Você está na página 1de 298

Introduo

Rede Ip

Gustavo Batista
A RNP Rede Nacional de Ensino
e Pesquisa qualificada como
uma Organizao Social (OS),
sendo ligada ao Ministrio da
Cincia, Tecnologia e Inovao
(MCTI) e responsvel pelo
Programa Interministerial RNP,
que conta com a participao dos
ministrios da Educao (MEC), da
Sade (MS) e da Cultura (MinC).
Pioneira no acesso Internet no
Brasil, a RNP planeja e mantm a
rede Ip, a rede ptica nacional
acadmica de alto desempenho.
Com Pontos de Presena nas
27 unidades da federao, a rede
tem mais de 800 instituies
conectadas. So aproximadamente
3,5 milhes de usurios usufruindo
de uma infraestrutura de redes
avanadas para comunicao,
computao e experimentao,
que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.

Ministrio da
Cultura

Ministrio da
Sade

Ministrio da
Educao

Ministrio da
Cincia, Tecnologia
e Inovao
Introduo
Rede Ip

Gustavo Batista
Introduo
Rede Ip

Gustavo Batista

Rio de Janeiro
Escola Superior de Redes
2013
Copyright 2013 Rede Nacional de Ensino e Pesquisa RNP
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ

Diretor Geral
Nelson Simes

Diretor de Servios e Solues


Jos Luiz Ribeiro Filho

Escola Superior de Redes


Coordenao
Luiz Coelho

Edio
Pedro Sangirardi

Coordenao Acadmica de Redes


Luiz Carlos Lobato

Equipe ESR
Celia Maciel, Cristiane Oliveira, Derlina Miranda, Edson Kowask, Elimria Barbosa, Evellyn
Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Renato Duarte, Sergio Ricardo
de Souza e Yve Abel Marcial

Capa, projeto visual e diagramao


Tecnodesign

Verso
1.1.0

Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.

Distribuio
Escola Superior de Redes
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br

Dados Internacionais de Catalogao na Publicao (CIP)

B333i Batista, Gustavo


Introduo rede Ip / Gustavo Batista, Sidney Lucena; Colaborao de Beatriz Zoss.
Rio de Janeiro: RNP/ESR, 2013.
293 p. : il. ; 28 cm.

Bibliografia: p. 275.
ISBN 978-85-63630-33-9

1. Redes de computadores protocolos conexo. 2. Rede Ip. I. Lucena, Sidney. II.


Zoss, Beatriz. III.Ttulo.

CDD 004.62
Sumrio

Escola Superior de Redes

A metodologia da ESRxi

Sobre o curso xii

A quem se destinaxii

Organizao do livroxii

Convenes utilizadas neste livroxiii

Permisses de usoxiv

Reconhecimentosxiv

Sobre os autoresxiv

Prefcioxvi

1. Operao da rede Ip
Impacto da conexo na organizao da instituio1

Servios IP fundamentais da RNP2

Servios de trfego da RNP2

Trnsito Nacional3

Trnsito Internacional3

Trnsito Acadmico de Colaborao3

Trnsito de Peering3

Outros servios da RNP4

Servios de comunicao e colaborao6

Conferncia Web 6

fone@RNP 6

iii
Videoconferncia 8

Telepresena 8

Servios de disponibilizao de contedos digitais 9

Videoaula@RNP 9

Vdeo sob Demanda 10

Transmisso de sinal de TV 11

Transmisso de Vdeo ao Vivo 11

Servios de Gesto de Identidade 12

Comunidade Acadmica Federada (CAFe)12

eduroam12

Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu)13

Servio de Hospedagem Estratgica 13

Apoio a servios14

Consideraes de uso14

Condies de uso16

Como fazer quando o link cai16

Procedimento para checar conexo local16

Verificar condies bsicas de roteamento18

Procedimento para entrar em contato com o PoP visando abertura de chamado20

Acompanhamento dos chamados abertos20

Acompanhamento de problemas relacionados ao backbone21

Roteiro de Atividades 125

Atividade 1.1 Panorama do trfego25

Atividade 1.2 Falha de conectividade da organizao usuria25

2. Segurana na rede Ip
Centro de Atendimento a Incidentes de Segurana (CAIS)27

Como fazer quando ocorre um problema de segurana28

O que o atendimento a incidentes?28

O trabalho do CAIS29

Recomendaes Organizao Usuria30

A ajuda do CAIS30

Passos para a segurana de sua instituio30

3. Infraestrutura de rede
Conexo da organizao usuria ao PoP da RNP33

iv
Uso e especificao de switches e roteadores36

Especificao de racks37

Fontes redundantes38

Topologia da rede39

Identificao de cabos41

Infraestrutura para abrigar os equipamentos e mant-los42

Localizao e dimenses da sala42

Equipamentos de apoio42

Refrigerao43

Instalao eltrica43

Aterramento43

Espao para cabeamento e conexes43

4. Switches e roteadores
Switches L245

Switches L346

Comutao L249

Empilhamento50

Subdiviso da rede em VLANs de distribuio51

Roteadores52

Roteador de borda56

Troubleshooting bsico56

Estudo de caso59

Roteiro de Atividades 261

Atividade 2.1 Endereamento IP61

Atividade 2.2 Identificao de solues61

Atividade 2.3 Planejando VLANs62

Atividade 2.4 Distribuio das sub-redes63

5. Servios e gerenciamento da rede da instituio


Servios de rede67

DNS67

MX70

Web70

SFTP71

v
E-mail71

Repositrio de arquivos72

Firewall, DMZ e NAT73

Procedimento de solicitao de bloco IP75

Adequao do tamanho do bloco s necessidades da IFES75

DNS reverso 75

Procedimento para cadastro de reverso76

Gerenciamento da rede da instituio77

Ferramentas de monitoramento78

6. Instalao do roteador da RNP


Requisitos de instalao do roteador81

Requisitos fsicos81

Requisitos de ventilao82

Requisitos de ambiente82

Requisitos eltricos e planejamento de fora82

Manuseio de placas83

Descarga eletrosttica84

Aterramento84

Componentes bsicos do roteador J235085

Componentes bsicos do roteador J232086

7. Fundamentos de Junos
Software modular89

Separao entre planos de Controle e de Encaminhamento90

Routine Engine (RE)91

Packet Forwarding Engine92

Processamento de trfego92

Trfego de trnsito92

Trfego de exceo93

8. Opes de acesso ao Junos


A interface de usurio95

A CLI do Junos96

Modos de acesso96

Ajuda97

vi
Help Topic97

Help Reference98

Completando comandos99

Teclas de edio EMACS99

Usando o caractere pipe100

Roteiro de Atividades 3103

Atividade 3.1 Acessar o Juniper via console serial103

Atividade 3.2 Opes da interface de usurio106

Modo de operao107

Modo de configurao108

Configurao exclusiva110

Configurao privada110

Hierarquia do Modo de Configurao111

Movendo entre nveis no Modo de Configurao112

Alterando linhas da Configurao Candidata115

Ativando e desativando configuraes117

Verificando a Configurao Candidata118

Salvando a Configurao Candidata119

Checando alteraes antes de salvar122

Restaurando configuraes122

Salvando a configurao em arquivo ASCII123

Carregando arquivo de configurao124

Comando run124

Interface J-Web GUI125

Processo de login na J-Web126

Roteiro de Atividades 4131

Atividade 4.1 Opes de acesso ao Junos131

9. Configuraes do roteador
Configurao default de fbrica133

Configuraes iniciais135

Entrando no Modo de Configurao136

Definindo parmetros de acesso138

Definindo parmetros de gerncia138

Configurao de resgate139

Configurao de interface 140

Nomeando interfaces141

vii
Mltiplos endereos142

Propriedades fsicas de interfaces143

Propriedades lgicas de interfaces143

Verificando o estado das interfaces145

Roteiro de Atividades 5147

Atividade 5.1 Configurao bsica (parte 1)147

Atividade 5.2 Configurao bsica (parte 2)149

Configuraes de Usurio e Autenticao151

Ordem da autenticao151

Componentes da autenticao155

Logs do sistema158

Interpretando mensagens de log159

Investigando problemas com traceoptions160

Visualizando arquivos de log e trace162

Monitorando arquivos de log e trace162

Network Time Protocol (NTP)163

Monitorando o NTP164

Simple Network Management Protocol (SNMP)164

MIBs SNMP165

Configurando SNMP165

Monitorando a operao do SNMP167

Roteiro de Atividades 6169

Atividade 6.1 Configuraes posteriores169

10. Operao, manuteno e monitorao


Monitorando a plataforma e operando as interfaces179

Monitorando a operao geral do sistema179

Monitorando o chassi180

Verificando o estado das interfaces181

Estado das interfaces: informao extensiva182

Monitorando interfaces183

Utilitrios de rede184

Ping e Traceroute184

Monitor traffic185

Clientes de Telnet, SSH e FTP187

viii
Mantendo o Junos 188

Conveno de nomes de pacotes de Junos188

Recuperao de senha189

Instalao e upgrade do Junos190

Boas prticas de upgrade191

Roteiro de Atividades 7193

Atividade 7.1 Instalao do Junos (parte 1)193

Atividade 7.2 Instalao do Junos (parte 2)194

Atividade 7.3 Upgrade do Junos197

11. Fundamentos de roteamento


Conceitos de roteamento201

Componentes do roteamento202

Rotas diretamente conectadas203

Tabela de rotas203

Mltiplas tabelas de rotas204

Preferncia de rotas: selecionando a rota ativa204

Verificando a tabela de rotas207

Forwarding Table (FT)208

Determinando o Next Hop209

Instncias de roteamento210

Trabalhando com Instncias de Roteamento213

Roteamento esttico214

Roteiro de Atividades 8219

Atividade 8.1 Configurando rota esttica219

12. Filtros de firewall


Viso geral223

Diagrama de bloco de um filtro de firewall224

Condies Match225

Aes do filtro de firewall226

Definindo um filtro de firewall227

Filtrando trfego local229

ix
Implementando policing com filtros de firewall230

Estudo de caso: filtros de firewall234

Monitorando os resultados de um filtro237

Verificao de RPF Unicast238

Problemas com a verificao RPF239

Filtros de fail240

Roteiro de Atividades 9243

Atividade 9.1 Configurando filtro de firewall243

Atividade 9.2 Configurando polices de firewall244

13. Troubleshooting em interfaces


Desativando e desabilitando interfaces247

Exemplos de configurao de interfaces249

Troubleshooting genrico de interfaces250

Verificando erros na interface254

Monitorando interface255

Teste de loop256

Tipos de teste de loop257

Configurando testes de loop258

Protocolos L2 e testes de loop259

Ping e testes de loop260

Troubleshooting especfico de interfaces serial e ethernet262

Interfaces de LAN e conveno de nomes262

Interfaces E3263

Verificando o funcionamento fsico da porta263

Checando compatibilidade com equipamento remoto263

Verificando alarmes ativos em interfaces E3/T3264

Interfaces E1265

Alarmes e mdia E1266

Interfaces Sonet/SDH268

Monitorando interfaces Sonet/SDH268

Verificando o estado da interface Sonet/SDH269

Entendendo a rede Sonet/SDH270

Bibliografia 275

x
Escola Superior de Redes
A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP) respon-
svel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC).
A ESR nasce com a proposta de ser a formadora e disseminadora de competncias em TIC
para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e unidades
federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do corpo
funcional das organizaes usurias da RNP, para o exerccio de competncias aplicveis ao
uso eficaz e eficiente das TIC.

A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e
Governana de TI.

A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e


execuo de planos de capacitao para formao de multiplicadores para projetos edu-
cacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil
(UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).

A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas
tpicos da realidade do profissional em formao.
Os resultados obtidos nos cursos de natureza terico-prtica so otimizados, pois o
instrutor, auxiliado pelo material didtico, atua no apenas como expositor de conceitos e
informaes, mas principalmente como orientador do aluno na execuo de atividades con-
textualizadas nas situaes do cotidiano profissional.

A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema


semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise,
sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do pro-
blema, em abordagem orientada ao desenvolvimento de competncias.

Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de apren-
dizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.

xi
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das
atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atua-
o do futuro especialista que se pretende formar.

As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo


para as atividades prticas, conforme descrio a seguir:

Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos).


O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema
da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor
levanta questes sobre o contedo dos slides em vez de apenas apresent-los, convidando
a turma reflexo e participao. Isso evita que as apresentaes sejam montonas e que o
aluno se coloque em posio de passividade, o que reduziria a aprendizagem.

Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos).


Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto
no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e
oferecer explicaes complementares.

Terceira etapa: discusso das atividades realizadas (30 minutos).


O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la,
devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a
comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas,
estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem
solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.

Sobre o curso
A ESR elaborou este material com o objetivo de auxiliar na capacitao dos tcnicos das novas
instituies usurias em sua conexo ao backbone da RNP, uma vez que a configurao dos
equipamentos e da infraestrutura necessria de responsabilidade da instituio usuria.

O curso descreve a RNP, a estrutura do seu backbone, seus Pontos de Presena (PoPs),
os procedimentos de manuteno e o impacto da conexo RNP nas novas instituies
usurias. So abordados aspectos tcnicos da infraestrutura fsica, de conexo e de TI,
o uso de switches e roteadores, a infraestrutura de TI da organizao e a solicitao de
blocos IP. Ainda sero descritos em detalhes a configurao, manuseio, manuteno e pro-
blemas de interface do roteador Juniper da RNP, alm de conceitos bsicos de roteamento
e utilizao de filtros de firewall.

A quem se destina
O curso destinado aos tcnicos de suporte e gerentes de infraestrutura de TI das organiza-
es usurias da rede RNP.

Organizao do livro
O livro est organizado em partes bem definidas para facilitar o acesso ao contedo que o
leitor desejar.

O Captulo 1 apresenta a operao da RNP, os procedimentos de manuteno e o impacto


da conexo rede da RNP nas novas instituies usurias. So propostas tambm ativida-
des prticas para fixao do contedo.

xii
O Captulo 2 descreve os procedimentos de segurana, as funes e as atividades exe-
cutadas pelo Centro de Atendimento a Incidentes de Segurana (CAIS) e como tratar um
problema de segurana.

Os Captulos 3, 4 e 5 descrevem a infraestrutura de rede recomendada para as instituies


usurias, a estrutura necessria para instalar os equipamentos da RNP, os conhecimen-
tos tcnicos desejveis para a equipe de TI relativos a equipamentos, tais como switches
e roteadores e suas funcionalidades. Descrevem tambm os servios de rede local dese-
jveis, e recomendam procedimentos de gerenciamento da rede da instituio usuria.
So propostas atividades prticas e estudos de caso para fixao dos conhecimentos
tcnicos apresentados.

Os Captulos de 6 a 13 tratam especificamente do roteador da RNP, sua instalao, carac-


tersticas do sistema operacional Junos, configuraes bsicas e avanadas do roteador,
procedimentos de operao e manuteno, configurao de rotas estticas e utilizao
de filtros de firewall. Finalmente, so apresentados procedimentos bsicos de resoluo
de problemas em interfaces do roteador.

Esta ltima parte do livro vem acompanhada de atividades prticas realizadas em laboratrio
com roteadores idnticos aos que as instituies usurias recebero da RNP, permitindo que
os seus tcnicos possam tirar o maior proveito da interligao com a rede da RNP.

Todas as atividades so acompanhadas das respectivas solues, para que os tcnicos


possam, a qualquer momento, reproduzir essas atividades em seus locais de trabalho.

Convenes utilizadas neste livro


As seguintes convenes tipogrficas so usadas neste livro:

Itlico
Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.

Largura constante

Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).

Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.

Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.

Smbolo
Indica um documento como referncia complementar.

Smbolo
Indica um vdeo como referncia complementar.

Smbolo
Indica um arquivo de adio como referncia complementar.

xiii
Smbolo
Indica um aviso ou precauo a ser considerada.

Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.

Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.

Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: Batista, Gustavo. Introduo rede Ip. Rio de Janeiro: Escola Superior
de Redes, RNP, 2013.

Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br

Reconhecimentos
Esta publicao no teria sido possvel sem a colaborao da rea de Engenharia de Redes
e Operaes da RNP. Agradecemos ao Centro de Atendimento a Incidentes de Segurana
(CAIS) e a Gesto de Servios da RNP pela sua contribuio; a Juniper Networks por ter
gentilmente cedido os manuais tcnicos que foram fundamentais para a elaborao deste
contedo; a Sidney Lucena, ex-Coordenador Acadmico de Redes da ESR, que organizou
a primeira verso desse curso; e, finalmente, nosso muito obrigado a Beatriz Zoss, a Bia,
gerente de relacionamento da RNP que identificou a necessidade e props a elaborao
deste curso.

Sobre os autores
Gustavo Batista graduou-se em Engenharia de Telecomunicaes pela Universidade Fede-
ral Fluminense em 2003. Trabalhou durante 3 anos em operadora de telefonia celular com
sistemas de gerncia de rede telefnica, administrando sistemas Unix, Linux e Windows
e executando projetos de integrao de sistemas de gerncia de diferentes fabricantes
em uma plataforma nica. Trabalhou no Centro de Engenharia e Operaes da RNP (CEO)
como analista de redes. Hoje atua na rea de operaes da rede multisservios de uma
empresa nacional de porte, onde tambm participa de projetos nas reas de QoS em redes
IP e desempenho de rede.

xiv
Luiz Carlos Lobato formado em Engenharia Eletrnica pelo ITA, com ps-graduao
em Negcios e Servios de Telecomunicaes pelo CEFET-RJ. Possui certificao de redes
CiscoCCNA. Gerente da Diviso de Suporte Tcnico da Telebrs at a privatizao das tele-
comunicaes, sendo responsvel pela operao e gerncia da rede de dados do Sistema
Telebrs. Aps a privatizao atuou como Coordenador de Cursos de Tecnologia de Redes
(Graduao Superior) em diversas faculdades. colaborador da Escola Superior de Redes
desde 2008, tendo elaborado material de treinamento e lecionado diversos cursos na rea
de Redes. Atualmente Coordenador Acadmico de Redes da ESR.

xv
Prefcio
Lembro com nitidez do dia em que, juntamente com Bia Zoss e Luiz Coelho, decidimos pela
elaborao de um curso para o qual este livro se destina. Foi no ano de 2008, quando dois
grandes desafios nos foram colocados: a conexo de centenas de novos campi de universi-
dades e de institutos federais fruto da poltica de expanso do ensino do Governo Federal
e a mudana do fornecedor dos equipamentos roteadores usados para a conexo com a
Internet das nossas instituies clientes. Assim, alm de capacit-los a recepcionar o enlace
de dados da sua instituio, detectamos que seria importante tambm fazer uma apre-
sentao da prpria RNP. Nessa ocasio, a despeito de todas as dificuldades e dos riscos
envolvidos, optamos pela estratgia de ensinar a pescar.

O desafio de criar um material para dar conta dessas duas questes e ser apresentado em
um curso de 20 horas foi dado a Gustavo Batista, um ex-colaborador da RNP que, com sua
sada, alm de causar um srio desfalque na equipe, deixou o seu gestor com um zumbido
nos ouvidos que ele conserva at os dias atuais. E, conforme vocs vero, Gustavo no
decepcionou: preparou um excelente material que deve ser usado no apenas na sala de
aula, mas no dia a dia do seu trabalho. Uma isca de primeira qualidade para a sua pescaria.

Ari Frazo Jr.

Gestor de engenharia e operaes da RNP

xvi
1
Operao da rede Ip
objetivos

Orientar a instituio sobre os procedimentos adequados para se conectar ao


backbone da RNP e tratamento dos problemas de conexo.

conceitos
Impacto da conexo na organizao, servios fundamentais da RNP, consideraes de
uso, procedimentos de abertura de chamado, acompanhamento de problemas.

Impacto da conexo na organizao da instituio


Sistema autnomo 11 A organizao usuria dos servios da RNP passa a fazer parte do sistema autnomo q
Provedor de rede da RNP.
formalizado como parte
integrante da internet 11 A partir de ento, todos os pontos da internet mundial passaro a enxergar a insti-
mundial. A formalizao tuio como um cliente da RNP.
se d atravs de um
identificador chamado 11 Os endereos IP usados na rede da instituio sero cedidos pela RNP.
Autonomous System
11 Todos os equipamentos da rede local que precisarem do servio da rede Ip devero,
Number (ASN), nico em
todo o planeta. necessariamente, usar endereo IP da RNP.

22 proibido o uso dos servios da RNP sem o atendimento a esse requisito.

11 Caso a instituio deseje manter os servios de outro provedor alm da RNP, os equi-
pamentos servidos pelo outro provedor no podero usar endereos IP da RNP.

11 Da mesma forma, os equipamentos endereados com IPs cedidos pela RNP no


podero usar o servio de outro provedor sob nenhuma hiptese.

11 Assim, essas duas redes devero ser segmentadas; do contrrio, podem ocorrer
srios problemas de roteamento.

Embora o cenrio descrito seja permitido, no aconselhvel. A figura a seguir ilustra um


Captulo 1 - Operao da rede Ip

cenrio proibido:

1
Provedor
comercial RNP

LAN
organizao
usuria

Figura 1.1
Hosts com IP RNP
no podem usar
servio de outro
provedor, e vice-
Hosts com IP da RNP versa.

A figura a seguir ilustra um cenrio permitido caso se deseje manter a conexo de outro provedor
depois de se tornar cliente da RNP. O cenrio ilustrado, embora permitido, no recomendado.

Provedor RNP
comercial

Organizao
usuria

Figura 1.2
Cenrio permitido
em instituio com
dois provedores.

Hosts com IP de terceiro Hosts com IP da RNP

Servios IP fundamentais da RNP


Servios de trfego da RNP
11 As instituies primrias e secundrias podero cursar todo o seu trfego pela RNP. q
11 Elas esto aptas a utilizar em sua totalidade os servios IP fundamentais da RNP, a saber:
Introduo rede Ip

22 Trnsito Nacional.

22 Trnsito Internacional.

22 Trnsito Acadmico de Colaborao.

22 Trnsito de Peering.

A definio de cada um desses servios ilustrada a seguir.

2
Trnsito Nacional
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, q
recursos e sistemas localizados em algum ponto do pas conectado rede Ip, direta ou
indiretamente atravs de uma rede regional.

Cliente

Internet
Commodity PoP
Nacional BACKBONE

Figura 1.3
Exemplo de
Trnsito Nacional.

Trnsito Internacional
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, q
recursos e sistemas localizados em algum ponto fora do pas atravs da internet global.

Cliente

Internet
Commodity PoP
Internacional BACKBONE

Figura 1.4
Exemplo
de Trnsito
Internacional.

Trnsito Acadmico de Colaborao


definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, q
recursos e sistemas localizados em algum ponto nas redes acadmicas no Brasil e em
outros pases.

Cliente

Internet
Acadmica PoP
Internacional BACKBONE
Captulo 1 - Operao da rede Ip

Figura 1.5
Exemplo de
Trnsito Acadmico
de Colaborao.

Trnsito de Peering
definido como a facilidade de servio que permite ao cliente da RNP acessar pessoas, q
recursos e sistemas localizados em redes comerciais nacionais ou internacionais, redes
corporativas e redes federais autnomas atravs de acordos de troca de trfego estabe-
lecidos entre a rede Ip e essas redes.

3
PTT

Cliente

Empresa
Privada PoP
BACKBONE

Figura 1.6
Exemplo de
Trnsito de Peering.

A figura seguinte resume os servios fundamentais aos quais o cliente da RNP tem acesso:

Cliente B

Cliente A
RedeComep Empresa
4 Privada

PoP PTT
3 1

Rede 3
Acadmica 2 Provedor
Estadual Internet Commodity
BACKBONE
Nacional

Provedor
Internet Acadmica Internet Commodity
Internacional Internacional

Figura 1.7
Os nmeros das setas esto associados aos servios da seguinte maneira: Servios
fundamentais RNP.
11 Trnsito Nacional: seta 1;

11 Trnsito Internacional: seta 2;

11 Trnsito Acadmico: setas 3;

11 Trnsito de Peering: seta 4.

Outros servios da RNP


Introduo rede Ip

11 Servios de comunicao e colaborao: q


22 Conferncia web.

22 fone@RNP.

22 Videoconferncia.

22 Telepresena.
4
11 Servios de Disponibilizao de Contedos Digitais: q
22 Videoaula@RNP.

22 Vdeo sob Demanda.

22 Transmisso de Sinal de TV.

22 Transmisso de Vdeo ao Vivo.

11 Servios de Gesto de Identidade:

22 Comunidade Acadmica Federada (CAFe).

22 eduroam.

22 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu).

11 Servios de Hospedagem Estratgica:

22 Internet Data Center (IDC).

11 Apoio aos servios:

22 Service Desk.

Os servios disponibilizados pela RNP s suas organizaes usurias so resultados de pro-


cessos de inovao e prospeco, de acordo com as necessidades dos clientes, em atividades
de anlise de cenrios e tendncias com parceiros como a academia, o setor empresarial e as
principais redes acadmicas mundiais. Os principais benefcios dos servios da RNP so faci-
litar e promover a comunicao, a colaborao distncia e a disseminao de conhecimento.

As informaes sobre os servios disponibilizados pela RNP para suas organizaes usurias
e comunidades de clientes especiais e estratgicos encontram-se consolidadas no Catlogo
de Servios, estando os servios classificados da seguinte forma:

11 Servios de Comunicao e Colaborao:

22 Conferncia web.

22 fone@RNP.

22 Videoconferncia.

22 Telepresena.

11 Servios de Disponibilizao de Contedos Digitais:

22 Videoaula@RNP.

22 Vdeo sob Demanda.

22 Transmisso de Sinal de TV.

22 Transmisso de Vdeo ao Vivo.

11 Servios de Gesto de Identidade:

22 Comunidade Acadmica Federada (CAFe).


Captulo 1 - Operao da rede Ip

22 eduroam.

22 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu).

11 Servios de Hospedagem Estratgica:

22 Internet Data Center (IDC).

5
Servios de comunicao e colaborao
A RNP oferece aos seus clientes os seguintes servios de comunicao e colaborao: q
11 Conferncia web.

11 fone@RNP.

11 Videoconferncia.

11 Telepresena.

Conferncia Web
O objetivo principal do servio realizar reunies virtuais entre participantes remotos com a
utilizao de recursos de udio, vdeo, texto, quadro de notas, chat e imagens, alm do compar-
tilhamento da tela do computador ou de aplicativos especficos. Ele se destaca pela facilidade
de uso e mobilidade, aliada a um investimento de baixo custo para as instituies clientes.

Voltado para clientes que demandam uma soluo de menor custo para reunies virtuais,
treinamentos e palestras distncia, o servio tambm se destaca pela facilidade de uso.
Para utilizar toda a integrao e a interatividade disponibilizadas pela conferncia web,
basta um computador, celular ou tablet conectado internet, um navegador (browser) e
um conjunto de microfone e fone de ouvido, sem necessidade adicional de hardware ou
software. Alm desses recursos, o servio possui a funcionalidade de gravar reunies, que
podem ser disponibilizadas para visualizao ou baixadas para armazenamento.

Figura 1.8
Conferncia Web.

Mais informaes sobre o servio em:


Introduo rede Ip

http://portal.rnp.br/web/servicos/conferencia-web

fone@RNP
Servio que permite a interconexo VoIP (Voz sobre IP) entre diferentes organizaes. Com
isso, os clientes deste servio conseguem oferecer a seus usurios a possibilidade de rea-
lizar chamadas telefnicas gratuitas para outras instituies distantes geograficamente no
Brasil ou no exterior, dentro ou fora da rede VoIP da RNP.
6
O benefcio das ligaes gratuitas para o usurio final se estende atravs da capilaridade do
fone@RNP, com presena em todos os estados brasileiros, e das conexes VoIP com a rede
pblica de telefonia de algumas instituies clientes, o que propicia ao usurio final ligar
para um nmero telefnico comum a partir de um ramal VoIP. Destaque tambm para a
interconexo da rede VoIP da RNP com outras redes VoIP dentro e fora do pas.

Atualmente, o fone@RNP rene mais de cem instituies clientes distribudas pelo territrio
nacional, com mais de 40 organizaes que completam ligaes para a rede pblica de
telefonia. Conta tambm com acordos de troca de trfego com outras redes VoIP do governo
brasileiro e de instituies de ensino e pesquisa da Argentina, Austrlia, Blgica, Crocia,
Eslovnia, Espanha, Grcia, Holanda, Hungria, Itlia, Letnia, Litunia, Mxico, Portugal,
Srvia e Sua. Os acordos com esses pases foram possibilitados pela integrao do servio
iniciativa internacional do NreNum.net, da Terena (Associao de Redes de Educao e
Pesquisa Transeuropeia).

Alm das ligaes telefnicas gratuitas, as instituies clientes podem acessar um sistema
centralizado de estatsticas, que propicia ao gestor da infraestrutura local dispor de dados
sobre como o servio tem sido utilizado na sua instituio ou em outras que integram o
fone@RNP.

Mais informaes sobre o servio em:


http://portal.rnp.br/web/servicos/fone-rnp

Sistema de estatsticas do fone@RNP


11 O sistema de estatsticas do fone@RNP (http://estatisticasfone.rnp.br/) visa pro- q
porcionar uma viso detalhada do uso e da economia que o servio traz para suas
instituies clientes.

11 Dado o acesso aberto ao sistema, as organizaes podem obter informaes que


subsidiem decises locais relacionadas disseminao do uso institucional, com base
na demonstrao da economia obtida.

11 A adeso ao sistema feita como parte da homologao da instituio no servio.

Captulo 1 - Operao da rede Ip

Figura 1.9
Estatsticas do
fone@RNP.

7
Videoconferncia
Fornecer salas virtuais para viabilizar a realizao de videoconferncias multiponto para as
instituies clientes sem que estas precisem arcar com o nus de adquirir uma soluo local
para isso.

O servio tambm oferece recursos de gravao, streaming e integrao com sistemas de


videoconferncia que utilizem ISDN, alm de alta definio (Hd) e novas funcionalidades
que podem surgir em decorrncia de melhorias e investimentos contnuos na ampliao da
infraestrutura da videoconferncia.

Figura 1.10
Videoconferncia.

Mais informaes sobre o servio em:


http://portal.rnp.br/web/servicos/videoconferencia

Telepresena
Participantes em diferentes locais interagindo como se estivessem frente a frente na mesma
mesa de reunio; essa experincia imersiva a proposta do servio de telepresena. Verda-
deiro estado da arte na tecnologia de videoconferncia, o servio oferece recursos tecno-
lgicos de ponta em salas fsicas planejadas e ambientadas especificamente para ampliar a
sensao de realismo na colaborao entre participantes remotos.

Com udio e vdeo de alta qualidade, atualmente so oferecidas aos clientes do servio seis
salas, distribudas por cinco estados do pas. Cada uma delas est equipada com cmeras
de alta definio posicionadas para a melhor cobertura do espao assim que o sistema for
iniciado, sem que os participantes precisem se preocupar com os ajustes dos equipamentos
durante as reunies.

A telepresena pode ser usada de forma integrada com outros servios da RNP, como a vide-
oconferncia e o fone@RNP, e tambm pode ser realizada por meio da conexo entre duas
Introduo rede Ip

salas (ponto a ponto) ou mais ambientes (multiponto).

8
Figura 1.11
Telepresena.

Mais informaes sobre o servio em:


http://portal.rnp.br/web/servicos/telepresenca1

Servios de disponibilizao de contedos digitais


11 Videoaula@RNP. q
11 Vdeo sob Demanda.

11 Transmisso de Sinal de TV.

11 Transmisso de Vdeo ao Vivo.

A RNP oferece aos seus clientes os servios descritos a seguir, voltados para a disponibilizao
de contedos digitais.

Videoaula@RNP
Servio integrado para elaborao, armazenamento e disponibilizao pela web de videoaulas
produzidas pelas instituies clientes. Tais organizaes passam a ter, por meio desse
servio, um meio para acesso e armazenamento de um amplo e interessante material didtico
formado por mltiplas mdias (vdeo, udio, animaes, roteiro e arquivos de apoio), que
pode ser utilizado como apoio ao ensino distncia ou presencial.

O upload das videoaulas digitais feito em um sistema com redundncia e alta disponibilidade,
resultando em um acesso rpido e fcil a partir de um simples navegador (browser).
Captulo 1 - Operao da rede Ip

9
Figura 1.12
Videoaula@RNP.

Mais informaes sobre o servio em:


http://portal.rnp.br/web/servicos/videoaula-rnp

Vdeo sob Demanda


Vdeo Sob Demanda o ambiente para disponibilizao e armazenamento de contedo
audiovisual, a partir de um portal web (video.rnp.br) que contm vdeos pblicos ou res-
tritos, que podem ser postados por integrantes das organizaes clientes da RNP e assis-
tidos potencialmente por qualquer usurio da internet.

Mais do que um portal para upload e visualizao de vdeos com interface amigvel, e infra-
estrutura de servidores distribudos que otimiza o acesso e a distribuio do seu contedo
pelo territrio nacional, este servio se diferencia dos outros portais de vdeo da internet
pela procedncia do material disponvel. Afinal, o contedo oferecido pela comunidade
brasileira de ensino e pesquisa e pelas demais organizaes vinculadas aos ministrios e ins-
tituies com os quais a RNP desenvolve parcerias.

Beneficia-se tambm da rede de vdeo digital (RVD), uma rede de disponibilizao de conte-
dos (CDN) estruturada a partir de equipamentos, denominados refletores, distribudos por
27 Pontos de Presena (PoPs) interligados pela rede Ip. Os refletores permitem que os vdeos
solicitados fiquem temporariamente armazenados, agilizando o acesso regional ao contedo.
Introduo rede Ip

10
Figura 1.13 Mais informaes sobre o servio em:
Vdeo sob http://portal.rnp.br/web/servicos/video-sob-demanda
demanda.

Transmisso de sinal de TV
Transmisso, pela internet, do sinal de emissoras de TV a partir de uma infraestrutura de
servidores distribudos em todos os estados brasileiros. As principais vantagens so a eco-
nomia de banda e a reduo do tempo de acesso, j que o cliente no precisa de equipa-
mentos de grande porte para suportar um elevado nmero de pedidos.

Este servio disponibiliza, para a internet, o sinal de TV de emissoras que tm participao


ou parceria com a RNP e uma programao relevante comunidade acadmica, como TV
escola, TV Brasil e Canal Sade, dentre outras.

Mais informaes sobre este servio esto disponveis em:


http://portal.rnp.br/web/servicos/transmissao-de-sinal-de-tv

Transmisso de Vdeo ao Vivo


O objetivo do servio de transmisso de vdeo ao vivo prover uma infraestrutura de ser-
vidores distribudos ao longo de todo o territrio nacional, para propiciar uma distribuio
on-line e otimizada de vdeos para as instituies clientes. Com isso, os clientes que desejam
transmitir ao vivo um evento realizado em sua organizao no precisam ter um servidor
robusto ou uma grande capacidade de banda para dar conta dos inmeros acessos simul-
tneos de usurios e espectadores. A otimizao realizada atravs de uma conexo desse
servidor local com a rede de vdeo digital (RVD), infraestrutura que distribui o vdeo para
Captulo 1 - Operao da rede Ip

todo o territrio nacional conforme a demanda de acesso dos usurios.

Mais informaes sobre o servio em:


http://portal.rnp.br/web/servicos/transmissoes-de-video-ao-vivo

11
Servios de Gesto de Identidade
A RNP oferece aos seus clientes os seguintes servios para a gesto de identidade: q
11 Comunidade Acadmica Federada (CAFe).

11 eduroam.

11 Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu).

Comunidade Acadmica Federada (CAFe)


A comunidade acadmica federada (CAFe) rene instituies de ensino e pesquisa brasi-
leiras que podem atuar como provedores de identidade (responsveis pela autenticao das
informaes dos usurios) e de servio (oferta de recursos e ferramentas).

Com isso, a CAFe propicia que os usurios acessem diferentes servios da rede utilizando o
login e a senha que possuem na instituio de origem. Alm disso, devido s exigncias do
processo de adeso ao servio, as instituies clientes da CAFe passam a desfrutar tambm
da vantagem de propiciar acesso facilitado aos servios locais atravs de um login nico
(single sign on) para seus usurios.

Alm de atender a um nmero crescente de instituies de ensino e pesquisa brasileiras, a CAFe


faz parte de iniciativas internacionais, como a REFEDS (Research and Education Federations),
gerenciada pela Terena, que articula as necessidades de federaes de identidade para edu-
cao e pesquisa em todo o mundo; e o servio edugain, da Gant, que rene em uma rede
de confiana outras federaes anlogas CAFe espalhadas por todo o mundo, alm de um
nmero significativo de servios oferecidos a essas federaes, que podem ser potencial-
mente compartilhados na CAFe.

Mais informaes sobre o servio em:


http://portal.rnp.br/web/servicos/cafe

Figura 1.14
CAFe.
Introduo rede Ip

eduroam
O eduroam (education roaming) um servio de acesso sem fio seguro, desenvolvido para
a comunidade internacional de educao e pesquisa. A iniciativa permite que estudantes,
pesquisadores e equipes das instituies participantes obtenham conectividade internet,
atravs de conexo sem fio (Wi-Fi) dentro de seus campi e em qualquer localidade que
oferea esta facilidade como provedora de servio.

12
Lanada no Brasil em 2012, a iniciativa internacional j rene instituies de aproximada-
mente 60 pases, unindo diversos usurios na troca de experincias e conhecimento de
forma simples, rpida e segura a partir da internet.

O eduroam oferece acesso seguro e sem fio internet para estudantes e pesquisadores
nas universidades cadastradas, sem necessidade de mltiplos logins e senhas. Aps efetuar
o registro na base do servio, seguido da configurao do computador do usurio para
conexo com a rede, possvel acessar a web em qualquer provedor de servio do mundo.

Mais detalhes sobre a adeso ao servio e sua utilizao em:


http://portal.rnp.br/web/servicos/eduroam

Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPEdu)


A Infraestrutura de Chaves Pblicas para Ensino e Pesquisa (ICPedu) consiste na implan-
tao de uma estrutura para criao de certificados digitais e chaves de segurana aplicados
em autenticao, assinatura digital e sigilo dentro do ambiente das instituies federais de
ensino superior (IFES), Unidades de Pesquisa (UPs) e demais instituies de ensino.

Assim, as instituies clientes podem emitir gratuitamente os prprios certificados digitais,


que funcionam como assinaturas eletrnicas para pessoas e servios. Consequentemente,
passam a ter mais credibilidade em seus processos administrativos, alm de ganhar em efi-
cincia, economizando tempo e recursos financeiros e garantindo a identidade do portador
de documentos eletrnicos especficos utilizados nesses processos.

Mais detalhes sobre o servio em:


http://portal.rnp.br/web/servicos/icpedu

Figura 1.15
ICPEdu.

Servio de Hospedagem Estratgica


Servio da RNP planejado para fornecer um alto nvel de infraestrutura e gerenciamento
de ambiente de tecnologia da informao e comunicao, atendendo a demanda do cliente
com garantia de alta disponibilidade, segurana e operao ininterrupta.

O IDC garante monitoramento de banda por usurio, relatrios via web em tempo real e
Captulo 1 - Operao da rede Ip

contato permanente com a equipe especializada do centro de operaes. Alm disso, quin-
zenalmente, o Centro de Atendimento a Incidentes de Segurana (CAIS) envia uma anlise
detalhada que indica eventuais correes de segurana necessrias.

A RNP oferece toda a infraestrutura fsica, eltrica e lgica para abrigar as mquinas,
abrindo uma porta de acesso rede ip. O IDC ocupa um espao com controle de acesso,
vigilncia com cmeras, climatizao ininterrupta, redundncia e sistemas de segurana,
deteco e combate a incndios. Encontra-se estrategicamente localizado em Braslia (DF),
abrigando em suas instalaes o Ponto de Presena da RNP no Distrito Federal (PoP-DF),
diretamente conectado ao backbone de educao e pesquisa multigigabit da rede Ip.

13
Mais detalhes sobre o Internet Data Center da RNP podem obtidos em:
http://portal.rnp.br/web/servicos/internet-data-center

Apoio a servios
O Service Desk tem como objetivo principal o atendimento de primeiro nvel aos servios
da RNP, ou seja, o atendimento aos clientes que desejam aderir, agendar, reclamar ou
demandar o uso dos servios oferecidos pela RNP s suas instituies usurias.

O Service Desk no tem a finalidade de substituir o suporte local das instituies clientes,
que continua sendo fornecido pelas equipes de suporte local ou pelo responsvel tcnico
do servio. A atuao do Service Desk comea, portanto, quando estes grupos locais ou
pessoas autorizadas precisam demandar ou reclamar dos servios ofertados pela RNP.

Assim, o escopo de ao do Service Desk est circunscrito ao suporte remoto dos clientes
da RNP, ou seja, quelas instituies usurias qualificadas para fazer uso dos seus servios e
que possuem uma estrutura de suporte local para seus usurios finais. Alm disso, o Service
Desk realiza atividades proativas relacionadas ao monitoramento do uso dos servios,
gerando estatsticas para fins gerenciais e de prestao de contas aos clientes.

Mais detalhes sobre a atuao do Service Desk em:


http://portal.rnp.br/web/servicos/service-desk

Consideraes de uso
A rede Ip um dos sistemas autnomos (ASs) que compem a internet, operando sob o
nmero de sistema autnomo 1916. Trata-se de uma infraestrutura de rede formada por um
conjunto de equipamentos e enlaces de dados sob a administrao de uma mesma enti-
dade. Essa infraestrutura possui um Autonomous System Number (ASN) que a identifica e a
formaliza como uma unidade que compe a Internet Global.

11 A infraestrutura da rede Ip permitir atender s aplicaes de ensino superior e q


pesquisa de forma eficiente.

11 Quando necessrio, sero usados mecanismos de segregao de trfego ou reserva


de banda para priorizar as aplicaes de ensino superior e pesquisa diante das
demais aplicaes em curso na rede.

11 As organizaes usurias j devidamente qualificadas pelo CG-RNP podem se


conectar RNP apenas atravs de um PoP, direta ou indiretamente (via rede acad-
mica regional ou Redecomep).

Instituies usurias classificadas como temporrias somente podero cursar na rede o trfego
referente ao projeto executado em parceria com uma instituio primria ou secundria.

Caso a instituio possua campi ou filiais remotos, a conexo rede Ip desses atores q
poder ocorrer de duas maneiras:

11 Conexo fsica e lgica das filiais rede Ip se d diretamente via PoP RNP.
Introduo rede Ip

11 Conexo fsica das filiais via PoP, mas a conexo lgica com a sede.

14
As duas categorias de conexo so exibidas nas figuras seguintes:

Figura 1.16
Conexo da filial
diretamente com
o PoP.

A figura anterior exibe a primeira forma de se conectar uma filial RNP. Nesse modelo a filial
tratada como se fosse outro cliente. As setas exibem o trfego trocado entre a filial e a
rede Ip.

Figura 1.17
Conexo lgica da
filial com a sede.

A figura anterior exibe a segunda forma de se conectar uma filial RNP. As setas cinzas
exibem o trfego saindo da filial para a rede Ip. As setas pretas mostram o trfego gerado
na rede Ip com destino filial.

11 Nesse modelo, a filial conectada fisicamente ao PoP, mas uma conexo lgica q
construda de modo que todo o trfego da filial seja forado a passar pela sede.

11 Essa categoria de conexo adequada quando se deseja que a filial esteja submetida
Captulo 1 - Operao da rede Ip

s mesmas polticas de roteamento e de segurana da sede, mas a filial no tem os


equipamentos necessrios para a aplicao dessas polticas (firewalls, web sense etc.).

Existem vrias tecnologias que podero ser usadas para implementar esse tipo de conexo
lgica (Tnel GRE, tnel IPSec, roteamento esttico etc.).

importante frisar que essa categoria de conexo aumenta a carga do enlace de dados da
instituio-sede com a RNP.

15
Condies de uso
Na execuo de suas atividades de ensino e pesquisa, as organizaes usurias podem usar
os servios fundamentais de trnsito nacional, internacional, acadmico e de peering, bem
como os servios avanados, que sero descritos no decorrer do curso.

O uso desses servios no ser permitido nas seguintes condies: q


11 Transmisso de materiais considerados ilegais por caracterizarem:

22 Transgresso de direitos autorais.

22 Agresso criana e ao meio ambiente.

22 Atentado privacidade ou discriminao racial ou religiosa.

22 Disseminao de propaganda comercial, poltica ou religiosa.

22 Transmisso de material de propaganda no solicitado pelo destinatrio (spam).

22 Atividades estritamente comerciais.

22 Atividades que contribuam para o esgotamento excessivo dos recursos da rede,


sejam computacionais, comunicacionais ou humanas.

22 Promoo de corrupo ou destruio de dados de usurios.

22 Atividades prejudiciais utilizao dos servios de rede por outros usurios.

22 Interligao ou abrigo em seu espao de endereamento de uma terceira insti-


tuio, no qualificada para usar servios da RNP.

Figura 1.18
Interligao
proibida de
instituio no
qualificada.

Como fazer quando o link cai


Procedimento para checar conexo local
Ao perceber perda de servio e/ou reclamaes de usurios, o primeiro passo verificar a
Introduo rede Ip

conexo com a RNP. Este tpico exibe algumas aes sugeridas para checar a conexo local
antes de acionamento do PoP da RNP. A execuo das aes que sero sugeridas facilitar as
aes do PoP, caso este seja acionado.

Alm das sugestes descritas importante que o contato tcnico da instituio verifique
junto ao seu PoP as aes que aquele ator recomenda. Cada PoP dispe de diferentes
recursos para prover essa verificao.

16
Figura 1.19
Interligao tpica
entre organizao
usuria e Pop.

A figura anterior mostra uma conexo tpica entre a organizao usuria e o PoP.

Podemos chamar as interfaces de onde saem as setas de:

11 Uplink da organizao usuria (seta na parte inferior da figura);

Telnet 11 Downlink da organizao usuria (seta na parte superior da figura).

q
Protocolo da camada de
aplicao que permite a Em geral essas duas interfaces fazem parte de uma sub-rede IP com dois endereos
um usurio iniciar uma
(rede /30).
sesso remota em um
equipamento de rede ou
Um dos endereos associado ao downlink e o outro associado ao uplink.

q
qualquer mquina que
possua um servidor do
11 O primeiro procedimento a ser executado para verificao da sade da conexo local
servio Telnet. Atravs
da sesso possvel a verificao do estado do roteador Juniper da instituio e da interface de uplink.
enviar comandos ao
11 Para tal deve-se proceder com as seguintes verificaes:
equipamento.
22 Verificar se o roteador est ligado e operacional.
Porta console 22 Se o roteador estiver desligado e no for possvel reativ-lo atravs do boto
Interface de equipa- Power, deve-se abrir um chamado no PoP.
mento de rede atravs
da qual possvel 22 Verificar as condies gerais de hardware, software e interfaces de produo
conectar um PC ou (uplink e de LAN).
notebook e, utilizando
Captulo 1 - Operao da rede Ip

aplicao adequada, Estando o equipamento ligado, pode estar ocorrendo uma falha no sistema operacional, em
iniciar uma sesso local
no equipamento. Atravs
componente de software ou hardware, a qual promove a perda do servio de roteamento.
da sesso possvel
enviar comandos ao
11 Nesse caso, pode-se conectar ao roteador (atravs de telnet para o IP da interface q
equipamento. LAN ou de porta console) e verificar as mensagens de erro com o comando
show log messages.

11 H algum erro explcito de hardware e/ou software? Deve-se abrir um chamado no


PoP detalhando o ocorrido.

11 Deve-se verificar as condies operacionais das interfaces de uplink e de LAN do roteador.

22 Isso pode ser feito no equipamento Juniper com o comando show interfaces terse.

17
user@Merlot> show interfaces terse

Interface Admin Link Proto Local

fe-0/0/0 up up

fe-0/0/0.100 up up ccc

fe-0/0/0.200 up up ccc

fe-0/0/1 up up

fe-0/0/1.0 up up inet 10.0.31.1/24

fe-0/0/2 up down

fe-0/0/3 up down

11 As interfaces de produo devem estar no estado up up. q


11 Se a interface de uplink no estiver no estado up up, deve-se abrir um chamado no
PoP, detalhando o fato.

11 Nesse caso, pode-se passar tambm alguma mensagem de erro explcita que tenha
sido percebida ao se executar o show log messages.

11 Se a interface de uplink est no estado up up mas a interface de LAN no est,


deve-se verificar o estado do equipamento de distribuio de rede que se conecta a
essa interface.

11 Nesse caso no h ao do PoP. A atividade corretiva de responsabilidade da insti-


tuio usuria.

Verificar condies bsicas de roteamento


Se a anlise mostrar todas as interfaces de produo no estado correto e nenhuma falha em
componentes de hardware e software do roteador, deve-se analisar as condies bsicas de
roteamento. Normalmente, a interface de uplink da instituio se conecta ao PoP atravs de
uma rede IP de dois endereos (rede /30), onde um endereo do PoP e o outro da interface
de uplink.

11 Um teste bsico de roteamento consiste em executar o comando ping alterando o q


IP de origem para o endereo de LAN do roteador.

11 Com esse procedimento possvel testar se o roteador do PoP ainda sabe rotear
pacotes para a rede da organizao usuria.

As figuras a seguir exibem a diferena de um ping simples para o ping com IP de origem
alterado.

Comando ping simples: q


11 No Juniper, faz-se simplesmente ping <IP Destino>.
Introduo rede Ip

18
Figura 1.20
Ping simples no
Juniper: comando
ping 10.1.1.1.

Comando ping endereado pela LAN: q


11 No Juniper, faz-se ping <IP Destino> from <IP LAN>.

Captulo 1 - Operao da rede Ip

Figura 1.21
Ping com origem
na LAN no Juniper:
comando ping
10.1.1.1 from
192.168.1.1.

19
Se o equipamento do PoP responder corretamente, fica caracterizado o bom funcionamento
do roteamento entre PoP e organizao usuria. Nesse caso, pode existir um problema no
backbone da RNP. Deve-se, ento, abrir um chamado no PoP, repassando o resultado do
teste de ping executado.

Procedimento para entrar em contato com o PoP visando abertura de chamado


Todos os testes do tpico anterior foram citados para agilizar o trabalho de suporte da
equipe tcnica do PoP. No entanto, no foi explicitado como fazer o acionamento ao PoP.

11 Um chamado no PoP pode ser aberto de trs maneiras: q


22 Via e-mail.

22 Via trouble-ticket (boa parte dos PoPs j suportam essa modalidade de aciona-
mento).

22 Via telefone.

11 Em casos graves (indisponibilidade total de servio ou grande problema repentino de


performance) recomendado que o acionamento se d por telefone, para o nmero
de suporte disponibilizado pelo PoP.

22 Nesses casos, deve-se informar ao profissional do PoP todos os testes j execu-


tados.

22 esperado que o profissional do PoP registre o problema e inicie a sua investi-


gao.

11 Em casos menos graves pode-se abrir o chamado por e-mail.

22 Alguns PoPs disponibilizam o sistema de trouble-ticket, atravs do qual se envia


um e-mail para um endereo eletrnico definido pelo PoP e, em seguida, se recebe
o nmero do chamado aberto por e-mail automaticamente.

Outros PoPs ainda no disponibilizam esse sistema. Nesse caso, envia-se o e-mail repor-
tando a falha e os testes executados para o endereo eletrnico disponibilizado pelo PoP.
O registro do chamado executado manualmente pelo PoP a posteriori.

importante que esse acionamento seja executado pelo contato tcnico da instituio, ou
pelo profissional a quem essa tarefa especfica foi delegada. Caso a tarefa tenha sido dele-
gada, importante que a pessoa que far o acionamento tambm conhea a infraestrutura
de rede da instituio. Caso seja necessrio acionar uma operadora de telecomunicaes,
essa ao ser feita pelo PoP da RNP.

Acompanhamento dos chamados abertos


11 O acompanhamento dos chamados se d atravs do contato com a equipe tcnica do q
PoP, via nmero de telefone disponibilizado pelo PoP (em casos graves) ou via e-mail.

11 Em casos de acionamento de operadoras, o PoP contatar os representantes daquele


rgo periodicamente e manter a instituio informada de toda e qualquer novidade.
Introduo rede Ip

11 recomendvel que a prpria instituio entre em contato com o PoP para cobrar
uma posio da operadora sempre que for necessrio obter informaes mais deta-
lhadas sobre o caso.

20
Acompanhamento de problemas relacionados ao backbone
11 Se a conexo local est funcionando, mas ocorre falha no uso do servio, provvel q
que a falha esteja fora da alada do PoP da RNP.

11 Nesses casos, o PoP entra em contato com a equipe de operaes da GO/RNP e


mantm contato permanente at a soluo do caso.

11 A GO/RNP a entidade responsvel pela manuteno da rede Ip.

A instituio usuria pode, sempre que precisar, solicitar ao PoP as ltimas informaes
sobre o diagnstico e a soluo do problema.

11 A GO disponibiliza na web page da RNP o Panorama do Trfego. q


11 Esta ferramenta informa, entre outras coisas, a sade dos enlaces do backbone da RNP.

11 Este recurso est disponvel, on-line, a qualquer hora.

11 O Panorama do Trfego:

22 Mostra o nvel de utilizao de todos os enlaces de dados que compem o backbone.

22 atualizado a cada cinco minutos.

11 Os enlaces possuem as seguintes situaes:

22 ADEQUADO (nvel de utilizao adequado).

22 ACIMA (nvel de utilizao acima do adequado, mas ainda no saturado).

22 SATURADO (enlace de dados com excesso de uso. J atingiu a saturao).

22 INDISPONVEL (enlace de dados indisponvel no momento).

A figura seguinte mostra uma foto da ferramenta:

Captulo 1 - Operao da rede Ip

Figura 1.22 No momento em que a ferramenta foi acessada, quando se extraiu a imagem acima, o
Panorama do enlace de dados que liga os PoPs do Cear (CE) e Maranho (MA) estava indisponvel.
Trfego da rede Ip.

21
Pelo desenho da rede possvel verificar que essa falha no acarreta perda de servio, pois
o enlace defeituoso parte de um anel que ainda conta com outros enlaces. Os clientes da
RNP do Maranho ainda conseguem acessar o PoP do Cear fazendo o caminho:

MA->PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE

No entanto, essa falha pode justificar um aumento na latncia de determinadas aplicaes. Latncia
Por exemplo, uma instituio cliente do PoP do Par (PA) que possui uma aplicao que Tempo passado desde
a sada de um pacote
consulta uma base de dados em uma instituio parceira que est conectada ao PoP-CE
de dados de sua origem
normalmente percorre o caminho: at a chegada em seu
destino.
PA->MA->CE

Com a falha do link da figura, o caminho ser:

PA->PI->PE->PB(CGE)->PB(JPA)->RN->CE

Apesar de a largura de banda em todos esses enlaces ser alta, as aplicaes vo perceber um
inevitvel aumento de latncia. Se esse for um parmetro crtico para o funcionamento de uma
aplicao, impactos podem ser percebidos. Outra informao til do Panorama do Trfego que
pode ajudar no entendimento de problemas o nvel de uso dos enlaces de dados.

Por exemplo: na Figura 1.23 percebe-se que o enlace de dados que atende ao PoP-AP est
amarelo. Ao posicionar o cursor no link daquele PoP verifica-se o volume do trfego no
enlace, vide a figura seguinte:

A Figura 1.23 mostra que, em alguns horrios, o trfego entrante no Amap chega a 51,14 Figura 1.23
Introduo rede Ip

Mbps, que corresponde a 75,20% da capacidade total desse enlace. Embora esse fato justi- Panorama do
trfego: trfego de
fique bem alguma percepo de lentido por parte de uma instituio atendida pelo PoP-AP, enlace de dados.
ele pode indicar ateno, pois um maior uso do canal poder rapidamente deteriorar a
qualidade da comunicao de todos os clientes desse PoP.

22
O Panorama do Trfego constitui, portanto, uma ferramenta til de acompanhamento no
s de problemas do backbone, como da evoluo natural do trfego de um PoP de interesse.
A consulta a essa ferramenta complementa as informaes sobre falhas de backbone que
podem ser obtidas diretamente com o PoP.

Captulo 1 - Operao da rede Ip

23
24
Introduo rede Ip
Roteiro de Atividades 1
Atividade 1.1 Panorama do trfego
Uma organizao usuria comeou a perceber certa lentido no acesso a um determinado
site da internet. Proativamente, o administrador da rede resolveu acessar a ferramenta
Panorama do Trfego, disponvel em http://www.rnp.br/ceo/trafego/panorama.php.
Ao faz-lo, o administrador concluiu que o problema, no momento, provavelmente afeta
tambm outros clientes. Resolveu ento ligar para o PoP da RNP para verificar se algo pode
ser feito.

