Você está na página 1de 463

tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.

br

DlteC do Brasil®
www.dltec.com.br
info@dltec.com.br | 41 3045.7810

DLTEC DO E-BOOK DO CURSO PREPARATÓRIO PARA O


BRASIL ICND2 – 200-105

Apostila/E-book do Curso Preparatório para o ICND2 200-105


DlteC do Brasil®
Todos os direitos reservados©

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 1


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Sobre o E-book/Apostila

O conteúdo desse documento é uma adaptação


da matéria online de leitura do curso.

O presente material traz conteúdo teórico do


curso online, porém temos que deixar claro que
não é um curso e sim uma adaptação do
nosso material online para e-book/apostila.

Portanto recursos como exercícios, simulados,


tutoria (tira dúvidas com professores) e vídeo
aulas não fazem parte desse e-book, pois são
exclusivos para alunos devidamente matriculados
em nosso site oficial.

Para maiores informações sobre nossos treinamento visite o site:

>>> http://www.dltec.com.br <<<

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 2


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Sobre o E-book

O conteúdo desse documento é uma adaptação da matéria online de leitura


do Curso CCNA ICND-2, o qual abrange o conteúdo atual do exame de
certificação da Cisco número 200-105, o qual é aplicado pela Pearson Vue.

O presente material traz conteúdo teórico, comandos e configurações exigidos


no blueprint do exame Cisco ICND-2 200-105, porém temos que deixar claro
que não é um curso e sim uma adaptação do nosso material online para
e-book.

Portanto recursos como exercícios, simulados, tutoria (tira dúvidas com


professores) e vídeo aulas não fazem parte desse e-book, pois são exclusivos
para alunos devidamente matriculados em nosso site oficial.

Para maiores informação sobre o Curso CCNA ICND-2 completo visite o site:
- http://site.dltec.com.br/curso/cisco/ccna-icnd2

Além disso, esse material é a Parte II para alunos que estão se preparando
para o exame CCNAX 200-125, a prova versão acelerada do CCNA Routing
and Switching (CCNA R&S).

A Parte I e inicial do preparatório para o exame 200-125 é o curso CCNA


CCENT (ICND-1 prova 100-105), o qual não é parte integrante desse e-book
e é comercializado a parte.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 3


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Direitos Autorais

Aviso Importante!

Esse material é de propriedade da DlteC do Brasil Ltda e é protegido pela lei


de direitos autorais 9610/98.

É expressamente proibida cópia física ou em meio digital, reprodução parcial,


reprografia, fotocópia ou qualquer forma de extração de informações deste sem
prévia autorização da DlteC do Brasil conforme legislação vigente.

Seu uso pessoal e intransferível é somente para o cliente que adquiriu o


referido e-book.

A cópia e distribuição são expressamente proibidas e seu descumprimento


implica em processo cível de danos morais e materiais previstos na legislação
contra quem copia e para quem distribui, sejam cópias físicas e/ou digitais.

Copyright © 2016.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 4


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Indice

Capítulo 1 - Introdução_________________ 6
Capítulo 2 - LAN Switching e Spanning-tree11
Capítulo 3 – Implementando o Protocolo OSPFv2 70
Capítulo 4 - Implementando o Protocolo EIGRP 140
Capítulo 5 - Wide-Area Networks - WAN 186
Capítulo 6 - First Hop Redundancy Protocol (FHRP) 276
Capítulo 7 - IPv6 – EIGRPv6 e OSPFv3 ___ 293
Capítulo 8 - Gerenciamento de Redes e Dispositivos 344
Capítulo 9 – Segurança, ACL e Conceitos de QoS 372
Capítulo 10 – Conceitos de Virtualização e Software-Defined Networking 423

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 5


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Capítulo 1 - Introdução

Objetivos do Capítulo
Olá,

Essa apostila/ebook que você recebendo é


uma adaptação em texto do nosso material
online de estudo do curso CCNA ICND2
(200-105).

Nesse capítulo você encontrará uma


relação dos itens cobrados na prova atual
em relação aos tópicos desse eBook e
também do nosso curso online preparatório
para o ICND-2 exame 200-105.

Lembre-se que o blueprint é uma lista com


todos os itens que serão cobrados na
prova, porém nosso conteúdo cobre todos
os requisitos organizados de maneira
didática.

Indicaremos os capítulos onde os tópicos


são tratados, porém eles podem ter outros
nomes por motivos didáticos.

Esperamos que você aproveite o material e


bons estudos.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 6


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Blueprint do CCNA ICND-2 200-105


Vamos começar esse material com o blueprint atual divulgado pela Cisco em seu site
oficial (www.cisco.com/go/certifications) e relacioná-los com os capítulos do e-
Book/Curso Online.

Lembre-se que o blueprint é uma lista com todos os itens que serão cobrados na
prova, sendo nosso conteúdo cobre todos os requisitos organizados de maneira
didática.

Indicaremos os capítulos onde os tópicos são tratados, porém dentro do conteúdo eles
podem ter outros nomes por motivos didáticos.

Tópico do Exame E-Book


1.0 LAN Switching Technologies 26% Capítulos

1.1 Configure, verify, and troubleshoot VLANs


(normal/extended range) spanning multiple switches
1.1.a Access ports (data and voice)
1.1.b Default VLAN
1.2 Configure, verify, and troubleshoot interswitch connectivity
1.2.a Add and remove VLANs on a trunk
1.2.b DTP and VTP (v1&v2)
1.3 Configure, verify, and troubleshoot STP protocols
1.3.a STP mode (PVST+ and RPVST+)
1.3.b STP root bridge selection Capítulo 2
1.4 Configure, verify, and troubleshoot STP-related optional
features
1.4.a PortFast
1.4.b BPDU guard
1.5 Configure, verify, and troubleshoot (Layer 2/Layer 3)
EtherChannel
1.5.a Static
1.5.b PAGP
1.5.c LACP
1.6 Describe the benefits of switch stacking and chassis
aggregation
1.7 Describe common access layer threat mitigation
techniques
1.7.a 802.1x Capítulo 9
1.7.b DHCP snooping
1.7.c Nondefault native VLAN

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 7


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.0 Routing Technologies 29%

2.1 Configure, verify, and troubleshoot Inter-VLAN


routing
2.1.a Router on a stick (Está no CCENT)
2.1.b SVI
2.2 Compare and contrast distance vector and link-state
routing protocols Capítulo 3
2.3 Compare and contrast interior and exterior routing
protocols
2.4 Configure, verify, and troubleshoot single area and
multiarea OSPFv2 for IPv4 (excluding authentication,
filtering, manual summarization, redistribution, stub,
virtual-link, and LSAs)
2.5 Configure, verify, and troubleshoot single area and
multiarea OSPFv3 for IPv6 (excluding authentication,
Capítulo 7
filtering, manual summarization, redistribution, stub,
virtual-link, and LSAs)
2.6 Configure, verify, and troubleshoot EIGRP for IPv4
(excluding authentication, filtering, manual Capítulo 4
summarization, redistribution, stub)
2.7 Configure, verify, and troubleshoot EIGRP for IPv6
(excluding authentication, filtering, manual summarization, Capítulo 7
redistribution, stub)

