Sumário

1- Introdução ............................................................................................................................. 6
1.2 Topologias de rede ........................................................................................................ 6
1.2 Protocolos de rede ........................................................................................................ 7
1.3 Redes locais (LANs)........................................................................................................ 8
1.4 Redes de longa distância (WANs).................................................................................. 8
1.4.1 Conceitos da camada física WAN .......................................................................... 9
1.4.2 Conceitos da camada de enlace de dados WAN ................................................. 12
1.4.3 Tecnologias WAN comuns de comutação de pacotes ........................................ 13
1.4.4 Encapsulamento HDLC ........................................................................................ 16
1.4.5 Encapsulamento PPP ........................................................................................... 19
1.4.6 Comunicação Serial e Paralela ............................................................................ 19
1.4.4 Conceitos do Frame Relay ................................................................................... 37
1.4.6 Topologias Frame Relay ...................................................................................... 45
1.5 Domínios de colisão .................................................................................................... 52
1.6 Redes locais virtuais (VLANs) ...................................................................................... 52
1.6.1 Domínios de broadcast com VLANs e roteadores ............................................... 53
1.6.4 Trunking .............................................................................................................. 54
1.7 VTP .............................................................................................................................. 55
1.7.1 Introduzindo o roteamento entre VLANs............................................................ 56
1.7.2 Interfaces físicas e lógicas ................................................................................... 56
2- Modelo OSI .......................................................................................................................... 57
3- Modelo TCP/IP..................................................................................................................... 59
3.1 Semelhanças entre os modelos OSI e TCP/IP ................................................................ 60
3.2 Diferenças entre os modelos OSI e TCP/IP .................................................................... 61
4- Ethernet............................................................................................................................... 61
4.1 Campos de um quadro Ethernet ................................................................................. 62
4.2 Operação da Ethernet ................................................................................................ 62
5- Spanning-Tree Protocol (Protocolo Spanning-Tree) ........................................................... 63
5.1 Rapid Spanning-Tree ................................................................................................... 67
6 Protocolos e Conceitos de Roteamento .............................................................................. 70
6.1 Função do Roteador .................................................................................................... 70
6.2 Roteamento Estático ................................................................................................... 72
6.3 Roteamento Dinâmico ................................................................................................ 79

Página 2
 6.3.1 RIP - Routing Information Protocol ..................................................................... 82
7 - Modelos de Aplicação de QoS............................................................................................ 86
7.1 Melhor Esforço (Best Effort) ....................................................................................... 87
7.2 Serviços Integrados (IntServ) ...................................................................................... 87
7.3 Serviços Diferenciados (DiffServ) ............................................................................... 87
7.4 Vantagens e Desvantagens dos modelos de QoS ...................................................... 88
8 Switches .............................................................................................................................. 89
8.1 Funções dos switches Ethernet ................................................................................... 89
8.2 Projeto Hierárquico de Switches ................................................................................. 91
9 Fundamentos do IOS ........................................................................................................... 93
9.1 Cisco IOS ...................................................................................................................... 93
9.2 Arquivos de Configuração ........................................................................................... 96
9.3 Modos do Cisco IOS ..................................................................................................... 97
9.4 Estrutura de Comandos Básicos do IOS .................................................................... 101
9.5 Usando o Help da CLI ................................................................................................ 103
9.6 Comandos de Verificação do IOS .............................................................................. 106
9.7 Modos de Configuração do IOS ................................................................................. 110
9.8 Arquitetura ISR G2..................................................................................................... 111
10 Serviços ......................................................................................................................... 115
10.1 DHCP.......................................................................................................................... 115
10.1.1 Operação de DHCP ............................................................................................ 115
10.1.2 BOOTP e DHCP .................................................................................................. 117
10.2 SNMP ......................................................................................................................... 121
10.2.1 Operação do SNMP ........................................................................................... 122
10.3 Listas de Acesso (ACL’s) ............................................................................................. 124
10.3.1 Utilizando as ACLs para proteger redes ............................................................ 124
10.3.2 Como as ACLs funcionam .................................................................................. 127
10.3.4 Tipos de ACL ...................................................................................................... 130
10.4 NAT ............................................................................................................................ 133
10.4.1 Como a NAT funciona ........................................................................................ 136
10.4.2 Tipos de Mapeamento ...................................................................................... 137
10.4.3 Benefícios e desvantagens de usar a NAT ......................................................... 140
11 Configurações ................................................................................................................ 141
11.1 Configuração Básica Usando o Cisco IOS .................................................................. 141

Página 3
 11.1.1 Identificando os Dispositivos............................................................................. 141
11.1.2 Limitando o Acesso ao Dispositivo .................................................................... 144
11.1.3 Gerenciando Arquivos de Configuração............................................................ 149
11.1.4 Configurando Interfaces .................................................................................... 151
11.2 Configuração de Roteadores ..................................................................................... 155
11.2.1 Examinando as Conexões do Roteador ............................................................. 155
11.2.2 Examinando as Interfaces do Roteador ............................................................ 157
11.2.3 Configurando uma Interface Ethernet .............................................................. 159
11.2.4 Verificando a Interface Ethernet ....................................................................... 162
11.3 Configurando o PPP ................................................................................................... 163
11.3.1 Configurando uma Interface Serial ................................................................... 163
11.3.2 Comandos de configuração PPP ........................................................................ 164
11.3.3 Configuração PPP com Autenticação ................................................................ 171
11.4 Configurando Frame Relay ............................................................................................ 179
11.4 Verificando a Conectividade ..................................................................................... 183
11.4.2 Testar a Conectividade ...................................................................................... 183
11.4.3 Testando as Atribuições de uma Interface........................................................ 185
11.4.4 Testando a Rede Local....................................................................................... 186
11.4.5 Testando Gateway e Conectividade Remota .................................................... 188
11.4.6 Rastreando e Interpretando Resultados do Trace ............................................ 190
11.4.7 Examinando a Interface Serial do Roteador...................................................... 194
11.4.8 Configurando o encapsulamento HDLC ............................................................ 196
11.4.9 Configurando rota estática................................................................................ 198
11.4.10 Configurando o RIP........................................................................................ 198
11.4.11 Configurando SNMP ...................................................................................... 200
11.5 Configuração de Switches ......................................................................................... 200
11.5.1 LEDs indicadores do switch ............................................................................... 201
11.5.2 Modos de comando do switch .......................................................................... 201
11.5.3 Verificação da configuração padrão do switch Catalyst ................................... 201
11.5.4 Configuração de VLAN’s e TRUNK ..................................................................... 202
Criando uma VLAN ............................................................................................................ 202
Criando interfaces TRUNK ................................................................................................. 203
11.6 Configurando ACLs padrão ............................................................................................ 206
11.7 Configurando ACLs estendidas .................................................................................. 217

Página 4
 11.8 Configurando um servidor DHCP .................................................................................. 220
11.8.1 Retransmissão DHCP ......................................................................................... 222
11.9 Configurando a NAT .................................................................................................. 225
11.9.1 Configurando NAT estática................................................................................ 225
11.9.2 Configurando a NAT dinâmica........................................................................... 226
10.9.3 Configurando a sobrecarga de NAT .................................................................. 227
10.9.4 Identificando e solucionando problemas das configurações de NAT ............... 229
11.10 Configuração de QoS ................................................................................................... 233
11.10.1 Configuração de PQ ....................................................................................... 233
11.10.2 Configuração de CQ ....................................................................................... 234
11.10.3 Configuração de WFQ ................................................................................... 234
11 Referências .................................................................................................................... 235

Página 5
 1- Introdução

Os equipamentos que se conectam diretamente a um segmento de rede são chamados

de dispositivos. Estes dispositivos são divididos em duas classificações: dispositivos de usuário
final e dispositivos de rede.

Os dispositivos de usuário final incluem computadores, impressoras, scanners e outros

dispositivos que fornecem serviços diretamente ao usuário, também chamados de “hosts”.

Dispositivos de rede incluem todos os dispositivos que fazem a interconexão de todos

os dispositivos do usuário final permitindo que se comuniquem. Estes dispositivos
proporcionam transporte para os dados que precisam ser transferidos entre os dispositivos de
usuário final. Por exemplo: repetidores, hubs, bridges, switches e roteadores.

Um repetidor é um dispositivo de rede usado para regenerar um sinal. Os repetidores

regeneram os sinais analógicos e digitais que foram distorcidos por perdas na transmissão
devido à atenuação.
Os hubs concentram conexões. Em outras palavras, juntam um grupo de hosts e
permitem que a rede os veja como uma única unidade. Isto é feito passivamente, sem
qualquer outro efeito na transmissão dos dados.
As bridges, ou pontes, convertem os formatos de dados transmitidos na rede assim
como realizam gerenciamento básico de transmissão de dados. As bridges, como o próprio
nome indica, proporcionam conexões entre redes locais
Os switches de grupos de trabalho (Workgroup switches) adicionam mais inteligência
ao gerenciamento da transferência de dados. Eles não só podem determinar se os dados
devem ou não permanecer em uma rede local, mas como também podem transferir os dados
somente para a conexão que necessita daqueles dados.
Os roteadores possuem todas as capacidades listadas acima. Os roteadores podem
regenerar sinais, concentrar conexões múltiplas, converter formatos dos dados transmitidos, e
gerenciar as transferências de dados. Eles também podem ser conectados a uma WAN, que
lhes permite conectar redes locais que estão separadas por longas distâncias.

1.2 Topologias de rede

Topologias de rede definem a estrutura da rede. Elas podem ser:

a) Topologia física - que é o layout efetivo dos fios ou meios físicos.
b) Topologia lógica - que define como os meios físicos são acessados pelos hosts para
o envio de dados.

As topologias físicas que são comumente usadas são as seguintes:

a) Topologia em barramento (bus) - usa um único cabo backbone que é terminado

em ambas as extremidades
b) Topologia em anel (ring) - conecta um host ao próximo e o último host ao
primeiro. Isto cria um anel físico utilizando o cabo.
c) Topologia em estrela (star) - conecta todos os cabos a um ponto central de
concentração.
d) Topologia em estrela estendida (extended star) - une estrelas individuais ao
conectar os hubs ou switches.

Página 6
 e) Topologia hierárquica é semelhante a uma estrela estendida. Porém, ao invés de
unir os hubs ou switches, o sistema é vinculado a um computador que controla o
tráfego na topologia.
f) Topologia em malha (mesh) - é implementada para prover a maior proteção
possível contra interrupções de serviço

A figura 1 mostra as topologias físicas acima descritas:

Figura 1 - Topologias Físicas

1.2 Protocolos de rede

Um protocolo é uma descrição formal de um conjunto de regras e convenções que

governam a maneira de comunicação entre os dispositivos em uma rede. Os protocolos
determinam o formato, temporização, seqüência, e controle de erros na comunicação de
dados. Sem os protocolos, o computador não pode criar ou reconstruir o fluxo de bits recebido
de outro computador no seu formato original.

Através dos protocolos podemos entender:

 Como é construída a rede física
 Como os computadores são conectados à rede
 Como são formatados os dados para serem transmitidos
 Como são enviados os dados
 Como lidar com erros

Página 7
1.3 Redes locais (LANs)

As Redes locais (LAN - Local Area Network) possibilitam que as empresas utilizem a
tecnologia para o compartilhamento eficiente de arquivos e impressoras locais, além de
possibilitar a comunicação interna. Um bom exemplo desta tecnologia é o e-mail. Elas unem
dados, comunicações locais e equipamento de computação.

As redes locais consistem nos seguintes componentes:

 Computadores
 Placa de Interface de Rede
 Dispositivos periféricos
 Meios de rede
 Dispositivos de rede

1.4 Redes de longa distância (WANs)

As WANs (Wide Area Network) interconectam as redes locais, fornecendo então

acesso a computadores ou servidores de arquivos em outros locais. Como as WANs conectam
redes de usuários dentro de uma vasta área geográfica, elas permitem que as empresas se
comuniquem ao longo de grandes distâncias.
As principais características das redes WAN’s são:

a) Operam em grandes áreas separadas geograficamente.

b) Permitem que os usuários tenham capacidades de comunicação em tempo real
com outros usuários.
c) Proporcionam que recursos remotos estejam permanentemente conectados aos
d) serviços locais.
e) Proporcionam serviços de e-mail, World Wide Web, transferência de arquivos e
ecommerce, etc.

As operações WAN se concentram principalmente nas camadas 1 e 2 (do modelo OSI,

que será visto a serguir). Os padrões de acesso WAN costumam descrever os métodos de
entrega da camada física e os requisitos da camada de enlace de dados, incluindo endereço
físico, controle de fluxo e encapsulamento. Os padrões de acesso WAN são definidos e
gerenciados por várias autoridades reconhecidas, inclusive a Organização internacional para
padronização (ISO - International Organization for Standardization), a Associação da indústria
de telecomunicações (TIA - Telecommunicatuions Industry Association) e a Associação das
indústrias de eletrônica (EIA - Electronic Industries Association).

Página 8
 Figura 2 - Serviços WAN

1.4.1 Conceitos da camada física WAN

Uma diferença primária entre uma WAN e uma LAN (rede local) é que uma companhia
ou organização deve assinar um Provedor de Serviços (ISP – Internet Service Provider) WAN
externo para utilizar serviços de rede WAN. Uma WAN utiliza enlaces de dados fornecidos por
serviços de conexão para acessar a Internet e conectar os locais de uma organização aos locais
de outras organizações, a serviços externos e a usuários remotos. A camada física de acesso
WAN descreve a conexão física entre a rede corporativa e a rede da operadora.

Figura 3 - Nomenclatura para conexão WAN

Página 9
 A Figura 3 ilustra a terminologia normalmente utilizada para descrever conexões WAN
físicas, inclusive:

Equipamento local do cliente (CPE - Customer Premises Equipment) – os dispositivos e

a fiação interna localizados no local do assinante e conectados ao canal de telecomunicação de
uma operadora. O assinante tem o CPE ou aluga o CPE da operadora. Nesse contexto, um
assinante é uma empresa que solicita serviços WAN de um provedor de serviços ou operadora.

Equipamento de comunicação de dados (DCE - Data Communications Equipment) –

também chamado de equipamento terminal de circuito de dados, o DCE consiste em
dispositivos que colocam dados no loop local. O DCE fornece principalmente uma interface
para conectar assinantes a um link de comunicação na nuvem WAN.

Equipamento de terminal de dados (DTE - Data Terminal Equipment ) – os

dispositivos de cliente que transmitem os dados de uma rede do cliente ou computador host
para transmissão pela WAN. O DTE se conecta ao loop local por meio do DCE.

Ponto de demarcação – um ponto estabelecido em um edifício ou complexo para

separar o equipamento do cliente do equipamento da operadora. Fisicamente, o ponto de
demarcação é a caixa de junção do cabeamento, localizado no local do cliente, que conecta a
fiação CPE ao loop local. Ele costuma ser colocado tendo em vista um acesso facilitado por um
técnico. O ponto de demarcação é o local onde a responsabilidade da conexão passa do
usuário para a operadora. Isso é muito importante porque quando surgem problemas, é
necessário determinar se o usuário ou a operadora é responsável por solucionar problemas ou
repará-los.

Loop local – o cabo telefônico de cobre ou fibra que conecta o CPE no local do
assinante ao CO da operadora. Às vezes, o loop local também é chamado de "última-milha".

Central da operadora (CO - Central Office) – uma instalação ou prédio da operadora

local onde os cabos telefônicos locais são vinculados a linhas de comunicação de longa
distância, totalmente digitais de fibra óptica por meio de um sistema de switches e outro
equipamento.

Dispositivos WAN

As WAN’s utilizam vários tipos de dispositivos que são específicos de ambientes WAN,
incluindo:

Modem – modula um sinal de operadora analógico para codificar informações digitais

e demodula o sinal para decodificar as informações transmitidas. Um modem de banda de voz
converte os sinais digitais produzidos por um computador em freqüências de voz que podem
ser transmitidas pelas linhas analógicas da rede telefônica pública. Na outra extremidade da
conexão, outro modem converte os sons novamente em um sinal digital de entrada para um
computador ou conexão de rede. Modems mais rápidos, como modems a cabo e modems DSL,
transmitem utilizando freqüências de banda larga mais altas.

CSU/DSU – linhas digitais, como linhas de operadora T1 ou T3, exigem uma unidade do
serviço de canal (CSU - Channel Service Unit) e uma unidade de serviço de dados (DSU - Data
Service Unit). As duas costumam ser integradas em um único equipamento, chamado

Página 10
CSU/DSU. A CSU fornece uma terminação para o sinal digital e assegura a integridade da
conexão por meio da correção de erros e da monitoração da linha. A DSU converte os quadros
de linha da operadora em quadros que a rede local pode interpretar e vice-versa.

Servidor de acesso – concentra comunicação dos usuários de discagens feitas e

recebidas. Um servidor de acesso pode ter uma mistura de interfaces analógicas e digitais e
suportar centenas de usuários simultâneos.

Switch WAN – um dispositivo inter-rede com várias portas utilizado em redes de

operadora. Esses dispositivos costumam comutar o tráfego, como Frame Relay, ATM ou X.25 e
operam na camada de enlace de dados do modelo de referência OSI. Os switches da rede de
telefonia pública comutada (PSTN - Public Switched Telephone Network) também podem ser
utilizados dentro da nuvem das conexões de circuito comutado como rede digital de serviços
integrados (ISDN - Integrated Services Digital Network) ou discagem analógica.

Roteador – fornece portas de interface de acesso de redes interconectadas e WAN

utilizadas na conexão com a rede da operadora. Essas interfaces podem ser conexões seriais
ou outras interfaces WAN. Com alguns tipos de interfaces WAN, um dispositivo externo, como
DSU/CSU ou modem (analógico, a cabo ou DSL) é obrigatório para conectar o roteador ao
ponto de presença (POP - Point of Presence) local da operadora.

Roteador central – um roteador que reside no meio ou no backbone da WAN, e não

em sua periferia. Para cumprir essa função, um roteador deve ser capaz de suportar várias
interfaces de telecomunicação da maior velocidade em utilização no núcleo WAN, devendo ser
capaz de encaminhar pacotes IP em total velocidade em todas essas interfaces. O roteador
também deve suportar os protocolos de roteamento utilizados no núcleo.

Padrões da camada física WAN

Os protocolos da camada física WAN descrevem como fornecer conexões elétrica,

mecânica, operacional e funcional para serviços WAN. A camada física WAN também descreve
a interface entre o DTE e o DCE. A interface DTE/DCE utiliza vários protocolos da camada física,
incluindo:

EIA/TIA-232 – este protocolo permite sinalizar velocidades de até 64 kb/s em um

conector D de 25 pinos em curtas distâncias. Ele era conhecido como RS-232. A especificação
ITU-T V.24 é efetivamente a mesma.
EIA/TIA-449/530 – este protocolo é uma versão mais rápida (até 2 Mb/s) do EIA/TIA-
232. Ele utiliza um conector D de 36 pinos, sendo capaz de extensões maiores de cabo. Há
várias versões. Este padrão também é conhecido como RS422 e RS-423.
EIA/TIA-612/613 – este padrão descreve o protocolo Interface serial de alta velocidade
(HSSI, High-Speed Serial Interface), que fornece acesso a serviços de até 52 Mb/s em um
conector D de 60 pinos.
V.35 – este é o padrão ITU-T para comunicação síncrona entre um dispositivo de
acesso à rede e uma rede de pacote. Originalmente especificado para suportar taxas de dados
de 48 kb/s, ele agora suporta velocidades de até 2,048 Mb/s utilizando um conector retangular
de 34 pinos.
X.21 – este protocolo é um padrão ITU-T para comunicação digital síncrona. Ele utiliza
um conector D de 15 pinos.

Página 11
 Esses protocolos estabelecem os códigos e os parâmetros elétricos utilizados pelos
dispositivos para se comunicar. Escolher um protocolo é amplamente determinado pelo
método do provedor de serviços de instalações.

1.4.2 Conceitos da camada de enlace de dados WAN

Protocolos de enlace de dados

Além dos dispositivos da camada física, as WAN’s exigem protocolos da camada de

enlace de dados para estabelecer o link na linha de comunicação do dispositivo de envio para
o de recebimento. Este tópico descreve os protocolos de enlace de dados comuns utilizados
nas redes empresariais atuais para implementar conexões WAN.

Protocolos da camada de enlace de dados definem como os dados são encapsulados

para transmissão em sites remotos e os mecanismos para transferir os quadros resultantes.
Várias tecnologias diferentes são utilizadas, como ISDN, Frame Relay ou ATM. Muitos desses
protocolos utilizam o mesmo mecanismo de quadros básico, HDLC, um padrão ISO, ou um de
seus subconjuntos ou variantes (Figura 4). A ATM é diferente das demais, porque utiliza células
pequenas de 53 bytes (48 bytes para dados), diferentemente das demais tecnologias de
pacote comutado, que utilizam pacotes de tamanho variável.

Figura 4 - Protocolos de ennlace de dados

Os protocolos de enlace de dados WAN mais comuns são:

Página 12
  HDLC
 PPP
 Frame Relay
 ATM
 MPLS

ISDN e X.25 são protocolos de enlace de dados mais antigos e menos utilizados
atualmente. No entanto, ISDN continua sendo abordado neste curso por conta da sua
utilização ao suportar rede VoIP com links PRI. O X.25 é mencionado para ajudar a explicar a
relevância de Frame Relay. Além disso, X.25 continua sendo utilizado nos países em
desenvolvimento nos quais as redes de dados do pacote (PDN) são utilizadas para transmitir
transações de cartões de crédito e de débito dos comerciantes.

O MPLS (Multiprotocol Label Switching) está sendo cada vez mais implantado por
provedores de serviço (ISP’s) para fornecer uma solução econômica para conexão por circuitos
comutados, bem como tráfego da rede com pacotes comutados. Ele pode funcionar em
qualquer infra-estrutura existente, como IP, Frame Relay, ATM ou Ethernet. Ele fica entre as
camadas 2 e 3, sendo chamado, às vezes, de protocolo da Camada 2.5.

1.4.3 Tecnologias WAN comuns de comutação de pacotes

A maioria das tecnologias de comutação de pacotes comuns utilizada nas redes WAN
empresariais atualmente inclui Frame Relay, ATM e antigos X.25.

X.25

X.25 é um protocolo da camada de rede antigo que fornece aos assinantes um endereço
de rede. Os circuitos virtuais podem ser estabelecidos por meio da rede com pacotes de
solicitação de chamada para o endereço de destino. O SVC resultante é identificado por um
número de canal. Os pacotes de dados marcados com o número de canal são entregues no
endereço correspondente. Vários canais podem estar ativos em uma única conexão.

Aplicações X.25 típicas são leitores de cartões em ponto de venda. Esses leitores utilizam
o X.25 em modo dialup para validar transações em um computador central. Para essas
aplicações, a pouca largura de banda e a latência alta não são uma preocupação, e o baixo
custo torna o X.25 acessível.

As velocidades de link X.25 variam de 2400 b/s a 2 Mb/s. No entanto, as redes públicas
costumam apresentar uma capacidade inferior com velocidades que raramente excedem 64
kb/s.

As redes X.25 enfrentaram um drástico declínio, sendo substituídas por tecnologias de

Camada 2 mais novas, como Frame Relay, ATM e ADSL. No entanto, elas continuam sendo

Página 13
utilizadas em muitas partes do mundo em desenvolvimento, onde há acesso limitado a
tecnologias mais novas.

Frame Relay

Embora o layout de rede seja aparentemente semelhante ao do X.25, o Frame Relay é

diferente do X.25 em várias formas. Mais importante, esse é um protocolo muito mais simples
que funciona na camada de enlace de dados, e não na camada de rede. O Frame Relay não
implementa nenhum controle de erro ou de fluxo. O tratamento simplificado de quadros leva
à latência reduzida, e as medidas tomadas para evitar o acúmulo de quadros em switches
intermediários ajudam a reduzir o atraso do sincronismo. O Frame Relay oferece taxas de
dados de até 4 Mb/s, com alguns fornecedores oferecendo taxas ainda mais altas.

Os VCs Frame Relay são identificados exclusivamente por uma DLCI, que assegura uma
comunicação bidirecional de um dispositivo DTE com outro. A maioria das conexões Frame
Relay é de PVCs (Permanent Virtual Circuit), conforme mostra a Figura 5.

Página 14
 Figura 5 - Circuitos Virtuais - VC's

O Frame Relay fornece conectividade permanente, compartilhada, de largura de banda

média que transporta tráfego de voz e de dados. O Frame Relay é ideal para conectar redes
locais de empresas. O roteador na rede local só precisa de uma interface única, mesmo
quando vários VCs são usados. A linha alugada por um breve período para a borda da rede
Frame Relay permite uma conexão econômica entre redes locais muito espalhadas.

ATM

A tecnologia modo de transferência assíncrona (ATM - Asynchronous Transfer Mode) é

capaz de transferir voz, vídeo e dados por meio de redes privadas e públicas. Ele é criado a
partir de uma arquitetura baseada em células, e não em uma arquitetura baseada em quadros.
As células ATM sempre têm um tamanho fixo de 53 bytes. A célula ATM contém um cabeçalho
ATM de 5 bytes seguido de 48 bytes de payload ATM. As células de tamanho fixo, menores,
são mais apropriadas ao transporte de tráfego de voz e vídeo porque esse tráfego não é
tolerante a atrasos. O tráfego de vídeo e de voz não precisa aguardar a transmissão de um
pacote de dados maior.

A célula ATM de 53 bytes é menos eficiente que os quadros maiores e pacotes do

Frame Relay e do X.25. Além disso, a célula ATM tem pelo menos 5 bytes de sobrecarga para
payload de 48 bytes. Quando a célula transporta pacotes da camada de rede segmentados, a
sobrecarga é maior porque o switch ATM deve ser capaz de remontar os pacotes no destino.
Uma linha ATM típica precisa de praticamente 20% mais largura de banda do que Frame Relay
para transportar o mesmo volume de dados da camada de rede.

A ATM foi projetada para ser extremamente escalável, podendo suportar velocidades
de link de T1/E1 a OC-12 (622 Mb/s) e superior.

Página 15
 A ATM oferece PVCs e SVCs, muito embora PVCs sejam mais comuns com WANs. E,
assim como acontece com outras tecnologias compartilhadas, o ATM permite que vários VCs
em uma única conexão de linha alugada com a borda da rede (Figura 6).

Figura 6 - Rede ATM

1.4.4 Encapsulamento HDLC

O HDLC (High-level Data Link Control) é um protocolo orientado para bit da camada de
enlace síncrono desenvolvido pela Organização internacional para padronização (ISO -
International Organization for Standardization). O padrão atual do HDLC é ISO 13239. O HDLC
foi desenvolvido a partir do padrão Controle de enlace de dados síncrono (SDLC - Synchronous
Data Link Control) proposto nos anos 70. O HDLC fornece serviços orientados à conexão e sem
conexão.

O HDLC utiliza transmissão serial síncrona para fornecer uma comunicação sem erros
entre dois pontos. O HDLC define uma estrutura de quadros da Camada 2 que permite o
controle de fluxo e o controle de erros por meio da utilização de confirmações. Cada quadro
tem o mesmo formato, independentemente do quadro ser de dados ou de controle.

Quando quiser transmitir quadros por links síncronos ou assíncronos, você deverá se
lembrar de que esses links não têm nenhum mecanismo para marcar o início ou o término dos
quadros. O HDLC utiliza um delimitador de quadros, ou flag, para marcar o início e o término
de cada quadro.

A empresa Cisco desenvolveu uma extensão para o protocolo HDLC a fim de resolver a
impossibilidade de fornecer suporte a vários protocolos. Embora o Cisco HDLC (também
conhecido como cHDLC) seja próprio, a Cisco permitiu sua implementação por muitos outros
fornecedores de equipamentos. Os quadros Cisco HDLC contêm um campo para identificar o
protocolo de rede encapsulado. A Figura 7 mostra um comparativo entre o HDLC com o Cisco
HDLC.

Página 16
 Figura 7 - Protocolo HDLC

O HDLC define três tipos de quadros, cada um com um formato de campo de controle
diferente. As seguintes descrições resumem os campos ilustrados na Figura 7.

Flag – o campo de flag inicia e encerra a verificação de erros. O quadro sempre começa
e termina com um campo de flag de 8 bits. O de bits é 01111110. Como existe uma
probabilidade de que esse padrão ocorra nos dados reais, como o sistema HDLC de envio
sempre insere um bit 0 após cada cinco 1s no campo de dados, na prática, a sequencia do flag
só pode ocorrer no encerramento do quadro. O sistema de recepção remove os bits inseridos.
Quando os quadros são transmitidos de maneira consecutiva, o flag final do primeiro quadro é
utilizado como o flag inicial do próximo quadro.

Endereço – o campo de endereço contém o endereço HDLC da estação secundária.

Esse endereço pode ser um específico, um de grupos ou um endereço de broadcast. Um
endereço primário é uma origem ou um destino de comunicação, que elimina a necessidade
de incluir o endereço do primário.

Controle – o campo de controle utiliza três formatos diferentes, dependendo do tipo

de quadro HDLC utilizado (conforme mostra a Figura 8):

Página 17
 Figura 8 - Tipos de quadro HDLC

Quadro de informações (I): os quadros I transportam informações de camada superior

e algumas informações de controle. Esse quadro envia e recebe números de sequência, e o bit
poll final (P/F) executa o controle de fluxo e de erro. O número de sequencia de envio consulta
o número do quadro a ser enviado em seguida. O número de sequencia de recebimento
fornece o número do quadro a ser recebido em seguida. O remetente e o receptor mantêm
números de sequencia de envio e de recebimento. Uma estação primária utiliza o bit P/F para
informar à secundária se exige ou não uma resposta imediata. Uma estação secundária utiliza
o bit P/F para informar à primária se o quadro atual é o último em sua resposta atual.
Quadro de supervisor (S): os quadros S fornecem informações de controle. Um quadro
S pode solicitar e suspender a transmissão, o relatório de status e a confirmação de
recebimento dos quadros I. Os quadros S não têm um campo de informações.
Quadro sem número (U): os quadros U suportam finalidades de suporte, não estando
em sequencia. Um quadro U pode ser utilizado para inicializar secundários. Dependendo da
função do quadro U, seu campo de controle tem 1 ou 2 bytes. Alguns quadros U não têm um
campo de informações.

Protocolo – (utilizado apenas no Cisco HDLC) esse campo especifica o tipo de protocolo
encapsulado dentro do quadro (por exemplo, 0x0800 para IP).

Dados – o campo de dados contém uma unidade de informações sobre o caminho

(PIU) ou informações de identificação de troca (XID).

Sequencia de verificação de quadros (FCS) – o FCS precede o delimitador de flag final,

sendo normalmente um lembrete de cálculo da verificação de redundância cíclica (CRC). O
cálculo de CRC é refeito no receptor. Se o resultado for diferente do valor no quadro original,
haverá a pressuposição de um erro.

Página 18
1.4.5 Encapsulamento PPP

Um dos tipos mais comuns de conexão WAN é a ponto-a-ponto. As conexões ponto-a-

ponto são utilizadas em redes locais com WANs de operadora e na conexão de segmentos de
rede local dentro de uma rede empresarial. Uma conexão ponto-a-ponto entre rede local e
WAN também é conhecida como uma conexão serial ou conexão de linha alugada, porque as
linhas são alugadas de uma operadora (normalmente uma companhia telefônica) e de uso
dedicado ao uso pela empresa locadora das linhas. As empresas pagam por uma conexão
contínua entre dois locais remotos, e a linha permanece sempre ativa e disponível. A
compreensão de como funcionam os links de comunicação ponto-a-ponto para fornecer
acesso a uma WAN é importante para que se obtenha uma compreensão geral de como
funcionam as WANs.

O Protocolo ponto a ponto (PPP - Point-to-Point Protocol) fornece conexões de rede

local para WAN com vários protocolos que lidam com TCP/IP, Intercâmbio de pacotes de redes
interconectadas (IPX - Internetwork Packet Exchange) e AppleTalk simultaneamente. Ele pode
ser usado em linhas de par trançado, de fibra óptica e na transmissão via satélite. O PPP
fornece transporte em links ATM, Frame Relay, ISDN e ópticos. Em redes modernas, a
segurança é uma grande preocupação. O PPP permite autenticar conexões usando o Protocolo
de autenticação de senha (PAP - Password Authentication Protocol) ou o mais eficiente
Protocolo avançado de autenticação de reconhecimento (CHAP - Challenge Handshake
Authentication Protocol).

1.4.6 Comunicação Serial e Paralela

Alguns equipamentos têm portas seriais e paralelas. Uma forma de acelerar o

deslocamento de bits em um fio é compactar os dados para que menos bits sejam necessários
e, assim, exigir menos tempo no fio ou transmitir os bits simultaneamente. Os computadores
usam um número relativamente pequeno de conexões paralelas entre componentes internos,
mas usam um barramento serial para converter sinais em grande parte das comunicações
externas.

Com uma conexão serial, as informações são enviadas pelo fio, um bit de dados por
vez. O conector serial de 9 pinos na maioria dos PCs usa dois fios, um em cada sentido, para a
comunicação de dados, além de fios adicionais para controlar o fluxo de informações. Em
qualquer sentido, os dados continuam passando por um único fio.

Uma conexão paralela envia os bits por mais fios simultaneamente. No caso da porta
paralela de 25 pinos do seu PC, há oito fios que transportam dados para transportar 8 bits
simultaneamente. Como há oito fios para transportar os dados, o link paralelo, em teoria,
transfere dados oito vezes mais rapidamente do que uma conexão serial. Dessa forma, com
base nessa teoria, uma conexão paralelo envia um byte no momento em que uma conexão
serial envia um bit.

Essa explicação suscita algumas questões: O que significa, em teoria, mais rápido? Se o
paralelo for mais rápido que a serial, ele será mais apropriado à conexão com uma WAN? Na
verdade, esses links seriais costumam ser ajustados em uma velocidade consideravelmente

Página 19
maior que os links paralelos, e eles conseguem uma taxa de dados maior, por conta de dois
fatores que afetam a comunicação paralela: diferença de clock e interferência de linha
cruzada.

Em uma conexão paralela, é errado supor que os 8 bits que saem do remetente juntos
cheguem ao destinatário juntos. Na verdade, alguns dos bits chegam lá mais tarde que outros.
Isso é conhecido como diferença de clock. Uma diferença de clock excedente não é comum. A
extremidade receptora deve sincronizar-se com o transmissor e aguardar a chegada de todos
os bits. Os processos de leitura, gravação, travamento, espera pelo sinal do clock e transmissão
dos 8 bits agregam tempo à transmissão. Em uma comunicação paralela, a trava é um sistema
de armazenamento de dados utilizado para guardar informações em sistemas lógicos
seqüenciais. Quanto mais fios você utilizar e quanto mais longe chegar a conexão, mais
problemas haverá, além da presença do atraso. A necessidade de clocking coloca a
transmissão paralela bem abaixo da expectativas teóricas.

E isto não ocorre com links seriais, porque a maioria deles não precisa de clocking. As
conexões seriais exigem menos fios e cabos. Elas ocupam menos espaço e podem ser mais
bem isoladas da interferência entre fios e cabos.

Os fios paralelos são agrupados fisicamente em um cabo paralelo, e os sinais podem

ficar uns sobre os outros. A possibilidade de linha cruzada nos fios exige mais processamento,
especialmente em freqüências mais altas. Os barramentos seriais em computadores e
roteadores, compensam a linha cruzada antes da transmissão dos bits. Como os cabos seriais
têm menos fios, há menos linha cruzada, e os dispositivos de rede transmitem uma
comunicação serial em freqüências mais altas, mais eficientemente.

Na maior parte dos casos, a implementação da comunicação serial é

consideravelmente mais barata. A comunicação serial usa menos fios, cabos mais baratos e
menos pinos conectores.

Todas as comunicações de longa distância e a maioria das redes de computadores usa

conexões seriais, porque o custo do cabo e as dificuldades de sincronização tornam as
conexões paralelas impraticáveis. A vantagem mais significativa é uma fiação mais simples.
Além disso, os cabos seriais podem ser mais longos que os cabos paralelos, porque há muito
menos interação (linha cruzada) entre os condutores no cabo. Neste capítulo, restringiremos
nossa consideração quanto à comunicação serial à conexão de redes locais com WANs.

Página 20
 Figura 9 - Comunicação Serial

A figura 9 representa uma comunicação serial. Os dados são encapsulados pelo

protocolo de comunicação utilizado pelo roteador de envio. O quadro encapsulado é enviado
por um meio físico para a WAN. Há várias formas de atravessar a WAN, mas o roteador de
recepção usa o mesmo protocolo de comunicação para desencapsular o quadro quando ele
chega.

Há muitos padrões de comunicação serial diferentes, cada um usando um método de

sinalização diferente. Existem três padrões de comunicação serial importantes que afetam as
conexões entre rede local e WAN:

RS-232 – grande parte das portas seriais em computadores pessoais é compatível com
os padrões RS-232C ou RS-422 e RS-423. São usados conectores de 9 e de 25 pinos. Uma porta
serial é uma interface de finalidade geral que pode ser usada por praticamente qualquer tipo
de dispositivo, inclusive modems, mouses e impressoras. Muitos dispositivos de rede utilizam
conectores RJ-45 que também são compatíveis com o padrão RS-232. A figura mostra um
exemplo de um conector RS-232.
V.35 – normalmente utilizado na comunicação entre modem e multiplexador, este
padrão ITU para alta velocidade e troca de dados síncrona, integra a largura de banda de
vários circuitos telefônicos. Nos EUA, V.35 é o padrão de interface utilizado pela maioria dos
roteadores e DSUs que se conectam a operadoras de T1. Os cabos V.35 são conjuntos seriais
de alta velocidade projetados para suportar taxas de dados maiores e conectividade entre
DTEs e DCEs em linhas digitais. Há mais sobre DTEs e DCEs posteriormente nesta seção.
HSSI – Uma High-Speed Serial Interface (HSSI) suporta taxas de transmissão de até 52
Mb/s. Os engenheiros usam HSSI para conectar roteadores em redes locais a WANs em linhas
de alta velocidade, como linhas T3. Eles também usam HSSI para fornecer conectividade de
alta velocidade entre redes locais, usando Token Ring ou Ethernet. HSSI é uma interface
DTE/DCE desenvolvida pela Cisco Systems e pela T3plus Networking para atender à
necessidade da comunicação de alta velocidade em links de WAN.

Além, de métodos de sinalização diferentes, cada um desses padrões usa tipos

diferentes de cabos e conectores. Cada padrão desempenha uma função diferente em uma

Página 21
topologia entre rede local e WAN. Embora este curso não examine os detalhes dos esquemas
de pinagem V.35 e HSSI, uma rápida observação do conector RS-232 de 9 pinos usado para
conectar um PC a um modem ajuda a ilustrar o conceito. Um tópico posterior observa os cabos
V.35 e HSSI, conforme Figura 10.

Pino 1 – Detecção de operadora de dados (DCD, Data Carrier Detect) indica que a
operadora dos dados de transmissão está ativada.
Pino 2 – o pino de recepção (RXD) transporta dados do dispositivo serial para o
computador.
Pino 3 – o pino de transmissão (TxD) transporta dados do computador para o
dispositivo serial.
Pino 4 – Terminal de dados pronto (DTR, Data Terminal Ready ) indica para o modem
que o computador está pronto para transmissão.
Pino 5 – terra.
Pino 6 – Conjunto de dados pronto (DSR, Data Set Ready) é semelhante a DTR. Ele
indica que o Dataset está ativado.
Pino 7 – o pino RTS precisa de folga para enviar dados a um modem.
Pino 8 – o dispositivo serial utiliza o pino Clear to Send (CTS) para confirmar o sinal RTS
do computador. Na maioria das situações, RTS e CTS estão sempre ativos em toda a sessão de
comunicação.
Pino 9 – um modem de resposta automática utiliza o Ring Indicator (RI) para sinalizar o
recebimento de um sinal de toque telefônico.

Figura 10 - conector RS-232

Os pinos DCD e RI só estão disponíveis em conexões com um modem. Essas duas linhas
são utilizadas raramente porque grande parte dos modems transmite informações de status
para um PC quando um sinal de operadora é detectado (quando uma conexão é estabelecida
com outro modem) ou quando o modem recebe um sinal de toque da linha telefônica.

Lembre-se de que o HDLC é o método de encapsulamento serial padrão quando você

conecta dois roteadores Cisco. Com um tipo de campo de protocolo adicionado, a versão Cisco

Página 22
do HDLC é própria. Por isso, o Cisco HDLC só pode funcionar com outros dispositivos Cisco. No
entanto, ao precisar se conectar a um roteador que não seja Cisco, você deve utilizar o
encapsulamento PPP.

O encapsulamento PPP foi projetado cuidadosamente para manter a compatibilidade

com o hardware de suporte mais utilizado. O PPP encapsula quadros de dados para
transmissão em links físicos da Camada 2. O PPP estabelece uma conexão direta utilizando
cabos seriais, linhas telefônicas, linhas de tronco, telefones celulares, links de rádio especiais
ou links de fibra óptica. Há muitas vantagens em utilizar PPP, inclusive o fato de não ser
propriedade de ninguém. Além disso, ele inclui muitos recursos não disponíveis no HDLC:

 O recurso de gerenciamento de qualidade do link monitora a qualidade do link.

Se forem detectados muitos erros, o PPP desativará o link.
 O PPP suporta a autenticação PAP e CHAP. Este recurso será explicado e
praticado em uma seção posterior.

PPP contém três componentes principais:

 O protocolo HDLC para encapsulamento de datagramas em links ponto-a-

ponto.
 Protocolo de controle do link extensível (LCP - Link Control Protocol) para
estabelecer, configurar e testar a conexão do link de dados.
 Família de Protocolos de controle de rede (NCP - Network Control Protocol)
para estabelecer e configurar protocolos da camada de rede diferentes. O PPP permite a
utilização simultânea de vários protocolos da camada de rede. Alguns dos NCPs mais comuns
são o Protocolo de controle de protocolo da internet, Protocolo de controle Appletalk,
Protocolo de controle Novell IPX, Protocolo de controle Cisco Systems, Protocolo de controle
SNA e Protocolo de controle de compressão.

Arquitetura PPP

Uma arquitetura de camadas é um modelo lógico, design ou plano que auxilia na

comunicação entre camadas de interconexão. A figura mapeia a arquitetura de camadas do
PPP em relação ao modelo Open System Interconnection (OSI). PPP e OSI têm a mesma
camada física, mas PPP distribui as funções de LCP e NCP de maneira diferente.

Na camada física, você pode configurar o PPP em várias interfaces, incluindo:

 Serial assíncrona
 Serial síncrona
 HSSI
 ISDN

O PPP funciona em qualquer interface DTE/DCE (RS-232-C, RS-422, RS-423 ou V.35). O

único requisito absoluto imposto pelo PPP é um circuito bidirecional, dedicado ou comutado,
capaz de funcionar em modos seriais de bits assíncronos ou síncronos, transparentes para
quadros de camada de enlace PPP, conforme Figura 11. O PPP não impõe nenhuma restrição

Página 23
quanto à taxa de transmissão que não seja a imposta pela interface DTE/DCE em particular
sendo utilizada.

Figura 11 - PPP

Grande parte do trabalho feito pelo PPP acontece nas camadas de enlace e de rede
pelo LCP e pelos NCPs. O LCP configura a conexão PPP e seus parâmetros, os NCPs lidam com
configurações de protocolo da camada superior e o LCP encerra a conexão PPP.

Arquitetura PPP – camada Link Control Protocol

O LCP é a parte funcional real do PPP. O LCP fica acima da camada física e tem uma
função de estabelecer, configurar e testar a conexão de enlace. O LCP estabelece o link ponto-
a-ponto. O LCP também negocia e configura opções de controle no vínculo WAN, que são
tratadas pelo NCPs.

O LCP fornece a configuração automática das interfaces em cada extremidade,

incluindo:

 Lidar com limites variáveis de tamanho de pacote

 Detectar erros mais comuns de configuração incorreta
 Encerrar o link
 Determinar quando um link está funcionando corretamente ou quando há falha

O PPP também utiliza o LCP para determinar automaticamente os formatos de

encapsulamento (autenticação, compressão, detecção de erros) assim que o link é
estabelecido.

Arquitetura PPP – Camada de protocolo de controle de rede

Os links ponto-a-ponto tendem a piorar muitos problemas com a família atual de

protocolos de rede. Por exemplo, a atribuição e o gerenciamento de endereços IP, que são
problemáticos até mesmo em ambientes de rede local, são especialmente difíceis em links
ponto-a-ponto de circuito comutado (como servidores de modem dialup). O PPP resolve esses
problemas que utilizam NCPs.

O PPP permite a vários protocolos da camada de rede funcionar no mesmo link de

comunicação. Para todos os protocolo da camada de rede utilizados, o PPP utiliza um NCP em

Página 24
separado. Por exemplo, IP utiliza o Protocolo de controle IP (IPCP, IP Control Protocol), e o IPX
utiliza o Protocolo de controle Novell IPX (IPXCP, IPX Control Protocol).

Os NCPs incluem campos funcionais que contêm códigos padronizados (os números de
campo do protocolo PPP mostrados na figura) para indicar o protocolo da camada de rede
encapsulado pelo PPP. Cada NCP gerencia as necessidades específicas exigidas por seus
respectivos protocolos da camada de rede. Os vários componentes NCP encapsulam e
negociam opções para vários protocolos da camada de rede. A utilização de NCPs para
configurar os vários protocolos da camada de rede será explicada e praticada posteriormente
neste capítulo.

TDM - Multiplexação por divisão de tempo

A Bell Laboratories inventou a multiplexação por divisão de tempo (TDM - Time

Division Multiplexing) para maximizar a quantidade de tráfego de voz transmitido por um
meio. Antes da multiplexação, cada chamada telefônica precisava de um link físico próprio.
Essa era uma solução cara e não escalável. TDM divide a largura de banda de um único link em
canais separados ou slots de tempo. TDM transmite dois ou mais canais pelo mesmo link,
alocando um intervalo diferente (slot de tempo) para a transmissão de cada canal. Na verdade,
os canais revezam a utilização do link.

TDM é um conceito da camada física. Ele não tem nada a ver com o futuro das
informações multiplexadas no canal de saída do comando. TDM é independente do protocolo
de Camada 2 que possa ser utilizado pelos canais de input.

TDM pode ser explicada por uma analogia com o tráfego de uma rodovia. Para
transportar o tráfego de quatro estradas para outra cidade, você pode enviar todo ele em uma
só pista caso as estradas que se ligam à ela estejam igualmente em boas condições e o tráfego
esteja sincronizado. Dessa forma, se cada uma das quatro estradas colocar um carro na
rodovia principal a cada quatro segundos, ela receberá um carro a cada segundo. Desde que a
velocidade de todos os carros esteja sincronizada, não haverá colisão. No destino, acontece o
inverso, e os carros saem da rodovia e entram nas estradas locais pelo mesmo mecanismo
síncrono.

Este é o princípio utilizado na TDM síncrona durante o envio de dados por um link. A
TDM aumenta a capacidade do link de transmissão, dividindo o tempo em intervalos menores
para que o link transporte os bits de várias origens de input, o que aumenta efetivamente o
número de bits transmitidos por segundo. Com TDM, o transmissor e o receptor sabem
exatamente o sinal enviado.

Em nosso exemplo, um multiplexador (MUX) no transmissor aceita três sinais distintos.

O MUX divide todo sinal em segmentos. O MUX coloca cada segmento em um único canal,
inserindo cada segmento em um slot de tempo.

Um MUX na extremidade de recepção reagrupa o fluxo TDM em três fluxos de dados

distintos com base exclusivamente no timing de chegada de cada bit. Uma técnica chamada
entrelaçamento de bits controla o número e a seqüência dos bits de cada transmissão
específica para que eles possam ser reagrupados de maneira rápida e eficiente em sua forma
original durante o recebimento. O entrelaçamento de bits realiza as mesmas funções, mas
como há oito bits em cada byte, o processo precisa de um slot de tempo maior.

Página 25
 Figura 12 - Multiplexação por divisão de tempo

Multiplexação estatística por divisão de tempo

Em outra analogia, compare TDM com um trem de 32 vagões. Cada vagão é de uma
empresa de frete diferente, e diariamente o trem sai com os 32 vagões em carreira. Se uma
das empresas tiver carga a ser enviada, o vagão será carregado. Se a empresa não tiver nada
para enviar, o vagão permanecerá vazio, mas continuará no trem. Enviar contêineres vazios
não é muito eficiente. A TDM apresenta essa deficiência quando o tráfego é intermitente,
porque o slot de tempo continua alocado, mesmo quando o canal não tem nenhum dado a ser
transmitido.

A Multiplexação estatística por divisão de tempo (STDM - Statistical time-division

multiplexing) foi desenvolvida para superar essa deficiência. A STDM utiliza um slot de tempo
variável, o que permite aos canais competir por qualquer espaço livre. Ele emprega uma
memória de buffer que armazena temporariamente os dados durante períodos de pico do
tráfego. A STDM não desperdiça tempo de linha de alta velocidade com canais inativos que
utilizam esse esquema. A STDM exige que cada transmissão transporte informações de
identificação (um identificador de canal).

Exemplos de TDM – ISDN e SONET

Um exemplo de uma tecnologia que utiliza a TDM síncrona é a ISDN. A ISDN basic rate
(BRI) tem três canais que consistem em dois canais B de 64 kb/s (B1 e B2) e um canal D de 16
kb/s. A TDM tem nove slots de tempo, repetidos na seqüência mostrada na figura 13.

Página 26
 Figura 13 - ISDN

Em uma escala maior, o setor de telecomunicação utiliza o padrão SONET ou SDH no

transporte óptico dos dados TDM. O SONET, utilizado na América do Norte, e o SDH, utilizado
nos demais lugares, são dois padrões muito semelhantes que especificam parâmetros de
interface, taxas, formatos de quadros, métodos de multiplexação e gerenciamento de TDM
síncrono por fibra.

Figura 14 - TDM

A Figura 14 exibe um exemplo de TDM estatística. SONET/SDH usa n fluxos de bits,

multiplexa e modula o sinal de maneira óptica, envia utilizando um dispositivo emissor de luz
em fibra com uma taxa de bits igual a (taxa de bits recebidos) x n. Dessa forma, o tráfego
recebido no multiplexador SONET de quatro locais a 2,5 Gb/s sai como um único fluxo a 4 x 2,5
Gb/s ou 10 Gb/s. Esse princípio está ilustrado na figura, que mostra um aumento na taxa de
bits de quatro vezes o slot de tempo.

A unidade original utilizada em chamadas telefônicas de multiplexação é de 64 kb/s, o

que representa uma chamada telefônica. Isso é conhecido como DS-0 ou DS0 (nível de sinal
digital igual a zero). Na América do Norte, 24 unidades DS0 são multiplexadas utilizando-se a
TDM em um sinal da taxa de bits maior com uma velocidade agregada de 1,544 Mb/s para a

Página 27
transmissão em linhas T1. Fora da América do Norte, 32 unidades DS0 são multiplexadas para
a transmissão E1 a 2,048 Mb/s.

A hierarquia em nível de sinal para chamadas telefônicas de multiplexação é mostrada

na tabela. Como adendo, embora seja comum a referência a uma transmissão a 1,544 Mb/s
como T1, é mais correto se referir a ela como DS1.

Figura 15 - Operadora T

A operadora T se refere ao grupo de DS0s. Por exemplo, um T1 = 24 DS0s, um T1C = 48

DS0s (ou 2 T1s) e assim por diante. A figura 15 mostra uma hierarquia de infra-estrutura de
operadora T. A hierarquia de operadora E é semelhante.

Ponto de demarcação

Antes da desregulamentação na América do Norte e nos demais países, as companhias

telefônicas eram proprietárias do loop local, inclusive da fiação e do equipamento local dos
clientes. A desregulamentação forçou as companhias telefônicas a desmembrar sua infra-
estrutura de loop local para permitir que outros fornecedores cedessem equipamentos e
serviços. Isso levou a uma necessidade de delinear a parte da rede de propriedade da
companhia telefônica e a parte de propriedade do cliente. Esse ponto de delineação é o de
demarcação, ou demarc. A demarcação indica o ponto em que a sua rede mantém interface
com a rede de propriedade de outra organização. Na terminologia telefônica, essa é a
interface entre o equipamento local do cliente (CPE) e o equipamento da operadora do serviço
de rede. A demarcação é o ponto da rede em que cessa a responsabilidade da operadora.