A figura seguinte retrata o panorama que foi visto pelo administrador de rede no momento
de seu acesso. Considerada a figura, onde deve estar localizado o site com o qual o cliente
quer se comunicar?

Figura 1.24
Panorama da
Atividade 1.1.

Atividade 1.2 Falha de conectividade da organizao usuria


O administrador de rede da organizao usuria recebeu vrias reclamaes dando conta
Captulo 1 - Roteiro de atividade 1

que a conexo com a internet estaria indisponvel. A partir desse evento, a RNP recomenda
uma metodologia de troubleshooting preliminar, a fim de facilitar a atuao do PoP/RNP,
quando solicitado.

Cite a ordem recomendada para as aes abaixo e, quando houver necessidade de executar
algum comando, cite os comandos que devem ser usados.

25
Aes:

( ) Executar um ping para o roteador do PoP utilizando IP origem da LAN, para testar se h
falha de roteamento na comunicao PoP-Organizao.

Ordem:

Comandos:

( ) Verificar se o roteador da organizao est ligado e operacional.

Ordem:

Comandos:

( ) Verificar as condies gerais de hardware, software e interfaces de produo no roteador


da organizao com os comandos show log messages e show interfaces terse.

Ordem:

Comandos:
Introduo rede Ip

26
2
Segurana na rede Ip
objetivos

Orientar a instituio sobre os procedimentos adequados para tratar os incidentes


de segurana e como se relacionar com o CAIS.

conceitos
CAIS, servios do CAIS, segurana.

Centro de Atendimento a Incidentes de Segurana (CAIS)


11 Compreende uma equipe tcnica fortemente qualificada na rea de segurana de redes. q
11 Nacional e internacionalmente reconhecido por sua atuao na deteco, resoluo e
preveno de incidentes de segurana.

11 Elabora, promove e dissemina prticas de segurana em redes.

11 Participa largamente de organismos internacionais na rea de segurana.

11 Interage com equipes de resposta a incidentes de segurana de diversos pases.

22 Essas equipes so conhecidas pela sigla CSIRT (Computer Security Incident


Response Team).

22 No Brasil, vrias instituies acadmicas j contam com seu prprio CSIRT.

11 Na rea internacional, o CAIS ainda coordena o grupo de trabalho de segurana da


rede acadmica CLARA.

11 No Brasil, presta diversos servios comunidade acadmica.

11 Organiza o Dia Internacional de Segurana em Informtica (DISI).

O Centro de Atendimento a Incidentes de Segurana da RNP foi criado em 1997. Hoje o CAIS
compreende uma equipe tcnica com notvel reputao na rea de segurana de redes,
equipe que se reporta Diretoria de Servios e Solues (DSS) da RNP.
Captulo 2 - Segurana na rede Ip

O CAIS internacionalmente reconhecido por sua atuao na deteco, resoluo e pre-


veno de incidentes de segurana na rede acadmica brasileira e por sua forte presena na
Amrica Latina, promovendo a cultura de segurana. O CAIS elabora, promove e dissemina
prticas de segurana em redes.

Entre os rgos internacionais que contam com a participao do CAIS esto o Forum of
Incident Response and Security Teams (FIRST www.first.org) e o Anti-Phishing Working
Group (APGW www.antiphishing.org).

27
O contato com diversas instituies internacionais permite ao CAIS interagir com equipes
de resposta a incidentes de segurana de diversos pases e setores. Essas equipes so
conhecidas como Computer Security Incident Response Team (CSIRT). No Brasil, o CAIS
presta servios comunidade acadmica e organiza anualmente o Dia Internacional de
Segurana em Informtica (DISI), evento voltado para a conscientizao do usurio final no
uso da internet e outros ambientes.

Os servios tpicos prestados pelo CAIS se materializam em:

11 Tratamento de incidentes. q
11 Disseminao da cultura de segurana.

11 Infraestrutura de segurana.

11 Gesto de segurana da informao.

11 O CAIS trata incidentes de segurana que envolvam o backbone da RNP, trocando


informaes com os PoPs, CSIRTs no Brasil e provedores de servio.

11 Incidentes podem ser comunicados ao CAIS atravs do e-mail: cais@cais.rnp.br.

Como fazer quando ocorre um problema de segurana


A RNP atua na resoluo, deteco e preveno de incidentes de segurana. Normalmente
um incidente de segurana objetiva:

11 Destruio, corrupo ou roubo de dados. q


11 Reduo de performance ou indisponibilidade da rede de uma instituio.

11 Ao se deparar com um ataque que produza impactos imediatos, como indisponibi-


lidade ou lentido de servio, a instituio dever contatar imediatamente o PoP,
descrevendo os sintomas experimentados.

11 Os PoPs e a gerncia de operaes da RNP possuem ferramental adequado para


caracterizar o tipo de ataque ocorrido.

11 A partir do ataque reportado, a gerncia de operaes da RNP e o PoP atuaro juntos


na sua investigao.

11 O PoP manter contato com a instituio. Uma vez sanado ou atenuado o ataque, o
evento ser reportado ao CAIS, que investigar suas caractersticas e poder gerar
aes recomendadas para evitar um novo ataque.

11 Caso o ataque identificado no gere impacto imediato (ou j tenha sido sanado), a
instituio dever report-lo diretamente ao CAIS, atravs do servio de atendimento
a incidentes de segurana.

Para contatos de emergncia com a equipe do CAIS/RNP:

11 Telefone: (61) 3243-4400 a ligao pode ser feita inclusive fora do horrio comercial.

Contatos no emergenciais podem ser feitos via e-mail: cais@cais.rnp.br, ou atravs de um for-
mulrio especfico disponvel no portal do CAIS em: http://www.rnp.br/cais/atendimento.html
Introduo rede Ip

O que o atendimento a incidentes?


11 um servio oferecido pelo CAIS s instituies usurias, que auxilia na identificao, q
notificao e soluo de problemas em sistemas computacionais que atinjam as
instituies, ou mesmo a RNP.

28
11 Qualquer incidente de segurana pode ser reportado ao CAIS. q
11 Por incidente de segurana entenda-se qualquer evento que promova a quebra da
poltica de uso da RNP.

11 A poltica estabelece que as organizaes usurias da RNP, para a promoo de suas


atividades de ensino e pesquisa, podem:

22 Utilizar os servios de rede disponveis, suas facilidades de trnsito nacional


e internacional.

22 Usufruir de acordos de interconexo existentes entre a RNP e outras redes. Exceto


quando esse uso se reflete em:

1. Produo ou transmisso de dados ou materiais considerados ilegais, entre


outros, por caracterizarem: transgresso dos direitos do autor, de proteo
criana e ao meio ambiente, atentado privacidade ou promoo discrimi-
nao racial ou religiosa.

2. Veiculao de propaganda comercial, poltica ou religiosa.

3. Transmisso de mensagens ou material de propaganda no solicitado pelo


destinatrio.

4. Uso em atividades estritamente comerciais.

5. Atividades que contribuam para a ineficincia ou esgotamento dos recursos na


rede, sejam eles computacionais, comunicacionais ou humanos.

6. Atividades que promovam a corrupo ou destruio de dados de usurios.

7. Atividades que interrompam ou prejudiquem a utilizao dos servios de rede


por outros usurios.

8. Interligao ou abrigo em seu espao de endereamento de uma terceira insti-


tuio sem qualificao obtida atravs desta Poltica de Uso.

Um evento que fere os itens 3 ou 7 no configura um incidente de segurana. Um evento


que fere quaisquer dos outros itens da poltica dado como um incidente de segurana.

11 Caso ocorram incidentes de segurana dentro da instituio, ela deve se preocupar em q


corrigir o problema, sob pena de deixar de usufruir dos servios de rede disponveis.

11 Algumas consequncias indiretas tambm podem ocorrer, como:

22 Bloqueio, por parte de terceiros, da entrega de e-mails enviados a partir


da instituio.

22 Enquadramento em leis internacionais de proteo propriedade intelectual.

22 Comprometimento da imagem da instituio ou mesmo da RNP.

O trabalho do CAIS
Captulo 2 - Segurana na rede Ip

11 Os incidentes de segurana mais comuns tratados pelo CAIS so: q


22 Envio de mensagens de e-mail no solicitadas (spam).

22 Ataques a sistemas (procura por vulnerabilidades e invaso).

22 Golpes de fraudes bancrias, cartes de crdito (phishing).

22 Troca de pginas web.

22 Download de material protegido por copyright (P2P e outros).

22 Disseminao de malware.

29
11 Os incidentes de segurana mais srios (e menos frequentes) tratados pelo CAIS so: q
22 Pedofilia.

22 Difamao.

22 Solicitaes judiciais.

Recomendaes Organizao Usuria


11 A organizao usuria tambm tem seu papel no tratamento dos incidentes de segurana. q
11 recomendado que a instituio mantenha uma equipe ou profissional responsvel
pela segurana de suas redes e sistemas.

11 Caber a essa entidade investigar as ocorrncias registradas em sua instituio e


corrigir os problemas de segurana em sua alada.

11 recomendado que essa entidade notifique o CAIS em relao aos ataques rece-
bidos, bem como os responsveis pelas redes atacantes, solicitando providncias
(nesse caso, sempre copiando o CAIS nas mensagens).

11 A equipe/profissional responsvel pela segurana das redes da instituio dever


tambm adotar prticas de preveno:

22 Executar a gerncia de redes e sistemas.

22 Manter os sistemas atualizados, originais e protegidos por antivrus.

22 Permitir somente o envio de e-mails atravs de servidores especficos.

22 Identificar e bloquear abusos na rede (P2P).

22 Definir uma topologia de rede que facilite a gerncia e controle, utilizando DMZ e
firewall.

22 Ter cuidados especiais com senhas de servidores.

22 Acompanhar listas de segurana e vulnerabilidades em produtos instalados (rotea-


dores, servidores web, apache, php, mysql).

A ajuda do CAIS
Na prtica, o CAIS oferece os seguintes servios:

11 Notificao s instituies clientes sobre quaisquer incidentes de segurana que q


cheguem ao conhecimento da comunidade acadmica nacional de segurana.

11 Auxlio na resoluo dos incidentes, seja esclarecendo dvidas, orientando sobre


boas prticas ou fazendo interface com outros grupos de segurana.

11 Manuteno e disponibilizao de dados estatsticos sobre o atendimento a inci-


dentes na RNP.

11 Acesso direto equipe do CAIS atravs de ferramenta de dilogo IRC, facilitando a


comunicao para resoluo de incidentes.

Passos para a segurana de sua instituio


Introduo rede Ip

11 Estabelea um ponto de contato nico como contato de segurana: abuse@, q


seguranca@ ou security@.

11 Informe esse contato RNP e ao CAIS.

11 Repasse as mensagens recebidas nestes e-mails aos responsveis pelas questes


de segurana.

30
11 Mantenha a data e hora de seus sistemas ajustados por NTP, para garantir a preciso q
do horrio nos logs de eventuais ataques.

11 Caso a instituio tenha sofrido algum incidente de segurana:

22 Colete todos os dados relacionados ao incidente.

22 Certifique-se de incluir data, hora e fuso horrio.

22 Notifique o atacante, com cpia ao CAIS.

22 Caso a instituio tenha sido origem de um incidente de segurana:

33 Trate o caso com responsabilidade.

33 Busque identificar o problema, resolv-lo, e responder ao solicitante, copiando


o CAIS na resposta.

Captulo 2 - Segurana na rede Ip

31
32
Introduo rede Ip
3
Infraestrutura de rede
objetivos

Orientar a instituio sobre os tipos de conexo rede da RNP, a infraestrutura de rede,


equipamentos, cabeamento e infraestrutura fsica.

conceitos
Conexo da organizao usuria ao PoP da RNP, uso e especificao de switches e
roteadores, topologia da rede, infraestrutura de cabeamento e infraestrutura fsica.

Conexo da organizao usuria ao PoP da RNP


11 Tipicamente a organizao usuria se ligar ao PoP RNP atravs de um enlace de q
dados provido por uma operadora de telecomunicaes.

11 Esse ator alugar um meio fsico para prover o contato da instituio com a rede Ip.

11 Esse meio ser implementado por uma dentre diversas tecnologias.

22 O que ocorre usualmente que o meio fsico uma fibra ptica, um cabo de cobre
ou um radioenlace (sem fio).

11 Em alguns casos, dependendo da geografia da instituio a ser conectada, esse


enlace de dados poder ser implantado via um link de satlite.

As figuras abaixo exibem cada um dos casos:

RNP
Captulo 3 - Infraestrutura de rede

Figura 3.1
Ligao de
instituio via fibra Organizao PoP RNP
ptica. usuria

A Figura 3.1 mostra uma conexo de fibra ptica entre uma organizao usuria e o PoP
da RNP. O enlace exibido reporta a conexo lgica. Fisicamente no existe um cabo ptico
conectando os dois pontos. A operadora constri esse circuito dentro da sua infraestru-
tura. Ou seja, em termos prticos, o link implementado passando por uma ou mais esta-
es da operadora em questo.
33
RNP

Figura 3.2
Organizao PoP RNP Ligao de
usuria instituio via rdio.

A Figura 3.2 exibe uma instituio que foi conectada rede Ip via rdio. Essa uma opo
utilizada principalmente em locais onde no existe infraestrutura de cabeamento pronta
para uso. Dependendo da situao, a conexo rdio pode ser implementada exatamente
como na Figura 3.2, com uma antena no PoP da RNP e outra no cliente. Porm, o que ocorre
cotidianamente que o link rdio liga a organizao usuria a um ponto de presena da
operadora, e esse ponto conectado ao PoP RNP via rede cabeada. Ou seja, de fato tem-se
um enlace que parte sem fio e parte cabeado.

PoP
Operadora

RNP

Figura 3.3
Ligao de
Organizao PoP RNP instituio via
usuria satlite.
Introduo rede Ip

A Figura 3.3 exibe uma instituio conectada rede Ip via satlite. Essa opo usada em
casos onde a organizao usuria encontra-se em um lugar remoto onde no se pode usar
cabos ou um rdio diretivo por falta de visibilidade entre a instituio e o ponto de presena
da operadora mais prximo. Um exemplo tpico so as instituies localizadas em reas de
selva nos estados amaznicos.

34
11 Nos casos exibidos o enlace de dados contratado pela RNP junto a uma operadora q
de telecomunicaes.

11 O contrato firmado entre essas duas partes estabelece parmetros de qualidade que
devero ser atendidos, como:

22 Largura de banda disponvel, tempo de resposta, taxa de erro de bit (BER) etc.

11 Cabe RNP executar a gesto desse contrato, garantindo o seu cumprimento e apli-
cando as punies necessrias quando os itens acordados no forem atendidos.

11 Em qualquer dos casos, invariavelmente, a organizao usuria receber, em suas


dependncias, alguma infraestrutura de equipamentos da operadora.

11 A organizao ter que zelar pelo bom funcionamento desses equipamentos,


mantendo-os em condies recomendadas.

11 No caso mais simples, de organizao usuria atendida por rede cabeada, a opera-
dora instala um modem nas dependncias da organizao.

A conexo se apresenta como no esquema da Figura 3.4.

Rede Operadora

Modem

Cabo serial

Figura 3.4
Conexo Roteador RNP
instituio:
operadora.

Todos os equipamentos detalhados na figura ficaro nas dependncias da organizao


usuria. Na Figura 3.4 o roteador fornecido pela RNP e seu objetivo receber a conexo
da operadora e rotear pacotes de dados da rede da instituio para fora. O modem da figura
pertence operadora de telecomunicaes.

A infraestrutura adequada para abrigar esses dispositivos ser apresentada adiante.

11 A conexo entre o roteador e o modem quase sempre se d via interface serial q


Captulo 3 - Infraestrutura de rede

do roteador.

11 Existe uma grande variedade de conectores que podem compor o cabo que faz essa
conexo.

11 O conector V.35 um dos mais populares.

35
A Figura 3.5 mostra, alm do V.35, outros conectores que so usados cotidianamente.

Figura 3.5
EIA/TIA-232 EIA/TIA-449 V-35 X21 EIA-530 Cabos seriais.

Na figura, a parte superior dos cabos corresponde ao conector que se liga porta serial do
roteador da RNP. A parte inferior do cabo se liga ao modem da operadora. Esse cabo, via de
regra, fornecido pela operadora de telecomunicaes provedora do circuito de dados.

Para os casos em que a instituio conectada via rede sem fio, a infraestrutura instalada
pela operadora um pouco mais complexa. O equipamento da RNP sempre o mesmo: um
roteador. Alm da antena, que deve ficar no telhado ou em uma torre para prover visibili-
dade com a antena que fica no ponto de presena da operadora, necessria a instalao
de uma infraestrutura especfica. Para trazer o sinal da antena para dentro da instituio
instalado um cabeamento de RF. Esse cabeamento termina em um transceiver, o qual se
conectar ao roteador. A operadora instala isoladores no cabeamento, perto da antena,
para proteger os equipamentos de rede da instituio de descargas eltricas que porven-
tura tentem se propagar via cabeamento da antena para dentro da instituio.

Para o caso da conexo via satlite a infraestrutura similar ao cenrio da rede sem fio,
porm nesse caso temos o roteador ligado a um modem satlite, que adapta o sinal do rote-
ador ao meio fsico do enlace satelital.

Em todos os cenrios apresentados o enlace da operadora sempre acaba no roteador da


RNP. Esse equipamento define o ponto de delimitao entre a responsabilidade da opera-
dora e da organizao usuria. O roteador tem como objetivo principal prover o trnsito de
pacotes de dados da rede da instituio para o PoP e vice-versa.

O equipamento suporta ainda outras funcionalidades que podero ou no ser usadas,


como protocolos de roteamento, VPN, firewall, segmentao de rede em VLANs e NAT, entre
outras. Mais detalhes sobre o equipamento que ser usado pela instituio sero apresen-
tados mais frente neste curso.

Uso e especificao de switches e roteadores


Introduo rede Ip

Os equipamentos de rede mais usados em redes profissionais so os roteadores e os switches.


Em redes mais antigas ou em ambientes no corporativos hubs tambm podem ser usados.
Esse curso no tratar de hubs, pois o uso deles j no recomendado por diversos motivos.

36
Os fabricantes de rede dividem a linha de equipamentos em:

11 Produtos para escritrio (Office). q


11 Produtos para empresa (Enterprise).

11 Produtos para provedor de servio (Provider).

O nome comercial varia entre fabricantes. Em alguns casos a linha pode ser subdividida em
mais segmentos. As trs linhas citadas so a referncia de mercado. Alguns fabricantes definem
ainda uma linha adicional de produtos para centro de processamento de dados (Data Center).

Essa linha adicional se destina especificamente s empresas que administram grandes


infraestruturas de processamento de dados. A complexidade, os protocolos particulares e o
gigantesco volume de dados que ali existem implicam otimizaes especficas na arquitetura
dos equipamentos dessa linha.

Especificao de racks
Os equipamentos de infraestrutura de redes e de servios podem ser classificados quanto a
sua disposio fsica em duas grandes famlias:

11 Equipamentos de mesa;

11 Equipamentos de rack.

Dentre os equipamentos de mesa esto os servidores de torre e os PCs (que constante-


mente abrigam servios).

Figura 3.6
Equipamentos de
mesa (Fonte:
www.sevenl.net).

Em algumas empresas, os equipamentos de mesa so rejeitados, porque no possvel


organiz-los em racks. Constantemente os equipamentos de mesa ocupam espaos impor-
tantes de CPDs de maneira difcil de organizar.

q
Captulo 3 - Infraestrutura de rede

11 Os racks so armrios prprios para receber equipamentos de telecomunicaes.

11 Proveem infraestrutura especfica para passagem de cabos, acomodao de fontes


extras, ventiladores, barra de aterramento e rguas de energia.

11 Os racks de 19 so os preferidos da indstria de telecomunicaes e grande parte dos


equipamentos do mercado fabricada de modo a encaixar perfeitamente nesses racks.

11 Normalmente um equipamento ocupa toda a largura do rack e parte de sua altura.

11 O espao de altura dos racks dividido em RUs (rack units).

11 Ao comprar um equipamento deve-se atentar para a informao de espao fsico


necessrio em rack.

37
Figura 3.7
Rack de 19para
telecomunicaes.

Alguns tamanhos tpicos de rack so 8, 12 e 16 RUs. O equipamento Juniper J2350, por


exemplo, possui 1,5 RU.

40 RUs

Figura 3.8
Diviso de rack
em RUs.

1,5 RU

Fontes redundantes
Quase todo equipamento moderno de redes ou de telecomunicaes possui uma verso
com fontes redundantes. A fonte de um equipamento, assim como ocorre com um compu-
tador pessoal, responsvel pelo fornecimento de energia para todos os componentes do
hardware. Uma falha de fonte provoca a parada imediata do equipamento. A fonte redun-
dante capaz de resolver o problema.

Na grande maioria dos casos o equipamento possui tecnologia para promover a comutao
automtica para a fonte backup em caso de falha na fonte principal.

11 Os equipamentos tambm possuem a tecnologia de hot swap, que permite trocar q


uma fonte queimada sem parada do equipamento.

11 Um dos perigos da fonte redundante a sua gerncia. muito comum no mundo


Introduo rede Ip

corporativo ocorrerem falhas de fonte sem que o administrador do equipamento


tome conhecimento.

11 Nesses casos a fonte backup assume, mas no haver backup para ela.

11 Se esse componente falhar, haver parada de servio.

11 Concluso: no adianta ter fontes redundantes enquanto no se intervm na fonte


defeituosa.

38
fundamental um eficiente ferramental de gerncia de hardware. Tipicamente o protocolo
SNMP o responsvel pelo reporte de uma falha dessa magnitude, sendo suportado por
praticamente todo tipo de equipamento de redes e de telecomunicaes.

Topologia da rede
O objetivo maior da gerncia de redes garantir o maior tempo de disponibilidade possvel
para os recursos e servios da instituio. Para ajudar a alcanar esse objetivo existem
vrias outras boas prticas alm da atividade de gerncia. Uma dessas atividades o
desenho racional da topologia da rede.

11 Existem trs desenhos bsicos: barramento, anel e estrela. q


11 A maioria das topologias de rede possui uma dessas trs configuraes ou uma com-
binao delas.

Figura 3.9
Topologia
barramento.

Figura 3.10
Captulo 3 - Infraestrutura de rede

Topologia anel.

39
Figura 3.11
Topologia estrela.

11 Ao definir a topologia da rede dois conceitos ajudam a melhorar a robustez dela: q


redundncia e hierarquia.

11 O conceito de redundncia fica claro na topologia em anel. Uma topologia preocu-


pada com a redundncia evita que as VLANs (ou redes) dependam de um nico link
para se manterem disponveis.

11 A ideia de hierarquia define equipamentos com funes bem definidas na rede,


evitando mistura de papis entre eles.

Cada tipo de equipamento tem uma tarefa bem definida, e por isso sua especificao tcnica
particular e direcionada tarefa para a qual ser designado. A figura seguinte exibe um
modelo de referncia que assume os conceitos de redundncia e hierarquia.

Ncleo

Distribuio

Figura 3.12
Modelo de
referncia: rede
redundante e
Acesso
hierarquizada.

Nesse modelo de referncia os equipamentos foram divididos em camadas.

q
Introduo rede Ip

11 Cada camada prov servio para todas as camadas mais abaixo.

11 A camada de acesso conecta os usurios rede e prov comutao de frames entre


usurios da mesma VLAN.

40
11 A camada de distribuio concentra os equipamentos de acesso e segmenta dife- q
rentes grupos de trabalho.

22 Um bom arranjo dessa camada ajuda a isolar problemas de rede.

22 Essa camada tambm pode implementar polticas de segurana.

11 A camada de ncleo constitui a espinha dorsal da rede, constituda de links de alta


velocidade, normalmente na faixa dos gigabits por segundo.

22 Essa camada concentra os equipamentos de distribuio.

22 Sua funo rotear pacotes entre os equipamentos de distribuio e as redes


externas o mais rpido possvel.

11 No modelo, cada equipamento possui duas conexes com a camada imediatamente


acima, por questes de redundncia.

O esquema representado na figura acima apenas uma referncia. No mundo real nem
sempre possvel obter-se um modelo de rede perfeitamente hierarquizado e redundante,
principalmente por questes financeiras. De toda forma, quanto mais perto do modelo de
referncia for a rede, melhor o seu desempenho geral.

Identificao de cabos
11 Uma prtica muito simples que ajuda enormemente a tarefa de manter a rede organi- q
zada e documentada a identificao de cabos.

11 Uma rede que se estende por um espao fsico muito extenso e que possua muitos
cabos rapidamente se transforma em um caos completo.

Figura 3.13
Exemplo de
ambiente catico
(Fonte: www.
bernabauer.com)
Captulo 3 - Infraestrutura de rede

A identificao de cabos permite saber de imediato que equipamentos esto conectados


entre si e qual cabo prov essa conexo, agilizando todo tipo de aprovisionamento, desapro-
visionamento ou troubleshooting da infraestrutura fsica de cabeamento.

41
Figura 3.14
Cabo identificado
(Fonte: www.
midiasolucao.com.br).

Obviamente, para garantir a organizao do ambiente no basta identificar os cabos,


preciso manter as etiquetas atualizadas toda vez que uma mudana for feita, ou seja, reco-
mendado estabelecer um processo de mudana das conexes da rede.

Infraestrutura para abrigar os equipamentos e mant-los


11 No existem padres para a infraestrutura que abrigar os equipamentos da RNP. q
11 A orientao que a instituio se preocupe com a documentao tcnica dos equi-
pamentos que receber em suas dependncias.

11 Esses documentos especificaro as condies ideais que permitiro aos equipa-


mentos uma vida til tima.

A seguir veremos os pontos que devem ser verificados.

Localizao e dimenses da sala


11 A localizao da sala deve ser tal que evite a propagao de rudo dos equipamentos q
ao restante do ambiente, evitando prejuzo para a populao da instituio.

11 A dimenso da sala deve ser tal que permita ao equipamento de ar-condicionado que
a atende refriger-la com eficincia.

22 Salas grandes so mais difceis de refrigerar.

22 Temperatura um dos itens mais importantes para o bom funcionamento de equi-


pamentos de redes e telecomunicaes.

recomendvel que o acesso sala seja restrito aos profissionais capacitados a operar os
equipamentos ali presentes. A segurana fsica dos equipamentos deve ser verificada antes
que qualquer poltica de segurana lgica seja elaborada.

Equipamentos de apoio
q
Introduo rede Ip

11 Alguns equipamentos de apoio ajudam a aumentar a disponibilidade dos equipamentos.

22 Exemplos: nobreaks e geradores.

11 Os nobreaks protegem os equipamentos contra picos de luz, cobrindo o fornecimento


de energia durante falhas curtas de fornecimento eltrico.

42
11 Dependendo da criticidade das aplicaes da rede a instituio pode lanar mo de q
um gerador, que permite a manuteno de energia eltrica mesmo durante longas
falhas da concessionria de energia.

11 Existem vrios tipos de geradores, dos mais robustos e caros aos mais simples
e baratos.

Um erro comum ignorar a necessidade de manuteno dos equipamentos de apoio.


muito comum ocorrerem casos de falhas de energia onde o gerador no assume porque,
por exemplo, est sem carga.

Refrigerao
11 Todo equipamento instalado na sala de equipamentos traz em sua documentao q
tcnica a quantidade de BTUs que ser consumida.

11 importante fazer a gerncia da capacidade de refrigerao da sala, de modo a


garantir que o consumo de refrigerao dos equipamentos da sala no ultrapassar a
capacidade de refrigerao do equipamento de ar-condicionado.

Instalao eltrica
Todo equipamento instalado na sala de equipamentos (ou CPD) traz em sua documentao
tcnica a potncia mdia dissipada, bem como a capacidade mxima de sua(s) fonte(s).
importante fazer a gerncia da infraestrutura eltrica da sala de equipamentos para evitar
que a capacidade dos componentes (quadros de energia, disjuntores etc.) seja ferida.

Aterramento
11 Todo equipamento de redes e de telecomunicaes deve ser aterrado em q
infraestrutura adequada.

11 fortemente indicado que a instituio que abrigar equipamentos em suas depen-


dncias providencie uma malha de terra adequada.

11 comum instituies e residncias ignorarem essa questo, que pode evitar a


queima dos equipamentos em situaes de descargas eltricas.

Espao para cabeamento e conexes


11 A sade e vida til do cabeamento utilizado nas redes dependem significativamente q
da disposio fsica utilizada.

11 Os cabos devem ser instalados de modo a evitar tenso no corpo dos cabos e nos
conectores.

11 Deve-se evitar dobrar o cabo em ngulos muito pequenos.


Captulo 3 - Infraestrutura de rede

11 Para atender a esses objetivos importante alocar espao adequado dentro dos
racks para acomodao de sobras de cabeamento.

Veja no destaque da figura seguinte as dobras com ngulos diferentes.

43
Figura 3.15
Boas prticas de
cabeamento (Fonte:
taquara.olx.com.br).
Introduo rede Ip

44
4
Switches e roteadores
objetivos

Descrever o uso de switches de camada 2 e de camada 3, o uso de roteadores na rede


da instituio, a conexo com a rede da RNP e as vantagens de utilizar VLANs.

conceitos
Switches L2 e L3, comutao L2, empilhamento, subdiviso da rede em VLANs,
roteadores.

Switches L2
11 Os switches L2 tm a funo de distribuir e segmentar os pontos de rede e as LANs q
do ambiente.

11 A funo fundamental desses elementos receber um frame, avaliar o campo ende-


reo MAC destino e tomar a deciso de encaminhamento.

11 O switch L2 no faz o servio de roteamento de pacotes; se um frame chega para ele,


ocorre que tipicamente algum roteador j tomou a deciso de roteamento, ou seja,
a rede onde o destinatrio do pacote reside j foi descoberta.

11 Cabe ao switch apenas avaliar em qual ponto de rede est o destinatrio do frame.

Captulo 4 - Switches e roteadores

45
Pacote

Default
Gateway Roteamento L3

Rede L2 (comutao)
Em qual porta fsica
est o destino?

Figura 4.1
Destino Roteamento
L3 versus
encaminhamento
L2.
Em qual porta fsica est o destino?

O dimensionamento de um switch depende principalmente:

11 Da quantidade de interfaces requeridas;

11 Da velocidade dessas interfaces;

11 Da quantidade de LANs (VLANs) que trafegaro dados pelo equipamento;

11 Da necessidade de redundncia de hardware (fontes, CPUs, backplanes etc);

11 Da necessidade de ter servios L2 e L3 no mesmo equipamento.

A exemplo do que ocorre com os roteadores, o porte de um switch pode variar tremen-
damente dependendo de sua aplicao. Para referncia, o peso dos switches usados pelo
mercado pode variar de 1,5 a 300 kg. Seu preo pode sair da ordem de centenas de reais at
centenas de milhares de dlares.

Um switch de rede local popular possui 24 portas fast ethernet (100 Mbps). Um switch de
um centro de processamento de dados de um grande provedor de contedo de internet
possui mais de 200 portas com capacidade de 10Gbps cada uma. A diferena de capacidade
de processamento entre os equipamentos desse exemplo justifica a grande diferena de
preo entre eles.

Switches L3
Introduo rede Ip

11 Os switches L3 podem fazer as funes de L3 e/ou de L2. q


11 Cabe ao administrador de rede fazer essa definio.

11 Em algumas situaes, o switch L3 pode substituir o uso do roteador e do switch L2,


de modo que as funes L2 e L3 estejam no mesmo equipamento.

11 Em outras aplicaes, o switch L3 pode fazer a funo L2 para algumas VLANs e a


funo de L3 para outras, dependendo da convenincia do administrador.
46
Algumas aplicaes do switch L3 so mostradas a seguir. A figura seguinte exibe uma rede
local tpica, um roteador fazendo o papel de default gateway da LAN e um switch fazendo o
papel de distribuio dos pontos de rede. Embora haja apenas um nico switch no esquema
da figura, poderiam existir vrios outros, operando em diferentes hierarquias.

Default gateway das VLANs A, B e C

Funo L3

Funo L2

Figura 4.2
Interao L2-L3
tradicional com
switch e roteador.

VLAN A VLAN B VLAN C

A figura seguinte mostra a mesma LAN, mas o roteador e o switch foram substitudos por
um nico equipamento, um switch L3.

Default gateway das VLANs A, B e C

Funes L3 e L2

Figura 4.3
Switch L3 faz o
papel de default
gateway de vrias
redes/sub-redes/ VLAN A VLAN B VLAN C
VLANs.

Uma aplicao tpica do switch L3 no mundo real pode ser vista nas prximas figuras.

11 Os servidores das VLANs 10 e 20 no acessam a internet nem a rede Ip, no entanto q


essas duas VLANs trocam grande volume de trfego entre si.

11 A VLAN 30 usa a rede Ip intensamente, acessando servidores das VLANs 10 e


Captulo 4 - Switches e roteadores

20 eventualmente.

O administrador de rede recebeu vrias reclamaes de lentido de usurios da VLAN 30.


Na figura abaixo as setas pretas exibem o trfego entre as VLANs 10 e 20. As setas cinzas
mostram o trfego da VLAN 30.

47
Rede Ip

Default Gateway das VLANs 10, 20 e 30

Link saturado

Figura 4.4
VLAN 30 VLAN 20 VLAN 10 Usurios da
VLAN 30 reclamam
de lentido.

Aps uma investigao, foi percebido que o link entre o switch L2 e o roteador apresentava
descarte de pacotes, sinal de saturao.

11 O administrador de rede dispunha de um switch L3 que sobrou de um projeto no q


terminado e resolveu trocar o switch L2 pelo L3.

11 O switch L3 se tornou o default gateway das VLANs 10 e 20.

11 O trfego entre as VLANs 10 e 20 no compete mais com o trfego entre VLAN 30 e


rede Ip.
Introduo rede Ip

48
Rede Ip

Default Gateway da VLAN 30

Link OK

Default Gateway das VLANs 10 e 20

Figura 4.5
Switch L3 elimina VLAN 30 VLAN 20 VLAN 10
o problema.

No mundo real poderamos pensar em fundir as VLANs 10 e 20 em uma mesma VLAN. Dessa
forma o trfego entre os hosts das duas redes no mais competiria com o trfego da VLAN
30. No entanto, existem situaes em que essa fuso no possvel, por motivos tcnicos
ou polticos.

Seria possvel ainda pensar em substituir tambm o roteador. Na figura optou-se por manter
o roteador ativo. Essa deciso pode ser correta em casos onde o roteador presta outros ser-
vios alm do roteamento tradicional, como NAT, firewall e VPN, entre outros. Dessa forma,
evita-se que o switch L3 fique com seus recursos de hardware saturados, mantendo nesse
equipamento apenas os servios tradicionais de roteamento e switching. Da mesma forma,
h economia de recursos do roteador com a reduo do trfego que ele precisa tratar.

O dimensionamento dos switches L3 definido quase pelos mesmos parmetros dos


switches L2.

Comutao L2
Captulo 4 - Switches e roteadores

11 Os switches L2 tambm executam protocolos para otimizar o servio de encaminhamento. q


22 Exemplo: protocolo spanning-tree.

11 Os switches se utilizam desse protocolo para evitar que ocorram loops de encaminha-
mento na rede.

11 Um loop de encaminhamento tem o poder de parar completamente uma rede, e isso


efetivamente ocorre no mundo real.

49
11 Em ambientes onde existe mais de um caminho possvel para se chegar a um host q
fundamental a presena do spanning-tree, tanto que todos os fabricantes de equipa-
mentos de rede j deixam esse protocolo habilitado de fbrica.

11 Um switch normalmente executa uma instncia de spanning-tree para cada


VLAN existente.

Tem-se a um ponto de limitao para o dimensionamento do nmero de VLANs que um


switch pode suportar.

Root Bridge

Links operando
Links bloqueados Figura 4.6
Spanning-tree: evita
loops de rede.

A operao do spanning-tree no ser detalhada neste curso.

Em resumo, seu objetivo fazer com que s exista um caminho vlido entre dois pontos q
quaisquer de uma rede L2.

Empilhamento
11 Quando o nmero de usurios de uma rede local aumenta muito, necessrio lanar q
mo de outros recursos para fazer a rede escalar.

11 Os esquemas de expanso de portas no podem ajudar neste caso especfico. Nesse


cenrio a soluo mesmo aumentar o nmero de portas fsicas.

11 Quando um switch no tem mais portas fsicas disponveis possvel empilhar mais
de um switch para aumentar a densidade de portas.

11 O empilhamento consiste em criar um nico equipamento lgico a partir de dois ou


mais switches fsicos.

11 A comunicao entre os switches pode se dar via porta Ethernet ou via cabeamento
especfico para o fim de empilhamento.
Introduo rede Ip

A ideia simples. O administrador de redes empilha dois switches de 24 portas cada e


obtm um nico switch lgico, que possui 48 portas. Os demais equipamentos de rede
nunca sabero que ali existem dois switches, pois ambos respondem pelos mesmos ende-
reos IPs e pelo mesmo hostname.

50
Figura 4.7
Switches
empilhados
(Fonte: www.
kathmann.com).

Subdiviso da rede em VLANs de distribuio


A diviso da rede em VLANs uma das boas prticas em rede local. H vrios motivos q
para realiz-la. Aqui citaremos cinco:

11 Aumento da confidencialidade dos dados das diferentes redes.

11 Economia de recursos dos elementos de rede e de links.

11 Economia de recursos dos hosts atravs da reduo dos domnios de broadcast.

11 Flexibilidade para configurao de polticas de roteamento e segurana.

11 Flexibilidade para distribuio fsica dos pontos de redes.

Neste texto os termos VLAN e sub-rede so usados de maneira intercambivel, pois em uma
rede dividida em VLANs os termos tm exatamente o mesmo significado. A figura seguinte
ilustra um esquema onde os diferentes departamentos de uma instituio esto separados
em VLANs.

R1 R2

SW1 SW2

200.1.1.64/26 200.1.1.0/26 200.1.1.128/25 Captulo 4 - Switches e roteadores

Figura 4.8
Depto. nanceiro Depto. de docentes Laboratrio de alunos
Diviso da rede
em VLANs. (VLAN 10) (VLAN 20) (VLAN 30)

51
11 A boa prtica diz que os hosts com maior interesse de trfego devem ficar na mesma q
VLAN (rede).

11 Dessa forma o trfego entre esses hosts no competir pelos recursos de rede com
outros hosts.

11 O trfego de uma VLAN fica isolado do trfego das demais.

11 O isolamento de trfego das VLANs, alm de salvar recursos da rede, promove um


maior grau de segurana.

Um capturador de trfego que deseje capturar dados de um determinado departamento


ter que usar um ponto de rede na VLAN do departamento a ser vitimado. Outros pontos de
rede no enxergaro esse trfego.

O processamento dos hosts da rede tambm tende a cair com a reduo do domnio de bro-
adcast consequente da subdiviso em VLANs. Quando os hosts esto todos na mesma rede
(ou VLAN) um broadcast gerado por qualquer host recebido por todos os outros. A maioria
dos hosts no usar a mensagem de broadcast. Com a rede dividida em sub-redes somente
os pontos da VLAN onde foi gerado o broadcast recebem a mensagem, e recursos de rede e
de hosts so economizados.

A rede dividida tambm facilita a configurao de polticas de roteamento e segurana.

Na Figura 4.8 o roteador R1 o default gateway das VLANs 10 e 20, e o roteador R2 o


default gateway da VLAN 30. Imagine que os dados do departamento financeiro so estri-
tamente confidenciais e no devem trafegar por nenhuma outra VLAN. Para implementar
essa condio em uma rede dividida em VLANs, basta criar uma regra, ou lista de acesso,
impedindo que pacotes com IP origem que no estejam na rede 200.1.1.64/26 possam ser
destinados a pacotes desse alcance. Essa regra poderia ser configurada na sada da inter-
face de R1, que conecta ao switch SW1.

Se todos os hosts estivessem misturados em uma grande rede, a configurao dessa poltica
seria complicada. Analogamente, a configurao de polticas de roteamento tambm
simplificada. Ainda na Figura 4.8, tem-se que o laboratrio dos alunos no pode ser capaz
de acessar os websites hospedados no departamento de docentes. Pode-se configurar uma
poltica de roteamento no roteador R1 de modo que a rede 200.1.1.0/26 no seja anunciada
ao roteador R2. Dessa forma, caso R2 no tenha uma rota default para o R1, os alunos no
conseguiro acesso aos sistemas da VLAN dos docentes.

Observe que a soluo do problema do pargrafo acima tambm poderia ser a criao de
uma regra de segurana, mas uma vez que a rede da figura no possui firewalls, o admi-
nistrador da rede pode usar o roteador apenas para a tarefa de roteamento. O problema
foi ento resolvido com a manipulao de uma poltica de roteamento. Se os websites do
departamento de docentes estivessem misturados na mesma VLAN do laboratrio dos
alunos, a configurao dessa poltica seria complicada.
Introduo rede Ip

Roteadores
11 Os roteadores so os protagonistas das redes baseadas em arquitetura TCP/IP q
ou IP/MPLS.

11 A funo fundamental desses elementos receber os pacotes IP, interpretar o campo


IP destino e decidir como encaminhar o pacote.

52
11 Essa deciso a chave para o bom desempenho da rede e das aplicaes que dela q
se utilizam.

11 O uso de roteadores mandatrio em ambientes que tenham mais de uma rede,


sub-rede ou VLAN.

Um ambiente de rede que possui apenas uma nica rede/sub-rede/VLAN no necessita de


um roteador. Toda rede/sub-rede/VLAN, para ter seus pacotes chegando em outras redes,
precisa de pelo menos um roteador. O roteador que roteia os pacotes da rede chamado
default gateway da rede/sub-rede/VLAN.

A figura seguinte exemplifica um ambiente de rede onde todos os hosts esto na mesma
rede, ou seja, esto sobre o mesmo espao de endereamento IP. Nesse esquema um switch
de rede (que no faz a tarefa de roteamento) fica diretamente conectado a um modem for-
necido pelo provedor de servio, cenrio que dispensa a necessidade de um roteador.

Internet

Provedor de servio

Cliente com rede nica

10.1.1.0/24

Figura 4.9
Ambiente de rede
com uma nica
rede/sub-rede/
VLAN.
10.1.1.14 10.1.1.19 10.1.1.12

11 Quando os roteadores da rede fazem uso de um protocolo de roteamento, diz-se que q


o roteamento ali dinmico.

11 O roteamento dinmico se caracteriza por recalcular automaticamente as rotas quando


Captulo 4 - Switches e roteadores

ocorrem alteraes na topologia da rede (quando ocorre uma falha, por exemplo).

11 Em redes complexas, onde existem vrias possibilidades de encaminhamento, o uso


do roteamento dinmico salutar.

53
Vrios caminhos levam
do ponto A ou B

Figura 4.10
Vrios caminhos
disponveis:
roteamento
dinmico.

11 O roteamento esttico tambm utilizado na rede Ip, para executar o servio de q


encaminhamento de pacotes em partes da rede onde no h deciso de encaminha-
mento a ser feita.

11 O roteamento esttico, diferente do dinmico, no caracteriza troca de informaes


entre roteadores.

11 A informao de roteamento inserida manualmente no roteador por um adminis-


trador de rede.

H um nico caminho
possvel do ponto A ou B

Figura 4.11
Apenas um
caminho disponvel:
roteamento
esttico.

A comunicao entre o roteador da instituio e a rede IP se d tipicamente atravs de


roteamento esttico, pois h apenas um caminho possvel entre as duas entidades. A van-
tagem de se usar essa modalidade de roteamento a economia de recursos. O roteamento
Introduo rede Ip

esttico usa muito pouco de memria e CPU do roteador, enquanto que os protocolos de
roteamento dinmico, dependendo do tamanho da rede, podem requerer roteadores de
grande porte, que so equipamentos caros.

Fazendo referncia arquitetura de referncia OSI, diz-se que os roteadores atuam na


camada 3 (layer 3) da arquitetura, chamada camada de inter-rede; na arquitetura TCP/IP
essa camada se chama simplesmente camada de rede. Da a expresso equipamento L3.

54
O dimensionamento de um roteador depende:

11 Do volume de trfego que ser cursado em suas interfaces;

11 Da quantidade de interfaces que o roteador pode suportar;

11 Da necessidade de redundncia de hardware (fontes, CPUs, backplanes);

11 Da capacidade do seu backplane (hardware de encaminhamento interno por onde


passar o trfego de todas as interfaces);

11 Dos protocolos que sero usados e do tamanho da rede envolvida.

O backplane do hardware est intrinsecamente ligado soma das capacidades das inter-
faces que funcionaro no equipamento. Um roteador com backplane de baixa capacidade
no pode ter, por exemplo, dezenas de interfaces de 10Gbps, pois todo esse trfego passar
pelo backplane.

Em algumas situaes, as placas de rede possuem alguma capacidade de processamento,


fazendo com que parte da deciso de encaminhamento seja definida na prpria interface
de rede, que acaba por otimizar recursos do backplane e da CPU principal da mquina, evi-
tando que a sua capacidade precise ser maior que a soma das capacidades das interfaces.

Em arquiteturas mais novas, o backplane subdividido em estruturas menores, de modo


que cada estrutura fica responsvel por um conjunto de interfaces.

O porte de um roteador pode variar muito dependendo do seu uso. Por exemplo, o peso de
um roteador pode variar de 6 (default gateway de algumas redes locais) a 180 kg (roteador
de um provedor de porte nacional). Seu preo pode variar de pouco milhares de reais at
centenas de milhares de dlares.

Figura 4.12
Roteador Juniper
Srie J: pequeno
porte (Fonte:
www.juniper.net).

Para tomar a deciso de encaminhamento da forma mais eficiente os roteadores podem


fazer uso de um protocolo de roteamento dinmico. Atravs dele os diferentes roteadores
que compem a rede trocam informaes uns com os outros e, baseando-se nas informa-
es recebidas dos vizinhos, concluem qual o melhor caminho para se direcionar cada um
dos pacotes IP recebidos.

11 Os principais protocolos de roteamento dinmico executados na rede Ip e em vrios q


outros provedores comerciais so OSPF e BGP.
Captulo 4 - Switches e roteadores

11 Em redes de organizaes menores pode-se utilizar outros protocolos mais simples


que consomem menos recursos de hardware (e consequentemente requerem equi-
pamentos mais baratos).

11 Um exemplo de protocolo de roteamento simples o RIP.

11 Exemplos de outros protocolos menos populares, mas no menos eficientes que


os citados:

22 IS-IS.

22 EIGRP.

55
O funcionamento detalhado de cada um desses protocolos de roteamento no tema deste curso.

Roteador de borda
11 O roteador de borda prov a comunicao de todas as VLANs da rede local com q
a internet.

11 Esse elemento candidato natural a receber a configurao das polticas de rotea-


mento da instituio, tais como restries de acesso a sites no autorizados.

11 Problemas de lentido ou indisponibilidade de servios de internet podem ter ligao


direta com a boa sade desse roteador e do seu link com a internet, normalmente
chamado de uplink da instituio.

11 Quando a conexo da instituio no tiver um enlace de backup, esse roteador execu-


tar roteamento esttico, o mais recomendado para esse cenrio.

11 Se houver mais de um enlace atravs do qual se possa chegar internet, esse ele-
mento dever executar um protocolo de roteamento dinmico.

Internet

Rede local
Roteador de borda

VLAN 21 VLAN 22 VLAN 23 Figura 4.13


Roteador de borda.

Troubleshooting bsico
Gerncia e documentao de rede, planejamento de topologia, controle da alocao de IPs e da
distribuio das sub-redes e identificao de cabos. Todas essas prticas apresentadas confi-
guram diferentes recursos para atingir um mesmo fim: manter a maior disponibilidade possvel
dos servios de rede. s vezes, mesmo com todos esses cuidados, os problemas ocorrem.

O troubleshoot de falhas pode ser simples ou complexo, dependendo dos recursos disponveis.
Introduo rede Ip

Todas as prticas apresentadas no pargrafo anterior ajudam significativamente a acelerar o


processo de soluo. O ltimo recurso uma metodologia bsica de ataque a problemas.

Uma metodologia que funciona com frequncia a seguinte:

1. Predizer o comportamento normal da rede e comparar o cenrio correto com


o sintoma percebido.

56
2. Isolar o problema: investigar a conectividade de camada 3 de cada hop.

3. Ao encontrar o hop cuja conectividade de camada 3 no funciona, verificar nesse hop a


sade das camadas 2 e 1.

Para executar esse processo aparentemente simples, faz-se uso de uma srie de conheci-
mentos e recursos.

O exemplo seguinte ilustra a aplicao do mtodo de forma didtica e demorada.


Na prtica, vrias das etapas da investigao que ser apresentada podem ser executadas
de maneira simplificada com o comando traceroute ou com uma breve entrevista junto
ao usurio reclamante.

PC 3
2
R1 Sw2 R2 Sw4

f0/1 f0/1 f0/2

6 3
f0/0 Sw3
5

Sw1
1

Servidor Web
10.0.0.1/24
PC 1 PC 2
10.0.1.1/24 10.0.1.2/24

Figura 4.14 O usurio do PC1 reclamou que no consegue mais acessar http://webserver.com/relatorio,
Cenrio de uma pgina web que est hospedada no servidor web da figura. Um usurio do PC3 acessa
problema.
normalmente o site, sugerindo que no h problema com o servidor.

A Figura 4.14 ilustra todos os passos da conectividade de camada 3 entre PC1 e o servidor
em uma situao normal. Os nmeros ao lado das setas identificam a ordem dos aconteci-
mentos. As setas pretas ilustram a viagem dos dados de PC1 at o servidor. As setas cinzas
mostram o caminho da resposta do servidor at PC1.

Como o servidor est funcionando, o administrador da rede orientou o usurio a fazer um


Captulo 4 - Switches e roteadores

ping para o IP do servidor. O ping no teve sucesso. Dessa forma, a prxima etapa veri-
ficar qual dos 6 passos no est ocorrendo. Para cada passo investigado, caso a conectivi-
dade de camada 3 funcione, no se far necessrio verificar as camadas 2 e 1 do hop.

Investigando o passo 1, foi verificado se o pacote est realmente saindo de PC1 e chegando
ao R1. O primeiro passo foi investigar se o browser utilizado no PC1 est conseguindo tra-
duzir o nome do servidor para o IP correto, 10.0.0.1. Isso pde ser verificado executando-se
no PC1 o comando nslookup webserver.com.

57
O prximo passo foi verificar se a configurao de default gateway do PC1 est correta.
O comando ipconfig /all mostrou o IP da interface f0/0 do R1 como o default gateway.
A configurao do PC1 estava correta. Foi executado um ping do PC1 para o IP do seu
default gateway, no caso, o IP da interface f0/0 de R1. O ping funcionou. O passo 1 da
figura est funcionando.

Em seguida o passo 2 foi investigado. Analisando a tabela de rotas de R1 foi verificado se ele
conhece a rede 10.0.0.0/24, onde est o servidor. Verificou-se que a rota conhecida e que
aponta para R2, o que correto. Por fim, a partir de R1 foi feito um ping para a interface
f0/1 de R2, que funciona. O passo 2 corretamente verificado.

Em seguida o passo 3 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele
conhece a rede 10.0.0.0/24, onde est o servidor. Verificou-se que a rota conhecida. Em
seguida o administrador tentou um ping do R2 para o IP do servidor web, que funcionou.
Passo 3 corretamente verificado.

Os pargrafos acima mostram que um pacote saindo do PC1 chega ao servidor. Agora, o
administrador avalia o trfego de retorno. Como o ping do passo 3 funcionou, o admi-
nistrador concluiu de imediato que o servidor consegue fazer um ping para o seu default
gateway, logo, o passo 4 funciona. Isso j poderia ser concludo apenas pelo fato de o PC3
conseguir acessar o servio.

Em seguida o passo 5 foi investigado. Analisando a tabela de rotas de R2 foi verificado se ele
conhece a rede 10.0.1.0/24, onde est o PC1. A rota desconhecida. A partir de R2 foi feito
um ping para o IP de PC1. O ping no funcionou! O passo 5 no est funcionando. A partir
daqui a investigao se concentra nesse hop. Nesse caso, existe uma clara falha na camada 3.
Assim, por ora, no ser necessrio descer s camadas 2 e 1.

Foi verificado que a vizinhana OSPF entre R1 e R2 estava estabelecida. No entanto, por
algum motivo, R1 deixou de anunciar a rota 10.0.1.0/24 para R2. Foi verificado que algum
editou um filtro de rotas de maneira incorreta em R1, o que provocou a falha. O adminis-
trador corrigiu o filtro e o passo 5 passou a funcionar.

Fazendo uma nova tentativa o usurio conseguiu acesso ao servidor. Se aps a alterao no
protocolo de roteamento o passo 5 continuasse a falhar, o prximo passo seria investigar a
camada 2 nesse passo, ou seja, as configuraes do switch SW2.
Introduo rede Ip

58
Estudo de caso
Solicitao, atribuio e administrao de blocos IP

RNP / Internet

R1 R2

fe-0/0/2
fe-0/0/2
fe-0/0/0
fe-0/0/0
fe-0/0/1 fe-0/0/1

SW1 SW2 SW3 SW4

Figura 4.15 VLANs


Cenrio do estudo 10 e 20 VLAN 30 VLAN 40 VLAN 50
de caso.

Dados da rede

VLANs Intervalo Total IPs em Crescimento


de IPs uso estimado

PCs administrao 200.33.1.128/25 126 112 126

Laboratrios 200.33.1.32/28 14 4 6

Infraestrutura 200.33.1.16/29 6 3 3

Servios 200.33.1.64/27 30 11 12

PCs professores 200.33.1.96/27 30 5 20

Descrio das VLANs


11 10 Desktops administrativos: mquinas de diretores, secretrias e da rea financeira.
Captulo 4 - Switches e roteadores

11 20 Laboratrios: PCs e outros equipamentos IP usados nas aulas prticas.

11 30 Dois servidores de backup (B1 e B2) e um servidor de repositrios de arquivos (A1),


onde professores gravam e recuperam material de aulas. O servidor B1 faz backup
somente dos servios da VLAN 40. O servidor B2 faz backup de todos os PCs (professores
e administrao) e ainda do servidor de repositrio A1.

11 40 Servios: base de dados de matrculas e dados dos alunos, servidor de FTP, servidor
de e-mail, DNS e outros.

11 50 Desktops das salas dos respectivos professores.

59
Descrio do cenrio
Uma instituio de ensino mantm a rede cujo esboo do diagrama de rede encontra-se
na figura. Na poca da qualificao junto RNP foi concedido organizao o intervalo de
endereos 200.33.1.0/24.

poca, a demanda da rede era de 100 endereos. O administrador de rede dividiu ento o
intervalo /24 em dois intervalos /25.

11 Intervalo 1: 200.33.1.0/25;

11 Intervalo 2: 200.33.1.128/25.

O administrador usou o segundo intervalo para compor uma VLAN de PCs da administrao, a
VLAN 10 (a nica rede existente poca) e guardou o primeiro intervalo para demandas futuras.

Um ano depois, toda a equipe de administradores de rede mudou e no havia muita docu-
mentao. Vrias demandas de novas VLANs surgiram. Os novos administradores foram
alocando novos intervalos de IP sem muito planejamento.

Nesse perodo foram criadas mais 4 VLANs: 20, 30, 40 e 50. Alm disso, o nmero de usu-
rios da VLAN 10 cresceu mais. Os dados atuais das 5 VLANs da instituio so encontrados
logo abaixo da figura.

Voc foi contratado para ajudar os administradores de rede da instituio a resolver vrios
problemas da rede. O primeiro problema o atendimento a uma demanda por uma nova
VLAN, nmero 60, que ser usada por notebooks de alunos durante as aulas. Estima-se que
essa nova VLAN precisa de pelo menos 40 IPs.
Introduo rede Ip

60
Roteiro de Atividades 2
Atividade 2.1 Endereamento IP
Qual o tamanho de mscara mximo necessrio para uma sub-rede comportar essa nova VLAN?

Dada a utilizao atual da rede 200.33.1.0/24 na instituio, exemplifique uma sub-rede


daquele intervalo de IPs que poderia ser usada para abrigar a nova VLAN?