3.0 WAN Technologies 16%

3.1 Configure and verify PPP and MLPPP on WAN


interfaces using local authentication
3.2 Configure, verify, and troubleshoot PPPoE client-side
interfaces using local authentication
3.3 Configure, verify, and troubleshoot GRE tunnel
connectivity
3.4 Describe WAN topology options
3.4.a Point-to-point
3.4.b Hub and spoke
3.4.c Full mesh Capítulo 5
3.4.d Single vs dual-homed
3.5 Describe WAN access connectivity options
3.5.a MPLS
3.5.b MetroEthernet
3.5.c Broadband PPPoE
3.5.d Internet VPN (DMVPN, site-to-site VPN, client
VPN)
3.6 Configure and verify single-homed branch connectivity
using eBGP IPv4 (limited to peering and route advertisement
using Network command only)

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 8


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4.0 Infrastructure Services 14%

4.1 Configure, verify, and troubleshoot basic HSRP


4.1.a Priority
Capítulo 6
4.1.b Preemption
4.1.c Version
4.2 Describe the effects of cloud resources on enterprise
network architecture
4.2.a Traffic path to internal and external cloud services Capítulo 10
4.2.b Virtual services
4.2.c Basic virtual network infrastructure
4.3 Describe basic QoS concepts
4.3.a Marking
4.3.b Device trust
4.3.c Prioritization
4.3.c. [i] Voice
4.3.c. [ii] Video
4.3.c. [iii] Data
4.3.d Shaping Capítulo 9
4.3.e Policing
4.3.f Congestion management
4.4 Configure, verify, and troubleshoot IPv4 and IPv6
access list for traffic filtering
4.4.a Standard (Está no CCENT)
4.4.b Extended
4.4.c Named
4.5 Verify ACLs using the APIC-EM Path Trace ACL analysis
Capítulo 10
tool

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 9


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

5.0 Infrastructure Maintenance 15%

5.1 Configure and verify device-monitoring protocols


5.1.a SNMPv2
5.1.b SNMPv3
5.2 Troubleshoot network connectivity issues using ICMP Capítulo 8
echo-based IP SLA
5.3 Use local SPAN to troubleshoot and resolve problems
5.4 Describe device management using AAA with TACACS+
and RADIUS
5.5 Describe network programmability in enterprise network
architecture
5.5.a Function of a controller Capítulo 10
5.5.b Separation of control plane and data plane
5.5.c Northbound and southbound APIs
5.6 Troubleshoot basic Layer 3 end-to-end connectivity issues Capítulos 3, 4 e 7

A seguir vamos começar o conteúdo iniciando pelo estudo de VLANs e Switching


avançados.

Bons estudos!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 10


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Capítulo 2 - LAN Switching e


Spanning-tree
Nesse capítulo estudaremos
como implementar redes de Objetivos do Capítulo
switches redundantes
Ao final desse capítulo você terá estudado e
através do uso do protocolo deverá compreender:
Spanning-tree.  Protocolo Spanning-tree (STP).
 Funcionamento do STP.
 Estado de portas e montagem da
Também serão estudados topologia livre de loops pelo STP.
 Como influenciar via comandos a
recursos avançados de
topologia final do STP.
configuração, tais como  Funcionamento e configuração do
portfast, BPDU Guard e BPDUGuard e Portfast.
Etherchannel.  Entender o funcionamento e
configurar links Etherchannel
Por último será estudado (agregação de portas trunk).
como resolver problemas  Troubleshooting em redes com STP,
em redes de switches BPDUGuard, Portfast e Etherchannel.
redundantes.  Metodologias e opções avançadas de
troubleshooting em redes de
Aproveite o capítulo e bons switches redundantes.
estudos!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 11


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.8.2 Etherchannel ou Agregação de Portas 49


Sumário do Capítulo 3.8.3 Port Fast _______________________ 50
3.8.4 BPDU Guard ____________________ 51

1 O que foi estudado no CCENT sobre 4 Configurando o STP ______________ 52


Switching e o que vamos estudar no ICND-2? 4.1 Configurando o Modo de Operação do
13 STP 52
2 Funcionamento dos Switches Camada-2 4.2 Influenciando na Escolha do Root Bridge
14 53
4.2.1 Alterando a Prioridade Manualmente 54
2.1 Encaminhamento de Quadros em 4.2.2 Definindo o Root Primário e Secundário
Switches L2 __________________________ 14 54
2.2 Utilizando a Faixa de VLANs Estendida 4.3 Influenciando a Escolha de Root Ports e
16 Portas Designadas ____________________ 55
2.3 Alocando Portas de Acesso (Voz e 5 Resumo dos Comandos do STP______ 57
Dados) ______________________________ 17
6 Configurando Links Etherchannel ___ 58
2.4 Trunks e Default VLAN ____________ 17
6.1 Configurando um Etherchannel
2.5 Configurando Trunks e VLAN Nativa _ 18 Manualmente ________________________ 58
2.6 Entendendo o Protocolo DTP _______ 20 6.2 Configurando Etherchannel Dinâmico 60
2.7 Verificando os Trunks e o DTP ______ 22 6.3 Switch Stacking e Agregação de Chassis
2.8 Protocolo VTP ___________________ 24 60
2.8.1 Propagação das Informações do VTP 26 7 Troubleshooting em Redes com STP _ 63
2.8.2 VTP Puning _____________________ 27
2.8.3 Configurações do VTP ____________ 28 7.1 Analisando problemas LANs com
Switches – Data Plane e Control Plane ____ 64
3 Protocolo Spanning-Tree - STP ______ 30
7.2 Prevendo a Operação Normal ______ 65
3.1 Por que utilizar o STP? ____________ 30
7.3 Isolando o Problema _____________ 66
3.2 Devo utilizar o padrão do STP ou
customizar seu funcionamento nos switches? 7.4 Análise da Causa Raiz ____________ 66
32
8 Considerações Finais e Dicas Práticas 67
3.3 Funcionamento do STP – Montando a
8.1 Balanceamento de VLANs entre
rede livre de Loops ____________________ 34
switches via STP ______________________ 68
3.4 Entendendo o Algoritmo do STP ____ 36
3.4.1 Eleição do Root Bridge (Raiz) _______ 36
9 Resumo do Capítulo ______________ 69
3.4.2 Escolha de uma root port por não-root
bridge 39
3.4.3 Escolha de uma porta designada por
segmento ______________________________ 40
3.5 Exemplo Prático de Análise de
Convergência do STP ___________________ 41
3.6 Estado das Portas com STP ________ 46
3.7 Como o STP reage a mudanças na
topologia? ___________________________ 48
3.8 Recursos Extras do STP____________ 48
3.8.1 RSTP – Rapid Spanning-tree ________ 49

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 12


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1 O que foi estudado no CCENT sobre Switching e o que vamos estudar no ICND-2?
No ICND-1 ou CCENT estudamos os seguintes conceitos e configurações:

 Funcionamento básico dos switches.


 Tipos de switches.
 Lógica de aprendizado e encaminhamento dos quadros.
 Interpretação da tabela de endereços MAC.
 Leds e conexões físicas dos switches Catalyst.
 Configurações gerais, tais como hostname, senhas, banners, etc.
 Configurações da VLAN nativa e IP de gerenciamento.
 Configuração básica do protocolo VTP.
 Configuração das portas dos switches (duplex e velocidade) e uso do protocolo DTP
(portas de acesso versus trunk).
 Configuração de trunks e portas de acesso.
 Criação, ativação, desativação e exclusão de VLANs.
 Conceitos básicos sobre a VLAN de voz.
 Como vincular portas às VLANs (VLAN Membership).
 Administrar o envio de quadros de VLANs através dos trunks.
 Configurar o roteamento entre VLANs utilizando roteadores e switches camada-3.
 Troubleshooting em portas dos switches, VLANs e trunks utilizando diversos comandos
show.