O exemplo apresenta um cenário ISDN. Nos Estados Unidos, uma operadora fornece o
loop local no equipamento do cliente, e o cliente fornece o equipamento ativo, como a
unidade de serviço do canal/dados (CSU/DSU) em que se encerra o loop local. Esse
encerramento costuma ocorrer em um armário de telecomunicação, sendo o cliente o
responsável por manter, trocar ou reparar o equipamento. Em outros países, a unidade de
terminação de rede (NTU) é fornecida e gerenciada pela operadora. Isso permite à operadora
gerenciar ativamente e solucionar problemas do loop local com o ponto de demarcação após a
NTU. O cliente conecta um dispositivo CPE, como um roteador ou dispositivo de acesso Frame
Relay (FRAD), à NTU utilizando uma interface serial V.35 ou RS-232.

Página 28
 Figura 16 - Demarcação

DTE-DCE

Do ponto de vista da conexão com a WAN, uma conexão serial tem um dispositivo DTE
em uma extremidade da conexão e um dispositivo DCE na outra. A conexão entre os dois
dispositivos DCE é a rede de transmissão da operadora WAN. Neste caso:

O CPE, que costuma ser um roteador, é o DTE. O DTE também pode ser um terminal,
computador, impressora ou aparelho de fax, caso eles sejam conectados diretamente à rede
da operadora.

O DCE, normalmente um modem ou CSU/DSU, é o dispositivo utilizado para converter

os dados do usuário do DTE em uma forma aceitável para o link de transmissão da operadora
WAN. Esse sinal é recebido no DCE remoto, que decodifica o sinal novamente em uma
seqüência de bits. Em seguida, o DCE remoto sinaliza essa seqüência para o DTE remoto.

A Associação das indústrias de eletrônica (EIA - Electronics Industry Association ) e o

International Telecommunication Union Telecommunications Standardization Sector (ITU-T)
têm participado ativamente do desenvolvimento de padrões que permitem a comunicação
entre os DTEs e os DCEs. A EIA se refere ao DCE como equipamento de comunicação de dados,
e o ITU-T se refere ao DCE como equipamento terminal de circuito.

Página 29
 Padrões de cabo

Originalmente, o conceito de DCEs e DTEs se baseava em dois tipos de equipamento:

terminal que gerava ou recebia dados e de comunicação, que apenas retransmitia dados. No
desenvolvimento do padrão RS-232, havia razões pelas quais os conectores RS-232 de 25 pinos
nesses dois tipos de equipamento precisavam de fiações diferentes. Essas razões não são mais
significativas, mas ainda temos dois tipos diferentes de cabos: um para conectar um DTE a um
DCE e outro para conectar dois DTEs diretamente.

A interface DTE/DCE de um determinado padrão define as seguintes especificações:

 Mecânica/física – número de pinos e tipo de conector

 elétrica – define níveis de tensão para 0 e 1
 Funcional – especifica as funções desempenhadas, atribuindo-se significados a
cada uma das linhas de sinalização na interface
 Procedimento – especifica a seqüência de eventos para transmitir dados

O padrão RS-232 original só definia a conexão de DTEs com DCEs, que eram modems.
No entanto, se você quiser conectar dois DTEs, como dois computadores ou dois roteadores
no laboratório, um cabo especial chamado modem nulo eliminará a necessidade de um DCE.
Em outras palavras, os dois dispositivos podem ser conectados sem um modem. Um modem
nulo é um método de comunicação para conectar diretamente dois DTEs, como um
computador, terminal ou impressora, utilizando-se um cabo serial RS-232. Com uma conexão
de modem nulo, as linhas de transmissão (Tx) e de recepção (Rx) em links cruzados são
mostradas na figura. Os dispositivos Cisco suportam padrões EIA/TIA-232, EIA/TIA-449, V.35,
X.21 e EIA/TIA-530.

O cabo da conexão DTE com DCE é um cabo de transição serial blindado. A

extremidade de roteador do cabo de transição serial blindado pode ser um conector DB-60,
conectado à porta DB-60 em uma placa de interface WAN serial. A outra extremidade do cabo
de transição serial está disponível com um conector apropriado para o padrão a ser utilizado.
O provedor WAN ou a CSU/DSU normalmente indica esse tipo de cabo.

Para suportar densidades de porta maiores em um form factor, a Cisco apresentou um

cabo Smart Serial. A extremidade da interface do roteador do cabo Smart Serial é um conector
de 26 pinos muito mais compacto do que o conector DB-60.

Página 30
 Ao utilizar um modem nulo, lembre-se de que a conexão síncrona exige um sinal de
clock. Um dispositivo externo pode gerar o sinal, ou um dos DTEs pode gerar o sinal de clock.
Quando um DTE e um DCE forem conectados, a porta serial em um roteador será a
extremidade DTE da conexão por padrão, e o sinal de clock será normalmente fornecido por
uma CSU/DSU ou um dispositivo DCE. No entanto, ao utilizar um cabo de modem nulo em uma
conexão roteador-a-roteador, uma das interfaces seriais deve ser configurada como a
extremidade DCE para fornecer o sinal de clock à conexão.

Protocolos de encapsulamento WAN

Em cada conexão WAN, os dados são encapsulados em quadros antes de cruzar o link
de WAN. Para assegurar que o protocolo correto seja utilizado, você precisa configurar o tipo
de encapsulamento da Camada 2 apropriado. A opção do protocolo depende da tecnologia
WAN e do equipamento de comunicação. Os protocolos WAN mais comuns e onde eles são
utilizados são mostrados na figura, além de breves descrições:

HDLC – o tipo de encapsulamento padrão em conexões ponto-a-ponto, links dedicados

e conexões de circuito comutado quando o link utilizado dois dispositivos Cisco. HDLC agora é
a base para PPP síncrono utilizado por muitos servidores para se conectar a uma WAN, mais
normalmente a Internet.
PPP – fornece conexões roteador-a-roteador e host-a-rede em circuitos síncronos e
assíncronos. O PPP funciona com vários protocolos da camada de rede, como IP e IPX. O PPP
também tem mecanismos de segurança internos, como PAP e CHAP. Grande parte deste
capítulo aborda o PPP.
Protocolo de internet de linha serial (SLIP, Serial Line Internet Protocol) – um protocolo
padrão para conexões seriais ponto-a-ponto que utiliza TCP/IP. O SLIP foi amplamente
desbancado por PPP.
X.25/Procedimento de acesso ao link, balanceado (LAPB, Link Access Procedure,
Balanced) – o padrão ITU-T que define como a conexão entre um DTE e um DCE é mantida
para acesso ao terminal remoto e uma comunicação do computador em redes de dados
públicas. X.25 especifica LAPB, um protocolo DLL (camada de enlace). X.25 é um antecessor do
Frame Relay.
Frame Relay – protocolo DLL, padrão, comutado, que lida com vários circuitos virtuais.
Frame Relay é um protocolo da geração seguinte à do X.25. Frame Relay elimina alguns dos
processos mais demorados (como correção de erro e controle de fluxo) empregados no X.25.
O próximo capítulo se destina ao Frame Relay.
ATM – o padrão internacional de retransmissão de célula no qual os dispositivos
enviam vários tipos de serviço (como voz, vídeo ou dados) em células de tamanho fixo (53
bytes). As células de tamanho fixo permitem que o processamento ocorra no hardware, o que
reduz atrasos de trânsito. O ATM usufrui meio de transmissão de alta velocidade, como E3,
SONET e T3.

Página 31
 Figura 17 - Protocolos de encapsulamento WAN

Estabelecendo uma sessão PPP

A figura 18 mostra as três fases do estabelecimento de uma sessão PPP:

Fase 1: estabelecimento do link e negociação da configuração – antes do PPP trocar

diagramas da camada de rede (por exemplo, IP), o LCP deve abrir primeiro a conexão e
negociar as opções de configuração. Essa fase é concluída quando o roteador de recebimento
envia um quadro de confirmação da configuração de volta para o roteador que inicia a
conexão.
Fase 2: determinação da qualidade do link (opcional) – o LCP testa o link para
determinar se a qualidade do link é suficiente para carregar protocolos da camada de rede. O
LCP pode atrasar a transmissão das informações do protocolo da camada de rede até a
conclusão dessa fase.
Fase 3: negociação da configuração do protocolo da camada de rede – depois que o
LCP conclui a fase de determinação da qualidade do link, o NCP apropriado pode configurar
separadamente os protocolos da camada de rede, carregá-los e desativá-los a qualquer
momento. Se o LCP fechar o link, ele informará os protocolos da camada de rede para que eles
possam executar a ação apropriada.

Página 32
 Figura 18 - Fases do PPP

O link continua configurado para comunicação até que os quadros LCP ou NCP
explícitos fechem o link ou até que ocorra algum evento externo (por exemplo, um
temporizador de inatividade expira ou um usuário intervém). O LCP pode encerrar o link a
qualquer momento. Isso costuma ser feito quando um dos roteadores solicita o encerramento,
mas pode acontecer por conta de um evento físico, como a perda de uma operadora ou a
expiração de um temporizador de período inativo.

Funcionamento LCP

O funcionamento LCP inclui provisões para o estabelecimento, a manutenção e o

encerramento do link. O funcionamento LCP utiliza três classes de quadros LCP para realizar o
trabalho de cada uma das fases LCP:

 Quadros de estabelecimento de link estabelecem e configuram um link

(Configure-Request, Configure-Ack, Configure-Nak e Configure-Reject)
 Quadros de manutenção de link gerenciam e depuram um link (Code-Reject,
Protocol-Reject, Echo-Request, Echo-Reply e Discard-Request)
 Quadros de encerramento de link encerram um link (Terminate-Request e
Terminate-Ack)

A primeira fase do funcionamento LCP é o estabelecimento do link. Essa fase deve ser
concluída com êxito, antes de troca de qualquer pacote da camada de rede. Durante o
estabelecimento do link, o LCP abre a conexão e negocia os parâmetros da configuração.

Página 33
 Figura 19 - Estabelecimento do Link

O processo de estabelecimento do link começa com o dispositivo iniciador enviando

um quadro Configure-Request para o destinatário. O quadro Configure-Request inclui um
número variável de opções de configuração necessárias à configuração no link. Em outras
palavras, o iniciador enviou uma "lista de desejos" para o destinatário.

A lista de desejos do iniciador inclui opções para como ele deseja que o link seja
criado, inclusive protocolo ou parâmetros de autenticação. O destinatário processa a lista de
desejos e, se aceitável, responde com uma mensagem Configure-Ack. Depois de receber a
mensagem Configure-Ack, o processo passa ao estágio de autenticação.

Se as opções não forem aceitáveis ou não forem reconhecidas, o destinatário enviará

um Configure-Nak ou Configure-Reject. Se uma Configure-Ack for recebida, o funcionamento
do link será passado ao NCP. Se uma mensagem Configure-Nak ou Configure-Reject for
enviada para o solicitante, o link não será estabelecido. Se houver falha na negociação, o
iniciador precisará reiniciar o processo com novas opções.

Durante a manutenção do link, o LCP pode utilizar mensagens para fornecer

comentários e testar o link (Figura 19).

Code-Reject e Protocol-Reject – esses tipos de quadro fornecem comentários quando

um dispositivo recebe um quadro inválido devido a um código LCP não reconhecido (tipo de
quadro LCP) ou um identificador de protocolo inválido. Por exemplo, se um pacote que não
pode ser interpretado for recebido no mesmo nível, o pacote Code-Reject será enviado em
resposta.
Echo-Request, Echo-Reply e Discard-Request – esses quadros podem ser utilizados
para testar o link.

Página 34
 Depois da transferência de dados na camada de rede, o LCP encerra o link. Na figura,
observe que o NCP só finaliza a camada de rede e o link NCP. O link continua aberto até que o
LCP seja encerrado. Se o LCP encerrar o link antes do NCP, a sessão NCP também será
encerrada.

O PPP pode encerrar o link a qualquer momento. Isso pode acontecer por conta da
perda da operadora, da falha na autenticação, da falha na qualidade do link, da expiração de
um temporizador de período inativo ou do fechamento administrativo do link. O LCP fecha o
link, trocando pacotes Terminate. O dispositivo que inicia o desligamento envia uma
mensagem Terminate-Request. O outro dispositivo responde com um Terminate-Ack. Uma
solicitação de encerramento indica que o dispositivo de envio precisa fechar o link. Quando o
link for fechado, o PPP informará os protocolos da camada de rede para que eles possam
executar a ação apropriada.

Opções de configuração PPP

O PPP pode ser configurado para suportar várias funções, inclusive:

 Autenticação que utiliza PAP ou CHAP

 Compressão que utiliza Stacker ou Predictor
 Vários links que integram dois ou mais canais para aumentar a largura de
banda WAN

Essas opções serão abordadas com mais detalhes na próxima seção.

Para negociar a utilização dessas opções PPP, os quadros de estabelecimento do link

LCP contêm informações de opção no campo de dados do quadro LCP. Se uma opção de
configuração não for incluída em um quadro LCP, o valor padrão dessa opção de configuração
será assumido.

Essa fase é concluída quando um quadro de confirmação da configuração foi enviado e

recebido.

Processo NCP

Depois que o link for iniciado, o LCP passará o controle para o NCP apropriado. Embora
inicialmente projetado para datagramas IP, o PPP pode transportar dados de muitos tipos de
protocolos da camada de rede, utilizando uma abordagem modular em sua implementação.
Ele também pode transportar dois ou mais protocolos da Camada 3 simultaneamente. O
modelo modular permite ao LCP configurar o link e apresentar os detalhes de um protocolo de
rede a um NCP específico. Cada protocolo de rede tem um NCP correspondente. Cada NCP
tem uma RFC correspondente. Há NCPs para IP, IPX, AppleTalk e muitos outros. NCPs utilizam
o mesmo formato de pacote dos LCPs.

Depois que o LCP configurou e autenticou o link básico, o NCP apropriado será
requisitado para concluir a configuração específica do protocolo da camada de rede utilizado.
Quando o NCP configurar o protocolo da camada de rede com êxito, o protocolo de rede
estará no estado aberto no link TCP estabelecido. Nesse momento, o PPP pode transportar os
pacotes do protocolo da camada de rede correspondentes.

Página 35
 Exemplo de IPCP

Como um exemplo de como funciona a camada NCP, IP, que é o protocolo da Camada
3 mais comum, é utilizado. Depois que LCP estabelece o link, os roteadores trocam mensagens
IPCP, negociando opções específicas do protocolo. O IPCP é responsável por configurar,
habilitar e desabilitar os módulos IP em ambas as extremidades do link.

O IPCP negocia duas opções:

 Compressão – permite aos dispositivos negociar um algoritmo para comprimir

os cabeçalhos TCP e IP e economizar largura de banda. A compressão de
cabeçalho TCP/IP Van Jacobson reduz o tamanho dos cabeçalhos TCP/IP para
menos de 3 bytes. Essa pode ser uma melhoria significativa em linhas seriais
lentas, especialmente no tráfego interativo.
 Endereço IP – permite ao dispositivo de início especificar um endereço IP para
utilizar IP de roteamento no link PPP ou solicitar um endereço IPP para o
destinatário. Os links de rede dialup utilizam mais a opção de endereço IP.

Quando o processo NCP estiver concluído, o link entrará no estado aberto e o LCP
reassumirá. O tráfego de link consiste em todas as combinações possíveis de pacotes de
protocolos LCP, NCP e da camada de rede. Dessa forma, a figura mostra como as mensagens
LCP podem ser utilizadas por um dispositivo para gerenciar ou depurar o link.

Opções de configuração PPP

Na seção anterior, você foi apresentado a opções LCP que podem ser configuradas
para atender a requisitos de conexão WAN específicos. PPP pode incluir as seguintes opções
de LCP:

Autenticação – os roteadores de mesmo nível trocam mensagens de autenticação. As

duas opções de autenticação são o Protocolo de autenticação de senha (PAP, Password
Authentication Protocol) e o Protocolo avançado de autenticação de reconhecimento (CHAP,
Challenge Handshake Authentication Protocol). A autenticação será explicada na próxima
seção.
Compressão – aumenta a produtividade efetiva em conexões PPP, reduzindo a
quantidade de dados no quadro que devem percorrer o link. O protocolo descompacta o
quadro em seu destino. Os dois protocolos de compressão disponíveis em roteadores Cisco
são Stacker e Predictor.
Detecção de erros – identifica condições de falha. As opções Qualidade e Magic
Number ajudam a assegurar um enlace de dados confiável, sem loops. O campo Magic
Number ajuda a detectar links que estejam em uma condição de loopback. Até que a opção de
configuração do magic number seja negociada com êxito, este deve ser transmitido como zero.
Os números mágicos (magic numbers) são gerados aleatoriamente ao final de cada conexão.
Vários links – o Cisco IOS Release 11.1 e posteriores suportam PPP de vários links. Essa
alternativa fornece balanceamento de carga nas interfaces de roteador utilizadas pelo PPP. O
PPP multilink (também conhecido como MP, MPPP, MLP ou multilink) fornece um método
para espalhar o tráfego em vários links de WAN físicos ao mesmo tempo em que fornece a
fragmentação e a remontagem de pacotes, o seqüenciamento apropriado, a
interoperabilidade com vários fornecedores e o balanceamento de carga no tráfego de
entrada e de saída. O multilink PPP não é abordado neste curso.

Página 36
 Retorno PPP – para aperfeiçoar a segurança, o Cisco IOS Release 11.1 e posteriores
oferecem PPP callback. Com essa opção LCP, um roteador Cisco pode funcionar como um
cliente ou um servidor de retorno. O cliente faz a chamada inicial, solicita que o servidor a
retorne e encerra sua chamada inicial. O roteador de retorno responde a chamada inicial e faz
a chamada de retorno para o cliente com base em suas instruções de configuração. O
comando é ppp callback [accept | request].

Quando as opções são configuradas, um valor de campo correspondente é inserido no

campo de opção LCP.

1.4.4 Conceitos do Frame Relay

O Frame Relay tornou-se a tecnologia WAN mais usada no mundo. Grandes empresas,
governos, provedores de Internet e pequenas empresas usam o Frame Relay, principalmente
por causa de seu preço e flexibilidade. Como as organizações estão crescendo e dependem
cada vez mais do transporte de dados confiável, as soluções tradicionais de linha alugada são
proibitivamente caras. O ritmo das alterações tecnológicas e as fusões e aquisições na
indústria de rede exigem mais flexibilidade.

O Frame Relay reduz os custos de rede usando menos equipamento, menos

complexidade e uma implementação mais fácil. Além disso, o Frame Relay fornece mais
largura de banda, confiabilidade e flexibilidade do que as linhas alugadas ou privadas. Com o
aumento da globalização e o crescimento de topologias múltiplas de filial, o Frame Relay
oferece arquitetura de rede mais simples e custo de propriedade inferior.

Usar o exemplo da rede de uma grande empresa ajuda a ilustrar os benefícios do uso
do Frame Relay. No exemplo mostrado na figura, a Span Engineering possui cinco campus na
América do Norte. Como a maioria das organizações, os requisitos de largura de banda da
Span não se ajustam a uma solução padrão.

O primeiro item a ser considerado é o requisito de largura de banda de cada local.

Trabalhando na sede, a conexão de Chicago a Nova York exige uma velocidade máxima de 256
kb/s. Três outros locais precisam de uma velocidade máxima de 48 kb/s para conexão com a
sede, enquanto a conexão entre as filiais de Nova York e de Dallas exige somente 12 kb/s.

Antes do Frame Relay, a Span alugou linhas dedicadas. Usando linhas alugadas, cada
local da Span é conectado por meio de um switch no escritório central (CO, central office) da
empresa de telefonia local através do loop local e, em seguida, através da rede inteira. Os
escritórios de Chicago e de Nova York usam uma linha dedicada T1 (equivalente a 24 canais
DS0) para conectar-se ao switch, enquanto outros escritórios usam conexões ISDN (56 kb/s).
Como o escritório de Dallas conecta-se ao de Nova York e ao de Chicago, possui duas linhas
localmente alugadas. Os provedores de rede forneceram à Span um DS0 entre os respectivos
COs, exceto para o ponto maior que conecta Chicago a Nova York, que tem quatro DS0s. Os
preços dos DS0s variam de acordo com a região e normalmente são oferecidos por um preço
fixo. Essas linhas são verdadeiramente dedicadas, pois o provedor de rede as reserva para a
Span. Não há nenhum compartilhamento. Além disso, a Span está pagando pelo circuito fim-a-
fim, independentemente da quantidade de largura de banda usada.

Uma linha dedicada não fornece muita oportunidade prática para uma conexão
múltipla sem obter mais linhas do provedor de rede. No exemplo, quase toda a comunicação
deve fluir pela sede corporativa simplesmente para reduzir o custo de linhas adicionais.

Página 37
 Se você analisar o que cada local exige em termos de largura de banda, notará uma
falta de eficiência:

Dos 24 canais DSO disponíveis na conexão T1, o escritório de Chicago usa somente
sete. Algumas operadoras oferecem conexões T1 fracionárias em incrementos de 64 kb/s, mas
isso requer um multiplexador especializado na extremidade do cliente para canalizar os sinais.
Nesse caso, a Span optou pelo serviço completo de T1.
De maneira semelhante, o escritório de Nova York usa somente cinco de seus 24 DSOs
disponíveis.
Como Dallas precisa conectar-se a Chicago e Nova York, há duas linhas que fazem a
conexão com cada local através do CO.

O design de linha alugada também limita a flexibilidade. A menos que os circuitos já

estejam instalados, a conexão de novos sites normalmente exigirá novas instalações de
circuito e levará um tempo considerável para ser implementada. De um ponto de vista de
confiabilidade de rede, imagine os custos adicionais e a complexidade de adicionar circuitos
extras e redundantes.

Figura 20 - Rede Frame-Relay

A rede Frame Relay da Span usa circuitos virtuais permanentes (PVCs). O PVC é o
caminho lógico entre um link de origem do Frame Relay, através da rede, e um link Frame
Relay de finalização para seu destino definitivo. Compare-o ao caminho físico usado por uma
conexão dedicada. Em uma rede com acesso Frame Relay, um PVC define exclusivamente o
caminho entre dois pontos de extremidade. O conceito de circuitos virtuais será discutido em
mais detalhes posteriormente nesta seção. A solução de Frame Relay da Span fornece
economia e flexibilidade.

O Frame Relay é uma opção mais econômica por dois motivos. Primeiro, com linhas
dedicadas, os clientes pagam por uma conexão fim-a-fim. Isso inclui o loop local e o link de
rede. Com o Frame Relay, os clientes pagam somente pelo loop local e pela largura de banda
que compram do provedor de rede. A distância entre os nós não é importante. Em um modelo
de linha dedicada, os clientes usam essas linhas fornecidas em incrementos de 64 kb/s. Os

Página 38
clientes de Frame Relay podem definir suas necessidades de circuito virtual em uma
granularidade muito maior, frequentemente em incrementos pequenos de até 4 kb/s.

O segundo motivo pelo qual o Frame Relay é econômico é que ele compartilha largura
de banda com uma base maior de clientes. Normalmente, um provedor de rede pode servir 40
ou mais de 56 kb/s aos clientes em um circuito de T1. Usar linhas dedicadas exigiria mais
DSU/CSUs (um para cada linha), além de roteamento e comutação mais complexos. Os
provedores de rede economizam porque há menos equipamento para comprar e manter.

A flexibilidade do Frame Relay

Um circuito virtual fornece flexibilidade considerável no design de rede. Olhando para

a figura, você pode observar que todos os escritórios da Span conectam-se à nuvem Frame
Relay através de seus respectivos loops locais. O que acontece na nuvem não tem nenhuma
importância no momento. O que importa é que quando um escritório da Span deseja se
comunicar com outro, basta conectar-se a um circuito virtual que conduz ao outro escritório.
No Frame Relay, o fim de cada conexão tem um número para identificá-la. Esse número é
chamado de Identificador de conexão de enlace de dados (DLCI, Data Link Connection
Identifier). Qualquer estação pode conectar-se às demais. Para isso, basta informar o endereço
dessa estação e o número de DLCI da linha que precisa usar. Em uma seção posterior, você
aprenderá que, quando o Frame Relay é configurado, todos os dados de todos os DLCIs
configurados fluem pela mesma porta do roteador. Tente imaginar a mesma flexibilidade
usando linhas dedicadas. Não é apenas complicado, mas também exige muito mais
equipamento.

Se for feita uma comparação representativa de custos para conexões comparáveis ISDN
e Frame Relay, verifica-se que embora os custos iniciais do Frame Relay sejam mais altos do
que os de ISDN, o custo mensal é consideravelmente menor. O Frame Relay é mais fácil de
gerenciar e configurar do que ISDN. Além disso, os clientes podem aumentar sua largura de
banda de acordo com o aumento das suas necessidades no futuro. Os clientes de Frame Relay
só pagam pela largura de banda de que precisam. Com o Frame Relay, não há cobranças por
hora. Já as chamadas de ISDN são medidas em metros e podem resultar em despesas mensais
inesperadamente altas com a empresa de telefonia, se uma conexão em tempo integral for
mantida.

Circuitos virtuais

A conexão por uma rede Frame Relay entre dois DTEs é chamada de circuito virtual
(VC). Os circuitos são virtuais porque não há conexão elétrica direta fim-a-fim. A conexão é
lógica, e os dados se movem fim-a-fim, sem um circuito elétrico direto. Com os VCs, o Frame
Relay compartilha a largura de banda entre vários usuários. Além disso, os sites podem
comunicar-se entre si sem usar várias linhas físicas dedicadas.

Há duas maneiras de estabelecer VCs:

 SVCs, circuitos virtuais comutados, são estabelecidos dinamicamente enviando

mensagens de sinalização à rede (CONFIGURAÇÃO DE CHAMADA,
TRANSFERÊNCIA DE DADOS, INATIVO, ENCERRAMENTO DE CHAMADA).

Página 39
  PVCs, circuitos virtuais permanentes, são pré-configurados pela operadora e,
depois de configurados, funcionam somente nos modos TRANSFERÊNCIA DE
DADOS e INATIVO. Algumas publicações referem-se aos PVCs como VCs
privados.

Figura 21 - Circuitos virtuais

Na figura 21, há um VC entre os nós de envio e de recebimento. O VC segue o caminho

A, B, C, e D. O Frame Relay cria um VC armazenando mapeamento de porta de entrada a porta
de saída na memória de cada switch e, assim, vincula um switch ao outro até identificar um
caminho contínuo de uma extremidade à outra do circuito. Um VC pode percorrer qualquer
número de dispositivos intermediários (switches) localizados na rede Frame Relay.

Neste momento, você deve estar se perguntando: “Como os vários nós e switches são
identificados”?

Figura 22 - DLCI

Os VCs fornecem um caminho de comunicação bidirecional de um dispositivo ao outro.

Os VCs são identificados por DLCIs. Os valores de DLCI são atribuídos normalmente pela
operadora de Frame Relay (por exemplo, a empresa de telefonia). Os DLCIs do Frame Relay

Página 40
têm importância local, o que significa que os próprios valores não são exclusivos na WAN
Frame Relay. Um DLCI identifica um VC para o equipamento em um ponto de extremidade.
Um DLCI não tem nenhuma importância além do único link. Dois dispositivos conectados por
um VC podem usar um valor de DLCI diferente para se referir à mesma conexão.

Os DLCIs de importância local tornaram-se o principal método de endereçamento, pois

o mesmo endereço pode ser usado em vários locais diferentes e ainda assim referir-se a
conexões diferentes. O endereçamento local evita que um cliente fique sem DLCIs à medida
que a rede cresce.

Figura 23 - Interligação de DLCI's

Essa rede é a mesma que foi apresentada na figura 22. Porém, desta vez, à medida que
o quadro se move pela rede, o Frame Relay rotula cada VC com um DLCI. O DLCI é armazenado
no campo de endereço de todos os quadros transmitidos para informar à rede como o quadro
deverá ser roteado (Figura 23). A operadora de Frame Relay atribui números de DLCI.
Geralmente, os DLCIs de 0 a 15 e de 1008 a 1023 são reservados para fins especiais. Portanto,
as operadoras geralmente atribuem os DLCIs do intervalo de 16 a 1007.

Neste exemplo, o quadro usa o DLCI 102. Ele deixa o roteador (R1) usando a porta 0 e
o VC 102. No switch A, o quadro sai pela porta 1 usando o VC 432. Esse processo de
mapeamento de portas de VC continuará pela WAN até que o quadro alcance seu destino no
DLCI 201, conforme mostrado na figura. O DLCI é armazenado no campo de endereço de todos
os quadros transmitidos.

Vários VCs

O Frame Relay é estatisticamente multiplexado. Isso significa que, embora ele

transmita apenas um quadro por vez, muitas conexões lógicas podem coexistir em uma única
linha física. O dispositivo de acesso Frame Relay (FRAD) ou o roteador conectado à rede Frame
Relay pode ter vários VCs que o conecta a vários pontos de extremidade. Vários VCs em uma
única linha física são diferenciados porque cada VC tem seu próprio DLCI. Lembre-se de que a
importância do DLCI é apenas local e pode ser diferente em cada extremidade de um VC.

Página 41
 A figura 24 mostra um exemplo de dois VCs em uma única linha de acesso, cada um
com seu próprio DLCI, conectados a um roteador (R1).

Figura 24 - Múltiplos VC's

Esse recurso frequentemente reduz a complexidade do equipamento e da rede,

necessária para conectar vários dispositivos. Por esse motivo, ele representa uma alternativa
muito econômica para uma malha (mesh) de linhas de acesso. Com essa configuração, cada
ponto de extremidade precisa de apenas uma linha de acesso e uma interface. É possível
economizar mais, pois a capacidade da linha de acesso é baseada no requisito de largura de
banda média dos VCs, e não no requisito de largura de banda máxima.

Figura 25 - relacionamento de Locais com VC's

Página 42
 Por exemplo, a Span Engineering está presente em cinco locais, com sede em Chicago. O
escritório de Chicago está conectado à rede usando cinco VCs, e cada VC recebe um DLCI
(Figura 25).

Custo Benefício de vários VCs

Lembre-se do exemplo anterior de como a Span Engineering evoluiu de uma rede de

linha dedicada para uma rede Frame Relay. Observe especificamente a tabela que compara o
custo de uma única conexão Frame Relay comparada a uma conexão ISDN de tamanho
semelhante. Com o Frame Relay, os clientes pagam pela largura de banda que utilizam. De
fato, eles pagam por uma porta de Frame Relay.
Ao aumentar o número de portas, conforme descrito acima, eles pagam por mais
largura de banda mas não haveria necessidade de pagar por mais equipamentos porque as
portas são virtuais. Não há nenhuma alteração na infraestrutura física. Compare este
procedimento com uma compra de mais largura de banda usando linhas dedicadas.

O processo de encapsulamento do Frame Relay

O Frame Relay recebe pacotes de dados de um protocolo de camada de rede, como IP

ou IPX, os encapsula como parte de dados de um quadro Frame Relay e, então, transmite o
quadro à camada física para ser enviado pelo cabo. Para entender como esse processo
funciona, será útil entender como ele se relaciona com as camadas inferiores do modelo OSI.

A figura 26 mostra como o Frame Relay encapsula os dados para o transporte e os

move até a camada física para entrega.

Figura 26 - Encapsulamento do Frame-Relay

Primeiro, o Frame Relay aceita um pacote de um protocolo da camada de rede, como

o IP. Em seguida, ele o empacota com um campo de endereço que contém o DLCI e uma soma
de verificação. Campos de sinalização são adicionados para indicar o início e o final do quadro.
Os campos de sinalização marcam o início e o final do quadro, e são sempre os mesmos. Os
sinalizadores são representados como o número hexadecimal 7E ou como o número binário
01111110. Depois que o pacote é encapsulado, o Frame Relay transmite o quadro à camada
física para o transporte.

Página 43
Figura 27 - Enacapsulamento antes de enviar pelo VC

O roteador CPE encapsula cada pacote da Camada 3 dentro de um cabeçalho e um

trailer Frame Relay antes de enviá-lo pelo VC (Figura27). O cabeçalho e o trailer são definidos
pela especificação de serviços de portador do Procedimento de acesso ao link para Frame
Relay (LAPF, Link Access Procedure for Frame Relay), ITU Q.922-A. Especificamente, o
cabeçalho Frame Relay (campo de endereço) contém o seguinte:

 DLCI - O DLCI de 10 bits é a essência do cabeçalho Frame Relay. Esse valor

representa a conexão virtual entre o dispositivo DTE e o switch. Cada conexão
virtual multiplexada no canal físico é representada por um DLCI exclusivo. A
importância dos valores de DLCI é apenas local, o que significa que eles só são
exclusivos para o canal físico no qual residem. Portanto, os dispositivos em
extremidades opostas de uma conexão podem usar valores de DLCI diferentes
para referir-se à mesma conexão virtual.
 Endereço Estendido (EA) - Se o valor do campo de EA for 1, o byte atual será
determinado para ser o último octeto do DLCI. Embora todas as
implementações de Frame Relay atuais utilizem um DLCI de dois octetos, esse
recurso permitirá DLCIs mais longos no futuro. O oitavo bit de cada byte do
campo de endereço indica o EA.
 C/R - Segue o DLCI mais significativo do campo de endereço. O bit de C/R
geralmente não é usado pelo Frame Relay.
 Controle de congestionamento - Contém 3 bits que controlam os mecanismos
da notificação de congestionamento do Frame Relay. Os bits FECN, BECN e DE
são os três últimos bits no campo de endereço. O controle de
congestionamento será discutido em um tópico posterior.

A camada física é geralmente EIA/TIA -232, 449 ou 530, V.35 ou X.21. O quadro Frame
Relay é um subconjunto do tipo de quadro HDLC. Portanto, ele é delimitado com campos de
sinalização. O sinalizador de 1 byte usa o padrão de bits 01111110. O FCS determina se
qualquer erro no campo de endereço da Camada 2 ocorreu durante a transmissão. O FCS é
calculado antes da transmissão pelo nó de envio, e o resultado é inserido no campo FCS. Na
extremidade a frente, um segundo valor de FCS é calculado e comparado ao FCS no quadro. Se
os resultados forem os mesmos, o quadro será processado. Se houver diferenças, o quadro
será descartado. O Frame Relay não notifica a origem quando um quadro é descartado. O
controle de erros é deixado para as camadas superiores do modelo OSI.

Página 44
1.4.6 Topologias Frame Relay

Quando mais de dois locais forem conectados, você deverá considerar a topologia das
conexões entre eles. Uma topologia é o mapa ou o layout visual da rede Frame Relay. É
necessário considerar a topologia de várias perspectivas para entender a rede e o
equipamento usado para criá-la. Topologias completas para projeto, implementação, operação
e manutenção incluem mapas de visão geral, mapas de conexão lógica, mapas funcionais e
mapas de endereços que mostram o equipamento em detalhes e os links de canal.

As redes Frame Relay econômicas vinculam dezenas ou até mesmo centenas de locais.
Considerando que uma rede corporativa pode abranger qualquer número de operadoras e
incluir redes de negócios adquiridos com projeto básico diferente, documentar topologias
pode ser um processo muito complicado. No entanto, cada rede ou segmento de rede pode
ser exibido como um dos três seguintes tipos de topologia: estrela, malha completa (Full mesh)
ou malha parcial (Partial Mesh).

Topologia em estrela (Hub-and-spoke)

A topologia WAN mais simples é a estrela, conforme mostrado na figura 28. Por
exemplo, nessa topologia, a Span Engineering tem um local central em Chicago que atua como
um hub e hospeda os principais serviços. A Span cresceu e recentemente e abriu um escritório
em San Jose. O uso do Frame Relay facilitou relativamente essa expansão.

Figura 28 - Topologia Estrela

As conexões com cada um dos cinco locais remotos atuam como spokes. Em uma
topologia estrela, o local do hub geralmente é escolhido pelo menor custo da linha alugada. Ao
implementar uma topologia estrela com Frame Relay, cada local remoto tem um link de acesso
à nuvem Frame Relay com um único VC.

Página 45
 Figura 29 - Por Dentro da Topologia Estrela

Esta é a topologia estrela no contexto de uma nuvem Frame Relay. O hub em Chicago
tem um link de acesso com vários VCs, um para cada local remoto. As linhas que saem da
nuvem representam as conexões da operadora de Frame Relay e terminam no equipamento
do cliente. A velocidade dessas linhas normalmente varia de 56.000 bp/s para E-1 (2.048 Mb/s)
e mais rápida. Um ou mais números de DLCI são atribuídos a cada ponto de extremidade da
linha (figura 29). Como os custos do Frame Relay não estão relacionados à distância, o hub não
precisa estar no centro geográfico da rede.

Topologia de malha completa

Esta figura 30 representa uma topologia de malha completa que usa linhas dedicadas.
Uma topologia de malha completa é adequada a situações nas quais os serviços a serem
acessados estão geograficamente dispersos e há necessidade de acesso altamente confiável a
eles. Uma topologia de malha completa conecta todos os locais entre si. O uso de
interconexões de linha alugada, interfaces seriais adicionais e linhas aumentam os custos.
Neste exemplo, são necessárias 10 linhas dedicadas para interconectar cada site em uma
topologia de malha completa.

Figura 30 - Topologia de Malha Completa

Usando o Frame Relay, um programador de rede pode criar várias conexões

simplesmente configurando VCs adicionais em cada link existente. Essa melhoria de software
aumenta a topologia estrela para uma topologia de malha completa sem a despesa de

Página 46
hardware adicional ou de linhas dedicadas. Como os VCs usam multiplexação estatística, vários
VCs em um link de acesso geralmente fazem melhor uso do Frame Relay do que VCs
separados. A figura mostra como a Span usou quatro VCs em cada link para dimensionar sua
rede sem adicionar novo hardware. As operadoras cobrarão pela largura de banda adicional,
mas essa solução geralmente é mais econômica do que o uso de linhas dedicadas.

Topologia de malha parcial

Para grandes redes, uma topologia de malha completa raramente está disponível, pois
o número de links necessários aumenta drasticamente. O problema não está no custo do
hardware, e sim no limite teórico de menos de 1.000 VCs por link. Na prática, o limite é menor
do que esse.

Por esse motivo, geralmente as redes maiores são configuradas em uma topologia de
malha parcial. Com a malha parcial, há mais interconexões do que o necessário para uma
disposição em estrela e menos do que o necessário para uma malha completa. O padrão real
depende dos requisitos de fluxo de dados.

Mapeamento de Endereço Frame Relay

Para que um roteador Cisco possa transmitir dados por Frame Relay, ele precisa saber
qual DLCI local mapeia para o endereço da Camada 3 do destino remoto. Os roteadores Cisco
suportam todos os protocolos da camada de rede sobre Frame Relay, como IP, IPX e AppleTalk.
Esse mapeamento endereço-para-DLCI pode ser realizado por mapeamento estático ou
dinâmico.

ARP inverso

O Protocolo de resolução de endereço (ARP - Address Resolution Protocol) inverso,

também chamado de ARP inverso, obtém endereços da Camada 3 de outras estações de
endereços da Camada 2, como o DLCI em redes Frame Relay. Ele é usado principalmente em
redes Frame Relay e ATM, nas quais os endereços da Camada 2 de VCs são ocasionalmente
obtidos da sinalização da Camada 2, e os endereços correspondentes da Camada 3 devem
estar disponíveis para que esses VCs possam ser usados. Enquanto o ARP determina os
endereços da Camada 3 para os endereços da Camada 2, o ARP inverso faz o oposto.

Mapeamento dinâmico

O mapeamento de endereço dinâmico depende do ARP inverso para determinar um

próximo salto rede endereço de protocolo para um valor de DLCI local. O roteador de Frame
Relay envia solicitações ARP inverso em seu PVC para descobrir o endereço de protocolo do
dispositivo remoto conectado à rede Frame Relay. O roteador usa as respostas para preencher
uma tabela de mapeamento de endereço-para-DLCI no roteador de Frame Relay ou no
servidor de acesso. O roteador cria e mantém essa tabela de mapeamento, que contém todas
as solicitações ARP inverso determinadas, incluindo entradas de mapeamento dinâmicas e
estáticas.

Página 47
 Figura 31 - Saída do comando Frame-Relay

A figura 31 mostra a saída do comando show frame-relay map. Você pode observar
que a interface está ativada e que o endereço IP de destino é 10.1.1.2. O DLCI identifica a
conexão lógica que está sendo usada para alcançar essa interface. Esse valor é exibido de três
maneiras: seu valor decimal (102), seu valor hexadecimal (0 x 66), e seu valor como apareceria
no cabo (0 x 1860). Essa entrada é estática, e não dinâmica. O link está usando
encapsulamento Cisco, em vez de encapsulamento IETF.

Em roteadores Cisco, o ARP inverso é habilitado por padrão para todos os protocolos
habilitados na interface física. Pacotes de ARP inverso não são enviados para protocolos que
não estão habilitados na interface.

Figura 32 - ARP inverso

O usuário pode optar por sobrescrever o mapeamento de ARP inverso dinâmico

fornecendo um mapeamento estático manual para o endereço de protocolo de próximo salto
a um DLCI local. Um mapa estático funciona de maneira semelhante ao ARP inverso dinâmico
associando um endereço de protocolo de próximo salto especificado a um DLCI local do Frame
Relay. Não é possível usar o ARP inverso e uma instrução de mapa para o mesmo DLCI e
protocolo.

Um exemplo do uso do mapeamento de endereço estático é uma situação na qual o

roteador que está do outro lado da rede Frame Relay não suporta ARP inverso dinâmico para
um protocolo de rede específico (Figura 32). Para fornecer acessibilidade, é necessário um
mapeamento estático para completar o endereço remoto da camada de rede para a resolução
de DLCI local.

Página 48
 Outro exemplo está em uma rede Frame Relay hub-and-spoke. Use o mapeamento de
endereço estático nos roteadores spoke para fornecer acessibilidade spoke-to-spoke. Como os
roteadores spoke não têm conectividade direta entre si, o ARP inverso dinâmico não
funcionaria entre eles. O ARP inverso dinâmico depende da presença de uma conexão ponto-
a-ponto direta entre as duas extremidades. Nesse caso, o ARP inverso dinâmico só funciona
entre hub-and-spoke, e os spokes exigem mapeamento estático para fornecer acessibilidade
entre si.

Configurando o mapeamento estático

O estabelecimento do mapeamento estático depende das suas necessidades de rede.

Veja a seguir os vários comandos a serem usados:

Para mapear um endereço de protocolo de próximo salto para o endereço de destino

do DLCI, use este comando: frame-relay map protocol protocol-address dlci [broadcast] [ietf]
[cisco].

Use a palavra-chave ietf ao conectar-se a um roteador que não seja Cisco.

Você pode simplificar muito a configuração do protocolo OSPF adicionando a palavra-

chave opcional broadcast ao executar essa tarefa.

A figura mostra um exemplo de mapeamento estático em um roteador Cisco. Nesse

exemplo, o mapeamento de endereço estático é executado na interface serial 0/0/0 e o
encapsulamento Frame Relay usado no DLCI 102 é CISCO. Conforme visualizado nas etapas de
configuração, o mapeamento estático do endereço que utiliza o comando frame-relay map
permite que os usuários selecionem o tipo de encapsulamento Frame Relay usado por VC. A
configuração do mapeamento estático será discutida em mais detalhes na próxima seção.

Interface de gerenciamento local (LMI)

Uma revisão do histórico de rede o ajudará a entender a função desempenhada pela

Interface de gerenciamento local (LMI, Local Management Interface). O projeto de Frame
Relay proporciona transferência de dados comutada por pacote com atrasos mínimos fim-a-
fim. O projeto original omite qualquer coisa que possa contribuir para atrasos.

Quando os fornecedores implementaram o Frame Relay como uma tecnologia

separada, e não como um componente de ISDN, decidiram que era necessário que os DTEs
adquirissem informações dinamicamente sobre o status da rede. No entanto, o projeto
original não incluía esse recurso. Um consórcio entre a Cisco, a Digital Equipment Corporation
(DEC), a Northern Telecom e a StrataCom estendeu o protocolo Frame Relay para fornecer
recursos adicionais a ambientes complexos de rede. Essas extensões são chamadas
coletivamente de LMI.

Basicamente, a LMI é um mecanismo de keepalive que fornece informações de status

sobre conexões Frame Relay entre o roteador (DTE) e o switch Frame Relay (DCE). A cada 10
segundos, aproximadamente, o dispositivo final sonda a rede, solicitando uma resposta de
sequência dumb ou informações de status do canal. Se a rede não responder com as
informações solicitadas, o dispositivo do usuário poderá considerar que a conexão está inativa.
Quando a rede responder com FULL STATUS, ela incluirá informações de status sobre DLCIs

Página 49
alocados para essa linha. O dispositivo final pode usar essas informações para determinar se as
conexões lógicas podem transmitir dados.

Figura 33 - Frame-Relay LMI

A Figura 33 mostra a saída do comando show frame-relay lmi. A saída do comando

mostra o tipo de LMI usado pela interface Frame Relay e os contadores da sequência de trocas
de status de LMI, incluindo erros como timeouts de LMI.

É fácil confundir a LMI e o encapsulamento. LMI é uma definição das mensagens

usadas entre o DTE (R1) e o DCE (o switch Frame Relay de propriedade da operadora). O
encapsulamento define os cabeçalhos usados por um DTE para comunicar informações ao DTE
na outra extremidade de um VC. O switch e seu roteador conectado se importam em usar a
mesma LMI. O switch não se importa com o encapsulamento. Os roteadores ponto de
extremidade (DTEs) se importam com o encapsulamento.

Extensões de LMI

Além das funções de protocolo do Frame Relay para transferência de dados, a

especificação Frame Relay inclui extensões opcionais de LMI que são extremamente úteis em
um ambiente de rede. Algumas das extensões incluem:

Mensagens de status de VC - Forneçe informações sobre a integridade do PVC

comunicando e sincronizando entre dispositivos, informando periodicamente a existência de
novos PVCs e a exclusão de PVCs já existentes. As mensagens de status de VC impedem que os
dados sejam enviados a buracos negros (PVCs que já não existem).
Multicast - Permite que um remetente transmita um único quadro que é entregue a
vários receptores. O multicast suporta a entrega eficiente de mensagens de protocolo de
roteamento e procedimentos de resolução de endereço que costumam ser enviados
simultaneamente a muitos destinos.

Página 50
 Endereçamento global - Confere aos identificadores de conexão importância global, e
não local, permitindo que eles sejam usados para identificar uma interface específica para a
rede Frame Relay. O endereçamento global faz com que a rede Frame Relay seja semelhante a
uma rede local em termos de endereçamento, e os ARPs se comportam exatamente como se
estivessem em uma rede local.
Controle de fluxo simples - Fornece um mecanismo de controle de fluxo XON/XOFF
que se aplica à interface Frame Relay inteira. Ele se destina aos dispositivos cujas camadas
superiores não podem usar os bits de notificação de congestionamento e precisam de um
pouco de controle de fluxo.

O campo de DLCI de 10 bits suporta identificadores de VC de 1.024: 0 por 1023. As

extensões de LMI reservam alguns desses identificadores, o que reduz o número de VCs
permitidos. As mensagens LMI são trocadas entre o DTE e o DCE usando esses DLCIs
reservados.

Há vários tipos de LMI, e elas são incompatíveis entre si. O tipo de LMI configurado no
roteador deve corresponder ao tipo usado pela operadora. Três tipos de LMIs são suportados
pelos roteadores Cisco:

 Cisco - Extensão de LMI original

 Ansi - Correspondente ao padrão ANSI T1.617 Annex D
 q933a - Correspondente ao padrão ITU Q933 Annex A

Começando pelo software IOS Cisco versão 11.2, o recurso de autodetecção de LMI
padrão detecta o tipo de LMI suportado pelo switch Frame Relay diretamente conectado. Com
base nas mensagens de status LMI que recebe do switch Frame Relay, o roteador configura
automaticamente sua interface com o tipo de LMI suportado reconhecido pelo switch Frame
Relay.

Se for necessário definir o tipo de LMI, use o comando de configuração de interface

frame-relay lmi-type [cisco | ansi | q933a] Se você configurar o tipo de LMI, o recurso de
autodetecção será desabilitado.

Ao configurar manualmente o tipo de LMI, é necessário configurar o intervalo de

keepalive na interface Frame Relay para evitar que as trocas de status entre o roteador e o
switch expirem. As mensagens de troca de status LMI determinam o status da conexão do PVC.
Por exemplo, uma grande falta de correspondência no intervalo de keepalive do roteador e do
switch pode fazer o switch declarar o roteador como inativo.

Por padrão, o intervalo de keepalive é de 10 segundos em interfaces seriais Cisco. Você

pode alterar o intervalo de keepalive com o comando de configuração de interface keepalive.

Página 51
1.5 Domínios de colisão

Os domínios de colisão são os segmentos físicos conectados da rede onde podem

ocorrer colisões. As colisões fazem com que a rede se torne ineficiente. Cada vez que ocorre
uma colisão em uma rede, todas as transmissões são interrompidas por um período de tempo.
A duração deste período de tempo sem transmissões varia e é determinado por um algoritmo
de backoff (recuo) para cada dispositivo da rede.

Os tipos de dispositivos que interconectam os segmentos dos meios definem os

domínios de colisão. Estes dispositivos têm sido classificados como dispositivos da Camada 1, 2
ou 3 do modelo OSI. Os dispositivos da Camada 1 não dividem os domínios de colisão; os
dispositivos da Camada 2 e Camada 3 dividem domínios de colisão. A divisão ou aumento no
número de domínios de colisão pelos dispositivos das Camadas 2 e 3 é também conhecida
como segmentação.

O conceito de fluxo de dados no contexto dos domínios de colisão e broadcast se

concentra em como os quadros de dados se propagam através de uma rede. Ele se refere ao
movimentodos dados através dos dispositivos das Camadas 1, 2 e 3 e como os dados precisam
ser encapsulados para fazerem o percurso com eficácia. Lembre-se de que os dados são
encapsulados na Camada da rede com um endereço IP de origem e de destino, e na Camada
de enlace com um endereço MAC de origem e de destino.

1.6 Redes locais virtuais (VLANs)

Uma importante característica da comutação Ethernet é a sua capacidade de criar

redes locais virtuais (VLANs). Uma VLAN é um agrupamento lógico de estações ou dispositivos
de rede. As VLANs podem ser agrupadas por funções operacionais ou por departamentos,
independentemente do local físico dos usuários. O tráfego entre VLANs é restrito. Os switches
e bridges encaminham o tráfego unicast, multicast e broadcast somente em segmentos da
rede local que servem a VLAN à qual o tráfego pertence. Em outras palavras, os dispositivos
em uma VLAN só comunicam com os dispositivos existentes na mesma VLAN. Os roteadores
providenciam a conectividade entre diferentes VLANs.

As VLANs aumentam o desempenho geral da rede pela agregação lógica dos usuários e
recursos. As empresas utilizam VLANs como uma forma de assegurar que um dado conjunto
de usuários estejam agrupados logicamente independentemente da sua localização física. As
organizações utilizam VLANs para agregar usuários do mesmo departamento, confome figura
34, abaixo:

Página 52
 Figura 34 - VLAN's

As VLANs podem melhorar a escalabilidade, segurança e gerenciamento da rede. Os

roteadores em topologias VLAN oferecem filtragem de broadcast, segurança e gerenciamento
de fluxo de tráfego.

As VLANs apropriadamente projetadas e configuradas são possantes ferramentas para

os administradores de redes. As VLANs facilitam tarefas quando é necessário fazer acréscimos,
mudanças e modificações em uma rede. As VLANs melhoram a segurança de uma rede e
ajudam a controlar broadcasts de Camada 3. Dessa forma, a configuração e implementação
correta das VLANs são críticas ao processo do projeto de uma rede.

As VLANs facilitam a administração de grupos lógicos de estações e servidores de

modo que possam comunicar como se estivessem no mesmo segmento físico de uma rede
local. Elas também facilitam a administração de mudanças, acréscimos e modificações nos
membros desses grupos.

As VLANs segmentam logicamente as redes comutadas com base nas funções

profissionais, departamentos ou equipes de projetos, independentemente da localização física
dos usuários ou das conexões físicas da rede. Todas as estações de trabalho e servidores
utilizados por um grupo de trabalho em particular compartilham a mesma VLAN,
independentemente da sua conexão ou localização física.

1.6.1 Domínios de broadcast com VLANs e roteadores

Uma VLAN é um domínio de broadcast criado por um ou mais switches.

Página 53
Figura 35 - Múltiplas VLAN's

A Figura 35 acima mostra como três switches separados são utilizados para criar três
domínios de broadcast separados. O roteamento de Camada 3 permite que o roteador envie
pacotes para os três domínios de broadcast diferentes.

Para a implementação de VLANs em um switch faz com que ocorram certas ações:

• O switch mantém uma tabela de bridging separada para cada VLAN.

