
Atualizao RIP
1172.30.11.0,
mtrica1~ -
- - -
~----
~----
Atualizao RIP
Para entender melhor as operaes do vetor distncia nessa figura, concentre-se em alguns dos fatos mais importantes
sobre o que o roteador RI aprende em relao sub-rede 172.30.22.0/24, que a sub-rede conectada interface FaO/
1 de R2:
1. R2 considera que tem uma rota sem nenhum salto em relao sub-rede 172.30.22.0/24, e, portanto, na atualizao
de roteamento enviada por R2 (mostrada abaixo do cone do roteador R2), R2 anuncia uma rota com mtrica 1
(contagem de paradas 1).
2. RI recebe a atualizao RIP de R2, e como RI no aprendeu nenhuma outra rota possvel at 172.30.22.0/24, essa
deve ser a melhor rota de RI at a sub-rede.
4. Para a rota aprendida, RI utiliza uma interface de sada SOlO, pois RI recebeu a atualizao de roteamento de R2 na .
/;:~;~o
\~have
- Peridico: os cones que mostram uma ampulheta representam o fato de que as atualizaes se repetem em ciclos
regulares. O RIP utiliza um intervalo de atualizao de 30 segundos, como padro.
- Atualizaes completas: os roteadores sempre enviam atualizaes completas em vez de enviar somente informaes
de roteamento novas ou alteradas.
- Atualizaes completas limitadas por regras de split horizon: o protocolo de roteamento omite algumas rotas
das atualizaes completas peridicas devido s regras de split horizon. Split horizon um recurso que evita a
ocorrncia de loops, abordado nas prximas pginas.
Como pode ser visto, o verdadeiro processo do vetor distncia bastante simples. Infelizmente, a simplicidade dos
protocolos do vetor distncia trouxe consigo a possibilidade de loops de roteamento. Loops de roteamento ocorrem
quando os roteadores encaminham pacotes de forma que o mesmo pacote acabe voltando aos mesmos roteadores,
repetidas vezes, desperdiando largura de banda e nunca entregando o pacote. Em redes de produo, o nmero de
pacotes em loop pode congestionar a rede ao ponto de ela se tomar no usvel; portanto, loops de roteamento devem ser
evitados tanto quanto possvel. O resto da abordagem sobre protocolos vetor distncia neste captulo voltado para a
descrio dos vrios recursos do vetor distncia que auxiliam na preveno de loops.
Quando uma rota falha, os protocolos de roteamento do vetor distncia correm o risco de provocar loops de roteamento
at que todos os roteadores da inter-rede acreditem e saibam que a rota original falhou. Em conseqncia disso, os
protocolos vetor distncia precisam de uma maneira de identificar especificamente quais rotas falharam.
Os protocolos vetor distncia espalham a m notcia sobre a falha de uma rota envenenando a rota. O Route poisoning
(envenenamento da rota) se refere prtica de anunciar uma rota, mas com um valor de mtrica especial chamado
infinito. Simplificando, os roteadores consideram que as rotas anunciadas com uma mtrica infinita falharam. Observe
que cada protocolo de roteamento vetor distncia utiliza o conceito de um valor de mtrica verdadeiro que representa o
infinito. O RIP defme o infinito como 16.
_
__
A Figura 8-7 mostra um exemplo de route poisoning com o RIP, com a falha da interface FaO/1 de R2, significando que
a rota de R2 para 172.30.22.0/24 falhou.
----------------------------------~------------Observao Embora rotas envenenadas pelo RIP tenham uma mtrica igual a 16, o comando .
show ip route no lista o valor da mtrica. Em vez disso, ele apresenta a frase ''possibly down"
("possivelmente inativo").
--~------------------------------------------------~
\.
..........
Fonte
Sub-rede
RIP
RIP
Conn.
Conn.
172.30.21.0124
172.30.22.0124
172.30 .1.0124
172.30 .11 .0124
( T6plco
:. Chave
Tabela de Roteamento IP de R2
Tabela de Roteamento IP de R1
Interface Prxima parada
de sarda
5010
172.30.1.2
172.30.1.2
SOlO
N/A
5010
FaOIO
N/A
Mtrica
Fonte
16~~
Conn.
eOlili.
Conn.
RIP
O
O
Mtrica
....
6
O
1
72.30.22.2124
FAOIO ~....,......... SOlO
1-1~72:-:.3O~.~11;';'
. 1"
SO/110
172.30.1.2
172.30.1.1
0.----------,
172.30.21 .0, mtrica 1
_ _ _ _
172.30.22.0, mtrica 16
233
CCNA ICND2
Qualquer valor de mtrica abaixo do infinito pode ser utilizado como uma mtrica vlida para uma rota vlida. Com o RIP,
isso significa que uma rota composta por 15 saltos seria uma rota vlida. Algumas das maiores redes empresariais do
mundo possuem no mximo quatro ou cinco roteadores na maior rota entre quaisquer duas sub-redes; portanto, uma
mtrica mxima vlida com 15 saltos suficiente.
Os protocolos de roteamento vetor distncia correm o risco de provocar loops de roteamento durante o tempo entre o
momento em que o primeiro roteador percebe que uma rota falhou at o momento em que todos os roteadores sabem que
a rota falhou. Sem os mecanismos de preveno de loops explicados neste captulo, os protocolos vetor distncia podem
enfrentar um problema chamado contagem at o infinito. Certamente, os roteadores nunca poderiam literalmente contra
at o infinito, mas eles podem contar at a sua verso de infinito - por exemplo, at 16 no RIP.
A contagem at o infinito provoca dois problemas relacionados. Vrios recursos de preveno de loops do vetor distncia
se concentram em impedir os seguintes problemas:
- Os pacotes podem fazer loops em tomo da inter-rede enquanto os roteadores contam at o infinito, sendo que a
largura de banda consumida pelos pacotes em loop prejudica a inter-rede.
- O processo de contagem at o infinito pode levar vrios minutos, significando que a ocorrncia de loops pode fazer
com que os usurios acreditem que a rede falhou.
Quando os roteadores contam at o infinito, eles ficam conjuntamente mudando de opinio sobre a mtrica da rota que
falhou. A mtrica fica mais lenta at alcanar o infinito, em cujo ponto os roteadores fmalmente acreditam que a rota
falhou. A melhor maneira de entender esse conceito ver um exemplo; a Figura 8-8 mostra os primeiros passos do.
problema relativo contagem at o infinito.
234
Sub-rede
172.30.21.0/24
172.30.22.0/24
172.30.1.0/24
172.30.11 .0/24
Mtrica
16
O
O
Fonte
Sub-rede
Conn.
Conn.
Conn .
RIP
SO/110 .-.....____,
. . - -...-.. SOlO
Mtrica
O
2~
O
1
72.30.22.2/24
172.30.1.2
172.30.1 .1
172.30.22.0, mtrica 16
, _ _ __ __ _ __ __
~ .,
., .,
., .,
., .... .,""
.............
.... ....
Polsoned Route
....
....
.... ~
A chave deste exemplo saber que a atualizao peridica de RI at R2 (da esquerda para direita na Figura 8- 8) ocorre
praticamente no mesmo instante em que R2 faz o anncio da rota envenenada para RI. A Figura 8-8 mostra o seguinte
processo:
1. A interface FaO/l de R2 falha, e, portanto, R2 remove de sua tabela de roteamento sua rota conectada para
172.30.22.0/24.
2. R2 envia um anncio de rota envenenada (mtrica de 16 para o RIP) a RI, mas aproximadamente no mesmo
instante, o timer de atualizao peridica de RI expira; portanto, RI envia sua atualizao regular, incluindo um
anncio sobre 172.30.22.0, mtrica 2.
3. R2 fica sabendo sobre a rota de mtrica 2 para alcanar 172.30.22.0 a partir de RI. Como R2 j no possui uma
rota para a sub-rede 172.30.22.0, ele acrescenta a rota composta por dois saltos sua tabela de roteamento, o
roteador RI.
4. Aproximadamente no mesmo instante do Passo 3, RI recebe a atualizao de R2, dizendo a RI que sua antiga rota
at 172.30.22.0, passando por R2, falhou. Em conseqncia disso, RI muda sua tabela de roteamento passando a
apresentar uma mtrica 16 para a rota at 172.30.22.0.
Neste ponto, RI e R2 encaminham pacotes destinados a 172.30.22.0/24 para l e para c, um para outro. R2 possui uma
rota para 172.30.22.0/24, apontando para RI , e RI possui o inverso. H a ocorrncia de loop at que RI e R2 contem at
o infinito. A Figura 8-9 mostra o prximo passo em sua marcha conjunta at o infinito.
Tabela de roteamento IP de Rl
Fonte
RIP
~ RIP
Conn.
Conn.
Sub-rede
Mtrica
Fonte
1
3
O
O
Conn.
Conn.
Conn .
RIP
Sub-rede
Mtrica
O
16 ~ - O
72.30.22.2/24
- --,.-... SOlO
172.30.11 .1
SOI1IO _
172.30.1.2
172.30.1.1
"....
........
......_
172.30.22.0, mtrica 3
(outras rotas nao mostradas)
k"""
..............
....
.........
Minha rota de
.... ~ duas paradas
falhou I - marque-a
como inativa
(mtrica 16)1
'.
I.
CCNA ICND2
235
A Figura 8-9 mostra as prximas atualizaes peridicas de ambos os roteadores, como se segue:
1. Os timers de atualizao de RI e de R2 expiram aproximadamente no mesmo instante. RI anuncia uma rota
envenenada (mtrica 16) e R2 anuncia uma rota com mtrica 3. (Lembre-se de que os roteadores RIP acrescentam
1 mtrica antes de anunciar a rota.)
2. R2 recebe a atualizao de RI e, portanto, R2 altera sua rota referente a 172.30.22.0 para utilizar uma mtrica igual
a 16.
3. Aproximadamente no mesmo instante que o Passo 2, RI recebe a atualizao de R2 e, portanto, RI altera sua rota
referente a 172.30.22.0 para utilizar uma mtrica igual a 3.
O processo continua atravs de cada atualizao peridica, com os dois roteadores finalmente alcanando a mtrica 16.
Neste momento, os roteadores poderiam expirar (dar time out) as rotas e remov-las de suas tabelas de roteamento.
Split Horizon
Na inter-rede simples usada nas Figuras 8-8 e 8-9, o roteador R2 possui uma rota conectada at 172.30.22.0, e RI
aprende a rota por causa de uma atualizao de roteamento enviada por R2. Entretanto, h pouca necessidade de RI
anunciar essa mesma rota novamente para R2, porque, a princpio, RI aprendeu essa rota com R2. Portanto, uma
maneira de evitar o problema de contagem at o infinito mostrado nessas figuras fazer com que RI simplesmente no
anuncie a sub-rede 172.30.22.0, utilizando um recurso chamado split horizon. O split horizon definido da seguinte forma:
/ .......
: Tpico
\~have
Em atualizaes de roteamento enviadas saindo pela interface X, no inclua informaes de roteamento sobre
rotas que se referem interface X como a interface de sada.
Os protocolos vetor distncia funcionam de forma bastante parecida a como as pessoas de uma vizinhana espalham
boatos. As pessoas contam aos seus vizinhos, que, por sua vez, contam a outros vizinhos, at que finalmente todo mundo
da vizinhana fica sabendo da ltima notcia. Seguindo essa analogia, se seu vizinho Fred lhe contasse um boato, voc no
viraria e lhe contraria o mesmo boato. Da mesma forma, o split horizon significa que, quando o roteador RI aprende uma
rota com o roteador R2, RI no precisa anunciar aquela mesma rota para o roteador R2 novamente.
A Figura 8-10 mostra o efeito do split horizon sobre os roteadores RI e R2 na mesma inter-rede conhecida. A tabela de
roteamento de RI (na parte de cima da figura) apresenta quatro rotas, trs das quais tm a interface SOlO de RI como a
interface de sada. Portanto, o split horizon impede que RI inclua essas trs rotas na atualizao enviada por RI saindo
de sua interface SOlO.
Tabela de Roteamento IP de R2
Mtrica
16
O
O
Fonte
+-
Atualizao
completa,
limitada pelo
split horizon
172.30.1.1
.---------,0
1~-1172.30.11.0, mtrica
Bc"".
Conn.
RIP
.w,
- - ..
___cp
r17-2-.30-.2-1.o,-m-t- rlca-'1
172.30.22.0, mtrica 1
1172.30.11.0, mtrica 1
Mtrica
SO/11O ,...."".~_1'
172.30.1.2
Conn.
Sub-rede
~0_ --..
Atualizao
completa,
limitada pelo
split horizon
0.------,
172.30.22.0, mtrica 16
_ _ _ _
Rota
envenenada
O
O
-Triggered update (Atualizao instantnea): Quando uma rota falha, no espere pela prxima atualizao peridica.
\~have
Pelo contrrio, envie uma atualizao instantnea, ou triggered update, imediatamente listando a rota envenenada.
- Poison reverse: Ao ficar sabendo sobre uma rota que falhou, suspenda as regras do split horizon para aquela rota
e anuncie uma rota envenenada.
A Figura 8-11 mostra um exemplo de cada um desses recursos, com a interface FaO/l de R2 falhando mais uma vez.
Observe que a figura comea com todas as interfaces funcionando e todas as rotas conhecidas.
Figu ra 8-11 R2 enviando uma triggered update, com Ri anunciando uma rota poison reverse
Tabela de Roteamento IP de R2
Tabela de Roteamento IP de RI
Fonte
Sub-rede
Mtrica
Fonte
de sada
RIP
RIP
Conn.
Conn.
172.30.1.2
172.30.1.2
N/A
N/A
1
16
O
O
..... SOlO
gelll4.
Conn.
172.30.1.1
.--- ----,0
Mtrica
,.....
9
O
RIP
SO/11O
172.30.1.2
~......,.
172.30.22.0, mtrica 16
(SOMENTE esta rota
triggered update parcial)
Conn.
Sub-rede
---""""~;~:~~===
0.-------,
172.30.22.0, mtrica 16
... - - - -
- - - - ..
Trlggered
Update
parcial:
... _ _ _ _
Prxima
atualizao
peridica:
atualizao
peridica:
CCNA ICND2
237
o split horizon impede que o problema de contagem at o infinito ocorra entre dois roteadores. No entanto, com projetos
redundantes em uma inter-rede, o que verdade na maioria das inter-redes hoje em dia, o split horizon sozinho no
impede a ocorrncia do problema de contagem at o infinito. Para visualizar o problema, a Figura 8-12 mostra a nova
rede de trabalho em seu estado normal, estvel, em que tudo est funcionando. As Figuras 8-13 e 8-14 mostram, em um
determinado momento, como ocorre o problema de contagem at o infinito, mesmo quando o split horizon est ativado.
172.30.3.0, mtrica 1
0 /
172.30.22.0, mtrica 2
172.30.2.0, mtrica 1
172.30.11.0, mtrica 2
172.30.31.0, mtrica 1
172.30.21.0, mtrica 2
172.30.31.0, mtrica 1
172.30.1.0 , mlrica 1
172.30.11.0, mtrica 1
172.30.21 .0 , mtrica 2
172.30.22.0, mtrica 2
1f
, CD
172.30.1.0, mtrica 1
172.30.11 .0, mtrica 1
172.30.21.0, mtrica 1
172.30.22.0, mtrica 1
FAO/1 22.2124
FAOto 21 .2124
172.30.2.0, mtrica 1
172.30.11.0, mtrica 1
172.30.31.0, mtrica 2
~_ ~
172.30.21 .0 , mtrica 1
172.30.22.0, mtrica 1
172.30.31 .0, mtrica 2
Observao A Figura 8-12 omite as atualizaes do RIP que seriam enviadas saindo pelas
interfaces LAN para evitar que a figura fique sobrecarregada.
Alm de mostrar a operao normal de outra rede, a Figura 8-12 oferece um bom exemplo de como funciona o split
horizon. Novamente utilizando a sub-rede 172.30.22.0 como exemplo, ocorre o seguinte processo nesta inter-rede:
Mtrica
2
o1f
,
,, ,
,
,, ,
,
l'
,,
,
rl17-2-.30-.22-.-0,-m-ct-rlc-'a=,21,,'
,,
.2124
~----------
0,..-------,
Sub-rede
Mtrica
16
O processo mostrado na Figura 8-13 como descrito a seguir. Como de costume, este exemplo conta com uma contagem
de tempo inadequada para as atu~zaes de roteamento peridicas no momento em que a rota falha.
1. A interface FaOll de R2 falha.
2. R2 imediatamente envia uma atualizao triggered update parcial, envenenando a rota para 172.30.22.0. R2 envia
as atualizaes saindo por todas as interfaces que ainda esto funcionando.
3. R3 recebe a atualizao triggered update de R2 que envenena a rota para 172.30.22.0, e, portanto, R3 atualiza sua
tabela de roteamento apresentando a mtrica 16 para essa rota.
4. Antes que a atualizao descrita no Passo 2 chegue a RI, RI envia sua atualizao normal e peridica a R3, listando
172.30.22.0, mtrica 2, como normal. (Observe que a Figura 8-13 ornite parte do que seria a atualizao peridica
de RI para evitar sobrecarga no desenho.)
5. RI recebe a atualizao triggered update de R2 (descrita no Passo 2) que envenena a rota para 172.30.22.0, e,
portanto, RI atualiza sua tabela de roteamento apresentando a mtrica 16 para essa rota.
6. R3 recebe a atualizao peridica enviada por RI (descrita no Passo 4), apresentando uma rota de mtrica 2 para
172.30.22.0. Em conseqncia disso, R3 atualiza sua tabela de roteamento para apresentar uma rota de mtrica 2,
passando por RI como o roteador de prximo salto, com a interface de sada SOlO.
CCNA ICND2
239
Neste ponto, R3 tem uma rota incorreta de mtrica 2 para 172.30.22.0, apontando de volta a RI. Dependendo da
contagem do tempo de quando as entradas so inseridas e saem da tabela de roteamento, os roteadores podem acabar
encaminhando os pacotes enviados sub-rede 172.30.22.0/24 atravs da rede, possivelmente causando loop em alguns
pacotes da rede vrias vezes, enquanto o processo de contagem at o infinito continua.
o ltimo recurso a ser abordado neste captulo com o intuito de evitar a ocorrncia de loops um processo chamado
holddown, que impede a ocorrncia do problema de loops e de contagem at o inf'mito mostrado na Figura 8-13. Os
protocolos vetor distncia utilizam holddown para evitar especillcamente os loops criados por problemas de contagem at
o infinito que ocorrem em inter-redes redundantes. O termo holddown (segurar no lugar, deixar como est) d uma idia
sobre o que ele significa:
Assim que a rota considerada inativa, segure-a no lugar (deixe-a como est) por um tempo at que os
roteadores tenham tempo para se certillcar de que todos os roteadores saibam que a rota falhou.
O processo holddown diz ao roteador para ignorar novas informaes sobre a rota que falhou, por um perodo de tempo
chamado de tempo de holddown, de acordo com a contagem feita atravs do timer holddown. O processo de holddown
pode ser resumido da seguinte forma:
/~~~;~o
\ Chave
".
Ao ficar sabendo sobre uma rota envenenada (route poisoning), inicie o timer holddown para aquela rota. At que
o timer expire, no acredite em nenhuma outra informao de roteamento sobre a rota que falhou, pois acreditar
nessa informao pode provocar um loop de roteamento. No entanto, voc pode acreditar nas informaes aprendidas
com o vizinho que originalmente anunciou a rota em funcionamento antes que o timer holddown expire.
O conceito de holddown pode ser melhor entendido com um exemplo. A Figura 8-14 repete o exemplo da Figura 8-13,
mas com o processo holddown de R3 impedindo o problema de contagem at o infinito. A figura mostra como R3 ignora
qualquer nova informao sobre a sub-rede 172.30.22.0 por causa do holddown. Como de costume, a figura comea com
todas as interfaces ativas e em perfeito funcionamento, com todas as rotas conhecidas, e com o Passo 1 sendo a falha da
mesma interface que sai do roteador R2.
5ub-rede
Mtrica
16
50/1/0
1.2
FAOtO 21 .2124
5ub-rede
Mtrica
16
O processo mostrado na Figura 8-14 como descrito a seguir, com os Passos "3 e 6 diferindo da Figura 8-13:
1. A interface FaO/1 de R2 falha.
CCNA ICND2
241
melhores rotas a suas tabelas de roteamento, com base na mtrica. Entretanto, alm deste nvel de explicao, esses dois
tipos de algoritmos de protocolo de roteamento tm pouco em comum.
Esta seo aborda os mecanismos mais bsicos de funcionamento dos protocolos link-state, com os exemplos
usando o OSPF (Open Shortest Path First), o primeiro protocolo de roteamento IP do tipo link-state. A seo
comea mostrando como os protocolos de roteamento link-state distribuem informaes de roteamento por toda a
inter-rede. Em seguida, ela descreve como os protocolos link-state processam as informaes de roteamento para
escolher as melhores rotas.
Alguns roteadores devem primeiro criar os LSAs dos roteadores e dos links, e, em seguida, distribuir os LSAs a todos os
outros roteadores. Cada roteador cria um LSA de roteador para si mesmo e, em seguida, distribui aquele LSA a outros
roteadores em mensagens de atualizao de roteamento. Para distribuir um LSA, o roteador envia o LSA a seus vizinhos.
Esses vizinhos, por sua vez, encaminham o LSA a seus vizinhos, e assim por diante, at que todos os roteadores tenham
ficado sabendo sobre o LSA. Para os LSAs de links, o roteador anexado a uma sub-rede tambm cria e distribui um LSA
de link para cada sub-rede. (Observe que, em alguns casos, no necessrio ter um LSA de links, normalmente quando
apenas um roteador se conecta sub-rede.) Ao final do processo, todos os roteadores tm o LSA de roteador de
roteadores alternados e uma cpia de todos os LSAs de links tambm.
A Figura 8-15 mostra a idia geral do processo de distribuio, com R8 criando e distribuindo seu LSA de roteador. Observe
que a Figura 8-15, na verdade, mostra apenas um subconjunto das informaes contidas no LSA de roteador de R8.
CCNA ICND2
Figura 8-16 rvore SPF para encontrar a rota de R1 at 172.16.3.0/24
..........
[ Tpico
I.
243
\ Chave
...
, . - - Posslvel Rota
A Figura 8-16 no mostra a matemtica do algoritmo SPF (na verdade, quase ningum se importa com a matemtica),
mas mostra um desenho do tipo de anlise feita pelo algoritmo SPF em Rl. Geralmente, cada roteador executa o
processo SPF para encontrar todas as rotas at cada sub-rede, e, depois, o algoritmo SPF pode escolher a melhor rota.
Para escolher a melhor rota, o algoritmo SPF do roteador acrescenta o custo associado a cada link entre ele mesmo e a
sub-rede de destino, em cada possvel rota. A Figura 8-16 mostra os custos associados a cada rota ao lado dos links, onde
as retas com setas mostram as trs rotas que RI encontra entre si e a sub-rede X (172.16.3.0/24).
A Tabela 8-6 apresenta as trs rotas mostradas na Figura 8-16, com seus custos cumulativos, mostrando que a melhor
rota de RI at 172.16.3.0/24 comea passando por R5.
Custo cumulativo
RI-R7-R8
Esquerda
10 + 180 + 10 = 200
RI -R5-R6-R8
Meio
20 + 30 + 40 + 10 = 100
RI-R2-R3-R4-R8
Direita
30 + 60 + 20 + 5 + 10 = 125
Em conseqncia da anlise do LSDB feita pelo algoritmo SPF, RI acrescenta sua tabela de roteamento uma rota at
a sub-rede 172.16.3.0/24, sendo R5 o prximo roteador.
1. R5 e R6 distribuem LSAs que dizem que suas interfaces esto agora em estado "down" ("inativo"). (Em uma rede
deste porte, a distribuio normalmente leva talvez um ou dois segundos.)
2. Todos os roteadores executam o algoritmo SPF novamente para ver se h alguma rota que tenha mudado. (Este
processo pode levar mais 1 segundo em uma rede deste porte.)
..........
f Tpico
\ Cha..
".
- Os trechos individuais de informaes sobre a topologia so chamados LSAs. Todos os LSAs so armazenados em
RAM em uma estrutura de dados chamada LSDB (link-state database, o banco de dados link-state) .
- Os roteadores distribuem LSAs quando 1) so criados, 2) em um intervalo de tempo regular (mas longo) se os LSAs
no mudarem com o passar do tempo, e 3) imediatamente quando um LSA muda.
- O LSDB no contm rotas, mas contm informaes que podem ser processadas pelo algoritmo Dijkstra SPF para
encontrar a melhor rota de um roteador para alcanar cada sub-rede.
- Cada roteador executa um algoritmo SPF, sendo o LSDB a entrada, resultando no acrscimo das melhores rotas
(menor custo/menor mtrica) tabela de roteamento IP.
- Os protocolos link-state convergem rapidamente redistribuindo imediatamente os LSAs alterados e reexecutando o
algoritmo SPF em cada roteador.
Um dos pontos de comparao mais importantes entre os diferentes protocolos de roteamento a velocidade em que o
protocolo de roteamento converge. Com certeza, os protocolos link-state convergem com muito mais rapidez que os
protocolos vetor distncia. A lista a seguir resume alguns dos pontos de comparao principais para os diferentes protocolos
de roteamento, comparando os pontos fortes dos algoritmos:
- Convergncia: os protocolos link-state convergem muito mais rpido.
- CPU e RAM: Os protocolos link-state consomem muito mais CPU e memria que os protocolos vetor distncia,
embora com um projeto adequado, essa desvantagem possa ser reduzida.
- Evitando loops de roteamento: os protocolos link-state inerentemente evitam loops, ao passo que os protocolos
vetor distncia requerem vrios recursos adicionais (por exemplo, o split horizon).
- Esforo de projeto: os protocolos vetor distncia no requerem muito planejamento, ao passo que os protocolos
link-state requerem muito mais planejamento e empenho de projeto, principalmente em redes maiores.
- Configurao: os protocolos vetor distncia normalmente requerem menos configurao, principalmente quando o
protocolo link-state requer o uso de recursos mais avanados.
Elemento do tpico-chave
Descrio
Lista
224
CCNA ICND2
Nmero da pgina
f;~~;~o
\" Chave
00 0
Lista
224
Lista
225
Lista
226
Tabela 8-3
228
Tabela 8-4
228
Tabela 8-5
229
231
232
Figura8-5
Lista
Figura8-7
233
Definio
Split horizon
235
Deflnies
236
Definio
Holddown
239
Figura 8-16
243
245
244
Lista
Imprima uma cpia do Apndice J, "Tabelas de memria" ou pelo menos a seo referente a este captulo e complete as
tabelas e listas usando a memria. O Apndice K, "Respostas das Tabelas de Memria" , inclui tabelas e listas completadas
para voc conferir o seu trabalho.
: Definies de termos-chave
Defrna os seguintes termos-chave encontrados neste captulo e veriflque suas respostas no glossrio: algoritmo Dijkstra
SPF (Shortest Path First), atualizao completa, atualizao parcial, atualizao peridica, contagem at o inflnito,
convergncia, EGP (protocolo externo de porta de comunicao), balanced hybrid, holddown (tirner holddown), IGP
(protocolo interno de porta de comunicao), inflnito, link-state, LSA (anncio de link-state), LSDB (banco de dados linkstate), mtrica, poison reverse, protocolo de roteamento, protocolo roteado, protocolo rotevel, split borizon, triggered
update, vetor distncia.
CCNA ICND2
247
Configurao do OSPF: esta seo examina como configurar o OSPF em uma nica rea e em vrias reas, a
autenticao do OSPF e alguns outros recursos menores.
CA PTULO
: OSPF
e _______________________________________________________
Os protocolos de roteamento link-state foram originalmente desenvolvidos no incio da dcada de 1990. Os criadores dos
protocolos partiram do princpio de que as velocidades dos links, as CPUs dos roteadores e a memria dos roteadores continuariam
se aprimorando com o passar do tempo; portanto, os protocolos foram elaborados para oferecer recursos muito mais poderosos
tirando proveito desses aprimoramentos. Por enviarem mais informaes e exigirem que os roteadores executem mais
processamento, os protocolos link-state ganham algumas importantes vantagens em relao aos protocolos vetor distncia - de
modo especial, urna convergncia muito mais rpida. O objetivo permanece o mesmo, ou seja, acrescentar as melhores rotas
atuais tabela de roteamento, mas esses protocolos utilizam mtodos diferentes para encontrar e acrescentar essas rotas.
Este captulo explica o protocolo de roteamento link-state mais comumente usado - o OSPF (Open Shortest Path First,
ou Abrir o Trajeto Mais Curto Primeiro). Um outro protocolo link-state, o IS-IS Integrado, praticamente ignorado nos
exames CCNA.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. No errando mais que uma das
dez questes de auto-avaliao, voc pode passar direto para a seo "Atividades de Preparao para o Exame". A
Tabela 9-1 relaciona os principais ttulos deste captulo e as questes do questionrio "Eu j conheo isto?", abordando o
material destas sees. Isso ajudar voc a avaliar o seu conhecimento nestas reas especficas.
As respostas ao questionrio "Eu j conheo isto?" aparecem no Apndice A.
Tabela 9-1 Mapeamento entre a seo dos tpicos fundamentais e as questes do "Eu j conheo isto?"
Seo dos tpicos fundamentais
Questes
1-5
Configurao do OSPF
6-10
1. Qual das seguintes alternativas afeta o clculo das rotas OSPF quando todos os possveis valores padro so utilizados?
a. Largura de banda
b. Retardo (delay)
c. Carga
d. Confiabilidade
e. MTU
f. Contagem de paradas
2. O OSPF executa um algoritmo para calcular a melhor rota atual. Quais dos termos seguintes se referem a esse algoritmo?
a. SPF
b. DUAL
c. Feasible successor
d. Dijkstra
e. o bom e velho bom senso
250
Captulo 9: OSPF
3. Dois roteadores OSPF se conectam mesma VLAN utilizando suas interfaces FaO/O. Qual das seguintes deflnies
das interfaces desses dois possveis roteadores vizinhos impediria que os dois roteadores se tomassem vizinhos
OSPF?
a. Os endereos IP 10.1.1.1124 e 10.1.1.254/25, respectivamente
b. O acrscimo de um endereo IP secundrio na interface de um roteador, mas no na de outro
c. Ambas as interfaces do roteador designadas rea 3
d. Um roteador conflgurado para utilizar autenticao MD5 e o outro no conflgurado para utilizar autenticao
4. Qual dos seguintes estados entre vizinhos esperado quando concluda a troca de informaes de topologia para que
os roteadores vizinhos tenham o mesmo LSDB?
a. Two-way
b. Full
c. Exchange
d. Loading
5. Qual das seguintes alternativas verdadeira sobre um roteador designado OSPF existente?
a. Um roteador recm conectado mesma sub-rede, com uma prioridade OSPF mais alta, substitui o DR existente
tomando-se o novo DR.
b. Um roteador recm conectado mesma sub-rede, com uma prioridade OSPF mais baixa, substitui o DR existente
tornando-se o novo DR.
6. Qual dos seguintes comandos network, seguindo o comando router ospf 1, diz a esse roteador para comear a usar
o OSPF em interfaces cujos endereos IP so 10.1.1.1 , 10.1.100.1 e 1O.1.120.1?
7. Qual dos seguintes comandos network, seguindo o comando router ospf 1, diz a esse roteador para comear a usar
o OSPF em interfaces cujos endereos IP so 10.1.1.1 , 10.1.100.1 e 1O.1.120.1?
CCNA ICND2
251
9. Os roteadores OSPF RI, R2 e R3 esto anexados mesma VLAN. R2 foi configurado com o sub comando de
interface ip ospf authentication message-digest na interface LAN conectada VLAN em comum. O comando
show ip ospf neighbor lista RI e R3 como vizinhos, em estado Init e Full, respectivamente. Quais das seguintes
afirmativas so verdadeiras?
a. R3 deve ter um subcomando de interface ip ospf authentication message-digest configurado.
b. R3 deve ter um subcomando de interface ip ospf authentication message-digest-key configurado.
c. A falha de RI deve ser devida ao fato de ter configurado um tipo de autenticao OSPF incorreto.
d. A falha de RI pode ou no estar relacionada autenticao.
10. Um roteador OSPF fica sabendo sobre seis possveis rotas para alcanar a sub-rede 10.1.1.0/24. Todas as seis rotas
tm custo igual a 55, e todas as seis so rotas inter-reas. De acordo com padro, quantas rotas so colocadas na
tabela de roteamento?
a.I
b.2
c.3
d.4
e. 5
f.6
: Tpicos fundamentais
Este captulo examina os conceitos e a configurao do OSPF (Open Shortest Path First), partindo do ponto em que
paramos com a abordagem do link-state no Captulo 8. De modo especial, a primeira metade deste captulo explica uma
variedade de conceitos bsicos relacionados ao funcionamento do OSPF. A segunda metade examina como configurar o
OSPF em roteadores Cisco.
Protocolo OSPF
O protocolo OSPF possui uma grande variedade de recursos por vezes complexos. Para ajudar no processo de aprendizado,
os recursos OSPF podem ser divididos em trs categorias principais: vizinhos, troca de banco de dados e clculo de rotas.
Primeiramente, os roteadores OSPF formam uma relao de vizinhos que fornece a base para toda a comunicao
contnua do OSPF. Depois que os roteadores se tomam vizinhos, eles trocam o contedo de seus respectivos LSDBs
atravs de um processo chamado troca de banco de dados. Finalmente, assim que um roteador tem as informaes de
topologia em seu LSDB (banco de dados link-state), ele utiliza o algoritmo Dijkstra SPF (Shortest Path First) para
calcular as melhores rotas atuais e acrescent-las tabela de roteamento IP.
interessante notar que os comandos show lOS tambm aceitam essa mesma estrutura. O lOS possui uma tabela de
vizinhos OSPF (show ip ospf neighbor), um LSDB do OSPF (show ip ospf database) e, obviamente, uma tabela de
roteamento IP (show ip route). Os processos explicados na primeira metade deste captulo podem ser vistos em ao
em roteadores por meio da exibio dos contedos dessas trs tabelas.
Vizinhos OSPF
Embora existam algumas variaes, uma definio geral do que vem a ser um vizinho OSPF , na perspectiva de um
roteador, outro roteador que se conecta ao mesmo link de dados com o qual o primeiro roteador pode e deve trocar
informaes de roteamento utilizando OSPF. Embora essa definio esteja correta, possvel entender melhor o verdadeiro
significado do conceito de vizinhos OSPF pensando no propsito das relaes de vizinhos OSPF. Primeiro, vizinhos
conferem e verificam as definies bsicas do OSPF antes de trocar informaes de roteamento, ou seja, definies que
devem combinar umas com as outras para que o OSPF funcione corretamente. Segundo, o processo contnuo que
envolve o roteador saber quando o seu vizinho est saudvel, e quando a conexo com o vizinho foi perdida, diz ao
252
Captulo 9: OSPF
roteador quando ele deve recalcular as entradas feitas na tabela de roteamento para reconvergir a um novo conjunto de
rotas. Alm disso, o processo OSPF Hello deflne como os vizinhos podem ser dinamicamente descobertos, o que signiflca
que novos roteadores podem ser adicionados a uma rede sem a necessidade de reconflgurao de todos os roteadores.
O processo OSPF Hello atravs do qual novas relaes de vizinhos so formadas funciona de forma bastante parecida
a quando voc muda para uma nova casa e apresentado aos seus vrios vizinhos. Ao se encontrarem do lado de fora,
vocs podem ir um casa do outro, cumprimentar-se e saber o nome um do outro. Depois de conversar um pouco, voc
cria uma primeira impresso, principalmente se voc vai gostar de conversar com esse vizinho ocasionalmente ou se
melhor simplesmente acenar para ele e no gastar seu tempo conversando na prxima vez que o vir do lado de fora.
Analogamente, com o OSPF, o processo comea com mensagens chamadas OSPF Hello. Os Hellos, por sua vez,
apresentam o RID (Router ID, ou ID do roteador) de cada roteador, que serve como o nome ou identiflcador exclusivo
de cada roteador para o OSPF. Por flm, o OSPF realiza vrias veriflcaes das informaes contidas nas mensagens de
Hello para se assegurar de que os dois roteadores devam se tornar vizinhos.
o OSPF precisa identiflcar exclusivamente cada roteador por vrios motivos. Primeiro, os vizinhos precisam de uma
forma de saber qual roteador enviou uma determinada mensagem OSPF. Alm disso, o LSDB do OSPF lista um conjunto
de LSAs (Link State Advertisements, ou anncios link-state), alguns dos quais descrevem cada roteador da inter-rede;
portanto, o LSDB precisa de um identiflcador exclusivo para cada roteador. Com este propsito, o OSPF utiliza um
conceito chamado RID (ID do roteador) OSPF.
Os RIDs do OSPF so nmeros de 32 bits escritos na forma decimal, com pontos, de tal forma que utilizar o endereo IP
uma excelente maneira de encontrar o RID padro. Outra alternativa configurar o RID do OSPF diretamente,
conforme abordado em uma das prximas sees "Conflgurando o ID OSPF do roteador".
Intervalo
Helio
Intervalo
Helio
Os roteadores A e B enviam mensagens Hello para a LAN. E continuam a enviar Hello com base em suas deflnies do
Hello Timer. Logo em seguida, os dois roteadores podem comear a trocar informaes de topologia um com o outro.
Depois, executam o algoritmo Dijkstra para preencher a tabela de roteamento com as melhores rotas. As mensagens
Hello possuem os seguintes recursos:
- A mensagem Hello segue o cabealho do pacote IP, com o tipo 89 do protocolo do pacote IP.
- Os pacotes Hello so enviados ao endereo IP multicast 224.0.0.5, que um endereo IP multicast para todos os
roteadores que falam a lngua do OSPF.
- Os roteadores OSPF flcam escuta de pacotes enviados ao endereo IP multicast 224.0.0.5, em parte esperando
receber pacotes Hello e flcar sabendo sobre novos vizinhos.
Os roteadores aprendem vrias informaes importantes observando os pacotes Hello recebidos. A mensagem Hello
inclui o RID do roteador de envio, o ID da rea, o intervalo Hello, o intervalo morto (dead interval), a prioridade do
CCNA ICND2
253
roteador, o RID do roteador designado, o RID do roteador designado para backup e uma lista de vizinhos que o roteador
de envio j conhece na sub-rede. (Mais adiante sero vistos mais detalhes sobre esses itens.)
A lista de vizinhos tem especial importncia no processo de Helio. Quando o Roteador A, por exemplo, recebe uma Helio
do Roteador B, o Roteador A precisa de alguma forma dizer ao Roteador B que o Roteador A recebeu o Helio. Para isso,
o Roteador A acrescenta o RID do Roteador B lista de vizinhos OSPF dentro da prxima (e futura) Helio que o
Roteador A transmite em multicast rede. Da mesma forma, quando o Roteador B recebe o Helio do Roteador A, as
prximas (e contnuas) HelIos do Roteador B incluem o RID do Roteador A na lista de vizinhos.
Assim que o roteador v seu prprio RID em um Hello recebido, ele acredita que uma comunicao two-way (nos
dois sentidos) foi estabelecida com aquele vizinho. O estado two-way importante para um vizinho, porque neste
ponto, informaes mais detalhadas, tais como LSAs, podem ser trocadas. Alm disso, em alguns casos em LANs, os
vizinhos podem atingir o estado two-way e parar por a. Este assunto voltar a ser explorado na seo "Escolhendo um
roteador designado".
Observao A flag da stub area est relacionada a conceitos fora do escopo dos exames
CCNA, mas apresentada aqui como requisito para que dois roteadores se tornem vizinhos
para que a lista fique completa.
Alguns itens da lista precisam de maiores explicaes. Primeiro, um possvel vizinho confirma que est na mesma subrede comparando o endereo IP do roteador vizinho e a mscara de sub-rede, conforme apresentada na mensagem
Hello, com o seu prprio endereo e mscara. Se estiverem exatamente na mesma sub-rede, com o mesmo intervalo de
endereos, essa verificao aprovada.
Em seguida, duas definies de timers, o Intervalo Hello e o Intervalo Morto, devem combinar. Os roteadores OSPF
enviam mensagens de Hello a cada Intervalo Hello. Quando o roteador j no escuta uma Hello vinda de um vizinho
durante o tempo definido pelo Intervalo Morto (dead interval), ele acredita que o vizinho no seja mais alcanvel, e
reage e reconverge rede. Em interfaces Ethemet, por exemplo, os roteadores Cisco utilizam automaticamente um
intervalo Hello de 10 segundos e o intervalo morto de 4 vezes o intervalo Hello, ou seja, 40 segundos. Se um roteador
no escuta nenhuma mensagem de Hello vinda daquele vizinho durante 40 segundos, ele marca o atual roteador
silencioso como "down" em sua tabela de vizinhos. Neste ponto, os roteadores podem reagir e convergir para utilizar
as atuais melhores rotas.
o OSPF defme um grande conjunto de possveis aes que dois vizinhos utilizam para se comunicar um com o outro.
Para manter o controle do processo, os roteadores OSPF colocam cada vizinho em um de vrios estados OSPF entre
vizinhos. O estado OSPF entre vizinhos a percepo que o roteador tem de quanto trabalho foi concludo nos processos
normais executados por dois roteadores vizinhos. Se, por exemplo, os Roteadores RI e R2 se conectam a uma mesma
LAN e se tomam vizinhos, RI lista o estado entre vizinhos relativo a R2, que a percepo que RI tem do que aconteceu
entre os dois roteadores at ento. Da mesma forma, R2 apresenta um estado entre vizinhos relativo a RI, representando
a viso que R2 tem do que aconteceu entre R2 de RI at ento. (O comando mais comum para apresentar os vizinhos e
os estados show ip ospf neighbor.)
Como os estados entre vizinhos refletem vrios pontos dos processos OSPF normais utilizados entre dois roteadores, vale
a pena discutir esses estados junto com esses processos e as mensagens OSPF. Alm disso, ao entender os estados
OSPF entre vizinhos e seus significados, o engenheiro pode determinar mais facilmente se um vizinho OSPF est funcionando
normalmente ou se existe um problema.
A Figura 9-2 mostra vrios estados de vizinhos utilizados no incio do estabelecimento de uma relao entre vizinhos. A
figura mostra as mensagens de Helio e os estados de vizinhos resultantes.
Oown
Oown
/~~~;~o
;. Ch.".
....
Init
Init
RIO 2.2.2.2
2-way
2-way
Os dois primeiros estados, o estado Down e o estado lnit, so relativamente simples. Em casos em que o roteador j sabia
sobre um vizinho, mas a interface falhou, o vizinho listado como em estado Down. Assim que a interface fica ativa, os
dois roteadores podem enviar Hellos, passando aquele vizinho para o estado Init. Init significa que a relao entre
vizinhos est sendo inicializada.
Um roteador passa do estado Init para o estado two-way quando dois importantes fatos so verdadeiros: quando uma
Hello recebida apresenta o RID do roteador como tendo sido visto e quando aquele roteador verificou todos os parmetros
relativos ao vizinho e eles aparentemente no apresentam problema. Esses dois fatos significam que o roteador est
querendo comunicar com esse vizinho. Para que o processo funcione, quando cada roteador recebe um Helio de um novo
vizinho, o roteador verifica os detalhes de configurao do vizinho, conforme descrito anteriormente. Se aparentemente
tudo estiver certo, o prximo Helio do vizinho apresenta o RID do vizinho na lista de roteadores "vistos". Depois que
ambos os roteadores tiverem verificado os parmetros e enviado um Hello apresentando o RID do outro roteador como
"visto", ambos os roteadores devero ter atingido o estado two-way.
Na Figura 9-2, por exemplo, R2 recebe o primeiro Hello, listando "Seen [nuli]" ("Visto [nulo]"). Essa notao significa
que RI ainda no viu nenhum possvel vizinho aprovado. Quando R2 envia seu Helio, ele lista o RID de RI, indicando que
R2 viu o Helio de RI e verificou que todos os parmetros esto aparentemente corretos. RI retoma um terceiro Helio,
enviando um intervalo de Helio maior do que o primeiro intervalo enviado.
Quando j estiverem em estado two-way, os dois roteadores esto prontos para trocar informaes de topologia, conforme
CCNA ICND2
255
interessante observar que, depois que dois roteadores OSPF se tornam vizinhos e atingem o estado two-way, o prximo
passo pode no ser a troca de informaes de topologia. Primeiro, com base em vrios fatores, os roteadores tm de
decidir se devem trocar informaes de topologia diretamente, ou se os dois vizinhos devem aprender as informaes da
topologia um do outro, na forma de LSAs, indiretamente. Assim que um par de vizinhos OSPF sabe que deve compartilhar
informaes de topologia diretamente, comea a troca de dados de topologia (LSAs). Quando estiver concludo, o
processo passa para um estado de manuteno relativamente silencioso no qual os roteadores ocasionalmente redistribuem
as LSAs e ficam atentos a alteraes feitas na rede.
O processo geral funciona da seguinte forma, com a explicao de cada passo nas pginas a seguir:
~t~~o Passo 1 Com base no tipo de interface OSPF, os roteadores podem ou no eleger em conjunto um DR (Designated
.
Router, ou Roteador Designado) e um BDR (Backup Designated Router, ou Roteador Designado para Backup).
Passo 2 Para cada par de roteadores que precise se tornar completamente adjacente, troque o contedo de seus
respectivos LSDBs mutuamente.
Passo 3 Quando concludo, os vizinhos monitoram as alteraes e periodicamente redistribuem LSAs enquanto estiverem
no estado Full (completamente adjacente) entre vizinhos.
O OSPF diz se uma sub-rede deve ou no utilizar um roteador designado (DR) ou um roteador designado para backup
(BDR) com base no tipo de interface OSPF (s vezes tambm chamada de tipo de rede OSPF). Existem vrios tipos de
interface OSPF, mas para os exames CCNA voc deve conhecer dois tipos principais: ponto-a-ponto e broadcast. (Esses
tipos podem ser configurados com o comando ip ospf network type .) Esses tipos de interface OSPF fazem uma
referncia geral ao tipo de protocolo de link de dados utilizado. Como os prprios nomes devem sugerir, o tipo ponto-aponto tem o objetivo de ser utilizado em links ponto-a-ponto, e o tipo broadcast voltado para uso em links de dados que
aceitam frames broadcast, tais como LANs.
A Figura 9-3 mostra um exemplo clssico de dois conjuntos de vizinhos - um utilizando o tipo de interface OSPF padro
ponto-a-ponto em um link serial e o outro utilizando o tipo de interface OSPF padro broadcast em uma LAN. O
resultado final da eleio do DR que as informaes de topologia so trocadas apenas entre vizinhos mostrados pelas
retas com setas na figura. Concentre-se na parte inferior direita da figura.
Figura 9-3 Nenhum DR no link ponto-a-ponto, com um DR na IAN
Nenhum roteador designado necessrio
Pacotes de descrio do
banco de dados, com LSAs
Aps a escolha, os pacotes de descrio do banco
de dados vo para o DR e, em seguida,
o DR encaminha para os outros roteadores
DR
~~
Quando no necessrio um DR, os roteadores vizinhos podem seguir em frente e comear o processo de troca de
topologia, conforme mostrado no lado esquerdo da figura. Na terminologia do OSPF, os dois roteadores da esquerda
devem continuar trabalhando para trocar informaes de topologia e se tornar completamente adjacentes. No lado direito
da figura, a parte superior mostra uma topologia de LAN onde foi feita a eleio de um DR, onde o Roteador A ganhou
a eleio. Com um DR, o processo de troca de topologias acontece entre o DR e cada roteador alternado, mas no entre
todos os pares de roteadores. Em conseqncia disso, todas as atualizaes de roteamento vo e voltam do Roteador A,
com o Roteador A distribuindo essencialmente as informaes de topologia aos outros roteadores. Todos os roteadores
aprendem todas as informaes de topologia vindas de todos os outros roteadores, mas o processo s causa uma troca
direta de informaes de roteamento entre o DR e cada um dos roteadores no-DR.
O conceito de DR impede a sobrecarga de uma sub-rede que tenha muito trfego OSPF quando muitos roteadores esto em
uma sub-rede. Obviamente, muitos roteadores podem estar anexados a uma LAN, o que explica a necessidade de um DR
para roteadores neste caso. Se dez roteadores, por exemplo, estivessem anexados mesma sub-rede, e tivessem permisso
de encaminhar as atualizaes OSPF a cada um dos outros nove roteadores, as atualizaes de topologia fluiriam entre 45
pares diferentes de vizinhos - onde quase todas as informaes seriam redundantes. Com o conceito de DR, conforme
mostrado no lado direito da Figura 9-3, aquela mesma LAN s precisaria de atualizaes de roteamento entre o DR e os
outros nove roteadores, reduzindo significativamente a distribuio de informaes do OSPF por toda a LAN.
Como o DR to importante para a troca de informaes de roteamento, a perda do DR eleito poderia causar retardos
na convergncia. O OSPF inclui o conceito de BDR (DR para Baclcup) em cada sub-rede para que, quando um DR
falhar ou perder a conectividade com a sub-rede, o BDR possa assumir o controle como DR. (Todos os roteadores,
exceto o DR e o BDR, so normalmente chamados "DROther" no resultado do comando show lOS .)
\~h.ve
_Se dois ou mais roteadores empatam com relao definio de prioridade mais alta, o roteador que envia o Hello
com o RlD mais alto ganha.
- Nem sempre o caso, mas normalmente o roteador que possui a segunda prioridade mais alta se torna o BDR.
- Uma definio de prioridade em O significa que o roteador no participa da eleio e nunca pode se tomar o DR ou
o BDR.
- O intervalo de valores da prioridade que permitem que um roteador seja candidato vai de 1 a 255.
- Se um novo e melhor candidato surgir depois que o DR ou o BDR tiverem sido eleitos, o novo candidato no substitui
o DR ou o BDR existente.
CCNA ICND2
257
disso, se ocorrer qualquer alterao na topologia, os vizinhos enviam novas cpias dos LSAs alterados a cada vizinho de
forma que o vizinho possa alterar seus LSDBs. Se uma sub-rede falha, por exemplo, o roteador atualiza o LSA referente
quela sub-rede refletindo seu estado Down. Esse roteador, ento, envia o LSA a seus vizinhos, e eles, por sua vez, o
enviam a seus vizinhos, at que todos os roteadores tenham novamente uma cpia idntica do LSDB. Cada roteador
pode tambm utilizar o SPF para recalcular qualquer rota afetada pela sub-rede que falhou.
O roteador que cria cada LSA tambm tem a responsabilidade de redistribuir o LSA a cada 30 minutos (padro), mesmo
que no ocorra nenhuma alterao. Esse processo bastante diferente do conceito de vetor distncia de atualizaes
peridicas. Os protocolos vetor distncia enviam atualizaes completas em um intervalo de tempo curto, apresentando
todas as rotas (exceto aquelas omitidas devido a ferramentas para evitar loops tais como o split horizon). O OSPF no
envia todas as rotas a cada 30 minutos. Pelo contrrio, cada LSA possui um timer separado, com base em quando o LSA
foi criado. Portanto, em momento algum o OSPF envia vrias mensagens para redistribuir todos os LSAs. Em vez disso,
cada LSA redistribudo pelo roteador que criou o LSA, a cada 30 minutos.
Como lembrete, alguns roteadores no tentam se tomar completamente adjacentes. De modo especial, em interfaces em
que um DR seja eleito, os roteadores que no so nem DR nem BDR se tomam vizinhos, mas no se tornam completamente
adjacentes. Esses roteadores que no so completamente adjacentes no trocam LSAs diretamente. Alm disso, o
comando show ip ospf neighbor nesses roteadores apresenta esses vizinhos em estado two-way como sendo o estado
estvel normal entre vizinhos, e em estado Full como sendo o estado estvel normal para o DR e o BDR.
Para facilitar a referncia e o estudo, a Tabela 9-2 apresenta e descreve sucintamente os estados entre vizinhos mencionados
neste captulo.
Significado
Down
Init
____________________________________te_n_d_o_s_id_o__
vl_s_to__________________________________________
Two-way
---------------------------------------------------------------
Full
/;~~;~o
'. Chave
....
Os roteadores OSPF enviam mensagens para aprender sobre vizinhos, apresentando esses vizinhos na tabela de vizinhos
OSPF. Os roteadores OSPF enviam mensagens para trocar dados sobre a topologia com esses mesmos vizinhos,
armazenando as informaes na tabela de topologia OSPF, mais comumente chamada de banco de dados LSDB ou
OSPF. Para preencher a terceira tabela utilizada pelo OSPF, a tabela de roteamento IP, o OSPF no envia nenhuma
mensagem. Cada roteador executa o algoritmo Dijkstra SPF com relao ao banco de dados da topologia OSPF, escolhendo
as melhores rotas com base neste processo.
O banco de dados da topologia OSPF consiste em listas de nmeros de sub-rede (chamados de links, da o nome banco
de dados link-state). Ele contm tambm listas de roteadores, junto com os links (sub-redes) aos quais cada roteador
est conectado. Munido do conhecimento de links e roteadores, o roteador pode executar o algoritmo SPF para computar
as melhores rotas at todas as sub-redes. O conceito bastante semelhante a juntar as peas de um quebra-cabeas. A
cor e o formato de cada pea o ajudam a identificar quais peas se encaixam uma ao lado da outra. Analogamente, as
informaes detalhadas em cada LSA - tais como o LSA de um link apresentando os roteadores anexados sub-rede
e o LSA de um roteador apresentando seus endereos IP e suas mscaras - d ao algoritmo SPF informaes suficientes
para saber quais roteadores se conectam a cada sub-rede e criar o equivalente matemtico de um diagrama de rede.
Cada roteador independentemente utiliza o algoritmo Dijkstra SPF, conforme aplicado ao LSDB do OSPF, para encontrar
a melhor rota que vai daquele roteador a cada sub-rede. No LSDB, o algoritmo encontra o menor trajeto que vai daquele
roteador a cada sub-rede. Em seguida, o roteador coloca a melhor rota at cada sub-rede na tabela de roteamento IP.
Parece simples e realmente quando se tem um desenho de uma inter-rede que apresente todas as informaes .
Felizmente, embora a matemtica por trs do algoritmo SPF possa ser um pouco assustadora, no necessrio saber a
matemtica do SPF para os exames ou para servios reais de comunicao em rede. Entretanto, necessrio saber
como prever as rotas que o OSPF vai escolher utilizando diagramas de rede e as documentaes.
O OSPF escolhe a rota de menor custo entre o roteador e uma sub-rede somando os custos OSPF das interfaces de
sada. Cada interface tem um custo OSPF associado a ela. O roteador olha cada possvel rota, soma os custos das
interfaces das quais os pacotes sairiam e seriam encaminhados naquela rota e, em seguida, escolhe a rota de menor
custo. A Figura 9-4, por exemplo, mostra uma inter-rede simples com os valores de custo OSPF ao lado de cada interface.
Nessa figura, o roteador R4 possui dois trajetos possveis com os quais alcanar a sub-rede 10.1.5.0/24. As duas rotas
so as seguintes, apresentando cada roteador e sua interface de sada:
10.1.1.0/24
FaOto
Cl
C 1 FaO/O
Se voc somar o custo associado a cada interface, a primeira das duas rotas totaliza um custo igual a 111, e a segunda .
totaliza 75. Portanto, R4 acrescenta a rota que passa por RI como sendo a melhor rota e apresenta o endereo IP de RI
como o endereo IP do prximo salto (next hop).
Agora que voc j viu como os roteadores OSPF executam as funes mais fundamentais do OSPF, a seo a seguir
examina o OSPF mais de perto, principalmente alguns pontos importantes relativos ao projeto.
10.1 .6.0
10.1.7.0
10.1.8.0
-.
10.1.9.0
CCNA ICND2
259
Na rede mostrada na Figura 9-5, o banco de dados da topologia em todos os nove roteadores a mesma topologia
completa que combina com a figura. Com uma rede deste tamanho, basta ativar o OSPF e ele funciona perfeitamente.
Mas imagine uma rede com 900 roteadores em lugar de apenas nove, e vrios milhares de sub-redes. Em uma rede deste
tamanho, a mera quantidade de processamento necessrio para executar o complexo algoritmo do SPF poderia fazer
com que o tempo de convergncia ficasse lento e que os roteadores ficassem com falta de memria. Os problemas
podem ser resumidos da seguinte forma:
~;~o
T/ulve - O processamento do banco de dados de topologia maior com o algoritmo SPF requer que o poder de processamento
Embora no haja uma definio exata do que considerado "grande" neste contexto, em redes com pelo menos 50
roteadores e pelo menos algumas centenas de sub-redes, os engenheiros devem utilizar os recursos de escalabilidade do
OSPF para reduzir os problemas que acabamos de descrever. Esses nmeros so generalizaes grosseiras. Eles dependem
em grande parte do projeto da rede, da potncia da CPU do roteador, da quantidade de RAM, etc .
,
Areas OSPF
Utilizar as reas OSPF resolvem muitos, mas no todos, dos problemas mais comuns encontrados ao executar o OSPF
em rede maiores. As reas OSPF dividem a rede de forma que os roteadores de uma rea saibam menos informaes
sobre a topologia das sub-redes da outra rea, e que eles no saibam sobre os roteadores da outra rea. Com bancos de
dados de topologia menores, os roteadores consomem menos memria e levam menos tempo de processamento para
executar o SPF. A Figura 9-6 mostra a mesma rede da Figura 9-5, mas com duas reas OSPF, chamadas de rea 1 e
rea O.
A mesma topologia mostrada na parte superior da figura, mas a parte inferior da figura mostra o banco de dados da
topologia nos Roteadores 1, 2 e 4. Ao colocar parte da rede em outra rea, os roteadores dentro da rea 1 ficam
desprovidos de alguns detalhes. O Roteador 3 conhecido como ABR (Area Border Router, ou Roteador de Limite de
rea) do OSPF, por estar no limite entre duas reas diferentes. O Roteador 3 no anuncia para os Roteadores 1,2 e 4 as
informaes de topologia completas sobre a ~arte da rede que est na rea O. Pelo contrrio, o Roteador 3 anuncia
informaes resumidas sobre as sub-redes da Area O, efetivamente fazendo com que os Roteadores 1,2 e 4 pensem que
a topologia se parece com a parte inferior da Figura 9-6. Por isso, os Roteadores 1, 2 e 4 vem o mundo como se ele
tivesse menos roteadores. Em conseqncia disso, o algoritmo SPF leva menos tempo e o banco de dados da topologia
usa menos memria.
rea O
rea 1
10.1.6.0
10.1.7.0
10.1.8.0
10.1.9.0
10.1.6.0
~~y 10.1.7.0
10.1.8.0
10.1.9.0
o projeto do OSPF introduz alguns termos importantes que devem ser conhecidos para os exames. Esses termos so
definidos na Tabela 9-3.
Descrio
Roteador "backbone"
Roteador interno
rea
rea "backbone"
Rota externa
para dentro do domnio OSPF
Rota intra-reas
Rota inter-reas
Sistema autnomo
muito importante observar a diferena entre as informaes resumidas (ou sumarizadas) mostradas na Figura 9-6 em
comparao com as rotas sumarizadas abordadas no Captulo 5, "VLSM e Sumarizao de rotas". Neste caso, o termo
"resumido" (ou "sumarizado") significa apenas que um roteador dentro de uma rea recebe informaes mais sucintas
no LSA de uma sub-rede, diminuindo portanto a quantidade de memria necessria para armazenar as informaes. Na
Figura 9-6, por exemplo, o roteador RI (na rea 1) aprende somente um LSA bem sucinto sobre as sub-redes da rea
O. Este processo reduz o tamanho e a complexidade do algoritmo SPF. Alm disso, o termo "resumo" (ou "sumrio")
pode se referir a uma rota sumarizada configurada no OSPF, com os conceitos gerais abordados no Captulo 5. A
sumarizao manual de rotas no OSPF reduz o nmero de sub-redes, que, por sua vez, tambm reduzem o tamanho e o
esforo de clculo do SPF.
CCNA ICND2
261
Utilizar reas melhora as operaes do OSPF de vrias maneiras, principalmente em inter-redes maiores:
- Um menor LSDB por rea requer menos memria.
- O roteador requer menos ciclos de CPU para processar o menor LSDB por rea com o algoritmo SPF, reduzindo a
sobrecarga da CPU e melhorando o tempo de convergncia.
- O algoritmo SPF tem de ser executado em roteadores internos somente quando um LSA dentro da rea sofre
mudana, e, portanto, os roteadores tm de executar o SPF com menos frequncia.
- Menos informaes devem ser anunciadas entre reas, reduzindo a largura de banda necessria para enviar LSAs.
- A sumarizao manual s pode ser configurada em ABRs e ASBRs, e, portanto, as reas permitem tabelas de
roteamento IP menores permitindo a configurao da sumarizao manual de rotas.