Aps a anlise do item anterior, um dos integrantes da equipe de administradores sugeriu


solicitar um novo bloco IP RNP. Ao analisar a situao, qual posio voc acha que a equipe
da RNP responsvel tomar? Por qu?

Atividade 2.2 Identificao de solues


A ideia de solicitar um novo bloco no foi adiante. Dessa forma, sua ajuda foi requisitada
para resolver o problema de rearranjo de endereos para implementar uma nova VLAN,
com previso de 40 endereos. Porm, outros problemas foram expostos, e voc ter que
propor solues para todos eles. Para tal, utilize as informaes contidas na rea Descrio
das VLANs. Os problemas so os seguintes:

1. Organizar a distribuio de endereos da rede de modo que uma nova sub-rede possa
ser definida para abrigar a nova VLAN 60, e ainda atender expectativa de crescimento
das demais VLANs (a demanda de crescimento encontra-se na rea Dados da rede).

2. Professores do turno da noite reclamam de lentido ao acessar o servidor de repositrio.


sabido que os backups ocorrem durante a noite. Os servidores de backup esto na
VLAN 30, e realizam o backup dos hosts das VLANs Servios e PCs administrao, alm
do prprio servidor de repositrio de arquivos.

3. Os hosts da VLAN Servios possuem licenas de software associadas a seus endereos


Captulo 4 - Roteiro de Atividades 2

IP, e no podem ter seus endereos trocados sob nenhuma hiptese.

4. Para manter a simplicidade, foi definido pela equipe de administradores que a topologia
bsica da rede no mudar. Ou seja, as conexes entre switches e roteadores no pode
ser modificada.

Dados os problemas 1 e 2 e as premissas 3 e 4, indique a seguir propostas de melhoria.


Pode ser usada toda e qualquer ao que respeite as duas premissas estabelecidas.

61
Atividade 2.3 Planejando VLANs
Agora que seu grupo j possui um conjunto de solues formuladas, faa um esboo
de como ficaria a distribuio das VLANs e dos elementos chave dentro da rede. Nesse
desenho, destaque as VLANs utilizando figuras de nuvens, e, se desejar, destaque os servi-
dores (de backup e/ou de repositrio de arquivos) com as letras B1, B2 e A1, de acordo com o
nome do servidor. No desenho, considere j a implantao da nova VLAN 60 para os PCs de
alunos, j a posicionando no switch que lhe parecer mais conveniente.
Introduo rede Ip

62
Atividade 2.4 Distribuio das sub-redes
Considerado o desenho esboado, hora de definir a distribuio das sub-redes dentro do
endereamento 200.33.1.0/24. Cabe lembrar nesse momento a necessidade de atendimento
premissa 3, estabelecida no incio da atividade, e a demanda de crescimento de cada
VLAN, citada na rea Dados da rede. Tome o cuidado de utilizar uma soluo que valorize
os seguintes parmetros (nessa ordem):

11 Soluo mais adequada s demandas de crescimento de cada VLAN;

11 Soluo que se traduza na menor quantidade de mudanas, tornando a ao o mais


simples possvel.

Depois de avaliar a tabela de endereamento, possvel que voc tenha que readequar sua
soluo de desenho da rede (Atividade 2.3) ou mesmo pensar em novas solues (alm das
citadas na Atividade 2.2) para liberar mais endereos.

A tabela seguinte mostra uma possvel distribuio:

Nmero da Nome Prefixo/ Total IPs em Demanda


VLAN mscara de IPs uso

10 PCs administrao 200.33.1.128/25 126 112 126

20 Laboratrios 200.33.1.80/29 6 4 6

30 Infraestrutura 200.33.1.88/29 6 3 3

40 Servios 200.33.1.64/28 14 11 12

50 PCs professores 200.33.1.96/27 30 5 20

60 PCs alunos 200.33.1.0/26 62 40 40

A metodologia para se chegar a essa soluo a seguinte:

11 A sub-rede da VLAN 40 tem que ser 200.33.1.64 (condio do enunciado). Como o enun-
ciado tambm pede que se use a soluo mais adequada s demandas de crescimento
de cada VLAN, a mscara dessa rede dever ser /28.

11 Para as demais VLANs: aloca-se o endereo da maior VLAN para a menor, sempre verifi-
cando se possvel manter o mesmo range de IPs da rede original.

Dessa forma, a primeira premissa estabelecida para a soluo : Soluo mais adequada s
demandas de crescimento de cada VLAN.
Captulo 4 - Roteiro de Atividades 2

Assim, o menor tamanho possvel para cada VLAN :

Nome da Mscara Quantidade Observaes


VLAN de IPs

VLAN 10 /25 126 IPs -

VLAN 20 /29 6 IPs -

VLAN 30 /29 6 IPs Dependendo da soluo usada pelo aluno, essa


VLAN pode nem existir mais.

63
Nome da Mscara Quantidade Observaes
VLAN de IPs

VLAN 40 /28 14 IPs O endereo IP dos servidores dessa VLAN no


pode mudar, mas a mscara pode.

VLAN 50 /27 30 IPs -

VLAN 60 /26 62 IPs -

O primeiro ponto a se observar que os hosts da VLAN 40 no podem ter seus IPs alte-
rados, logo, o prefixo dessa VLAN no pode mudar, apenas a mscara.

O segundo ponto que a maior VLAN (nmero 10) consome um /25 inteiro. Um dos obje-
tivos traados pelo enunciado obter uma soluo que se traduza na menor quantidade
de mudanas, tornando a ao o mais simples possvel. Para se chegar a esse objetivo
razovel pensar em manter intocveis os IPs da VLAN 10. Dessa forma, nada menos que 112
hosts ficaro inalterados. Dessa forma, o primeiro ponto fechar a sub-rede das VLANs 10 e
40, que ficam assim:

VLAN Nome Prefixo Total de IPs IPs em uso Demanda

10 PCs administrao 200.33.1.128/25 126 112 126

40 Servios 200.33.1.64/28 14 11 12

A segunda maior sub-rede ser a nova VLAN 60, a qual precisar ser pelo menos um /26.
A definio das VLANs 10 e 40 deixa apenas uma rede /26 livre: 200.33.1.0/26. Com isso, a
definio evolui para:

VLAN Nome Prefixo Total de IPs IPs em uso Demanda

10 PCs administrao 200.33.1.128/25 126 112 126

40 Servios 200.33.1.64/28 14 11 12

60 PCs alunos 200.33.1.0/26 62 xxx 40

Nesse ponto, se dividirmos a rede da instituio em sub-redes /26, temos as 4 redes:

a 200.33.1.0/26

b 200.33.1.64/26

c 200.33.1.128/26

d 200.33.1.192/26.

Juntas, as VLANs 10 e 60, que j definimos, consomem por inteiro as sub-redes a, c e d.

A sub-rede b, que resta, pode ser dividida em duas sub-redes /27, que chamaremos redes
Introduo rede Ip

d e e.

/26 /27

_________________________________________________________________________

64
b - 200.33.1.64/26 == 200.33.1.01 000000 == d - 200.33.1.010 00000

== e - 200.33.1.011 00000

-----------------------------------------------------------------------------------------------------------------------

Metade da rede d (um /28) j foi consumida pela VLAN 40. A rede e permanece disponvel.
Nesse ponto, temos ento disposio uma rede /27 inteira (a rede e) e uma rede /28 inteira.

Resta definir os endereos das VLANs 20, 30 e 50. A maior delas a VLAN 50. Como o obje-
tivo buscar a ao o mais simples possvel, vamos verificar se possvel manter os hosts
dessa VLAN com seus IPs inalterados. O range atual um /27:

200.33.1.96/27

Esse range corresponde rede e, que est disponvel. Ento, alocamos a rede para a VLAN 50.

VLAN Nome Prefixo Total de IPs IPs em uso Demanda

10 PCs administrao 200.33.1.128/25 126 112 126

40 Servios 200.33.1.64/28 14 11 12

50 PCs professores 200.33.1.96/27 30 5 20

60 PCs alunos 200.33.1.0/26 62 xxx 40

Resta alocar endereos para as VLANs 20 e 30. Ambas as redes so /29. Nesse momento,
ainda nos resta uma rede /28, que pode ser dividida em duas redes /29.

A VLAN 20 originalmente usava o range 200.33.1.32/28, o qual j est em uso nesse


momento. Ento, usamos uma rede /29 que ainda est disponvel. Usamos a rede
200.33.1.80/29, por exemplo. Para a VLAN 30, resta a rede 200.33.1.88/29. Dependendo das
decises que o grupo tomou, esta VLAN 30 pode nem ser necessria.

Captulo 4 - Roteiro de Atividades 2

65
66
Introduo rede Ip
5
Servios e gerenciamento da rede
da instituio
objetivos

Descrever os principais servios de rede da instituio, os procedimentos para obteno


de blocos de endereos IP e as principais ferramentas de gerenciamento de rede.

conceitos
Servios DNS, registro MX, web, SFTP, e-mail, repositrio de arquivos, firewall, DMZ, NAT.

Servios de rede
O objetivo maior de uma rede local prover servios a seus usurios. Pode-se dizer que
esses servios so o que os clientes realmente enxergam. Do ponto de vista do adminis-
trador de redes comum receber uma descrio de reclamao do tipo rede lenta, quando
na verdade h um nico servio que apresenta lentido. Muitas vezes todos os outros ser-
vios esto funcionando a contento.

11 Os servios podem ser hospedados na prpria rede local ou em redes remotas, que q
pertencem a terceiros.

11 A vantagem de se manter servios na rede de terceiros a simplificao da tarefa de


sua administrao.

Captulo 5 - Servios e gerenciamento da rede da instituio


11 Nesse caso, a responsabilidade pela manuteno da boa sade dos servidores fica
com os administradores da rede remota.

11 A grande desvantagem que a qualidade do servio prestado na rede local fica


merc da capacidade daquela equipe remota.

11 A desvantagem descrita faz com que os administradores da rede local sejam levados
a manter alguns servios fundamentais na prpria rede local.

11 Sero feitas sugestes de servios que devem ser mantidos em rede local.

DNS
O servio de DNS pode ser tema de um curso inteiro. Os detalhes do funcionamento do
servio no sero explorados aqui, de modo que faremos apenas uma anlise suficiente
para os objetivos deste curso.

11 O DNS pode ser descrito como uma grande e importante base de dados distribuda q
pela internet.

67
11 Essa base responsvel por um dos servios mais importantes da internet contem- q
pornea: a traduo de nomes para endereos IP.

Os usurios da internet no conhecem o endereo IP de nenhum servio, mas conhecem o


seu nome. O PC desses usurios, por sua vez, precisa do endereo IP para acessar o servio.
Dessa forma, uma traduo nome-IP dever ocorrer.

Quando o usurio digita no seu browser o URL www.rnp.br, o servio de DNS dever ser
acionado para que o browser efetivamente consiga buscar o IP do stio da RNP.

Existem diferentes tipos de servidores DNS, bem como diferentes mtodos de consulta.

11 Alm de usado para consultas a nomes de servios remotos, o DNS tambm usado q
para descobrir o IP de servios de rede local.

11 Quando se tenta, por exemplo, mapear uma pasta de rede chamada


\\servidor_arquivos1.esr.rnp.br\curso, o PC precisa saber o IP da mquina
servidor_arquivos1, que fica no domnio esr.rnp.br. O DNS dar essa resposta.

11 O servidor de DNS tem importncia particular para instituies que possuem nome
de domnio registrado junto ao Nic.br.

22 Nic.br o rgo responsvel pelo registro de domnios no Brasil, administrado


pelo Comit Gestor da Internet no Brasil (CGI.br).

11 Todo domnio com final .br deve ser conhecido pelos servidores DNS do Nic.br, ou
seja, deve estar registrado junto ao rgo.

11 Todo domnio precisa de pelo menos um servidor DNS autoritativo. q Figura 5.1
Organograma
11 Aos clientes da RNP sugerido um mnimo de dois servidores para esse fim (por Nic.br.

segurana).

11 Quando uma instituio registra um domnio, ela informa ao Nic.br quem (so) o(s)
servidor(es) DNS autoritativo(s) daquele domnio.
Introduo rede Ip

22 O servidor autoritativo aquele que responde pelo domnio.

Na Figura 5.2, o domnio rnp.br est registrado no Nic.br. O servidor DNS autoritativo do
domnio est hospedado na rede local da RNP. O Nic.br sabe quem esse servidor. Dessa
forma, quando um usurio da internet acessa o servio www.rnp.br, uma consulta DNS
gerada ao servidor de DNS que atende a esse usurio. Normalmente esse servidor est
hospedado no provedor de internet do usurio.

68
Esse servidor vai consultar recursivamente quantos servidores so necessrios para chegar
ao servidor autoritativo da RNP, que conseguir indicar o IP da mquina www do domnio
esr.rnp.br.

.br Servidor DNS rnp.br Servidor DNS


domnio .br domnio rnp.br

Pe
3 rg 5
un

!
te

Y
Y.
ao

Y.

?
br
Y.
D
N

p.

Q S

.rn
IP
ua rn

w
lo p.

w
br

w
IP

de
de

IP
w
w

lo
w 2 4
Ins

ua
.rn
tituio

Q
p.
b r?

Servidor DNS instituio

6
Qual o IP de
www.rnp.br ? O IP Y.Y.Y.Y !

1
Figura 5.2
Consulta recursiva
para localizar
www.esr.rnp.br.

11 Vantagens de uma instituio em manter o servidor DNS autoritativo do seu domnio q


sob sua prpria administrao:

22 Flexibilidade na administrao do servio.

22 Responsabilidade pela manuteno do servio.

11 Quando o servidor autoritativo est sob administrao de uma entidade externa, no

Captulo 5 - Servios e gerenciamento da rede da instituio


se pode garantir que o servio de nomes do domnio estar no ar o tempo todo.

11 Outro problema pode ser gerado toda vez que um servio do domnio precisar mudar
de endereo IP.

11 Quando uma instituio passa a fazer parte do sistema autnomo da RNP, comum
que seus endereos IP sejam migrados para o espao de endereamento da RNP.

Se a instituio tem a administrao do servidor DNS, ela mesma ter a oportunidade de


realizar a migrao do endereo, alterando tambm a configurao do servidor DNS respon-
svel pelos seus domnios. Se a administrao desse servidor fica a cargo de uma entidade
remota, a tarefa de migrao fica muito mais complicada.

A migrao de endereo IP de servios juntamente com a reconfigurao do DNS autoritativo


uma tarefa grande, que no ser aqui detalhada.

69
MX
O servio de DNS descrito prov acesso aos registros do tipo A (address).

11 Alm do acesso aos registros A, o servidor autoritativo de um domnio tambm q


pode prover consultas ao registro MX, usado na execuo do servio de e-mail.

11 Exemplo:

22 Um usurio da internet, proprietrio da conta de e-mail huguinho@cartoons.


com, deseja enviar uma mensagem de e-mail para zezinho@rnp.br.

22 O servidor de e-mail do domnio cartoons.com receber a mensagem e tentar


descobrir o IP de um servidor de e-mail do domnio rnp.br, que poder receber a
mensagem e pass-la para o usurio Zezinho.

22 Assim, ser gerada uma consulta DNS do tipo MX.

O endereo IP ser provido pelo servio de DNS, atravs do registro MX. Assim, o servidor
autoritativo responsvel pelo domnio rnp.br ser consultado. O servidor verificar o valor
configurado na entrada MX e responder. Descoberto o endereo do servidor de e-mail do
domnio do destinatrio da mensagem, o servidor de e-mail de cartoons.com se comuni-
car via protocolo SMTP com o servidor de e-mail de rnp.br, e a mensagem ser transferida.

Rede Local

DNS Qual IP do servio


Servidor DNS Local de correio de rnp.br ?
3
Servio DNS Internet
4
5 O IP X.X.X.X
Qual IP do servio
de correio de rnp.br ? O IP X.X.X.X
2

Servidor de Servidor de
Correio local Correio rnp.br
e-mail para
6 zezinho@rnp.br

7
e-mail para e-mail para
zezinho@rnp.br zezinho@rnp.br
1

Legenda:
Figura 5.3
DNS Consulta ao
SMTP
registro MX para
POP3
envio de e-mail.

Web
q
Introduo rede Ip

11 Esse servio o mais popular da internet.

11 Praticamente todas as instituies com um domnio registrado possuem um servidor


web que hospeda seu stio e servios on-line.

11 Deixar esse servio sob a hospedagem de terceiros significa entregar a entidades externas
a responsabilidade pela disponibilidade e manuteno dos servios web da instituio.

70
Existe uma grande tendncia de migrao de servios para o ambiente web, o que torna a
importncia desse servio ainda maior. Alguns especialistas preveem que na internet do
futuro (no muito distante) o usurio de PC ter apenas um nico programa instalado em
sua mquina: um web browser, que prover acesso a qualquer tipo de servio: web, e-mail,
edio de textos e planilhas, acesso remoto, home-banking, home-office, videoconferncia,
videochamada, videomedicina, monitorao remota de ambientes etc.

SFTP
11 Prov as mesmas funcionalidades do servidor de FTP, porm aplicando criptografia, q
para garantir a confidencialidade e integridade dos dados transferidos.

11 Esse servio possibilita transferir e armazenar arquivos na rede local.

11 A aplicabilidade desse servio na rede local vasta.

11 Dentre as vrias aplicaes, o uso desse servio evita que usurios da rede transfiram
grandes quantidades de dados via e-mail, o que nem sempre possvel por limitaes
do servio.

11 O servio de SFTP o mais adequado para prover transferncia de arquivos com


tamanho da ordem de megabytes ou gigabytes.

E-mail
11 O servidor de e-mail o responsvel por receber todas as mensagens destinadas aos q
usurios da rede local, bem como transmitir para os servidores de e-mail remotos
todas as mensagens de e-mail desses mesmos usurios.

11 Esse servio utiliza dois tipos de protocolo:

22 Um para a comunicao entre servidores de e-mail.

22 Outro para comunicao entre servidor de e-mail e cliente.

11 Os diferentes servidores se comunicam via protocolo SMTP.

11 A comunicao entre os softwares clientes e seus servidores pode se dar via proto-
colos IMAP ou POP3 para a recepo de mensagens.

11 Para o envio de mensagens usado tambm o SMTP.

Existem outros protocolos menos conhecidos para prover essa interao. Uma das princi-

Captulo 5 - Servios e gerenciamento da rede da instituio


pais diferenas entre esses protocolos que o Post Office Protocol version 3 (POP3) usado
em situaes onde se espera que um nico cliente precise se conectar a uma caixa postal.
O Internet Message Access Protocol (IMAP) permite que vrios clientes possam se conectar
mesma caixa postal. O IMAP adequado para situaes onde uma caixa postal utilizada
por mais de um usurio.

71
Servidor de Correio remetente Servidor de Correio destinatrio

SMTP

POP3
ou IMAP
SMTP

Figura 5.4
Servio de e-mail:
servidores e
clientes de e-mail.
Remetente Destinatrio

11 Muitas instituies no possuem mo de obra adequada para administrar um q


servidor de e-mail.

11 Nesses casos pode-se fazer uso de um servio de e-mail comercial, administrado por
uma entidade externa.

11 Nesse caso cabe instituio cuidar apenas da comunicao entre os softwares


clientes de e-mail e esses servidores externos (usando SMTP e POP3 ou IMAP).

11 Quando o servio de e-mail fica hospedado em um ambiente externo, a sua disponibi-


lidade e qualidade ficam a cargo de terceiros.

Internet Servidor de correio externo Servidor de correio destinatrio

SMTP
Rede local

POP3 ou IMAP

SMTP

Remetente Destinatrio
Figura 5.5
Servio de e-mail
hospedado
remotamente.
Introduo rede Ip

Repositrio de arquivos
11 Esse servio provido atravs dos ditos HDs virtuais, servio largamente oferecido q
na internet de graa.

11 Sua utilidade grande, pois permite a usurios da instituio compartilhar arquivos e


documentos com qualquer usurio da internet ou com usurios da prpria instituio
que estejam trabalhando remotamente.

72
11 O compartilhamento feito sem que o usurio remoto necessite de qualquer recurso q
especial, basta uma conexo internet.

11 importante que esse servio seja usado apenas como repositrio e nunca como
ponto oficial de armazenamento de dados relevantes.

O motivo trivial: a disponibilidade de arquivos e documentos importantes da instituio


no pode ficar sob a dependncia de entidades externas.

Firewall, DMZ e NAT


11 Esses trs recursos so largamente utilizados na borda da rede local. q
11 Normalmente o firewall o elemento que protagoniza a implementao da rede
DMZ e tambm do NAT, embora o NAT possa ser feito normalmente por um rote-
ador ou switch L3.

Internet

Rede DMZ

Figura 5.6
Rede corporativa Rede corporativa
e DMZ: firewall.

A figura anterior explicita o uso clssico do firewall.

11 Os servios hospedados na rede DMZ (zona desmilitarizada) devem estar acessveis q


a partir da internet.

11 Os servios e hosts da rede corporativa no podem ser acessados por entidades na


internet.

11 Esses objetivos so alcanados atravs de regras construdas no firewall.

Captulo 5 - Servios e gerenciamento da rede da instituio


11 A operao bsica dos firewalls comparar todos os pacotes que passam pelas suas
interfaces com regras configuradas manualmente pelo administrador de redes.

11 Se o pacote estiver contemplado nas regras de permisso ele receber servio. Do


contrrio, ser descartado.

11 Em muitas redes os firewalls tambm fazem a tarefa de NAT e PAT.

As figuras seguintes definem a operao de NAT e PAT.

73
10.0.1.1 200.1.1.1
10.0.1.1 10.0.1.2 200.1.1.2
10.0.1.3 200.1.1.3

10.0.1.2

Internet

10.0.1.3

Figura 5.7
Operao do NAT:
converso de
endereos.

10.0.1.1:8811 200.1.1.1:8811
10.0.1.1 10.0.1.2:9112 200.1.1.1:9112
10.0.1.3:8811 200.1.1.1:13532

10.0.1.2

Internet

10.0.1.3

Figura 5.8
Operao do PAT:
converso de
endereo e porta.

11 Nos dias atuais, o PAT muito mais usado que o NAT, porque efetivamente economiza q
o uso de endereos IP, dado que todos os elementos de uma rede so enxergados na
internet sob um nico endereo.

22 O efeito prtico que apenas um endereo IP vlido consumido.

22 Todos os demais endereos IP so privados e no sero enxergados na internet.

11 NAT e PAT tambm podem ser implementados em roteadores, embora alguns


Introduo rede Ip

autores defendam que essa tarefa deve ser realizada no firewall.

11 O argumento principal que os recursos de hardware do roteador devem ser usados


para a tarefa de rotear, ao passo que a arquitetura do hardware do firewall conce-
bida de modo a torn-lo adequado a essa tarefa.

11 O modelo Juniper J2350 fornecido s organizaes usurias suporta NAT e PAT.

74
Procedimento de solicitao de bloco IP
11 Uma vez qualificada pelo CG-RNP para ser cliente da rede Ip, a organizao usuria q
ter direito a um bloco IP fornecido pela RNP.

11 A solicitao desse bloco feita pelo contato tcnico da organizao e constitui uma
das etapas do processo de qualificao da organizao usuria.

11 O contato tcnico ganhar um acesso extranet da RNP e ter que preencher um ques-
tionrio fornecendo vrias informaes, incluindo o nmero de hosts endereveis de
sua rede e a perspectiva de crescimento desse nmero para os prximos anos.

22 Nesse mesmo questionrio solicitado um bloco IP.

11 A solicitao de bloco tambm pode ocorrer posteriormente ao processo de qualificao.

11 Depois de algum tempo, caso haja perspectiva de crescimento da rede, a instituio


poder solicitar um bloco adicional atravs de seu contato tcnico.

22 Nesse caso, o pedido ser feito por e-mail.

22 Uma mensagem com o nmero de IPs adicionais necessrios e a justificativa do


pedido dever ser enviada para registro@rnp.br.

22 O solicitante receber uma resposta automtica do sistema de trouble-ticket da


GO e dever aguardar um retorno.

22 A GO avaliar a justificativa do pedido, que poder ser atendido integral ou parcial-


mente, ou ser negado.

Em caso de dvidas em relao ao procedimento, a instituio poder ainda entrar em


contato com o seu PoP, que poder buscar informaes junto GO, se necessrio. A solici-
tao de endereos IPv6 feita atravs do mesmo procedimento.

Adequao do tamanho do bloco s necessidades da IFES


11 Endereos IPv4 so recursos escassos e devem acabar nos prximos anos. Por isso, q
no s a RNP, mas todos os sistemas autnomos que compem a internet mundial
usam certo critrio ao alocar os blocos IP.

11 A instituio no poder escolher o bloco IP que usar, mas o tamanho do seu bloco.

11 Os nmeros IP propriamente ditos sero definidos pela RNP de acordo com a sua

Captulo 5 - Servios e gerenciamento da rede da instituio


convenincia.

11 A solicitao do tamanho do bloco deriva da quantidade de hosts que precisam de


endereos e da perspectiva de escalabilidade da rede.

11 Caso julgue que o tamanho do bloco solicitado pela instituio no proporcional


realidade da infraestrutura dela, a RNP poder questionar a real necessidade do
bloco e sugerir um novo bloco.

DNS reverso
11 O servio de DNS reverso, como o nome sugere, executa uma tarefa oposta ao DNS q
tradicional, mas de modo similar.

11 Em determinadas situaes importante para uma aplicao descobrir um nome a


partir do endereo IP, e no o contrrio.

22 Isso particularmente interessante quando se quer garantir que o hostname


da mquina que enviou uma mensagem realmente possui o endereo IP que se
encontra no pacote da mensagem.

75
11 O servio de DNS tradicional utiliza os registros do tipo A (address). O DNS reverso q
funciona atravs de consultas aos registros PTR dos servidores de DNS.

11 Uma das aplicaes mais latentes do DNS reverso atualmente est ligada ao servio
de e-mail.

22 Ao enviar um e-mail, o software cliente tem total liberdade para editar os campos
do remetente, data, hora e destinatrio da mensagem.

22 Esses dados no so questionados pelo protocolo que far a transmisso do


e-mail, o SMTP.

22 Dessa forma, nada impede que um software malicioso envie um e-mail preen-
chendo o campo do remetente com um valor falso.

11 comum para qualquer usurio da internet receber e-mails aparentemente remetidos por
seus amigos com mensagens de anncios comerciais, um tipo de spam mais elaborado.

11 O problema do spam se tornou to macio que praticamente todos os servidores de


e-mail importantes, ao receberem um e-mail, fazem a consulta de reverso para averi-
guar se o endereo IP do remetente coincide com a informao contida no servio de
DNS reverso.

11 O exemplo a seguir ilustra a utilidade do DNS reverso para o servio de e-mail:

22 O servidor de e-mail do domnio rnp.br recebeu um e-mail de luizinho@cartoons.


com para huguinho@rnp.br.

22 Antes de repassar o e-mail para o usurio Huguinho, o servidor de e-mail pergunta


ao DNS o hostname do servidor de e-mail cujo IP 200.1.1.1 (IP origem que chegou
na mensagem de e-mail).

11 O DNS comea uma busca recursiva at chegar ao servidor DNS, que responde por
consultas de reverso para o range 200.1.1.0/24.

11 Esse servidor responder que o hostname procurado mail.cartoons.com. Com


isso, a autenticidade da mensagem reconhecida.

11 Se o administrador do domnio cartoons.com no tivesse configurado o DNS


reverso corretamente a procura falharia e o servidor em rnp.br teria dvidas sobre
a real identidade do remetente.

11 Dependendo da configurao do servidor destino, a mensagem poder ser entregue,


descartada ou movida para uma pasta de spam.

11 O resultado prtico que se o DNS reverso de uma instituio no est registrado corre-
tamente, vrios e-mails enviados por usurios daquela instituio no sero entregues.

22 A entrega depender da configurao do servidor do domnio destino.

A configurao de DNS reverso similar ao DNS tradicional. A instituio deve informar ao


seu provedor (RNP) quais so os servidores autoritativos que respondem pelo servio de
DNS reverso para seus IPs. A RNP difundir a informao para os root servers da internet.
Dessa forma, toda vez que um servidor DNS qualquer da internet receber uma consulta
de DNS reverso para um IP da instituio, a consulta ser direcionada para o servidor DNS
Introduo rede Ip

registrado, que poder responder consulta.

Procedimento para cadastro de reverso


11 O cliente da RNP precisar configurar entre 2 e 5 servidores autoritativos para q
responder pelo seu domnio.

76
11 Em seguida, dever enviar um e-mail para registro@rnp.br informando os hostnames q
dos servidores e a faixa de IP pelas quais eles respondem.

11 Dvidas sobre a configurao do servidor DNS propriamente dito podero ser escla-
recidas junto ao PoP da RNP.

11 A configurao do DNS reverso no servidor da instituio no atribuio do PoP,


mas da instituio.

Gerenciamento da rede da instituio


11 A gerncia da rede uma das tarefas mais importantes do dia a dia da administrao q
de redes.

11 Essa atividade permite ao administrador conhecer o nvel de utilizao dos recursos


e servios da rede, de modo que quando ocorrem variaes dos nveis considerados
cotidianos a equipe tcnica ter condies de perceber a mudana mais rapidamente.

11 Ocorre assim menor tempo de reao a problemas ou a potenciais problemas.

11 Alguns recursos tipicamente monitorados so:

22 Utilizao de CPU e memria de servidores, roteadores e switches.

22 Conectividade IP de servidores, roteadores e switches.

22 Processos especficos de servidores.

22 Utilizao do enlace de dados do roteador de borda.

22 Status de componentes de hardware de servidores, roteadores e switches, como


fontes, ventiladores e processador.

11 O PoP da RNP executa a monitorao do enlace de dados que conecta a organizao


usuria rede Ip.

11 Grande parte dos PoPs j disponibiliza essa informao on-line em seu website.

11 A gerncia dos recursos e servios nas redes locais da instituio no atribuio da


RNP nem de seus PoPs.

Servios que devem ser gerenciados


11 Todo servio que agregue valor atividade da instituio ou que suporte suas ativi- q
dades candidato potencial a ser gerenciado.

Captulo 5 - Servios e gerenciamento da rede da instituio


11 Isso inclui os servios de e-mail, DNS, portais web, SAP e outras plataformas de servio.

11 A atividade de gerncia de rede pode abranger a monitorao de componentes


de hardware e/ou software que sejam fundamentais disponibilidade dos
servios gerenciados.

Documentao
11 A documentao da rede um dos maiores desafios que acompanham a atividade de q
administrao de rede.

11 Embora seja uma tarefa simples, raramente existe uma equipe exclusivamente designada
para esse fim, o que quase sempre provoca a existncia de documentao desatualizada.

Estudos mostram que o ambiente de rede bem documentado tem menor tempo de dispo-
nibilidade que ambientes desorganizados. Esse dado facilmente justificado. Um bom pro-
cesso de documentao recomendvel e contribui para o bom desempenho dos servios e
para reduo do downtime, simplificando troubleshooting e aprovisionamentos.

77
De posse da descrio de um problema e da documentao da topologia, do cabeamento e
das VLANs da rede, pode-se avaliar com facilidade os pontos da rede com maiores chances de
provocar a falha. Em alguns casos pode-se diagnosticar o problema sem sequer conectar-se a
um equipamento de rede.

A definio de um bom processo de documentao juntamente com uma ferramenta


adequada recomendvel para o bom desempenho dos servios que dependem do bom
funcionamento da rede de dados de uma instituio.

Ferramentas de monitoramento
11 Existem diversas ferramentas projetadas para realizar o gerenciamento de redes. q
11 H boas opes de solues proprietrias bem como competentes ferramentas de
software livre.

11 As ferramentas proprietrias tm a desvantagem de serem caras.

11 O software livre grtis e em muitos casos pode oferecer servios to adequados s


necessidades da instituio quanto as solues de mercado.

No entanto, o bom desempenho das ferramentas livres depende fortemente da dedicao


de mo de obra tcnica para customiz-las para as necessidades da instituio, o que requer
tempo e dedicao. Feito isso seu desempenho ser satisfatrio.

A seguir sero apresentadas algumas ferramentas de gerncia implementadas em software livre.

Cacti q
11 Ferramenta totalmente grfica baseada em consultas SNMP.

11 Praticamente qualquer recurso de rede compatvel com o protocolo SNMP (popular


no mercado de tecnologia) pode ter um grfico plotado.

11 Inclui interfaces de rede, utilizao de CPU, memria, rea de swap de servidores etc.

11 Os grficos so armazenados em base de dados do tipo RRD.


Introduo rede Ip

Figura 5.9
Cacti.

78
MRTG q
11 Ferramenta totalmente grfica com a mesma proposta do Cacti, mas possui menos
recursos.

11 Tambm utiliza o protocolo SNMP como principal recurso.

Figura 5.10
MRTG.

NFSen q
11 Ferramenta grfica que recebe e processa mensagens de flow dos equipamentos
de rede.

11 Permite traar o grfico de utilizao de interfaces de rede com um diferencial:


discernir as aplicaes que esto usando os recursos.

11 As ferramentas baseadas em SNMP permitem definir, por exemplo, que uma inter-
face de determinado roteador tem uso de 8Mbps em um determinado horrio.

11 J as ferramentas baseadas em flow, como o NFSen, permitem saber adicionalmente


que desse total:

22 1Mbps vem do servidor de e-mail, 2Mbps so de aplicaes de backup e 5Mbps


de trfego de internet.

Captulo 5 - Servios e gerenciamento da rede da instituio

Figura 5.11
NFSen.

79
Muitas outras ferramentas esto disponveis. As equipes da GO e dos PoPs utilizam diversas lPara mais informaes
ferramentas de gerncia para administrar a rede Ip. A experincia dessas equipes com as sobre o evento: http://
ferramentas de gerncia utilizadas compartilhada em eventos peridicos, como o WRNP. www.rnp.br/wrnp/
Os clientes da RNP so motivados a participar dos minicursos disponveis nesse evento.
O WRNP tem ainda outras propostas.
Introduo rede Ip

80
6
Instalao do roteador da RNP
objetivos

Descrever os requisitos de instalao fsica do roteador Juniper.

conceitos
Componentes bsicos dos roteadores J2350 e J2320.

Requisitos de instalao do roteador


11 A organizao usuria cliente da RNP receber em suas dependncias um roteador q
da RNP.

22 Esse equipamento ser um modelo Juniper 2350.

22 Ele far a interface entre a rede da instituio e a rede de acesso do PoP RNP.

11 Cada plataforma Juniper possui um guia de hardware que prov as instrues deta-
lhadas de instalao.

Esse captulo comentar detalhes do planejamento de instalao da plataforma da srie J.


O detalhamento de cada tarefa que compe o procedimento de instalao pode ser verifi-
cado no documento J Series Services Routers Hardware Guide.

Requisitos fsicos
11 O roteador da srie J preparado para ser instalado em um rack. q
11 Para abrigar o equipamento, um rack deve atender aos requisitos:

22 Rack de 19 polegadas, como definido pelo documento EIA-310-D, publicado pela


European Telecommunications Standards (ETSI).
Captulo 6 - Instalao do roteador da RNP

11 Racks populares do mercado contemplam esse padro.

O espao horizontal entre os suportes de um rack que satisfaz um dos padres citados
normalmente um pouco maior que o espao entre as presilhas de montagem do roteador,
que mede 19 polegadas (48,2 cm).

Caso o espao entre os suportes do rack seja configurvel, dever ser arranjado de modo a
acomodar as dimenses externas do chassi. Alm disso, deve-se verificar se a especificao
do rack permite que o peso do roteador seja adicionado carga total existente.

O modelo J2320 possui as seguintes dimenses: q


11 4,45 cm de altura, 38,35 cm de comprimento e 44,48 cm de largura.

81
11 O equipamento consome 1 RU do rack. q
11 Seu peso varia de 6,8 a 7,6 Kg, dependendo da quantidade de placas instaladas.

O modelo J2350 possui as seguintes dimenses:

11 6,63 cm de altura, 38,35 cm de comprimento e 44,48 cm de largura.

11 O equipamento consome 1,5 RU do rack.

11 Seu peso varia de 7,4 a 8,3 Kg, dependendo da quantidade de placas instaladas.

Em racks com mltiplos equipamentos deve-se certificar que os mais pesados esto na
parte de baixo. Caso o rack tenha apenas um nico equipamento (o roteador RNP) reco-
mendado coloc-lo na parte inferior.

Requisitos de ventilao
O sistema de cooling dos roteadores J2350/J2320 funciona gerando o fluxo de ar de uma q
lateral do equipamento (no lado esquerdo) at a outra (no lado direito).

Assim, para que o sistema de cooling funcione adequadamente, necessrio que os lados
do equipamento tenham um espao livre. Dessa forma, recomendado que as paredes
laterais do rack sejam vazadas. Alm disso, recomenda-se que essas laterais tenham um
espao livre de pelo menos 15 cm. O roteador tem cinco ventiladores que enviam ar do
lado esquerdo do roteador para o direito. Esse fluxo de ar mantm o equipamento em
temperatura adequada.

11 A velocidade dos ventiladores ajustada automaticamente dependendo da q


temperatura corrente.

11 As entradas de ar que abastecem os ventiladores devem ser limpas periodicamente.

11 A poeira reduz a capacidade de ventilao do sistema de cooling.

Figura 6.1
Requisitos de ambiente Roteador J2350:
ventilao lateral
A tabela seguinte exibe as condies de ambiente consideradas timas para a operao (Fonte: http:www.
normal do roteador Juniper. juniper.net)

Descrio Valor

Umidade relativa 5% a 90% sem condensao

Temperatura 0% a 40%

Consumo de calor J2350 1195 BTU/h (350 W)


Tabela 6.1
Consumo de calor J2320 1091 BTU/h (320 W) Requisitos de
Introduo rede Ip

ambiente.

Requisitos eltricos e planejamento de fora


O modelo J2320 compatvel com potncia AC. Da srie J, apenas os modelos J2350,
J4350 e J6350 esto disponveis em DC. A tabela a seguir ilustra as especificaes eltricas
do equipamento.

82
Descrio Valor

Voltagem AC 100 240 V

Frequncia AC 50 a 60 Hz

Tabela 6.2 Corrente AC J2350 3,5 A a 1,5 A


Especificaes
eltricas. Corrente AC J2320 3,2 A a 1,3 A

Os cabos de fora apropriados so disponibilizados junto com o equipamento. O conector


fmea do cabo deve ser conectado tomada macho do roteador, que levar a energia at a
fonte AC. O plug macho disponvel no cabo, o qual se ligar fonte de energia do prdio,
ser compatvel com a localizao geogrfica do usurio.

importante que o ambiente seja pensado de tal forma que o cabo de fora no atravesse o
mesmo caminho que ser usado pelas pessoas.

11 Antes de adicionar novas PIMs (Physical Interface Module) ao chassi, preciso veri- q
ficar se a combinao de PIMs e mdulos no exceder a capacidade de fora e calor
do equipamento.

11 Se a funcionalidade de J Series Power Management estiver habilitada, PIMs e


mdulos que excederem a capacidade de fora e de calor permanecero desligadas
quando o chassi for ligado.

Manuseio de placas
Placas da Juniper (PIMs ou outras) so dispositivos caros e sensveis. A seguir exemplos de
como NO se deve fazer o translado de uma placa.

Figura 6.2
Como NO
transportar
uma placa.
Captulo 6 - Instalao do roteador da RNP

As placas devero ser transportadas com as duas mos apoiando a parte inferior do hardware.

83
Figura 6.3
Como transportar
uma placa.

Descarga eletrosttica
11 Placas que so retiradas do equipamento contm partes sensveis descarga q
eletrosttica.

11 Placas PIMs (ou outras) podem sofrer danos sob voltagens da ordem de 30 V.

11 Uma pessoa pode facilmente gerar uma energia esttica dessa magnitude quando
manuseia um material plstico ou uma embalagem de espuma, por exemplo.

11 Para evitar prejuzos desnecessrios, deve-se observar as precaues contra


descarga eletrosttica:

22 Sempre use uma pulseira (ou tira) eletrosttica ao manusear placas do roteador.

22 Certifique-se de que a pele est em contato com a pulseira.

11 Se possvel, verifique periodicamente a resistncia do material usado. Esse valor deve


sempre estar entre 1 e 10 mega ohms.

11 Ao manusear um componente do hardware, certifique-se de que o fio da pulseira eletros-


ttica est em contato com um dos pontos de descarga eletrosttica do chassi.

11 Evite o contato do hardware com a sua roupa. Ela tambm pode emitir voltagem sufi-
ciente para danificar o equipamento.

11 Ao remover um componente do hardware do roteador, sempre o coloque em um local de


modo que os componentes eletrnicos fiquem em contato com uma superfcie eletrosttica.

Aterramento
recomendvel que a infraestrutura fsica que abrigar o roteador da RNP possua recursos
para dissipao de energia, tal qual uma malha de terra.

Para proteger o equipamento de descargas, deve-se aterr-lo antes de ligar. O equipamento


traz na sua parte traseira um pino prprio para a conexo do aterramento. Alm do pino terra,
uma rosca, um parafuso e uma arruela so fornecidos para acoplar o fio de terra ao roteador.
Introduo rede Ip

84
Ponto de aterramento
de proteo em chassis

Parafuso com
arruela prisioneira

Terminal de aterramento

Figura 6.4
Aterramento.

Componentes bsicos do roteador J2350

CONFIG Auxiliary Phisical Interface


POWER LED LED port Module (PIM) PIN blanks

STATUS LED
ALARM LED
HA LED
Power RESET Console LAN USB ports ESD
button CONFIG port ports point
button

Figura 6.5 O roteador J2350 um equipamento da srie J. O hardware tem as seguintes caractersticas
Juniper J2350. principais:

11 Ocupa 1,5 RU de rack. q


Captulo 6 - Instalao do roteador da RNP

11 512 MB de DRAM (expansvel at 1GB).

11 512 MB de compact flash disc (expansvel at 1GB).

11 400 Mbps de vazo.

O roteador possui:

11 Duas portas USB, que permitem que um drive USB seja usado como unidade de armaze-
namento secundria;

11 4 portas Ethernet 10/100/1000 Mbps fixas;

11 5 Slots para PIMs (h grande variedade de PIMs disponveis).

85
Componentes bsicos do roteador J2320

CONFIG Console Phisical Interface


POWER LED LED port Module (PIM) PIN blanks

STATUS LED
ALARM LED

HA LED Power RESET Auxiliary LAN USB ports ESD


button CONFIG port ports point
button

O roteador J2320 o equipamento de entrada da srie J. O hardware tem as seguintes Figura 6.6
caractersticas principais: Juniper J2320.

11 Ocupa 1 RU de rack. q
11 256 MB de DRAM (expansvel at 1GB).

11 256 MB de compact flash disc (expansvel at 1GB).

11 Possui uma porta USB, que permite que um drive USB seja usado como unidade de
armazenamento secundria.

11 400 Mbps de vazo.

11 4 portas Ethernet 10/100/1000 Mbps fixas.

11 3 slots para PIMs (h grande variedade de PIMs disponveis).

Os demais componentes da srie J2300 so descritos a seguir:

11 Ponto ESD (eletrostatic discharge): usado para conectar uma pulseira eletrosttica;

11 LED Alarm: se aceso, indica que h um alarme ativo. Pode ser um alarme crtico, majori-
trio ou minoritrio. Para mais detalhes ser necessrio se conectar ao sistema;

11 LED Power: se aceso, indica que o equipamento est ligado;

11 Boto Power: se pressionado e solto em seguida, ligar o roteador. Com o equipamento


ligado, se o boto pressionado e solto rapidamente, provoca o processo de desli-
gamento educado (no abrupto). Se o boto pressionado por mais de 5 segundos
provoca o desligamento imediato do roteador.

11 Boto Reset Config: se pressionado e solto em seguida provoca o carregamento e o


commit da rescue configuration. Se pressionado durante 15 segundos provoca a
deleo de todas as configuraes, carrega a configurao de fbrica e faz commit dela;

11 LED Configuration: pisca verde durante o carregamento da rescue configuration ou da


Introduo rede Ip

configurao de fbrica. Pisca vermelho enquanto as configuraes esto sendo dele-


tadas e a configurao de fbrica est sendo carregada;

11 Porta Console: a porta prov um terminal (RS-232) com um conector RJ-45. usada para
acessar a CLI do roteador;

86
11 Porta Auxiliar: a porta prov um terminal (RS-232) remoto com um conector RJ-45.
usada para acessar a CLI do roteador remotamente;

11 Portas USB: aceitam a conexo de um drive USB que ser usado como um meio de arma-
zenamento;

11 Portas LAN: recebem conexes de rede do padro 10/100/1000 Base-TX Gigabit Ethernet;

11 Terminal de aterramento: o ponto de contato definido para conexo do fio de terra;

11 Drive Compact Flash Externo: prov um meio de armazenamento secundrio para


arquivos de log, de configurao e imagens de sistema operacional;

11 Tomada de fora: o ponto de conexo do cabo de fora AC que alimentar o equipamento;

11 Ventiladores (fans) da fonte: proveem resfriamento automtico da fonte de alimentao.

Captulo 6 - Instalao do roteador da RNP

87
88
Introduo rede Ip
7
Fundamentos de Junos
objetivos

Descrever as caractersticas bsicas do sistema operacional Junos.

conceitos
Caractersticas do Junos, plano de controle, plano de encaminhamento e
processamento de trfego.

Software modular
11 O sistema operacional da Juniper o Junos. q
11 Foi desenvolvido a partir do cdigo aberto do Free BSD e tornou-se uma referncia no
mercado de redes por sua estabilidade e modularidade.

11 Alguns grandes fabricantes do mercado esto partindo para a mesma proposta, de


customizar software livre de modo a adequ-lo s necessidades de seus equipamentos.

11 As funcionalidades do Junos so alocadas em mltiplos processos de software.

22 Cada processo possui uma funo especfica e roda em seu prprio espao (prote-
gido) de memria, garantindo que um processo no sofra com falta de recursos e
no interfira nos recursos de outros.

11 A modularidade ajuda a manter problemas isolados.

11 Quando um processo falha, o sistema como um todo continua funcionando, perde-se


apenas a funcionalidade pela qual o processo responsvel.

11 A arquitetura do Junos tambm favorece a insero de novas funcionalidades.

11 Em outros sistemas comum trocar-se toda a imagem do sistema operacional para


adicionar novas funcionalidades.

11 No Junos essa operao mais simples e consequentemente traz menos riscos de falha.
Captulo 7 - Fundamentos de Junos

Ao adicionar novas funcionalidades no Junos, no se corre o risco de perder outras.

89
Figura 7.1
Modularidade
Juniper.

11 Todas as plataformas que utilizam o Junos usam o mesmo cdigo-fonte em imagens q


especficas.

11 Esse design garante que as funcionalidades do software funcionam de maneira


similar em todas as plataformas que utilizam o Junos OS.

11 Esse fator faz com que a configurao e a operao das diferentes plataformas fun-
cionem exatamente da mesma maneira.

Separao entre planos de Controle e de Encaminhamento


11 Toda plataforma Juniper tem a mesma filosofia de trabalho: manter uma separao q
bem definida entre as tarefas de controle e de encaminhamento.

11 Dessa forma, as plataformas definem uma entidade especfica para cada uma dessas
funes: o plano de controle e o plano de encaminhamento.

Routing Engine

RT FT JUNOS
Software
Control Plane Internal link

Forwarding Plane
Figura 7.2
FT Separao
Frames/ Frames/ entre planos de
Packets in Packets out Controle e de
Packet Forwarding Engine
Encaminhamento.

O esquema mostrado na figura exibe a separao mantida entre o plano de controle


(Control Plane) e o plano de encaminhamento (Forwarding Plane).

Os processos responsveis pelo encaminhamento dos pacotes ficam totalmente separados


Introduo rede Ip

dos demais, que cuidam dos protocolos de roteamento e tarefas administrativas da caixa. Esse
design permite ao usurio do equipamento ajustar cada processo conforme sua necessidade.

11 O plano de controle executado pela Routing Engine (RE), enquanto o plano de enca- q
minhamento implementado pela Packet Forwarding Engine (PFE).

11 A RE se comunica com a PFE atravs de um canal de comunicao interno exclusivo


para esse fim. Atravs desse canal a PFE recebe a Forwarding Table (FT) atualizada.

90
11 As mensagens de atualizao da FT tm alta prioridade do kernel do Junos. q
11 Enquanto a RE prov a inteligncia do sistema, a PFE pode simplesmente executar o
encaminhamento dos pacotes com alto grau de confiabilidade e performance.

Embora todas as plataformas Juniper utilizem o mesmo conceito de separao entre con-
trole e encaminhamento, a implementao dos componentes que definem a RE e a PFE varia
de modelo para modelo. Nos equipamentos das sries M e T (mais robustos), a RE e a PFE
compreendem diferentes hardwares. A PFE executada em circuitos integrados exclusivos
(ASICs) enquanto a RE implementada por um processador.

Nos equipamentos da srie J a PFE implementada em software e conta com recursos


exclusivos de memria e ciclos de CPU, fazendo com que a PFE tenha o mesmo grau de esta-
bilidade dos modelos maiores. A RE ainda implementada em um processador. Alm disso,
processadores de rede em cada interface fsica (PIM) executam servios de rede especficos,
de forma a economizar recursos do hardware da RE principal da caixa.

Routine Engine (RE)


A RE o crebro da plataforma, responsvel por: q
11 Gerenciar o sistema.

11 Processar e propagar anncios dos protocolos de roteamento.

11 Manter a tabela de rotas (routing table).

11 Calcular e manter a tabela de encaminhamento (forwarding table).

11 Atualizar as informaes de encaminhamento junto PFE.

Routing Engine

RT FT JUNOS
Software
Control Plane

Forwarding Plane
Figura 7.3
Packet Forwarding Engine
Routing engine.

A RE tambm executa os processos de todos os protocolos executados na caixa, bem como


todos os demais softwares que controlam as interfaces de rede, os componentes do chassi e
a superviso do sistema. Esses softwares so executados pelo kernel do Junos, que interage
com a PFE.

11 A RE prov a interface de linha comando (Command Line Interface CLI) e a interface q


Captulo 7 - Fundamentos de Junos

J-Web GUI, atravs das quais o usurio acessa e controla o roteador.

11 Por fim, a RE controla as aes da PFE atravs de informaes de encaminhamento


atualizadas que so passadas quela entidade.

11 Os processos que residem no microcdigo da PFE tambm so gerenciados pela RE.

11 A PFE envia mensagens de status para a RE, que agir caso alguma mensagem
reporte uma situao inadequada.

91
Packet Forwarding Engine
11 A PFE o componente central do plano de encaminhamento. q
11 Sua funo despachar os pacotes recebidos com a maior velocidade possvel.

11 Essa tarefa baseada na informao de uma FT local da PFE.

11 A manuteno dessa tabela local evita que a PFE tenha que consultar as tabelas da RE
para tomar a deciso de encaminhamento de cada pacote.

11 Esse design permite que o encaminhamento de pacotes continue funcionando em


cenrios de falha do plano de controle.

Routing Engine

Control Plane

Forwarding Plane

FT
Frames/ Frames/ Figura 7.4
Packets in Packets out
Packet Forwarding Engine Forwarding Engine.

A FT local da PFE sincronizada com as informaes de encaminhamento providas pela RE.


Alm de encaminhar pacotes, a PFE tambm executa outros servios avanados como: limi-
tador de trfego (Policer), filtros de firewall e CoS (Class of Service). Outros servios podem
ser oferecidos atravs de cartes de servio especficos que podem ser adicionados caixa,
como gerao de flows.

Processamento de trfego
Trfego de trnsito
11 Consiste em todo trfego que entra por uma interface de rede fsica, tem par- q
metros comparados com a tabela de encaminhamento e deixa o chassi por uma
interface de sada.

11 Para que o encaminhamento do pacote seja feito com sucesso, precisa haver uma
entrada na FT da PFE.

11 O trfego de trnsito passa somente pelo plano de encaminhamento e nunca


processado pela RE diretamente, ou seja, o plano de controle no tratar os pacotes
referentes ao trfego de trnsito.

11 Mantendo o processamento do trfego de trnsito confinado ao plano de encaminha-


mento, as plataformas que executam o Junos conseguem otimizar seus recursos de
hardware para as tarefas especficas de controle e de processamento de trfego.

11 Trfegos unicast e multicast so ambos classificados como trfego de trnsito, sendo


processados pela PFE e no pela RE.
Introduo rede Ip

92
Routing Engine

CPU

Control Plane

Forwarding Plane

FT
Frames/ Frames/
Figura 7.5 Packets in Packets out
Trfego de trnsito. Packet Forwarding Engine

O trfego unicast chegar ao roteador por uma interface de entrada e sair por apenas
uma interface de sada. O trfego multicast entrar por uma interface de entrada e poder
sair por vrias interfaces de sada, dependendo do nmero e da localizao dos receptores
multicast presentes na rede.

Trfego de exceo
O outro tipo de trfego processado pelo roteador o trfego de exceo. Diferente do
trfego de trnsito, tratado mecanicamente pela PFE, o trfego de exceo requer alguma
forma de processamento especial. Alguns exemplos de trfego de exceo:

11 Pacotes endereados ao prprio chassi, como atualizaes de protocolos de rotea- q


mento, sesses telnet, pings, traceroutes e respostas a sesses iniciadas pela RE.

11 Pacotes IP com o campo IP options preenchidos (raramente esse tipo de pacote


gerado e a PFE no foi desenvolvida para tratar esse caso).

22 Pacotes com o campo IP options marcado precisam ser enviados para apreciao
da RE.

22 Um exemplo de aplicao que utiliza o campo IP options o acelerador de trfego.

11 Trfego que requer a gerao de mensagens ICMP.

Mensagens ICMP so criadas para enviar ao originador de um trfego alguma condio de


erro ou para responder mensagens de ping. Um exemplo de erro ICMP a mensagem
Destination unreachable, gerada quando no h uma entrada na FT que atenda ao servio
do pacote ou quando o parmetro TTL tenha expirado.

Captulo 7 - Fundamentos de Junos

93
Routing Engine

CPU

Control Plane

Forwarding Plane

Frames / Packets in

?
Frames / Packets out Figura 7.6
Packet Forwarding Engine Trfego de exceo

11 Todo trfego de exceo remetido RE atravs de um link interno que conecta os q


planos de controle e de encaminhamento.

11 O Junos limita a quantidade de trfego de exceo nesse link interno para proteger a
RE de ataques de DoS (Denial of Service).

Durante congestionamentos, Junos d preferncia ao trfego local de controle, que desem-


penha as tarefas fundamentais para o bom funcionamento do roteador.

Routing Engine

CPU

Control Plane

Forwarding Plane Built-in Rate Limiting

Figura 7.7
Limitador de
Frames/
trfego no link
Packets in
Packet Forwarding Engine interno.

Por segurana, o limitador de trfego do link interno no configurvel.


Introduo rede Ip

94
8
Opes de acesso ao Junos
objetivos

Descrever as interfaces do usurio, os diversos modos de configurao, os procedimentos


de gravao e restaurao das configuraes.

conceitos
Acesso do usurio, CLI do Junos, modos de acesso, Ajuda, Help Topic, Help Reference,
completando comandos, teclas de edio EMACS, caractere pipe, modos de operao
e configurao, interface J-Web GUI.

A interface de usurio
11 O Junos oferece duas formas de acesso de usurio: linha de comando ou interface q
J-Web (http).

11 A interface de linha de comando do Junos (CLI Command Line Interface) pode ser
acessada de duas maneiras.

22 A primeira via porta console out of band (OoB).

33 Para tal acesso deve-se utilizar um cabo console para conectar a porta console
do roteador a um notebook (ou mesmo um PC).

33 Esse notebook dever ter instalado um programa emulador de terminal


(exemplo: Tera Term).

22 A outra forma de acesso interface de linha de comando via interface de rede


(in band), utilizando um protocolo de acesso como telnet ou SSH.

Diferentemente do acesso via console, para acessar a caixa via protocolo de acesso neces-
srio executar uma configurao prvia em alguma interface de rede (a interface precisa ter
IP configurado, por exemplo).
Captulo 8 - Opes de acesso ao Junos

Muitas plataformas da Juniper oferecem ainda uma porta ethernet dedicada apenas para
gerncia. Essa interface, a exemplo da porta console, tambm oferece acesso out of band.
Essa porta no oferece servio ao trfego de trnsito, e no existe no equipamento J2320.