• Se o quadro entrar em uma porta na VLAN 1, o switch procura a VLAN 1 na tabela de
bridging.
• Quando é recebido o quadro, o switch acrescentará o endereço origem à tabela de
bridging se ele for desconhecido no momento.
• O destino será conferido. Assim uma decisão de encaminhamento (forwarding) pode
ser tomada.
• Para fins de aprendizagem e encaminhamento, a consulta é feita na tabela de
endereços somente para aquela VLAN.
• Uma VLAN criada permanece sem utilizar até que seja mapeada a portas de switch.
• Todas as portas Ethernet são atribuídas à VLAN 1 por padrão.

1.6.4 Trunking
A história do trunking tem o seu início nas tecnologias de rádio e telefonia. Na
tecnologia de rádio, um tronco é uma só linha de comunicação que transporta vários canais de
sinais de rádio. Na indústria telefônica, o conceito de trunking é associado com o caminho ou
canal de comunicação telefônica entre dois pontos. Um desses dois pontos é normalmente a
Central Telefônica (CO).

O conceito utilizado pelas indústrias telefônica e de rádio foi, então, adotado para a
comunicação de dados. Atualmente, o mesmo princípio de trunking é aplicado a tecnologias
de comutação em redes. Um tronco é uma conexão física e lógica entre dois switches, através
da qual transita o tráfego da rede.

Página 54
 Figura 36 - Tronco de VLAN's

Um tronco um só canal de transmissão entre dois pontos. Os dois pontos geralmente

são centrais de comutação (Figura 36).

Em uma rede comutada, um tronco é um link ponto-a-ponto que suporta várias VLANs.
O propósito de um tronco é conservar portas quando é criado um link entre dois dispositivos
que implementam VLANs.

São usados protocolos ou regras específicas para implementar o trunking. O trunking

proporciona um método eficaz de distribuir informações sobre IDs das VLANs para outros
switches.

Os dois mecanismos padrão de trunking são frame tagging e filtragem de quadros. O

padrão IEEE 802.1Q especifica a marcação de quadros (frame tagging) como o método para
implementar VLANs.

O frame tagging de VLANs foi desenvolvido especificamente para comunicações

comutadas. A marcação de quadros coloca um identificador único no cabeçalho de cada
quadro à medida que ele é encaminhado através do backbone da rede. O identificador é
reconhecido e examinado por cada switch antes de fazer qualquer broadcast ou transmissão
para outros switches, roteadores ou estações finais. Quando o quadro sai do backbone da
rede, o switch retira o identificador antes que o quadro seja transmitido para a estação de
destino final. O frame tagging funciona na camada 2 e não ocupa muitos recursos da rede ou
de administração.

É importante entender que um link de tronco não pertence a uma VLAN específica. Um
link de tronco é um canal para VLANs entre switches e roteadores.

1.7 VTP

Página 55
 O VTP (VLAN Trunking Protocol) foi criado pela Cisco para resolver problemas
operacionais em uma rede comutada com VLANs. Protanto é um protocolo proprietário da
Cisco.
Considere o exemplo de um domínio com vários switches interconectados que
suportam várias VLANs. Um domínio é um agrupamento lógico de usuários e de recursos sob
controle de um servidor chamado PDC (Primary Domain Controller). Para manter a
conectividade dentro de VLANs, cada VLAN precisa ser manualmente configurada em cada
switch. Com o crescimento da organização e o acréscimo de switches à rede, cada novo switch
precisa ser manualmente configurado com informações das VLANs. Uma só designação de
VLAN incorreta poderia causar dois problemas:

• VLANs com conexão cruzada devido a inconsistências na configuração das VLANs.

• Configuração incorreta de VLANs em ambientes de meios físicos mistos, tais como
Ethernet e Fiber Distributed Data Interface (FDDI).

Com VTP, a configuração de VLANs é mantida consistentemente em um domínio

administrativo comum. Além disso, o VTP reduz as complexidades do gerenciamento e
monitoramento de redes com VLANs.

Os servidores VTP podem criar, modificar e excluir parâmetros de VLANs e de

configuração de VLANs para o domínio inteiro. Os servidores VTP guardam informações de
configuração de VLAN na NVRAM do switch. Os servidores VTP enviam mensagens VTP para
todas as portas de tronco.

Os clientes VTP não podem criar, modificar ou excluir informações de VLANs Esse
modo é útil para switches que não possuem memória suficiente para armazenar grandes
tabelas de informações de VLANs. O único papel dos clientes VTP é de processar mudanças de
VLAN e enviar mensagens VTP para todas as portas de tronco.

Os switches no modo VTP transparente encaminham anúncios VTP, mas ignoram

informações contidas na mensagem. Um switch transparente não modificará o seu banco de
dados ao receber atualizações nem enviará uma atualização que indique uma mudança no
status de suas VLAN. Exceto para o encaminhamento de anúncios VTP, o VTP é desativado em
um switch transparente.

1.7.1 Introduzindo o roteamento entre VLANs

Quando um host em um domínio de broadcast deseja comunicar-se com um host em

outro domínio de broadcast, um roteador precisa ser utilizado. Por exemplo: Se a porta 1 em
um switch faz parte da VLAN 1 e a porta 2 faz parte da VLAN 200. Se todas as portas de
switches fizessem parte da VLAN 1, os hosts conectados a essas portas poderiam comunicar-
se. Nesse caso, porém, as portas fazem parte de VLANs diferentes, VLAN 1 e VLAN 200. Um
roteador precisa ser utilizado se os hosts das diferentes VLANs precisam comunicar-se.

1.7.2 Interfaces físicas e lógicas

Em uma situação tradicional, uma rede com quatro VLANs exigiria quatro conexões
físicas entre o switch e um roteador externo. No entanto, pode-se utilizar o conceito de Sub-
interfaces ou interfaces lógicas.

Página 56
 Uma subinterface é uma interface lógica dentro de uma interface física, tal como uma
interface Fast Ethernet em um roteador. Várias subinterfaces podem existir em uma única
interface física (figura 37).

Figura 37 - Sub-interfaces

Cada subinterface suporta uma VLAN e recebe a designação de um endereço IP. Para
que vários dispositivos possam comunicar-se sobre a mesma VLAN, o endereço IP de todas as
sub-interfaces interrelacionadas precisam estar na mesma rede ou sub-rede. Por exemplo, se a
subinterface FastEthernet 0/0.1 tiver um endereço IP 192.168.1.1 então 192.168.1.2,
192.168.1.3 e 192.1.1.4 serão os endereços IP para os dispositivos conectados à subinterface
FastEthernet 0/0.1.

Para realizar o roteamento entre VLANs através de subinterfaces é necessário criar

uma subinterface para cada VLAN.

2- Modelo OSI

Como já fora citado anteriormente neste documento, vejamos então um pouco da

história e da criação do Modelo OSI.

No início da década de 80 houve um grande aumento na quantidade e no tamanho das

redes. À medida que as empresas percebiam as vantagens da utilização da tecnologia de redes,
novas redes eram criadas ou expandidas tão rapidamente quanto eram apresentadas novas
tecnologias de rede.
O modelo de referência OSI explica como os pacotes trafegam através de várias
camadas para outro dispositivo em uma rede, mesmo que a origem e o destino tenham
diferentes tipos de meios físicos de rede.
Principais vantagens do Modelo OSI:

Página 57
  Decompõe as comunicações de rede em partes menores e mais simples.
 Padroniza os componentes de rede, permitindo o desenvolvimento e o
suporte por parte de vários fabricantes.
 Possibilita a comunicação entre tipos diferentes de hardware e de software de
rede para que possam comunicar entre si.
 Evita que as mudanças em uma camada afetem outras camadas.
 Decompõe as comunicações de rede em partes menores, facilitando sua
aprendizagem e compreensão.

No modelo de referência OSI, existem sete camadas numeradas e cada uma ilustra
uma função particular da rede, conforme mostra a Figura 38.

Figura 38 - Camadas do Modelo OSI

Na comunicação entre a origem e o destino, cada camada do modelo OSI na origem

deve se comunicar com sua camada par no destino. Durante este processo, os protocolos de
cada camada trocam informações, denominadas unidades de dados de protocolo (PDUs). Cada
camada de comunicação no computador de origem se comunica com uma PDU específica da
camada, e com a sua camada correspondente no computador de destino (figura 39).

Página 58
 Figura 39 - Comunicação Ponto-a-Ponto no Modelo OSI

3- Modelo TCP/IP

O Departamento de Defesa dos Estados Unidos (DoD) desenvolveu o modelo de

referência TCP/IP porque queria uma rede que pudesse sobreviver a qualquer condição,
mesmo a uma guerra nuclear. Em um mundo conectado por diferentes tipos de meios de
comunicação como fios de cobre, microondas, fibras ópticas e links de satélite, o DoD queria a
transmissão de pacotes a qualquer hora e em qualquer condição. Este problema de projeto
extremamente difícil originou a criação do modelo TCP/IP.

Havia também a necessidade de transmitir dados independentemente da condição de

um determinado nó ou rede. O DoD exigia transmissão confiável de dados para qualquer
destino da rede sob quaisquer circunstâncias. A criação do modelo TCP/IP ajudou a resolver
esse difícil problema de projeto.

O modelo TCP/IP tornou-se o padrão no qual a Internet se baseia. O TCP/IP foi

projetado como um padrão aberto. Dessa forma, qualquer pessoa tem a liberdade de usar o
TCP/IP.

O modelo TCP/IP tem as seguintes quatro camadas:

• A camada de Aplicação
• A camada de Transporte
• A camada de Internet.
• A camada de acesso à rede

Página 59
 Embora algumas das camadas no modelo TCP/IP tenham os mesmos nomes das
camadas no modelo OSI, as camadas dos dois modelos não correspondem exatamente. Mais
notadamente, a camada de aplicação tem diferentes funções em cada modelo.

a) Exemplos de protocolos da camada de aplicação incluem os seguintes:

• File Transfer Protocol (FTP)
• Hypertext Transfer Protocol (HTTP)
• Simple Mail Transfer Protocol (SMTP)
• Sistema de Nomes de Domínios (DNS)
• Trivial File Transfer Protocol (TFTP)

b) Exemplos de protocolos mais comuns da camada de transporte incluem:

• Transport Control Protocol (TCP)
• User Datagram Protocol (UDP)

c) Exemplo do principal protocolo da camada de Internet é:

• Internet Protocol (IP)

3.1 Semelhanças entre os modelos OSI e TCP/IP

Semelhanças entre os modelos OSI e TCP/IP (Figura 40):

• Ambos são divididos em camadas.

• Ambos são divididos em camadas de transporte e de rede equivalentes.
• A tecnologia de comutação de pacotes (e não de comutação de circuitos) é
presumida por ambos.
• Os profissionais de rede precisam conhecer ambos os modelos.

Figura 40 - Comparação entre as camadas dos Modelos OSI e TCP/IP.

Página 60
3.2 Diferenças entre os modelos OSI e TCP/IP

Diferenças entre os modelos OSI e TCP/IP:

• O TCP/IP combina as camadas de apresentação e de sessão dentro da sua camada
de aplicação.
• O TCP/IP combina as camadas física e de enlace do modelo OSI em uma única
camada.
• O TCP/IP parece ser mais simples por ter menos camadas.
• A camada de transporte do TCP/IP, que utiliza o UDP, nem sempre garante a entrega
confiável dos pacotes, ao contrário da camada de transporte do modelo OSI.

4- Ethernet

A maior parte do tráfego na Internet origina-se e termina com conexões Ethernet. A

Ethernet opera em duas áreas do modelo OSI, a metade inferior da camada de enlace de
dados, conhecida como subcamada MAC, e a camada física.

Desde seu início nos anos 70, a Ethernet evoluiu para acomodar o grande aumento na
demanda de redes locais de alta velocidade. Quando foram produzidos novos meios físicos,
como a fibra ótica, a Ethernet adaptou-se para aproveitar a largura de banda superior e a baixa
taxa de erros que as fibras oferecem. Atualmente, o mesmo protocolo que transportava dados
a 3 Mbps em 1973 está transportando dados a 10 Gbps.

Esse sucesso da Ethernet deve-se aos seguintes fatores:

• Simplicidade e facilidade de manutenção
• Capacidade de introdução de novas tecnologias
• Confiabilidade
• Instalação e atualização econômicas

A Ethernet não é apenas uma tecnologia, mas uma família de tecnologias de redes que
incluem a Ethernet Legada, Fast Ethernet e Gigabit Ethernet. As velocidades Ethernet podem
ser 10, 100, 1000, ou 10.000 Mbps. O formato básico dos quadros e as subcamadas IEEE das
camadas 1 e 2 do modelo OSI permanecem consistentes através de todas as formas de
Ethernet.

Quando a Ethernet precisa ser expandida para acrescentar um novo meio físico ou
capacidade, o IEEE publica um novo suplemento para o padrão 802.3. Os novos suplementos
recebem uma ou duas letras de designação, como 802.3u. Uma descrição abreviada
(denominada identificador) também é designada para o suplemento.

A descrição abreviada consiste em:

• Um número indicando o número de Mbps transmitido.
• A palavra base, indicando que foi usada a sinalização banda base (baseband).

Uma ou mais letras do alfabeto, indicando o tipo do meio físico usado (F = cabo de
fibra ótica, T = par trançado de cobre não blindado).

Página 61
 Os fluxos de bits codificados (dados) em meios físicos representam uma grande
realização tecnológica, mas eles, sozinhos, não são suficientes para fazer com que a
comunicação ocorra. O enquadramento ajuda a obter as informações essenciais que não
poderiam, de outra forma, ser obtidas apenas com fluxos de bit codificados. Exemplos dessas
informações são:

• Quais computadores estão se comunicando entre si

• Quando a comunicação entre computadores individuais começa e quando termina
• Providencia um método para a detecção de erros que ocorreram durante a
Comunicação.
• De quem é a vez de "falar" em uma "conversa" entre computadores
Enquadramento é o processo de encapsulamento da camada 2. Um quadro é uma
unidade de dados de protocolo da camada 2.

4.1 Campos de um quadro Ethernet

Alguns dos campos permitidos ou exigidos em um Quadro Ethernet 802.3 são:

• Preâmbulo
• Delimitador de Início de Quadro
• Endereço de Destino
• Endereço de Origem
• Comprimento/Tipo
• Dados e Enchimento
• FCS
• Extensão

4.2 Operação da Ethernet

O MAC e o LLC são subcamadas da Camada 2. O MAC, com o LLC, compreende a

versão IEEE da Camada 2 do OSI. Há duas abrangentes categorias de Controle de Acesso aos
Meios: determinístico e não determinístico.

O MAC refere-se aos protocolos que determinam qual dos computadores em um

ambiente de meios físicos compartilhados, ou domínio de colisão, tem permissão para
transmitir os dados.

Ethernet significa meios compartilhados, o que quer dizer que somente um nó de cada
vez pode transmitir dados. Conforme vão sendo adicionados nós a um segmento físico
Ethernet, vai aumentando a competição para os meios. O acréscimo de mais nós aumenta a
demanda sobre a largura de banda disponível e coloca cargas adicionais nos meios físicos.

Com o aumento do número de nós em um único segmento, aumenta a probabilidade

de colisões, o que resulta em mais retransmissões. A solução deste problema é dividir os
grandes segmentos em partes e separá-las em domínios de colisão isolados.

Para que isso seja feito, uma bridge mantém uma tabela de endereços MAC e as portas
a eles associadas. Uma bridge então encaminha ou descarta os quadros baseados nas entradas
da tabela. As seguintes etapas ilustram a operação de uma bridge.

Página 62
 Figura 41 - Encaminhamento de uma Bridge

Geralmente, uma bridge possui apenas duas portas e divide o domínio de colisão em
duas partes. Todas as decisões feitas por uma bridge são baseadas no endereçamento MAC ou
da Camada 2 e não afetam o endereçamento lógico ou da Camada 3. Assim, uma bridge divide
um domínio de colisão mas não tem efeito nenhum no domínio lógico ou de broadcast.

Um switch é simplesmente uma bridge com muitas portas. Quando apenas um nó está
conectado a uma porta do switch, o domínio de colisão nos meios compartilhados contém
apenas dois nós. Os dois nós neste pequeno segmento, ou domínio de colisão, consistem na
porta do switch e o host conectado a ela.

5- Spanning-Tree Protocol (Protocolo Spanning-Tree)

Quando os switches são organizados em uma simples árvore hierárquica, é difícil que
ocorram loops de comutação. Porém, as redes comutadas são freqüentemente projetadas com
caminhos redundantes para proporcionar confiabilidade e tolerância a falhas. Embora os
caminhos redundantes sejam desejáveis, eles podem ter efeitos colaterais indesejáveis. Os
loops de comutação representam um desses efeitos colaterais. Os loops de comutação podem
ocorrer de propósito ou por acidente, e podem resultar em tempestades de broadcast que
podem rapidamente dominar a rede. Para neutralizar a possibilidade de loops, os switches
vêm munidos de um protocolo baseado em padrões denominado STP (Spanning-Tree
Protocol).

Redundância é crucial em uma rede. Ela permite que a rede seja tolerante a falhas.
Topologias redundantes protegem contra downtime (tempo de inatividade) ou
indisponibilidade da rede. O downtime pode ser causado pela falha de um único link, porta ou

Página 63
dispositivo da rede. Os engenheiros de rede geralmente precisam equilibrar o custo da
redundância com a necessidade de disponibilidade da rede.

A redundância em uma rede é necessária para protegê-la contra perda de

conectividade causada por falha de componentes individuais. Entretanto, essa providência
pode resultar em topologias físicas com loops. Loops na camada física podem causar sérios
problemas em redes comutadas.

Topologias redundantes baseadas em switches são susceptíveis a tempestades de

broadcasts, múltiplas transmissões de quadros e instabilidade do banco de dados de
endereços MAC. Esses problemas podem tornar uma rede inutilizável. Portanto, a redundância
deve ser planejada e monitorada.

Redes comutadas (com switches) fornecem os benefícios de menores domínios de

colisão, microssegmentação e operação full-duplex. Fornecem também melhor desempenho.

Quando o destino do tráfego é desconhecido para um switch, ele inunda o tráfego por
todas as portas exceto aquela que o recebeu. O tráfego de broadcast e multicast também é
encaminhado por todas as portas, exceto a que recebeu o tráfego. Esse tráfego pode ficar
preso em um loop.

Figura 42 - Encaminhamento nos switches

Bridges e switches Ethernet podem implementar o Spanning-Tree Protocol IEEE 802.1d

e usar o algoritmo spanning-tree para construir uma rede de caminho mais curto sem loops. O
caminho mais curto se baseia em custos de link cumulativos. Os custos dos links se baseiam na
velocidade desses links (Figura 42).

O Spanning-Tree Protocol estabelece um nó raiz chamado de bridge raiz. Esse

protocolo constrói uma topologia que tem um caminho para alcançar todos os nós da rede. A
árvore tem sua origem na bridge raiz. Os links redundantes que não fazem parte da árvore do
caminho mais curto são bloqueados.

Pelo fato de alguns caminhos serem bloqueados, é possível obter uma topologia sem
loops. Os quadros de dados recebidos em links bloqueados são descartados.

Página 64
 O Spanning-Tree Protocol requer que os dispositivos de rede troquem mensagens para
detectar loops de bridging. Os links que causam loop são colocados em estado de bloqueio.

Os switches enviam mensagens chamadas BPDUs (Bridge Protocol Data Units),

unidades de dados de protocolo de bridge, para permitir a formação de uma topologia lógica
sem loops. As BPDUs continuam a ser recebidas nas portas bloqueadas. Isso garante que, se
um caminho ou dispositivo ativo falhar, uma nova spanning-tree poderá ser calculada.

Por exemplo, se o Switch A falhar, o tráfego ainda pode fluir do Segmento 2 para o
Segmento 1 e para o roteador através do Switch B.

Os switches aprendem os endereços MAC dos dispositivos em suas portas, para que os
dados possam ser encaminhados corretamente para o destino. Os switches inundam (flood)
quadros para destinos desconhecidos até aprenderem os endereços MAC dos dispositivos.

Figura 43 - Switches redundantes

As BPDUs contêm informações que permitem que os switches realizem ações

específicas:
• Selecionar um único switch que atuará como raiz da spanning-tree.
• Calcular o caminho mais curto de si mesmo até o switch raiz.
• Designar um dos switches como sendo o mais próximo da raiz, para cada
segmento da LAN. Este switch é chamado de switch designado. O switch
designado trata de toda comunicação da LAN para a bridge raiz.
• Escolher uma de suas portas como porta raiz, para cada switch não raiz.
• Selecionar as portas que fazem parte da spanning-tree. Essas portas são
chamadas de portas designadas. As portas não designadas são bloqueadas.

Cada switch em uma rede local que usa STP envia estas mensagens especiais
denominadas BPDUs a todas as suas portas para informar aos outros switches da sua

Página 65
existência e para eleger uma bridge raiz para a rede. Os switches então usam o STA (Spanning-
Tree Algorithm) para resolver e suspender caminhos redundantes.

Cada porta em um switch que estiver usando um Protocolo Spanning-Tree IEEE 802.1d
existe em um dos seguintes estados:
• Bloqueio
• Escuta
• Aprendizado
• Encaminhamento
• Desativado

Uma porta passa através destes cinco estados na seguinte ordem:

• Desde a inicialização até o bloqueio
• Desde o bloqueio até a escuta ou até desativado
• Desde a escuta até o aprendizado ou até desativado
• Desde o aprendizado até o encaminhamento ou até desativado
• Desde o encaminhamento até desativado

No cabeçalho da camada 2, não há valor de tempo de vida (TTL). Se um quadro for

enviado para uma topologia de switches com loop na camada 2, ele pode ficar em loop para
sempre. Isso desperdiça largura de banda e torna a rede inutilizável.

Na camada 3, o TTL é decrementado e o pacote é descartado quando o TTL atinge 0.

Isso cria um dilema. Para fins de confiabilidade, é necessária uma topologia física que
contenha loops de switches e bridges; por outro lado, uma rede comutada não pode ter loops.

A solução é permitir os loops físicos, mas criar uma topologia lógica sem loops. Nessa
topologia lógica, o tráfego destinado ao server farm conectado a Cat-5 a partir de qualquer
estação de trabalho de usuário conectada a Cat-4 passará por Cat-1 e Cat-2. Isso acontece
mesmo que haja uma conexão física direta entre Cat-5 e Cat-4.

A topologia lógica sem loops criada é chamada de árvore. Essa topologia é uma
topologia lógica em estrela ou em estrela estendida. Ela é a spanning-tree da rede. É uma
spanning-tree (árvore de espalhamento) porque todos os dispositivos da rede podem ser
alcançados ou estão abrangidos por ela.

O Spanning-Tree Protocol é usado nas redes comutadas para criar uma topologia
lógica sem loops a partir de uma topologia física com loops. Links, portas e switches que não
fazem parte da topologia ativa sem loops não encaminham quadros de dados. O Spanning-
Tree Protocol é uma ferramenta poderosa que oferece aos administradores de rede a
segurança de uma topologia redundante sem o risco dos problemas causados pelos loops de
comutação.

O resultado da resolução e eliminação de loops com a utilização de STP é a criação de

uma árvore hierárquica lógica sem loops. No entanto, os caminhos alternativos ainda estarão
disponíveis caso sejam necessários. O algorítimos utilizado pelo STP pode levar um tempo
relativamente longo para convergir.

Para reduzir o tempo que uma rede leva para computar uma topologia lógica sem
loops, foi desenvolvido um novo algoritmo, chamado rapid spanning-tree.

Página 66
5.1 Rapid Spanning-Tree

Este protocolo é definido no padrão LAN IEEE 802.1w e apresenta melhorias

relacionadas ao padrão 802.1d. Este padrão e protocolo introduzem novos recursos:
Esclarecimento sobre estados e funções das portas;
• Definição de um conjunto de tipos de links que podem passar rapidamente ao estado
de encaminhamento;
• Conceito de permitir que os switches de uma rede convergente gerem BPDUs em vez
de retransmitir as BPDUs da bridge raiz.
O estado de "bloqueio" de uma porta foi renomeado para estado de "descarte". A
função de uma porta de descarte é a de uma porta alternativa. A porta de descarte pode se
tornar a porta designada se a porta designada do segmento falhar Confirme Tabela 1.
Essas mudanças permitem uma descoberta rápida de falhas de link em redes
comutadas. Os links ponto-a-ponto e borda podem passar para o estado de encaminhamento
imediatamente.
Com essas alterações, a convergência da rede não deve levar mais do que 15
segundos. Com o tempo, espera-se que o protocolo Rapid Spanning-Tree, IEEE 802.1w,
substituirá completamente o Spanning-Tree Protocol, IEEE 802.1d.

Tabela 1 - Comparação entre o 802.1d e 802.1w

Is Port
RSTP Is Port
STP (802.1D) Included in
(802.1w) Learning MAC
Port State Active
Port State Addresses?
Topology?
Disabled Discarding No No
Blocking Discarding No No
Listening Discarding Yes No
Learning Learning Yes Yes
Forwarding Forwarding Yes Yes

Página 67
 Um switch pode aprender incorretamente que um endereço MAC está em uma porta,
quando na verdade ele está em outra (Figura 44).

Figura 44 - Aprendendo o MAC address

Neste exemplo, o endereço MAC do Roteador Y não está na tabela de endereços MAC
de nenhum dos switches.

O Host X envia um quadro destinado ao Roteador Y. Os Switches A e B aprendem o

endereço MAC do Host X na porta 0.

O quadro para o Roteador Y é despejado na porta 1 dos dois switches. Os Switches A e

B recebem essa informação na porta 1 e aprendem incorretamente o endereço MAC do Host X
na porta 1. Quando o Roteador Y envia um quadro para o Host X, o Switch A e o Switch B
também recebem o quadro e o enviam pela porta 1. Isso é desnecessário, mas os switches
aprenderam incorretamente que o Host X está na porta 1. Neste exemplo, o quadro unicast do
Roteador Y para o Host X ficará preso em um loop.

Página 68
 Figura 45 - Cálculo de custos

Quando a rede está estabilizada, ela convergiu e há uma spanning-tree por rede. Como
conseqüência, em toda rede comutada existem os seguintes elementos (Figura 45):

• Uma bridge raiz por rede;

• Uma porta raiz por bridge não raiz;
• Uma porta designada por segmento;
• Portas não utilizadas, ou não designadas

As portas raiz e as portas designadas são usadas para encaminhar (F) tráfego de dados.
As portas não designadas descartam o tráfego de dados. Essas portas são chamadas de portas
de bloqueio (B) ou de descarte.

Figura 46 - Eleição da bridge raiz

Dessa forma, podemos resumir que a primeira decisão tomada por todos os switches
de uma rede é identificar a bridge raiz. A posição da bridge raiz em uma rede afeta o fluxo de
tráfego. Quando um switch é ligado, o algoritmo spanning-tree é usado para identificar a
bridge raiz (Figura 46).

Página 69
 São enviadas BPDUs com o ID da bridge (BID). Os administradores de rede podem
definir a prioridade do switch com um valor menor que o padrão, o que torna o BID menor.
Isso só deve ser implementado quando o fluxo de tráfego na rede for bem compreendido

6 Protocolos e Conceitos de Roteamento

Um roteador aprende redes remotas e determina o melhor caminho para essas redes.
Um roteador encaminha pacotes de dados com base nos endereços de destino. Um roteador
não encaminha broadcasts baseados em redes locais, tais como solicitações ARP. Portanto, a
interface do roteador é considerada o ponto de entrada e saída de um domínio de broadcast e
interrompe broadcasts para outros segmentos da rede local.

6.1 Função do Roteador

O roteador é um computador com uma finalidade especial que desempenha um papel

fundamental no funcionamento de qualquer rede de dados. Os roteadores são os principais
responsáveis por interconectar redes:

 Determinando o melhor caminho para enviar pacotes

 Encaminhando pacotes para o destino

Resumidamente, um roteador conecta uma rede a outra. Por isso, o roteador é

responsável pela entrega de pacotes em redes diferentes. O destino do pacote IP pode ser um
servidor Web em outro país ou um servidor de email na rede local. É a responsabilidade dos
roteadores entregar esses pacotes em tempo hábil. A efetividade da comunicação de redes
interconectadas depende, amplamente, da capacidade dos roteadores de encaminhar pacotes
da maneira mais eficiente possível.

Os roteadores executam o encaminhamento de pacotes, aprendendo as redes remotas

e mantendo informações de roteamento. O roteador é a junção ou a interseção que conecta

Página 70
várias redes IP. A decisão primária de encaminhamento dos roteadores se baseia nas
informações de Camada 3, o endereço IP de destino.

Além do encaminhamento de pacotes, um roteador também presta outros serviços.

Para atender às demandas das redes atuais, os roteadores também são usados para:

 Assegurar alta disponibilidade da rede. Para ajudar a garantir o alcanço da rede,

os roteadores usam caminhos alternativos, caso haja falha no caminho primário.
 Fornecer serviços integrados de dados, vídeo e voz em redes com e sem fio. Os
roteadores usam a priorização de Qualidade de Serviço (QoS - Quality of Service)
dos pacotes IP para assegurar que o tráfego em tempo real, como voz, vídeo e
dados críticos não sejam descartados ou atrasados.
 Atenuar o impacto de worms, vírus e outros ataques na rede, permitindo ou
negando o encaminhamento de pacotes.

Todos esses serviços são criados de acordo com o roteador e sua responsabilidade
primária de encaminhar pacotes de uma rede para a próxima. Isso só acontece por causa da
capacidade do roteador de rotear pacotes entre redes nas quais os dispositivos em redes
diferentes podem se comunicar.

Determinação da distância administrativa da rota

O roteador pode descobrir rotas usando protocolos de roteamento dinâmico ou elas

podem ser configuradas manualmente pelo administrador. Após as rotas serem descobertas
ou configuradas, o roteador deve escolher a melhor para cada rede.

A distância administrativa é a informação-chave usada pelo roteador para decidir o

melhor caminho para um determinado destino. Ela é o número que mede a confiabilidade da
fonte da informação sobre a rota. Quanto mais baixo o valor, mais confiável a rota (Tabela 2).

Tabela 2 - Distância Administrativa

Cada protocolo de roteamento tem uma distância administrativa padrão diferente. Se

um caminho tem a distância administrativa mais baixa, ele é instalado na tabela de

Página 71
roteamento. A rota não será instalada na tabela caso a distância de outra origem seja mais
baixa.

6.2 Roteamento Estático

A figura mostra um exemplo de topologia de rede que consiste em três roteadores,

rotulados R1, R2 e R3. Os roteadores R1 e R2 são conectados por um link WAN e os roteadores
R2 e R3, por outro link WAN. Cada roteador é conectado a uma rede local Ethernet diferente,
representada por um switch e um PC (Figura 47).

Figura 47 - Conexão do roteador na rede

Muito embora as interfaces dos roteadores estejam devidamente configuradas, as

redes que não estão diretamente conectadas aos roteadores, entretanto, não podem se
comunicar.
Os roteadores aprendem as redes remotas através da consulta às suas tabelas de
roteamento (routing tables). A tabela de roteamento do roteador é usada para localizar a
melhor correspondência entre o IP de destino de um pacote e um endereço de rede na tabela
de roteamento. A tabela de roteamento acabará determinando a interface de saída que deve
encaminhar o pacote, e o roteador encapsulará esse pacote no quadro de enlace de dados
apropriado a essa interface de saída. Se um pacote é endereçado a uma rede cujo endereço
não se encontra nessa tabela, o pacote é descartado.

Existem diferentes maneiras de “alimentar” a tabela de roteamento: estaticamente,

dinamicamente e da forma default. Em muitos casos, os roteadores usam uma combinação de
protocolos de roteamento dinâmico e rotas estáticas.

As rotas estáticas são muito comuns e não exigem a mesma quantidade de

processamento e sobrecarga, como veremos com os protocolos de roteamento dinâmico.

Página 72
 Vantagens do roteamento estático:
 Redução do overhead na CPU do roteador;
 Não há utilização de largura de banda entre os roteadores;
 Segurança (uma vez que o administrador possui total controle do processo de
roteamento).
Desvantagens do roteamento estático:
 O administrador precisa, efetivamente, possuir um profundo conhecimento
global da rede;
 A cada nova rede adicionada há que se verificar a conectividade com a mesma;
 Não é viável em redes grandes devido ser um método não escalável.

As rotas estáticas costumam ser usadas no roteamento de uma rede para uma rede
stub. Rede stub é uma rede acessada por uma única rota. Para obter um exemplo, veja a
figura. Vemos aqui que qualquer rede conectada a R1 só teria uma forma de alcançar outros
destinos, independentemente de serem redes conectadas a R2 ou destinos além de R2.
Portanto, a rede 172.16.3.0 é uma rede stub e R1 é um roteador stub (Figura 48).

Figura 48 - Roteador Stub.

Executar um protocolo de roteamento entre R1 e R2 é um desperdício de recursos

porque R1 só tem uma saída para enviar tráfego que não seja local. Por isso, as rotas estáticas
são configuradas tendo em vista a conectividade com redes remotas que não estejam
diretamente conectadas a um roteador. Mais uma vez, consultando a figura, configuraríamos
uma rota estática em R2 para a rede local conectada a R1. Também veremos como configurar
uma rota estática padrão de R1 para R2 posteriormente no capítulo para que R1 possa enviar
tráfego para qualquer destino além de R2.

O comando ip route

O comando para configurar uma rota estática é ip route. A sintaxe completa para
configurar uma rota estática é:
Router(config)#ip route prefix mask {ip-address | interface-type interface-number [ip-
address]} [distance] [name] [permanent] [tag tag]

Página 73
 Usaremos uma versão mais simples da sintaxe:
Router(config)#ip route network-address subnet-mask {ip-address | exit-interface }
Os seguintes parâmetros são usados:
 network-address - Endereço da rede de destino da rede remota a ser
adicionado à tabela de roteamento
 subnet-mask - Máscara de sub-rede da rede remota a ser adicionada à tabela
de roteamento. A máscara de sub-rede pode ser modificada para resumir um
grupo de redes.
Um ou dois dos seguintes parâmetros também devem ser usados:
 ip-address - Normalmente conhecido como o endereço IP do roteador do
próximo salto
 exit-interface - Interface de saída que seria usada no encaminhamento de
pacotes para a rede de destino

obs: O parâmetro ip-address costuma ser conhecido como o endereço IP do "próximo

salto" do roteador. O endereço IP do próximo salto do roteador costuma ser usado nesse
parâmetro. No entanto, o parâmetro ip-address pode ser qualquer endereço IP, desde que
possa ser resolvido na tabela de roteamento. Isso está além do escopo desse curso, mas nós
adicionamos esse ponto para manter a precisão técnica.

Instalando uma rota estática na tabela de roteamento

Primeiro, habilite debug ip routing para que o IOS exiba uma mensagem quando a
nova rota é adicionada à tabela de roteamento. Em seguida, use o comando ip route para
configurar rotas estáticas em R1 para cada uma dessas redes. A figura mostra a primeira rota
configurada.
R1#debug ip routing
R1#conf t
R1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.2

Examinemos cada elemento nessa saída do comando:

ip route - Comando de rota estática
172.16.1.0 - Endereço de rede da rede remota
255.255.255.0 - Máscara de sub-rede da rede remota
172.16.2.2 - Endereço IP da interface Serial 0/0/0 em R2, que é o "próximo salto" da
rede
Quando o endereço IP for o endereço IP do roteador do próximo salto real, esse
endereço IP será alcançável de uma das redes diretamente conectadas do roteador. Em outras
palavras, o endereço IP do próximo salto 172.16.2.2 está na rede 172.16.2.0/24 Serial 0/0/0
conectada diretamente ao roteador R1.
Verificando a rota estática
A saída do comando debug ip routing mostra que essa rota foi adicionada à tabela de
roteamento.
00:20:15: RT: add 172.16.1.0/24 via 172.16.2.2, static metric [1/0]
Observe na figura que inserir show ip route em R1 mostra a nova tabela de
roteamento. A entrada de rota estática é realçada.

Página 74
 Examinemos esta saída do comando:
S - Código da tabela de roteamento para rota estática
172.16.1.0 - Endereço de rede da rota
/24 - Máscara de sub-rede da rota; ela é exibida na linha anterior, conhecida como a
rota primária e abordada no Capítulo 8
[1/0] - Distância administrativa e métrica da rota estática (explicada em um capítulo
posterior)
via 172.16.2.2 - Endereço IP do roteador do próximo salto, o endereço IP da interface
Serial 0/0/0 de R2
Qualquer pacote com um endereço IP de destino que tenha os 24 bits à esquerda
correspondentes a 172.16.1.0 usará essa rota.

Configurando rotas para mais duas redes remotas

Os comandos para configurar as rotas para as outras duas redes remotas são
mostrados na figura. Observe que todas as três rotas estáticas configuradas em R1 têm o
mesmo endereço IP do próximo salto: 172.16.2.2. Usando o diagrama de topologia como
referência, podemos ver que isso é verdade porque os pacotes de todas as redes remotas
devem ser encaminhados para o roteador R2, o roteador do próximo salto.

Use o comando show ip route novamente para examinar as novas rotas estáticas na
tabela de roteamento, como mostrado.

S 192.168.1.0/24 [1/0] via 172.16.2.2

S 192.168.2.0/24 [1/0] via 172.16.2.2

Página 75
 Rota estática e uma interface de saída

Reconfiguremos essa rota estática para usar uma interface de saída, e não um
endereço IP do próximo salto. A primeira coisa a se fazer é excluir a rota estática atual. Isso é
feito usando-se o comando no ip route como mostrado na figura.

Em seguida, configure a rota estática de R1 como 192.168.2.0/24 usando a interface

de saída Serial 0/0/0.

E use o comando show ip route para examinar a alteração feita na tabela de

roteamento. Observe que a entrada na tabela de roteamento já não se refere mais ao
endereço IP do próximo salto, mas diretamente à interface de saída. Essa interface de saída é a
mesma para a qual a rota estática foi resolvida quando usou o endereço IP do próximo salto.

S 192.168.2.0/24 is directly connected, Serial0/0/0

Agora quando o processo da tabela de roteamento tiver uma correspondência para

um pacote e essa rota estática, ele poderá resolver a rota para uma interface de saída em uma

Página 76
única pesquisa. Como você pode ver na figura, as outras duas rotas estáticas ainda devem ser
processadas em duas etapas, resolvendo para a mesma interface Serial 0/0/0.

A rota estática exibe a rota como conectada diretamente. É importante compreender

que isso não significa que essa rota é uma rede conectada diretamente ou uma rota conectada
diretamente. Essa rota continua sendo uma rota estática. Examinaremos a importância desse
fato ao discutirmos as distâncias administrativas no próximo capítulo. Aprenderemos que esse
tipo de rota estática ainda tem uma distância administrativa "1". Por enquanto, apenas
observe que essa rota ainda é uma rota estática com uma distância administrativa "1", e não é
uma rede conectada diretamente.

Rotas estáticas e redes ponto-a-ponto

As rotas estáticas configuradas com interfaces de saída, e não endereços IP do próximo

salto são ideais para a maioria das redes ponto-a-ponto seriais. As redes ponto-a-ponto que
usam protocolos, como HDLC e PPP, não usam o endereço IP do próximo salto no processo de
encaminhamento de pacote. O pacote IP roteado é encapsulado em um quadro de Camada 2
HDLC com um endereço de destino de Camada 2 de broadcast.

Esses tipos de links seriais ponto-a-ponto são como pipes. Um pipe tem apenas duas
extremidades. O que entra em uma extremidade só pode ter um destino único – a outra
extremidade do pipe. Qualquer pacote enviado pela interface Serial 0/0/0 de R1 só pode ter
um destino: interface Serial 0/0/0 de R2. A interface serial de R2 acaba sendo o endereço IP
172.16.2.2.

Rota Estática Padrão

É possível que o endereço IP de destino de um pacote corresponda a várias rotas na

tabela de roteamento. Por exemplo, e se nós tivéssemos as duas rotas estáticas a seguir na
tabela de roteamento:

172.16.0.0/24 is subnetted, 3 subnets

S 172.16.1.0 is directly connected, Serial0/0/0 and
S 172.16.0.0/16 is directly connected, Serial0/0/1

Considere um pacote com o endereço IP 172.16.1.10 de destino. Esse endereço IP

corresponde a ambas as rotas. O processo de pesquisa da tabela de roteamento usará a
correspondência mais específica. Como 24 bits correspondem à rota 172.16.1.0/24, e apenas
16 bits da rota 172.16.0.0/16 são correspondentes, a rota estática com a correspondência do
24º bit será usada. Essa é a correspondência mais longa. Em seguida, o pacote será
encapsulado em um quadro de Camada 2 e enviado pela interface Serial 0/0/0. Lembre-se de
que a máscara de sub-rede na entrada da rota é o que determina quantos bits devem
corresponder ao endereço IP de destino do pacote para essa rota para que haja uma
correspondência.

A rota estática padrão corresponde a todos os pacotes. Uma rota estática padrão é
uma rota que corresponderá a todos os pacotes. São usadas rotas estáticas padrão:

Página 77
  Quando nenhuma outra rota na tabela de roteamento corresponde ao
endereço IP de destino. Em outras palavras, quando não houver uma
correspondência mais específica. Um uso comum é ao conectar o roteador de
borda de uma empresa à rede ISP.
 Quando um roteador só tem um outro roteador ao quale está conectado. Essa
condição é conhecida como um roteador stub.

Configurando uma rota estática padrão

A sintaxe de uma rota estática padrão é semelhante a qualquer outra rota estática,
exceto pelo endereço de rede ser 0.0.0.0 e a máscara de sub-rede, 0.0.0.0:

Router(config)#ip route 0.0.0.0 0.0.0.0 [exit-interface | ip-address ]

O endereço de rede 0.0.0.0 0.0.0.0 e a máscara são chamados de rota "quad-zero".

R1 é um roteador stub. Ele só é conectado a R2. Atualmente, R1 tem três rotas estáticas,
usadas para alcançar todas as redes remotas em nossa topologia. Todas as três rotas estáticas
têm a interface de saída Serial 0/0/0, encaminhando pacotes para o roteador R2 do próximo
salto.

As três rotas estáticas em R1 são:

ip route 172.16.1.0 255.255.255.0 serial 0/0/0

ip route 192.168.1.0 255.255.255.0 serial 0/0/0
ip route 192.168.2.0 255.255.255.0 serial 0/0/0

R1 é um candidato ideal para ter todas as suas rotas estáticas substituídas por uma
única rota padrão. Primeiro, exclua as três rotas estáticas:

R1(config)#no ip route 172.16.1.0 255.255.255.0 serial 0/0/0

R1(config)#no ip route 192.168.1.0 255.255.255.0 serial 0/0/0
R1(config)#no ip route 192.168.2.0 255.255.255.0 serial 0/0/0

Em seguida, configure a única rota estática padrão usando a mesma interface de saída
Serial 0/0/0 como as três rotas estáticas anteriores:

R1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0

Página 78
 I

6.3 Roteamento Dinâmico

O roteamento nada mais é do que um conjunto de instruções indicando como ir de

uma rede a outra. Essas instruções ou rotas podem ser dadas dinamicamente ao roteador por
outro roteador.

O protocolo de roteamento aprende todas as rotas disponíveis, coloca as melhores

rotas na tabela de roteamento e remove rotas quando elas não são mais válidas. O roteador
usa as informações da tabela de roteamento para encaminhar pacotes de um protocolo
roteado.

O algoritmo de roteamento é fundamental para o roteamento dinâmico. Sempre que

houver alteração na topologia de uma rede devido a expansão, reconfiguração ou falha, a base
de conhecimentos da rede também deve mudar. A base de informações sobre a rede (network
knowledgebase) deve refletir uma visão precisa e consistente da nova topologia.

Quando todos os roteadores de um grupo de redes interconectadas (internetwork)

estiveremoperando com as mesmas informações sobre a topologia da rede, diz-se que esse
grupo de redes interconectadas (internetwork) convergiu. É desejável uma convergência
rápida, pois isso reduz o período durante o qual os roteadores continuariam a tomar decisões
de roteamento incorretas.

Os sistemas autônomos (AS) propiciam a divisão do grupo de redes interconectadas

(internetwork) global em redes menores e mais fáceis de gerenciar. Cada AS tem seu próprio
conjunto de regras e diretivas e um número de AS que o distingue de maneira exclusiva dos
outros sistemas autônomos no resto do mundo.

A maioria dos algoritmos pode ser classificada em uma destas duas categorias

• vetor de distância (distance vector);

• estado do enlace (link state).

Página 79
Figura 49 - Tipos de protocolos de roteamento

A abordagem de roteamento pelo vetor da distância determina a direção (vetor) e a

distância para qualquer link no grupo de redes interconectadas (internetwork). A abordagem
pelo estado dos links, também chamada de shortest path first (caminho mais curto primeiro),
recria a topologia exata de todo o grupo de redes interconectadas (internetwork).

Os algoritmos de roteamento por vetor da distância passam cópias periódicas de uma

tabela de roteamento de um roteador para outro. Essas atualizações periódicas entre os
roteadores comunicam as alterações de topologia. Os algoritmos de roteamento baseados no
vetor da distância também são conhecidos como algoritmos de Bellman-Ford.

Cada roteador recebe uma tabela de roteamento dos roteadores vizinhos diretamente
conectados a ele. O roteador B recebe informações do roteador A. O roteador B adiciona um
número ao vetor da distância (como uma quantidade de saltos), que aumenta o vetor da
distância. Em seguida, o roteador B passa essa nova tabela de roteamento ao seu outro
vizinho, o roteador C. Esse mesmo processo ocorre em todas as direções entre os roteadores
vizinhos.

O algoritmo acumula distâncias de rede para poder manter um banco de dados de

informações sobre a topologia da rede. Entretanto, os algoritmos de vetor da distância não
permitem que um roteador conheça a topologia exata de um grupo de redes interconectadas
(internetwork), já que cada roteador vê somente os roteadores que são seus vizinhos.

Cada roteador que utiliza roteamento por vetor da distância começa identificando seus
próprios vizinhos. A interface que conduz a cada rede conectada diretamente é mostrada
como tendo distância 0. Conforme o processo de descoberta do vetor de distância avança, os
roteadores descobrem o melhor caminho para as redes de destino, com base nas informações
que recebem de cada vizinho. O roteador A aprende sobre as outras redes com base nas
informações que recebe do roteador B. Cada uma das outras redes listadas na tabela de
roteamento tem um vetor da distância acumulada para mostrar o quão distante está essa rede
em uma determinada direção.

Quando a topologia muda, a tabela de roteamento é atualizada. Da mesma forma que

o processo de descoberta de redes, as atualizações das alterações de topologia avançam passo
a passo de um roteador para outro. Os algoritmos de vetor de distância pedem que cada
roteador envie toda a sua tabela de roteamento para cada um de seus vizinhos adjacentes. As
tabelas de roteamento contêm informações sobre o custo total do caminho, conforme

Página 80
definido pela sua métrica, e sobre o endereço lógico do primeiro roteador no caminho para
cada rede contida na tabela.

Uma analogia do vetor da distância são as placas encontradas nas rodovias. Uma placa
aponta para um destino e indica a distância até ele. Mais adiante, outra placa aponta para o
mesmo destino, mas a distância já é menor. Enquanto a distância for diminuindo, o tráfego
está seguindo o melhor caminho.

O segundo algoritmo básico usado para roteamento é por estado dos links. Os
algoritmos por estado dos links também são conhecidos como algoritmos Dijkstra ou SPF
(shortest path first – o caminho mais curto primeiro). Os algoritmos de roteamento por estado
dos links mantêm um banco de dados complexo com as informações de topologia. O algoritmo
por vetor da distância tem informações não-específicas sobre as redes distantes e nenhum
conhecimento sobre os roteadores distantes. Um algoritmo de roteamento por estado dos
links mantém um conhecimento completo sobre os roteadores distantes e sobre como eles se
interconectam.

O RIP (Routing Information Protocol) foi especificado originalmente na RFC 1058. Suas
principais características são as seguintes:

• É um protocolo de roteamento por vetor da distância.

• A contagem de saltos é usada como métrica para seleção do caminho.
• Se a contagem de saltos for maior que 15, o pacote é descartado.
• Por padrão, as atualizações de roteamento são enviadas por broadcast a cada 30
segundos.

O OSPF (Open Shortest Path First) é um protocolo de roteamento por estado dos links
não-proprietário. As principais características do OSPF são:

• Protocolo de roteamento por estado dos links.

• Protocolo de roteamento de padrão aberto, descrito na RFC 2328.
• Usa o algoritmo SPF para calcular o menor custo até um destino.
• Quando ocorrem alterações na topologia, há uma enxurrada de atualizações de
roteamento.

O EIGRP é um protocolo avançado de roteamento por vetor da distância proprietário

da Cisco. As principais características do EIGRP são:

• É um protocolo avançado de roteamento por vetor da distância.

• Usa balanceamento de carga com custos desiguais.
• Usa características combinadas de vetor da distância e estado dos links.
• Usa o DUAL (Diffusing Update Algorithm – Algoritmo de Atualização Difusa) para
calcular o caminho mais curto.
• As atualizações de roteamento são enviadas por multicast usando 224.0.0.10 e são
disparadas por alterações da topologia.

O BGP (Border Gateway Protocol) é um protocolo de roteamento exterior. As

principais características do BGP são:

• É um protocolo de roteamento exterior por vetor da distância.

• É usado entre os provedores de serviço de Internet ou entre estes e os clientes.

Página 81
 • É usado para rotear o tráfego de Internet entre sistemas autônomos.

Sistemas Autônomos e IGP versus EGP

Os protocolos de roteamento interior foram concebidos para utilização em uma rede

cujas partes estejam sob controle de uma única organização (AS - Sistema Autônomo). Os
critérios de projeto para um protocolo de roteamento interior exigem que ele encontre o
melhor caminho através da rede.Em outras palavras, a métrica e a maneira como essa métrica
é usada são os elementos mais importantes em um protocolo de roteamento interior.

Um protocolo de roteamento exterior é concebido para utilização entre duas redes

diferentes que estejam sob controle de diferentes organizações. Geralmente, esses protocolos
são usados entre provedores de serviço de Internet ou entre estes e uma empresa. Por
exemplo, uma empresa usaria um BGP, protocolo de roteamento exterior, entre um de seus
roteadores e um roteador de um provedor de serviços de Internet. Os protocolos de gateway
IP exteriores requerem os três conjuntos de informações a seguir antes de iniciar o
roteamento:

• Uma lista de roteadores vizinhos com os quais trocar informações de roteamento.

• Uma lista de redes para anunciar como diretamente alcançáveis.
• O número do sistema autônomo do roteador local.

Um protocolo de roteamento exterior deve isolar sistemas autônomos. É improtante

lembrar que um Sistemas Autônomos são gerenciados por diferentes administrações. As redes
precisam de um protocolo para se comunicar entre esses diferentes sistemas.

Os sistemas autônomos têm um número de identificação, que é atribuído pelo ARIN

(American Registry of Internet Numbers) ou por um provedor. Esse número do sistema
autônomo tem 16 bits. Protocolos de roteamento, tais como o IGRP e o EIGRP da Cisco,
requerem a atribuição de um número de sistema autônomo único.

6.3.1 RIP - Routing Information Protocol

RIP (Routing Information Protocol) é um protocolo de roteamento de vetor da

distância que já fora utilizado várias de redes em todo o mundo. O fato de o RIP basear-se em
padrões abertos e de sua implementação ser muito simples atrai alguns administradores de
rede, embora o RIP não possua os recursos de protocolos de roteamento mais avançados.

O RIP evoluiu de um Classful Routing Protocol (protocolo de roteamento com classes),

RIP Versão 1 (RIP v1), para um Classless Routing Protocol (protocolo de roteamento sem
classes), RIP Versão 2 (RIP v2). As evoluções do RIP v2 incluem:

• Capacidade de transportar informações adicionais sobre roteamento de pacotes.

• Mecanismo de autenticação para garantir as atualizações da tabela.
• Suporte a VLSM (máscaras de sub-rede com tamanho variável).

O RIP impede a continuação indefinida de loops de roteamento, implementando um

limite sobre o número de saltos permitidos em um caminho da origem até o destino. O
número máximo de saltos em um caminho é de 15. Quando um roteador recebe uma
atualização de roteamento que contém uma entrada nova ou alterada, o valor da métrica é

Página 82
aumentado em 1, para incluir-se como um salto nesse caminho. Se isso fizer com que a
métrica seja incrementada além de 15, então ele será considerado como infinito e esse destino
de rede será considerado inalcançável. O RIP inclui diversos recursos comuns em outros
protocolos de roteamento. Por exemplo, o RIP implementa o mecanismos de split horizon e de
retenção para impedir a propagação de informações de roteamento incorretas.