: Configurao do OSPF
A configurao do OSPF inclui apenas alguns poucos passos obrigatrios, mas possui vrios passos opcionais. Tendo sido
escolhido o projeto do OSPF - tarefa que pode ser complexa em inter-redes IP maiores - a configurao pode ser to
simples quanto ativar o OSPF em cada interface do roteador e colocar aquela interface na rea OSPF correta.
Esta seo mostra vrios exemplos de configurao, comeando com uma inter-rede composta por um OSPF de uma
nica rea e, em seguida, uma inter-rede OSPF de vrias reas. Seguindo esses exemplos, o texto passa a abordar vrias
definies adicionais de configuraes opcionais. Para referncia, a lista a seguir mostra os passos de configurao
abordados neste captulo bem como uma breve referncia aos comandos necessrios:
Passo 1 Entre no modo de configurao OSPF para um processo OSPF especfico utilizando o comando global
router ospf process-id.
..........
Passo 2 (Opcional) Configure o ID OSPF do roteador da seguinte forma:
( TpIco
:. Chave
....
Passo 3 Configure um ou mais subcomandos de roteador network ip-address wildcard-mask area area-id,
acrescentando qualquer interface combinada rea listada.
Passo 4 (Opcional) Altere os intervalos Helio e Morto (dead) da interface utilizando os subcomandos de interface ip
ospf heUo-interval time e ip ospf dead-interval time
Passo 5 (Opcional) Faa as escolhas de roteamento ajustando os custos de interface da seguinte forma:
a. Configure os custos diretamente utilizando o subcomando de interface ip ospf cost value.
b. Altere as larguras de banda das interfaces utilizando o sub comando de interface bandwidth value .
c. Altere o numerador da frmula para calcular o custo baseado na largura de banda da interface, utilizando o
subcomando de roteador auto-cost reference-bandwidth value.
Sub-rede 10.1.5.0
Yosemite
'e;;r.:::....;..-----z.-----..Q!:1f~~~seville
router ospf 1
network 10.0.0.0 0.255.255.255 area O
A configurao ativa o OSPF corretamente em todas as trs interfaces de Albuquerque. Primeiro, o comando global
router ospf 1 coloca o usurio no modo de configurao OSPF. O comando router ospf possui um parmetro chamado
process-id OSPF. Em alguns casos, possvel que voc queira executar vrios processos OSPF em um nico roteador
e, portanto, o comando router utiliza o process-id para distinguir um processo do outro. O process-id no tem de
combinar com cada roteador e pode ser qualquer nmero inteiro entre 1 e 65.535.
O comando network diz ao roteador para ativar o OSPF em cada interface combinada, descobrir vizinhos naquela
interface, designar a interface quela rea e anunciar a sub-rede conectada a cada interface. Neste caso, o comando
network 10.0.0.0 0.255.255.255 area O combina com todas as trs interfaces de Albuquerque porque o comando
OSPF network combina com as interfaces utilizando um endereo e uma mscara do tipo curinga como aquelas utilizadas
nas ACLs IP. A mscara curinga mostrada no Exemplo 9-1 0.255.255.255, com o endereo 10.0.0.0. Com base nos
detalhes includos no Captulo 6, "Listas de controle de acesso IP", essa combinao feita com todas as trs interfaces
de Albuquerque, colocando-as na rea O, e faz com que Albuquerque tente descobrir vizinhos nessas interfaces. Alm
disso, faz tambm com que Albuquerque anuncie as trs sub-redes conectadas.
A mscara curinga no comando OSPF network funciona como a mscara curinga de uma ACL, mas existe uma
restrio com relao aos valores usados. A mscara curinga OSPF deve ter somente uma string de nmeros 1 binrios
consecutivos e uma string de zeros binrios consecutivos. Uma mscara 0.0.255.255, por exemplo, representa 16 zeros
binrios e 16 nmeros 1 binrios e seria permitida. Da mesma forma, uma mscara 255.255.255.0 seria permitida, pois
ela tem uma string de 24 nmeros 1 binrios seguida de oito zeros binrios. No entanto, um valor de 0.255.255.0 no seria
permitido, pois ele tem dois conjuntos de oito zeros binrios, separados por uma string de 16 nmeros 1 binrios.
O Exemplo 9-2 mostra uma configurao alternativa para Albuquerque que tambm ativa o OSPF em cada interface.
Neste caso, o endereo IP para cada interface combinado com um comando network diferente. A mscara curinga
0.0.0.0 significa que todos os 32 bits devem ser comparados e devem combinar; por isso, os comandos network
incluem o endereo IP especfico de cada interface, respectivamente. Muitas pessoas preferem esse estilo de
configurao em redes de produo, pois ele elimina qualquer ambigidade sobre as interfaces nas quais o OSPF est
sendo executado.
CCNA ICND2
263
Exemplo 9-2 Configurao do OSP F de nica rea em Albuquerque utilizando trs comandos network
~----------------------------------------------------------.
interface ethernet O/ O
router ospf 1
network 10.1.1.1 0.0.0.0 area O
network 10.1.4.1 0.0.0.0 area O
network 10.1.6.1 0.0.0.0 area O
A configurao do OSPF com vrias reas simples quando se entende a configurao do OSPF de uma nica rea. A
parte difcil projetar a rede OSPF fazendo boas escolhas sobre quais sub-redes devem ser colocadas em quais reas!
Aps concludo o projeto das reas, a configurao fcil. Considere a Figura 9-8, por exemplo, que mostra algumas subredes da rea O e algumas da rea 1.
rea O
..
""',~,Ub.rede 10.1.1.0
rea 1....... " '..-.--..
o"
.'
. .
~ ,
--
o
o
o
o
o
o
o
o
o
o
o
o
o
~~~~~______~S~Ub~.r~ed~e~10~.~1.:5.:0____-1~
Yosemite': o
o
~.rede 10.1.2.0
.. '
----- ............... __ ...... - ..
:/
o
o
'
Em uma rede pequena, no h necessidade de vrias reas, mas, neste exemplo, so utilizadas duas reas para mostrar
a configurao. Observe que Albuquerque e Seville so ABRs, mas Yosemite est totalmente dentro da rea 1, e, por
isso, no um ABR. Os Exemplos 9-3 e 9-4 mostram a configurao em Albuquerque e Yosemite, junto com vrios
comandos show.
Exemplo 9-3 Configurao do OSPF com vrias reas e comandos show em Albuquerque
! On1y the OSPF configuration is shown to conserve space
router oapf 1
network 10.1.1.1 0.0.0.0 area O
network 10.1.'.1 0.0.0.0 area 1
network 10.1.6.1 0.0.0.0 are a O
A1buquerque# ahow ip route
Codes:C - connected, S - static , I - IGRP, R - RIP , M - mobile , B - BGP
264
Captulo 9: OSPF
D - EIGRP, EX - EIGRP external,
6 subnets
SerialO /O
Exemplo 9-4 Configurao do OSPF com vrias reas e comandos show em Yosemite
! Only the OSPF configuration is shown to conserve space
router ospf 1
network 10.0.0.0 0.255.255.255 area 1
Yosemite# show ip route
Codes:C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
6 subnets
IA
IA
IA
A configurao precisa definir o nmero de rea correto nas interfaces adequadas. O comando network 10.1.4.1
0.0.0.0 area 1, por exemplo, no incio do Exemplo 9-3, combina com o endereo IP da interface Serial O/O de Albuquerque,
colocando essa interface na rea 1. Os comandos network 10.1.6.1 0.0.0.0 area O e network 10.1.1.1 0.0.0.0 area
Ocolocam a Serial 0/1 e a Ethemet O/O, respectivamente, na rea O. Ao contrrio do Exemplo 9-1, Albuquerque no pode
ser configurada para combinar com todas as trs interfaces com um nico comando network, pois uma interface (Serial
O/O) est em uma rea diferente das outras duas interfaces.
Continuando com o Exemplo 9-3, o comando show ip route ospf apresenta apenas rotas aprendidas atravs do OSPF, ao
contrrio da tabela de roteamento IP inteira. O comando show ip route apresenta todas as trs rotas conectadas, bem
CCNA ICND2
265
como as trs rotas aprendidas atravs do OSPE Observe que a rota de Albuquerque at 10.1.2.0 tem a designao O ao seu
lado, significando intra-rea, pois aquela sub-rede reside na rea 1 e Albuquerque faz parte da rea 1 e da rea O.
No Exemplo 9-4, observe que a configurao do OSPF em Yosemite requer apenas um nico comando network porque
todas as interfaces de Yosemite esto na rea 1. Observe tambm que as rotas aprendidas por Yosemite a partir dos outros
dois roteadores aparecem como rotas inter-reas (IA) , pois essas sub-redes esto na rea O e Yosemite est na rea 1.
Roteadores que falam a lngua do OSPF devem possuir um RID para o funcionamento correto. Para encontrar seu RID,
um roteador Cisco utiliza o seguinte processo quando ele recarrega e comea o processo OSPE Observe que, quando
um desses passos identifica o RID, o processo pra .
.........
pico 1. Se o subcomando OSPF router-id rid estiver configurado, esse valor utilizado como RID.
ve
2. Se qualquer interface loopback tiver um endereo IP configurado e tiver uma linha e um status de protocolo up/up
(ativo/ativo), o roteador escolhe o endereo IP mais alto entre as interfaces loopback em up/up.
3. O roteador escolhe o endereo IP mais alto a partir de todas as interfaces operantes (up/up).
O primeiro e o terceiro critrios devem fazer algum sentido imediatamente: o RID est configurado ou retirado do endereo
IP de uma interface operante. Entretanto, este li vro ainda no explicou o conceito de interface loopback, conforme mencionado
no Passo 2. Interface loopback uma interface virtual que pode ser configurada com o comando interface loopback interfacenumber, onde interface-number um nmero inteiro. Interfaces loopback esto sempre em estado "ativo e em perfeito
funcionamento" a no ser que administrativamente colocadas em estado shutdown. Uma simples configurao do comando
interface loopback O, por exemplo, seguida de ip address 192.168.200.1 255.255.255.0, criaria uma interface e lhe
designaria um endereo IP. Como as interfaces loopback no dependem de nenhum hardware, essas interfaces podem estar
em up/up sempre que o lOS estiver rodando, fazendo delas boas interfaces para se basear um RID do OSPE
Cada roteador escolhe seu RID OSPF quando o OSPF inicializado. A inicializao acontece durante a carga inicial do
lOS. Portanto, se o OSPF ficar ativo, e mais tarde outras interfaces ficarem ativas e tiverem endereos IP mais altos, o
RID OSPF no mudar at que o processo OSPF seja reiniciado. O OSPF pode tambm ser reiniciado com o comando
c1ear ip ospf process, mas dependendo das circunstncias, o lOS pode ainda assim no alterar seu RID OSPF at a
prxima recarga do lOS.
Muitos comandos apresentam o RID OSPF de vrios roteadores. No Exemplo 9-5, o primeiro vizinho no resultado do
comando show ip ospf neighbor lista o RID 10.1.5.2, que o RID de Yosemite. Em seguida, show ip ospf lista o
prprio RID de Albuquerque.
Exemplo 9-5 Ex ibindo informaes relativas ao OSPF em Albuquerque
Albuquerque# show ip ospf neighbor
Neighbor ID
Pri
State
10.1.6.3
FULL /
1 0 . 1.5. 2
FULL / -
Dead Time
Address
Interface
00:00:35
10.1.6.3
SerialO / 1
00:00:37
10.1.4.2
SerialO / O
As definies padro dos timers Hello e Morto do OSPF normalmente funcionam sem nenhum problema. Entretanto,
importante observar que um erro de combinao na definio faz com que dois possveis vizinhos nunca se tomem
vizinhos, no alcanando o estado two-way. O Exemplo 9-6 apresenta a forma mais comum de ver as definies atuais
utilizando o comando show ip ospf interface, com base em Albuquerque, quando configurado conforme mostrado no
exemplo de OSPF com vrias reas (Exemplos 9-3 e 9-4).
Exemplo 9-6 Exibindo os timers Hello e Morto em Albuquerque
Albuquerque# show ip ospf interface
SerialO / 1 is up,
line pro t o c o l
is up
266
Captulo 9: OSPF
Internet Address 10.1.6.1/24, Area O
Process ID 1, Router ID 10.1.6.1, Network Type POINT_TO_POINT, Cost: 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:07
Index 2/3, flood queue length O
Next OxO(O)/OxO(O)
Last flood scan length is 2, maximum is 2
Last flood scan time is O msec, maximum is O msec
Neighbor Count is 1, Adjacent neighbor count is 1
line protocol is up
Observe tambm que o comando show ip ospf interface apresenta mais informaes detalhadas sobre a operao do
OSPF em cada interface. Este comando, por exemplo, apresenta o nmero da rea, o custo OSPF e qualquer vizinho
conhecido em cada interface. Os timers utilizados na interface, incluindo o timer Helio e Morto, tambm so apresentados.
Para configurar os intervalos Helio e Morto, voc pode usar os subcomandos de interface the ip ospf hello-interval
value e ip ospf dead-interval value. interessante notar que, se o intervalo Hello estiver configurado, o lOS
automaticamente reconfigure o intervalo morto da interface para que ele seja 4 vezes o intervalo Helio.
CCNA ICND2
267
Como lembrete, a definio da largura de banda de uma interface pode ser configurada utilizando o subcomando de
interface bandwidth. Esse comando define a percepo que o roteador tem da velocidade da interface, com uma
unidade de Kbps. Observe que a definio da largura de banda da interface no tem de combinar com a velocidade fsica
da interface, mas geralmente faz sentido definir a largura de banda para que ela combine com a velocidade fsica da
interface. Em interfaces Ethernet, a largura de banda reflete a atual velocidade negociada - 10.000 (significando 10.000
Kbps ou 10 Mbps) para uma Ethernet de 10 Mbps, e 100.000 (significando 100.000 Kbps ou 100 Mbps) para 100 Mbps.
Para interfaces seriais, a largura de banda utiliza automaticamente 1544 (significando 1544 Kbps ou velocidade TI), mas
o lOS no pode ajustar essa definio dinamicamente.
O lOS escolhe o custo de uma interface com base nas seguintes regras:
1. O custo pode ser explicitamente definido em um valor entre 1 e 65.535 (inclusive) utilizando o subcomando de
interface ip ospf cost x.
2. O lOS pode calcular o valor com base na forma genrica Ref-BW / Int-BW, onde Ref-BW uma largura de banda
de referncia que utiliza automaticamente 100 Mbps e Int-BW a definio da largura de banda da interface.
3. A largura de banda de referncia pode ser configurada a partir de sua definio padro de 100 (100 Mbps) utilizando
o subcomando de roteador OSPF auto-cost reference-bandwidth ref-bw, que, por sua vez, afeta o clculo do
custo padro da interface.
A frmula simples para calcular o custo OSPF padro apresenta uma parte que pode causar confuso. O clculo requer
que o numerador e o denominador utilizem as mesmas unidades, ao passo que os comandos bandwidth e auto-cost
reference-bandwidth utilizam unidades diferentes. O software Cisco lOS faz com que as interfaces Ethernet utilizem
automaticamente uma largura de banda 10.000, significando 10.000 Kbps ou 10 Mbps. A largura de banda de referncia
utiliza automaticamente o valor de 100, significando 100 Mbps. Portanto, o custo OSPF padro de uma interface Ethernet
seria 100 Mbps / 10 Mbps, depois de fazer com que os valores utilizem a unidade Mbps. Interfaces seriais de maior
velocidade utilizam automaticamente uma largura de banda de 1544, resultando em um custo padro de 108 bps / 1.544.000
bps, arredondado para baixo at o valor de 64, conforme mostrado na interface SO/l no Exemplo 9-6. Se a largura de
banda de referncia tivessem sido alterada para 1000, utilizando o sub comando de roteador OSPF auto-cost referencebandwidth 1000, a mtrica calculada seria 647.
A principal motivao para alterar a largura de banda de referncia para que os roteadores possam ter valores de custo
diferentes para interfaces funcionando a velocidades de 100 Mbps e mais altas. Com a definio padro, uma interface
que tenha uma definio de largura de banda de 100 Mbps (por exemplo, uma interface FE) e uma interface que tenha
uma largura de banda de 1000 Mbps (por exemplo, uma interface GE) teriam ambas um custo padro igual a 1. Ao alterar
a largura de banda de referncia para 1000, significando 1000 Mbps, o custo padro de uma interface que tem a largura
de banda igual a 100 Mbps seria 10, em comparao com o custo padro 1 de uma interface com largura de banda igual
a 1000 Mbps.
Observao A Cisco recomenda utilizar a mesma definio de largura de banda de referncia
OSPF em todos roteadores OSPF da rede.
Autenticao do OSPF
A autenticao possivelmente o mais importante dos recursos opcionais de configurao do OSPE A ausncia de
autenticao abre a rede para ataques em que um hacker conecta um roteador rede, onde os roteadores legtimos
acreditam nos dados OSPF do roteador intruso. Em conseqncia disso, o hacker pode facilmente provocar um ataque
de negao de servio (DoS) fazendo com que todos os roteadores removam as rotas legtimas at todas as sub-redes,
instalando rotas que encaminham pacotes para o roteador intruso. O hacker pode tambm executar um ataque de
reconhecimento, aprendendo informaes sobre a rede escutando e interpretando mensagens OSPE
O OSPF aceita trs tipos de autenticao: um chamado de autenticao nula (significando nenhuma autenticao), um
que utiliza uma senha simples de texto e que, portanto, fcil de desvendar, e um que utiliza MD5. Honestamente falando,
se tiver de configurar uma opo na vida real, a opo do MD5 a nica opo razovel. Assim que um roteador acaba
de configurar a autenticao OSPF em uma interface, ele deve ser aprovado no processo de autenticao para todas as
268
Captulo 9: OSPF
mensagens OSPF, com todos os roteadores vizinhos naquela interface. Isso significa que cada roteador vizinho quela
interface deve tambm ter o mesmo tipo de autenticao e a mesma senha de autenticao configurada.
A configurao pode utilizar dois subcomandos de interface em cada interface - um para ativar o tipo especfico de autenticao
e outro para definir a senha utilizada para a autenticao. O Exemplo 9-7 mostra um modelo de configurao em que autenticao
simples de uma senha configurada na interface FaO/O e a autenticao MD5 configurada em FaO/l.
interface FastEthernetO/O
i p o spf auth enticati on
ip o spf authentication-key key-t1
!
Below,
pri
State
Oead Time
Address
Interface
2.2.2.2
FULL/BOR
00:00 : 37
10.1.1.2
FastEthernetO/O
! Next,
each interface's OSPF authentication type can be seen in the last line
,,
! Below,
interface FastEthernetO/1
ip ospf authentication message-digest
,-
1-
! Below,
A parte mais complicada da configurao lembrar-se da sintaxe de comando utilizada em dois subcomandos de interface.
Observe os subcomandos de interface utilizados para configurar as chaves de autenticao, com a sintaxe diferindo com base no
tipo de autenticao. Para referncia, a Tabela 9-4 apresenta os trs tipos de autenticao OSPF e os comandos correspondentes.
(~:;;;~o
Significado
:. Chave
....
Nenhum
Texto puro
ip ospf authentication
ip ospf authentication-key
key-value
ip ospf authentication
messagedigest
MD5
.1
CCNA ICND2
Observe que as senhas, ou chaves de autenticao, so mantidas em texto puro na configurao, a no ser que voc
acrescente o comando global service password-encryption configurao. (Se tiver uma cpia do CCENT/CCNA
ICNDJ Guia Oficial de Certificao do Exame, talvez valha a pena referir-se ao Captulo 9 daquele livro para obter
mais informaes sobre o comando service passwordencryption.)
A definio padro para utilizar a autenticao do tipo O - que realmente significa nenhuma autenticao - pode ser
sobrescrita de rea em rea utilizando o comando de roteador area authentication. O roteador RI no Exemplo 9-7, por
exemplo, poderia ser configurado com o subcomando de roteador area 1 authentication message-digest, que faz com
que aquele roteador utilize automaticamente a autenticao MD5 em todas as suas interfaces da rea 1. Analogamente,
o subcomando de roteador area 1 authentication ativa a autenticao simples de senhas para todas as interfaces da
rea 1, tomando o subcomando de interface ip ospf authentication desnecessrio. Observe que as chaves de autenticao
(senhas) devem continuar sendo configuradas com os subcomandos de interface apresentados na Tabela 9-4.
Elemento do tpico-chave
Descrio
Lista
253
254
255
255
269
Figura9-2
Lista
Figura 9-3
000
Nmero da pgina
270
Captulo 9: OSPF
Lista
256
Tabela 9-2
257
Lista
259
Tabela 9-3
260
Lista
261
Lista
265
268
Tabela 9-4
Definies de termos-chave
Defina os seguintes termos-chave encontrados neste captulo e verifique suas respostas no glossrio: anncios link-state,
atualizao link-state, ABR (Area Border Router, ou Roteador de Limite de rea), ASBR (Autonomous System Border
Router, ou Roteador de Limite de Sistema Autnomo), banco de dados da topologia, completamente adjacente, descrio
de banco de dados, estado Fuli, estado two-way, intervalo Helio, intervalo morto, RID (Router ID, ou ID do roteador),
roteador designado, Roteador Designado para Backup, solicitao link-state, tabela de vizinhos, vizinho.
Descrio
bandwidth bandwidth
interface (Kbps)
.'
CCNA ICND2
autocost reference-bandwidth number
Subcomando de roteador que diz ao OSPF o numerador da frmula RefBW/lnt-BW utilizada para calcular o custo OSPF com base na largura
de banda da interface
maximum-paths number-ofpaths
271
ip ospf message-digest-key
key-number md5 key -value
Descrio
show ip protocols
.
~
: EIGRP
CAPTULO
10
o EIGRP no se enquadra perfeitamente nas categorias gerais de protocolos de roteamento vetor distncia e link-state.
s vezes, a Cisco se refere ao EIGRP simplesmente como um protocolo vetor distncia avanado, mas em outras
ocasies, a Cisco se refere ao EIGRP como sendo um tipo novo: um protocolo de roteamento balanced hybrid. No
importa a categoria, os conceitos fundamentais e os processos usados pelo EIGRP podem ter algumas semelhanas com
outros protocolos de roteamento, mas o EIGRP possui muito mais diferenas, tomando-o um protocolo de roteamento
nico, por si mesmo.
Este captulo comea examinando alguns dos conceitos-chave a respeito de como o EIGRP funciona. A segunda metade
deste captulo d explicaes sobre configurao e verificao do EIGRP.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. Se voc errar no mais que uma
destas nove questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame". A Tabela 10-1 lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
material destas sees. Isto ajudar voc a avaliar seu conhecimento nestas reas especficas. As respostas ao questionrio
"Eu j conheo isto?" aparecem no Apndice A.
Tabela 10-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu j conheo isto ?"
Seo dos Tpicos Fundamentais
Perguntas
1-4
5-9
1. Qual(is) dos seguintes itens afeta(m) o clculo das mtricas do EIGRP quando todos os valores default possveis so
usados?
a . Largura de banda
b. Atraso
c . Carga
d. Confiabilidade
e. MTU
f . Nmero de Hops
2. Como o EIGRP percebe quando um roteador vizinho falha?
a. O vizinho que falhou manda uma mensagem antes da falha.
0.255.255.255
(2172416/28160),
via 10.1.4.2
(26844 1 6/2284156),
Seria lO/1
SerialO/O
Qual(is) dos seguintes endereos identifica(m) um endereo IP de um next-hop em uma rota para sucessor possvel?
a. 10.1.6.3
b. 10.1.4.2
c. 10.1.5.4
d. No pode ser determinado a partir da sada deste comando.
8. Qual(is) dos seguintes itens deve(m) ocorrer para se configurar a autenticao MD5 para o EIGRP?
a. Configurar a chave de autenticao MD5 atravs de algum subcomando de interface
b. Configurar pelo menos uma cadeia de chave
CCNA ICND2
275
9. No comando show ip route, qual designao de cdigo implica que uma rota foi aprendida com o EIGRP?
a. E
b. I
c. G
d. R
e. P
f. D
Tpicos fundamentais
Como no OSPF, o EIGRP segue trs passos gerais para poder adicionar rotas na tabela de roteamento IP:
1. Descoberta de vizinhos: Os roteadores EIGRP enviam mensagens Helio para descobrir roteadores EIGRP
vizinhos em potencial, e executam verificaes bsicas de parmetros para determinar quais roteadores devem se
tomar vizinhos.
2. Troca de topologia: Os vizinhos trocam atualizaes completas da topologia quando a relao de vizinhana
surgir, e depois somente atualizaes parciais quando necessrio, baseadas em mudanas na topologia da rede.
3. Escolha de rotas: Cada roteador analisa sua respectiva tabela de topologia do EIGRP, selecionando a rota com a
mtrica mais baixa para alcanar cada sub-rede.
Como resultado destes trs passos, o lOS mantm trs importantes tabelas do EIGRP. A tabela de vizinhos do EIGRP
lista os roteadores vizinhos, e consultada atravs do comando show ip eigrp neighbor. A tabela de topologia do
EIGRP guarda todas as informaes sobre topologia aprendida com os vizinhos EIGRP, e apresentada atravs do
comando show ip eigrp topology. Finalmente, a tabela de roteamento IP guarda todas as melhores rotas, e
apresentada atravs do comando show ip route.
As prximas sees descrevem alguns detalhes sobre como o EIGRP forma relaes de vizinhana, troca rotas e
adiciona entradas na tabela de roteamento IP. Alm destes trs passos, esta seo explica algumas lgicas particulares
que o EIGRP usa quando estiver convergindo e reagindo a mudanas em uma interconexo de rede -lgica que no
vista com outros tipos de protocolos de roteamento.
Vizinhos EIGRP
Um vizinho EIGRP outro roteador que fala EIGRP, e que est conectado a uma sub-rede em comum, e com o qual o
roteador deseja trocar informaes EIGRP sobre topologia. O EIGRP usa as mensagens Helio do EIGRP, enviadas ao
endereo IP multicast 224.0.0.10 para descobrir dinamicamente os vizinhos em potencial. Um roteador aprende sobre
vizinhos em potencial atravs do recebimento de um Helio.
Os roteadores executam algumas verificaes bsicas para cada vizinho em potencial antes que este roteador se tome
um vizinho EIGRP. Um vizinho em potencial um roteador a partir do qual uma mensagem Helio do EIGRP foi recebida.
Ento, o roteador verifica as seguintes configuraes para determinar se deve permitir que este roteador se tome um
vizinho:
/;~~;~o
\ Chave
....
Observao O acrnimo RTP tambm se refere a um diferente protocolo, o Real-time Transport Protocol (RTP), que usado para transmitir pacotes IP de voz e vdeo.
Vizinhos usam os dois tipos de atualizaes de roteamento, as completas e as parciais, como mostrado na Figura 10-1.
Uma atualizao completa significa que um roteador envia informaes sobre todas as rotas conhecidas, enquanto que
uma atualizao parcial inclui apenas as informaes a respeito de rotas recentemente alteradas. Atualizaes completas
ocorrem quando os vizinhos surgem pela primeira vez. Depois disso, os vizinhos enviam apenas atualizaes parciais em
resposta a alteraes em uma rota. De cima para baixo, a Figura 10-1 mostra a descoberta de vizinhos com Hellos, o
envio de atualizaes completas, a manuteno da relao de vizinhana com Hellos em andamento, e as atualizaes
parciais.
Figura 10-1 Atualizaes Completas e Parciais no EIGRP
/~~~;~o
\ Chave
000
-- I
-
'IA-t-ua-li-za--o-C-o-m-p-Ie-ta-de-R-o-te-a-m-e-n---'toI
o
.-------~
Hellos Contnuos
I-
,-----~
Hellos Contnuos
CCNA ICND2
277
Clculo de mtrica um dos recursos mais interessantes do EIGRP. O EIGRP usa uma mtrica composta, calculada
como uma funo da largura da banda e do atraso, por default. O clculo tambm pode incluir a carga e a confiabilidade
da interface, embora a Cisco recomende no usar nenhuma delas. O EIGRP calcula a mtrica para cada rota possvel
inserindo os valores da mtrica composta em uma frmula.
Documentos e livros do passado geralmente afirmavam que o EIGRP, e seu predecessor, o IGRP, tambm podiam usar
o MTU como sendo parte da mtrica, mas o MTU no pode ser usado e nunca foi considerado como parte dos clculos.
A frmula para o clculo da mtrica no EIGRP na verdade ajuda a descrever alguns dos pontos-chave a respeito da
mtrica. A frmula, assumindo que as configuraes default usem somente largura de banda e atraso, a seguinte:
Mtrica
10
7
)
Nesta frmula, o termo largura de banda mnima representa o enlace com menor largura de banda da rota, usando uma
unidade de kilobits por segundo. Por exemplo, se o enlace mais lento em uma rota for um link Ethemet de lO-Mbps, a
primeira parte da frmula ser 107/1Q4, que igual a 1000. Voc usa 104 na frmula porque 10 Mbps igual a 10.000 kbps
(1Q4 kbps). O valor do atraso cumulativo usado nesta frmula a soma de todos os valores de atraso para todos os
enlaces da rota, em uma unidade de "dezenas de rnicrossegundos". Voc pode configurar ambos, largura de banda e
atraso para cada enlace, usando os subcomandos de interface inteligentemente chamados de bandwidth e delay.
Observao A maioria dos comandos show, incluindo show ip eigrp topology e show interfaces,
apresenta configuraes de atraso como sendo o nmero de microssegundos de atraso. A
frmula da mtrica usa uma unidade de dezenas de microssegundos.
As atualizaes no EIGRP listam o nmero e a mscara da sub-rede, juntamente com o atraso cumulativo, e a largura
mnima de banda, juntamente com as outras partes tipicamente no usadas da mtrica composta. O roteador ento
considera as configuraes de largura de banda e atraso da interface da qual a atualizao foi recebida, e calcula uma
nova mtrica. Por exemplo, a Figura 10-2 mostra Albuquerque aprendendo sobre a sub-rede 10.1.3.0/24, a partir de
Seville. A atualizao mostra uma largura mnima de banda de 100.000 kbps, e um atraso cumulati vo de 100 rnicrossegundos.
RI possui uma largura de banda da interface configurada em 1544 kbps - a largura de banda default em um enlace serial
- e um atraso de 20.000 rnicrossegundos.
Figura 10-2 Como Albuquerque Calcula Sua Mtrica EIGRP para 10.1.3.0/24
Albuquerque
Largura de Banda:1544
Atraso: 20.000
Sub-rede 10.1.3.0/24
Seville
FAOIO . - -.........
50/1
FaOI1
10.1.3.0/24
Largura Mnima de Banda = 100.000
Atraso Cumulativo = 100
Atualizao no EIGRP
Neste caso, Albuquerque descobre que a largura de banda de sua interface SO/1 (1544) menor que a largura mnima de
banda anunciada de 100.000; portanto Albuquerque usa esta nova e mais lenta largura de banda no clculo da mtrica.
(Se a interface SO/1 de Albuquerque tivesse uma largura de banda de 100.000 ou mais neste caso, Albuquerque usaria a
largura mnima de banda listada na Atualizao do EIGRP, recebida de Seville, no lugar.) Albuquerque tambm soma o
atraso da interface SO/1 (20.000 rnicrossegundos, convertidos para 2000 dezenas de rnicrossegundos para a frmula) ao
atraso cumulativo recebido de Seville, na atualizao (100 rnicrossegundos, convertidos para 10 dezenas de rnicrossegundos).
Isto resulta no seguinte clculo de mtrica:
Mtrica =
I~l
1544
+ (10+2000)
* 256=2,172,416
Observao O lOS arredonda a diviso desta frmula para baixo, para o inteiro mais prximo,
antes de executar o resto da frmula. Neste caso, 107/1544 arredondado para baixo para 6476.
Se existissem vrias rotas possveis para a sub-rede 10.1.3.0/24, Albuquerque tambm calcularia a mtrica para estas
rotas e escolheria a rota com a melhor (menor) mtrica para ser adicionada na tabela de roteamento. Se houver empate
na mtrica, um roteador iria colocar at quatro rotas com mtricas iguais na tabela de roteamento, por default, enviando
parte do trfego em cada rota. A seo mais adiante "Nmero Mximo de Caminhos e Varincia no EIGPR" explica com
um pouco mais de detalhes a respeito de como o EIGRP pode adicionar mltiplas rotas com mtricas iguais e mltiplas
rotas com mtricas diferentes na tabela de roteamento.
o exemplo descrito pela Figura 10-2 fornece um pano de fundo conveniente para se definir um par de termos do EIGRP:
/;~~;~o. Feasible Distance (FD): A mtrica da melhor rota para se alcanar uma sub-rede, conforme calculado em um
\~h....
roteador.
Reported Distance (RD): A mtrica, conforme calculada em um roteador vizinho, e depois reportada e aprendida
atravs de uma Atualizao do EIGRP.
Por exemplo, na Figura 10-2, Albuquerque calcula um FD de 2.195.631 para alcanar a sub-rede 10.1.3.0/24 atravs de
Seville. Seville tambm calcula sua prpria mtrica para alcanar a sub-rede 10.1.3.0/24. Seville tambm lista esta
mtrica em sua atualizao EIGRP enviada para Albuquerque. De fato, baseado nas informaes da Figura 10-2, o FD
de Seville para alcanar a sub-rede 10.1.3.0/24, que ento conhecido por Albuquerque como sendo o RD de Seville
para alcanar 10.1.3.0/24, poderia ser facilmente calculado:
107
+ (10)* (256 = 28.160)
1000
FD e RD sero mencionados em uma futura discusso a respeito de como o EIGRP reage e converge quando ocorre
uma mudana em uma interconexo de rede.
. 1
CCNA ICND2
279
-----...........'f"_.,
Tabela de Roteamento
sub-rede
Interface de Sarda
10.1.1 .0
80
64 kbps
Subrede10.1.1.0
Tabela de Roteamento
sub-rede
Interface de Sarda
10.1 .1.0
81
Subrede10.1.1.0
" " " Largura de Banda 1544
Convergncia no EIGRP
Evitar loops se apresenta como um dos problemas mais difceis para qualquer protocolo de roteamento dinmico. Protocolos
vetor distncia resolvem este problema com uma variedade de ferramentas, algumas das quais responsveis por uma
grande parte do tempo de convergncia com durao de minutos, aps a falha em um enlace. Protocolos link-state
resolvem este problema fazendo com que cada roteador mantenha uma topologia completa da rede, de modo que executando
um modelo matemtico bem complexo, um roteador pode evitar quaisquer loops.
O EIGRP evita loops mantendo algumas informaes bsicas de topologia, mas evita consumir muita CPU e memria
mantendo as informaes de modo conciso. Quando um roteador aprende mltiplas rotas para a mesma sub-rede, ele
coloca a melhor rota na tabela de roteamento IP. O EIGRP mantm algumas informaes da topologia pelas mesmas
razes que o OSPF - para que possa convergir bem rapidamente e usar uma nova rota sem causar um loop. Essencialmente,
o EIGRP mantm um registro de cada roteador que pode ser um next-hop, e alguns detalhes relacionados a estas rotas,
mas nenhuma informao sobre a topologia alm dos roteadores next-hop. Esta informao mais esparsa sobre topologia
no exige o sofisticado algoritmo SPF, resultando em uma convergncia rpida e com menos sobrecarga, sem loops.
O processo de convergncia no EIGRP usa um de dois caminhos em sua lgica, baseado no fato da rota que falhou
possuir ou no uma rota para sucessor possvel. Se uma rota para sucessor possvel existir, o roteador pode usar
imediatamente esta rota. Caso contrrio, o roteador deve usar um processo de query and response para encontrar uma
rota alternativa livre de loops. Ambos os processos resultam em convergncia rpida, tipicamente menos que 10 segundos,
mas o processo de query and response leva um pouco mais de tempo.
:.iiiiiIt----I Sub-rede 1
O EIGRP decide se uma rota pode seu um sucessor possvel se a RD (Reported Distance) para aquela rota (a mtrica,
conforme calculada naquele vizinho) for menor que sua prpria melhor mtrica calculada (o FD). Quando este vizinho
tiver uma mtrica menor para a rota, para a sub-rede em questo, diz-se que esta rota atingiu a condio de viabilidade.
Por exemplo, o Roteador E calcula uma mtrica (FD) de 14.000 para sua melhor rota (atravs do Roteador D). A mtrica
calculada no Roteador C - sua RD para esta rota - menor que 14.000 ( 13.000). Como resultado, E sabe que a melhor
rota de C para esta sub-rede no poderia possivelmente apontar em direo ao roteador E; ento, o Roteador E acredita
que ele poderia comear a usar a rota atravs do Roteador C, sem causar um loop. Como resultado, o Roteador E
adiciona uma rota atravs do Roteador C na tabela de topologia como sendo uma rota para sucessor possvel. Por outro
lado, a RD do Roteador B de 15.000, que maior que o FD do Roteador E, de 14.000; portanto, o Roteador E no
considera a rota atravs do Roteador B como sendo um sucessor possvel.
Se a rota para a Sub-rede 1 atravs do Roteador D falhar, o Roteador E pode colocar a rota atravs do Roteador C
imediatamente na tabela de roteamento, sem medo de criar um loop. A convergncia ocorre quase que instantaneamente
neste caso.
Quando uma rota falha e no possui nenhum sucessor possvel, o EIGRP usa um algoritmo distribudo chamado DUAL
(Diffusing Update Algorithm). O DUAL envia consultas procura de rotas livres de loop para a sub-rede em questo.
Quando a nova rota encontrada, o DUAL a adiciona na tabela de roteamento.
O processo DUAL do EIGRP simplesmente usa mensagens para confirmar que uma rota existe e que no criaria um
loop, antes de decidir substituir uma rota que falhou por uma rota alternativa. Por exemplo, na Figura 10-4, imagine que
ambos os Roteadores, C e D falhem. O Roteador E no possui uma rota para sucessor possvel para a sub-rede 1, mas
existe um caminho bvio e fisicamente disponvel atravs do Roteador B. Para usar esta rota, o Roteador E envia
mensagens de query (consulta) do EIGRP para seus vizinhos que esto em funcionamento (neste caso, o Roteador B).
A rota do Roteador B para a sub-rede 1 ainda est funcionando bem, portanto o Roteador B responde ao Roteador E com
uma mensagem reply (resposta) do EIGRP, simplesmente enviando os detalhes da rota em funcionamento para a subrede 1, e confirmando que ela continua vivel. O Roteador E pode ento adicionar uma nova rota para a sub-rede 1 em
sua tabela de roteamento, sem medo de criar um loop.
Substituir uma rota em falha por um sucessor possvel toma um perodo de tempo muito curto, tipicamente menos que um
ou dois segundos. Quando queries e replies so necessrios, a convergncia pode levar um pouco mais de tempo, mas na
maior parte das redes, a convergncia ainda pode ocorrer em menos de 10 segundos.
CCNA ICND2
281
o EIGRP um IGP popular por diversas razes. Funciona bem, convergindo rapidamente, ao mesmo tempo em que evita
loops, como consequncia de seus algoritmos balanced hybrid/vetor distncia avanado, que esto em sua base. No
requer muitas configuraes ou muitos planejamentos, mesmo quando escalados para suportar interconexes maiores de
redes.
O EIGRP tambm possui uma outra vantagem que no mais to importante hoje em dia como foi em anos passados: o
suporte aos protocolos de Camada 3 IPX da Novell e AppleTalk da Apple. Os roteadores podem executar o EIGRP para
aprender rotas IP, rotas IPX e rotas AppleTalk, com as mesmas facilidades de incrvel performance. No entanto, como
muitos outros protocolos de Camada 3, o IP tomou o lugar do IPX e do AppleTalk na maioria das vezes, tomando o
suporte a estes protocolos de Camada 3 uma vantagem menos significativa.
A Tabela 10-2 resume diversos recursos importantes do EIGRP comparados aos do OSPE
Recurso
EIGRP
OSPF
/ .. 0 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
\e
I
Converge rapidamente
Sim
Sim
------------------------------
Sim
Sim
Sim
Sim
Sim
Sim
Sim
No
Sim
Sim
No
Sim
. ----------------------------------------------------------------
------------------------------------------------------------------
Sim
No
Sim
No
Sim
No
Sim
No
Padro pblico
No
Sim
. ------------------------------
A configurao bsica do EIGRP se parece bastante com a configurao de RIP e OSPE O comando router eigrp
habilita o EIGRP e coloca o usurio em modo de configurao EIGRP, no qual um ou mais comandos network so
configurados. Para cada interface que casar com o que for definido atravs do comando network, o EIGRP tenta
descobrir vizinhos naquela interface, e o EIGRP anuncia a sub-rede conectada interface.
Esta seo examina a configurao do EIGRP, incluindo diversas facilidades opcionais. Ela tambm explica o significado
da sada de muitos comandos show para ajudar a associar a teoria coberta na primeira parte deste captulo com a
realidade da implementao do EIGRP no lOS. A seguinte lista de verificao de configurao resume as principais
....~tividades de configurao cobertas neste captulo:
.... 6P1c0
Passo 1 Entre no modo de configurao do EIGRP e defina o ASN do EIGRP usando o comando global router eigrp
as-number.
Passo 3 (Opcional) Mude o temporizador de Helio e o hold timer da interface usando os subcomandos de interface ip
hello-interval eigrp asn time e ip hold-time eigrp asn time.
Passo 4 (Opcional) Impacte os clculos da mtrica ajustando a largura da banda e o atraso, usando os subcomandos
de interface bandwidth value e delay value.
Passo 5 (Opcional) Configure a autenticao do EIGRP.
Passo 6 (Opcional) Configure o suporte para mltiplas rotas de custos iguais usando os subcomandos de roteador
maximum-paths number e variance multiplier.
Figura 10-5 Exemplo de Interconexo de Rede Usado na Maioria dos Exemplos de EIGRP
Sub-rede 10.1 .1.0
Faoto
Sub-rede 10.1.5.0
Yosemite
C==;~~f~----"":::::::::::Z:":~:"'__...J!.QL!~
00:00:43, SerialO/O
Seville
CCNA ICND2
C
6 subnets
00:00:47, SerialO/O
I.
283
SerialO/O
o
1
10 . 1.4.2
10 . 1.6.3
Hold Uptime
SRTT
(sec)
(ms)
Se O/O
11 00: 00: 54
32
200 O 4
SeO /1
12 00:10:36
20
200 O 24
Interface
Address
Cnt Num
Mean
pacing Time
Multicast
Pending
SRTT
Un/Reliable
Flow Timer
Routes
o
o
o
Peers Un/Reliable
Fa O/ O
O/O
0/10
SeO/O
O/O
32
0/15
50
SeO / 1
O/O
20
0/15
95
O dummies
Para a configurao do EIGRP, todos aos trs roteadores devem usar o mesmo nmero AS no comando router eigrp.
Por exemplo, todos eles usam router eigrp 1 neste exemplo. O nmero real usado na verdade no importa, desde que
seja o mesmo em todos os trs roteadores. (A faixa de nmeros AS vlidos vai de 1 a 65.535 , da mesma forma que a
faixa de Process IDs vlidos no comando router ospf.) O comando network 10.0.0.0 habilita o EIGRP em todas as
interfaces cujos endereos IP estejam na rede 10.0.0.0, que inclui todas as trs interfaces de Albuquerque. Com os dois
comandos EIGRP idnticos de configurao nos outros dois roteadores, o EIGRP tambm habilitado, da mesma forma,
em todas as trs interfaces destes roteadores porque estas interfaces tambm esto na rede 10.0.0.0.
Ambos os comandos, show ip route e show ip route eigrp, listam as rotas aprendidas com o EIGRP com um "D" ao lado
delas. "D" significa EIGRP. A letra E j estava sendo usada para EGP (Exterior Gateway Protocol) quando a Cisco criou
o EIGRP, ento a Cisco escolheu a letra mais prxima no usada, D, para representar rotas aprendidas com EIGRP.
Voc pode ver informaes relativas a vizinhos EIGRP atravs do comando show ip eigrp neighbors, e informaes
sobre o nmero de vizinhos ativos (chamados de peers na sada do comando) atravs do comando show ip eigrp
interfaces, conforme mostrado na ltima parte do exemplo. Estes comandos tambm fornecem alguma viso dos processos
bsicos do EIGRP, tais como o uso do RTP para transmisses confiveis. Por exemplo, o comando show ip eigrp
neighbors mostra uma coluna "Q Cnt" (Queue Count), listando o nmero de pacotes esperando para serem enviados a
um vizinho, ou de pacotes que foram enviados, mas para os quais nenhuma confIrmao foi recebida. O comando show
ip eigrp interfaces lista informaes similares na coluna "Xmit Queue UnlReliable", com estatsticas separadas para
mensagens EIGRP que foram enviadas com o RTP (confIvel) ou sem ele (no confivel).
Por ltimo, o final do exemplo apresenta o RIO de Albuquerque. O EIGRP aloca seu RIO exatamente como o OSPF baseado no valor configurado, ou no endereo IP mais alto de uma interface loopback up/up, ou no endereo IP mais alto
de uma interface no loopback, nesta ordem de precedncia. A nica diferena comparada ao OSPF que o RIO do
EIGRP configurado atravs do subcomando de roteador eigrp router-id value.
O comando network do EIGRP pode ser configurado sem uma mscara curinga, como mostrado no Exemplo 10-1. Sem
uma mscara curinga, o comando network deve usar uma rede classful como nico parmetro, e todas as interfaces
desta rede c1assful casam. O Exemplo 10-2 mostra uma configurao alternativa que usa um comando network com um
endereo e uma mscara curinga. Neste caso, o comando casa o endereo IP de uma interface que casaria se o
endereo e a mscara no comando network fossem parte de um ACL. O exemplo mostra trs comandos network em
~_A_I_b_
u_
qu
_e_r_qu
__
e _(C_O_n_f _ig
___r_o_u_t _e r_ )_#_n_e_two
__r_k__1_0_.1_._6_._0__
0_.0_._0_._2_5_5__________________________________________________~
~--------------------------------------------------------~
.
Be low, note the single route to subnet 10.1.3 . 0, and the two
D
D
c
c
Next, the EIGRP t op ology tabl e shows one s u ccessor for the rout e to 10.1.3.0,
and two succes s ors for 10.1.5 . 0, reconfirming that EIGRP installs successor
routes (not fea s ible successor routes) into the IP routing table.
Albuquerque# ahow ip eigrp topo1ogy
I P- EIGRP Topology Table for AS(1)/ ID(10.1.6.1)
Codes :
.-p
CCNA ICND2
285
4t _____
..
Os comentrios no exemplo explicam os pontos-chave principais, a maioria dos quais so relativamente diretos. No
entanto, um olhar mais de perto no comando show ip eigrp topology pode fornecer alguns detalhes. Em primeiro lugar,
observe a listagem do nmero de rotas para sucessor na tabela de topologia do EIGRP. A entrada para 10.1.3.0/24 afirma
. . que existe um sucessor, de modo que a tabela de roteamento IP mostra uma rota aprendida com o EIGRP para a sub-rede
10.1.3.0/24. Em comparao, a entrada na tabela de topologia do EIGRP para a sub-rede 10.1.5.0/24 afirma que existem
dois sucessores, de modo que a tabela de roteamento IP mostra duas rotas aprendidas com o EIGRP para esta sub-rede .
.. A seguir, observe os nmeros entre colchetes da entrada na tabela de topologia do EIGRP, para 10.1.3.0/24. O primeiro
nmero a mtrica calculada por Albuquerque para cada rota. O segundo nmero o RD - a mtrica calculada no
roteador vizinho 10.1.6.3 (Seville) e conforme reportada para Albuquerque. Pelo fato destes roteadores terem usado
valores default para configurao de largura de banda e atraso, os valores das mtricas so iguais aos dos clculos das
mtricas do exemplo mostrado na seo anterior, "Calculando as Melhores Rotas para a Tabela de Roteamento".
Com todas as configuraes default nesta interconexo de rede, nenhuma das rotas de Albuquerque atinge a condio de
viabilidade, na qual o RD de uma rota alternativa seja inferior ou igual ao FD (a mtrica da melhor rota). O Exemplo 10. . 4 muda a largura de banda em uma das interfaces de Yosemite, abaixando o FD de Yosemite para alcanar a sub-rede
10.1.3.0/24. Por sua vez, o RD de Yosemite para esta mesma rota, conforme reportado para Albuquerque, ser agora
menor, atingindo a condio de viabilidade; portanto Albuquerque ter agora uma rota FS .
..
Below,
the EIGRP top ology table shows a sing le s u ccessor route f or 10.1.3.0,
but two entries listed - the new entry is a feasible successor rou te. The new
entry shows a route to 10.1.3.0 through 10.1.4 . 2 {which is Yosemite} .
Albuquerque# show ip e igrp topo1ogy
IP-EIGRP Topology Table for AS{l}/ID{10.1.6.1}
Codes : P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10 . 1 . 3 . 0 /2 4, 1 success ors , FD i s 2172416
via 10.1.6 . 3 {217 2 416/28160} , SerialO / 1
v ia 10 . 1.4 . 2
5 s ubnets
00:40:14, SerialO/1
..
Para ver a rota para sucessor possvel, e por que ela um sucessor possvel, observe os dois nmeros entre parntesis na segunda . .
linha em destaque a partir do comando show ip eigrp topology em Albuquerque. O primeiro deles a mtrica calculada pelo
roteador de Albuquerque para a rota, e o segundo nmero o RD do vizinho. Das duas rotas possveis - uma atravs de 10.1.6.3
(Seville) e outra atravs de 10.1.4.2 (Yosemite) - a rota por Seville possui a menor mtrica (2.172.416), tomando-a uma rota para
sucessor, e fazendo com que o FD tambm seja de 2.172.416. Albuquerque coloca esta rota na tabela de roteamento IP. No .
entanto, observe o RD na segunda das duas rotas (a rota por Yosemite), com um valor de RD de 1.794.560. A condio de
viabilidade que o RD da rota deve ser menor que a melhor mtrica calculada por este roteador - seu FD - para a mesma sub-
rede destino. Portanto, a rota por Yosemite satisfaz esta condio, tomando-a uma rota para sucessor possvel. Os seguintes pontos .
resumem as informaes-chave a respeito das rotas para sucessor e sucessor possvel deste exemplo:
(;~~;~o
A rota para 10.1.3.0 atravs de 10.1.6.3 (Seville) a rota para sucessor porque a mtrica calculada (2.172.416),
mostrada como o primeiro dentre os dois nmeros entre parntesis, a melhor mtrica calculada.
A rota para 10.1.3.0 atravs de 10.1.4.2 (Yosemite) uma rota para sucessor possvel porque o RD (Reported .
Distance) do vizinho (1.794.560, mostrado como o segundo nmero entre parntesis) menor que o FD de Albuquerque.
Embora ambas as rotas, para sucessor e para sucessor possvel estejam na tabela de topologia do EIGRP, apenas .
a rota para sucessor adicionada na tabela de roteamento IP.
'. Ch8ve
....
----------------------------------------------------.
Observao O comando show ip eigrp topology lista apenas as rotas para sucessor e para
sucessor possvel. Para ver as outras rotas, use o comando show ip eigrp topology all-links.
----------------------------------------------------~ .
Uma das vantagens do EIGRP que ele converge muito rapidamente. O Exemplo 10-5 mostra um destes exemplos,
usando mensagens de debug para mostrar o processo. Algumas das mensagens de debug podem no fazer muito
sentido, mas o exemplo ilustra algumas mensagens de debug interessantes e compreensveis.
Para este exemplo, o enlace entre Albuquerque e Seville ser desativado, mas isto no est mostrado no exemplo. As . .
mensagens de debug em Albuquerque mostram comentrios sobre a lgica do EIGRP para alterar a rota original para
10.1.3.0/24 para a nova rota atravs de Yosemite. Preste ateno em especial aos time stamps, que mostram que o
processo de convergncia leva menos de 1 segundo.
Exemplo 10-5 Mensagens de Debug Durante a Convergncia para a Rota Para Sucessor Possvel, para a Sub-
rede 10.1.3.0/24
~-------------------------------------------------------,
Below, debug eigrp fSM is enabled, and then Seville's link to Albuquerque
!
(Seville's SOlO interface) will be disabled, but not shown in the example texto
.
.
CCNA ICND2
(Seville) is down, so
1-
The next two highlighted messages imply that the old route to 10.1.3.0 is
removed, and the new successor route (previously the feasible successor route)
is added to the "RT " (routing table).
The next two highlighted messages state that the old route is removed, and the
new route thr ough Yosemite is added to the "RT " (routing table).
"Mar 1 02:35:31.856: DUAL: Removing dest 10 .1. 3. 0 /2 4 , n ext hop 10 .1. 6.3
"Mar 1 02:35 : 31.856: DUAL: RT i nstalled 1 0. 1 . 3 . 0 /2 4 v ia 1 0.1 .4 .2
"Mar 1 02:35 : 31.856: DUAL: Send update about 10.1.3.0/24. Reason: metric chg
"Mar 1 02 : 35:31.860: DUAL: Send update about 10.1.3.0/24. Reason : new if
Autenticao no EIGRP
o EIGRP suporta um tipo de autenticao: o MD5. Configurar a autenticao MD5 requer diversos passos:
287
/;~~;~o
'. Ch.ve
....
a. Criar a cadeia e dar a ela um nome atravs do comando global key chain name (isto tambm coloca o usurio no
modo de configurao cadeia de chave).
b. Criar um ou mais nmeros-chave usando o comando key number no modo de configurao cadeia de chave.
c. Definir o valor da chave de autenticao usando o comando key-string value no modo de configurao chave.
d. (Opcional) Definir o tempo de vida (perodo de tempo) para ambos, enviar e aceitar esta chave em particular.
Passo 2 Habilitar a autenticao MD5 do EIGRP em uma interface, para um ASN do EIGRP em particular, usando o
subcomando de interface ip authentication mode eigrp asn mdS.
Passo 3 Referenciar a cadeia de chave correta a ser usada em uma interface usando o subcomando de interface ip
authentication key-chain eigrp asn name-of-chain.
A configurao no Passo 1 razoavelmente detalhada, mas os Passos 2 e 3 so relativamente simples. Essencialmente,
o lOS configura os valores das chaves separadamente, depois exige um subcomando de interface para se referenciar aos
valores das chaves. Para suportar a capacidade de ter mltiplas chaves, e at mesmo mltiplos conjuntos de chaves, a
configurao inclui o conceito de cadeia de chaves e de mltiplas chaves em cada cadeia de chaves.
O conceito de cadeia de chaves do lOS lembra as cadeias de chave e as chaves usadas no dia-a-dia. A maioria das
pessoas possui pelo menos uma cadeia de chaves, com as chaves tipicamente usadas todos os dias. Se voc possuir
muitas chaves, do trabalho e de casa, voc poderia ter duas cadeias de chave para fazer com que seja mais fcil
using the ip authentication key-chain command, and the ip authentication mode eil1rp
command causes the router to use an MOS digest of the key string.
interface FastEthernetO/O
ip address 172.31.11.1 255.255.255.0
ip authentication mode eil1rp 1 md5
-
CCNA ICND2
289
interface FastEthernetO/1
ip address 172.31.12.1 255.255.255.0
ip a uthent i c atio n eigrp 1 md5
i p auth entic ation key-chain eigrp 1 anothersetofkeys
Para que a autenticao funcione, roteadores vizinhos devem ambos ter a autenticao MD5 do EIGRP habilitada, e as
strings de chaves em uso corrente devem ser idnticas. Observe que o nome da cadeia de chaves no precisa ser o
mesmo. Os problemas mais comuns esto relacionados ao fato dos tempos de vida til no serem iguais, ou o relgio de
um dos roteadores ter a hora errada. Para implementaes na vida real, o NTP deve ser habilitado e usado antes de se
restringir as chaves para um determinado intervalo de tempo.
Para verificar se a autenticao funcionou, use o comando show ip eigrp neighbors. Se a autenticao falhou, a
relao de vizinhana no ser formada. Alm disso, se voc vir que rotas foram aprendidas a partir de um vizinho
naquela interface, isto tambm prova que a autenticao funcionou. Voc poder ver maiores detalhes sobre o processo
de autenticao usando o comando debug eigrp packets, particularmente se a autenticao falhou.
Da mesma forma que no OSPF, o EIGRP suporta a capacidade de colocar vrias rotas com mtricas iguais na tabela de
roteamento. Como no OSPF, o default do EIGRP suportar quatro destas rotas para cada sub-rede, e ele pode ser
configurado para suportar at 16, atravs do subcomando do EIGRP maximum-paths number. Porm, o clculo de
mtrica do EIGRP geralmente evita que rotas concorrentes tenham exatamente a mesma mtrica. A frmula pode
resultar em mtricas similares, mas dado que os valores das mtricas podem estar facilmente na casa dos milhes,
calcular exatamente a mesma mtrica estatisticamente improvvel.
O lOS inclui o conceito de varincia do EIGRP para superar este problema. A varincia permite que as rotas cujas
mtricas estejam relativamente prximas com relao a seu valor sejam consideradas iguais, permitindo que mltiplas
rotas para a mesma sub-rede, com mtricas diferentes, sejam adicionadas na tabela de roteamento.
O subcomando de roteador do EIGRP variance multiplier define um inteiro entre 1 e 128. O roteador ento multiplica
a varincia pelo FD da rota - a melhor mtrica com a qual se alcana a sub-rede em questo. Quaisquer rotas FS cujas
mtricas sejam menores que o produto da varincia pelo FD sero consideradas rotas iguais e podero ser colocadas na
tabela de roteamento, dependendo da configurao no comando maximum-paths.
Um exemplo de varincia pode tornar este conceito mais claro. Para manter os nmeros mais bvios, a Tabela 10-3
mostra um exemplo com valores de mtrica pequenos. A tabela apresenta as mtricas para trs rotas, para a mesma subrede, conforme calculado pelo roteador R4. A tabela tambm mostra o RD dos roteadores vizinhos, e a deciso de
adicionar rotas na tabela de roteamento, baseada em diversas configuraes de varincia.
RI
R2
Mtrica
RD
Adicionado na TR
com Varincia 1?
Adicionado na TR
com Varincia 2?
Adicionado na TR
com Varincia 3?
50
30
Sim
Sim
Sim
90
40
No
Sim
Sim
120
60
No
No
No
R3
--------------------------------------------------------------Antes de considerar a varincia, observe que neste caso, a rota atravs de RI a rota para sucessor porque ela possui
a menor mtrica. Isto tambm significa que a mtrica para a rota atravs de RI, 50, o FD. A rota atravs de R2 uma
rota FS porque seu RD de 40 menor que o FD de 50. A rota atravs de R3 no uma rota FS porque o RD de R3, igual
a 60, maior que o FD de 50.
Na configurao default de varincia 1, as mtricas devem ser exatamente iguais para serem consideradas iguais,
portanto apenas a rota para sucessor adicionada na tabela de roteamento. Com varincia 2, o FD (50) multiplicado
pela varincia (2) resultando num produto de 100. A rota atravs de R2, com FD de 90, menor que 100, portanto R4
(~~;;~o
\ Chave
".
Quaisquer rotas FS cujas mtricas calculadas sejam menores ou iguais ao produto da varincia vezes o FD so
adicionadas na tabela de roteamento IP, assumindo que a configurao em maximum-paths permita mais rotas.
A varincia multiplicada pelo FD corrente (a mtrica da melhor rota para se alcanar uma sub-rede).
Rotas que no so nem sucessor e nem sucessor possvel nunca podero ser adicionadas na tabela de roteamento
IP, independentemente da configurao da varincia.
Assim que as rotas so adicionadas na tabela de roteamento, o roteador suporta uma variedade de opes a respeito de
como balancear a carga de trfego atravs das rotas. O roteador pode balancear o trfego proporcionalmente s mtricas,
significando que rotas com mtricas menores enviaro mais pacotes. O roteador poder enviar todo o trfego atravs da
rota de menor mtrica, com as outras rotas estando na tabela de roteamento somente para convergncia mais rpida
caso a melhor rota falhe. Porm, os detalhes sobre o processo de balanceamento de carga exigem uma discusso muito
mais profunda com relao aos detalhes mais internos do processo de encaminhamento no lOS, e este tpico est fora do
escopo deste livro.
CCNA ICND2
Yosemite(config-if)# AAZZ
291
. L-______________________________________________________
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave. A Tabela 10-4 lista
estes tpicos-chave e onde cada um deles foi discutido.
..........
( Tpico
\~have
Elemento do Tpico-Chave
Descrio
Lista
275
Figura 10-1
276
Lista
278
Nmero da Pgina
. ----------------------------------------------------------
Figura 10-4
280
281
. ------------------------------------------------------------
Tabela 10-2
e ------------------------------------------------------------
Lista
281-282
Lista
286
-------------------------------------------------------------
Lista
287
290
------------------------------------------------------------------------------------
---------------------------------------------------------------
Lista
Definio de termos-chave
Defina os seguintes termos-chave deste captulo, e verifique suas respostas no glossrio:
atualizao completa, atualizao parcial, condio de viabilidade, feasible distance, reported distance, sucessor, :
sucessor possvel
.