No ICND-2 vamos incrementar nosso cenário e estudar os seguintes tópicos:

 O protocolo Spanning-tree (STP), permitindo que links redundantes sejam inseridos às


topologias sem o risco de causar loops de camada-2.
 Como melhorar o desempenho das portas de acesso de maneira segura com o uso do
portfast e bpduguard.
 Como melhorar o uso da largura de banda no entroncamento entre os switches
utilizando o Etherchannel (agregação de portas).
 Troubleshooting do STP e demais recursos estudados no capítulo.
 Troubleshooting geral em redes LAN com switches e STP.

Com esses conceitos você poderá construir e configurar topologias mais robustas e avançadas
em seu dia a dia como administrador de redes e futuro CCNA Routing & Switching.

Além disso, você também estará preparado para seguir a carreira na área de roteamento e
switching seguindo em direção ao CCNP R&S.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 13


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2 Funcionamento dos Switches Camada-2


Vamos iniciar a revisão relembrando as configurações padrões de fábrica dos switches Cisco
(switches zerados):

 Sem senha definida para acesso via console e privilegiado;


 Acesso remoto via IP desabilitado;
 Hostname padrão “Switch”;
 Todas as portas alocadas na VLAN 1;
 Portas configuradas para negociação automática do modo duplex (duplex auto) e
também da velocidade (speed auto);
 Não possui IP de gerenciamento (interface vlan 1 em shutdown);
 Cinco VLANs criadas por padrão que não podem ser alteradas ou apagadas: 1 e de 1002
a 1005;
 VLAN 1 é a nativa (passa informações nos trunks sem marcação de quadros);
 VTP em modo servidor com domínio nulo (null) e sem senha;
 Todas as portas com o protocolo DTP (negociação dinâmica de trunks) ativado como
dynamic auto (se você conectar duas portas com a configuração padrão elas se
configuram como “access”).

Lembre-se também que por padrão os switches são camada-2, mesmo os que possuem
suporte a roteamento precisam ter esse recurso ativado com o comando “ip routing”, por isso
quando as questões são feitas de maneira geral sobre switches respondemos considerando que
eles são camada-2 (layer-2 ou L2), apesar de sabermos que existem switches que atuam em
outras camadas do modelo OSI.

2.1 Encaminhamento de Quadros em Switches L2

As três funções básicas de um switch camada-2 são:

1. Aprender os endereços MAC de origem dos hosts conectados às suas portas.


2. Encaminhar ou filtrar quadros com base no endereço MAC de destino do quadro
recebido em uma porta.
3. Evitar loops de camada-2 (vamos estudar nesse curso!)

O foco do CCENT/ICND-1 foram os itens 1 e 2 citados acima, no ICND-2 vamos estudar como
evitar loops utilizando o protocolo STP e outros recursos avançados.

Lembre-se que os switches são L2 porque podem ler e tomar decisões com base no endereço
de camada-2 do quadro Ethernet, por isso precisamos conhecer os três tipos de endereços MAC
utilizados em comunicações via IPv4:

 MAC de endereços de Unicast: é o MAC da placa de rede do computador, roteador ou


de um switch, identifica o dispositivo ou interface em uma LAN de maneira exclusiva, ou
seja, para comunicações de host a host (um para um).
 MAC de broadcast: todos os 48 bits setados em 1 “ff:ff:ff:ff:ff:ff” e é utilizado quando
um host quer se comunicar com todos os dispositivos da LAN (um para todos)
 MAC de multicast: faixa de 01:00:5e:00:00:00 até 01:00:5e:7f:ff:ff, sempre
iniciando em “01:00:5e”. É utilizado para comunicações em grupo (um para alguns
hosts do mesmo grupo de multicast).

Ao receber um quadro, o switch aprende o MAC pelo campo de endereço de origem do quadro
ethernet e encaminha com base no endereço de destino. Na fase de encaminhamento o switch
pode encaminhar para uma porta de destino específica, para todas as portas menos pela que
recebeu o quadro, processo chamado de flooding ou inundação de quadros, ou não encaminhar
e filtrar esse quadro (bloquear o envio).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 14


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Os MACs de broadcast e multicast enviados pelos dispositivos conectados ao switch não são
armazenados pela tabela de endereços MAC, por isso quando o switch recebe como
endereço de destino um desses tipos de endereço MAC é sempre feito o flooding dos quadros
para todas as portas, menos para a porta que originou o quadro.

Os switches encaminham quadros em suas portas de acesso (access) com base no endereço
MAC de destino seguindo as regras básicas de abaixo:

1. O quadro recebido tem MAC de destino de Unicast e está na tabela de


endereços MAC -> o switch encaminha para a porta de destino conforme tabela de
endereços MAC.
2. O quadro recebido tem MAC de destino de Unicast e não está na tabela de
endereços MAC -> o switch faz o flooding do quadro para todas as portas pertencentes
à mesma VLAN, menos para a porta de origem. O quadro também é encaminha do para
o link trunk que tem aquela VLAN permitida.
3. O quadro recebido tem como MAC de destino um endereço multicast ou
broadcast -> o switch faz o flooding do quadro para todas as portas da mesma VLAN,
menos para a de origem. O quadro também é enviado para os trunks que tem a VLAN
em questão permitida.
4. O MAC de destino é de Unicast e está listado na mesma porta que o MAC de
origem -> o switch filtra o quadro, pois essa porta está sendo compartilhada com
outros dispositivos através de um HUB ou Switch através de uma porta de acesso,
portanto o quadro, com certeza, não está em outro segmento de rede e não precisa ser
encaminhado. Para saber se temos um switch Cisco nessa porta basta utilizar o CDP.

Com as regras acima podemos prever o comportamento normal do switch ao encaminhar


quadros para determinado destino através de portas de acesso. Agora vamos analisar o que
acontece com os quadros em portas trunk.

Em portas configuradas como trunk, sejam 802.1Q ou ISL, quando um quadro é recebido ele
vem marcado com a tag da VLAN que ele pertence (VLAN-ID). O switch que recebeu o quadro
precisa retirar a tag para encaminhar esse quadro recebido para a porta de acesso ou trunk
que pertencem à mesma VLAN e tem o MAC de destino cadastrado.

Se o switch de destino também não conhece o MAC ele fará um flooding do quadro para todas
as portas que estão na mesma VLAN e para os trunks que tem a VLAN em questão permitida,
menos para o trunk que o recebeu até alcançar o host de destino.

Os trunks dos switches guardam na tabela de endereços MAC os endereços que foram utilizados
remotamente em conversações entre hosts. Esse comportamento permite a redução do envio
de flooding e também permite estender as VLANs entre diferentes switches.

O processo de retransmissão do flooding pelos trunks citado anteriormente vai sendo repetido
até o último switch que estiver em cascata, por isso não se recomenda ter redes com um
diâmetro muito grande, ou seja, muitos switches em cascata conectados em série. O uso da
topologia em três camadas reduz esse efeito do diâmetro de rede.