Problemas de loop no roteamento de vetor da distância

Os loops de roteamento podem ocorrer quando tabelas de roteamento inconsistentes

não são atualizadas devido à convergência lenta em uma rede em mudança.

Figura 50 - Gerenciamento de loops

Por exemplo, analisando a figura 50, pode-se concluir que:

1. Antes da falha da Rede 1, todos os roteadores têm conhecimento consistente e tabelas de

roteamento corretas. Diz-se que a rede convergiu. Para o restante deste exemplo, presuma
que o caminho preferido do Roteador C para a Rede 1 seja via Roteador B e que a distância do
Roteador C para a Rede 1 seja 3.

2. Quando a Rede 1 falha, o Roteador E envia uma atualização ao Roteador A, que para de
rotear pacotes para a Rede 1, mas os roteadores B, C e D continuam a fazê-lo, poisainda não
foram informados da falha. Quando o Roteador A envia sua atualização, os Roteadores B e D
param de rotear para a Rede 1. No entanto, o Roteador C não recebeu nenhuma atualização.
Para o Roteador C, a Rede 1 ainda é alcançável via Roteador B.

3. Agora, o Roteador C envia uma atualização periódica ao Roteador D, indicando um caminho

para a Rede 1 via Roteador B. O Roteador D altera sua tabela de roteamento para que ela
reflita essas informações boas, mas incorretas, e propaga as informações ao Roteador A, que
propaga as informações aos Roteadores B e E, e assim sucessivamente. Qualquer pacote
destinado à Rede 1 agora entrará em loop do Roteador C para o B, para o A, para o D e
retornará ao C.

Página 83
 Definição de uma contagem máxima

As atualizações inválidas da Rede 1 continuarão em loop até que outro processo as

interrompa. Esta condição, chamada de contagem até o infinito, gera loops continuamente na
rede, apesar do fato fundamental da rede de destino, ou seja, a Rede 1, estar inativa.
Enquanto os roteadores permanecerem em contagem até o infinito, as informações inválidas
permitirão a existência de um loop de roteamento.

Sem medidas que interrompam o processo de contagem até o infinito, a contagem da

métrica de vetor da distância é incrementada cada vez que o pacote passa por outro roteador.
Esses pacotes entram em loop na rede devido a informações erradas das tabelas de
roteamento.

Para evitar este problema prolongado, os protocolos de vetor da distância definem o

infinito como um número máximo específico. Esse número refere-se a uma métrica de
roteamento que pode, simplesmente, ser a contagem de saltos.

Com essa técnica, o protocolo de roteamento permite que o loop prossiga até que a
métrica exceda o valor máximo permitido (métrica como 16 saltos). Esse valor excede o
padrão de vetor da distância máximo de 15 saltos; assim, o pacote será descartado pelo
roteador. De qualquer forma, quando o valor de métrica exceder o máximo, a Rede 1 será
considerada inalcançável.

Inviabilização de rota

A inviabilização de rota (route poisoning) é usada por vários protocolos de vetor da

distância para superar grandes loops de roteamento e oferecer informações explícitas quando
uma subrede ou uma rede não está acessível. Isso normalmente é feito com a definição da
contagem de saltos como um mais o máximo.

Quando a inviabilização de rota é usada com atualizações acionadas, acelerará a

convergência, pois os roteadores vizinhos não precisam aguardar 30 segundos para anunciar a
rota inviabilizada.

A inviabilização de rota faz com que o protocolo de roteamento anuncie rotas de

métrica infinita para uma rota com falha. A inviabilização de rota não quebra as regras de split
horizon. O split horizon com poison reverse é, essencialmente, uma inviabilização de rota,
porém especificamente colocada em links pelos quais, normalmente, o split horizon não
permitiria a passagem de informações de roteamento. De qualquer forma, o resultado é que
as rotas com falha são anunciadas com métricas infinitas.

Quando um roteador recebe uma atualização de um vizinho, indicando o impedimento

de uma rede antes acessível, ele marca a rota como inacessível e inicia um temporizador de
retenção. Se, a qualquer momento antes da expiração do temporizador de retenção, for
recebida uma atualização do mesmo vizinho indicando que a rede está novamente acessível, o
roteador marca essa rede como acessível e remove o temporizador de retenção.

Se chegar uma atualização de outro roteador vizinho com métrica melhor do que
aquela originalmente registrada para a rede, o roteador marca a rede como acessível e remove
o temporizador de retenção.

Página 84
 Se, a qualquer momento antes da expiração do temporizador de retenção, for
recebida uma atualização de outro roteador vizinho com métrica pior, essa atualização será
ignorada. Ignorar uma atualização com métrica pior durante o período de eficácia de um
temporizador de retenção concede mais tempo para que a informação de uma alteração
desfeita seja propagada em toda a rede.

Em resumo, para reduzir os loops de roteamento e a contagem até o infinito, o RIP usa
as seguintes técnicas:
• Contagem até o infinito
• Split horizon
• Inviabilização de rotas
• Contadores de retenção
• Atualizações acionadas

Alguns desses métodos podem exigir configuração enquanto, com outros, isso ocorre
raramente ou nunca. A contagem máxima do RIP restringe muito seu uso em internetworks de
grande porte, mas evita que um problema chamado "contagem até o infinito" cause loops sem
fim de roteamento na rede.

Como impedir atualizações de roteamento em uma interface

A filtragem de rotas atua controlando as rotas inseridas ou anunciadas em uma tabela

de roteamento. Isto tem efeitos diferentes sobre os protocolos de roteamento de estado de
link e sobre protocolos de vetor da distância. Um roteador que esteja executando um
protocolo de vetor da distância anuncia rotas com base em sua tabela de rotas. Como
resultado, um filtro de rota influencia a definição das rotas a serem anunciadas pelo roteador
aos seus vizinhos.

Por outro lado, os roteadores que estão executando protocolos de estado de link
determinam rotas com base em informações do banco de dados de estado de link, e não das
entradas de rotas anunciadas pelo roteador. Os filtros de rota não afetam os anúncios ou o
banco de dados de estado de link. Por esse motivo, as informações deste documento aplicam-
se somente a Protocolos de Roteamento IP de vetor da distância como, por exemplo, o RIP.

O uso do comando passive interface pode evitar que os roteadores enviem

atualizações de roteamento através de uma interface de roteador. Impedir o envio de
mensagens de atualização de roteamento através de uma interface de roteador impede que
outros sistemas da rede sejam notificados dinamicamente sobre outras rotas.

Balanceamento de carga com RIP

O balanceamento de carga é um conceito que permite que um roteador seja

beneficiado com vários melhores caminhos até um determinado destino. Esses caminhos são
definidos estaticamente pelo administrador da rede ou calculados por um protocolo de
roteamento dinâmico como, por exemplo, o RIP.

O RIP pode executar o balanceamento de carga em até seis caminhos de mesmo custo
com quatro caminhos como padrão. O RIP executa o que é chamado de balanceamento de
carga "round robin". Isso significa que o RIP reveza o envio de mensagens nos caminhos
paralelos.

Página 85
 Figura 51 - Balanceamento de Carga

A Figura 51 mostra um exemplo de rotas RIP com quatro caminhos de mesmo custo. O
roteador começará com um ponto de interface para a interface conectada ao roteador 1. Em
seguida, esse ponto de interface percorre um ciclo nas interfaces e nas rotas de modo
determinístico como, por exemplo, 1-2-3-4-1-2-3-4-1 e assim sucessivamente. Como a métrica
para o RIP é de contagem de saltos, a velocidade dos links não é considerada. Assim, o
caminho de 56 Kbps terá a mesma preferência do caminho de 155 Mbps.

7 - Modelos de Aplicação de QoS

Para a aplicação da QoS via software IOS (Internetwork Operation System), pode-se
utilizar um dos três modelos de serviços: Best effort , Integrated e Differentiated. Estes três
modelos podem ser classificados conforme figura 52, abaixo, do mais restrito ao menos
restritivo:

Figura 52 - Modelos de Serviços

Página 86
 Todas as funcionalidades de QoS da Cisco estão classificadas em um dos três modelos
acima.

7.1 Melhor Esforço (Best Effort)

Melhor esforço2 é um modelo de serviço em que um aplicativo envia dados sempre

que necessário, em qualquer quantidade, e sem pedir permissão ou informar previamente a
rede. Para este tipo de serviço, os dados serão entregues sem qualquer garantia de os limites
de atraso, ou de taxas de transferência.

O método utilizado pelo IOS Cisco para implementar este serviço é o de fila FIFO (first-
in, first-out). Este tipo serviço de melhor esforço é adequado para uma ampla gama de
aplicações de rede, tais como transferências de arquivos ou e-mail.

7.2 Serviços Integrados (IntServ)

Neste modelo, o aplicativo solicita um tipo de serviço da rede antes de enviar os

dados. A solicitação é feita através de uma indicação explicita, a aplicação informa a rede de
seu perfil de tráfego e pedidos de um determinado tipo de serviço que pode incluir a sua
largura de banda e atraso. A aplicação somente enviará os dados quando receber uma
confirmação da rede.

Um exemplo de protocolo de sinalização é o Protocolo RSVP (Resource Reservation

Protocol). O RSVP é um protocolo que pode ser usado por aplicativos para assinalar os seus
requisitos de QoS para o roteador. Este protocolo estabelece "conexões virtuais" para a
transmissão IP, que é por padrão, não orientado a conexão. Além disso, outro ponto fraco é
que todos os equipamentos devem suportar este protocolo a fim de garantir que a reserva
seja possível fim-a-fim.

Uma observação se faz necessária: para implementar o RSVP, deve haver um software
RSVP rodando em cada um dos receptores, remetentes e roteadores da rede.

É importante ressaltar que o RSVP não determina ou indica como a rede deve fornecer
a largura de banda demandada; ele somente permite a declaração da reserva, por parte das
aplicações.

7.3 Serviços Diferenciados (DiffServ)

Serviços Diferenciados é um modelo de múltiplos serviços que pode satisfazer a

diferentes requisitos de QoS. No entanto, uma aplicação utilizando serviços diferenciados não
explicitamente recebe uma sinalização do roteador antes de enviar os dados.

Por serviço diferenciado, a rede tenta entregar um determinado tipo de serviço com
base na QoS especificada por cada pacote. Esta especificação pode ocorrer em diferentes
formas (IP Precedence; endereços IP de origem/destino, portas TCP/UDP etc.

Página 87
 A CISCO utiliza uma forma modular e hierárquica para aplicação das políticas de QoS
denominada MQC (Modular QoS CLI). O MQC é uma estrutura que consiste na definição de
três processos:
 Definição da classe de tráfego com o comando class-map;
 Criação da política de tráfego, associando a classe de tráfego a uma ou mais
tipos de QoS através do comando policy-map;
 Aplicação da política de tráfego em uma interface do roteador através do
comando service-policy.

A funcionalidade LLQ (Low Latency Queueing) é uma MQC equiavalente a

funcionalidade RTP Priority, no entanto permite que seja dada prioridade não apenas para
pacotes RTP. Uma vez que a fila de reserva LLQ seja configurada, o algorítimo CBWFQ (Class-
based weighted fair queueing) fará a subtração do valor definido da banda total disponível
na interface1.

Para configuração da fila de prioridade LLQ basta utilizar o comando: priority <valor>
dentro da política de tráfego.

Dentre as opções de configuração de QoS que o software da Cisco possibilita

configurar nos roteadores, no modelo DiffServ (diferenciação de serviços), vale a pena
salientar alguns pontos:

 A classificação e marcação dos pacotes devem ser feita o mais próximo

possível da origem.
 Deve-se considerar os tipos de queuing (enfileiramento) que o roteador
possui.
 Verificar a possibilidade de utilizar de recursos de fragmentação e compressão;
 Verificar a possibilidade de ferramentas de “Eficiência de Link” (Link-efficiency)

7.4 Vantagens e Desvantagens dos modelos de QoS

A Qualidade de Serviço tem como objetivo tratar o tráfego de forma a otimizar o uso
da rede. Dentre os modelos apresentados, cabe ao administrador escolher o mais adequado
ao tipo de aplicação/rede disponível. A tabela 3 mostra, de forma resumida, as vantagens e
desvantagens dos três modelos apresentados:

1
Por padrão, a banda disponível na interface é de 75%, a qual pode ser modificada com o comando:
max-reserved-bandwidth.

Página 88
Tabela 3 - Modelos de QoS.

Modelo Vantagens Desvantagens

Escalável Não há garantia de Serviço

Best Effort Não há diferenciação de
(BE)2 Nenhuma ferramenta serviço para diferentes tipos
de QoS é requerida de tráfego

Alta escalabilidade Não garante nível de serviço

DiffServ
Grande número de
classes de serviços

Faz controle de
admissão para cada
IntServ requisição Pouco escalável

Suporta sinalização
dinâmica

8 Switches

8.1 Funções dos switches Ethernet

Em uma rede local usando uma topologia de barramento, um segmento é um circuito

elétrico contínuo que é freqüentemente conectado a outros tantos segmentos com switches.
Um switch é um dispositivo que conecta segmentos de rede local usando uma tabela de
endereços MAC para determinar o segmento para onde um quadro precisa ser transmitido.

Tanto os switches como as bridges operam na Camada 2 do modelo OSI. Às vezes os

switches são chamados de bridges multiportas, hubs de comutação ou comutadores. Os
switches tomam decisões com base nos endereços MAC e, portanto, são dispositivos da
Camada 2. Em comparação, os hubs regeneram os sinais da Camada 1 e os transmitem por
todas as portas sem tomar qualquer decisão. Como um switch tem a capacidade de tomar
decisões de escolha de caminhos, a rede local fica muito mais eficiente.

Geralmente, em uma rede Ethernet, as estações de trabalho estão conectadas

diretamente ao switch. Para comutar quadros de maneira eficiente entre as interfaces, o
switch mantém uma tabela de endereços. Quando um quadro entra no switch, este associa o
endereço MAC da estação emissora com a interface na qual o quadro foi recebido.

2
Alguns autores não consideram este um modelo de QoS, uma vez que não há garantia de Serviços.

Página 89
 As principais características dos switches Ethernet são:
• Isolar tráfego entre segmentos;
• Alcançar maior largura de banda por usuário criando domínios de colisão menores.

Como os switches aprendem endereços

Os switches só encaminham quadros que precisam trafegar de um segmento da rede

local para outro. Para realizar essa tarefa, eles precisam aprender quais dispositivos estão
conectados a qual segmento da rede local.

Os switches aprendem da seguinte maneira:

• Lendo o endereço MAC de origem de cada quadro ou datagrama recebido;
• Gravando a porta na qual o endereço MAC foi recebido.

Dessa forma, o switch aprende quais endereços pertencem aos dispositivos

conectados a cada porta. Os endereços aprendidos e a respectiva porta ou interface são
armazenados na tabela de endereçamento. O switche examina o endereço de destino de
todos os quadros recebidos. Em seguida, ele rastreia a tabela de endereços em busca do
endereço de destino.

A tabela de comutação é armazenada na CAM (Content Addressable Memory). Nesse

tipo de memória, o conteúdo é acessado rapidamente. A CAM é usada em aplicações de
comutação para realizar as seguintes funções: Para extrair e processar as informações de
endereço dos pacotes de dados de entrada;

Os processos seguidos pela CAM são os seguintes:

1. Se o endereço não for encontrado, o swiche encaminha o quadro por todas as

portas exceto aquela na qual ele foi recebido. Esse processo é chamado de
inundação (flooding).

O endereço também pode ter sido excluído pelo switche porque seu software foi
reiniciado recentemente, teve escassez de entradas na tabela de endereços ou excluiu o
endereço porque ele estava muito velho. Não é necessário enviá-lo de volta para o mesmo
segmento de cabo do qual ele foi recebido, uma vez que todos os outros computadores ou
swiches já devem ter recebido o pacote.

2. Se o endereço for encontrado em uma tabela de endereços e estiver associado à

porta na qual foi recebido, o quadro é descartado. Ele já deve ter sido recebido
pelo destino.

3. Se o endereço for encontrado em uma tabela de endereços e não estiver associado

à porta na qual foi recebido, o switche encaminha o quadro para a porta associada ao
endereço.

Switches e domínios de broadcast

A maneira mais comum de comunicação é por transmissões unicast. Em uma

transmissão unicast, um transmissor tenta alcançar um receptor.

Página 90
 Outra forma de comunicação é conhecida como transmissão multicast. A transmissão
multicast ocorre quando um transmissor tenta alcançar apenas um subconjunto, ou grupo, de
todo o segmento.

A comutação (switching) é uma tecnologia que diminui o congestionamento em redes

locais Ethernet, Token Ring e FDDI (Fiber Distributed Data Interface). Comutação é o processo
de receber um quadro em uma interface e encaminhá-lo através de outra interface. Os
roteadores usam comutação da Camada 3 para rotear um pacote. Os switches usam
comutação da Camada 2 para encaminhar quadros. Um switch simétrico fornece conexões
comutadas entre portas com a mesma largura de banda. Um switch rede local assimétrico
fornece conexões comutadas entre portas com diferentes larguras de banda, como uma
combinação de portas de 10 Mbps e de 100 Mbps.

Um projeto de uma rede local pode ser dividido nas seguintes três categorias únicas do
modelo de referência OSI:

• Camada de rede
• Camada de enlace de dados
• Camada física

A documentação do projeto deve identificar as topologias física e lógica da rede. A

topologia física da rede refere-se à maneira pela qual os vários componentes de uma rede
local são interconectados. O projeto lógico de uma rede refere-se ao fluxo de dados dentro de
uma rede. Também se refere aos esquemas de nomes e endereços usados nas
implementações das soluções do projeto de uma rede local.

Os switches de rede local são considerados bridges multiportas sem domínio de

colisão, devido à microssegmentação. Os dados são trocados em altas velocidades através da
comutação do quadro para o seu destino. Lendo as informações do endereço MAC de Camada
2 de destino, os switches podem alcançar transferências de dados de alta velocidade, da
mesma forma que uma bridge. Esse processo leva a baixos níveis de latência e a uma alta taxa
de velocidade de encaminhamento de quadros.

A microssegmentação da rede reduz o tamanho dos domínios de colisão e reduz o

número de colisões. A microssegmentação pode ser implementada através da utilização de
switches. O objetivo é melhorar o desempenho para um grupo de trabalho ou para um
backbone. Os switches podem ser usados para fornecer o nível apropriado de desempenho a
diferentes usuários e servidores.

8.2 Projeto Hierárquico de Switches

Em um projeto hierárquico de rede, com a utilização de switches, podemos identificar

três camadas de atuação:

• A camada de acesso - que proporciona acesso à rede para usuários em grupos de

trabalho.
• A camada de distribuição – que proporciona uma conectividade com base em
diretivas.
• A camada central - que fornece o melhor transporte possível entre instalações. Esta
camada central é freqüentemente conhecida como backbone.

Página 91
 Switches da camada de acesso

Os switches da camada de acesso operam na camada 2 do modelo OSI e proporcionam

serviços como associação de VLANs. O propósito principal de um switch de camada de acesso
é admitir usuários finais à rede. Um switch de camada de acesso deve fornecer essa
funcionalidade com baixo custo e alta densidade de portas.

Switches de camada de distribuição

Os switches da camada de distribuição são os pontos de agregação para os switches de

camada de acesso múltiplo. O switch precisa acomodar todo o tráfego vindo dos dispositivos
da camada de acesso.

Um switch da camada de distribuição precisa ser de alto desempenho. Um switch da camada

de distribuição é um ponto em que é delineado um domínio de broadcast. A camada de
distribuição combina o tráfego VLAN e é um ponto de focalização para decisões de diretivas
sobre o fluxo de tráfego. Por essas razões, os switches da camada de distribuição operam
tanto na camada 2 como na camada 3 do modelo OSI. Os switches nesta camada são
conhecidos como switches multicamada (como por exemplo o sitche Cisco WS-C3750G-24TS-
S1U). Esses switches multicamadas reúnem as funções de um roteador e de um switch em um
só dispositivo. Têm a finalidade de comutar tráfego, a fim de obter um desempenho mais alto
do que um roteador normal. Se não tiverem um módulo de roteador associado, um roteador
externo será utilizado para as funções de camada 3.

Switches da camada central

A camada central é um backbone de comutação de alta velocidade. Se não tiver um

módulo de roteador associado, um roteador externo será utilizado para as funções de camada
3. Essa camada do projeto da rede não deve realizar nenhuma manipulação de pacotes. A
manipulação de pacotes, como a filtragem por lista de acesso, retardaria a comutação de
pacotes.

A camada central é o backbone da rede comutada de campus. Os switches nesta

camada podem valer-se de várias tecnologias de camada 2. Contanto que a distância entre os
switches da camada central não seja muito grande, os switches podem utilizar a tecnologia
Ethernet.

Outras tecnologias de camada 2, tais como comutação de células ATM, também

podem ser utilizadas. Em um projeto de rede, a camada central pode ser um backbone
roteado ou de camada 3. Os switches da camada central têm a finalidade de proporcionar uma
funcionalidade eficiente de camada 3 quando necessário. Devem ser considerados fatores
como necessidade, custo e desempenho antes de se tomar uma decisão.

Página 92
 9 Fundamentos do IOS

9.1 Cisco IOS

Semelhante a um computador pessoal, um roteador ou um switch não pode funcionar

sem um sistema operacional. Sem um Sistema Operacional, o hardware não possui quaisquer
habilidades. O IOS (Internetwork Operating System) da Cisco é o software de sistema dos
dispositivos. É a tecnologia central que se estende por quase toda a linha de produtos Cisco. O
Cisco IOS é utilizado pela maioria dos dispositivos da Cisco independentemente de tamanho e
tipo. É usado para roteadores, switches LAN, pequenos Access Points (Pontos de Acesso Sem
Fio), grandes roteadores com dezenas de interfaces e muitos outros dispositivos.

O Cisco IOS fornece aos dispositivos os seguintes serviços de rede:

 Funções básicas de roteamento e comutação

 Acesso confiável e seguro a recursos de rede
 Escalabilidade de rede

Os detalhes operacionais do IOS variam em diferentes dispositivos de rede, dependendo

do propósito do dispositivo e do conjunto de características.

Os serviços fornecidos pelo Cisco IOS são geralmente acessados com a utilização de uma
interface de linha de comando (CLI). As características acessíveis via CLI variam com base na
versão do IOS e no tipo de dispositivo.

O arquivo do IOS por si possui vários megabytes em tamanho e é armazenado em uma

área de memória chamada flash. A memória Flash fornece armazenamento não-volátil. Isso
significa que o conteúdo da memória não é perdido quando o dispositivo é desligado. Mesmo
que o conteúdo não seja perdido, ele pode ser alterado ou sobrescrito se necessário.

A utilização da memória flash permite que o IOS seja atualizado para novas versões ou
tenha novas características adicionadas. Em muitas arquiteturas de roteadores, o IOS é
copiado na RAM quando o dispositivo é ligado e o IOS é executado a partir da RAM quando o
dispositivo está em operação. Essa função aumenta o desempenho do dispositivo.

Página 93
Métodos de Acesso

Existem várias maneiras de se acessar o ambiente CLI. Os métodos mais comuns são
(figura 53):

 Console
 Telnet ou SSH
 Porta AUX

Console

A CLI pode ser acessada através de uma sessão de console, também conhecida como
linha CTY. Uma console usa uma conexão serial de baixa velocidade para conectar diretamente
um computador ou terminal à porta de console do roteador ou switch.
A porta de console é uma porta de gerenciamento que fornece acesso a um roteador
sem utilizar conexões de rede. A porta de console é acessível mesmo se nenhum serviço de
rede tiver sido configurado no dispositivo. A porta de console é frequentemente usada para
se acessar um dispositivo quando os serviços de rede não foram iniciados ou falharam.
Exemplos de utilização da console são:
 A configuração inicial do dispositivo de rede
 Procedimentos de recuperação de desastre e correção de erros onde o acesso
remoto não é possível
 Procedimentos de recuperação de senha

Quando um roteador é colocado em operação pela primeira vez, os parâmetros de

rede não foram ainda configurados. Portanto, o roteador não pode se comunicar através da
rede. Para se preparar para a primeira inicialização e configuração, um computador com um
software de emulação de terminal em execução é conectado à porta de console do dispositivo.
Os comandos de configuração para configurar o roteador podem ser inseridos no computador.

Durante a operação, se um roteador não puder ser acessado remotamente, uma

conexão de console pode permitir que um computador determine o status do dispositivo. Por
padrão, a console transmite a inicialização do dispositivo, debugando e exibindo mensagens de
erro.

Para muitos dispositivos, o acesso à console não exige qualquer método de segurança,
por padrão. No entanto, a console deve ser configurada com senhas para impedir o acesso não
autorizado ao dispositivo. Caso uma senha seja perdida, existe um conjunto de procedimentos
especiais para contornar a senha e acessar o dispositivo. O dispositivo deve estar localizado em
uma sala ou rack de equipamento trancado para impedir o acesso físico.

Página 94
 Figura 53 - Interfaces de um roteador

Telnet e SSH

Um método para acessar uma sessão CLI remotamente é realizando Telnet no

roteador. Diferente da conexão de console, as sessões Telnet exigem serviços de rede ativos
no dispositivo. O dispositivo de rede deve possuir pelo menos uma interface ativa configurada
com um endereço de Camada 3, tal como em endereço IPv4. Os dispositivos Cisco incluem um
processo de servidor Telnet que já inicia quando o dispositivo é iniciado. O IOS também
contém um cliente Telnet.

Um host com um cliente Telnet pode acessar as sessões vty executando a partir de um
dispositivo Cisco. Por motivos de segurança, o IOS exige que a sessão Telnet use uma senha,
como um método básico de autenticação. Os métodos para estabelecimento de logins e
senhas serão discutidos em uma seção posterior.

O protocolo Secure Shell (SSH) é um método mais seguro para acesso remoto a
dispositivos. Esse protocolo fornece a estrutura para um login remoto similar ao Telnet, exceto
que ele utiliza serviços de rede mais seguros.

O SSH fornece autenticação de senha mais forte do que o Telnet e usa criptografia ao
transportar dados da sessão. A sessão SSH criptografa todas as comunicações entre o cliente e
o dispositivo. Isso mantém o ID de usuário, a senha e os detalhes da sessão de gerenciamento
em privacidade. Como melhor prática, use o SSH em vez do Telnet sempre que possível.

A maioria das versões mais novas do IOS contém um servidor SSH. Em alguns
dispositivos, esse serviço é habilitado por padrão. Outros dispositivos exigem que o servidor
SSH seja habilitado.

Os Dispositivos também incluem um cliente SSH que pode ser usado para se
estabelecer sessões SSH com outros dispositivos. De maneira semelhante, você pode utilizar
um computador remoto com um cliente SSH para iniciar uma sessão segura de CLI. O software
de cliente SSH não é fornecido por padrão em todos os sistemas operacionais de computador.
Você pode precisar adquirir, instalar e configurar o software de cliente SSH para o seu
computador.

Página 95
 AUX

Outra maneira de estabelecer um sessão CLI remotamente é via uma conexão dial-up
de telefone com a utilização de um modem conectado à porta AUX do roteador. Semelhante à
conexão de console, esse método não exige que quaisquer serviços de rede sejam
configurados ou estejam disponíveis no dispositivo.

A porta AUX também pode ser usada localmente, como a porta de console, com uma
conexão direta a um computador executando um programa de emulação de terminal. A porta
de console é necessária para a configuração do roteador, mas nem todos os roteadores
possuem uma porta auxiliar. A porta de console também é preferida sobre a porta auxiliar
para correção de erros, pois ela exibe a inicialização do roteador, debugando e exibindo
mensagens de erro por padrão.

Geralmente, o único momento em que a porta AUX é utilizada localmente em vez da

porta de console é quando há problemas ao se usar a porta de console, tal como quando
certos parâmetros da console são desconhecidos.

9.2 Arquivos de Configuração

Os dispositivos de rede dependem de dois tipos de software para a sua operação:

sistema operacional e configuração. Como o sistema operacional em qualquer computador, o
sistema operacional facilita a operação básica dos componentes de hardware do dispositivo.

Os arquivos de configuração contêm os comandos do Cisco IOS usados para customizar

a funcionalidade de um dispositivo Cisco. Os comandos são analisados (interpretados e
executados) pelo Cisco IOS quando o sistema é inicializado (do arquivo startup-config) ou
quando os comandos são inseridos na CLI enquanto no modo de configuração.

Um administrador de rede cria uma configuração que define a funcionalidade desejada

de um dispositivo Cisco. O arquivo de configuração possui, normalmente, algumas centenas ou
milhares de bytes em tamanho.

Tipos de Arquivos de Configuração

Um dispositivo de rede Cisco contém dois arquivos de configuração:

 O arquivo de configuração em execução – usado durante a operação atual do
dispositivo
 O arquivo de configuração de inicialização – usado como a configuração de
backup, e é carregado quando o dispositivo é ligado
 Um arquivo de configuração também pode ser armazenado remotamente em
um servidor, como backup.

Arquivo de Configuração de Inicialização

O arquivo de configuração de inicialização (startup-config) é usado durante a

inicialização do sistema para configurar o dispositivo. O arquivo de configuração de
inicialização ou startup-config é armazenado na RAM não-volátil (NVRAM). Como a NVRAM
não é volátil, quando o dispositivo Cisco for desligado, o arquivo permanecerá intacto. Os

Página 96
arquivos startup-config são carregados na RAM cada vez que o roteador é ligado ou
reinicializado. Uma vez que o arquivo de configuração é carregado na RAM, ele é considerado
como sendo a configuração em execução ou running-config.

Configuração em Execução

Uma vez na RAM, essa configuração é usada para operar o dispositivo de rede. A
configuração em execução (running-config) é modificada quando o administrador de rede
executa a configuração do dispositivo. Alterações na configuração em execução (running-
config) afetarão imediatamente a operação do dispositivo Cisco. Após fazer quaisquer
alterações, o administrador tem a opção de salvar essas alterações no arquivo startup-config
para que elas sejam usadas da próxima vez que o dispositivo reiniciar.

Pelo fato de que o arquivo de configuração em execução (running-config) encontra-se

na RAM, ele é perdido se a energia do dispositivo for desligada ou se o dispositivo for
reiniciado. Alterações feitas no arquivo running-config também serão perdidas se não forem
salvas no arquivo startup-config antes do dispositivo ser desligado (figura 54).

Figura 54 - Tipos de Arquivos de Configuração

9.3 Modos do Cisco IOS

O Cisco IOS foi projetado como um sistema operacional modal. O termo modal
descreve um sistema onde há diferentes modos de operação, cada um com o seu próprio
campo de operação. A CLI usa uma estrutura hierárquica para os modos.

Os principais modos são:

 Modo exec usuário
 Modo exec privilegiado

Página 97
  Modo de configuração global
 Outros modos de configuração específicos

Cada modo é usado para se realizar tarefas particulares e possui um conjunto

específico de comandos que são disponíveis quando naquele modo. Por exemplo, para se
configurar uma interface de roteador, o usuário deve entrar no modo de configuração de
interface. Todas as configurações que são inseridas no modo de configuração de interface
aplicam-se somente àquela interface.

Alguns comandos estão disponíveis a todos os usuários; outros podem ser executados
somente após acessar o modo no qual o comando está disponível. Cada modo é distinguido
com um prompt distinto e somente comandos adequados para esse modo são permitidos.

A estrutura hierárquica dos modos pode ser configurada para fornecer segurança.
Uma autenticação diferente pode ser necessária para cada modo hierárquico. Isso controla o
nível de acesso que o pessoal de redes pode receber.

A figura 55 mostra a estrutura dos modos do IOS com os prompts e características

comuns.

Figura 55 - Estrutura do IOS

Prompts de Comando

Ao se usar a CLI, o modo é identificado pelo prompt de linha de comando que é único
para aquele modo. O prompt é composto das palavras e símbolos na linha à esquerda da área
de entrada. A palavraprompté usada porque o sistema está aprontando para realizar uma
entrada.

Página 98
 Por padrão, todo prompt começa com o nome do dispositivo. Após o nome, o restante
do prompt indica o modo. Por exemplo, o prompt padrão para o modo de configuração global
em um roteador seria:

Router(config)#

Como os comandos são alterados em função do modo, o prompt se altera para refletir
o contexto atual, conforme mostrado na figura 56.

Figura 56 - Estrutura do Prompt IOS

Modos Primários

Os dois modos primários de operação são:

 EXEC Usuário
 EXEC Privilegiado

Como uma característica de segurança, o Cisco IOS separa as sessões EXEC em dois
modos de acesso. Esses dois modos de acesso primários são usados dentro da estrutura
hierárquica da CLI da Cisco.

Cada modo possui comandos similares. No entanto, o modo EXEC privilegiado possui
um nível superior de privilégios.

Modo Executivo Usuário

O modo exec usuário, ou EXEC usuário, possui capacidades limitadas, mas é útil para
algumas operações básicas. O modo EXEC usuário está no topo da estrutura hierárquica dos
modos. Esse modo é a primeira entrada na CLI do IOS de um roteador.

Página 99
 O modo EXEC usuário permite somente um número limitado de comandos básicos de
monitoramento. Ele é frequentemente referido como modo somente de visualização. O nível
EXEC usuário não permite a execução de quaisquer comandos que poderiam alterar a
configuração do dispositivo.

Por padrão, não há autenticação exigida para acessar a console do modo EXEC usuário.
Esse é um bom motivo para garantir que a autenticação seja configurada durante a
configuração inicial.

O modo EXEC usuário é identificado pelo prompt da CLI que termina com o símbolo >.
Esse é um exemplo que mostra o símbolo > no prompt:

switch>

Modo EXEC Privilegiado

A execução de comandos de configuração e gerenciamento exige que o administrador

de rede use o modo EXEC privilegiado, ou um modo específico além da hierarquia.

O modo EXEC privilegiado pode ser identificado pelo prompt terminando com o
símbolo #.

switch#

Por padrão, o EXEC privilegiado não exige autenticação. Esse é também um bom
motivo para garantir que a autenticação seja configurada.

O modo de configuração global e todos os outros modos de configuração mais

específicos podem somente ser alcançados a partir do modo EXEC privilegiado. Em uma seção
posterior deste capítulo, examinaremos a configuração de dispositivos e alguns dos modos de
configuração.

Movendo-se entre os Modos EXEC Privilegiado e EXEC Usuário

Os comandos enable e disable são usados para alternar a CLI entre o modo EXEC
usuário e o modo EXEC privilegiado, respectivamente.

Para acessar o modo EXEC privilegiado, utilize o comando enable. O modo EXEC
privilegiado é, algumas vezes, chamado de Modo enable.

A sintaxe do comando para entrar no modo privilegiado é:

Router>enable

Esse comando é executado sem a necessidade de um argumento ou palavra-chave. Uma

vez que a tecla <Enter> é pressionada, o prompt do roteador se altera para:

Página 100
 Router#

O símbolo # no final do prompt indica que o roteador está agora no modo EXEC
privilegiado.

Se a autenticação estiver configurada para acessar o modo EXEC privilegiado, a senha

será solicitada.

Por exemplo:

Router>enable
Senha:
Router#

O comando disable é usado para retornar do modo EXEC privilegiado para o modo
EXEC usuário.

Por exemplo:

Router#disable
Router>

9.4 Estrutura de Comandos Básicos do IOS

Cada comando do IOS possui um formato específico ou sintaxe e deve ser executado
no prompt adequado. A sintaxe geral para um comando é o comando seguido por quaisquer
palavras-chave adequadas e argumentos. Alguns comandos incluem um subconjunto de
palavras-chave e argumentos que fornece funcionalidade adicional.

O comando é a palavra ou palavras inicial(is) inseridas na linha de comando. Os

comandos não fazem diferenciação de letras maiúsculas de minúsculas (case-sensitive). Após o
comando, existem uma ou mais palavras e argumentos.

As palavras-chave descrevem parâmetros específicos do comando. Por exemplo, o

comando show é usado para exibir informações sobre o dispositivo. Esse comando possui

Página 101
várias palavras-chave que podem ser usadas para definir qual resultado específico deve ser
exibido. Por exemplo:

switch#show running-config

O comando show é seguido pela palavra-chave running-config. A palavra-chave

especifica que a configuração em execução deve ser exibida.

Um comando pode exigir um ou mais argumentos. Diferentemente de uma palavra-

chave, um argumento geralmente não é uma palavra pré-definida. Um argumento é um valor
ou variável definido pelo usuário. Como um exemplo, aplique uma descrição a uma interface
com o comando description, inserindo uma linha como esta:

switch(config-if)#description MainHQ Office Switch

O comando é: description. O argumento é: MainHQ Office Switch. O usuário define o

argumento. Para esse comando, o argumento pode ser qualquer texto de até 80 caracteres.

Após inserir por completo cada comando, inclusive quaisquer palavras-chave e

argumentos, pressione a tecla <Enter> para submeter o comando.

Convenções do IOS

A figura e os exemplos a seguir demonstram algumas convenções para documentação

dos comandos do IOS (figura 57).

Figura 57 - Convenções

Página 102
 Para o comando ping:

Router>ping Endereço IP

Exemplo com valores:

Router>ping 10.10.10.5

O comando é ping e o argumento é o endereço IP.

De maneira semelhante, a sintaxe para inserir o comando traceroute é:

switch>traceroute endereço IP

Exemplo com valores:

switch>traceroute 192.168.254.254

O comando é traceroute e o argumento é o endereço IP.

Os comandos são usados para executar uma ação, e as palavras-chave são usadas para
identificar onde ou como executar o comando.

Em outro exemplo, examine novamente o comando description.

Router(config-if)#description string

Exemplo com valores:

switch(config-if)#description Interface para Construir uma LAN

O comando é description, e o argumento aplicado à interface é a série de texto (string),

Interface para Construir uma LAN. Uma vez executado o comando, a descrição será aplicada à
interface em particular.

9.5 Usando o Help da CLI

O IOS possui várias formas de help (ajuda) disponíveis:

 Help sensível a contexto
 Verificação de Sintaxe de Comando
 Teclas de Atalho e Atalhos

Help Sensível a Contexto

O Help sensível a contexto fornece uma lista de comandos e os argumentos associados

a esses comandos dentro do contexto do modo atual. Para acessar o Help sensível a contexto,
insira uma interrogação, ?, em qualquer prompt. Há uma resposta imediata sem necessidade
de se usar a tecla <Enter>.

Uma utilização do Help sensível a contexto é obter uma lista de comandos disponíveis.
Ela pode ser usada quando você não tiver certeza do nome para um comando ou se você
quiser ver se o IOS suporta um comando específico em um modo específico.

Página 103
 Por exemplo, para listar os comandos disponíveis no nível EXEC usuário, digite uma
interrogação ? no prompt Router>.

Outra utilização do Help sensível a contexto é exibir uma lista de comandos ou

palavras-chave que iniciam com um caractere ou caracteres especial(is). Após inserir um
seqüência de caracteres, se uma interrogação for inserida imediatamente-sem espaço-o IOS
exibirá uma lista de comandos ou palavras-chave para esse contexto que se iniciam com os
caracteres inseridos.

Por exemplo, insira sh? para obter uma lista de comandos que se iniciam com a
seqüência de caracteres sh.

Um tipo final de Help sensível a contexto é usado para determinar quais opções,
palavras-chave ou argumentos são correspondentes com um comando específico. Ao inserir
um comando, insira um espaço seguido por ? para determinar o que pode ou deve ser inserido
a seguir.

Verificação de Sintaxe de Comando

Quando um comando é submetido ao se pressionar a tecla <Enter>, o intérprete da

linha de comando analisa o comando da esquerda para a direita para determinar qual ação
está sendo solicitada. O IOS fornece geralmente somente um feedback negativo. Se o
intérprete entender o comando, a ação solicitada é executada e a CLI retorna ao prompt
adequado. No entanto, se o intérprete não puder entender o comando que está sendo
inserido, ele fornecerá um feedback descrevendo o que está errado com o comando.

Existem três tipos diferentes de mensagens de erro:

 Comando ambíguo
 Comando incompleto
 Comando incorreto

Página 104
 Teclas de Atalho e Atalhos

A CLI do IOS fornece teclas de atalho e atalhos que tornam a configuração, o

monitoramento e a correção de erros mais fáceis.

Os exemplos abaixo trazem detalhes dos atalhos do IOS.

 Tab - Completa o restante do comando ou palavra-chave

 Ctrl-R - Re-exibe a linha
 Ctrl-Z - Sai do modo de configuração e retorna ao EXEC
 Seta para Baixo - Permite que o usuário role para frente através de comandos
anteriores
 Seta para Cima - Permite que o usuário role para trás através de comandos
anteriores
 Ctrl-Shift-6 - Permite que o usuário interrompa um processo do IOS tal como
ping ou traceroute
 Ctrl-C - Aborta o comando atual e sai do modo de configuração

Tab - Tab completo é usado para completar o restante dos comandos abreviados e
parâmetros se a abreviação contém letras suficientes para ser diferente de quaisquer outros
comandos ou parâmetros disponíveis atualmente. Quando o suficiente do comando ou
palavra-chave tiver sido inserido para parecer único, pressiona a tecla Tab e a CLI exibirá o
resto do comando ou da palavra-chave.

Ctrl-R – Re-exibição de Linha limpará a linha que acabou de ser digitada. Use o Ctrl-R
para re-exibir a linha. Por exemplo, você poderá achar que o IOS está retornando uma
mensagem à CLI enquanto você está digitando uma linha. Você pode usar o Ctrl-R para limpar
a linha e evitar ter que redigitá-la.

Nesse exemplo, uma mensagem sobre uma interface com falha é retornada no meio de
um comando.

switch#show mac-
16w4d: %LINK-5-CHANGED: Interface FastEthernet0/10, changed state to down
16w4d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/10, changed
state to down

Para re-exibir a linha que você estava digitando, use o Ctrl-R:

switch#show mac

Ctrl-Z – Sair do modo de configuração. Para deixar um modo de configuração e retornar

para o modo EXEC privilegiado, use o Ctrl-Z. Pelo fato de que o IOS possui uma estrutura de
modo hierárquico, você poderá se achar em vários níveis abaixo. Em vez de sair de cada modo

Página 105
individualmente, use o Ctrl-Z para retornar diretamente ao prompt do modo EXEC privilegiado
no nível superior.

Setas para Cima e para Baixo – Usando comandos anteriores. O Cisco IOS usa buffer
para vários comandos anteriores e caracteres para que as entradas possam ser re-solicitadas.
O buffer é útil para re-inserir comandos sem ter que digitá-los novamente.

Sequências de teclas estão disponíveis para rolar por esses comandos do buffer. Use a
tecla Seta para cima(Ctrl P) para exibir os comandos inseridos anteriormente. A cada vez que
essa tecla é pressionada, o próximo comando anterior sucessivamente será exibido. Use a
tecla seta para baixo (Ctrl N) para rolar pelo histórico para exibir os comandos mais recentes.

Ctrl-Shift-6 – Usando a seqüência de escape. Quando um processo do IOS é iniciado

na CLI, tal como um ping ou uma traceroute, o comando é executado por completo ou
interrompido. Enquanto o processo está sendo executado, a CLI não é responsiva. Para
interromper o resultado e interagir com a CLI novamente, pressione Ctrl-Shift-6.

Ctrl-C- Interrompe a entrada de um comando e sai do modo de configuração. É útil

para quando inserir um comando, você pode decidir que deseja cancelar o comando e sair do
modo de configuração.

Comandos abreviados ou palavras-chave. Comandos e palavras-chave podem ser

abreviados ao número mínimo de caracteres que identifique uma seleção única. Por exemplo,
o comando configure pode ser abreviado para conf porque configure é o único comando que
se inicia com conf . A abreviação con não dará certo porque mais de um comando se inicia
dessa forma, con.

Palavras-chave também podem ser abreviadas.

Como outro exemplo, show interfaces pode ser abreviado como:

Router#show interfaces
Router#show int

9.6 Comandos de Verificação do IOS

Para verificar e corrigir erros da operação de rede, devemos examinar a operação dos
dispositivos. O comando básico de verificação é o show.

Existem muitas variações deste comando. À medida que você desenvolve mais
habilidade com o IOS, você aprenderá a usar e interpretar o resultado dos comandos show.
Use o comando show ? para obter uma lista de comandos disponíveis em um determinado
contexto, ou modo (figura 58).

Página 106
 Figura 58 - Comando "Show" do IOS

Exemplo de comandos mais utilizados:

show interfaces

Exibe estatísticas para todas as interfaces do dispositivo. Para visualizar a estatística de

uma interface específica, insira o comando show interfaces seguido pela interface específica e
o número de slot/porta. Por exemplo:

Router#show interfaces serial 0/1

show version

Exibe informações sobre a versão de software atualmente instalada, juntamente com

as informações de hardware do dispositivo. Algumas das informações mostradas neste
comando são:

 Software Version - Versão do software IOS (armazenado na flash)

 Bootstrap Version - Versão do Bootstrap (armazenada na ROM)
 System up-time - Tempo desde a última reinicialização
 System restart info - Método de reinicialização (ex., ciclo de energia,
travamento)
 Software image name - Nome do arquivo IOS armazenado na flash
 Router type and Processor type - Número do modelo e tipo de processador
 Memory type and allocation (Shared/Main) - RAM do Principal Processador e
buffering de I/O de Pacote Compartilhado
 Software Features - Protocolos suportados / conjuntos de características
 Hardware Interfaces - Interfaces disponíveis no roteador

Página 107
  Configuration Register - As especificações de configuração inicialização,
configuração de velocidade da console, e parâmetros relacionados.

A figura 59 mostra da saída do comando show version de um switch e de um roteador,

respectivamente:

sw1#sh ver
Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(44)SE6, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Mon 09-Mar-09 17:56 by gereddy
Image text-base: 0x00003000, data-base: 0x01840000

ROM: Bootstrap program is C3750 boot loader

BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(44)SE6, RELEASE SOFTWARE (fc1)

sw1 uptime is 1 week, 1 day, 19 hours, 55 minutes

System returned to ROM by power-on
System image file is "flash:c3750-advipservicesk9-mz.122-44.SE6.bin"

This product contains cryptographic features and is subject to United

States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to

export@cisco.com.

cisco WS-C3750G-24TS (PowerPC405) processor (revision F0) with 118784K/12280K bytes of memory.
Processor board ID CAT0834Y1JH
Last reset from power-on
3 Virtual Ethernet interfaces
28 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.

512K bytes of flash-simulated non-volatile configuration memory.

Base ethernet MAC Address : 00:12:00:4D:0E:00
Motherboard assembly number : 73-7058-10
Power supply part number : 341-0045-01
Motherboard serial number : CAT083405MA
Power supply serial number : PHI08180123
Model revision number : F0
Motherboard revision number : A0
Model number : WS-C3750G-24TS-S
System serial number : CAT0834Y123
Hardware Board Revision Number : 0x09

Switch Ports Model SW Version SW Image

------ ----- ----- ---------- ----------
* 1 28 WS-C3750G-24TS 12.2(44)SE6 C3750-ADVIPSERVICESK9-M

Configuration register is 0xF

sw1#
*********************

Página 108
router#sh ver
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(22)YB5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Thu 14-Jan-10 15:11 by prod_rel_team

ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

ServAcessoLab uptime is 6 minutes

System returned to ROM by power-on
System image file is "flash:c1841-advipservicesk9-mz.124-22.YB5.bin"

This product contains cryptographic features and is subject to United

States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to

export@cisco.com.

Cisco 1841 (revision 7.0) with 119808K/11264K bytes of memory.

Processor board ID FTX13088N7B
2 FastEthernet interfaces
1 Serial(sync/async) interface
1 ATM interface
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
63808K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

router#
Figura 59 - Comando "show version" do IOS

 show arp - Exibe a tabela ARP do dispositivo.

 show mac-address-table - (somente em switch) Exibe a tabela MAC de um
switch.
 show startup-config - Exibe a configuração salva localizada na NVRAM.
 show running-config - Exibe o conteúdo do arquivo de configuração
atualmente em execução ou a configuração para uma interface específica, ou
informação de classe de mapa.
 show ip interfaces - Exibe estatísticas IPv4 para todas as interfaces em um
roteador. Para visualizar as estatísticas para uma interface específica, insira o
comando show ip interfaces seguido pelo nome da interface específica e o
número de slot/porta. Outro formato importante deste comando é show ip
interface brief. Útil para se obter um rápido resumo das interfaces e seu
estado operacional.
Por exemplo:

Página 109
 Router#show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 172.16.255.254 YES manual up up
FastEthernet0/1 unassigned YES unset down down
Serial0/0/0 10.10.10.5 YES manual up up
Serial0/0/1 unassigned YES unset down down

O More do Prompt

Quando um comando retorna mais resultados do que pode ser exibido em uma única
tela, o --More-- aparece no prompt na parte inferior da tela. Quando um --More-- aparecer,
pressione a barra de espaço para visualizar a próxima parte do resultado. Para exibir somente
a próxima linha, pressione a tecla Enter. Se qualquer outra tecla for pressionada, o resultado é
cancelado e você retorna ao prompt.

9.7 Modos de Configuração do IOS

Modo de Configuração Global

O modo de configuração primário é chamado de configuração global ou global config.

Do global config, alterações à configuração da CLI são feitas as quais afetam a operação do
dispositivo como um todo.

Também usamos o modo global config como um recurso para acessar modos
específicos de configuração.

O comando CLI a seguir é usado para passar o dispositivo do modo EXEC privilegiado
para o modo de configuração global:
Router#configure terminal

Uma vez executado o comando, o prompt é alterado para mostrar que o roteador está
no modo de configuração global.

Router(config)#

Modos Específicos de Configuração

A partir do modo de configuração global, existem muitos modos de configuração

diferentes que podem ser acessados. Cada um desses modos permite a configuração de uma
área ou função em particular do dispositivo. A lista abaixo mostra um pouco desses modos:

 Modo de interface - para configurar uma das interfaces de rede (Fa0/0, S0/0/0,
...)

Página 110
  Modo de linha - para configurar uma das linhas (físicas ou virtuais) (console,
AUX, VTY, ...)
 Modo de roteador - para configurar os parâmetros para um dos protocolos de
roteamento

A figura mostra os prompts para alguns modos. Lembre-se, como as alterações de

configuração são feitas dentro de uma interface ou processo, as alterações afetam somente
aquela interface ou processo.

Para sair de um modo específico de configuração e voltar ao modo de configuração

global, digite exit em um prompt. Para deixar o modo de configuração por completo e voltar
ao modo EXEC privilegiado, digite end ou use a seqüência de teclas Ctrl-Z.
Uma vez feita uma alteração no modo global, é recomendado salvá-la no arquivo de
configuração de inicialização armazenado na NVRAM. Isso impede que as alterações sejam
perdidas devido a queda de energia ou uma reinicialização deliberada. O comando para salvar
a configuração em execução para o arquivo de configuração de inicialização é:

Router#copy running-config startup-config

9.8 Arquitetura ISR G2

Os roteadors Cisco ® ISR G2 foram construidos sobre 25 anos de inovação e liderança

de produtos Cisco. As novas plataformas são arquitetadas para permitir a próxima fase de
evolução em arquiterutas branch-office, fornecendo colaboração rica em multimidia para a
filial, enquanto maximiza a economia em custos operacionais. As plataformas Cisco Integrated
Services Routers Generation 2 (ISR G2) são habilitados com CPUs multicore, switching Gigabit
Ethernet com alimentação Power over Ethernet (PoE) reforçada, e novas capacidades de
controle e monitoramento de energia que melhoram o desempenho geral do sistema. Além
disso, uma nova imagem Cisco IOS ® Software Universal permite dissociar a implantação de
hardware e software, fornecendo uma base tecnológica estável que permite se adaptar
rapidamente à evolução das necessidades da rede. Em geral, a série ISR G2 oferece um
excepcional custo total de propriedade (TCO) e agilidade de rede através da integração
inteligente de serviços líder de mercado em segurança, comunicações unificadas, wireless e
aplicativos.

Principais benefícios

A 2ª Geração de Integrated Services Routers (ISR G2) proporciona integração e

agilidade superiores nos serviços. Projetados para o escalonamento, a arquitetura modular
dessas plataformas possibilita o crescimento e a adaptação de acordo com as suas
necessidades empresariais em especial. A Tabela 4 relaciona os benefícios de negócios da
Cisco série 2900.

Tabela 4 - Vantagens do ISR G2

Benefícios Descrição

Integração dos  OS Cisco ISRs série 2900 oferece níveis superiores de integração de
serviços com voz, vídeo, segurança, tecnologia sem fio, mobilidade
serviços
e serviços de dados, roporcionando maior eficiência e economia

Página 111
 nos custos.