.
Comando
Descrio
--------------------------------------------------------------- e
router eigrp autonomous-system
Comando global para mudar o usurio para o modo de configurao do
_______________________________E_IG_RP
__,_p_ar_a_o_A
__
SN
__li_sta
__
do____________________________
network network-number [wildcard mask] Subcomando de roteador do EIGRP que casa todas as interfaces em
maximum-paths number-paths
----------------------------------------------------------------
variance multiplier
bandwidth bandwidth
delay delay-value
ip hello-interval eigrp as-number timer-value Sub comando de interface que configura o intervalo de Helio do EIGRP
para este processo do EIGRP
-m-a-XI-om-u-m---p-a-th-s-n-u-m-b-e-r--o-if--p-a-th-s-----S-u-b-c-o-m-an-d-o-d-e-r-o-te-a-d-or-q-u-e-d-e-fi-m-e-o-n-m-e-ro-m-xim-
-o-d-e-ro-t-a-s-c-om--
custos iguais que podem ser adicionadas na tabela de roteamento
CCNA ICND2
send-lifetime start-time { infmite
end-time I duration seconds }
determinada chave
293
. ----------------------------------------------------------------
Comando
Descrio
. ---------------------------------------------------------------. ---------------------------------------------------------------
I
I
show ip protocols
. ------------------------------------------------------------
debug ip eigrp
. -------------------------------------------------------------
------------------------------ .
-------------------------------- .
Este captulo aborda os
seguintes assuntos:
-------------------------------- .
Perspectivas sobre a resoluo de problemas em
protocolos de roteamento: esta pequena seo
introdutria explica o processo de resoluo de problemas
que este livro sugere para problemas em protocolos de
roteamento.
CAPTULO 11
Os Captulos 3 e 7, os outros dois captulos deste livro dedicados resoluo de problemas, focam no processo de
encaminhamento de dados. Em particular, o Captulo 7, "Resolvendo problemas de roteamento IP", em sua maior parte,
ignora como as rotas so adicionadas na tabela de roteamento, focando inteiramente no processo de plano de dados do
encaminhamento de pacotes IP, e em como resolver problemas neste processo. O Captulo 7 assume que os processos de
plano de controle relacionados ao preenchimento da tabela de roteamento sero cobertos em outro lugar - principalmente
na Parte l i deste livro.
Este captulo fecha a cobertura do plano de controle do IPv4 - o processo de preencher as tabelas de roteamento dos
roteadores com boas rotas - examinando a forma de solucionar problemas no OSPF e no EIGRP. O processo de
resoluo de problemas em si relativamente direto, pelo menos no que se refere profundidade exigida pelos exames
CCNA. No entanto, como sempre, voc precisa pensar em diversos detalhes diferentes enquanto estiver resolvendo os
problemas; deste modo, o processo pode ajudar a garantir que voc vai verificar cada componente antes de prosseguir
para a prxima funo.
Este captulo conclui a Parte l i deste livro. Se voc estiver se preparando especificamente para o exame CCNA usando
o plano de leitura mencionado na Introduo, observe que depois deste captulo, voc deveria voltar para o CCENT/
CCNA fCNDI Guia Oficial de Certificao do Exame, Parte IV.
Os captulos a respeito de resoluo de problemas deste livro renem conceitos de muitos outros captulos, inclusive de
alguns captulos do CCENT/CCNA fCNDI Guia Oficial de Certificao do Exame . Eles tambm mostram como
abordar algumas das perguntas mais desafiadoras dos exames CCNA. Sendo assim, ser til ler estes captulos,
independentemente de seu nvel atual de conhecimentos. Por estas razes, os captulos relativos resoluo de problemas
no incluem um questionrio "Eu j conheo isto?". No entanto, se voc se sentir particularmente autoconfiante com
respeito resoluo de problemas no OSPF e no EIGRP, sinta-se vontade para seguir adiante at seo "Atividades
de preparao para o exame", prxima ao final deste captulo, e avanar pela maior parte deste captulo.
Tpicos fundamentais
O melhor passo inicial quando estiver resolvendo problemas em um protocolo de roteamento examinar a configurao
dos vrios roteadores. Comparar a configurao do protocolo de roteamento, particularmente dos subcomandos network,
com os endereos IP da interface pode rapidamente confirmar se o protocolo de roteamento foi habilitado em todas as
devidas interfaces. Se o mesmo estiver habilitado em todas as interfaces corretas em todos os roteadores, um exame, a
seguir, na configurao da interface e na configurao da autenticao pode verificar se algum parmetro de configurao
pode estar impedindo que dois roteadores na mesma sub-rede se tomem vizinhos. Uma falha em passar por todos os
requisitos necessrios para se tomar vizinhos ir impedir que dois roteadores troquem informaes sobre roteamento.
O Captulo 9, "OSPF' e o Captulo 10, "EIGRP", cobrem a fundo a configurao dos protocolos de roteamento, de modo
que este captulo no tentar explicar como resolver problemas procurando por erros na configurao. Porm, a configurao
pode nem sempre estar disponvel nos exames ou na vida real. Este captulo foca em como resolver problemas em
protocolos de roteamento usando-se apenas os comandos show e debug. Em primeiro lugar, este captulo discute algumas
opes para resolver problemas em protocolos de roteamento, incluindo a sugesto de um processo que possui dois
172.16.6.1/24
Por exemplo, suponha que RI na Figura 11-1 tenha aprendido uma rota para a sub-rede 172.16.4.0/24 da Figura 11-1,
mas no para a sub-rede 172.16.5.0/24. Neste caso, fica claro que RI possui uma relao de vizinhana em funcionamento
com R2. Nestes casos, a causa raiz deste problema ainda pode estar relacionada ao protocolo de roteamento, ou pode
no ter nada a ver com o protocolo de roteamento. Por exemplo, o problema pode ocorrer pelo fato da interface da LAN
inferior de R2 estar fora. No entanto, se RI no tivesse uma rota nem para 172.16.4.0/24 nem para 172.16.5.0/24, a
relao de vizinhana entre RI e R2 poderia ser o problema.
Resolver problemas de protocolos de roteamento em interconexes reais de rede pode ser bastante complexo - muito
mais complexo que a mais difcil das questes do exame CCNA. Definir um processo genrico para resoluo de
problemas com o qual atacar ambos os tipos de problemas de protocolo de roteamento, os simples e os complexos, iria
exigir bastante espao e seria improdutivo na preparao para os exames CCNA. Este captulo oferece um processo
direto para atacar problemas relativos a protocolos de roteamento - especificamente, problemas similares em profundidade
e complexidade aos dos exames CCNA.
Se uma questo do exame parecer estar relacionada a um problema com um protocolo de roteamento, voc poderia
rapidamente identificar alguns erros comuns de configurao usando o seguinte processo - mesmo sem ter a configurao
ou a capacidade de usar o comando show running-config. O processo possui trs caminhos principais:
Passo 1 Examine o desenho da interconexo de rede para determinar em quais interfaces o protocolo de roteamento
deveria estar habilitado e quais roteadores espera-se que se tomem vizinhos.
!;~~;~o
\ Cluo".
".
Ao mesmo tempo, o subcomando de roteador passive-interface pode ser configurado, de modo que o roteador no
tentar encontrar vizinhos na interface (a primeira ao que acabou de ser listada), mas ainda assim anunciar a sub-rede
conectada (a segunda ao).
Trs comandos show so tudo o que necessrio para se saber exatamente quais interfaces foram habilitadas com
EIGRP e OSPF, e quais interfaces so passivas. Em particular, o comando show ip eigrp interfaces lista todas as
interfaces com EIGRP habilitado e que no so interfaces passivas. O comando show ip pr otocols lista essencialmente
os contedos dos comandos network configurados para cada protocolo de roteamento, bem como uma lista separada
das interfaces passivas. A comparao entre estes dois comandos identifica todas as interfaces habilitadas com EIGRP
e aquelas que so passivas. Para OSPF, o comando funciona de um modo um pouco diferente, com o comando show ip
ospf interface brief mostrando todas as interfaces com OSPF habilitado (inclusive as interfaces passivas). A Tabela 111 resume estes comandos para uma referncia mais fcil.
Tabela 11-1 Comandos-Chave Para Encontrar Interfaces com Protocolo de Roteamento Habilitado
!;~~;~o
\ Chave
".
Comando
I nformao-Cha ve
show ip protocols
FaO/O
10.1.1 .1/24
10.1.1.3/24
FaO/O
FaO/O
10.1.1.2/24
10.1.1.4/24
Este exemplo inclui quatro roteadores, com o seguinte cenrio neste caso:
RI e R2 esto configurados corretamente em ambas as interfaces da LAN.
R3 no est corretamente habilitado com EIGRP em sua interface FaO/l.
R4 pretendia usar o comando passive-interface faO/l porque nenhum outro roteador est alm da LAN FaO/l de
R4, mas ao invs disso, R4 configurou o comando passive-interface faO/O.
O Exemplo 11-1 comea mostrando os comandos pertinentes, com um exemplo em RI ou em R2. O exemplo tambm
mostra a configurao em RI para efeitos de comparao.
Exemplo 11-1 Problemas com Interfaces no EIGRP
R1# show running-config
! only pertinent lines shown
router eigrp 99
network 10.0.0.0
Mean
pacing Time
Mu lticast
pendin g
SRTT
Un/Reliable
Flow Timer
Routes
0/10
50
0/10
Peers Un/Reliable
FaO / O
O/O
620
Fa O/ 1
O/O
Distance
Last Update
10.l.l.2
90
00:13:11
10.l.l.3
90
00:13:09
Interface
Xmit Queue
Mean
pacing Time
Multicast
pending
Peers Un/Reliable
SRTT
Un/Reliable
Flow Timer
Routes
FaO/O
O/O
736
0/1
3684
FaO/1
O/O
0/1
,-
Distance
Last Update
10.l.l.3
90
00:13:25
10.l.l.1
90
00:13:25
A sada do comando show ip eigrp interfaces em ambos, RI e R2, mostra como RI e R2 configuraram o EIGRP
usando o process ID 99, e que o EIGRP foi habilitado em ambos, FaO/O e FaOIl em RI e em R2. Este comando lista
apenas as interfaces nas quais o EIGRP foi habilitado, no incluindo as interfaces passivas.
As partes em destaque na sada do comando show ip protocols em cada roteador so particularmente interessantes.
Estas partes mostram os parmetros dos comandos network configurados. Para cada comando network, o comando
show ip protocols mostra uma linha separada sob o ttulo "Routing for Networks", com cada linha apresentando o
contedo dos vrios subcomandos de roteador network. Por exemplo, RI usa o comando de configurao network
10.0.0.0 (mostrado no incio do exemplo), que casa com a linha "10.0.0.0" na sada do comando show ip protocols.
O fmal do exemplo d uma viso breve do problema atual em R3, do ponto de vista de R2. O final do comando show ip
protocols em R2 lista duas fontes de informaes sobre roteamento: 10.1.1.1 (RI ) e 10.1.1.3 (R3). No entanto, R2
aprendeu apenas uma rota com o EIGRP (10.1.11.0/24), conforme mostrado na sada do comando show ip route eigrp.
Se estivesse funcionando corretamente, R2 deveria ter aprendido trs rotas com o EIGRP - uma para cada uma das subredes LAN externas mostradas na Figura 11-2.
A seguir, o Exemplo 11-2 mostra os problemas em R3 e R4, e que impedem que RI e R2 aprendam sobre as sub-redes
10.1.33.0/24 e 10.1.44.0/24. O exemplo mostra a configurao pertinente em cada roteador para efeitos de perspectiva,
bem como os comandos show que apontam os problemas .
router eigrp 99
network 10.1.1.3 0.0.0.0
network 10.1.13.3 0.0.0.0
auto-summary
R3# show ip eigrp interfaces
Mean
Pacing Time
MuIticast
Pending
SRTT
Un/ReliabIe F
Iow Timer
Routes
FaOIO
0/10
50
010
Distance
Last Update
10.l.l.2
90
00 : 28 : 16
10.l.l.1
90
00:28:14
router eigrp 99
passive-interface FastE t hern etOIO
-
network 10.0.0 . 0
auto-summary
R4#show ip eigrp interfaces
IP-EIGRP interfaces for process 99
pacing Time
MuIticast
Pending
SRTT
Un/ReliabIe F
Iow Timer
Routes
0/1
Xmit Queue
Interface Peers Un/ReIiabIe
FaO/1
010
Mean
CCNA ICND2
301
1-
1-
Passive I nterface(s) :
FastEt h e rnetO / O
Routing Inforrnation Sources:
Gateway
Distance
Last Update
A causa raiz do problema em R3 que R3 possui o comando de configurao network 10.1.13.3 0.0.0.0, que no casa
com o endereo IP 10.1.33.3 de FaO/l de R3. Se a configurao no estiver disponvel na questo do exame, o comando
show ip protocols poderia ser usado para ver essencialmente os mesmos detalhes de configurao. Neste caso, o
comando show ip protocols em R3 apresenta o texto " 10.1.13.3/32" como uma referncia ao contedo dos parmetros
incorretos do comando network. Como resultado, R3 no tenta encontrar vizinhos em sua interface FaO/l , o que no
um grande problema neste caso, mas R3 tambm no anuncia a sub-rede 10.1.33.0/24, a sub-rede conectada alm de sua
interface FaO/l. Tambm observe que o comando show ip eigrp interfaces em R3 omite a interface FaO/l , o que por
si s6 no determina a causa raiz, mas pode ajudar voc a isolar o problema.
Em R4, o engenheiro poderia ter usado corretamente o subcomando de roteador passive-interface fastethernetO/1 porque
nenhum outro roteador deveria existir alm da interface FaO/l de R4. No entanto, o engenheiro erroneamente fez referncia
interface FaO/O em R4, ao invs da interface FaO/l. O comando show ip eigrp interfaces em R4 omite propositadamente a
interface passiva (FaO/O), e a parte em destaque na sada do comando show ip protocols de R4lista FaO/O como uma interface
passiva. Pelo fato de FaO/O de R4 ser passiva, R4 nem mesmo tenta se tomar vizinho de outros roteadores na mesma LAN.
PID
Ar ea
IP Address / Mask
Cost
State Nbrs F / C
FaO / 1
11
10.1.11.1 / 24
DR
O/ O
FaO / O
11
10.1.1.1 / 24
DROTH
2/ 2
Distance
Last Update
3.3 . 3 . 3
110
00 : 01:12
4.4.4.4
110
00:01:12
1.1.1.1
110
00:01:12
Distance:
(default is 110)
00:01:19, FastEthernetO/O
00:01:19, FastEthernetO/O
PID
Area IP
Address/Mask
Cost
State
Nbrs F /C
FaO/1
22
10 . 1.22.2/24
DR
O/O
FaO/O
22
10.1.1.2/24
DR
O/O
Ro ut i ng f o r Networks:
1 0. 0. 0 . 0 0. 2 55. 2 55. 2 55 area 1
I~
(default is 110)
R2>
! ! !!!!!!! ! ! !!! ! !! ! !!! ! ! !!!! ! !!!!!!!!! !! !!! !!! ! !! !! !! !!! ! !!!!!! ! !!! !! !!!!! !! !!! ! !
Para o OSPF, o comando show ip ospf interface brief apresenta a sada de modo similar ao do comando show ip eigrp
interface, com uma linha para cada interface habilitada. (O comando show ip ospf interface, que no foi mostrado no
exemplo, apresenta informaes detalhadas do OSPF para cada interface.) Neste exemplo, ambos, RI e R2 possuem
OSPF habilitado em ambas as interfaces de LAN, mas este comando tambm lista o nmero da rea para cada interface,
com R2 tendo ambas as interfaces de LAN na rea 1. Como resultado, a interface FaO/O de R2 est em uma rea
diferente com relao s interfaces dos outros trs roteadores na mesma LAN.
.'
Uma olhada mais de perto na sada do comando show ip protocols em R2, particularmente na parte que est em
destaque, aponta o erro de configurao. A frase em destaque "10.0.0.0 0.255.255.255 area 1" tem, na verdade, a sintaxe
exata de um comando network no roteador R2, exceto pela palavra "network". Reconfigurar R2 de modo que sua
interface FaO/O case com os outros trs roteadores resolveria este problema em particular.
O [mal do exemplo mostra uma mensagem de log no solicitada, gerada pelo roteador R2, notificando o usurio do
console de que este roteador recebeu um Helio de um roteador de uma rea diferente.
Enquanto voc verifica as interfaces, voc tambm poderia verificar diversos outros detalhes mencionados na cobertura
da resoluo de problemas de IP, no Captulo 7. Faz sentido seguir adiante e verificar os endereos IP da interface, as
mscaras e o estado da interface usando os comandos show interfaces e show ip interface brief. Em particular, til
observar quais interfaces esto up/up porque um protocolo de roteamento no tentar encontrar vizinhos ou anunciar
sub-redes conectadas para uma interface que no estiver em um estado up/up. Estas verificaes foram discutidas em
detalhes no Captulo 7, portanto elas no sero repetidas aqui.
: Relaes de vizinhana
Conforme mencionado logo no comeo deste captulo, quando um protocolo de roteamento for habilitado em uma interface, e a
interface no estiver configurada como uma interface passiva, o protocolo de roteamento ir tentar descobrir vizinhos e formar
uma relao de vizinhana com cada vizinho que compartilhar a sub-rede em comum. Esta seo examina o grande nmero de
fatos que cada roteador deve verificar com cada vizinho em potencial, antes que os dois roteadores se tomem vizinhos.
Ambos os protocolos, OSPF e EIGRP, usam mensagens Hello para aprender sobre novos vizinhos e para trocar informaes
usadas para executar algumas verificaes bsicas. Por exemplo, como acabou de ser mostrado no Exemplo 11-3, um roteador
OSPF no deve se tomar vizinho de outro roteador que estiver em outra rea porque todos os roteadores em uma sub-rede em
comum deveriam estar na mesma rea, por questes de designo (A fronteira entre reas um roteador, e no um enlace.)
Depois que um roteador EIGRP ou OSPF escuta um Helio de um novo vizinho, o protocolo de roteamento examina as
informaes no Helio, juntamente com algumas configuraes locais para decidir se os dois vizinhos deveriam sequer
tentar se tomar vizinhos. Pelo fato de no existir nenhum termo formal para todos estes itens que um protocolo de
roteamento deve considerar, este livro simplesmente os chama de requisitos para vizinhana. A Tabela 11-2 lista os
requisitos para vizinhana para ambos, EIGRP e OSPF. Depois da tabela, as prximas pginas examinam algumas destas
configuraes para ambos, EIGRP e OSPF, usando novamente exemplos baseados na Figura 11-2.
..........
[ TpiCO
\ Cha""
".
Requisito
EIGRP
OSPF
Sim
Sim
Sim
Sim
Sim
Sim
Sim
No
No
Sim
No
Sim
No l
Sim
Sim
N/A
N/A
Sim
lTer RIDs duplicados no EIGRP no impede que roteadores se tornem vizinhos, mas pode causar problemas quando rotas EIGRP externas so
adicionadas na tabela de roteamento.
Observao Embora seja importante estudar e se lembrar dos itens desta tabela, pode no
ser melhor estudar esta tabela de imediato. Ao invs disso, leia o resto do captulo antes
porque os itens desta tabela sero mencionados e revisados ao longo do resto deste captulo.
De modo diferente dos demais requisitos para vizinhana listados na Tabela 11-2, o primeiro requisito tem muito pouco a
ver com os protocolos de roteamento propriamente ditos. Os dois roteadores devem ser capazes de enviar pacotes um ao
outro atravs da rede fsica qual ambos esto conectados. Para fazer isso, as interfaces do roteador devem estar up/up.
Na prtica, antes de examinar o resto dos detalhes de por que dois roteadores no se tomam vizinhos, confIrme se os dois
roteadores podem fazer ping um no outro na sub-rede local. Se o ping falhar, investigue todas as possibilidades nas
Camadas 1, 2 e 3 que poderiam impedir que o ping funcionasse (tal como uma interface no estar up/up), conforme
coberto em vrios captulos deste livro e no CCENT/CCNA ICNDi Official Exam Certification Guide (Guia ofIcial de
certificao do exame CCENT/CCNA ICNDl).
------------------------------------------------------- .
Pelo fato dos detalhes serem um pouco diferentes para os dois protocolos de roteamento, esta seo examinar o EIGRP
primeiro, seguido pelo OSPE
Observao
Esta seo assume que o protocolo de roteamento foi realmente habilitado em
cada interface necessria, conforme coberto anteriormente neste captulo na seo chamada
"Interfaces habilitadas com um protocolo de roteamento".
Exemplo 11-4 Comando show ip eigrp neighbors em Ri com Todos os Problemas Solucionados
R1# show ip eigrp neighbors
IP- EIGRP neighbors for process 99
H
Address
Interface
Hold Uptime
SRTT
( s ec)
(ms)
13 00:00:04
616
RTO
10.l.l.3
FaO / O
3696
10.l.l.4
FaO / O
12 00 : 00 : 54
200
10.l.l.2
Fa O/ O
14 00 : 01:19
123
738
Seq
Cnt
Num
o
o
o
8
45
43
Se o comando show ip eigrp neighbors no listar um ou mais vizinhos esperados, e os dois roteadores puderem efetuar
ping no endereo IP um do outro em sua sub-rede comum, o problema provavelmente estar relacionado a um dos
requisitos para vizinhana listados nas Tabelas 11-2 e 11-3. A Tabela 11-3 resume os requisitos para vizinhana no EIGRP
e apresenta os melhores comandos com os quais determinar qual requisito a causa raiz do problema.
/;~~;~o
\. Chave
. ..
Requisito
show interfaces
show protocols
Todos os requisitos listados na Tabela 11-3, exceto o ltimo, foram explicados no Captulo 10. Os valores K do EIGRP se
referem aos parmetros que podem ser configurados para se alterar o que o EIGRP usa em seu clculo de mtricas. A
Cisco recomenda deixar estes valores em sua configurao default, usando apenas a largura de banda e o atraso no clculo
da mtrica. Pelo fato da Cisco recomendar que estes valores no sejam alterados, este problema em particular no muito
comum. No entanto, voc pode verificar os valores K em ambos os roteadores usando o comando show ip protocols.
O Exemplo 11-5 mostra trs problemas que podem fazer com que dois roteadores que deveriam se tomar vizinhos no
EIGRP no tenham xito em faz-lo. Para este exemplo, os seguintes problemas foram introduzidos:
R3 foi configurado para usar ASN 199 com o comando router eigrp 199, ao invs de ASN 99, usado nos outros
trs roteadores.
R4 foi configurado para usar autenticao MD5, como os outros roteadores, mas R4 possui um valor de chave de
"FRED" ao invs do valor "fred", usado pelos outros trs roteadores.
RI , na verdade, pode detectar dois dos problemas sem precisar usar comandos nos outros roteadores. RI gera uma
mensagem de log no solicitada para o problema de sub-rede diferente, e um comando debug em RI pode revelar
a falha na autenticao. Um exame rpido de alguns comandos show em R3 pode identificar que o ASN errado foi
usado no comando de configurao router. O Exemplo 11-5 mostra os detalhes.
Exemplo 11-5 Problemas Comuns que Impedem a Formao de Vizinhos no EIGRP
! F irst,
! that the router with IP address 10.1.2.2 is not on the s arne subnet as R1.
*May 28 20:02:22.355:
IP-EIGRP(Default-IP-Routing-Table:99): Neighbor
Next, R1 e n ables a debug that shows messages for each p a cket received from R4,
STUB, SIAQUERY,
SIAREPLY)
*May 28 20 : 0 4 :00.931: EIGRP: pkt key id = 1, authentication mismatch
*May 28 20:04:00.931: EIGRP: FastEthernetO/O: ignored packet from 10 .1 .1.4,
opcode = 5 (invalid authentication)
! The rest of the output is from R3
! The first line of output from the show ip protocols cornrnand lists ASN 199
! The first line of output from show ip eigrp interfaces lists ASN 199
Mean
Pacing Time
Mu lticast
pending
Interface
Peers
Un/Reliable
SRTT
Un/Reliable
Flow Timer
Routes
FaOIO
010
0110
FaO/1
010
0110
~--------------------------------------------------------~ .
O Exemplo 11-6 mostra a sada do comando show ip ospf neighbor no roteador R2, da Figura 11-2, com a configurao
correta em cada um dos quatro roteadores da figura.
Pri
State
Dead Time
Address
Interface
1.1.1.1
FULL/BDR
00 : 00:37
10.1.1.1
FastEthernetOIO
3.3.3.3
2WAY/DROTHER
00 : 00:37
10.1.1.3
FastEthernetOIO
4 . 4.4.4
FULL/DR
00 : 00:31
10 . 1.1.4
FastEthernetOIO
Uma breve reviso dos estados de vizinhos no OSPF (conforme explicado no Captulo 9) pode ajudar voc a entender
algumas das sutilezas na sada do comando, no exemplo. O estado apresentado para cada roteador, para cada um de seus
vizinhos OSPF - o estado do vizinho - deve se enquadrar nos estados two-way ou Full sob operao normal. Para
vizinhos que no precisam trocar diretamente suas bases de dados, tipicamente, dois roteadores no DR em uma LAN,
os roteadores devem se enquadrar em um estado de vizinho two-way. Na maioria dos casos, dois roteadores vizinhos
precisam trocar diretamente suas LSDBs completas, um com o outro. To logo este processo termine, os dois roteadores
vo para o estado de vizinho Full. No Exemplo 11-6, o roteador R4 o DR, e RI o BDR, portanto R2 e R3 (por no
serem DRs) no precisam trocar rotas diretamente. Sendo assim, o estado de vizinho de R2 para R3 (RID 3.3.3.3) no
Exemplo 11-6 est listado como two-way.
Observao Notadamente, os vizinhos OSPF no precisam usar o mesmo process ID no
comando router ospf process-id para se tornarem vizinhos. No Exemplo 11-6, todos os quatro
roteadores usam diferentes process IDs.
Se o comando show ip ospf neighbor no listar um ou mais vizinhos esperados, antes de prosseguir para ver os
requisitos para vizinhana no OSPF, voc deveria confirmar se os dois roteadores so capazes de efetuar ping um no
outro na sub-rede local. Assim que os dois roteadores vizinhos puderem efetuar ping um no outro, caso os dois roteadores
ainda no se tomem vizinhos OSPF, o prximo passo ser examinar cada um dos requisitos para vizinhana no OSPE A
Tabela 11-4 resume os requisitos, listando os comandos mais teis com os quais se podem encontrar as respostas.
Tabela 11-4 Requisitos para Vizinhana no OSPF e os Melhores Comandos show/debug
/;~;~o
\ Cheve
Requisito
show ip ospf
....
o restante desta seo mostra dois exemplos nos quais dois roteadores OSPF poderiam se tomar vizinhos, mas no o
fazem por causa de algumas das razes desta tabela. A seguir, seguem informaes a respeito do requisito de MTU
idntico.
Exemplo 1 de Vizinhana no OSPF
Neste primeiro exemplo de problemas com vizinhana no OSPF, a mesma rede de sempre, com quatro roteadores da
Figura 11-2 ser usada. Esta interconexo de redes foi desenhada para usar uma nica rea, a rea O. Neste caso, os
seguintes problemas foram introduzidos no design:
R2 foi configurado com ambas as interfaces de LAN na rea 1, enquanto que as interfaces FaO/O dos outros trs
roteadores foram atribudas para a rea O.
R3 est usando o mesmo RID (1.1.1.1) que RI.
R4 est usando autenticao MD5, da mesma forma que os outros trs roteadores, mas R4 foi erroneamente
configurado com relao ao valor de sua chave de autenticao (FRED, em vez de fred) .
O Exemplo 11-7 mostra a evidncia dos problemas, com comentrios seguindo o exemplo.
IP Address / Mask
Cost
State
Nbrs F / C
FaO / 1
11
10.1.11.1 / 24
OR
O/ O
FaO / O
11
10.1.1.1 / 24
OR
O/ O
! Now to R2
! R2 shows that FaO/O is in area 1
IP Address / Mask
Cost
State
Nbrs F / C
FaO/1
FaO/O
! Next,
22
10.1.22.2 / 24
OR
O/ O
22
10.1.1. 2 / 24
OR
O/ O
on R3
! Back to R1 again
! Next command confirms that R1 is also trying to use RIO 1 . 1.1.1
R1 #Show ip ospf
308
Como observado na Tabela 11-4, o comando debug ip ospf adj ajuda a resolver problemas relacionados a reas diferentes
no OSPF, bem como problemas de autenticao. As mensagens em destaque nas primeiras linhas do exemplo mostram que
o roteador com endereo 10.1.1.2 (R2) possui um ID de rea diferente, igual a 0.0.0.1 , o que significa rea 1. Na verdade,
R2 foi configurado erroneamente para colocar sua interface FaO/O na rea 1. Logo a seguir est uma referncia a uma
"mismatched authentication key" (ou chave de autenticao diferente), o que significa que o tipo correto de autenticao foi
usado, mas as chaves configuradas possuem valores diferentes, especificamente para o roteador 10.1.1.4 (R4).
Observao Roteadores tratam mensagens de debug como sendo mensagens de log, que o
lOS envia ao console, por default. Para ver essas mensagens atravs de uma conexo Telnet
ou SSH, use o comando terminal monitor. Para desabilitar a apresentao destas mensagens,
use o comando terminal no monitor.
A prxima parte do exemplo mostra o comando show ip ospf interface brief em ambos, RI e R2, enfatizando como
cada interface FaO/O do roteador est em uma rea OSPF diferente.
O final do exemplo apresenta as informaes que mostram RI e R3 , ambos tentando usar o RID 1.1.1.1. De modo
interessante, ambos os roteadores geram automaticamente uma mensagem de log para o problema de RID duplicado no
OSPF, entre RI e R3 . Um RID duplicado provoca problemas significativos no OSPF, muito alm de somente dois
roteadores no poderem se tornar vizinhos. O final do Exemplo 11-7 mostra a mensagem de log (em destaque). Os
comandos show ip ospf em ambos, R3 e RI tambm mostram como voc pode listar facilmente o RID de cada roteador,
percebendo que ambos usam o mesmo valor.
FastEthernetO/O 10.1.1.2
*May 29 10:41:42.603: OSPF: Mismatched hello parameters from 10.1 . 1.2
*Ma y 29 10 : 41 : 42.603 : OS PF: Dead R 20 C 40, Hello R 5 C 10
Ma sk R 255.255 . 255.0 C 255.255.255.0
Rl#undebug a11
priority 1
Timer intervals configured , Hello 10, Dead 40, Wait 40, Retransmit 5
lines omit t ed for brevity
Moving on t o R2 next
o exemplo comea com as mensagens de debug relacionadas ao problema de autenticao entre RI , que usa autenticao
MD5, e R4, que agora usa a autenticao c1ear-text. Conforme listado na Tabela 9-4 do Captulo 9, o lOS considera a
autenticao c1ear-text do OSPF como sendo autenticao do tipo 1 e o MD5 como sendo do tipo 2. A mensagem de
debug em destaque conflrma este tipo de pensamento, mostrando que RI recebeu um pacote de 10.1.1.4 (R4), com
autenticao do tipo 1, mas com RI esperando autenticao do tipo 2.
A seguir, o exemplo mostra as mensagens geradas pelo comando debug ip ospf heUo - especiflcamente, aquelas
relacionadas a temporizador de HeliolDead diferentes. A mensagem em destaque usa um "C", que signiflca "configured
value" (ou valor configurado) - em outras palavras, o valor no roteador local, ou em RI , neste caso. O "R" na
mensagem signiflca "Received value" (ou valor recebido), ou o valor listado no Hello recebido. Neste caso, o termo
"Dead R 20 C 40" signiflca que o roteador que gerou esta mensagem, RI, recebeu um Hello com um temporizador
para Dead configurado em 20, mas o valor configurado em RI na interface de 40, portanto os valores no so
idnticos. De modo similar, a mensagem mostra a diferena nos temporizadores de Helio tambm. Observe que
qualquer problema de diferena na sub-rede IP tambm poderia ser encontrado com este mesmo debug, baseado nas
mscaras de sub-rede recebidas e configuradas.
A maior parte ocupada pelo exemplo mostra a sada do comando show ip ospf interface, tanto de RI como de R2, a qual
lista os temporizadores de Helio e Dead de cada interface, confumando os detalhes mostrados nas mensagens de debug.
De todos os problemas em potencial entre dois vizinhos OSPF em potencial listados na Tabela 11-2, apenas um problema,
o problema do MTU que no idntico, permite que o vizinho seja listado na sada do comando show ip ospf neighbor
do outro roteador. Quando dois roteadores se conectam mesma sub-rede, com conflgurao diferente de MTU de IP
Neighbor 10
Pri
State
Oead Time
Address
Interface
3 . 3.3.3
EXCHANGE/ OR
00 : 00:36
10.1.1.3
Fast EthernetO/O
O estado executa tipicamente um ciclo a partir do estado Exchange, de volta ao estado Init, e depois de volta ao estado
Exchange.
\. Chave
....
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave. A Tabela 11-5 lista estes
tpicos-chave e onde cada um deles foi discutido.
Nmero da Pgina
Lista
297
Tabela 11-1
297
Tabela 11-2
303
Tabela 11-3
304
Tabela 11-4
306
Comando
Descrio
. --------------------------------------------------------------
---------------------------------------------------------------
---------------------------------------------------------------
-------------------------------------------------------------
Comando
Descrio
show ip protocols
- Verificar a operao do hardware e do software do roteador usando os comandos SHOW & DEBUG
*Sempre verifique o site http://www.cisco.com para ver os tpicos de exame colocados recentemente.
.,
.'
. ----------------------------------------------
----------------------------_
--------------------------------- ..
seguintes assuntos:
_______________________________
e
Este captulo cobre os seguintes assuntos:
CAPTULO
12
: WANs ponto-a-ponto
Este captulo o primeiro dentre quatro captulos da Parte IV deste livro. Esta parte se concentra em tecnologias WAN. Este
captulo completa a anlise de enlaces ponto-a-ponto, examinado mais detalhes a respeito de como o PPP funciona, juntamente
com uma grande variedade de tpicos relacionados resoluo de problemas referentes a linhas privativas ponto-a-ponto. O
Captulo 13, "Conceitos de Frame Relay" , e o Captulo 14, "Configurao e resoluo de problemas de Frame Relay", exploram
as tecnologias de Frame Relay. O Captulo 15, ''Redes privadas virtuais", mostra os conceitos por detrs das VPNs (Virtual
Private Networks, ou Redes Privadas VIrtuais). Os VPNs permitem que voc crie caminhos seguros para comunicao que
funcionam como enlaces WAN, usando ao mesmo tempo outras redes menos seguras, tais como a Internet.
o questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. Se voc errar no mais que uma
destas sete questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame" . A Tabela 12-1 lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
material destas sees. Isto ajudar voc a avaliar seu conhecimento nestas reas especficas. As respostas ao questionrio
"Eu j conheo isto?" aparecem no Apndice A.
Tabela 12-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu j conheo isto ?"
Perguntas
Conceitos de PPP
le2
Configurao do PPP
3-5
6e7
1. Qual(is) dos seguintes protocolos de autenticao PPP autentica(m) um dispositivo na outra extremidade de um
enlace sem enviar nenhuma informao de senha em texto claro?
a. MD5
b. PAP
c. CHAP
d. DES
2. Qual(is) dos seguintes protocolos PPP controla(m) a operao do CHAP?
a . CDPCP
b. IPCP
c. LCP
d. IPXCP
Dois roteadores no possuem nenhuma configurao inicial. Eles esto conectados em um laboratrio atravs de um
3. cabo DTE conectado a RI e um cabo DCE conectado a R2, com os cabos DTE e DCE conectados um ao outro. O
engenheiro quer criar um enlace PPP que funcione. Qual(is) dos seguintes comando (so) necessrio(s) em RI
para que o enlace alcance um estado no qual RI possa fazer ping no endereo IP serial de R2, assumindo que o
enlace fsico esteja fisicamente funcionando de ponta a ponta?
Qual(is) dos seguintes comandos de configurao pode(m) completar a configurao de RI de modo que o
CHAP possa funcionar corretamente? Assuma que R2 tenha sido configurado corretamente e que a senha
seja fred.
a. Nenhuma configurao adicional necessria.
b. ppp chap (comando global)
c. username Rl password fred
d. username R2 password fred
e. ppp chap password fred
5. Considere o seguinte trecho da sada de um comando show:
SerialO/0/1 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 192.168.2.1/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec ,
relia bility 255/255,
Qual(is) dos seguintes itens (so) verdadeiro(s) a respeito da interface SOIOII deste roteador?
a. A interface est usando HDLC.
b. A interface est usando PPP.
c. A interface no pode passar trfego IPv4 atualmente.
d. O enlace deveria ser capaz de passar frames PPP no presente momento.
6. Considere o seguinte trecho da sada do comando show interfaces em uma interface configurada para usar PPP:
SerialO/0/1 is up, line protocol is down
Hardwa re is GT96K Seri al
Interne t address i s 192.168.2.1/24
Um ping no endereo IP da outra extremidade do enlace falha. Qual(is) dos seguintes itens ()so razo(es) para a
falha, assumindo que o problema apresentado na resposta seja o nico problema com o enlace?
a. O CSUIDSU conectado ao outro roteador no est ligado.
b. O endereo IP do roteador na outra extremidade do enlace no est na sub-rede 192.168.2.0/24.
c. A autenticao CHAP falhou .
d. O roteador na outra extremidade do enlace foi configurado para usar HDLC.
e. Nenhuma das outras respostas est correta.
~l
CCNA ICND2
317
I
Dois roteadores possuem um enlace serial entre eles, com o enlace configurado para usar PPP, e com EIGRP
7. configurado corretamente em todas as interfaces. O engenheiro pode fazer ping no endereo IP da outra extremidade
do enlace, mas no no endereo IP da interface da LAN do outro roteador. Qual(is) das seguintes respostas (so)
uma causa provvel do problema?
a. O CSUIDSU conectado ao outro roteador no est ligado.
b. O endereo IP serial no roteador da outra extremidade do enlace no est na mesma sub-rede que o roteador local.
c. A autenticao CHAP falhou.
d. O roteador na outra extremidade do enlace foi configurado para usar HDLC.
Tpicos fundamentais
O PPP (Point-to-Point Protocol) define um protocolo para enlace de dados com muitos recursos alm de simplesmente
ajudar dois dispositivos a enviarem dados atravs do enlace. Este captulo comea explicando os diversos recursos do
PPP disponveis nos roteadores, seguido da configurao do PPP, incluindo a configurao da autenticao no PPP. Este
captulo termina com uma seo sobre resoluo de problemas em enlaces seriais, cobrindo uma grande variedade de
tpicos incluindo PPP.
Opes para WAN tais como linhas privativas, packet switching e CSUsIDSUs, bem como
conhecimentos bsicos de HDLC e PPP, so todos considerados conhecimentos que so prrequisitos para o exame ICND2 e para este livro. Para isso, voc poder adquirir o livro
CCENT/CCNA fCNDI Guia Oficial de Certificao do Exame, Captulo 17.
: Conceitos de PPP
o PPP fornece
vrias funes bsicas, porm importantes, que so teis em uma linha privativa que conecta dois
dispositivos, conforme revisados na seguinte lista:
..........
Definio de um cabealho e um trailer que permite a entrega de um frame de dados atravs do enlace
( TpiCO
'. Chave
....
Suporte a enlaces sncronos e assncronos
As prximas pginas analisam mais de perto o campo protocolo, a autenticao e os protocolos de controle.
Um campo tipo de protocolo no cabealho, permitindo que vrios protocolos de Camada 3 passem atravs do
mesmo enlace
Ferramentas de autenticao embutidas: PAP (Password Authentication Protocol) e CHAP (Challenge
Handshake Authentication Protocol)
Protocolos de controle para cada protocolo de camada mais alta que executa sobre o PPP, permitindo uma integrao
mais fcil e suporte a estes protocolos.
Um dos recursos mais importantes includos no padro PPP, mas no no padro HDLC, o campo Protocolo. O campo
Protocolo identifica o tipo do pacote dentro do frame. Quando o PPP foi criado, este campo permitia que os pacotes dos
diversos protocolos de Camada 3 passassem atravs de um nico enlace. Atualmente, o campo de tipo do protocolo ainda
disponibiliza a mesma funo, at mesmo para o suporte de duas diferentes verses de IP (IPv4 e IPv6). A Figura 12-1
compara os detalhes de empacotamento no HDLC e no PPP, mostrando o campo Protocolo proprietrio no HDLC e o
campo Protocolo padronizado no PPP.
Varivel
Varivel
HOLC
ppp
/;~~;~o
O PPP define um conjunto de mensagens de controle de Camada 2 que executam diversas funes de controle do
enlace. Estas funes de controle se enquadram em duas categorias principais:
O LCP (Link Control Protocol) do PPP implementa as funes de controle que funcionam da mesma forma, no
importa o protocolo usado na Camada 3. Para as facilidades relacionadas a qualquer protocolo de camada superior,
tipicamente protocolos de Camada 3, o PPP usa uma srie de CPs (control protocols, ou protocolos de controle) do
PPP, como por exemplo, o IPCP (lP Control Protocol, ou Protocolo de Controle IP). O PPP usa urna instncia do LCP
por enlace, e um CP para cada protocolo de Camada 3 definido no enlace. Por exemplo, em um enlace PPP usando IPv4,
IPv6 e CDP (Cisco Discovery Protocol), o enlace usa uma instncia de LCP, mais IPCP (para IPv4), IPv6CP (para
IPv6) e CDPCP (para CDP).
A prxima seo resume as funes do LCP em primeiro lugar, e depois explica urna destas funes, a autenticao, em
maiores detalhes.
O LCP fornece quatro recursos notveis, que sero cobertos neste captulo. A Tabela 12-2 resume as funes, d os
nomes dos recursos do LCP e descreve os recursos de modo resumido. Aps a tabela, o texto explica cada um dos
recursos em maiores detalhes. Note que os recursos listados na tabela so opcionais e ficam desabilitados por default.
\~haY1l
Funo
Recurso do LCP
Descrio
------------------------------------------------------------Deteco de erro
Multilink PPP
Autenticao
PAP e CHAP
CCNA ICND2
319
Deteco de erro e deteco de loop em enlace so dois recursos-chave do PPP. A deteco de enlaces em loop permite
convergncias mais rpidas quando um enlace falha pelo fato de estar em loop. Mas o que significa "estar em loop"?
Bem, para testar um circuito, a companhia telefnica pode colocar o circuito em loop. O tcnico da companhia telefnica
pode se sentar sua mesa e, atravs de comandos, fazer com que o switch da companhia telefnica faa um loop no
circuito. Isso significa que a companhia telefnica pega o sinal eltrico enviado pelo dispositivo CPE e envia a mesma
corrente eltrica de volta ao mesmo dispositivo.
claro que os roteadores no conseguem enviar bits uns aos outros enquanto o enlace estiver em loop. No entanto, o
roteador pode no perceber que o enlace est em loop porque o roteador continua recebendo algo atravs do enlace! O
PPP ajuda o roteador a reconhecer um enlace em loop rapidamente, de modo que o mesmo possa desabilitar a interface
e possivelmente usar uma rota alternativa.
Em alguns casos, a convergncia do protocolo de roteamento pode ser agilizada pelo reconhecimento de loop do LCP. Se
o roteador puder perceber imediatamente que o enlace est em loop, ele poder colocar a interface em um estado "down
and down", e os protocolos de roteamento podero alterar suas atualizaes de roteamento baseados no fato de que o
enlace foi desativado. Se um roteador no perceber que um enlace est em loop, o protocolo de roteamento dever
esperar por timeouts - algo como no escutar nada vindo do roteador na outra extremidade do enlace por um determinado
perodo de tempo.
O LCP percebe enlaces em loop rapidamente atravs de uma facilidade chamada magic numbers (nmeros mgicos).
Quando o PPP est sendo usado, o roteador envia mensagens LCP do PPP ao invs dos keepalives proprietrios da
Cisco atravs do enlace; estas mensagens incluem um nmero mgico, que diferente para cada roteador. Se uma linha
estiver em loop, o roteador receber uma mensagem LCP com seu prprio nmero mgico, ao invs de obter uma
mensagem com o nmero mgico do outro roteador. Quando um roteador recebe seu prprio nmero mgico, este
roteador sabe que o frame que ele enviou foi enviado de volta; portanto o roteador pode desabilitar a interface, o que
agiliza a convergncia.
De modo similar a muitos outros protocolos de enlace de dados, o PPP usa um campo FCS no trailer do PPP para
determinar se um determinado frame possui um erro. Se um frame for recebido com erro, ele ser descartado. Porm, o
PPP pode monitorar a freqncia com que frames com erro so recebidos, de modo que possa desabilitar uma interface
caso muitos erros ocorram.
O LCP do PPP analisa a taxa de erros em um enlace usando uma facilidade do PPP chamada LQM (Link Quality
Monitoring, ou Monitoramento da Qualidade do Enlace). O LCP em cada extremidade do enlace envia mensagens
descrevendo o nmero de pacotes e bytes recebidos corretamente. O roteador que enviou os pacotes compara este
nmero de frames com erro com o nmero de frames e bytes que ele enviou, e calcula a porcentagem de perdas. O
roteador pode desabilitar o enlace depois que uma taxa de erro configurada for excedida.
A nica ocasio em que o LQM ajuda quando voc possuir rotas redundantes na rede. Ao desabilitar um enlace que
apresenta muitos erros, voc poder fazer com que os pacotes usem um caminho alternativo que pode no ter tantos
erros.
Multilink PPP
Quando existem mltiplos enlaces PPP entre os mesmos dois roteadores - chamados de enlaces paralelos - os roteadores
devem ento determinar como usar estes enlaces. Com enlaces HDLC, e com enlaces PPP usando a mais simples das
configuraes, os roteadores devem usar o balanceamento de carga da Camada 3. Isto significa que os roteadores
possuem mltiplas rotas para as mesmas sub-redes destinos. Por exemplo, a parte superior da Figura 12-2 mostra o efeito
do balanceamento de carga em RI quando est encaminhando pacotes para a sub-rede 192.168.3.0/24.
Dest. = 192.168.3.11
1_
-----Ir-
....=::::jl-_ _ _
~
192.168.2.1
SOlOl1
192.168.2.2
L2.:19~2.~168~~1.1~~~'iI~~~===~=:S:0/:1/=0=~JJ192.168.3.2
FaOIO \ .
R~ S0l1/0
192.168.4.1
S0/1 /1
FaO/1
Sub-rede
192.168.3.0/24
192.168.4.2
Tabela de Roteamento de R1
Sub-rede
192.168.3.0/24
Int. de Sada
SO/0/1
SO/1/0
Dest. = 192.168.3.12
A figura mostra dois pacotes, um grande e outro pequeno. Usando a lgica da Camada 3, o roteador pode escolher enviar
um pacote atravs de um enlace, e o prximo pacote atravs de outro. No entanto, pelo fato de os pacotes poderem ter
tamanhos diferentes, o roteador poder no distribuir o trfego igualmente em cada enlace. Em alguns casos, de modo
particular quando a maior parte dos pacotes enviada para alguns poucos hosts destinos, o nmero de pacotes enviados
atravs de cada enlace pode nem mesmo estar balanceado, o que poder sobrecarregar um dos enlaces e deixar o outro
enlace com folga.
o Multilink PPP distribui a carga de trfego igualmente atravs dos enlaces, ao mesmo tempo em que permite que a
lgica da Camada 3 em cada roteador trate os enlaces paralelos como sendo um nico enlace. Quando est encapsulando
um pacote, o PPP fragmenta o pacote em frames menores, enviando um fragmento atravs de cada enlace. Por exemplo,
para a rede mostrada na Figura 12-2, com dois enlaces, RI criaria dois frames para cada pacote de Camada 3, com cada
frame possuindo, grosso modo, metade do pacote original. Ento, o PPP envia um fragmento de cada pacote original
atravs de cada um dos dois enlaces. Pelo fato de enviar metade de cada pacote atravs de cada enlace, o multilink do
PPP pode distribuir a carga de trfego de modo mais equilibrado. Como um benefcio adicional, o multilink do PPP
permite que as tabelas de roteamento de Camada 3 utilizem uma nica rota que se refere aos enlaces combinados,
fazendo com que a tabela de roteamento seja menor. Por exemplo, na Figura 12-2, RI usaria uma rota para a sub-rede
192.168.3.0/24, referindo-se ao grupo de interfaces atravs de um conceito chamado multilink group.
Autenticao no PPP
O termo autenticao refere-se a um conjunto de funes relativas segurana que ajuda um dispositivo a confirmar se
o outro dispositivo deveria poder se comunicar, e que o mesmo no nenhum impostor. Por exemplo, se espera-se que RI
e R2 possam se comunicar atravs de um enlace serial, RI pode querer que R2 prove de alguma forma que ele
realmente R2. A autenticao fornece um modo de provar a identidade de um dispositivo.
A autenticao em WAN geralmente necessria principalmente quando so usadas linhas discadas. No entanto, a
configurao das facilidades para autenticao a mesma, no importa se uma linha privativa ou uma linha discada
estiver sendo usada.
PAP e CHAP autenticam os pontos fmais em ambas as extremidades de um enlace serial ponto-a-ponto. CHAP o
mtodo preferido hoje em dia porque o processo de identificao usa valores escondidos em um hash unidirecional em
uma Message Digest 5 (MD5), que mais seguro que as senhas em texto claro enviadas pelo PAP.
Tanto o PAP quanto o CHAP exigem a troca de mensagens entre os dispositivos. Quando uma linha discada usada, o
roteador para o qual foi feita a discagem espera receber um nome de usurio e uma senha do roteador que discou, com
ambos, PAP e CHAP. Em uma linha privativa, ambos os roteadores tipicamente autenticam-se mutuamente. No PAP,
tanto para linha privativa quanto para linha discada, o nome de usurio e a senha so enviados na primeira mensagem. No
CHAP, o protocolo comea com uma mensagem chamada de challenge (desafio), que pede ao outro roteador para que
envie seu nome de usurio e a senha. A Figura 12-3 resume os diferentes processos no caso em que os enlaces so
discados. O processo funciona da mesma forma quando o enlace usa uma linha privativa.
321
CCNA ICND2
PAP
Esperando
pela Discagem
Fred
Roteador
Eu sou Barney
Senha = Betty
Ack.
CHAP
Esperando
pela Discagem
Roteador
Challenge !
Eu sou #$%#$@
Fred
O fluxo no PAP muito menos seguro que no CHAP porque o PAP envia o nome do host e a senha em texto claro na
mensagem. Estes podem ser lidos facilmente se algum colocar uma ferramenta de tracing no circuito. Por outro lado, o
CHAP usa um algoritmo de hash unidirecional, cuja entrada para o algoritmo uma senha que nunca passa pelo enlace,
mais um nmero aleatrio compartilhado. O challenge do PAP define o nmero aleatrio; ambos os roteadores so prconfigurados com a senha. O roteador desafiado executa o algoritmo de hash usando o nmero aleatrio recm aprendido
e a senha secreta, e envia os resultados de volta para o roteador que enviou o desafio. O roteador que enviou o desafio
executa o mesmo algoritmo usando o nmero aleatrio (enviado atravs do enlace) e a senha (no enviada atravs do
enlace). Se o resultado for idntico, as senhas devem ser idnticas.
A parte mais interessante do processo do CHAP que em nenhum momento a senha propriamente dita passa pelo
enlace. Com o nmero aleatrio, o valor de hash ser diferente a cada vez. Portanto, mesmo que algum veja o valor de
hash que foi calculado usando uma ferramenta de trace, o valor no ser significativo como uma forma de fazer uma
invaso em uma prxima ocasio. A autenticao do CHAP difcil de quebrar, mesmo com uma ferramenta de tracing
no enlace da WAN.
Configurao do PPP
Esta seo examina como configurar o PPP e como adicionar a configurao do CHAP a seguir. Ao mesmo tempo, esta
seo tambm examina alguns comandos que ajudam a verificar se o PPP est ativo e funcionando.
Para configurar o PPP necessrio somente o comando encapsulation ppp nas duas extremidades do enlace. Para
voltar a usar o default que HDLC, o engenheiro' precisa simplesmente usar o comando encapsulation hdlc em ambas
as extremidades do enlace tambm. No entanto, alm desta configurao bsica, o enlace serial fsico precisa ser
solicitado e instalado. Esta seo assume que o enlace fsico foi instalado e est funcionando. Se voc quiser saber mais
detalhes a respeito do enlace fsico, v ao Captulo 17 de CCENT/CCNA ICNDJ Guia Oficial de Certificao do
Exame.
O Exemplo 12-1 mostra uma configurao simples usando os dois roteadores mostrados na Figura 12-4. O exemplo inclui
a configurao do endereo IP, mas os endereos IP no precisam estar configurados para que o PPP funcione. Pelo fato
da maior parte das instalaes usarem o IP, a configurao foi adicionada para apresentar alguma perspectiva para os
comandos show na segunda parte do exemplo.
192.168.1.1
192.168.2.1
SOIO/1
192.168.2.2
~~~~~::::":"'_--:;;~_ _~SO~I1~/1_.[~--~'
FaOIO ~
192.168.3.2
FaO/1
encapsulation ppp
clockrate 1536000
! Next,
interface SerialO/l/l
ip address 192.168.2.2 255.255.255.0
1encapsulation ppp
! Back to router RI again
loopback n o t set
Este exemplo mostra uma configurao simples, com ambos os roteadores precisando usar o encapsulamento PPP. Se
um dos roteadores usasse o default de HDLC e o outro configurasse o PPP conforme mostrado, o enlace no seria
habilitado, permanecendo em um estado de interface "up and down".
O comando show interfaces na parte inferior do exemplo mostra a sada normal quando o enlace est ativo e funcionando.
O segundo cdigo de estado da interface se refere tipicamente ao estado do enlace de dados, com o valor "up" significando
que o enlace de dados est funcionando. Alm disso, em algumas linhas na sada, as frases em destaque mostram que o
PPP est realmente configurado, e que o LCP completou o seu trabalho com sucesso, conforme indicado atravs do
termo "LCP Open". Alm disso, a sada apresenta o fato de que dois CPs, o CDPCP e o IPCP tambm foram habilitados
com sucesso - tudo isso so boas indicaes de que o PPP est funcionando corretamente.
/~:;;;~ Passo 1 Configure os nomes de hosts dos roteadores usando o comando global de configurao hostname name.
\ C""".
\.
Passo 2 Configure o nome do outro roteador e a senha secreta a ser compartilhada usando o comando global de
configurao username name password password.
Passo 3 Habilite o CHAP na interface de cada roteador usando o subcomando de interface ppp authentication
chap.
O Exemplo 12-2 apresenta uma amostra de configurao usando os mesmos dois roteadores do exemplo anterior (veja
Figura 12-4).
CCNA ICND2
323
hostname R2
encapsulation ppp
encapsulation ppp
Os comandos propriamente ditos no so complicados, mas fcil cometer erros na configurao dos nomes de hosts e
das senhas. Observe que cada um dos roteadores se refere ao nome de host do outro roteador no comando username,
mas ambos os roteadores devem configurar o mesmo valor para a senha. Alm disso, no somente as senhas diferenciam
letras maisculas de minsculas (neste caso, mypass), como tambm os nomes dos hosts, conforme referenciados
atravs do comando username, tambm diferenciam maisculas de minsculas.
Pelo fato do CHAP ser uma funo do LCP, se o processo de autenticao falhar, o LCP no se completa, e a interface
vai para o estado de interface "up and down".
Configurao do PAP
O PAP usa exatamente os mesmos comandos de configurao do CHAP, exceto que o comando ppp encapsulation
pap usado ao invs de ppp encapsulation chap. Os demais comandos para verificao funcionam da mesma forma,
no importando qual dos dois tipos de autenticao est sendo usado. Por exemplo, se a autenticao PAP falhar, o LCP
falha, e o enlace vai para o estado "up and down".
O Software lOS da Cisco tambm suporta a capacidade de configurar o roteador para primeiro tentar um dos mtodos
de autenticao e, se o outro lado no responder, tentar a outra opo. Por exemplo, o subcomando de interface ppp
authentication chap pap diz ao roteador para enviar mensagens CHAP e, se nenhuma resposta for recebida, tentar o
PAP. Observe que a segunda opo no ser tentada se as mensagens CHAP flurem entre os dois dispositivos e o
resultado for uma falha na autenticao. A segunda opo ser usada somente se o outro dispositivo no enviar nenhuma
mensagem de volta.
A prxima seo discutir uma grande variedade de tpicos relativos resoluo de problemas em WAN, incluindo
alguns detalhes a mais sobre resoluo de problemas relativos ao CHAP.
Esta seo discute a forma de se isolar e encontrar a causa raiz de problemas relacionados aos tpicos cobertos
anteriormente neste captulo, bem como a alguns tpicos relativos WAN ponto-a-ponto cobertos em CCENT/CCNA
ICNDI Guia Oficial de Certificao do Exame. Alm disso, esta seo no tentar repetir a cobertura de resoluo de
problemas de IP das Partes nem deste livro, mas apontar alguns dos possveis sintomas em um enlace serial quando
um erro de sub-rede na Camada 3 ocorrer, em extremidades opostas de um enlace serial, o que impedir que os roteadores
encaminhem pacotes atravs do enlace serial.
Um simples comando ping pode determinar se um enlace serial pode ou no encaminhar pacotes IP. Um ping no
endereo IP serial do outro roteador - por exemplo, um comando ping 192.168.2.2 que esteja funcionando em RI na
Figura 12-4 - prova se o enlace funciona ou no.
Se o ping no funcionar, o problema poderia estar relacionado a funes nas Camadas OSI 1,2 ou 3. O melhor meio de
se isolar qual a camada mais provvel de ser a causa examinar os cdigos de estado da interface, descritos na Tabela
12-3. (Somente para lembrar, as interfaces dos roteadores possuem dois cdigos de estado - estado da linha e estado do
protocolo.)
Tabela 12-3 Cdigos de Estado da Interface e Significados Tpicos Quando Um Ping No Funciona
Estado da Linha (Line status)
Estado do Protocolo
(Protocol Status)
Razo Provvel/Camada
Down
/;~;~o
...
,," Cha..
Down
Camada 1
Up
Down
Camada 2
Up
Up
Camada3
o processo de verificao e resoluo de problemas no enlace serial deve comear com um processo simples de trs
passos:
Passo 1 A partir de um dos roteadores, efetue um ping no endereo IP serial do outro roteador.
Passo 2 Se o ping falhar, examine o estado da interface nos dois roteadores e investigue os problemas relacionados s
reas provveis de apresentarem problemas, e que esto listadas na Tabela 12-4 (ser apresentada mais adiante
neste captulo).
Passo 3 Se o ping funcionar, verifique tambm se todos os protocolos de roteamento esto trocando rotas atravs do
enlace.
Observao Os cdigos de estado da interface podem ser encontrados usando-se os comandos
show interfaces, show ip interface brief e show interfaces description.
o resto deste captulo ir explorar os itens especficos que devem ser examinados quando um ping falhar, baseado nas
combinaes de cdigos de estado da interface apresentados na Tabela 12-3.
Resolvendo problemas de camada 1
Os cdigos de estado da interface, ou estado da interface, possuem um papel importante para isolar as causas-raiz dos
problemas em enlaces seriais. De fato, o estado em ambas as extremidades do enlace podem ser diferentes, por isso
importante examinar o estado em ambas as extremidades do enlace para ajudar a determinar o problema.
Um problema de Camada 1, que simples e fcil de ser encontrado, ocorre quando um dos dois roteadores tiver sua
interface serial desabilitada pelo administrador, atravs do subcomando de interface ShUtdOWD. Se a interface serial de
um roteador estiver no estado desabilitado por administrador, a soluo simples - basta configurar o comando de
configurao de interface no shutdoWD na interface. Alm disso, se a interface de um dos roteadores tiver o estado da
linha como down, o outro roteador poder estar desabilitado, portanto verifique ambas as extremidades do enlace.
A combinao de estado de linha down em ambas as extremidades do enlace serial tipicamente indica um problema de
Camada 1. A seguinte lista descreve as razes mais provveis:
......... - A linha privativa est desabilitada (um problema da companhia telefnica).
/ T6plco
\~h.V.
Os detalhes a respeito de como isolar posteriormente estes quatro problemas esto alm do escopo deste livro.