O comando que permite visualizar a tabela de endereços MAC é o “show mac address-table”.

No laboratório e vídeo aulas do capítulo 1 foram utilizados vários comandos do CCNA CCENT
(ICND-1) que podem ser necessários na resolução de exercícios no ICND-2 (200-105) ou na
prova do CCNA Accelerated (200-125), por isso se você não fez o laboratório e ainda não
assistiu os vídeos com a correção sugerimos que o façam antes de continuar os estudos.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 15


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.2 Utilizando a Faixa de VLANs Estendida

Nos switches da linha 2950/2960/3560 e demais com Cisco IOS pode-se criar uma VLAN de
duas formas.

A primeira em modo de configuração global e a segunda através do VLAN DATABASE, nada


muda em relação a o que você aprendeu no CCNA CCENT.

Switch1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch1(config)#vlan 5
Switch1(config-vlan)# name Dados
Switch1(config-vlan)#vlan 6
Switch1(config-vlan)#name Voz
Switch1(config-vlan)#end

É importante lembrar que existem VLANs pré-configuradas nos switches, as quais não podem
ser apagadas ou modificadas. No total são cinco VLANs: a VLAN 1 e de 1002 a 1005.

Isso define a padrão de VLANs que vai de 1 a 1005, porém você pode criar e alterar da VLAN 2
a 1001 apenas, as demais não podem ser alteradas.

Os valores acima de 1005 (1006-4094) fazem parte de uma faixa estendida de valores que não
são suportadas por padrão na maioria dos modelos de switches.

Isso porque a faixa estendida de VLANs não é suportada pelo protocolo VTP versões 1 e 2 nos
modos cliente e/ou servidor (vamos estudar o VTP em detalhe em tópico posterior, não se
preocupe).

Portanto, se você criar uma VLAN com ID 1010, por exemplo, você precisará configurar seu
switch como VTP modo transparente ou utilizar a versão 3 do protocolo (estudado no CCNP
Switch). Em switches que suporta o VTP versão 3 você pode configurá-lo como modo OFF
também, mas dessa maneira você desativa o VTP por completo.

Apesar de um switch em modo VTP transparente repassar anúncios do VTP, nas versões 1 e 2
essa faixa não é suportada, portanto não será repassada pelo VTP aos switches do domínio.

Nesse momento isso significa que se você utilizar a faixa estendida de VLANs (1006-4094) terá
que fazer toda configuração manual ou utilizar o VTP versão 3 para sincronizar os switches
automaticamente via VTP.

Se você tentar configurar uma VLAN estendida em um switch VTP v1 ou v2 a seguinte


mensagem de erro será mostrada, conforme exemplo abaixo.

SW#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW(config)#vlan 2000
SW(config-vlan)#exit
% Failed to create VLANs 2000
Extended VLAN(s) not allowed in current VTP mode.
%Failed to commit extended VLAN(s) changes.

Como já citado acima, vamos estudar o VTP mais para frente. Para configurar o switch como
transparente use o comando "vtp mode transparent" e para desativar, se suportado, digite o
comando "vtp mode off".

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 16


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.3 Alocando Portas de Acesso (Voz e Dados)

O processo de VLAN Membership com VLAN estendida é o mesmo que estudamos no CCENT
para VLANs da faixa padrão, tanto em portas de acesso para dados como voz.

Veja exemplo abaixo onde vamos utilzar a VLAN 1000 para dados e a VLAN 2000 como VLAN
de voz.

SW-01#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW-01(config)#vtp mode transparent
SW-01(config)#vlan 1000
SW-01(config-vlan)# name Dados
SW-01(config-vlan)#vlan 2000
SW-01(config-vlan)#name Voz
SW-01(config-vlan)#exit
SW-01(config)#interface FastEthernet0/1
SW-01(config-if)# switchport mode access
SW-01(config-if)# switchport access vlan 1000
SW-01(config-if)# switchport voice vlan 2000

Note que antes de iniciar a criação das VLANs configuramos o switch para VTP modo
transparente.

Antes de fazer essa configuração verifique se o seu telefone IP suporta a faixa de VLANs
estendidas, pois aqui é um exemplo e não consideramos esse fator.

2.4 Trunks e Default VLAN

Como já estudamos no curso CCNA CCENT as portas de acesso são portas que você conecta o
usuário final e não devem ser conectadas a outros switches para estender a rede, pois se
subentende que nessa porta você terá apenas um elemento configurado.

Para conectar outros switches são utilizadas as portas tronco (trunk), as quais tem uma função
especial de transmitir o tráfego das VLANs configuradas no switch.

Para fazer esse tipo de função é preciso uma técnica de identificação dos pacotes pertencentes
a cada VLAN, pois senão como o switch remoto vai identificar para que portas encaminhar os
pacotes? Lembre que a regra das VLANs é que somente portas que pertencem ao mesmo grupo
podem se comunicar.

Para que um trunk transporte a informação de todas as VLANs e consiga separar de quem é
cada quadro é utilizada uma técnica chamada “marcação de quadros” ou “frame tagging”.

Existem dois padrões suportados pelos equipamentos da Cisco para marcação de quadro:

 802.1Q – padrão aberto para comunicação entre Switches.


 ISL (Inter Swicth Link) – padrão proprietário da Cisco.

O 802.1 Q e o ISL utilizam uma estrutura de quadro de camada 2 ligeiramente diferente do


quadro original do Ethernet, incluindo um campo para identificar a que VLAN aquele quadro
pertence. Portanto, quando um switch recebe um quadro por um link trunk ele consegue saber
para que porta ou portas o quadro deve ser encaminhado.

Veja na abaixo o quadro do 802.1Q. Perceba que existe um campo chamado Tag onde existe o
VID ou VLAN ID, que indica o número da VLAN que aquele quadro pertence.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 17


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que o ISL não altera o quadro ethernet original, já o 802.1Q altera, portanto isso significa
que o quadro que utiliza 802.1Q precisará ter seu FCS recalculado no destino antes de ser
enviado ao cliente, o que não será necessário se você utilizar o ISL.

Traduzindo o que falamos acima em configuração você deverá seguir os seguintes passos para
criar uma VLAN e alocar as portas:

 Configurar o VTP (Vlan trunk protocol) como transparente ou servidor (config padrão),
que será visto posteriormente;
 Configurar os links trunks;
 Criar as VLANs;
 Fazer o VLAN membership, ou seja, vincular as portas dos switches às VLANs.

Além disso, lembre-se que no trunk existe uma VLAN especial que é passada sem a marcação
ou tag chamada de "default VLAN" (padrão ou nativa - native VLAN).

Por padrão ela é a VLAN 1, porém pode e recomenda-se que seja alterada por motivos de
segurança (vamos ver mais detalhes no capítulo específico de segurança).

O principal detalhe é que protocolos como CDP e VTP mandam suas informações através da
VLAN nativa, por isso essa configuração deve ser realizada de forma consistente em ambos os
switches.

A seguir vamos ver as configurações do trunk e VLAN nativa.

2.5 Configurando Trunks e VLAN Nativa

A configuração do trunk não tem diferença em relação ao que estudamos no CCENT, basta
utilizar o comando "switchport mode trunk" em switches L2, por exemplo, Cisco Catalyst 2960.