 Uma única imagem Cisco IOS® Software Universal é instalada em

 O Cisco Services Ready Engine (SRE) possibilita um novo modelo
Serviços sob demanda
cada ISR G2. A imagem Universal contém todos os conjuntos de
tecnologia Cisco IOS que podem ser ativados com uma licença de
software. Isso permite que a sua empresa implante recursos
avançados com agilidade sem precisar fazer o download de uma
nova imagem IOS. Além disso, uma maior memória padrão é
inclusa para oferecer suporte a novos recursos.
operacional com o qual é possível reduzir os gastos de capital
(CapEx) e implantar uma grande variedade de serviços de
aplicativos, conforme necessário, em um módulo integrado de
serviços de computação.

 A série 2900 da Cisco viabiliza a implementação em ambientes de

WAN em alta velocidade com serviços simultâneos até 75 Mbps.
Alto desempenho  Um multigigabit fabric (MGF) estabelece a comunicação de módulo
com serviços a módulo em banda larga sem comprometer o desempenho do
integrados roteamento.

 Desenvolvida para abordar requisitos de negócios dos clientes, a

arquitetura modular da Cisco série 2900 oferece maior capacidade
e melhor desempenho de acordo com o crescimento da sua rede.
 A interface modular oferece maior largura de banda, uma grande
Agilidade da rede diversidade de opções de conexão e resiliência da rede.

A arquitetura da Cisco série 2900 proporciona recursos de economia de

energia, entre os quais:

 A série 2900 da Cisco oferece o gerenciamento inteligente de

eficiência e alimentação de energia aos módulos pode ser
controlado pelo cliente com base no horário. Compatibilidade com
a tecnologia EnergyWise da Cisco no futuro.
 A integração dos serviços e a modularidade em uma única
plataforma com várias funções otimiza o consumo de matéria-
prima e também a eficiência de energia.
 A flexibilidade da plataforma e o desenvolvimento contínuo tanto
dos recursos de hardware quanto de software acarretam um ciclo
de vida prolongado do produto, reduzindo todos os aspectos do
custo total de propriedade, inclusive o consumo de materiais e
energia.
 Fontes de alimentação de energia de alta eficiência são fornecidas
Eficiência de energia com cada plataforma.

Proteção do A série 2900 da Cisco maximiza a proteção do investimento:

Página 112
investimento  A reutilização de uma grande variedade de módulos já existentes e
compatíveis com os ISRs originais é responsável pelo custo baixo de
propriedade.
 Um conjunto amplo de recursos de Cisco IOS Software
transportados de Integrated Services Routers originais e
apresentados em uma única imagem universal.
 Flexibilidade para adaptação de acordo com a evolução das
necessidades de negócios.

Switching de LAN integrado

Os Integrated Services Routers da Cisco série 2900 (do 2911 até 2951) suportam os
novos módulos de serviços Cisco EtherSwitch® aprimorados, que expandem significativamente
os recursos do roteador pela integração do switching de Camada 2 ou 3 líder do setor com
conjuntos de recursos idênticos aos encontrados nos switches das séries Cisco Catalyst 2960 e
Catalyst 3650-E que executam switching e roteamento da taxa de linha local.

Os novos módulos de serviços avançados Cisco EtherSwitch aproveitam os recursos de

energia aprimorados de Integrated Services Routers da Cisco série 2900. Além disso, os
módulos aprimorados Cisco EtherSwitch viabilizam as novas iniciativas de monitoramento e de
eficiência de energia do Cisco EnergyWise e Cisco Enhanced Power over Ethernet (ePoE) e per-
port PoE, e o aumento do PoE habilitado para RPS.Com tais tecnologias, é possível atender aos
requisitos crescentes de energia do ponto de extremidade sem aumentar o consumo total de
energia do escritório remoto.

Cisco IOS Software

O Cisco ISR 2911 entrega uma tecnologia inovadora rodando sobre o software líder na
indústria, Cisco IOS. Desenvolvido para uma ampla implantação em redes mundiais enterprise,
de acesso, e provedores de serviço de alta demanda. O software Cisco IOS releases 15 M e T
suportam um extenso portfólio de tecnologias Cisco, incluindo novas funcionalidades e
funções entregues nas versões 12.4 e 12.4T, e novas inovações que cobrem múltiplas
tecnologias, incluindo segurança, alta disponibilidade, roteamento IP e Multicast, QoS,
Mobilidade IP, MPLS, VPNs, e gerencia embarcada.

Licenciamento e Pacotes de Software Cisco IOS

Uma única imagem Cisco IOS Universal que engloba todas as funcionalidades é
entregue junto à plataforma. Você pode ativar funcionalidades avançadas através da ativação
de licenças. Nas gerações anteriores de roteadores de acesso, estas funcionalidades eram
entregue através de diversas imagens do Cisco IOS. Pacotes de tecnologia de licenças de

Página 113
funcionalidades permitem através da infraestrutura de licenciamento Cisco, simplificar a
entrega de software e diminuir os custos operacionais ao implantar novas funcionalidades.

Estão disponíveis para os roteadores Cisco 2911 ISR, quatro licenças de tecnologia
principais; você pode ativar as licenças através do processo de licenciamento Cisco explorado
no site http://www.cisco.com/go/sa.
 Base de IP: este pacote de tecnologia está disponível como padrão.
 Data
 Unified Communications
 Segurança (SEC) ou Segurança sem Criptografia de Carga Útil (SEC-NPE)

Para informações adicionais e detalhes acerca do licenciamento e pacotes de software

Cisco IOS no Cisco 2911 ISR no link
http://www.cisco.com/en/US/products/ps10540/index.html.

Página 114
 10 Serviços

10.1 DHCP

Cada dispositivo que se conecta a uma rede precisa de um endereço IP. Os

administradores de rede atribuem endereços IP estáticos a roteadores, servidores e a outros
dispositivos de rede cujas localizações (físicas e lógicas) não tendem a mudar. Os
administradores digitam os endereços IP estáticos manualmente quando configuram os
dispositivos para entrar na rede. Os endereços estáticos também permitem que os
administradores gerenciem tais dispositivos remotamente.

Porém, os computadores em uma organização mudam frequentemente de localização,

tanto física quanto logicamente. Os administradores não conseguem atribuir novos endereços
IP cada vez que um funcionário se muda para um escritório ou cubículo diferente. Os clientes
com desktop não exigem um endereço estático. Em vez disso, uma estação de trabalho pode
utilizar qualquer endereço dentro de um intervalo de endereços. Esse intervalo está
normalmente dentro de uma sub-rede IP. Uma estação de trabalho dentro de uma sub-rede
específica pode receber qualquer endereço dentro de um intervalo específico. Atribui-se um
valor a outros itens, tais como a máscara de sub-rede, o gateway padrão e o servidor do
Sistema de Resolução de Nome de Domínio (DNS - Domain Name System), valor esse que é
igual para a sub-rede ou para toda a rede administrada. Por exemplo, todos os hosts dentro da
mesma sub-rede receberão endereços IP de host diferentes, mas receberão a mesma máscara
de sub-rede e o mesmo endereço IP de gateway padrão.

O DHCP realiza o processo de atribuir novos endereços IP de modo quase

transparente. O DHCP atribui endereços IP e outras informações de configuração de rede
importantes dinamicamente. Como os clientes com desktop geralmente compõem o lote de
nós de rede, o DHCP é uma ferramenta que economiza tempo e extremamente útil para os
administradores de rede. A RFC 2131 descreve o DHCP.

Os administradores normalmente preferem que um servidor de rede ofereça serviços

de DHCP, porque tais soluções são escaláveis e relativamente fáceis de gerenciar. Entretanto,
em uma filial pequena ou local de SOHO, um roteador Cisco pode ser configurado para prestar
serviços de DHCP sem a necessidade de um servidor dedicado caro. Um conjunto de recursos
do IOS Cisco chamado Easy IP oferece um servidor DHCP completo e opcional.

10.1.1 Operação de DHCP

A tarefa mais importante realizada por um servidor DHCP é fornecer endereços IP aos
clientes. O DHCP inclui três mecanismos de alocação de endereço diferentes para fornecer
flexibilidade ao atribuir endereços IP:

 Alocação manual: O administrador atribui um endereço IP pré-alocado ao

cliente e o DHCP somente comunica o endereço IP ao dispositivo.

 Alocação automática: O DHCP atribui automaticamente um endereço IP

estático permanente a um dispositivo, selecionando-o de um conjunto de
endereços disponíveis. Não existe empréstimo e o endereço é atribuído
permanentemente a um dispositivo.

Página 115
  Alocação dinâmica: O DHCP atribui ou empresta automática e dinamicamente
um endereço IP a partir de um conjunto de endereços por um período limitado
escolhido pelo servidor, ou até que o cliente diga ao servidor DHCP que não
precisa mais do endereço.

Esta seção aborda a alocação dinâmica.

O DHCP trabalha em um modo cliente/servidor e funciona como qualquer outra

relação de cliente/servidor. Quando um PC se conecta a um servidor DHCP, o servidor atribui
ou empresta um endereço IP a esse PC. O PC se conecta à rede com esse endereço IP
emprestado até que tal empréstimo expire. O host deve entrar em contato com o servidor
DHCP periodicamente para estender o empréstimo. Este mecanismo de empréstimo assegura
que os hosts que se mudam ou se desligam não se prendam a endereços dos quais não
precisam. O servidor DHCP devolve esses endereços ao conjunto de endereços e os realoca
conforme o necessário.

Figura 60 - Serviço DHCP

Quando o cliente inicializa ou deseja entrar de outro modo na rede, ele conclui quatro
etapas para obtenção de um empréstimo. Na primeira etapa, o cliente transmite uma
mensagem DHCPDISCOVER em broadcast. A mensagem DHCPDISCOVER localiza os servidores
DHCP na rede. Como o host não tem nenhuma informação de IP válida na inicialização, ele
utilizará os endereços de broadcast de L2 e L3 para comunicar-se com o servidor (Figura 60).

Quando o servidor DHCP recebe uma mensagem DHCDISCOVER, ele localiza um

endereço IP disponível para empréstimo, cria uma entrada de ARP consistindo no endereço
MAC do host solicitante e o endereço IP emprestado, e transmite uma oferta de associação
com uma mensagem DHCPOFFER. A mensagem DHCPOFFER é enviada como um unicast,
utilizando o endereço MAC de L2 do servidor como o endereço de origem e o endereço de L2
do cliente como o destino.

Obs.: a troca de mensagens do DHCP do servidor pode ser transmitida por broadcast e
não por unicast.

Página 116
 Quando o cliente recebe o DHCPOFFER do servidor, ele retorna uma mensagem
DHCPREQUEST. Essa mensagem tem dois objetivos: emprestar a origem, a renovação e a
verificação. Quando usado para emprestar uma origem, o DHCPREQUEST do cliente está
solicitando que as informações de IP sejam verificadas logo após sua atribuição. A mensagem
fornece a verificação de erros para assegurar que a atribuição ainda seja válida. O
DHCPREQUEST também serve como um aviso de aceitação de associação para o servidor
selecionado e uma recusa implícita a quaisquer outros servidores que possam ter enviado uma
oferta de associação para o host.

Muitas redes corporativas utilizam diversos servidores DHCP. A mensagem

DHCPREQUEST é enviada na forma de broadcast para informar este servidor DHCP e qualquer
outro servidor DHCP sobre a oferta aceita.

Ao receber a mensagem DHCPREQUEST, o servidor verifica as informações de

empréstimo, cria uma nova entrada de ARP para o empréstimo do cliente e responde com
uma mensagem DHCPACK de unicast. A mensagem DHCPACK é uma duplicata da mensagem
DHCPOFFER, exceto por uma mudança no campo de tipo de mensagem. Quando o cliente
recebe a mensagem DHCPACK, ele registra as informações de configuração e executa uma
busca de ARP para o endereço atribuído. Caso não receba uma resposta, ele saberá que o
endereço IP é válido e começa a usá-lo como seu.

Os clientes emprestam as informações do servidor por um período definido

administrativamente. Os administradores configuram os servidores DHCP para definir os
tempos limite dos empréstimos em intervalos diferentes. A maioria dos ISPs e grandes redes
utiliza durações de empréstimo padrão de até três dias. Quando o empréstimo expira, o
cliente deve solicitar outro endereço, embora já receba normalmente a atribuição do mesmo
endereço.

A mensagem DHCPREQUEST também abrange o processo de DHCP dinâmico. As

informações de IP enviadas no DHCPOFFER podem ter sido oferecidas a outro cliente durante
a alocação dinâmica. Cada servidor DHCP cria conjuntos de endereços IP e parâmetros
associados. Os conjuntos são dedicados a sub-redes IP lógicas e individuais. Os conjuntos
permitem a resposta de diversos servidores DHCP e a mobilidade dos clientes de IP. Caso haja
resposta de diversos servidores, um cliente poderá escolher apenas uma das ofertas.

10.1.2 BOOTP e DHCP

O Protocolo Boostrap (BOOTP, Bootstrap Protocol), definido na RFC 951, é o

antecessor do DHCP e compartilha algumas características operacionais. O BOOTP é um modo
de fazer o download do endereço e inicializar as configurações para estações de trabalho sem
disco. Uma estação de trabalho sem disco não possui um disco rígido ou um sistema
operacional. Por exemplo, muitos sistemas de caixa registradora automatizados em seu
supermercado local são exemplos de estações de trabalho sem disco. O DHCP e o BOOTP são
baseados em cliente/servidor e usam as portas UDP 67 e 68. Essas portas são conhecidas ainda
como portas de BOOTP.

O DHCP e BOOTP possuem dois componentes, conforme mostrado na figura. O

servidor é um host com um endereço IP estático que aloca, distribui e gerencia o IP e as
atribuições dos dados de configuração. Cada alocação (o IP e os dados de configuração) é

Página 117
armazenada no servidor em um conjunto de dados chamado de associação. O cliente é
qualquer dispositivo que utiliza o DHCP como um método para obter o endereçamento IP ou
informações de configuração de suporte.

Para entender as diferenças funcionais entre o BOOTP e o DHCP, considere os quatro

parâmetros de IP básicos necessários para unir uma rede:

 Endereço IP
 Endereço de gateway
 Máscara de sub-rede
 Endereço do servidor DNS

Existem três diferenças principais entre o DHCP e o BOOTP:

A principal diferença é que o BOOTP foi criado para a pré-configuração manual das
informações de host em um banco de dados de servidor, enquanto o DHCP permite uma
alocação dinâmica de endereços de rede e configurações para hosts recentemente anexados.
Quando um cliente de BOOTP solicita um endereço IP, o servidor de BOOTP procura uma
tabela predefinida para uma entrada que corresponda ao endereço MAC para o cliente. Se
houver uma entrada, o endereço IP correspondente a essa entrada será devolvido ao cliente.
Isso significa que a associação entre o endereço MAC e o endereço IP já deve ter sido
configurada no servidor de BOOTP.

O DHCP permite a recuperação e a realocação de endereços de rede através de um

mecanismo de empréstimo. Especificamente, o DHCP define os mecanismos pelos quais
podem ser atribuídos aos clientes um endereço IP por um período de empréstimo finito. Este
período de empréstimo permite uma nova atribuição posterior do endereço IP a outro cliente,
ou que o cliente obtenha outra atribuição caso se mude para outra sub-rede. Os clientes
também podem renovar os empréstimos e manter o mesmo endereço IP. O BOOTP não utiliza
empréstimos. Seus clientes reservaram o endereço IP que não pode ser atribuído a qualquer
outro host.

O BOOTP fornece uma quantidade limitada de informações a um host. O DHCP fornece

parâmetros de configuração de IP adicionais, tais como o WINS e o nome de domínio.

Formato de mensagem DHCP

Os desenvolvedores de DHCP precisaram manter a compatibilidade com o BOOTP e,

consequentemente, utilizaram o mesmo formato de mensagem BOOTP. Entretanto, como o
DHCP possui mais funcionalidades que o BOOTP, o campo de opções do DHCP foi adicionado.
Ao comunicar-se com clientes de BOOTP mais antigos, o campo de opções do DHCP é
ignorado.

Página 118
 Figura 61 - Campos de uma Mensagem DHCP

A figura 61 mostra o formato de uma mensagem de DHCP. Os campos são:

 Código de operação (OP, Operation Code) - Especifica o tipo genérico da

mensagem. Um valor de 1 indica uma mensagem de solicitação; um valor de 2
indica uma mensagem de resposta.
 Tipo de hardware - Identifica o tipo de hardware utilizado na rede. Por
exemplo, 1 é a Ethernet, 15 é o Frame Relay e 20 é uma linha serial. Esses são
os mesmos códigos utilizados nas mensagens de ARP.
 Tamanho do endereço de hardware - 8 bits para especificar o tamanho do
endereço.
 Saltos - Definido como 0 por um cliente antes de transmitir uma solicitação e
utilizado por agentes de retransmissão para controlar o encaminhamento de
mensagens do DHCP.
 Identificador de transações - Identificação de 32 bits gerada pelo cliente para
permitir a correspondência da solicitação com as respostas recebidas dos
servidores DHCP.
 Segundos - Número de segundos decorridos desde que um cliente começou a
obter ou renovar um empréstimo. Servidores DHCP ocupados utilizam este
número para priorizar as respostas quando diversas solicitações do cliente
estiverem pendentes.
 Flags (sinalizadores) - Apenas um dos 16 bits é utilizado, o qual é a flag
(sinalizador) de broadcast. Um cliente que não conhece seu endereço IP ao
enviar uma solicitação, define a flag em 1. Esse valor diz ao servidor DHCP ou
agente de retransmissão que recebe a solicitação que ele deve enviar a
resposta em forma de broadcast.
 Endereço IP do cliente - O cliente coloca seu próprio endereço IP neste campo
somente se tiver um endereço IP válido enquanto estiver no estado associado;
caso contrário, ele define o campo em 0. O cliente somente pode utilizar esse
campo quando seu endereço for realmente válido e utilizável, não durante o
processo de obtenção de um endereço.
 Seu endereço IP - O endereço IP que o servidor atribui ao cliente.
 Endereço IP do servidor - Endereço do servidor que o cliente deve utilizar para
a próxima etapa no processo de bootstrap, que pode ou não ser o servidor que
envia essa resposta. O servidor de origem sempre inclui seu próprio endereço
IP em um campo especial chamado de opção de DHCP do Identificador de
Servidor.

Página 119
  Endereço IP de gateway - Faz o roteamento das mensagens de DHCP quando
os agentes de retransmissão de DHCP estão envolvidos. O endereço de
gateway facilita as comunicações de solicitações e respostas de DHCP entre o
cliente e um servidor que estejam em sub-redes ou redes diferentes.
 Endereço de hardware de cliente - Especifica a camada física do cliente.
 Nome de servidor - O servidor que envia uma mensagem DHCPOFFER ou
DHCPACK pode opcionalmente colocar seu nome neste campo. Esse nome
pode ser um apelido de texto simples ou um nome de domínio de DNS, tal
como dhcpserver.netacad.net.
 Nome de arquivo de inicialização - Utilizado opcionalmente por um cliente
para solicitar um tipo específico de arquivo de inicialização em uma mensagem
DHCPDISCOVER. Utilizado por um servidor em uma mensagem DHCPOFFER
para especificar por completo um diretório de arquivos de inicialização e um
nome de arquivo.
 Opções - Contém as opções de DHCP, incluindo os diversos parâmetros
necessários para a operação básica de DHCP. Esse campo varia em tamanho.
Tanto o cliente quanto o servidor podem utilizar esse campo.

Métodos de detecção e oferta de DHCP

Quando um cliente deseja entrar na rede, ele solicita os valores de endereçamento do

servidor DHCP da rede. Se um cliente estiver configurado para receber suas configurações de
IP dinamicamente, ele transmitirá uma mensagem DHCPDISCOVER em sua sub-rede física local
quando for inicializado ou quando perceber uma conexão de rede ativa. Como o cliente não
tem como saber a sub-rede para a qual ele pertence, o DHCPDISCOVER será um broadcast de
IP (endereço IP de destino de 255.255.255.255). O cliente não possui um endereço IP
configurado, desse modo o endereço IP de origem de 0.0.0.0 é utilizado. Como pode ver na
figura, o endereço IP do cliente (CIADDR), o endereço de gateway padrão (GIADDR) e a
máscara de sub-rede estão marcadas com pontos de interrogação.

O servidor DHCP gerencia a alocação dos endereços IP e responde às solicitações de

configuração dos clientes.

Quando o servidor DHCP recebe a mensagem DHCPDISCOVER, ele responde com uma
mensagem DHCPOFFER. Esta mensagem contém as informações de configuração iniciais para
o cliente, incluindo o endereço MAC do cliente, seguido pelo endereço IP que o servidor
oferece, a máscara de sub-rede, a duração do empréstimo e o endereço IP do servidor DHCP
que faz a oferta. A máscara de sub-rede e o gateway padrão são especificados no campo de
opções: opções de máscara de sub-rede e de roteador, respectivamente. A mensagem
DHCPOFFER pode ser configurada para incluir outras informações, como o tempo de
renovação do empréstimo, o servidor de nomes de domínio e o Nome Serviço NetBIOS
(Microsoft Windows Internet Name Service [Microsoft WINS]).

O servidor determina a configuração com base no endereço de hardware do cliente,

conforme especificado no campo CHADDR.

Conforme mostrado no diagrama, o servidor DHCP respondeu à mensagem

DHCPDISCOVER atribuindo os valores ao CIADDR e à máscara de sub-rede.

Página 120
 Os administradores configuraram os servidores DHCP para que atribuam os endereços
de conjuntos predefinidos. A maioria dos servidores DHCP também permitem que o
administrador defina especificamente quais endereços MAC do cliente podem ser atendidos e
os atribui sempre ao mesmo endereço IP automaticamente.

O DHCP utiliza o Protocolo de Datagrama do Usuário (UDP, User Datagram Protocol)

como seu protocolo de transporte. O cliente envia mensagens ao servidor na porta 67. O
servidor envia mensagens ao cliente na porta 68.

O cliente e o servidor confirmam as mensagens e o processo é concluído. O cliente

somente define o CIADDR quando um host estiver em um estado associado, o que significa que
o cliente confirmou e está utilizando o endereço IP.

10.2 SNMP

O Protocolo de Genenciamento de Rede Simples (SNMP) é um protocolo de camada de

aplicação que facilita a troca de informações de gerenciamento entre dispositivos de rede. O
SNMP permite que os administradores de rede gerenciem o desempenho, encontrem e
solucionem problemas e planejem o crescimento de redes. O SNMP usa o UDP como protocolo
da amada de transporte. Uma rede administrada SNMP consiste os três componentes a seguir
na Figura 62:

Figura 62 – Sistema de Gerenciamento

• Management Protocol (NMS sistema de gerenciamento de rede): O NMS executa

aplicações que monitoram e controlam dispositivos gerenciados. O conjunto de recursos de

Página 121
processamento e de memória exigido para o gerenciamento de uma rede é fornecido pelo
NMS. Deve haver um ou mais NMSs em qualquer rede administrada.

• Dispositivos gerenciados: Dispositivos gerenciados são nós de rede que contêm um

agente SNMP e que residem em uma rede administrada. Os dispositivos gerenciados coletam e
armazenam informações de gerenciamento, disponibilizando-as para os NMSs que usam o
SNMP. Os dispositivos gerenciados, às vezes chamados elementos da rede, podem ser
roteadores, servidores de acesso, comutadoers, bridges, hubs, computadores hosts ou
impressoras.

• Agentes: Agentes são módulos de software de gerenciamento de rede que residem

em dispositivos gerenciados. Um agente tem conhecimento local de informações de
erenciamento e as converte para uma forma compatível com o SNMP.

10.2.1 Operação do SNMP

O SNMP é um protocolo de camada de aplicação criado para facilitar a troca de

informações de gerenciamento entre dispositivos de rede. Usando o SNMP para acessar dados
de informação de gerenciamento tais como pacotes por segundo enviados em uma interface
ou número de conexões TCP abertas, os administradores de rede podem administrar mais
facilmente o desempenho da rede para localizar e solucionar problemas ali existentes.

O SNMP é o protocolo muito popular para o gerenciamento de diversas internetworks

comerciais, universitárias e de pesquisa. A atividade de padronização é contínua, à medida que
os fabricantes desenvolvem e lançam a última palavra em aplicativos de gerenciamento
baseados em SNMP. O SNMP é um protocolo simples, embora seu conjunto de recursos seja
suficientemente potente para lidar com os difíceis problemas que envolvem o gerenciamento
de redes heterogêneas.

O modelo organizacional para o gerenciamento de redes baseado em SNMP inclui

quatro elementos:

• Estação de gerenciamento
• Agente de gerenciamento
• Base de informações de gerenciamento
• Protocolo de gerenciamento de rede

A Estação de Gerenciamento de rede normalmente é uma estação de trabalho isolada,

mas ela pode ser implementada em vários sistemas. Isso inclui um conjunto de software
chamado de Aplicativo de Gerenciamento de rede. O Aplicativo de Gerenciamento de rede
inclui uma interface do usuário para permitir que os gerentes de rede autorizados gerenciem a
rede. Ele responde aos comandos dos usuário e a comandos enviados para gerenciar agentes
em toda a rede. Os agentes de gerenciamento são plataformas e dispositivos-chave de rede,
outros hosts, roteadores, pontes e hubs, equipados com SNMP para que possam ser
gerenciados.

Eles respondem a solicitações de informações e de ações da Estação de

Gerenciamento de rede como, por exemplo, pesquisa, e podem fornecer à Estação de
Gerenciamento de rede informações importantes mas não solicitadas como, por exemplo,

Página 122
armadilhas. Todas as informações de gerenciamento de um agente específico são
armazenadas na base de informações de gerenciamento, na área destinada a esse agente. Um
agente pode controlar os seguintes itens:

• Número e estado de seus circuitos virtuais

• Número de determinados tipos de mensagens de erro recebidas
• Número de bytes e de pacotes recebidos e enviados no dispositivo
• Tamanho máximo da fila de saída, para roteadores e outros dispositivos de
internetworking
• Mensagens de broadcast enviadas e recebidas
• Ativação e desativação de interfaces de rede

A Estação de Gerenciamento de rede executa uma função de monitoramento,

recuperando os valores da MIB. Ela pode fazer com que uma ação seja executada em um
agente. A comunicação entre o gerenciador e o agente é feita por um protocolo de
gerenciamento de rede da camada de aplicação. O SNMP usa UDP (User Datagram Protocol,
protocolo de datagrama de usuário) e comunica-se através das portas 161 e 162. Ele baseia-se
na troca de mensagens. Há três tipos de mensagens comuns:

• Get (obter) – Permite que a estação de gerenciamento recupere o valor de objetos

MIB do agente.
• Set (definir) – Permite que a estação de gerenciamento defina o valor de objetos MIB
do agente.
• Trap (amadilha) – Permite que o agente notifique a estação de gerenciamento sobre
eventos significativos.
Esse modelo é chamado de modelo de duas camadas.Entretanto, ele presume que
todos os elementos de rede sejam gerenciáveis pelo SNMP. Isso nem sempre ocorre, pois
alguns dispositivos têm uma interface de gerenciamento proprietária. Nesses casos, é
necessário um modelo de três camadas.
Um gerente de rede que queira obter informações ou controlar esse nó proprietário
comunicase com um agente proxy. O agente proxy traduz a solicitação SNMP do gerente para
uma forma apropriada ao sistema de destino e usa um protocolo de gerenciamento
proprietário apropriado para comunicar-se com o sistema de destino. As respostas do destino
ao proxy são traduzidas para mensagens SNMP e comunicadas de volta ao gerente.

Os aplicativos de gerenciamento de rede freqüentemente delegam alguma

funcionalidade de gerenciamento de rede em uma sonda de um RMON (remote monitor,
monitor remoto). A sonda RMON coleta informações de gerenciamento localmente e o
gerente de rede recupera periodicamente um resumo desses dados.

A Estação de Gerenciamento de rede é uma estação de trabalho comum, que executa

um sistema operacional típico.

Ela tem uma grande quantidade de RAM, para manter todos os aplicativos de
gerenciamento em execução ao mesmo tempo. O gerenciador executa uma pilha de
protocolos de rede típica como, por exemplo, TCP/IP. Os aplicativos de gerenciamento de rede
baseiam-se no sistema operacional do host e na arquitetura de comunicação. Exemplos de
aplicativos de gerenciamento de rede são o Ciscoworks2000, o HP Openview e o SNMPv2c.

Como já foi discutido, o gerenciador pode ser uma estação de trabalho isolada,
centralizada, que envia consultas a todos os agentes, independentemente da sua localização.

Página 123
 Em uma rede distribuída, uma arquitetura descentralizada é mais apropriada, com
uma Estação de Gerenciamento de rede local em cada ponto. Essa Estação de Gerenciamento
de rede pode atuar em uma arquitetura cliente-servidor, na qual uma Estação de
Gerenciamento de rede atua como servidor principal e as outras, como clientes. Os clientes
enviam seus dados ao servidor principal para armazenamento centralizado.

Uma alternativa é que todas as Estações de Gerenciamento de rede distribuídas

tenham igual responsabilidade, cada uma com seus próprios bancos de dados de
gerenciamento, para que as informações de gerenciamento sejam distribuídas nas Estações de
Gerenciamento de rede correspondentes.

10.3 Listas de Acesso (ACL’s)

Segurança de rede é um assunto enorme, e grande parte dele está além do escopo
deste curso. No entanto, uma das habilidades mais importantes das quais um administrador
de rede precisa é dominar as listas de controle de acesso (ACLs). Os administradores utilizam
as ACLs a fim de parar o tráfego ou permitir apenas o tráfego especificado enquanto
interrompe todo o restante do tráfego em suas redes. Este capítulo inclui uma oportunidade
para desenvolver o seu domínio de ACLs com uma série de lições, atividades e exercícios de
laboratório.

Os designers de rede utilizam firewalls para proteger redes do uso não autorizado. Os
firewalls são soluções em hardware ou software que aplicam políticas de segurança de rede.
Considere uma trava na porta de um quarto dentro de um edifício. A trava só permite que
usuários autorizados com uma chave ou cartão de acesso abram a porta. Da mesma forma, um
firewall filtra pacotes não autorizados ou potencialmente perigosos para que não entrem na
rede. Em um roteador Cisco, você pode configurar um firewall simples que forneça recursos de
filtragem de tráfego básicos utilizando ACLs.

Uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam
a endereços ou protocolos de camada superior. As ACLs fornecem uma forma eficiente de
controlar o tráfego dentro e fora da sua rede. Você pode configurar as ACLs para todos os
protocolos de rede roteados.

A razão mais importante para configurar as ACLs é fornecer segurança para a sua rede.
Este capítulo explica como utilizar ACLs padrão e estendidas como parte de uma solução em
segurança e ensina como configurá-las em um roteador Cisco. Dicas, considerações,
recomendações e diretrizes gerais sobre como utilizar ACLs são incluídas.

10.3.1 Utilizando as ACLs para proteger redes

As ACLs permitem controlar o tráfego dentro e fora da sua rede. Esse controle pode
ser tão simples quanto permitir ou negar hosts de rede ou endereços. No entanto, as ACLs
também podem ser configuradas para controlar o tráfego da rede com base na porta TCP
utilizada. Para compreender como uma ACL funciona com o TCP, permita-nos observar o
diálogo que ocorre durante uma conversa TCP quando você faz o download de uma página da
Web no seu computador.

Página 124
 Quando você solicita dados de um servidor Web, o IP cuida da comunicação entre o PC
e o servidor. O TCP cuida da comunicação entre o seu navegador (aplicativo) e o software do
servidor de rede. Quando você envia um email, observa uma página da Web ou faz o
download de um arquivo, o TCP é responsável por dividir os dados em pacotes IP para que eles
sejam enviados, além de montar os dados a partir dos pacotes quando eles chegam. O
processo TCP é muito semelhante a uma conversa na qual dois nós em uma rede concordam
em transmitir dados entre um e o outro.

Lembre-se de que o TCP fornece um serviço de fluxo de bytes confiável, orientado à

conexão. O termo orientado a conexão significa que os dois aplicativos que utilizam o TCP
devem estabelecer uma conexão TCP para que eles possam trocar dados. TCP é um protocolo
em full duplex, o que significa que cada conexão TCP dá suporte a um par de fluxos de bytes,
cada um com fluxo em uma direção. O TCP inclui um mecanismo de controle de fluxo para
cada fluxo de bytes que permite ao receptor limitar quantos dados o remetente pode
transmitir. O TCP também implementa um mecanismo de controle de congestionamento
(figura 63).

Figura 63 - Controle de Congestionamento

Conforme a figura acima, os pacotes TCP são marcados com flags que denotam sua
finalidade: SYN inicia (sincroniza) a sessão; ACK é uma confirmação (ACK) de que o pacote
aguardado foi recebido e FIN encerra a sessão. SYN/ACK confirma que a transferência foi
sincronizada. Entre os segmentos de dados TCP estão o protocolo de nível mais alto necessário
ao direcionamento dos dados de aplicativo para o aplicativo correto.
O segmento de dados TCP também identifica a porta correspondente ao serviço
solicitado. Por exemplo, HTTP é a porta 80, SMTP é a porta 25 e FTP é a porta 20 e 21.

Filtragem de Pacote

A filtragem de pacote, às vezes chamada de filtragem de pacote estática, controla o

acesso a uma rede, analisando os pacotes de entrada e de saída e transmitindo ou
paralisando-os com base em critérios informados.

Página 125
 Um roteador funciona como um filtro de pacote ao encaminhar ou negar pacotes de
acordo com as regras de filtragem. Quando um pacote chega ao roteador de filtragem de
pacote, o roteador extrai determinadas informações do cabeçalho do pacote e toma decisões
de acordo com as regras do filtro quanto à possibilidade do pacote ser transmitido ou
descartado. A filtragem de pacote funciona na camada de rede do modelo de referência OSI ou
na camada de Internet do TCP/IP.

Por ser um dispositivo da Camada 3, um roteador de filtragem de pacote utiliza regras

para determinar se deve permitir ou negar tráfego com base nos endereços IP de origem e de
destino, na porta de origem e na porta de destino, além do protocolo do pacote. Essas regras
são definidas utilizando-se listas de controle de acesso ou ACLs.

Lembre-se de que uma ACL é uma lista sequencial de instruções de permissão ou

negação que se aplicam a endereços IP ou protocolos de camada superior. A ACL pode extrair
as seguintes informações do cabeçalho do pacote, testá-lo em relação às suas regras e tomar
decisões "permitir" ou "negar" com base em:

 Endereço IP de origem
 Endereço IP de destino
 Tipo de mensagem ICMP

A ACL também pode extrair informações de camada superior e testá-las em relação às

suas regras. Entre as informações da camada superior estão:

 Porta de origem TCP/UDP

 Porta de destino TCP/UDP

Exemplo de filtragem de pacote

Para compreender o conceito de como um roteador utiliza a filtragem de pacote,

imagine que um segurança foi colocado diante de uma porta fechada. As instruções do
segurança são para permitir apenas as pessoas cujos nomes estão em uma lista para passar
pela porta. O segurança está filtrando as pessoas com base nos critérios da presença de seus
nomes na lista autorizada.

Por exemplo, você poderia dizer, "Só permita acesso à Web para usuários da rede A.
Negue acesso à Web para usuários da rede B, mas permita a eles todos os demais acessos".
Consulte a figura para examinar o caminho de decisão utilizado pelo filtro de pacote para
realizar essa tarefa.

Para esse cenário, o filtro de pacote observa todos os pacotes da seguinte forma:

Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele terá permissão para
passar. Todos os demais acessos são negados para esses usuários.

Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele será bloqueado. No
entanto, todos os demais acessos são permitidos.

Página 126
 Figura 64 - Exemplo de Filtro

A figura 64 mostra apenas um simples exemplo. Você pode configurar várias regras para
ainda permitir ou negar serviços a usuários específicos. Você também pode filtrar pacotes no
nível de porta utilizando uma ACL estendida (a ser explicada a seguir).

10.3.2 Como as ACLs funcionam

As ACLs definem o conjunto de regras que dão controle adicional para pacotes que
entram por interfaces de entrada, pacotes retransmitidos pelo roteador e pacotes que saem
pelas interfaces de saída do roteador. As ACLs não funcionam em pacotes com origem no
próprio roteador.

As ACLs são configuradas para se aplicar ao tráfego de entrada ou ao tráfego de saída.

 ACLs de entrada – os pacotes de entrada são processados antes de serem

roteados para a interface de saída. Uma ACL de entrada será eficiente porque
evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se
for permitido pelos testes, o pacote será processado para roteamento.
 ACLs de saída – os pacotes de entrada são roteados para a interface de saída
e, em seguida, processados pela ACL de saída.

As instruções ACL funcionam em ordem sequencial. Elas avaliam pacotes em relação à

ACL, de cima para baixo, uma instrução por vez.

A figura 65 mostra a lógica de uma ACL de entrada. Se o cabeçalho de um pacote

corresponder a uma instrução ACL, as demais instruções na lista serão ignoradas e o pacote
será permitido ou negado conforme determinação da instrução correspondente. Se o
cabeçalho de um pacote não corresponder a uma instrução ACL, o pacote será testado em

Página 127
relação à próxima instrução da lista. Esse processo de comparação continua até o término da
lista.

Figura 65 - Intrução de Lista

Uma instrução incluída no final abrange todos os pacotes para os quais as condições
não se mostraram verdadeiras. Essa condição de teste final corresponde a todos os demais
pacotes e resultados em uma instrução "negar". Em vez de continuar dentro ou fora de uma
interface, o roteador ignora todos esses pacotes restantes. Essa instrução final costuma ser
conhecida como "negar qualquer instrução implicitamente" ou "negar todo o tráfego". Por
conta dessa instrução, uma ACL deve ter pelo menos uma instrução de permissão; do
contrário, a ACL bloqueia todo o tráfego.

Você pode aplicar uma ACL a várias interfaces. No entanto, talvez só haja uma ACL por
protocolo, direção e interface.

Página 128
 Figura 66 - Lógica de uma ACL de Saída

A figura 66 mostra a lógica de uma ACL de saída. Para que um pacote seja
encaminhado para uma interface de saída, o roteador verifica a tabela de roteamento para ver
se o pacote pode ser roteado. Se não puder ser roteado, o pacote será ignorado. Em seguida, o
roteador verifica se a interface de saída é agrupada em uma ACL. Os exemplos de operação de
ACL de saída são os seguintes:

Se a interface de saída não for agrupada em uma ACL de saída, o pacote será enviado
diretamente para a interface de saída.

Se a interface de saída for agrupada em uma ACL de saída, o pacote não será enviado
pela interface de saída até ser testado pela combinação de instruções ACL associadas a essa
interface. Com base nos testes ACL, o pacote é permitido ou negado.

Para listas de saída, "permitir" significa enviar o pacote para o buffer de saída e
"negar" significa descartá-lo.

A ACL e o roteamento e os processos ACL em um roteador

Quando um pacote chega a uma interface do roteador, o processo do roteador é o

mesmo, independentemente das ACLs serem utilizadas ou não. À medida que um quadro
entra em uma interface, o roteador verifica se o destino do endereço da Camada 2 de destino
corresponde ao seu ou se o quadro é de broadcast.

Se o endereço do quadro for aceito, as informações do quadro serão removidas e o

roteador verificará se há uma ACL na interface de entrada. Se houver uma ACL, o pacote agora
será testado em relação às instruções na lista.

Se o pacote corresponder a uma instrução, ele será aceito ou rejeitado. Se for aceito
na interface, o pacote será verificado em relação às entradas da tabela de roteamento para
determinar a interface de destino e comutado para essa interface.

Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver uma
ACL, o pacote será testado em relação às instruções na lista.

Página 129
 Se corresponder a uma instrução, o pacote será aceito ou rejeitado.

Se não houver nenhuma ACL ou o pacote for aceito, o pacote será encapsulado no
novo protocolo da Camada 2 e encaminhado pela interface para o próximo dispositivo.

A instrução implícita do critério "Negar todo o tráfego"

Ao final de toda lista de acesso, há uma instrução implícita do critério "negar todo o
tráfego". Ela também é conhecida às vezes como a instrução "deny any implícito". Por isso, se
não corresponder a nenhuma das entradas ACL, um pacote será bloqueado automaticamente.
"negar todo o tráfego" implícito é o comportamento padrão das ACLs, não podendo ser
alterado.

Existe uma advertência chave associada a esse comportamento "negar tudo": para a
maioria dos protocolos, se definir uma lista de acesso de entrada para a filtragem de tráfego,
você deverá incluir instruções de critérios da lista de acesso explícitas para permitir
atualizações de roteamento. Se não fizer, você poderá efetivamente perder a comunicação
com a interface quando as atualizações de roteamento forem bloqueadas pela instrução
implícita "negar todo o tráfego" ao final da lista de acesso.

10.3.4 Tipos de ACL

Há dois tipos de ACLs Cisco, padrão e estendida.

ACLs padrão

As ACLs padrão permitem a você permitir ou negar tráfego de endereços IP de origem.

O destino do pacote e as portas envolvidas não importam. O exemplo permite todo o tráfego
da rede 192.168.30.0/24. Por conta da "negar tudo" implícita ao final, todo os demais tráfegos
são bloqueados com essa ACL. As ACLs padrão são criadas no modo de configuração global.

ACLs estendidas

As ACLs estendidas filtram pacotes IP com base em vários atributos, por exemplo, tipo
de protocolo, endereço IP de origem, endereço IP de destino, portas TCP e UDP de origem,
portas TCP e UDP de destino e informações do tipo de protocolo opcionais para maior
granularidade de controle. Na figura, a ACL 103 permite tráfego com origem em qualquer
endereço na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). As ACLs
estendidas são criadas no modo de configuração global.

Página 130
 Numerando e nomeando ACLs

Utilizar ACLs numeradas é um método efetivo para determinar o tipo de ACL em redes
menores com tráfego definido de maneira mais homogênea. No entanto, um número não
informa a finalidade da ACL. Por essa razão, começando pelo IOS Cisco release 11.2, você pode
utilizar um nome para identificar uma ACL Cisco.

Figura 67 - Regras de ACL's

A figura 67 sumariza a regra para designar as ACLs numeradas e as ACLs nomeadas.

Em relação a ACLs numeradas, caso você esteja se perguntando por que os números
de 200 a 1.299 são ignorados, é porque esses números são utilizados por outros protocolos.
Este curso só aborda ACLs IP. Por exemplo, os números de 600 a 699 são utilizados por
AppleTalk, e os números de 800 a 899 são utilizados por IPX.

Onde colocar ACLs

A localização apropriada de uma ACL para filtrar tráfego indesejável faz a rede operar
com mais eficiência. As ACLs podem agir como firewalls para filtrar pacotes e eliminar o
tráfego indesejável. Onde você coloca as ACLs pode reduzir o tráfego desnecessário. Por
exemplo, o tráfego a ser negado em um destino remoto não deve utilizar recursos de rede ao
longo da rota até esse destino.

Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficiência. As
regras básicas são:

 Localize as ACLs estendidas mais próximas da origem do tráfego negado. Dessa

forma, o tráfego indesejável é filtrado sem atravessar a infraestrutura de rede.
 Como as ACLs padrão não especificam endereços de destino, coloque-as o
mais próximo possível do destino.

Consideremos um exemplo de onde colocar as ACLs na nossa rede. A interface e o

local de rede se baseiam naquilo que você deseja que a ACL faça.

Página 131
 Figura 68 - Filtro de tráfego utilizando ACL

Na figura 68, o administrador deseja impedir o tráfego com origem na rede

192.168.10.0/24 de chegar à rede 192.168.30.0/24. Uma ACL na interface de saída de R1
também nega a R1 a possibilidade de enviar tráfego a outros locais. A solução é colocar uma
ACL padrão na interface de entrada de R3 a fim de parar todo o tráfego do endereço de origem
192.168.10.0/24. Uma ACL padrão só atende às necessidades porque se preocupa com os
endereços IP de origem.

Figura 69 - Filtro utilizando ACL

Considere que os administradores só podem colocar as ACLs em dispositivos que eles

controlem. Por isso, o local deve ser determinado dentro do contexto de até onde o controle
do administrador de rede se estende. Nesta figura, o administrador das redes 192.168.10.0/24
e 192.168.11.0/24 (conhecidas como Dez e Onze, respectivamente, neste exemplo) deseja
negar o tráfego Telnet e FTP de Onze para a rede 192.168.30.0/24 (Trinta, neste exemplo). Ao
mesmo tempo, outro tráfego deve ter permissão para deixar Dez.

Página 132
 Há várias formas de fazer isso. Uma ACL estendida em R3 que bloqueasse Telnet e FTP
em Onze realizaria a tarefa, mas o administrador não controla R3. Além disso, essa solução
ainda permite ao tráfego indesejado cruzar toda a rede apenas para ser bloqueado no destino.
Isso afeta a eficiência geral da rede.

Uma solução é utilizar uma ACL estendida de saída que especifique os endereços de
origem e de destino (Onze e Trinta, respectivamente) e diga "O tráfego Telnet e FTP de Onze
não pode ir para Trinta". Coloque essa ACL estendida na porta de saída S0/0/0 de R1.

Uma desvantagem dessa solução é que esse tráfego de Dez também estaria sujeito a
algum processamento por parte da ACL, embora o tráfego Telnet e FTP seja permitido.

A melhor solução é se aproximar da origem e colocar uma ACL estendida na interface

de entrada Fa0/2 de R1. Isso assegura que pacotes de Onze não entram em R1 e,
subsequentemente, não podem cruzar Dez ou mesmo entrar em R2 ou R3. O tráfego com
outros endereços de destino e portas ainda é permitido em R1.

Práticas recomendadas ACL

A utilização das ACLs exige atenção a detalhes e muito cuidado. Equívocos podem sair
caros em termos de indisponibilidade, identificação e solução de problemas e um serviço de
rede ruim. Antes de começar a configurar uma ACL, o planejamento básico é obrigatório. A
figura apresenta diretrizes que formam a base de uma lista de práticas recomendadas da ACL.

10.4 NAT

Todos os endereços de Internet públicos devem ser registrados com um Registro de

internet regional (RIR, Regional Internet Registry). As organizações podem emprestar os
endereços públicos de um ISP. Somente o proprietário registrado de um endereço público de
internet pode atribuir esse endereço a um dispositivo de rede.

Você deve ter observado que todos os exemplos neste curso utilizam um número um
pouco restrito de endereços IP. Você também deve ter observado a semelhança entre esses
números e os números que você usou em uma rede pequena para exibir as páginas de
instalação da web de muitas marcas de impressoras, do DSL e de roteadores a cabo, bem
como de outros periféricos. Eles são endereços de internet privados reservados retirados dos
três blocos mostrados na figura. Esses endereços podem ser usados somente em redes
internas e privadas. A RFC 1918 especifica que os endereços privados não devem ser roteados
pela Internet. Os endereços privados são descritos, às vezes, como " não roteáveis."
Entretanto, os pacotes com endereços privados podem ser roteados dentro de redes
interconectadas privadas.

Diferentemente dos endereços IP públicos, os endereços IP privados são um bloco

reservado de números que podem ser usados por qualquer um. Isso significa que duas redes
ou dois milhões de redes podem usar os mesmos endereços privados. Para proteger a
estrutura de endereços da Internet pública, os ISPs geralmente configuram os roteadores de
borda para impedir que o tráfego endereçado exclusivamente a eles seja encaminhado pela
Internet.

Página 133
 Ao fornecer um maior espaço de endereços do que a maioria das organizações pode
obter através de um RIR, o endereçamento privado confere às empresas uma flexibilidade
considerável no design da rede. Isso permite a obtenção de esquemas de endereçamento
operacional e administrativamente convenientes, além de um crescimento mais fácil.

Entretanto, como não é possível rotear endereços privados pela Internet e como não
existem endereços públicos suficientes para permitir que as organizações forneçam um host
para todos, as redes precisam que um mecanismo traduza os endereços privados para
endereços públicos na extremidade de sua rede que funcionar em ambas as direções. Na
ausência de um sistema de tradução, os hosts privados de um roteador na rede de uma
organização não podem conectar-se a hosts privados de um roteador em outras organizações
pela Internet.

A Tradução de endereços de rede (NAT, Network Address Translation) fornece esse

mecanismo. Antes da NAT, um host com um endereço privado não podia acessar a Internet.
Usando a NAT, as empresas individuais podem designar a alguns ou todos os seus hosts com
endereços privados e usar a NAT para fornecer acesso à Internet.

A Internet e as tecnologias relacionadas ao IP passaram por um rápido crescimento.

Uma razão para o crescimento deve-se, em parte, à flexibilidade do design original. Entretanto,
este design não previu a popularidade da Internet e a demanda resultante por endereços IP.
Por exemplo, cada host e cada dispositivo na Internet exige um endereço do exclusivo IP
versão 4 (IPv4). Devido ao drástico crescimento, o número de endereços IP disponíveis está se
esgotando.

Para lidar com o esgotamento dos endereços IP, foram desenvolvidas diversas
soluções de curto prazo. As duas soluções de curto prazo são os endereços privados e a
Tradução de Endereço de Rede (NAT, Network Address Translation).

Um host interno normalmente recebe seu endereço IP, máscara de sub-rede, endereço
IP de gateway padrão, endereço IP de servidor DNS e outras informações de um servidor de
Protocolo de Configuração de Host Dinâmico (DHCP, Dynamic Host Configuration Protocol). Em
vez de fornecer hosts internos com endereços IP de Internet válidos, o servidor DHCP
geralmente fornece endereços IP de um conjunto privado de endereços. O problema é que

Página 134
estes hosts ainda podem exigir endereços IP válidos para acessar os recursos da Internet. É aí
que entra a NAT.

A NAT permite que os hosts de rede internos obtenham temporariamente um

endereço IP de Internet legítimo enquanto acessam os recursos da Internet. Quando o tráfego
solicitado retorna, o endereço IP legítimo é adaptado e disponibilizado para a solicitação
seguinte da Internet feita por um host interno. Usando a NAT, os administradores de rede
precisam somente de um ou poucos endereços IP para serem fornecidos aos hosts pelo
roteador, em vez de um endereço IP exclusivo para cada cliente que entra na rede. Embora
pareça ineficiente, o processo é, na verdade, muito eficiente, porque o tráfego do host
acontece de forma muito rápida.

A NAT é como a recepcionista de um grande escritório. Suponha que você deixou

instruções com a recepcionista para que ela não encaminhe nenhuma ligação a menos que
você peça. Mais tarde, você liga para um cliente potencial e deixa uma mensagem para que ele
retorne a ligação. Você diz à recepcionista que você está esperando uma ligação desse cliente
e pede para que ela faça a transferência da chamada.

O cliente liga para o número principal para seu escritório, que é o único número que
ele conhece. Quando o cliente disser à recepcionista quem ele procura, a recepcionista
verificará uma tabela de pesquisa que corresponde seu nome ao seu ramal. A recepcionista
sabe que você pediu essa chamada; portanto, ela encaminha a pessoa que efetuou a chamada
para seu ramal.

Assim, enquanto o servidor DHCP designa os endereços IP dinâmicos para os

dispositivos dentro da rede, os roteadores habilitados pela NAT retêm um ou muitos
endereços IP de Internet válidos fora da rede. Quando o cliente enviar pacotes pela rede, a
NAT traduzirá o endereço IP interno do cliente para um endereço externo. Para usuários
externos, todo o tráfego destinado para a rede e proveniente dela possui o mesmo endereço
IP ou vem do mesmo conjunto de endereços.

A NAT tem muitos usos, mas o principal é salvar os endereços IP, permitindo que as
redes usem os endereços IP privados. A NAT traduz endereços privados, não roteáveis e
internos em endereços públicos e externos. A NAT tem um benefício adicional de proporcionar
um nível maior de privacidade e segurança para uma rede porque ela oculta endereços IP
internos de redes externas.

Um dispositivo habilitado para NAT funciona normalmente na borda de uma rede stub.
Em nosso exemplo, o R2 é o roteador de borda. Uma rede stub é uma rede que tem uma única
conexão com sua rede vizinha. Como visto no ISP, o R2 forma uma rede stub.

Quando um host dentro da rede stub, por exemplo PC1, PC2 ou PC 3, deseja transmitir
um pacote para um host externo, esse pacote é encaminhado para R2, o roteador de gateway
de borda. O R2 executa o processo de NAT, traduzindo o endereço privado interno do host
para um endereço público, roteável e externo.

Na terminologia de NAT, a rede interna é o conjunto de redes que estão sujeitas à

tradução. A rede externa se refere a todos os outros endereços. Os endereços IP possuem
designações diferentes dependendo de estarem na rede privada ou na rede pública (Internet)
e de o tráfego estar chegando ou saindo.