De modo interessante, pode ocorrer um outro problema comum da camada fsica, e que faz com que as interfaces dos
dois roteadores fiquem no estado up/down. Em um enlace serial de ponta a ponta, se o comando clock rate necessrio
estiver faltando no roteador com um cabo DCE instalado, as interfaces seriais dos dois roteadores iro falhar e ficaro
com o estado de linha como up, mas o estado de protocolo da linha como down. O Exemplo 12-3 mostra um exemplo
destes, indicando algumas maneiras de se verificar se a falta de um comando clock rate o problema. As duas melhores
formas para se encontrar este problema so verificar a ausncia do comando clock rate no roteador com o cabo DCE,
e observar o termo "no c1ock" na sada do comando show controUers serial. (Este exemplo mostra R1 da Figura 124, com o comando clock rate removido.)
CCNA ICND2
325
,,_
DCE V. 35 , no clock
!
interface SerialOl0/1
ip address 192.168 . 2 . 1 255 . 255.255 . 0
end
Tabela 12-4 Razes Provveis Para Problemas no Enlace de Dados em Enlaces Seriais
/;~~;~
;.Ch_
....
Estado da Linha
Estado do Protocolo
Razo Provvel
Up
Up
Up
Observao Da mesma forma que nos demais tpicos sobre resoluo de problemas deste
livro, a Tabela 12-4 lista alguns dos tipos mais comum de falhas, mas no todos.
o primeiro destes dois problemas - uma diferena nos protocolos configurados no enlace de dados - fcil de se
identificar e de se corrigir. O comando show interfaces apresenta o tipo de encapsulamento na stima linha da sada,
portanto usar este comando em ambos os roteadores pode identificar rapidamente o problema. De modo alternativo, uma
olhada rpida na configurao, mais lembrar-se de que o HDLC o encapsulamento serial default pode confirmar se os
encapsulamentos esto diferentes. A soluo simples - reconfigure um dos dois roteadores de modo a casar com o
comando encapsulation do outro roteador.
As outras duas causas raiz exigem um pouco mais de discusso para entender a questo, e para se determinar se elas so
realmente a causa raiz. As prximas duas sees apresentam cada uma delas em maiores detalhes.
Falha no keepalive
o segundo item est relacionado a uma facilidade chamada keepalive. A facilidade de keepalive ajuda um roteador a
reconhecer quando um enlace no est mais funcionando, assim o roteador pode desabilitar a interface, esperando ento
usar uma rota IP alternativa.
A funo keepalive (por default) faz com que os roteadores enviem mensagens de keepalive um ao outro a cada 10
segundos (a configurao default). (A Cisco define uma mensagem HDLC keepalive proprietria, enquanto que o PPP
defrne uma mensagem de keepalive como parte do LCP.) Este temporizador de 10 segundos o intervalo do keepalive.
Se um roteador no receber nenhuma mensagem de keepalive do outro roteador por um determinado nmero de intervalos
de keepalive (trs ou cinco intervalos, por default, dependendo da verso do lOS), o roteador desabilitar a interface,
assumindo que a interface no est mais funcionando.
Em redes reais, til simplesmente deixar o keepalive habilitado. No entanto, voc poder cometer um erro e desligar os
keepalives em uma das extremidades de um enlace serial, deixando-os habilitados na outra extremidade, e fazendo com
que o enlace falhe. Por exemplo, se RI fosse configurado com o subcomando de interface no keepalive, desabilitando
os keepalives, RI no enviaria mais as mensagens de keepalive. Se R2 continuasse com o padro de usar keepalives, R2
continuaria a enviar mensagens de keepalive, e R2 iria esperar receber mensagens de keepalive de RI. Depois que
vrios intervalos de keepalive tivessem se passado, R2, no tendo recebido nenhuma mensagem de keepalive de RI, iria
alterar o estado da interface para "up and down". Ento, R2 iria trazer o enlace de volta para up continuamente, continuar
a no receber nenhum keepalive de RI , e ento voltar novamente para o estado "up and down", alternando entre up e
down repetidamente. RI, no se importando com keepalives, deixaria a interface em um estado "up and up" o tempo
todo. O Exemplo 12-4 mostra exatamente este exemplo, novamente com os roteadores da Figura 12-4.
Exemplo 12-4 Problemas na Linha Por Causa de Keepalive Somente em R2
! R1 disables keepalives,
1-
1-
,
e
,-
I.
CCNA ICND2
327
extremidades de um enlace e evitam que o problema descrito aqui acontea. Para os exames
CCNA, basta ficar ciente de que os keepalives devem ser habilitados em ambas as
extremidades do enlace, ou desabilitados em ambas.
o CHAP utiliza a troca de trs mensagens, como mostrado antes na Figura 12-3, com um conjunto de mensagens fluindo
para autenticao em cada uma das direes, por default. As trs linhas em destaque mostram o processo de autenticao
pelo qual RI autentica R2; comea com RI enviando uma mensagem de desafio. A primeira mensagem em destaque no
Exemplo 12-5 apresenta um "O", que significa "output". Isto indica que a mensagem uma mensagem de desafio, e que
ela foi enviada por RI. A prxima mensagem em destaque a mensagem de resposta recebida (indicada com um "I" de
input), de R2. A ltima linha em destaque a terceira mensagem, enviada por RI , informando que a autenticao ocorreu
com sucesso. Voc tambm poder ver as mesmas trs mensagens na sada, para autenticao de R2 por RI , mas estas
mensagens no esto em destaque no exemplo.
Quando a autenticao CHAP falha, a sada do debug mostra algumas mensagens razoavelmente bvias. O Exemplo
12-6 mostra o resultado usando a mesma interconexo de rede com os dois roteadores, mostrada na Figura 12-4, desta
vez com senhas configuradas incorretamente, de modo que o CHAP ir falhar.
Observao Uma rota com um prefIXO /32, que representa um nico host, chamada de
rota para host.
Exemplo 12-7 PPP Permitindo um Ping Atravs do Enlace Serial, Mesmo Em Sub-redes Diferentes
R1# ahow ip route
Codes : C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i
SerialO/0/1
timeout is 2 seconds:
!!!! !
CCNA ICND2
329
A primeira linha em destaque no exemplo mostra a rota conectada normalmente no enlace serial, para a rede 192.168.2.01
24. RI acha que esta sub-rede a sub-rede conectada a SOIOII por causa do endereo IP configurado de RI (192.168.2.11
24). A segunda linha em destaque mostra a rota para o host criada pelo PPP, especificamente para o novo endereo IP
serial de R2 (192.168.4.2). (R2 ter uma rota similar para 192.168.2.1132, o endereo IP serial de RI.) Portanto, ambos
os roteadores possuem uma rota que lhes permite encaminhar pacotes ao endereo IP na outra extremidade do enlace,
o que permite que o ping para o outro lado do enlace serial funcione, apesar do fato dos endereos em cada uma das
extremidades estarem em sub-redes distintas.
Embora o ping para a outra extremidade do enlace funcione, os protocolos de roteamento ainda assim no anunciam as
rotas por causa da diferena na sub-rede IP nas extremidades opostas do enlace. Portanto, quando estiver resolvendo
problemas em uma rede, no assuma que uma interface serial em um estado "up/up" esteja totalmente em funcionamento,
ou nem mesmo que uma interface serial sobre a qual um ping funcione esteja totalmente funcionando. Certifique-se
tambm de que o protocolo de roteamento est trocando rotas e de que os endereos IP estejam na mesma sub-rede. A
Tabela 12-5 resume o comportamento em enlaces HDLC e PPP quando os endereos IP em cada uma das extremidades
no esto na mesma sub-rede, e nenhum outro problema adicional existe.
Tabela 12-5 Resumo dos Sintomas Para Sub-Redes Diferentes em Enlaces Seriais
-----------------------------------------------------------
HDLC PPP
No
Sim
No
No
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave. A Tabela 12-6 lista estes
. .........
tpicos-chave e onde cada um deles foi discutido.
Elemento do Tpico-Chave
Descrio
Lista
Recursos do PPP
317
rn.
\~...ve
Nmero da Pgina
-----------------------------------------------------------
Tabela 12-2
318
Tabela 12-3
321
-----------------------------------------------------------
Lista
Tabela 12-3
322
323-324
---------------------------------------------------------------
Lista
324
Tabela 12-4
325
8 ----------------------------------------------------------
Exemplo 12-5
327
. -------------------------------------------------------------
Definio de termos-chave
Defina os seguintes termos-chave deste captulo, e verifique suas respostas no glossrio:
CHAP,
IP Control Protocol,
keepalive,
PAP
Descrio
Descrio
CCNA ICND2
331
C A P T ULO 13
Frame Relay continua sendo a tecnologia de WAN mais popular usada hoje em dia. No entanto, sua popularidade vem
decaindo. O mesmo est sendo substitudo principalmente pela tecnologia VPN (Virtual Priva te Network, ou Redes
Privadas VIrtuais), de dois tipos principais: VPNs de Internet, que usam a Internet para transportar pacotes, e VPNs
MPLS (Multiprotocol Label Switching), que segue o mesmo modelo bsico de servio do Frame Relay, tipicamente
oferecido pelos mesmos provedores de Frame Relay, mas com vantagens tcnicas significativas. No entanto, o Frame
Relay ainda usado por muitas empresas hoje em dia, e tambm pode ser conectado a VPNs MPLS e de Internet, de
modo que o Frame Relay ainda continuar sendo um tpico importante relacionado a redes por algum tempo.
O Frame Relay pode ser comparado mais de perto camada de enlace de dados (Camada 2) do OS!. Se voc se lembrar
de que a palavra "frame" descreve a unidade de dados do protocolo da camada de enlace de dados (pDU), ser fcil se
lembrar de que o Frame Relay est relacionado Camada 2 do OS!. Como outros protocolos de enlace de dados, o
Frame Relay pode ser usado para entregar pacotes (PDUs de Camada 3) entre roteadores. Os cabealhos e trailers do
protocolo Frame Relay so usados simplesmente para permitir que um pacote atravesse a rede Frame Relay, da mesma
forma que cabealhos e trailers Ethernet so usados para ajudar um pacote a atravessar um segmento Ethernet.
Este captulo descreve os detalhes do protocolo Frame Relay. O Captulo 14, "Configurao e resoluo de problemas de
Frame Relay", examina a configurao, verificao e resoluo de problemas em redes Frame Relay.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. Se voc errar no mais que uma
destas oito questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame". A Tabela 13-1 lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
material destas sees. Isto ajudar voc a avaliar seu conhecimento nestas reas especficas. As respostas ao questionrio
"Eu j conheo isto?" aparecem no Apndice A.
Tabela 13-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu J Conheo Isto?"
Perguntas
1-3
4e5
6e7
1. Qual(is) dos seguintes itens (so) um protocolo usado entre o DTE Frame Relay e o switch Frame Relay?
a. VC
b. CIR
c. LMI
d. Q.921
e . DLCI
f. FRF.5
g. Encapsulamento
a. 1
b. 2
c. 3
d. 4
e. 5
f. 10
7. BarneysCo possui cinco sites, com roteadores conectados mesma rede Frame Relay. Foram definidos VCs entre
cada par de roteadores. Barney, o presidente da companhia, ir demitir qualquer um que configurar o Frame Relay
sem usar subinterfaces ponto-a-ponto. Qual a menor quantidade de sub-redes que BarneyCo poderia usar na rede
Frame Relay?
a. 1
b. 4
c. 8
d. 10
CCNA ICND2
.8 .
335
e. 12
f. 15
RI envia um frame Frame Relay para o roteador R2 atravs de um Vc. Ao mesmo tempo, um switch Frame Relay
percebe que existem pacotes demais tentando sair da rede Frame Relay atravs do link de acesso conectado a R2.
Qual dos seguintes itens o resultado mais provvel causado por este cenrio?
a. RI eventualmente recebe um frame com BECN configurado.
b. RI eventualmente recebe um frame com FECN configurado.
c. RI eventualmente recebe um frame com DE configurado.
d. Nenhuma das respostas est correta.
'
fun damentals
.
TOplCOS
Nos enlaces seriais ponto-a-ponto, uma empresa solicita uma linha privativa ou circuito entre dois pontos. A companhia
telefnica cria o circuito, instalando um cabo de dois pares (quatro pares) dentro do prdio em uma das extremidades do
circuito. A companhia telefnica cria o circuito, de modo que o mesmo ir executar a uma velocidade pr-configurada
solicitada pelo cliente, tipicamente, algum mltiplo de 64 kbps. Assim que o cabo da companhia telefnica for conectado
a um CSUIDSU, e a um roteador em cada extremidade do circuito, os roteadores tero um enlace fsico dedicado, com
a capacidade de enviar dados em ambas as direes, simultaneamente.
O Frame Relay um conjunto de padres de WAN que cria um servio de WAN mais eficiente quando comparado aos
enlaces ponto-a-ponto, ao mesmo tempo em que continua permitindo que um par de roteadores envie dados diretamente
um ao outro. Com linhas privativas, cada linha privativa precisa de uma interface serial em cada roteador, e um circuito
fsico separado (e caro) fornecido pela companhia telefnica. O Frame Relay suporta a capacidade de enviar dados a
vrios roteadores remotos atravs de um nico circuito fsico de WAN. Por exemplo, uma empresa com um site central
e dez sites remotos precisaria de dez linhas privativas para se comunicar com o site central, e dez interfaces seriais no
roteador do site central. Com o Frame Relay, o site central poderia ter uma nica linha privativa conectando-o ao servio
de Frame Relay, e uma nica interface serial no roteador do site central, e ainda assim ser capaz de se comunicar com
cada um dos dez roteadores dos sites remotos.
A primeira seo deste captulo se concentra no bsico sobre o Frame Relay, incluindo vrias terminologias novas. A
segunda seo examina o endereamento de enlace de dados no Frame Relay. Este tpico exige certa ateno porque os
endereos Frame Relay so necessrios tanto para configurao quanto para resoluo de problemas no roteador. As
duas ltimas sees principais deste captulo examinam algumas preocupaes relativas camada de rede quando o
Frame Relay estiver sendo usado, juntamente com alguns recursos que impactam a velocidade e a taxa de descarte de
frames dentro da nuvem Frame Relay.
As redes Frame Relay disponibilizam mais recursos e benefcios que simples enlaces WAN ponto-a-ponto, mas para isso,
o protocolo Frame Relay possui mais detalhes. Por exemplo, redes Frame Relay so redes de multiacesso, o que significa
que mais de dois dispositivos podem se conectar rede, de modo similar s LANs. De modo diferente das LANs, voc
no pode enviar um broadcast na camada de enlace de dados sobre o Frame Relay. Sendo assim, redes Frame Relay so
chamadas de redes NBMA (nonbroadcast multiaccess). Alm disso, pelo fato do Frame Relay ser multiacesso, ele
exige o uso de um endereo que identifica a qual dos roteadores remotos cada frame est endereado.
A Figura 13-1 apresenta a topologia fsica bsica e a terminologia relacionada a uma rede Frame Relay.
Link de
Frame
Relay
!~~~;~o
'. Ch.".
....
Mensagens
LMI
Frame
Relay
Link de
..........
( Tpico
\. Chava
....
Os caminhos lgicos para comunicao entre cada par de DTEs um Vc. O trio de linhas paralelas na figura representa
um nico VC; este livro usa uma linha tracejada bem grossa para garantir que voc vai perceber a linha facilmente.
Tipicamente, o provedor de servio pr-configura todos os detalhes necessrios de um VC; VCs pr-definidos so
chamados de PVCs (Permanent Virtual Circuit, ou Circuito Virtual Permanente).
Os roteadores usam o DLCI (Data-Link Connection Identifier) como o endereo no Frame Relay; ele identifica o VC
atravs do qual o frame deve trafegar. Portanto, na Figura 13-2, quando RI precisa encaminhar um pacote para R2, RI
encapsula o pacote da Camada 3 em um cabealho e trailer Frame Relay, e depois envia o frame. O cabealho do Frame
Relay inclui o DLCI correto, de modo que os switches Frame Relay do provedor encaminham corretamente o frame para
R2.
A Tabela 13-2 apresenta os componentes mostrados nas Figuras 13-1 e 13-2 e alguns termos associados. Depois da
tabela, os recursos mais importantes do Frame Relay sero descritos em maiores detalhes.
Descrio
ceNA ICND2
337
Documento do ITU
Documento do ANSI
T1.618
Sinalizao SVC
Q.933
T1.617
Encapsulamento multiprotocolo
(originado na RFC 1490/2427)
Circuitos virtuais
Frame Relay fornece vantagens significativas com relao a simplesmente usar linhas privativas ponto-a-ponto. A principal
vantagem tem a ver com circuitos virtuais. Considere a Figura 13-3, que mostra uma tpica rede Frame Relay com trs
sites.
Servidor 1
A malha parcial tem algumas vantagens e algumas desvantagens se comparada malha total. A principal vantagem que
a malha parcial mais barata porque o provedor cobra por Vc. A desvantagem que o trfego do site de R2 para o site
de R3 deve ir primeiro para RI, e depois ser encaminhado. Se for uma pequena quantidade de trfego, um preo baixo
a se pagar. Se for muito trfego, uma malha completa provavelmente valeria o dinheiro extra porque o trfego entre os
dois sites remotos teria que cruzar o link de acesso de RI duas vezes.
CCNA ICND2
339
Um obstculo conceitual com PVCs que tipicamente existe um nico link de acesso atravs do qual mltiplos PVCs
fluem. Por exemplo, considere a Figura 13-4 sob a perspectiva de RI. O Servidor I envia um pacote para Larry. O pacote
atravessa a Ethernet. RI obtm o pacote e consulta a tabela de roteamento para Larry, que diz a ele para enviar o pacote
atravs da SerialO, que o link de acesso de RI. Ele encapsula o pacote em um cabealho e trailer Frame Relay, e depois
o envia. Qual PVC ele usa? O switch Frame Relay deveria encaminh-lo para R2, mas por que ele o faz?
Para resolver este problema, o Frame Relay usa um endereo para diferenciar um PVC de outro. Este endereo
chamado de DLCI (data-link connection identifier). O nome descritivo: o endereo destinado a um protocolo de
Camada 2 do modelo OSI (enlace de dados), e identifica um VC, que s vezes chamado de conexo virtual. Assim,
neste exemplo, RI usa o DLCI que identifica o PVC para R2, de modo que o provedor encaminha o frame corretamente
atravs do PVC para R2. Para enviar frames para R3, RI usa o DLCI que identifica o VC para R3. Os DLCls e a forma
como eles funcionam sero cobertos em maiores detalhes posteriormente neste captulo.
A mensagem LMI mais importante relacionada aos tpicos do exame a mensagem LMI para perguntar o estado.
.....~ensagens de estado executam duas funes-chave:
Elas executam a funo keepalive entre o DTE e o DCE. Se o link de acesso tiver um problema, a ausncia de
mensagens keepalive implica que o enlace est desativado.
- Elas sinalizam se um PVC est ativo ou inativo. Embora cada PVC esteja pr-definido, seu estado pode mudar. Um
link de acesso pode estar ativo, mas um ou mais VCs poderiam estar desativados. O roteador precisa saber quais
VCs esto funcionado e quais no esto. Ele aprende esta informao do switch, atravs de mensagens de estado
doLMI.
Trs opes do protocolo LMI esto disponveis no software lOS da Cisco: Cisco, ITU e ANSI. Cada opo de LMI
um pouco diferente, e sendo assim, incompatvel com os outros dois. Desde que tanto o DTE quanto o DCE em cada
extremidade de um link de acesso usem o mesmo padro de LMI, o LMI funcionar bem.
As diferenas entre os tipos de LMI so sutis. Por exemplo, o LMI da Cisco faz uso do DLCI 1023, enquanto que o
ANSI TI.6I7-D e o ITU Q.933-A especificam o DLCI O. Algumas das mensagens possuem campos diferentes em seus
cabealhos. O DTE simplesmente precisa saber quais dos trs LMIs usar, para que ele possa usar o mesmo usado pelo
switch local.
Configurar o tipo de LMI fcil. A opo mais popular hoje em dia usar a configurao default de LMI. Esta configurao
usa o recurso de auto-deteco do LMI, na qual o roteador simplesmente descobre qual tipo de LMI o switch est
usando. Portanto, voc pode simplesmente deixar que o roteador reconhea automaticamente o LMI e nunca se preocupar
em configurar o tipo de LMI. Se voc preferir configurar o tipo de LMI, o roteador ir desabilitar a facilidade de
reconhecimento automtico.
A Tabela 13-4 mostra os trs tipos de LMI, suas origens e o termo usado no sub comando de interface frame-relay Imitype no software lOS da Cisco.
/;~~~O
\c.......
Nome
Documento
Cisco
Proprietrio
cisco
ANSI
TI.6I7 Anexo D
ansi
ITU
Q.933 Anexo A
q933a
".
No entanto, o cabealho e o trailer LAPF no fornecem todos os campos tipicamente necessrios aos roteadores. Em
particular, a Figura 13-5 no mostra um campo Tipo de Protocolo. Cada cabealho do enlace de dados necessita de um
campo para definir o tipo de pacote que se segue ao cabealho do enlace de dados. Se o Frame Relay estiver usando
somente o cabealho LAPF, os DTEs (incluindo os roteadores) no podero suportar trfego multiprotocolo porque no
h nenhuma maneira de se identificar o tipo de protocolo no campo Informao.
:1
Duas solues foram criadas para se compensar a falta de um campo Tipo de Protocolo no cabealho Frame Relay
padro:
- A Cisco e outras trs companhias criaram um cabealho adicional, que vem entre o cabealho LAPF e o pacote de
Camada 3 mostrado na Figura 13-5. Ele inclui um campo Tipo de Protocolo de 2 bytes, com valores idnticos ao
mesmo campo que a Cisco usa para o HDLC.
- A RFC 1490 (que foi posteriormente substituda pela RFC 2427; voc deve conhecer ambos os nmeros), Multiprotocol
Interconnect over Frame Relay (ou Interconexo Multiprotocolo sobre Frame Relay), definiu a segunda soluo.
A RFC 1490 foi escrita para garantir a interoperabilidade entre DTEs Frame Relay de diversos fabricantes. Esta
RFC defrne um cabealho similar, tambm colocado entre o cabealho LAPF e o pacote da Camada 3, e inclui um
campo Tipo de Protocolo, alm de muitas outras opes. ITU e ANSI mais tarde incorporaram os cabealhos RFC
1490 em suas especificaes Q.933 Anexo E e T1.617 Anexo F, respectivamente.
A Figura 13-6 apresenta estas duas alternativas.
....
Inclui - - - '
DLCI
Os DTEs usam e reagem aos campos especificados por estes dois tipos de encapsulamento, mas os switches Frame
Relay ignoram estes campos. Pelo fato dos frames flurem de DTE para DTE, ambos os DTEs deveriam entrar em
acordo com relao ao encapsulamento usado. Os switches no se importam. No entanto, cada VC pode usar um
tipo diferente de encapsulamento. Na configurao, o encapsulamento criado pela Cisco chamado de cisco, e o outro
chamado de ietf.
Agora que voc j tem um amplo entendimento dos conceitos e da terminologia do Frame Relay, a prxima seo
apresentar uma viso bem mais detalhada dos DLCIs no Frame Relay.
:1
.,
CCNA ICND2
341
o Frame Relay define as regras pelas quais os dispositivos entregam frames Frame Relay atravs de uma rede Frame
Relay. Pelo fato de que um roteador usa um nico link de acesso que tem muitos VCs conectando-o a diversos roteadores,
deve haver algo para identificar cada um dos roteadores remotos - em outras palavras, um endereo. O DLCI o
endereo no Frame Relay.
O DLCI funciona de modo um pouco diferente de outros endereos de enlace de dados cobertos nos exames CCNA.
Esta diferena ocorre principalmente por causa do uso do DLCI, e pelo fato de que o cabealho possui um nico
Voc deveria compreender algumas caractersticas dos DLCls antes de comearmos a us-lo. Os DLCls do Frame
Relay possuem significados locais; isto significa que os endereos precisam ser nicos apenas no link de acesso local.
Uma analogia popular que explica o endereamento local que deve existir apenas um nico endereo Avenida Pensil vnia,
2000 em Washington DC, mas pode haver uma Avenida Pensilvnia, 2000 em todas as cidades dos Estados Unidos. Da
mesma forma, DLCls devem ser nicos em cada link de acesso, mas os mesmos nmeros de DLCI podem ser usados
em todos os link de acesso em sua rede. Por exemplo, na Figura 13-7, observe que o DLCI 40 est sendo usado em dois
links de acesso para descrever dois diferentes PVCs. No existe nenhum conflito porque o DLCI 40 usado em dois
links de acesso diferentes.
Figura 13-7 Endereamento no Frame Relay, Com o Roteador A Enviando Para os Roteadores B e C
Endereamento local, que o termo comum para o fato de que os DLCls so significativos no local, um fato. como
o Frame Relay funciona. Colocado de forma simples, um nico link de acesso no pode usar o mesmo DLCI para
representar mltiplos VCs no mesmo link de acesso. Do contrrio, o switch Frame Relay no saberia como encaminhar
corretamente os frames . Por exemplo, na Figura 13-7, o Roteador A deve usar valores de DLCI diferentes para os PVCs
em seu link de acesso local (41 e 42, neste exemplo).
Muitas pessoas se confundem a respeito de DLCls da primeira vez que elas pensam a respeito do significado local dos
DLCls, e sobre a existncia de um nico campo DLCI no cabealho do Frame Relay. O endereamento global resolve
este problema fazendo com que o endereamento DLCI conceitualmente se parea com o endereamento de LAN.
Endereamento global simplesmente uma forma de selecionar nmeros DLCls quando uma rede Frame Relay estiver
sendo planejada, fazendo com que trabalhar com DLCls seja muito mais fcil. Pela fato do endereamento local ser um
fato, o endereamento global no altera estas regras. O endereamento global simplesmente faz com que as atribuies
de DLCI sejam mais bvias - to logo voc se acostume com ela.
Eis como funciona o endereamento global: o provedor de servio entrega uma planilha e um diagrama de planejamento.
A Figura 13-8 um exemplo de um diagrama destes, com os DLCls globais sendo mostrados.
Global
OLCI41
Global
OLCI40
Global
OLCI42
o endereamento global planejado conforme mostrado na Figura 13-8, com os DLCls posicionados nos frames do
Frame Relay, como mostrado na Figura 13-9. Por exemplo, o Roteador A usa o DLCI 41 quando estiver enviando um
frame ao Roteador B porque o DLCI global do Roteador B 41. Da mesma forma, o Roteador A usa o DLCI 42 quando
estiver enviando frames atravs do VC para o Roteador C. A vantagem que o endereamento global muito mais
lgico para a maioria das pessoas porque ele funciona como uma LAN, com um nico endereo MAC para cada
dispositivo. Em uma LAN, se os endereos MAC forem MAC-A, MAC-B e MAC-C para os trs roteadores, o Roteador
A usa o endereo destino MAC-B quando estiver enviando frames ao Roteador B e usa MAC-C como destino para
alcanar o Roteador C. Da mesma forma, com DLCls globais 40, 41 e 42 usados respectivamente pelos Roteadores A,
B e C, o mesmo conceito se aplica. Pelo fato dos DLCls enderearem VCs, a lgica algo como isto quando o Roteador
A envia um frame ao Roteador B: "Ei, switch local! Quando voc obter este frame, envie-o atravs do VC que combinamos
numerar como DLCI 41." A Figura 13-9 mostra este exemplo.
B
Global
OLCI41
:. Chave
....
Global
OLCI40
"'"
"
Ir-F-ra-m-e-co-m-O-LC-I-4""'O1--.
Global
OLCI42
o Roteador A envia frames com DLCI 41, e eles chegam ao switch local. O switch local v o campo DLCI e encaminha
o frame atravs da rede Frame Relay at que este alcance o switch conectado ao Roteador B. Ento, o switch local do
Roteador B encaminha o frame para o link de acesso do Roteador B. O mesmo processo acontece entre o Roteador A
e o Roteador C quando o Roteador A usa o DLCI 42. A beleza do endereamento global consiste no fato de que voc
pensa em cada roteador como tendo um endereo, como no endereamento de LAN. Se voc quiser enviar um frame
para algum, voc coloca o seu DLCI no cabealho, e a rede entrega o frame ao DTE correto.
O ltimo ponto-chave com respeito ao endereamento global que os switches Frame Relay na verdade alteram o valor
do DLCI antes de entregar o frame. Voc notou que a Figura 13-9 mostra um valor diferente de DLCI medida que os
frames so recebidos pelos Roteadores B e C? Por exemplo, o Roteador A envia um frame ao Roteador B, e o Roteador
A coloca o DLCI 41 no frame. O ltimo switch altera o campo para DLCI 40 antes de encaminh-lo ao Roteador B. O
resultado que, quando os Roteadores B e C receberem seus frames, o valor de DLCI ser na verdade o DLCI do
enviador. Por qu? Bem, quando o Roteador B recebe o frame, pelo fato do DLCI ser 40, ele sabe que o frame veio
atravs do PVC entre ele mesmo e o Roteador A. Em geral, os seguintes itens so verdadeiros:
- O enviador trata o campo DLCI como o endereo de destino, usando o DLCI global de destino no cabealho.
- O receptor pensa no campo DLCI como sendo o endereo de origem porque ele contm o DLCI global do enviador
do frame.
.,
---------------------------------------------------------------------------------------------~
CCNA ICND2
343
A Figura 13-9 descreve o que acontece em uma rede Frame Relay tpica. Provedores de servio fornecem uma
planilha de planejamento e diagramas com DLCIs globais listados. A Tabela 13-5 d a voc uma viso organizada
de quais DLCls so usados na Figura 13-9.
Com
Campo DLCI
41
B
e -----------------------------------------------------------------------------------A
e
42
c
~
. ------------------------------------------------------------------
_B_____________________~
__________A
______________4_1___________________
eC
42
O endereamento global toma o endereamento DLCI mais intuitivo para a maioria das pessoas. Isto tambm faz com
que a configurao do roteador seja mais direta e permite que voc adicione novos sites de modo mais conveniente. Por
exemplo, observe a Figura 13-10, que adiciona os Roteadores D e E na rede mostrada na Figura 13-9. O provedor de
servio simplesmente afirma que os DLCIs globais 43 e 44 sero usados para estes dois roteadores. Se estes dois
roteadores tambm tiverem apenas um PVC para o Roteador A, todo o planejamento de DLCI estar completo. Voc
sabe que o Roteador D e o Roteador E usam DLCI 40 para alcanar o Roteador A, e que o Roteador A usa DLCI 43
para alcanar o Roteador D e DLCI 44 para alcanar o Roteador E.
DLCI41
DLCI40
--- -------
DLCI43
DLCI44
c
DLCI42
Os exemplos restantes deste captulo usam endereamento global em qualquer diagrama de planejamento, a menos que
o contrrio seja dito. Uma maneira prtica de se determinar se um diagrama lista as convenes para DLCIs locais ou
para DLCIs globais esta: se dois VCs terminarem no mesmo DTE, e um nico DLCI for mostrado, ele provavelmente
representa a conveno para DLCI global. Se um DLCI for mostrado por VC, o endereamento local de DLCI est
sendo representado.
Agora que voc tem uma melhor compreenso de como o Frame Relay usa os DLCIs para enderear cada VC, fazendo
com que os frames sejam corretamente entregues atravs de uma nuvem Frame Relay, a prxima seo prosseguir
para a Camada 3, examinando as convenes para endereamento IP que podem ser usadas sobre Frame Relay.
Redes Frame Relay possuem tanto semelhanas quanto diferenas quando comparadas com LAN e enlaces WAN
ponto-a-ponto. Estas diferenas introduzem algumas consideraes adicionais relacionadas ao transporte de pacotes de
Camada 3 atravs de uma rede Frame Relay. Voc precisa se preocupar com algumas questes-chave relativas ao fluxo
de Camada 3 atravs do Frame Relay:
- Escolha de endereos de Camada 3 em interfaces Frame Relay
- Manipulao de broadcast
199.1.10.0/24
Mount Pilot
Raleigh
Sub-rede
Sub-rede
199.1.11 .0/24
199.1.12.0/24
Mayberry
199.1.1.1
MountPilot
199.1.1.2
Raleigh
199.1.1.3
Esta alternativa de sub-rede nica direta e conserva seu espao de endereamento IP. Ela tambm se parece com
aquilo que voc est habituado em LANs, o que a toma fcil de se conceituar. Infelizmente, a maior parte das empresas
constri redes Frame Relay parcialmente em malha, e a opo de sub-rede nica tem algumas deficincias quando a rede
parcialmente em malha.
I.
CCNA ICND2
345
maioria das empresas com diversos sites tende a agrupar aplicaes em servidores em alguns poucos locais centralizados,
e a maior parte do trfego ocorre entre cada site remoto e estes servidores.
140.1.12.0/24
140.1.13.0/24
140.1.14.0/24
A alternativa de uma sub-rede por VC casa com a lgica por trs de um conjunto de enlaces ponto-a-ponto. Usando
mltiplas sub-redes ao invs de uma grande sub-rede desperdia alguns endereos IP, mas resolve algumas questes
relativas aos protocolos de roteamento vetor distncia.
A Tabela 13-7 mostra os endereos IP para a rede Frame Relay parcialmente em malha mostrada na Figura 13-12.
Sub-rede
Endereo IP
Atlanta
140.1.1.0
140.1.1.1
Charlotte
140.1.1.0
140.1.1.2
Atlanta
140.1.2.0
140.1.2.1
Nashville
140.1.2.0
140.1.2.3
Atlanta
140.1.3.0
140.1.3.1
Boston
140.1.3.0
140.1.3.4
o Software lOS da Cisco possui um recurso de configurao chamado subinterfaces que cria uma sub-diviso lgica de
uma interface fsica. Subinterfaces permitem que o roteador de Atlanta tenha trs endereos IP associados sua interface
fsica SerialO atravs da configurao de trs subinterfaces separadas. Um roteador pode tratar cada subinterface, e o
VC associado a ela, como se fosse um enlace serial ponto-a-ponto. Cada uma das trs subinterfaces da SerialO de
Atlanta seria atribuda a um endereo IP diferente da Tabela 13-7. (O Captulo 14 mostra diversos exemplos de
configuraes.)
NOTA O exemplo usa prefIXOS de endereo IP /24 para manter a matemtica simples. Em
redes comerciais, subinterfaces ponto-a-ponto usam tipicamente um prefIXO igual a /30
(mscara 2SS.2SS.2SS.2S2) porque isto permite somente dois endereos IP vlidos - o nmero
exato necessrio em uma subinterface ponto-a-ponto. claro que usar mscaras diferentes
na mesma rede significa que seu protocolo de roteamento tambm deve suportar VLSM.
Para ter qualquer um dos tipos de endereamento de Camada 3 neste terceiro e ltimo caso, so usadas subinterfaces.
Subinterfaces ponto-a-ponto so usadas quando um nico VC considerado como sendo tudo o que existe no grupo - por
exemplo, entre os roteadores A e D, e entre os Roteadores A e E. Subinterfaces multiponto so usadas quando mais de
dois roteadores so considerados como sendo do mesmo grupo - por exemplo, no caso dos Roteadores A, B e C.
Subinterfaces multiponto terminam mais de um VC, logicamente. De fato, o nome "multiponto" implica na funo porque
mais de um site remoto pode ser alcanado atravs de um VC associado a uma subinterface multiponto.
A Tabela 13-8 resume os endereos e as subinterfaces usadas na Figura 13-13.
Sub-rede
Endereo IP
Tipo da Subinterface
140.1.1.0/24
140.1.1.1
Multiponto
----------------------------------------------------------B
140.1.1.0/24
140.1.1.2
Multiponto
140.1.1.0/24
140.1.1.3
Multiponto
140.1.2.0/24
140.1.2.1
Ponto-a-Ponto
140.1.2.0/24
140.1.2.4
Ponto-a-Ponto
140.1.3.0/24
140.1.3.1
Ponto-a-Ponto
140.1.3.0/24
140.1.3.5
Ponto-a-Ponto
.
.
O que voc ver em uma rede de verdade? Na maior parte das vezes, so usadas subinterfaces ponto-a-ponto, com uma
nica sub-rede por PVC. No entanto, voc deveria entender todas as opes para os exames CCNA.
NOTA O Captulo 14 disponibiliza configuraes completas para todos os trs casos ilustrados
atravs das Figuras 13-11, 13-12 e 13-13.
CCNA ICND2
347
Depois de despender esforos com o endereamento de Camada 3 sobre Frame Relay, o prximo item a considerar
como lidar com broadcasts na Camada 3. O Frame Relay pode enviar cpias de um broadcast sobre todos os VCs, mas
no existe nenhum equivalente aos broadcasts de LAN. Em outras palavras, no existe nenhuma capacidade para que
um DTE Frame Relay envie um nico frame para uma rede Frame Relay, e tenha este frame replicado e entregue
atravs de mltiplos VCs, para mltiplos destinos. No entanto, os roteadores precisam enviar broadcasts para que diversas
facilidades funcionem. Em particular, atualizaes de protocolo de roteamento podem ser tanto broadcasts como multicasts.
A soluo para o dilema do broadcast no Frame Relay possui duas partes. Na primeira parte, o software lOS da Cisco
envia cpias dos broadcasts atravs de cada VC, assumindo que voc configurou o roteador para encaminhar estes
broadcasts necessrios. Se houver somente poucos VCs, isto no seria um grande problema. No entanto, se centenas de
VCs terminarem em um roteador, centenas de cpias seriam enviadas, para cada broadcast.
Na segunda parte da soluo, o roteador tenta minimizar o impacto da primeira parte da soluo. O roteador coloca as cpias dos
broadcasts em uma fila de sada diferente em relao quela usada pelo trfego de usurio, de modo que o usurio no sentir um
pico de atraso muito longo cada vez que um broadcast for replicado e enviado para todos os VCs. O software lOS da Cisco
tambm pode ser configurado para limitar a quantidade de largura de banda que ser usada para estes broadcasts replicados.
Embora estas questes a respeito de escalabilidade sejam mais provveis de aparecerem no exame de Roteamento
CCNP, um pequeno exemplo mostra a importncia da sobrecarga causada por um broadcast. Se um roteador conhece
1000 rotas, usa o RIP e possui 50 VCs, 1.072 MB de atualizaes RIP sero enviadas a cada 30 segundos. Isto d uma
mdia de cerca de 285 kbps. (A matemtica foi feita da seguinte maneira: pacotes RIP de 536 bytes, com 25 rotas em
cada pacote, vezes 40 pacotes por atualizao, com cpias enviadas atravs de 50 VCs. 536 * 40 * 50 = 1.072 MB a cada
intervalo de atualizao. 1.072 * 8/30 segundos = 285 kbps.) Isto um bocado de sobrecarga!
A forma de dizer ao roteador para encaminhar estes broadcasts para cada VC ser coberta na seo "Configurao e
Verificao do Frame Relay", no Captulo 14. As questes relativas forma de se lidar com o volume destas atualizaes
so tpicos mais associados aos exames CCNP e CCIE.
Este captulo j examinou os tpicos mais importantes do Frame Relay relacionados forma como o Frame Relay
entrega os frames atravs da rede. Esta pequena seo final examina algumas estratgias que voc pode usar para fazer
ajustes [mos na operao de uma rede Frame Relay.
O cabealho Frame Relay inclui trs flags de um bit cada, que o Frame Relay pode usar para ajudar a controlar o que
acontece dentro de uma nuvem Frame Relay. Estes bits podem ser teis em particular quando um ou mais sites usam
uma taxa de acesso - a taxa de clock de um link de acesso - que excede de longe o CIR de um vc. Por exemplo, se um
roteador possuir um link de acesso Frame Relay TI, mas apenas 128 kpbs de CIR (Committed Information Rate, ou
Taxa de Informao Comissionada) em um VC que vai atravs deste enlace, o roteador pode enviar muito mais dados
para dentro da rede Frame Relay do que o contrato de negcios com o provedor de Frame Relay permite. Esta seo
examina os 3 bits que impactam a forma como os switches podem ajudar a controlar a rede quando a rede ficar
congestionada por causa destes descompassos na velocidade - cujos nomes so: FECN (Forward Explicit Congestion
Notification) , BECN (Backward Explicit Congestion Notification) e DE (Discard Eligibility).
FECNeBECN
Para lidar com situaes em que um roteador pode enviar mais dados que o VC permite, o lOS inclui um recurso
chamado Traffic Shaping, que possibilita que um roteador envie alguns pacotes, espere, envie mais, espere novamente
e assim por diante. Traffic Shaping permite que o roteador abaixe a taxa mdia de envio de bits a uma velocidade menor
que a taxa de acesso, at mesmo to baixa quanto o CIR de um Vc. Por exemplo, com um link de acesso TI e um CIR
de 128 kbps, o Traffic Shaping poderia ser definido de modo a enviar uma mdia de apenas 256 kbps atravs do VC. A
idia que o provedor do Frame Relay ir provavelmente descartar um bocado de trfego se o roteador enviar dados
atravs deste VC a uma mdia prxima velocidade do TI, que de 12 vezes o CIR, neste caso. No entanto, o provedor
de Frame Relay poder no descartar o trfego se a taxa mdia for de apenas 256 kbps - duas vezes o CIR, neste caso.
Voc pode configurar o Traffic Shaping para usar uma nica velocidade ou para se adaptar de modo a ficar entre duas configuraes
de velocidade. Quando o mesmo for configurado para se adaptar entre duas velocidades, se a rede no estiver congestionada, a
velocidade mais alta ser usada; quando a rede estiver congestionada, o roteador se adaptar de modo a usar a taxa mais baixa
Para se adaptar s taxas, os roteadores precisam de uma maneira de saber se est ocorrendo congestionamento - e a
que entram o FECN e o BECN. A Figura 13-14 mostra a utilizao bsica dos bits FECN e BECN.
/;~~;~
:.Ch_
...
O FECN e o BECN so bits do cabealho Frame Relay. Em qualquer ponto - ou em um roteador ou dentro de uma
nuvem Frame Relay - um dispositivo pode ligar o bit FECN, o que significa que este frame em particular passou por
congestionamento. Em outras palavras, o congestionamento existe na direo em que este frame est sendo encaminhado .
Na Figura 13-14, no Passo 1, o roteador envia um frame, com FECN=O. O switch Frame Relay percebe o congestionamento
e configura FECN = 1 no Passo 2.
Porm, o objetivo de todo o processo fazer com que o roteador que enviou - RI , nesta figura - abaixe a velocidade .
Sendo assim, sabendo que o FECN foi ligado em um frame no Passo 2 da figura, o switch Frame Relay pode ligar o bit
BECN no prximo frame que estiver indo de volta para RI atravs daquele VC, mostrado como sendo o Passo 3 na
figura. O BECN informa RI de que ocorreu congestionamento na direo oposta, ou seja, para trs, com relao
direo do frame. Em outras palavras, ele diz que ocorreu congestionamento para o frame enviado de RI para R2. RI
pode ento escolher entre abaixar (ou no) a velocidade, dependendo de como o Trafic Shaping estiver configurado.
/;~~;~o
:' Ch_
....
Elemento do Tpico-Chave
Descrio
Figura 13-1
Nmero da Pgina
335
Tabela 13-2
---------------------------------------------------------------
Lista
339
Tabela 13-4
339
340
Figura mostrando cabealhos e posies para
os cabealhos adicionais da Cisco e do IETF
no Frame Relay
-----------------------------------------------------------------------------342
Figura mostrando o conceito de endereamento
Figura 13-9
global no Frame Relay
CCNA ICND2
Tabela listando os termos-chave e as definies
do Frame Relay
349
336
Figura 13-6
Lista
344
Figura 13-14
348
Definio de termos-chave
Imprima uma cpia do Apndice J, Tabelas de memria, ou pelo menos a seo referente a este captulo e complete as
tabelas e listas usando a memria. O Apndice K, "Respostas das tabelas de memria", inclui as tabelas e listas
completadas para voc conferir o seu trabalho.
,.
ARP Inverso, CIR (Committed Information Rate, ou Taxa de Informao Comissionada), DCE
do Frame Relay, DLCI (Data-Link Connection Identifier), DTE do Frame Relay, link de acesso,
LMI (Local Management Interface), mapeamento Frame Relay, NBMA (nonbroadcast
multiaccess), PVC (Permanent Virtual Circuit, ou Circuito Virtual Permanente), taxa de acesso,
VC (Vutual Circuit, ou Circuito Virtual).
CAPTULO 14
o Captulo 13, "Conceitos de Frame Relay" introduziu e explicou os principais conceitos por detrs de Frame
Relay. Este captulo mostra como configurar os recursos dos roteadores Cisco, como conferir se cada recurso
est funcionando, e como resolver problemas relativos ao encaminhamento de pacotes atravs de uma rede
Frame Relay.
o questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. Se voc errar no mais que uma
destas oito questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame". A Tabela 14-1lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
material destas sees. Isto ajudar voc a avaliar seu conhecimento nestas reas especficas. As respostas ao questionrio
"Eu j conheo isto?" aparecem no Apndice A.
Tabela 14-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu j conheo isto?"
Seo dos Tpicos Fundamentais
Perguntas
1-5
6-8
1. Imagine dois roteadores Cisco, RI e R2, usando um servio de Frame Relay. RI se conecta a um switch que usa o
tipo ANSI T1.617 de LMI, e R2 se conecta a um switch que usa ITU Q.933a. Quais termos poderiam ser usados na
configurao de RI e de R2, de modo que os LMIs funcionem corretamente?
a. ansi e itu
b. T1617 e q933
c. ansi e q933
d. T1617 e itu
e . Isto no funcionar com dois tipos diferentes.
2.
BettyCo possui cinco sites, com roteadores conectados mesma rede Frame Relay. Foram definidos VCs entre cada
par de roteadores. Betty, a presidente da companhia, ir demitir qualquer um que configurar qualquer coisa que possa
ser deixado facilmente como default. Qual(is) dos seguintes comandos de configurao, usados para a rede Frame
Relay, faria(m) com que o engenheiro fosse demitido?
a. ip address
b. encapsulation
c. lmi-type
d. frame-relay map
e. frame-relay inverse-arp
352
3. WilmaCo possui alguns roteadores conectados rede Frame Relay. RI um roteador de um site remoto, com um
nico VC ligado matriz de WilmaCo. A configurao atual de RI se parece com:
interface serial O/O
ip address 10.1.1 . 1 255.255.255.0
encapsulation frame-relay
Wilma, a presidente da companhia, ouviu falar que subinterfaces ponto-a-ponto so legais, e ela quer que voc altere a
configurao para usar uma subinterface ponto-a-ponto. Qual(is) dos seguintes comandos voc precisar usar para
alterar a configurao?
a. no ip address
b. interface-dlci
c. no encapsulation
d. encapsulation frame-relay
e. frame-relay interface-dlci
4. WilmaCo possui outra rede com um roteador no site principal, que possui dez VCs conectados a dez sites remotos.
Wilma agora acha que subinterfaces multi ponto so at mais legais que ponto-a-ponto. A configurao atual do
roteador do site principal se parece com:
interface serial O/O
ip address 172.16 . 1.1 255.255.255.0
encapsulation frame-relay
Wilma quer que voc altere a configurao para usar uma subinterface multiponto. Qual(is) das seguintes opes voc
precisar para alterar a configurao? (Nota: DLCls 101 a 110 foram usados para os dez VCs.)
5. Qual(is) dos seguintes comandos apresenta(m) a informao aprendida pelo ARP Inverso?
a. show ip arp
b. showarp
c. show inverse arp
d. show frame-relay inverse-arp
e. show map
f. show frame-relay map
6. Qual das seguintes opes so cdigos de estado de PVC no Frame Relay, no(s) qual(is) um roteador envia frames
para o PVC associado?
a. up
b. Down
c. Ativo
d. Inativo
e . Esttico
f. Deletado
CCNA ICND2
353
7. O roteador RC do site central possui VCs que se conectam a dez roteadores remotos (RI a RIO), sendo os DLCls
locais de RC, de 101 a 110, respectivamente. RC agrupou os DLCls 107, 108 e 109 em uma nica subinterface
multiponto SOI0.789, cujo estado corrente "up and up". Qual(is) das seguintes opes deve(m) ser vedadeira(s)?
a. A Serial 010 poderia estar em um estado up/down.
b. O PVC com DLCI 108 poderia estar em um estado inativo.
c. O comando show frame-relay map apresenta informaes sobre mapeamento para todos os trs VCs.
d. Ao menos um dos trs PVCs est em um estado ativo ou esttico.
8. O roteador Frame Relay RI usa a interface SOlO para se conectar a um link de acesso Frame Relay. A interface
fsica est no estado up/down. Qual(is) dos seguintes itens poderia(m) causar o problema?
a. O link de acesso possui um problema fsico e no pode passar bits entre o roteador e o switch.
b. O switch e o roteador esto usando tipos diferentes de LMI.
c. Est faltando o comando encapsulation frame-relay na configurao do roteador, na interface SOlO.
d. O roteador recebeu uma mensagem de estado LMI vlida que listava alguns dos DLCls como inativos.
Tpicos fundamentais
Este captulo possui duas sees principais. A primeira seo examina a configurao do Frame Relay, com explicaes
a respeito de diversos comandos show. A segunda seo discute como abordar e resolver problemas de Frame Relay.
A configurao do Frame Relay pode ser bem bsica ou um tanto quanto detalhada, dependendo de quantas configuraes
default podem ser usadas. Por default, o lOS da Cisco automaticamente percebe o tipo de LMI e descobre automaticamente
o mapeamento entre o DLCI e os endereos IP que so next-hop (usando o ARP Inverso). Se voc usa roteadores que
so todos da Cisco, o default de usar o encapsulamento da Cisco funcionar sem nenhuma configurao adicional. Se
voc tambm conceber a rede Frame Relay para usar uma nica sub-rede, voc pode configurar os roteadores para que
usem as interfaces fsicas sem nenhuma subinterface - fazendo com que a configurao se tome menor ainda. De fato,
se usarmos tantas configuraes default quantas forem possveis, o nico comando novo de configurao para o Frame
Relay, quando comparado a WANs ponto-a-ponto, o comando encapsulation frame-realy.
As questes sobre Frame Relay nos exames CCNS podem ser difceis por duas razes. Primeiro, o Frame Relay inclui
uma variedade de configuraes opcionais que podem ser feitas. Segundo, para engenheiros de rede que j possuem
alguma experincia com Frame Relay, esta experincia pode estar relacionada a uma dentre trs opes principais para
configurao de Frame Relay (fsica, multiponto ou ponto-a-ponto), mas os exames cobrem todas as opes. Portanto,
para os exames, importante que voc invista tempo para ver exemplos das trs opes, que sero cobertas aqui.
Os engenheiros devem fazer uma quantidade razovel de planejamentos antes de saber por onde comear com a
configurao. Embora a maioria das Empresas modernas possua conexes Frame Relay, quando voc estiver planejando
novos sites, voc deve considerar os seguintes itens e comunic-los ao provedor de Frame Relay, que por sua vez tero
alguns impactos nas configuraes de Frame Relay dos roteadores:
- DefInir quais sites fsicos precisaro de um link de acesso Frame Relay instalado, e defInir a taxa de clock (taxa de
acesso) usada em cada link.
- DefInir cada VC identifIcando as extremidades e configurando o CIR
- Combinar um tipo de LMI (geralmente indicado pelo provedor)
Alm disso, o engenheiro dever escolher o tipo particular de configurao baseado nos itens a seguir. Para estes itens,
o engenheiro da empresa no precisa consultar o provedor de Frame Relay:
- Selecionar o esquema de sub-rede IP: uma sub-rede para todos os VCs, uma sub-rede para cada VC ou uma subrede para cada subconjunto que estiver totalmente em malha.
/~~~;~o Passo 1 Configure a interface fsica para usar encapsulamento Frame Relay (subcomando de interface encapsulation
" Chave
....
frame-relay) .
Passo 2 Configure um endereo IP na interface ou sub interface (subcomando ip address).
Passo 3 (Opcional) Configure o tipo de LMI manualmente em cada interface serial fsica (sub comando de interface
frame-relay lmi-type).
Passo 4 (Opcional) Mude o encapsulamento default de cisco para ietf da seguinte forma:
a. Para todos os VCs da interface, adicione o termo ietf ao subcomando de interface encapsulation frame-relay.
b. Para um nico VC, adicione o termo ietf ao subcomando de interface frame-relay interface-dlci (somente
subinterfaces ponto-a-ponto) ou ao comando frame-relay map.
Passo 5 (Opcional) Se voc no estiver usando o ARP Inverso (default) para mapear o DLCI ao endereo IP do
roteador next-hop, defina um mapeamento esttico usando o subcomando de interface frame-relay map ip dlci ipaddress broadcast.
Passo 6 Nas subinterfaces, associe um (ponto-a-ponto) ou mais (multiponto) DLCls com a subinterface, atravs de
uma destas duas maneiras:
a. Usando o subcomando de subinterface frame-relay interface-dlci dlci
b. Como conseqncia do mapeamento esttico, usando o subcomando de subinterface frame-relay map ip dlci ipaddress broadcast.
O restante desta seo mostra exemplos de todos estes passos de configurao, juntamente com algumas discusses a
respeito de como verificar se a rede Frame Relay est funcionando corretamente.
CCNA ICND2
Figura 14-1 Rede Totalmente em Malha com Endereos IP
Sub-rede 199.1.10.0/24
Mount Pilot
Sub-rede 199.1.11.0/24
Raleigh
Sub-rede 199.1.12.0/24
355
interface fastethernet O/ O
ip address 199.1.10.1 255.255.255.0
router eigrp 1
network 199.1.1.0
network 199.1.10.0
interface fastethernet O/ O
ip address 199.1 . 11.2 255.255.255.0
router eigrp 1
network 199.1.1.0
network 199.1.11.0
encapsulation frame-relay
ip address 199.1.1.3 255.255.255.0
interface fastethernet O/ O
ip address 199.1.12 . 3 255.255 . 255 . 0
router eigrp 1
network 199.1.1.0
network 199.1.12.0
A configurao simples quando comparada aos conceitos do protocolo. O comando encapsulation frame-relay diz
aos roteadores para usar os protocolos Frame Relay de enlace de dados, ao invs do default, que HDLC. Observe que
os endereos IP nas interfaces seriais dos trs roteadores esto todos na mesma rede Classe C. Alm disso, esta
356
-----------------------------------------------------------------1
..........
[ Tpico
:, Chave
....
- O ARP Inverso est habilitado (por default) e acionado quando a mensagem de estado declarando que os VCs
esto ativos recebida.
Em alguns casos, os valores default no so apropriados. Por exemplo, voc deve usar o encapsulamento IETF se um
roteador no for um roteador da Cisco. Com o propsito de mostrar uma configurao alternativa, suponha que os
seguintes requisitos tenham sido adicionados:
- O roteador Raleigh precisa de encapsulamento IETF em ambos os VCs.
- O tipo de LMI de Mayberry dever ser ANSI, e o reconhecimento automtico de LMI no deve ser usado.
Para mudar estes defaults, os Passos 3 e 4 apresentados como configuraes opcionais na lista de verificao para
configurao devero ser usados. Os Exemplos 14-4 e 14-5 mostram as alteraes que devero ser feitas em Mayberry
e Raleigh.
encapsulation frame-relay
----
As configuraes diferem das anteriores (dos Exemplos 14-1 e 14-2) de duas maneiras. Em primeiro lugar, Raleigh
alterou seu encapsulamento para ambos os seus PVCs com o termo ietf no comando encapsulation. Este termo se
aplica a todos os VCs da interface. No entanto, Mayberry no pode alterar seu encapsulamento da mesma maneira
porque apenas um dos dois VCs que terminam em Mayberry precisa usar o encapsulamento IETF, e o outro precisa usar
o encapsulamento Cisco. Portanto, Mayberry forado a dar o comando frame-relay interface-dlci, referenciando o
DLCI do VC para Raleigh, usando o termo ietf. Com este comando, voc pode mudar a configurao de encapsulamento
para cada VC, em oposio configurao em Raleigh, que muda o encapsulamento para todos os VCs.
A segunda alterao principal na configurao do LMI. A configurao do LMI em Mayberry estaria correta sem
nenhuma alterao porque o uso do default de reconhecimento automtico de LMI reconheceria ANSI como sendo o tipo
do LMI. No entanto, por causa do uso do subcomando de interface frame-relay lmi-type ansi, Mayberry deve usar ANSI
porque este comando no apenas configura o tipo do LMI, mas tambm desabilita a negociao automtica do tipo de LMI.
NOTA A configurao de LMI uma configurao por interface fsica, mesmo que
subinterfaces estejam sendo usadas, portanto o comando frame-relay lmi-type sempre um
subcomando sob a interface fsica.
Mount Pilot precisa configurar .um comando frame-relay interface-dlci com o termo ietf para seu VC para Raleigh, da
mesma forma que Mayberry. Esta alterao no foi mostrada nos exemplos.
CCNA ICND2
357
A Figura 14-1 no se preocupa nem mesmo em listar os DLCls usados para os VCs. As configuraes funcionam
conforme foram apresentadas, e francamente, mesmo que voc nunca conhecesse os DLCls, esta rede funcionaria! No
entanto, para os exames, e para trabalhos em redes reais, voc precisa compreender um conceito importante relacionado
a Frame Relay - o mapeamento de endereo no Frame Relay. A Figura 14-2 mostra a mesma rede, desta vez mostrando
valores globais de DLCI.
Moun! Pilo!
Raleigh
DLCI53
Sub-rede 199.1.11 .0/24
O "mapeamento" no Frame Relay cria uma correlao entre um endereo de Camada 3 e seu endereo correspondente
na Camada 2. O conceito similar ao cache do ARP para interfaces LAN. Por exemplo, o cache do ARP (Addess
Resolution Protocol) do IP usado em LANs um exemplo de mapeamento de endereo de Camada 3 para Camada 2.
Com o ARP do IP, voc conhece o endereo IP de outro dispositivo na mesma LAN, mas no o endereo MAC; quando
o ARP se completa, voc conhece o endereo (Camada 2) de LAN do outro dispositivo. De modo similar, os roteadores
que usam Frame Relay precisam de um mapeamento entre o endereo de Camada 3 de um roteador e o DLCI usado
para alcanar este outro roteador.
Esta seo discute os pontos bsicos de por que o mapeamento necessrio para conexes LAN e Frame Relay, com o
foco no Frame Relay. Eis uma definio mais genrica de mapeamento:
/;~~o
~ c_
Pensar a respeito de roteamento ajuda a tornar mais evidente a necessidade do mapeamento. Imagine que um host na
Ethernet de Mayberry envie um pacote IP para um host na Ethernet de Mount Piloto O pacote chega no roteador de
Mayberry atravs da LAN, e Mayberry descarta o cabealho e o trailer Ethernet. Mayberry olha a tabela de roteamento,
a qual lista uma rota para 199.1.11.0, interface de sada Serial O/O/O, e roteador next-hop 199.1.1.2, que o endereo IP
Frame Relay de Mount Piloto
A prxima deciso que o roteador deve tomar para completar o processo evidencia a necessidade do mapeamento: qual
DLCI Mayberry deveria colocar no cabealho Frame Relay? Ns no configuramos nenhum DLCI. No entanto, funciona
como se tivesse sido configurado! Para saber a resposta, considere o Exemplo 14-6, que mostra alguns comandos
importantes que podem ser usados para ver como Mayberry faz a escolha certa para o DLCI.
Inactive
Deleted
Static
Local
Switched
Unused
DLC I
input pkts 46
output pkts 22
dropped pkts O
ACTIVE, INTERFACE
SerialO/O/O
in bytes 2946
in FECN pkts O
out BECN pkts O
out DE pkts O
ACTIVE, INTERFACE
input pkts 39
output pkts 18
in bytes 2564
dropped pkts O
in FECN pkts O
SerialO/O/O
out DE pkts O
o exemplo destaca todas as informaes relacionadas ao envio de pacotes para a rede 199.1.11.0/24, de Mayberry para
Mount Pilot. A rota de Mayberry para 199.1.11.0 se refere interface de sada Serial 0/0/0 e para 199.1.1.2 como sendo
o endereo do next-hop. O comando show frame-relay pvc apresenta dois DLCIs, 52 e 53, e ambos esto ativos. Como
Mayberry conhece os DLCIs? Bem, as mensagens de estado do LMI informam Mayberry a respeito dos VCs, dos
DLCIs associados e do estado (ativo).
Qual DLCI Mayberry deve usar para encaminhar o pacote? A sada do comando show frame-relay map tem a resposta.
Observe o termo em destaque "ip 199.1.1.2 dlci 52" na sada. De alguma forma, Mayberry mapeou 199.1.1.2, que o
endereo next-hop da rota, ao DLCI correto, que 52. Portanto, Mayberry sabe usar o DLCI 52 para alcanar o
endereo IP next-hop 199.1.1.2.
Mayberry pode usar dois mtodos para construir o mapeamento mostrado no Exemplo 14-6. Um deles usa um mapeamento
configurado estaticamente, e o outro usa um processo dinmico chamado ARP Inverso. As duas pequenas sees
seguintes explicam os detalhes de cada uma destas opes.