Em switches L3, por exemplo, no switch Cisco Catalyst 3560 você precisará antes configurar o
modo 802.1Q ou ISL com o comando "switchport trunk encapsulation", sendo que a opção
dot1q é para o 802.1Q.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 18


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

As portas trunk nos switches por padrão encaminham informações de todas as VLANs, portanto
todos os VLAN-IDs possíveis de 1 a 4094 estarão associados a um link de trunking a menos que
sejam excluídos manualmente daquele link.

Opcionalmente você administrar as VLANs que serão encaminhadas em um “trunk” com o


comando “switchport trun allowed vlan [vlan-ID1, vlan-ID2,...]”.

Esse recurso é conhecido como "Pruning Manual" e tem a função de filtrar dos trunks VLANs
que não são utilizadas. Assim economizamos banda com floodings e broadcasts desnecessários
no trunk, mas vamos estudar o pruning com mais detalhes no capítulo sobre VTP.

No exemplo abaixo mostramos a configuração para permitir que somente quadros das vlans 5,
6 e 7 sejam enviados pelo “trunk” configurado na porta fast 0/1 do switch.

2960(config)# int fastethernet 0/1


2960(config-if)# switchport trunk allowed vlan 5,6,7

Existem outras opções no comando que possibilitam administrar as mudanças (Moves, Adds
and Changes) que precisam ser realizadas no dia a dia da operação de uma rede de switches,
por exemplo, adicionar ou remover uma VLAN em um trunk. Veja na saída abaixo as opções
possíveis para administração dos trunks.

2960(config-if)#switchport trunk allowed vlan ?


WORD VLAN IDs of the allowed VLANs when this port is in trunking mode
add add VLANs to the current list
all all VLANs
except all VLANs except the following
none no VLANs
remove remove VLANs from the current list
2960(config-if)#switchport trunk allowed vlan
2960(config-if)#^Z
2960#

Vamos agora estudar com exemplos o uso dessas demais opções.

Por exemplo, você deseja permitir todas as VLANs menos às de ID 100 a 200 de serem
encaminhadas por um trunk, nesse caso podemos utilizar a opção “except”, que permite todas
exceto as definidas no comando, veja a configuração abaixo.

2960(config)#int fastethernet 0/1


2960(config-if)# switchport trunk allowed vlan except 100-200

O traço entre o 100 e 200 significa “até”. Você pode fazer expressões utilizando o traço (até) e
a vírgula (e), por exemplo, a opção “1,3,5-10” seleciona as VLANs 1, 3 e de 5 até 10 no mesmo
comando.

As opções “add” e “remove” adicionam e removem VLANs sem alterar toda a lista de permissão
já configurada. Por exemplo, você quer tirar da lista das VLANs permitidas apenas a VLAN 10
poderia utilizar o comando “switchport trunk allowed vlan remove 10”.

Em switches de outros fabricantes geralmente as VLAN’s são bloqueadas nos trunks e o


administrador deve configurar as VLANs que podem trafegar no backbone. Filosofia onde todas
as VLANs são bloqueadas a não ser as permitidas.

Além disso, para que o gerenciamento via IP funcione corretamente em todos os switches a
VLAN Nativa deve ser a mesma em toda a rede, por isso que o padrão é sempre o VLAN-ID 1
nos switches Cisco, sejam eles camada 2 ou 3.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 19


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Como a informação da VLAN nativa padrão é de conhecimento público, a Cisco recomenda que
você utilize um VLAN-ID não utilizado para esse fim. Para isso basta criar uma nova VLAN
diferente de “1” e configurar nos links trunks qual a nova VLAN nativa ou untagged.

Veja exemplo abaixo onde vamos configurar a VLAN 100 como nativa em um switch que usa
apenas a porta fast 0/1 como trunk, além disso, vamos remover a VLAN 1 do trunk:

Cat2950(config)#vlan 100
Cat2950(config-vlan)#name Nova-Nativa
Cat2950(config-vlan)#interface fast 0/1
Cat2950(config-if)#switchport mode trunk
Cat2950(config-if)#switchport trunk native vlan 100
Cat2950(config-if)##switchport trunk allowed vlan remove 1

Depois você precisará também desativar a VLAN 1 e trocar o IP de gerenciamento para a


Interface VLAN 100.

Cat2950(config-if)#interface vlan 1
Cat2950(config-if)#shut
Cat2950(config-if)#interface vlan 100
Cat2950(config-if)#ip address 192.168.1.10 255.255.255.0
Cat2950(config-if)#no shutdown

Lembre-se que ao mudar a VLAN nativa ou de gerenciamento do VLAN-ID 1 para outro valor
essa configuração deve ser aplicada em todos os links de trunk, senão haverá um problema de
“mismatch” entre os switches, ou seja, não haverá comunicação via VLAN nativa e o switch não
poderá ser gerenciado via acesso remoto.

Para verificar os trunks utilize o comando “show interfaces trunk”, “show interfaces
switchport” ou “show interfaces g0/1 switchport”.

A seguir vamos estudar o protocolo DTP, o qual está ativo por padrão em todas as portas dos
switches Cisco.

2.6 Entendendo o Protocolo DTP

As portas dos switches Cisco vêm por padrão com um protocolo chamado DTP (Dynamic Trunk
Protocol – protocolo de trunk dinâmico) ativado, o qual é proprietário da Cisco.

Esse protocolo tem a função de determinar qual o estado que uma porta deve subir em
determinadas condições através de uma negociação. Normalmente as portas estão
configuradas por padrão com o DTP em modo automático.

A recomendação da Cisco é não utilizar o DTP e definir nas portas o modo de operação de
acesso (switchport mode access) para as portas de clientes e trunk (switchport mode trunk)
para as portas de backbone que conectam switches e roteadores.

Existem também os modos dinâmicos: automático (auto – padrão das portas) ou desejável
(desirable), veja a saída abaixo:

Switch(config-if)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
dynamic Set trunking mode to dynamically negotiate access or trunk mode
trunk Set trunking mode to TRUNK unconditionally
Switch(config-if)#switchport mode dynamic ?

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 20


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

auto Set trunking mode dynamic negotiation parameter to AUTO


desirable Set trunking mode dynamic negotiation parameter to DESIRABLE

Resumidamente temos então três tipos de condições de entroncamento:

 Ativado com o comando “switchport mode trunk”: os anúncios DTP são enviados
periodicamente para porta remota anunciando que ela está mudando dinamicamente
para um estado de entroncamento, ou seja, que é um trunk. A porta local nesse caso
está sempre ativada, independente do estado da porta remota. Para que uma porta
trunk ativa com esse comando não faça nunca a negociação do DTP basta adicionar na
interface o comando “switchport nonegotiate”.
 Dinâmico automático com o comando “switchport mode dynamic auto”: anúncios
DTP são enviados periodicamente para porta remota, sendo que a porta local anuncia
para porta remota que é capaz de entroncar, mas não solicita a passagem para o estado
de tronco, pois a portal local só muda para o estado de tronco caso a porta remota fosse
configurada como ativo ou desejável (desirable). Se ambas as portas nos switches forem
definidas como auto, elas negociam para ficar no estado do modo de acesso.
 Dinâmico desejável com o comando “switchport mode dynamic desirable”: os
anúncios DTP também são enviados periodicamente para porta remota, porém a porta
local anuncia para porta remota que é capaz de entroncar e solicita a passagem para o
estado de entroncamento. A porta local muda para o estado de tronco caso a porta
remota estiver sido configurada como ativa, desejável (desirable) ou automático. Se a
porta remota estiver no modo de não negociação (Access ou acesso), a porta do switch
permanecerá como uma porta de acesso.