Página 135
 Figura 70 - Configuração de NAT

A figura 69 mostra como referir-se às interfaces ao configurar a NAT. Suponha que o

roteador R2 foi configurado para fornecer os recursos da NAT. Ele possui um conjunto de
endereços publicamente disponíveis para emprestar aos hosts internos. Esta seção utiliza os
seguintes termos ao discutir a NAT:

 Endereço local interno - Geralmente não é um endereço IP atribuído por um

RIR ou operadora, sendo mais provavelmente um endereço privado da RFC
1918. Na figura, o endereço IP 192.168.10.10 está atribuído ao PC1 host na
rede interna.
 Endereço global interno - Um endereço público válido que o host interno
recebe quando sai do roteador da NAT. Quando o tráfego de PC1 é destinado
para o servidor web em 209.165.201.1, o roteador R2 deverá traduzir o
endereço. Nesse caso, o endereço IP 209.165.200.226 é usado como o
endereço global interno para o PC1.
 Endereço global externo - Endereço IP público válido atribuído a um host na
Internet. Por exemplo, o servidor web pode ser alcançado no endereço IP
209.165.201.1.
 Endereço local externo - O endereço IP local atribuído a um host na rede
externa. Na maioria das situações, esse endereço será idêntico ao endereço
global externo do dispositivo externo.

O "interno" de uma configuração de NAT não é sinônimo de endereços particulares

como eles são definidos pela RFC 1918. Embora os endereços "internos" sejam, geralmente,
endereços privados, a NAT pode fazer a tradução entre endereços públicos "externos" e
"internos".

10.4.1 Como a NAT funciona

Neste exemplo da figura 69, um host interno (192.168.10.10) deseja se comunicar com
um servidor web externo (209.165.201.1). Ele envia um pacote a R2, o gateway de borda
configurado para NAT da rede.

Página 136
 Figura 71 - NAT

R2 lê o endereço IP de origem do pacote e verifica se o pacote corresponde aos

critérios especificados para tradução. R2 possui uma ACL que identifica a rede interna como
hosts válidos para tradução. Portanto, ele traduz um endereço IP local interno para um
endereço IP global interno que, neste caso, é 209.165.200.226. Ele armazena esse
mapeamento de endereço local para endereço global na tabela de NAT.

Em seguida, o roteador envia o pacote a seu destino. Quando o servidor web

responde, o pacote volta ao endereço global de R2 (209.165.200.226).

R2 consulta a sua tabela de NAT e verifica que esse era um endereço IP que foi
traduzido anteriormente. Portanto, ele traduz o endereço global interno para o endereço local
interno, e o pacote é encaminhado ao PC1 no endereço IP 192.168.10.10. Se ele não localizar
um mapeamento, o pacote será descartado.

10.4.2 Tipos de Mapeamento

Existem dois tipos de tradução NAT: dinâmica e estática.

A NAT dinâmica utiliza um conjunto de endereços públicos e os atribui por ordem de

chegada. Quando um host com um endereço IP privado solicitar acesso à Internet, a NAT
dinâmica escolherá um endereço IP do conjunto que não estiver mais sendo usado por outro
host. Esse é o mapeamento descrito até então.

A NAT estática usa um mapeamento exclusivo de endereços globais e locais, e tais

mapeamentos permanecem constantes. A NAT estática é particularmente útil para servidores
web ou hosts que devam ter um endereço consistente que possa ser acessado da Internet.
Esses hosts internos podem ser servidores corporativos ou dispositivos de redes
interconectadas.

Tanto a NAT estática como a dinâmica exigem que endereços públicos suficientes
estejam disponíveis para atender ao número total de sessões de usuário simultâneas.

Página 137
 Sobrecarga de NAT

A sobrecarga de NAT (chamada à vezes de Tradução de endereço de porta ou PAT –

NAT Overload) mapeia diversos endereços IP privados para um único endereço IP público ou
para alguns endereços. Isso é o que a maioria dos roteadores locais fazem. Seu ISP atribui um
endereço a seu roteador, mas vários membros de sua família podem navegar na Internet
simultaneamente.

Com a sobrecarga de NAT, vários endereços podem ser mapeados para um ou alguns
endereços porque cada endereço privado também é acompanhado por um número de porta.
Quando um cliente abrir uma sessão de TCP/IP, o roteador de NAT atribuirá um número de
porta ao seu endereço de origem. A sobrecarga de NAT garante que os clientes utilizem um
número de porta TCP diferente para cada sessão do cliente com um servidor na Internet.
Quando uma resposta voltar do servidor, o número de porta de origem, que se torna o
número de porta de destino na viagem de retorno, determinará para qual cliente o roteador
irá rotear os pacotes. Ele também validará se os pacotes de entrada foram solicitados,
acrescentando um grau de segurança à sessão.

Figura 72 - NAT Overload

Conforme a figura 71, a sobrecarga de NAT utiliza números de porta de origem

exclusivos no endereço IP global interno para fazer a distinção entre as traduções. Como o NAT
processa cada pacote, ele usa um número de porta (neste exemplo, 1331 e 1555) para
identificar o cliente do qual o pacote foi originado. O endereço de origem (SA, source address)
é o endereço IP local interno com o número de porta atribuído de TCP/IP anexado. O endereço
de destino (DA, destination address) é o endereço IP local externo com o número de porta de
serviço anexado, neste caso a porta 80: HTTP.

No roteador de gateway de borda (R2), a sobrecarga de NAT altera o SA para o

endereço IP global interno do cliente, novamente com o número de porta anexado. O DA é o
mesmo endereço, mas agora está sendo chamado de endereço IP global externo. Quando o
servidor web responder, o mesmo caminho será seguido, mas ao contrário.

Os números de porta são codificados em 16 bits. O número total de endereços

internos que pode ser traduzido para um endereço externo pode ser, teoricamente, de 65.536

Página 138
por cada endereço IP. Porém, na realidade, o número de endereços internos que pode ser
atribuído a um único endereço IP é cerca de 4.000.

Figura 73 - Sobreecarga de NAT

No exemplo anterior, os números de porta de cliente nos dois SAs, 1331 e 1555, não se
alteram no gateway de borda. Esse cenário não é muito provável, pois existe uma grande
chance de que esses números possam já ter sido anexados às outras sessões em andamento.

A sobrecarga de NAT tenta preservar a porta de origem inicial. Porém, se essa porta de
origem já estiver sendo usada, a sobrecarga de NAT atribuirá o primeiro número de porta
disponível do início do grupo de portas apropriado: 0-511, 512-1023 ou 1024-65535. Quando
não houver mais nenhuma porta disponível e houver mais de um endereço IP externo
configurado, a sobrecarga de NAT irá para o próximo endereço IP para tentar alocar a porta de
origem inicial novamente. Esse processo continuará até que as portas disponíveis e os
endereços IP externos acabem.

Na figura72, ambos os hosts escolheram o mesmo número de porta 1444. Isso é

aceitável para o endereço interno, porque ambos têm endereços IP privados exclusivos.
Entretanto, no gateway de borda, os números de porta precisam ser alterados, caso contrário
os dois pacotes dos dois hosts deixariam o R2 com o mesmo endereço de origem. A sobrecarga
de NAT deu ao segundo endereço o primeiro número de porta disponível que, neste caso, é o
1445.

Diferenças entre a NAT e a sobrecarga de NAT

Um resumo das diferenças entre a NAT e a sobrecarga de NAT facilitará sua

compreensão. A NAT geralmente só traduz os endereços IP em uma correspondência de 1:1
entre os endereços IP publicamente expostos e os endereços privativamente retidos. A
sobrecarga de NAT modifica o endereço IP privado e o número de porta do remetente. A
sobrecarga de NAT escolhe os números de porta vistos pelos hosts na rede pública.

A NAT roteia os pacotes de entrada para seus destinos internos recorrendo ao

endereço IP de origem de entrada dado pelo host na rede pública. Com a sobrecarga de NAT,
geralmente existe somente um ou muito poucos endereços IP publicamente expostos. Os
pacotes de entrada da rede pública são roteados aos seus destinos na rede privada por meio
da consulta na tabela no dispositivo de sobrecarga de NAT que monitora os pares de portas
públicas e privadas. Isso é chamado de monitoramento de conexão.

Página 139
10.4.3 Benefícios e desvantagens de usar a NAT

A NAT oferece muitos benefícios e vantagens. Porém, existem algumas desvantagens

de usá-la, inclusive a falta de suporte para alguns tipos de tráfego.

Os benefícios de usar a NAT incluem:

A NAT conserva o esquema de endereçamento legalmente registrado, permitindo a

privatização das intranets. A NAT conserva os endereços através da multiplexação de nível de
porta de aplicativo. Com sobrecarga de NAT, os hosts internos podem compartilhar um único
endereço IP público para todas as comunicações externas. Neste tipo de configuração, são
necessários muito poucos endereços externos para suportar os muitos hosts internos.

A NAT aumenta a flexibilidade das conexões com a rede pública. Diversos conjuntos,
conjuntos de backup e conjuntos de balanceamento de carga podem ser implementados para
assegurar conexões de redes públicas confiáveis.

A NAT fornece uma consistência para esquemas de endereçamento de rede internos.

Em uma rede sem endereços IP privados e NAT, a mudança de endereços IP públicos exige a
renumeração de todos os hosts na rede existente. Os custos para renumerar hosts podem ser
significativos. O NAT permite que o esquema existente permaneça enquanto suporta um novo
esquema de endereçamento público. Isso significa que uma organização poderia mudar os ISPs
e não precisaria mudar nenhum de seus clientes internos.

O NAT oferece segurança de rede. Como as redes privadas não anunciam seus
endereços ou topologia interna, elas permanecem razoavelmente seguras quando usadas
juntamente com a NAT para obter o acesso externo controlado. Porém, a NAT não substitui os
firewalls.

Entretanto, a NAT apresenta algumas desvantagens. Vários problemas são criados pelo
fato de os hosts na Internet parecerem comunicar-se diretamente com o dispositivo de NAT,
em vez de comunicar-se com o host real dentro da rede privada. Teoricamente, um endereço
IP globalmente exclusivo pode representar hosts endereçados privativamente. Isso pode ser
vantajoso do ponto de vista da privacidade e segurança mas, na prática, existem desvantagens.

A primeira desvantagem afeta o desempenho. A NAT aumenta os atrasos da

comutação porque a tradução de cada endereço IP dentro dos cabeçalhos do pacote é
demorada. O primeiro pacote é comutado por processo, o que significa que ele sempre passa
pelo caminho mais lento. O roteador deve observar todos os pacotes para decidir se eles
precisam de tradução. O roteador precisa alterar o cabeçalho de IP e, possivelmente, alterar o
cabeçalho de TCP ou UDP. Se existir uma entrada de cache, os pacotes restantes passam
através do caminho que foi comutado rapidamente; caso contrário, eles também são
atrasados.

Muitos protocolos e aplicativos de Internet dependem da funcionalidade fim-a-fim,

com pacotes inalterados encaminhados da origem ao destino. Com a alteração dos endereços
fim-a-fim, a NAT evita alguns aplicativos que utilizam o endereçamento IP. Por exemplo, alguns
aplicativos de segurança, como as assinaturas digitais, falham porque o endereço IP de origem
muda. Os aplicativos que usam endereços físicos em vez de um nome de domínio qualificado
não alcançam os destinos que são traduzidos através do roteador de NAT. Às vezes, esse
problema pode ser evitado implementando mapeamentos de NAT estáticos.

Página 140
 A capacidade de rastreamento IP fim-a-fim também é perdida. Torna-se muito mais
difícil rastrear pacotes que passam por muitas mudanças de endereço ao longo dos diversos
saltos da NAT, dificultando a identificação e solução de problemas. Por outro lado, os hackers
que querem determinar a origem de um pacote acham difícil rastrear ou obter a origem ou o
endereço de destino.

O uso da NAT também complica os protocolos de tunelamento, como o IPsec, porque

ela modifica os valores nos cabeçalhos que interferem nas verificações de integridade feitas
pelo IPsec e por outros protocolos de tunelamento.

Os serviços que exigem a iniciação de conexões de TCP da rede externa ou protocolos

sem estado, como os que usam o UDP, podem ser interrompidos. A menos que o roteador de
NAT se esforce especificamente para suportar esses protocolos, os pacotes de entrada não
poderão chegar ao seu destino. Alguns protocolos podem acomodar uma instância de NAT
entre os hosts participantes (FTP no modo passivo, por exemplo), mas falham quando ambos
os sistemas são separados da Internet pela NAT.

11 Configurações

11.1 Configuração Básica Usando o Cisco IOS

11.1.1 Identificando os Dispositivos

O hostname, ou nome do host, é usado em prompts da CLI. Se o hostname não for

explicitamente configurado, um roteador usa o seguinte hostname padrão atribuído de fábrica
"Router". Um switch possui o seguinte hostname padrão atribuído de fábrica, "switch".
Imagine se uma rede conectada tivesse diversos roteadores que fossem todos nomeados com
o nome padrão "Router". Isso criaria uma confusão considerável durante a configuração e a
manutenção de rede.

Ao acessar um dispositivo remoto usando Telnet ou SSH, é importante confirmar que

um acesso foi feito ao dispositivo adequado. Se todos os dispositivos fossem deixados com
seus nomes padrão, não conseguiríamos identificar se o dispositivo adequado está conectado.

Ao escolher e documentar nomes de maneira inteligente é mais fácil se lembrar,

discutir e identificar os dispositivos de rede. Nomear os dispositivos de maneira consistente e
útil requer o estabelecimento de uma convenção de nomes que se espalhe pela empresa. É
recomendado se criar uma convenção de nomes pela mesma razão do esquema de
endereçamento, para permitir a continuidade dentro da organização.

Algumas diretrizes para convenções de nomes são as de que os nomes deveriam:

 Começar com uma letra
 Não conter um espaço
 Terminar com uma letra ou dígito
 Ter somente caracteres como letras, dígitos e linhas
 Ter 63 caracteres ou menos

Página 141
 Figura 74 - configuração dos nomes dos dispositivos

Os hostnames usados no dispositivo preservam letras maiúsculas e minúsculas.

Portanto, ele permite que você escreva em letras maiúsculas como você normalmente faria.
Isso contrasta com a maioria dos esquemas de nomes da Internet, onde casos de letra
maiúscula e minúscula são tratados de maneira idêntica. A RFC 1178 estabelece algumas das
regras que podem ser usadas como referência para nomear dispositivos.

Como parte da configuração do dispositivo, um único nome de host deve ser

configurado para cada dispositivo.

Os hostnames de dispositivos são usados somente por administradores quando eles

usam a CLI para configurar e monitorar dispositivos. A menos que configurados para assim o
fazerem, os próprios dispositivos não usam esses nomes quando eles se descobrem e
interoperam.

Aplicando Nomes - Um Exemplo

Vamos usar um exemplo de três roteadores conectados em conjunto em uma rede se

espalhando por três cidades diferentes (Atlanta, Phoenix e Corpus) conforme é mostrado na
figura.
Para criar uma convenção de nomes para os roteadores, leve em consideração o local
e o propósito dos dispositivos. Faça perguntas como essas a você mesmo: Esses roteadores
farão parte da sede de uma organização? Cada roteador tem um propósito diferente? Por
exemplo, o roteador de Atlanta é um ponto de junção primária na rede ou é uma junção em
cadeia?
Nesse exemplo, identificaremos cada roteador como uma sede para cada cidade. Os
nomes podem ser AtlantaHQ, PhoenixHQ e CorpusHQ. Se cada roteador fosse uma junção em
cadeia sucessiva, os nomes poderiam ser AtlantaJunction1, PhoenixJunction2 e
CorpusJunction3.

Página 142
 Na documentação de rede, poderíamos incluir esses nomes e as razões por tê-los
escolhidos, para garantir a continuidade em nossa convenção de nomes à medida que os
dispositivos são adicionados.

Uma vez identificada a convenção de nomes, o próximo passo é aplicar os nomes ao

roteador usando a CLI. Esse exemplo nos guiará pelo nome do roteador de Atlanta.

Configurar o Hostname

Do modo EXEC privilegiado, acesse o modo de configuração global inserindo o comando

configure terminal:

Router#configure terminal

Após o comando ser executado, o prompt será alterado para:

Router(config)#

No modo de configuração global, insira o hostname:

Router (config)#hostname AtlantaHQ

Após o comando ser executado, o prompt será alterado para:

AtlantaHQ(config)#

Note que o hostname aparece no prompt. Para sair do modo de configuração global, use
o comando exit.

Certifique-se sempre de que a sua documentação seja atualizada a cada vez que um
dispositivo for adicionado ou modificado. Identifique os dispositivos na documentação por seu
local, propósito e endereço.

Nota: Para remover a configuração feita por um comando, introduza o comando com a
palavra-chave no início da linha do comando.

Por exemplo, para remover o nome de um dispositivo, use:

AtlantaHQ(config)#no hostname
Router(config)#

Note que o comando no hostname fez com que o nome do roteador fosse revertido
para o padrão, "Router".

Página 143
11.1.2 Limitando o Acesso ao Dispositivo

Limitar fisicamente o acesso a dispositivos de rede com salas e racks fechados é uma
boa prática; no entanto, as senhas são a defesa primária contra acesso não autorizado a
dispositivos de rede. Todo dispositivo deve possuir senhas configuradas localmente para
limitar o acesso. Em um curso posterior, introduziremos como fortalecer a segurança exigindo
um ID de usuário junto com uma senha. Para agora, apresentaremos precauções básicas de
segurança usando somente senhas.

Conforme discutido anteriormente, o IOS usa modos hierárquicos para contribuir com
a segurança do dispositivo. Como parte dessa execução de segurança, o IOS pode aceitar
várias senhas para permitir diferentes privilégios de acesso ao dispositivo.

As senhas introduzidas aqui são:

 Senha de console - limita o acesso ao dispositivo usando a conexão de console

 Enable Password - limita o acesso ao modo EXEC privilegiado
 Enable Secret Password - criptografada, limita o acesso ao modo EXEC
privilegiado
 Senha VTY - limita o acesso ao dispositivo usando Telnet

Embora fazer o logging com várias senhas diferentes seja inconveniente, é uma
precaução necessária para proteger, de maneira adequada, a infra-estrutura de rede de
acessos não autorizados.

Além disso, use senhas fortes que não sejam facilmente descobertas. O uso de senhas
fracas ou facilmente descobertas continua a ser um problema de segurança em muitas faces
no mundo dos negócios.

Considere esses pontos essenciais ao escolher senhas:

 Use senhas que tenham mais de 8 caracteres de extensão.

 Use uma combinação de letras maiúsculas e minúsculas e/ou sequências
numéricas em senhas.
 Evite usar a mesma senha para todos os dispositivos.
 Evite usar palavras comuns, tais como senha ou administrador, pois essas são
facilmente descobertas.

Na maioria dos laboratórios, usaremos senhas simples, tais como cisco ou class. Essas
senhas são consideradas fracas e facilmente descobertas, e devem ser evitadas em um
ambiente de produção. Somente usamos essas senhas por conveniência em um cenário de
sala de aula.

Página 144
 Conforme mostrado na figura, quando solicitada uma senha, o dispositivo não a exibirá
à medida que ela é inserida. Em outras palavras, os caracteres da senha não aparecerão
quando você estiver digitando. Isso é feito por motivos de segurança – muitas senhas são
roubadas por olhos curiosos.

Senha de Console

A porta de console de um dispositivo Cisco possui privilégios especiais. A porta de

console dos dispositivos de rede deve ser protegida, no mínimo, exigindo ao usuário que
forneça uma senha forte. Isso reduz a chance de pessoas não autorizadas a conectar um cabo
no dispositivo e receber acesso a ele.

Os comandos a seguir são usados no modo de configuração global para estabelecer

uma senha para a linha de console:

 switch(config)#line console 0
 switch(config-line)#password senha
 switch(config-line)#login

Do modo de configuração global, o comando line console 0 é usado para entrar no

modo de configuração de linha para a console. O zero é usado para representar a primeira (e
na maioria dos casos a única) interface de console para um roteador.

O segundo comando, password senha especifica uma senha em uma linha.

O comando login configura o roteador para exigir autenticação no login. Quando o

login é habilitado e uma senha é configurada, haverá um prompt para inserir a senha.

Uma vez executados esses três comandos, um prompt de senha aparecerá cada vez
que um usuário tentar obter acesso à porta de console.

Página 145
 Enable Password e Enable Secret Password

Para fornecer segurança adicional, use o comando enable password ou o comando

enable secret. Ambos os comandos podem ser usados para se estabelecer autenticação antes
de acessar o modo EXEC privilegiado (enable).

Use sempre o comando enable secret, e não o antigo comando enable password, se
possível. O comando enable secret fornece mais segurança porque a senha é criptografada. O
comando enable password pode ser usado somente se o comando enable secret ainda não
tiver sido configurado.

O comando enable password seria usado se o dispositivo usar uma cópia antiga do
software do Cisco IOS que não reconhece o comando enable secret.

Os comandos a seguir são usados para estabelecer as senhas:

Router(config)#enable password senha

Router(config)#enable secret senha

Obs.: Se nenhuma senha para enable password ou enable secret for estabelecida, o IOS
impede acesso ao EXEC privilegiado a partir de uma sessão Telnet.

Sem uma enable password estabelecida, uma sessão Telnet apareceria dessa forma:

switch>enable
% No password set
switch>

Senha VTY

As linhas vty permitem acesso a um roteador via Telnet. Por padrão, muitos
dispositivos da Cisco suportam cinco linhas VTY que são numeradas de 0 a 4. Uma senha
precisa ser estabelecida para todas as linhas vty disponíveis. A mesma senha pode ser
estabelecida para todas as conexões. No entanto, é frequentemente desejável que uma única
senha seja estabelecida para uma linha de modo a fornecer segurança para entrada
administrativa ao dispositivo se as outras conexões estiverem em uso.

Os comandos a seguir são usados para estabelecer uma senha para linhas vty:

Router (config)#line vty 0 4

Router (config-line)#password senha
Router(config-line)#login

Por padrão, o IOS inclui o comando login nas linhas VTY. Isso impede acesso Telnet ao
dispositivo sem primeiro exigir autenticação. Se, por erro, o comando no login for
estabelecido, o que remove a exigência para autenticação, pessoas não autorizadas poderiam
se conectar à linha usando o Telnet. Isso seria um grande risco de segurança.

Página 146
 Criptografando a Exibição de Senha

Outro comando útil impede que as senhas apareçam como texto claro na visualização
de arquivos de configuração. O comando é service password-encryption.

Esse comando faz com que seja executada a criptografia de senhas quando estas
forem configuradas. O comando service password-encryption aplica criptografia fraca a todas
as senhas não criptografadas. Essa criptografia não se aplica às senhas uma vez que são
enviadas pelo meio físico, e sim somente na configuração. O propósito deste comando é
proibir que indivíduos não autorizados vejam as senhas no arquivo de configuração.

Se você executar o comando show running-config ou o comando show startup-config

antes do comando service password-encryption ser executado, as senhas não criptografadas
serão visíveis no resultado da saída da configuração. O comando service password-encryption
pode ser executado e a criptografia será aplicada às senhas. Uma vez aplicada a criptografia,
remover esse serviço reverterá a criptografia.

Mensagens de Banner

Embora a exigência senhas seja uma maneira de manter pessoas não autorizadas fora
de uma rede, é vital fornecer um método para declarar que somente pessoal autorizado pode
obter acesso no dispositivo. Para fazê-lo, adicione um banner ao dispositivo.

Banners podem ser uma parte importante do processo legal caso alguém seja
processado por quebrar o acesso a um dispositivo. Alguns sistemas legais não permitem
processo, ou mesmo o monitoramento de usuários, a menos que uma notificação esteja
visível.

O conteúdo ou as palavras exatas de um banner dependem das leis locais e políticas

corporativas. Eis alguns exemplos de informações para incluir em um banner:

"A utilização do dispositivo é permitida somente ao pessoal autorizado".

Página 147
 "A atividade está sendo monitorada".
"Uma ação legal será instaurada por qualquer utilização não autorizada".

Pelo fato de que os banners podem ser vistos por qualquer um que tenta fazer login, a
mensagem deve ser bastante cautelosa. Quaisquer expressões que impliquem que um login
seja "bem-vindo" ou "convidado" não são adequadas. Se uma pessoa interrompe a rede após
obter acesso não autorizado, provar a culpa dos responsáveis será difícil se aparecer um
convite na mensagem do banner.

A criação de banners é um processo simples; no entanto, os banners devem ser usados

de maneira adequada. Quando um banner é utilizado, ele nunca deve possuir uma mensagem
de boas vindas, como, por exemplo, seja bem-vindo ao roteador. Ele deve detalhar que
somente pessoas autorizadas têm permissão para acessar o dispositivo. Além disso, o banner
pode incluir bloqueios de sistema programados e outras informações que afetam todos os
usuários da rede.

O IOS fornece vários tipos de banners. Um banner comum é a mensagem do dia

(MOTD). Ela é freqüentemente usada para notificação legal pois é exibida a todos os terminais
conectados.

Configure o MOTD usando o comando banner motd no modo de configuração global.

Conforme mostra a figura, o comando banner motd exige o uso de delimitadores para
identificar o conteúdo da mensagem do banner. O comando banner motd é seguido por um
espaço e um caractere de delimitação. Então, uma ou mais linhas de texto são inseridas para
representar a mensagem do banner. Uma segunda ocorrência do caractere delimitador denota
o fim da mensagem. O caractere delimitador pode ser qualquer caractere contanto que ele
não ocorra na mensagem. Por esse motivo, símbolos como "#" são comumente usados.

Para configurar um MOTD, a partir do modo de configuração global, insira o comando

banner motd:

switch(config)#banner motd #mensagem#

Uma vez executado o comando, o banner será exibido em todas as tentativas

subsequentes de acessar o dispositivo, até que o banner seja removido.

Página 148
11.1.3 Gerenciando Arquivos de Configuração

Como já discutimos, modificar uma configuração em execução afeta a operação do

dispositivo imediatamente.

Após fazer alterações a uma configuração, considere essas opções como próximo
passo:

Faça da configuração alterada a nova configuração de inicialização.

Retorne o dispositivo a sua configuração original.
Remova toda a configuração do dispositivo.

Faça da Configuração Alterada a Nova Configuração de Inicialização

Lembre-se, porque a configuração de execução é armazenada na RAM, ela é

temporariamente ativa enquanto o dispositivo Cisco está sendo executando (ligado). Se a
energia fornecida ao roteador cair ou se o roteador for reiniciado, todas as alterações de
configuração serão perdidas a menos que elas tenham sido salvas.

Salvar a configuração em execução no arquivo de configuração de inicialização na

NVRAM preserva as alterações como a nova configuração de inicialização.

Antes de se comprometer com as alterações, use os comandos show adequados para

verificar a operação do dispositivo. Como mostra a figura, o comando show running-config
pode ser usado para ver um arquivo de configuração em execução.

Quando as alterações forem verificadas e constatado que estão corretas, use o

comando copy running-config startup-config no prompt do modo EXEC privilegiado. O exemplo
a seguir mostra o comando:

switch#copy running-config startup-config

Uma vez executado, o arquivo de configuração em execução substitui o arquivo de

configuração de inicialização.

Retorne o Dispositivo à sua Configuração Original

Se as alterações feitas à configuração em execução não tiverem o efeito desejado,

pode ser necessário restaurar o dispositivo à sua configuração anterior. Considerando que não
sobrescrevemos a configuração de inicialização com as alterações, podemos substituir a
configuração em execução pela configuração de inicialização. Isso é feito melhor ao reiniciar o
dispositivo usando o comando reload no prompt do modo EXEC privilegiado.

Ao iniciar uma reinicialização, o IOS detectará que o running config tem alterações que
não foram salvas na configuração de inicialização. Um prompt aparecerá para perguntar se é
preciso salvar as alterações feitas. Para descartar as alterações, insira n ou no.

Outro prompt aparecerá para confirmar a reinicialização. Para confirmar, pressione a

tecla Enter. Pressionar qualquer outra tecla irá abortar o processo.
Por exemplo:

Página 149
 Router#reload
System configuration has been modified. Save? [yes/no]: n
Proceed with reload? [confirm]
*Apr 13 01:34:15.758: %SYS-5-RELOAD: Reload requested by console. Reload Reason:
Reload Command.
System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2004 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c1841 processor with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled

Fazendo o Back Up Offline de Configurações

Arquivos de Configuração devem ser armazenados como arquivos de backup no caso

de um problema. Arquivos de configuração podem ser armazenados em um servidor TFTP, um
CD, um memory stick USB ou em um disquete, guardado em um local seguro. Um arquivo de
configuração também deve ser incluído na documentação de rede.

Configuração de Backup em Servidor TFTP

Como mostra a figura, uma opção é salvar a configuração em execução ou a

configuração de inicialização em um servidor TFTP. Use o comando copy running-config tftp ou
copy startup-config tftp e siga esses passos:
1. Insira o comando copy running-config tftp.

Página 150
 2. Insira o endereço IP do host (servidor TFTP) onde o arquivo de configuração
será armazenado.
3. Insira o nome que deve ser atribuído ao arquivo de configuração.
4. Responda yes para confirmar cada escolha.

Veja a figura para visualizar este processo.

Removendo Todas as Configurações

Se alterações não desejadas forem salvas à configuração de inicialização, pode ser

necessário limpar todas as configurações. Isso exige apagar a configuração de inicialização e
reiniciar o dispositivo.

A configuração de inicialização é removida ao se usar o comando erase startup-config.

Para apagar o arquivo de configuração de inicialização, use o comando erase
NVRAM:startup-config ou erase startup-config no prompt do modo EXEC privilegiado:

Router#erase startup-config

Uma vez emitido o comando, o roteador irá solicitar uma confirmação:

Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]

Confirm é a resposta padrão. Para confirmar e apagar o arquivo de configuração de

inicialização pressione a tecla Enter. Pressionar qualquer outra tecla irá abortar o processo.

Obs.: Tenha cuidado ao usar o comando erase. Esse comando pode ser usado para
apagar qualquer arquivo no dispositivo. O uso indevido do comando pode apagar o próprio IOS
ou outro arquivo importante.

Após remover a configuração de inicialização da NVRAM, reinicie o dispositivo para

remover o arquivo de configuração em execução atual da RAM. O dispositivo carregará, então,
a configuração de inicialização padrão na RAM que foi originalmente enviada com o
dispositivo.

11.1.4 Configurando Interfaces

Por todo este capítulo, nós discutimos comandos genéricos do IOS. Algumas
configurações são específicas a um tipo de dispositivo. Uma dessas configurações é a
configuração de interfaces em um roteador.

Página 151
 A maioria dos dispositivos de rede intermediários possuem um endereço IP com o
propósito de gerenciamento do dispositivo. Alguns dispositivos, tais como switches e access
points (pontos de acesso sem fio), podem operar sem ter um endereço IP.

Pelo fato de que o propósito de um roteador é interconectar redes diferentes, cada

interface em um roteador possui seu próprio e único endereço IPv4. O endereço atribuído a
cada interface existe em uma rede separada destinada à interconexão de roteadores.

Existem muitos parâmetros que podem ser configurados em interfaces de roteador.

Discutiremos os comandos de interface mais básicos, que estão resumidos na figura.

Configurando Interfaces Ethernet de Roteadores

Interfaces Ethernet de roteadores são usadas como os gateways para os dispositivos

finais nas LANs diretamente conectadas.

Cada interface Ethernet deve possuir um endereço IP e máscara de sub-rede para

rotear pacotes IP.

Para configurar uma interface Ethernet, siga os passos a seguir:

1. Entre no modo de configuração global.

2. Entre no modo de configuração de interface.
3. Especifique o endereço da interface e a máscara de sub-rede.
4. Habilite a interface.

Como mostra a figura, configure o endereço IP usando os comandos a seguir:

Router(config)#interface FastEthernet 0/0

Página 152
 Router(config-if)#ip address endereço ip máscara de sub-rede
Router(config-if)#no shutdown

Habilitando a Interface

Por padrão, as interfaces são desabilitadas. Para habilitar uma interface, insira o
comando no shutdown no modo de configuração de interface. Se uma interface precisa ser
desabilitada para manutenção ou correção de erros, use o comando shutdown.

Configurando Interfaces Seriais de Roteadores

Interfaces seriais são usadas para conectar WANs a roteadores em um local remoto ou
ISP.
Para configurar uma interface serial siga os passos a seguir:

1. Ente no modo de configuração global.

2. Entre no modo de configuração de interface.
3. Especifique o endereço da interface e a máscara de sub-rede.
4. Ajuste a taxa de clock rate se um cabo DCE estiver conectado. Pule o passo se
um cabo DTE estiver conectado.
5. Habilite a interface.

Cada interface serial conectada deve possuir um endereço IP e uma máscara de sub-
rede para rotear os pacotes IP.

Configure o endereço IP com os comandos a seguir:

Router (config)#interface Serial 0/0/0

Router (config-if)#ip addressendereço ip máscara de sub-rede

Interfaces seriais exigem um clock rate para controlar o tempo das comunicações. Na
maioria dos ambientes, um dispositivo DCE, tal como uma CSU/DSU fornecerá o relógio. Por
padrão, os roteadores da Cisco são dispositivos DTE, mas eles podem ser configurados como
dispositivos DCE.

Em links seriais diretamente conectados, como no ambiente do nosso laboratório, um

lado deve operar como DCE para fornecer o sinal do clock. O clock é habilitado e a velocidade é
especificada com o comando clock rate. Algumas frequências de bit podem não estar
disponíveis em certas interfaces seriais. Isso depende da capacidade de cada interface.

No laboratório, se a frequência de um clock precisa ser ajustada em uma interface

identificada como DCE, use a frequência 56000.

Como mostra a figura, os comandos usados para ajustar a frequência de clock e

habilitar uma interface serial são:

Router (config)#interface Serial 0/0/0

Router (config-if)#clock rate 56000

Página 153
 Router(config-if)#no shutdown

Uma vez que as alterações de configuração são feitas no roteador, lembre-se de usar
os comandos show para verificar a precisão das alterações, e então salvar a configuração
alterada na configuração de inicialização (startup-config).

À medida que o hostname ajuda a identificar o dispositivo em uma rede, uma

descrição de interface indica a finalidade da interface. Uma descrição do quê uma interface faz
ou onde ela está conectada deve ser parte da configuração de cada interface. Essa descrição
pode ser útil para correção de erros.
A descrição de interface aparecerá na saída desses comandos: show startup-config,
show running-config, e show interfaces.
Por exemplo, essa descrição fornece informações valiosas sobre o propósito da
interface:

Essa interface é o gateway para a LAN da administração.

Uma descrição pode auxiliar na determinação dos dispositivos ou locais conectados à

interface. Aqui está outro exemplo:

Interface F0/0 está conectada ao switch principal no prédio da administração.

Quando o pessoal de suporte pode identificar de maneira fácil o propósito de uma

interface ou dispositivo conectado, eles podem entender mais facilmente o escopo de um
problema, e isso pode levar ao alcance de uma solução mais rápida.

Informações de circuito e contato também podem ser embutidas na descrição da

interface. A descrição a seguir para uma interface serial fornece as informações que o
administrador de rede pode precisar antes de decidir testar um circuito WAN. Essa descrição
indica onde o circuito termina, o ID do circuito e o número do telefone da empresa
fornecedora do circuito:

ID do Circuito FR para GAD1:AA.HCGN.556460 DLCI 511 - suporte# 555.1212

Para criar uma descrição, use o comando description. Esse exemplo mostra os
comandos usados para se criar uma descrição para uma interface FastEthernet:

HQ-switch1#configure terminal
HQ-switch1(config)#interface fa0/0
HQ-switch1(config-if)#description Conexão do switch principal do Prédio A

Uma vez aplicada a descrição à interface, use o comando show interfaces para verificar
se a descrição está correta.

Veja a figura para um exemplo.

Página 154
11.2 Configuração de Roteadores
11.2.1 Examinando as Conexões do Roteador

Conexões do roteador

Conectar um roteador a uma rede exige o acoplamento de um conector de interface

do roteador a um conector de cabo. Como você pode ver na figura, os roteadores Cisco
oferecem suporte a muitos tipos de conector diferentes.

Página 155
Conectores seriais

Figura 75 - Tipos de Conectores seriais

Em conexões WAN, os roteadores Cisco oferecem suporte aos padrões EIA/TIA-232,

EIA/TIA-449, V.35, X.21 e EIA/TIA-530 para conexões seriais, como mostrado. Não é
importante memorizar esses tipos de conexão. Apenas saiba que um roteador com uma porta
DB-60 pode oferecer suporte a cinco padrões de cabeamento diferentes. Como há cinco tipos
de cabo diferentes compatíveis com essa porta, às vezes ela é chamada de porta serial cinco
em um. A outra extremidade do cabo serial é equipada com um conector apropriado a um dos
cinco padrões possíveis.

Os roteadores mais novos oferecem suporte à interface smart serial que permite o
encaminhamento de mais dados em menos pinos de cabo. A extremidade serial do cabo smart
serial é um conector de 26 pinos. Ele é muito menor que o conector DB-60 usado na conexão
com uma porta serial cinco em um. Esses cabos de transição oferecem suporte aos mesmos
cinco padrões seriais, estando disponíveis em configurações DTE ou DCE.

Conectores Ethernet

Um conector diferente é usado em um ambiente de rede local baseado em Ethernet.

Um conector RJ-45 para o cabo de Par Trançado Não-Blindado(UTP, Unshielded Twisted-Pair) é
o conector mais comumente usado na conexão de interfaces de rede local. Em cada
extremidade de um cabo RJ-45, você deve conseguir ver oito faixas coloridas, ou pinos. Um
cabo Ethernet usa pinos 1, 2, 3 e 6 na transmissão e no recebimento de dados.
Dois tipos de cabos podem ser usados com interfaces de rede local Ethernet:

 Um cabo straight-through (ou cabo direto), ou patch cable, com a mesma

ordem dos pinos coloridos em cada extremidade do cabo

Página 156
  Um cabo crossover (ou cabo cruzado), com o pino 1 conectado ao pino 3 e o
pino 2 conectado ao pino 6

Os cabos straight-through são usados para:

 Switch a roteador
 Switch a PC
 Hub a PC
 Hub a servidor

Os cabos crossover são usados para:

 Switch a switch
 PC a PC
 Switch a hub
 Hub a hub
 Roteador a roteador
Roteador a servidor

11.2.2 Examinando as Interfaces do Roteador

Como já fora comentado, o comando show ip route é usado para exibir a tabela de
roteamento. Inicialmente, a tabela de roteamento permanecerá vazia se não houver nenhuma
interface configurada.

Como você pode ver na tabela de roteamento de R1, nenhuma interface foi
configurada com um endereço IP e uma máscara de sub-rede.

As rotas estáticas e dinâmicas não serão adicionadas à tabela de roteamento até que
as interfaces locais apropriadas, também conhecidas como as interfaces de saída, sejam
configuradas no roteador.

Página 157
 Interfaces e seus Status

O status de cada interface pode ser examinado usando vários comandos.

Figura 76 - Show interfaces

O comando show interfaces mostra o status e dá uma descrição detalhada de todas as

interfaces no roteador. Como você pode ver, a saída do comando pode ser bem longa. Para
exibir as mesmas informações, mas para uma interface específica, como FastEthernet 0/0, use
o comando show interfaces com um parâmetro que especifique a interface.
Por exemplo:

R1#show interfaces fastethernet 0/0

FastEthernet0/0 is administratively down, line protocol is down

Observe que a interface está administratively down e o line protocol is down.

“Administratively down” (desativada administrativamente) significa que a interface está no
modo desligado, ou desligada. “Line protocol is down” (Protocolo de linha está inativo)
significa, nesse caso, que a interface não está recebendo um sinal de operadora de um switch
ou do hub. Essa condição também pode existir devido ao fato de a interface estar no modo
desligado (shutdown).

Você observará que o comando show interfaces não mostra nenhum endereço IP nas
interfaces de R1 (figura 76). A razão disso é porque ainda não foi configurado endereços IP em
nenhuma das interfaces.

Comandos adicionais para examinar o status da interface

O comando show ip interface brief pode ser usado para ver uma porção das
informações de interface em um formato resumido.

Página 158
 O comando show running-config exibe o arquivo de configuração atual usado pelo
roteador. Os comandos de configuração são armazenados temporariamente no arquivo de
configuração em execução e implementados imediatamente pelo roteador. Usar esse
comando é outra forma de verificar o status de uma interface, como FastEthernet 0/0.

R1#show running-config
<parte da saída do comando omitida>
interface FastEthernet0/0
no ip address
shutdown
<parte da saída do comando omitida>

No entanto, usar show running-config não é necessariamente a melhor forma de

verificar as configurações de interface. Use o comando show ip interface brief para verificar
rapidamente se as interfaces estão up (ativas) e up (administrativamente up e o protocolo de
linha está up).

11.2.3 Configurando uma Interface Ethernet

Como mostrado, R1 ainda não tem nenhuma rota. Adicionemos uma rota,
configurando uma interface e exploremos o que acontece exatamente quando essa interface é
ativada. Por padrão, todas as interfaces do roteador são desligadas (shutdown) ou
desativadas. Para habilitar essa interface, use o comando no shutdown, que altera a interface
de ”administratively down” para ”up”.

Página 159
R1(config)#interface fastethernet 0/0
R1(config-if)#ip address 172.16.3.1 255.255.255.0
R1(config-if)#no shutdown

A seguinte mensagem retorna do IOS:

*Mar 1 01:16:08.212: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up

*Mar 1 01:16:09.214: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
changed state to up

Ambas as mensagens são importantes. A primeira mensagem changed state to up

indica que, fisicamente, a conexão está boa. Se você não obtiver essa primeira mensagem,
certifique-se de que a interface esteja adequadamente conectada a um switch ou um hub.

Embora habilitada com no shutdown, uma interface Ethernet não permanecerá em

funcionamento, ou ativa, a menos que esteja recebendo um sinal de operadora de outro
dispositivo (switch, hub, PC ou outro roteador).

A segunda mensagem “changed state to up” indica que a camada de enlace de dados
está em funcionamento. Em interfaces de rede local, normalmente não alteramos os
parâmetros da camada de enlace de dados. No entanto, as interfaces WAN em um ambiente
de laboratório exigem a sincronização em um lado do link. Se você não definir corretamente o
clock rate, o protocolo de linha (a camada de enlace de dados) não será alterado para ativado.

Lendo a tabela de roteamento

Agora observe a tabela de roteamento mostrada na figura. Agora observe que R1 tem
uma interface FastEthernet 0/0 "diretamente conectada" a uma nova rede. A interface foi
configurada com o endereço IP 172.16.3.1/24, que faz dele um membro da rede
172.16.3.0/24.

Examine a seguinte linha de saída:

C 172.16.3.0 is directly connected, FastEthernet0/0

O C no início de cada rota indica que se trata de uma rede conectada diretamente. Em
outras palavras, R1 tem uma interface que pertence a essa rede. O significado de C é definido
na lista de códigos na parte superior da tabela de roteamento.

Página 160
 A máscara de sub-rede /24 dessa rota é exibida na linha acima da rota real.

172.16.0.0/24 is subnetted, 1 subnets

C 172.16.3.0 is directly connected, FastEthernet0/0

Roteadores normalmente armazenam endereços de rede

Com raríssimas exceções, as tabelas de roteamento têm rotas para endereços de rede,
e não endereços de host individuais. A rota 172.16.3.0/24 na tabela de roteamento significa
que essa rota corresponde a todos os pacotes com um endereço de destino pertencente a essa
rede. Ter uma única rota representando uma rede inteira de endereços IP de host diminui a
tabela de roteamento, com menos rotas, o que resulta em pesquisas mais rápidas na tabela de
roteamento. A tabela de roteamento pode conter todos os 254 endereços IP de host
individuais para a rede 172.16.3.0/24, mas essa é uma forma ineficiente de armazenar
endereços.

Uma agenda telefônica é uma boa analogia para a estrutura de uma tabela de
roteamento. Uma agenda telefônica é uma lista de nomes e números de telefone, classificados
em ordem alfabética pelo sobrenome. Ao procurar um número, podemos supor que quanto
menos nomes houver na lista, mais rápida será a localização de um determinado nome. Uma
agenda telefônica com 20 páginas e talvez 2.000 entradas será muito mais fácil de pesquisar
do que uma com 200 páginas e 20.000 entradas.

A agenda só contém uma listagem para cada número de telefone. Por exemplo, a
família Stanford pode ser listada como:

Stanford, Harold, 742 Evergreen Terrace, 555-1234

Essa é a única entrada para todos os que moram nesse endereço e têm o mesmo
número de telefone. A agenda telefônica pode conter uma listagem para cada pessoa, mas
isso aumentaria o tamanho da lista. Por exemplo, poderia haver uma listagem separada para
Harold Stanford, Margaret Stanford, Brad Stanford, Leslie Stanford e Maggie Stanford – todos
com o mesmo endereço e número de telefone. Se isso fosse feito com todas as famílias, a
agenda telefônica seria muito maior e demoraria mais para pesquisá-la.

As tabelas de roteamento funcionam da mesma forma: uma entrada na tabela

representa uma "família" de dispositivos em que todos compartilham a mesma rede ou espaço
de endereço (a diferença entre uma rede e um espaço de endereço será esclarecida na medida
em que você avançar no curso). Quanto menos entradas houver na tabela de roteamento,
mais rápido será o processo de pesquisa. Para manter as tabelas de roteamento menores, são
listados endereços de rede com máscaras de sub-rede, e não endereços IP de host individuais.

Às vezes, uma "rota de host" é inserida na tabela de roteamento, o que representa um

endereço IP de host individual. Ela é listada com o endereço IP de host do dispositivo e uma
máscara de sub-rede /32 (255.255.255.255).

Página 161
11.2.4 Verificando a Interface Ethernet

Comandos para verificar a configuração da interface

O comando show interfaces fastethernet 0/0 na figura agora mostra que a interface
está ”up” e que o protocolo de linha está ”up”. O comando no shutdown alterou a interface de
”administratively down” para ”up”. Observe que o endereço IP é exibido agora.

O comando show ip interface brief também é mostrado com a verificação dessas

mesmas informações. Em status e protocolo, você deve ver "up".

R1#show running-config O comando show running-config mostra a configuração atual

dessa interface. Quando a interface é desabilitada, o comando running-config exibe shutdown.
No entanto, quando a interface é habilitada, no shutdown não é exibido.

<saída de comando omitida>

interface FastEthernet0/0
ip address 172.16.3.1 255.255.255.0
<saída de comando omitida>

Um roteador não pode ter várias interfaces pertences à mesma sub-rede IP. Cada
interface deve pertencer a uma sub-rede separada. Por exemplo, um roteador não pode ter
sua interface FastEthernet 0/0 configurada como o endereço e a máscara 172.16.3.1/24 e sua
interface FastEthernet 0/1 configurada como 172.16.3.2/24.

Página 162
 O IOS retornará a seguinte mensagem de erro se você tentar configurar a segunda
interface com a mesma sub-rede IP como a primeira interface:

R1(config-if)#int fa0/1
R1(config-if)#ip address 172.16.3.2 255.255.255.0
172.16.3.0 overlaps with FastEthernet0/0
R1(config-if)#

Normalmente, a interface Ethernet ou FastEthernet do roteador será o endereço IP do

gateway padrão de qualquer dispositivo na rede local. Por exemplo, PC1 seria configurado com
um endereço IP de host pertencente à rede 172.16.3.0/24, com o endereço IP de gateway
padrão 172.16.3.1. 172.16.3.1 é o endereço IP da FastEthernet do roteador R1. Lembre-se de
que a interface Ethernet ou FastEthernet de um roteador também participará do processo ARP
como membro da rede Ethernet.

11.3 Configurando o PPP

11.3.1 Configurando uma Interface Serial

Em seguida, configuremos a interface Serial 0/0/0 no roteador R1. Essa interface está
na rede 172.16.2.0/24, com o endereço IP e a máscara de sub-rede 172.16.2.1/24 atribuídos. O
processo que usamos para a configuração da interface serial 0/0/0 é semelhante ao processo
que costumávamos usar para configurar a interface FastEthernet 0/0.

R1(config)#interface serial 0/0/0

R1(config-if)#ip address 172.16.2.1 255.255.255.0
R1(config-if)#no shutdown

Depois de inserir os comandos acima, o estado da interface serial pode variar de

acordo com o tipo de conexão WAN. Isso será abordado com mais detalhes em um capítulo
posterior. Neste curso, usaremos conexões ponto-a-ponto seriais dedicadas entre dois
roteadores. A interface serial só ficará ”up” depois que a outra extremidade do link serial
também for configurada corretamente. Podemos exibir o estado atual de serial 0/0/0 usando o
comando show interfaces serial 0/0/0, como mostrada abaixo:

Como você pode ver, o link ainda está ”down” (desativado). O link está ”down” porque
ainda não configuramos e habilitamos a outra extremidade do link serial.

R1#show interfaces serial 0/0/0

Serial0/0/0 is administratively down, line protocol is down

Agora configuraremos a outra extremidade desse link, Serial 0/0/0, para o roteador R2.

Página 163
 Não há nenhum requisito de que ambas as extremidades do link serial usem a mesma
interface, nesse caso, Serial 0/0/0. No entanto, como as interfaces são membros da mesma
rede, elas devem ter endereços IP pertencentes à rede 172.16.2.0/24. (Os termos rede e sub-
rede podem ser usados alternadamente nesse caso.) A interface Serial 0/0/0 de R2 é
configurada com o endereço IP e a máscara de sub-rede 172.16.2.2/24.

R2(config)#interface serial 0/0/0

R2(config-if)#ip address 172.16.2.2 255.255.255.0
R2(config-if)#no shutdown

Se agora emitirmos o comando show interfaces serial 0/0/0 em um dos roteadores,

continuaremos vendo que o link está ”up/down”.

R2#show interfaces serial 0/0/0

Serial0/0/0 is up, line protocol is down
<saída de comando omitida>

O link físico entre R1 e R2 está ”up” porque ambas as extremidades do link serial foram
configuradas corretamente com um endereço IP/máscara e habilitadas com o comando no
shutdown. No entanto, o protocolo de linha ainda está ”down”. Isso porque a interface não
está recebendo um sinal de clock. Ainda há um mais comando que precisamos inserir, o
comando clock rate, no roteador com o cabo DCE. O comando clock rate definirá o sinal de
clock do link. A configuração do sinal de clock será abordado na próxima seção.

11.3.2 Comandos de configuração PPP

Antes de você efetivamente configurar o PPP em uma interface serial, observaremos

os comandos e suas sintaxes conforme mostrado na figura. Esta série de exemplos mostra
como configurar o PPP e algumas das opções.

Exemplo 1: habilitando o PPP em uma interface

Para definir o PPP como o método de encapsulamento utilizado por uma interface serial
ou ISDN, utilize o comando de configuração da interface encapsulation ppp.

O seguinte exemplo habilita o encapsulamento PPP na interface serial 0/0/0:

R3#configure terminal
R3(config)#interface serial 0/0/0
R3(config-if)#encapsulation ppp

O comando encapsulation ppp não tem nenhum argumento, mas você deve primeiro
configurar o roteador com um protocolo de roteamento IP para utilizar o encapsulamento PPP.

Página 164
Você deve se lembrar de que, se não configurar o PPP em um roteador Cisco, o
encapsulamento padrão das interfaces seriais é HDLC.

Exemplo 2: compressão

Você pode configurar a compressão de software ponto-a-ponto em interfaces seriais

depois de habilitar o encapsulamento PPP. Como essa opção requisita um processo de
compressão de software, ela pode afetar o desempenho do sistema. Se o tráfego já consistir
em arquivos compactados (.zip, .tar ou .mpeg, por exemple), não utilize essa opção. A figura
mostra a sintaxe do comando compress.

Para configurar a compressão em PPP, digite os seguintes comandos:

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp
R3(config-if)#compress [predictor | stac]

Exemplo 3: monitoramento de qualidade do link

Lembre-se da nossa discussão das fases LCP e de que ele fornece uma fase de
determinação da qualidade do link opcional. Nessa fase, o LCP testa o link para determinar se
sua qualidade é suficiente para utilizar protocolos da Camada 3. O comando ppp quality
percentual assegura que o link atende ao requisito de qualidade determinado por você; do
contrário, o link é fechado.

Os percentuais são calculados nos sentidos de entrada e de saída. A qualidade de saída

é calculada comparando-se o número total de pacotes e bytes enviados com o número total de
pacotes e bytes recebidos pelo nó de destino. A qualidade de entrada é calculada
comparando-se o número total de pacotes e bytes recebidos com o número total de pacotes e
bytes enviados pelo nó de destino.