CCNA ICND2
359
ARP Inverso
o ARP Inverso cria clinamicamente um mapeamento entre o endereo de Camada 3 (por exemplo, o endereo IP) e o endereo de
Camada 2 (o DLCI). O resultado final do ARP Inverso o mesmo que o do ARP IP em uma LAN: o roteador constri um
mapeamento entre um endereo de Camada 3 na vizinhana e um endereo de Camada 2 correspondente. Porm, o processo usado
pelo ARP Inverso diferente do ARP em uma LAN. Depois que o VC fica ativo, cada roteador anuncia sua endereo de camada de
rede enviando uma mensagem do ARP Inverso atravs daquele Vc. Isto funciona conforme mostrado na Figura 14-3.
/;~~;~o
\ Chave
....
Estado: DLCI 52 Up
Estado: DLCI 51 Up
Como mostrado na Figura 14-3, o ARP Inverso anuncia seus endereos de Camada 3 assim que o LMI sinaliza que os PVCs
esto ativos. O ARP Inverso comea aprendendo o endereo DLCI da camada de enlace de dados (via mensagens LMI), e
depois anuncia seus prprios endereos de Camada 3 que usam este VC. O ARP Inverso fica habilitado, por default.
No Exemplo 14-6, Mayberry mostra duas entradas diferentes na sada do comando show frame-relay map. Mayberry
usa o ARP Inverso para aprender que o DLCI 52 est mapeado ao endereo IP next-hop 199.1.1.2, e que o DLCI 53 est
mapeado ao endereo IP next-hop 199.1.1.3. De modo interessante, Mayberry aprende esta informao recebendo um
ARP Inverso de Mount Pilot e Raleigh, respectivamente.
A Tabela 14-2 resume o que acontece com o ARP Inverso na rede mostrada na Figura 14-2.
Roteador Receptor
DLCI Quando
o Frame Enviado
DLCI Quando
Informao na
o Frame Recebido Mensagem do ARP
Inverso
Mayberry
52
MountPilot
51
Eu sou 199.1.1.1.
Mayberry
53
Raleigh
51
Eu sou 199.1.1.1.
MountPilot
51
Mayberry
52
Eu sou 199.1.1.2.
MountPilot
53
Raleigh
52
Eu sou 199.1.1.2.
Raleigh
51
Mayberry
53
Eu sou 199.1.1.3.
Raleigh
52
MountPilot
53
Eu sou 199.1.1.3.
Para entender o ARP Inverso, observe as duas ltimas colunas da Tabela 14-2. Cada roteador recebe alguns "anncios"
do ARP Inverso. A mensagem do ARP Inverso contm o endereo de Camada 3 do enviador, e o cabealho Frame
Relay, claro, possui um DLCI nele. Estes dois valores so colocados no cache do ARP Inverso, do roteador receptor.
Por exemplo, na terceira linha, Mayberry recebe um ARP Inverso. O DLCI 52 quando o frame chega em Mayberry, e
o endereo IP 199.1.1.2. Isto adicionado na tabela de mapeamento do Frame Relay em Mayberry, o qual est
mostrado na parte em destaque do comando show frame-relay map, no Exemplo 14-6.
O comando frame-relay map dado em Mayberry, referindo-se a 199.1.1.2, usado para pacotes indo de Mayberry para
Mount Pilot. Quando Mayberry cria um cabealho Frame Relay, esperando que o mesmo seja entregue para Mount Pilot,
Mayberry deve usar o DLCI 52. O comando frame-realy map em Mayberry correlaciona o endereo IP de Mount Pilot,
199.1.1.2, ao DLCI usado para alcanar Mount Pilot - o DLCI 52. Da mesma forma, um pacote enviado de volta de Mount
Pilot para Mayberry faz com que Mount Pilot use seu comando map para se referir ao endereo IP de Mayberry, que
199.1.1.1. O mapeamento necessrio para cada endereo next-hop de Camada 3, para cada protocolo de Camada 3 sendo
roteado. Mesmo em uma rede to pequena como esta, o processo de configurao pode ser bem trabalhoso.
~ I
~ I
..: I
~ I
,... I
50/0/0 DLCI 53
Boston
Charlotte
140.1.12.0/24
140.1.13.0/24
140.1.14.0/24
CCNA ICND2
Exemplo 14-8 Configurao de Atlanta
Atlanta(config)# interface aerialO/O/O
Atlanta(config-if)# encapaulation frame-relay
Atlanta(config-if)# interface aerial 0/0/0.1 point-to-point
361
1-
frame-relay interface-d1ci 51
!
interface fastethernet 0 10
ip address 140.1.12 . 2 255.255 . 255.0
Novamente, os defaults so abundantes nesta configurao, mas alguns defaults so diferentes com relao a quando
voc est configurando nas interfaces fsicas. O tipo do LMI reconhecido automaticamente, e o encapsulamento Cisco
est sendo usado, que exatamente como nos exemplos das redes totalmente em malha. O ARP Inverso no realmente
CCNA ICND2
363
o Exemplo 14-12 mostra a sada dos comandos EXEC de Frame Relay mais populares do software lOS da Cisco para
monitorar Frame Relay, conforme executados no roteador de Atlanta.
Inactive
Deleted Static
Local
Switched
Unused
ACTIVE, INTERFACE
in bytes 122723
dropped pkts O
in FECN pkts O
SerialO/O/O.1
1o_u _t _ B
_E
_CN
out FECN pkts O _______
n DE pkts O
pkts _O
~
____________~____~__~______~____~~__________~
out DE pkts O
input pkts O
= LOCAL,
PVC STATUS
ACTIVE,
SerialO/0/O.2
in bytes O
dropped pkts O
in FECN pkts O
INTERFACE
out DE pkts O
ACTIVE, INTERFACE
in bytes 1274
dropped pkts O
in FECN pkts O
SerialO/0/0.3
out DE pkts O
pvc create time 05:19:52, last time pvc status changed 05:17:42
54(Ox36,OxC60) , broadcast
Ox45AED8, datagramsize
13
OxFCF10309
00 75 01 01 01 03 02 A3 A1
I
I
pacotes para cada VC, mais os contadores para FECN e BECN, podem ser teis, em particular. Da mesma forma,
comparar os pacotes/bytes enviados por um roteador versus os contadores daquilo que foi recebido no roteador da outra
extremidade do VC bastante til. Isto reflete o nmero de pacotes/bytes perdidos dentro da nuvem Frame Relay. Alm
disso, o estado do PVC um timo lugar para comear quando se est resolvendo problemas.
O comando frame-relay map mostra informaes sobre mapeamento. Com o exemplo anterior de rede totalmente em
malha, na qual a configurao no usa nenhuma subinterface, um endereo de Camada 3 foi listado com cada DLCI. Neste
exemplo, um DLCI est listado em cada entrada, mas no h nenhuma meno a endereos de Camada 3 correspondentes.
O objetivo geral do mapeamento correlacionar um endereo de Camada 3 com um endereo de Camada 2, mas no existe
nenhum endereo de Camada 3 na sada do comando show frame-relay map! O motivo que esta informao est
armazenada em algum outro lugar. As subinterfaces exigem o uso do comando de configurao frame-relay interfacedJci. Pelo fato destas subinterfaces serem ponto-a-ponto, quando uma rota apresenta uma nica subinterface, o DLCI a ser
usado para enviar frames est implcito na configurao. Mapeamento atravs do ARP Inverso ou comandos frame-relay
map estticos so necessrios apenas quando mais de dois VCs terminam na interface ou na subinterface porque estes so
os nicos casos nos quais pode acontecer alguma confuso a respeito de qual DLCI usar.
A sada de debug frame-relay lmi apresenta informaes para as solicitaes LMI enviadas e recebidas. O switch
envia a mensagem de estado, e o DTE (roteador) envia o estado interrogado. A configurao default com o software lOS
da Cisco enviar, e esperar que estas mensagens de estado sejam recebidas. O comando no keepalive do software
lOS da Cisco usado para desabilitar o uso de mensagens de estado LMI. De forma diferente de outras interfaces, as
mensagens keepallve da Cisco no fluem de roteador para roteador sobre o Frame Relay. Ao invs disso, elas so
simplesmente usadas para detectar se o roteador possui conectividade com o seu switch Frame Relay local.
, "
II
,
. - -....."""',
,,
, "
I
DlCI 503..,.--..........
II
,,
,,
,
\
\
\
\
\
\
\
\
~--
,,
,,
,
~-~ ,
-.~-l D
CCNA ICND2
365
503
interfa ce seri a l
Sub-rede
Endereo IP
Tipo de Subinterface
140.1.1.0/24
140.1.1.1
Multiponto
140.1.1.0/24
140.1.1.2
Multiponto
140.1.1.0/24
140.1.1.3
Multiponto
140.1.2.0/24
140.1.2.1
Ponto-a-ponto
140.1.2.0/24
140.1.2.4
Ponto-a-ponto
140.1.3.0/24
140.1.3.1
Ponto-a-ponto
140.1.3.0/24
140.1.3.5
Ponto-a-ponto
Subinterfaces multiponto funcionam melhor quando se possui uma rede totalmente em malha com um conjunto de roteadores.
Nos Roteadores A, B e C, uma subinterface multiponto foi usada na configurao que faz referncia aos outros dois
roteadores porque voc pode pensar nestes trs roteadores como se formassem um subconjunto totalmente em malha na
rede.
O termo multiponto simplesmente significa que existe mais de um VC, de modo que voc pode enviar e receber a partir
de mais de um VC na subinterface. Como nas subinterfaces ponto-a-ponto, as subinterfaces multiponto usam o comando
frame-relay interface-dlci. Observe que existem dois comandos para cada subinterface multi ponto, neste caso, porque
cada um dos dois PVCs associados a esta subinterface deve ser identificado como sendo usado nesta subinterface.
O Roteador A o nico roteador usando ambas as subinterfaces, multiponto e ponto-a-ponto. Na interface SerialO/O/O.l
multiponto do Roteador A, so listados os DLCIs para os Roteadores B e C. Nas outras duas subinterfaces do Roteador
A, que so ponto-a-ponto, apenas um nico DLCI precisa ser listado. De fato, apenas um comando frame-relay interfacedlci permitido em uma subinterface ponto-a-ponto porque apenas um VC permitido. No mais, as configuraes entre
os dois tipos so similares.
Nenhum comando de mapeamento necessrio para as configuraes mostradas nos Exemplos de 14-13 a 14-17 porque
o ARP Inverso fica habilitado por default nas subinterfaces multiponto. O mapeamento nunca necessrio em uma
subinterface ponto-a-ponto porque o nico DLCI associado interface configurado estaticamente atravs do comando
frame-relay interface-dlci.
O Exemplo 14-18 mostra outro comando show frame-relay map, apresentando as informaes de mapeamento aprendidas
com o ARP Inverso, para a subinterface multiponto. Observe que a sada agora inclui os endereos de Camada 3,
enquanto que o mesmo comando usado em subinterfaces ponto-a-ponto (no Exemplo 14-12) no incluem. Isto ocorre
porque as rotas podem se referir a um endereo IP next-hop que pode ser alcanado atravs de uma interface multiponto;
porm, pelo fato de termos mais de um DLCI associado interface, o roteador precisa de informaes sobre mapeamento
para casar o endereo IP do next-hop com o DLCI correto.
active
OxE42ES8, datagramsize
FR encap = Ox7CS10300
30
CCNA ICND2
367
80 0 0 00 00 0 8 06 00 OF 08 00 0 2 04 00 0 9 00 00
8C 01 01 01 7C 51 8C 01 01 03
d atagramstart
OxE420E8, datagrams i ze = 30
FR e nca p = Ox7C610300
80 00 00 00 08 06 00 OF 08 00 02 0 4 00 09 00 0 0
8C 01 01 02 7C 61 8C 01 0 1 03
As mensagens sobre o ARP Inverso na sada de debug frame-relay events no so to bvias. Um exerccio fcil
procurar pela verso hexa dos endereos IP na sada. Estes endereos esto em destaque no Exemplo 14-18. Por
exemplo, os primeiros 4 bytes de 140.1.1.1 so 8C 010101 em hexadecimal. Este campo comea no lado esquerdo da
sada, portanto fcil reconhec-lo.
o Frame Relay possui muitos recursos e opes que podem ser configurados. Tanto na vida real quanto para os exames,
resolver problemas de Frame Relay geralmente significa que voc precisar olhar as configuraes de todos os roteadores
e garantir que as configuraes atendem aos requisitos. Os tipos de LMI devem ser idnticos ou serem detectados
automaticamente, as informaes de mapeamento da Camada 3 precisam ser aprendidas ou mapeadas estaticamente, os
valores corretos de DLCI devem ser associados a cada subinterface e assim por diante. Portanto, para estar bem
preparado para os exames CCNA, voc deve revisar e memorizar as diversas opes de configurao do Frame Relay
e o que significa cada uma destas opes.
No entanto, os exames podem conter questes sobre Frame Relay que exigem que voc encontre um problema sem
olhar a configurao. Esta segunda seo principal deste captulo examina a resoluo de problemas de Frame
Relay, com nfase em como usar comandos show, juntamente com os sintomas de um problema, para isolar a
causa raiz do problema.
Para isolar um problema de Frame Relay, o processo deveria comear com alguns pings. De modo ideal, pings de
um host que um usurio final em uma LAN para outro host em uma LAN remota podem determinar rapidamente
se a rede pode atender seu verdadeiro objetivo no momento, que o de encaminhar pacotes entre computadores.
Se este ping falhar, um ping de um roteador para o endereo IP Frame Relay de outro roteador o passo seguinte.
Se este ping funcionar, mas o ping do usurio final falhou, o problema provavelmente tem a ver com questes
relativas Camada 3, e resolver tais questes foi devidamente coberto nos Captulos 7 e 11 . Porm, se o ping de um
roteador para o endereo IP Frame Relay de outro roteador falhar, o problema provavelmente est relacionado com
a rede Frame Relay.
Este seo se concentra na resoluo de problemas quando um roteador Frame Relay no consegue fazer ping no
endereo IP Frame Relay de outro roteador. Neste ponto, o engenheiro deveria fazer ping nos endereos IP Frame Relay
de todos os outros roteadores na outra extremidade de cada VC para determinar o seguinte:
Os pings falharam para todos os endereos IP Frame Relay de todos os roteadores remotos, ou alguns pings falharam
e outros funcionaram?
Por exemplo, a Figura 14-6 mostra um exemplo de rede Frame Relay que ser usado nos prximos exemplos deste
captulo. Se RI tentou fazer ping no endereo IP Frame Relay de R2 (10.1.2.2, neste caso) e falhou , a prxima pergunta
seria se os pings de R I para R3 (10.1.34.3) e para R4 (10.1.34.4) funcionam.
Figura 14-6 Exemplo de Rede Frame Relay Para os Exemplos de Resoluo de Problemas
Sub-rede 10.1.2.0/24
(R1/R2)
DLCI102
PC1
..
.. .. .. ,
10.1 .2.1/24
'
'
..................
OLCI101
10.1.2.2124
'
SOIOIO
10.1 .11 .11/24
10 1 341 '"
.. .
PC3
OLCI103
".
...........
........
10.1.12.22/24
........................................... _................................ ..
OLCI104
......... " .
Legenda:
Frame
Relay
Swilch
". ".
". '"
Subrede 10.1.34.0/24
(R1/R3/R4)
'"
".
OLCI101
10.1.34.4/24
10.1 .14.44/24
Este captulo organiza as explicaes a respeito de como resolver problemas de Frame Relay baseado neste primeiro
passo para isolamento do problema. A lista seguinte resume as aes principais, com cada passo desta lista sendo
examinado na seqncia, aps a lista.
Se os pings de um roteador Frame Relay falharem para todos os roteadores remotos cujos VCs compartilham um nico
link de acesso, faa o seguinte:
/;~~;~o Passo 1 Verifique se existem problemas de Camada 1 no link de acesso entre o roteador e o switch Frame Relay local
\~vtI
(todos os roteadores).
CCNA ICND2
369
Se o estado de linha da interface fsica de um roteador estiver up, mas o estado de protocolo da linha (segundo cdigo de
estado) estiver down, o enlace possui tipicamente um problema de Camada 2 entre o roteador e o switch Frame Relay
local. Com interfaces Frame Relay, o problema est tipicamente relacionado com o comando encapsulation ou com o
LMI do Frame Relay.
o outro problema em potencial est relacionado ao LMI. Mensagens de estado do LMI fluem em ambas as direes
entre o roteador (DTE) e o switch Frame Relay (DCE), por dois motivos principais:
.~~o
c......
Para que o DCE informe o DTE a respeito do DLCI de cada VC e de seu estado
- Para fornecer a funo keepalive, para que o DTE e o DCE possam dizer facilmente quando o link de acesso no
pode mais passar trfego
Um roteador coloca um enlace fsico no estado up/down quando o enlace funciona fisicamente, mas o roteador para de
ouvir mensagens LMI do switch. Se a interface no estiver no estado up/up, o roteador no tentar enviar nenhum pacote
IP atravs da interface, portanto todos os pings iro falhar neste ponto.
Um roteador poder parar de receber mensagens LMI do switch tanto por razes legtimas quanto por causa de erros. O
propsito normal e legtimo da funo keepalive do LMI de fazer com que, se o enlace realmente estiver com problemas
e no puder transmitir dados, o roteador possa perceber a perda de mensagens keepalive e desabilitar o enlace. Isto
permite que o roteador use uma rota alternativa, assuroindo que a mesma exista. No entanto, um roteador pode parar de
receber mensagens LMI e desabilitar a interface por causa dos seguintes erros:
- O LMI foi desabilitado no roteador (atravs do subcomando de interface fsica no keepalive), mas foi deixado como
habilitado no switch - ou vice-versa
- Foram configurados tipos diferentes de LMI no roteador (atravs do subcomando de interface fsica frame-relay
Imi-type type) e no switch
Voc pode facilmente verificar ambos, o encapsulamento e o LMI, usando o comando show frame-relay lmi. Este
comando apresenta sadas apenas para interfaces que possuem o comando encapsulation frame-relay configurado,
assim voc pode confirmar rapidamente se o comando encapsulation frame-relay foi configurado nas interfaces seriais
corretas. Este comando tambm mostra o tipo do LMI usado pelo roteador, e mostra contadores para o nmero de
mensagens LMI enviadas e recebidas. O Exemplo 14-19 mostra um exemplo do roteador RI da Figura 14-6.
Para este exemplo, o roteador RI foi configurado estaticamente com o subcomando de interface frame-relay Imi-type
ansi, com o switch SI ainda usando o tipo cisco de LMI. Quando a configurao do LMI foi alterada, o roteador e o
switch tinham trocado 34 mensagens LMI (do tipo cisco). Depois da mudana, o contador do nmero de mensagens
enviadas para interrogar estado em RI continuou aumentando (122 quando a sada do comando show frame-relay Imi
foi capturada), mas o contador do nmero de mensagens de estado LMI recebidas do switch permaneceu em 34. Logo
abaixo deste contador est o nmero de timeouts, que conta o nmero de vezes que o roteador esperou receber uma
mensagem LMI peridica do switch, mas no recebeu. Neste caso, o roteador estava ainda recebendo as mensagens
LMI, mas elas no eram mensagens LMI ANSI, portanto o roteador no as entendeu nem reconheceu.
Se o uso repetido do comando show frame-relay lmi mostrar que o nmero de mensagens de estado recebidas permanece
o mesmo, a causa provvel, ao invs de ser um enlace que no est funcionando, que os tipos de LMI no so iguais.
A melhor soluo permitir o reconhecimento automtico de LMI atravs da configurao do sub comando de interface
fsica no frame-relay lmi-type type, ou, de maneira alternativa, configurar o mesmo tipo de LMI que foi usado no
switch.
Se voc achar e corrigir qualquer problema encontrado nos Passos 1 e 2, em todos os roteadores Frame Relay conectados,
todas as interfaces fsicas dos links de acesso dos roteadores devero estar no estado up/up. Os quatro ltimos passos
analisam problemas que se aplicam a PVCs individuais e vizinhos.
Passo 3a Descubra o endereo IP e a mscara de cada interface/subinterface Frame Relay (show interfaces, show
ip interface brief) e calcule as sub-redes conectadas.
Passo 3b Compare o endereo IP do comando ping que falhou, e selecione a interface/subinterface cuja sub-rede
conectada seja a mesma sub-rede.
Passo 3c Descubra o(s) PVC(s) que foi (foram) atribudo(s) a esta interface ou subinterface (show frame-relay
~.
Passo 3d Se mais de um PVC foi atribudo interface ou subinterface, determine qual PVC usado para alcanar um
determinado vizinho (show frame-relay map).
NOTA Como lembrete, listas como esta so feitas para se ter uma referncia prtica quando
voc estiver lendo o captulo. fcil achar a lista quando voc estiver estudando e quiser se
lembrar de uma deter minada parte a respeito de como atacar um dado problema. Voc no
precisa decorar a lista, mas pratique-a at que voc absorva a informao.
Os Passos 3a, 3b, 3c e 3d descobrem o PVC correto a ser examinado. Depois que o mesmo for descoberto, o Passo 3 do
processo sugerido para resoluo de problemas interpreta o estado deste PVC, e da interface ou subinterface associada,
para determinar a causa de qualquer problema.
Esta seo observa mais de perto um exemplo no qual RI no consegue fazer ping no endereo IP Frame Relay de R2,
que 10.1.2.2. Antes de focar no processo de determinar qual VC foi usado, til ver a resposta final, de modo que a
Figura 14-7 mostra alguns dos detalhes. Para este exemplo, o comando ping 10.1.2.2 de RI falha neste caso.
CCNA ICND2
371
Figura 14-7 Fatos Relativos Configurao, Relacionados Falha no Comando ping 10.1.2.2 de RI
Tabela de Roteamento de R1
Sub-rede
10.1.2.0/24
Int. de Sada
SO/0/0.2
Next-hop
N/A
Configurao de R1
SO/0/0.2 Ponto-a-Ponto
10.1.2.1/24
DLCI102
DLCI102 ..................... ..
......... .........
......... ...
...... ...........
.......... . . ......
-10.1.2.2124
...
IP-Address
OK?
Method
Status
Protocol
Fa stEthernetO/O 10.1.11.1
YES
NVRAM
up
YES
Se rialO/O/O
unassigned
YES
NVRAM
up
up
SerialO/0 / 0.2
10.1.2.1
YES
NVRAM
down
down
SerialO/0/0.5
10.1.5.1
YES
manual
down
down
SerialO/0/0.34
10.1.34.1
YES
NVRAM
up
up
up
down
1-
1-
Encapsulation FRAME-RELAY
Last clearing of "show interface" counters never
Local
Active
Inactive
Deleted
Static
O
O
O
Switched
Unused
DLCI
= 102 ,
DLCI USAGE
= LOCAL,
PVC STATUS
INACTIVE,
INTERFACE
input pkts 33
in bytes 1952
dropped pkts O
i n pkts dropped O
SerialO l 010.2
in FECN pkts O
in BECN pkts O
in DE pkts O
out DE pkts O
= 103,
DLCI USAGE
= LOCAL,
PVC STATUS
= INACTIVE,
INTERFACE
input pkts 17
output pkts 24
in bytes 1106
dropped pkts O
i n pkts dropped O
Serial0 10 1 0.34
in FECN pkts O
in BECN p kts O
in DE pkt s O
o ut DE pkts O
= 104,
DLCI USAGE
= LOCAL,
PVC STATUS
= ACTIVE,
INTERFACE
input pkts 41
o u tput pkts 42
in bytes 2466
dropped pkts O
in pkts dropped O
= Serial0 10 10 . 34
in FECN pkts O
i n BECN pkts O
o u t FECN pkt s O
in DE pkts O
o u t DE pkts O
Para encontrar todos os PVCs associados a uma interface ou subinterface, basta olhar as partes em destaque na sada
do Exemplo 14-21. Neste caso, SO/0/0.2 est listado com apenas um PVC, aquele com DLCI 102, portanto apenas um
PVC est associado SO/0/0.2, neste caso.
CCNA ICND2
show que pode ajudar o show frame-relay map, o qual pode correlacionar o endereo IP next-hop com o DLCI.
Infelizmente, se o roteador local se basear no ARP Inverso, o roteador local tambm no poder aprender a informao
de mapeamento neste momento, portanto a tabela de roteamento pode no ter nenhuma informao til nela. No entanto,
se o mapeamento esttico foi usado, o PVCIDLCI correto poder ser identificado.
No exemplo em que RI falha quando est fazendo ping em 10.1.2.2 (R2), pelo fato de apenas um PVC estar associado
interface correta (SO/0/0.2), o PVC j foi identificado, portanto voc pode ignorar este passo, por enquanto.
Estado do PVC
Neste ponto do Passo 3 principal para resoluo de problemas, a interface/subinterface correta de sada e o PVODLCI corretos
foram identificados. Finalmente, o estado do PVC poder ser examinado para ver se o mesmo indica que o PVC tem um problema
...
Roteadores usam quatro cdigos diferentes de estado para o PVc. Um roteador aprende a respeito de dois dos possveis valores
de estado, ativo, e inativo, atravs de mensagens LMI do switch Frame Relay. A mensagem LMI do switch lista todos os
DLCls para todos os PVCs configurados no link de acesso, e se o PVC pode ser usado neste momento (ativo) ou no (inativo).
O primeiro dos dois estados do PVC que no so aprendidos usando LMI chamado de estado esttico. Se o LMI estiver
desabilitado, o roteador no aprende nenhuma informao do switch a respeito do estado do PVc. Sendo assim, o roteador mostra
todos os seus DLCIs configurados no estado esttico, o que significa configurado estaticamente. O roteador no sabe se os PVCs
iro funcionar, mas pode ao menos enviar frames usando estes DLCIs e esperar que a rede Frame Relay possa entreg-los.
O outro estado do PVC, deletado, usado quando o LMI est funcionando, mas a mensagem LMI do switch no menciona
nada a respeito de um determinado valor de DLCI. Se o roteador possui uma configurao para um DLCI (por exemplo, em
um comando frame-relay interface-dlci), mas a mensagem LMI do switch no lista este DLCI, o roteador mostra este
DLCI em um estado deletado. Este estado significa que o roteador configurou o DLCI, mas o switch no. Na vida real, o
estado deletado pode significar que o roteador ou o switch foi configurado erroneamente, ou que o switch Frame Relay ainda
no foi configurado com o DLCI correto. A Tabela 14-4 resume os quatro cdigos de estado do PVC no Frame Relay.
(T
\
373
PP
Ativo
Inativo
Deletado
Esttico
Sim
Sim
No
Desconhecido
Sim
No
No
Sim
Conforme pode ser observado na ltima linha da tabela, os roteadores enviam dados atravs de PVCs somente se os
mesmos estiverem no estado ativo ou esttico. Alm disso, mesmo que o PVC esteja no estado esttico, no h nenhuma
garantia de que a rede Frame Relay possa realmente enviar frames atravs deste PVC porque o estado esttico implica
que o LMI est desabilitado, e que o roteador no aprendeu nenhuma informao de estado.
O prximo passo no processo de resoluo de problemas encontrar o estado do PVC usado para se alcanar um
determinado vizinho. Continuando com o problema da falha de RI quando est fazendo ping em R2 (10.1.2.2), o Exemplo
14-22 mostra o estado do PVC com DLCI 102, conforme identifIcado anteriormente.
= 102 ,
DLCI USAGE
= LOCAL,
PVC STATUS
= INACTIVE ,
INTERFACE
input pkts 22
in b ytes 1256
dropped pkts O
in pkts dropped O
in FECN pkts O
in BECN pkts O
in DE pkts O
out DE pkts O
O packets/sec
O packets/sec
= SerialO/0/0.2
Neste caso, RI no consegue fazer ping em R2 porque o PVC com DLCI 102 est no estado inativo.
Para isolar melhor o problema e encontrar a causa raiz, voc precisar analisar profundamente as razes pelas quais um
PVC pode estar em um estado inativo. Em primeiro lugar, como sempre, repita os mesmos passos para resoluo de
problemas no outro roteador - neste caso, em R2. Se nenhum problema for encontrado em R2, alm de um PVC inativo,
o problema pode ser um problema genuno na rede do provedor de Frame Relay, portanto entrar em contato com o
provedor poder ser o passo seguinte. Porm, voc poder encontrar outros problemas no roteador remoto. Por exemplo,
para criar a falha e os comandos show desta seo, o link de acesso de R2 foi desativado, assim uma rpida analisada no
Passo 1 para resoluo de problemas no roteador R2 teria identificado o problema. No entanto, se a anlise mais a fundo
do problema mostrar que ambos os roteadores apresentam suas extremidades do PVC no estado inativo, a causa raiz
estar dentro da rede do provedor de Frame Relay.
Encontrar a causa raiz de um problema relacionado a um PVC em um estado deletado relativamente fcil. O estado
deletado significa que a configurao do switch Frame Relay e a configurao do roteador esto diferentes, com o
roteador configurando um DLCI que no est configurado no switch. Ou o provedor disse que configuraria um PVC com
um determinado DLCI e no o fez , ou o engenheiro do lado do roteador configurou o valor errado de DLCI.
Estado da subinterface
Subinterfaces possuem cdigo para estado de linha (line status) e para estado de protocolo (protocol status), da mesma
forma que interfaces fsicas. No entanto, pelo fato das subinterfaces serem virtuais, os cdigos de estado e seus significados
so um pouco diferentes com relao s interfaces fsicas. Esta seo examina de modo conciso como as subinterfaces
Frame Relay funcionam, e como o lOS decide se uma subinterface Frame Relay deveria estar em um estado up/up ou
downldown.
A configurao do Frame Relay associa um ou mais DLCls a uma subinterface atravs de dois comandos: frame-relay
interface-dlci e frame-relay map. Para todos os DLCls associados a uma subinterface, o lOS usa as seguintes regras
para determinar o estado de uma subinterface:
/;~~;~o
-down/down: Todos os DLCls associados a uma subinterface esto inativos ou deletados, ou a interface fsica bsica
:. Chave
....
S0/0/0 .2 Ponto-a-Ponto
DLCI102
SO/O/O
,-----.,
Estado no LMI :
101
Inativo
103
Inativo
104 Ativo
CCNA ICND2
375
Como mostrado na figura, RI usa uma subinterface ponto-a-ponto (50/0/0.2) para o VC que se conecta com R2, e uma
subinterface multiponto (50/0/0.34) associada aos VCs para R3 e R4 (103 e 104, respectivamente). O incio do Exemplo
14-20 mostra que 50/0/0.2 est no estado down/down, o que acontece porque o nico DLCI associado com a subinterface
(102) est inativo. No entanto, 50/0/0.34 possui dois DLCls, um dos quais est ativo, portanto o 105 deixa 50/0/0.34 no
estado up/up.
Olhar o estado de uma subinterface pode ajudar quando voc estiver resolvendo problemas, mas tenha em mente que s
porque a subinterface est up, se for uma subinterface multiponto, o estado up/up no significa necessariamente que
todos os DLCls associados subinterface estejam funcionando.
Se voc seguiu os primeiros trs passos do processo sugerido para resoluo de problemas deste captulo, e resolveu os
problemas de cada passo, a esta altura as interfaces dos links de acesso de todos os roteadores devem estar no estado up/
up, e o PVC entre os dois roteadores deve estar no estado ativo (ou esttico). Se o roteadores ainda no conseguem fazer
ping nos endereos IP Frame Relay um do outro, o prximo item a ser verificado a informao relativa ao mapeamento
de endereo Frame Relay, o qual mapeia DLCls a endereos IP next-hop.
Esta seo no ir repetir a cobertura detalhada a respeito de mapeamento de endereos que apareceram tanto no
Captulo 13 quanto neste captulo. Porm, para efeitos de perspectiva, a seguinte lista aponta alguns lembretes e dicas a
serem lembrados quando voc estiver executando este passo para resoluo de problemas:
Em subinterfaces ponto-a-ponto:
t~!O
-Estas subinterfaces no precisam de ARP Inverso ou mapeamento esttico porque o 105 simplesmente acha que a
sub-rede definida na subinterface pode ser alcanada atravs do nico DLCI da subinterface.
- A sada do comando show frame-relay map continua listando estas subinterfaces, mas sem nenhum endereo IP
next-hop .
.... 6plco -
- O comando show frame-relay map deve listar o endereo IP Frame Relay do roteador remoto e o DLCI local do
roteador local para cada PVC associado interface ou subinterface.
- Se voc estiver usando mapeamento esttico, o termo broadcast necessrio para suportar um protocolo de
roteamento.
Para ficar mais completo, o Exemplo 14-23 mostra a sada do comando show frame-relay map no roteador RI da
Figura 14-6, sem nenhum problema de mapeamento. (Os problemas anteriores que haviam sido introduzidos foram
corrigidos.) Neste caso, a interface 50/0/0.2 uma subinterface ponto-a-ponto, e a 50/0/0.34 multiponto, com um
mapeamento aprendido atravs do ARP Inverso e um mapeamento configurado estaticamente.
static,
broadcast,
CISCO, status defined, active
SerialO/0/0.34 (up): ip 10.1 . 34 . 3 dlci 103 (Ox67,Ox1870), dynamic,
broadcast, , status defined, active
SerialO/0/0.2
status defined,
active
duas opes: o cabealho proprietrio da Cisco e o cabealho padro IETF. Os detalhes de configurao foram cobertos
anteriormente neste captulo, na seo "Configurando <> encapsulamento e o LMI".
.
.
------------------------------------------------------------- .
~
A~
ti~
v~
id~a~d~e~s~d
~e
~p~re
~p
~a
=r~a~
~
~
o~p~a=r~
a~o~
e=
xa
~m
~e~______________________
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave. A Tabela 14-5 lista estes
tpicos-chave e onde cada um deles foi discutido.
...........
i Tpico
\~h.'"
Descrio
Lista
354
Lista
356
Definio
357
Figura 14-3
359
Lista
368
Lista
369
Tabela 14-4
373
Lista
374
Lista
375
Lista
375
Nmero da Pgina
------------------------------------------------------------- .
---------------------------------------------------------------- .
CCNA ICND2
3n
o Apndice F, "Additional Scenarios" - disponvel no idioma origina no site da editora: www.altabooks.com.br-. contm
cinco cenrios detalhados. Esses cenrios do a voc a chance de analisar designs, problemas e sadas de comando
diferentes, e mostram como os conceitos de diversos captulos diferentes se inter-relacionam. O Cenrio 4 examina
diversas opes e questes relacionadas implementao de Frame Relay.
Embora voc no precise necessariamente memorizar as informaes das tabelas desta seo, ela inclui uma referncia
para os comandos de configurao e EXEC cobertos neste captulo. Na prtica, voc deve memorizar os comandos
como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de preparao para o exame. Para
verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra o lado esquerdo
da tabela, leia as descries do lado direito, e veja se voc se lembra do comando.
Comando
Descrio
frame-relay lmi-type {ansi I q933a I cisco } Comando do modo de configurao de interface que define o tipo de
bandwidth num
. ------------------------------------------------------------
keepalive sec
frame-relay interface-dlci dlei [ietf I cisco] Comando do modo de configurao de subinterface que liga ou
. -------------------------------------------------------------
. -------------------------------------------------------------
interface] [dlci]
___________________________
e
------------------------------- -
---------------------------------
CAPTULO
15
. --------------------------------------------------------
Uma empresa com um site principal e dez sites remotos poderia comprar dez linhas TI, uma para cada conexo entre o
site central e cada um dos sites remotos. Uma soluo de menor custo seria usar Frame Relay. No entanto, especificamente
pelo fato de os sites remotos geralmente precisarem de acesso Internet, melhor ainda, para efeitos de custo,
simplesmente conectar cada escritrio Internet e enviar o trfego entre os sites atravs da Internet, usando-a como
uma WAN.
Infelizmente, a Internet nem chega perto das linhas privativas e do Frame Relay em termos de segurana. Por exemplo,
para que um hacker consiga roubar uma cpia de frames de dados passando atravs de uma linha privativa, ele teria de
se conectar fisicamente ao cabo, na maioria das vezes dentro de um prdio seguro, debaixo da rua ou na central telefnica
da companhia telefnica: todas estas trs aes podem resultar em priso. Com a Internet, um hacker pode encontrar
mtodos menos intrusivos para obter cpias dos pacotes, sem sequer sair da frente de seu computador em casa, e com
um risco bem menor ser pego e enviado priso.
VPNs (Virtual Private Networks, ou Redes Privadas Virtuais) resolvem os problemas de segurana associados ao fato
de usar a Internet como um servio de WAN. Este captulo explica os conceitos e a terminologia relacionados aos VPNs.
o questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. Se voc errar no mais que uma
destas seis questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame". A Tabela 15-1 lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
material destas sees. Isto ajudar voc a avaliar seu conhecimento nestas reas especficas. As respostas ao questionrio
"Eu j conheo isto?" aparecem no Apndice A.
Tabela 15-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu J Conheo Isto?"
Perguntas
Fundamentos de VPN
1-2
VPNs IPsec
3-5
VPNs SSL
1. Qual dos seguintes termos se refere a uma VPN que usa a Internet para conectar os sites de uma nica companhia,
ao invs de usar linhas privativas ou Frame Relay?
a. Intranet VPN
b. Extranet VPN
c . VPN de Acesso
d. Enterprise VPN
2. Qual(is) das seguintes opes no (so) considerado(s) objetivo(s) relativo(s) segurana desejvel(is) para um
VPN site-a-site?
a. Verificao de integridade de mensagem
b. Privacidade (criptografia)
a. AES
b. HMAC-MD5
c. HMAC-SHA-l
d. DES
e. 3DES
5. Quais trs opes seguintes seriam as opes mais comumente usadas hoje em dia para componentes VPN recmcomprados e instalados?
a. ASA
b. Firewall PIX
c. Concentrador VPN
d. Roteador Cisco
e. Cliente VPN Cisco
6. Quando estiver usando a soluo Web VPN da Cisco, com o cliente usando um navegador web normal sem nenhum
software cliente especial, qual(is) das seguintes afirmaes (so) verdadeira(s)?
a. O usurio cria uma conexo TCP com um servidor Web VPN usando SSL.
b. Se o usurio se conectar a um servidor web normal dentro da empresa, e este servidor suportar somente HTTP, e
no o SSL, estes pacotes passaro atravs da Internet sem serem criptografados.
c. O servidor Web VPN se conecta a servidores web internos no lugar do cliente Web VPN, fazendo tradues entre
HTTP e SSL conforme necessrio.
d. O cliente web VPN no pode se conectar sem ao menos um software SSL thin-client instalado no cliente.
Tpicos fundamentais
Este captulo possui trs sees principais. A primeira seo introduz o conceito bsico de um VPN. A segunda seo (e
a maior delas) examina alguns dos detalhes da construo de VPNs usando as regras definidas nas RFCs de IPsec (IP
Security). A ltima seo explica as idias bsicas a respeito de uma tecnologia VPN alternativa chamada SSL.
Fundamentos de VPN
Linhas privativas possuem alguns recursos maravilhosos de segurana. O roteador em uma das extremidades conhece
com certeza a identidade do dispositivo na outra extremidade do enlace. O roteador receptor tambm tem boas razes
para crer que nenhum hacker viu os dados em trnsito, ou at mesmo os alterou para prejudicar algum.
As VPNs (Virtual Private Networks, ou Redes Privadas Virtuais) tentam oferecer os mesmos recursos de segurana
oferecidos por linhas privativas. Em particular, VPNs oferecem o seguinte:
CCNA ICND2
.:;;~o
. -
-Privacidade: Evita que algum no meio da Internet (uma pessoa no meio), e que copie um pacote da Internet, seja
capaz de ler os dados
- Autenticao: Verifica se quem enviou o pacote VPN um dispositivo legtimo, e no um dispositivo usado por um
hacker
- Integridade de dados: Verifica se o pacote no foi alterado enquanto o mesmo atravessava a Internet
- Antireplay: Evita que uma pessoa no meio copie pacotes enviados por um usurio legtimo, e depois os re-envie mais
tarde como se fosse um usurio legtimo
Para atingir tais objetivos, dois dispositivos nas extremidades da Internet criam uma VPN, s vezes chamado de tnel
VPN. Estes dispositivos adicionam cabealhos ao pacote original, e estes cabealhos incluem campos que permitem aos
dispositivos VPN executarem todas as funes. Os dispositivos VPN tambm criptografam o pacote IP original, o que
significa que o contedo do pacote original se toma indecifrvel para qualquer um que eventualmente veja uma cpia do
pacote, medida que o mesmo atravessa a Internet.
A Figura 15-1 mostra a idia geral daquilo que acontece tipicamente em um tnel VPN. A figura mostra uma VPN criada
entre o roteador de um escritrio remoto e um ASA (Adaptive Security Appliance) da Cisco. Neste caso, a VPN
chamada de VPN site-a-site porque conecta dois sites de uma determinada companhia. Esta VPN tambm chamada
de intranet VPN site-a-site porque conecta sites que pertencem a uma nica companhia.
Figura 15-1 Conceito de Tnel VPN para um Intranet VPN Site-a-Site
381
r---0rigem = 10.2.2.2
rDestino = 10.1.1.1
~ Pacote IP I:-
CD
Internet
Site Central
Escritrio Remoto
Intranet VPN
~--"
.. ..
'
'
........
Extranet VPN
PC2
VPN de Acess' - - __
Fornecedor
de Fredsco
--PC3
Fred em Casa
Na parte superior da figura, o site central e o escritrio remoto de uma empresa fictcia (Fredsco) esto conectados via
intranet VPN. A parte central da figura mostra Fredsco se conectando a outra empresa que fornece partes para Fredsco,
fazendo com que esta VPN seja uma extranet VPN. Finalmente, quando Fred leva seu laptop para casa ao final do dia
e se conecta Internet, a conexo VPN segura do laptop para a rede de Fredsco chamada de VPN de acesso remoto,
ou simplesmente VPN de acesso. Neste caso, o prprio laptop o ponto final do tnel VPN, ao invs do roteador de
acesso Internet. A Tabela 15-2 resume os pontos-chave a respeito destes trs tipos de VPNs.
/;~;;~o
\ Chave
Tipo
Pr opsito Tpico
Intranet
Extranet
Acesso
000
Para construir uma VPN, um dispositivo em cada site precisa ter um hardware e/ou um software que entenda um
determinado conjunto de padres de segurana e protocolos VPN. Os dispositivos incluem o seguinte:
- Roteadores: Alm de encaminhamento de pacotes, o roteador tambm pode disponibilizar funes VPN. O roteador
pode ter placas adicionais especializadas que ajudam o roteador a efetuar as criptografias de modo mais rpido.
- ASA (Adaptive Security Appliances) : Principal dispositivo de segurana da Cisco que pode ser configurado para
diversas funes de segurana, inclusive VPNs.
- FirewaUs PIX: A linha antiga de produtos frrewall Cisco que podem executar funes VPN, alm de funcionarem
como frrewall. Novas instalaes hoje em dia usariam ASA, no lugar.
- Concentradores VPN: Linha antiga de produtos da Cisco, estes dispositivos fornecem uma plataforma de hardware
que se comporta especificamente como uma extremidade de um tnel VPN. Novas instalaes hoje em dia usariam
ASA, no lugar.
CCNA ICND2
383
- Cliente VPN: Para VPN s de acesso, o PC pode precisar executar as funes de VPN; o laptop precisa de software
para executar estas funes, sendo este software chamado de cliente VPN.
A seguir, sero examinados o uso de um conjunto de protocolos para criar VPNs, chamados de IPsec.
VPNs IPsec
IPsec uma arquitetura ou framework para prover servios de segurana em redes IP. O nome propriamente dito no
um acrnimo, mas uma verso resumida do ttulo de uma RFC que o define (RFC 4301, Security Architecture for the
Internet Protocol (Arquitetura de segurana para o protocolo de Internet)), genericamente chamado de IP Security ou
IPsec.
O IPsec define um conjunto de funes, por exemplo, de autenticao e criptografia, e algumas regras relativas a estas
funes, No entanto, da mesma forma que a arquitetura do protocolo TCPIIP define diversos protocolos, alguns dos quais
so alternativas um do outro, o IPsec permite o uso de vrias opes diferentes de protocolos para cada recurso da VPN.
Um dos pontos fortes do IPsec que seu papel como sendo uma arquitetura permite que o mesmo seja adicionado e
alterado ao longo do tempo, medida que melhorias so feitas nos protocolos de segurana.
As sees seguintes analisam os componentes do IPsec, comeando pela criptografia, e seguido pela troca de chaves,
integridade de mensagem e autenticao.
: Criptografia no IPsec
Alm destas funes de certa forma bvias, as duas frmulas matemticas foram escolhidas de modo que, se voc
interceptar o texto criptografado, mas no tiver a senha secreta (chamada de chave de criptografia), descriptografar este
pacote seria muito difcil. Alm disso, as frmulas tambm foram escolhidas de modo que, se acontecer de um hacker
conseguir descriptografar um pacote, esta informao no daria ao hacker nenhuma vantagem para descriptografar os
outros pacotes.
O processo de criptografar dados em uma VPN IPsec funciona em geral, como mostrado na Figura 15-3. Observe que
a chave para criptografia tambm conhecida como chave de sesso, chave compartilhada ou chave compartilhada de
sesso.
Figura 15-3 Processo Bsico de Criptografia IPsec
Se voc ignorar a matemtica - e ainda bem que voc pode -, a criptografia IPsec no muito difcil de se entender. A
criptografia IPsec usa um par de algoritmos para criptografia, que so essencialmente frmulas matemticas que atendem
a alguns requisitos. Em primeiro lugar, as duas frmulas matemticas so um conjunto complementar:
- Uma para esconder (criptografar) os dados
- Outra para recriar (descriptografar) os dados originais a partir dos dados criptografados
/~~~;~o
\Ch....
Host Receptor
Host Transmissor
".
Chave da Sesso
Pacote IP
Original
Chave da Sesso
ca-
Pacote IP
Original
10
ca-
1=
1@
Dados Criptografados
F(Dados Criptografados,
Chave da sesso) =Dados Descriptografados
Cabealho IP
Cabealho VPN
Dados
"'\
crlPlogratado~
/;~~;~o
'. Ch....
....
56
56 x 3
128 e 256
CCNA ICND2
385
processo. A troca de chave DH resolve o problema do ovo e da galinha com um algoritmo que permite que os dispositivos
criem e troquem chaves de modo seguro, evitando que qualquer um que possa ver as mensagens descubra o valor da
chave.
A principal opo para configurao da troca de chave DH o comprimento das chaves usadas pelo processo de troca
de chaves DH para criptografar as mensagens para troca de chave. Quanto mais longa a chave de criptografia a ser
trocada, mais longa precisa ser a chave DH. A Tabela 15-4 resume as trs opes principais:
..........
Tabela 15-4 Opes DH
Opo
Comprimento da Chave
DH-1
768 bits
DH-2
1024 bits
DH-3
1536 bits
( TpiCO
\. Ch.".
....
O IPsec tambm possui diversas opes para o processo de autenticao e integridade de mensagem. A autenticao
geralmente se refere ao processo atravs do qual um dispositivo VPN receptor pode confirmar se um pacote recebido foi
realmente enviado por um parceiro VPN de confiana. Integridade de mensagem, s vezes chamada de autenticao de
mensagem, permite que o receptor confirme que a mensagem no foi alterada em trnsito.
Autenticao e verificao de integridade de mensagem no IPsec usam alguns dos mesmos conceitos gerais da criptografia
e do processo de troca de chaves, de modo que este texto no entrar em muitos detalhes. No entanto, vale a pena
entender o bsico.
Verificao de integridade das mensagens pode ser executado pelo protocolo AR (Authentication Header, ou Cabealho
de Autenticao) do IPsec, usando o conceito de chave compartilhada (simtrica), como no processo de criptografia, mas
usando uma funo hash ao invs de uma funo de criptografia. O hash funciona de modo similar ao conceito de FCS
iframe check sequence) presente no trailer da maioria dos protocolos de enlace de dados, mas de maneira muito mais
segura. O hash (um tipo de funo matemtica), com o nome formal de HMAC (Hashed-based Message Authentication
Code), tem como resultado um nmero menor que pode ser armazenado em um dos cabealhos VPN. O transmissor
calcula o hash e envia o resultado no cabealho VPN. O receptor recalcula o hash, usando uma chave compartilhada (o
mesmo valor de chave em ambas as extremidades), e compara o valor calculado com o valor presente no cabealho VPN.
Se os dois valores forem iguais, significa que os dados inseridos na frmula pelo transmissor so iguais aos que forma
inseridos na frmula pelo receptor, portanto o receptor sabe que a mensagem no foi alterada no caminho.
Essas funes de verificao de integridade com o HMAC usam tipicamente uma chave secreta que precisa ser pelo
menos duas vezes mais longa que a chave de criptografia que criptografa a mensagem. Como resultado, diversas opes
HMAC foram criadas ao longo dos anos. Por exemplo, o padro MD5 (message digest algorithm 5) suportado h muito
tempo, usa uma chave de 128 bits, permitindo que o mesmo suporte VPNs que usam chave de criptografia para DES,
com comprimento de 56 bits.
NOTA Se o VPN usar ESP para criptografar os pacotes, a funo HMAC para integridade de
mensagem no necessria porque o hacker teria de ter quebrado a chave de criptografia,
antes que pudesse ter alterado o contedo da mensagem.
O processo de autenticao usa o conceito de chave pblica/privada similar troca de chave DH, baseado na idia de
que um valor criptografado com a chave particular do enviador pode ser descriptografado com a chave pblica do
enviador. Como na verificao de integridade de mensagem, o enviador calcula um valor e o coloca no cabealho VPN,
mas desta vez usando a chave privada do enviador. O receptor usa a chave pblica do enviador para descriptografar o
valor transmitido, comparando-o com o valor presente no cabealho. Se os valores forem idnticos, o receptor sabe que
o transmissor autntico.
A Tabela 15-5 resume alguns dos protocolos e ferramentas especficas disponveis para autenticao e integridade de
mensagens no IPsec.
------------------------------------------------------------------------------
Mtodo
Descrio
Integridade de mensagem
HMAC-MD5
Integridade de mensagem
HMAC-SHA
Autenticao
Ambos os dispositivos VPN devem ser prChaves PrCompartilhadas configurados com a mesma chave secreta
Autenticao
Assinaturas
digitais
Autenticao
Sim (fraco)
Sim (forte)
Integridade de mensagem
Sim
Sim
Criptografia
Sim
No
Antireplay
Sim
No
CCNA ICND2
387
Usurios de VPN IPsec para acesso remoto tm as mesmas funes disposio que os usurios de VPN site-a-site,
fornecendo ao usurio o acesso a toda e qualquer aplicao permitida. No entanto, VPNs para acesso remoto exigem um
certo esforo adicional, no sentido de que cada host precisa usar o software de cliente VPN da Cisco. Este software
implementa os padres IPsec no PC, ao invs de exigirem um suporte a VPN em um dispositivo separado. A instalao
no difcil, mas um pequeno trabalho adicional em cada host, ao passo que, comparado a um VPN site-a-site implementado
com um roteador da Cisco j instalado, o nico requisito poderia ser uma atualizao no lOS da Cisco.
Para facilitar a instalao e a configurao de VPNs, a Cisco fornece um framework e um conjunto de funes chamado
Easy VPN. O problema solucionado pelo Easy VPN pode ser facilmente compreendido se considerarmos o exemplo a
seguir. Uma empresa possui 200 sites remotos com os quais ela deseja criar uma intranet VPN usando a Internet. Alm
disso, esta empresa quer conexes extranet VPN site-a-site para uma dzia de parceiros. Finalmente, 2000 empregados
possuem laptops, e todos eles, ao menos ocasionalmente, levam seus laptops para casa e se conectam na rede da
empresa atravs da Internet. E, o IPsec possui diversas opes para cada funo, exigindo configuraes em cada site.
O Easy VPN ajuda a resolver as dores de cabea relativas administrao de um ambiente como este, permitindo que
um servidor Cisco Easy VPN, tipicamente o dispositivo VPN do site central (por exemplo, um ASA), informe dinamicamente
os dispositivos dos sites remotos a respeito de suas configuraes VPN IPsec. Os dispositivos remotos - roteadores,
ASAs, laptops com software de cliente VPN da Cisco e assim por diante - atuam como se fossem clientes Easy VPN,
conectando-se ao servidor Easy VPN e baixando as opes de configurao.
A seguir, a ltima seo deste captulo examina rapidamente uma tecnologia VPN alternativa chamada SSL.
: VPNs SSL
Todos os navegadores web comumente usados hoje em dia suportam um protocolo chamado SSL (Secure Socket
Layer). Estes mesmos navegadores tambm suportam tipicamente um padro conseqente, embora menos conhecido,
chamado TLS (Transport Layer Security) . Esta seo explica como o SSL pode ser usado para criar VPNs de acesso.
NOTA Ao invs de se referir a ambos, SSL e TLS, ao longo desta seo, o texto usar somente
o termo SSL, mais popular. SSL e TLS no so protocolos realmente equivalentes, mas
executam as mesmas funes e so iguais ao nvel de detalhes descritos neste captulo.
Navegadores web usam o HTIP para se conectarem a servidores web. Porm, quando a comunicao com o servidor
web precisa ser segura, o navegador alterna para o uso de SSL. O SSL usa a bem conhecida porta 443 , criptografando
os dados trocados entre o navegador e o servidor, e autenticando o usurio. Ento, as mensagens HTIP fluem atravs da
conexo SSL.
A maioria das pessoas j usou SSL, geralmente sem tomar conhecimento. Se voc j usou um site da web na Internet, e
precisou fornecer informaes sobre cartes de crdito ou outras informaes pessoais, o navegador provavelmente
alternou para usar SSL. A maioria dos navegadores mostra um cone que se parece com um cadeado, com o cadeado
aberto quando no est usando o SSL e o cadeado fechado (trancado) quando est usando o SSL.
Os servidores web podem escolher quando e como implementar o SSL. Pelo fato do SSL exigir mais trabalho, muitos
servidores web simplesmente usam o HTTP para fornecer informaes gerais, alternando para SSL somente quando o
usurio precisa fornecer informaes sigilosas, tais como credenciais para login e informaes financeiras. No entanto,
quando servidores web internos de uma empresa precisam enviar dados para um usurio em casa, do outro lado da
Internet, ao invs de para um usurio em uma LAN local da empresa, o servidor pode precisar garantir a segurana de
todas as comunicaes com o cliente para impedir a perda de dados.
A Cisco resolve alguns dos problemas relativos ao acesso interno da web para usurios baseados em Internet atravs de
um recurso chamado Web VPN. De modo diferente dos VPNs IPsec, o Web VPN permite tipicamente apenas trfego
de web, em oposio a todo o trfego. Porm, a grande maioria das aplicaes das empresas hoje em dia j acessvel
via web. Por exemplo, a maioria dos usurios finais precisa de acesso a aplicaes internas, que so executadas em
servidores web internos, e possivelmente acesso a servidores de e-mail. Se um usurio puder verificar seus e-mails
atravs de um navegador web, a maioria, se no todas as funes necessrias a este usurio poder ser executada a
partir de um navegador web, e o Web VPN pode proporcionar uma soluo razovel.
388
o Web VPN toma segura uma conexo entre o usurio da empresa em casa com a rede da empresa, usando SSL entre
o usurio final e um servidor Web VPN especial. A Figura 15-4 mostra a idia geral.
_:b-_. .....
...
HTTP Local ou
Sesso SSL
_-------~
.--
---------------------------------
---
-------~
Fred em Casa
Servidor Web
VPNASA-1
Para usar Web VPN, o usurio que est na Internet abre qualquer navegador web e se conecta a um servidor Web VPN
da Cisco. O servidor Web VPN pode ser implementado por diversos dispositivos, inclusive um ASA. Esta conexo usa o
SSL para todas as comunicaes, usando as capacidades para SSL embutidas no navegador web, de modo que todas as
comunicaes entre o cliente e o servidor Web VPN sejam seguras.
O servidor Web VPN atua como um servidor web, apresentando uma pgina web de volta para o cliente. A pgina web
apresenta as aplicaes da empresa que esto disponveis ao cliente. Por exemplo, ele pode listar todas as aplicaes
baseadas em web tpicas da empresa, o servidor de e-mail baseado em web e outros servios baseados em web. Quando
o usurio selecionar uma opo, o servidor Web VPN se conectar ao servio, usando HTIP ou SSL, conforme exigido
pelo servidor. Ento, o servidor Web VPN passar o trfego HTIP/SSL para/do servidor real atravs da conexo
somente SSL, de volta ao cliente na Internet. Como resultado, todas as comunicaes atravs da Internet estaro
seguras com o SSL.
O ponto forte desta soluo Web VPN reside no fato de que ela no exige nenhum software ou esforo especial por
parte do cliente. Os empregados podem at usar seus computadores pessoais, o computador de outra pessoa ou qualquer
computador conectado Internet e se conectar ao nome do host do servidor Web VPN.
A desvantagem do Web VPN que ele permite somente o uso de um navegador web. Se voc precisar usar uma
aplicao que no pode ser acessada atravs de um navegador, voc tem duas opes. Primeiro, voc poderia implementar
VPNs IPsec, como j discutido anteriormente. De modo alternativo, voc poderia usar uma variao do Web VPN na
qual o computador cliente carrega um thin client baseado em SSL, conceitualmente similar ao cliente VPN baseado em
IPsec da Cisco, usado nos VPNs IPsec. O computador cliente poderia ento se conectar ao servidor Web VPN usando
o thin client, e o servidor Web VPN simplesmente passaria o trfego do PC para a LAN local, permitindo o acesso como
se o cliente estivesse conectado na rede principal da empresa.
[ TpiCO
:. Chave
....
Elemento do Tpico-Chave
Descrio
Nmero da Pgina
Lista
381
Tabela 15-2
382
Tabela 15-3
383
CCNA ICND2
Tabela 15-3
384
Tabela 15-4
385
Tabela 15-6
386
Definio de termos-chave
389
Imprima uma cpia do Apndice J, "Tabelas de memria", ou pelo menos a seo referente a este captulo e complete as
tabelas e listas usando a memria. O Apndice K, "Respostas das tabelas de memria", inclui as tabelas e listas completadas
para voc conferir o seu trabalho.
Implementar um esquema de endereamento IP e Servios IP para atender aos requisitos de rede para a rede
de um escritrio remoto de uma Empresa de porte mdio
- Descrever os requisitos tecnolgicos para executar o IPv6 (incluindo: protocolos, pilha dual, tunelamento etc .
- Descrever endereos IPv6
Implementar, verificar e resolver problemas de NAT e ACLs na rede de um escritrio remoto de uma Empres.
de porte mdio.
- Dados os requisitos para a rede, configurar o NAT (Network Address Translation, ou Traduo de Endereo.
de Rede) usando CU
- Resolver problemas relativos implementao do NAT
*Sempre verifique o site http://www.cisco.com para ver os tpicos de exame colocados recentemente.
----------------------------------------
.'
CAPTULO 16
Este captulo introduz a Parte V, "Escalando o espao de endereamento IP" . Os dois captulos desta parte do livro esto
relacionados um ao outro porque explicam as duas solues mais importantes para o que era um enorme obstculo para
o crescimento da Internet. O problema consistia no fato de que o espao de endereamento no IPv4 teria sido totalmente
consumido por volta de meados da dcada de 90 sem nenhuma soluo significativa. Uma das solues de curto prazo
mais significativas foi o NAT (Network Address Translation, ou Traduo de Endereos de Rede), que ser o foco
deste captulo. A soluo de longo prazo mais significativa o IPv6, que ataca o problema tomando o espao de
endereamento bem amplo. O IPv6 ser coberto no prximo captulo.
Este captulo comea com uma rpida cobertura do CIDR (Classless lnterdomain Routing), que ajuda os ISPs (Internet
Service Providers, ou Provedores de Servios da Internet) a administrarem o espao de endereamento IP, e o endereamento
IP privativo. A maior parte do restante deste captulo explica os conceitos e as configuraes relacionadas ao NAT.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. Se voc errar no mais que uma
destas nove questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame". A Tabela 16-1 lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
material destas sees. Isto ajudar voc a avaliar seu conhecimento nestas reas especficas. As respostas ao questionrio
"Eu j conheo isto?" aparecem no Apndice A.
Tabela 16-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu j conheo isto?"