11 O acesso do usurio ao sistema tambm se d via uma interface web que vem habili- q
tada de fbrica. A Juniper chama essa interface de J-Web.

11 J-Web uma interface grfica (GUI) que um usurio pode acessar utilizando protocolo
http (Hypertext Transfer Protocol) ou https (http over Secure Sockets Layer).

Web browsers populares como o Windows Internet Explorer ou o Mozilla Firefox so


capazes de prover esse acesso.

95
Essa interface web permite que o usurio configure parmetros mais comuns do roteador
atravs de janelas do tipo wizard. Para configuraes mais elaboradas, a J-Web permite
edio direta do arquivo de configurao da caixa, que um arquivo texto.

A CLI do Junos
Fazendo login
11 O primeiro passo para acessar a interface CLI fazer o processo de login. q
11 O Junos requer username e password para prover acesso ao sistema.

11 O administrador do sistema cria contas de usurios e as associa a um perfil de acesso.

11 Toda plataforma Junos possui a conta do usurio root configurada de fbrica, sem
senha.

11 recomendado que a senha seja configurada logo no primeiro acesso.

Ao se conectar ao equipamento, o usurio recebe um prompt que mostra o nome do


usurio e hostname do roteador (caso haja um configurado).

Processo de login:

host (ttyu0) q
11 login: user

11 Password:
--- JUNOS 9.5R1.8 built 2009-04-13 20:03:09 UTC

11 user@host>

22 O usurio root tem acesso completo a todas as funes do roteador.

11 Quando se faz o login utilizando o usurio root, tem-se acesso a um shell de Unix.

22 Para iniciar a CLI do Junos utiliza-se o comando cli.

22 Para terminar a sesso usa-se o comando exit.

11 Todos os demais usurios (no root) ao se conectarem no sistema j recebem a CLI do


Junos, sem necessidade do comando cli.

11 Para que um usurio no root tenha acesso a um shell, deve-se digitar o comando:
# start shell

Modos de acesso
A CLI do Junos permite duas modalidades de acesso: q
11 Modo de operao:

22 A CLI usada basicamente para monitorao e troubleshooting do roteador.

22 Comandos tpicos disponveis nesse modo: show, monitor, ping e traceroute.

33 Esses comandos permitem exibir informaes do sistema e executar testes,


mas no permitem alterar a configurao da caixa.
Introduo rede Ip

11 Modo de configurao:

22 O usurio pode configurar todos os parmetros do sistema incluindo interfaces,


protocolos, nvel de acesso de contas de usurio e propriedades do hardware.

96
Ajuda
11 A CLI do Junos prov acesso a um minimanual (help) em qualquer ponto da linha de q
comando.

11 O help informa as opes disponveis no ponto do comando onde a ajuda foi solici-
tada, fornecendo uma breve explicao de cada opo.

11 A ajuda pode ser invocada atravs do comando ?.

11 No necessrio confirmar o comando com enter; basta simplesmente digitar ?.

Quando o ponto de interrogao digitado na linha de comando, o Junos lista todos os


comandos e/ou opes disponveis.

Invocando ajuda:

user@host> ?

Possible completions:

clear Clear information in the system

configure Manipulate software configuration information

file Perform file operations

help Provide help information

user@host> clear ?

Possible completions:

arp Clear address resolution information

bfd Clear Bidirectional Forwarding Detection information

bgp Clear Border Gateway Protocol information

dhcp Clear DHCP information

No exemplo acima, na parte superior, o usurio solicitou ajuda na CLI em branco. O Junos
ento listou todos os comandos disponveis. Na parte inferior, o usurio solicitou ajuda
aps digitar o comando clear. A CLI informou todas as opes que podem ser usadas para
completar esse comando.

Se o ponto de interrogao digitado no meio da string de um comando, o Junos mostrar


todas as opes disponveis que comeam com a string em questo. Por exemplo, se no
Captulo 8 - Opes de acesso ao Junos

exemplo acima o usurio tivesse digitado clear a?, o sistema teria mostrado todas as
opes do comando clear que comeam com a letra a.

Help Topic
O comando help topic fornece um manual mais completo sobre um determinado q
tpico do sistema.

No exemplo a seguir, o usurio solicitou informaes sobre o tpico interfaces address. Na


sada do comando, a CLI explica como aplicar um endereo interface e as situaes em que
esse procedimento necessrio.

97
Help topic:

user@host> help topic interfaces ?

Possible completions:

accept-data Accept packets destined for virtual address

accept-source-mac Policers for specific source MAC addresses

accounting Packet counts for destination and source


classes

accounting-profile Accounting profile

acknowledge-timer Maximum time to wait for link


acknowledgment message

address Interface address and destination prefix

user@host> help topic interfaces address

Configuring the Interface Address

You assign an address to an interface by specifying the address when

configuring the protocol family. For the inet family, configure the

interfaces IP address. For the iso family, configure one or more

addresses for the loopback interface. For the ccc, tcc, mpls, tnp, and

vpls families, you never configure an address.

Help Reference
O comando help reference apresenta um manual sumarizado, um pouco mais prtico e q
menos terico, sobre um determinado tpico do sistema.

O exemplo seguinte exibe a aplicao do help reference sobre o mesmo tpico de sistema
do exemplo anterior.

O sistema explica as opes de configurao disponveis para o tpico e a sintaxe a ser utili-
zada, assemelhando-se ao comando man dos sistemas Unix.

user@host> help reference interfaces address

address

Syntax
Introduo rede Ip

address address {

arp ip-address (mac | multicast-mac) mac-address


<publish>;

broadcast address;

...

98
Hierarchy Level

[edit interfaces interface-name unit logical-unit-number family


family],

[edit logical-routers logical-router-name interfaces interface-


name unit

logical-unit-number family family]

...

Existem ainda outras variedades de uso do comando help menos populares, que podero
ser exploradas ao longo da experincia dos alunos junto plataforma.

Completando comandos
11 O Junos permite a utilizao de teclas de completamento de comandos para evitar q
que o usurio precise executar um comando completo.

11 Utilizando a tecla de espao, o Junos completa o comando que est sendo digitado,
simplificando a operao do sistema.

Se a tecla de espao usada em um ponto onde existe ambiguidade de comandos dispon-


veis, um beep gerado pelo sistema e o comando no completado.

Outra forma de completar o comando usar a tecla Tab. Essa tecla tem basicamente a
mesma utilidade da tecla de espao. Se acionada no meio da digitao de um comando o
Tab, completa a string do comando.

A diferena de uso entre o Tab e a tecla de espao que quando existe ambiguidade de
comandos disponveis, o Tab exibe os comandos ambguos disponveis.

Teclas de edio EMACS


O Junos permite ao usurio agilizar a tarefa de digitao com o uso de teclas de edio
EMACS, que permitem mover o cursor em uma linha de comando para adicionar ou remover
caracteres especficos.

user@host> show interfaces

1Ctrl+b
user@host> show interfaces
Posio do cursor
Sequncia
do teclado 1Ctrl+a
Captulo 8 - Opes de acesso ao Junos

user@host> show interfaces

1Ctrl+f
user@host> show interfaces

Figura 8.1 1Ctrl+e


Edio EMACS. user@host> show interfaces

99
As seguintes sequncias so suportadas:

11 Ctrl + b: move o cursor um caractere para a esquerda. q


11 Ctrl + a: move o cursor para o incio da linha de comando.

11 Ctrl + f: move o cursor um caractere para a direita.

11 Ctrl + e: move o cursor para o final da linha de comando.

11 delete + backspace: remove o caractere antes do cursor.

11 Ctrl + d: remove todos os caracteres do incio da linha at o ponto onde est o cursor.

11 Ctrl + k: remove todos os caracteres entre o cursor e o final da linha de comando.

11 Ctrl + u: remove todos os caracteres e nega o comando corrente.

11 Ctrl + w: remove a palavra esquerda do cursor.

11 Ctrl + l: repete a linha corrente.

11 Ctrl + p: repete o comando anterior do histrico de comandos.

11 Ctrl + n: avana para o comando seguinte no histrico de comandos.

Usando o caractere pipe


11 O caractere | (pipe) executa a mesma funo que possui nos sistemas baseados q
em Unix.

11 Esse comando permite que a sada de um comando seja recebida e processada por
um segundo comando.

11 Utilizando esse conceito pode-se, por exemplo, filtrar a sada de um comando.

Os comandos disponveis aps o caractere | so listados:

11 compare: disponvel no modo de configurao, apenas quando se est usando um


comando de show. Compara mudanas feitas na sesso de configurao corrente com
o contedo do arquivo de configurao do roteador.

11 count: exibe o nmero de linhas existentes na sada do comando antes do pipe.

11 display changed: disponvel apenas no modo de configurao. Exibe mudanas de confi-


gurao feitas na sesso corrente (para visualizao do arquivo em XML).

11 display detailed: disponvel apenas no modo de configurao. Exibe informaes adicio-


nais sobre o contedo da configurao.

11 display inheritance: disponvel apenas no modo de configurao. Exibe configurao


herdada.

11 display omit: disponvel apenas no modo de configurao. Exibe linhas da configurao


da opo omit.

11 display set: disponvel apenas no modo de configurao. Exibe os comandos set que
geraram as linhas de configurao.

11 display xml: exibe a sada do comando anterior ao pipe no formato JUNOScript XML.
Introduo rede Ip

11 except <regular expression>: exibe a sada do comando anterior sem a expresso


especificada.

11 find <regular expression>: exibe a sada do comando anterior comeando da linha que
contm a expresso regular especificada.

11 hold: exibe a sada do comando anterior ao pipe tela a tela (como faz o comando more
do Unix).

100
11 last: exibe a ltima tela da sada do comando anterior ao pipe.

11 match <regular expression>: exibe a sada do comando anterior ao pipe, incluindo


apenas as linhas que contm a expresso regular especificada.

11 no-more: exibe a sada do comando anterior ao pipe toda de uma vez, sem pausa entre
diferentes telas.

11 request message: exibe a sada para mltiplos usurios.

11 resolve: converte endereos IP em nomes do DNS.

11 save <filename>: salva o output do comando anterior ao pipe para o arquivo especificado.

11 trim: especifica o nmero de colunas a partir da linha inicial da sada do comando ante-
rior ao pipe.

possvel cascatear mltiplos pipes para processar uma sada de comando j processada
por um pipe.

Captulo 8 - Opes de acesso ao Junos

101
Introduo rede Ip

102
Roteiro de Atividades 3
Atividade 3.1 Acessar o Juniper via console serial
1. Uma das maneiras de se acessar o roteador via cabo de console serial. Esse cabo
fornecido junto com o equipamento e possui um conector RJ45 em uma das pontas, que
voc dever conectar na porta de console do roteador e o outro conector DB9 em outra
ponta, que voc dever conectar na porta serial do computador.

Ao conectar corretamente os cabos, voc precisar utilizar um software que ir propiciar o


acesso CLI do Junos. Esse software pode ser o HyperTerminal do Windows ou o software
livre PuTTY.

Figura 8.2
Tela de
configurao do
software PuTTY.
Captulo 8 - Roteiro de Atividades 3

Aps alterar o connection type tipo de conexo para serial, clique em open; vai apa-
recer uma tela preta, onde voc dever digitar a tecla enter. Feito isso, voc entrar na tela
de login solicitando um usurio.

O usurio root. Aps informar o usurio o sistema solicitar uma senha. Essa senha vem
em branco de fbrica.

103
2. Entrando no modo operao;

Quando voc acessa o Junos com o usurio root, recebe um Shell Linux que fornece a
maioria dos comando bsicos do Unix. Para acessar o console do Junos, voc dever digitar
o comando cli (isso ocorre somente com o usurio root).

root@% cli

Aps o comando cli voc perceber que o prompt foi alterado, identificando que voc est
no modo operao.

root>

3. Utilizando as opes de help do Junos;

O Junos oferece algumas opes de ajuda, que auxiliaro na administrao do sistema ope-
racional. A primeira opo o sinal ?, logo aps cada comando.

root# set system host-name ?

Possible completions:

<host-name> Hostname for this router

[edit system]

root# set services ?

Possible completions:

<[Enter]> Execute this command

+ apply-groups Groups from which to inherit configuration data

+ apply-groups-except Dont inherit configuration data from these


groups

> dhcp Configure DHCP server

> finger Allow finger requests from remote systems

> ftp Allow FTP file transfers

> netconf Allow NETCONF connections

> outbound-ssh Initiate outbound SSH connection

> service-deployment Configuration for Service Deployment (SDXD)


management application

> ssh Allow ssh access

> telnet Allow telnet login

> web-management Web management configuration


Introduo rede Ip

> xnm-clear-text Allow clear text-based JUNOScript connections

> xnm-ssl Allow SSL-based JUNOScript connections

| Pipe through a command

[edit system]

104
Outra opo de ajuda que o Junos oferece com o comando help topic, que junto ao sinal
de interrogao fornece uma ajuda mais detalhada sobre uma configurao desejada.

root# help topic system host-name

Configuring the Routers Hostname

To configure the routers name, include the host-name statement


at the

[edit system] hierarchy level:

[edit system]

host-name hostname;

The routers name value must be less than 256 characters.

Related Topics

* Configuring the Basic Router Properties

* Example: Configuring a Router?s Name, IP Address, and System ID

[edit]

Outra opo de ajuda que o Junos oferece com o comando help reference, que junto o sinal
de interrogao, fornece informaes mais detalhadas sobre uma configurao desejada.

root# help reference system host-name

host-name

Syntax

host-name hostname;

Hierarchy Level

[edit system]

Release Information

Statement introduced before JUNOS Release 7.4.

Description

Set the hostname of the router.

Options

hostname--Name of the router.


Captulo 8 - Roteiro de Atividades 3

Usage Guidelines

See Configuring the Router?s Hostname.

Required Privilege Level

system--To view this statement in the configuration.

system-control--To add this statement to the configuration.

[edit]

105
Atividade 3.2 Opes da interface de usurio
Parte 1: Obtendo ajuda no Junos
Verifique as possveis opes do comando clear.

R.:5 clear ?

Verifique as possveis opes do comando show system.

R.:5 show system ?

Verifique todas as opes do comando show system que comecem com a letra a.

R.:5 show system a?

Consulte o manual do sistema sobre endereos de interfaces.

R.:5 help topic interfaces address

Cheque outros temas referentes a interfaces para os quais seja possvel solicitar o manual
de informaes.

R.:5 help topic interfaces ?

Cheque outros temas para os quais seja possvel solicitar o manual de informaes.

R.:5 help topic ?

Utilize o comando help reference para verificar instrues de como aplicar um endereo a
uma interface.

R.:5 help reference interfaces address

Parte 2: Familiarizando-se com a CLI do Junos


11 Pratique o completamento automtico de comando com as teclas Tab e Space.

Exemplo 1: Digite show system up<Tab>

Exemplo 2: Digite show system up<Space>

Exemplo 3: Digite show system x<Tab>

Exemplo 4: Digite show system x<Space>

11 Aps aplicar os exemplos acima, explique a diferena entre Tab e Space:

11 Verifique o histrico de comandos antigos executando recursivamente a tecla seta pra


cima ou Ctrl+p.

11 Avance para os comandos mais recentes do histrico executando recursivamente a tecla


Introduo rede Ip

seta pra baixo ou Ctrl+n.

11 Digite o comando pow interfaces fe-0/0/0 e tecle <Enter> (isso gerar um erro).

11 Corrija o comando anterior digitando seguidamente:

106
Ctrl+p

Ctrl+a

Troque P por sh.

Tecle <Enter>.

Modo de operao
11 Ao fazer login no Junos, o usurio tpico ganha acesso ao modo de operao, utilizado q
para tarefas de monitorao e controle da plataforma.

11 Os comandos do modo de operao seguem uma determinada hierarquia.

O comando show, exemplificado na figura seguinte, exibe vrios tipos de informao


sobre o sistema e seu ambiente. A figura mostra uma das possveis opes da hierarquia do
comando show: a opo ospf, que mostra informao sobre o protocolo de roteamento
dinmico OSPF. Especificando a subopo interface dentro da opo ospf, obtemos
informaes sobre as configuraes de OSPF de uma ou mais interfaces. O comando final
fica show ospf interface.

Exemple: user@host> show ospf interface

Less Specic

clear configure help monitor set show ...

arp configuration ospf version ...

Figura 8.3
database interface neighbor ...
Hierarquia do Modo
de Operao.
More Specic

possvel executar comandos do modo de operao, como o show, a partir do modo de


configurao. Para tal basta usar o comando run. Assim, para verificar as configuraes de
OSPF das interfaces da caixa a partir do modo de operao, por exemplo, utiliza-se o show
ospf interface. Para executar o mesmo comando a partir do modo de configurao, usa-se
o run show ospf interface.

Algumas tarefas tpicas executadas de dentro do modo de operao:

11 Monitoramento e verificao do sistema (com comandos de show, por exemplo);

11 Troubleshooting;
Captulo 8 - Roteiro de Atividades 3

11 Conexo a outros sistemas (com Telnet ou SSH);

11 Cpia ou criao de arquivos;

11 Reincio de processos;

11 Entrada no modo de configurao;

11 Trmino de sesso no equipamento.

107
Comandos do Modo de Operao:

user@host> ?

possible completions:

clear Clear information in the system

configure Manipulate software configuration information

file Perform file operations

help Provide help information

monitor Show real-time debugging information

mtrace Trace multicast path from source to receiver

op Invoke an operation script

ping Ping remote target

quit Exit the management seSSlon

request Make system-level requests

restart Restart software process

cet Set CLI properties, date/time, craft interface message

show Show system information

cch Start secure shell on another host

start Start shell

telnet Telnet to another host

test Perform diagnostic debugging

trace route Trace route to remote host

Modo de configurao
11 Esse modo permite a um usurio alterar o arquivo de configurao do sistema. q
11 Diferente da maioria dos fabricantes, os equipamentos Juniper no efetivam as alte-
raes de configurao no exato momento em que os comandos de configurao
so executados.

11 Todas as alteraes que um usurio faz so acumuladas em um arquivo, temporariamente.

11 O Junos trabalha com os conceitos de Configurao Candidata e Configurao Ativa.

22 Configurao Ativa:

33 Presente no arquivo de configurao que est efetivamente valendo para o


roteador.
Introduo rede Ip

33 Configurao que o sistema carrega durante o processo de boot do equipamento.

22 Configurao Candidata:

33 Fica em um arquivo temporrio e poder tornar-se a configurao ativa, caso o


usurio queira.

33 Quando o usurio entra no modo de configurao do Junos, o software cria


uma configurao candidata a partir de uma cpia da configurao ativa.
108
Se o usurio executa algum comando de configurao, altera a configurao candidata.
Uma vez que o usurio tem certeza que a sua modificao pode ser efetivada, ele executa o
comando commit. Essa ao faz com que a configurao candidata seja copiada em cima
da configurao ativa. Nesse momento a configurao ativa alterada efetivamente.

commit

Congurao configure Congurao


Candidata Ativa

rollback n
0

1 2 ... 49

Figura 8.4
Configurao Ba lde
Candidata e d e b its
Configurao Ativa.

11 Para entrar no modo de configurao e inaugurar a criao de um arquivo de configu- q


rao candidata deve ser utilizado o comando configure. A partir desse momento o
usurio pode comear a configurar o Junos.

11 Aps executar todos os comandos de configurao desejados, executa-se o commit.

11 Nesse momento, o Junos checar toda a configurao candidata procurando por


possveis problemas de sintaxe.

11 No encontrando problemas, a configurao candidata copiada para a configu-


rao ativa.

11 As alteraes passam a ser vlidas. Se a sintaxe no est correta, o sistema gera uma men-
sagem de erro e a configurao candidata no efetivada at que o erro seja corrigido.

11 Caso o usurio mude de ideia quanto configurao recm aplicada, pode-se retornar
configurao anterior atravs do comando rollback no modo de configurao.

11 Na verdade, o Junos capaz de salvar os ltimos 50 arquivos de configurao.

Esse nmero inclui o arquivo de configurao ativo correntemente.


Captulo 8 - Roteiro de Atividades 3

Iniciando o Modo de Configurao


11 Para entrar no modo de configurao, executa-se o comando configure a partir da q
CLI do modo de operao.

11 Se um usurio entra no modo de configurao e outro usurio j est nesse modo, o


sistema gera uma mensagem indicando o usurio que est editando a configurao
candidata e a poro da configurao que est sendo editada.

11 Uma vez no modo de configurao, o prompt da CLI muda do > para o #.

109
11 Alm disso, surge no prompt um par de parnteses ([ ]), indicando em qual ponto da q
hierarquia do arquivo de configurao o usurio est.

11 Ao entrar no modo de configurao o usurio sempre entrar no nvel [edit].

Configurao exclusiva
11 Por default, mltiplos usurios podem entrar no modo de configurao e executar q
commit.

11 Utilizando o comando configure exclusive, o usurio tem acesso ao modo de confi-


gurao e impede que outros usurios possam entrar nesse modo.

11 Ou seja, o usurio tem a garantia de que somente ele est editando a configurao
candidata.

Configurao exclusiva x Configurao tradicional:

user@host> configure q
Entering configuration mode

[edit]

user@host#

user@host> configure exclusive

warning: uncommitted changes will be discarded on exit

Entering configuration mode

[edit]

user@host#

11 Quando se usa o configure exclusive para editar a configurao candidata, caso o


usurio saia do modo de configurao sem executar um commit, todas as mudanas
so descartadas, ao contrrio do que ocorre quando se usa o comando configure, em
que as mudanas no salvas com o commit ficam retidas na configurao candidata.

11 Na prxima vez que se entrar no modo de configurao, a configurao candidata


estar l, intocada.

11 Sempre que possvel o uso do configure exclusive recomendado.

Configurao privada
Outra forma de entrar no modo de configurao fazendo uso do comando configure
private. Esse comando permite que mltiplos usurios editem a configurao. Nesse caso,
ao fazer commit, os usurios salvam na configurao ativa apenas as linhas de configu-
rao que cada um editou.

Se um usurio que entrou no modo de configurao atravs de um configure private


(fazendo um commit) muda de ideia e executa um rollback 0, apenas as linhas que ele
mesmo alterou so revistas.
Introduo rede Ip

Se dois usurios esto no modo de configurao privada e ambos fazem a mesma modifi-
cao, o segundo commit vai falhar, e ser exibida mensagem de erro para evitar conflito
de configurao. Se o usurio que executou o segundo commit insiste e executa um novo
commit, a configurao salva corretamente.

110
Em alguns cenrios, o administrador do sistema pode querer definir que todas as edies da
configurao sejam feitas com configure private e nunca com configure. Ao criar contas
de usurios possvel limitar os comandos disponveis. Pode-se ento excluir a permisso
para executar o configure, permitindo, por exemplo, o configure private.

Se um usurio adentra o modo de configurao e altera a configurao candidata, outros usu-


rios no podem entrar no modo de configurao usando as opes exclusive ou private.
As mudanas feitas pelo primeiro usurio precisam ser confirmadas com um commit ou
descartadas para que outros usurios possam entrar nos modos exclusivo ou privado.

Hierarquia do Modo de Configurao


11 No modo de configurao, o usurio se movimenta atravs de uma hierarquia de q
pores da configurao.

11 Para alterar um parmetro, o usurio se movimenta at o ponto correto da hierarquia


e faz a alterao.

[edit]
user@host# edit protocols ospf area 51 stub
[edit protocols ospf area 0.0.0.51 stub]
user@host#

[edit]
Less Specic

chassis interfaces protocols services system ...

bgp isis mpls ospf pim rip rsvp vrrp ...

area area_id graceful-restart overload traffic-engineering ...


Figura 8.5
Hierarquia de More Specic area-range area_range interface nssa stub ...
configurao.

A hierarquia do arquivo de configurao nada tem a ver com a hierarquia de comandos do


modo de operao. De maneira anloga, os comandos disponveis no modo de configurao
nada tm a ver com os disponveis no modo de operao.

Por exemplo, na CLI do modo de operao disponibiliza o comando show para mostrar
informaes especficas do sistema, enquanto que no modo de configurao tambm h um
comando show, mas para exibir uma poro especfica do arquivo de configurao. Os dois
comandos de show no tm qualquer relao.

O Junos organiza a hierarquia de comandos de configurao em uma estrutura de rvore,


Captulo 8 - Roteiro de Atividades 3

similar estrutura de diretrios do Unix e do Windows. Nesse modelo as configuraes


relacionadas ficam agrupadas em um mesmo ponto da rvore.

11 Para modificar uma linha qualquer da configurao candidata utiliza-se sempre o q


comando set.

11 O comando show exibe a configurao candidata ou parte dela.

111
Comandos set e show no Modo de Configurao:

[edit system] q
user@host# set services web-management http port 8080

[edit system]

user@host# show services

web-management {

http {

port 8080;

11 As diferentes pores do arquivo de configurao (candidata ou ativa) so hierarqui-


zadas atravs de chaves ({ }). As chaves facilitam a leitura da estrutura de rvore.

11 O final de cada linha de configurao termina sempre com um ponto e vrgula (;), asse-
melhando o formato do arquivo a um cdigo de linguagem de programao estruturada.

11 Nos comandos de set, que efetivamente alteram o arquivo de configurao, no


necessrio incluir nem colchetes nem ponto e vrgula.

Movendo entre nveis no Modo de Configurao


11 Ao entrar no modo de configurao, o usurio encontra-se na raiz da hierarquia. Esse q
nvel chamado edit. Nesse momento o prompt de comando assinala a string [edit].

11 Para mover-se para os nveis mais baixos da hierarquia utiliza-se o comando edit,
especificando o nvel ao qual se deseja chegar.

Aps mudar de nvel, o prompt muda para indicar o novo nvel onde o usurio est posicionado.

[edit]
user@host# edit protocols ospf area 51 stub

[edit protocols ospf area 0.0.0.51 stub]


user@host#

[edit]

chassis interfaces protocols services system ...

bgp isis mpls ospf pim rip rsvp vrrp ...

area area_id graceful-restart overload traffic-engineering ... Figura 8.6


Comandos edit:
movendo-se na
Introduo rede Ip

area-range area_range interface nssa stub ... Hierarquia de


Configurao.

Para mover-se de volta um nvel na hierarquia de configurao utiliza-se o comando up:

112
[edit protocols ospf area 0.0.0.51 stub]
user@host# up

[edit protocols ospf area 0.0.0.51]


user@host#

[edit]

chassis interfaces protocols services system ...

bgp isis mpls ospf pim rip rsvp vrrp ...

area area_id graceful-restart overload traffic-engineering ...

Figura 8.7
Comando up. area-range area_range interface nssa stub ...

Para mover-se de volta n nveis na hierarquia de configurao utiliza-se o comando up <n>.

[edit protocols ospf area 0.0.0.51]


user@host# up 2
[edit protocols]
user@host#

[edit]

chassis interfaces protocols services system ...

bgp isis mpls ospf pim rip rsvp vrrp ...

area area_id graceful-restart overload traffic-engineering ...

Figura 8.8
area-range area_range interface nssa stub ...
Comando up <n>.

Para retornar para o nvel raiz da hierarquia de configurao utiliza-se o comando top.
Captulo 8 - Roteiro de Atividades 3

113
[edit protocols ospf area 0.0.0.51 stub]
user@host# top

[edit]
user@host#

[edit]

chassis interfaces protocols services system ...

bgp isis mpls ospf pim rip rsvp vrrp ...

area area_id graceful-restart overload traffic-engineering ...

Figura 8.9
area-range area_range interface nssa stub ... Comando top.

11 O comando top pode ser combinado com o comando edit para se mover de um q
determinado nvel da hierarquia para outro nvel completamente diferente, com
apenas um comando.

11 Comando top combinado com edit: avano rpido entre nveis.

[edit protocols ospf area 0.0.0.0 interface ge-0/0/0.0]

user@host# top edit system login

[edit system login]

user@host# top show system services q


ftp;

ssh;

11 O comando exit retorna para o nvel da hierarquia de configurao que o usurio


estava antes do nvel corrente.

11 Se o usurio estiver na raiz (nvel edit) o comando exit sai do modo de configurao.

11 O comando exit configuration-mode sai do modo de configurao independente do


nvel de hierarquia onde o usurio est.
Introduo rede Ip

114
[edit protocols ospf]
user@host# edit area 51 stub
[edit protocols ospf area 0.0.0.51 stub]
user@host# exit
[edit protocols ospf]
user@host#

[edit]

chassis interfaces protocols services system ...

bgp isis mpls ospf pim rip rsvp vrrp ...

area area_id graceful-restart overload traffic-engineering ...


Figura 8.10
Comando exit:
retorno ao nvel
area-range area_range interface nssa stub ...
anterior.

Resumo dos comandos para navegao entre os diferentes nveis da hierarquia de configurao:

11 edit: direciona o usurio para um ponto da hierarquia de configurao.

11 up: move o usurio um nvel acima na hierarquia.

11 up <n>: move o usurio n nveis acima na hierarquia.

11 top: move o usurio para a raiz da hierarquia.

11 exit: move o usurio para o nvel anterior.

Alterando linhas da Configurao Candidata


Uma vez posicionado no nvel desejado da hierarquia que se quer modificar, o comando q
set altera/adiciona uma linha da/na configurao candidata.

Comando set:

[edit system services]

user@host# show

ssh ;

telnet;
Captulo 8 - Roteiro de Atividades 3

[edit system services]

user@host# set ftp -> FTP service added

[edit system services]

user@host# show

115
ftp;

ssh;

telnet;

No exemplo anterior, o comando set adicionou o comando ftp no nvel [edit system
services]. possvel executar o mesmo comando sem a necessidade de se mover para
o ponto da hierarquia a ser alterado. Para tal, poderia ter sido executado o comando
set system services ftp a partir do nvel [edit]. Ou ainda, poderia ter sido usado o
comando set services ftp a partir do nvel [edit system].

11 Para desfazer uma ao executada por um comando set, utiliza-se o comando delete. q
11 Esse comando remove uma linha de configurao e todas as linhas relacionadas.

Comando delete:

[edit system services]

use r@host# show

ftp ;

ssh;

telnet;

[edit system services]

user@host# delete telnet

[edit system services]

user@host# show

ftp ;

ssh;

Dependendo do uso que se deseja fazer do comando delete, possvel usar o wildcard
delete. Esse comando til quando se deseja remover vrias configuraes semelhantes.
O prximo exemplo exibe a utilidade desse recurso.

Comando wildcard delete:

[edit]

user@host# wildcard delete interfaces ge-1/*

matched: ge-1/0/0
Introduo rede Ip

matched: ge-1/0/1

Delete 2 objects? [yes, no] (no) yes

[edit]

116
user@host#

Ativando e desativando configuraes


11 O Junos permite que um usurio desative uma determinada configurao sem remov-la. q
11 Uma linha de configurao desativada continua presente no arquivo de configurao
da caixa, mas o roteador ir ignor-la.

11 O comando deactivate desativa uma poro da configurao, a qual poder ser


reativada com o comando activate.

Comandos activate e deactivate:

[edit]

user@host# deactivate interfaces ge-0/0/0

[edit]

user@host# commit

commit complete

[edit]

user@host# show interfaces ge-0/0/0

##

## inactive: interfaces ge-0/0/0

##

unit 0 {

family inet {

address 10.210.11.177/28;

family inet6;

[edit]

user@host# activate interfaces ge-0/0/0

[edit]
Captulo 8 - Roteiro de Atividades 3

user@host# commit

commit complete

[edit]

user@host# show interfaces ge-0/0/0

unit 0 {

family inet {

117
address 10.210.11.177/28;

family inet6;

Outros comandos auxiliares do Modo de Configurao


H ainda alguns comandos teis que facilitam a operao do Junos no modo de configurao.
So eles:

11 rename: altera o nome de uma configurao. q


11 replace: altera um padro em uma linha de configurao.

11 copy: copia um padro de linha de configurao para outra linha.

11 insert: insere uma linha de configurao em um ponto desejado do arquivo


de configurao.

Esses comandos sero trabalhados nas atividades de laboratrio.

Verificando a Configurao Candidata


11 No modo de configurao utiliza-se o comando show para verificar as linhas da q
configurao candidata.

11 Esse comando exibe a configurao de todo o arquivo da configurao candidata ou


de uma poro da hierarquia corrente.

11 O comando show | compare compara a configurao candidata com a ativa.

O exemplo seguinte mostra duas formas de exibir a configurao da hierarquia


[edit system services].

Comando show:

[edit]

user@host# show system services

ssh;

web-management {

http {

port 8080;

}
Introduo rede Ip

[edit]

user@host# edit system services

[edit system services]

118
user@host# show

ssh;

web-management {

http {

port 8080;

Hint To view the set commands used to build the configuration use
the show | display set command.

Utilizando o comando show, a configurao da hierarquia especificada aparece entre


chaves ({ }). As linhas de configurao da hierarquia aparecem finalizadas por um ponto
e vrgula (;). Essa formatao a mesma que a CLI usa para armazenar as configuraes
setadas pelo usurio.

11 Opcionalmente, possvel ver a configurao de uma determinada hierarquia no q


formato de comandos set.

11 Dessa forma, o usurio tem acesso aos comandos que foram efetivamente utilizados
para fazer as configuraes presentes no arquivo.

11 Para visualizar uma poro de configurao nessa formatao descrita, utiliza-se o


comando show com a opo display set.

Comando show com opo display set:

[edit]

user@host# show system services | display set

set system services ssh

set system services web-management http port 8080

Salvando a Configurao Candidata


11 Uma vez editada a configurao candidata com os vrios comandos disponveis no q
modo de configurao, hora de salvar as alteraes.
Captulo 8 - Roteiro de Atividades 3

11 A forma mais simples e usual de executar essa tarefa j foi apresentada: commit.

11 Aps executar o commit, a mensagem commit complete confirma que as altera-


es foram executadas corretamente.

11 Caso haja erros de sintaxe, uma mensagem de erro ser gerada e a configurao no
ser salva.

Comando commit:

119
[edit]

user@host# commit

commit complete

Uma forma de verificar de antemo se a configurao est sem erros de sintaxe atravs do
comando commit check. Esse comando verifica se a configurao candidata est correta,
mas no salva essa configurao.

Comando commit check:

[edit]

user@host# commit check

[edit interfaces ge-0/0/10 unit 0]

family

When ethernet-switching family is configured on an interface, no

other family type can be configured on the same interface.

error: configuration check-out failed

Ao executar determinadas mudanas na configurao do equipamento, a partir de um


ponto remoto, existe o risco de perda do acesso a ele. Por exemplo, ao alterar uma configu-
rao de roteamento incorretamente, possvel que haja perda de conectividade entre o
ponto onde est o computador do usurio e o roteador. No mundo real essa situao ocorre
com certa frequncia.

Normalmente quando isso acontece, a nica soluo levar um notebook at a sala onde
est o roteador, conectar o notebook porta console e corrigir o problema. Se o usurio que
est fazendo a configurao no est no prdio onde est o roteador, pode estar caracteri-
zado um problema srio.

O Junos apresenta uma proposta para essa situao: o comando commit confirmed.

Antes de salvar a configurao candidata com o comando commit, o usurio tem a opo
de executar o commit confirmed <time>, onde <time> um nmero expresso em minutos.

Esse comando faz com que o roteador efetive a configurao candidata durante alguns
minutos. Se aps essa quantidade de minutos especificada o usurio no se pronunciar,
o roteador volta com a configurao anterior (rollback1 !). Se o usurio quiser confirmar a
efetivao da configurao candidata, ele deve executar um commit.

Comando commit confirmed:

[edit]

user@host# commit confirmed


Introduo rede Ip

commit confirmed will be automatically rolled back in 10 minutes


unless

confirmed

commit complete

120
Repare que, caso o usurio tenha cometido um erro de configurao que comprometa a conec-
tividade do equipamento, esse procedimento evita que o usurio perca acesso total ao equipa-
mento durante muito tempo, caso esteja fazendo uma alterao de configurao remotamente.

Se o comando executado sem que seja especificado um valor de tempo, o valor assumido
de 10 minutos.

O Junos tambm permite que um usurio agende um commit. Para tal utiliza-se o commit at.

Comando commit at:

[edit]

user@host# commit at 21:00:00

configuration check succeeds

commit at will be executed at 2009-05-11 21:00:00 UTC

Exiting configuration mode

11 Para checar se h um commit agendado no roteador utilize o comando show q


system commit no modo de operao.

11 Para abortar um agendamento de commit utilize o comando clear system commit


no modo de operao.

Comandos show system commit e clear system commit:

user@host> show system commit

commit requested by user via cli at 2009-05-11 21:00:00 UTC

0 2009-05-11 15:32:42 UTC by user via cli

...

user@host> clear system commit

Pending commit cleared

Outra possibilidade deixar um log registrado do commit que ser executado. Para tal utiliza-se
o comando commit comment. Dessa forma, o commit ficar registrado na sada do comando
de verificao show system commit, que deve ser executado no modo de operao.

Comandos commit comment e show system commit:

[edit]

user@host# commit comment Changed OSPF configuration


Captulo 8 - Roteiro de Atividades 3

commit complete

user@host> show system commit

0 2009-05-11 15:32:42 UTC by User via cli

Changed OSPF configuration

Por fim, o Junos permite executar o commit e deixar o modo de configurao de uma s
vez. Para tal utiliza-se o comando commit and-quit.

121
Checando alteraes antes de salvar
11 Um usurio fez dezenas de mudanas na configurao candidata. Antes de executar o q
commit, precisa ter certeza de que tudo foi feito.

11 A diferena entre a configurao candidata corrente e a configurao ativa pode ser


verificada com o comando show | compare no modo de configurao.

Comando show | compare:

[edit system services]

user@host# show | compare

[edit system services]

+ ftp;

- telnet;

O uso desse comando sempre recomendvel.

Analogamente, possvel comparar o contedo da configurao candidata com outras con-


figuraes passadas. Para tal utiliza-se, no modo de operao, o comando show configura-
tion | compare rollback <n>, onde <n> denota o ndice da configurao passada; ndice zero
se refere configurao corrente; ndice 1 se refere ltima configurao; ndice 2 se refere
penltima configurao...

O Junos tambm permite comparar outros arquivos, que no so necessariamente os arquivos


de configurao. Para executar tal ao, execute file compare files <arquivo1> <arquivo2>.

Restaurando configuraes
11 O Junos pode guardar automaticamente as ltimas 50 verses de arquivos q
de configurao.

11 Para restaurar qualquer um desses arquivos utiliza-se, no modo de configurao, o


comando rollback <n>, onde <n> denota o ndice da configurao a recuperar. Nesse
caso <n> varia de 0 a 49.

11 O comando rollback reescreve um arquivo de configurao antigo na configurao


candidata.

11 Para confirmar a restaurao da configurao no roteador, o usurio precisa executar


ainda o comando commit.

11 Para alterar a quantidade de configuraes salvas automaticamente pelo Junos


utiliza-se o seguinte comando no modo de configurao:

set max-configurations-on-flash <max>


Introduo rede Ip

122
Dessa forma, a vida de um arquivo de configurao retratada na figura a seguir.

Congurao configure Congurao


Candidata Ativa

rollback n
0

1 2 ... 49

Figura 8.11 Ba lde


Vida do arquivo de d e b its
Configurao.

Salvando a configurao em arquivo ASCII


11 O Junos salva configuraes automaticamente, as quais podem ser restauradas com o q
comando rollback.

11 s vezes interessante salvar a configurao do equipamento em um arquivo ASCII,


ou ainda, pode ser til salvar apenas parte da configurao em um arquivo ASCII.

11 Essas operaes podem ser executadas com o comando save.

Comando save:

[edit]

user@host# save filename

Wrote 101 lines of configuration to filename

Este comando salva as linhas da configurao candidata em um arquivo cujo nome foi
especificado. As linhas que sero salvas no arquivo ASCII so as linhas da hierarquia onde se
estava ao executar o comando.

11 Para salvar toda a configurao candidata necessrio estar no nvel [edit]. q


11 Para salvar as configuraes referentes aos servios do sistema deve-se executar o
Captulo 8 - Roteiro de Atividades 3

save no nvel: [edit system services].

11 Se o diretrio do arquivo destino no especificado, o arquivo salvo no diretrio


home do usurio: /var/home/<login>.

A seguir podemos conferir formas alternativas para selecionar o destino do arquivo que
ser salvo.

123
Selecionando destino do arquivo:

[edit]

user@host# save path/filename

[edit]

user@host# save ftp://user:password@host/path/filename

[edit]

user@host# save scp://user@host/path/filename

A segunda opo exibida faz com que o roteador salve o arquivo em um diretrio de um
servidor de FTP remoto, utilizando o login user e a senha password.

A terceira opo mostra o arquivo sendo salvo em um servidor remoto host, atravs de
um security copy, utilizando o login user. Nesse caso o sistema remoto solicitar a senha
atravs de um prompt.

Carregando arquivo de configurao


O comando rollback recupera um arquivo de configurao dentre os arquivos automati-
camente salvos pelo sistema. Alm disso, possvel carregar a configurao de um arquivo
ASCII do usurio. Para tal utiliza-se o comando load.

O load pode carregar a configurao completa ou parcial contida em um arquivo ASCII local, de
um arquivo em um servidor remoto ou do buffer de um programa de emulao de terminal.

O comando load permite vrios argumentos: q


11 factory-default: troca o arquivo de configurao corrente pela configurao default
de fbrica.

11 merge: combina a configurao corrente com a configurao carregada.

11 override: sobrescreve completamente a configurao corrente com a configurao


carregada.

11 replace: procura pela tag replace no arquivo de configurao que est sendo carre-
gado. O software troca as linhas existentes com o mesmo nome daquelas marcadas
com replace no arquivo carregado.

11 set: permite que o usurio carregue um arquivo de configurao formatado como um


conjunto de comandos set (uma das formas mais usadas da operao load).

Em todas as modalidades do comando load, o arquivo repositrio carregado na configu-


rao candidata. Para efetivar as alteraes necessrio usar o comando commit.

Comando run
q
Introduo rede Ip

11 O run permite ao usurio executar comandos do modo de operao a partir do


modo de configurao.

11 Esse comando similar ao comando do dos equipamentos de outros fabricantes.

124
Uso do comando run:

[edit interfaces ge-0/0/l2]

user@host# set unit 0 family inet address 10.250.0.141/16

[edit interfaces ge-0/0/l2]

user @host# commit

commit complete

[edit interfaces ge-0/0/l2]

user@host# run ping 10.250.0.149 count 1

PING 10.250.0.149 (10.250.0.149): 56 data bytes

64 bytes from 10.250.0.149: icmp seq=O ttl=255 time=0.967 ms

--- 10.250.0.149 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss

round-trip min/avg/max/stddev = 0.967/0.967/0.967/0.000 ms

Interface J-Web GUI


11 Alm da linha de comando, possvel interagir com o equipamento Juniper atravs de q
uma interface web, a J-Web.

11 Essa interface vem habilitada de fbrica.

11 Para acess-la, pode-se usar um web browser qualquer.

11 A J-Web ideal para configurao inicial do equipamento.

11 Tambm possvel executar tarefas de monitorao e manuteno atravs dessa


interface, que dispe de menos recursos que a linha de comando.

Ao conectar na J-Web, o usurio se depara com uma srie de abas:

11 A aba Dashboard prov uma viso geral do status do sistema, das portas, dos alarmes
ativos e informaes de utilizao.

11 A aba Configure d ao usurio a chance de configurar o sistema atravs de cliques de


Captulo 8 - Roteiro de Atividades 3

mouse ou via acesso direto configurao em formato texto. Um Help fica disponvel
em um cone ?, o qual pode ser clicado.

11 A aba Troubleshoot prov acesso a ferramentas simples de rede como ping e traceroute.

11 A aba Maintain permite ao usurio executar upgrades de software e manuteno no


sistema de arquivos.

125
Processo de login na J-Web
Para que seja possvel o acesso ao sistema atravs da J-Web, necessrio que o comando q
http ou https esteja configurado na hierarquia [edit system services web-management].

J-Web habilitado:

[edit system]

user@host# show services

ssh;

telnet;

web-management {

http;

Se for utilizado o https ser necessrio gerar e instalar um certificado local para segurana
da pgina.

A viso default que aparece para o usurio ao executar o login traz a aba Monitor. Nesse
local o usurio tem acesso s estatsticas em tempo real das interfaces e de outros parme- Figura 8.12
Introduo rede Ip

tros do sistema. Login na J-Web.

A opo Chassis mostra a tela da prxima figura.

126
Figura 8.13 A opo Interfaces mostra informaes sobre as interfaces do roteador.
Aba Monitor/
Chassis.

Captulo 8 - Roteiro de Atividades 3

127
Introduo rede Ip

Figura 8.14
Aba Monitor/
Interfaces.

128
Dentro da aba Monitor/Interfaces podemos selecionar uma determinada interface,
conforme mostrado na figura seguinte.

Figura 8.15
Aba Monitor/ Na aba Manage/Files o usurio gerencia o sistema de arquivos. As aes disponveis nessa
Interfaces/
ge-0/0/0.0. seo esto associadas manuteno do sistema.

Captulo 8 - Roteiro de Atividades 3

Figura 8.16
Aba Manage/Files.

129
Nessa seo possvel gerenciar e manter os arquivos de configurao, fazer download
de arquivos de log, arquivos de dump ou outros arquivos temporrios. Tambm possvel
remover arquivos para liberar espao na memria flash do equipamento.

Essa aba permite ainda outras operaes:

11 Recuperar arquivos de configurao histricos e compar-los;

11 Fazer upgrade ou downgrade do Junos;

11 Adicionar e verificar licenas;

11 Agendar reboots do sistema;

11 Recuperar informaes de suporte para reporte ao servio de assistncia tcnica da Juniper.

Por fim, a aba Diagnose prov utilitrios para a investigao de problemas. Pode-se
fazer troubleshoot de portas individuais atravs de comandos como ping e traceroute.
Tambm possvel capturar pacotes.

Figura 8.17
Aba Diagnose/
Ping Host.
Introduo rede Ip

130
Roteiro de Atividades 4
Atividade 4.1 Opes de acesso ao Junos
1. Entrando no modo configurao do Junos;

Para entrar no modo configurao digite o comando configure.

root> configure

Entering configuration mode

Users currently editing the configuration:

root terminal d0 (pid 1062) on since 2010-12-23 23:21:41 UTC, idle


3w5d 01:20

[edit]

The configuration has been changed but not committed

[edit]

2. Navegando pela rvore de configurao do Junos;

Ao entrar no modo configurao voc estar no topo da rvore de configurao do Junos,


como se estivesse navegando no Windows Explorer, onde para alterar um arquivo que est
numa pasta chamada relatrios, dentro de meus documentos, voc dever percorrer par-
tindo de C:\Documents and Settings\glenio.lima\Meus documentos\relatorio.

Para descer a rvore do arquivo de configurao do Junos, deve-se utilizar o comando edit.

root# edit interfaces

[edit interfaces]

root# edit ge-0/0/0

[edit interfaces ge-0/0/0]

root# edit unit 0

[edit interfaces ge-0/0/0 unit 0]

Para subir a rvore do arquivo de configurao do Junos, voc deve utilizar o comando up.

root# up
Captulo 8 - Roteiro de Atividades 4

[edit interfaces ge-0/0/0]

root# up

[edit interfaces]

root# up

[edit]

131
O Junos oferece um comando para voc ir ao topo do arquivo de configurao, indepen-
dente de onde voc estiver localizado. Esse comando o top.

root#

[edit interfaces ge-0/0/0 unit 0]

root# top

[edit]

3. Conhecendo o comando show;

Ao navegar pelo arquivo de configurao do Junos voc pode verificar a configurao com o
comando show.

root# show

root-authentication {

encrypted-password $1$GwoPLZZp$8HKb9z7J55MJHFt7/tErn.; ##
SECRET-DATA

services {

ssh;

telnet;

web-management {

http {

interface ge-0/0/1.0;

syslog {

file messages {

any any;

4. Conhecendo o comando set;

root# set system host-name teste


Introduo rede Ip

5. Conhecendo o comando delete;

Para excluir alguma configurao na rvore do Junos, voc deve fazer a exemplo do
comando set, porm utilizando o comando delete.

root# delete system host-name teste

132
9
Configuraes do roteador
objetivos

Descrever as configuraes do roteador, interfaces e usurio, apresentar os logs do


sistema e os procedimentos de uso e descrever os protocolos NTP e SNMP.

conceitos
Configurao default de fbrica, configurao inicial, configurao de interface,
nomeao de interfaces, configuraes de usurio e autenticao, logs do sistema,
Network Time Protocol (NTP) e Simple Network Management Protocol (SNMP).

Configurao default de fbrica


11 Toda a plataforma que roda o Junos vendida com uma configurao default de fbrica. q
11 O acesso ao sistema com essa configurao feito somente atravs da conta do
usurio root, que vem de fbrica sem senha configurada.

11 necessrio definir uma senha de root antes que qualquer mudana seja feita no sistema.

A configurao que vem de fbrica pode variar de uma famlia de modelo para outra, ou
mesmo entre diferentes modelos da mesma famlia. As diferentes plataformas so proje-
tadas para executar papis especficos em uma rede, e a configurao de fbrica criada
sob esse conceito.

Para exemplificar a ideia, podemos pensar na famlia EX de switches, que projetada para
executar funes L2. Essa famlia vem com todas as interfaces habilitadas com o Rapid
Spanning Tree (RSPT). Outras plataformas no necessitam desse recurso.

= Congurao X default de fbrica


Captulo 9 - Configuraes do roteador

Figura 9.1
Configurao = Congurao Y default de fbrica
default de fbrica.

A configurao default traz o log de sistema habilitado, o qual captura eventos do Junos e
os escreve nos chamados arquivos de log, pr-definidos. A figura seguinte traz um exemplo
tpico de uma configurao de log que vem habilitada no sistema.

133
Configurao de log default:

[edit]

user@host# show system syslog

user * {

any emergency;

file messages {

any any;

authorization info;

file interactive-commands {

interactive-commands any;

Sob certas circunstncias, pode ser necessrio voltar configurao original de fbrica.
possvel copiar essa configurao para a configurao candidata. Para tal utiliza-se o
comando load factory-default.

Aps copiar a configurao de fbrica para a configurao candidata necessrio executar


um commit para efetiv-la. Abaixo vemos que s possvel executar o comando aps
configurar a senha do root, que no vem criada por default.

Carregando a configurao de fbrica:

[edit]

user@host# load factory-default

warning: activating factory configuration

[edit]

user@host# set system root-authentication plain-text-password

New password:

Retype new password:

[edit]
Introduo rede Ip

user@host# commit

commit complete

134
Configuraes iniciais
Ligando, desligando e reiniciando o Junos: q
11 Uma vez que um equipamento Juniper ligado, se a fora for perdida por qualquer
motivo, e retornar em seguida, o hardware ligar automaticamente, sem necessidade
de interveno manual.

Como todo sistema operacional moderno, o Junos multitarefa.

Para garantir a integridade do sistema de arquivos importante, sempre que possvel,


desligar o sistema utilizando o procedimento convencional de shutdown. Embora impro-
vvel, um reboot revelia poder prejudicar a sade do sistema, dificultando at mesmo o
prximo reboot.

Para desligar o sistema pelo mtodo convencional usa-se o comando request system halt:

user@host> request system halt?

Possible completions:

<[Enter]> Execute this command

at Time at which to perform the operation

in Number of minutes to delay before operation

media Boot media for next boot

message Message to display to all users

| Pipe through a command

Este comando prov opes que permitem ao usurio: q


11 Agendar um shutdown para um momento futuro, que pode ser especificado em
quantidade de minutos ou em um horrio exato.

11 Especificar a mdia a partir da qual um reboot ser feito.

11 Registrar a mensagem de reboot em um arquivo de mensagens ou no terminal de console.

Para plataformas Junos que oferecem REs redundantes, o usurio pode reiniciar ambas REs
simultaneamente, utilizando request system halt both-routing-engines.

11 Uma vez desembalado e ligado, o equipamento Juniper est pronto para receber as q
primeiras configuraes.

11 Antes de fazer qualquer alterao, o administrador obrigado a configurar uma


Captulo 9 - Configuraes do roteador

senha para o usurio root.

11 As senhas do sistema no podem ter menos que 6 (seis) caracteres e precisam incluir
uma mudana de caixa (letras maisculas e minsculas), dgitos ou metacaracteres.

Adicionando a senha de root:

[edit]

user@host# set system root-authentication plain-text-password

New password: ***

135
error: minimum password length is 6

error: require change of case, digits or punctuation

O exemplo mostra a senha sendo configurada como texto plano. Ao contrrio dos demais
sistemas do mercado, o Juniper nunca exibe a senha digitada como texto plano. As senhas
sempre aparecem encriptadas, conforme abaixo:

[edit system]

root# show root-authentication

encrypted-password $1$ti58nUSg$8xnQtTJeA0dA/.eUjjZOq1; ## SECRET-DATA

Acima est a hierarquia do arquivo de configurao onde aparece a senha do usurio.

Alm desse item, tambm recomendvel que os seguintes itens sejam configurados: q
11 Hostname do equipamento.

11 Horrio do sistema.

11 Servios para acesso remoto (Telnet, SSH).

11 Interface de gerncia e rota esttica para o trfego de gerncia.

Login como root


A primeira conexo CLI precisa ser via porta console. Alm disso, no primeiro acesso o
login com a conta de root obrigatrio, e o usurio no ser solicitado a inserir uma senha.

Uma vez conectado ao equipamento, o prompt mostrar o nome do usurio (root). Como
no haver um hostname configurado, o sistema usar o seu default: Amnesiac.

O equipamento Juniper possui dois tipos de CLI: q


11 CLI com shell de Unix, que permite acesso a uma srie de utilitrios do Unix.

11 CLI com a interface de comandos Junos, a partir da qual so feitas as configuraes


das funcionalidades do roteador.

Ao fazer login como root, o usurio ter acesso CLI de Unix.

11 Para acessar a CLI do Junos usado o comando cli.

11 Para retornar CLI de Unix usado o comando exit.

Entrando no Modo de Configurao


11 Depois de iniciar a CLI do Junos, o usurio pode entrar no modo de configurao da q
caixa, onde as alteraes de configurao podem ser efetivamente realizadas.

11 Para tal usado o comando configure no modo de operao da CLI do Junos.

Amnesiac (ttyu0)- Amnesiac prompt indicates a factory-default


configuration
Introduo rede Ip

login: root

--- JUNOS 9.5R1.8 built 2009-04-13 20:03:09 UTC

136
root@%

root@% c1i - UNIX shell prompt

root> - Operational mode prompt

root> configure

Entering configuration mode

[edit]

root#

Definindo parmetros de identificao


A seguir exemplo de como fazer a configurao de hostname:

[edit]

root# edit system

[edit system]

root# set host-name host

[edit system]

root# set root-authentication plain-text-password

New password:

Retype new password:

Definindo parmetros de hora


A seguir as configuraes de data e hora no Junos:
Captulo 9 - Configuraes do roteador

[edit system]

root# set time-zone America/Los_Angeles

[edit system]

root# run set date 200905120900.00

Tue May 12 09:00:00 UTC 2009

137
11 Alm da data e hora, deve-se confirmar o timezone da regio pertinente. q
11 O timezone configurado de fbrica o UTC (GMT).

11 Uma vez definido o timezone local, a hora do sistema ser ajustada de acordo com a
diferena entre o timezone configurado manualmente e o default.

11 aconselhvel configurar o horrio do sistema depois de acertar o timezone.

11 Ao invs de definir o horrio local, existe a opo de configurar o roteador para sin-
cronizar o seu horrio com um servidor de Network Time Protocol (NTP).

Essa possibilidade ser abordada mais adiante.

Definindo parmetros de acesso


A seguir podemos conferir a configurao de acesso remoto (servios Telnet e SSH):

[edit system]

root# set services telnet

[edit sy stem]

root# set services ssh

11 Outro protocolo de acesso que pode ser configurado de modo similar o http, que q
permite ao usurio acessar o equipamento atravs da interface J-Web.

11 Ao acessar o roteador atravs de um desses recursos de acesso remoto, pode-se


utilizar os mesmos logins criados na hierarquia [edit system login], os quais tambm
so vlidos para acesso via porta console.

Definindo parmetros de gerncia


A seguir est exibida a configurao de endereo IP em uma interface que ser usada para
gerncia:

[edit system]

[root# top

[edit]

[root# set interfaces interface name unit 0 family inet address


10.0.1.131/27

[edit]
Introduo rede Ip

[root# set routing-options static route 10.0.1.0/24 next-hop


10.0.1.129

Repare que tambm foi configurada uma rota esttica para uma rede de gerncia. Por rede
de gerncia entenda-se a infraestrutura onde estaro as mquinas que precisaro fazer
acesso remoto (via telnet ou SSH) ao roteador, e que recebero traps SNMP dele.