Se o percentual de qualidade do link não for mantido, o link será considerado de má

qualidade, sendo desativado. O Link Quality Monitoring (LQM) implementa um retardo para
que o link não fique sendo ativado e desativado.

Essa configuração de exemplo monitora os dados ignorados no link e evita o loop de

quadros:

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp
R3(config-if)#ppp quality 80

Utilize o comando no ppp quality para desabilitar LQM.

Exemplo 4: balanceamento de carga nos links

O PPP multilink (também conhecido como MP, MPPP, MLP ou Multilink) fornece um
método para espalhar o tráfego em vários links de WAN físicos ao mesmo tempo em que
fornece a fragmentação e a remontagem de pacotes, o seqüenciamento apropriado, a

Página 165
interoperabilidade com vários fornecedores e o balanceamento de carga no tráfego de
entrada e de saída.

O MPPP permite que os pacotes sejam fragmentados e envia esses fragmentos

simultaneamente em vários links ponto-a-ponto para o mesmo endereço remoto. Os vários
links físicos surgem em resposta a um limite de carga definido pelo usuário. O MPPP pode
medir a carga quanto ao tráfego de entrada ou de saída, mas não quanto à carga combinada
de ambos os tráfegos.

Os seguintes comandos realizam o balanceamento de carga em vários links:

Router(config)#interface serial 0/0/0

Router(config-if)#encapsulation ppp
Router(config-if)#ppp multilink

O comando multilink não tem nenhum argumento. Para desabilitar vários links PPP,
utilize o comando no ppp multilink.

Verificando uma configuração de encapsulamento PPP

Utilize o comando show interfaces serial para verificar a configuração apropriada do

encapsulamento HDLC ou PPP. A saída do comando na figura mostra uma configuração PPP.

Quando você configura o HDLC, a saída do comando show interfaces serial deve
mostrar "encapsulation HDLC". Ao configurar o PPP, você pode verificar seus estados LCP e
NCP.

Página 166
 Identificando e solucionando problemas da configuração de encapsulamento serial

O comando debug é utilizado para solucionar problemas, sendo acessado no modo

exec privilegiado da interface da linha de comando. Debug exibe informações sobre várias
operações do roteador e o tráfego relacionado gerado ou recebido pelo roteador, bem como
qualquer mensagem de erro.

Essa é uma ferramenta muito útil e informativa, mas se deve sempre lembrar de que o
Cisco IOS trata a depuração como uma tarefa de alta prioridade. Isso pode consumir um
volume significativo de recursos, e o roteador é forçado a processar a comutação dos pacotes
depurados. Debug não deve ser utilizado como uma ferramenta de monitoramento – ele foi
projetado para ser utilizado por um curto período para solução de problemas. Ao solucionar
problemas de uma conexão serial, você utiliza a mesma abordagem utilizada em outras tarefas
de configuração.

Utilize o comando debug ppp para exibir informações sobre o funcionamento do PPP. A
figura mostra a sintaxe do comando. A forma no desse comando desabilita a saída do
comando de depuração

Página 167
 Saída do comando debug ppp packet

Um bom comando a ser utilizado durante a solução de problemas do encapsulamento

de interface serial é o comando debug ppp packet. O exemplo na figura é a saída do comando
debug ppp packet conforme visto no lado Link Quality Monitor (LQM) da conexão. Esse
exemplo mostra trocas de pacotes segundo o funcionamento do PPP normal. Essa é apenas
uma lista parcial, mas suficiente para aprontá-lo para o laboratório prático.

Observe cada linha na saída do comando e compare-a com o significado do campo.

Utilize o seguinte para orientar sua análise da saída do comando.

 PPP – saída do comando de depuração PPP.

 Serial2 – número de interface associado a essas informações de depuração.
 (o), O – o pacote detectado é um pacote de saída do comando.
 (i), I – o pacote detectado é um pacote de input.
 lcp_slqr() – nome de procedimento; LQM em execução, envio de um Link
Quality Report (LQR).
 lcp_rlqr() – nome de procedimento; LQM em execução, recebimento de um
LQR.
 input (C021) – roteador recebeu um pacote do tipo de pacote especificado (em
hexadecimal). Um valor de C025 indica o pacote do tipo LQM.
 state = OPEN – estado PPP; o estado normal é OPEN.
 magic = D21B4 – Número mágico do nó indicado; quando não há uma saída do
comando indicada, esse é o Número mágico do nó em que a depuração é
habilitada. O Número mágico real depende da detecção do pacote conforme a
indicação I ou O.
 datagramsize = 52 – tamanho do pacote incluindo cabeçalho.
 code = ECHOREQ(9) – identifica o tipo de pacote recebido nas formas da cadeia
de caracteres e hexadecimal.

Página 168
  len = 48 – tamanho do pacote sem cabeçalho.
 id = 3 – número da ID por formato de pacote Link Control Protocol (LCP).
 pkt type 0xC025 – tipo de pacote em hexadecimal; os tipos de pacote comuns
são C025 para LQM e C021 para LCP.
 LCP ECHOREQ (9) – solicitação de eco; valor entre parênteses é a representação
hexadecimal do tipo LCP.
 LCP ECHOREP (A) – resposta de eco; valor entre parênteses é a representação
hexadecimal do tipo LCP.

Saída do comando debug ppp negotiation

A figura 77 mostra a saída do comando debug ppp negotiation em uma negociação

normal, na qual ambos os lados aceitam parâmetros NCP. Nesse caso, o tipo de protocolo IP é
proposto e confirmado. Usando a saída do comando uma ou duas linhas por vez:

As duas primeiras linhas indicam que o roteador está tentando carregar o LCP e usarão
as opções de negociação indicadas (Protocolo de qualidade e Número mágico). Os campos de
valor são os valores das próprias opções. Há conversão de C025/3E8 em Quality Protocol LQM.
3E8 é o período de relatório (em centésimos de segundo). 3D56CAC é o valor do Número
mágico do roteador.

ppp: sending CONFREQ, type = 4 (CI_QUALITYTYPE), value = C025/3E8

ppp: sending CONFREQ, type = 5 (CI_MAGICNUMBER), value = 3D56CAC

As próximas duas linhas indicam que o outro lado negociou as opções 4 e 5 e que ele
solicitou e confirmou ambas. Se a extremidade de resposta não suportar as opções, o nó de
resposta enviará um CONFREJ. Se a extremidade de resposta não aceitar o valor da opção, ela
enviará um CONFNAK com o campo de valor modificado.

Página 169
 ppp: received config for type = 4 (QUALITYTYPE) acked

ppp: received config for type = 5 (MAGICNUMBER) value = 3D567F8 acked (ok)

As próximas três linhas indicam que o roteador recebeu um CONFACK do lado de

resposta e exibem os valores de opção aceitos. Utilize o campo rcvd id para verificar se
CONFREQ e CONFACK têm o mesmo campo id.

PPP Serial2: state = ACKSENT fsm_rconfack(C021): rcvd id 5

ppp: config ACK received, type = 4 (CI_QUALITYTYPE), value = C025

ppp: config ACK received, type = 5 (CI_MAGICNUMBER), value = 3D56CAC

A próxima linha indica que o roteador tem roteamento IP habilitado nessa interface e
que o IPCP NCP foi negociado com êxito.

ppp: ipcp_reqci: returning CONFACK

(ok)

Figura 77 - Saída do comando "debug ppp negotiation"

Saída do comando debug ppp error

Você pode utilizar o comando debug ppp error para exibir os erros de protocolo e as
estatísticas de erro associadas à negociação e ao funcionamento da conexão PPP. Essas
mensagens podem ser exibidas quando a opção Protocolo de qualidade está habilitada em
uma interface com o PPP já em execução. A figura mostra um exemplo.

Página 170
 Observe cada linha na saída do comando e compare-a com o significado do campo.
Utilize o seguinte para orientar sua análise da saída do comando.

 PPP – saída do comando de depuração PPP.

 Serial3(i) – número de interface associada a essas informações de depuração;
indica que esse é um pacote de input.
 rlqr receive failure – o destinatário não aceita a solicitação para negociar a
opção Protocolo de qualidade.
 myrcvdiffp = 159 – número de pacotes recebidos durante o período
especificado.
 peerxmitdiffp = 41091 – número de pacotes enviados pelo nó remoto nesse
período.
 myrcvdiffo = 2183 – número de octetos recebidos nesse período.
 peerxmitdiffo = 1714439 – número de octetos enviados pelo nó remoto nesse
período.
 threshold = 25 – percentual de erro máximo aceitável nessa interface. Você
calcula esse percentual utilizando o valor limite inserido no comando de
configuração da interface ppp quality percentage. Um valor de 100 menos o
número é o percentual de erro máximo. Nesse caso, foi inserido um número 75.
Isso significa que o roteador local deve manter um percentual sem erros mínimo
de 75 por cento ou o link PPP ser fechado.
 OutLQRs = 1 – número de seqüência LQR enviado no momento do roteador
local.
 LastOutLQRs = 1 – último número de seqüência que o lado do nó remoto foi
visto no nó local.

11.3.3 Configuração PPP com Autenticação

O PPP define um LCP extensível que permite a negociação de um protocolo de

autenticação para autenticar seu túnel antes de permitir os protocolos da camada de rede
transmitirem pelo link. A RFC 1334 define dois protocolos para autenticação, conforme
mostrado na figura.

PAP é um processo bidirecional muito básico. Não há nenhuma criptografia; o nome de

usuário e a senha são enviados em texto simples. Se isso for aceito, a conexão será permitida.
CHAP é mais seguro que PAP. Ele envolve uma troca tridirecional de um segredo
compartilhado. O processo será descrito posteriormente nesta seção.

A fase de autenticação de uma sessão PPP é opcional. Se for utilizado, você poderá
autenticar o túnel depois que o LCP estabelecer o link e escolher o protocolo de autenticação.
Se ele for utilizado, a autenticação ocorrerá antes da configuração do protocolo da camada de
rede.

Página 171
 As opções de autenticação exigem que o lado da chamada do link insira informações de
autenticação. Isso ajuda a assegurar que o usuário tenha a permissão do administrador de
rede para fazer a chamada. Os roteadores de mesmo nível trocam mensagens de autenticação.

Um dos muitos recursos do PPP é que ele realiza a autenticação da Camada 2, além das
demais camadas de autenticação, criptografia, controle de acesso e procedimentos de
segurança geral.

Iniciando PAP

O PAP fornece um único método para um nó remoto a fim de estabelecer sua

identidade utilizando um handshake bidirecional. PAP não é interativo. Quando o comando
ppp authentication pap é utilizado, o nome de usuário e a senha são enviados como um pacote
de dados LCP, em vez do servidor enviar um prompt de login e aguardar uma resposta. A figura
mostra que o PPP conclui a fase de estabelecimento do link, o nó remoto envia repetidamente
um par nome de usuário/senha pelo link até que o nó de envio confirme ou encerre a conexão.

Página 172
 No nó de recebimento, o nome de usuário/senha é verificado por um servidor de
autenticação que permite ou nega a conexão. Uma mensagem de aceitação ou de rejeição
retorna ao solicitante.

PAP não é um protocolo de autenticação forte. Utilizando PAP, você envia senhas pelo
link em texto sem formatação, não havendo nenhuma proteção contra reprodução ou ataques
de tentativa e erro repetidos. O nó remoto está no controle da freqüência e do timing das
tentativas de login.

No entanto, há momentos em que a utilização do PAP pode se justificar. Por exemplo,

apesar de suas deficiências, o PAP pode ser utilizado nos seguintes ambientes:

 Uma grande base instalada de aplicativos clientes não compatíveis com CHAP
 Incompatibilidades entre implementações de fornecedores diferentes do CHAP
 Situações em que uma senha em texto simples deve ser disponibilizada para
simular um login no host remoto

Protocolo avançado de autenticação de reconhecimento (CHAP)

Depois que a autenticação é estabelecida com PAP, ela basicamente pára de funcionar.
Isso deixa a rede vulnerável a ataques. Diferentemente do PAP, que só autentica uma vez, o
CHAP realiza desafios periódicos para verificar se o nó remoto ainda tem um valor de senha
válido.

Depois que a fase de estabelecimento do link PPP é concluída, o roteador local envia
uma mensagem de desafio para o nó remoto.

Página 173
 O nó remoto responde com um valor calculado utilizando uma função de hash
unidirecional, que normalmente é Message Digest 5 (MD5) com base na senha e na mensagem
de desafio.

O roteador local verifica a resposta em relação ao seu próprio cálculo do valor de hash
esperado. Se os valores forem correspondentes, o nó inicial confirmará a autenticação. Do
contrário, ele encerra a conexão imediatamente.

O CHAP fornece proteção contra ataque de reprodução, utilizando um valor de desafio

variável exclusivo e imprevisível. Como o desafio é exclusivo e aleatório, o valor de hash
resultante também é exclusivo e aleatório. A utilização de desafios repetidos limita o tempo de
exposição a qualquer ataque. O roteador local ou um servidor de autenticação de terceiros
está no controle da freqüência e do timing dos desafios.

Encapsulamento PPP e processo de autenticação

Página 174
 Você pode utilizar um fluxograma para ajudar a compreender o processo de
autenticação PPP durante a configuração do PPP. O fluxograma fornece um exemplo visual das
decisões lógicas tomadas pelo PPP.

Por exemplo, se uma solicitação PPP de entrada não exigir nenhuma autenticação, o PPP
avançará ao próximo nível. Se uma solicitação PPP de entrada exigir autenticação, ela poderá
ser autenticada utilizando-se o banco de dados local ou um servidor de segurança. Conforme
ilustrado no fluxograma, a autenticação bem-sucedida avança ao próximo nível, enquanto uma
falha na autenticação irá desconectar e descartar a solicitação PPP de entrada.

O roteador R1 deseja estabelecer uma conexão PPP CHAP autenticada com o roteador
R2.

Etapa 1. R1 negocia inicialmente a conexão de link utilizando LCP com o roteador R2 e

os dois sistemas concordam em utilizar a autenticação CHAP durante a negociação PPP LCP.

Etapa 2. O roteador R2 gera uma ID e um número aleatório, além de enviá-lo mais seu
nome de usuário como um pacote de desafio CHAP para R1.

Etapa 3. R1 irá utilizar o nome de usuário do desafiante (R2) e compará-lo com seu
banco de dados local para localizar a senha associada. Dessa forma, R1 irá gerar um número de
hash MD5 exclusivo utilizando o nome de usuário de R2, a ID, o número aleatório e a senha
secreta compartilhada.

Etapa 4. Em seguida, o roteador R1 envia a ID de desafio, o valor de hash e seu nome de

usuário (R1) para R2.

Página 175
 Etapa 5. R2 gera seu próprio valor de hash utilizando a ID, a senha secreta
compartilhada e o número aleatório enviados originalmente para R1.

Etapa 6. R2 compara seu valor de hash com o valor de hash enviado por R1. Se os
valores forem os mesmos, R2 enviará um link estabelecendo resposta com R1.

Se houver falha na autenticação, um pacote de falhas CHAP será criado a partir dos
seguintes componentes:

 04 = tipo de mensagem de falha CHAP

 id = copiada do pacote de respostas
 "Authentication failure" ou alguma mensagem de texto assim, que deve ser uma
explicação legível pelo usuário

Observe que a senha secreta compartilhada deve ser idêntica em R1 e R2.

O comando ppp authentication

Para especificar a ordem na qual os protocolos CHAP ou PAP são solicitados na

interface, utilize o comando de configuração da interface ppp authentication, conforme
mostrado na figura. Utilize a forma no do comando para desabilitar essa autenticação.

Depois que você habilitar a autenticação CHAP ou PAP, ou ambas, o roteador local
exigirá ao dispositivo remoto provar sua identidade antes de permitir o fluxo do tráfego de
dados. Isso é feito da seguinte forma:

A autenticação PAP exige que o dispositivo remoto envie um nome e uma senha a
serem verificados em comparação com uma entrada correspondente no banco de dados de
nome de usuário local ou no banco de dados TACACS/TACACS+ remoto.

A autenticação CHAP envia um desafio para o dispositivo remoto. O dispositivo remoto

deve criptografar o valor de desafio com uma senha secreta e retornar o valor criptografado e
seu nome para o roteador local em uma mensagem de resposta. O roteador local utiliza o
nome do dispositivo remoto para procurar o segredo apropriado no nome de usuário local ou
no banco de dados TACACS/TACACS+. Ele utiliza o segredo pesquisado para criptografar o
desafio original e verificar se os valores criptografados correspondem.

Obs.: AAA/TACACS é um servidor dedicado utilizado para autenticar usuários. AAA

significa "autenticação, autorização e auditoria". Os clientes TACACS enviam uma consulta a
um servidor de autenticação TACACS. O servidor pode autenticar o usuário, autorizar o que o
usuário pode fazer e controlar o que ele fez.

Você pode habilitar PAP ou CHAP ou ambos. Se ambos os métodos forem habilitados,
o primeiro método especificado será solicitado durante a negociação do link. Se o túnel sugerir
a utilização do segundo método ou apenas recusar o primeiro, o segundo será testado. Alguns
dispositivos remotos suportam apenas CHAP e outros, apenas PAP. A ordem na qual você
especifica os métodos se baseia nas suas preocupações sobre a possibilidade do dispositivo

Página 176
remoto negociar corretamente o método apropriado, bem como na sua preocupação sobre a
segurança da linha de dados. Os nomes de usuário e senhas PAP são enviados como cadeias de
caracteres em texto sem formatação, podendo ser interceptados e reutilizados. O CHAP
eliminou a maioria das falhas de segurança conhecidas.

O procedimento descrito no gráfico descreve como configurar o encapsulamento PPP

e os protocolos de autenticação PAP/CHAP. A configuração correta é essencial, porque PAP e
CHAP utilizam esses parâmetros na autenticação.

Veja como se dá uma configuração de autenticação PAP bidirecional. Como ambos os

roteadores autenticam e são autenticados, os comandos de autenticação PAP são espelhados.
O nome de usuário e a senha PAP enviados pelo roteador devem corresponder aos
especificados com o comando username name password password do outro roteador.

Página 177
 O PAP fornece um único método para um nó remoto a fim de estabelecer sua
identidade utilizando um handshake bidirecional. Isso só é feito no estabelecimento do link
inicial. O nome de host em um roteador deve corresponder ao nome de usuário configurado
pelo outro roteador. As senhas não precisam ser correspondentes.

CHAP verifica periodicamente a identidade do nó remoto utilizando um handshake

triplo. O nome de host em um roteador deve corresponder ao nome de usuário configurado
pelo outro roteador. As senhas também devem ser correspondentes. Isso ocorre no
estabelecimento do link inicial, podendo ser repetido a qualquer momento após esse
estabelecimento. A figura é um exemplo de uma configuração CHAP.

Identificação e solução de problemas de uma configuração PPP com autenticação

Autenticação é um recurso que precisa ser implementado corretamente, ou a

segurança da sua conexão serial pode ficar comprometida. Sempre verifique a sua
configuração com o comando show interfaces serial, da mesma forma que você fez sem
autenticação.

Jamais suponha que a configuração da sua autenticação esteja funcionando sem testá-
la. A depuração permite confirmar a sua configuração e corrigir todas as deficiências. O
comando para depurar a autenticação PPP é debug ppp authentication.

Figura 78 - Saída do comando "debug ppp authentication"

Página 178
 A figura 78 mostra uma saída do comando de exemplo do comando debug ppp
authentication. Esta é uma interpretação da saída do comando:

A linha 1 informa que o roteador não consegue se autenticar na interface Serial0 porque
o túnel não enviou um nome.

A linha 2 informa que o roteador não pôde validar a resposta CHAP porque USERNAME
'pioneer' não foi encontrado.

A linha 3 informa que não foi encontrada nenhuma senha para 'pioneer'. Outras
respostas possíveis nessa linha, talvez não tenha recebido nenhum nome para autenticar,
nome desconhecido, nenhum segredo para o nome indicado, uma resposta MD5 foi recebida
ou haja falha na comparação com MD5.

Na última linha, o código = 4 significa que houve uma falha. Outros valores de código
são os seguintes:

1 = Desafio
2 = Resposta
3 = Êxito
4 = Falha

id = 3 é o número da ID por formato de pacote LCP.

len = 48 é o tamanho do pacote sem o cabeçalho.

11.4 Configurando Frame Relay

O Frame Relay é configurado em um roteador Cisco na interface de linha de comando

do Cisco IOS (CLI). Esta seção descreve as etapas necessárias para habilitar o Frame Relay na
sua rede, bem como algumas das etapas opcionais que você pode usar para aprimorar ou
personalizar sua configuração.

Página 179
 Figura 79 - conexão Frame-Relay

Habilitar o encapsulamento Frame Relay

Esta primeira figura 79 mostra como o Frame Relay foi configurado nas interfaces
seriais. Isso envolve a atribuição de um endereço IP, a definição do tipo de encapsulamento e a
alocação de largura de banda. A figura mostra roteadores em cada extremidade do link Frame
Relay com os scripts de configuração para os roteadores R1 e R2.

Página 180
 Etapa 1. Definindo o endereço IP na interface

Em um roteador Cisco, o Frame Relay é geralmente suportado em interfaces seriais

síncronas. Use o comando ip address para definir o endereço IP da interface. Você pode
observar que R1 recebeu o endereço IP 10.1.1.1/24 e R2 o endereço IP 10.1.1.2/24.

Etapa 2. Configurando o encapsulamento

O comando de configuração de interface encapsulation frame-relay habilita o

encapsulamento Frame Relay e permite o processamento do Frame Relay na interface
suportada. Há duas opções de encapsulamento. Elas serão descritas a seguir.

Etapa 3. Definindo a largura de banda

Use o comando bandwidth para definir a largura de banda da interface serial.

Especifique a largura de banda em kb/s. Esse comando notifica o protocolo de roteamento que
a largura de banda é configurada estaticamente no link. Os protocolos de roteamento EIGRP e
OSPF usam o valor de largura de banda para calcular e determinar a métrica do link.

Etapa 4. Definindo o tipo de LMI (opcional)

Essa etapa é opcional, pois os roteadores Cisco detectam automaticamente o tipo de

LMI. Lembre-se de que os roteadores Cisco suportam três tipos de LMI: Cisco, ANSI Annex D e
Q933-A Annex A. Além disso, o tipo de LMI padrão para os roteadores Cisco é cisco.

Opções de encapsulamento

Lembre-se de que o tipo de encapsulamento padrão em uma interface serial em um

roteador Cisco é a versão do HDLC de propriedade da Cisco. Para alterar o encapsulamento de
HDLC para Frame Relay, use o comando encapsulation frame-relay [cisco | ietf]. O comando
no encapsulation frame-relay remove o encapsulamento Frame Relay da interface e a retorna
ao encapsulamento HDLC padrão.

O encapsulamento Frame Relay padrão habilitado em interfaces suportadas é Cisco. Use

essa opção ao conecta-se a outro roteador Cisco. Muitos dispositivos que não são Cisco
também suportam esse tipo de encapsulamento. Ele usa um cabeçalho de 4 bytes, com 2
bytes para identificar o DLCI e 2 bytes para identificar o tipo de pacote.

O tipo de encapsulamento IETF segue os padrões RFC 1490 e RFC 2427. Use essa opção
ao conectar-se a um roteador que não seja Cisco.

Página 181
 Configurando um mapa Frame Relay estático

Os roteadores Cisco suportam todos os protocolos da camada de rede sobre Frame

Relay, como IP, IPX e AppleTalk, e o mapeamento endereço-para-DLCI pode ser realizado por
mapeamento de endereço dinâmico ou estático.

O mapeamento dinâmico é executado pelo recurso ARP inverso. Como o ARP inverso é
habilitado por padrão, não é necessário nenhum comando adicional para configurar o
mapeamento dinâmico em uma interface.

O mapeamento estático é configurado manualmente em um roteador. O

estabelecimento do mapeamento estático depende das suas necessidades de rede. Para
mapear entre um endereço de protocolo de próximo salto e um endereço de destino de DLCI,
utilize o comando frame-relay map protocol protocol-address dlci [broadcast].

Usando a palavra-chave broadcast

Frame Relay, ATM e X.25 são redes ponto-a-multiponto (NBMA, nonbroadcast

multiaccess). Redes NBMA só permitem transferência de dados de um computador para outro
sobre um VC ou em um dispositivo de comutação. Redes NBMA não suportam tráfego
multicast ou broadcast. Portanto, um único pacote não pode alcançar todos os destinos. Para
isso, é necessário transmitir para replicar os pacotes manualmente a todos os destinos.

Alguns protocolos de roteamento podem exigir opções de configuração adicionais. Por

exemplo, RIP, EIGRP e OSPF exigem configurações adicionais para que sejam suportados em
redes NBMA.

Como a NBMA não suporta o tráfego de broadcast, a palavra-chave broadcast é uma

maneira simplificada de encaminhar atualizações de roteamento. A palavra-chave broadcast
permite broadcasts e multicasts no PVC e, em vigor, transforma o broadcast em unicast para
que o outro nó obtenha as atualizações de roteamento.

Na configuração de exemplo, R1 usa o comando frame-relay map para mapear o VC

para R2.

Página 182
11.4 Verificando a Conectividade

11.4.2 Testar a Conectividade

O Comando Ping

Usar o comando ping é uma maneira efetiva de se testar a conectividade. O teste é

frequentemente chamado deteste da pilha de protocolo, porque o comando ping se move da
Camada 3 do modelo OSI para a Camada 2, e depois para a Camada 1. O ping usa o protocolo
ICMP para verificar a conectividade.

O comando ping do roteador será utilizado em uma sequência planejada de passos

para estabelecer conexões válidas, começando com o dispositivo individual e depois
estendendo à LAN e, finalmente, para redes remotas. Ao usar o comando ping nessa sequência
ordenada, os problemas podem ser isolados. O comando ping não irá sempre localizar a
natureza do problema, mas pode ajudar a identificar a origem do problema, um primeiro
passo importante na correção de uma falha de rede.

O comando ping fornece um método para verificação da pilha de protocolo e da

configuração do endereço IPv4 em um host. Existem ferramentas adicionais que podem
fornecer mais informação que o ping, como o Telnet ou o Trace, que serão discutidos com
mais detalhes posteriormente.

Indicadores Ping do IOS

Um ping do IOS servirá para uma ou várias indicações para cada eco ICMP que foi
enviado. Os indicadores mais comuns são:

 ! - indica recebimento da resposta de eco ICMP

 . - indica um intervalo enquanto espera por uma resposta
 U - uma mensagem ICMP de destino inalcançável foi recebida

A "!" (exclamação) indica que o ping foi concluído com êxito e verifica a conectividade
da Camada 3.

O "." (ponto) pode indicar problemas na comunicação. Ele pode indicar problema de
conectividade ocorrido em algum lugar no caminho. Ele também pode indicar que um
roteador no caminho não teve uma rota ao destino e não enviou uma mensagem de destino
inalcançável. Ele também pode indicar que o ping foi bloqueado por configurações de
segurança de algum dispositivo.
O "U" indica que um roteador no caminho não teve uma rota ao endereço de destino e
respondeu com uma mensagem ICMP de destino inalcançável.

Página 183
 Testando o Loopback

Como um primeiro passo na sequência de testes, o comando ping é usado para

verificar a configuração IP interna do host local. Lembre-se de que esse teste é realizado ao se
usar o comando ping em um endereço reservado chamado de loopback (127.0.0.1). Isso
verifica a operação adequada da pilha de protocolo da camada de Rede à camada Física - e
vice-verso – sem realmente colocar um sinal no meio físico.

Ping são inseridos em uma linha de comando.

Insira o comando ping de loopback com a seguinte sintaxe:

C:\>ping 127.0.0.1

A resposta deste comando seria algo dessa forma:

Resposta de 127.0.0.1: bytes=32 time>1ms TTL=128

Resposta de 127.0.0.1: bytes=32 time<1ms TTL=128
Resposta de 127.0.0.1: bytes=32 time<1ms TTL=128
Resposta de 127.0.0.1: bytes=32 time<1ms TTL=128
Estatística do ping para 127.0.0.1:
Pacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% perda),
Tempo de ida e volta aproximado em milissegundos:
Mínimo = 0ms, Máximo = 0ms, Média = 0ms

O resultado indica que quatro pacotes de teste foram enviados – cada um com 32
bytes de tamanho – e foram retornados do host 127.0.0.1 em um tempo de menos de 1 ms. O
TTL significa Tempo de Vida e define o número de saltos que o pacote do ping restou antes de
ser descartado.

Página 184
11.4.3 Testando as Atribuições de uma Interface

Da mesma forma que você utiliza comandos e utilitários para verificar uma
configuração de host, você precisa aprender comandos para verificar as interfaces dos
dispositivos intermediários. O IOS fornece comandos para verificar a operação de interfaces de
roteadores e switches.

Um dos comandos mais usados é o show IP interface brief. Ele fornece um resultado
mais resumido do que o comando show IP interface. Ele fornece um resumo das principais
informações para todas as interfaces.

Olhando o resutlado do comando, pode-se ver que esse resultado mostra todas as
interfaces anexas ao roteador, o endereço IP, se houver, atribuído a cada interface, e o status
operacional da interface.

Testando a Conectividade do Roteador

Assim como um dispositivo final, podemos verificar a conectividade da Camada 3 com os

comandos ping e traceroute. Na figura 80, o Roteador 1 apresenta resultados de amostra de
um ping a um host na LAN local e um traceroute a um host remoto numa WAN.

Figura 80 - Configurando o roteador

O próximo passo na sequência de teste é verificar se o endereço da NIC está associado a

um endereço IPv4 e se a NIC está pronta para transmitir sinais pelo meio físico.

Neste exemplo, também mostrado na figura, considere que o endereço IPv4 atribuído a
uma NIC é 10.0.0.5.

Para verificar o endereço IPv4, use os passos a seguir:

Página 185
 Na linha de comando, insira o seguinte:

C:\>ping 10.0.0.5
Uma resposta com êxito deveria aparecer:
Resposta de 10.0.0.5: bytes=32 time<1ms TTL=128
Resposta de 10.0.0.5: bytes=32 time<1ms TTL=128
Resposta de 10.0.0.5: bytes=32 time<1ms TTL=128
Resposta de 10.0.0.5: bytes=32 time<1ms TTL=128
Estatística ping para 10.0.0.5:
Pacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% perda),
Tempo de ida e volta aproximado em milissegundos:
Mínimo = 0ms, Máximo = 0ms, Média = 0ms

Esse teste verifica se o driver da NIC e a maioria do hardware estão trabalhando

adequadamente. Ele também verifica se o endereço IP está adequadamente associado à NIC,
sem pôr um sinal no meio físico.

Se esse teste falhar, é provável que haja problemas com o hardware e o driver da NIC,
que podem exigir reinstalação de qualquer um ou de ambos. Esse procedimento depende do
tipo de host e de seu sistema operacional.

11.4.4 Testando a Rede Local

O próximo passo na sequência é testar os hosts na LAN local.

Efetuar o ping com êxito em hosts remotos verifica que o host local (o roteador neste
caso) e o host remoto estejam configurados corretamente. Esse teste é conduzido ao se
efetuar o ping em cada host, um por um, na LAN.

Página 186
 Veja a figura para um exemplo.

Se um host responde com a mensagem de Destino Inalcançável (Destination

Unreachable), anote qual endereço não teve êxito e continue a efetuar o ping nos outros hosts
da LAN.

Outra mensagem de falha é Solicitar Intervalo (Request Timed Out). Ela indica que
nenhuma resposta foi feita à tentativa de ping no período de tempo padrão indicando que a
latência da rede pode ser um problema.

Ping Estendido

Para examiná-lo, o IOS oferece um modo "estendido" do comando ping. Esse modo é
inserido ao se digitar ping no modo EXEC privilegiado, sem um endereço IP de destino. Uma
série de prompts é apresentada conforme mostra o exemplo. Pressionar Enter aceita os
valores padrão indicados.

Router#ping
Protocol [ip]:
Target IP address:10.0.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:5
Extended commands [n]: n

Página 187
 Inserir um período de intervalo maior do que o permitido pelo padrão faz com que que
problemas de possível latência sejam detectados. Se o teste de ping tiver êxito com um valor
maior, existe uma conexão entre os hosts, mas a latência pode ser um problema na rede.

Note que digitar "y" em "Extended commands" fornece mais opções que são úteis na
correção de erros .

11.4.5 Testando Gateway e Conectividade Remota

O próximo passo na sequência de testes é usar o comando ping para verificar se um

host local pode se conectar com um endereço de gateway. Isso é extremamente importante
porque o gateway é a entrada e a saída do host para a WAN. Se o comando ping retornar uma
resposta com êxito, a conectividade ao gateway está funcionando.

Para começar, escolha uma estação como sendo o dispositivo de origem. Neste caso,
escolhemos 10.0.0.1, como mostra a figura. Use o comando ping para chegar ao endereço do
gateway, nesse caso, 10.0.0.254.

c:\>ping 10.0.0.254

O endereço IPv4 do gateway deve estar disponível na documentação de rede, mas se

não estiver, use o comando ipconfig para descobrir o endereço IP do gateway.

Testando o Próximo Salto de uma Rota

Em um roteador, use o IOS para testar o próximo salto das rotas individuais. Cada rota
tem o próximo salto listado na tabela de roteamento. Para determinar o próximo salto,
examine a tabela de roteamento através do comando show ip route. Quadros transportando
pacotes que são direcionados à rede de destino listada na tabela de roteamento são enviados
ao dispositivo que o próximo salto representa. Se o próximo salto não estiver acessível, o
pacote será descartado. Para testar o próximo salto, determine a rota adequada ao destino e
tente efetuar ping no gateway padrão ou no próximo salto adequado para aquela rota da
tabela de roteamento. Um ping com falha indica que pode haver um problema de
configuração ou hardware. No entanto, o ping também pode ser proibido, por segurança, no
dispositivo.

Se o teste no gateway falhar, faça o backup de um passo na sequência e teste outro

host na LAN local para verificar se o problema não é o host de origem. Então, verifique o
endereço do gateway com o administrador de rede para assegurar que o endereço adequado
está sendo testado.

Se todos os dispositivos forem configurados de maneira adequada, verifique o

cabeamento físico para assegurar que está correto e devidamente conectado. Mantenha um
registro preciso de quais tentativas foram feitas para se verificar a conectividade. Isso ajudará
na resolução deste problema e, talvez, de problemas futuros.

Página 188
 Figura 81 - Amostra de Topologia de rede

Testando Hosts Remotos

Uma vez concluída a verificação da LAN local e do gateway, os testes podem proceder
com os dispositivos remotos, que é o próximo passo na sequência de testes.

A figura 81 exibe uma amostra de topologia de rede. Há 3 hosts dentro de uma LAN,
um roteador (atuando como o gateway) que está conectado a outro roteador (atuando como
o gateway para uma LAN remota) e 3 hosts remotos. Os testes de verificação devem iniciar
dentro da rede local e progredir aos dispositivos remotos.

Comece testando a interface externa de um roteador que esteja conectado

diretamente a uma rede remota. Nesse caso, o comando ping está testando a conexão para
192.168.0.253, a interface externa do roteador de gateway da rede local.

Se o comando ping tiver êxito, a conectividade com a interface externa foi verificada. A
seguir, efetue o ping no endereço IP externo do roteador remoto, nesse caso, 192.168.0.254.
Se obtiver êxito, a conectividade ao roteador remoto também foi verificada. Se houver falha,
tente isolar o problema. Refaça o teste até que haja conexão válida a um dispositivo e cheque
duas vezes todos os endereços.

O comando ping nem sempre ajudará a identificar a causa de um problema, mas ele
pode isolar os problemas e dar direções para o processo de correção. Documente todos os
testes, os dispositivos envolvidos e os resultados.

Cheque a Conectividade Remota do Roteador

Um roteador forma uma conexão entre redes ao enviar pacotes entre elas. Para enviar
pacotes entre quaisquer redes, o roteador deve ser capaz de se comunicar com as redes de

Página 189
origem e de destino. O roteador precisará de rotas para ambas as redes em sua tabela de
roteamento.

Para testar a comunicação com a rede remota, você pode efetuar o ping para um host
conhecido nessa rede remota. Se você não conseguir efetuar o ping no host na rede remota de
um roteador, você deve primeiro verificar se a tabela de roteamento possui uma rota
adequada para alcalçar a rede remota. Pode ser que o roteador use a rota padrão para chegar
até um destino. Se não houver rota para essa rede, você precisará identificar porque a rota
não existe. Como sempre, você também deve ter certeza que o ping não foi negado pelo
administrador.

11.4.6 Rastreando e Interpretando Resultados do Trace

O próximo passo na sequência de testes é desempenhar um rastreamento.

Figura 82 - Rastreamento

Um rastreamento retorna uma lista de saltos à medida que um pacote é roteado pela
rede. A forma do comando depende de onde o comando está sendo emitido. Ao realizar o
rastreamento de um computador com Windows, use o comando tracert. Ao realizar o
rastreamento da CLI de um roteador, use o comando traceroute.

Ping e Trace

O Ping e Tracer podem ser usados em conjunto para diagnosticar um problema.

Vamos considerar que uma conexão com êxito foi estabelecida entre o Host 1 e o
Roteador A, como mostra a figura.

A seguir, vamos considerar que o Host 1 efetua ping no Host 2 usando este comando.

Página 190
 C:\>ping 10.1.0.2

O comando ping retorna este resultado:

Pinging 10.1.0.2 com 32 bytes de dados:

Solicitação expirada (Request timed out).
Solicitação expirada (Request timed out).
Solicitação expirada (Request timed out).
Solicitação expirada (Request timed out).
Estatística de ping para 10.1.0.2:
Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% perda)
O teste de ping falhou.

Este é um teste de comunicação além da rede local para um dispositivo remoto. Pelo
fato de que o gateway local respondeu, mas o host além não, o problema parece estar, de
algum modo, fora da rede local. Um próximo passo é isolar o problema em uma rede
particular, fora da rede local. Os comandos tracer podem mostrar o caminho da última
comunicação com êxito.

Rastrear para um Host Remoto

Assim como os comandos ping, os comandos tracer são inseridos na linha de comando
e usam um endereço IP como argumento.

Considerando que o comando será emitido em um computador com Windows, nós

utilizamos a forma tracert:

C:\>tracert 10.1.0.2
Rastreando rota para 10.1.0.2 por um máximo de 30 saltos
1 2 ms 2 ms 2 ms 10.0.0.254
2 * * * Solicitação expirada (Request timed out).
3 * * * Solicitação expirada (Request timed out).
4 ^C

A única resposta com êxito foi do gateway no Roteador A. O rastreador solicita para o
próximo intervalo de salto, significando que o próximo salto não respondeu. Os resultados do
rastreador indicam que a falha está, portanto, nas redes fora da LAN.

Sequência de Testes – Colocando Tudo em Conjunto

Como revisão, vamos passar pela sequência de testes em outro cenário.

Teste 1: Loopback Local – Com Êxito

C:\>ping 127.0.0.1

Página 191
 Efetuando Ping 127.0.0.1 com 32 bytes de dados:
Resposta de 127.0.0.1: bytes=32 time<1ms TTL=128
Resposta de 127.0.0.1: bytes=32 time<1ms TTL=128
Resposta de 127.0.0.1: bytes=32 time<1ms TTL=128
Resposta de 127.0.0.1: bytes=32 time<1ms TTL=128
Estatística de ping para 127.0.0.1:
Pacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% perda),
Tempo de ida e volta aproximado em milissegundos:
Mínimo = 0ms, Máximo = 0ms, Média = 0ms

O Host 1 possui a pilha IP configurada de maneira adequada.

Teste 2: NIC Local – Com Êxito

C:\>ping 192.168.23.3
Efetuando ping 192.168.23.3 com 32 bytes de dados:
Resposta de 192.168.23.3: bytes=32 time<1ms TTL=128
Resposta de 192.168.23.3: bytes=32 time<1ms TTL=128
Resposta de 192.168.23.3: bytes=32 time<1ms TTL=128
Resposta de 192.168.23.3: bytes=32 time<1ms TTL=128
Estatística do ping para 192.168.23.3:
Pacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% perda),tempo de ida e volta
aproximado em milissegundos:
Mínimo = 0ms, Máximo = 0ms, Média = 0ms

O endereço IP está adequadamente atribuído à NIC e o hardware responde ao endereço

IP.

Teste 3: Ping no Gateway Local – Com Êxito

C:\>ping 192.168.23.254
Efetuando ping 192.168.23.254 com 32 bytes de dados:
Resposta de 192.168.23.254: bytes=32 time<1ms TTL=128
Resposta de 192.168.23.254: bytes=32 time<1ms TTL=128
Resposta de 192.168.23.254: bytes=32 time<1ms TTL=128
Resposta de 192.168.23.254: bytes=32 time<1ms TTL=128
Estatística de ping para 192.168.23.254:
Pacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% perda),
Tempo de ida e volta aproximado em milissegundos:
Mínimo = 0ms, Máximo = 0ms, Média = 0ms

O gateway padrão está operacional. Isso também verifica a operação da rede local.

Página 192
 Teste 4: Ping para um Host Remoto – Falha

C:\>ping 192.168.11.1
Efetuando ping 192.168.11.1 com 32 bytes de dados:
Solicitação expirada (Request timed out).
Solicitação expirada (Request timed out).
Solicitação expirada (Request timed out).
Solicitação expirada (Request timed out).
Estatística de ping para 192.168.11.1:
Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% perda)

Este é um teste de comunicação para fora da rede local. Pelo fato de que o gateway
respondeu, mas o host remoto não, o problema parece estar, de algum modo, fora da rede
local.

Teste 5: Traceroute para um Host Remoto – Falha no Primeiro Salto

C:\>tracert 192.168.11.1
Rastreando rota para 192.168.11.1 sobre um máximo de 30 saltos
1 * * * Solicitação expirada (Request timed out).
2 * * * Solicitação expirada (Request timed out).
3 ^C

Parece haver resultados conflitantes. O gateway padrão responde, indicando que há

comunicação entre o Host1 e o gateway. Por outro lado, o gateway não parece estar
respondendo ao traceroute.

Uma explicação é que o host local não está configurado de maneira adequada para usar
192.168.23.254 como o gateway padrão. Para confirmar isso, examinamos a configuração do
Host1.

Teste 6: Examine se a Configuração do Host para o Gateway Local Está Adequada –

Incorreto

C:\>ipconfig
Configuração IP Windows
Conexão de Área Local do adaptador Ethernet:
Endereço IP. . . . . . . . . . . . : 192.168.23. 3
Máscara de Sub-rede . . . . . . . . . . : 255.255.255.0
Gateway Padrão. . . . . . . : 192.168.23.253

Com o resultado do comando ipconfig, pode-se determinar que o gateway não está
configurado adequadamente no host. Isso explica a falsa indicação de que o problema estava
nas redes fora da rede local. Mesmo o endereço 192.168.23.254 tendo respondido, esse não
era o endereço configurado no Host1 como o gateway.

Página 193
 Não habilitado para construir um quadro, o Host1 abandona o pacote. Nesse caso, não
há resposta indicada pelo comando tracer para o host remoto.

11.4.7 Examinando a Interface Serial do Roteador

A camada física WAN descreve a interface entre o Equipamento de terminal de dados

(DTE) e o Equipamento de comunicação de dados( DCE). Normalmente, DCE é a operadora e
DTE, o dispositivo conectado. Nesse modelo, os serviços oferecidos ao DTE são
disponibilizados por um modem ou uma CSU/DSU.

Como visto, normalmente, o roteador é o dispositivo DTE, estando conectado a uma

CSU/DSU, que é o dispositivo DCE. A CSU/DSU (dispositivo DCE) é usada para converter os
dados do roteador (dispositivo DTE) em uma forma aceitável para a operadora WAN. A
CSU/DSU (dispositivo DCE) também é responsável por converter os dados da operadora WAN
em uma forma aceitável pelo roteador (dispositivo DTE). O roteador costuma ser conectado à
CSU/DSU usando um cabo serial DTE, conforme mostrado.

As interfaces seriais exigem um sinal de clock para controlar o timing da comunicação.

Na maioria dos ambientes, a operadora (um dispositivo DCE, como uma CSU/DSU) fornecerá o
clock. Por padrão, roteadores Cisco são dispositivos DTE.

Configurando links seriais em um ambiente de laboratório

Em links seriais interconectados diretamente, como em um ambiente de laboratório,

um lado de uma conexão deve ser considerado um DCE e fornecer um sinal de clock. Embora
as interfaces seriais Cisco sejam dispositivos DTE por padrão, elas podem ser configuradas
como dispositivos DCE.

Para configurar um roteador como dispositivo DCE:

Página 194
 1. Conecte a extremidade DCE do cabo à interface serial.

2. Configure o sinal de clock na interface serial usando o comando clock rate.

Os cabos seriais usados no laboratório costumam ser de dois tipos.

 Um cabo crossover DTE/DCE no qual uma extremidade é DTE e a outra, DCE

 Um cabo DTE conectado a um cabo DCE

Em nossa topologia de laboratório, a interface Serial 0/0/0 em R1 é conectada à

extremidade DCE do cabo e a interface serial 0/0/0 em R2 é conectada à extremidade DTE do
cabo. O cabo deve ser rotulado como DTE ou DCE.

Você também pode diferenciar DTE de DCE, observando o conector entre os dois
cabos. O cabo DTE tem um conector macho e o cabo DCE, um conector fêmea.

Se um cabo for conectado entre os dois roteadores, você poderá usar o comando show
controllers para determinar que extremidade do cabo está acoplada a essa interface. Na saída
do comando, observe que R1 tem o cabo DCE conectado à sua interface serial 0/0 e que não
há nenhum clock rate definido.

R1#show controllers serial 0/0/0

Interface Serial0/0/0
Hardware is PowerQUICC MPC860
DCE V.35, no clock
<saída de comando omitida>

Quando o cabo for conectado, o clock poderá ser definido com o comando clock rate.
Os clock rates disponíveis, em bits por segundo, são 1200, 2400, 9600, 19200, 38400, 56000,
64000, 72000, 125000, 148000, 500000, 800000, 1000000, 1300000, 2000000 e 4000000.
Algumas taxas de bit talvez não estejam disponíveis em determinadas interfaces seriais. Como
a interface Serial 0/0/0 em R1 tem o cabo DCE acoplado, configuraremos a interface com um
clock rate.

R1(config)#interface serial 0/0/0

R1(config-if)#clock rate 64000
01:10:28: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed
state to up

Se a interface de um roteador com um cabo DTE for configurada com o comando clock
rate, o IOS desconsiderará o comando, não havendo nenhum efeito colateral.

Página 195
11.4.8 Configurando o encapsulamento HDLC

Cisco HDLC é o método de encapsulamento padrão utilizado por dispositivos Cisco em

linhas seriais síncronas.

Você utiliza o Cisco HDLC como um protocolo ponto-a-ponto em linhas alugadas entre
dois dispositivos Cisco. Se você estiver se conectando a um dispositivo que não seja Cisco,
utilize PPP síncrono.

Se o método de encapsulamento padrão tiver sido alterado, utilize o comando

encapsulation hdlc no modo privilegiado para reabilitar o HDLC.

Há duas etapas para habilitar o encapsulamento HDLC:

Etapa 1. Entrar no modo de configuração da interface serial.

Etapa 2. Digitar o comando encapsulation hdlc para especificar o protocolo de

encapsulamento na interface.

Identificação e Solução de Problemas de uma Interface Serial

A saída do comando show interfaces serial exibe informações específicas para

interfaces seriais. Quando o HDLC é configurado, o "HDLC de encapsulamento" deve se refletir
na saída do comando, conforme realçado abaixo:

Página 196
 O comando show interface serial retorna um dos cinco estados possíveis. Você pode
identificar qualquer um dos cinco estados de problema possíveis na linha de status da
interface:

Serial x is down, line protocol is down

Serial x is up, line protocol is down
Serial x is up, line protocol is up (looped)
Serial x is up, line protocol is down (disabled)
Serial x is administratively down, line protocol is down

O comando show controllers é outra ferramenta de diagnóstico importante durante a

solução de problemas de linhas seriais. A saída do comando indica o estado dos canais de
interface e se um cabo está conectado à interface. Na figura, a interface serial 0/0 tem um
cabo DCE V.35 conectado. A sintaxe de comando varia de acordo com a plataforma.

Se a saída do comando da interface elétrica for mostrada como UNKNOWN, e não

V.35, EIA/TIA-449 ou algum outro tipo de interface elétrica, o possível problema será um cabo
conectado incorretamente. Também é possível que haja um problema com a fiação interna da
placa. Se a interface elétrica for desconhecida, a tela correspondente do comando show
interfaces serial <x> mostrará que a interface e o protocolo de linha estão desativados.

Página 197
11.4.9 Configurando rota estática

Finalidade e sintaxe do comando ip route

Como abordamos anteriormente, um roteador pode aprender redes remotas de duas

formas:

 Manualmente, a partir de rotas estáticas configuradas

 Automaticamente, a partir de um protocolo de roteamento dinâmico

11.4.10 Configurando o RIP

O comando router rip habilita o RIP como o protocolo de roteamento. O comando

network é usado em seguida para informar ao roteador em que interfaces executar o RIP. O
processo de roteamento associa interfaces específicas aos endereços de rede e começa a
enviar e receber atualizações do RIP nessas interfaces.

• Verificação do resumo da rota IP

• Desativação do resumo automático da rota
• Execução simultânea do IGRP e do RIP
• Desativação da validação de endereços IP de origem
• Ativação ou desativação do split horizon
• Conexão do RIP a uma WAN
Para ativar o RIP, use os seguintes comandos, começando em modo de configuração
global:
Router(config)#router rip – Ativa o processo de roteamento do RIP
Router(config-router)#networknetwork-number – Associa uma rede ao processo de
roteamento do RIP
Router(config-router)# version 2 (habilita a versão 2 do RIP)
Router(config-router)#no auto-summary (desabilita a sumarização automática)

O comando a seguir é usado para desativar o split horizon:

router(config-if)#no ip split-horizon

Verificação da configuração do RIP

Há vários comandos que podem ser usados para verificar se o RIP está configurado
corretamente. Dois dos mais comuns são show ip route e show ip protocols.

Página 198
 O comando show ip protocols mostra que protocolos de roteamento estão
transportando o tráfego IP no roteador. Esse resultado pode ser usado para verificar a maior
parte, se não a totalidade, da configuração do RIP. Alguns dos itens de configuração mais
comuns a serem verificados são:

• Se o roteamento do RIP está configurado

• Se as interfaces corretas estão enviando e recebendo atualizações do RIP
• Se o roteador está anunciando as redes corretas

O comando show ip route pode ser usado para verificar se as rotas recebidas pelos
vizinhos do RIP estão instaladas na tabela de roteamento. Examine o resultado do comando e
procure rotas do RIP representadas por "R". Lembre-se de que a rede levará algum tempo para
convergir; assim, as rotas poderão não aparecer imediatamente.

Outros comandos para solucionar problemas no RIP:

• show ip rip database
• show ip protocols {summary}
• show ip route
• debug ip rip {events}
• show ip interface brief

Página 199
11.4.11 Configurando SNMP

Para que a Estação de Gerenciamento de rede possa comunicar-se com dispositivos

conectados em rede, o dispositivo deverá ter SNMP ativado e as seqüências de
caracteres de comunidade SNMP configuradas. Esses dispositivos são configurados com o uso
da sintaxe de linha de comando descrita nos parágrafos abaixo.

Mais de uma seqüência de caracteres apenas de leitura é suportada. O padrão na

maioria dos sistemas para esta community string é público. Não é aconselhável usar o valor
padrão em redes corporativas. Para definir a community string apenas de leitura usada pelo
agente, use o comando a seguir:
Router(config)#snmp-server communitystringro
• String – Community string que funciona como senha e permite acesso ao protocolo
SNMP
• ro – (Opcional) Especifica acesso apenas de leitura. As estações de gerenciamento
autorizadas podem apenas recuperar objetos MIB.

Mais de uma seqüência de caracteres de leitura-gravação é suportada. Todos os

objetos SNMP estão disponíveis para acesso de gravação. O padrão na maioria dos sistemas
para esta community string é privado. Não é aconselhável usar este valor padrão em uma rede
corporativa. Para definir a community string de leitura e gravação usada pelo agente, use o
comando a seguir:

Router(config)#snmp-server communitystringrw
• rw – (Opcional) Especifica acesso de leitura e gravação. As estações de
gerenciamento autorizadas podem recuperar e modificar objetos MIB
Há várias seqüências de caracteres que podem ser usadas para especificar a
localização do dispositivo gerenciado e o contato principal do sistema para o dispositivo.
Router(config)#snmp-server locationtext Router(config)#snmp-server
contacttext
• text– Seqüência de caracteres que descreve informações de localização do sistema
Esses valores são armazenados nos objetos MIB sysLocation e sysContact.