Perguntas
1-3
4-5
6-9
a. 10. O. O. O 255.255.255. O
b. 10.1.0.0255.255.0.0
c. 200.1.1.0255.255.255.0
d. 200.1. O. O 255.255. O. O
c. 10.255.1.1
d. 10. 1. 2 5 5 . 1
e. 191.168.1.1
4. Com NAT esttico, executando tradues somente para endereos internos, o que faz com que as entradas da tabela
NAT sejam criadas?
a. O primeiro pacote da rede interna para a rede externa
b. O primeiro pacote da rede externa para a rede interna
c. Configurao atravs do comando ip nat inside source
d. Configurao atravs do comando ip nat outside source
5. Com NAT dinmico, executando tradues somente para endereos internos, o que faz com que as entradas da
tabela NAT sejam criadas?
a. O primeiro pacote da rede interna para a rede externa
b. O primeiro pacote da rede externa para a rede interna
c. Configurao atravs do comando ip nat inside source
d. Configurao atravs do comando ip nat outside source
6. O NAT foi configurado para traduzir endereos de origem de pacotes recebidos da parte interna da rede, mas
somente para alguns hosts. Qual dos seguintes comandos identifica os hosts?
a. ip nat
inside
seurce
Iist
peeI
inside
d. ip nat
inside
200.1.1.1
barney
200.1.1.254
netmask
255.255.255.0
200.1.1. 2
c. ip nat inside
d. ip nat inside 200.1.1.1 200.1.1.2
CCNA ICND2
395
Se o objetivo da configurao foi habilitar a sobrecarga de NAT origem, qual(is) dos seguintes comandos poderia(m) ser
til(eis) para completar a configurao?
a. O comando ip nat outside
b. O comando ip nat pat
c. O termo overload
d. O comando ip nat pool
9. Examine a sada do seguinte comando show em um roteador configurado para NAT dinmico:
-
Inside Source
Usurios esto reclamando que no conseguem acessar a Internet. Qual das seguintes opes a causa mais provvel?
a. O problema no est relacionado com o NAT, baseado nas informaes da sada do comando.
b. O pool do NAT no possui entradas suficientes para satisfazer todas as solicitaes.
c. A ACL 1 padro no pode ser usada; uma ACL estendida deve ser usada.
d. A sada do comando no fornece informaes suficientes para identificar o problema.
: Tpicos fundamentais
Este captulo cobre os detalhes a respeito de NAT em trs sees principais. A primeira seo explica os desafios ao
espao de endereamento do IPv4 causados pela revoluo da Internet nos anos 90. A segunda seo explica o conceito
bsico por detrs do NAT, como funcionam as diversas variaes do NAT, e como a opo PAT (Port Address Translation,
ou Traduo de Endereos de Porta) conserva o espao de endereamento no IPv4. A ltima seo mostra como
configurar o NAT a partir do CU (command-line interface, ou interface de linha de comando) do software lOS da
Cisco, e como resolver problemas de NAT.
Para aqueles que estiverem seguindo o plano de leitura opcional no qual voc se alterna entre este livro e o CCENT/
CCNA ICNDJ Official Exam Certification Guide (CCENT/CCNA ICNDl Guia oficial de certificao do exame),
observe que o Captulo 17 daquele livro tambm cobre NAT e PAT, com a configurao sendo feita a partir do SDM
(Security Device Manager). Este captulo cobre necessariamente alguns dos conceitos fundamentais, mas com descries
bem mais completas dos conceitos e da configurao.
O projeto original da Internet exigia que cada organizao solicitasse e recebesse um ou mais nmeros de rede IP classful
registrados. As pessoas administrando o programa garantiam que nenhuma das redes IP seriam reusadas. Desde que
todas as organizaes usassem apenas os endereos IP dentro de suas prprias numeraes de rede registradas, os
endereos IP nunca seriam duplicados, e o roteamento IP funcionaria de modo adequado.
Conectar-se Internet usando apenas um nmero de rede registrado, ou diversos nmeros de rede registrados funcionou
bem por um certo tempo. No incio e at meados da dcada de 90, tomou-se evidente que a Internet estava crescendo to
rapidamente que todos os nmeros de rede IP seriam atribudos at a metade da dcada de 90! Levantaram-se
preocupaes no sentido de que as redes disponveis seriam completamente atribudas, e que algumas organizaes no
seriam capazes de se conectar Internet.
A principal soluo de longo prazo para o problema de escalabilidade de endereos IP foi aumentar o tamanho do
endereo IP. Este nico fato foi a razo que mais contribuiu para o aparecimento da verso 6 do IP (IPv6). (A verso 5
foi definida bem antes, mas nunca foi implantada, de modo que a tentativa seguinte foi batizada de verso 6.) O IPv6 usa
CIDR
O CIDR uma conveno global para atribuio de endereos, que defme como o IANA (Internet Assigned Numbers
Authority), suas agncias membro e os ISPs devem atribuir o espao de endereamento IPv4 global e nico a organizaes
individuais. O CIDR, defmido na RFC 4632 (http://www.ietf.org/rfc/rfc4632.txt).temdoisobjetivosprincipais.Primeiro.
sua poltica diz que as opes para atribuio de endereos deve ajudar no processo de agregao (sumarizao) de
mltiplos nmeros de rede em uma nica entidade de roteamento, reduzindo o tamanho das tabelas de roteamento dos
roteadores da Internet. O segundo objetivo permitir que os ISPs atribuam a seus clientes faixas de endereos em tamanhos
diferentes de redes Classes A, B ou C inteiras, reduzindo o desperdcio, e adiando a data em que endereos IPv4 no estaro
mais disponveis para serem atribudos a novas organizaes e pessoas que querem se conectar Internet. As sees
seguintes explicam um pouco mais dos detalhes a respeito de cada um dos dois principais objetivos do CIDR.
..........
( Tpico
'. Chave
....
Cliente #1
198.8.3.0/24
Rota para 198.0.0.0 Mscara
255.0.0.0 Aponta para ISP #1
Cliente #3
198.1 .0.0
.'
CCNA ICND2
397
Ao usar um protocolo de roteamento que troca a mscara, bem como o nmero da sub-rede/rede, pode-se conseguir uma
viso classless do nmero. Em outras palavras, trate o grupamento como se fosse um problema de matemtica, ignorando
as regras para Classes A, B e C. Por exemplo, 198.0.0.0/8 (198.0.0.0, mscara 255.0.0.0) defrne um conjunto de endereos
cujos primeiros 8 bits so iguais ao decirnall98. O ISP 1 anuncia esta rota para os outros ISPs, que precisam de apenas
uma rota para 198.0.0.0/8. Em seus roteadores, o ISP 1 sabe quais redes Classe C esto em quais sites de clientes.
desta forma que o CIDR d aos roteadores da Internet uma tabela de roteamento que pode crescer bem mais - reduzindo
o nmero de entradas nas tabelas.
Para que o CIDR funcione como mostrado na Figura 16-1, os ISPs precisam estar no controle dos nmeros de rede
consecutivos. Atualmente, as redes IP so alocadas por autoridades administrativas nas vrias regies do mundo. As
regies, por sua vez, alocam faixas consecutivas de nmeros de rede para determinados ISPs nestas regies. Isto
permite o resumo de diversas redes em uma nica rota, como mostrado na Figura 16-1.
Endereamento IP privado
Pode ser que alguns computadores nunca sejam conectados Internet. Os endereos IP destes computadores poderiam
ser cpias de endereos IP registrados na Internet. Quando a conveno para o endereamento IP em tais redes estiver
sendo planejada, uma organizao poderia escolher e usar qual(is)quer nmero(s) de rede que quiser, e tudo funcionaria
bem. Por exemplo, voc pode comprar alguns roteadores, conect-los em seu escritrio, e configurar endereos IP na
rede 1.0.0.0, e eles funcionariam. Os endereos IP que voc usar podem ser cpias de endereos IP reais da Internet,
mas se tudo o que voc quiser fazer for aprender no laboratrio de seu escritrio, tudo estar bem.
Quando estiver construindo uma rede privada que no ter nenhuma conexo com a Internet, voc pode usar nmeros de
rede IP chamados de redes privadas (private intemets), conforme definido na RFC 1918, Address Allocation for
Private Intemets (Alocao de endereos para redes privadas, http://www.ietf.orglrfc/rfcI918.txt). Esta RFC define
um conjunto de redes que nunca sero atribudas a nenhuma organizao como sendo um nmero de rede registrado. Ao
invs de usar nmeros de rede registrados pertencentes a outras pessoas, voc pode usar nmeros em uma faixa que no
usada por mais ningum na Internet pblica. A Tabela 16-2 mostra o espao de endereamento privativo definido pela
RFC 1918.
/;~;;~o
Nmero de Redes
10.0.0.0 a 10.255.255.255
172.16.0.0 a 172.31.255.255
16
192.168.0.0 a 192.168.255.255
256
:.....cu".
Em outras palavras, qualquer organizao pode usar estes nmeros de rede. No entanto, nenhuma organizao est
autorizada a anunciar estas redes na Internet usando um protocolo de roteamento.
/~~~;~o
\ c.......
...
10.1.1.1
Origem
Destino
10.1.1.1
1170.1.1.1
Origem
Destino
1170.1.1 .1
10.1 .1.1
Origem
www.cisco.com
170.1.1.1
Destino
Origem
Destino
1170.1.1.1 1200.1.1.1
111(
111(
Observe que o roteador executando NAT, muda o endereo IP origem do pacote quando o pacote sai da organizao
privada. O roteador executando NAT tambm altera o endereo de destino de cada pacote encaminhado de volta para
dentro da rede privada (a rede 200.1.1.0 uma rede registrada na Figura 16-2). A facilidade de NAT, configurada no
roteador chamado NAT, executa a traduo.
O Software lOS da Cisco suporta diversas variaes de NAT. As prximas pginas a seguir cobrem os conceitos por
detrs de vrias destas variaes. A seo depois disso cobre a configurao relacionada a cada opo.
NATesttico
O NAT esttico funciona exatamente como no exemplo mostrado na Figura 16-2, mas com os endereos IP mapeados
estaticamente um ao outro. Para ajudar voc a compreender as implicaes do NAT esttico, e para explicar diversos
termos-chave, a Figura 16-3 mostra um exemplo similar, com mais informaes.
Figura 16-3 NAT Esttico Mostrando Endereos Locais Internos e Globais Internos
ISA 10.1.1.1
lSA200.1.1.11
10.1.1.1
Internet
10.1.1.2
Endere o Privativo
10.1.1 .1
10.1.1.2
Ender o Pblico
200.1.1 .1
200.1.1.2
CCNA ICND2
399
Em primeiro lugar, o conceito: o ISP da companhia atribuiu a ela a rede registrada 200.1.1.0. Sendo assim, o roteador
NAT deve fazer com que os endereos IP privativos paream estar na rede 200.1.1.0. Para fazer isso, o roteador NAT
altera os endereos IP de origem nos pacotes indo da esquerda para a direita na figura.
Neste exemplo, o roteador NAT altera o endereo de origem ("EO" na figura), de 10.1.1.1 para 200.1.1.1. Com o NAT
esttico, o roteador NAT simplesmente configura um mapeamento de um-para-um entre o endereo privativo e o endereo
registrado usado em seu lugar. O roteador NAT configurou estaticamente um mapeamento entre o endereo privativo
10.1.1.1 e o endereo pblico e registrado, 200.1.1.1.
Suportar dois hosts IP na rede privada exige um segundo mapeamento esttico de um-para-um, usando um segundo
endereo IP da faixa de endereos pblicos. Por exemplo, para suportar 10.1.1.2, o roteador mapeia estaticamente
10.1.1.2 para 200.1.1.2. Pelo fato da empresa ter uma nica rede Classe C registrada, ela pode suportar at 254 endereos
IP privativos com o NAT, tendo os dois nmeros reservados de sempre (o nmero da rede e o endereo de broadcast da
rede).
A terminologia usada com o NAT, particularmente com a configurao, pode ser um pouco confusa. Observe na Figura
16-3 que a tabela do NAT lista os endereos IP privativos como "privativo" e os endereos pblicos registrados da rede
200.1.1.0 como "pblico". A Cisco usa o termo Local interno (inside local) para os endereos IP privativos neste
exemplo, e global interno (inside global) para os endereos IP pblicos.
Na terminologia da Cisco, a rede da empresa que usa endereos privativos, e, sendo assim, precisa do NAT, a parte
"interna" (ou "in si de") da rede. O lado Internet da funo NAT a parte "externa" (ou "outside") da rede. Um host que
precisa de NAT (como o 10.1.1.1 no exemplo) possui um endereo IP que ele usa dentro da rede, e precisa de um
endereo IP que o represente fora da rede. Portanto, pelo fato do host precisar essencialmente de dois endereos
diferentes para represent-lo, voc precisa de dois termos. A Cisco chama o endereo IP privativo usado do lado de
dentro da rede, de endereo local interno e o endereo usado para representar o host para o resto da Internet de
endereo global interno. A Figura 16-4 repete o mesmo exemplo, com algumas das terminologias sendo apresentadas.
1L-ILs_A_20_0_
.1._1._1LI__~
/~~~;~o
. _-------------------------,.--------------------------------_._-----------_.---------"""
""
""
Server
""
10.1.1.1
\~h.Y
':
Internet
""
""
"
________ )_Q.)~1~~ _________ j~" _________________________________________________________ _
Dentri
l DA 10.1.1 .1
Local Interno
10.1.1.1
10.1.1.2
Fora
I DA 200.1.1.1 I
Global Interno
200.1.1.1
200.1 .1.2
A maior parte das configuraes NAT tpicas altera apenas o endereo IP dos hosts internos. Sendo assim, a tabela NAT
atual apresentada na Figura 16-4 mostra os endereos locais internos e os endereos registrados globais internos
correspondentes. No entanto, o endereo IP do host do lado de fora tambm pode ser alterado com o NAT. Quando isto
acontece, os termos local externo (outside local) e global externo (outside global) denotam o endereo IP usado
para representar este host na rede interna e na rede externa, respectivamente. A Tabela 16-3 resume a terminologia e
seus significados.
/;~~;~o
'. Chave
....
NAT dinmico
O NAT dinmica possui algumas semelhanas e algumas diferenas quando comparado ao NAT esttico. Como no NAT
esttico, o roteador NAT cria um mapeamento de um-para-um entre um endereo local interno e global interno, e muda
os endereos IP dos pacotes medida que eles saem e entram na rede interna. No entanto, o mapeamento de um
endereo local interno para um endereo global interno acontece dinamicamente.
O NAT dinmico configura um pool de endereos globais internos possveis e define um critrio para determinar quais
endereos IP locais internos devem ser traduzidos com o N AT. Por exemplo, na Figura 16-5, um pool de cinco endereos
IP globais internos foram estabelecidos: 200.1.1.1 a 200.1.1.5. O NAT tambm foi configurado para traduzir qualquer
endereo local interno que comee com 10.1.1.
CCNA ICND2
401
..
Dentro
::
00
00
10.1.1.1
00
00
00
::
Internet
00
00
00
00
00
00
.1
o recurso de Sobrecarga de NAT (NAT Overload), tambm chamado de PAT (Port Address Translation, ou Traduo
de Endereos de Porta) resolve este problema. A sobrecarga permite que o NAT seja escalado para suportar vrios
Figura 16-6 Trs Conexes TCP: A Partir de Trs Hosts Diferentes e A Partir de Um Host
Trs Conexes Apartir de Trs PCs
10.1.1.1
170.1.1.1, Porta 80
Servidor
10.1.1.2
170.1.1.1
10.1.1.3, Porta10
10.1.1.3
17 . .1.1, Porta 80
200.1.1.2, Porta1024
Servidor
200.1.1.2, Porta10
Internet
200.1.1.2, Porta1 26
170.1.1.1
17 . .1.1, Porta 80
10.1 .1.2
10.1.1.3
...
Servidor
/;~;;~o
'. Chave
.
.
.
170.1 .1.1
Quando O PAT cria o mapeamento dinmico, ele seleciona no apenas um endereo IP global inte[Ilo, mas tambm um
nmero de porta nico a ser usado com este endereo. O roteador NAT mantm uma entrada na tabela NAT para cada
combinao nica entre endereo IP local interno e porta, com a traduo para o endereo global interno e um nmero de
porta nico associado a este endereo global interno. E pelo fato do campo de nmero de porta ter 16 bits, a sobrecarga
CCNA ICND2
403
de NAT pode usar mais de 65.000 nmeros de portas, permitindo que seja bem escalado sem a necessidade de muitos
endereos IP registrados - em muitos casos, precisando somente de um endereo IP global externo.
Dos trs tipos de NAT cobertos neste captulo at agora, o PAT de longe a opo mais popular. Tanto o NAT Esttico
quanto o NAT Dinmico exigem um mapeamento de um-para-um de um endereo local interno para um endereo global
interno. O PAT reduz significativamente o nmero necessrio de endereos IP registrados, se comparado a estas outras
alternativas de NAT.
170.1.1.10
www.cisco.com
170.1.1.1
Destino
Origem
1 200.1.1.1
170.1.1.1
-------------------..
Origem
Destino
1 170.1.1.1 1 200.1.1.1
Tabela NAT Aps o Primeiro Pacote
Global Interno
200.1.1.1
Local Externo
192.168.1.1
Global Externo
170.1.1.1
Com um espao de endereamento que se sobrepe, um cliente na empresa A no pode enviar um pacote para o host
com endereo IP legtimo 170.1.1.1- ou, se o fizer, o pacote no chegaria nunca ao 170.1.1.1 de verdade. Por qu? As
tabelas de roteamento dentro da empresa ( esquerda) provavelmente possuem uma rota associada a 170.1.1.1 em sua
tabela de roteamento. Para o host 170.1.1.10 na figura, o mesmo est na sub-rede na qual o 170.1.1.1 "privativo" estaria,
portanto o host 170.1.1.10 nem mesmo tentaria encaminhar pacotes destinados a 170.1.1.1 para o roteador. Ao invs
disso, ele encaminharia os pacotes diretamente ao host 170.1.1.1 , assumindo que o mesmo est na mesma LAN! O NAT
pode resolver este problema, mas tanto os endereos de origem quanto os de destino devem ser alterados quando o
pacote passar pelo roteador NAT. Na Figura 16-8, observe que o pacote original enviado pelo cliente possui um endereo
de destino de 192.168.1.1. Este endereo, chamado de endereo local externo, representa o servidor fora da empresa.
Externo significa que o endereo representa o host que est fisicamente "do lado de fora" da rede. Local significa que
este endereo representa o host do lado privativo da rede.
Quando o pacote passar pelo roteador NAT (da esquerda para a direita), o endereo de origem alterado, exatamente
como nos exemplos anteriores. Porm, o endereo de destino tambm ser alterado, neste caso, para 170.1.1.1. O
endereo de destino tambm chamado de endereo global externo neste ponto, porque ele representa um host que
est sempre fisicamente do lado de fora da rede, e o endereo o endereo IP global, registrado publicamente e que pode
ser roteado atravs da Internet.
170.1.1.10
200.1.1.1
170.1.1.1
192.168.1.1
nat mSlde.
....
: Tpico
~ Chave
Passo 2 Configure as interfaces que estaro na parte externa do design do NAT usando o subcomando de interface ip
nat outside.
Passo 3 Configure os mapeamentos estticos usando o comando global de configurao ip nat inside source static
inside-local inside-global.
A Figura 16-9 mostra a rede familiar usada anteriormente neste captulo na descrio do NAT esttico, a qual tambm
ser usada nos primeiros exemplos de configurao. Na Figura 16-9, voc pode notar que FredsCo obteve a rede Classe
C 200.1.1.0 como um nmero de rede registrado. Toda a rede, com mscara 255.255.255.0 est configurada no enlace
serial entre FredsCo e a Internet. Com um enlace serial ponto-a-ponto, apenas dois dos 254 endereos IP vlidos desta
rede sero consumidos, deixando 252 endereos disponveis.
CCNA ICND2
405
200. 1.1.251
FredsCo
_........................................................................ -,_ ..... . .
"
10.1.1.1
.1.252
""
"
""
"::
Servidor
"
Internet
""
""
" ____________________________ _____________________________ _
__ ______ )_(L1"1~~ _________ ~:
Fora
Dentro
Quando estiver planejando uma configurao NAT, voc precisa encontrar alguns endereos IP a serem usados como
endereos IP globais internos. Pelo fato destes endereos precisarem fazer parte de alguma faixa de endereos IP
registrados, muito comum se usar os endereos extras da sub-rede que conecta a empresa Internet - por exemplo, os
252 endereos IP extras da rede 200.1.1.0, neste caso. O roteador tambm pode ser configurado com uma interface
loopback e receber um endereo IP, que seja parte de uma faixa de endereos IP nicos e registrados globalmente.
O Exemplo 16-1 mostra a configurao do NAT, usando 200.1.1.1 e 200.1.1.2 para os dois mapeamentos NATestticos.
interface EthernetO / O
ip address 10.1.1 . 3 255.255.255.0
i p nat inside
interface SerialO / O
ip address 200 . 1.1.251 255.255.255.0
ip nat outside
!
Inside global
Inside local
2 00.1.1.1
10 . 1.1.1
2 00. 1.1.2
10.1.1.2
Outside local
Outside global
Como voc deve estar imaginando, a configurao do NAT dinmico difere do NAT esttico em alguns pontos, mas
tambm possui semelhanas. O NAT Dinmico tambm exige que cada interface seja identificada como sendo uma
interface interna ou externa, mas obviamente, o mapeamento esttico no necessrio. O NAT Dinmico usa uma ACL
(Access Control List, ou Lista de Controle de Acesso) para identificar quais endereos IP locais internos (privativos)
precisam ter seus endereos traduzidos, e define um conjunto de endereos IP pblicos registrados a serem alocados. A
seguir, os passos especficos:
/;~;;~o Passo 1 Como acontece no NAT esttico, configure as interfaces que estaro na parte interna do design do NAT
\~h.ve
usando o subcomando de interface ip nat inside.
Passo 1 Como acontece no NAT esttico, configure as interfaces que estaro na parte externa do design do NAT
usando o subcomando de interface ip nat outside.
Passo 3 Configure uma ACL que identifique os pacotes chegando nas interfaces internas, para os quais o NAT deve
ser executada.
Passo 4 Configure o pool de endereos IP registrados publicamente atravs do comando de configurao global ip nat
pool name first-address last-address mask subnet-mask.
Passo 5 Habilite o NAT dinmico fazendo referncia ACL (Passo 3) e ao pool (passo 4) atravs do comando de
configurao global ip nat source tist acl-number pool pool-name.
O prximo exemplo usa a mesma topologia de rede do exemplo anterior (veja a Figura 16-9). Neste caso, os mesmos dois
endereos locais internos, 10.1.1.1 e 10.1.1.2 precisam de traduo. Os mesmos endereos globais internos usados nos
mapeamentos estticos do exemplo anterior, 200.1.1.1 e 200.1.1.2 sero inseridos no conjunto de endereos globais
internos a serem atribudos dinamicamente. O Exemplo 16-2 mostra a configurao, alm de alguns comandos show.
interface EthernetO / O
ip address 10.1 . 1.3 255.255.255.0
1-
ip na t inside
I~
interface Seria10 / 0
ip address 200.1.1.251 255.255.255.0
ip n a t o utside
CCNA ICND2
407
Dynamic mappings:
-
- Inside Source
A configurao do NAT dinmico inclui um pool de endereos globais internos, alm de uma lista de acesso IP para
defInir os endereos locais internos para os quais o NAT ser executado. O comando ip nat pool apresenta o primeiro
e o ltimo nmero de uma faixa de endereos globais internos. Por exemplo, se o pool precisasse de dez endereos, o
comando teria listado 200.1.1.1 e 200.1.1.10. O parmetro netmask necessrio executa um certo tipo de verifIcao na
faixa de endereos. Se a faixa de endereos no estiver na mesma sub-rede assumindo que o netmask configurado foi
usado, o lOS ir rejeitar o comando ip nat pool. Neste caso, a sub-rede 200.1.1.0, mscara 255.255.255 .252 (o netmask
configurado) iria incluir 200.1.1.1 e 200.1.1.2 na faixa de endereos vlidos, portanto o lOS aceitaria este comando.
Como no NAT esttico, o NAT dinmico usa o comando ip nat inside source. De modo diferente do NAT esttico, a
verso deste comando no NAT dinmico faz referncia ao nome do pool NAT a ser usado para os endereos globais
internos - neste caso, fred. Este comando tambm faz referncia a uma IPACL, que defIne a lgica para casar os
endereos IP locais internos. O comando ip nat inside source tist 1 pool fred mapeia hosts que casam com a ACL 1,
com o pool chamado fred, que foi criado atravs do comando ip nat pool fred.
O Exemplo 16-2 termina com um par de comandos show que confIrmam que o roteador ainda no possui nenhuma
entrada na tabela de traduo NAT. No comeo, os comandos show ip nat translations e show ip nat statistics no
apresentam nada ou apresentam informaes mnimas de confIgurao. Neste ponto, nem o host 10.1.1.1 , nem o 10.1.1.2
ainda no enviou nenhum pacote, e o NAT no criou nenhuma entrada dinmica na tabela NAT ou traduziu endereos de
qualquer pacote.
O comando show ip nat statistics no [mal do exemplo apresenta algumas informaes para resoluo de problemas que
so particularmente interessantes, com dois contadores diferentes chamados de "misses" (ou perdas), que esto destacados
no exemplo. A primeira ocorrncia deste contador conta o nmero de vezes que um novo pacote chegou, precisando de
uma entrada NAT, e no encontrou nenhuma. Neste ponto, o NAT dinmico reage e monta uma entrada. O segundo
contador de perdas no fInal da sada do comando apresenta o nmero de perdas no pool. Este contador incrementado
somente quando o NAT dinmico tenta alocar uma nova entrada na tabela NAT e no encontra nenhum endereo
disponvel, de modo que o pacote no pode ser traduzido - fazendo com que provavelmente, o usurio fInal no consiga
acessar sua aplicao.
Para ver o contador de perdas e vrios outros fatos interessantes, o Exemplo 16-3 continua o exemplo iniciado no
Exemplo 16-2. Este exemplo mostra os resultados quando os hosts 10.1.1.1 e 10.1.1.2 comearam a criar conexes TCP,
neste caso com Telnet. Este exemplo continua a partir de onde o Exemplo 16-2 parou.
~--------------------------------------------------~
.
! A Telnet from 10.1.1.1 to 170.1.1.1 happened next; not shown
1-
- Inside Source
Inside global
200 .1.1.1
10.1.1.1
I~
1-
not shown
1-
200.1.1.1 10.1.1.2 - -
not shown
1-
s=10.1.1.1->200.1.1.2, d=170.1.1.1
01:25:44: NAT:
01:25:56: NAT:
s=10.1.1.1->200.1.1.2, d=170.1.1.1
[45119]
[45120]
o exemplo comea com o host 10.1.1.1 fazendo telnet para 170.1.1.1 (no foi mostrado), com o roteador NATcriando uma
entrada NAT. A tabela NAT mostra uma nica entrada, mapeando 10.1.1.1 para 200.1.1.1. Observe que o primeiro contador
de perdas do comando show ip nat statistics apresenta 1 perda, o que significa que o primeiro pacote da conexo TCP do
host 10.1.1.1 para 170.1.1.1 ocorreu e o roteador no encontrou uma entrada na tabela NAT, fazendo com que o contador
fosse incrementado. O contador de perdas no final da sada no foi incrementado porque o roteador foi capaz de alocar um
membro do pool e adicionar uma entrada na tabela NAT. Observe tambm que a ltima linha apresenta estatsticas a
respeito do nmero de membros alocados do pool (1) e o percentual do pool em uso no momento (50%).
Ocorre um timeout para a entrada na tabela NAT aps um perodo de inatividade. No entanto, para forar uma entrada
a sair da tabela, o comando clear ip nat translation * pode ser usado. Como mostrado na Tabela 16-7 no final deste
captulo, este comando possui diversas variantes. O Exemplo 16-3 usa a opo de fora bruta - clear ip nat translation
* que remove todas as entradas da tabela da NAT dinmica. O comando tambm pode apagar entradas individuais se
fizer referncia aos endereos IP.
'.
CCNA ICND2
409
Depois de apagar a entrada NAT, o host 10.1.1.2 faz telnet para 170.1.1.1. O comando show ip nat translations agora
mostra um mapeamento entre 10.1.1.2 e 200.1.1.1. Pelo fato de 200.1.1.1 no estar mais alocado na tabela NAT, o
roteador NAT pode aloc-lo na prxima solicitao de NAT. (O lOS da Cisco tende a pegar o menor endereo IP
disponvel quando est escolhendo o prximo endereo IP do pool.)
E por ltimo, ao final do Exemplo 16-3, voc pode ver que o host 10.1.1.1 fez um telnet para outro host da Internet, e pode
ver tambm a sada do comando debug ip nat. Este comando de debug faz com que o roteador gere uma mensagem a
cada vez que um pacote tiver seu endereo traduzido pelo NAT. Voc gera os resultados de sada entrando com algumas
linhas atravs da conexo Telnet de 10.1.1.1 para 170.1.1.1. Observe que a sada implica na traduo de 10.1.1.1 para
200.1.1.2, mas no implica em nenhuma traduo do endereo externo.
A Sobrecarga de NAT, conforme mencionado anteriormente, permite que o NAT suporte vrios endereos IP locais
internos com apenas um ou poucos endereos IP globais internos. Por traduzir essencialmente o endereo IP privativo e
o nmero da porta para um nico endereo global interno, mas com nmero de porta nico, o NAT pode suportar vrios
bosts privativos (mais de 65.000) com apenas um nico endereo global pblico.
Existem duas variaes de configurao do PAT no lOS. Se o PAT usar um pool de endereos globais internos, a
configurao se parecer exatamente com o NAT dinmico, exceto pelo fato do comando global ip nat inside source
list ter o termo overload adicionado no final. Se o PAT precisar usar somente um endereo IP global interno, o PAT pode
usar um de seus endereos IP de interface. Pelo fato do NAT poder suportar mais de 65.000 fluxos correntes com um
nico.end:reo global interno, um nico endereo IP pblico pode atender a demanda relativa ao NAT de toda uma
orgaruzaao .
...~ seguinte lista de verificao detalha a configurao quando um pool NAT estiver sendo usado:
. 6p!co
... have
Use os mesmos passos para configurar o NAT dinmico, conforme apresentado na seo anterior, mas inclua o
termo overload ao [mal do comando global ip nat inside source list.
A lista de verificao a seguir detalha a configurao quando um endereo IP de interface estiver sendo usado como o
nico endereo IP global interno:
Passo 1 Da mesma forma que no NAT dinmico e no NAT esttico, configure as interfaces internas usando o
subcomando de interface ip nat inside.
~;~~;~o
~hav.
- "
Passo 2 Da mesma forma que no NAT dinmico e no NAT esttico, configure as interfaces externas usando o
subcomando de interface ip nat outside.
Passo 3 Da mesma forma que no NAT dinmico, configure uma ACL que case os pacotes vindos das interfaces
internas.
Passo 4 Configure o comando de configurao global ip nat source list acl-number interface interface name/
number, referenciando a ACL criada no Passo 3 e a interface cujo endereo IP ser usado nas tradues.
O Exemplo 16-2 mostra uma configurao de NAT dinmico. Para convert-la em uma configurao de PAT, o comando
ip nat inside source list pool fred overload deveria ser usado no lugar, simplesmente adicionando o termo overload.
O prximo exemplo mostra a configurao do PAT usando um nico endereo IP de interface. A Figura 16-10 mostra a
mesma rede familiar, com algumas mudanas. Neste caso, o ISP atribuiu a FredsCo um subconjunto da rede 200.1.1.0:
a sub-rede CIDR 200.1.1.248/30. Em outras palavras, esta sub-rede possui dois endereos que podem ser usados:
200.1.1.249 e 200.1.1.250. Estes endereos so usados em qualquer uma das extremidades do enlace serial entre FredsCo
e seu ISP. A facilidade de NAT no roteador de FredsCo traduz todos os endereos NAT para seu endereo IP serial
200.1.1.249.
No Exemplo 16-4, que mostra a configurao do NAT sobrecarregado, o NAT faz a traduo usando somente o endereo
global interno 200.1.1.249, de modo que o pool do NAT no necessrio. Neste exemplo, conforme implcito na Figura
16-10, o host 10.1.1.1 cria duas conexes Telnet, e o host 10.1.1.2 cria uma conexo Telnet, fazendo com que trs
entradas do NAT dinmico sejam criadas, todas elas usando o endereo global interno 200.1.1.249, mas cada uma com
um nmero de porta nico.
410
~~~~~ :~.:.::
..
.. m
.rr~.tr2~":met
.m.. m
.... m
.. m
.... m
..
.'.'.'.'.'
.'
.'
________ .1_Q.)" 1 "~ ___ ______ ~ : ___ __________ ______________________ ____ __ __ __ __ __ ________ _
Dentro
Fora
Local Interno
Global Interno
10.1 .1 .1 :3212
10.1.1.1 :3213
10.1.1.2:38913
200.1 .1.249:3212
200.1.1.249:3213
200.1.1.249:38913
interface EthernetO / O
ip address 10.1.1.3 255.255.255.0
ip nat inside
interface SerialO / O
ip address 200.1.1.249 255.255.255.252
ip nat outside
Inside local
Outside local
Outside global
tcp 200.1.1.249:3212
10.1.1 . 1:3212
170.1.1.1:23
170.1.1.1:23
10.1.1.1:3213
170.1.1.1:23
170 . 1.1.1:23
170.1.1.1:23
170 . 1.1.1:23
CCNA ICND2
Expired transla t ions:
411
Dynamic mappings:
-
- Inside Source
o comando ip
nat inside source tist 1 interface serial 0/0 overload possui diversos parmetros, mas se voc
entendeu a configurao do NAT dinmico, os novos parmetros no devero ser muito difceis de se entender. O
parmetro tist 1 significa o mesmo que no NAT dinmico: endereos IP locais internos que casarem com ACL 1 tero
seus endereos traduzidos. O parmetro interface serial 0/0 significa que o nico endereo IP global interno disponvel
o endereo IP da interface serial O/O do roteador NAT. E por ltimo, o parmetro overload significa que a sobrecarga
foi habilitada. Sem este parmetro, o roteador no executar a sobrecarga, mas apenas o NAT dinmico.
Como voc pode ver na sada do comando show ip nat translations, trs tradues foram adicionadas na tabela NAT. Antes
deste comando, o host 10.1.1.1 tinha criado duas conexes Telnet para 170.1.1.1, e o host 10.1.1.2 tinha criado uma nica
conexo Telnet. Trs entradas foram criadas, uma para cada combinao nica entre endereo IP local interno e porta.
As trs primeiras partes principais deste livro dedicam um captulo inteiro para resoluo de problemas. Em cada uma
destas partes, os captulos cobrem uma ampla variedade de tpicos relacionados aos assuntos tcnicos cobertos em cada
captulo. Os captulos relativos resoluo de problemas (3, 7 e 11) explicam os detalhes para resolver problemas em
cada rea da tecnologia, mas tambm ajudam a relacionar alguns conceitos.
A maior parte das questes relativas resoluo de problemas de NAT tem a ver com fazer a configurao correta. A
lista a seguir resume algumas das dicas e lembretes a respeito de como encontrar os principais problemas de configurao
do NAT. Aps a lista, o texto explica um problema de roteamento comum que pode fazer com que o NAT no funcione,
e que est relacionado principalmente com garantir que a configurao esteja correta.
Certifique-se de que a configurao inclui o subcomando de interface ip nat inside ou ip nat outside. Estes
comandos habilitam o NAT nas interfaces, e a designao inside/outside importante.
, ....Ico
No NAT esttico, certifique-se de que o comando ip nat source static apresenta o endereo local interno primeiro,
e o endereo IP global interno depois.
No NAT dinmico, certifique-se de que a ACL configurada para casar os pacotes enviados pelo host interno case
os pacotes deste host, antes que qualquer traduo NAT tenha ocorrido. Por exemplo, se um endereo local interno
de 10.1.1.1 deve ser traduzido para 200.1.1 .1, certifique-se de que a ACL case o endereo de origem 10.1.1.1 , no
0200.1.1.1.
No NAT dinmico sem PAT, certifique-se de que o pool possua endereos IP suficientes. Sintomas de que no existem
endereos suficientes incluem um valor crescente no segundo contador de perdas na sada do comando show ip nat
statistics, bem como ver todos os endereos da faixa definida no pool do NAT na lista de tradues dinmicas.
Com PAT, fcil esquecer de adicionar a opo overload no comando ip nat inside source tist. Sem ele, o NAT
funciona, mas o PAT no, geralmente fazendo com que os pacotes dos usurios no sejam traduzidos, e os hosts
no consigam acessar a Internet.
Talvez o PAT tenha sido configurado corretamente, mas existe uma ACL em uma das interfaces descartando os
pacotes. Note que o lOS processa as ACLs antes do NAT para os pacotes que estiverem entrando na interface, e
aps a traduo dos endereos para pacotes saindo da interface.
Por ltimo, a funo NAT em um roteador pode ser impactada por um problema de roteamento que ocorre em outro
roteador. Os roteadores do lado de fora da rede, geralmente da Internet, precisam ser capazes de rotear pacotes para os
endereos IP globais internos configurados no roteador NAT. Por exemplo, a Figura 16-4, anteriormente neste captulo,
mostra o fluxo de pacotes de dentro para fora, e de fora para dentro. Focando no fluxo de fora para dentro, os roteadores
da Internet precisariam saber como rotear pacotes para o endereo IP pblico e registrado 200.1.1.1. Tipicamente, esta
faixa de endereos seria anunciada por um protocolo de roteamento dinmico. Portanto, se uma reviso da configurao
do NAT mostrar que a mesma parece estar correta, observe as rotas tanto no roteador NAT, como nos outros roteadores
para garantir que os roteadores podem encaminhar os pacotes, baseado nos endereos usados em ambos os lados do
roteador executando a funo NAT.
----------------------------------------------------------
.
412
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave. A Tabela 16-5 lista estes .
tpicos-chave e onde cada um deles foi discutido. Alm disso, tenha em mente que todas as listas de verificao para
configurao devem ser revistas e seus contedos estudados, mas voc no precisa memorizar os nmeros dos passos
ou a ordem - elas so apenas ferramentas convenientes para voc se lembrar de todos os passos.
..........
{TPICO .
\~h.V.
Elemento do Tpico-Chave
Descrio
Nmero da Pgina
--------------------------------------------------------------- .
Figura 16-1
396
----------------------------------------------------------- .
Tabela 16-2
397
Figura 16-2
398
Figura 16-4
399
Tabela 16-3
400
----------------------------------------------------------- .
________________________________s_ignifi
__
_c_ad_o_s_______________________________________
Figura 16-7
402
Lista
404
Lista
406
Lista
409
Lista
409
Lista
411
Definio de termos-chave
Defma os seguintes termos-chave deste captulo e verifique suas respostas no glossrio:
CIDR, global externo, global interno, local externo, local interno, PAT, rede IP privativa, sobrecarga do NAT.
4t
CCNA ICND2
413
Embora voc no precise necessariamente memorizar as informaes das tabelas desta seo, ela inclui uma referncia
para os comandos de configurao e EXEC cobertos neste captulo. Na prtica, voc deve memorizar os comandos
como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de preparao para o exame. Para
verificar o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra o lado esquerdo
da tabela, leia as descries do lado direito e veja se voc se lembra do comando.
Comando
Descrio
Comando
Descrio
debug ip nat
: IP verso 6
CAPTUL017
A verso 6 do IP (IPv6), o protocolo que substitui o IPv4, bem conhecida por algumas razes. O IPv6 fornece a soluo
definitiva para o problema de esgotamento dos endereos IPv4 na Internet global, atravs do uso de endereos de 128
bits - aproximadamente 1038 endereos no total, versus um total de meros 4*109 endereos (aproximadamente) do IPv4.
Porm, o IPv6 tem sido a soluo definitiva de longo prazo por mais de dez anos, em parte porque as solues intermedirias,
incluindo NATIPAT (Network Address TranslationlPort Address Translation, ou Traduo de Endereos de Rede/
Traduo de Endereos de Porta), felizmente adiaram o dia em que realmente se esgotariam os endereos IP unicast
pblicos.
Este captulo se concentra no endereamento e roteamento no IPv6, em parte porque a principal motivao para a
eventual migrao para IPv6 a de se diminuir as restries de endereamento do IPv4. Este captulo tambm introduz
alguns dos outros recursos do IPv6 de modo geral, alm de explicar algumas das razes para a necessidade do IPv6.
O questionrio "Eu j conheo isto?" permite avaliar se voc deve ler o captulo inteiro. Se voc errar no mais que uma
destas nove questes de auto-avaliao, voc pode querer ir direto para a seo "Atividades de preparao para o
exame". A Tabela 17-1 lista os principais tpicos deste captulo e as questes do teste "Eu j conheo isto?" cobrindo o
material destas sees. Isto ajudar voc a avaliar seu conhecimento nestas reas especficas. As respostas ao questionrio
"Eu j conheo isto?" aparecem no Apndice A.
Tabela 17-1 Mapeamento Entre a Seo dos Tpicos Fundamentais e as Questes do "Eu j conheo isto?"
Perguntas
1,2
3-5
6-8
1. Qual das seguintes opes a organizao mais provvel a partir da qual uma empresa poderia receber
administrativamente um bloco de endereos IP unicast global IPv6?
a . Um ISP
b. ICANN
c. Um RIR
d. Endereos unicast globais no so atribudos administrativamente por uma organizao externa
2. Qual das opes a seguir a abreviatura mais compacta, vlida para FE80:0000:0000:0100:0000:0000:0000:0123?
c. FE80: :100:0:0:0:123:4567
d. FE80:0:0:100: :123
416
c. FE80: :1:1234:5678:9ABC
d. FF80: :1:1234:5678:9ABC
4. Qual(is) das seguintes opes apresenta(m) um protocolo ou funo que pode ser usado por um host para aprender
dinamicamente seu prprio endereo IPv6?
a. DHCP stateful
b. DHCP stateless
c. Autoconfigurao stateless
d. NDP (Neighbor Discovery Protocol)
5. Qual(is) das seguintes opes ajuda(m) a permitir que um host IPv6 aprenda o endereo IP de um gateway default
de sua sub-rede?
a. DHCP stateful
b. RS stateless
c . Autoconfigurao stateless
d. NDP (Neighbor Discovery Protocol)
6. Qual(is) das seguintes opes ()so protocolo(s) de roteamento que suporta(m) IPv6?
a. RIPng
b. RIP-2
c. OSPFv2
d. OSPFv3
e . OSPFv4
7. Na configurao a seguir, a interface FaO/O deste roteador possui um endereo MAC de 4444.4444.4444. Qual(is)
dos seguintes endereos IPv6 a interface usar?
ipv6 unicast-routing
ipv6 router rip tag1
interface FastEth ernetO/O
ipv6 address 3456: : 1/64
d. FE80::1
e. FE80::6444:44FF:FE44:4444
f. FE80::4444:4444:4444
8. No texto relativo configurao da questo anterior, o RIP no estava funcionando na interface FaO/O. Qual dos
seguintes comandos de configurao iria habilitar o RIP em FaO/O?
- I
.'.1
CCNA ICND2
417
a. pilha dual
b. Tunelamento 6to4
c . Tunelamento ISATAP
d. NAT-PT
Tpicos fundamentais
o mundo passou por tremendas mudanas ao longo dos ltimos 10-20 anos, como resultado do crescimento e da maturidade
da Internet e das tecnologias de rede em geral. Vinte anos atrs, no existia nenhuma rede global na qual a populao em
geral pudesse facilmente se conectar. Dez anos atrs, a Internet pblica tinha crescido a tal ponto que as pessoas na
maior parte do mundo podiam se conectar Internet, mas com a maioria dos usurios de Internet sendo as pessoas mais
familiarizadas com computadores. Hoje em dia, praticamente todo mundo parece ter acesso Internet atravs de seus
PCs, dispositivos portteis, telefones ou at mesmo da geladeira.
A eventual migrao para IPv6 ser provavelmente causada pela necessidade de mais endereos. Praticamente todos os
telefones celulares suportam trfego de Internet, exigindo o uso de um endereo IP. A maioria dos carros novos capaz
de adquirir e usar um endereo IP, juntamente com a comunicao sem fio, permitindo que o vendedor do carro entre em
contato com o cliente quando um diagnstico no carro detectar um problema com o mesmo. Alguns fabricantes abraaram
a idia de que todos os seus aparelhos precisam ter a capacidade de usar IP.
Alm do grande aumento na necessidade de endereos IPv4, os editais das agncias governamentais poderiam direcionar
a demanda por IPv6. Na ocasio em que este livro foi escrito, o governo americano tinha estabelecido uma data em 2008
at a qual todas as agncias do governo deveriam estar executando IPv6 em suas redes IP principais. Tais iniciativas
podem ajudar a direcionar no sentido da adoo do IPv6.
Embora as duas maiores razes pelas quais as redes devem migrar para IPv6 sejam a necessidade de mais endereos e
mandatos das organizaes governamentais, ao menos o IPv6 inclui alguns recursos e ferramentas para migrao atraentes.
Algumas destas vantagens so as seguintes:
- Recursos para atribuio de endereos: A atribuio de endereos no IPv6 permite uma re-numerao
mais fcil, alocao dinmica e recuperao de endereos, com recursos interessantes para que dispositivos
mveis se movam e mantenham seu endereo IP (evitando assim a necessidade de ter de fechar e reabrir
uma aplicao).
- Agregao: O enorme espao de endereamento do IPv6 toma muito mais fcil a agregao de blocos de endereos na Internet.
- Nenhuma necessidade de NAP/PAT: Usar endereos nicos registrados publicamente em todos os dispositivos
elimina a necessidade de NATIPAT, o que tambm evita alguns problemas na camada de aplicao e problemas
relativos ao tunelamento VPN causados pelo NAT.
- IPsec: O IPsec funciona tanto com o IPv4 quanto com o IPv6, mas ele necessrio nos hosts IPv6, de modo que
voc pode contar com o suporte para IPsec, conforme necessrio no tunelamento VPN.
- Melhorias no cabealho: Embora possa parecer uma questo pouco significativa, o cabealho do IPv6 melhora
muitas coisas quando comparado ao IPv4. Em particular, os roteadores no precisam recalcular o checksum de um
cabealho para cada pacote, reduzindo a sobrecarga por pacote. Alm disso, o cabealho inclui uma identificao
de fluxo que permite uma fcil identificao dos pacotes enviados atravs de uma nica conexo TCP ou UDP
(User Datagram Protocol).
- Ferramentas para transio: Conforme ser coberto na ltima seo principal deste captulo, o IPv6 possui
diversas ferramentas para ajudar na transio do IPv4 para o IPv6.
CCNA ICND2
419
Internet, ao manter suas tabelas de roteamento bem menores. Seguindo estas mesmas lies bem aprendidas, a atribuio
de endereos IP pblicos do 1Pv6 pode tomar o roteamento at mais eficiente, medida que a Internet migrar para o 1Pv6.
A estratgia para atribuio de endereos no IPv6 elegante, mas simples, e pode ser resumida, a grosso modo, da
seguinte forma:
- Os endereos IPv6 pblicos so agrupados (numericamente) por grandes regies geogrficas.
- Dentro de cada regio, o espao de endereamento subdividido por ISP dentro daquela regio.
- Dentro de cada ISP em uma regio, o espao de endereamento subdividido para cada usurio.
As mesmas organizaes que administram a atribuio de endereos no IPv4 tambm o fazem para o IPv6. A ICANN
(Internet Corporation for Assigned Network Numbers, ou Corporao da Internet para Atribuio de Nomes e Nmeros,
http://www.icann.org, www.icann.org.br) o dono do processo. A ICANN atribui uma ou mais faixas de endereos IPv6
para cada RIR (Regional Internet Registry), dos quais existem cinco na ocasio desta publicao, cobrindo, a grosso
modo, a Amrica do Norte, Amrica Central/do Sul, Europa, sia/Pacfico e frica. Estes RIR ento subdividem seus
espaos de endereamento recebidos em pores menores, atribuindo prefixos para diferentes ISPs e outros registradores
menores, com os ISPs ento atribuindo faixas de endereos ainda menores a seus clientes.
..........
[ T6plco
\ Chave
".
Amrica do Sul
Como mostrado na figura, os roteadores instalados pelos ISPs nas outras reas geogrficas principais do mundo podem
ter uma nica rota que identifica todos os endereos IPv6 da Amrica do Norte. Enquanto centenas de ISPs podem estar
2340:1111:AAAA:0001:1234:5678:9ABC
Cada dgito hexa representa 4 bits, portanto se voc quiser examinar o endereo em binrio, a converso fica relativamente
simples se voc memorizar os valores mostrados na Tabela 17-2.
Binrio
Hexa
Binrio
()()()()
1000
0001
1001
0010
1010
0011
1011
0100
1100
0101
1101
0110
1110
0111
1111
Escrever ou digitar 32 dgitos hexadecimais, embora seja mais conveniente que fazer o mesmo com 128 dgitos binrios,
ainda pode ser bastante rduo. Para facilitar um pouco as coisas, duas convenes permitem que voc abrevie o que
deve ser digitado para um endereo IPv6:
-
/;:~;~o
~ Ch....
....
tt
CCNA ICND2
421
Por exemplo, considere o endereo a seguir. Os dgitos em negrito representam os dgitos onde o endereo pode ser
abreviado.
FEOO:OOOO:OOOO:0001:0000:0000:0000:0056
Este endereo possui dois locais diferentes nos quais um ou mais quartetos possuem 4 Os hexa, portanto existem duas
opes principais para abreviar este endereo, usando a abreviatura :: em um ou outro local. As duas opes seguintes
mostram as duas abreviaes mais compactas:
- FEOO::l:0:0:0:56
- FEOO:O:O:l: :56
Em particular, observe que a abreviao::, que significa "um ou mais quartetos somente com Os" no pode ser usada duas
vezes, pois isto a tomaria ambgua. Portanto, a abreviao FEOO::l::56 no seria vlida.
Sub-rede
Rede
Host
~----~----~~--~
Prefixo
Host
~----------~~--~
Comprimento do Prefixo
,..
-7
(10 daH_O_s_t
Interface)
_J-+-___________
__________----11. Endereamento IPv6
~....
L...c
_==========:p_re_fix_-=..0-=..-_-_-_-_-_-_-_-.......
V
Comprimento do Prefixo
Pensar em endereamento IPv4 como endereos classful ajuda a entender completamente algumas questes a respeito
de rede. Com endereamento classful, por exemplo, o valor escrito 128.107.3.0/24 significa 16 bits para rede (porque o
endereo est em uma rede Classe B) e 8 bits para host (porque a mscara possui 8 Os binrios), deixando 8 bits para
sub-rede. O mesmo valor, interpretado com as regras de classless, significa prefixo 128.107.3.0, comprimento do prefixo
24. Mesma sub-rede/prefixo, mesmo significado, mesma operao no roteador, mesma configurao - so somente duas
maneiras diferentes de pensar no significado dos nmeros.
O 1Pv6 usa uma viso classless de endereamento, sem nenhum conceito de endereamento classful. Como no IPv4, os
prefixos do IPv6 apresentam alguns valores, uma barra, e depois um comprimento de prefixo numrico. Como nos
prefixos do 1Pv4, a ltima parte do nmero, que vem depois do comprimento do prefixo, representada por Os binrios.
E finalmente, os nmeros de prefixo do IPv6 podem ser abreviados usando-se as mesmas regras que os endereos IPv4.
Por exemplo, considere o seguinte endereo IPv6 que foi atribudo a um host em uma LAN:
2000:1234:5678:9ABC:1234:5678:9ABC:llll!64
2000:1234:5678:9ABC:OOOO:OOOO:OOOO:OOOO/64
Quando abreviado, o mesmo seria:
2000:1234:5678:9ABC::/64
A seguir, um ltimo fato a respeito das regras para a escrita dos prefixos antes de vermos alguns exemplos e seguir
adiante. Se o comprimento do prefixo no for mltiplo de 16, a fronteira entre a parte referente ao prefixo e a parte
referente ao host no endereo estar dentro de um quarteto. Nestes casos, o valor do prefixo deve listar todos os valores
do ltimo octeto da parte referente ao prefixo do valor. Por exemplo, se o endereo mostrado com comprimento de
prefixo de /64 tivesse comprimento de prefixo de /56 no lugar, o prefixo incluiria todos os 3 primeiros quartetos (um total
de 48 bits), mais os primeiros 8 bits do quarto octeto. Os ltimos 8 bits (ltimos 2 dgitos hexa) do quarto octeto deveriam
agora ser Os binrios. Portanto, por conveno, o restante do quarto octeto deve ser escrito, depois de serem configurados
com Os binrios, da seguinte forma:
2000:1234:5678:9AOO::/56
.........
A lista a seguir resume alguns pontos-chave sobre a forma de se escrever prefixos IPv6:
{TpiC:o
\ Ch.ve
".
- O prefixo possui o mesmo valor que os endereos IP do grupo para a primeira quantidade de bits, definida pelo
comprimento do prefixo.
- Quaisquer bits depois da quantidade de bits definida pelo comprimento do prefixo sero Os binrios.
- O prefixo pode ser abreviado usando-se as mesmas regras que as usadas para endereos IPv6.
- Se o comprimento do prefixo no estiver no limiar de um quarteto, escreva o valor de todo o quarteto.
Exemplos podem, com certeza, ajudar bastante neste caso. A Tabela 17-3 mostra diversos exemplos de prefixos, seus
formatos e uma rpida explicao.
Explicao
Alternativa Incorreta
2000::/3
o restante do primeiro
quarteto)
2340:1111::/32
Quase to importante para esta conveno observar quais opes no so permitidas. Por exemplo, 2: :/3 no permitido
no lugar de 2000::/3 porque o mesmo omite o restante do octeto, e um dispositivo no poderia distinguir se 2::/3 significa
"hexa 0002" ou "hexa 2000". Apenas Os na frente em um quarteto, e no zeros atrs podem ser omitidos quando
endereos ou prefixos IPv6 estiverem sendo abreviados.
Agora que voc entendeu algumas das convenes a respeito de como representar endereos e prefixos IPv6, um
exemplo especfico pode mostrar como a estratgia para atribuio de endereo IP unicast global IPv6 da ICANN pode
permitir o roteamento fcil e eficiente mostrado anteriormente na Figura 17-1.
CCNA ICND2
423
A Figura 17-3 mostra um exemplo de um conjunto de prefixos, que poderia ter como resultado uma companhia (Companhia 1)
recebendo um prefixo 2340: 1111 :AAAA: :/48.
..........
f T6plco
\. Ch.ve
Companhia1 Dona de
2340 :1111 :AAAAl4
...
Atribui
2340:1111 :AAAAl48
NA-ISP1 Dona de
2340 :1111/32
Atribui:
2340:1111132 :
~-
~
---. ---Atribui
---------------. --~
2340::112
O processo comea com a ICANN, que dona de todo o espao de endereamento IPv6, e d o direito ao prefixo de
registro 2340::/12 a um dos RIRs, ARIN neste caso (Amrica do Norte). Isto significa que o ARIN tem direitos de
atribuir qualquer endereo IPv6 que comece com os primeiros 12 bits do hexa 2340 (valor binrio 0010 0011 0100). Para
se ter uma idia, isto um grupo de endereos bem grande - 2 11 6 , para ser exato.
A seguir, o NA-ISP1 solicita ARIN a atribuio de um prefixo. Depois que ARIN garantir que NA-ISP1 atende a
certos requisitos, ARIN pode atribuir o prefixo de ISP 2340:1111: :/32 para NA-ISPl. Este grupo tambm bem grande
- 296 endereos, para ser exato. Para se ter uma idia, este nico bloco de endereos teria endereos IPv6 pblicos
suficientes at mesmo para o maior dos ISPs, sem que este ISP precisasse de outro prefixo IPv6.
Finalmente, a Companhia1 solicita a seu ISP, NA-ISP1, a atribuio de um prefixo IPv6. NA-ISP1 atribui Companhia1
o prefixo de site 2340:1111:AAAA::/48, que por sua vez tambm uma faixa bem grande de endereos - 280, neste caso.
No pargrafo seguinte, o texto mostrar o que a Companhia1 pode fazer com este prefixo, mas antes, observe a Figura
17 -4, que apresenta os mesmos conceitos mostrados na Figura 17-1 , mas agora mostrando os prefixos.
Amrica do Sul
A figura mostra o ponto de vista dos roteadores fora da Amrica do Norte, dos roteadores de outro ISP na Amrica do
Norte, e outros roteadores no mesmo ISP. Roteadores fora da Amrica do Norte podem usar uma rota para o prefixo
2340::/12, sabendo que a ICANN atribuiu este prefixo para ser usado apenas pelo ARIN. Esta nica rota poderia
identificar todos os endereos IPv6 atribudos na Amrica do Norte. Roteadores em NA-ISP2, um exemplo de ISP
alternativo na Amrica do Norte, precisam de uma rota para 2340:1111::/32, o prefixo atribudo NA-ISPl. Esta nica
rota poderia identificar todos os pacotes destinados a todos os clientes de NA-ISPl. Dentro de NA-ISP1, seus roteadores
precisam saber para qual roteador de NA-ISP1 eles devem encaminhar os pacotes destinados a este determinado cliente
(o roteador chamado ISP-1, neste caso); portanto as rotas dentro dos roteadores de NA-ISP1 listam um prefixo
2340: 1111:AAAN48.
O prefixo atribudo empresa pelo ISP, que deve ser o mesmo para todos os endereos IPv6 em uma empresa,
O engenheiro da empresa estende o comprimento do prefixo, emprestando bits do host para criar uma parte
referente sub-rede no endereo.
A terceira e ltima parte principal a parte referente ao host no endereo, chamada de ID da inteiface no IPv6,
e serve para identificar unicamente um host dentro de uma sub-rede.
/~:~;~o
como se fosse a parte referente rede em um endereo IPv4.
\ Ch....
....
Por exemplo, a Figura 17-5 mostra uma viso mais detalhada da rede da Companhia1, mostrada em vrias das
figuras anteriores deste captulo. Os conceitos de design com relao a quantas sub-redes so necessrias com o
IPv6, so idnticos aos do IPv4: uma sub-rede necessria para cada VLAN e para cada enlace serial, com as
CCNA ICND2
425
mesmas opes para sub-redes com Frame Relay. Neste caso, existem duas LANs e duas interfaces seriais,
portanto a Companhia1 precisa de quatro sub-redes.
A figura tambm mostra como o engenheiro da empresa estendeu o comprimento do prefixo atribudo pelo ISP (/48) para
164, criando assim uma parte referente sub-rede, com 16 bits, dentro da estrutura do endereo. O prefixo 148
geralmente chamado de prefixo do site, e o prefixo mais longo usado em cada enlace chamado de prefixo da subrede. Para criar este campo extra de sub-rede com 16 bits, o engenheiro usa o mesmo conceito do IPv4 ao escolher uma
mscara de sub-rede, emprestando bits do campo de host de um endereo 1Pv4. Neste caso, pense no campo de host
como tendo 80 bits (porque o prefixo que o ISP atribuiu possui 48 bits, restando 80 bits), sendo que o design da Figura 175 empresta 16 bits para o campo de sub-rede, deixando meros 64 bits para o campo referente ao host.
Companhia 1
\ Chave
".
Sub-rede 1
Sub-rede 2
Sub-rede 3
16 Bits
48 Bits
Prefixo da Sub-rede
64 Bits
Host
(ID da Interface)
Host
Um pouco de matemtica com relao s opes do design podem ajudar a dar uma idia da escala no IPv6. O campo
de sub-rede contendo 16 bits permite 216, ou 65.536 sub-redes - muito alm do necessrio at para a maior das organizaes
ou companhias. (Tambm no existem preocupaes a respeito de uma sub-rede zero ou broadcast no IPv6!) O campo
de host a princpio tambm um exagero: 264 hosts por sub-rede, o que mais de 1.000.000.000.000.000.000 de endereos
por sub-rede. No entanto, existe uma boa razo para esta parte de endereo para host ou ID de interface ser to grande,
pois isto permite que um dos recursos de atribuio automtica de endereo IPv6 funcione de forma adequada, conforme
ser coberto na seo "Atribuio de endereo de host no IPv6", mais adiante neste captulo.
A Figura 17-6 conduz o conceito sua concluso final, atribuindo as quatro sub-redes especficas para que sejam usadas
dentro da Companhia1. Observe que a figura mostra os campos de sub-rede e comprimentos de prefixo (64, neste caso)
em negrito.
Prefixo
2340 :1111 :AAAA:0002: :/64
SO/O/1
Prefixo
2340:1111 :AAAA:0003::/64
5011/0
- 2340:1111:AAAA::0001:0000 / 112
- 2340:1111:AAAA::0002:0000/112
- 2340:1111:AAAA: :0003:0000/112
- 2340:1111:AAAA::0004:0000 / 112
Atravs do uso de endereos IPv6 unicast globais, o roteamento na Internet pode se tornar bastante eficiente e as
empresas podem ter endereos IP e sub-redes em abundncia, sem nenhuma necessidade de funes NAT para conservar
o espao de endereamento.
Atribuio
Exemplo do Captulo 17
Prefixo de registro
2340::/12
Prefixo de ISP
2340:1111/32
Prefixo de site
2340:1111:AAAA/48
Prefixo de sub-rede
As sees seguintes deste captulo ampliam a discusso sobre IPv6 para incluir mais tipos de endereos IPv6, juntamente
com os protocolos que controlam e administram vrias funes comuns do IPv6.