138
Se a instituio tiver um protocolo de roteamento dinmico configurado na sua LAN, esse
tambm poder ser usado para divulgar o endereo IP de gerncia do roteador e aprender
o endereo da rede de gerncia. Algumas literaturas consideram boa prtica manter o rote-
amento esttico para a rede de gerncia, para o caso de falha em um protocolo de rotea-
No Junos, as rotas estticas somente estaro disponveis quando o rpd (Routing
mento.
Protocol Process) estiver rodando.

Verificando as configuraes
Aps realizar toda a configurao inicial, as alteraes executadas podem ser verificadas
com o comando show configuration. Esse comando exibe a configurao ativa com o seu
formato original, com as diferentes hierarquias separadas com chaves ({ }).

Verificando as configuraes:

root@host> show configuration

## Last commit: 2009-05-11 21:00:46 UTC by root

version 9.5R1.8;

system {

host-name host;

time-zone America/Los_Angeles;

root-authentication {

encrypted-password $1$e/FUEOVo$JF6NiAZxuufGFxDs10MAr/; ##
SECRET-DATA

services {

ssh;

telnet;

syslog {

...

Configurao de resgate
11 O Junos possui o recurso da configurao de resgate. q
Captulo 9 - Configuraes do roteador

11 Trata-se de um arquivo de configurao extra, definido pelo usurio, que fica guar-
dado no sistema e pode ser solicitado em situaes de emergncia.

11 recomendvel que a configurao de emergncia possua os elementos mnimos


necessrios para restaurar a conectividade fundamental de rede.

11 Por segurana, a configurao de resgate deve incluir uma senha de root.

Por default, nenhuma configurao de resgate definida. Os comandos para definio,


remoo e efetivao da configurao de resgate so mostrados a seguir:

root@host> request system configuration rescue save

139
root@host> request system configuration rescue delete

[edit]

root@host# rollback rescue

load complete

[edit]

root@host# commit

commit complete

Configurao de interface
O uso mais primrio de uma interface a conexo entre diferentes dispositivos de rede. No
entanto, no Junos, algumas interfaces so definidas para exercer outras funes.

Os tipos de interfaces presentes no Junos so listadas a seguir: q


11 Interface de gerncia:

22 Usada para conectar o roteador Juniper uma rede de gerncia.

22 A designao desse tipo de interface varia de acordo com a plataforma.

22 Alguns exemplos so fxp0 e me0.

11 Interfaces internas:

22 Usadas para conectar os planos de controle e de encaminhamento.

22 A designao desse tipo de interface varia de acordo com a plataforma.

22 Alguns exemplos so fxp1 e em0.

11 Interfaces de rede:

22 Usadas para prover conectividade de rede atravs de uma mdia especfica.

22 Alguns exemplos de mdia so Ethernet, Sonet, ATM e T1.

11 Interface de loopback:

22 Interface lgica fixada no roteador, com diversas aplicaes.

11 Interfaces de servios:

22 Usadas para prover um ou mais servios: encriptao, tuneling, NAT etc.

22 Podem ser implementadas via hardware, atravs de um carto especfico que


pode ser comprado e adicionado caixa, ou via software.

11 Alguns exemplos de interfaces de servio e suas respectivas designaes:

22 es: Interface de encriptao.


Introduo rede Ip

22 gr: Interface de Tnel GRE (Generic Rout Encapsulation Tunnel Interface).

22 ip: Interface de Tnel IP sobre IP.

11 ls: Interface de link de servio.

22 ml: Interface Multilink.

22 mo: Interface de Monitoramento Passivo.

140
22 mt: Interface de Tnel Multicast. q
22 sp: Interface de Servios Adaptativos.

22 vt: Interface virtual de loopback.

Nomeando interfaces
A figura a seguir apresenta os novos atores introduzidos: Interface, PIC (ou PIM) e FPC.

Enquanto diferentes
Tipo de mdia da interface (ge, so, at, e assim por diante)
plataformas usam nomes
Nmero do slot do carto de linha (FPC) diferentes para os cartes
Nmero do slot do carto de interface (PIC) de linha e os cartes de
Nmero da porta interface, o CLI quase
sempre usa FPC e PIC.

Exemplo de nome de interface:


Interface
ge-0/2/3 = porta 3 de um PIC gigabit Ethernet no slot 2 do FPC 0 card PIC

PIC
A numerao da porta e do slot Line card
inicia em zero, ao invs de um (1). FPC
PIC

PIC

Figura 9.2 11 A interface a porta de rede propriamente dita, onde ser conectado um cabo que q
Interface, PIC e FPC. ligar o equipamento a outro n da rede.

11 A PIC (Physical Interface Card) ou PIM (Physical Interface Module) um carto insta-
lado no roteador, que contm um nmero determinado de interfaces.

11 A FPC (Flexible PIC Concentrator) compreende a poro do hardware do roteador


onde as PICs so instaladas.

11 As interfaces no Junos recebem nomes padronizados pelo sistema.

11 Os nomes so atribudos com base no tipo de mdia da interface, no nmero do slot


da caixa onde a FPC est encaixada, no nmero do slot da FPC onde a PIC est insta-
lada, e na posio da interface na PIC.

Em alguns modelos Juniper, tipicamente nos equipamentos de entrada, o termo PIC subs-
titudo por PIM (Physical Interface Module). A funo de uma PIM basicamente a mesma
Captulo 9 - Configuraes do roteador

de uma PIC. As diferenas no sero abordadas aqui, de modo que, para os objetivos desse
curso, os termos podero ser intercambiveis.

Tipicamente, o nmero do slot (seja da FPC ou da PIC) comea em zero. Analogamente, a pri-
meira interface de uma PIC a interface zero. Esse nmero incrementado de acordo com a
configurao do hardware. A figura anterior exibe a nomeao de uma interface no Junos.
A interface ge-0/2/3 a quarta interface de sua PIC.

A PIC onde a interface se encontra a terceira de sua FPC. A FPC onde est a PIC, e a pri-
meira do roteador. Finalmente, a mdia da interface gigabit ethernet. Juntando todas essas
informaes tem-se o nome da interface: ge-0/2/3.

141
Interfaces que no so fsicas no seguem essa conveno. Normalmente elas seguem uma
sequncia simples como: 0, 1, 2...

11 Cada interface fsica pode possuir uma ou mais interfaces lgicas (subinterfaces). q
11 Criar subinterfaces til em ambientes onde se deseja criar conexes L2 como cir-
cuitos virtuais ou 802.1q.

11 Redes Frame Relay e ATM so exemplos de tecnologias que fazem uso de subinter-
faces.

11 Algumas tecnologias de encapsulamento suportam apenas uma nica unidade lgica,


como PPP e HDLC. No Junos essas tecnologias utilizam o descritor zero.

11 O texto abaixo exibe um nome de uma subinterface da interface fsica ge-0/0/14.

ge-0/0/14.51

Em uma interface que utiliza a tecnologia de encapsulamento PPP, por exemplo, haveria
apenas uma nica interface, e seu identificador seria .0.

11 O identificador da subinterface e o identificador do circuito virtual L2 no precisam q


ser iguais.

11 Por exemplo, uma interface ge-1/1/1 poderia ter, por exemplo, dois DLCIs Frame Relay
definidos (DLCI 8 e 9) e implementados nas interfaces ge-1/1/1.20 e ge-1/1/1.21.

Repare que os identificadores do exemplo no casam. No entanto, boa prtica usar o


mesmo nmero identificador da subinterface e do circuito L2. Essa prtica ajuda no
troubleshooting e na melhor compreenso da rede.

Mltiplos endereos
11 A plataforma Junos permite que uma interface, fsica ou lgica, tenha mais de um q
endereo IP.

11 Para tal, basta executar dois comandos set de configurao de endereo.

11 Diferente do que se poderia pensar, ao executar um segundo comando set para o


mesmo item de uma hierarquia de configurao, tipicamente o primeiro set no
desconsiderado, mas os dois comandos passam a valer.

11 Essa regra vale, por exemplo, para a configurao do endereo IP na interface.

11 Se o usurio associa um endereo IP a uma interface (utilizando o comando set),


e percebe que o endereo est errado e decide troc-lo, pode usar o comando
rename, e no um segundo comando set.

O exemplo aqui descrito ilustrado abaixo (comando rename):

[edit interfaces ge-0/0/1 unit 0]

user@host# set family inet address 10.1.1.1


Introduo rede Ip

[edit interfaces ge-0/0/1 unit 0]

user@host# show

family inet {

address 10.1.1.1/32;

142
}

[edit interfaces ge-0/0/1 unit 0]

user@host# rename family inet address 10.1.1.1/32 to address


10.1.1.1/24

[edit interfaces ge-0/0/1 unit 0]

user@host# show

family inet {

address 10.1.1.1/24;

Outra opo seria retirar o endereo com um delete e em seguida colocar o novo IP com o
comando set (no necessariamente nessa ordem).

Propriedades fsicas de interfaces


A lista seguinte mostra as diferentes configuraes fsicas que podem ser feitas nas interfaces: q
11 Protocolo de encapsulamento L2: pode ser, por exemplo, PPP, HDLC e Frame Relay,
entre outros.

11 Modo: em interfaces ethernet pode-se escolher entre modo duplex ou half duplex.

11 Velocidade: configurvel em certos tipos de mdia.

11 MTU: o Maximum Transmission Unit pode variar o tamanho entre 256 e 9192 bytes.

11 Clock.

11 Scrambling: se refere ao embaralhamento do payload dos pacotes (esta funcionali-


dade pode estar ligada ou desligada).

11 FCS: o Frame Check Sequence pode ser modificado para 32 bits (o default 16).

Propriedades lgicas de interfaces


A lista seguinte mostra as propriedades lgicas configurveis nas interfaces: q
11 Famlia de protocolo: pode ser inet (para IPv4), inet6 (para IPv6), mpls (para MPLS) etc.

11 Endereo: cada famlia configurada na interface tem um ou mais endereos lgicos.

11 Identificador de circuito virtual: para links Frame Relay, ATM ou tag de VLAN.

11 Outros: ARP inverso, traps SNMP, exportao de flows, QoS etc.


Captulo 9 - Configuraes do roteador

A hierarquia das configuraes organizada no arquivo de configurao:

interfaces {

interface-name {

physical-properties;

[...]

unit unit-number {

143
logical-properties;

[...]

Todas as interfaces tm esta mesma organizao hierrquica.

11 O Junos organiza todas as propriedades fsicas debaixo do nome da interface. q


11 O nmero de unit representa uma interface lgica (ou subinterface) particular.

11 O Junos organiza todas as configuraes lgicas da interface debaixo da subinterface


(unit) correspondente.

[edit]

user@host# show interfaces

ge-0/0/2 {

unit 0 {

family inet {

address 172.19.102.1/24;

address 172.19.102.2/24 {

preferred;

family inet6 {

address 3001::1/64;

lo0 {

unit 0 {

family inet {

address 192.168.100.1/32;
Introduo rede Ip

address 192.168.200.1/32; {

primary;

144
}

Observe no cdigo que uma unit pode suportar mltiplas famlias de protocolo, o que equi-
vale a dizer que uma subinterface (lgica) suporta vrios protocolos de rede, como IPv4 e IPv6.

O cdigo tambm mostra o uso dos comandos preferred e primary. A opo preferred
usada quando h mltiplos IPs de uma mesma sub-rede na mesma subinterface. Essa
opo permite ao usurio selecionar o endereo que ser usado como endereo de origem
nos pacotes gerados pelo sistema para hosts locais na mesma sub-rede. Por default, se nada
definido pelo usurio, o sistema assume que o endereo com o menor valor ser o prefe-
rido. No exemplo anterior, se o comando preferred no fosse usado, o endereo preferido
seria o 172.19.102.1. Mas o comando sobrescreveu o comportamento default do roteador, e
elegeu o 172.19.102.2 como o preferido.

O endereo primrio de uma interface, definido pelo comando primary, o endereo


usado por default como o origem de broadcasts e multicasts que precisam ser enviados
por aquela interface. Por default o endereo primrio da interface aquele com o menor
nmero de endereos. No cdigo anterior, o endereo primrio default da interface lo.0
seria 192.168.100.1, mas o comando primary sobrescreveu o comportamento default e
elegeu 192.168.200.1 como endereo primrio.

Verificando endereos Primrio e Preferido:

user@host> show interfaces ge-0/0/2.0 | find addresses

Addresses, Flags: Is-Primary

Destination: 172.19.102/24, Local: 172.19.102.1,

Broadcast: 172.19.102.255

Addresses, Flags: Preferred Is-Preferred

Destination: 172.19.102/24, Local: 172.19.102.2,

Broadcast: 172.19.102.255

Protocol inet6, MTU: 1500

Flags: Is-Primary

Addresses, Flags: Is-Default Is-Preferred Is-Primary

Destination: 3001::/64, Local: 3001::1


Captulo 9 - Configuraes do roteador

Addresses, Flags: Is-Preferred

Destination: fe80::/64, Local: fe80::217:cbff:fe4e:ab02

Verificando o estado das interfaces


11 Para verificar o estado das interfaces do roteador de forma rpida, utiliza-se o q
comando show interfaces terse.

11 Para verificar o estado de uma nica interface particular, pode-se passar o nome da
interface desejada como parmetro para o comando.

145
user@host> show interfaces terse ge-O/O/2

interface Admin Link Proto Local Remote

ge-O/O/2 up up

ge-0/0/2.0 up up inet 10.15.173.1/28

172.19.102.1/24

inet6 3001::1/64


fe80::217:cbff:fe4e:a282/64
Introduo rede Ip

146
Roteiro de Atividades 5
Atividade 5.1 Configurao bsica (parte 1)
1. Alterar o hostname;

Para se alterar o nome do roteador voc dever utilizar o comando hostname. Ele deve ser
executado a partir do [edit system] da rvore do arquivo de configurao Junos, ou como
alternativa pode-se chamar o comando set a partir do [edit], no topo da rvore do arquivo
de configurao.

root# set system host-name ROTX

[edit]

2. O comando commit:

Uma vez definida a senha de root, basta executar o comando commit. Ao executar esse
comando, toda a configurao definida pelo comando set e que se encontra no arquivo de con-
figurao candidata ser aplicada para o modo de execuo, ou seja, essa configurao valer
a partir deste momento. Mas antes de aplicar essa configurao, o Junos faz uma verificao
prvia no intuito de encontrar erros de sintaxe. Um recurso bastante utilizado o comando
compare em conjunto com o comando show. Com estes dois comandos associados, pode-se
fazer uma anlise entre o que configurao candidata e o que configurao atual.

A linha que inicia com o sinal - indica a configurao que ser deletada aps o commit. J a
linha que inicia com o sinal + indica as configuraes que sero aplicadas aps o commit.

root@bancadaX# show | compare

[edit system]

- host-name bancadaX;

+ host-name teste;

[edit]

Outro recurso interessante do comando commit a utilizao do parmetro comment.


Seguida desse parmetro, pode-se inserir uma descrio do que ser comitado a partir de agora.

root@bancadaX# commit comment alteracao do ip da interface ge-


0/0/0 conforme chamado 7001
Captulo 9 - Roteiro de Atividades 5

3. O comando rollback

Outro recurso interessante do Junos a possibilidade de fazer rollback de configuraes.


Este recurso pode auxiliar o administrador caso ele tenha efetuado alguma configurao
errada, ou at mesmo caso seja necessrio restaurar uma configurao de uma data espec-
fica. O Junos pode guardar at 50 configuraes aplicadas com o comando commit.

147
4. Para verificar os commits realizados no seu sistema basta digitar o comando:

root@bancadaX# run show system commit

0 2011-01-19 12:27:36 UTC by root via cli

alteracao do ip da interface ge-0/0/0 conforme chamado 7001

1 2011-01-19 11:32:18 UTC by root via cli

2 2011-01-19 02:40:15 UTC by root via cli

3 2011-01-19 02:37:17 UTC by root via cli

4 2011-01-05 20:39:27 UTC by root via cli

5 2010-12-23 23:27:10 UTC by root via cli

6 2010-12-23 23:26:14 UTC by root via cli

7 2010-12-23 23:25:11 UTC by root via cli

8 2010-12-23 23:19:18 UTC by root via cli

9 2010-12-18 01:01:36 UTC by root via button

Com a informao dos commits realizados no seu sistema, pode-se restaur-lo a partir do modo
de configurao com o comando rollback seguido do ID do commit que se deseja restaurar.

O ID 0 representa a configurao atual do seu sistema. J o ID 1 representa a


penltima configurao vlida do seu sistema.

root@bancadaX# rollback ?

Possible completions:

<[Enter]> Execute this command

0 2011-01-19 12:27:36 UTC by root via cli

1 2011-01-19 11:32:18 UTC by root via cli

2 2011-01-19 02:40:15 UTC by root via cli

3 2011-01-19 02:37:17 UTC by root via cli

4 2011-01-05 20:39:27 UTC by root via cli

root@bancadaX# rollback 1

load complete

[edit]

Aps executar o comando rollback, deve-se executar o comando commit para que as
Introduo rede Ip

configuraes restauradas tenham efeito.

root@bancadaX# commit

commit complete

[edit]

148
Atividade 5.2 Configurao bsica (parte 2)
1. Trabalhando com o redirecionador PIPE;

Um recurso interessante do Junos o redirecionar PIPE. Com ele pode-se redirecionar a


sada padro de um comando para a entrada padro de outro comando, a exemplo dos
sistemas Unix.

Numa circunstncia em que se precise filtrar a sada padro do comando show interfaces
terse, por exemplo, basta usar o respectivo comando com o redirecionador PIPE seguido
do comando match, como exibido abaixo.

root@bancadaX> show interfaces terse | match ge-0/0/0

ge-0/0/0 up down

ge-0/0/0.0 up down inet 192.168.1.1/30

Neste exemplo, filtramos somente o status da interface ge-0/0/0.

2. Trocando a senha de root;

Quando se utiliza o comando set, estamos atualizando um arquivo chamado de candidate


configuration ou configurao candidata. Portanto, essas atualizaes no surtiro efeito
antes de se executar o comando commit, que ser explanado na prxima atividade.

Uma premissa para se executar o comando commit definir uma senha para o usurio
root, j que ela no definida quando o equipamento vem com as configuraes de fbrica.

Para se definir uma senha para o usurio root, basta digitar o comando:

root@bancadaX# set system root-authentication plain-text-password

New password:

Nesse momento o Junos solicitar o fornecimento da senha e sua confirmao.

3. Manipulando arquivos e diretrios no Junos;

O Junos possibilita a manipulao de arquivos e diretrios armazenados na flash do equipa-


mento Juniper. Para manipular arquivos e diretrios basta utilizar o comando file a partir do
modo de operao. Uma informao muito til para manipulao de arquivos e diretrios
saber o caminho que se encontra na estrutura de diretrio do sistema de arquivos (filesystem).

Para saber o caminho que se encontra na estrutura de diretrio do filesystem, basta executar
o comando show cli directory a partir do modo operao. Com a informao do caminho em
que se encontra, possvel listar os arquivos e diretrios com o comando file list.
Captulo 9 - Roteiro de Atividades 5

root@bancadaX> file list

/cf/root/:

.cshrc

.history

.login

.profile

149
.ssh/

backup.txt

conf_17-12-2010

conf_display_set

novo

snmp

teste.txt

ttyp1

Para verificar o contedo do arquivo .login, que se encontra no diretrio /cf/root, basta
utilizar o comando:

root@bancadaX> file show .login

4. Saindo do modo de configurao do Junos;

Para sair do modo configurao, basta digitar o comando exit:

glenio@bancadaX# exit

Exiting configuration mode

5. Entrando no modo Shell no Junos;

No Junos, cada usurio de sistema pode ter acesso ao shell do Unix, onde est disponvel a
maioria dos comandos j conhecidos no mundo Unix. Para ter acesso ao shell, basta chamar
o comando start shell, a partir do modo operao.

root@bancadaX> start shell

Se o comando tiver sido realizado com sucesso, o prompt de comando mudar, indicando
assim que voc est no shell do Unix.

6. Verificando comandos do Unix;

Agora pode-se verificar alguns comandos do Unix, como, pwd, ls, top, cd.

Caso seja necessrio voltar para o modo de operao do Junos, basta utilizar o comando cli.

% cli

glenio@bancadaX>
Introduo rede Ip

150
Configuraes de Usurio e Autenticao
H duas opes de configuraes para acesso de usurio: autenticao local ou autenti-
cao centralizada (usando soluo de RADIUS ou TACACS+).

Local authentication
database

RADIUS or
TACACS+ server

Figura 9.3
Autenticao de
Usurio Junos.

Quando se usa autenticao local, as senhas e nomes de usurio so criadas e armazenadas


em um banco de dados do prprio sistema Junos.

As seguintes condies so impostas pelo sistema:

11 As senhas precisam ter um mnimo de 6 caracteres;

11 As senhas precisam conter pelo menos um metacaractere ou letra maiscula.

Quando um usurio criado no Junos, automaticamente gerado um diretrio home


para ele, como ocorre para os sistemas Unix. Esse diretrio serve como um diretrio default
de trabalho para cada usurio localmente definido. O diretrio local de trabalho pode ser
modificado durante uma sesso usando o comando de modo de operao set cli directory
<nome do diretrio>.

A opo de autenticao centralizada no Junos pode ser implementada utilizando solues


de RADIUS ou TACACS+. Ambos definem uma aplicao cliente-servidor onde os usurios e
senhas so definidos no servidor. Softwares clientes de RADIUS ou TACACS+ so executados
no Junos, enquanto o servidor executado em um hardware remoto da rede.

Essa soluo de autenticao remota permite que mltiplos usurios definidos no RADIUS
ou no TACACS+ sejam mapeados para um template de conta de usurio definido localmente.
Captulo 9 - Roteiro de Atividades 5

Ordem da autenticao
O Junos pode ser configurado para ser um cliente de RADIUS e de TACACS+. A diferena
entre esses mtodos no ser tratada neste curso.

possvel priorizar a ordem que o software usar para tentar autenticar o usurio. Dessa
forma, para cada tentativa de login, o Junos tentar mais de um mtodo de autenticao
na ordem especificada, at que a autenticao possa ser efetuada. O mtodo seguinte ser
tentado sempre que o mtodo anterior falhar ou rejeitar o acesso do usurio. S no caso de
nenhum dos mtodos funcionar, o acesso do usurio ser negado.

151
Se nenhum dos mtodos de acesso responder (com aceite ou rejeio), o Junos tentar como
ltimo recurso autenticar o usurio utilizando a base local.

Para verificar a ordem dos mtodos de autenticao no modo de configurao, use o


comando:

show system authentication-order

A seguir observamos um exemplo do processo de autenticao e a execuo desse


comando a partir da raiz da hierarquia de configurao do sistema [edit].

9) RADIUS server
b78 Username = lab
b , la Password = lab123
2 (la T
Step E JEC
p 3R
Ste
Step 1 (lab, lab789)
Step 4 (lab, lab789)

Step 8 ACCEPT TACACS+server


Step 5 REJECT
Ste Username = lab
p6 Password = lab456
(la
b,
Ste lab
p7 78
9)
AC
CE
PT

Local authentication
database
Username = lab
Password = lab789

A configurao da ordem de autenticao pode ser feita com o comando a seguir na raiz da Figura 9.4
hierarquia do modo de configurao: Ordem de
autenticao.
set system authentication-order [...]

Dentro dos colchetes devem ser colocadas as palavras-chave na ordem desejada. Exemplo:

set system authentication-order [radius password]

Para configurar um sistema RADIUS remoto, utilize o comando a seguir na raiz da hierarquia
do modo de configurao:

set system radius-server <IP do RADIUS> secret <senha>


Introduo rede Ip

O parmetro secret define um valor usado pelo RADIUS para validar a identidade do rote-
ador.

Para verificar a configurao de RADIUS usa-se o comando show system radius-server:

[edit system]

user@host# show radius-server

152
172.18.102.13 secret $9$9ZKntpBvMX7Nb1RcleW-dbs2gaU; ## SECRET-DATA

A configurao do TACACS+ anloga. Para tal use o comando a seguir na raiz da hierarquia
do modo de configurao:

set system tacplus-server <IP do TACACS> secret <senha>

O parmetro secret permite que o TACACS+ possa validar a identidade do roteador. Para
verificar a configurao de TACACS+ usa-se o comando show system tacplus-server:

[edit system]

user@host# show tacplus-server

172.17.32.14 secret $9$m5T31Icyrvn/A0ORlevWLXNb; ## SECRET-DATA

O usurio lab, utilizado no primeiro exemplo desse tpico, est definido tambm no banco
de dados local de usurios. A seguir uma forma de verificar a existncia desse usurio local:

[edit system]

user@host# show login user lab

class super-user;

authentication {

encrypted-password $1$dJ3NA9BW$nZGLZAp9kpiG52kru34IT.; ## SECRET-


DATA

A seguir um exemplo de mudana de ordem do mtodo de autenticao. O administrador


do sistema no quer mais que a base de usurios locais seja usada. Para tal, a opo
password foi retirada do comando set system authentication-order [...].

[edit]

user@host# show system authentication-order

authentication-order [ radius tacplus ];

Captulo 9 - Roteiro de Atividades 5

153
[edit]
user@host# show system authentication-order
authentication-order [ radius tacplus ];

9) RADIUS server
b78 Username = lab
b , la
(la Password = lab123
2 CT
Step EJE
R
p3
Ste
Step 1 (lab, lab789)
Step 4 (lab, lab789)

Step 6 REJECT TACACS+server


Step 5 REJECT
Username = lab
Password = lab456

Local authentication
database
Username = lab
Password = lab789

Na figura anterior o usurio tentou fazer login no sistema usando a senha lab789, que Figura 9.5
difere das senhas definidas no RADIUS e no TACACS+. O sistema tenta fazer autenticao via Ordem de
autenticao sem
RADIUS, sem sucesso. Em seguida tenta autenticao via TACACS+, sem sucesso novamente. opo password.
Nesse caso o sistema no consultar a base local como ltimo recurso, pois essa opo foi
excluda da lista de recursos de autenticao, e pelo menos um dos recursos listados
respondeu (se a conexo com o RADIUS e com o TACACS+ tivesse falhado, a base local seria
usada como ltimo recurso). O acesso do usurio negado.

A prxima figura mostra o equipamento com a mesma ordem de autenticao configu-


rada no exemplo anterior. No entanto, o servidor RADIUS est desligado, e o TACACS+ est
inacessvel devido a um problema de rede. Ao tentar consultar cada um desses recursos o
sistema aguardar a expirao de um perodo de time-out. Passado esse tempo o sistema
remoto ser considerado inacessvel.
Introduo rede Ip

154
RADIUS server
9) Username = lab
b 78
, la Password = lab123
lab
p 2(
Ste

Step 1 (lab, lab789)


Step 3 (lab, lab789)

Step 6 ACCEPT TACACS+server


Ste Username = lab
p4 Password = lab456
(la
b , la
Ste b7
p5 89
)
AC
CE
PT

Local authentication
database
Username = lab
Password = lab789

Figura 9.6 Repare que no exemplo, como nenhum dos recursos listados no parmetro authetication-order
Ordem de respondeu, a base local ser usada. Esse comportamento evita a situao indesejvel de
autenticao:
servidores de um equipamento ficar inacessvel quando ocorre uma falha dos servidores centralizados
autenticao de autenticao.
indisponveis.

Componentes da autenticao
11 Cada comando do modo de operao e do modo de configurao est sujeito q
aprovao pelo processo de autenticao do sistema.

11 O mesmo vale para os recursos da interface J-Web.

11 Todos os usurios esto sujeitos s vontades desse processo, exceo do usurio


root, que tem poder incondicional.

O perfil de acesso do usurio root no pode ser modificado. Por esse motivo funda-
mental proteger a senha desse usurio.

A figura seguinte introduz as entidades lgicas usadas no processo de autenticao de cada


comando aplicado por um usurio. Cada um desses atores explicado a seguir.
Captulo 9 - Roteiro de Atividades 5

deny-commands allow-commands Authorized


user Class Permissions
deny-configuration allow-configuration or Denied

Figura 9.7
Entidades lgicas User
q
envolvidas no
processo de Um usurio (user) um membro de uma classe (class).
autenticao.
Ao utilizar autenticao remota possvel mapear mltiplos logins do TACACS a um mesmo
user do Junos.

155
Class
11 Uma classe (class) define um conjunto de flags de permisso. q
11 possvel configurar ou customizar classes.

11 O sistema traz quatro classes pr-definidas que podem contemplar a maioria das
situaes desejadas.

11 Essas classes e suas respectivas flags de permisso esto listadas a seguir:

22 super-user: permisso total.

22 unauthorized: nenhuma permisso.

22operator: clear, network, reset, trace e view.

22 read-only: view.

Permission
Uma permisso (permission) uma flag associada a um privilgio. Pode-se entender uma q
permission como um conjunto de comandos pertinentes a uma determinada tarefa.
Algumas das permisses que j vm configuradas no sistema so listadas a seguir:

11 access: permite ver as configuraes de acesso.

11 access-control: permite modificar as configuraes de acesso.

11 admin: permite ver configuraes de contas de usurio.

11 admin-control: permite modificar configuraes de contas de usurio.

11 all: permisso total.

11 clear: permite limpar informaes aprendidas da rede.

11 configure: permite acesso ao modo de configurao.

11 control: permite modificar qualquer configurao.

11 field: reservada para o suporte Juniper.

11 firewall: permite ver as configuraes de firewall.

11 firewall-control: permite alterar as configuraes de firewall.

11 floppy: permite ler e escrever informaes no drive de floppy.

11 interfaces: permite ver as configuraes de interface.

11 interface-control: permite modificar as configuraes de interface.

11 rollback: permite a execuo do comando rollback <n> com n > 0.

11 reset: permite fazer reset em interfaces e processos do sistema.

11 view: permite ver estatsticas do sistema.

11 view-configuration: permite ver toda a configurao do sistema.

Algumas permisses so configurveis. A lista de permisses que o usurio pode customizar


varia de plataforma para plataforma.
Introduo rede Ip

Comandos extras Allow e Deny


Alm de associar um user a uma class, possvel incluir uma ordem especfica para o q
sistema permitir ou negar um determinado comando de maneira avulsa, independente
do que dizem as flags presentes nas permissions da class.

A configurao seguinte mostra um exemplo desse tipo de opo.

156
[edit system login]

root@host# show

class noc-admin {

permissions [ clear network reset view ] ;

allow-commands (configure private) ;

deny-commands (file) ;

allow-configuration (interfaces) | (firewall);

deny-configuration (groups);

user nancy {

uid 2002;

class noc-admin;

authentication {

encrypted-password SlSKQXKa/VQSijv77wxLnyf7XRI.1IbTqO; ##
SECRET-DATA

11 No exemplo acima o administrador definiu que a usuria Nancy estar associada q


classe noc-admin.

11 As permisses clear, network, reset e view foram associadas a esta classe.

11 Adicionalmente o administrador gostaria que os usurios da classe noc-admin


fossem capazes de ver as configuraes, mas apenas de interface e de firewall.

11 Para tal, o primeiro passo foi liberar o comando (avulso) configure private.

11 Esse comando foi adicionado lista de tarefas que o usurio pode fazer.

Essa configurao foi adicionada com o allow-commands, aplicado sob a hierarquia de


configurao da class, ou seja, [edit system login class noc-admin].

11 Em seguida o administrador usou, sob a mesma hierarquia de configurao, o q


comando allow-configuration, o qual adiciona ao usurio os privilgios associados
Captulo 9 - Roteiro de Atividades 5

s permisses interfaces e firewall.

11 A partir de ento, a usuria Nancy poder entrar no modo de configurao e ver as


configuraes das hierarquias [edit interfaces] e [edit firewall].

11 Alm disso, o administrador prefere garantir que os usurios da classe noc-admin


no sero capazes de manipular arquivos.

11 Para tal, o comando file foi excludo da lista de comandos permitidos.

Essa ao foi feita com o comando deny-commands, aplicado hierarquia de configurao


da classe.

157
Finalmente, o administrador usou o comando deny-configuration para garantir que os usu-
rios da classe em questo no tero acesso aos privilgios da permisso groups, e dessa
forma no podero ver as configuraes da hierarquia [edit groups].

Logs do sistema
O sistema de log do Junos usa os mesmos princpios do mecanismo de log usado pelos
sistemas Unix.

11 Esse sistema grava mensagens gerais sobre a operao do Junos, tais como interfaces q
que saem de operao ou usurios que tentam fazer login e no conseguem.

11 O Junos grava as mensagens de log em arquivos que ficam armazenados no diretrio


/var/log.

11 O arquivo de log primrio, definido pela configurao que vem de fbrica, o /var/
log/messages.

11 As mensagens de log podem trazer uma grande variedade de eventos.

11 Cada evento possui alguns parmetros que o caracterizam.

11 Por exemplo: severidade (severity) e facilidade (facility).

11 A facilidade listada na frente do evento, e define a classe da mensagem.

11 A severidade vem em seguida, e determina a gravidade do evento reportado.

11 As mensagens de log podem ser gravadas em arquivo (/var/log/messages) ou em


um servidor remoto (servidor de syslogs), o que recomendado dado o perigo de se
perder o arquivo local em um grande evento de falha.

Observamos a seguir exemplos de configurao de syslogs:

[edit system syslog]

user@host# show

user * } #Mensagens de emergncia para todos usurios logados


(*)

host 10.210.14.174 { #Registra em um host remoto

any notice;

authorization info;

file messages { #Arquivo primrio syslog (*)

any any;

authorization info;

}
Introduo rede Ip

file interactive-commands { #Registra todos os comandos CLI (*)

interactive-commands any;

file config-changes { #Registra mudanas na configurao

158
change-log info;

(*)indica a configurao padro de fbrica

As configuraes de syslogs ficam na hierarquia [edit system syslog] e em q


[edit routing-options options syslog]. Algumas opes de syslog:

11 host <nome> ou host <IP>: especifica o servidor de syslog para o qual devero ser
enviadas as mensagens de log.

11 archive: especifica a poltica de armazenamento dos arquivos de log. O default


manter 10 arquivos com tamanho mximo de 128 KB.

11 console: seleciona alguns tipos de mensagem para mostrar no terminal de console do


sistema.

11 facility: mostra a classe das mensagens.

11 severity: mostra o nvel de gravidade das mensagens de log.

11 file <nome>: especifica o nome do arquivo de log.

11 files <nmero>: especifica o nmero mximo de arquivos que sero mantidos.

Interpretando mensagens de log


Se o usurio utiliza o formato default de fbrica, as mensagens de log so registradas como
no exemplo abaixo:

Jul 27 10:48:37 host mgd[4350]: UI_DBASE_LOGOUT_EVENT: User user


exiting configuration mode

Esse formato traz:

11 timestamp: horrio do evento. q


11 hostname: nome do sistema.

11 process name: nome do processo que gerou a mensagem.

11 message code: identifica a natureza e o propsito da mensagem. No exemplo o


cdigo da mensagem UI_DBASE_LOGOUT_EVENT.

11 message-text: prov informaes adicionais sobre o cdigo da mensagem.

A opo explicit-priority nas configuraes de syslog altera o formato default das mensa-
gens de log, que passam a exibir um valor numrico que representa a gravidade do evento.
Na escala de severidade do Junos, o valor zero representa os eventos mais graves, ao passo
Captulo 9 - Roteiro de Atividades 5

que o valor 7 (sete) indica as mensagens informativas (menos graves).

Em qualquer tipo de equipamento, de qualquer fabricante, nem sempre tarefa simples


interpretar os campos das mensagens de log. Pensando nisso, os desenvolvedores do Junos
disponibilizaram um help local, que ajuda a entender os eventos reportados.

Abaixo um exemplo de uso do comando de modo de operao help syslog <message code>:

user@host> help syslog UI_DBASE_LOGOUT_EVENT

Name: UI_DBASE_LOGOUT_EVENT

159
Message: User <username> exiting configuration mode

Help: User exited configuration mode

Description: The indicated user exited configuration mode (logged


out of the configuration database).

Type: Event: This message reports an event, not an error

Severity: notice

Pela descrio da mensagem acima, percebe-se que o usurio user deixou o modo de
configurao. Trata-se de uma mensagem informativa.

Investigando problemas com traceoptions


11 Traceoptions o termo que a Juniper usa para o recurso que outros fabricantes q
chamam de debug.

11 Na maioria dos casos, quando se habilita uma traceoption, um arquivo de trace


criado para armazenar informaes sobre um protocolo ou operao especfica.

11 O Junos enviar os resultados da operao de trace para o arquivo criado para esse fim.

11 Esse arquivo ficar guardado no diretrio /var/log, como os arquivos de log, ou ser
enviado para um servidor remoto.

Para especificar um servidor de syslog remoto para receber as mensagens de tracing,


deve-se configurar o seu endereo IP na hierarquia: [edit system tracing]. A seguir um
exemplo dessa configurao de servidor para receber arquivos de tracing:

[edit system tracing]

user@host# show

destination-override syslog host 1.1.1.1;

Diferente de outros sistemas, devido ao design do Junos, possvel habilitar traceoptions


com grande nvel de detalhamento em uma rede de produo sem impacto significante na
performance do sistema. Apesar disso, recomendvel sempre desabilitar as traceoptions
assim que seu uso no for mais necessrio.

Para investigar a operao de um determinado protocolo utilizando traceoptions, deve-se q


utilizar o comando traceoptions na hierarquia [edit protocols <nome do protocolo>].

Na maioria dos casos o administrador ser seletivo, pois habilitando todo tipo de mensa-
gens, um volume muito grande de informaes gerado. Para habilitar todo tipo de infor-
mao utiliza-se a palavra-chave all.

[edit protocols ospf]

user@host# show
Introduo rede Ip

traceoptions {

file ospf-trace replace size 128k files 10 no-stamp no-world-


readable;

flag event detail;

160
flag error detail;

A amostra de configurao exibida reflete um exemplo tpico de investigao da operao


do protocolo OSPF. No exemplo, o administrador solicitou informaes de erros e de
eventos. No foi usada a opo all. Ao invs disso, foi usada a opo detail, bastante fun-
cional em casos de troubleshooting.

Abaixo seguem alguns parmetros que podem ser configurados quando se faz uso
de traceoptions.

11 file <nome>: especifica o nome do arquivo que armazenar as informaes.

11 size <tamanho>: determina o tamanho mximo de cada arquivo gerado em kilobytes,


megabytes ou gigabytes. Quando um arquivo nomeado ospf-trace atinge esse tamanho,
ele renomeado para ospf-trace.0, e as informaes mais recentes passam a ser
registradas no novo arquivo ospf-trace. Quando o novo arquivo ospf-trace atinge seu
tamanho mximo, ele renomeado para ospf-trace.0, ao passo que o ospf-trace.0
renomeado para ospf-trace.1. E um novo arquivo ospf-trace gerado...

11 files <nmero>: especifica o nmero mximo de arquivos de trace que podem existir.

11 no-stamp: previne que o timestamp das mensagens seja colocado no incio de cada
registro, como ocorre no comportamento default do equipamento.

11 replace: troca um arquivo de trace existente, caso um arquivo de trace com o nome
especificado j exista. Por default, se essa opo no usada, as novas informaes
sero apendadas no arquivo existente.

11 readable: permite que qualquer usurio veja o arquivo.

11 no-world-readable: permite que o arquivo gerado seja lido apenas pelo usurio que
programou a sua gerao. Por default, se a opo readable no usada, essa opo
estar habilitada.

11 Alm de investigar protocolos, as traceoptions permitem investigar recursos q


do sistema.

11 Por exemplo, o comando traceoptions poderia ser utilizado abaixo da hierarquia


[edit interfaces <nome da interface>]. Nesse caso, os eventos ou erros referentes a
uma determinada interface da caixa seriam armazenados no arquivo de trace.

11 Analogamente, possvel investigar os erros e eventos relacionados a determinados


processos do sistema.

11 Se ningum remove ou desabilita as flags de trace, a atividade continua ocorrendo


em background, e os arquivos de trace continuam sendo gerados.

11 Os arquivos continuam no disco indefinidamente at que sejam removidos ou sobres-


Captulo 9 - Roteiro de Atividades 5

critos por algum usurio.

11 Para desabilitar todas as traceoptions de uma hierarquia particular, executa-se o


comando delete traceoptions sob a hierarquia desejada.

11 Para apagar um arquivo de trace criado, utilize o comando do modo de operao:


file delete <nome>.

161
H ainda outras operaes que podem ser feitas nos arquivos com os comandos q
(autoexplicativos):

11 file compare

11 file copy

11 file list

11 file rename

Visualizando arquivos de log e trace


Para ver, via CLI, as informaes armazenadas nos arquivos de log do Junos (no o shell q
de Unix) utiliza-se o comando show log.

A seguir exemplos de utilizao do comando com opes de filtragem:

user@host> show log messages | match support info

May 31 23:49:16 host mgd[2711J: %INTERACT-6-UI_CMDLINE_READ_LINE:

User user, command request support information

Use multiple instances to evoke a logical AND search:

user@host> show log messages | find Apr 1 09: | match error

Use quotes to evoke a logical OR search:

user @host> show log messages | match error|kernel|panic

Assim como ocorre nos sistemas Unix, os comandos cuja sada consomem mais de uma tela
so apresentados de maneira pausada.

11 O caractere | (pipe) utilizado da mesma forma que nos sistemas Unix. q


11 Esse comando permite que a sada de um comando possa ser usada como entrada de
um segundo comando.

No exemplo, o comando match <string> exibe as linhas da sada do comando anterior, que
contm a string especificada. Esse recurso particularmente importante no dia a dia, quando
se deseja procurar por um tipo de mensagem especfica no meio dos registros do sistema.

Conforme mostra o exemplo, os comandos separados por | podem ser cascateados em


vrios pedaos. Dessa forma, possvel, por exemplo, filtrar uma sada que j foi filtrada.
Introduo rede Ip

Esse cascateamento permite combinar a busca com lgica AND e OR, conforme mostrado.

Monitorando arquivos de log e trace


11 Para acompanhar as mensagens que esto sendo escritas nos arquivos de log ou de trace, q
usa-se o comando do modo de operao monitor start <nome do arquivo monitorado>.

11 Esse comando funciona de maneira anloga ao tail -f dos sistemas Unix.

162
11 possvel monitorar o incremento de vrios arquivos diferentes executando o monitor q
start vrias vezes e variando o parmetro <nome do arquivo monitorado>.

11 O Junos mostrar na tela as linhas novas que aparecerem nos arquivos monitorados,
em tempo real.

Cada linha exibida na tela trar o nome do arquivo monitorado, para que se possa diferen-
ciar as mensagens. Para verificar os arquivos que esto sendo monitorados utilizado o
comando do modo de operao monitor list.

Para usar o comando monitor start em um arquivo, o usurio precisa ter permisso de
leitura ao arquivo especificado.

Em muitas situaes o usurio est interessado em monitorar em tempo real apenas algum
tipo particular de mensagem.

11 Pode-se utilizar a opo match para filtrar as mensagens apresentadas durante q


a monitorao.

11 Abaixo observamos uma situao na qual o usurio deseja ver em tempo real apenas
as mensagens de log que contenham a string fail.

user@host> monitor start messages | match fail

11 Para encerrar a monitorao utiliza-se o comando monitor stop.

11 Este comando, quando usado sem nenhuma opo, faz cessar todas as monitoraes
correntes.

11 Para certificar-se de que o trmino da monitorao realmente ocorreu, sempre utilize


o monitor list.

Network Time Protocol (NTP)


11 Usa-se o NTP para sincronizar o horrio de equipamentos de rede com uma fonte. q
11 Um servidor de NTP. Essa operao til para se garantir que os timestamps dos
arquivos de log dos diferentes equipamentos esto com a mesma referncia de
horrio, beneficiando as atividades de investigao de problemas.

O NTP baseado em uma srie de hierarquias de servidores de informao de tempo.


O servidor Stratum1, que marca hora com um relgio atmico, a fonte de relgio que
est no topo da cadeia. Se a informao de horrio no crtica para as aplicaes da
instituio, no necessrio obter a informao de tempo junto ao Stratum1. Tipicamente
a instituio utiliza um servidor Unix ou Windows que serve como a referncia de tempo
para os demais equipamentos.

Em relao ao protocolo NTP, o Junos suporta os modos assimtrico, cliente e servidor, e


tambm pode suportar broadcast e autenticao. uma boa prtica de segurana utilizar a
Captulo 9 - Roteiro de Atividades 5

autenticao, para evitar que um atacante malicioso no comprometa a sincronizao dos


sistemas. A seguir uma configurao tpica de NTP no Junos:

[edit system ntp]

user@host# show

boot-server

10.210.14.173;

server 10.210.14.173;

163
11 Duas mquinas podem se sincronizar apenas quando seus relgios esto q
relativamente prximos.

11 Por default, se a diferena de horrio entre o equipamento local e o servidor de NTP


maior que 128 milisegundos, os relgios so gradualmente sincronizados. Se a dife-
rena maior que 1000 segundos, os relgios no so sincronizados.

11 A opo de boot server (usada no exemplo anterior) pode ser usada para configurar
o horrio do sistema no momento do boot.

Monitorando o NTP
A seguir a sada do comando show ntp associations, que exibe o status corrente da sincro-
nizao:

[edit]

user@host# run show ntp associations

remote refid st t when poll reach delay offset


jitter

*10.210.14.173 10.210.8.73 4 u 63 64 377 0.268 -24.258


7.290

11 O smbolo exibido perto do hostname indica o estado dos equipamentos envolvidos no


processo de sincronizao.

11 O smbolo asterisco (*) indica que o elemento ao lado foi selecionado para sincronizao.

11 Outros smbolos podem aparecer na sada para indicar outros estados. O smbolo que
deve aparecer em situao normal o asterisco.

11 Outros detalhes da sincronizao ficam disponveis na sada do comando show ntp


status.

Simple Network Management Protocol (SNMP)


11 Protocolo de gerenciamento padro da arquitetura TCP/IP, que tem como objetivo q
gerenciar equipamentos de rede.

11 Cada equipamento gerenciado roda um software agente.

11 A Central de Gerenciamento roda o software gerente, e o agente envia informaes


para a central.

11 O agente tambm responde a solicitaes de informao geradas pela central.

Dispositivos executando o Junos podem agir como um agente SNMP. Um agente SNMP troca
informaes de gerncia de rede com um SNMP manager, executado em um equipamento
remoto, chamado Network Management System (NMS).
Introduo rede Ip

Agent
NMS Poll (device running JUNOS Software)

Figura 9.8
SNMP: Manager
Response e Agente.

164
O agente responde a solicitaes de informao geradas pelo manager. Um agente se comu-
nica com o manager usando os seguintes tipos de mensagem:

11 Get, Getbulk e Getnext: o manager SNMP requisita informaes do agente, que responde
com um get response.

11 Set: o manager SNMP altera valores da MIB SNMP (Management Information Base) do
agente. O agente confirma a operao com uma mensagem de set response.

11 Trap: o agente SNMP envia mensagens (traps) de notificao ao manager, que no foram
previamente solicitadas pelo manager. Elas so geradas proativamente pelo agente para
reportar informaes que considera importantes.

A atividade de solicitar informaes aos agentes SNMP, que executada pelo NMS da rede,
chama-se polling SNMP.

MIBs SNMP
Uma MIB uma coleo de objetos mantidos pelo agente SNMP em uma base de dados hie-
rrquica. O manager SNMP consegue visualizar ou mesmo alterar (em alguns casos) objetos
da estrutura da MIB do agente.

Parte das MIBs de todos os equipamentos padronizada pela Internet Engineering Task
Force (IETF). Isso significa que alguns objetos podem existir em qualquer dispositivo, inde-
pendente do fabricante. Existe, porm, uma poro da MIB chamada enterprise. Nessa
poro cada fabricante est livre para criar seus prprios objetos.

Cada objeto identificado dentro da MIB atravs de um Object Identifier (OID). Durante a ativi-
dade de gerncia de rede, o NMS pode executar pollings em OIDs especficos do agente, visando
obter informaes sobre algum recurso da mquina onde esse agente executado. Para tal, o
NMS dever conhecer a estrutura da MIB dos agentes para saber os OIDs disponveis. As MIBs
proprietrias da Juniper esto disponveis para download em: http://www.juniper.net/techpubs.

O Junos oferece suporte para SNMP verses, 1, 2 e 3. A verso a implementao inicial do


protocolo e at hoje uma das mais usadas devido sua simplicidade. A verso 2 adicionou
algumas funcionalidades ao protocolo, mas no ganhou tanta popularidade. O SNMP v3 a
verso mais atual. Ela funciona exatamente da mesma forma que a verso 1, mas adiciona
recursos de segurana e criptografia. A verso 3 a nica que garante a integridade, autenti-
cidade e confidencialidade das informaes de SNMP.

Ao consultar dados de SNMP do agente, o NMS precisa formalizar um pedido. Nesse pedido
o NMS precisa mostrar que conhece a community SNMP do agente. Essa community
funciona como uma senha de acesso. Apenas os NMS que a conhecem podem solicitar infor-
maes. Na verso 1 as informaes de pacote no so criptografadas, o que permite a um
capturador de trfego obter o valor da community e dos OIDs facilmente. A verso 3 prov
Captulo 9 - Roteiro de Atividades 5

mecanismos de proteo para esses dados.

Configurando SNMP
A seguir um exemplo de configurao de SNMP no Junos:

[edit snmp]

user@host# show

description My JUNOS Device;

165
location BSU East Campus Closet - Rack 4;

contact Jim Davis - x1865;

community cardinals {

authorization read-only;

clients {

10.210.14.0/24; - SNMP request limited to 10.210.14/24 subnet; can


also restrict to an interface

trap-group my-trap-group {

version v2;

categories {

chassis;

link;

targets {

10.210.14.173;

As configuraes so feitas na hierarquia [edit snmp]. Alguns parmetros SNMP configurveis:

11 SNMP description: prov informao de identificao do agente em questo.

11 SNMP location: prov informaes de localizao do agente (importante em redes grandes).

11 SNMP Contact: prov informaes sobre a equipe que deve ser contatada para o caso de
falha do agente.

Debaixo da hierarquia [edit snmp] tambm so criadas sub hierarquias com as communities.
Um agente pode ter inmeras communities configuradas. Para cada community, o adminis-
trador do Junos define os NMSs que podem fazer consulta usando-a, e o nvel de acesso:

11 read-only: para leitura do valor dos OIDs;

11 read-write: leitura ou alterao do valor dos OIDs.

Por fim, o exemplo mostra uma configurao de trap-group. Atravs dessa definio o
administrador define que o Junos no s aceitar consultas SNMP do NMS como tambm
Introduo rede Ip

enviar determinadas informaes ao NMS de maneira proativa. Na configurao o admi-


nistrador define a verso de SNMP que as traps seguiro, o endereo IP da entidade que
receber as traps e as categorias de mensagem que sero enviadas (no exemplo sero
enviadas traps referentes chassi e link).

166
Monitorando a operao do SNMP
Um NMS prov a interface para a maioria das tarefas de monitorao do SNMP. Para veri-
ficar a operao desse protocolo, diretamente no Junos que est trabalhando como agente
SNMP, podem ser usadas traceoptions dentro da hierarquia [edit snmp]. Alm disso,
existem vrios comandos show snmp que auxiliam a tarefa.

possvel consultar os valores de determinados OIDs do sistema, atravs do comando de


modo de operao show snmp mib walk <hierarquia da MIB SNMP>.

11 No exemplo seguinte de operao de snmpwalk no Junos, o usurio solicitou informa- q


es sobre as OIDs abaixo da hierarquia jnxOperatingDescr.

11 Essas OIDs guardam a descrio de vrios recursos de hardware do sistema, tais


como as FPCs e PICs.

user@host> show snmp mib walk jnxOperatingDescr

jnxoperatingDescr.1.1.0.0 = midplane

jnxoperatingDescr.2.1.1.0 = Power Supply 0

jnxoperatingDescr.2.1.2.0 = Power Supply 1

jnxoperatingDescr.4.1.1 1 = FAN 0

jnxoperatingDescr.7.1.0.0 = FPC: EX3200-24T, 8 POE @ 0/*/ *

jnxoperatingDescr.8.1.1.0 = PIC: 24x 10/100/1000 Base-T @ O/O/*

jnxOperatingDescr.8.1.2.0 = PIC: 4x GE SFP @ 0/1/ *

jnxOperatingDescr.9.1.0.0 = RE-EX3200-24-T

No uso desse comando, as OIDs podem ser especificadas pelo nome ou pela hierarquia de nmeros
do SNMP. Esse curso no tratar do detalhamento da nomenclatura usada nessa hierarquia.

Captulo 9 - Roteiro de Atividades 5

167
Introduo rede Ip

168
Roteiro de Atividades 6
Atividade 6.1 Configuraes posteriores
1. Configurando interfaces;

2. Para configurar uma interface de rede GigaEthernet, basta proceder como no exemplo
seguinte. Vale ressaltar que o Junos trabalha somente com interface virtual, ento voc
deve definir a interface virtual (unit) que deseja configurar.

# set interfaces ge-0/0/1 description Rede LAN 1

# set interfaces ge-0/0/1 unit 0 description LAN 10.0.10.254

# set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.254/24

# set interfaces ge-0/0/2 description Rede LAN 2

# set interfaces ge-0/0/2 unit 0 description LAN 10.0.20.254

# set interfaces ge-0/0/2 unit 0 family inet address 10.0.20.254/24

Nessa mesma atividade coloque o IP da estao Windows 7 com o primeiro IP vlido do seu
Range de IPs.

Este exemplo para o roteador A da primeira bancada. Os demais roteadores sero confi-
gurados conforme os endereos descritos na figura a seguir.