11.5 Configuração de Switches

Um switch é um dispositivo de rede da camada 2 que atua como ponto de

concentração para a conexão de estações de trabalho, servidores, roteadores, hubs e outros
switches.

Os switches novos têm uma configuração predefinida com valores de fábrica. Essa
configuração raramente atende as necessidades dos administradores de rede. Os switches
podem ser configurados e gerenciados a partir de uma interface de linha de comando (CLI). Os
dispositivos de rede também podem ser configurados e gerenciados através de uma interface
baseada na web e de um navegador.

Página 200
 Os administradores de rede precisam estar familiarizados com todas as tarefas
associadas ao gerenciamento de redes com switches. Algumas dessas tarefas incluem a
manutenção do switch e seu IOS. Outras

11.5.1 LEDs indicadores do switch

Os switches são computadores dedicados e especializados que contêm uma unidade

central de processamento (CPU), memória de acesso aleatório (RAM) e um sistema operam.

O painel frontal de um switch tem diversas luzes para ajudar a monitorar a atividade e
o desempenho do sistema. Essas luzes são chamadas de LEDs (diodos emissores de luz). Esta
página discutirá os LEDs da parte frontal de um switch:

• LED do Sistema;
• LED da fonte de alimentação remota (RPS);
• LEDs de Modo das Portas;
• LEDs de Status das Portas.
O LED do Sistema mostra se o sistema está recebendo energia e funcionando
corretamente.
O LED RPS indica se a fonte de alimentação remota está sendo usada.
Os LEDs de Modo indicam o estado do botão Modo. Os modos são usados para
determinar como os LEDs de Status das Portas são interpretados. Para selecionar ou alterar o
modo das portas, pressione o botão Modo repetidas vezes até que os LEDs de Modo indiquem
o modo desejado.

11.5.2 Modos de comando do switch

Esta página discutirá dois modos de comando dos switches. O modo padrão é o modo
EXEC do Usuário. O modo EXEC do Usuário é reconhecido por seu prompt, que termina com
um sinal de maior (>). Os comandos disponíveis no modo EXEC do Usuário são aqueles que se
limitam a alterar configurações do terminal, realizar testes básicos e exibir informações do
sistema. A figura descreve os comandos show disponíveis no modo EXEC do Usuário.

Em vez de esperar que uma entrada dinâmica fique obsoleta, os administradores de

rede podem usar o comando clear mac-address-table no modo EXEC Privilegiado.

11.5.3 Verificação da configuração padrão do switch Catalyst

Página 201
 Ao ser ligado pela primeira vez, um switch tem dados padrão no arquivo de
configuração atual.

O nome do host padrão é Switch. Não há senhas definidas nas linhas do console nem
do terminal virtual (vty).

Um switch pode receber um endereço IP para fins de gerenciamento. Isso é

configurado na interface virtual, VLAN 1. Por padrão, o switch não tem endereço IP.
E todas as portas do switch estão na VLAN 1. A VLAN 1 é conhecida como VLAN de
gerenciamento padrão.

Para configuração do switch, entra-se no modo de configuração do switch a partir do

modo EXEC Privilegiado.

Na CLI, o prompt do modo EXEC Privilegiado padrão é Switch#. No modo EXEC do

Usuário, o prompt é Switch>.
As etapas a seguir garantem que uma nova configuração sobrescreva completamente
a configuração atual:

• Para remover as atuais informações de VLAN, exclua o arquivo de banco de dados de

VLANs, chamado vlan.dat, do diretório flash.
• Apague o arquivo de configuração de backup, chamado startup-config.
• Reinicie o switch com o comando reload.

Por padrão, a VLAN 1 é a VLAN de gerenciamento. Em uma rede baseada em switches,

todos os dispositivos devem estar na VLAN de gerenciamento. Isso permite que uma única
estação de trabalho de gerenciamento acesse, configure e gerencie todos os dispositivos da
rede.

11.5.4 Configuração de VLAN’s e TRUNK

Criando uma VLAN

Por exemplo criar a vlan 20 - > entra no modo de configuração global (config) da
switch:

sw1(config)#vlan 20
sw1(config-vlan)#name ESTOQUE
sw1(config-vlan)#end

Para visualisar as VLAN’s criadas:

sw1#sh vlan br

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 default active Gi1/0/5, Gi1/0/6, Gi1/0/7
Gi1/0/8, Gi1/0/9, Gi1/0/11
Gi1/0/12, Gi1/0/13, Gi1/0/14

Página 202
 Gi1/0/15, Gi1/0/16, Gi1/0/17
Gi1/0/18, Gi1/0/20
Gi1/0/26, Gi1/0/27, Gi1/0/28
20 ESTOQUE active
112 VLAN0112 active
119 VLAN0119 active
123 VLAN0123 active
1002 fddi-default act/unsup
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup
sw1#

Para configurar uma interface na VLAN 20:

sw1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#int g1/0/3
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 20
sw1(config-if)#end
sw1#sh run int gi1/0/3
Building configuration...

Current configuration : 89 bytes

!
interface GigabitEthernet1/0/3
switchport access vlan 20
switchport mode access
end

sw1#

Para visualisar as interfaces que estão na VLAN 20:

sw1#sh vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 default active Gi1/0/5, Gi1/0/6, Gi1/0/7
Gi1/0/8, Gi1/0/9, Gi1/0/11
Gi1/0/12, Gi1/0/13, Gi1/0/14
Gi1/0/15, Gi1/0/16, Gi1/0/17
Gi1/0/18, Gi1/0/20, Gi1/0/25
Gi1/0/26, Gi1/0/27, Gi1/0/28
20 ESTOQUE active Gi1/0/3
112 VLAN0112 active
119 VLAN0119 active
123 VLAN0123 active
1002 fddi-default act/unsup
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup
sw1#

Criando interfaces TRUNK

Para configurar as interfaces gi1/0/23 e gi1/0/24 como interfaces TRUNK, pode ser
utilizada a seguinte sequencia de comandos:

Página 203
sw1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
! O Comando range permite que a configuração seja aplicada em mais de uma interface
sw1(config)#interface range gi1/0/23-24
sw1(config-if-range)# switchport trunk encapsulation dot1q
sw1(config-if-range)# switchport mode trunk
sw1(config-if-range)#end

Para visualizar as configurações das interfaces gi1/0/23 e gi1/0/24 na running-config:

sw1#sh run int gi1/0/23

Building configuration...

Current configuration : 100 bytes

!
interface GigabitEthernet1/0/23
switchport trunk encapsulation dot1q
switchport mode trunk
end

sw1#sh run int gi1/0/24

Building configuration...

Current configuration : 122 bytes

!
interface GigabitEthernet1/0/24
switchport trunk encapsulation dot1q
switchport mode trunk
end

Para visualizar as interfaces TRUNK, as VLANS permitidas e os status destas interfaces,

utilizamos o comando show interface trunk:

sw1#sh int trun

Port Mode Encapsulation Status Native vlan

Gi1/0/23 on 802.1q trunking 1
Gi1/0/24 on 802.1q trunking 1

Port Vlans allowed on trunk

Gi1/0/23 1-4094
Gi1/0/24 1-4094

Port Vlans allowed and active in management domain

Gi1/0/23 1,20,112,119,123
Gi1/0/24 1,20,112,119,123

Port Vlans in spanning tree forwarding state and not pruned

Gi1/0/23 1,20,112,119,123
Gi1/0/24 1,20,112,119,123

sw1#

obs.: Por padrão, todas as VLANS são permitidas quando criamos uma interface TRUNK. para
se excluir alguma vlan do trunk, utiliza-se o comando: switchport trunk allowed vlan except <vlan>. A
VLAN 1 não pode ser excluída do TRUNK.

Página 204
sw1(config)#int ra gi1/0/23-24
sw1(config-if-range)# switchport trunk allowed vlan except 123
sw1(config-if-range)#end
sw1#sh int t
*Mar 9 20:21:50.876: %SYS-5-CONFIG_I: Configured from console by console
sw1#sh int trun

Port Mode Encapsulation Status Native vlan

Gi1/0/23 on 802.1q trunking 1
Gi1/0/24 on 802.1q trunking 1

Port Vlans allowed on trunk

Gi1/0/23 1-122,124-4094 // Note que a vlan 123 não aparece mais
Gi1/0/24 1-122,124-4094

Port Vlans allowed and active in management domain

Gi1/0/23 1,20,112,119
Gi1/0/24 1,20,112,119

Port Vlans in spanning tree forwarding state and not pruned

Gi1/0/23 1,20,112,119
Gi1/0/24 1,20,112,119
sw1#

Cenários de identificação e resolução de problemas de VLANs

Os administradores de redes podem fazer com eficiência a identificação e resolução de

problemas de redes comutadas depois de aprender e adaptar as técnicas às necessidades da
empresa.

Serão mostrados a seguir um cenário e uma sequencia de procedimentos para ajudar

na identificação e resolução de problemas de VLANs que tratam dos problemas mais comuns.

Cenário: Um trunk (tronco) não pode ser estabelecido entre um switch e um

roteador.
Quando surgem dificuldades com uma conexão de tronco entre um switch e um
roteador, não deixe de considerar as seguintes possíveis causas:

1. Certifique-se de que a porta esteja conectada e que não esteja recebendo quaisquer
erros de camada física, de alinhamento ou de frame-check-sequence (FCS). Isso pode ser
realizado com o comando show interface no switch.
2. Certifique-se de que estejam corretamente definidas a operação duplex e a
velocidade entre o switch e o roteador. Isso pode ser realizado através do comando show
interface status no switch ou o comando show interfaces no roteador.
3. Configure a interface física do roteador com uma sub-interface para cada VLAN que
irá roteador tráfego.

Verifique isso com o comando IOS show interfaces. Também, certifique-se de que cada sub-
interface no roteador tenha o tipo de encapsulamento.

Página 205
11.6 Configurando ACLs padrão

Para configurar ACLs padrão numeradas em um roteador Cisco, você deve primeiro criar
a ACL padrão e ativar a ACL em uma interface.

O comando no modo de configuração global access-list define uma ACL padrão com um
número no intervalo de 1 a 99. O software IOS Cisco release 12.0.1 estendeu esses números,
permitindo de 1300 a 1999 fornecer um máximo de 799 ACLs padrão possíveis. Esses números
adicionais são conhecidos como ACLs IP expandidas.

A sintaxe completa do comando ACL padrão é a seguinte:

Router(config)#access-list access-list-number [deny | permit | remark] source [source-

wildcard] [log]

A sintaxe completa do comando da ACL padrão para filtrar um determinado host é a

seguinte:

Router(config)#access-list access-list-number [deny | permit] source [log]

Por exemplo, para criar uma ACL numerada designada 10 que permitisse a rede
192.168.10.0 /24, você digitaria:

R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255

A forma no desse comando remove uma ACL padrão. Na figura abaixo, a saída do
comando show access-list exibe as ACLs atuais configuradas no roteador R1.

Para remover a ACL, o comando no modo de configuração global no access-list é

utilizado. A emissão do comando show access-list confirma se a lista de acesso 10 foi
removida.

Página 206
 Normalmente, os administradores criam ACLs e compreendem perfeitamente todas as
finalidades de cada instrução dentro da ACL. No entanto, quando uma ACL for revista mais
tarde, talvez não seja tão óbvia quanto já foi.

A palavra-chave remark é utilizada na documentação e facilita muito a compreensão

das listas de acesso. Cada comentário é limitado a 100 caracteres. A ACL na figura, embora
bastante simples, é utilizada para fornecer um exemplo. Durante a revisão da ACL na
configuração, o comentário também é exibido.

Mascaramento curinga

Entre as instruções ACLs estão máscaras, também chamadas de máscaras curinga.

Máscara curinga é uma string de dígitos binários que informam ao roteador que partes do
número da sub-rede observar. Embora não tenham nenhuma relação funcional com máscaras
de sub-rede, as máscaras curinga fornecem uma função semelhante. A máscara determina a
proporção de um endereço IP de origem ou de destino a ser aplicada à correspondência de
endereço. Os números 1 e 0 na máscara identificam como tratar os bits de endereço IP
correspondentes. No entanto, eles são utilizados para fins diferentes, seguindo regras
diferentes.

As máscaras curinga e de sub-rede têm 32 bits e utilizam 1s e 0s binários. As máscaras

de sub-rede utilizam 1s e 0s binários para identificar a rede, a sub-rede e a porção de host de
um endereço IP. As máscaras curinga utilizam 1s e 0s binário para filtrar endereços IP
individuais ou grupos e permitir ou negar acesso a recursos com base em um endereço IP.
Definindo máscaras curinga com cuidado, você pode permitir ou negar um ou vários endereços
IP

As máscaras curinga e de sub-rede são diferentes quanto à forma com que comparam
1s e 0s binários. As máscaras curinga utilizam as seguintes regras para comparar 1s e 0s
binários:

 Bit da máscara curinga 0 – comparar o valor do bit correspondente no endereço

 Bit da máscara curinga 1 – ignorar o valor do bit correspondente no endereço

Página 207
 Figura 83 - Máscaras

A figura 83 explica como máscaras curinga diferentes filtram endereços IP. Ao observar o
exemplo, lembre-se de que o 0 binário significa uma correspondência e que o 1 binário
significa ignorar.

As máscaras curinga costumam ser conhecidas como máscaras inversas. A razão é que,
diferentemente de uma máscara de sub-rede na qual o 1 binário é igual a uma
correspondência e 0 binário, não, o inverso é verdadeiro.

Máscaras curinga correspondentes a sub-redes IP

O cálculo da máscara curinga pode ser um pouco confuso inicialmente. A figura fornece
três exemplos de máscaras curinga.

Página 208
 O primeiro exemplo que a máscara curinga estipula é de que todo bit no IP 192.168.1.1
deve corresponder exatamente. A máscara curinga equivale à máscara de sub-rede
255.255.255.255.

No segundo exemplo, a máscara curinga estipula que qualquer coisa corresponderá. A

máscara curinga equivale à máscara de sub-rede 0.0.0.0.

No terceiro exemplo, a máscara curinga estipula que corresponderá a qualquer host

dentro da rede 192.168.1.0 /24. A máscara curinga equivale à máscara de sub-rede
255.255.255.0.

Figura 84 - máscara curinga

Os dois exemplos na figura 84 são mais complicados do que os três últimos que você
exibiu. No exemplo 1, os dois primeiros octetos e os quatro primeiros bits do terceiro octeto
devem corresponder exatamente. Os últimos quatro bits no terceiro octeto e o último octeto
podem ser qualquer número válido. Isso resulta em uma máscara que verifica de 192.168.16.0
a 192.168.31.0

O Exemplo 2 mostra uma máscara curinga que corresponde aos dois primeiros octetos,
e o bit menos significativo no terceiro octeto. O último octeto e os sete primeiros bits no
terceiro octeto podem ser qualquer número válido. O resultado é uma máscara que permitiria
ou negaria todos os hosts de sub-redes ímpares dentro da rede principal 192.168.0.0.

Página 209
 O cálculo das máscaras curinga pode ser difícil, mas você pode fazer isso facilmente,
subtraindo a máscara de sub-rede de 255.255.255.255.

Por exemplo, suponhamos que você queira permitir o acesso a todos os usuários da
rede 192.168.3.0. Subtraia a máscara de sub-rede, que é 255.255.255.0 de 255.255.255.255,
conforme a indicação na figura. A solução produz a máscara curinga 0.0.0.255.

Agora suponhamos que você queira permitir o acesso à rede para os 14 usuários da sub-
rede 192.168.3.32 /28. Como a máscara da sub-rede IP é 255.255.255.240, use
255.255.255.255 e subtraia da máscara de sub-rede 255.255.255.240. Desta vez, a solução
produz a máscara curinga 0.0.0.15.

Neste terceiro exemplo, suponhamos que você queira apenas comparar as redes
192.168.10.0 e 192.168.11.0. Novamente, você usa 255.255.255.255 e subtrai a máscara de
sub-rede normal, que, neste caso, seria 255.255.254.0. O resultado é 0.0.1.255.

Ainda que você possa obter o mesmo resultado com duas instruções, como:

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

R1(config)# access-list 10 permit 192.168.11.0 0.0.0.255

É muito mais eficiente configurar a máscara curinga como:

R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255

Isso pode não parecer mais eficiente, mas quando você considera se quis comparar a
rede 192.168.16.0 a 192.168.31.0 da seguinte forma:

R1(config)# access-list 10 permit 192.168.16.0 0.0.0.255

R1(config)# access-list 10 permit 192.168.17.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.18.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.19.0 0.0.0.255

Página 210
 R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.21.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.22.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.23.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.24.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.25.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.26.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.27.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.28.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.29.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.30.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.31.0 0.0.0.255

Você pode ver que a configuração da seguinte máscara curinga a torna mais eficiente:

R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255

Palavras-chave de máscara curinga

Trabalhar com representações decimais de bits de máscara curinga binários pode ser
entediante. Para simplificar essa tarefa, as palavras-chave host e any ajudam a identificar as
utilizações mais comuns da máscara curinga. Essas palavras-chave eliminam a entrada de
máscaras curinga durante a identificação de um host específico ou rede. Elas também facilitam
a leitura de uma ACL, fornecendo dicas visuais sobre a origem ou destino dos critérios.

A opção host substitui a máscara 0.0.0.0. Essa máscara informa que todos os bits de
endereço IP devem corresponder ou apenas um host é correspondente.

A opção any substitui o endereço IP e a máscara 255.255.255.255. Essa máscara diz

para ignorar todo o endereço IP ou aceitar qualquer endereço.

Exemplo 1: Processo de máscara curinga com um único endereço IP

No exemplo, em vez de inserir 192.168.10.10 0.0.0.0, você pode utilizar host

192.168.10.10.

Exemplo 2: Processo de máscara curinga com a correspondência de qualquer endereço

IP

No exemplo, em vez de inserir 0.0.0.0 255.255.255.255, você pode utilizar a palavra-

chave any sozinha.

Aplicando ACLs padrão a interfaces

Página 211
 Procedimentos de configuração da ACL padrão

Depois de ser configurada, a ACL padrão é vinculada a uma interface utilizando-se o

comando ip access-group:

Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}

Para remover uma ACL de uma interface, primeiro digite o comando no ip access-group
na interface e, em seguida, o comando global no access-list para remover toda a ACL.

A figura lista as etapas e a sintaxe para configurar e aplicar uma ACL padrão numerada
em um roteador.

Essa ACL só permite ao tráfego da rede de origem 192.168.10.0 ser encaminhado por
S0/0/0. O tráfego das redes que não sejam 192.168.10.0 é bloqueado.

A primeira linha identifica a ACL como lista de acesso 1. Ela permite o tráfego
correspondente aos parâmetros selecionados. Nesse caso, o endereço IP e a máscara curinga
que identificam a rede de origem são 192.168.10.0 0.0.0.255. Lembre-se de que há uma
instrução negar tudo implícita equivalente ao adicionar a linha access-list 1 deny 0.0.0.0
255.255.255.255.

O comando de configuração da interface ip access-group 1 out vincula a ACL 1 à

interface Serial 0/0/0 como um filtro de saída.

Por isso, a ACL 1 só permite a hosts da rede 192.168.10.0 /24 sair do roteador R1. Ela
nega qualquer outra rede, inclusive a rede 192.168.11.0.

Essa ACL substitui o exemplo anterior, mas também bloqueia o tráfego de um

endereço específico. O primeiro comando exclui a versão anterior da ACL 1. A próxima
instrução da ACL nega o host de PC1 localizado em 192.168.10.10. Qualquer outro host na rede
192.168.10.0 /24 é permitido. Mais uma vez, as instruções negar implícitas correspondem a
todas as demais redes.

A ACL é novamente reaplicada à interface S0/0/0 em uma direção de saída.

Página 212
 Essa ACL substitui o exemplo anterior, mas ainda bloqueia o tráfego do PC1 de host.
Ela também permite a todo o outro tráfego de rede local sair do roteador R1.

Os dois primeiros comandos são iguais aos do exemplo anterior. O primeiro comando
exclui a versão anterior da ACL 1 e a próxima instrução da ACL nega o host de PC1 localizado
em 192.168.10.10.

A terceira linha é nova e permite todos os hosts das redes 192.168.x.x /16. Isso agora
significa que todos os hosts da rede 192.168.10.0 /24 ainda correspondem, mas agora os hosts
da rede 192.168.11.0, também.

A ACL é novamente reaplicada à interface S0/0/0 em uma direção de saída. Por isso,
ambas as redes locais conectadas ao roteador R1 podem deixar a interface S0/0/0 com
exceção do host de PC1.

Utilizando uma ACL para controlar o acesso VTY

A Cisco recomenda a utilização de SSH em conexões administrativas para roteadores e

switches. Se a imagem do software IOS Cisco em seu roteador não dá suporte a SSH, você
pode melhorar parcialmente a segurança das linhas administrativas, restringindo o acesso a
VTY. Restringir o acesso a VTY é uma técnica que permite definir quais endereços IP têm
permissão de acesso Telnet ao processo EXEC do roteador. Você pode controlar qual estação
de trabalho administrativa ou rede gerencia o seu roteador com uma ACL e uma instrução
access-class para as suas linhas VTY. Você também pode utilizar essa técnica com SSH mais
melhorar ainda mais a segurança do acesso administrativo.

O comando access-class no modo de configuração da linha restringe conexões de

entrada e de saída entre um VTY específico (em um dispositivo Cisco) e os endereços em uma
lista de acesso.

As listas de acesso padrão e estendida se aplicam a pacotes que percorrem um

roteador. Elas não foram projetadas para bloquear pacotes com origem dentro do roteador.
Por padrão, uma ACL estendida de Telnet de saída não impede sessões Telnet iniciadas por
roteador.

A filtragem do tráfego Telnet é normalmente considerada uma função da ACL IP

estendida porque filtra um protocolo de nível mais alto. No entanto, como você está utilizando
o comando access-class para filtrar sessões Telnet de entrada ou de saída pelo endereço de
origem e aplicar filtragem a linhas VTY, você pode utilizar instruções ACL padrão para controlar
acesso a VTY.

A sintaxe do comando access-class é:

Página 213
 access-class access-list-number {in [vrf-also] | out}

O parâmetro in restringe conexões de entrada entre um dispositivo Cisco e os

endereços na lista de acesso, e o parâmetro out restringe conexões de saída entre um
determinado dispositivo Cisco e os endereços na lista de acesso.

Um exemplo que permite VTY 0 e 4 é mostrado na figura. Por exemplo, a ACL na figura
é configurada para permitir a redes 192.168.10.0 e 192.168.11.0 acessar VTYs de 0 a 4. Todas
as demais redes têm acesso negado a VTYs.

O seguinte deve ser considerado durante a configuração das listas de acesso em VTYs:

As restrições idênticas devem ser definidas em todos os VTYs, porque um usuário pode
tentar se conectar a um deles.

Editando ACLs numeradas

Durante a configuração de uma ACL, as instruções são adicionadas na ordem em que

são inseridas no final da ACL. No entanto, não há nenhum recurso de edição interno que
permita editar uma alteração em uma ACL. Você não pode inserir ou excluir linhas de maneira
seletiva.

É altamente recomendável que qualquer ACL seja criada em um editor de texto, como
o Bloco de Notas da Microsoft. Isso permite a você criar ou editar a ACL e, em seguida, colá-la
no roteador. Em relação a uma ACL existente, você poderia utilizar o comando show running-
config para exibir a ACL, copiar e colá-la no editor de texto, fazer as alterações necessárias e
recarregá-la.

Por exemplo, suponhamos que o endereço IP de host na figura tenha sido digitado
incorretamente. Em vez do host 192.168.10.100, deveria ter sido o host 192.168.10.11. Aqui
estão as etapas para editar e corrigir a ACL 20:

Etapa 1. Exibir a ACL utilizando o comando show running-config. O exemplo na figura

utiliza a palavra-chave include para exibir apenas as instruções ACL.

Página 214
 Etapa 2. Realçar a ACL, copiar e colá-la para o Bloco de Notas da Microsoft. Edite a lista
conforme exigido. Quando a ACL for exibida corretamente no Bloco de Notas da Microsoft,
realce-a e copie.

Etapa 3. No modo de configuração global, desabilite a lista de acesso utilizando o

comando no access-list 20. Do contrário, as novas instruções seriam adicionadas à ACL
existente. Em seguida, cole a nova ACL na configuração do roteador.

Deve-se mencionar que durante a utilização do comando no access-list, nenhuma ACL

está protegendo a sua rede. Além disso, lembre-se de que, se cometer um erro na nova lista,
você terá que desabilitá-la e identificar e solucionar o problema. Nesse caso, mais uma vez, a
sua rede não tem nenhuma ACL durante o processo de correção.

Comentando ACLs

Aa palavra-chave remark para incluir comentários sobre entradas em qualquer ACL

padrão ou estendida. Os comentários simplificam a compreensão e a verificação da ACL. Cada
linha de comentário é limitada a 100 caracteres.

O comentário pode ficar antes ou depois de uma instrução permit ou deny. Você deve
manter a consistência quanto ao local onde coloca o comentário para que fique claro o que
cada um descreve em relação a instruções permit ou deny. Por exemplo, seria confuso ter
alguns comentários antes das instruções permit ou deny associadas e outros depois.

Para incluir um comentário sobre as ACLs padrão ou estendida numeradas por IP,
utilize o comando de configuração global access-list access-list number remark remark. Para
remover o comentário, utilize a forma no desse comando.

No primeiro exemplo, a ACL padrão permite o acesso à estação de trabalho que

pertence a Jones e nega acesso à estação de trabalho que pertence a Smith.

Para uma entrada em uma ACL nomeada, utilize o comando de configuração remark.
Para remover o comentário, utilize a forma no desse comando. O segundo exemplo mostra
uma ACL nomeada estendida. Lembre-se da definição anterior de ACLs estendidas, de que elas
são utilizadas para controlar números de porta específicos ou serviços. No segundo exemplo, o
comentário diz que a estação de trabalho de Jones não tem permissão para utilizar Telnet de
saída.

Página 215
 Criando ACls nomeadas padrão

Nomear uma ACL facilita a compreensão de sua função. Por exemplo, uma ACL para
negar FTP poderia se chamar NO_FTP. Quando você identifica a sua ACL com um nome em vez
de um número, o modo de configuração e a sintaxe do comando são um pouco diferentes.

A figura mostra as etapas para criar uma ACL nomeada padrão.

Etapa 1. Começando no modo de configuração global, utilizar o comando ip access-list

para criar uma ACL nomeada. Os nomes de ACL são alfanuméricos, devendo ser exclusivos e
não começar com um número.

Etapa 2. No modo de configuração da ACL nomeada, utilizar as instruções permit ou

deny para especificar uma ou mais condições e determinar se um pacote foi encaminhado ou
ignorado.

Etapa 3. Retornar ao modo EXEC privilegiado com o comando end.

Na figura, a saída do comando da tela mostra os comandos utilizados para configurar

uma ACL nomeada padrão no roteador R1, a interface Fa0/0 que nega ao host 192.168.11.10
acesso à rede 192.168.10.0.

Usar maiúsculas em nomes da ACL não é obrigatório, mas os destaca durante a

exibição da saída do comando running-config.

Página 216
11.7 Configurando ACLs estendidas

As etapas procedurais para configurar as ACLs estendidas são iguais a ACLs padrão: você
primeiro cria a ACL estendida e só então a ativa em uma interface. No entanto, a sintaxe do
comando e os parâmetros são mais complexos para dar suporte aos recursos adicionais
fornecidos por ACLs estendidas.

Figura 85 - ACL extendida

A figura 85 mostra a sintaxe do comando comum para ACLs estendidas. O campo de

rolagem fornece detalhes das palavras-chave e dos parâmetros.

Figura 86 - exemplo de ACL estendida

A figura 86 mostra um exemplo de como você poderia criar uma ACL estendida
específica para as suas necessidades de rede. Neste exemplo, o administrador de rede precisa

Página 217
restringir o acesso à Internet para permitir apenas a navegação no site. A ACL 103 se aplica ao
tráfego que deixa a rede 192.168.10.0 e a ACL 104 ao tráfego que chega à rede.

A ACL 103 atende à primeira parte do requisito. Ela permite ao tráfego proveniente de
qualquer endereço na rede 192.168.10.0 ir para qualquer destino, estando sujeito à limitação
do tráfego chegar apenas até as portas 80 (HTTP) e 443 (HTTPS).

A natureza de HTTP exige que esse tráfego volte na rede, mas o administrador de rede
quer restringir esse tráfego a trocas HTTP nos sites solicitados. A solução em segurança deve
negar qualquer outro tráfego que chega até a rede. A ACL 104 faz isso bloqueando todo o
tráfego de entrada, exceto pelas conexões estabelecidas. HTTP estabelece conexões que
começam pela solicitação original e passam pela troca de mensagens ACK, FIN e SYN.

Observe que o exemplo utiliza o parâmetro established. Esse parâmetro permite a

respostas trafegar com origem na rede 192.168.10.0 /24 e retornar à entrada em s0/0/0. Uma
correspondência ocorrerá se o datagrama TCP tiver os bits ACK ou de redefinição (RST)
definidos, o que indica que o pacote pertence a uma conexão existente. Com o parâmetro
established, o roteador permitirá apenas ao tráfego estabelecido voltar e bloquear todos os
demais tráfegos.

Aplicando ACLs estendidas a interfaces

Por exemplo, partiremos do pressuposto de que a necessidade é que se quer permitir

aos usuários navegar em sites seguros e não seguros. Primeiro considere se o tráfego que você
deseja filtrar está entrando ou saindo. A tentativa de acessar sites na Internet é tráfego saindo.
Receber emails na Internet é tráfego entrando na empresa. No entanto, durante a
consideração de como aplicar uma ACL a uma interface, entrar e sair ganham significados
diferentes, dependendo do ponto de vista.

Página 218
 No exemplo da figura, R1 tem duas interfaces. Ela tem uma porta serial, S0/0/0, e uma
porta Fast Ethernet, Fa0/0. O tráfego de Internet que chega entra pela interface S0/0/0, mas
sai pela interface Fa0/0 para alcançar PC1. O exemplo aplica a ACL à interface serial em ambas
as direções.

Este é um exemplo da negação de tráfego FTP na sub-rede 192.168.11.0 para a sub-

rede 192.168.10.0, mas que permite todo o tráfego restante. Observe a utilização de máscaras
curinga. Lembre-se de que, como o FTP exige as portas 20 e 21, você precisa especificar ambas
eq 20 e eq 21 para negar FTP.

Com ACLs estendidas, você pode escolher utilizar números de porta como os do
exemplo ou chamar uma porta bem conhecida pelo nome. Em um exemplo anterior de uma
ACL estendida, as instruções foram anotadas da seguinte forma:

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data

Observe que para FTP, ftp e ftp-data devem ser mencionados.

Este exemplo nega tráfego Telnet de 192.168.11.0, mas permite todo o tráfego IP
restante de qualquer outra origem para qualquer destino de entrada em Fa0/1. Observe a
utilização das palavras-chave any, o que significa de qualquer lugar para qualquer lugar.

Criando ACLs estendidas nomeadas

Você pode criar ACLs estendidas nomeadas basicamente da mesma forma como criou
ACLs padrão nomeadas. Os comandos para criar uma ACL nomeada são diferentes para ACLs
padrão e estendidas.

Começando no modo EXEC privilegiado, siga estas etapas para criar uma ACL estendida
utilizando nomes.

Página 219
 Etapa 1. Começando no modo de configuração global, utilizar o comando ip access-list
extended name para definir uma ACL estendida nomeada.

Etapa 2. No modo de configuração da ACL nomeada, especificar as condições que você

deseja permitir ou negar.

Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando show
access-lists [number | name].

Etapa 4. Como opção e etapa recomendada, salvar as suas entradas no arquivo de

configuração com o comando copy running-config startup-config.

Para remover uma ACL estendida nomeada, utilize o comando no modo de configuração
global no ip access-list extended name.

11.8 Configurando um servidor DHCP

Roteadores Cisco que executam o software IOS Cisco fornecem suporte completo para
que um roteador atue como um servidor DHCP. O servidor DHCP do IOS Cisco atribui e
gerencia endereços IP de conjuntos de endereços especificados dentro do roteador para
clientes DHCP.

As etapas para configurar um roteador como um servidor DHCP são as seguintes:

Página 220
 Etapa 1. Definir um intervalo de endereços que o DHCP não deve alocar. Esses
endereços são endereços estáticos geralmente reservados para a interface do roteador,
endereço IP de gerenciamento de switch, servidores e impressoras de rede locais.

Etapa 2. Criar o conjunto de endereços DHCP utilizando o comando ip dhcp pool.

Etapa 3. Configurar as especificidades do conjunto.

Você deve especificar os endereços IP que o servidor DHCP não deve atribuir aos
clientes. Normalmente, alguns endereços IP pertencem a dispositivos de rede estáticos, tais
como servidores ou impressoras. O DHCP não deve atribuir esses endereços IP a outros
dispositivos. Uma prática recomendada é configurar endereços excluídos no modo de
configuração global antes de criar o conjunto de endereços DHCP. Isto garante que o DHCP
não atribuirá acidentalmente os endereços reservados. Para excluir os endereços específicos,
utilize o comando ip dhcp excluded-address.

A configuração de um servidor DHCP envolve a definição de um conjunto de endereços

a serem atribuídos. O comando ip dhcp pool cria um conjunto com o nome especificado e
coloca o roteador no modo de configuração de DHCP, o qual é identificado pelo prompt
Router(dhcp-config)#.

Esta figura relaciona as tarefas para concluir a configuração do conjunto de endereços

DHCP. Algumas delas são opcionais, enquanto as outras devem ser configuradas.

Página 221
 Você deve configurar os endereços disponíveis e especificar o número e máscara de
rede da sub-rede do conjunto de endereços de DHCP. Utilize o comando network para definir
o intervalo de endereços disponíveis.

Você também deve definir o gateway padrão ou o roteador a serem utilizados pelos
clientes com o comando default-router. Normalmente, o gateway é a interface de rede local
do roteador. É necessário um endereço, mas você pode listar até oito endereços.

Os comandos seguintes do conjunto de endereços DHCP são considerados opcionais.

Por exemplo, você pode configurar o endereço IP do servidor DNS que está disponível para um
cliente DHCP usando o comando dns-server. Quando configurado, é necessário um endereço,
mas você pode listar até oito endereços.

Outros parâmetros incluem a configuração da duração do empréstimo de DHCP. A

configuração padrão é definitiva, mas você pode alterá-la usando o comando lease. Você
também pode configurar um servidor NetBIOS WINS disponível para um cliente DHCP da
Microsoft. Normalmente, isto seria configurado em um ambiente que suporta os clientes
anteriores ao Windows 2000. Como a maioria das instalações agora possuem clientes com o
sistema operacional do Windows mais recente, esse parâmetro não é exigido.

A figura acima exibe um exemplo de configuração com os parâmetros de DHCP básicos

configurados no roteador R1.

Desabilitando o DHCP

O serviço de DHCP é habilitado por padrão nas versões do software IOS Cisco que
podem suportá-lo. Para desabilitar o serviço, utilize o comando no service dhcp. Utilize o
comando de configuração global service dhcp para reabilitar o processo do servidor DHCP.
Habilitar o serviço não terá efeito algum se os parâmetros não estiverem configurados.

11.8.1 Retransmissão DHCP

Em uma rede hierárquica complexa, os servidores da empresa ficam geralmente em

uma farm de servidores. Esses servidores podem fornecer os serviços de DHCP, DNS, TFTP e
FTP aos clientes. O problema é que os clientes de rede geralmente não estão na mesma sub-
rede que tais servidores. Portanto, os clientes devem localizar os servidores para receber os
serviços, e esses serviços geralmente são localizados com o uso de mensagens de broadcast.

Página 222
 Figura 87 - retransmissão de DHCP

Na figura 87, PC1 está tentando adquirir um endereço IP do servidor DHCP localizado em
192.168.11.5. Neste cenário, o roteador R1 não está configurado como um servidor DHCP.

Na figura, o PC1 está tentando renovar seu endereço IP. Para fazê-lo, o comando
ipconfig /release é emitido. Observe que o endereço IP é lançado e o endereço atual é 0.0.0.0.
Em seguida o comando ipconfig /renew é emitido. Esse comando faz o host iniciar a
transmissão de uma mensagem DHCPDISCOVER por broadcast. No entanto, PC1 não pode
localizar o servidor DHCP. O que acontece quando o servidor e o cliente estão separados por
um roteador e, desse modo, não estão no mesmo segmento de rede? Lembre-se de que os
roteadores não encaminham broadcasts.

Alguns clientes do Windows possuem um recurso chamado Endereçamento IP privado

automático (APIPA, Automatic Private IP Addressing). Com esse recurso, um computador com
Windows pode atribuir automaticamente a si mesmo um endereço IP no intervalo de
169.254.x.x no caso de um servidor DHCP não estar disponível ou não existir na rede.

Para dificultar as coisas, o DHCP não é o único serviço essencial que utiliza os
broadcasts. Por exemplo, os roteadores Cisco e outros dispositivos podem utilizar broadcasts
para localizar os servidores TFTP ou para localizar um servidor de autenticação, como o
servidor TACACS.

Para solucionar esse problema, um administrador poderia adicionar servidores DHCP a

todas as sub-redes. Entretanto, a execução desses serviços em vários computadores cria uma
sobrecarga de custo e administrativa.

Página 223
 Uma solução mais simples é configurar o recurso de endereço auxiliar do IOS Cisco nos
roteadores e switches intermediários. Essa solução habilita os roteadores para que
encaminhem broadcasts de DHCP aos servidores DHCP. Quando um roteador encaminha
atribuições de endereços/solicitações de parâmetros, ele está agindo como um agente de
retransmissão de DHCP.

Por exemplo, PC1 transmitiria uma solicitação por broadcast para localizar um servidor
DHCP. Se o roteador R1 estivesse configurado como um agente de retransmissão de DHCP, ele
interceptaria essa solicitação e a encaminharia ao servidor DHCP localizado na sub-rede
192.168.11.0.

Para configurar o roteador R1 como um agente de retransmissão de DHCP, você

precisa configurar a interface mais próxima do cliente com o comando de configuração de
interface ip helper-address. Esse comando retransmite as solicitações de broadcast para os
principais serviços a um endereço configurado. Configure o endereço IP auxiliar na interface
que recebe o broadcast.

O roteador R1 agora está configurado como um agente de retransmissão de DHCP. Ele

aceita as solicitações de broadcast para o serviço de DHCP e então as encaminha como unicast
ao endereço IP 192.168.11.5.

Como você pode ver, o PC1 agora pode adquirir um endereço IP do servidor DHCP.

Página 224
 O DHCP não é o único serviço que pode ser configurado no roteador para que ele faça
a retransmissão. Por padrão, o comando ip helper-address encaminha os seguintes oito
serviços de UDP:

 Porta 37: Tempo

 Porta 49: TACACS
 Porta 53: DNS
 Porta 67: Servidor DHCP/BOOTP
 Porta 68: Cliente DHCP/BOOTP
 Porta 69: TFTP
 Porta 137: serviço de nomes NetBIOS
 Porta 138: serviço de datagrama NetBIOS

Para especificar as portas adicionais, utilize o comando ip forward-protocol para

especificar exatamente quais tipos de pacotes de broadcast serão encaminhados.

11.9 Configurando a NAT

11.9.1 Configurando NAT estática

A NAT estática é um mapeamento exclusivo entre um endereço interno e um endereço

externo. A NAT estática permite conexões iniciadas por dispositivos externos para dispositivos
internos. Por exemplo, você pode desejar mapear um endereço global interno para um
endereço local interno específico que está atribuído ao seu servidor web.

A configuração das traduções de NAT estáticas é uma tarefa simples. É necessário

definir os endereços a serem traduzidos e, em seguida, configurar a NAT nas interfaces
apropriadas. Os pacotes que chegam em uma interface do endereço IP definido estão sujeitos
à tradução. Os pacotes que chegam em uma interface externa, destinados para o endereço IP
identificado, estão sujeitos à tradução.

Página 225
 A figura acima explica os comandos para cada etapa. Você digita as traduções estáticas
diretamente na configuração. Diferentemente das traduções dinâmicas, essas traduções
sempre estão na tabela de NAT.

A figura é uma configuração de NAT estática simples aplicada em ambas as interfaces.

O roteador sempre traduz os pacotes do host dentro da rede com o endereço privado de
192.168.10.254 em um endereço externo de 209.165.200.254. O host na Internet direciona as
solicitações da web ao endereço IP público 209.165.200.254, e o roteador R2 sempre
encaminha esse tráfego ao servidor em 192.168.10.254.

11.9.2 Configurando a NAT dinâmica

Enquanto a NAT estática fornece um mapeamento permanente entre um endereço

interno e um endereço público específico, a NAT dinâmica mapeia os endereços IP privados
para endereços públicos. Esses endereços IP públicos vêm de um conjunto de NAT. A
configuração de NAT dinâmica é diferente da NAT estática, mas também apresenta algumas
semelhanças. Assim como a NAT estática, ela exige que a configuração identifique cada
interface como uma interface interna ou externa. Entretanto, em vez de criar um mapa
estático para um único endereço IP, utiliza-se um conjunto de endereços globais internos.

Página 226
 Para configurar a NAT dinâmica, você precisa de uma ACL para permitir somente os
endereços que devem ser traduzidos. Ao desenvolver sua ACL, lembre-se de que há um “negar
todos” implícito no final de cada ACL. Uma ACL muito permissiva pode levar a resultados
imprevisíveis. A Cisco não aconselha configurar as listas de controle de acesso indicadas pelos
comandos NAT com o comando permit any. O uso do comando permit any pode fazer com que
a NAT consuma muitos recursos do roteador, o que pode levar a problemas de rede.

Essa configuração permite a tradução para todos os hosts nas redes 192.168.10.0 e
192.168.11.0 quando elas gerarem o tráfego que entrar em S0/0/0 e sair de S0/1/0. Esses
hosts são traduzidos para um endereço disponível no intervalo de 209.165.200.226 -
209.165.200.240.

10.9.3 Configurando a sobrecarga de NAT

Configurando a sobrecarga de NAT para um único endereço IP público

Página 227
 Existem duas maneiras possíveis de configurar a sobrecarga, dependendo de como o
ISP aloca os endereços IP públicos. Em primeiro lugar, o ISP aloca um endereço IP público para
a organização e, em seguida, aloca mais de um endereço IP público.

A figura mostra as etapas a serem seguidas para configurar a sobrecarga de NAT com
um único endereço IP. Com somente um endereço IP público, a configuração da sobrecarga
geralmente atribui esse endereço público à interface externa que se conecta ao ISP. Todos os
endereços internos são traduzidos para o único endereço IP ao deixar a interface externa.

A configuração é semelhante à NAT dinâmica. A diferença é que, em vez de um

conjunto de endereços, a palavra-chave interface é usada para identificar o endereço IP
externo. Portanto, nenhum conjunto de NAT foi definido. A palavra-chave sobrecarga permite
adicionar o número da porta à tradução.

Este exemplo mostra como a sobrecarga de NAT é configurada. No exemplo, todos os

hosts da rede 192.168.0.0 /16 (correspondentes à ACL 1) que enviam o tráfego através do
roteador R2 para a Internet são traduzidos para o endereço IP 209.165.200.225 (endereço IP
S0/1/0 da interface). Como a palavra-chave sobrecarga foi usada, os fluxos de tráfego foram
identificados pelos números de porta.

Configurando a sobrecarga de NAT para um conjunto de endereços IP públicos

Página 228
 No cenário onde o ISP fornecer mais de um endereço IP público, a sobrecarga de NAT
será configurada para usar um conjunto. A principal diferença entre essa configuração e a
configuração para a NAT dinâmica e exclusiva é que ela usa a palavra-chave sobrecarga.
Lembre-se de que a palavra-chave sobrecarga permite a tradução de endereço de porta.

Neste exemplo, a configuração estabelece a tradução de sobrecarga para o conjunto

de NAT, NAT-POOL2. O conjunto de NAT contém os endereços 209.165.200.226 -
209.165.200.240 e é traduzido usando PAT. Os hosts na rede 192.168.0.0 /16 estão sujeitos à
tradução. Por fim, as interfaces interna e externa são identificadas.

10.9.4 Identificando e solucionando problemas das configurações de NAT

Verificando a NAT e a sobrecarga de NAT

É importante verificar a operação de NAT. Existem vários comandos de roteador úteis

para exibir e apagar as traduções de NAT. Este tópico explica como verificar a operação de NAT
usando as ferramentas disponíveis nos roteadores Cisco.

Página 229
 Um dos comandos mais úteis ao verificar a operação de NAT é o comando show ip nat
translations. Antes de usar os comandos show para verificar a NAT, você deve apagar as
entradas de tradução dinâmica que ainda estejam presentes porque, por padrão, as traduções
dinâmicas de endereço expiram da tabela de tradução NAT após um período de falta de uso.

Na figura, o roteador R2 foi configurado para fornecer a sobrecarga de NAT aos

clientes de 192.168.0.0 /16. Quando os hosts internos saem do roteador R2 para a Internet,
eles são traduzidos para o endereço IP da interface serial com um número de porta de origem
exclusivo.

Suponha que os dois hosts na rede interna acessaram os serviços da web pela Internet.

Observe que a saída do comando show ip nat translations exibe os detalhes das duas
atribuições de NAT. Adicionar verbose ao comando exibirá as informações adicionais sobre
cada tradução, inclusive há quanto tempo a entrada foi criada e usada.

O comando exibe todas as traduções estáticas que foram configuradas, além das
traduções dinâmicas que foram criadas pelo tráfego. Cada tradução é identificada através do
protocolo e através dos endereços locais e globais, internos e externos.

Página 230
 O comando show ip nat statistics exibe informações sobre o número total de
traduções ativas, os parâmetros de configuração de NAT, quantos endereços estão no
conjunto e quantos foram alocados.

Na figura, os hosts iniciaram o tráfego da web, além do tráfego ICMP.

Como alternativa, use o comando show run e procure a NAT, a lista de comandos de
acesso, a interface ou comandos de conjunto com os valores exigidos. Examine-os
cuidadosamente e corrija os erros que encontrar.

Por padrão, a tradução expira depois de 24 horas, a menos que os temporizadores

sejam reconfigurados com o comando ip nat translation timeouttimeout_ seconds no modo de
configuração global.

Às vezes é útil apagar as entradas dinâmicas antes do tempo padrão. Isso é

especialmente verdadeiro ao testar a configuração de NAT. Para apagar as entradas dinâmicas
antes de o tempo limite expirar, use comando global clear ip nat translation.

Página 231
 A tabela na figura está exibindo os vários modos de apagar as traduções de NAT. Você
pode especificar qual tradução apagar ou pode apagar todas as traduções da tabela usando o
comando global clear ip nat translation *, como mostrado no exemplo.

Somente as traduções dinâmicas são apagadas da tabela. As traduções estáticas não

podem ser apagadas da tabela de tradução.

Identificação e solução de problemas de configuração da NAT e da sobrecarga de NAT

Quando você tiver problemas de conectividade IP em um ambiente de NAT,

geralmente é difícil determinar suas causas. A primeira etapa da resolução do problema é
excluir a NAT como a causa. Siga estas etapas para verificar se a NAT está funcionando como
esperado:

Etapa 1. Com base na configuração, defina claramente o que a NAT deve alcançar. Isso
pode revelar um problema com a configuração.

Etapa 2. Verifique se as traduções corretas se encontram na tabela usando o comando

show ip nat translations.

Etapa 3. Use os comandos clear e debug para verificar se a NAT está funcionando
conforme o esperado. Verifique se as entradas dinâmicas são recriadas depois de serem
apagadas.

Etapa 4. Observe detalhadamente o que acontece com o pacote e verifique se os

roteadores possuem as informações de roteamento corretas para mover o pacote.

Use o comando debug ip nat para verificar a operação do recurso de NAT exibindo as
informações sobre os pacotes que são traduzidos pelo roteador. O comando debug ip nat
detailed gera uma descrição de cada pacote considerado para tradução. Esse comando
também exibe informações sobre certos erros ou condições de exceção, como a falha para
alocar um endereço global.

Página 232
 A figura apresenta uma amostra da saída do comando debug ip nat. Na saída do
comando, é possível observar que o host interno 192.168.10.10 iniciou o tráfego para o host
externo 209.165.200.254 e foi traduzido para o endereço 209.165.200.225.

Ao decodificar a saída do comando da depuração, observe o que os símbolos e valores

seguintes indicam:

 * - O asterisco próximo à NAT indica que a tradução está ocorrendo no caminho

de comutação rápida. O primeiro pacote em uma conversação sempre é
comutado por processo, o que é mais lento. Se existir uma entrada de cache, os
pacotes restantes passam através do caminho que foi comutado rapidamente.
 s= - Refere-se ao endereço IP de origem.
 a.b.c.d---> w.x.y.z - Indica que o endereço de origem a.b.c.d é traduzido para
w.x.y.z.
 d= - Refere-se ao endereço IP de destino.
 [xxxx] - O valor em colchetes é o número de identificação IP. Essas informações
podem ser úteis para a depuração porque elas habilitam a correlação com
outros rastros de pacote de analisadores de protocolo.

11.10 Configuração de QoS

11.10.1 Configuração de PQ

priority-list 1 protocol ip high udp rip priority-list 1 protocol ip high udp rip
priority-list 1 protocol http normal priority-list 1 protocol http normal
priority-list 1 protocol ip medium list 100 priority-list 1 protocol ip medium list 100
priority-list 1 protocol ip low list 101 priority-list 1 protocol ip low list 101
! !
access-list 100 permit udp any any range access-list 100 permit udp any any range
16384 32767 16384 32767
access-list 101 permit icmp any any access-list 101 permit icmp any any
! !
R4# R1#
R4#sh int fa0/0
FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is c000.0dc0.0000 (bia c000.0dc0.0000)
Internet address is 172.16.14.4/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never

Página 233
 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: priority-list 1
Output queue (queue priority: size/max/drops):
high: 0/20/0, medium: 0/40/0, normal: 0/60/0, low: 0/80/0
5 minute input rate 0 bits/sec, 0 packets/sec

11.10.2 Configuração de CQ

queue-list 1 protocol ip 0 udp 520

queue-list 1 protocol ip 1 lt 65
queue-list 1 protocol ip 2 list 100
queue-list 1 protocol ip 3 list 101
queue-list 1 default 3
queue-list 1 queue 3 limit 10
queue-list 1 queue 1 byte-count 320
queue-list 1 queue 2 byte-count 640
queue-list 1 queue 3 byte-count 104
!
access-list 100 permit udp any any range 16384 32767
access-list 101 permit icmp any any
!
int fa0/0
custom-queue-list 1
!
R4#sh queueing custom
Current custom queue configuration:

List Queue Args

1 3 default
1 0 protocol ip udp port rip
1 1 protocol ip lt 65
1 2 protocol ip list 100
1 2 protocol ip list 101
1 1 byte-count 320
1 2 byte-count 640
1 3 byte-count 104 limit 10
R4#

11.10.3 Configuração de WFQ

R2# R5#
int Serial0/0 int Serial0/0
clock rate 128000 clock rate 128000
bandwidth 128 bandwidth 128
tx-ring-limit 1 tx-ring-limit 1
fair-queue 16 128 8 fair-queue 16 128 8
hold-queue 256 out hold-queue 256 out
ip mtu 156 ip mtu 156
! !

Página 234
11 Referências

1. Cisco Network Academy

http://www.cisco.com/web/learning/netacad/index.html

2. Support and Documentation - of Cisco

http://www.cisco.com/
http://www.cisco.com/tac/
http://www.cisco.com/en/US/tech/tk389/tk621/technologies_white_paper09186a0080094cfa
.shtml

3. Lista de RFC relacionadas no document:

RFC 1058
RFC 2328
RFC 951
RFC 2131
RFC 1178
RFC 1918
RFC 1338
RFC 1490 e RFC 2427

4. CCNA 4.1 – Guia Completo

Fillippetti, Marco Aurélio

5. CCNP ROUTE 642-902 Official Certification Guide

Wendell Odom, 2010, Cisco Press

6. Internetworking with TCP/IP - Principles, Protocols and Architecture

Douglas E. Comer, 3rd Edition, 1995, Prentice Hall

7. Routing In The Internet

Christian Huitema, 1995, Prentice Hall

RNP – Rede Nacional de Ensino e Pesquisa

http://www.rnp.br/

Página 235