.'
CCNA ICND2
427
428
Prefixa0 da Sub-rede
'. Chave
'.~.
48 Bits
Prefixo (Atribudo pelo ISP)
16
Bit~
64 Bits
Sub-redE
10 da Interface
Formato EUI-64
Prefixo do Site
1" Metade
doMAC
2" Metade
doMAC
...,
,
Embora parea um pouco confuso, o mesmo funciona. Alm disso, com um pouco de prtica, voc poder ver um
endereo IPv6 e perceber rapidamente o FFFE no fmal do endereo, e ento encontrar facilmente as duas metades do
endereo MAC da interface correspondente.
Para completar, a figura enfatiza um outro pequeno detalhe relativo ao valor de ID da interface EUI-64. Dividir o
endereo MAC em duas metades e inserir o FFFE fcil . No entanto, o formato EUI-64 exige que o stimo bit do
primeiro byte do valor seja configurado com 1. A razo por detrs disso que os endereos MAC Ethemet so apresentados
com os bits de mais baixa ordem de cada byte na esquerda, e os bits de mais alta ordem na direita. Portanto, o oitavo bit
em um byte (lendo da esquerda para a direita) o bit de mais alta ordem do endereo, e o stimo bit (lendo da esquerda
para a direita) o segundo bit de mais alta ordem. Este segundo bit de mais alta ordem no primeiro byte - o stimo bit
lendo da esquerda para a direita - chamado de bit universa1/local (VIL). Quando configurado com o binrio 0, significa
que o endereo MAC um endereo MAC gravado. Configurado em 1, significa que o endereo MAC foi configurado
localmente. O EUI-64 diz que o bit VIL deve ser configurado com 1, o que significa local.
Por exemplo, as duas linhas seguintes mostram um endereo MAC de um host e o ID de interface correspondente em
formato EUI-64, assumindo o uso de uma opo de configurao de endereo que use o formato EUI-64:
- 0034:5678:9ABC
- 0234:56FF:FE78:9ABC
NOTA Para alterar o stimo bit do exemplo (lendo da esquerda para a direita), converta o
hexa 00 para o binrio 00000000, mude o stimo bit para 1 (00000010), e depois converta de
volta para hexa, para o hexa 02 como sendo os primeiros dois dgitos.
I.'.
CCNA ICND2
429
The first interface is in subnet 1 , and will use EUI-64 as the Interface ID
interface FastEthernetO/O
ipv6 address 2340:1111:AAAA:l::/64 eui-64
!
The next interface spells out the wh ole 128 bits, abbreviated. The longer
interface Seria10/0/1
ipv6 address 2340:1111:AAAAI2::1/64
!
interface SerialO/1/1
ipv6 address 2340:1111:AAAA:4::/64 eui-64
~----~--------~----~
1!
o final do exemplo mostra o endereo IPv6 unicast global completo como parte do comando show ipv6 interface. Quando a
opo EUI-64 estiver sendo usada, este comando especialmente til porque o comando de configurao no mostra o endereo
IPv6 completo. Observe que se o formato EUI for usado, o comando show ipv6 interface percebe isso (veja as interfaces FaO/
Oe SO/1/1 , versus SO/O/I). Alm disso, os roteadores no possuem endereos MAC associados a algumas interfaces, incluindo
as interfaces seriais, portanto para formar o ID da interface no formato EUI-64 nestas interfaces, os roteadores usam o endereo
MAC de uma interface LAN. Neste caso, o ID de interface de SO/1/1 baseado no endereo MAC de FaO/O.
Autoconfigurao stateless e anncios do roteador
O IPv6 suporta dois mtodos de configurao dinmica de endereos IPv6. Um usa um servidor DHCPv6 stateful, o
qual, conforme mencionado anteriormente, funciona da mesma forma que o DHCP dentro do conceito de IPv4, embora
muitos dos detalhes nas mensagens sejam diferentes entre o DHCPv4 e o DHCPv6. O IPv6 tambm disponibiliza uma
alternativa chamada de autoconfigurao stateless (no confundir com DHCP stateless, que ser coberto nesta seo).
Com a autoconfigurao stateless, um host aprende dinamicamente o prefixo /64 usado da sub-rede, e depois calcula o
restante de seu endereo usando ID de interface EUl-64 baseado no endereo MAC de seu NIC (Network Interface
Card, ou Placa de Interface de Rede).
O processo de autoconfigurao stateless usa um dentre os diversos recursos do NDP (Neighbor Discovery Protocol)
do IPv6 para descobrir o prefixo usado na LAN. O NDP executa diversas funes para o IPv6, todas relacionadas a algo
que ocorre entre dois hosts na mesma sub-rede. Por exemplo, uma parte do NDP substitui o protocolo ARP do IPv4. O
ARP do IPv4 permite que dispositivos na mesma sub-rede - vizinhos - aprendam o endereo MAC um do outro. Pelo
fato desta e de diversas outras atividades ocorrerem somente dentro de uma sub-rede local, entre vizinhos no mesmo
enlace, o IPv6 juntou estas funes bsicas em um nico pacote de protocolo, chamado de NDP.
A autoconfigurao stateless usa duas mensagens NDP, chamadas de mensagem RS (router solicitation) e mensagem RA
(router advertisement) para descobrir o prefixo IPv6 usado em uma LAN. O host envia a mensagem RS na forma de uma
mensagem IPv6 multicast, solicitando a todos os roteadores que respondam pergunta "Qual(is) prefixo(s) IPv6 (so)
usado(s) nesta sub-rede?", e "Qual(is) (so) o(s) endereo(s) IPv6 de qual(is)quer roteador(es) default nesta sub-rede?" A
Figura 17-8 mostra a idia geral, na sub-rede 1 da Figura 17-6, com o PCl enviando um RS, e o roteador RI respondendo com
o prefixo IPv6 usado na LAN e o prprio endereo IPv6 de RI como sendo um roteador default em potencial.
Figura 17-8 Exemplo do Processo RS/RA do NDP para Encontrar Roteadores Default
IRS -
~-----
1- -- -- ~
RA - Todos os Ns:
Prefixo 2340:1111 :AAAA:1::/64
Roteador Default
2340 :1111 :AAAA:1 :213 :19FF:FE7B:5004
NOTA O IPv6 permite que mltiplos prefiXOS e mltiplos roteadores default sejam listados
na mensagem RA; a figura mostra somente um de cada por questes de simplicidade.
o IPv6 no usa broadcasts. Na verdade, no existe algo como um endereo de broadcast da sub-rede, um endereo de
broadcast para toda a rede, ou um equivalente ao endereo IPv4 255.255.255.255 de broadcast para todos os hosts. Ao
invs disso, o IPv6 usa endereos multicasts. Ao usar um endereo IPv6 multicast diferente para funes diferentes, um
computador que no tem necessidade de participar de uma determinada funo pode simplesmente ignorar estes multcasts
em particular, reduzindo o impacto para o host. Por exemplo, a mensagem RS precisa ser recebida e processada somente
por roteadores, portanto o endereo IP de destino da mensagem RS FF02::2, que o endereo reservado no IPv6 para
ser usado somente por roteadores IPv6. Mensagens RA so enviadas para um endereo multicast a ser usado por todos
os hosts IPv6 no enlace (FF02:: 1), portanto no s o host que enviou o RS ir aprender a informao, como tambm todos
os demais hosts do enlace tambm iro aprender os detalhes.
A Tabela 17-5 resume alguns dos detalhes mais importantes a respeito das mensagens RSIRA.
Mensagem
RS
RA
Destino multicast
FF02::2
FF02::1
Esttica ou Dinmica
Opo
Esttica
No use EUI-64
I.
CCNA ICND2
Esttica
Use EUI-64
Dinmica
DHCPv6 stateful
Dinmica
Autoconfigurao stateless
431
/~~;;~o
Recurso
DHCP Stateful
DHCP Stateless
Sim
No
Sim
No
Sim
Sim
No
Sim
\ Chave
....
Endereos IPv6
Este captulo j fez a introduo dos conceitos por detrs do formato geral dos endereos IPv6, das idias por detrs de
endereos IPv6 unicast globais, e sobre alguns detalhes a respeito de endereos IPv6 multicast. As sees a seguir completam
a explicao a respeito de endereamentos, especificamente com relao s trs categorias de endereos IPv6:
Unicast: Endereos IP atribudos a interfaces individuais, com o propsito de permitir que este host envie e receba
....
dados.
'. Chave
- Multicast: Endereos IP que representam um grupo dinmico de hosts, com o propsito de enviar pacotes a todos
os membros correntes do grupo. Alguns endereos multicast so usados para finalidades especiais, como por
exemplo, para mensagens NDP, e a maior parte deles suporta aplicaes de usurios finais.
- Anycast: Uma opo de design na qual os servidores que suportam a mesma funo podem usar o mesmo
endereo IP anycast, com pacotes enviados pelos clientes sendo encaminhados para o servidor mais prximo,
permitindo a distribuio de trfego entre os diferentes servidores.
o 1Pv6 suporta trs classes principais de endereos unicast. Uma destas classes, os endereos IP unicast globais, tem
propsito bastante semelhante ao dos endereos IP pblicos IPv4. Endereos unicast globais so atribudos pela ICANN
e pelos RIRs com o propsito de permitir endereos 1Pv6 globalmente nicos a todos os hosts. Estes endereos so
originados do prefixo 2000::/3, que inclui todos os endereos que comeam com 2 ou 3 (hexa).
A prxima classe de endereos IPv6 unicast coberta aqui, endereos unicast nicos locais, possui a mesma funo dos
endereos privativos IPv4 da RFC 1918. No 1Pv4, quase todas as empresas, e quase todos os escritrios pequenos ou
residncias conectadas Internet, usam as redes privadas do IPv4. Endereos unicast nicos locais comeam com o
hexa FD (FD00::/8), com o formato mostrado na Figura 17-9.
NOTA As RFCs originais do IPv6 defIniam uma classe de endereos privativos chamada sUe
local, signifIcando local dentro de um site (organizao). A classe original de endereos locais
ao site foi descontinuada e substituda pelos endereos unicast nicos locais.
Figura 17-9 Formato do Endereo nico Local
Prefixo da Sub-rede
's Bits
40 Bits
10 Global
(Pseudo-aleatrio)
16 Bits"'"
Sub-rede
64 Bits
10 da Interface
Para usar estes endereos, um engenheiro da empresa escolheria um 10 global de 40 bits de uma maneira pseudoaleatria, com o objetivo de que os endereos sejam esperadamente nicos no universo. Na realidade, pseudo-aleatrio
provavelmente um nmero criado pelo engenheiro. O campo de sub-rede de 16 bits e o 10 da interface de 64 bits
funcionam exatamente como nos endereos unicast globais, enumerando sub-redes e hosts diferentes, e permitindo a
atribuio EUI-64 para o 10 da interface. Como sempre, o engenheiro poderia evitar o uso de EUI-64' usando valores
fceis de serem lembrados, tais como 0000:0000:0000:0001 como sendo o 10 da interface.
Endereos link local a terceira classe de endereos IPv6 unicast coberta aqui. O IPv4 no possui nenhum conceito
semelhante ao endereo IP link local. O IPv6 usa estes endereos quando est enviando pacotes para a sub-rede local;
os roteadores nunca encaminham os pacotes destinados a endereos link local para outras sub-redes.
Endereos link local podem ser teis para funes que no precisam sair da sub-rede, em particular porque um host pode
derivar automaticamente seu prprio endereo IP link local sem enviar pacotes para a sub-rede. Assim, antes de enviar
os primeiros pacotes, o host pode calcular seu prprio endereo link local, de modo que ele ter um endereo IPv6 para
usar quando estiver fazendo suas primeiras mensagens de sobrecarga. Por exemplo, antes que um host envie uma
mensagem RS do NDP (router solicitation), o host j ter calculado seu endereo link local. O host usa seu endereo
link local como sendo o endereo IP de origem na mensagem RS.
Endereos link local provm da faixa FE80: :/10, o que significa todos os endereos que comeam com FE80, FE90, FEAO
e FEBO. No necessria nenhuma configurao especfica porque um host forma estes endereos usando os primeiros
10 bits do hexa FE80 (binrio 1111111010), mais 54 Os binrios, sendo os ltimos 64 bits, o 10 da interface do host no
formato EUI-64. A Figura 17-10 mostra o formato .
CCNA ICND2
433
64 Bits
Todos Os
10 da Interface
Os roteadores tambm usam endereos link locais em cada interface habilitada para suportar IPv6. Como os hosts, os
roteadores calculam automaticamente seus endereos IP link locais. Na verdade, o Exemplo 17-1 anteriormente neste
captulo apresentou os endereos IP link locais do roteador (R 1) na sada do comando show ipv6 interface. interessante
que os roteadores normalmente usam endereos link locais como o endereo IP next-hop em rotas IPv6, ao invs do
endereo unicast global ou unicast nico local do roteador vizinho.
Endereo IPv6
Equivalente no IPv4
Todos os ns IP no enlace
FF02::1
FF02::2
N/A
Mensagens OSPF
FF02::5, FF02::6
224.0.0.5,224.0.0.6
Mensagens RIP-2
FF02::9
224.0.0.9
Mensagens EIGRP
FF02::A
224.0.0.10
FF02:1:2
N/A
Antes de completar a discusso sobre endereamento no IPv6, voc deveria conhecer dois endereos IPv6 especiais.
Primeiro, o IPv6 suporta o conceito de um endereo IP loopback, da seguinte forma:
: : 1 (127 Os binrios e um 1)
Da mesma forma que o endereo 127.0.0.1 de loopback do IPv4, este endereo pode ser usado para testar o software de
um host. Um pacote enviado por um host a este endereo desce por toda a pilha do protocolo, e depois volta subindo na
pilha, sem nenhuma comunicao com a placa de rede na base. Isto permite testar o software do host, em especial
quando novas aplicaes esto sendo testadas.
O outro endereo especial o endereo :: (todos Os binrios). Isto representa o endereo desconhecido, que os hosts
podem usar quando estiverem enviando pacotes em um esforo para descobrir seus endereos IP.
Este captulo cobriu vrios conceitos e detalhes a respeito de endereos IPv6, muitos dos quais exigem algum esforo
para se lembrar e para se memorizar. Esta pequena seo inter-relaciona vrios conceitos desta seo principal sobre
protocolos e endereos IPv6 antes de prosseguir com mais alguns detalhes a respeito dos protocolos de roteamento e
configurao de roteador.
/;~;;~o
:. Chave
Tipo de Endereo
Propsito
Prefixo
Prefixo(s) Hexa
...
Facilmente Reconhecidos
Unicast global
2000: :/3
2 ou 3
nico Local
FDOO::/8
FD
LinkLocal
FE80::/l0
Multicast (escopo do
enlace local)
FF02::/16
FF02
CCNA ICND2
435
Da mesma forma que no IPv4, a maior parte dos protocolos de roteamento IPv6 so IGPs (Interior Gateway Protocols),
com o BGP (Border Gateway Protocol) ainda sendo o nico EGP (Exterior Gateway Protocol) significativo. Todos
estes IGPs e BGP atuais foram atualizados para suportar IPv6. A Tabela 17-10 mostra os protocolos de roteamento e
suas novas RFCs (quando apropriado).
Protocolo de Roteamento
Nome Completo
RFC
RIPng
2080
OSPFv3
OSPF Verso 3
2740
MP-BGP4
BGP-4 multiprotocolo
2545/4760
Proprietrio
-----------------------------------------------------------
Cada um destes protocolos de roteamento teve que sofrer diversas alteraes para suportar IPv6. As mensagens usadas
para enviar e receber informaes sobre roteamento foram alteradas, usando-se os cabealhos IPv6 ao invs dos cabealhos
IPv4, e usando-se endereos IPv6 nestes cabealhos. Por exemplo, RIPng envia atualizaes de roteamento ao endereo
de destino IPv6 FF02::9 ao invs do antigo endereo IPv4 RIP-2 224.0.0.9. Alm disso, os protocolos de roteamento
anunciam tipicamente seu endereo IP link local como sendo o next hop em uma rota, como ser mostrado no Exemplo
17-2, mais adiante.
. -----------------------------------------------------------
Os protocolos de roteamento ainda mantiveram vrios dos mesmos recursos internos. Por exemplo, o RIPng, sendo
baseado no RIP-2, continua sendo um protocolo de vetor distncia, com contadores de hop como sendo a mtrica, e 15
hops como sendo a rota vlida de maior distncia (16 considerado infinito). O OSPFv3, criado especificamente para
suportar IPv6, continua sendo um protocolo link-state, com o custo como sendo a mtrica, mas com diversas alteraes
internas, incluindo mudanas nos tipos de LSA (link-state advertisement). Como resultado, o OSPFv2, conforme coberto
no Captulo 9, "OSPF", no compatvel com o OSPFv3. Porm, o conceito operacional principal continua o mesmo.
Configurao do IPv6
O lOS do roteador Cisco habilita o roteamento (encaminhamento) de pacotes IPv4 por default, com o IPv4 sendo
habilitado em uma interface quando a interface tiver um endereo IPv4 configurado. Para protocolos de roteamento
IPv4, o protocolo de roteamento deve ser configurado, com o comando network habilitando indiretamente o protocolo de
roteamento em uma interface.
A configurao do IPv6 segue algumas destas mesmas linhas mestras, com a maior diferena sendo a forma de se
habilitar um protocolo de roteamento em uma interface. O lOS do roteador Cisco no habilita o roteamento IPv6 por
default, portanto um comando global necessrio para se habilitar o roteamento IPv6. Os endereos IP unicast precisam
ser configurados nas interfaces, de modo similar ao IPv4. O protocolo de roteamento precisa ser configurado de modo
global, de forma similar ao IPv4. Por ltimo, o protocolo de roteamento precisa ser configurado em cada interface,
conforme necessrio, mas no IPv6, este processo no usa o subcomando de roteador network.
Esta seo mostra um exemplo de configurao, mostrando novamente o Roteador RI da rede da Companhia 1 mostrada
nas figuras anteriores deste captulo. O exemplo usa o RIPng como sendo o protocolo de roteamento. A seguinte lista
apresenta os quatro passos principais para se configurar o IPv6:
.:~;~o Passo 2 Habilite o protocolo de roteamento selecionado. Por exemplo, para RIPng, use o comando de configurao
. have
Passo 3 Configure um endereo IPv6 unicast em cada interface usando o comando de interface ipv6 address
address/prefix-length [eui-64].
Passo 4 Habilite o protocolo de roteamento na interface, por exemplo, com o subcomando de interface ipv6 rip name
enable (onde o nome o mesmo do comando de configurao global ipv6 router rip name).
o Exemplo 17-2 mostra a configurao, e mais alguns comandos show. Observe que a configurao do endereo IP a
mesma que a do Exemplo 17-1 anterior. Pelo fato do Exemplo 17-1 ter mostrado a configurao do endereo, este
exemplo mostra destaques em cinza somente nos novos comandos de configurao.
Exemplo 17-2 Configurando Roteamento e Protocolos de Roteamento IPv6 em RI
R1# show running-config
! output is edited to remove lines not p ertinent to t his example
1-
ipv 6 unicast-routing
1-
interface SerialO/0/1
ipv6 address 2340:1111:AAAA : 2::1/64
interface SerialO/1/1
i pv 6 router r i p atag
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1 , OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
R : : /0 [120/2]
via FE80::213:19FF:FE7B : 2F58,
SerialO/1/1
[O/O ]
[O/O]
via o : , SerialO/0/1
L 2340: 1111 : AAAA:2: : 1/128 [O/O]
via . . , SerialO/0/1
R 2340:1111:AAAA:3: :/64 [120/2]
via FE80::213:19FF:FE7B:5026,
SerialO / 0 / 1
[O/O]
CCNA ICND2
437
[up/up]
FESO : : 2 13:19FF:FE7B:5004
2340: 11 11:AAAA: l :213:19FF:FE7B : 5004
FastEthernetO/l
[up/up]
unassigned
SerialO/O/O
[administratively down/down]
unassigned
SerialO/O/l
[up/up]
[adrninistratively down/down]
unassigned
SerialO/l/l
[up/up]
FESO: :213:19FF:FE7B:5004
2340:1111:AAAA:4 : 213:19FF:FE7 B :5004
A configurao propriamente dita no exige muito trabalho alm da configurao de endereo IPv6 mostrada anteriormente
no Exemplo 17-1. O comando ipv6 router rip name exige um nome (anteriormente chamado de tag) que somente um
nome texto para o processo de roteamento. O Exemplo 17-2 mostra a configurao, usando uma tag para o RIP chamada
"atag". Esta tag no precisa ser a mesma para os diversos roteadores. No mais, a configurao propriamente dita bem
direta.
O comando show ipv6 route apresenta todas as rotas 1Pv6, mostrando algumas diferenas importantes em destaque, na
sada do comando. Em primeiro lugar, observe as primeiras linhas em destaque da sada deste comando, e o novo cdigo
de roteamento "L". Para cada interface com um endereo unicast, o roteador adiciona a rota geralmente conectada ao
prefixo conectado quela interface. Por exemplo, a primeira linha em destaque dentro deste comando apresenta
2340:1111:AAAA:1: :/64, que a sub-rede conectada interface FaO/O de RI. A sada tambm mostra uma rota para host
- uma rota com comprimento de prefixo /128 - como sendo uma rota local. Cada uma destas rotas locais, conforme
identificadas pela letra "L", apresenta o endereo especfico de cada interface, respectivamente.
As prximas linhas em destaque no mesmo comando show ipv6 route mostram algumas informaes interessantes
sobre next-hop em uma rota aprendida com RIP. O exemplo destaca a rota para a sub-rede 3, mostrando a interface de
sada SO/O/l, mas o endereo do next-hop o endereo IP linklocal de R2, FE80::213:19FF:FE7B:5026. Os protocolos de
roteamento IPv6 anunciam tipicamente os endereos link local como sendo os endereos next-hop.
Finalmente, a ltima parte do exemplo mostra a sada do comando show ipv6 interface brief, que apresenta os endereos
IP unicast de cada interface. As linhas em destaque mostram o endereo link local primeiro (todos comeando com FE8),
e depois o endereo unicast global, na interface FaO/O de RI. Cada uma das trs interfaces usadas neste exemplo possui
tanto o endereo link local, que gerado automaticamente, como os endereos unicast globais configurados, conforme
mostrado na primeira parte do Exemplo 17-2.
Configurar os nomes de hosts e servidores DNS nos roteadores para IPv4 pode ser uma pequena convenincia, mas no
1Pv6, pode muito bem ser uma necessidade. Por causa do comprimento dos endereos 1Pv6, at mesmo um simples
comando ping exige uma quantidade razovel de digitao e referncia sada de outro comando ou documentao.
Portanto, assim como no IPv4, voc pode querer configurar nomes de host estticos nos roteadores, ou se referenciar a
um servidor DNS, atravs dos dois comandos a seguir. Observe que os comandos e a sintaxe so os mesmos que os
comandos para 1Pv4, somente com endereos IPv6 usados como parmetros.
- ip host name ipv6-address [second-address [third-address [fourth-address]]]
- ip name-server server-addressl [server-address2 ... server-address6]
O primeiro comando configure o nome de um host conhecido somente pelos roteadores locais, enquanto que o segundo
se refere a um servidor DNS. Observe que o roteador tenta agir como se fosse um cliente DNS, por default, baseado no
comando de configurao global default ip domain-lookup. No entanto, se o comando no ip domain-lookup foi
configurado, mude o comando de volta para ip domain-lookup para comear a usar servios de DNS.
Tunelamento
Outra ferramenta para suportar a transio de IPv4 para IPv6 o tunelamento. Existem diversos tipos de tunelamento,
mas neste caso, a funo do tnel tipicamente pega um pacote IPv6 enviado por um host e o encapsula dentro de um
pacote IPv4. O pacote IPv4 pode ento ser encaminhado atravs de uma rede IPv4 existente, com outro dispositivo
removendo o cabealho IPv4, e revelando o pacote IPv6 original. O conceito muito parecido com o de um tnel VPN,
conforme explicado no Captulo 15, "Redes privadas virtuais".
A Figura 17-11 mostra um exemplo tpico, com um tipo de tnel genericamente chamado de tnel IPv6-para-IPv4, o que
significa IPv6 dentro de IPv4. A figura mostra um exemplo de interconexo de rede de empresas na qual os hosts em
algumas das LANs migraram para IPv6, mas a parte central da rede continua executando IPv4. Este pode ser o caso
durante uma fase inicial de testes dentro de uma empresa, ou poderia ser feito comumente com um ISP baseado em IPv4,
e que possua clientes querendo migrar para IPv6.
CCNA ICND2
ApenaslPv4
439
Pacote IPv6
t L-Desti~o
r--
Pacote IPv6
= 10.2.2.2
L...----Ongem = 10.1.1.1
Apenas IPv6
PC1
ApenaslPv6
PC2
Tnel O
FCOO::1I64
Na figura, o PC1 baseado em IPv6, envia um pacote IPv6. O Roteador RI ento encapsula ou tunela o pacote IPv6 em
um novo cabealho IPv4, com um endereo de destino IPv4 de um endereo no Roteador R4. Os Roteadores R2 e R3
encaminham alegremente o pacote, porque o mesmo possui um cabealho IPv4 normal, enquanto R4 desencapsula o
pacote IPv6 original, encaminhando-o ao PC2 baseado em IPv6. Isto chamado de tnel, em parte porque os pacotes
IPv6 dentro do tnel no podem ser vistos enquanto esto atravessando o tnel; os roteadores no meio da rede, R2 e R3
neste caso, percebem os pacotes como sendo pacotes IPv4.
Existem diversos tipos de tneis IPv6-para-IPv4. Para executar o tunelamento mostrado pelos roteadores da Figura 1711 , os primeiros trs dos seguintes tipos de tunelamento poderiam ser usados, com o quarto tipo (tneis Teredo) sendo
usado pelos hosts:
- MCT (Manually configured tunnels, ou Tneis configurados manualmente): Uma configurao simples na
qual so criadas interfaces de tnel, um tipo de interface virtual de roteador, com a configurao fazendo referncia
aos endereos IPv4 usados no cabealho IPv4 que encapsula o pacote IPv6.
- Tneis 6t04 dinmicos: Este termo se refere a um tipo especfico de tnel criado dinamicamente, feito tipicamente na Internet IPv4, no qual os endereos IPv4 das extremidades do tnel podem ser encontrados dinamicamente,
baseado no endereo IPv6 de destino.
- ISATAP (Intra-site Automatic Tunnel Addressing Protocol): Outro mtodo de tunelamento dinmico, usado
tipicamente dentro de uma empresa. De modo diferente dos tneis 6t04, os tneis ISATAP no funcionam se a
NAT IPv4 estiver sendo usada entre as extremidades do tnel.
-
Thnelamento Teredo: Este mtodo permite que hosts com pilhas duais criem um tnel para outro host, com o
prprio host criando o pacote IPv6 e encapsulando o pacote dentro do cabealho IPv4.
nest~
Resumo da transio
A Tabela 17-11 resume as opes de transio para IPv6 para facilitar a referncia e os estudos.
..........
Tipo Particular
Pilha dupla
[ TpiCO
'.Chave
....
Descrio
Tnel
MCT
Tnel
6t04
Tnel
ISATAP
Tnel
Teredo
NAT-PT
....
Revise os tpicos mais importantes deste captulo, assinalados com o cone de tpicos-chave na margem externa
das pginas. A Tabela 17-12 lista uma referncia a estes tpicos-chave e onde cada um deles foi discutido.
Descrio
Figura 17-1
. 1
:1
1
1
:1
:1
'. Chave
Nmero da Pgina
419
. 1
1
CCNA ICND2
Lista
420
Lista
422
Figura 17-3
423
Lista
424
441
. ----------------------------------------------------------
Figura 17-5
425
Figura 17-7
428
-Ta-b-e-Ia--17---6-------------------------L-i-st-a-d-~--q-ua-tr-o-p-n-n-c-ip-ru--s-op---e-s-p-M-a-c-o-nfi--g-ur-a--o-----4-30-------
de endereo IPv6
CompMaes entre servios DHCP IPv6
stateful e stateless
431
Tabela 17-7
-----------------------------------------------------------
Lista
432
Figura 17-10
433
Lista
434
----------------------------------------------------------------
434
Resumo dos prefixos e propsito dos tipos
mais comuns de endereos IPv6
-----------------------------------------------------------------------------Lista de verificao pMa configurao do IPv6
435
Lista
Tabela 17-11
Tabela 17-9
Definio de termos-chave
440
Imprima uma cpia do Apndice J, ''Tabelas de memria", ou pelo menos a seo referente a este captulo e complete as
tabelas e listas usando a memria. O Apndice K, "Respostas das tabelas de memria", inclui as tabelas e listas completadas
pMa voc conferir o seu trabalho.
Autoconfigurao stateless, DHCP stateful, DHCP stateless, endereo link local, endereo unic~t global, endereo
nico local, NAT-PT, NDP (Neighbor Discovery Protocol), pilhas duais, prefixo de ISP, prefixo de registro,
prefixo de site, prefixo de sub-rede, RIR (Regional Internet Registry)
Embora voc no precise necessariamente memorizM as informaes d~ tabel~ desta seo, ela inclui uma referncia
pMa os comandos de configurao e EXEC cobertos neste captulo. Na prtica, voc deve memorizM os comandos
como reflexo da leitura do captulo e da execuo de todas as atividades desta seo de prepMao pMa o exame. PMa
verificM o quo eficientemente voc memorizou os comandos como reflexo de seus outros estudos, cubra o lado esquerdo
da tabela com uma folha de papel, leia as descries do lado direito e veja se voc se lembra do comando.
Comando
Descrio
------------------------------------------------------------------ .
ipv6 unicast-routing
Comando global que habilita roteamento IPv6 no roteador
--------------------------------------------------------------- .
ipv6 router rip tag
Comando global que habilita RIPng
--------------------------------------------------------------- .
ipv6 rip name enable
Subcomando de interface que habilita RIPng na interface
ip name-server server-address1
[server-address2 ... server-address6]
[no] ip domain-Iookup
Descrio
--------------------------------------------------------------- .
show ipv6 route
--------------------------------------------------------------- .
show ipv6 route ip-address
Lista a(s) rota(s) que este roteador iria encontrar, para pacotes enviados
ao endereo listado
CCNA ICND2
443
. ----------------------------------------
-------------------------
CAPTULO
18
Preparao Final
Os primeiros 17 captulos deste li vro cobrem as tecnologias, os protocolos, os comandos e os recursos que voc precisa
entender para passar no exame rCND2. Embora esses captulos forneam as informaes em detalhes, a maioria das
pessoas precisa de uma maior preparao alm de simplesmente ler os 17 primeiros captulos. Este captulo detalha um
conjunto de ferramentas e um plano de estudos para ajudar voc a completar sua preparao para os exames.
Se estiver se preparando para o exame CCNA atravs da leitura tanto deste livro como do CCENT/CCNA ICNDJ
Official Exam Certification Guide (Guia oficial de certificao do exame CCENT/CCNA rCNDl), voc sabe que
ambos os livros possuem um captulo de preparao final. Porm, voc pode se referenciar somente a este captulo para
ler a respeito do plano de estudos sugerido porque este captulo faz referncia s ferramentas tanto deste livro como do
livro rCNDI. Basta procurar pelos textos destacados em cinza, como nesta frase, para sugestes que se aplicam
preparao para o exame CC NA (640-802), mas no preparao para o exame rCND2 (640-816).
Este pequeno captulo possui duas sees principais. A primeira seo apresenta as ferramentas de preparao para o
exame que podem ser teis neste ponto de seu plano de estudos. A segunda seo apresenta a sugesto de um plano de
estudos, agora que voc j completou todos os captulos anteriores.
NOTA Este captulo faz referncia a vrios captulos e apndices deste livro. Alguns dos
apndices, comeando pelo Apndice D, esto disponveis no idioma original no site da editora
www.altabooks.com.br.
Esta seo apresenta algumas informaes a respeito das ferramentas disponveis e como acess-las.
A Cisco oferece uma grande variedade de ferramentas de preparao para CCNA em um website da Cisco Systems,
chamado CCNA Prep Center. O CCNA Prep Center inclui demonstraes da interface de usurio do exame, exemplos
de perguntas, vdeos informativos, fruns de discusso e outras ferramentas .
Para usar o CCNA Prep Center, voc precisa de um login registrado em http://www.cisco.com. Para se registrar, basta
ir para http://www.cisco.com.clicar em Register na parte superior da pgina, e fornecer algumas informaes. (Voc
no precisa trabalhar para a Cisco ou para uma de suas parceiras para obter um login.)
Depois que tiver se registrado, v para http://www.cisco.com/go/prepcenter. e procure pelo link para o CCNA Prep
Center. Ali, voc poder fazer login e explorar os diversos recursos.
Ser capaz de analisar o endereamento IP e a diviso em sub-redes em qualquer rede rpv4 deve ser a habilidade nica
mais importante para todos os exames CCNA. O Captulo 12 de CCENT/CCNA ICNDJ Official Exam Certification
Guide (Guia oficial de certificao do exame CCENT/CCNA rCNDl), "JP Addressing and Subnetting" (Endereamento
IP e diviso em sub-redes), cobre a maior parte destes detalhes, com o Captulo 5 deste livro, "VLSM e sumarizao de
rotas", complementando o quadro ao explicar o VLSM. (Caso voc no tenha o livro rCNDl, o Captulo 12 do rCNDl
Cenrios
Conforme mencionado na introduo deste livro, algumas das perguntas do exame exigem que voc use as mesmas
habilidades comumente usadas para resolver problemas em redes reais. As sees relativas resoluo de problemas e
os captulos tanto do livro rCNDl quanto do rCND2 ajudam voc a se preparar para estes tipos de perguntas.
Outra maneira de se preparar para as perguntas relativas resoluo de problemas dos exames pensar em diferentes
cenrios de redes, prevendo o que deveria acontecer, e investigando se a rede est executando aquilo que deveria. O
Apndice F "Additional Scenarios" (Cenrios adicionais), tanto deste livro quanto do livro rCNDl , inclui vrios cenrios
que apresentam algumas tarefas que voc deveria tentar antes de ler a soluo sugerida, apresentada posteriormente no
apndice. Ao ler estes cenrios e fazer os exerccios, voc poder praticar algumas das habilidades necessrias quando
voc estiver analisando e resolvendo problemas de redes.
Plano de estudos
Voc poderia simplesmente estudar usando todos os recursos disponveis, conforme mencionado anteriormente neste
captulo. No entanto, esta seo sugere um plano de estudos em particular, com uma seqncia de tarefas que pode
funcionar melhor do que simplesmente usar os recursos de forma aleatria. Porm, fique vontade para usar as ferramentas
de qualquer maneira e a qualquer hora, de modo a ajudar voc a se preparar de modo completo para o exame.
Se voc estiver se preparando somente para o exame rCND2, voc pode ignorar as partes destacadas em cinza deste
plano de estudos. Se voc estiver estudando para o exame CCNA usando o livro rCNDl tambm, inclua as tarefas
destacadas em cinza.
O plano de estudos sugerido separa as atividades em quatro categorias:
-
Recorde os Fatos: Atividades que ajudam voc a se lembrar de todos os detalhes dos primeiros 17 captulos deste livro:
Pratique a Diviso em Sub-redes: Voc deve dominar a diviso em sub-redes para ser bem-sucedido nos
exames rCNDl, rCND2 e CCNA. Esta categoria apresenta os itens que voc pode usar para praticar as habilidades em efetuar diviso em sub-redes.
Recorde os fatos
Como na maioria dos exames, voc precisa se lembrar de di versos assuntos, conceitos e definies para se sair bem no
teste. Esta seo sugere um par de atividades que devem ajudar voc a se lembrar de todos os detalhes:
CCNA ICND2
449
Passo 1 Revise e repita, conforme necessrio, as atividades da seo "Atividades de preparao para o
exame" ao fmal de cada captulo. A maior parte destas atividades ajudar voc a refinar seu conhecimento a
respeito de um tpico, ao mesmo tempo em que ajuda tambm a memorizar os assuntos. Para a preparao para o
exame CCNA, faa isto para os Captulos de 2 a 17 do livro rCNDI, bem como para os Captulos de 1 a 17 deste
livro.
Passo 2 Revise todas as perguntas dos questionrios ''Eu j conheo isto?" no comeo de cada captulo.
Embora as perguntas possam ser familiares, l-los novamente ir ajudar voc a se lembrar melhor dos tpicos
cobertos nas questes. Alm disso, as perguntas do "Eu j conheo isto?" tendem a cobrir os tpicos mais importantes
do captulo, e nunca demais recordar estes tpicos.
Passo 1 Veja ou Imprima o Apndice E "Subnetting Reference Pages" (pginas de referncia para diviso
em sub-redes). Este pequeno apndice, disponibilizado em ingls no site da editora - www.altabooks.com.br. inclui
uma srie de resumos de pgina nica dos processos de diviso em sub-redes encontrados no Captulo 12 do
rCNDI (e no Apndice H deste livro, que uma cpia do Captulo 12 do rCNDI). O Apndice E inclui pginas de
referncia que resumem tanto o processo binrio quanto o de atalho decimal para o processo de diviso em subredes.
Passo 2 Veja ou imprima o Apndice D, "Subnetting Practice" (praticando a diviso em sub-redes). Este
apndice, sisponibilizado em ingls no site da editora - www.altabooks.com.br. inclui problemas suficientes para
praticar a diviso em sub-redes, de modo que, atravs de repetio, voc possa melhorar significativamente sua
velocidade e absorver os processos de atalho. Planeje trabalhar nestes problemas at que voc possa obter a
resposta correta de forma consistente e rpida e no precise mais parar e pensar a respeito do processo para
encontrar a resposta. O objetivo tornar o processo automtico para encontrar as respostas de tais problemas.
Candidatos ao exame CCNA: o Apndice D do ICND2 contm todos os problemas do Apndice D do ICNDI,
mais alguns outros, portanto use o Apndice D do ICND2.
Passo 3 Pratique a Diviso em Sub-Redes com o Jogo de Diviso em Sub-Redes da Cisco. A Cisco possui um
jogo para diviso em sub-redes, disponvel no CCNA Prep Center da Cisco. Ele apresenta diversos cenrios para
diviso em sub-redes e torna divertido praticar a diviso em sub-redes. Basta ir ao CCNA Prep Center (http://
www.cisco.comlgo/prepcenter). faalogincomseuIDdeUsurioCisco.com. selecione a guia Additional
Information, e procure pelo link para baixar o jogo. (Se voc no possui um login, voc pode criar um a partir desta
pgina de web.)
Passo 4 Desenvolva seus prprios problemas para prtica usando uma calculadora de sub-redes. Voc pode
baixar vrias calculadoras de sub-redes gratuitas da Internet, inclusive uma disponvel na Cisco que parte do
450
- Revise os cenrios do Apndice F deste livro (disponibilizado em ingls no site da editora www.altabooks.com.br). Estes cenrios fazem com que voc pense a respeito das questes cobertas em vrios
captulos deste livro. Eles tambm exigem pensamentos mais abstratos para resolver o problema. Os candidatos ao
exame CCNA devem revisar os cenrios do Apndice F de ambos os livros.
Sumrio
As ferramentas e sugestes apresentadas neste captulo foram criadas com um objetivo em mente: ajudar voc a
desenvolver as habilidades necessrias para passar nos exames ICND2 e CCNA. Este livro, e seu companheiro, o livro
ICNDI, foi desenvolvido no apenas para informar voc a respeito dos fatos, mas para ajudar voc a aprender como
aplicar os fatos . No importa qual o seu nvel de experincia quando voc fizer os exames, nossa esperana de que a
grande variedade de ferramentas para preparao, e at mesmo a estrutura destes livros e o foco na resoluo de
problemas, iro ajudar voc a passar nos exames com facilidade. Desejo-lhe boa sorte nos exames.
CCNA ICND2
451
-----------------------
AP N DICE
Captulo 1
1. B
2. D. Embora uma sub-rede e uma VLAN no sejam conceitos equivalentes, os dispositivos em uma VLAN esto
tipicamente na mesma sub-rede, e vice-versa.
3. B
4. C
5. B e C
6. A e C. A configurao auto significa que o switch pode negociar o trunking, mas pode somente responder a
mensagens de negociao e no pode iniciar o processo de negociao. Portanto, o outro switch deve ser configurado
para fazer trunking ou para iniciar o processo de negociao (dependendo se est configurado com a opo dynamic
desirable) .
7. A. A configurao VTP default do modo VTP servidor significa que o switch pode configurar VLANs, portanto a
VLAN configurada. No entanto, estando no modo servidor, os comandos de configurao aparecem apenas na
sada do comando show vlan brief, e no so apresentados como parte do arquivo running-config.
8. B eC
9. C. O VTP no exige uma senha, embora se a senha for usada, ela deve coincidir. O VTP envia atualizaes VTP
imediatamente aps uma mudana na base de dados da VLAN. No entanto, o VTP envia apenas mensagens VTP
atravs de trunks, e o default dos 2960s usar o modo administrativo de trunking auto, o qual no inicia o processo
de negociao de trunking. Portanto, nenhum dos switches forma automaticamente um trunk, e nenhuma mensagem
VTP enviada.
lO. C e D. O nome do domnio e a senha devem ser iguais, e os switches devem se conectar usando um trunk antes que
o VTP possa funcionar. normal ter alguns switches como servidores e alguns como clientes. Uma configurao
de pruning diferente no impede a sincronizao das bases de dados de VLAN.
Captulo 2
1. A e B. Estados de Escuta e de Aprendizado so estados transitrios de porta, usados apenas quando se passa do
estado de Bloqueio para o estado de Encaminhamento. Descarte no um estado de porta STP 802.Id.
2. C e D. Estados de Escuta e de Aprendizado so estados transitrios de porta, usados apenas quando se passa do
estado de Bloqueio para o estado de Encaminhamento. Descarte no um estado de porta STP 802.Id. Estado de
Encaminhamento e de Bloqueio so estados estveis.
3. C. O menor nmero de ID de bridge vence a eleio.
4. B. Switches que no so raiz encaminham Hellos recebidos da raiz; a raiz envia estes Hellos baseado no temporizador
de Hello configurado na raiz.
456
5. E
6. B e D. O padro IEEE 802.1w, chamado Rapid STP, oferece uma convergncia STP muito mais rpida.
7. B e D. O RSTP usa estados de Encaminhamento, de Aprendizado e de Descarte para portas, com os estados de
Encaminhamento e de Aprendizado executando as mesmas funes bsicas que os estados de porta STP com o
mesmo nome.
8. B e C
9. B. Os switches Cisco usam um sistema estendido de formato de ID para IDs de bridge por default, no qual o campo
de prioridade dividido em um valor de prioridade base (32.768, neste caso), mais o ID da VLAN. A prioridade
deste switch permite que ele possa ser o switch raiz, mas a sada do comando no fornece informaes suficientes
para saber se este switch a raiz no momento.
10.B. As duas interfaces possuem um custo de porta default de 19 (FaO/13) e 4 (GiO/1), fazendo com que o custo de
SW3 para alcanar a raiz seja de 10+19 = 29 a partir de FaO/13, e 20+4 = 24 atravs de GiO/1. Portanto, SW3
seleciona GiO/1 como sendo sua porta raiz. SW3 poderia ento anunciar um custo de 24 (custo para alcanar a raiz)
Helio atravs de FaO/13, mas seria inferior ao Helio j sendo recebido em FaO/13 (custo 10), portanto SW3 no
escolheria FaO/13 como uma porta designada.
Captulo 4
1. D. o host pode precisar usar DHCP (Dynamic Host Configuration Protocol, ou Protocolo de Configurao
Dinmica de Host) para adquirir um endereo IP, e provavelmente iria usar um DNS (Domain Name System, ou
Sistema de Nome de Domnio) para converter www.ciscopress.com em um endereo IP. Ele tambm usaria o
ARP (Address Resolution Protocol, ou Protocolo para Resoluo de Endereo) para encontrar o endereo MAC
do gateway default porque o cache do ARP teria sido limpo como parte do processo de inicializao.
2. B. O comando ping 2.1.1.2 no usa o nome de um host, portanto no necessrio um servidor DNS. Um cliente
DHCP no precisa conhecer o endereo IP do servidor DHCP para usar o DHCP. No existe servidor ARP. No
entanto, para enviar o pacote para outra sub-rede, o PC precisa conhecer o endereo IP de seu gateway default.
3. AeF
4. C. Com o comando no ip subnet-zero configurado, o roteador no permitir que nenhuma interface seja configurada
com um endereo IP na sub-rede zero. Das respostas apresentadas, a sub-rede 10.0.0.0255.254.0.0 uma subrede zero, com uma faixa de endereos de 10.0.0.1 a 10.1.255.254. O comando ip address 10.1.2.2255.254.0.0
seria rejeitado.
5. C. A letra "s" significa que a rota uma rota esttica, que definida atravs do comando de configurao global ip
route.
6. A. A sintaxe correta apresenta um nmero de sub-rede, depois uma mscara de sub-rede no formato decimal com
pontos, e depois uma interface de sada ou um endereo IP next-hop.
7. A
8. B. Com o roteamento c1assless habilitado, o roteador usa a rota default, caso nenhuma outra rota seja encontrada.
A linha comeando com "Gateway of last resort... " apresenta o endereo IP do roteador next-hop, 168.13.1.101,
que ser usado como rota default.
Captulo 5
1. B, C e D
2. A. Observe que s vezes, VLSM significa variable-length subnet masking (ou mscara de sub-rede de
comprimento varivel), que se refere ao processo de usar diferentes mscaras na mesma rede c1assful, enquanto
que subnet mask (mscara de sub-rede) se refere s mscaras de rede propriamente ditas.
3. C e D. Sub-rede 10.5.0.0 255.255.240.0 implica na faixa 10.5.0.0 -10.5.15.255, que no se sobrepe. 10.4.0.0
255.254.0.0 implica na faixa 10.4.0.0 - 10.5.255.255, que se sobrepe. 10.5.32.0 255 .255 .224.0 implica na faixa
CCNAICND2
457
10.5.32.0 -10.5.63.255, que se sobrepe. 10.5.0.0255.255.128.0 implica na faixa 10.5.0.0 -10.5.127.255, que se
sobrepe.
4. C. Todas as respostas apresentadas incluem a faixa para todas as trs sub-redes, exceto para 10.3.64.0255.255.224.0,
que implica na faixa de endereos de 10.3.64.0 - 10.3.95.255. Das outras trs respostas, 10.3.64.0255.255.192.0
a menor faixa (10.3.64.0 - 10.3.127.255). Tambm a menor sumarizao de rota nica que inclui todas as trs
sub-redes da pergunta.
5. C e D. 10.0.0.0255.0.0.0 implica na faixa de todos os endereos comeados com lO, e 10.1.0.0255.255.0.0 implica
na faixa de todos os endereos comeados com 10.1, portanto ambas as respostas incluem todas as faixas de
endereo apresentadas na pergunta. 10.1.32.0255 .255.224.0 implica na faixa de 10.1.32.0 -10.1.63.255, que inclui
todos os endereos apresentados na pergunta. 10.1.55.0255.255.255.0 implica na faixa de somente 10.1.55.0 10.1.55255, que no inclui todos os endereos. 10.1.48.0255.255.248.0 implica na faixa de endereos de 10.1.48.0
- 10.1.55.255, que omite duas das sub-redes apresentadas na pergunta.
6. B, C e D
7. A, B e C
8. A. Redes no contguas so permitidas desde que a sumarizao automtica esteja desabilitada. OSPF nem mesmo
suporta sumarizao automtica, portanto usar o OSPF resolveria o problema. RIP-1 no consegue desabilitar a
sumarizao automtica. EIGRP consegue desabilitar a sumarizao automtica, mas a mesma fica habilitada, por
default.
Captulo 6
1. A e C. ACLs padro verificam o endereo IP de origem. Uma ACL pode identificar a faixa de endereos 10.1.1.1
- 10.1.1.4, mas so necessrios mltiplos comandos access-list. Pode-se casar todos os hosts na sub-rede de
Barney atravs do comando access-Iist 1 permit 10.1.1.0 0.0.0.255.
2. D. 0.0.0.255 casa todos os pacotes que possuem os mesmos 3 primeiros octetos. Isto til quando voc quer
identificar uma sub-rede na qual a parte referente sub-rede formada pelos 3 primeiros octetos, como neste caso.
3. E. 0.0.15.255 casa todos os pacotes com os mesmos primeiros 20 bits. Isto til quando voc quer identificar uma
sub-rede na qual a parte referente sub-rede formada pelos 20 primeiros bits, como neste caso.
4. E e F. ACLs estendidas podem olhar para os cabealhos de Camada 3 (IP) e de Camada 4 (TCP, UDP), e alguns
outros, mas para nenhuma informao da camada de aplicao. ACLs estendidas nomeadas podem olhar para os
mesmos campos que uma ACL estendida numerada.
5. A e E. A faixa correta de nmeros ACL para listas de acesso IP estendidas de 100 a 199 e de 2000 a 2699. As
respostas que apresentam o parmetro eq www depois de 10.1.1.1 casam o nmero da porta de origem, e os
pacotes esto indo em direo ao web server, e no do contrrio.
6. E. Pelo fato do pacote estar indo em direo a qualquer cliente web, voc precisa verificar o nmero da porta do
servidor web como sendo uma porta de origem. A faixa de endereo IP do cliente no est especificada na questo,
mas os servidores esto, portanto o endereo de origem comeando por 172.16.5 a resposta correta.
7. E. ACLs IP estendidas nomeadas podem identificar exatamente o mesmo conjunto de campos que as ACLs IP
estendidas numeradas.
8. A e C. Antes do lOS 12.3, as ACLS numeradas precisavam ser removidas e depois re-configuradas para se
remover uma linha da ACL. A partir do lOS 12.3, voc tambm pode usar o modo de configurao ACL e nmeros
seqenciais para apagar uma linha da ACL de cada vez.
9. C. O currculo autorizado da Cisco sugere a resposta C para ACLs IP estendidas, sugerindo que as ACLs padro
sejam colocadas o mais prximo possvel do destino.
10. C. ACLs dinmicas exigem que o usurio faa telnet no roteador e se autentique usando um nome de usurio e
senha, o que faz ento com que o roteador aceite pacotes enviados pelo host.
Captulo 8
1. A e B
2. D eF
3. CeD
4. B,C,DeE
5. B. Protocolos vetor distncia se baseiam em atualizaes peridicas completas de roteamento de seus vizinhos .
para confIrmar que o vizinho ainda est funcionando.
6. D. O split horizon faz com que um roteador no anuncie rotas por uma interface se a rota fIzer com que os pacotes _
sejam enviados pela mesma interface.
7. D. Envenenamento de rota (route poisoning) signifIca anunciar a rota em falha com uma mtrica "infInita", em _
oposio simplesmente parar de anunciar a rota. Poison reverse o envenenamento de rota atravs do anncio
de uma rota que no estava sendo anunciada previamente por causa do split horizon.
8. A. O roteador no deveria enviar imediatamente uma atualizao completa. Em vez disso, os protocolos vetor .distncia enviam imediatamente uma atualizao parcial de roteamento, enviando apenas a rotas envenenada.
9. B. Protocolos link-state re-injetam cada LSA em um intervalo de tempo peridico, porm mais longo. Com RIP, o
temporizador para atualizao de 30 segundos, e com OSPF, o temporizador de 30 minutos.
1O.B. Protocolos link-state renem informaes sobre a interconexo de rede na forma de LSAs, que permanecem na
memria na base de dados do link-state. O roteador ento executa o algoritmo SPF para calcular a rota com a
melhor mtrica deste roteador para alcanar cada sub-rede.
Captulo 9
1. A. O OSPF calcula a mtrica baseado no custo associado a cada interface. O OSPF, por default, calcula o custo da
interface baseado na confIgurao de largura de banda.
4. B. Roteadores OSPF vizinhos que completam a troca de base de dados so considerados totalmente adjacentes e
permanecem no estado de vizinho Full.
5. De E. O DR eleito baseado na maior prioridade OSPF. Se houver empate, ser baseado no maior RIO OSPF. No
entanto, depois que o DR eleito, o papel de DR no pode ser tomado por um roteador melhor at que o DR e o
BDR tenham perdido a conexo com a sub-rede. O DR tenta fIcar totalmente adjacente a todos os outros roteadores
da sub-rede como parte do processo otimizado de troca de base de dados.
6. B. O comando network 10.0.0.0 0.255.255.255 area O funciona porque casa todas as interfaces cujo primeiro
octeto 10. O comando network 10.0.0.1 0.255.255.0 area O usa uma lgica de combinao que casa todas as
interfaces cujo primeiro octeto 10 e o ltimo octeto 1, o qual casa todos os trs endereos IP de interface. No
entanto, a mscara curinga nos comandos network do OSPF podem ter apenas uma string de 1s binrios consecutivos, _
com todos os demais dgitos sendo Os binrios, e esta mscara curinga quebra esta regra.
7. A. O comando network 0.0.0.0 255.255.255.255 area O casa todos, os endereos IP como resultado da mscara
curinga 255.255.255.255, portanto este comando habilita OSPF na Area O em todas as interfaces. A resposta com
a mscara curinga 0.255.255.0 ilegal porque representa mais de uma string de Os binrios separada por 1s
binrios. A resposta com x's est sintaticamente incorreta. A resposta com mscara curinga 255.0.0.0 signifIca
"Case todos os endereos cujos 3 ltimos octetos sejam 0.0.0", portanto nenhuma das trs interfaces casada.
CCNA ICND2
459
8. A, B e E
9. B e D. Para que o estado de vizinho de R3 no roteador R2 seja Full, R2 e R3 devem ter passado pelo processo de
autenticao, conforme exigido pela configurao de R2. A chave para autenticao deve estar configurada com o
subcomando de interface ip ospf authentication message-digest-key. No entanto, o tipo de autenticao no
precisa ser configurado com o subcomando de interface ip ospf authentication message-digest-key. RI est
em um estado Init por causa de um dentre diversos problemas que podem ocorrer, e que impedem vizinhos de se
comunicar, portanto no se pode determinar se o problema de RI um problema de autenticao.
1O.D. O subcomando de roteador do OSPF maximum-paths number configura a quantidade de rotas de custos
iguais adicionadas na tabela de roteamento. Este comando possui uma configurao default de 4.
Captulo 10
1. A e B
2. D
3. B. O FD (Feasible Distance) a mtrica para a melhor rota, para todas as rotas conhecidas para se alcanar uma
sub-rede. A melhor rota chamada de rota para sucessor, e ela adicionada na tabela de roteamento IP.
4. C. O RD (reported distance) de uma rota a mtrica usada pelo vizinho que anunciou a rota. Um roteador a usa
para determinar quais rotas atendem condio de viabilidade pela qual a rota pode ser uma rota para sucessor
possvel.
5. A e C. O comando network do EIGRP suporta como parmetro uma rede classful, habilitando o EIGRP em todas
as interfaces desta rede classful, ou um endereo e uma mscara curinga. No ltimo caso, os endereos IP de
interface que casam com o endereo configurado, quando a lgica do tipo ACL aplicada com a mscara curinga,
so os endereos identificados pelo comando.
6. C e D. O comando network 10.0.0.2 0.0.0.0 do EIGRP identifica exatamente a interface com o endereo
10.0.0.2 por causa da mscara curinga, habilitando o EIGP nesta interface. O valor de ASN do EIGRP deve ser o
mesmo em ambos os roteadores. O comando network 10 est sintaticamente incorreto; toda a rede classful deve
ser configurada.
7.
c. O primeiro nmero entre parnteses a mtrica calculada para a rota, e o segundo nmero o RD (reported
distance) da rota. A rota atravs de 10.1.6.3 a rota para sucessor, portanto no uma rota para sucessor possvel.
Para as outras duas rotas, apenas o RD da terceira rota menor ou igual ao FD (jeasible distance, ou a mtrica
da rota para sucessor).
8. B e D. A chave MD5 deve ser configurada. Ela no configurada atravs de um sub comando de interface, mas
como parte de uma cadeia de chaves. O tempo de vida til de uma chave pode ser configurado, mas no
obrigatrio.
9. F
Captulo 12
1. C. Das respostas possveis, apenas PAP e CHAP so protocolos de autenticao do PPP. O PAP envia a senha na
forma de texto claro entre os dois dispositivos.
2. C. O LCP (Link Control Protocol, ou Protocolo de Controle de Enlace) do PPP controla as funes que se
aplicam ao enlace, no importando o protocolo de Camada 3, incluindo a deteco de link em loop, monitoramento
da qualidade da linha e autenticao.
3. A e D. Ambos os roteadores precisam de um comando encapsulation ppp, e ambos tambm precisaro de
endereos IP antes que o ping possa funcionar. RI no precisa de um comando clock rate porque R2 est
conectado ao cabo DCE.
4. D. O comando username em um roteador deve se referir ao nome do host do outro roteador, diferenciando letras
maisculas de minsculas.
Captulo 13
1. C. o LMI administra o enlace entre o DTE e o switch, incluindo perceber quando um circuito virtual (VC) ativado
ou desativado.
2. A e D. O DTE fica tipicamente do lado do cliente, e o DCE no site do provedor de servios. Os switches Frame
Relay enviam mensagens LMI aos DTEs (tipicamente roteadores) para sinalizar o estado do Vc. Um frame
Frame Relay no possui um DLCI origem e destino, mas somente um nico campo DLCI.
3. A
4. C. O DLCI enderea um VC, no um roteador. O valor de DLCI no frame, medida que o mesmo atravessa o
enlace local, representa o VC no enlace. Pelo fato da pergunta se referir a um frame atravessando o link de acesso
conectado a RI , 222 o DLCI local em RI que identifica o Vc.
5. B e C. Os DLCls globais representam o DLCI que os outros roteadores usam quando esto enviando frames
atravs de seus links de acesso local. Portanto, quando RI envia um frame para R2, quando o frame atravessa o
link de acesso de R2, a rede altera o DLCI para o DLCI global de RI , 101. De modo similar, quando R3 envia um
frame para RI , enquanto o frame atravessa o link de acesso de R3, o frame possui o DLCI global de RI, 101.
6. A. Uma nica sub-rede pode ser usada em qualquer topologia Frame Relay, mas com uma rede totalmente em
malha, uma nica sub-rede pode ser usada sem nenhum problema relacionado aos protocolos de roteamento.
7. D. BarneyCo possui um total de dez VCs. Com todas elas configuradas em subinterfaces ponto-a-ponto, voc
precisa de dez sub-redes porque voc precisa de uma sub-rede por Vc.
8. A. O frame que passou por congestionamento estava indo de RI para R2, portanto o frame com o o bit BECN
(Backward (direo oposta) Explicit Congestion Notification) ligado seria o que vai na direo oposta, de R2
para RI.
Captulo 14
1. C. Os termos corretos so ansi e q933. No entanto, os roteadores detectam automaticamente o tipo de LMI por
default, portanto no configurar o LMI tambm funcionaria.
2. C, D e E. O tipo de LMI percebido automaticamente, por default. O ARP Inverso est ativado, por default
tambm, o que significa que ele no precisa ser habilitado atravs do comando frame-relay inverse-arp, e nenhum
comando para mapeamento esttico precisa ser adicionado.
3. A e E. O endereo IP se move para a subinterface, portanto ele precisa ser removido da interface serial primeiro
(com o comando no ip address). O encapsulamento fica na interface fsica. O comando frame-relay interfacedlci deve ser usado na subinterface, para que o roteador saiba qual DLCI vai com cada subinterface - mesmo que
exista apenas um DLCI.
4. F. Voc consegue codificar somente um DLCI no comando frame-relay interface-dlci, e voc precisa de um para
cada VC sob a interface multiponto.
CCNAICND2
461
5. F
6. C e E. Up e down no so cdigos de estado para PVc. Inativo significa que o switch acha que um PVC definido
no est funcionando, e deletado significa que o DLCI no est definido no switch.
7. D. Para que uma subinterface Frame Relay esteja no estado up/up, a interface fsica na base deve estar no estado
up/up, e pelo menos um dos PVCs associados subinterface deve estar em um dos dois estados de funcionamento
do PVC (ativo ou esttico).
8. B e C. Para que uma interface fsica Frame Relay tenha um estado de linha "up", os mesmos recursos da camada
fsica usados em linhas privativas devem estar funcionando. Para se ter tambm um estado de protocolo "down",
ou est faltando o comando encapsulation frame-relay no roteador, ou o roteador e o switch no esto de acordo
com relao ao tipo de LMI.
Captulo 15
A. Extranet VPNs conectam sites em empresas diferentes, mas parceiras. VPNs de acesso fornecem acesso a
1. usurios individuais, tipicamente de casa ou enquanto esto viajando. O termo "enterprise VPN" no geralmente
usado para descrever um tipo de VPN.
2. C. Software anti-vrus uma funo de segurana importante, mas no uma funo disponibilizada pelo prprio
VPN.