A recomendação da Cisco é não utilizar o DTP e definir o estado das portas, ou seja, se a porta
é de acesso insira o comando “switchport mode Access” e se ela é um trunk deve ser inserido o
comando “switchport mode trunk” e o comando “switchport nonegotiate” para evitar que portas
trunks negociem via DTP, dessa maneira a porta trunk sobe somente se uma outra porta trunk
for conectada do outro lado.

Na tabela abaixo temos os estados que as portas entre dois switches podem assumir
dependendo da configuração do seu modo administrativo (Administrative Mode).

O estado que a porta assume é chamado “modo de operação” (Operational Mode), você vai ver
na sequência onde encontrar esses dados em comandos show. Note na tabela o porquê se
pegarmos dois switches com configuração padrão e interconectá-los com um cabo cruzado
(cross) a porta sobre como Acesso (Access), pois como as duas estão configuradas como
“Dynamic Auto” elas sobem como uma porta de acesso.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 21


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A configuração em uma ponta do link entre dois switches como trunk e na interface remota
como access não é recomendada, pois podem gerar problemas e a porta não subir.

2.7 Verificando os Trunks e o DTP

Para verificar o estado do DTP utilize o comando “show interfaces fast 0/1 switchport”.

Nesse exemplo o trunk está configurado na porta fast 0/1. Você pode também utilizar
simplesmente o comando “show interfaces switchport”, porém assim serão mostradas todas as
portas e a visualização pode ficar mais complicada.

Veja a saída do comando abaixo para a interface Fast 0/1 com o comando “switchport mode
trunk” habilitado.

Switch0#show interfaces fast 0/1 switchport


Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none
Switch0#

Para verificar quais interfaces estão ativadas como trunk utilize o comando “show interface
trunk”, veja a saída do comando a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 22


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Switch0#show interfaces trunk


Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Fa0/2 auto n-802.1q trunking 1
Fa0/3 auto n-802.1q trunking 1
Fa0/4 on 802.1q trunking 1

Port Vlans allowed on trunk


Fa0/1 1-1005
Fa0/2 1-1005
Fa0/3 1-1005
Fa0/4 1-1005

Port Vlans allowed and active in management domain


Fa0/1 1,10,20
Fa0/2 1,10,20
Fa0/3 1,10,20
Fa0/4 1,10,20

Port Vlans in spanning tree forwarding state and not pruned


Fa0/1 1,10,20
Fa0/2 1,10,20
Fa0/3 1,10
Fa0/4 1,10,20

No campo mode você poderá ver se a interface está ativa (on – switchport mode trunk),
automática (auto - switchport mode dynamic auto) ou desejável (desirable - switchport mode
dynamic desirable.

No campo “Vlans allowed on trunk” temos as VLANs que esses trunks podem encaminhar, como
já vimos o padrão dos switches da Cisco é encaminhar todas as VLANs, ou seja, do VLAN-ID 1
até 1005, faixa padrão de numeração de VLANs.

Logo abaixo temos o campo “Vlans allowed and active in management domain” mostrando as
VLANs que estão ativas no momento, apesar do trunk permitir todas as VLANs ele só envia as
que estão configuradas, pois senão seria gerado tráfego extra sem utilidade para a rede.

No último campo marcado em amarelo “Vlans in spanning tree forwarding state and not
pruned” podemos verificar que as VLANs criadas são já tem automaticamente uma instância de
Spanning-tree criada para proteger a topologia contra loops de camada-2.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 23


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.8 Protocolo VTP

O protocolo VTP é utilizado para propagar informações sobre VLANs entre os switches de uma
mesma rede local, sedo um protocolo da camada 2 utilizado para manter a configuração de
VLANs consistentes em uma rede de switches Cisco, pois ele é um protocolo proprietário.

O protocolo VTP tem três versões (VTP v1, v2 e v3), sendo que as versões 1 e 2 são muito
parecidas, já a versão 3 é totalmente diferente e foco do CCNP SWITCH.

Nas versões 1 e 2 você precisa definir um nome para o domínio do VTP, opcionalmente uma
senha e ter trunks configurados entre os switches para que as informações sejam propagadas
(anúncios do VTP não são enviados em portas de acesso).

Ambos nome de domínio e senha são “case-sensitive”, ou seja, diferenciam letras maiúsculas
de minúsculas, por isso cuidado na configuração!

Com o protocolo VTP o administrador de redes pode criar VLANs em apenas um ponto (switch
VTP servidor) e esses VLANs ID criados são passados através de anúncios de VTP através de
links trunks para os demais switches Clientes na rede. O VTP define um domínio formado por
um switch configurado como servidor e outros como cliente.

Para criar VLANs em switches Cisco ele deve estar configurado como Servidor VTP (vtp mode
server), transparente (vtp mode transparent) ou com o VTP desabilitado (vtp mode off - apenas
para VTP versão 3).

A diferença entre o VTP v1 e v2 é que no modo trasparente o VTP v1 só encaminha informações


se receber mensagens da mesma versão, já a versão 2 encaminha de ambas as versões.

Os switches que estiverem como clientes (vtp mode client) não terão permissão para inclusão
ou alteração de VLANs, eles recebem anúncios do servidor VTP com as VLANs criadas nos
servidores e o administrador de rede pode apenas alocar as portas dos clientes nessas VLANs.

Resumindo, o switch VTP Server é onde criamos, alteramos e apagamos as VLANs do domínio
VTP. Já os Clients sincronizam com o servidor e os configurados como Transparent apenas
encaminham as mensagens do VTP, porém não sincronizam com aquelas informações.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 24


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por padrão todos os switches vêm configurados como Server, por isso que normalmente não
percebemos a presença do VTP nos switches, porém se o protocolo não for utilizado é
importante desabilitar ou configurar os switches como transparente, pois o VTP pode trazer
consequências negativas na rede se seu uso não for devidamente planejado e configurado
corretamente nos switches da rede.

Somente a criação dos VLANs ID é feita de forma centralizada com o VTP, porém a alocação de
portas nas VLANs continua sendo feitas localmente em cada switch.

Se o VTP for utilizado lembre-se que:

 Switches com Cisco IOS mais antigos suportam versões 1 e 2, os mais novos suportam
das versões 1 a 3 do VTP.
 As informações do VTP são passadas apenas via links de Trunk, sem trunks configurados
as mensagens não são trocadas entre os switches.
 Os servidores podem configurar VLANs apenas da faixa padrão de 1 a 1005 nas versões
de VTP 1 e 2. A versão 3 suporta a faixa estendida de VLANs (1006 a 4094).
 Os clientes não podem nem criar, apagar ou modificar VLANs.
 No comando show running-config as configurações de VLAN não são mostradas.

Com o comando “show vtp status” você pode verificar as configurações do VTP, veja exemplo
abaixo onde temos um switch que suporta VTP versões 1 a 3.