Captulo 9 - Roteiro de Atividades 6

169
Mesa do
Instrutor

ROT D ROT C ROT B ROT A

0/1 0/1 0/1 0/1

10.0.80.254/24 10.0.70.254/24 10.0.60.254/24 10.0.50.254/24 10.0.40.254/24 10.0.30.254/24 10.0.20.254/24 10.0.10.254/24

8 7 6 5 4 3 2 1

ROT D ROT C ROT B ROT A

0/1 0/1 0/1 0/1

10.0.160.254/24 10.0.150.254/24 10.0.140.254/24 10.0.130.254/24 10.0.120.254/24 10.0.110.254/24 10.0.100.254/24 10.0.90.254/24

16 15 14 13 12 11 10 9

ROT D ROT C ROT B ROT A

0/1 0/1 0/1 0/1

10.0.240.254/24 10.0.230.254/24 10.0.220.254/24 10.0.210.254/24 10.0.200.254/24 10.0.190.254/24 10.0.180.254/24 10.0.170.254/24

24 23 22 21 20 19 18 17

3. Verificando o status das interfaces;

Para verificar o status de uma interface Giga Ethernet e descobrir se ela est up ou down, e
se possui algum erro de pacotes, basta proceder como no exemplo seguinte.

root@bancadaX> show interfaces terse

Interface Admin Link Proto Local


Remote

ge-0/0/0 up down
Introduo rede Ip

ge-0/0/0.0 up down inet 192.168.1.1/30

gr-0/0/0 up up

ip-0/0/0 up up

ls-0/0/0 up up

170
lt-0/0/0 up up

mt-0/0/0 up up

pd-0/0/0 up up

pe-0/0/0 up up

ge-0/0/1 up up

ge-0/0/1.0 up up inet 10.0.10.254/24

ge-0/0/1.0 up up inet 10.0.20.254/24

ge-0/0/2 up down

ge-0/0/3 up down

se-3/0/0 up down

se-3/0/1 up down

dsc up up

gre up up

ipip up up

lo0 up up

lo0.0 up up inet 192.168.0.1/30

lo0.16384 up up inet 127.0.0.1 -->


0/0

lo0.16385 up up inet 10.0.0.1 -->


0/0

10.0.0.16 -->
0/0

128.0.0.1 -->
0/0

128.0.1.16 -->
0/0

inet6 fe80::205:86ff:fe71:e000

lo0.32768 up up
Captulo 9 - Roteiro de Atividades 6

lsi up up

mtun up up

pimd up up

pime up up

pp0 up up

st0 up up

171
tap up up

vlan up up

Outro exemplo:

root@bancadaX> show interfaces brief ge-0/0/0

Physical interface: ge-0/0/0, Enabled, Physical link is Down

Description: Rede Wan

Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback:


Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-
negotiation: Enabled,

Remote fault: Online

Device flags : Present Running Down

Interface flags: Hardware-Down SNMP-Traps Internal: 0x4000

Link flags : None

Logical interface ge-0/0/0.0

Description: WAN - 192.168.1.1

Flags: Device-Down SNMP-Traps Encapsulation: ENET2

Security: Zone: trust

Allowed host-inbound traffic : any-service bfd bgp dlsw dvmrp


igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp

inet 192.168.1.1/30

Outro exemplo:

Physical interface: ge-0/0/0, Enabled, Physical link is Down

Interface index: 131, SNMP ifIndex: 133, Generation: 134

Description: Rede Wan

Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex,


Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None,
Loopback: Disabled,

Source filtering: Disabled, Flow control: Enabled, Auto-


negotiation: Enabled, Remote fault: Online

Device flags : Present Running Down

Interface flags: Hardware-Down SNMP-Traps Internal: 0x4000


Introduo rede Ip

Link flags : None

CoS queues : 8 supported, 8 maximum usable queues

Hold-times : Up 0 ms, Down 0 ms

Current address: 00:24:dc:18:6f:00, Hardware address:

172
00:24:dc:18:6f:00

Last flapped : 2011-01-04 23:17:46 UTC (2w2d 15:46 ago)

Statistics last cleared: Never

Traffic statistics:

Input bytes : 18302503 0 bps

Output bytes : 4628007 0 bps

Input packets: 136047 0 pps

Output packets: 51686 0 pps

Egress queues: 8 supported, 4 in use

Queue counters: Queued packets Transmitted packets


Dropped packets

0 best-effort 51686 51686 0

1 expedited-fo 0 0 0

2 assured-forw 0 0 0

3 network-cont 0 0 0

Active alarms : LINK

Active defects : LINK

Logical interface ge-0/0/0.0 (Index 69) (SNMP ifIndex 134)


(Generation 134)

Description: WAN - 192.168.1.1

Flags: Device-Down SNMP-Traps Encapsulation: ENET2

Traffic statistics:

Input bytes : 18302503

Output bytes : 4628007

Input packets: 136047

Output packets: 51686

Local statistics:
Captulo 9 - Roteiro de Atividades 6

Input bytes : 11634932

Output bytes : 39606

Input packets: 73031

Output packets: 943

Transit statistics:

Input bytes : 6667571 0 bps

Output bytes : 4588401 0 bps

173
Input packets: 63016 0 pps

Output packets: 50743 0 pps

4. Executando comando do modo operao no modo configurao;

Os comandos que o Junos oferece nos modos de operao e configurao so totalmente


diferentes. Porm, existe uma alternativa de se executar comandos do modo operao
mesmo estando no modo configurao. O comando run oferece essa alternativa.

root# ping

unknown command.

[edit]

root# run ping 10.0.30.254

PING 10.0.30.254 (10.0.30.254): 56 data bytes

64 bytes from 10.0.30.254: icmp_seq=0 ttl=59 time=66.907 ms

64 bytes from 10.0.30.254: icmp_seq=1 ttl=59 time=55.016 ms

64 bytes from 10.0.30.254: icmp_seq=2 ttl=59 time=67.916 ms

64 bytes from 10.0.30.254: icmp_seq=3 ttl=59 time=72.131 ms

^C

--- 10.0.30.254 ping statistics ---

4 packets transmitted, 4 packets received, 0% packet loss

round-trip min/avg/max/stddev = 55.016/68.285/76.322/5.945 ms

root# show interfaces terse

invalid interface type in terse.

[edit]

root# run show interfaces terse

Interface Admin Link Proto Local Remote

ge-0/0/0 up down

ge-0/0/0.0 up down inet 192.168.1.1/30

5. Criando usurios de administrao do Junos;

Configure dois logins no roteador. Um ser usado pelo(s) aluno(s) do PC A da bancada e o


Introduo rede Ip

outro pelo(s) aluno(s) no PC B. Os dois logins tero controle total do roteador.

Os alunos da bancada 1 criaro os logins:

login: aluno1_pca

senha: esr1

174
login: aluno1_pcb

senha: esr1

Os alunos da bancada 2 criaro os logins:

login: aluno2_pca

senha: esr1

login: aluno2_pcb

senha: esr1

E assim por diante para as demais bancadas. Para efetuar a criao dos logins, entre no
modo de configurao com configure e execute:

set system login user <nome_do_login> class super-user

set system login user <nome_do_login> authentication plain-text-


password<Enter>

A senha ser solicitada duas vezes. Verifique os servios ativos no roteador com o comando:

#show system service

Caso o SSH no esteja ativo, digite:

# set system service ssh

Abra o Putty e tente fazer um acesso ao roteador pelo protocolo SSH.

Captulo 9 - Roteiro de Atividades 6

175
Em seguida, entre com login e senha. Repita o procedimento duas vezes, de modo a
testar os dois logins recm criados. A partir desse momento desconecte o cabo console e
entregue-o ao seu instrutor. Nos prximos passos, os alunos dos PCs A e B da bancada aces-
saro o roteador a partir de uma sesso telnet aberta de um dos PCs.

6. Habilitando e verificando logs do Junos;

Verifique as configuraes de log do sistema. Entre no modo de configurao com configure


private e execute show system syslog. Repare que o Junos, por default, j registra todo
tipo de mensagem (keyword any) em um arquivo chamado messages.

Execute o comando run show log messages para verificar o contedo do arquivo messages.

Para as prximas tarefas, verifique a indicao abaixo:

Aluno(s) do PC A da Bancada 1 usaro <logFile> = PCA_Banc1_logFile e <bkpFile> = PCA_


Banc1_BkpFile

Aluno(s) do PC B da Bancada 1 usaro <logFile> = PCB_Banc1_ logFile e <bkpFile> = PCA_


Banc1_BkpFile

Aluno(s) do PC A da Bancada 2 usaro <logFile> = PCA_Banc2_ logFile e <bkpFile> = PCA_


Banc1_BkpFile

Aluno(s) do PC B da Bancada 2 usaro <logFile> = PCB_Banc1_ logFile e <bkpFile> = PCA_


Banc1_BkpFile

Baseando-se na configurao do arquivo messages, crie um arquivo de log chamado


<logFile>, que vai registrar apenas mensagens sobre comandos executados na CLI do Junos.
Para tal, utilize a facilidade interactive-commands e a severidade any...

set system syslog file <logFile> interactive-commands any

em seguida execute show system syslog e verifique a configurao adicionada.

Execute show | compare para verificar suas alteraes. Se estiverem certas, execute commit.

Inicie uma monitorao dos logs do arquivo recm criado.

monitor start <logFile>

Deixe a sesso parada para verificar as mensagens que surgem na tela. Abra outra sesso
telnet para o roteador, em paralelo, usando o mesmo login e senha. Nessa nova sesso
execute os seguintes comandos:

show system uptime

show interfaces

configure private

show routing-options
Introduo rede Ip

exit configuration-mode

exit (finaliza a sesso)

Verifique as mensagens que apareceram na sesso onde ficou ligada a monitorao. Observe
que os comandos executados pelo(s) seu(s) colega(s) de bancada tambm aparecem.

176
Execute o comando monitor list no modo de configurao para checar as monitoraes
correntemente ligadas.

Finalize a monitorao com monitor stop <logFile>.

Verifique o arquivo de log <logFile> que voc definiu. Execute file list /var/log/?

Configure o contedo que foi registrado nesse arquivo. Execute file show /var/log/<logFile>.

7. Configurando SNMP;

O protocolo SNMP um protocolo bastante utilizado no gerenciamento de ativos de rede,


principalmente quando se tem definido um SLA bastante exigente, que no permite grandes
perodos de indisponibilidade.

Para configurar o Junos a aceitar consultar SNMP basta seguir como o exemplo abaixo:

root@teste# set snmp community rnpesr authorization read-only

[edit]

root@teste# set snmp community rnpesr clients 200.130.26.5

[edit]

8. Configurar o cliente NTP;

Servidores NTP so extremamente necessrios em redes corporativas que exigem uma


auditoria mais efetiva. Quando se pensa em auditoria, uma das primeiras configuraes que
devemos fazer nos ativos de rede a sincronizao do time do sistema. Para configurar o
Junos para sincronizar seu time de sistema com um servidor de hora NTP (Network Time
Protocol) devemos alterar as configuraes de NTP a partir da rvore de configurao [edit
system ntp] ou executando o comando abaixo a partir do topo [edit].

root@bancadaX# set system ntp server 200.144.121.33

[edit]

Para verificar se o roteador est sincronizado com o servidor NTP basta executar o comando
run show ntp associations no modo configurao.

root@bancadaX# run show ntp associations

remote refid st t when poll reach delay


offset jitter

===========================================================

200.144.121.33 193.204.114.232 2 - 1 64 1 21.849


Captulo 9 - Roteiro de Atividades 6

-284920 0.244

[edit]

177
Introduo rede Ip

178
10
Operao, manuteno e
monitorao
objetivos

Conhecer as funcionalidades de monitorao da CLI do Junos e outros recursos


oferecidos pelo sistema, dominar os procedimentos bsicos de manuteno do Junos.

conceitos
Monitoramento da plataforma, operao de interfaces, utilitrios de rede, manuteno
do Junos OS, recuperao de senha, instalao e upgrade do Junos.

Monitorando a plataforma e operando as interfaces

JUNOS CLI

SNMP LEDs

Figura 10.1
Ferramentas de
J-Web LCDs
monitorao.

11 A ferramenta de monitorao primria do Junos a CLI. q


11 Atravs de seus comandos de show e monitor possvel executar a maior parte
das tarefas de monitorao do equipamento, bem como obter os subsdios para Captulo 10 - Operao, manuteno e monitorao

diagnosticar problemas.

Adicionalmente CLI, h um nmero de ferramentas de monitorao secundrias: a inter-


face J-Web, o SNMP, os LEDs de hardware e o painel frontal da caixa. Em relao a esses
ltimos existem particularidades em cada uma das diferentes plataformas Juniper, as quais
podem ser detalhadas em: http://www.juniper.net/techpubs/

Monitorando a operao geral do sistema


Grande parte das informaes do sistema obtida atravs dos comandos do modo de ope-
rao show system <argumento>. Onde o <argumento> pode tomar vrios valores. Entre
os mais comuns esto:

11 alarms: exibe alarmes ativos no sistemas (esses alarmes saem da lista automaticamente
quando o problema sanado).

179
11 boot-messages: mostra mensagens geradas durante o ltimo processo de boot do sistema.

11 connections: exibe o estado das conexes TCP e UDP locais.

11 statistics: mostra estatsticas de protocolos utilizados na caixa.

11 storage: exibe o estado do espao disponvel no disco do sistema.

Opes do comando show system:

user@host> show system ?

possible completions:

alarms Show system alarm status

audit Show file system MD5 hash and permissions

boot-messages Show boot time messages

buffers Show buffer statistics

certificate Show installed X509 certificates

commit Show pending commit requests (if any) and commit


history

configuration Show configuration information

connections Show system connection activity

core-dumps Show system core files

directory-usage Show local directory information

initia15etup Show initial setup information

license Show feature licenses information

processes Show system process table

reboot Show any pending halt or reboot requests

rollback Show rolled back configuration

Monitorando o chassi
A operao do chassi feita usando-se os comandos do modo de operao show chassis
<argumento>. A lista abaixo exibe alguns dos valores mais populares que o <argumento>
pode tomar:

11 alarms: exibe alarmes ativos referentes ao chassi, que saem da lista automaticamente
quando o problema sanado.

11 environment: exibe o estado da velocidade do sistema de cooling e de outros recursos de


ambiente.
Introduo rede Ip

11 hardware: exibe um inventrio dos componentes de hardware instalados e seus respec-


tivos nmeros de srie.

11 routing-engine: mostra o estado operacional e detalhes da utilizao da RE.

Opes do comando show chassis:

user@host> show chassis ?

180
Possible completions:

Alarms Show alarm status

Environment Show component status and temperature, cooling


system speeds

Fpc Show Flexible PIC Concentrator status

Hardware Show installed hardware components

Lcd Show LCD display

Location Show physical location of chassis

mac-addresses Show media access control addresses

pic Show physical Interface Card


state, type, and uptime

routing-engine Show Routing Engine status

temperature-thresholds Show chassis temperature threshold settings

Verificando o estado das interfaces


A famlia de comandos de modo de operao show interfaces <opes> prov vrios q
detalhes sobre a operao das diferentes interfaces da caixa. Alguns dos comandos mais
populares so:

11 show interfaces <nome da interface>

11 show interfaces <nome da interface> detail

11 show interfaces <nome da interface> extensive

11 show interfaces <nome da interface> terse

O primeiro comando fornece informaes sobre a operao de uma determinada interface.


O comando seguinte exibe as mesmas informaes, mas adicionando novos detalhes.
O terceiro comando exibe um relatrio ainda maior em relao informao reportada pelos
dois comandos anteriores. O ltimo comando exibe um resumo do status das interfaces.

O exemplo seguinte exibe ainda outras opes que podem ser utilizadas como argumento
do comando show interfaces:
Captulo 10 - Operao, manuteno e monitorao
user@host> show interfaces ge-0/0/0 ?

Possible completions:

<[Enter]> Execute this command

Brief Display brief output

descriptions Display interface description strings

detail Display detailed output

extensive Display extensive output

media Display media information

routing-instance Name of routing instance

181
snmp-index SNMP index of interface

statistics Display statistics and detailed output

terse Display terse output

| Pipe through a command

Um comando popular que prov informao resumida sobre o estado de todas as interfaces
do roteador o show interfaces terse, cuja sada mostrada abaixo:

user@host> show interfaces terse

Interface Admin Link Proto Local Remote

ge-O/O/O up up

ge-O/O/O.O up up inet 172.18.36.1/24

ge-O/O/1 up up

ge-O/O/1.O up up inet6 fd73:5d2a:f03b:15eO::1/64

fe80::217:cbff:fe4e:a281/64

ge-O/O/2 up up

ge-O/O/2.0 down up inet 172.19.25.1/28

iso

mpls

ge-O/O/3 down up

ge-0/0/3.0 up down inet

Esse comando ideal para fornecer uma ideia geral do funcionamento de todas as cone-
xes presentes. Repare que todas as famlias de protocolos de rede so exibidas, bem como
todas as interfaces e subinterfaces. O exemplo anterior mostra os estados administrativos e
operacionais de cada um desses recursos.

Estado das interfaces: informao extensiva


O comando show interfaces <nome da interface> extensive mostra as informaes mais
detalhadas sobre uma determinada interface. O exemplo seguinte mostra apenas uma
poro da sada do comando:

user@host> show interfaces ge-O/O/O extensive

Physical interface : ge-O/O/O, Enabled, Physical link is Up

Interface index : 129, SNMP ifIndex: 32, Generation: 130


Introduo rede Ip

Link-level type : Ethernet, MTU: 1514, Speed: 100mbps, Loopback:


Disabled,

Source filtering : Disabled, Flow control: Enabled, Auto-


negotiation: Enabled,

182
Remote fault : Online

Device flags : Present Running

Interface flags : SNMP-Traps Internal: Ox4000

Link flags : None

CoS queues : 8 supported, 8 maximum usable queues

Hold-times : Up 0 ms, Down 0 ms

Current address : 00:17:cb:4e:a2:80, Hardware address:


00:17:cb:4e:a2:80

Last flapped : 2008-10-03 20:46:59 UTC (8w6d 07:27 ago)

statistics last cleared: 2008-10-15 21:16:11 UTC (7w1d 06:58 ago)

Traffic statistics:

...

Entre outras informaes, esse comando traz informaes sobre erros de CRC, estatsticas
e propriedades fsicas e lgicas da interface. Caso a interface tenha sido configurada com
QoS, estatsticas das filas de QoS tambm sero mostradas. Dada a quantidade de detalhes
exibidos, o comando torna-se um grande aliado da tarefa de depurao de problemas.

Monitorando interfaces
O comando do modo de operao monitor interface <nome da interface> exibe, em tempo
real, estatsticas sobre o uso de uma interface especfica, tais como: volume de dados rece-
bidos e enviados, erros de CRC e outros, quantidade de pacotes recebidos e enviados, taxa
de transmisso e recepo etc. Abaixo apenas uma poro da sada do comando:

host Seconds: 23 Time :


06:11:08

Delay: 0/0/2

Interface: ge-O/O/O.0, Enabled, Link is Up


Captulo 10 - Operao, manuteno e monitorao
Flags: SNMP-Traps

Encapsulation: ENET2

Local statistics: Current delta

Input bytes: 146945 [13768]

Output bytes: 33911 [14327]

Input packets: 2383 [185]

Output packets: 313 [70]

183
Remote statistics:

Input bytes: 48 (4824 bps) [0]

Output bytes: 240 (0 bps) [0]

Input packets: 11 (0 pps) [7]

Output packets: 4 (0 pps) [0]

Traffic statistics:

Input byte5: 146993 Output byte5: , [0]

Next=n, Quit=q or ESC, Freeze=f, Thaw=t, C1ear=c,


Interface=i

Para obter informaes similares (porm mais resumidas) de todas as interfaces, pode-se
usar o comando do modo de operao show interface traffic. A seguir uma poro da sada
desse comando:

user@host> monitor interface traffic

host Seconds: 27 Time: 04:47:57

Interface Link Input packets (pps) Output packets (pps)

ge-0/0/0 Up 22763 (581) 21275 (581)

...

Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U,


Down=^D

Utilitrios de rede
Ping e Traceroute
11 Junos prov utilitrios populares para avaliao da rede, como ping e traceroute. q
11 Estas ferramentas determinam condies gerais de alcance na rede e o caminho dos
pacotes para chegar a um determinado destino.

Os comandos ping e traceroute no Junos suportam vrios argumentos, tais como IP


origem e tamanho dos pacotes gerados.

user@host> ping 10.210.14.173

PING 10.210.14.173 (10.210.14.173): 56 data bytes

64 bytes from 10.210.14.173: icmp seq=O ttl=64 time=O.345 ms


Introduo rede Ip

64 bytes from 10.210.14.173: icmp seq=1 ttl=64 time=O.292 ms

^C

--- 10.210.14.173 ping statistics --

2 packets transmitted, 2 packets received, 0% packet loss

184
round-trip min/avg/max/stddev = 0.218/0.281/0.345/0.046 ms

user@host> traceroute 10.210.14.173

traceroute to 10.210.14.173 (10.210.14.173), 30 hops max, 40 byte pkts

1 10.210.14.173 (10.210.14.173) 2.872 ms 0.203 ms 0.150 ms

Por default, o ping envia um fluxo contnuo de echo requests ICMP a um determinado
destino. Para parar o fluxo, o usurio precisa teclar Ctrl + C, conforme mostrado a seguir.
Alternativamente, pode-se usar o argumento count <n>, que faz com que sejam gerados
apenas <n> echo requests ICMP.

user@host> ping 10.210.11.177 count 5

PING 10.210.11.177 (10.210.11.177): 56 data bytes

64 bytes from 10.210.11.177: icmp_seq=0 ttl=64 time=0.071 ms

64 bytes from 10.210.11.177: icmp_seq=1 ttl=64 time=0.060 ms

64 bytes from 10.210.11.177: icmp_seq=2 ttl=64 time=0.125 ms

64 bytes from 10.210.11.177: icmp_seq=3 ttl=64 time=0.128 ms

64 bytes from 10.210.11.177: icmp_seq=4 ttl=64 time=0.080 ms

--- 10.210.11.177 ping statistics ---

5 packets transmitted, 5 packets received, 0% packet loss

round-trip min/avg/max/stddev = 0.060/0.093/0.128/0.028 ms

Monitor traffic
11 O comando monitor traffic executa a mesma funo do software Unix tcpdump. q
11 Essa ferramenta monitora o trfego de uma determinada interface, que originado
ou que termina na RE local do roteador.

11 Se nenhuma interface for especificada, a interface de gerncia ser monitorada.

user@host> monitor traffic ?


Captulo 10 - Operao, manuteno e monitorao
Possible completions:

<[Enter]> Execute this command

detail Display detailed output

extensive Display extensive output

interface Name of interface

layer2-headers Display link-level header on each receive dump line

matching Expression for headers of receive packets to match

185
11 Problemas de camada 2 podem ser depurados usando o argumento layer2-headers. q
11 A opo matching permite filtrar a massa de dados capturada usando critrios base-
ados nos campos do pacote do protocolo IP.

22 Trata-se de uma das opes mais funcionais para o comando.

11 A opo write-file fica escondida (no aparece quando se executa o comando ?),
mas est disponvel e consiste em um recurso bastante til.

22 Essa opo permite salvar o contedo capturado em um arquivo no formato .cap.

22 Esse arquivo poder ser aberto posteriormente em um software de decodificao


de dados, como o Wireshark (antigo Ethereal).

A opo write-file deve ser usada com bastante cuidado. Dependendo do volume
de dados capturado, o arquivo de sada pode formar um volume absurdamente
grande e estourar o tamanho do disco do sistema, o que comprometeria grande
parte das funes do roteador (por esse motivo o comando fica escondido). Ao usar
a opo write-file, sempre utilize a opo matching em conjunto, para evitar
que muitos pacotes sejam registrados. Essa prtica ajuda a evitar a gerao de um
grande volume.

Exemplo de captura de pacotes:

user@host> monitor traffic interface ge-0/0/2 layer2-headers no-resolve

verbose output suppressed, use <detail> or <extensive> for full


protocol decode

Address resolution is OFF.

Listening on ge-0/0/2, capture size 96 bytes

06:19:35.121217 In 0:1b:c0:5e:53:a2 > 0:19:e2:50:3f:e3, ethertype IPv4


(Ox0800),

length 98: 10.100.200.1 > 10.100.200.2: ICMP echo request, id 5153,


seq 222, length 64

06:19:35.121269 Out 0:19:e2:50:3f:e3 > 0:1b:c0:5e:53:a2, ethertype


IPv4 (Ox0800),

length 98: 10.100.200.2 > 10.100.200.1: ICMP echo reply, id 5153, seq
222, length 64

^C ----- Ctrl+c

10 packets received by filter

o packets dropped by kernel


Introduo rede Ip

O exemplo mostra o capturador de pacotes do Junos em ao. Para parar uma captura
necessrio teclar Ctrl + C.

186
Clientes de Telnet, SSH e FTP
11 O Junos traz previamente instalados clientes de Telnet, SSH e FTP. q
11 Esses softwares permitem acessar equipamentos remotos a partir da CLI do Junos.

user@host> telnet ?

Possible completions:

<host> Hostname or address or remote host

8bit Use 8-bit data path

bypass-routing Bypass routing table, use specified interface

inet Force telnet to IPv4 destination

inet6 Force telnet to IPv6 destination

interface Name of interface for outgoing traffic

logical-router Name of logical router

no-resolve Dont attempt to print addresses symbolically

port Port number or service name on remote host

routing-instance Name of routing instance for telnet session

source Source address to use in telnet connection

user@host> telnet 127.0.0.1

Trying 127.0.0.1...

Connected to 127.0.0.1.

Escape character is ^].

host (ttyp0)

Captulo 10 - Operao, manuteno e monitorao


login: user

Password:

...

Para transferir arquivos do Junos para um sistema remoto utilizando o cliente FTP, usa-se o
comando file copy conforme abaixo:

user@host> file copy ftp://ftp:ftp@10.210.11.189/junos-jseries-


domestic.tgz /

var/tmp/junos-jseries-domestic.tgz

/var/tmp//...transferring.file.........Ri4PRe/100% of 41 MB 4071 kBps 00m00s

187
Mantendo o Junos
Para verificar detalhes sobre a verso de Junos que est sendo executada na caixa, utiliza-se o
comando do modo de operao show version. Pode-se adicionar a esse comando a opo
detail para obter informaes adicionais sobre os pacotes e processos includos na verso
do sistema operacional.

user@host> show version

Hostname: host

Model: mx480

JUNOS Base OS boot [9.5Rl.8]

JUNOS Base OS Software Suite [9.5R1.8]

JUNOS Kernel Software Suite [9.5R1.8]

JUNOS Crypto Software Suite [9.5R1.8]

JUNOS Packet Forwarding Engine Support (M/T Common) [9.5R1.8]

JUNOS Packet Forwarding Engine Support (MX Common) [9.5R1.8]

JUNOS Online Documentation [9.5Rl.8]

JUNOS Routing Software suite [9.5R1.8]

Alguns pacotes tpicos que compem o sistema:

11 jkernel: compreende o kernel e o pacote de ferramentas de rede. Contm os arquivos


bsicos de sistema.

11 jroute: compreende o pacote da routing engine. Contm o software executado na RE.

11 jpfe: contm o software executado na Packet Forwarding Engine (PFE).

11 jdocs: contm as documentaes do sistema.

11 jcrypto: pacote de encriptao, contm o software de segurana.

Conveno de nomes de pacotes de Junos


A conveno usada para nomear os pacotes do Junos segue uma padronizao
package-release-edition, onde:

11 Package: a descrio do contedo do pacote; alguns exemplos: jinstall, jkernel e junos-srx.

11 Release: descreve a verso do Junos considerando vrios subcomponentes. O release


consiste em dois nmeros inteiros e uma letra maiscula (que indica o tipo de software).
A letra mais comum R, que indica Release. Empresas que se propem a serem testa-
doras de novos softwares se confrontam com frequncia com a letra B, que indica Beta
software, ou com a letra I, que indica Internal.
Introduo rede Ip

Mais dois nmeros fecham o nome do pacote. O nmero da build e do spin do cdigo. Assim,
o pacote jinstall-9.5R1.8-domestic.tgz indica: Software Junos verso 9.5, build 1, spin 8.

11 Edition: tipicamente ser domestic ou export. Verses domestic suportam algoritmo


de encriptao forte, enquanto as verses export no suportam.

188
H ainda uma terceira e rara possibilidade: a FIPS. Essa verso prov servios avanados
de segurana de redes para clientes que precisam adequar suas operaes ao padro da
Federal Information Processing Standards 140-2.

Todo software Junos fornecido em pacotes assinados, que contm assinaturas digitais
que usam o algoritmo SHA-1 (Secure Hash Algorithm 1). Um pacote s pode ser instalado se
um procedimento de verificao do pacote executado pelo hardware retorna um resultado
esperado. Do contrrio a instalao falhar.

O resultado esperado ser retornado sempre que a assinatura digital for verificada corretamente.

Recuperao de senha
A perda da senha de root do sistema um perigo sempre presente. Quando isso ocorre,
pode-se recuper-la usando o procedimento descrito a seguir.

Como precauo de segurana, o procedimento de recuperao de senha pode ocorrer


apenas atravs de uma sesso criada a partir da porta console. No possvel faz-lo via
sesso de telnet ou de SSH.

Passos para a recuperao de senha: q


11 Obtenha acesso via console e faa um reboot no sistema.

11 Durante o processo de boot tecle a barra de espao continuamente.

11 Quando o sistema apresentar o prompt loader> (ou um prompt OK, dependendo


da plataforma), execute boot -s para iniciar o sistema no modo single-user.

...TRIMMED...

Hit [Enter] to boot immediately, or space bar for command prompt.

<user presses Spacebar>

Type ? for a list of commands, help for more detailed help.

loader> boot -s

Terminado o processo de boot em modo single-user, o sistema perguntar se o usurio


deseja operar o equipamento atravs de um shell ou se deseja recuperar a senha de root.
Nesse ponto, deve-se executar o comando recovery:
Captulo 10 - Operao, manuteno e monitorao
...TRIMMED...

Enter full pathname of shell or recovery for root password


recovery or RETURN

for /bin/sh: recovery

11 Depois de uma srie de mensagens a CLI inicia e apresenta o prompt do modo q


de operao.

11 Nesse ponto pode-se executar um reset da senha de root com o comando set system
root-authentication plain-text-password.

11 Em seguida, necessrio efetivar o comando com o commit.

189
[edit]

root# set system root-authentication plain-text-password

New password:

Retype new password:

[edit]

root# commit

commit complete

O prximo passo deixar o modo de configurao. Nesse momento o sistema perguntar


se o usurio deseja executar um reboot. Escolhendo a opo Y (Yes) o sistema reiniciar.
Com o reboot completo, j ser possvel se conectar com a nova senha de root.

[edit]

root# exit

Exiting configuration mode

root> exit

Reboot the system? [y/n] y

Instalao e upgrade do Junos


A instalao de uma nova verso de Junos depende de dois passos: fazer o download da
imagem a ser instalada e executar a instalao.

O download da imagem do Junos pode ser feito em um portal prprio mantido pela Juniper:
http://www.juniper.net/support/

O download pode ser executado atravs de um browser web ou de um cliente de FTP. Para
baixar uma imagem de Junos utilizando um cliente de FTP, aponta-se o software cliente para
o endereo ftp.juniper.net.

Independentemente do mtodo que ser usado, para fazer o download necessrio ter um
contrato de suporte vlido com o fabricante e uma conta de acesso ao portal. Cada imagem
individual de Junos designada para uma plataforma especfica. Ao fazer o download da
imagem deve-se atentar para o tipo de plataforma para o qual a imagem designada.

A RNP um grande cliente da Juniper e possui contrato de suporte para vrios de


seus equipamentos.

Uma vez executado o download, a imagem deve ser gravada no disco do roteador, em um dire-
Introduo rede Ip

trio qualquer. Para proceder com o upgrade, o usurio utiliza o comando do modo de operao:

request system software add <diretrio/imagem>

Caso a imagem esteja em um servidor de FTP remoto possvel usar o mesmo comando, pas-
sando como argumento os nomes do diretrio e do arquivo remotos, IP, senha e usurio do ser-
vidor de FTP. Procedendo dessa forma, o sistema far a instalao a partir do arquivo remoto.

190
Para ativar o novo software necessrio proceder com o reboot do sistema. Esse reboot
pode ser executado em um passo posterior ou automaticamente, usando a opo reboot
como argumento do comando request system software add.

user@host> request system software add /var/tmp<image-name> reboot

Verified jinstall-9.5R1.8-domestc.tgz signed by


PackageProduction_9_5_0

Adding jinstall...

Verified manifest signed by PackageProduction_9_5_0

WARNING: This package will load JUNOS 9.5R1.8 software.

WARNING: It will save JUNOS configuration files, and SSH keys

WARNING: (if configured), but erase all other files and information

WARNING: stored on this machine. It will attempt to preserve dumps

WARNING: and log files, but this can not be guaranteed. This is the

WARNING: pre-instalation stage and all the software is loaded when

WARNING: you reboot the system.

Saving the config files...

...

Uma vez que o novo Junos instalado, o usurio notificado de que o sistema far um novo
reboot para completar o processo de upgrade. Nesse ponto o usurio pode usar o terminal
de console para acompanhar as mensagens geradas, prestando particular ateno para
mensagens de erro que venham a ocorrer.

Opcionalmente, pode-se verificar as mensagens geradas durante o boot em um momento


posterior, atravs do comando de modo de operao:

show system boot-messages

Dispositivos que rodam o Junos executam cdigos binrios fornecidos pela Juniper. Cada Captulo 10 - Operao, manuteno e monitorao
imagem de Junos possui executveis assinados digitalmente, que so registrados pelo
sistema somente se a assinatura validada. O Junos no executar nenhum binrio sem o
devido registro. Esse recurso existe para proteger o hardware contra softwares no autori-
zados e atividades que poderiam comprometer a atividade do equipamento.

Boas prticas de upgrade


Durante o processo de upgrade existem boas prticas aconselhveis. A primeira delas
o uso do diretrio /var/tmp para local temporrio de armazenamento de imagens. Os
arquivos de imagem que j foram instalados e permaneceram gravados ali podem ser remo-
vidos atravs do processo de clean up. Esse processo executado pelo sistema quando o
usurio executa o comando de modo de operao request system storage cleanup.

191
Para determinar os arquivos candidatos a serem removidos, utiliza-se o comando de modo
de operao:

request system storage cleanup dry-run

Normalmente o espao de armazenamento do roteador tem bastante espao, porm,


aconselhvel checar a quantidade de espao disponvel antes de fazer um download de uma
nova imagem. Pode-se verificar o espao disponvel na compact-flash do equipamento com
o comando do modo de operao:

show system storage


Introduo rede Ip

192
Roteiro de Atividades 7
Atividade 7.1 Instalao do Junos (parte 1)
1. Verificando alarmes do Junos;

O equipamento j2350 da Juniper possui um led chamado Alarm, que indica se h alguma
coisa errada com o equipamento.

Para verificar o motivo do alarme caso o led esteja aceso, basta utilizar os comandos abaixo
a partir do modo operao. Verifique se existe algum alarme ativado com o comando:

root@bancadaX> show system alarms

1 alarms currently active

Alarm time Class Description

2011-01-21 15:11:06 UTC Minor Rescue configuration is not set

root@teste> show chassis alarms

No alarms currently active

Para simular um alarme, digite o comando abaixo para apagar o arquivo rescue:

> request system configuration rescue delete

> commit

Reinicie o roteador:

>request system reboot

Quando o roteador reiniciar, acender uma luz laranja de alarme; para verificar o alarme
usa-se o comando:

> show system alarms

Para resolver o alarme basta criar um arquivo de rescue:

> request system configuration rescue save

> commit

A luz do alarme dever apagar.


Captulo 10 - Roteiro de Atividades 7

2. Habilitando e desabilitando servios;

O Junos fornece alguns servios de acesso remoto, quer via protocolo Telnet, SSH, interface
grfica com algumas opes de configurao e at mesmo servios DHCP e FTP.

Para habilitar esses servios, basta proceder como no exemplo seguinte:

root@bancadaX# set system services ssh

root@bancadaX# set system services web-management http interface


ge-0/0/1.0

193
3. Configurando o modo RESCUE;

Como se viu no exemplo anterior, a sada exibida pelo comando show system alarms
informa que existe um alarme devido configurao de rescue no estar habilitada. Essa
mais uma funcionalidade do Junos que auxilia o administrador em casos de recuperao em
desastres. Quando se define uma configurao de rescue, salva-se uma cpia da configu-
rao atual em um arquivo na flash do equipamento. Para aplicar essa configurao salva,
basta apertar ligeiramente uma vez o boto config do equipamento.

Essa atividade visa simular uma situao de desastre. Para isso execute o seguinte comando
a partir do modo configurao para habilitar a configurao de rescue.

root@teste# run request system configuration rescue save

[edit]

Em seguida, execute o comando commit para que as configuraes tenham efeito.

root@teste# commit

commit complete

[edit]

Feito isso, perceba que o boto alarm do equipamento no est mais com o led aceso.

Agora vamos excluir as configuraes da interface ge-0/0/0 com os seguintes comandos:

root@teste# delete interfaces ge-0/0/0

[edit]

root@teste# commit

commit complete

[edit]

Nesse momento deve-se experimentar uma perda de conexo remota ao equipamento.


Para retornar para a configurao anterior, basta apertar ligeiramente e somente uma
vez o boto config do equipamento. Perceba que as configuraes da interface ge-0/0/0
entraro em vigor novamente, possibilitando o acesso remoto ao roteador.

Atividade 7.2 Instalao do Junos (parte 2)


1. Backup e restore

Uma questo muito importante em sistemas corporativos relativa a backup e restore. Junos
fornece alguns comandos e opes que facilitam o backup e restore de todo o seu sistema.

Para salvar toda a configurao ativa do seu sistema em um arquivo texto, deve-se utilizar
o comando show a partir do [edit], topo da rvore de configurao do Junos, junto com o
comando display set, que exibir na tela os comandos que geraram a configurao atual,
Introduo rede Ip

como exibido a seguir.

194
root@bancadaX# show | display set

set version 9.5R4.3

set system host-name teste

set system root-authentication encrypted-password

$1$GwoPLZZp$8HKb9z7J55MJHFt7/

tErn.

set system login user glenio uid 2007

set system login user glenio class super-user

set system login user glenio authentication encrypted-password

$1$GlS0hWjY$wwKM

hlH6.gv2RAo9IHwcR/

set system login user zacaron uid 2006

set system login user zacaron class super-user

set system login user zacaron authentication

encrypted-password $1$W.X4RTGh$CG2

Rw5JXXBOpSo7WXGuYd1

set system services ssh

set system services telnet

set system services web-management http interface ge-0/0/1.0

set system syslog file messages any any

set system syslog file auditoria.txt interactive-commands any

set system syslog file auditoria1.txt interactive-commands any

set system ntp boot-server 200.144.121.33

set system ntp server 200.144.121.33

set interfaces ge-0/0/0 description Rede Wan

set interfaces ge-0/0/0 unit 0 description WAN - 192.168.1.1


Captulo 10 - Roteiro de Atividades 7

set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/30

set interfaces ge-0/0/1 description Rede Lan

set interfaces ge-0/0/1 unit 0 description LAN - 10.0.40.254

set interfaces ge-0/0/1 unit 0 family inet address 200.130.26.4/24

set interfaces lo0 unit 0 family inet address 192.168.0.1/30

set routing-options static route 0.0.0.0/0 next-hop 200.130.26.254

195
Com esses comandos em mos, basta salvar em um arquivo com o comando save,
conforme a seguir:

root@bancadaX# show | save backup_19012011.txt

Wrote 54 lines of output to backup_19012011.txt

[edit]

Agora, com todas as configuraes salvas em um arquivo, pode-se utilizar o cliente scp
do Unix para copiar o arquivo para uma mquina remota, ou at mesmo copiar de uma
mquina remota o arquivo que se encontra na flash do Juniper, j que o Junos possui um
servidor de Shell seguro (SSH) para estabelecer conexes remotas. Exemplo:

Para entrar no Shell do Unix, digite o seguinte comando a partir do modo operao:

root@bancadaX> start Shell

Digite o comando pwd para verificar a localizao no sistema de arquivos:

root@bancadaX% pwd

/cf/root

Digite o comando ls -lah para listar os arquivos nesse diretrio /cf/root:

root@bancadaX% ls -lah

total 70

drwxr-xr-x 3 root wheel 512B Jan 19 18:13 .

drwxr-xr-x 11 root wheel 512B Dec 17 21:12 ..

-rw-r--r-- 1 root wheel 361B Feb 16 2010 .cshrc

-rw------- 1 root wheel 1.3K Jan 19 16:40 .history

-rw-r--r-- 1 root wheel 1.1K Feb 16 2010 .login

-rw-r--r-- 1 root wheel 215B Feb 16 2010 .profile

drwx------ 2 root wheel 512B Dec 15 00:28 .ssh

-rw-r--r-- 1 root wheel 2.6K Dec 15 00:34 backup.txt

-rw-r--r-- 1 root wheel 2.5K Jan 19 18:13 backup_19012011.txt

-rw-r--r-- 1 root wheel 3.9K Dec 18 00:47 conf_17-12-2010

-rw-r--r-- 1 root wheel 3.7K Dec 18 00:47 conf_display_set

-rw-r--r-- 1 root wheel 2.4K Dec 18 01:03 novo

-rw-r--r-- 1 root wheel 4.5K Dec 15 02:25 snmp


Introduo rede Ip

-rw-r--r-- 1 root wheel 2.5K Dec 28 20:52 teste.txt

-rw-r--r-- 1 root wheel 6B Dec 14 21:57 ttyp1

196
Se o arquivo for encontrado, basta utilizar o cliente scp para copiar o arquivo para uma
mquina remota:

root@bancadaX% scp backup_19012011.txt root@200.130.26.5:/cf/root

root@200.130.26.5s password:

backup_19012011.txt
100% 2550 2.5KB/s 00:00

O sistema operacional remoto pedir a senha para o usurio root; se informada correta-
mente, copiar o arquivo de maneira segura.

Para recuperar um backup efetuado em um arquivo de configurao tipo ASCII, deve-se


utilizar o comando load. Sempre que utilizar esse comando recomendado fazer um
backup da configurao atual, pois aps execut-lo e em seguida o comando commit, toda
a configurao que se encontra no arquivo de configurao ser aplicada e valer a partir
desse instante.

A seguir um exemplo de utilizao do comando load.

O Junos guarda alguns modelos de configurao que podem auxiliar na configurao do roteador
quando ele vem de fbrica. Esses arquivos esto localizados no diretrio /etc/config/.

root@bancadaX# load override backup_19012011.txt

Feito isso, basta executar o comando commit para que as configuraes passem a ter efeito.

Atividade 7.3 Upgrade do Junos


1. Recuperando a senha de root;

Obtenha acesso via console e faa um reboot no sistema. Durante o processo de boot
tecle a barra de espao continuamente, at que o sistema apresente o prompt loader> (ou
um prompt OK, dependendo da plataforma). Nesse momento execute boot -s para iniciar
o sistema no modo single-user.

. . . TRIMMED . . .

Hit [ENTER] to boot immediately, or space bar for command prompt.

<user presses Spacebar>

Type ? for a list of commands, help for more detailed help.

loader> boot -s

Terminado o processo de boot em modo single-user, o sistema perguntar se o usurio


Captulo 10 - Roteiro de Atividades 7

deseja operar o equipamento atravs de um shell ou se deseja recuperar a senha de root.


Neste ponto, deve-se executar o comando recovery:

. . . TRIMMED . . .

Enter full pathname of shell or recovery for root password


recovery or RETURN for /bin/sh: recovery

Depois de uma srie de mensagens, a CLI inicia e apresenta o prompt do modo de operao.
Nesse ponto pode-se executar um reset da senha de root com o comando:

set system root-authentication plain-text-password

197
Em seguida necessrio efetivar o comando com commit:

[edit]

Root# set system root-authentication plain-text-password

New password:

Retype new password:

[edit]

Root# commit

commit complete

O prximo passo deixar o modo de configurao. Nesse momento o sistema perguntar


se o usurio deseja executar um reboot. Escolhendo a opo Y (Yes), o sistema ser reini-
ciado. Uma vez que o reboot est completo, j ser possvel se conectar com a nova senha
de root.

[edit]

root# exit

Exiting configuration mode

root> exit

Reboot the system? [y/n] y

2. Fazendo o upgrade do Junos;

Copie o arquivo da pasta junos para /var/tmp/.

Execute o seguinte comando:

request system software add no-validate /var/tmp/<imagem do Junos>

Aps a execuo deste comando, se tudo correu bem, o sistema solicitar um reboot.

3. Acessando a interface grfica;

Usar a sequncia de comandos descrita no Captulo 11 , pginas 27 a 33, ttulo: Processo de


login na J-Web.
Introduo rede Ip

198
4. Acessando via SSH;

Para acessar o roteador remotamente com o protocolo SSH, basta utilizar o software livre
PuTTY, informando o IP do roteador remoto, bem como usurio e senha.

Figura 10.2
Configurao
PuTTY.

Captulo 10 - Roteiro de Atividades 7

199
Introduo rede Ip

200
11
Fundamentos de roteamento
objetivos

Descrever o processo de roteamento de camada 3 e conceituar roteamento esttico


e sua configurao no roteador.

conceitos
Fundamentos de roteamento, roteamento esttico.

Conceitos de roteamento
Roteamento, na sua forma mais bsica, o processo de mover dados entre redes de camada 3.
A figura seguinte exibe um exemplo de topologia de rede contendo vrios equipamentos L3
(roteadores). Entre esses equipamentos esto as chamadas redes L3.

Server A Server B

Internet

User A Captulo 11 - Fundamentos de roteamento

User B
Data center
Figura 11.1
Redes L3.

11 Apesar dos roteadores serem os equipamentos mais populares para a tarefa de rote- q
amento, outros dispositivos podem realizar essa funo, como switches e firewalls.

11 At mesmo alguns modems, utilizados em conexes ADSL de pequenos escritrios ou


residncias, so capazes de rotear pacotes L3.

11 A internet pode ser definida como um amplo conjunto de redes L3 interligadas.

201
Componentes do roteamento
Os componentes do roteamento podem ser divididos em dois grupos:

1. Os recursos que garantem um ou mais caminhos fim a fim entre os destinos.

2. Os recursos que garantem a inteligncia para usar o caminho mais adequado para a
comunicao.

O processo de roteamento dos equipamentos de rede implementa o segundo item.

Internet

User A

User B
Data center Figura 11.2
Componentes do
roteamento.

No exemplo da figura existe um caminho fsico entre as duas redes destacadas e a internet.
Uma vez que esse caminho fsico est configurado e opera corretamente, o primeiro recurso
est garantido.

Para implementar o segundo recurso, todos os dispositivos de camada 3 que participam do


caminho fsico precisam ter as informaes de roteamento pertinentes. Alm disso, os PCs
e servidores dentro da rede de usurios e do datacenter precisam configurar o parmetro
default gateway adequadamente (o default gateway ser o roteador que atende a cada
uma dessas redes, ou seja, o primeiro elemento de camada 3 do caminho fsico entre os
usurios de cada rede local e o restante do mundo).

O default gateway de cada rede local precisa determinar o prximo hop apropriado para
cada pacote de trfego de trnsito que chega em suas interfaces. Os equipamentos que
executam o Junos usam os dados armazenados na Forwarding Table (FT) para tomar essa
deciso. A FT contm um subconjunto das informaes contidas na tabela de rotas.
Introduo rede Ip

202
Rotas diretamente conectadas

Internet

User A

.1 .1

User B
Data center
Figura 11.3
Exemplo de 10.2.2.0/24
roteamento. 10.1.1.0/24

A figura apresenta um cenrio de roteamento simples, onde os usurios da rede local da


esquerda desejam acessar dados na rede do datacenter. Para que um dispositivo consiga
trocar dados com um equipamento fora da sua prpria rede local, a figura do default
gateway se faz necessria, e a configurao desse ator deve estar corretamente executada.

No cenrio da figura, o usurio A precisa configurar o parmetro default gateway de sua


mquina com o endereo IP do roteador na sua LAN (10.1.1.1). Da mesma forma, os equipa-
mentos na LAN do datacenter devem configurar seu default gateway com o endereo 10.2.2.1.

O roteador, que funciona como gateway das redes locais da figura, requer a informao de
roteamento suficiente para determinar o prximo hop que conseguir encontrar a rede de
destino, referente ao trfego entre as duas redes locais. Nesse exemplo, o roteador aprendeu
essa informao atravs da prpria configurao de endereo IP de suas interfaces. Uma vez
que o equipamento tem um IP na rede 10.2.2.0\24 e outro na rede 10.1.1.0\24, ao receber um
pacote endereado para qualquer uma dessas redes, ele j saber por qual interface o pacote
deve sair. Portanto, para a comunicao entre as duas redes locais do exemplo, no neces-
sria a configurao de nenhum protocolo de roteamento.

Dessa forma, ao configurar um endereo IP e uma mscara em uma interface do roteador,


automaticamente a rota para a rede correspondente passa a popular a tabela de rotas e
tambm a FT, sem necessidade de nenhum protocolo de roteamento. Esse tipo de rota
aparece na tabela de rotas como rota diretamente conectada.
Captulo 11 - Fundamentos de roteamento

Tabela de rotas

Routing
protocol OSPF
OSPF
databases OSPF

Routing Forwarding
table table
Other routing
information Dire
sources Static
Figura 11.4
Tabela de rotas.

203
A tabela de rotas do Junos consolida a informao de rotas recebidas de mltiplas fontes de
roteamento, incluindo os vrios protocolos de roteamento que podem estar em execuo na
mquina, as rotas estticas (adicionadas manualmente pelo administrador do roteador) e as
rotas diretamente conectadas.

11 Quando o equipamento recebe mltiplas informaes de rotas para um dado q


prefixo preciso selecionar dentre as vrias informaes recebidas a que ser
efetivamente usada.

11 Essa rota ser a rota ativa para o prefixo.

11 Opcionalmente pode-se fazer com que o Junos considere mais de uma rota para ser
ativada, balanceando trfego entre duas ou mais rotas.

11 Cada rota ativa para cada prefixo popula a Forwarding Table.

11 A FT determina a interface de sada e a operao de encapsulamento L2, que dever


ser usada para cada pacote que sai de uma interface.

Mltiplas tabelas de rotas


11 Equipamentos que rodam o Junos podem acomodar vrias tabelas de rotas. q
11 A tabela primria se chama inet.0, e armazena as rotas unicast de IP verso 4.

11 Outras tabelas podem existir. Um exemplo a inet6.0, que o Junos cria quando
usada configurao de IP verso 6.

A seguir uma lista das diferentes tabelas de rotas que podem ser criadas pelo Junos
quando necessrio:

11 inet.0: usada para armazenar rotas unicast de IP verso 4.

11 inet.1: usada para cache de rotas multicast.

11 inet.2: usada para armazenar rotas MBGP para checagem de Reverse Path
Forwarding (RPF).

11 inet.3: usada para informao de encaminhamento de MPLS.

11 inet.4: usada para armazenar rotas MSDP.

11 inet.6.0: usada para armazenar rotas unicast IP verso 6.

11 mpls.0: usada para armazenar informaes de prximo hop do protocolo MPLS.

Preferncia de rotas: selecionando a rota ativa


11 Junos utiliza o recurso de route preference para diferenciar rotas recebidas por q
diferentes protocolos de roteamento.

11 Route preference equivalente distncia administrativa usada em equipamentos


de outros fabricantes.

11 A tabela abaixo mostra a route preference default das fontes mais populares de
informao de rotas.
Introduo rede Ip

204
Routing information source Default preference

Direct 0

Local 0

Static 5

OSPF internal 10

RIP 100

Tabela 11.1 OSPF AS external 150


Preferncia de
rotas. BGP (EBGP e IBGP) 170

Quanto menor o valor da route preference, mais prefervel a rota. O valor da route
preference o primeiro critrio utilizado pelo Junos para escolher entre rotas de diferentes
fontes recebidas para um mesmo prefixo.

A tabela abaixo exibe a lista completa do valor de route preference para todas as fontes de
informao de roteamento com as quais o Junos trabalha.

Direct 0 SNMP 50

Local 0 Router discovery 55

System routes 4 4 RIP 100

Static and Static LSPs 5 RIPng 100

RSVP-signaled LSPs 7 DVMRP 110

RSVP-signaled LSPs 9 Aggregate 130

OSPF internal 10 OSPF AS external 150

IS-IS Level 1 internal 15 IS-IS Level 1 external 160

IS-IS Level 2 internal 18 IS-IS Level 2 external 165

Tabela 11.2 Redirects 30 BGP (internal and external) 170


Tabela completa
route preference. Kernel 40 MSDP 175

Os valores podem variar entre 0 e 4.294.967.295. Os comandos a seguir demonstram que


uma rota esttica com route preference de 5 preferida em relao rota OSPF internal,
que tem valor 10. O caractere asterisco (*) detalha a rota escolhida para ativao, e que foi
Captulo 11 - Fundamentos de roteamento

passada FT.

user@host> show route 192.168.36.1 exact

inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

192.168.36.1/32 *[Static/5] 00:00:31

> to 10.1.1.2 via ge-0/0/10.0

205
[OSPF/10] 00:02:21, metric 1

> to 10.1.1.2 via ge-0/0/10.0

No exemplo de preferncia de rotas, as rotas esttica e OSPF esto com seus valores de
route preference default. possvel mudar esses valores para uma determinada fonte
de informao, com a inteno de fazer dessa fonte, por exemplo, a mais prefervel (ou a
menos prefervel) em uma situao onde ela no o seria. A exceo so as rotas diretamente
conectadas e rotas locais que sero sempre preferidas, independente do valor de route
preference das outras fontes de informao.

11 Quando o roteador recebe a mesma rota (para um mesmo prefixo), com o mesmo custo, q
de um mesmo protocolo fonte (de modo que o route preference fica empatado), o
route protocol process (rpd) ativar mais de uma rota e selecionar aleatoriamente um
dos caminhos a ser usado por cada pacote que destinado ou prefixo em questo.

11 Essa abordagem prover distribuio de carga entre as diferentes rotas.

A sada do comando seguinte ilustra essa situao:

user@host> show route 10.1.0.0/16

inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

10.1.1.0/24 *[Static/5] 00:00:25

to 172.20.66.2 via ge-0/0/2.0

> to 172.20.77.2 via ge-0/0/3.0

10.1.2.0/24 *[Static/5] 00:00:25

> to 172.20.66.2 via ge-0/0/2.0

to 172.20.77.2 via ge-0/0/3.0

10.1.3.0/24 *[Static/5] 00:00:25

to 172.20.66.2 via ge-0/0/2.0

> to 172.20.77.2 via ge-0/0/3.0

10.1.4.0/24 *[Static/5] 00:00:25

> to 172.20.66.2 via ge-0/0/2.0

to 172.20.77.2 via ge-0/0/3.0

Nesse cenrio, se desejado, pode-se habilitar o balanceamento de trfego atravs das mlti-
Introduo rede Ip

plas rotas com base em fluxo de dados. Por definio, o balanceamento seria por pacote.
O detalhamento das configuraes de roteamento est fora do escopo desse curso.

206
Verificando a tabela de rotas
O comando show route exibe a tabela de rotas:

user@host> show route

inet.0: 6 destinations, 7 routes (6 active, 0 holddown, 0 hidden)


----- Route table name

+ = Active Route, = Last Active, * = Both

10.1.1.0/24 *[Static/5] 00:10:24 ------ Route source and preference

> to 172.29.30.253 via ge-0/0/10.0

[OSPF/10] 00:03:38, metric 2

> to 172.18.25.2 via ge-0/0/13.0

172.18.25.0/30 *[Direct/0] 00:11:05

> via ge-0/0/13.0

172.18.25.1/32 *[Local/0] 00:11:05

Local via ge-0/0/13.0

172.29.30.0/24 *[Direct/0] 00:11:05

> via ge-0/0/10.0

172.29.30.1/32 *[Local/0] 00:11:05

Local via ge-0/0/10.0 ----- Asterisk (*) indicates that he


route is selected as active

...

Sem usar nenhum argumento, o comando anterior exibe o contedo completo de todas as
tabelas de rotas da caixa. Est destacado que todas as rotas ativas ficam marcadas com um
asterisco (*). Cada entrada da tabela de rotas mostra a fonte atravs da qual o equipamento
aprendeu a informao, bem como a sua route preference.

11 O comando show route mostra um sumrio das rotas ativas, em holddown e escon-
Captulo 11 - Fundamentos de roteamento

didas.

11 As rotas ativas so aquelas efetivamente usadas para o encaminhamento do trfego.

11 Rotas em holddown esto no estado pendente, e futuramente podero ser usadas,


se necessrio.

11 Rotas escondidas so aquelas que o sistema no pode usar por alguma razo, tal como
parmetro prximo hop invlido ou uma route policy impede que ela possa ser usada.

possvel filtrar a sada do comando por prefixo de interesse, tipo de protocolo e outros
atributos. O exemplo seguinte exibe uma forma filtrada do comando, que traz apenas rotas
aprendidas via protocolo de roteamento OSPF.

207
user@host> show route protocol ospf

inet.0: 6 destinations, 7 routes (6 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

10.1.1.0/24 [OSPF/10] 04:57:41, metric 2

> to 172.18.25.2 via ge-0/0/13.0

224.0.0.5/32 *[OSPF/10] 05:00:58, metric 1

MultiRecv

Repare que apesar do comando retornar apenas duas rotas, o contador de rotas continua
trazendo o valor total presente na tabela.

Forwarding Table (FT)

Routing
protocol OSPF
OSPF
databases OSPF

Routing Forwarding
table table
Other routing
information Dire
sources Static
Figura 11.5
Forwarding Table.

A FT armazena um subconjunto da tabela de rotas. Dentro da FT, pode-se encontrar deta-


lhes usados pelo equipamento que executa o Junos para encaminhar pacotes, como os
prefixos de destino e suas respectivas interfaces de sada associadas.

O comando show route forwarding-table fornece acesso s informaes da FT:

user@host> show route forwarding-table

Routing table: inet

Internet:

Destination Type RtRef Next hop Type Index NhRef


Netif

default user 0 0:17:cb:4e:ae:81 ucst 520 3 ge-


0/0/0.0

default perm 0 rjct 36 1

0.0.0.0/32 perm 0 dscd 34 1


Introduo rede Ip

172.19.0.0/16 user 0 200.1.4.100 ucst 535 3 ge-


0/0/3.0

172.19.52.0/24 user 0 200.1.2.100 ucst 529 3 ge-


0/0/1.0

172.19.52.16/28 user 0 200.1.3.100 ucst 534 3 ge-

208
0/0/2.0

O exemplo mostra que o kernel do Junos adiciona algumas entradas nessa tabela e as
mantm permanentemente. Um exemplo a entrada com o destino default, que con-
templa todos os pacotes que no so contemplados por nenhuma outra entrada. Quando
um pacote contemplado pela entrada default, descartado, e uma mensagem ICMP de
destination unreachable enviada ao remetente do pacote.