3. A e C. Cabealhos ESP (Encapsulating Security Payload) suportam todas as quatro funes apresentadas nas
respostas, enquanto que AH (Authentication Header) suporta apenas autenticao e integridade de mensagem.
4. A. Dentre estas respostas, apenas DES (Data Encryption Standard, ou Padro de Criptografia de Dados), 3DES
(Triple DES, ou DES Triplo) e AES (Advanced Encryption Standard, ou Padro de Criptografia Avanada) so
ferramentas de criptografia que criptografam todo o pacote. AES fornece uma criptografia melhor e menos tempo
de processamento, dentre as trs opes.
5. A, D e E. Todos os dispositivos e softwares apresentados nas respostas podem ser usados para terminar tneis
VPN. No entanto, ASAs substituram os firewalls PIX e os concentradores VPN na linha de produtos da Cisco.
6. A e C. O cliente sempre usa o SSL (Secure Socket Layer) para se conectar ao servidor Web VPN, portanto todas
as comunicaes na Internet so criptografadas. Uma das principais vantagens do Web VPN que o cliente no
precisa ter nenhum software cliente, usando simplesmente as capacidades para SSL embutidas nos navegadores
web tpicos.
Captulo 16
1. F
2. D. O objetivo original do CDIR era permitir a sumarizao de mltiplas redes Classes A, B e C para reduzir o
tamanho das tabelas de roteamento da Internet. Dentre as respostas, apenas 200.1.0.0 255.255.0.0 resume diversas
redes.
3. B e E. A RFC 1918 identifica os nmeros das redes privadas. Ela inclui a rede Classe A 10.0.0.0, as redes Classe
B de 172.16.0.0 a 172.31.0.0, e as redes Classe C de 192.168.0.0 a 192.168.255.0.
4. C. com o NAT esttico, as entradas so configuradas estaticamente. Pelo fato da pergunta mencionar traduo
para endereos internos, o termo inside necessrio no comando.
5. A. Com NAT dinmico, as entradas so criadas como resultado do fluxo do primeiro pacote a partir da rede interna.
6. A. O parmetro list 1 se refere a uma ACL IP, que casa pacotes, identificando os endereos locais internos.
7. E. Quando os endereos locais internos esto sendo traduzidos, o endereo externo no traduzido, portanto o
endereo local externo no precisa ser identificado na configurao.
8. A e C. Est faltando o termo overload na configurao, no comando ip nat inside source e no subcomando de
interface ip nat outside na interface serial.
Captulo 17
1. A. Um mtodo para atribuio de endereo IPv6 unicast global que a ICANN aloca grandes blocos de endereos
para os RIRs, os RIRs atribuem blocos menores de endereos aos ISPs, e os ISPs atribuem blocos ainda menores
de endereos a seus clientes.
2. D. Dentro de um quarteto, qualquer Ona frente pode ser omitido, e uma seqncia de 1 ou mais quartetos todos com
Os podem ser substitudos por dois pontos duplos (::). A resposta correta substitui a seqncia mais longa de 3
quartetos com Os, por::.
3. D. Endereos unicast globais comeam com 2000::/3 , o que significa que os 3 primeiros bits so idnticos aos do
valor em hexa 2000. De modo similar, endereos nicos locais casam com FDOO::/8, e endereos link locais casam
com FE80::/1O (valores que comeam com FE8, FE9, FEA e FEB hexa). Endereos IPv6 multicast comeam com
FFOO: :/8, o que significa que os primeiros 2 dgitos hexa so F.
4. A e C. O IPv6 suporta DHCP stateful, que funciona de modo similar ao protocolo DHCP do IPv4 para atribuir
dinamicamente o endereo IP completo. Autoconfigurao stateless tambm permite a atribuio, descobrindo o
prefixo a partir de algum roteador nas proximidades e calculando o ID da interface usando o formato EUI-64.
5. A e D. Autoconfigurao stateless somente ajuda um host a aprender e formar seu prprio endereo IP, mas no
ajuda o host a aprender o gateway default. RS stateless no um termo ou um recurso vlido. NDP (Neighbor
Discovery Protocol) usado para vrios propsitos, incluindo o mesmo que o do ARP no IPv4, e para aprender
parmetros de configurao, tal como o endereo IP do gateway default.
6. A e D. OSPFv3, RIPng, EIGRP para IPv6 e MP-BGP4, todos suportam IPv6.
7. C e E. A configuraao atribui explicitamente o endereo IP 3456::1. A interface tambm forma o ID da interface
EUI-64 (6444:44FF:FE44:4444), adicionando-o a FE80::/64, para formar o endereo IP link local.
8. E. A configurao do RIPng no usa o comando network; em vez disso, o comando ipv6 rip configurado na
interface, apresentando a mesma tag que a do comando ipv6 router rip, e o termo enable.
9. D. NAT-PT (Network Address Translation - Protocol Translation, ou Traduo de Endereo de Rede - Traduo
de Protocolo) faz tradues de IPv4 para IPv6, e vice-versa. Os dois mtodos de tunelamento permitem que hosts
IPv6 se comuniquem com outros hosts IPv6, enviando pacotes atravs de uma rede IPv4. Pilha dupla permite que
um host ou roteador suporte ambos os protocolos de modo concorrente.
CCNA ICND2
463
.,
------------------------ .
APNDICE B
Este apndice disponibiliza uma referncia prtica para converso do formato decimal para binrio, para nmeros decimais
de O a 255. Fique vontade para se referenciar a esta tabela quando estiver treinando com qualquer um dos problemas
de diviso em sub-redes encontrados neste livro.
Embora este apndice seja til como uma ferramenta de referncia, observe que, se voc planeja converter valores de
decimal para binrio quando estiver resolvendo os vrios tipos de problemas de diviso em sub-redes dos exames, me vez
de usar os processos de atalho, que em grande parte evitam a matemtica binria, voc provavelmente vai querer
praticar a converso entre os dois formatos antes do exame. Para praticar, selecione qualquer valor decimal entre O e
255, converta-o para um binrio de 8 bits e depois use esta tabela para descobrir se voc obteve a resposta correta. Alm
disso, selecione qualquer nmero binrio de 8 bits, converta-o para decimal e, novamente, use esta tabela para conferir
seu trabalho.
32
001(XXXX)
64
01<XXXXX>
011(XXXX)
<XXXXXXll
33
OOHXXXH
65
01(xxxx)1
01100X>1
<XXXXX>1O
34
OOHXX110
<XXXXX>11
35
00100011
(XXXX)100
36
00100100
(xxxx)101
(XXXX)110
38
00100110
(xxxx)111
39
OOX>HXXl
0100X>1O
98
O1HXX110
67
0100X>11
99
01100011
68
01000100
100
01100100
01000101
101
01100101
70
01000110
102
01100110
00100111
71
01000111
103
01100111
40
00101000
72
01001000
104
01101000
OOX>1001
41
00101001
73
01001001
lOS
01101001
10
OOX>101O
42
00101010
74
01001010
HX
01101010
11
OOX>1011
43
00101011
75
01001011
HJ]
01101011
12
OOX>1100
44
00101100
76
01001100
108
01101100
13
OOX>1101
45
00101101
77
01001101
100
01101101
14
OOX>111O
46
00101110
78
01001110
110
01101110
15
OOX>1111
47
00101111
79
01001111
111
01101111
16
000100X>
48
001100X>
010100X>
112
011100X>
17
00010001
49
00110001
81
01010001
113
01110001
18
00010010
50
00110010
82
01010010
114
01110010
19
00010011
51
00110011
83
01010011
115
01110011
00010100
52
00110100
84
01010100
116
01110100
21
00010101
53
00110101
85
01010101
117
01110101
22
00010110
54
00110110
86
01010110
118
01110110
23
00010111
55
00110111
87
01010111
119
01110111
00011000
56
00111000
88
01011000
120
01111000
25
00011001
57
00111001
89
01011001
121
01111001
26
00011010
58
00111010
01011010
122
01111010
00011011
59
00111011
91
01011011
123
01111011
28
00011100
00111100
92
01011100
124
01111100
31
00100101
00011101
61
00111101
93
01011101
125
01111101
00011110
62
00111110
94
01011110
126
01111110
00011111
63
00111111
95
01011111
IV
01111111
.1
CCNA ICND2
467
128
1<XXXXro
lro
101<Xm>
192
110CXXXX>
224
111<Xm>
129
10CXXXX>1
161
10 HXXXn
193
11<Xm>1
225
11HXXxn
----------------------------------------------------------------------------
41
-1~---------I-<Xm>---10-----I-&---------10-1-~--10-----I~----------11-00c0--I-0----~----------11-1~--1-0---
131
4t
132
l00c0l00
164
10100100
196
11~100
228
11100100
-13-3--------1-00c0--I-01-----1-~---------10-1-00-1-01-----1~----------11-~--10-1----~----------11-100--10-1---
-1~---------I-00c0---I1-0-----1~----------10-1-00-1-10-----19-8---------1-1~--1-1-0----~----------11-1-00-1-10----
tt
_13_5________1_00c0
___
l1_1_____16_~_________10_1_00_1_11_____1~
__________I_1~
__1_1_1____n_l_________11_1_00_1_11____
1<Xm>11
163
101~11
195
1100c011
111~11
.. _1~
_________I_~
__
I~
______I_~_________10_1_01_~
______
XO
__________
ll_00_1_~
_____n_2_________
11_10_1_~
____
137
1~1001
169
10101001
201
11001001
n3
11101001
---------------------------------------------------------------------------138
1~101O
170
10101010
202
11001010
~
11101010
----------------------------------------------------------------------~----
139
1~1011
171
10101011
203
11001011
n5
11101011
---------------------------------------------------------------------------140
1~1100
172
10101100
204
11001100
~
11101100
141
1~1101
173
10101101
205
11001101
237
11101101
142
1~111O
174
10101110
2(X)
11001110
n8
11101110
143
175
10101111
2fJ7
11001111
n9
11101111
1~1111
~ -IM---------l-00-100c0-------l-~---------10-1-100c0-------208----------11-01-00c0------~----------II-II-00c0-----
4t
_14_5________1_00_1_~
__I _____1n
__________l0_l_1~
__I_____~
__________1_10_1_~
__
1____~_1_________11_1_1~
__1____
146
10010010
178
10110010
210
11010010
~2
11110010
---------------------------------------------------------------------------147
10010011
179
10110011
211
11010011
~3
11110011
---------------------------------------------------------------------------148
10010100
180
10110100
212
11010100
~
11110100
---------------------------------------------------------------------------149
10010101
181
10110101
213
11010101
~5
11110101
-1~---------1-00-10-1-10-----1-~---------10-1-10-1-10-----21-4---------11-01-0-11-0----~----------11-11-0-11-0---
151
10010111
183
10110111
215
11010111
~7
11110111
152
l0011~
184
10111~
216
11011~
11111~
153
10011001
185
10111001
217
11011001
-1~---------1-00-1-10-1-0-----1~----------10-1-1-10-10-----2-18---------1-10-1-10-1-0----~----------11-1-11-0-10----
_15_5________1_00_1_10_1_1_____1~
__________10_1_1_10_11_____2_19_________1_10_1_10_1_1____~_1_________11_1_11_0_11____
156
10011100
188
10111100
220
11011100
~9
~2
11111001
11111100
---------------------------------------------------------------------------157
10011101
189
10111101
221
11011101
~3
11111101
---------------------------------------------------------------------------158
10011110
1~
10111110
222
11011110
~
11111110
---------------------------------------------------------------------------159
10011111
191
10111111
223
11011111
~5
11111111
-------------------------------------------------------------
-----------------------
:1
APENDICE
I.
Ao longo do tempo, o retorno dos leitores permite que a Cisco Press tenha uma medida de quais tpicos oferecem
maiores problemas aos nossos leitores ao fazerem os exames. Alm disso, a Cisco pode fazer pequenas alteraes na
abrangncia dos tpicos do exame ou na nfase de determinados tpicos. Para dar assistncia aos leitores sobre estes
tpicos, o autor cria novos materiais esclarecendo e expandindo o conhecimento a respeito dos tpicos do exame que so
mais problemticos. Como mencionado na introduo, o contedo adicional a respeito do exame est em um documento
PDP no website da editora deste livro em http://www.ciscopress.com. O documento que voc est vendo a Verso 1.0
deste apndice.
Este apndice apresenta todas as informaes sobre atualizao mais recentes por ocasio da publicao deste livro.
Para garantir que est com a ltima verso deste documento, voc deve certificar-se de visitar o website da editora para
ver se foram disponibilizadas verses mais recentes desde que este livro foi impresso.
Este apndice tenta preencher o vazio deixado por qualquer livro impresso. Em particular, este apndice faz o seguinte:
- Menciona itens tcnicos que podem no ter sido mencionados em outro lugar do livro
- Cobre novos tpicos quando a Cisco adiciona tpicos aos modelos dos exames ICND2 e CCNA
- Disponibiliza uma maneira de obter informaes as mais recentes possveis sobre o contedo do exame
Voc est lendo a verso deste apndice que estava disponvel quando seu livro foi impresso. No entanto, dado que o
objetivo principal deste apndice o de ser um documento vivo, que se altera, muito importante que voc procure pela
verso on-line mais recente no website da editora. Para fazer isso:
1. V at http://www.ciscopress.comltitle/15872018lx.
NOTA Observe que o documento baixado possui um nmero de verso. Se a verso do PDF
no website for a mesma que a do apndice de seu livro, seu livro contm a verso mais recente,
e no h necessidade de se baixar ou usar a verso on-line.
Contedo tcnico
A verso corrente deste apndice no cobre nenhum assunto tcnico adicional. Este apndice est aqui simplesmente
para disponibilizar instrues para voc verificar se existe uma verso on-line mais recente deste apndice.
------------------------
GLOSSRIO
ABR Area Border Router, ou Roteador de Limite de rea. Um roteador usando OSPF, onde o roteador possui
interfaces em vrias reas OSPF.
ACL Access controllist, ou lista de controle de acesso. Uma lista configurada em um roteador para controlar o fluxo
de pacotes atravs do roteador, como, por exemplo, para impedir que pacotes com um determinado endereo IP saiam
por uma determinada interface do roteador.
ACL dinmica Um tipo de ACL que vai alm das ACLs IP tradicionais para permitir dinamicamente o trfego de um
host se o usurio do host se conectar primeiro ao roteador via Telnet e passar por um processo de autenticao.
ACL reflexiva Um tipo de ACL que vai alm das ACLs IP tradicionais para monitorar a adio de novas sesses de
usurios. O roteador reage para adicionar uma entrada ACL que casa os endereos IP desta sesso e os nmeros de
porta TCP ou UDP.
algoritmo Dijkstra SPF (Shortest Path First) O nome do algoritmo usado pelos protocolos de roteamento link-state
para analisar o LSDB e encontrar as rotas de menor custo para cada sub-rede a partir deste roteador.
AND booleano
anncios link-state (LSA) No OSPF, o nome da estrutura de dados que fica dentro do LSDB e descreve em detalhes
os diversos componentes de uma rede, incluindo roteadores e enlaces (sub-redes).
aprender Bridges transparentes e switches aprendem endereos MAC analisando os endereos MAC de origem dos
frames que recebem. Eles adicionam cada endereo MAC novo, juntamente com o nmero de porta, da porta na qual
aprenderam o endereo MAC, a uma tabela de endereos.
AR Access Rate, ou Taxa de Acesso. No Frame Relay, a velocidade com a qual os bits so enviados atravs de um link
de acesso.
Veja ABR.
ARP
Address Resolution Protocol, ou Protocolo de Resoluo de Endereo. Um protocolo de Internet usado para
mapear um endereo IP a um endereo MAC. Definido na RFC 826.
ARP Inverso Um protocolo do Frame Relay com o qual um roteador anuncia seu endereo de Camada 3 atravs de
um VC, fornecendo assim ao vizinho informaes teis sobre mapeamento de Camada 3 para Camada 2.
ASBR Autonomous System Border Router, ou Roteador de Limite de Sistema Autnomo. Um roteador usando OSPF
onde o roteador aprende rotas atravs de outra fonte, tipicamente atravs de outro protocolo de roteamento, trocando
rotas externas ao OSPF com o domnio OSPF.
assncrono
Descreve uma conveno para enviar dados com sinais digitais. O enviador e o receptor operam nas
mesmas velocidades, mas nenhuma tentativa feita no sentido do enviador e do receptor ajustarem suas velocidades
dinamicamente, baseados na velocidade do outro dispositivo.
atualizao completa
atualizao link-state Um pacote do OSPF usado para enviar um LSA a um roteador vizinho.
atualizao parcial Nos protocolos de roteamento IP, o conceito genrico de que uma atualizao do protocolo de
roteamento lista um subconjunto de todas as rotas conhecidas. Veja tambm atualizao completa.
atualizao peridica Nos protocolos de roteamento, o conceito de que o protocolo de roteamento anuncia rotas em
uma atualizao de roteamento de modo peridico e regular. Isto tpico de protocolos de roteamento vetor distncia.
autoconfigurao stateless Um recurso do IPv6 no qual um host ou roteador podem ter um endereo IPv6 unicast
atribudo, sem a necessidade de um servidor DHCP stateful.
472
Glossrio
B
balanced hybrid Refere-se a um dos trs tipos genricos de algoritmos de protocolos de roteamento. Os outros dois
so vetor distncia e link-state. O EIGRP o nico protocolo de roteamento que a Cisco classifica como usando o
algoritmo balanced hybrid.
banco de dados da topologia Os dados estruturados que descrevem a topologia da rede a um protocolo de roteamento.
Protocolos de roteamento link-state e balanced hybrid usam tabelas de topologia a partir das quais eles constroem as
entradas da tabela de roteamento.
banco de dados de configurao da VLAN
switch Cisco.
Bc Commited burst. Um termo do Frame Relay que se refere quantidade de bits que podem ser enviados durante um
determinado intervalo de tempo. Isto ajuda a medir se/quando o DTE, na mdia, enviou mais dados que a velocidade
definida no contrato de trfego, atravs de um VC.
BECN Backward explicit congestion notification. O bit no cabealho do Frame Relay que implica que est ocorrendo
congestionamento na direo oposta (backward) ao frame. Os switches e os DTEs podem reagir diminuindo a taxa na
qual os dados so enviados nesta direo.
BPDU
Bridge protocol data unit. O nome genrico para mensagens do Spanning Tree Protocol.
BPDU Guard Um recurso do switch Cisco que fica escutando a chegada de mensagens BPDU do STP, desabilitando
a interface caso alguma seja recebida. O objetivo evitar loops quando um switch se conecta a uma porta onde se espera
que se tenha somente um host conectado a ela.
BRI Basic Rate Interface. Uma interface ISDN composta por dois canais de informaes e um canal de dados (D)
para comunicao circuit switching de voz, vdeo e dados.
Bridge ID (BID) Um identificador de 8 bytes para bridges e switches usado pelo STP e pelo RSTP. formado por um
campo de prioridade de 2 bytes, seguido por um campo de ID de Sistema de 6 bytes que geralmente preenchido com um
endereo MAC.
bridge protocol data unit
Veja BPDU.
c
CHAP Challenge Handshake Authentication Protocolo Um recurso relacionado segurana, definido pelo PPP, que
permite que uma das extremidades, ou ambas, de um enlace, autentique o outro dispositivo como sendo um dispositivo
autorizado.
chave compartilhada Uma referncia a uma chave de segurana cujo valor conhecido tanto pelo enviador quanto
pelo receptor.
chave privada Um valor secreto usado nos sistemas de criptografia de chave pblica/privada. Criptografa um valor
que pode ento ser descriptografado usando a chave pblica idntica, ou descriptografa um valor que foi previamente
criptografado com a chave pblica idntica.
chave pblica Um valor secreto usado nos sistemas de criptografia de chave pblica/privada. Criptografa um valor que
pode ento ser descriptografado usando a chave privada idntica, ou descriptografa um valor que foi previamente
criptografado com a chave privada idntica.
CIDR Uma ferramenta padronizada por RFC para atribuio de faixa de endereos IP globais. O CIDR reduz o
tamanho das tabelas de roteamento dos roteadores da Internet, ajudando a lidar com o crescimento rpido da Internet. O
termo classless se refere ao fato de que grupos resumidos de redes representam um grupo de endereos que no segue
as regras de agrupamento classful IPv4 (Classes A, B e C).
CIR Committed Information Rate, ou Taxa de Informao Comissionada. No Frame Relay e no ATM, a velocidade
mdia na qual os bits podem ser transferidos atravs de um circuito virtual, de acordo com o contrato de negcios entre
o cliente e o provedor de servios.
CCNA ICND2
473
circuit switching O sistema de comutao no qual deve existir um caminho atravs de um circuito fsico dedicado
entre o enviador e o receptor, durante a durao da "chamada". Usada com bastante freqncia na rede da companhia
telefnica.
circuito virtual permanente (PVC) Um caminho de comunicao pr-configurado entre dois DTEs Frame Relay,
identificado por um DLCI local em cada link de acesso Frame Relay, que oferece o equivalente funcional de um circuito
privativo, mas sem uma linha privativa fsica para cada VC.
classless interdomain routing (CIDR)
Veja CIDR.
cliente VPN Software que reside em um PC, geralmente em um laptop, de modo que o host possa implementar os
protocolos necessrios para ser uma extremidade de um VPN.
codificao As convenes a respeito de como um dispositivo varia os sinais eltricos ou pticos enviados atravs de
um cabo para indicar um determinado cdigo binrio. Por exemplo, um modem pode codificar um 1 ou Obinrio usando
uma freqncia que significa 1 e outra que significa O.
completamente adjacente No OSPF, uma caracterizao do estado de um vizinho na qual os dois vizinhos alcanaram
o estado Full.
condio de viabilidade No EIGRP, quando um roteador aprendeu diversas rotas para alcanar uma sub-rede, se a
mtrica da melhor rota for X, a condio de viabilidade a de que a distncia reportada de outra rota seja <= X.
contagem at o infinito Um infeliz efeito colateral dos protocolos de roteamento vetor distncia na qual os roteadores
aumentam lentamente a mtrica de uma rota em falha at que a mtrica atinja a definio finita de mtrica mxima
(chamada de infinito) deste protocolo de roteamento.
convergncia O tempo necessrio aos protocolos de roteamento para que reajam a mudanas na rede, removendo
rotas ruins e adicionando rotas novas e melhores, de modo que as melhores rotas no momento estejam em todas as
tabelas de roteamento dos roteadores.
CSUIDSU Channel service unit/data service unit. Um dispositivo que conecta um circuito fsico instalado pela
companhia telefnica a algum dispositivo CPE, fazendo adaptaes de voltagem, corrente, framing e conectores usados
no circuito, para a interface fsica suportada pelo DTE.
D
data-link connection identifier (DLCI)
Veja DLCI.
DCE Data communications equipment. Do ponto de vista da camada fsica, o dispositivo que fornece a taxa de c10ck
em um enlace WAN, tipicamente um CSUIDSU, o DCE. Do ponto de vista de packet-switching, o switch do provedor
de servios no qual o roteador deve estar conectado considerado o DCE.
DCE do Frame Relay
DE Discard eligible. O bit no cabealho do Frame Relay que, caso seja necessrio descartar frames, indica a um
switch para escolher este frame para ser descartado, em vez de outro frame sem o bit DE ligado.
descrio de banco de dados Um tipo de pacote do OSPF que apresenta descries resumidas dos LSAs no LSDB
do OSPF.
DHCP stateful Um termo usado no IPv6 em oposio ao DHCP stateless. O DHCP stateful mantm o registro de
quais clientes tiveram quais endereos IPv6 atribudos (informaes de estado).
DHCP stateless Um termo usado no IPv6 em oposio ao DHCP stateful. Servidores DHCP stateless no concedem
endereos IPv6 a clientes. Em vez disso, eles fornecem outras informaes teis, tais como endereos IP de servidor
DNS, mas sem a necessidade de armazenar informaes sobre os clientes (informaes de estado).
Diffusing Update Algorithm (DUAL)
Veja DUAL.
distncia administrativa Nos roteadores Cisco, uma forma de um roteador escolher dentre diversas rotas para
alcanar a mesma sub-rede, quando estas rotas so aprendidas atravs de diferentes protocolos de roteamento. Quanto
menor a distncia administrativa, mais privilegiado ser o originador da informao sobre roteamento.
474
Glossrio
DLCI Data-Link Connection Identifier. O endereo Frame-Relay que identifica um VC em um determinado link de
acesso.
domnio de broadcast Um conjunto de todos os dispositivos que recebem frames de broadcast originados de qualquer
dispositivo do conjunto. Dispositivos na mesma VLAN esto no mesmo domnio de broadcast.
DTE Data terminal equipment. Do ponto de vista da Camada 1, o DTE sincroniza seu c10ck baseado no c10ck enviado
pelo DCE. Do ponto de vista de packet-switching, o DTE o dispositivo fora da rede do provedor de servios, tipicamente
um roteador.
DTE do Frame Relay O dispositivo do cliente conectado ao link de acesso Frame Relay, tipicamente um roteador.
DUAL Diffusing Update AIgorithm. Um algoritmo de convergncia usado no EIGRP quando uma rota falha e um
roteador no possui uma rota para sucessor possvel. O DUAL faz com que os roteadores enviem mensagens EIGRP de
Query e Reply para descobrir rotas alternativas livres de loop.
E
EGP (protocolo externo de porta de comunicao) Um protocolo de roteamento que foi criado para trocar informaes
sobre roteamento entre diferentes sistemas autnomos.
EIGRP
Enhanced Interior Gateway Routing Protocolo Uma verso avanada do IGRP desenvolvida pela Cisco.
Oferece propriedades superiores de convergncia e eficincia na operao, e combina as vantagens dos protocolos linkstate com as dos protocolos vetor distncia.
encaminhar Enviar um frame em direo a seu destino definitivo atravs de um dispositivo para interconexo de rede.
endereamento classful
endereamento classless Um conceito do endereamento IPv4 que define um endereo IP de sub-rede como tendo
duas partes: um prefixo (ou sub-rede) e um host.
endereo de broadcast
endereo de broadcast da sub-rede Um endereo especial em cada sub-rede - especificamente, o maior endereo
numrico da sub-rede - definido de modo que os pacotes enviados para este endereo devem ser entregues a todos os
hosts da sub-rede.
endereo IP secundrio O segundo (ou subseqente) endereo IP configurado em uma interface de roteador, usando
o termo secondary no comando ip address.
endereo link local Um tipo de endereo IPv6 unicast que representa uma interface em um nico enlace de dados.
Pacotes enviados a um endereo link local atravessam apenas este enlace em particular, e nunca sero encaminhados a
outras sub-redes por um roteador. Usado para comunicaes que no precisam sair do enlace local, tais como para
descoberta de vizinhos.
endereo privativo Diversas redes Classes A, B e C que foram separadas para serem usadas dentro de organizaes
privadas. Estes endereos, conforme definidos pela RFC 1918, no podem ser encaminhados atravs da Internet.
endereo unicast global Um tipo de endereo IPv6 unicast que foi alocado a partir de uma faixa de endereos IPs
pblicos, globalmente nicos, conforme registrado pela ICANN, suas agncias membro e outros registradores ou ISPs.
endereo nico local Um tipo de endereo IPv6 unicast usado para substituir os endereos IPv4 privativos.
Estado de Aprendizado No STP, um estado de porta temporrio no qual a interface no encaminha frames , mas pode
comear a aprender endereos MAC dos frames recebidos na interface.
Estado de Bloqueio No STP 802.1d, um estado de porta no qual nenhum frame recebido processado, e o switch no
encaminha nenhum frame atravs da interface, com exceo de mensagens do STP.
Estado de Descarte Um estado de interface do RSTP no qual nenhum frame recebido processado, e o switch no
encaminha nenhum frame atravs da interface, com exceo das mensagens do RSTP.
CCNA ICND2
475
Estado de Encaminhamento Um estado de porta do STP e do RSTP no qual uma interface opera de forma irrestrita
no STP.
Estado de Escuta Um estado de porta STP temporrio que ocorre imediatamente quando uma interface em bloqueio
deve ir para o estado de Encaminhamento. O switch conta o tempo para expirar as entrada da tabela MAC durante este
estado. Ele tambm ignora os frames recebidos na interface, e no encaminha nenhum frame atravs da interface.
Estado Full No OSPF, um estado de vizinho que implica que os dois roteadores trocaram todo o contedo (completo)
de seus respectivos LSDBs.
estado two-way No OSPF, o estado de um vizinho que implica que o roteador trocou Hellos com o vizinho, e todos os
parmetros necessrios so idnticos.
EtherChannel Um recurso proprietrio da Cisco no qual at oito segmentos Ethernet paralelos entre dois dispositivos
iguais, todos usando a mesma velocidade, podem ser combinados para se comportarem como um nico enlace para
encaminhamento e lgica STP (Spanning Tree Protocol)o
feasible distance
FECN Forward explicit congestion notification. O bit no cabealho do Frame Relay que avisa qualquer um que
estiver recebendo o frame (switches e DTEs) que est ocorrendo congestionamento na mesma direo do frame.
ftltro De modo geral, um processo ou um dispositivo que analisa trfego de rede em busca de certas caractersticas, tais
como endereo de origem, endereo de destino ou protocolo. Este processo determina se o trfego deve ser encaminhamento
ou descartado, baseado no critrio estabelecido.
forward delay Um temporizador do STP, com valor default de 15 segundos, usado para definir quanto tempo uma
interface permanece tanto no estado de Escuta quanto no estado de Aprendizado. Tambm chamado de temporizador
forward delay.
Frame Relay Um protocolo de enlace de dados de padro internacional que define a capacidade de criar um servio
frame-switched (packet-switched), permitindo que dispositivos DTE (tipicamente roteadores) enviem dados a vrios
outros dispositivos usando uma nica conexo fsica com o servio de Frame Relay.
framing As convenes a respeito de como a Camada 2 interpreta os bits enviados de acordo com a Camada 1 da OS!.
Por exemplo, depois que um sinal eltrico foi recebido e convertido para binrio, o framing identifica os campos com
informaes dentro dos dados.
FTP File Transfer Protocol, ou Protocolo para Transferncia de Arquivos. Um protocolo de aplicao, parte da pilha
de protocolo TCPIIP, usado para transferir arquivos entre ns da rede. O FTP est definido na RFC 959.
full duplex De modo geral, qualquer comunicao na qual dois dispositivos em comunicao podem enviar e receber
dados de modo concorrente. Especificamente para LANs Ethernet, a capacidade de ambos os dispositivos enviarem e
receberam ao mesmo tempo. Isto permitido quando existem apenas duas estaes em um domnio de coliso. O full
duplex habilitado desabilitando-se a lgica CSMAlCD de deteco de coliso.
global externo Um termo da NAT que se refere a um endereo IP usado por um host na parte externa (no confivel)
da rede, para os pacotes enquanto atravessam a parte externa da rede, geralmente a Internet global.
global interno Um termo da NAT que se refere ao endereo IP usado por um host dentro da parte confivel da rede,
mas em pacotes enquanto atravessam a parte global (no confivel) da rede.
HDLC High-Level Data-Link Control. Um protocolo de dados sncrono da camada de enlace, orientado a bit,
desenvolvido pela ISO (lnternational Organization for Standardization). Tendo originado do SDLC (synchronous
data-link control), o HDLC especifica um mtodo de encapsulamento de dados em enlaces seriais sncronos usando
caracteres de frame e checksums.
476
Glossrio
Helio (Mltiplas definies) 1) Um protocolo usado pelos roteadores OSPF para descobrir, estabelecer e manter
relaes de vizinhana. 2) Um protocolo usado pelos roteadores EIGRP para descobrir, estabelecer e manter relaes de
vizinhana. 3) No STP, refere-se ao nome da mensagem peridica originada na bridge raiz em um spanning tree.
Helio BPDU A mensagem STP e RSTP usada na maioria das comunicaes STP, apresentando o Bridge ID da raiz, o
Bridge ID do enviador e o custo do dispositivo enviador para se alcanar a raiz.
Helio inferior Quando se compara dois ou mais BPDUs HelIo recebidos, um Hello que apresenta o Bridge ID raiz
numericamente maior que outro HelIo, ou um HelIo que apresenta o mesmo Bridge ID raiz, mas com um custo maior.
holddown Um estado do protocolo Vetor Distncia atribudo a uma rota existente, onde os roteadores no anunciam a
rota, e nem aceitam anncios sobre ela por um determinado perodo de tempo (o temporizador de holddown). O holddown
usado para eliminar informaes ruins a respeito de uma rota, de todos os roteadores da rede. Uma rota tipicamente
colocada em holddown quando um enlace naquela rota falha.
IEEE 802.11
IEEE 802.1ad O padro IEEE para o equivalente funcional do EtherChannel, proprietrio da Cisco.
IEEE 802.1d
IEEE 802.1Q O padro IEEE para protocolo de trunking em VLAN. O 802.1Q inclui o conceito de uma VLAN nativa,
para a qual nenhum cabealho VLAN adicionado, e um cabealho VLAN de 4 bytes inserido aps o campo tipo/
comprimento do frame original.
IEEE 802.1s O padro IEEE para MIST (Multiple Instances oi Spanning Tree), que permite a distribuio da carga
de trfego entre VLANs diferentes.
IEEE 802.1 w O padro IEEE para uma verso melhorada de STP, chamada de Rapid STP, que aumenta a velocidade
da convergncia.
IEEE 802.3 O padro IEEE bsico para LANs do tipo Ethernet.
IGP (protocolo interno de porta de comunicao) Um protocolo de roteamento criado para ser usado para trocar
informaes sobre roteamento dentro de um nico sistema autnomo.
IGRP Interior Gateway Routing Protocolo Um IGP (Interior Gateway Protocol, ou Protocolo Interno de Porta de
Comunicao) antigo, no mais suportado, e desenvolvido pela Cisco.
infmito No contexto dos protocolos de roteamento IP, um valor de mtrica finito definido pelo protocolo de roteamento,
que usado para representar uma rota que no pode ser usada em uma atualizao do protocolo de roteamento.
Inter-Switch Link (ISL) O protocolo de trunking VLAN proprietrio da Cisco criado muitos anos antes do 802.1Q. O
ISL define um cabealho de 26 bytes que encapsula o frame Ethernet original.
intervalo Helio No OSPF e no EIGRP, um temporizador da interface que determina com que freqncia o roteador
deve enviar mensagens HelIo.
intervalo morto (dead interval) No OSPF, um temporizador usado para cada vizinho. Um roteador considera que o
vizinho est em falha se nenhum Hello for recebido deste vizinho dentro do intervalo de tempo definido pelo temporizador.
IP Control Protocol (IPCP) Um protocolo de controle definido como parte do PPP com o propsito de fazer a
inicializao e o controle do envio de pacotes IPv4 atravs de um enlace PPP.
IPsec O termo que se refere aos Protocolos de Segurana do IP (IP Security Protocols), que consiste em uma
arquitetura oferecendo servios de criptografia e de autenticao, tipicamente quando so criados servios VPN atravs
de uma rede IP.
ISDN Integrated Services Digital Network, ou Rede Digital de Servios Integrados. Um protocolo de comunicao
oferecido pelas companhias telefnicas que permite que a rede telefnica trafegue dados, voz e vdeo.
ISL Veja Inter-Switch Link.
CCNAICND2
477
isolamento de problema A parte do processo de resoluo de problemas na qual o engenheiro tenta descobrir as
causas possveis do problema, restringindo as causas possveis at que a causa-raiz do problema possa ser identificada.
K
keepalive Um recurso de vrios protocolos de enlace de dados no qual um roteador envia mensagens periodicamente
para permitir que o roteador vizinho saiba que o primeiro roteador continua vivo e funcionando.
L
LAN virtual (VLAN) Um grupo de dispositivos conectados a um ou mais switches que so agrupados em um nico
domnio de broadcast atravs de configurao. As VLANs permitem que os administradores de switch coloquem os
dispositivos conectados aos switches em VLANs separadas, sem exigir switches fsicos separados. Isto gera vantagens
de design para separar trfego sem o custo de comprar hardware adicional.
LAPF Link Access Procedure Frame Bearer Services. Define o cabealho e o trailer Frame Relay bsicos. O
cabealho inclui DLCI, e os bits FECN, BECN e DE.
linha privativa Uma linha de transmisso reservada pelas operadoras de comunicao para uso privado dos clientes.
Uma linha privativa um tipo de linha dedicada.
Link Control Protocol Um protocolo de controle definido como parte do PPP, com o objetivo de inicializar e manter
um enlace PPP.
link de acesso No Frame Relay, o enlace serial fsico que conecta um DTE do Frame Relay, geralmente um roteador,
com um switch Frame Relay. O link de acesso usa os mesmos padres de camada fsica que as linhas privativas pontoa-ponto.
link-state Uma classificao para o algoritmo base usado em alguns protocolos de roteamento. Protocolos link-state
constroem uma base de dados detalhada que apresenta enlaces (sub-redes) e seus estados (up, down), a partir dos quais
as melhores rotas podem ser calculadas.
lista de acesso estendida Uma lista de comandos globais de configurao access-list do lOS que pode casar
diversas partes de um pacote IP, incluindo o endereo IP de origem e de destino e portas TCP/UDP, para decidir quais
pacotes devem ser descartados e quais podem prosseguir atravs do roteador.
lista de acesso nomeada Uma ACL que identifica os diversos comandos em uma ACL nomeada, em vez de numerada.
lista de acesso padro Uma lista de comandos globais de configurao do lOS que pode identificar apenas o endereo
IP de origem do pacote, com o objetivo de decidir quais pacotes devem ser descartados e quais podem prosseguir atravs
do roteador.
LMI (Local Management Interface) Um protocolo Frame Relay usado entre um DTE (roteador) e um DCE (switch
Frame Relay). O LMI atua como se fosse um mecanismo de keepalive. A ausncia de mensagens LMI significa que o
outro dispositivo falhou. Ele tambm informa ao DTE a respeito da existncia de cada VC e DLCI, juntamente com seus
estados.
local externo Um termo do NAT que se refere a um endereo IP usado por um host na parte externa (no confivel)
da rede, para os pacotes enquanto atravessam a parte interna (confivel), ou local da rede.
local interno Um termo do NAT que se refere ao endereo IP usado por um host dentro da parte confivel da rede,
mas em pacotes enquanto atravessam a parte local (confivel) da rede.
LSA Veja anncios link-state.
LSDB (banco de dados link-state) No OSPF, a estrutura de dados em RAM de um roteador que armazena os
diversos LSAs, com o conjunto de LSAs representando a topologia completa da rede.
M
mapeamento Frame Relay As informaes que correlacionam, ou mapeiam, um DLCI Frame Relay com o endereo
de Camada 3 do DTE na outra extremidade do VC identificado pelo DLCI local.
478
Glossrio
mscara
mscara curinga A mscara usada nos comandos ACL do lOS da Cisco e nos comandos network do OSPF e EIGRP.
mscara de sub-rede Um nmero de 32 bits que descreve o formato de um endereo IP. Ele representa os bits de rede
e sub-rede combinados do endereo, com os valores dos bits da mscara em 1, e representa os bits do host no endereo,
com os bits da mscara em O.
mscara(mento) de sub-rede de extenso varivel
Veja VLSM.
MaxAge No STP, um temporizador que define quanto tempo um switch deve esperar quando no recebe mais Hellos
do switch raiz antes de entrar em ao para re-convergir a topologia STP. Tambm chamado de Temporizador MaxAge.
mtrica Uma medida numrica usada por um protocolo de roteamento para se determinar o quanto uma rota boa
quando comparada a outras rotas alternativas para se alcanar a mesma sub-rede.
MLP Multilink Point-to-Point Protocol. Um mtodo para dividir, recombinar e colocar frames em seqncia atravs
de mltiplos enlaces WAN ponto-a-ponto.
modo administrativo Veja modo administrativo do trunking.
modo administrativo do trunking A configurao de trunking configurada em uma interface do switch da Cisco,
conforme configurado atravs do comando switchport mode.
modo operacional do trunking O comportamento atual de uma interface do switch da Cisco para trunking VLAN.
modo VTP cliente Um dos trs modos VTP operacionais para um switch com o qual os switches aprendem os
nmeros e nomes das VLANs de outros switches, mas que no permite que o switch seja configurado diretamente com
informaes sobre VLAN.
modo VTP servidor Um dos trs conjuntos de caractersticas operacionais (modos) do VTP. Switches em modo
servidor podem configurar VLANs, informar outros switches a respeito de mudanas e aprender sobre mudanas na
VLAN a partir de outros switches.
modo VTP transparente Um dos trs conjuntos de caractersticas operacionais (modos) do VTP. Switches em modo
transparente podem configurar VLANs, mas no informam outros switches a respeito das mudanas, e no aprendem a
respeito de mudanas na VLAN a partir de outros switches.
MTU Maximum transmission unit. O tamanho mximo de pacote, em bytes, que uma determinada interface consegue
lidar.
N
NAT Network Address Translation, ou Traduo de Endereo de Rede. Um mecanismo para reduzir a necessidade de
endereos IPv4 globalmente nicos. O NAT permite que uma organizao com endereos que no so globalmente
nicos se conecte Internet, traduzindo estes endereos para o espao de endereamento que pode ser encaminhado
globalmente.
NDP (Neighbor Discovery Protocol) Um protocolo que parte do pacote de protocolo IPv6, usado para descobrir e
trocar informaes sobre dispositi vos na mesma sub-rede (vizinhos). De modo particular, ele substitui o protocolo ARP do
IPv4.
nonbroadcast multiaccess (NBMA) Uma caracterizao de um tipo de rede de Camada 2 na qual mais de dois
dispositivos se conectam rede, mas a rede no permite que frames de broadcast sejam enviados a todos os dispositivos
da rede.
notao CIDR Veja notao de prefixo.
notao de prefIXO Uma maneira resumida de se escrever uma mscara de sub-rede na qual o nmero de 1s binrios
na mscara simplesmente escrita em decimal. Por exemplo, /24 representa a mscara de sub-rede com 24 bits 1
binrios na mscara de sub-rede. O nmero de bits com valor binrio 1 na mscara considerado como sendo o prefixo.
. 0
CCNA ICND2
479
OSPF Open Shortest Path First. Um IGP link-state popular que usa uma base de dados link-state e o algoritmo SPF
(Shortest Path First) para calcular as melhores rotas para se alcanar cada sub-rede conhecida.
packet switching Um servio de WAN no qual cada dispositivo DTE se conecta companhia telefnica usando uma
nica linha fsica, com a possibilidade de ser capaz de encaminhar trfego para todos os demais sites conectados ao
mesmo servio. O switch da companhia telefnica toma a deciso de encaminhar baseado em um endereo presente no
cabealho do pacote.
Password Authentication Protocolo Um protocolo de autenticao PPP que permite que parceiros PPP se
PAP
autentiquem um ao outro.
parcialmente em malha Uma topologia de rede na qual mais do que dois dispositivos poderiam se comunicar fisicamente,
mas, por opo, apenas um subconjunto dos pares de dispositivos conectados rede pode se comunicar diretamente.
PAT
permitir (permit) Uma ao tomada por uma ACL que implica que o pacote tem permisso de prosseguir atravs do
roteador e ser encaminhado.
pilha dupla No 1Pv6, um modo de operao no qual um host ou um roteador executa tanto o IPv4 quanto o IPv6.
ping estendido Um comando do lOS no qual o comando ping aceita vrias outras opes alm do endereo IP de
destino somente.
poison reverse Um anncio de rota envenenada do vetor distncia para uma sub-rede que no seria anunciada por
causa das regras do split-horizon, mas que est sendo anunciada agora como uma rota envenenada.
porta (Mltiplas definies) 1) No TCP e no UDP, um nmero que usado para identificar unicamente o processo da
aplicao que enviou (porta origem) ou que deve receber (porta destino) dados. 2) Em LAN switching, outro termo para
interface com o switch.
porta alternativa No RSTP 802.1w, um papel de porta usado para indicar uma interface que est recebendo um
BPDU Hello inferior no momento, fazendo com que ela seja uma possvel substituta para a porta raiz. Tambm usada na
implementao de STP 802.1d da Cisco.
porta backup No RSTP 802.1w, um papel de porta usado quando vrias interfaces em um switch se conectam a um
nico domnio de coliso. Isto faz com que uma interface seja a DP (designated port, ou porta designada), e uma ou
mais alm desta fiquem disponveis para substituir a DP (papel de backup).
porta desativada No STP, um papel de porta para interfaces que no esto funcionando - em outras palavras,
interfaces que no esto em um estado de interface conectada ou up/up.
porta designada Tanto no STP quanto no RSTP, um papel de porta usado para determinar qual das vrias interfaces,
todas conectadas a um mesmo segmento ou domnio de coliso, deve encaminhar pacotes para o segmento. O switch que
anunciar o BPDU Hello com menor custo no segmento torna-se a DP.
porta raiz No STP, a porta de um switch que no raiz, na qual o Hello de menor custo recebido. Os switches
colocam as portas raiz no estado de Encaminhamento.
PortFast Um recurso de STP do switch no qual uma porta colocada no estado de Encaminhamento do STP assim que
a interface ativada, pulando os estados de Escuta e de Aprendizado. Este recurso destinado a portas conectadas a
dispositivos que so usurios finais.
PPP Point-to-Point Protocolo Um protocolo de enlace de dados que oferece conexes de roteador-para-roteador e de
host-para-rede atravs de circuitos sncronos e assncronos.
prefIxo de ISP No IPv6, o prefixo que descreve um bloco de endereos que foi atribudo a um ISP por algum
registrador da Internet.
480
Glossrio
prefIxo de registro No IPv6, o prefixo que descreve um bloco de endereos IPv6 pblicos, globalmente nicos,
atribudos a um RIR (Regional Internet Registry) pela ICANN.
prefIxo de site No IPv6, o prefixo que descreve um bloco de endereo IPv6 pblico, globalmente nico que foi
atribudo a uma organizao que um usurio final (por exemplo, uma Empresa ou agncia do governo). A atribuio
tipicamente feita por um ISP ou registrador da Internet.
prefIXo de sub-rede No IPv6, um termo para o prefixo atribudo a cada enlace de dados, atuando como uma sub-rede
do IPv4.
PRI Primary Rate Interface. Uma interface ISDN para taxa de acesso primrio. Taxa de acesso primrio consiste em
um nico canal D de 64-kbps mais 23 (TI) ou 30 (El) canais B para voz ou dados.
protocolo de roteamento Um conjunto de mensagens e processos com os quais os roteadores podem trocar informaes
a respeito de rotas para alcanar sub-redes em uma rede em particular. Exemplos de protocolos de roteamento incluem
EIGRP (Enhanced Interior Gateway Routing Protocol), OSPF (Open Shortest Path First) e RIP (Routing Information
Protocol)o
protocolo de roteamento classful Uma caractestica inerente ao protocolo de roteamento. De modo especfico, o
protocolo de roteamento no envia mscaras de sub-redes em suas atualizaes de roteamento. Isto exige que o protocolo
faa suposies a respeito de redes classful e faa com que o mesmo no seja capaz de suportar VLSM e sumarizao
manual de rotas.
protocolo de roteamento classless Uma caractestica inerente ao protocolo de roteamento. De modo especfico, o
protocolo de roteamento envia mscaras de sub-redes em suas atualizaes de roteamento, fazendo com que no seja
necessrio fazer nenhuma suposio a respeito dos endereos em uma sub-rede ou rede em particular. Isto permite que
o protocolo suporte VLSM e sumarizao manual de rotas.
protocolo roteado
IPv6.
Um protocolo de Camada 3 que defrne um pacote que pode ser encaminhado, tal como IPv4 e
protocolo rotevel
R
RSTP (Rapid Spanning Tree Protocol) Definido pelo IEEE 802.1 w. Define uma verso melhorada do STP que
converge muito mais rapidamente e consistentemente que o STP (802.1d).
recusar (deny)
Uma ao tomada com uma ACL que implica que o pacote ser descartado.
rede classful Uma rede IPv4 Classe A, B ou C. So chamadas de redes classful porque estas redes so definidas pelas
regras para classe do endereamento IPv4.
rede contgua No IPv4, um design para interconexo de rede no qual os pacotes trocados entre duas sub-redes
quaisquer de uma nica rede classful passam apenas pelas sub-redes desta rede classful.
rede IP privada Um dentre os diversos nmeros de rede IPv4 classful que nunca sero atribudos para serem usados
na Internet, criados para serem usados dentro de uma nica empresa.
rede no-contgua No IPv4, um design para interconexo de rede no qual os pacotes trocados entre duas sub-redes de
uma nica rede classful devem passar atravs das sub-redes de outra rede classful.
rede privada virtual (VPN) Um conjunto de protocolos de segurana que, quando implementados por dois dispositivos
em cada extremidade de uma rede no segura, tal como a Internet, permite que os dispositivos enviem dados de forma
segura. Os VPNs fornecem privacidade, autenticao de dispositivos, servios anti-replay e servios relativos integridade
de dados.
reported distance Do ponto de vista de um roteador EIGRP, a mtrica para uma sub-rede, conforme calculada em um
roteador vizinho e reportada em uma atualizao de roteamento ao primeiro roteador.
RID (Router ID, ou ID do roteador) No OSPF, um nmero de 32 bits, escrito em decimal com pontos, que identifica
unicamente cada roteador.
'.
,.
CCNA ICND2
481
RIP Routing Information Protocolo Um IGP (Interior Gateway Protocol, ou Protocolo interno de porta de comunicao)
que usa a lgica de vetor distncia e contador de hop do roteador como mtrica. A verso 1 do RIP (RIP-l) se tornou
impopular. A verso 2 do RIP (RIP-2) disponibiliza mais recursos, incluindo suporte a VLSM.
RIR (Regional Internet Registry) O termo genrico para uma das cinco organizaes atuais responsveis pela
atribuio do espao de endereamento IPv4 e IPv6 pblicos, globalmente nicos.
rota avante Do ponto de vista de um host, a rota atravs da qual um pacote trafega, deste host para algum outro host.
rota de sumarizao Uma rota criada via comando de configurao para representar rotas para uma ou mais subredes atravs de uma nica rota, reduzindo assim, o tamanho da tabela de roteamento.
rota envenenada (poisoned route) Uma rota no anncio de um protocolo de roteamento que lista uma sub-rede com
um valor especial de mtrica, chamado de mtrica infinita, que define a rota como sendo uma rota em falha.
rota inversa Do ponto de vista de um host, para pacotes enviados de volta ao host a partir de outro host, a rota atravs
da qual o pacote trafega.
Roteador de Limite de Sistema Autnomo
Veja ASBR.
roteador designado No OSPF, em uma rede multi-acesso, o roteador que ganha uma eleio e sendo assim,
responsvel pela administrao de um processo serializado para troca de informaes sobre topologia OSPF entre todos
os roteadores conectados a esta rede.
roteador designado para backup Um roteador OSPF conectado a uma rede multi-acesso que monitora o funcionamento
do DR (designated router, ou roteador designado) e assume o trabalho do DR, se o DR falhar.
roteamento classful Uma variao do processo de encaminhamento (roteamento) do IPv4 que define o modo particular
com que uma rota default usada. A rota default usada somente se a rede classful na qual o endereo de destino do
pacote reside no estiver presente na tabela de roteamento do roteador.
roteamento classless Uma variao do processo de encaminhamento (roteamento) que define o modo particular com
que uma rota default usada. A rota default sempre usada para pacotes cujo endereo IP de destino no casa com
nenhuma outra rota.
RSTP Veja Rapid Spanning Tree Protocol.
S
Secure Sockets Layer (SSL) Um protocolo de segurana que est integrado nos navegadores webs comumente
usados, e que fornece servios de criptografia e autenticao entre o navegador e um website.
segmento (Mltiplas definies) 1) No TCP, um termo usado para descrever um cabealho TCP e seus dados encapsulados
(tambm chamado de L4PDU). 2) Tambm no TCP, o conjunto de bytes formados quando o TCP quebra uma grande
quantidade de dados recebidos da camada de aplicao em partes menores que cabem nos segmentos TCP. 3) No
Ethernet, ou um nico cabo Ethernet, ou um nico domnio de coliso (no importa quantos cabos estejam sendo usados).
sncrono A imposio de ordenao temporal em uma seqncia de bits. Na prtica, um dispositivo tenta usar a mesma
velocidade que outro dispositivo na outra extremidade de um enlace serial. No entanto, ao examinar as transies entre
estados de voltagem no enlace, o dispositivo consegue perceber pequenas variaes na velocidade em cada extremidade
e pode ajustar sua velocidade de acordo.
SLSM Static-length subnet mask, ou mscara de sub-rede de comprimento esttico. O uso da mesma mscara de
sub-rede para todas as sub-redes de uma nica rede Classe A, B ou C.
sobrecarga do NAT
solicitao link-state Um pacote do OSPF usado para pedir a um roteador vizinho que envie um determinado LSA.
split horizon Uma tcnica de roteamento do vetor distncia na qual as informaes sobre rotas so impedidas de sair
da interface do roteador atravs da qual a informao foi recebida. Atualizaes split-horizon so teis para evitar loops
no roteamento.
SSL Veja Secure Sockets Layer.
482
Glossrio
STP (Spanning Tree Protocol) Um protocolo definido pelo padro IEEE 802.Id. Permite que switches e bridges
criem uma LAN redundante, com o protocolo fazendo com que algumas portas bloqueiem o trfego dinamicamente, de
modo que a lgica de encaminhamento do switch/bridge no far com que os frames fiquem em loop indefinidamente na
LAN.
subinterface Uma das interfaces virtuais em uma nica interface fsica.
sub-rede Uma subdiviso de uma rede Classe A, B ou C, conforme configurado por um administrador de rede. Subredes permitem que uma nica rede Classe A, B ou C seja usada e ainda assim, permita um grande nmero de grupos de
endereos IP, conforme necessrio para um roteamento IP eficiente.
sub-rede de broadcast Quando uma rede Classe A, B ou C dividida, a sub-rede de cada rede classful na qual todos
os bits de sub-rede possuem um valor 1 binrio. O endereo de broadcast da sub-rede nesta sub-rede possui o mesmo
valor numrico que o endereo de broadcast para toda a rede, da rede classful.
sub-redes sobrepostas Uma condio de design (incorreta) de sub-rede IP, na qual uma faixa de endereo de subrede inclui endereos na faixa de outra sub-rede.
sub-rede zero Para toda rede IPv4 classful que dividida em sub-redes, a sub-rede cujo nmero de sub-rede possui
Os binrios em toda a parte referente sub-rede do nmero. Em decimal, a sub-rede O pode ser facilmente identificada
porque possui o mesmo nmero que o nmero da rede classful.
sucessor No EIGRP, a rota para alcanar uma sub-rede, que possui a melhor mtrica e deve ser colocada na tabela de
roteamento IP.
sucessor possvel
No EIGRP, uma rota que no a melhor rota (rota para sucessor), mas que pode ser usada de
imediato caso a melhor rota falhe, sem causar um loop. Tal rota atende condio de viabilidade.
sumarizao automtica Um recurso do protocolo de roteamento no qual um roteador que se conecta a mais de uma
rede classful anuncia rotas resumidas para cada rede classful inteira, quando envia atualizaes atravs das interfaces
conectadas a outras redes classful.
sumarizao de rota O processo de combinar mltiplas rotas em uma nica rota anunciada, com o objetivo de reduzir
o nmero de entradas nas tabelas de roteamento IP dos roteadores.
switch raiz No STP, o switch que ganha a eleio pelo fato de ter o menor Bridge ID e, como resultado, envia BPDUs
Hello peridicos (o default de 2 segundos).
T
tabela de vizinhos Para OSPF e EIGRP, uma lista de roteadores que alcanaram o status de vizinho.
taxa de acesso
Veja AR.
Veja CIR
temporizador de atualizao O intervalo de tempo que regula a freqncia com que um protocolo de roteamento
envia sua prximas atualizaes de roteamento peridicas. Protocolos de roteamento vetor distncia enviam atualizaes
completas de roteamento a cada intervalo de atualizao.
temporizador de HeUo No STP, o intervalo de tempo no qual o switch raiz deve enviar BPDUs Hello.
TFTP Trivial File Transfer Protocolo Um protocolo de aplicao que permite que arquivos sejam transferidos de um
computador a outro atravs de uma rede, mas com apenas poucos recursos, fazendo com que o software exija pouco
espao para armazenamento.
tipo de protocolo Um campo no cabealho IP que identifica o tipo de cabealho que vem a seguir ao cabealho IP,
tipicamente um cabealho de Camada 4, tal como TCP ou UDP. As ACLs podem examinar o tipo do protocolo para
identificar pacotes com um determinado valor neste campo do cabealho.
CCNA ICND2
483
triggered update Um recurso do protocolo de roteamento no qual um protocolo de roteamento no espera pela
prxima atualizao peridica quando algo muda na rede, mas envia imediatamente uma atualizao no roteamento.
trunk Em campus com LAN, um segmento Ethernet no qual os dispositivos adicionam um cabealho VLAN que
identifica a VLAN na qual o frame existe.
trunking Tambm chamado de trunking VLAN. Um mtodo (que usa o protocolo ISL da Cisco ou o protocolo IEEE
802.1Q) para suportar mltiplas VLANs que possuem membros em mais de um switch.
Traduo de Endereo de Porta (PAT) Um recurso da NAT no qual um endereo IP Global Interno suporta mais de
65.000 conexes TCP e UDP concorrentes.
Troca de Chave Diffie-Hellman Um protocolo de troca de chaves no qual dois dispositivos podem trocar informaes
atravs de uma rede pblica. Combinado com alguns segredos previamente existentes, isto permite que os mesmos
calculem uma chave simtrica conhecida somente por eles.
var13ncia IGRP e EIGRP calculam suas mtricas, portanto as mtricas para rotas diferentes para a mesma sub-rede
raramente possuem o mesmo valor exato. O valor da varincia multiplicado pela menor mtrica quando existem vrias
rotas para a mesma sub-rede. Se o produto for maior que as mtricas das outras rotas, as rotas so consideradas como
tendo mtricas "iguais", permitindo que mltiplas rotas sejam adicionadas na tabela de roteamento.
VC Virtual circuit, ou circuito virtual. Um conceito lgico que representa o caminho pelo qual os frames trafegam entre
os DTEs. Os VCs so particularmente teis quando se compara o Frame Relay a circuitos fsicos privativos.
vetor distncia A lgica por detrs do comportamento de alguns protocolos de roteamento internos, tais como RIP e
IGRP. Algoritmos de roteamento vetor distncia fazem com que cada roteador envie sua tabela de roteamento completa
em cada atualizao, mas somente para seus vizinhos. Os algoritmos de roteamento vetor distncia podem ter tendncia
a ter loops no roteamento, mas so mais simples em termos de processamento que os algoritmos link-state. Tambm
chamado de algoritmo de roteamento Bellman-Ford.
vizinho Nos protocolos de roteamento, outro roteador com o qual um roteador decide trocar informaes sobre roteamento.
VoIP Voice over IP, ou voz sobre IP. O transporte de trfego de voz dentro de pacotes IP atravs de uma rede IP.
VPN
VTP pruning A facilidade do VTP pela qual os switches selecionam dinamicamente as interfaces onde se impedem o
envio de frames em certas VLANs, quando os frames no precisam ir para todos os switches da rede.
W
web VPN Uma ferramenta oferecida pela Cisco na qual um usurio pode usar qualquer navegador web comum para se
conectar de forma segura usando SSL, a um servidor web VPN, que ento se conecta s aplicaes baseadas em web
da Empresa - aplicaes que podem ou no suportar SSL.
NDICE
: NMEROS
. A
B-C
auto-avaliao, 165
autenticao - 282
486 ndice
comando frame-relay lmi-type 356
comando no shutdown, 28
CCNA
DTE (Data Terminal Equipment) 384
edges (RSTP), 57
comando shutdown, 90
comando spanning-tree vlan root primary, 68
comando spanning-tree vlan root secondary, 69
enlaces (RSTP), 57
487
F
D
G-H-I
ICMP (Internet Control Message Protocol) 125
IEEE 802.1Q, trunking VLAN, 10
488 ndice
ISATAP (lntra-site Automatic Tunnel Addressing
Protocol), IPv6, 439
o
OSPF (Open Shortest Path First), 241
J-K-L
p
PAP (Password Authentication Protocol) 317
PortFast, 55
Q-R
RA (Router Advertisements), endereos IPv6, 430
registro, 448
RP (root poris, ou portas raiz), STP, 48
s
SSH (Secure Shell), controle de acesso ACL, 105
SSL (Secure Socket Layer), VPN, 387
STA (Spanning Tree AIgorithm), 48
e T
CCNA
Telnet, 186
489
trunking (VLAN), 9
U-V
W-X-Y-Z
,.
I.
490
ndice
I I
I I I I
CCNAICND2
CISCO .
LC.C.,).)~
~o,v"~
ISBN 978-85-7608-188-3
1111111
978857
81883
'li
ALTA BOOKS
J..,.,.
ciscopress.com
,.