SW-DlteC-Rack-01#show vtp status


VTP Version capable : 1 to 3
VTP version running : 2
VTP Domain Name : dltec
VTP Pruning Mode : Enabled
VTP Traps Generation : Disabled
Device ID : 0024.5161.6a00
Configuration last modified by 192.168.1.5 at 5-5-16 15:53:52
Local updater ID is 192.168.1.5 on interface Vl10 (lowest numbered VLAN interface
found)

Feature VLAN:
--------------
VTP Operating Mode : Server
Maximum VLANs supported locally : 255
Number of existing VLANs : 13
Configuration Revision : 14
MD5 digest : 0x8F 0xB1 0x3D 0x5F 0x48 0x6C 0x3C 0x5D
0x3D 0x37 0x35 0x5F 0x4B 0xA8 0xCE 0x96
SW-DlteC-Rack-01#

Você também pode encontrar essa saída se seu switch não suportar VTP versão 3.

SW-DlteC-Sala-01#show vtp status


VTP Version : 2
Configuration Revision : 14
Maximum VLANs supported locally : 250
Number of existing VLANs : 13
VTP Operating Mode : Client
VTP Domain Name : dltec
VTP Pruning Mode : Enabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0x8F 0xB1 0x3D 0x5F 0x48 0x6C 0x3C 0x5D
Configuration last modified by 192.168.1.5 at 5-5-16 15:53:52

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 25


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Tanto os switches configurados como Server ou Client enviarão mensagens periódicas a cada 5
minutos caso nenhuma alteração ocorra após a última configuração.

Toda vez que uma alteração é realizada no VTP Server ele envia essa informação para os
Clients que sabem que existem novas informações devido a um parâmetro chamado
“configuration revision”.

Vamos estudar mais sobre a sincronização do VTP no tópico a seguir.

2.8.1 Propagação das Informações do VTP


As informações das VLANs criadas no servidor (Switch VTP Server), assim como as
configurações do VTP são armazenadas na memória flash dos switches Cisco Catalyst em um
arquivo chamado VLAN Database (Vlan.dat).

SW-DlteC-Rack-01#sho flash:

Directory of flash:/

2 -rwx 9824980 Sep 4 2015 15:03:23 -02:00 c2960-lanbasek9-mz.122-


55.SE10.bin
3 -rwx 1044 May 5 2016 13:53:52 -02:00 vlan.dat
4 -rwx 5144 Jun 7 2016 17:44:31 -02:00 multiple-fs
5 -rwx 3828 Jun 7 2016 17:44:31 -02:00 private-config.text
6 -rwx 13962 Jun 7 2016 17:44:31 -02:00 config.text
7 drwx 512 Mar 22 1993 00:36:25 -02:00 c2960-lanbasek9-mz.122-
44.SE6

27998208 bytes total (7320576 bytes free)


SW-DlteC-Rack-01#

A cada configuração realizada o servidor numera as informações com um número de revisão


(revision number) e envia uma mensagem (update) para que seus clientes possam se
sincronizar com ele (VTP synchronization).

Para que essa sincronização ocorra os parâmetros de Domain (domínio) e Password (senha)
devem estar corretamente configurados, assim como os trunks configurados, afinal o nome do
protocolo é VLAN Trunking Protocol.

Quando o servidor envia seu Update o cliente verificar o número de revisão, se ele for maior
que o atual o cliente apaga TODAS as informações e grava o conteúdo desse novo update em
seu banco de dados de VLAN.

Se a revisão for igual ou menor os clientes ignoram a informação.

Quando todos os clientes tem a mesma informação, ou seja, tem o update com o mesmo
número de revisão dizemos que o VTP está sincronizado.

Os switches configurados como transparentes repassam os updates, mas ignoram as


informações, ou seja, não configuram VLANs com a mensagem de VTP recebida.

Se o switch estiver em modo OFF ele não repassa os updates, por isso muito cuidado.

Essa sincronização traz um problema muito sério ao VTP v1 e v2, pois se alguém colocar na
rede um switch configurado como servidor, com os parâmetros de domínio e senha iguais ao do
servidor original, mas com número de revisão superior TODOS os clientes e até mesmo o
servidor original irão sincronizar com as informações de VTP desse novo switch.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 26


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Imagine, deu um problema na rede e você pegou um switch que estava encostado no estoque
para substituir um dos VTPs clientes da rede.

Aí para o seu azar ele tem número de revisão maior que o servidor atual, seja lá porque motivo
for. O que vai acontecer?

Provavelmente algumas ou todas as VLANs serão apagadas nos clientes e sua rede vai parar de
funcionar!

Para evitar isso, ao utilizar VTP v1 ou v2 siga os seguintes passos antes de colocar um novo
switch na rede:
1. Apague o arquivo vlan.dat (#delete flash:vlan.dat)
2. Apague a configuração do switch (#erase start)
3. Reinicie o switch (reload sem salvar)
4. Faça as configurações necessárias e insira o switch na rede

Dessa forma todas as informações de VTP serão “zeradas” e não haverá riscos de que o novo
switch sobrescreva as informações do servidor original.

O VTP v3 resolve isso definindo um servidor primário na rede, o qual é único e não dá margens
para que outro servidor sobrescreva seus updates.

2.8.2 VTP Puning


No início do capítulo fizemos uma revisão do funcionamento dos switches e lembramos que
quadros de broadcast, multicast ou com destino não encontrado na CAM table são inundados
(flooded) para todas as interfaces, menos para quem recebeu a informação. Esse flood é feito
tanto para as portas de acesso como nos trunks que tem aquela VLAN ativa e permitida.

Com o comando “switchport trunk allowed” conseguimos reduzir esse efeito especificando
que VLANs deveriam ou não passar, porém o VTP tem um recurso que permite a mesma tarefa
de filtrar o tráfego desnecessário dinamicamente com o recurso chamado VTP Pruning.

Como isso é feito você deve estar se perguntando, correto? Quando configuramos o VTP cada
vez que uma porta é alocada a uma VLAN o vizinho envia um aviso, o que permite que os
vizinhos decidam se uma informação deve ou não ser repassada via flooding aos seus outros
vizinhos.

Por exemplo, temos SW1 conectado em série com SW2, o qual está conectado a SW3. Em SW1
temos as VLANs 10 e 20 alocadas às suas portas, em SW temos as mesmas VLANs, mas em
SW3 temos apenas a VLAN10. Tem sentido SW3 receber quadros da VLAN 10? Com certeza
não, portanto SW2 vai filtrar floods destinados às VLANs 10 no trunk entre ele e SW3, simples
assim. Veja a figura abaixo com esse exemplo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 27


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O pruning não vem ativo por padrão e para ativá-lo basta inserir o comando “vtp pruning” em
modo de configuração global pelo menos no switch VTP Server ou em todos os switches do
domínio.

Uma vez ativado ele fará o pruning para as VLANs de 2 a 1001, pois as VLANs reservadas (1 e
de 1002 a 1005) ou faixa estendida (1006 a 4098) não são elegíveis ao pruning automático.
Essa regra vale tanto para o VTP versões 1 e 2 como para o VTP v3.

Você pode verificar a ação do pruning no comando "show interfaces trunk" e se ele está ativado
no comando "show vtp status".

2.8.3 Configurações do VTP


Configurar o VTP v1 ou v2 é bem simples, basta definir que switch será o servidor, qual o
domínio e senha utilizada e certificar-se que os trunks estão ativos.