Quando o administrador configura uma rota default na tabela de rotas (apontando para o
destino 0.0.0.0\0), a tabela FT passa a usar essa rota ao invs da entrada default.

Cada entrada na FT mostrada no exemplo possui um tipo (type). A lista abaixo detalha q
route types comuns encontradas na FT:

11 intf: instaladas como resultado da configurao de endereo IP em uma interface.

11 perm: instaladas pelo kernel quando a tabela de rotas se inicia.

11 user: instaladas por um protocolo de roteamento como resultado de uma configurao.

Cada entrada na FT mostrada tambm possui um tipo de next hop. A lista abaixo
detalha next hop types comuns encontrados na FT:

11 bcst: o next hop um endereo broadcast.

11 rjct: descarta o pacote e envia mensagem ICMP de unreachable para o remetente.

11 ucst: next hop do tipo unicast.

11 ulst: h mais de um next hop (est sendo usado balanceamento).

11 dscd: descarta o pacote silenciosamente.

11 hold: o next hop ainda ser calculado.

11 locl: endereo de uma interface local.

11 mcst: o next hop um endereo multicast.

11 mdsc: pacotes de multicast para serem descartados.

11 recv: next hop do tipo receive.

Determinando o Next Hop


Quando um pacote chega por uma interface, o roteador compara o campo IP destino com as
entradas dentro da FT, a fim de determinar o next hop para o qual o pacote ser repas-
sado. Se o pacote destinado ao equipamento local, o Junos ir process-lo. Se o pacote
destinado a outro dispositivo e existe uma entrada vlida na FT que o contempla, o Junos
Captulo 11 - Fundamentos de roteamento

transmitir o pacote ao next hop atravs da interface definida pela FT.

Forwarding plane

Figura 11.6
Determinando o FT
next hop.
Packets in Packets out

Quando mltiplos prefixos contemplam o IP destino do pacote, o Junos utiliza aquele que o
mais especfico (com a maior mscara), como faz o equipamento de qualquer outro fabricante.

209
user@host> show route forwarding-table

Routing table: inet

Internet:

Destination Type RtRef Next hop Type Index NhRef


Netif

default user 0 0:17:cb:4e:ae:81 ucst 520 3 ge-


0/0/0.0

default perm 0 rjct 36 1

0.0.0.0/32 perm 0 dscd 34 1

172.19.0.0/16 user 0 200.1.4.100 ucst 535 3 ge-


0/0/3.0

172.19.52.0/24 user 0 200.1.2.100 ucst 529 3 ge-


0/0/1.0

172.19.52.16/28 user 0 200.1.3.100 ucst 534 3 ge-


0/0/2.0

...

O exemplo acima exibe uma amostra da FT de um equipamento Juniper. Se um pacote


destinado ao IP 172.19.52.101 chega por uma interface, ele ser contemplado por mais
de uma entrada da FT: a rota default definida pelo usurio, a rota 172.19.0.0\16 e a rota
172.19.52.0\24. Como essa ltima possui o prefixo mais especfico, ser usada para o enca-
minhamento. Assim, o pacote ser repassado ao next hop 200.1.2.100.

Analogamente, se um pacote endereado a 172.25.100.27 chega ao roteador, apenas


uma entrada o contemplar: a rota default definida pelo usurio. Assim, o pacote ser
encaminhado para a interface de sada ge-0/0/0 e ser encapsulado no endereo L2
00:17:cb:4e:ae:81.

Em situaes onde nenhuma entrada da FT contempla o IP destino do pacote, o Junos des-


carta o pacote e envia uma mensagem ICMP de destination unreachable.

Instncias de roteamento
O equipamento Juniper agrupa diferentes tabelas de rotas, interfaces e protocolos de
roteamento em instncias de roteamento lgica (routing instances). O roteador mantm a
informao de roteamento em uma instncia de roteamento separada da informao de
todas as outras instncias.

O uso de instncias de roteamento introduz o conceito de um nico dispositivo simulando a


operao de mltiplos roteadores.
Introduo rede Ip

210
Device Running JUNOS software

Routing instance (master) Routing instance (cust-A) Routing instance (cust-B)

inet.0 cust-A.inet.0 cust-B.inet.0


inet6.0 cust-A.inet6.0 cust-B.inet6.0
ge-0/0/0.0 ge-0/0/3.0 ge-1/0/0.0
ge-0/0/1.0 ge-0/0/4.0 ge-1/0/1.0
Tabela 11.3
Viso geral de lo0.0 lo0.1 lo0.2
instncias de Default route Default route Default route
roteamento. OSPF OSPF OSPF

O roteador Juniper cria automaticamente uma instncia de roteamento default chamada


master routing instance. Por definio, a instncia master inclui a tabela inet.0, usada
para rotear todo o trfego unicast de IPv4.

user@host> show route instance

Instance Type Primary RIB Active/holddown/hidden

master forwarding inet.0 3/0/1

Acima observamos a sada do comando show route instance.

O Junos tambm cria outras instncias de roteamento privadas, que so usadas para
comunicao interna entre componentes do hardware. O usurio pode ignorar a existncia
dessas entidades lgicas. O exemplo seguinte exibe todas as instncias de roteamento
criadas por default pelo Junos.

user@host> show route instance

Instance Type Primary RIB Active/holddown/hidden

_ _juniper_private1_ _ forwarding

_ _juniper_private1_ _.inet.0 2/0/2

_ _juniper_private1_ _.inet6.0 1/0/0

_ _juniper_private2_ _ forwarding

_ _juniper_private2_ _.inet.0 0/0/1

_ _master.anon_ _ forwarding

master forwarding
Captulo 11 - Fundamentos de roteamento

inet.0 7/0/0

Alm das instncias de fbrica, o Junos permite que o usurio configure instncias de rote-
amento adicionais atravs da hierarquia [edit routing-instances]. Instncias definidas pelo
usurio podem ser usadas para uma variedade de propsitos e prov aos administradores
de rede mais flexibilidade para lidar com o seu ambiente de rede.

Algumas aplicaes tpicas de instncias de roteamento incluem: VPN, virtualizao e Filter


Based Forwarding (FBF). A seguir visualizamos os tipos de instncias que podem ser criadas.

[edit routing-instances <instance-name>]

user@host# set instance-type ?

211
Possible completions:

forwarding Forwarding instance

l2vpn Layer 2 VPN routing instance

no-forwarding Nonforwarding instance

virtual-router virtual routing instance

vpls VPLS routing instance

vrf virtual routing forwarding instance

A lista seguinte detalha os tipos de instncias:

11 forwarding: usada para implementar FBF para aplicaes.

11 l2vpn: usada em implementaes de VPN de camada 2.

11 no-forwarding: usada para separar grandes redes em entidades administrativas menores.

11 virtual-router: usada para aplicaes com virtualizao do sistema.

11 vpls: usada em implementaes de LAN ponto-multiponto em um conjunto de sites de


uma VPN.

11 vrf: usada em implementaes de VPN de camada 3.

Os tipos de instncias de roteamento variam entre diferentes plataformas que rodam o


Junos. Nem todos os tipos so suportados em todas as plataformas. A seguir um exemplo de
configurao de instncia de roteamento.

[edit routing-instances new-instance] ----- Routing instance name is


user-defined

user@host# show

instance-type virtual-router; ----- Routing instance type

interface ge-0/0/0.0; ----- Define interfaces under [edit interfaces]


hierarchy and reference them under the routing instance

interface ge-0/0/1.0;

interface lo0.1;

routing-options {

static {

route 0.0.0.0/0 next-hop 172.26.25.1;

}
Introduo rede Ip

protocols {

ospf {

area 0.0.0.0 {

212
interface ge-0/O/0.0;

interface ge-0/0/1.0;

interface 100.1;

Trabalhando com Instncias de Roteamento


Uma vez que uma nova instncia de roteamento tenha sido configurada e o roteador tenha
aprendido informaes de rotas dentro da instncia, o Junos automaticamente gerar uma tabela
de rotas. Se o roteador est trabalhando com roteamento IPv4, o software criar uma tabela
de rotas unicast de IPv4. O nome dessa tabela ter o formato <nome da instncia>.inet.0,
onde <nome da instncia> o nome que o usurio definiu para sua instncia de roteamento.

Se o usurio usa IPv6 dentro da mesma instncia, o software criar uma tabela unicast de
IPv6, cujo nome ter o formato <nome da instncia>.inet.6.0.

Abaixo temos o contedo da tabela de rotas unicast IPv4 da instncia de roteamento


new-instance, que foi criada pelo usurio do sistema.

user@host> show route table new-instace.inet.0

new-instace.inet.0: 7 destinations, 7 routes (7 active, 0 holddown,


0 hidden)

+ = Active Route, - = Last Active, * = Both

0.0.0.0/0 *[Static/5] 02:06:18

> to 172.26.25.1 via ge-0/0/0.0

172.25.182.0/24 *[Direct/0] 02:06:18

> via ge-0/0/1.0


Captulo 11 - Fundamentos de roteamento

172.25.182.5/32 *[Local/0] 02:06:18

Local via ge-0/0/1.0

172.26.25.0/24 *[Direct/0] 02:06:18

> via ge-0/0/0.0

172.26.25.5/32 *[Local/0] 02:06:18

Local via ge-0/0/0.0

213
192.168.100.52/32 *[Direct]0] 02:06:18

> via lo0.1

O comando o mesmo show route j conhecido, mas com o argumento table <nome da
tabela desejada>.

Adicionalmente, o comando j conhecido show interfaces terse pode ser alterado de modo
a exibir apenas as interfaces que fazem parte de uma determinada instncia de roteamento.
O exemplo abaixo ilustra a sada do comando.

user@host> show interfaces terse routing-instance new-instance

Interface Admin Link Proto Local Remote

ge-0/0/0.0 up up inet 172.26.25.5/24

ge-0/0/1.0 up up inet 172.25.182.5/24

lo0.1 up up inet 192.168.100.52 --> 0/0

Adicionalmente os comandos ping e traceroute podem ser executados a partir de uma


instncia de roteamento especfica.

user@host> ping 172.26.25.1 rapid count 25 routing-instance new-


instance

PING 172.26.25.1 (172.26.25.1): 56 data bytes

!!!!!!!!!!!!!!!!!!!!!!!!

--- 172.26.25.1 ping statistics ---

25 packets transmitted, 25 packets received, 0% packet loss

round-trip min/avg/max/stddev = 1.014/1.875/2.073/0.285 ms

user@host> traceroute 192.168.100.25 routing-instance new-instance

traceroute to 192.168.100.25 (192.168.100.25), 30 hops max, 40 byte


packets

1 192.168.100.25 (192.168.100.25) 4.536 ms 4.503 ms 2.209 ms

Roteamento esttico
Rotas estticas so usadas em um ambiente de rede para se atingir uma variedade de q
objetivos. So popularmente usadas em duas situaes:

11 S h um nico caminho para se atingir um determinado prefixo.

11 H mltiplos caminhos para se chegar a um prefixo, mas se quer forar a rede a enca-
Introduo rede Ip

minhar o trfego sempre pelo mesmo caminho (exceto em caso de falhas).

214
Network A ge-0/0/1
Internet
Figura 11.7 172.29.100.0/24 .1 .2 .1
Exemplo de rota
default esttica. 172.30.25.0/30 192.168.63.14

A figura anterior ilustra uma situao onde a rede 172.29.100.0\24 est ligada internet por
um nico caminho. Nesse caso no h motivo para usar um protocolo de roteamento din-
mico para acessar a internet. Ao invs disso, o usurio configurou uma rota default esttica
(para o destino 0.0.0.0\0), que aponta para a interface ge-0/0/1. Dessa forma, ao executar
o comando show route 192.168.63.14, o sistema calculou dentre as entradas da tabela de
rotas que a entrada mais especfica que contempla esse destino a rota para 0.0.0.0\0.

11 A configurao de rotas estticas sempre feita na hierarquia [edit routing-options]. q


11 Ao configurar uma rota esttica necessrio definir um next hop vlido.

22 Normalmente esse parmetro definido atravs do endereo IP de um roteador


vizinho que fica na direo do prefixo em questo.

11 Em interfaces ponto a ponto (e apenas nessa situao) pode-se especificar o nome da


interface de sada como o next hop, ao invs de usar o IP do equipamento vizinho.

11 Outra possibilidade o next hop tomar os valores reject ou discard.

22 Um pacote cujo IP destino contemplado por uma entrada cujo next hop
reject ou discard ser descartado.

11 A diferena entre essas opes a ao que o Junos toma aps o descarte.

22 Se a opo usada o reject, o sistema envia uma mensagem ICMP de destination


unreachable para o remetente.

22 Se a opo usada discard, o sistema descartar o pacote silenciosamente.

O endereo IP especificado no next hop de uma rota esttica deve ser alcanvel usando
uma rota diretamente conectada. Diferente do software de outros fabricantes, o Junos, por
default, no executa buscas recursivas de next hop quando se trata de rotas estticas.

Uma rota esttica sempre estar na tabela de rotas at que o usurio a remova ou at que
ela se torne inativa. Uma rota esttica se torna inativa quando o IP do seu next hop se
torna inacessvel (por uma falha na rede, por exemplo).

Configurando Rotas Estticas


A seguir um exemplo de configurao de roteamento esttico:
Captulo 11 - Fundamentos de roteamento

[edit routing-options]

user@host# show

rib inet6.0 {

static {

route 0::/0 next-hop 3001::1; ----- IPv6 default static route

215
static {

route 0.0.0.0/0 next-hop 172.30.25.1; ----- 1Pv4 default static


route

route 172.28.102.0/24 {

next-hop 10.210.11.190;

no-readvertise;

Alm dos parmetros j discutidos, destaca-se o uso da opo no-readvertise, que, no


Junos, probe que a rota especificada seja redistribuda em um protocolo de roteamento
dinmico. Dessa forma, a rota no ser propagada por nenhum protocolo de roteamento.

Monitorando Rotas Estticas


A seguir uma variao do comando show route, que exibe apenas as rotas provenientes de
configurao manual de rotas estticas. Para tal foi usado o complemento protocol static.

user@host> show route protocol static

inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

0.0.0.0/0 *[Static/5] 00: 41 :59

> to 17 2.30. 25. 1 Vla ge-0/0/ 1 .0

----- Default static route

...

user@host> ping 192.168.63.14 rapid count 25

PING 192.168.63.14 (192.168.63.14): 56 data bytes

!!!!!!!!!!!!!!!!!!!!!!!!

--- 192.168.63.14 ping statistics ---

25 packets transmitted, 25 packets received, 0% packet loss

round-trip min/avg/max/stddev = 0.027/0.057/0.145/0.032 ms

Uma vez instaladas as rotas estticas devidas, a conectividade entre as redes pode ser verifi-
Introduo rede Ip

cada atravs do comando ping, exemplificado acima.

Resolvendo Next Hops indiretos


Por definio, diferente dos equipamentos de outros fabricantes, o Junos precisa que o ende-
reo IP do next hop de uma rota esttica esteja diretamente acessvel via um link ponto a
ponto ou via uma LAN. Ou seja, o Junos no executa buscas recursivas de next hops indiretos.

216
Host A Host B Host C

.1 .2 .5 .6 .1
Figura 11.8
Resolvendo next 172.25.1.0/30 172.25.1.4/30 172.20.3.0/24
hop indireto.

[edit routing-option]

user@Host-A# show

static {

route 172.20.3.0/24 {

next-hop 172.25.1.6;

resolve;

Conforme ilustrado acima, possvel alterar esse comportamento default do Junos e fazer
com que as buscas recursivas sejam usadas. Para isso deve-se usar a opo resolve na rota
esttica em questo.

A figura anterior mostra uma rota esttica que define um roteador remoto, 172.25.1.6, que
no est conectado diretamente ao Host A, como o next hop da rede 172.20.3.0\24. Nesse
caso, ao receber um pacote IP destinado ao prefixo remoto 172.20.3.0\24, o roteador no
saber, num primeiro momento, em qual interface est o next hop 172.25.1.6. Uma busca
recursiva ser necessria, ou seja, o roteador dever achar na tabela de rotas uma rota que
contemple o IP 172.25.1.6. Essa rota tambm ser usada para encaminhar o pacote para o
172.20.3.0\24. Dessa forma, o pacote ser entregue.

Normalmente, o roteamento que usa buscas recursivas funciona bem em ambientes onde
h um protocolo de roteamento dinmico que anuncia as redes /30 que endeream as inter-
faces dos links ponto a ponto. Ou seja, ainda se referindo ao ltimo exemplo, a rota para o
IP do next hop remoto 172.25.1.6 ser, tipicamente, uma rota obtida atravs de protocolo
dinmico. Se no fosse assim, o usurio deveria configurar manualmente outra rota esttica
para contemplar o IP do next hop, o que no algo escalvel.

Qualified Next Hop


Ao definir uma rota esttica possvel utilizar a opo qualified-next-hop para definir uma
rota alternativa independente das rotas previamente definidas. A figura seguinte exibe a
Captulo 11 - Fundamentos de roteamento

configurao e o conceito desse tipo de rota.

172.30.25.0/30

ge-0/0/1
.2 primary .1
Network A Internet
172.29.100.0/24 .1
.6 secondary .5
ge-1/0/0
Figura 11.9
Qualified Next Hop. 172.30.25.4/30

217
[edit routing-options]

user@host# show

static {

route 0.0.0.0/0 {

next-hop 172.30.25.1;

qualified-next-hop 172.30.25.5

preference 7;

Na figura, o next hop 172.30.25.1 assume o trfego destinado rota esttica default,
com route preference igual a 5 (valor default para rotas estticas). Em paralelo, o usurio
definiu uma rota esttica qualified para o next hop 172.30.25.5, definindo para ela a
route preference 7. Dessa forma, todo o trfego a ser encaminhado pela rota default usar
o next hop 172.30.25.1. Em um cenrio onde esse n falha, a rota qualified ser ento uti-
lizada. Outros fabricantes chamam esse tipo de implementao de rota esttica flutuante.
Introduo rede Ip

218
Roteiro de Atividades 8
Atividade 8.1 Configurando rota esttica
Para esta atividade usaremos a topologia descrita na figura a seguir.

Mesa do
Instrutor

0/0 - 172.16.2.2 0/0 - 172.16.2.2


0/0 - 172.16.2.1 0/0 - 172.16.2.1

ROT D ROT C ROT B ROT A


0/2 - 172.16.1.2 0/2 - 172.16.1.2
0/2 - 172.16.1.1 0/2 - 172.16.1.1
0/1 0/1 0/1 0/1

10.0.80.254/24 10.0.70.254/24 10.0.60.254/24 10.0.50.254/24 10.0.40.254/24 10.0.30.254/24 10.0.20.254/24 10.0.10.254/24

8 7 6 5 4 3 2 1

0/0 - 172.16.2.2 0/0 - 172.16.2.2


0/0 - 172.16.2.1 0/0 - 172.16.2.1

ROT D ROT C ROT B ROT A


0/2 - 172.16.1.2 0/2 - 172.16.1.2
0/2 - 172.16.1.1 0/2 - 172.16.1.1
0/1 0/1 0/1 0/1

10.0.160.254/24 10.0.150.254/24 10.0.140.254/24 10.0.130.254/24 10.0.120.254/24 10.0.110.254/24 10.0.100.254/24 10.0.90.254/24

16 15 14 13 12 11 10 9

0/0 - 172.16.2.2 0/0 - 172.16.2.2


0/0 - 172.16.2.1 0/0 - 172.16.2.1

ROT D ROT C ROT B ROT A


0/2 - 172.16.1.2 0/2 - 172.16.1.2
Captulo 11 - Roteiro de Atividades 8

0/2 - 172.16.1.1 0/2 - 172.16.1.1


0/1 0/1 0/1 0/1

10.0.240.254/24 10.0.230.254/24 10.0.220.254/24 10.0.210.254/24 10.0.200.254/24 10.0.190.254/24 10.0.180.254/24 10.0.170.254/24

24 23 22 21 20 19 18 17

Figura 11.10 Aps efetuar as ligaes dos cabos conforme descrito para cada bancada, execute os
Topologia da comandos de configurao a seguir.
Atividade 8.1.

219
Utilizar a ge-0/0/1, ge-0/0/2 e a E1-1/0/0 no exerccio.

Comandos roteador A:

set interfaces ge-0/0/0 unit 0 family inet address 172.16.2.1/24

set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.254/24

set interfaces ge-0/0/2 unit 0 family inet address 10.0.20.254/24

Verifique se a interface E1-1/0/0 j possui IP configurado:

#show interfaces e1-1/0/0 unit 0 family inet address

Delete a configurao de IP da interface e1:

# delete interfaces e1-1/0/0 unit 0 family inet address <ip j


existente / mascara>

# commit

# set interfaces e1-1/0/0 unit 0 family inet address <novo ip /


mascara>

# commit

Comandos roteador B:

set interfaces ge-0/0/0 unit 0 family inet address 172.16.2.2/24

set interfaces ge-0/0/1 unit 0 family inet address 10.0.30.254/24

set interfaces ge-0/0/2 unit 0 family inet address 10.0.40.254/24

11 Para os roteadores c e d mude os endereos de acordo com a sua bancada. Os endereos


acima so para as bancadas da frente; para as demais bancadas siga o desenho da figura.

11 Verifique a conectividade com o PC remoto do outro roteador:

ping <IP do PC remoto do outro roteador>

11 H conectividade? Por qu?

11 Execute show route <IP do PC remoto do outro roteador>. Voc deve perceber que no
existe rota para o endereo IP remoto.

11 Entre no modo de configurao com configure private, e crie as rotas para o PC remoto
com os seguintes comandos:

Comandos roteador A:

set routing-options static route 10.0.30.0/24 next-hop 172.16.1.2

set routing-options static route 10.0.30.0/24 next-hop 172.16.2.2


Introduo rede Ip

set routing-options static route 10.0.40.0/24 next-hop 172.16.1.2

set routing-options static route 10.0.40.0/24 next-hop 172.16.2.2

220
Comandos roteador B:

set routing-options static route 10.0.10.0/24 next-hop 172.16.1.1

set routing-options static route 10.0.10.0/24 next-hop 172.16.2.1

set routing-options static route 10.0.20.0/24 next-hop 172.16.1.1

set routing-options static route 10.0.20.0/24 next-hop 172.16.2.1

11 Para os roteadores c e d mude os endereos de acordo com a sua bancada. Os endereos


acima so para as bancadas da frente; para as demais bancadas siga o desenho da figura.

11 Em seguida verifique a conectividade com run ping <IP do PC remoto do outro roteador.
H conectividade? Por qu?

11 Execute o comando show | compare para checar a diferena entre a configurao can-
didata e a configurao ativa.

11 Execute o comando commit e saia do modo de configurao. Em seguida teste nova-


mente a conectividade com o PC remoto do outro roteador. H conectividade?

11 Entre no modo de configurao com configure private e remova a rota esttica criada
com delete routing-options static route <prefixo> next-hop <NH>.

11 Execute show | compare e em seguida commit.

11 Teste a conectividade com o PC remoto do outro roteador com run ping <IP do PC
remoto do outro roteador >. H conectividade?

11 Retorne a ltima alterao.

11 Execute rollback 1 e em seguida show | compare. Os comandos adicionados configu-


rao candidata com o rollback retornam a rota recm removida?

11 Se sim, execute commit, teste a conectividade e saia do modo de configurao.

11 Execute show route para verificar as rotas recm adicionadas na tabela de rotas.

Qual a route preference e a mtrica/custo da rota que voc adicionou?

11 Altere a mtrica e a distncia administrativa da rota que voc instalou.

set routing-options static route <prefixo> metric 33


Captulo 11 - Roteiro de Atividades 8

set routing-options static route <prefixo> preference 26

11 Execute show route para verificar as alteraes.

11 Entre no modo de configurao com configure private, acesse a hierarquia


[edit routing-options] e execute show para verificar os comandos gerados no
arquivo de configurao.

221
Introduo rede Ip

222
12
Filtros de firewall
objetivos

Descrever o filtro de firewall do Juniper e introduzir os procedimentos de configurao


do firewall.

conceitos
Filtros de firewall, RPF Unicast.

Viso geral
11 O conceito de filtro de firewall no Junos se assemelha ao que o mercado de redes q
chama de lista de acesso.

11 Esse recurso utilizado para controlar o trfego que passa atravs de um equipa-
mento Juniper (saindo ou entrando).

11 Cada pacote examinado individualmente.

Figura 12.1
Filtro de firewall.
Captulo 12 - Filtros de firewall

Diferente de um firewall statefull, que enxerga as diferentes conexes e permite ao usurio


escolher uma ao sobre todos os pacotes de um determinado fluxo. O filtro de firewall do
Junos no enxerga fluxos, comportamento definido como firewall stateless.

11 Graas natureza stateless do firewall do Junos, o usurio precisa configurar expli- q


citamente qual ser o comportamento do filtro de firewall em ambas as direes do
trfego para cada conexo.

223
11 Em contraste, o firewall statefull requer apenas que o usurio determine a ao a ser q
tomada em um dado tipo de conexo.

11 Feito isso, todos os pacotes dessa conexo, em ambas as direes do trfego,


sofrero a mesma ao (bloquear ou permitir).

Os filtros de firewall no Junos tm duas utilidades clssicas:

11 O bloqueio de certos tipos de trfego de entrada ou sada de uma interface;

11 A monitorao de determinado trfego.

Diagrama de bloco de um filtro de firewall


11 O bloco fundamental de um filtro de firewall uma entidade lgica chamada q
term (termo).

11 Um filtro contm um ou mais termos.

11 O termo define condies e aes.

A execuo das aes definidas no termo ser feita sobre todos os pacotes que satisfizeram
as condies do termo. O termo pode definir zero ou mais aes. Alm disso, pode ter zero
ou mais condies.

A partir da, a operao simples: se todas as condies (match) do termo so verdadeiras,


o Junos executar as aes especificadas dentro do termo. Se o termo no possui nenhuma
condio definida, apenas aes, o Junos considera que todos os pacotes devero provocar
a execuo das aes do termo.

Filtros de rewall consistem de um ou mais termos; o software avalia


os termos sequencialmente at que encontre uma ao de terminao.

my-filter
Nomes de termos
e ltros denidos
pelo usurio.
term firstterm

from then
match
no match
then
from Comandos descrevem as aes
term secondterm
Comandos descrevem que devem ser tomadas se
as condies de from then ocorrer uma comparao com
comparao (match). match o comando from
no match

term Default
Ao default para os
discard pacotes no permitidos
explicitamente.
Introduo rede Ip

Conforme mostrado na figura, a entidade lgica que agrupa os vrios termos chamada Figura 12.2
filter (filtro). Filtro de firewall:
diagrama de blocos.

224
11 Ao definir o filtro, o usurio deve escolher com critrio a ordem dos termos, pois ela q
influenciar na operao do filtro.

11 Todo filtro no Junos requer a definio de pelo menos um termo.

A figura revela ainda que os filtros no Junos sempre incluem um termo default, ainda que o
usurio no o tenha definido. Esse termo diz ao Junos o que fazer com um pacote que no
satisfaz as condies de nenhum dos outros termos. Esse termo default informa ao Junos
que o pacote deve ser descartado. Assim, o administrador do sistema deve ter sempre em
mente que caso um pacote no atenda a nenhum dos matchs do filtro, ser descartado.

Condies Match
11 Geralmente uma condio match cai dentro de uma dentre trs categorias: compa- q
rao numrica, comparao de endereo ou comparao de bit.

11 As condies de um termo so definidas atravs da opo from.

11 Os critrios avaliados pelo match podem ser valores em campos do cabealho dos
pacotes IP. Mas nem todos os campos desse cabealho estaro disponveis.

11 Quando o usurio especifica o campo do pacote IP que ser avaliado, o Junos procura
em cada pacote, no campo determinado, um valor para verificar se o critrio match
definido atendido.

term firstterm
from
Comandos descrevem from then
Figura 12.3 as condies de match
Filtro de firewall: comparao (match).
diagrama de blocos.

O Junos no verifica se o tal campo faz sentido no pacote que est sendo avaliado. Por
exemplo, o usurio pode definir que o Junos deve tomar uma ao baseado na existncia
da flag ACK no pacote TCP. Dessa forma, o Junos ir procurar pelo bit que define o ACK, na
posio do pacote onde esse bit est sempre presente. No entanto, o Junos no verificar
se o pacote TCP. Se o pacote que passa pela interface for UDP, que no tem o conceito de
ACK, ocorrer um problema semntico da anlise do filtro.

Assim, cabe ao usurio ter cincia desse comportamento do sistema e cuidar para que as
anlises sejam coesas. No exemplo anterior, o usurio deveria utilizar dois matches: o pri-
meiro informando que o pacote tem que ser TCP, e um segundo dizendo que o bit ACK deve
estar configurado.

q
Captulo 12 - Filtros de firewall

11 Alguns problemas semnticos tambm podem ocorrer quando h pacotes fragmentados.

11 Quando um pacote fragmentado, todos os seus fragmentos so transmitidos e


tratados separadamente pelo filtro do Junos.

11 Nem todos os fragmentos contm os mesmos campos de camada 4.

11 Alguns campos s esto presentes no primeiro fragmento.

11 Ao definir um match baseado em um campo de camada 4, o Junos tentar encontrar


esse campo no pacote, mesmo que ele no exista.

225
11 Esse comportamento pode trazer resultados imprevisveis quando se est utilizando q
um firewall stateless como o do Junos.

11 Muito cuidado deve ser tomado ao se definir filtros baseados em determinados


campos de camada 4.

Aes do filtro de firewall


11 O administrador especifica as aes de um termo com a opo then. q
11 Em geral, as aes de um termo podem ser aes terminadoras ou aes modificadoras.

Pensando em um filtro que tenha vrios termos, uma ao terminadora faz com que a
anlise de todos os termos subsequentes seja cancelada. Ao verificar dentro de um termo
uma ao terminadora, o sistema executa a ao e no se faz necessrio verificar o con-
tedo dos demais termos. As aes terminadoras so: accept, reject e discard.

term firstterm then


Comandos descrevem as aes
from then que devem ser tomadas se
ocorrer uma comparao com Figura 12.4
match
o comando from Clusula Then:
Ao!

11 A ao accept faz com que o sistema permita que o pacote avaliado seja q
processado normalmente.

11 A ao discard faz com que o pacote avaliado seja descartado silenciosamente.

11 A ao reject faz com que o sistema seja descartado e uma mensagem de ICMP seja
enviada ao remetente informando sobre o descarte.

A ao reject admite argumentos opcionais que permitem ao usurio enviar uma men-
sagem ICMP (destination unreachable) diferente para o remetente ou mesmo enviar um
TCP reset ao invs da mensagem ICMP. A ao reject tcp-reset executa essa ao.

Alm das trs aes terminadoras, o usurio tem a opo de usar uma ao modificadora.
As aes modificadoras so: count, log, syslog, forwarding-class, loss-priority e
policer. Diferente das aes terminadoras, quando o sistema encontra uma ao modi-
ficadora, ela executada e o processamento dos termos subsequentes do filtro acontece
normalmente. Esse processamento somente ser interrompido por uma ao terminadora.

11 Vale lembrar que se aps processar todos os termos de um filtro o sistema no q


encontra nenhuma ao terminadora, o pacote ser encaminhado para o termo
default criado pelo sistema, e o pacote em anlise ser descartado.

11 boa prtica definir um termo final sem condies e com uma ao terminadora.
Introduo rede Ip

11 As aes count, log e syslog servem para gravar informaes sobre os pacotes
processados pelo filtro.

11 As aes forwarding-class e loss-priority so usadas quando se est trabalhando


com diferentes classes de servio (CoS).

11 A ao policer permite invocar um traffic policer, que ser apresentado mais tarde
nesse curso.

226
Definindo um filtro de firewall
O uso de um filtro de firewall inclui dois passos: definir um filtro e aplicar o filtro q
em uma interface.

Os filtros de firewall so definidos na hierarquia [edit firewall]. O Junos separa os diferentes


protocolos de rede em famlias. Ao definir um filtro necessrio especificar para qual famlia de
protocolo o filtro vlido. Em geral, o filtro de firewall atuar em pacotes IP verso 4, que corres-
pondem famlia inet. Para definir um filtro de IPv4 utiliza-se a hierarquia [edit firewall inet].

O exemplo seguinte ilustra a estrutura bsica de um filtro.

my-filter

term firstterm

from then
match
no match

term secondterm

from then
match
no match

term Default
discard
Figura 12.5
Estrutura do filtro.

11 Aps definir o filtro, necessrio aplic-lo em uma interface. q


11 Um filtro pode ser aplicado nas direes in ou out (para processar pacotes
entrando ou saindo de uma interface).

Filtros de rewall de Input Output Filtros de rewall de


entrada (Input) sada (Output)
controlam o trfego controlam o trfego
entrando na interface. saindo da interface.
Output Input

Figura 12.6 Um filtro pode ser aplicado em mais de uma interface. O mesmo filtro tambm pode ser
Aplicando filtro nas aplicado nas duas direes (in e out) de uma interface. Um filtro tambm pode ser
interfaces.
Captulo 12 - Filtros de firewall

aplicado na interface de loopback do equipamento para filtrar trfego destinado ao sistema.

Um filtro aplicado em uma interface atravs da hierarquia (considerando filtro para


protocolo IPv4):

[edit interfaces <nome da interface> unit <n> family inet filter]

Para aplicar o filtro a uma interface dentro da hierarquia acima, utiliza-se:

11 set input <nome do filtro> (para definir o filtro atuando nos pacotes entrantes da interface) ou;

11 set output <nome do filtro> (para pacotes saindo da interface).

227
Um filtro definido para um determinado protocolo de rede s pode ser utilizado em units
desse mesmo protocolo. Ou seja, no possvel, por exemplo, aplicar um filtro de IPv6 em
uma unit que no seja IPv4.

Se um filtro definido sob a hierarquia [edit firewall inet6], no ser possvel aplic-lo em
uma hierarquia [ edit interfaces <nome> unit <n> family inet ] (unit IPv4). Ou seja, a family
do filtro precisa casar com a family da interface.

Ao adicionar um filtro a uma interface atravs de uma sesso remota (Telnet ou SSH)
sempre uma boa prtica utilizar a opo commit confirmed. comum o administrador, por
um erro de configurao, perder acesso a uma interface aps aplicar um filtro.

Para pensar

O uso do commit confirmed pode economizar muitas horas de trabalho e


deslocamentos desnecessrios.

Exemplo de filtro
Definindo um bloqueio do protocolo ICMP. Nome do filtro: bloqueios.

set firewall filter bloqueios term block_icmp from address 10.0.0.0/24

set firewall filter bloqueios term block_icmp from protocol icmp

set firewall filter bloqueios term block_icmp then discard

set firewall filter bloqueios term permit then accept

A seguir, outro exemplo, desta vez com o protocolo http.

MYNET

R1
.100 .1 ge-0/0/1.0
Internet
.2 .1 Figura 12.7
172.27.102.0/24 172.30.25.0/30 Exemplo de filtro
(parte I).

Na figura anterior, o usurio deseja filtrar todo o trfego de protocolo http que entra
pela interface ge0/0/1.0, exceto o trfego destinado ao servidor da figura. A configurao
seguinte exibe um exemplo de filtro que pode fazer essa tarefa.

MYNET
Introduo rede Ip

R1
.100 .1 ge-0/0/1.0
.2 Figura 12.8
172.27.102.0/24 Exemplo de filtro
(parte II).

228
O filtro criado possui dois termos. No primeiro a condio que o trfego seja http e o
destino seja o servidor. Se essas duas condies forem contempladas, o trfego ser permi-
tido e o processamento termina (na ao terminadora accept). Se alguma das condies
no for aceita, o processamento seguir para o segundo termo.

O segundo termo diz que se o trfego for http, deve ser descartado (ao terminadora discard).

Se a condio do segundo termo tambm no contemplada, o pacote entra no termo


default, que no aparece explicitado na configurao. Trata-se de um termo que automa-
ticamente considerado pelo sistema. O termo default descartar o trfego por definio
(com a ao terminadora discard). Repare que nesse exemplo especfico o nico trfego
permitido http para o IP do servidor. Qualquer outro trfego ser bloqueado (o que pode
no ser o desejo do administrador).

Sempre que necessrio evitar o termo default (que descarta todos os pacotes por default),
utilize um ltimo termo sem condies e com a ao accept.

Filtrando trfego local


O filtro exibido no exemplo anterior chamado filtro de trfego. Esse filtro protege uma
rede de acessos no autorizados. Mas um filtro tambm pode ser usado para proteger o
acesso ao roteador. Esse chamado filtro de acesso local.

Esse tipo de filtro tem a mesma estrutura do filtro de trfego, mas aplicado interface lo0
(Loopback 0). A figura seguinte ilustra o ponto de atuao do filtro de acesso local quando
aplicado interface lo0.

Routing Engine

CPU

Control Plane
Io0
Forwarding Plane

Figura 12.9
Frames and Packets in
Filtrando trfego
local. Packet Forwarding Engine

Os filtros de trfego local so aplicados de modo a proteger a RE. A PFE aplica esse filtro
antes de passar o trfego ao plano de controle.

Ao aplicar um filtro de trfego local importante considerar o trfego provindo dos pro-
tocolos de roteamento e outros trfegos de controle. Essa observao ganha importncia
graas ao comportamento do termo default, inserido automaticamente pelo sistema.
Captulo 12 - Filtros de firewall

Ao aplicar um filtro de trfego local fundamental o uso do commit confirmed. comum


ocorrerem problemas graves aps uma configurao equivocada de um filtro de trfego
local. A seguir um exemplo de filtro de trfego local que limita o trfego SSH RE.

229
Definition Application

filter limit-ssh-access { lo0 {


term ssh-accept { unit 0 {
from { family inet {
source-prefix-list { filter {
trusted; input
} limit-ssh-access;
protocol tcp; }
destination-port ssh; address
10.255.71.48/32;
}
}
then {
}
discard;
}
}
}
term else-accept {
then accept;
}
}

O primeiro termo define que os endereos IP presentes na lista de prefixos chamada


trusted tm permisso para entrar na RE. O segundo termo bloqueia qualquer outro
trfego de SSH. O terceiro termo permite acesso a qualquer outro trfego.

Repare que se o termo else-accept no fosse includo, o software descartaria todo o trfego
de controle e gerncia que no foi especificado explicitamente. Isso inclui os anncios de rotas
OSPF, BGP e de outros protocolos provindas de roteadores vizinhos, bem como mensagens
SNMP ou NTP de plataformas de gerncia. Um srio distrbio poderia ser causado.

Para completar a configurao, a seguir vemos a criao de uma prefix-list, definio feita
na hierarquia [edit policy-options].

[edit policy-options]

user@host# show

prefix-list trusted {

172.27.102.0/24;

Implementando policing com filtros de firewall


11 Alm de aceitar ou descartar pacotes, os filtros de firewall podem ser usados para q
limitar determinados padres de trfego.

22 Essa tarefa chamada de policing.

11 Para executar a tarefa de policing no Junos necessrio criar um policer e us-lo em


Introduo rede Ip

conjunto com um filtro de firewall.

11 O policer criado na hierarquia [edit firewall], sendo preciso aplic-lo a uma interface.

230
Ba l d e
Figura 12.10 d e b it
Policer em ao.

O filtro usado para a tarefa de policing tem a mesma estrutura dos demais filtros. Ele
consiste em um conjunto de termos, os quais definem condies e aes relacionadas.
A diferena que normalmente se usa a opo policer no(s) primeiro(s) termo(s).

Para melhor entendimento, a seguir vemos o uso de um policer associado a um filtro de firewall.

[edit firewall]

user@host# show

policer p1 {


if-exceeding {

bandwidth-limit 400k;

burst-size-limit lOOk;

then discard;

family inet {

filter rate-limit-subnet {

term match-subnet {

from {

source-address {

192.100.1.0/24;

}
Captulo 12 - Filtros de firewall

then {

policer p1;

231
term else-accept {

then accept;

No exemplo anterior, um policer foi definido de modo a limitar um determinado padro de


trfego a uma largura de banda mdia de 400 Kbps, com direito a 100 Kbytes de burst.

11 O parmetro burst-size-limit pode ser entendido como um pico que pode exceder a q
velocidade mdia assinalada.

11 Uma forma recomendada para se calcular o burst multiplicar a largura de banda


mxima que se quer permitir (valor de pico do trfego) pela quantidade de tempo de
durao do pico.

11 Por exemplo, imagine uma interface com capacidade para 1 Gbps.

22 O administrador quer permitir que determinado padro de trfego use apenas 10 Mbps.

22 No entanto, o administrador admite que a aplicao possa gerar picos de 100 Mbps
com durao de 5 milisegundos. Assim, teremos o clculo do burst-size-limit:

33 burst-size-limit = (100.000.000 bits /segundo) x (5/1000 segundos) = 500.000 bits

22 Convertendo o valor acima em bytes:

33 burst-size-limit = 500.000 / 8 = 62500 bytes

Dessa forma, para o administrador executar o policer como definido no exemplo,


a configurao ficaria:

firewall {

policer class-example {

if-exceeding {

bandwidth-limit 10m;

burst-size-limit 62500;

then forwarding-class best-effort;

family inet {

filter example1 {

term policer-example {
Introduo rede Ip

from {

protocol tcp;

then {

232
policer class-example;

forwarding-class assured-forwarding;

accept;

Para o restante dos conceitos, ser considerado o exemplo a seguir:

[edit firewall

user@host # show

policer pl

if-exceeding {

bandwidth-limit 400k;

burst-size-limit 100k;

then discard;

family inet {

filter rate -limit-subnet {

term match-subnet {

from {

source-address {

192.100.1.0/24;

then {
Captulo 12 - Filtros de firewall

policer pl:

term else-accept {

then accept;

233
}

11 Acima h um policer chamado p1, que descarta trfego que exceda o consumo de q
uma largura de banda mdia de 400 Kbps com picos de 100 Kbytes.

11 Ao definir os limites do policer, pode-se usar as letras k, m e g para indicar


milhares, milhes e bilhes de bytes (ou bits/segundo).

11 Uma vez definido o policer, possvel invoc-lo a partir de um termo de filtro de firewall.

11 Esse termo definir o padro de trfego que estar sujeito ao do policer.

No exemplo acima, o filtro rate-limit-subnet submete todo o trfego originado pela rede
192.100.1.0\24 ao policer definido previamente. Ser descartado o volume de trfego
daquela sub-rede que demandar mais recursos do que os definidos pelo policer.

Todos os demais trfegos, originados de outras redes, sero aceitos normalmente e podero
usar toda a largura de banda da interface onde o filtro for aplicado.

Estudo de caso: filtros de firewall


A prxima figura exibe a topologia de um estudo de caso.

MYNET

R1
.1 ge-0/0/1.0
Internet
.2 .1
Figura 12.11
172.27.102.0/24 172.30.25.0/30 Estudo de caso
(parte I).

Os seguintes objetivos devero ser contemplados:

Para o trfego saindo da interface ge-0/0/1.0:

11 Todo o trfego de qualquer fonte que no seja da rede 172.27.102.0\24 deve ser descar-
tado e registrado em arquivo de log;

11 Todo o trfego restante deve incrementar um contador e ser permitido.

Para o trfego entrando na interface ge-0/0/1.0:

11 Todo trfego com IP origem da rede 172.27.102.0\24 deve ser descartado e registrado.

11 Todo trfego da internet respondendo a conexes TCP iniciadas do servidor MyNET deve
ser atendido.

11 Todo trfego ICMP dos tipos echo-reply, time-exceeded e destination unreachable


deve ser permitido.
Introduo rede Ip

11 Qualquer outro trfego deve incrementar um contador e ser descartado.

Para alcanar os objetivos traados, o filtro seguinte foi definido para ser aplicado na sada
da interface.

[edit firewall family inet filter output-ff]

user@R1# show

234
term deny-spoofed {

from {

source-address {

0.0.0.0/0;

172.27.102.0/24 except; ----- Excludes specified prefix

then{

log;

discard;

term else-accept {

then (

count outbound-accepted;

accept;

O exemplo seguinte define o filtro a ser aplicado na interface de entrada:

[edit firewall family inet filter input-ff]

user@Rl# show

term deny-spoofed {

from {

source-prefix-list {

internal-prefixes;

}
Captulo 12 - Filtros de firewall

then {

log;

discard;

term allow--established-sessions

235
from {

protocol tcp;

tcp-established;

then accept;

term allow-some-icmp {

from {

protocol icmp;

icmp-type [ echo-reply time-exceeded unreachable ];

then accept;

term else-discard

then {

count inbound-discarded;

discard;

[edit policy-options]

user@Rl# show

prefix-list internal-prefixes {

172.27.102.0/24;

Na configurao aplicada foram usadas as opes count e log. O count mantm um con-
tador cumulativo de pacotes e de bytes. Para cada contador de um filtro o sistema mantm
um nico conjunto de estatsticas. Assim, se um mesmo filtro aplicado em mltiplas inter-
faces, todos os pacotes contemplados pelo count incrementaro um mesmo contador.
O prximo passo aplicar os filtros definidos nas direes de entrada e sada da interface.

[edit interfaces ge-0/0/1]


Introduo rede Ip

user@R1# show

unit 0 {

family inet {

filter {

236
input input-ff;

output output-ff;

address 172.30.25.2/30;

MYNET
Filtros de rewall de
sada (Output)
R1 Output controlam o trfego
saindo da interface.
.1

Filtros de rewall de
172.27.102.0/24 Input entrada (Input)
controlam o trfego
Figura 12.12
entrando na interface.
Estudo de caso
(parte II).

Os contadores de um filtro, definidos pela opo count, podem ser zerados com o
comando clear firewall filter <nome do filtro>.

Opcionalmente, pode-se zerar apenas um nico contador do filtro com o comando:

clear firewall <nome do filtro> counter <nome do contador>

Monitorando os resultados de um filtro


11 Alguns comandos podem ser utilizados para monitorar a atuao dos filtros aplicados. q
11 Os comandos de monitorao comeam sempre com show firewall.

Conforme exibido a seguir, possvel verificar os pacotes descartados e registrados com a


opo log. Para isso, utiliza-se o comando show firewall log:

user@R1> show firewall log

Log :

Time Filter Action Interface Protocol Src Addr Dest Addr

07:23:16 pfe D ge-0/0/1.0 TCP 172.27.102.10 172.27.102.100

07:23:13 pfe D ge-0/0/1.0 TCP 172.27.102.10 172.27.102.100

07:23:10 pfe D ge-0/0/1.0 TCP 172.27.102.10 172.27.102.100


Captulo 12 - Filtros de firewall

07:19:38 pfe D ge-0/0/3.0 ICMP 192.168.100.2 192.168.24.1

07:19:38 pfe D ge-0/0/3.0 ICMP 192.168.100.2 192.168.24.1

07:19:37 pfe D ge-0/0/3.0 ICMP 192.168.100.2 192.168.24.1

...

237
O comando show firewall counter, conforme mostrado a seguir, verifica o valor dos conta-
dores do filtro aplicado (definidos pela opo count).

user@R1> show firewall counter filter input-ff inbound-discarded

Filter: input-ff

Counters:

Name Bytes Packets

inbound-discarded 1296 23

user@R1> show firewall counter filter output-ff outbound-accepted

Filter: output-ff

Counters:

Name Bytes Packets

outbound-accepted 1694502 20256

Repare no exemplo que o nome do filtro pode ser passado como argumento do comando,
caso se deseje verificar os contadores de um nico filtro.

Verificao de RPF Unicast


11 Reverse-Path-Forwarding (RPF) um recurso utilizado por operadoras de telecomu- q
nicaes e administradores de rede para evitar a prtica do IP spoofing, uma das
formas mais comuns de ataque.

22 Como outros tipos de pragas virtuais, o IP spoofing um ataque em que o ata-


cante envia um grande volume de pacotes contra a vtima.

22 Os pacotes desse volume de dados so gerados com um endereo de IP origem


falso, para evitar a identificao do atacante.

11 Quando um administrador habilita a verificao de RPF em uma interface, o rote-


ador sempre checar a tabela de rotas antes de dar servio a um pacote que
entrou pela interface.

22 Essa checagem visa garantir que o pacote realmente deveria vir de onde veio.

11 O exemplo a seguir define como funciona o recurso:

22 Um roteador est com a verificao RPF habilitada na interface ge-0/0/1.0.

22 Esse equipamento recebe um pacote com IP origem 10.10.10.10 nessa interface.

22 O roteador se far a seguinte pergunta:


Introduo rede Ip

33 Se eu tivesse que encaminhar um pacote para o 10.10.10.10, por onde eu enviaria?

22 Para responder a essa pergunta, o roteador analisar a tabela de rotas.

33 Se a resposta for interface ge-0/0/1.0, o pacote receber servio normalmente.

33 Se a resposta for outra, o pacote ser descartado, pois ficar caracterizada uma
potencial ocorrncia de IP spoofing.

238
Passou RPF
Falhou RPF
Tabela de rotas
Ba l d e
Figura 12.13
d e b it
Verificao RPF.

Uma mesma interface pode ter a verificao RPF configurada juntamente com um filtro de
firewall, sem problemas.

Problemas com a verificao RPF


Para que a verificao RPF funcione a contento, fundamental que ela seja habilitada
apenas em interfaces que no possuem redundncia. Interfaces que possuem redundncia
admitem assimetria de trfego, ou seja, possvel que os pacotes saiam por uma interface
e entrem por outra, dependendo da convenincia dos protocolos de roteamento em uso.
Dessa forma, s vezes a checagem RPF pode descartar um pacote legtimo apenas porque
ele no est entrando pela interface pela qual sai. A figura seguinte ilustra o problema.

R2

Internet R1 R4

172.30.17.0/24

Caminho ativo
Caminho factvel R3

Figura 12.14 O problema pode ser corrigido com o uso da opo feasible-paths, conforme mostrado no
RPF em interfaces exemplo de configurao seguinte.
redundantes.
Captulo 12 - Filtros de firewall

R1

Figura 12.15
RPF com
feasible-paths
habilitado.

239
O uso dessa opo faz com que o sistema considere todas as rotas recebidas pelo roteador
para fazer a verificao, e no s a rota ativa na tabela de rotas. Normalmente, em topolo-
gias redundantes, o roteador ter duas ou mais rotas para entregar o pacote, mas s uma
estar ativa.

11 Apesar da possibilidade de uso do recurso feasible-paths, o uso de verificao RPF q


recomendado apenas nas periferias da rede, onde se tem certeza que h um nico
caminho para se atingir uma rede.

11 Considerando a figura da topologia do exemplo anterior, um bom lugar para a verifi-


cao RPF seria a interface de R4, que conecta na LAN 172.30.17.0\24, e a interface de
R1, que se liga internet.

11 Existem outras opes de configurao de RPF que variam de acordo com a plataforma.

Filtros de fail
11 Quando um pacote no passa na verificao de RPF, descartado por default. q
11 Opcionalmente pode-se definir um filtro de fail.

11 Dessa forma, todos os pacotes que forem reprovados no teste de RPF sero subme-
tidos s aes contidas no filtro de fail.

11 Essas aes podem inclusive ser um accept, para liberar o trfego, ou um policer,
para limitar a sua taxa de dados.

11 Esse filtro tem a mesma estrutura e as mesmas possibilidades de um filtro de firewall.

A seguir um filtro de fail configurado para permitir trfego reprovado no teste de RPF
apenas quando este for proveniente de um servidor DHCP ou Bootstrap (BOOTP).

firewall {

family inet {

filter rpf-dhcp {

term dhcp {

from {

source-address{

0.0.0.0/32; ----- Must permit traffic


with a source address of 0.0.0.0/32 and a destination address of
255.255.255.255/32 for DHCP or BOOTP traffic

destination-address {

255.255.255.25!V32

}
Introduo rede Ip

then accept;

240
}

Repare que esse filtro libera apenas trfego com IP origem 0.0.0.0\32 e destino
255.255.255.255\32. Esses parmetros so usados pelos protocolos DHCP e BOOTP.

A seguir est ilustrado um exemplo de configurao de RPF de um equipamento.

ge-0/0/1 {

unit 0 {

family inet {

rpf-check; ----- Enables RPF check on interface

filter {

input input-ff;

output output-ff

address 172.30.25.2/30;

ge-0/0/2 {

unit 0 {

family inet {

rpf-check fail-filter rpf-dhcp; ----- RPF fail-filter


application (definition shown on previous slide)

address 172.19.2.1/30;

ge-0/0/3 {

unit 0 {
Captulo 12 - Filtros de firewall

family inet {

rpf-check fail filter rpf-dhcp;

address 172.27.102.1/24;

241
O exemplo mostra a verificao de RPF no seu modo mais simples, sendo aplicada na inter-
face ge-0/0/1.0.

Nas interfaces ge-0/0/2.0 e ge-0/0/3.0, a verificao foi habilitada em conjunto com um filtro
de fail nomeado rpf-dhcp.
Introduo rede Ip

242
Roteiro de Atividades 9
Atividade 9.1 Configurando filtro de firewall
Alunos dos PCs do roteador A devem fazer um firewall filter que permita que IPs que esto
nos PCs do roteador B possam fazer SSH para a interface ge-0/0/1, mas no possam fazer
telnet ou ping. Qualquer outro IP que tente acessar a interface ge-0/0/1, usando qualquer pro-
tocolo, deve conseguir. Depois de criado, esse filtro deve ser aplicado na interface ge-0/0/1.

Idem para os PCs dos roteadores C e D e para as demais bancadas.

1. Criando firewall filter:

set firewall family inet filter bloqueios term block_icmp from address 10.0.30.0/24
set firewall family inet filter bloqueios term block_icmp from address 10.0.40.0/24
set firewall family inet filter bloqueios term block_icmp from protocol icmp
set firewall family inet filter bloqueios term block_icmp then reject

set firewall family inet filter bloqueios term block_telnet from address 10.0.30.0/24
set firewall family inet filter bloqueios term block_telnet from address 10.0.40.0/24
set firewall family inet filter bloqueios term block_telnet from port telnet
set firewall family inet filter bloqueios term block_telnet then reject
set firewall family inet filter bloqueios term permitindo then accept

2. Aplicando filtro na interface ge-0/0/1:

set interfaces ge-0/0/1 unit 0 family inet filter input bloqueios

Para verificar se o filtro est corretamente configurado, aps o comando commit, o arquivo
de configurao dever ser semelhante ao mostrado a seguir.

root@ROTA# show firewall

family inet {

filter bloqueios {

term block_icmp {

from {

address {

10.0.30.0/24;
Captulo 12 - Roteiro de Atividades 7

10.0.40.0/24;

protocol icmp;

then {

reject;

243
}

term block_telnet {

from {

address {

10.0.40.0/24;

10.0.30.0/24;

port telnet;

then {

reject;

term permitindo {

then accept;

[edit]

Atividade 9.2 Configurando polices de firewall


Voc dever elaborar um firewall filter que permita aos PCs do outro roteador da sua
bancada fazer ping para IPs da sua LAN, mas permitindo que esse trfego fique apenas com
uso mdio que no ultrapasse 20 Kbps e picos de 60 Kbps que durem no mximo 100msec.

1. Calculando burst-size:

(60000 bits) x (0,1 seg) = 6000 bits = 750 bytes

2. Criando policer:

top
Introduo rede Ip

set firewall policer Limit_Traffic if-exceeding bandwidth-limit 20k

set firewall policer Limit_Traffic if-exceeding burst-size-limit 750

set firewall policer Limit_Traffic then discard

244
3. Criando firewall filter:

set firewall family inet filter ICMP_Limit term Limite_de_Trafego


from source-address 10.0.30.0/24

set firewall family inet filter ICMP_Limit term Limite_de_Trafego


from source-address 10.0.40.0/24

set firewall family inet filter ICMP_Limit term Limite_de_Trafego


from protocol icmp

set firewall family inet filter ICMP_Limit term Limite_de_Trafego


then policer Limit_Traffic

set firewall family inet filter ICMP_Limit term else then accept

Captulo 12 - Roteiro de Atividades 7

245
Introduo rede Ip

246
13
Troubleshooting em interfaces
objetivos

Descrever os procedimentos de resoluo de problemas em interfaces seriais e Ethernet,


e apresentar as principais interfaces WAN usadas pelas operadoras de telecomunicaes.

conceitos
Troubleshooting genrico de interfaces, troubleshooting especfico de interfaces serial
e Ethernet, interfaces E1, E3 e Sonet/SDH.

Desativando e desabilitando interfaces


Em se tratando de interfaces, o Junos permite duas operaes que tiram a interface de q
ao, mas com abordagens diferentes: a desativao e a desabilitao de interface.

Como j apresentado, possvel desativar um comando da configurao de modo que ele


seja desconsiderado no momento em que executado um commit. A tag inactive: identi-
fica um comando presente no arquivo de configurao, mas que est desativado.

11 Para desativar um comando ou identificador utiliza-se o comando deactivate no q


modo de configurao.

11 Para reativar um comando ou identificador utiliza-se o comando activate no modo


de configurao.

Como qualquer outra linha do arquivo de configurao, uma interface tambm pode ser
desativada. Abaixo est ilustrado um exemplo de desativao de interface:

[edit]
Captulo 13 - Troubleshooting em interfaces

user@host# run show interfaces so-2/0/0 terse

Interface Admin Link Proto Local Remote

so-2/0/0 up up

so-2/0/0.0 up up inet 10.2.1.21/30

[edit]

user@host# deactivate interfaces so-2/0/0

[edit]

247
user@host# show interfaces

...

inactive: so-2/0/0 { ...

[edit]

user@host# run show interfaces se-2/0/0 terse

Intertace Admin Link Proto Local Remote

so-2/0/0 up up

11 O exemplo anterior mostra que uma interface desativada tem todas as suas unidades q
(interfaces lgicas) excludas da lista de interfaces presentes.

11 como se elas no mais existissem; o Junos ignora todos os comandos do arquivo de


configurao que estejam com a tag Inactive.

11 Para reativar a interface, bastaria executar o comando activate interfaces so-2/0/0.

11 Opcionalmente uma interface pode ser desabilitada com o comando disable, que
deve ser colocado na hierarquia [edit interfaces <nome da interface>].

11 Quando se utiliza o comando disable na linha do arquivo de configurao que define


uma interface, o Junos mantm a interface ativa ao executar o commit, mas o software
a trata como estando no estado down ou administrativamente desabilitada.

O exemplo a seguir exibe a situao:

[edit]

user@host# run show interfaces so-2/0/0 terse

Interface Admin
Link
Proto
Local Remote

so-2/0/0 up up

so-2/0/0.0 up up inet
10.2.1.21/30

[edit]

ps@cartman-re0# set interfaces so-2/0/0 disable

[edit]

user@host# show interfaces so-2/0/0

disable;

unit 0 {

family inet {
Introduo rede Ip

address 10.2.1.21/30;

248
[edit]

user@host# run show interfaces so-2/0/0 terse

Interface Admin
Link
Proto
Local Remote

so-2/0/0 down up

so-2/0/0.0 up down
inet
10.2.1.21/30

Exemplos de configurao de interfaces


A seguir trs exemplos tpicos de configurao de interfaces: uma interface ATM, uma
Gigabit Ethernet e uma Sonet/Frame Relay.

ATM interface with multiple units

[edit interfaces]

user@host# show at-0/2/1

description SY to HK and DE;

atm-options {

vpi 0 {

maximum-vcs 200;

unit 0 {

description to HK;

vci 100;

family inet {

address 10.0.15.1/24;

unit 101 {
Captulo 13 - Troubleshooting em interfaces

description to DE;

vci 101;

family inet {

address 172.16.0.1/24;

Gigabit Ethernet with inet and mpls support

249
[edit interfaces]

user@host# show ge-0/0/2

unit 0 {

family inet {

address 10.0.13.1/24;

family mpls;

SONET interface running Frame Relay with keepalives (LMI) disabled

[edit interfaces]

user@host# show so-0/1/3

no-keepalives;

Cada exemplo acima faz uso de pelo menos uma interface lgica (unit), na qual configu-
rada uma famlia de protocolo L3 (family), que define o tipo de pacotes L3 que podero
trafegar por ali. Outras propriedades lgicas das interfaces so configuradas na hierarquia
unit das interfaces.

Para verificar os comandos set que foram usados para configurar uma interface, pode-se
usar o artifcio do | display set. A seguir est ilustrada a utilidade deste recurso:

[edit interfaces]

user@host# show at-0/2/1 | display set

set interfaces at-0/2/1 description SY to HK and DE

set interfaces at-0/2/1 atm-options vpi 0 maximum-vcs 200

set interfaces at-0/2/1 unit 0 description to HK

set interfaces at-0/2/1 unit 0 vci 100

set interfaces at-0/2/1 unit 0 family inet address 10.0.15.1/24

set interfaces at-0/2/1 unit 101 description to DE

set interfaces at-0/2/1 unit 101 vci 101

set interfaces at-0/2/1 unit 101 family inet address 172.16.0.1/24

Troubleshooting genrico de interfaces


Introduo rede Ip

Veremos alguns comandos teis para tarefas preliminares de troubleshooting de interfaces,


que tipicamente sero comandos show.

11 O primeiro recurso a se conhecer desta famlia de comandos o show interfaces terse. q


11 Esse comando exibe a lista de todas as interfaces instaladas no dispositivo e seus
respectivos estados administrativos e operacionais.

250
user@host> show interfaces so* terse

Interface Admin Link Proto Local Remote

so-1/1/0 down up ----- Administratively disabled

so-1/1/0.0 up down inet 1.1.1.1/30

iso

so-1/1/1 up down ----- Data link Layer down

so-1/1/1.0 up down inet 2.2.2.2/30

iso

so-1/1/2 up up ----- Data link layer up

so-1/1/2.0 up up inet 3.3.3.3/30

...

11 O wildcard asterisco (*) um recurso que pode ser usado para filtrar a sada q
do comando.

11 No exemplo, o usurio solicitou apenas as interfaces com nome comeando com a


string so.

11 O cdigo exibe ainda o significado de algumas combinaes de estado de interfaces


que no esto operando.

11 Uma interface fsica que foi desabilitada aparece com os estados administrativo e
operacional respectivamente down e up, e suas respectivas interfaces lgicas
como admin up e link status down.

11 A interface fsica fica com link status up porque o enlace fsico est saudvel (no
tem alarmes).

11 As interfaces lgicas mantm link status down, porque a interface L2 no consegue


estabelecer comunicao com o equipamento na outra ponta.

11 Quando uma interface no foi desabilitada e o encapsulamento L2 entre o dispositivo


local e o dispositivo remoto no est funcionando, a interface fsica fica em admin
up e link status up e a sua interface lgica fica em admin up e link status down.

11 Novamente, a interface fsica mantm link status up, porque o enlace fsico est
funcionando.
Captulo 13 - Troubleshooting em interfaces

11 A interface lgica fica com link status down porque a comunicao de camada 2 est
quebrada.

11 Em uma situao de funcionamento normal da interface, tanto a interface fsica


quanto a lgica ficam em admin up e link state up.

11 O prximo comando para auxiliar a tarefa de troubleshooting o show interfaces


<nome da interface>.

11 Esse comando exibe informaes genricas sobre uma interface especificada ou


sobre todas as interfaces.

A seguir um exemplo do comando. A interface ilustrada uma Sonet OC-3.

lab@host> show interfaces so-0/1/2

251
Physical interface: so-0/1/2, Enabled, Physical link is Up

Interface index: 134, SNMP ifIndex: 28 ----- Physical de.ice indexes

Link-level type: PPP, MTU: 4474, Clocking: Internal, SONET mode,


Speed: OC3,

Loopback: None, FCS: 16, Payload scrambler: Enabled

Device flags : Present Running

Interface flags : Point-To-Point SNMP-Traps Internal: 0x4000 -----


Device configuration and operational flags

Link flags : Keepalives

Keepalive settings: Interval 10 seconds, Up-count 1, Down-count 3

Keepalive: Input 90939 (00:00:07 ago), Output: 90879 (00:00:04 ago)

LCP state: Opened

NCP state: inet: Opened, inet6: Not-configured, iso: Not-configured,


mpls:

Not-configured

CHAP state: Closed

CoS queues: : 4 supported, 4 maximum usable queues

Last flapped : 2009-02-17 03:13:49 UTC (1w3d 11:12 ago) ----- Trafic
load and alarm status

Input rate : 0 bps (0 pps)

Output rate : 280 bps (0 pps)

SONET alarms : None

SONET defects : None

Logical interface so-0/1/2.0 (index 67) (SNMP ifIndex 75) ----- Logical
device indexes

Flags: Point-To-Point SNMP-Traps Ox4000 Encapsulation: PPP

Protocol inet, MTU: 4470

Flags: None

Addresses, Flags: Is-Preferred Is-Primary ----- Logical device


settings

Destination: 10.0.31/24, Local: 10.0.31.2, Broadcast: 10.0.31.255


Introduo rede Ip

O exemplo ilustrado destaca as diferentes partes do relatrio gerado pelo comando, inclu-
sive uma parte dedicada s interfaces lgicas que porventura estiverem definidas.

11 No Junos, cada interface fsica e lgica referenciada por dois ndices. q


11 Esses ndices so associados s interfaces no momento do boot do sistema e
dependem da ordem na qual as interfaces so ativadas pelo Junos.

252
11 O ndice SNMP ifIndex usado para identificar a interface junto aos softwares que q
fazem consultas via SNMP.

11 O outro ndice usado pelo prprio Junos para fazer referncia s interfaces quando
esto executando tarefas internas.

O ndice de identificao interna das interfaces fsicas chamado ifd, ao passo que o ndice
que identifica uma interface lgica o ifl.

importante verificar que o ifIndex associado a interfaces lgicas diferente do associado


interface fsica. Sempre que possvel, o ifIndex conservado mesmo aps vrios reboots
do sistema ou aps eventos de adies ou remoes de novas PICs ou FPCs. Esse com-
portamento evita que as plataformas de gerncia precisem ser reconfiguradas devido a
mudanas no valor do ndice. Uma vez em operao, as interfaces apresentam algumas flags
que proveem informaes sobre as condies de sua operao.

A lista abaixo exibe algumas das possveis flags e seus significados:

11 Down: a interface no est operando.

11 Up: interface est habilitada e operacional.

11 Hear-Own-Xmit: a interface est escutando suas prprias transmisses (h loop em


algum ponto).

11 Link-Layer-Down: a comunicao do protocolo L2 com a outra ponta do link no ocorre.

11 Loopback: interface est na condio de loopback fsico.

11 Loop-Detected: a camada L2 est recebendo os frames por ela transmitidos e suspeita


de loop.

11 No-Carrier: indica que o sinal de carrier no est presente (em mdias que suportam
reconhecimento de carrier).

11 No-Multicast: a interface no suporta trfego multicast.

11 Present: a interface est presente e reconhecida.

11 Promiscuos: interface est no modo promscuo e admite frames enviados para


outros destinos.

11 Quench: interface enfrenta saturao no seu buffer de sada.

11 Recv-All-Multicasts: no h filtro de multicast na interface.

11 Running: a interface est ativada e habilitada.

11 Admin-Test: interface est no modo de teste.

11 Disabled: interface foi desabilitada.


Captulo 13 - Troubleshooting em interfaces

11 Hardware-Down: interface no est funcional ou encontra-se incorretamente conectada.

11 Point-To-Point: interface ponto a ponto.

11 SNMP-Traps: o envio de traps SNMP pela interface est habilitado.

11 Give-Up: aps repetidas falhas o protocolo L2 parou de tentar conexo.

11 Keepalives: mensagens de keepalive esto habilitadas no protocolo L2.

11 Loose-LCP: protocolo PPP no est usando o Link Control Protocol para indicar a sade
da conexo PPP.

11 Loose-LMI: protocolo Frame Relay no est usando Local Management Interface para
indicar a sade da conexo Frame Relay.

253
11 Loose-NCP: protocolo PPP no usa o Network Control Protocol para indicar se o disposi-
tivo est up.

11 No-Keepalives: mensagens de keepalive esto desabilitadas na interface.

A sada do comando tambm sumariza o nvel de carga na interface, exibido em bits e


pacotes por segundo, bem como qualquer alarme que esteja ativo.

A poro final do reporte do comando exibe a configurao e o estado de cada interface


lgica definida.

Verificando erros na interface


O comando show interfaces <nome da interface> extensive mostra todo o relatrio q
dos comandos show interfaces anteriores e mais um grande conjunto de informaes,
dentre elas a informao de diferentes contadores de erros na interface.

A seguir est ilustrada parte da sada do comando:

user@host> show interfaces so-0/l/l extensive

Physical interface: so-0/1/1, Enabled, Physical link is Up

Interface index: 133, SNMP ifIndex: 25, Generation: 16

...

Statistics last cleared: Never ----- When counters were last cleared

...

Input errors ----- Input errors

Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0,

Bucket drops: 0, Policed discards: 0, L3 incompletes: 0,

L2 channel errors: 0, L2 mismatch timeouts: 0, HS link CRC errors: 0,

HS link FIFO overflows: 0

Output errors:

Carrier transitions: 1, Errors: 0, Drops: 0, Aged packets: 0, ---


-- Output errors

HS link FIFO underflows: 0, MTU errors: 0

...

SONET alarms : None

SONET defects : None

SONET PHY Seconds Count State Media errors


Introduo rede Ip


PLL Lock 0 0 OK


SEF 143 157 OK

Note: Policed discards count the receipt of unrecognized protocol


types (for example, CDP or STP)

254
11 Os contadores exibidos no comando podem ser zerados a qualquer momento com o q
comando clear interfaces statistics <nome da interface>.

11 Se nenhum nome de interface especificado, todas as interfaces tero seus conta-


dores zerados.

A lista a seguir exibe e explica alguns dos contadores de erro das interfaces no Junos:

11 Errors: exibe o nmero de frames entrantes na interface que chegaram com erro de FCS.

11 Policed Discards: exibe o nmero de frames entrantes que foram descartados porque o
cdigo do protocolo L3 no foi reconhecido ou no de interesse. Um exemplo clssico
de descarte nesta situao so os pacotes do protocolo Cisco CDP, que no so vlidos no
equipamento Juniper.

11 L3 Incompletes: exibe o nmero de pacotes entrantes cujo cabealho L3 no foi aprovado


no teste de verificao executado pelo Junos. Um causador desse problema pode ser, por
exemplo, um pacote que chega com menos de 20 bytes no seu cabealho IP.

11 L2 Channel Errors: exibe o nmero de frames entrantes considerados errados porque


no foi possvel encontrar uma interface lgica para trat-los. Esse contador pode incre-
mentar, por exemplo, quando um frame PPP chega em uma interface fsica que s tem
interfaces lgicas HDLC.

11 L2 Mismatch Timeouts: exibe o nmero de frames entrantes descartados porque estavam


mal formados (por exemplo, muito pequenos) e foram classificados como ilegveis.

11 SRAM Errors: esse contador incrementado quando um erro de hardware ocorre na


memria RAM da PIC. Esse valor deve sempre ser zero. Se ele incrementa a PIC no est
funcionando adequadamente.

11 Carrier Transitions: exibe o nmero de vezes que a interface saiu do estado down para
up. Esse nmero no deve ser incrementado rapidamente, apenas quando o cabo da
interface desconectado ou quando o sistema remoto desligado. Se esse contador
incrementa rapidamente (mais de uma vez a cada 30 segundos), fica caracterizada uma
falha na linha de transmisso, no sistema remoto ou na PIC local.

11 Drops: exibe o nmero de pacotes descartados na fila de sada da interface. Esse con-
tador incrementado normalmente em situaes de saturao ou uso de policer.

11 Aged Packets: exibe a quantidade de pacotes que permaneceram muito tempo na SDRAM
compartilhada. Esse contador no deveria ser incrementado nunca. Se incrementado,
fica caracterizado um bug de software ou um mau funcionamento do hardware.

Monitorando interface
q
Captulo 13 - Troubleshooting em interfaces

11 O comando monitor interface <nome da interface> um dos mais teis no


tratamento de problemas.

11 Ele prov o acompanhamento em tempo real de vrios contadores da interface, como


bytes entrando, bytes saindo, erros de entrada e de sada, aged packets, policed
discards, L3 incompletes etc.

A seguir est exibida a sada deste comando:

user@router Seconds: 55 Time: 19:12:00 Delay: 0/0/66

Interface: ge-0/2/0, Enabled, Link is Down

Encapsulation: Ethernet, Speed: 1000 mbps

255
Traffic statistics: Current Delta

Input bytes: 17707053 (0 bps) [0]

Output bytes: 10369709 (0 bps) [0]

Input packets: 292046 (0 pps) [312]

Output packets: 147886 (0 pps) [0]

Error statistics:

Input errors: 0 [0]

Input drops: 0 [0]

Input framing errors: 0 [0]

Policed discards: 14355 [0]

L3 incompletes: 261 [0]

L2 channel errors: 0 [0]

L2 mismatch timeouts 156 [0]

Carrier transitions: 2 [1]

Output errors: 0 [0]

Output drops 0 [0]

Aged packets: 0 [0]

Active alarms : LINK

Active defects : LINK

Input MAC/Filter statistics:

Unicact packets 104547 [0]

Broadcast packets 40494 [0]

Multicast packets 67917 [0]

Teste de loop
O caminho fsico que implementa o enlace de dados de uma organizao usuria at o
PoP da RNP normalmente composto de um certo nmero de segmentos de cabo (spams)
interconectados por dispositivos que regeneram e repetem o sinal adiante. Quando uma
falha ocorre no enlace possvel localizar a fonte do problema atravs de testes em cada
segmento e testes fim a fim.

11 O teste de loop o processo atravs do qual o fornecedor de um enlace de dados q


Introduo rede Ip

identifica o trecho do enlace que protagoniza uma falha.

11 O teste de loop consiste em conectar a interface de transmisso na interface de recepo


em qualquer um dos dispositivos que interliga os diferentes segmentos do enlace.

11 Quando um loop executado no caminho, o roteador Juniper detectar a situao,


pois perceber que os seus pacotes de keepalive transmitidos esto sendo recebidos
na sua prpria recepo.

256
Loop
detected!

TX RX

Telco sets
RX loopback TX

Figura 13.1 Normalmente, um teste de loop executado recursivamente em cada um dos dispositivos
Teste de loop. que compem o circuito de dados. Se um loop configurado em um determinado segmento
do enlace e o roteador na ponta do circuito no verifica a presena de sinal na recepo, fica
caracterizado o isolamento do problema entre o roteador da ponta do enlace e o ponto
onde foi executado o loop.

11 Normalmente a operadora de telecomunicaes que prov o enlace pode testar q


todos os segmentos do circuito que so internos sua rede, antes de visitar as depen-
dncias do cliente.

11 Se os testes de loop apontam que o problema no ltimo segmento (que liga o


cliente ao primeiro ponto da rede da operadora) o cliente passa a ser envolvido, e
uma visita s suas dependncias pode ser necessria.

11 Os testes de loop tambm podem ser utilizados para localizar segmentos do enlace
que protagonizam a apario de taxas de erro de CRC na recepo do roteador.

Tipos de teste de loop


11 A maioria das PICs aceitas pelo Junos suportam testes de loop local interno, onde o q
sistema internamente copia o trfego de transmisso na recepo.

11 Quando possvel, sempre melhor executar o teste de loop local externo, utilizando
um plug externo.

11 A interface de transmisso conectada externamente na interface de recepo


atravs desse plug.

22 Esse esquema permite testar os circuitos fsicos de transmisso e a recepo da PIC.

11 O plug externo poder executar a atenuao necessria para evitar a queima do receptor.
Captulo 13 - Troubleshooting em interfaces

Interfaces ponto a ponto (tecnologias de no broadcast como Sonet, SDH e E1) tambm
suportam testes de loop remoto. A figura a seguir ilustra a diferena dos loops local e remoto.

257
O circuito pode entrar
em loop em qualquer
lugar do caminho

Loopback
local

Porta e
Porta est OK Loopback circuito
(internamente) remoto esto OK

A configurao do loop remoto na interface do equipamento faz com que o equipamento Figura 13.2
remoto receba tudo que enviado ao roteador. Nenhuma sinalizao gerada para o equi- Loop Local e
Remoto.
pamento remoto para dizer que o loop est ocorrendo. Por isso, normalmente esse tipo de
teste executado em conjunto com tcnicos da operadora de telecomunicaes, que deseja
testar o circuito.

Para o teste de loop local, o parmetro clocking da PIC de transmisso deve ser configu-
rado para internal, que a opo default.

Configurando testes de loop


Quase todo teste de loop requer configurao para a maioria dos tipos de PIC. Essa configu-
rao apenas no ser necessria no teste de loop local externo (com um plug externo) e no
teste onde a operadora executa o loop na rede dela.

A seguir um exemplo de configurao de um loop local interno. O comando show interfaces


confirma que a interface opera em condio de loop local.

[edit interfaces so-0/1/1]

user@Tokyo# show

no-keepalives;

encapsulation frame-relay;

sonet options {

loopback local;

unit 100 {

dlci 100;
Introduo rede Ip

family inet {

address 10.0.22.1/24;

258
[edit interfaces so-0/1/1]

user@Tokyo# run show interfaces so-0/1/1 | match loop

Link-level type: Frame-Relay, MTU: 4474, Clocking: Internal ,


SONET mode, Speed: OC3,

Loopback: Local,

11 Quando o loop realizado na interface de algum equipamento da operadora, no q


h nenhuma indicao, no roteador, de que um loop est ocorrendo, salvo quando
o protocolo de camada 2 em uso possui recurso de deteco de loop, como por
exemplo o PPP.

11 A interface usada no exemplo anterior utiliza Frame Relay com recurso de keepalives
(LMI) desligado.

11 Dessa forma, um loop na infraestrutura da operadora no ser detectado automaticamente.

Protocolos L2 e testes de loop


Muitos protocolos de camada 2 fazem uso de mecanismo de keepalive que, dentre outras
tarefas, pode detectar a presena de um teste de loop. Independente de loop local ou
remoto, a deteco de um loop resulta na declarao de interface down na camada 2.
Quando isso ocorre, as rotas referentes interface em questo so removidas da tabela de
rotas, inclusive a rota diretamente conectada referente ao endereo IP da interface. Esse
comportamento previne testes de ping via essa interface (o teste de ping em interfaces
com loop ser tratado a seguir).

Na maioria das vezes, o comportamento acima descrito pode ser evitado atravs da confi-
gurao do comando no-keepalives, mas, como mostrado a seguir, essa opo pode ser
usada apenas em interfaces com protocolo de enlace: Frame Relay, ATM e HDLC. O protocolo
PPP, mesmo com a opo de keepalive desabilitada, consegue detectar um loop automati-
camente devido a algumas negociaes que ocorrem no nvel 3. A nica forma de evitar que
a interface fique down em links com PPP mudar a configurao de encapsulamento L2
durante o teste de loop.

A tecnologia de Ethernet no possui conceito de keepalive e no suporta o conceito


de loop remoto. Esse conceito vlido apenas em mdias no broadcast.
Captulo 13 - Troubleshooting em interfaces

[edit interfaces so-0/1/1]

user@London# run show interfaces so-0/1/1 Physical link is Up

...

Link-leve1 type: PPP, MTU: 4474, Clocking: Internal, SONET mode,


Speed: OC3, Loopback

None, FCS: 16,

Payload scrambler: Enabled

259
Device flags: Present Running Loop-Detected

...

Logical interface so-0/1/1.0 (Index 70) (SNMP if Index 26)

...

Protocol inet, MTU: 4470

Flags: Protocol-Down

[edit interfaces so-0/1/1]

user@London# show

no keepalives;

unit 0 {

family inet {

address 10.0.22.2/24;

Ping e testes de loop


11 Em equipamentos de outros fabricantes, uma vez configurado o loop remoto, a q
execuo de um ping no IP da interface local far com que todo o circuito loopado
seja testado.

11 O ping sair da interface de transmisso em direo rede da operadora e ser


devolvido pelo loop da operadora at a interface de recepo local.

Figura 13.3
10.0.10.1 Loopback Comportamento
de loop em
equipamentos de
outros fabricantes.

11 Plataformas Junos no tm esse comportamento. q


11 Um ping enviado ao IP do equipamento local no deixa a interface, e assim no
pode ser usado para testar o estado operacional da linha.

Figura 13.4
10.0.10.1 Loopback Comportamento
de loop em
equipamentos
Juniper.
Introduo rede Ip

O exemplo seguinte mostra como a linha com loop pode ser testada no Junos.lab@router>
ping 10.0.10.2

PING 10.0.10.2 (10.0.10.2): 56 data bytes

36 bytes from 10.0.10.1: Time to live exceeded

260
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst

4 5 00 0054 211b 0 0000 01 01 708c 10.0.10.1 10.0.10.2

JUNOS Device
10.0.10.1 Loopback

Figura 13.5
Teste de linha com Ping to remote
ping no Junos. IP 10.0.10.2

11 Ao utilizar o equipamento Juniper com um loop externo na linha (loop local externo, loop q
remoto em equipamento da operadora ou um loop remoto da interface local) deve-se
fazer um ping para um IP remoto que normalmente atendido pela interface local.

11 No exemplo, esse endereo o 10.0.10.2.

11 Se a linha estiver saudvel, o pacote de ping retornar interface local e novamente


ser enviado rede da operadora, mas sofrer um decremento no campo TTL (Time
To Live).

11 Esse processo se repetir continuamente at que o campo TTL atinja o valor zero. Se
a linha estiver saudvel, um erro de Time To Live exceeded ser gerado.

11 Se a linha tiver uma indisponibilidade fsica no trecho testado, os pings sero perdidos.

Se o trecho testado sofrer com taxas de erro, uma parte dos pacotes de ping gerar o erro
de TTL Exceeded; a outra parte no retornar o erro.

No caso de linha com taxas de erro, o tamanho dos pacotes de ping e o uso da opo rapid
no comando de ping podem afetar o resultado. Pacotes maiores e enviados em intervalos
pequenos tm menor probabilidade de completar o percurso em caso de linha com erro.

Outro fator que pode ser variado durante os testes o TTL. No ping do Juniper, o valor de
TTL default 255. Dessa forma, um erro de TTL expirado indica que houve 255 transmisses
e recepes executadas com sucesso. Configurar o valor de TTL para um valor menor pode
ser til ao tentar caracterizar a qualidade da linha.

Captulo 13 - Troubleshooting em interfaces

261
Troubleshooting especfico de interfaces serial e ethernet
Interfaces de LAN e conveno de nomes
Plataformas Junos suportam vrios tipos de tecnologia ethernet. As mdias ethernet q
suportadas e as respectivas convenes de nomes utilizadas so:

11 Fast Ethernet: fe-F/P/P.

11 Gigabit Ethernet: ge-F/P/P.

11 10-Gigabit Ethernet: xe-F/P/P.

11 Management Ethernet: fxp0 (10, 100 ou 1000 Mbps).

As interfaces Fast Ethernet podem operar nos modos half duplex ou full duplex. As inter-
faces Gigabit funcionam apenas no modo full-duplex.

Abaixo esto os comandos mais comuns utilizados no ataque a problemas com inter- q
faces de tecnologia ethernet, comandos de troubleshooting para interfaces ethernet
(exceto loopback). Cada um destes comandos detalhado a seguir:

11 ping

11 loopback (local)

11 show interfaces extensive

11 show interfaces media

11 show arp

11 monitor traffic

11 monitor interface

11 clear statistics

11 request ...

11 restart ...

Comando ping
Usado largamente para verificar a conectividade de elementos na LAN. A recepo de um
echo reply de um elemento da LAN valida o bom funcionamento das camadas 1, 2 e 3 dos
segmentos de rede que ligam o roteador ao host em questo.

Comando show arp


O show arp no-resolve exibe as entradas da tabela ARP do roteador. O uso da opo
no-resolve garante que o roteador no tentar traduzir os IPs da tabela em nomes.
O contedo da tabela ARP permite verificar alguns problemas de LAN como, por exemplo,
dois hosts usando um mesmo endereo MAC.

Comandos de monitorao de interface


Introduo rede Ip

Alguns comandos de show j mostrados tambm ajudam na investigao de problemas de


interfaces ethernet. Alguns deles so listados abaixo:

11 show interfaces extensive: verifica o estado geral da interface, de seus contadores


de performance e de suas flags. Um problema tpico que pode ocorrer em interfaces
Ethernet so erros na interface de entrada devido a cabo com tamanho alm do mximo
permitido pelo padro ou equipamento remoto com configurao de duplex em

262
autoconfiguration. Em ambos os casos, os contadores de erro sofrero incrementos, e
este comando permitir o diagnstico.

11 monitor interface: exibe estatsticas em tempo real de uma interface fsica. A sada se
atualiza a cada um segundo. Dentre outras coisas, esse comando acompanha a evoluo
de vrios contadores de erro, como frames mal formados, ou com erro de CRC.

11 monitor traffic: verso resumida do monitor interface.

Interfaces E3
Verificando o funcionamento fsico da porta
Para verificar o bom funcionamento da porta E3, pode-se fazer um loop fsico entre as
portas de transmisso e recepo. Ao fazer essa operao, deve-se tomar o cuidado de usar
um atenuador para evitar uma alta potncia na porta de recepo do roteador.

Uma vez que a porta de transmisso est conectada na porta de recepo (loop), o usurio
deve verificar a presena da flag Loop-Detected na interface em questo. Essa flag dever
ser vista na sada dos diferentes comandos show interfaces. Alm disso, a sada do
monitor interface dever mostrar o contador de input packet count igual ao contador
output packet count. Se esses comportamentos esperados ocorrerem, pode-se afirmar
que a transmisso e a recepo da interface esto ocorrendo a contento.

Ainda, se o protocolo de nvel 2 HDLC estiver em uso na interface, o contador de input keepalive
packet dever ser igual ao contador de output keepalive packet. Se algum dos itens destacados
nos dois pargrafos acima no ocorre, a PIC pode estar com problemas. Para isolar o problema,
preciso trocar as configuraes e o cabeamento para outra porta E3 e executar novo teste.

Para mover a configurao de uma porta para outra de maneira rpida, o comando
rename pode ser usado conforme o exemplo abaixo:

[edit interfaces]

user@host# rename t3-1/0/0 to t3-1/0/1

Checando compatibilidade com equipamento remoto


Um enlace E3 possui certos parmetros que precisam estar configurados nos dois equipa-
mentos que terminam o enlace. Se a configurao alterada em uma das duas pontas, o link
pode deixar de funcionar. A lista abaixo exibe alguns desses casos:

11 Frame Checksum: o enlace E3 usa um campo de 16 bits para a tarefa de cheksum. pos-
Captulo 13 - Troubleshooting em interfaces

svel configurar esse campo para utilizar 32 bits, o que torna a verificao mais confivel.
Porm, alguns equipamentos antigos suportam apenas o campo de 16 bits. Um descasa-
mento dessa configurao implicar um problema na conectividade fsica.

11 HDLC Scrambling: ao usar encapsulamento HDLC possvel usar a opo de embaralha-


mento (scrambling). Essa opo fica desabilitada por default. Se ativada, a funcionalidade
prov mais estabilidade para o enlace. Porm, se a configurao dessa opo (ativada ou
desativada) no est igual em ambos os equipamentos, o enlace no funcionar.

11 Line buildout: para fazer com que o sinal chegue a um destino que esteja a mais de
70 metros do roteador, utiliza-se a opo long-buildout na hierarquia [edit interfaces
<nome da interface> t3-options.

263
Verificando alarmes ativos em interfaces E3/T3
A seguir vemos a sada do comando show interfaces para uma interface T3. A sada do
comando para uma interface E3 similar.

user@router> show interfaces t3-1/0/0

Physical interface: t3-1/0/0, Enabled, Physical link is Down

Interface index: 9, SNMP ifIndex: 10

Link-level type: Cisco-HDLC, MTU: 4474, Clocking: Internal

Speed: T3, Loopback: None, CRC: 16, Mode: C/Bit parity

Device flags : Presente Running Down

Interface flags: Hardware-Down Link-Layer-Down Point-To-Point


SNMP-Traps

Link flags : Keepalive5

Keepalive Input: 116 (00:02:32 ago), Output: 185 (00:00:02 ago)

Input rate : 0 bps (0 pps), Output rate: 0 bps (0 pps)

Active alarms : LOF, LOS

Active defects : LOF, LOS

Logical interface t3-1/0/0.0 (Index 12) (SNMP ifIndex 32)

Flags: Device-down Point-To-Point SNMP-Traps, Encapsulation:


Cisco-HDLC

Protocol inet, MTU: 4470

Addresses, Flags: Dest-route-down Is-Preferred Is-Primary

Destination: 2.2.2.0/30, Local: 2.2.2.2

A parte superior da sada exibe o estado da conectividade fsica da interface. A parte em


destaque no meio exibe configurao de camada 2, a qual deve casar com as configuraes
na outra ponta do enlace.

Finalmente, a parte inferior mostra alarmes ativos e os defeitos ativos na camada fsica. Em
uma interface saudvel, no se esperam alarmes ativos.

A lista abaixo mostra alguns dos alarmes mais populares e seus significados. Quase todos
implicaro em acionamento do provedor do enlace de dados.

11 AIS (Alarm Indication Signal): mostra um problema com o equipamento conectado


interface E3. O proprietrio desse equipamento (tipicamente uma operadora de teleco-
municaes) dever ser envolvido.
Introduo rede Ip

11 LoF (Loss of Frame): indica perdas de bit(s) dos frames recebidos. Pode estar ocorrendo
um problema de sincronismo na linha ou incompatibilidade na configurao da forma-
tao de frames.

11 LoS (Loss of Signal): indica que o sinal est fraco ou no pode ser identificado na interface
E3. Pode-se verificar os cabos para checar sua integridade. Tipicamente esse problema
implicar em acionamento da operadora de telecomunicaes que prov o enlace.

264
11 IDLE: esse alarme indica que a linha ainda no foi provisionada para o servio.

11 Yellow: indica que o equipamento detectou um problema com o sinal que est sendo
recebido do equipamento remoto.

Alm dos alarmes, alguns eventos de erro fsico podem ser registrados:

11 BPV (Bipolar Violation): ocorrncia de erro fsico, como um pulso com a mesma polari-
dade do pulso anterior (com codificao B3ZS bipolar 3 zero substitution).

11 EXZ (excessive zeros): indica a ocorrncia de uma sequncia muito grande de zeros.

11 LCV (Line Code Violation): contador que registra a ocorrncia dos erros BPV e EXZ de
forma cumulativa.

11 PCV (p-bit code violation): o bit de verificao P no frame DS-3 no casa com o cdigo
calculado localmente.

11 CCV (c-bit code violation): conta as violaes de cdigo reportadas atravs do bit de verifi-
cao C do frame DS-3.

Verificando performance da camada 3 Comando ping


O comando ping pode ser usado para testar a disponibilidade e a performance de um
circuito de dados E3. O comando permite que se altere o padro dos bits transmitidos para
verificar a reao do circuito a diferentes tipos de dados.

A opo size o primeiro recurso disponvel no comando ping, que pode ser usado em
casos de problemas de performance. Essa opo altera o tamanho dos pacotes do ping
e permite ao usurio conhecer a reao da rede a pacotes grandes e pequenos. Em alguns
casos possvel verificar, por exemplo, que pacotes grandes esto sofrendo taxas de des-
carte elevadas, ao passo que pacotes pequenos esto recebendo servio normalmente.

A opo pattern permite a gerao de pacotes de ping com um padro de bits particular-
mente especificado. Em alguns casos possvel verificar que o circuito apresenta perfor-
mance normal para pacotes com muitos bits 1 e baixa performance para pacotes com
muitos bits 0.

A seguir vemos a execuo do comando ping fazendo uso das opes size e pattern.
Esse procedimento til para verificar a performance de circuitos E3 ou E1.

All 1s pattern is maximum density on T1/DS1

ping 10.0.2.1 pattern ffff count 10000 rapid size 1500

All zeros pattern is minimum density on Ti/DS1 interface

ping 10.0.2.1 pattern 0000 count 10000 rapid size 1500


Captulo 13 - Roteiro de Atividades 1

Repeat with Ox5555, Ox8080, and Ox1111

Interfaces E1
11 A investigao de problemas em interfaces E1 bastante similar ao procedimento q
utilizado para interfaces E3.

11 Os recursos de loop e ping podem ser usados para avaliar o bom funcionamento da
PIC fsica e da rede do provedor do enlace de dados.

265
11 Alm disso, em problemas de indisponibilidade de link, deve-se verificar se as configu- q
raes fsicas das interfaces E1 nos equipamentos das duas pontas do enlace utilizam
os mesmos parmetros.

Sero apresentadas as similaridades e diferenas da investigao nesses dois tipos de interfaces.

Antes de apresentar os itens de verificao usados para investigao das interfaces E1, apre-
sentaremos algumas particularidades da sua configurao.

O feixe de dados E1 um padro da hierarquia digital PDH, que opera na taxa de 2048
Mbps. O feixe implementa um dos esquemas mais bsicos de multiplexao por diviso de
tempo dentre os utilizados em telecomunicaes.

11 O feixe composto por 32 canais de 64 Kbps cada, divididos no tempo (32 x 64 = 2048). q
11 Na interface Juniper as caractersticas fsicas especficas da interface E1 so configuradas
sob a hierarquia de configurao [edit interfaces <nome da interface> e1-options].

11 Por default, as interfaces E1 no Junos utilizam o modo de framed definido pelo


padro G.704.

11 Opcionalmente pode-se utilizar o modo unframed.

22 Quando utilizado o modo unframed, os 32 canais do feixe E1 so usados para


transferncia de dados.

11 No modo framed dois canais so utilizados para sinalizao e reporte de alarmes e


os outros 30 canais so utilizados para dados.

11 Ou seja, apenas 1984 Kbps so efetivamente usados para a transmisso de dados teis.

O Junos se refere ao primeiro canal do feixe como slot 1. Outros fabricantes se referem a
esse recurso como slot 0.

Alarmes e mdia E1
11 Alarmes e defeitos podem causar a inutilizao da interface e justificar problemas q
de performance.

11 Dependendo da idade do defeito, ele pode ser promovido a alarme.

11 Um alarme E1 pode receber a classificao vermelha (red) ou amarela (yellow), depen-


dendo da sua gravidade.

11 A seguir vemos a sada do comando show interfaces media <nome da interface>,


que mostra as caractersticas de camada 1 e 2 da interface, alm de contadores de
erro, alarmes e defeitos ativos.

user@host> show interfaces media e1-1/1/0

Physical interface : e1-1/1/0, Enabled, Physical link is Up

Interface index: 30, SNMP ifIndex: 130


Introduo rede Ip

Llnk level type: PPP, MTU: 4474, Clocking: Internal

Speed: E1, Loopback: None, CRC: 16, Framing: G704

Device flags: Present Running

Interface flags: Point-To-Point SNMP-Traps

266
Link flags : Keepalives

Input rate : 0 bps (0 pps), Output rate: 0 bps (0 pps)

Active alarms : None

Active defects : None

E1 errors:

BPV: 2, EXZ: 1, LCV: 2, PCV: 7, CS: 0, FEBE: 561

11 A lista seguinte destaca alguns alarmes populares das interfaces E1, que existem q
tambm nas interfaces E3:

22 LOS: Loss of Signal.

22 LOF: Loss of Frame.

22 AIS: Alarm Indication Signal.

22 YLW: Yellow.

11 Abaixo seguem os contadores de erros tpicos que podem ocorrer na camada fsica. Alguns
deles so definidos tambm para as interfaces E3 (no sero novamente definidos).

22 BPV: Bipolar Violation.

22 EXZ: Excessive Zeros.

22 LCS: Line Code Violation.

22 PCV: P-bit Code Violation.

22 CS (Controlled Slip Error): reporta a replicao ou perda de parte do payload


do frame E1.

33 Esse erro pode ocorrer, por exemplo, quando h falta de sincronismo entre o
relgio dos equipamentos transmissor e receptor.

22 OOF (Out of Frame Defect): conta a ocorrncia de uma densidade particular de


erros de frame.

33 Ocorre nas interfaces E1 da Juniper quando o equipamento detecta trs frames


consecutivos com erro.

Verificando performance da Camada 3 Comando ping


Assim como ocorre com as interfaces E3, o comando ping pode ser usado para testar a
disponibilidade e a performance de um circuito de dados E1. O comando permite alterar o
padro dos bits transmitidos para verificar a reao do circuito a diferentes tipos de dados.

A opo size o primeiro recurso disponvel no comando ping, que pode ser usada em
Captulo 13 - Roteiro de Atividades 1

casos de problemas de performance. Essa opo altera o tamanho dos pacotes do ping
e permite ao usurio conhecer a reao da rede a pacotes grandes e pequenos. Em alguns
casos possvel verificar, por exemplo, que pacotes grandes esto sofrendo taxas de des-
carte elevadas, ao passo que pacotes pequenos esto recebendo servio normalmente.

A opo pattern permite a gerao de pacotes de ping com um padro de bits particular-
mente especificado. Em alguns casos possvel verificar que o circuito apresenta perfor-
mance normal para pacotes com muitos bits 1 e baixa performance para pacotes com
muitos bits 0.

267
A seguir a execuo do comando ping fazendo uso das opes size e pattern (mesmo
exemplo utilizado na avaliao da interface E3).

All 1s pattern is maximum density on T1/DS1

ping 10.0.2.1 pattern ffff count 10000 rapid size 1500

All zeros pattern is minimum density on Ti/DS1 interface

ping 10.0.2.1 pattern 0000 count 10000 rapid size 1500

Repeat with Ox5555, Ox8080, and Ox1111

Interfaces Sonet/SDH
A hierarquia de transmisso digital Sonet/SDH incorpora uma grande variedade de funcio-
nalidades de manuteno e operao, que facilitam a investigao de problemas nesse tipo
de linha. A interpretao dos erros Sonet/SDH til para determinar a fonte de problemas
na rede SDH. Alm disso, os valores contidos nos vrios contadores so informativos
quando corretamente interpretados, e ajudam na localizao do problema. Esse tpico
cobre os comandos disponveis para as interfaces Sonet/SDH.

A conexo SDH caracteriza a configurao de framing sdh sob a hierarquia [edit chassis].

chassis {

fpc 0 {

pic 0 {

framing sdh;

As interfaces Sonet/SDH dos roteadores Juniper funcionam como PTEs (Path Terminating
Equipment), e possuem visibilidade fim a fim do enlace de dados. Ao perceber problemas,
o equipamento reporta alarmes e erros, que podem ser verificados com comandos ade-
quados. Os alarmes e erros indicam a natureza dos problemas.

Monitorando interfaces Sonet/SDH


O comando monitor interface tambm pode ser usado para a investigao das condies
das interfaces Sonet/SDH.

user@host> monitor interface so-l/l/l

enterprise Seconds: 168


Time: 15:48:50
Introduo rede Ip

Interface: so-1/1/1, Enabled, Link is Down

Encapsulation: Cisco-HDLC, Keepalives, Speed: OC3

Traffic statistics: Current Delta

Input bytes: 375527568 (0 bps)

268
Output bytes: 6612857 (0 bps) [0]

Input packets: 224001 (0 pps [475]

Output packets: 102090 (0 pps) [0]

Encapsulation statistics:

Input keepalives: 0 [0]

Output keepalives: 176 [17]

Error statistics:

Input errors: 0 [0]

Input drops: 0 [0]

Input framing errors: 179 [17]

Policed discards: 47 [0]

L3 incompletes: 0 [0]

L2 channel errors: 0 [0]

L2 mismatch timeouts: 0 [0]

Carrier transitions: 1 [0]

Output errors: 0 [0]

Output drops: 0 [0]

F2 : 0x00 Z3 : 0x00 Z4 : 0x00

Interface warnings:

. Received keepalive count is zero

. Framing errors are increasing, check FCS configuration and link

As estatsticas mostradas na segunda coluna so cumulativas desde o ltimo boot da mquina


ou desde a ltima vez que o administrador zerou os contadores da interface. Para limpar
esses contadores, pode-se a qualquer momento usar o comando clear interfaces statistics.

As estatsticas da terceira coluna so cumulativas, desde a execuo do comando monitor


interface. Se as diferentes estatsticas de erro so incrementadas, pode-se verificar se as
configuraes de FCS (Frame Checksum) e scrambling esto casadas nos equipamentos
das duas pontas do enlace. Se a configurao est correta, deve-se verificar o cabeamento
Captulo 13 - Roteiro de Atividades 1

da interface e acionar o provedor do enlace de dados para a verificao de possveis pro-


blemas fsicos na linha de transmisso.

Verificando o estado da interface Sonet/SDH


Os comandos show interfaces <nome da interface> e show interfaces <nome da inter-
face> extensive podem ser usados para a verificao do estado geral da interface.

Em condies normais, a primeira linha deve exibir a mensagem Physical Link is Up. Do
contrrio, a interface no est apta a transferir e receber dados.

269
O show interfaces permite verificar os alarmes e defeitos ativos para a interface. Alm
disso, as configuraes das camadas 1 e 2 so verificadas, bem como flags da interface.

user@host> show interfaces so-1/1/1

Physical interface: so-1/1/1, Enabled, Physical link is Down

Interface index: 17, SNMP ifIndex: 16

Description: router-02 pos 4/0

Link-level type: Cisco-HDLC, MTU: 4474, Clocking: Internal, SONET mode

Speed: OC3, Loopback: None, CRC: 32, Payload scrambler: Enabled

Device flgas : Presente Running Down

Interface flags : Hardware-Down Link-Layer-Down Point-To-Point SNMP-


Traps

Link flags : Keepalives

Keepalive Input : 621 (00:02:57 ago), Output: 889 (00:00:05 ago)

Input rate : 0 bps (0 pps), Output rate: 0 bps (0 pps)

Active alarms : LOL, LOF, LOS, SEF, AIS-L, AIS-P, PLM-p

Logical interface so-1/1/1.0 (Index 18) (SNMP ifIndex 30)

Description: router-02 pos 4/0

Flags: Device-down Point-To-Point SNMP-Traps, Encapsulation: Cisco-HDLC

Protocol inet, MTU: 4470

Addresses, Flags: Dest-route-down Is-Preferred Is-Primary

Destination: 10.10.10.48/30, Local: 10.10.10.50

Protocol iso, MTU: 4469

Entendendo a rede Sonet/SDH


A tecnologia Sonet/SDH define uma hierarquia digital para agregao de feixes de dados.
Os feixes populares definidos pela hierarquia SDH (padro europeu) so:

11 STM-1: 155 Mbps (pode ser composto por diversos frames PDH, como E1s e E3s).

11 STM-4: 622 Mbps (4 x STM-1).

11 STM-16: 2,5 Gbps (4 x STM-4).

11 STM-64: 10 Gbps (4 x STM-16).

11 O padro de hierarquia digital americano difere um pouco do SDH, mas sua essncia q
a mesma. As diferenas tcnicas no so tema deste curso.
Introduo rede Ip

11 Os feixes populares definidos pela hierarquia Sonet (nome dado ao padro americano) so:

22 OC-3: 155 Mbps (pode ser composto por diversos frames PDH, como E1s e E3s)

22 OC-12: 622 Mbps (4 x OC-3)

22 OC-48: 2,5 Gbps (4 x OC-12)

22 OC-192: 10 Gbps (4 x OC-48)

270
PTE STE LTE STE STE LTE PTE

JUNOS Regenerator ADM Regenerator Regenerator ADM JUNOS


Platform Platform

Section Section Section Section Section Section

Line Line Line

Path

Regenerator = Repeater
ADM = Add/drop multiplexer
STE = Section-terminating equipment

LTE = Line-Terminating equipment


Figura 13.6
Esquema da rede
JUNOS platforms are PTE = Path-Terminating equipment
SDH.

A rede Sonet/SDH tpica composta pelos equipamentos terminais, chamados PTE (Path
Terminating Equipment), pelos equipamentos terminais de seo, chamados STE (Section
Terminating Equipment) e pelos multiplexadores add/drop.

Os regeneradores so considerados STEs, sendo responsveis por uma determinada seo


de uma rota Sonet/SDH. Sua funo simplesmente regenerar o sinal recebido e copi-lo,
j regenerado, na direo do prximo span. Um STE verifica se o sinal que chega do equi-
pamento anterior est saudvel. Para tal, um cabealho especfico do frame Sonet/SDH
utilizado, chamado RSOH regenerator section overhead. O STE avalia e utiliza apenas essa
parcela do cabealho do frame. O STE capaz ainda de rescrever alguns bytes do cabealho
caso um alarme seja gerado.

Os multiplexadores add/drop so considerados elementos LTE (Line Terminating Equipment).


Os LTEs tm mais inteligncia que os STEs, mas eles ainda no fazem o processamento final
do payload do frame Sonet/SDH (embora sejam capazes de adicionar e remover payloads
do feixe). O caminho entre dois LTEs chamado line span. Os LTEs avaliam apenas os bytes
do cabealho Sonet/SDH referentes sua atuao. Essa parcela do cabealho Sonet/SDH,
usada pelo LTE, chamada MSOH multiplex section overhead.
Captulo 13 - Roteiro de Atividades 1

A interface Sonet/SDH da plataforma Junos faz o papel de PTE. Basicamente os PTEs fazem o
papel de terminais do caminho. Ou seja, o PTE o destino final do frame. ali que o payload
ser interpretado e processado.

O caminho entre dois PTEs dentro da rede SDH chamado path. Alm do payload, o PTE
dedica ateno ao POH path overhead, a parte do cabealho dedicada a informaes sobre
o caminho atravessado pelo frame.

A figura seguinte (fonte: http://www.teleco.com.br/tutoriais/tutorialrsdh/pagina_2.asp)


registra a estrutura do frame STM-1, o feixe de mais baixa hierarquia do padro SDH.

271
1 2 3 4 5 6 7 8 9 10 270
1
2
RSOH
3
4
POH
5
6
7 MSOH Figura 13.7
8
Estrutura do
9
frame STM-1.
Cabealho Informao til

O PTE tambm executa algumas funes do STE e do LTE. Antes de processar o payload, o
PTE precisa garantir a sade do frame. Para tal, ele observa a mesma parte do cabealho
que avaliada pelo STE para concluir se o frame est ntegro. O PTE tambm utiliza o line
overhead para determinadas tarefas.

O LTE tambm avalia o section overhead para garantir a sade dos frames que recebem.

Toda a tarefa de troubleshooting executada sob a perspectiva do PTE (plataforma Junos).


Embora existam situaes onde no possvel identificar a exata fonte do problema a partir
do PTE, ser sempre possvel dizer se o problema local ou de rede. Os comandos bsicos
usados para verificar problemas no path Sonet/SDH so os j conhecidos:

11 monitor interfaces <nome da interface>

11 show interfaces <nome da interface> extensive

Exemplo: rompimento de fibra ptica:

Active alarms: LOL, PLL, LOS


Active defects: LOL, PLL, LOF, LOS, SEF, AIS-L, AIS-P, PLM-P
SONET PHY: Seconds Count State
PLL Lock 51 0 PLL Lock Error
PHY Light 51 0 Light Missing

LOL and LOS

Platform A ADM A RA RB RC ADM B Platform B

Section Section Section Section Section Section

Line
Introduo rede Ip

Path Figura 13.8


Exemplo LOS e LOL.

272
Quando ocorre uma interrupo de fibra ptica entre o roteador B e o multiplexador add/
drop B, vide figura, os seguintes alarmes sero gerados na rede:

11 LOL (Loss of Light): indica ausncia de luz na conexo fsica da porta de recepo do STE
que recebe um frame. Esse alarme causa uma cascata de outros alarmes, tal como LOS,
LOF e outros descritos abaixo.

11 LOS (Loss of Signal): indica ausncia de sinal na interface fsica de recepo do PTE.

11 LOF (Loss of Frame): indica a deteco de erros verificados nos bytes A1 e A2 do cabe-
alho dos frames recebidos pelo PTE.

11 AIS: o Junos envia um alarme AIS para a rede SDH para sinalizar uma condio de erro.
Um AIS-L indica que ocorreu um LOF ou LOS em algum STE do caminho upstream. Um
AIS-P indica que um LOS ou LOF detectado em um LTE do caminho upstream. Nesses
casos necessrio interagir com o responsvel pela rede SDH para identificar o elemento
que gerou os alarmes.

11 RDI: o Junos envia uma mensagem de remote defect indicator para sinalizar uma con-
dio de erro. No padro Sonet/SDH, um RDI-L enviado de um LTE para outro quando
um deles detecta um AIS-L, LOS ou LOF. Um RDI-P enviado de um PTE para outro
quando um deles detecta um AIS-P, AIS-L, LOS ou LOF.

11 REI: o Junos envia um remote error indicator para sinalizar uma condio de erro. Um
REI-L enviado ao LTE quando um erro detectado no byte B2. Um REI-P enviado ao
PTE remoto quando um erro detectado no byte B3.

RDI-P

RDI-L

LOS AIS

Platform A RA ADM A ADM B RB Platform B

AIS-L AIS-P

Section Section Section Section Section

Line Line Line


Figura 13.9
Captulo 13 - Roteiro de Atividades 1

Exemplo de Path
sinalizao RDI.

A presena dos alarmes citados requer interao com o responsvel pela rede Sonet/SDH.
As razes pelas quais um simples cabo interrompido produz um alarme de LOL ou de LOS
so explicveis pelos prprios nomes dos alarmes, podendo gerar alguma confuso o fato
de outros contadores incrementarem (como o AIS) na linha e no path Sonet/SDH. Esses
contadores so usados para ajudar a localizar os pontos de falha.

Este curso no detalhar as especificidades de cada um dos contadores de erro da hierar-


quia Sonet/SDH. Para os casos prticos, sempre que o provedor da rede Sonet/SDH precisar
ser acionado, til informar os contadores que esto incrementando na interface do Junos.
273
Introduo rede Ip

274
Bibliografia

11 COMER, Douglas E. Internetworking with TCP/IP Volume I: Principles,


Protocols and Architecture. Fourth Edition, Prentice Hall, 2000.

11 Comit Gestor RNP. Red Ip: Poltica de Uso. Outubro de 2007.


Disponvel em http://www.rnp.br/_arquivo/conexao/doc0108d.pdf

11 FAUSTINO, Jean Carlo. O servio nacional de VoIP da RNP. VIII International


Information and Telecommunication Technologies Symposium.

11 Juniper Networks. J Series Services Routers Hardware Guide Release 9.6.


Disponvel em http://www.juniper.ie/techpubs/hardware/junos-jseries/
junos-jseries96/

11 Juniper Networks. Troubleshooting Junos Platforms 9.a - Student Guide.

11 Juniper Networks. Junos Routing Essentials 9.a - Student Guide.

11 Juniper Networks. Introduction to Junos Software 9.a - Student Guide.

11 Juniper Networks, J2300, J4300, and J6300 Services Router, Getting Started
Guide, Release 8.5

11 STEVENS, W. Richard. TCP/IP Illustrated Volume 1: The Protocols. Addison


Wesley, 1994.

11 ALBITZ, P.; LIU, C. DNS and Bind. OReilly & Associates, 1993.

11 LOPES, Raquel V.; SAUV, Jacques P.; NICOLLETTI, Pedro S. Melhores


prticas para gerncia de redes de computadores. Campus, 1 ed., 2003.

11 STALLINGS, William. SNMP, SNMPv2, SNMPv3 e RMON 1 e 2.


Addison-Wesley, 3 ed., 1999.

11 FEIT, Sidnie. SNMP: A guide to Network Management. McGraw-Hill,


1 ed., 1995.
Bibliografia

275
Introduo rede Ip

276
Gustavo Batista graduou-se em Enge-
nharia de Telecomunicaes pela Uni-
versidade Federal Fluminense em
2003. Trabalhou durante 3 anos em
operadora de telefonia celular com sis-
temas de gerncia de rede telefnica,
administrando sistemas Unix, Linux e
Windows e executando projetos de integrao de sistemas
de gerncia de diferentes fabricantes em uma plataforma
nica. Trabalhou no Centro de Engenharia e Operaes da
RNP (CEO) como analista de redes. Hoje atua na rea de
operaes da rede multisservios de uma empresa nacional
de porte, onde tambm participa de projetos nas reas de
QoS em redes IP e desempenho de rede.
LIVRO DE APOIO AO CURSO

O curso descreve a RNP, a estrutura do seu backbone,


seus Pontos de Presena (PoPs), os procedimentos de
manuteno e o impacto da conexo RNP nas novas
instituies usurias. So abordados aspectos tcnicos
da infraestrutura fsica, de conexo e de TI, o uso de
switches e roteadores, a infraestrutura de TI da organi-
zao e a solicitao de blocos IP. Ainda sero descritos

e problemas de interface do roteador Juniper da RNP,


alm de conceitos bsicos de roteamento e utilizao

ISBN 978-85-63630-33-9

9 788563 630339