Veja exemplo abaixo onde temos dois switches Cisco Catalyst 2960, vamos começar pelo
servidor definindo domínio dltec, senha dltec e ativando o VTP pruning.

SW-server#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW-server(config)#vtp mode server
SW-server(config)#vtp domain dltec
SW-server(config)#vtp password dltec
SW-server(config)#vtp pruning
SW-server(config)#

Agora vamos ao cliente.

SW-client#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW-client(config)#vtp mode client
SW-client(config)#vtp domain dltec
SW-client(config)#vtp password dltec
SW-client(config)#

Agora vamos tentar criar uma VLAN no client para ver a mensagem de erro.

SW-client(config)#vlan 10
VTP VLAN configuration not allowed when device is in CLIENT mode.

Veja que o switch enviou uma mensagem dizendo que não é permitido porque ele está em
modo client. Vamos ver o estado do VTP com o comando show abaixo.

SW-server#show vtp status


VTP Version : 2
Configuration Revision : 14
Maximum VLANs supported locally : 250
Number of existing VLANs : 13
VTP Operating Mode : Client
VTP Domain Name : dltec
VTP Pruning Mode : Enabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0x8F 0xB1 0x3D 0x5F 0x48 0x6C 0x3C 0x5D
Configuration last modified by 192.168.1.5 at 5-5-16 15:53:52

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 28


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que nas linhas marcadas abaixo do comando temos a versão do VTP (VTP version 2), o
número de revisão é 14, tem 13 VLANs configuradas (sendo que 5 são as padrões), ele é
cliente, tem o pruning ativo e foi configurado pelo switch servidor com IP 192.168.1.5 às
15:53.

Agora vamos analisar o efeito do pruning no switch servidor, começando a verificar quais VLANs
estão configuradas nele.

Veja que temos as VLANs padrões mais a 10, 20, 22, 30, 40, 60, 100 e 700. Agora vamos ver o
que o pruning bloqueou no trunk após análise da alocação de VLANs no switch cliente.

SW-server#show interfaces trunk


Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q trunking 10

Port Vlans allowed on trunk


Gi0/1 1-4094

Port Vlans allowed and active in management domain


Gi0/1 1,10,20,22,30,40,60,700

Port Vlans in spanning tree forwarding state and not pruned


Gi0/1 1,10,30

Note que o trunk está na Giga 0/1 e apenas as VLANs 1, 10 e 30 estão permitidas, as demais
estão filtradas pelo pruning.

Para ver a senha configurada no VTP entre com o comando “show vtp password”, ela não
aparece no show running-config.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 29


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3 Protocolo Spanning-Tree - STP


Se você recorda, durante o curso CCNA CCENT não nos preocupamos com loops de camada-2
ou com o protocolo Spanning-tree em nossas configurações utilizadas durante as vídeo aulas ou
nos laboratórios.

Isso se deve ao fato de tanto nos switches da Cisco como de outros fabricantes o protocolo
Spanning-tree já vir habilitado por padrão. A cada VLAN criada uma instância do STP também
é criada automaticamente por padrão, ou seja, cada VLAN criada tem a garantia de uma
topologia final livre de loops (caminhos redundantes).

A tecnologia utilizada pela Cisco para manter uma rede de switches camada-2 livre de loops é
chamada Spanning-tree por VLAN (Per VLAN Spanning Tree Plus ou PVST+) e segue as
recomendações da norma IEEE 802.1D.

Existem outras opções de STP, tais como o RSTP e o MST, porém o foco da prova atual é o STP
tradicional e o PVST+, os quais tem o mesmo princípio de funcionamento.

Vamos a seguir relembrar porque precisamos do STP para proteger a rede contra os loops de
camada-2.

Durante o estudo sobre o STP você pode encontrar o termo “bridge” utilizado como
sinônimo para switch. Lembre-se que as bridges têm o mesmo princípio básico de
funcionamento dos switches e foram criadas muito antes que eles, por isso o STP é uma
tecnologia mais antiga que você pode supor.

O loop de camada 2 também pode ser chamado de “loop de bridge” ou “bridging loop” pelo
mesmo motivo.

3.1 Por que utilizar o STP?

Quando pensamos em uma topologia de rede LAN imediatamente vem em mente conectar dois
switches utilizando pelo menos dois cabos de rede, assim se o primeiro falhar ou for
desconectado por engano, o segundo cabo possibilita que a comunicação não seja interrompida
e possa fluir através dele.

Esse é o básico da redundância, ou link backup, que uma rede LAN precisa ter, pois sempre que
possível é interessante eliminar os pontos únicos de falha nas topologias de rede.

Mas qual o problema que esse tipo de solução causa em uma rede de switches camada 2 se não
utilizarmos uma tecnologia de proteção contra os loops?

Para responder basta lembrar-se do comportamento padrão dos switches! Vamos iniciar
analisando um broadcast enviado por um host em uma topologia redundante sem proteção
contra loops, veja a figura a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 30


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Quando o servidor envia o broadcast na porta do switch A o quadro é copiado em todas as suas
portas, porém não é enviado na porta do servidor, pois não tem sentido reenviar o quadro para
quem o enviou. Quando isso acontece o switch B recebe uma cópia desse quadro e faz o
mesmo procedimento, o que acaba fazendo com que o switch A receba mais uma vez a cópia
do broadcast que ele mesmo enviou, o que acontece a seguir?

Simples, o switch A reenvia essa cópia recebida para todas as portas, menos para o trunk por
onde ele recebeu, ou seja, o próprio pode acabar recebendo uma cópia do broadcast que ele
mesmo enviou e também o switch B vai receber mais uma cópia desse broadcast e esse quadro
vai ficar rodando na rede até que um dos trunks seja desconectado ou tenha sua porta colocada
em shutdown!

Nesse exemplo temos ilustrados dois problemas que podem ocorrer, cópias do mesmo
quadro sendo recebido pelos hosts e switches repetidamente e se vários hosts começarem a
enviar broadcast simultaneamente teremos uma tempestade de broadcasts, o que pode
acabar ocupando toda a banda dos trunks e parando a rede!

Dependendo da topologia de rede, outro problema que pode acontecer é a instabilidade da


tabela de endereços MAC dos switches. Por exemplo, suponha que ambos os switches A e B não
conhecem o MAC do servidor e um computador também desconhecido no segmento 2 quer
enviar um quadro para ele.

Quando o computador envia o quadro ambos os switches aprendem que seu MAC pertence às
portas conectadas no segmento 2. Em seguida, como o MAC do servidor também é
desconhecido eles fazem o flood desse quadro para o segmento 1. Aí vem o problema, pois
quando o switch B encaminha o quadro e o switch A recebe no segmento 1 ele encontra o
mesmo MAC de origem do computador e por padrão ele reaprende esse MAC e vincula à porta
do segmento 1, pois um computador não pode estar em duas portas simultaneamente!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 31


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Porém, assim como isso ocorre com o switch A, o switch B vai tomar a mesma ação e acaba
vinculando o MAC do computador à porta do segmento 1, depois o computador reenvia o
quadro e tem seu MAC vinculado ao segmento 2, o processo de flooding se repete e os switches
vinculam o MAC ao segmento 1 e assim segue em loop e os switches acabam nesse loop
indefinidamente. O nome desse problema é instabilidade da tabela MAC ou no banco de dados
de endereços MAC.
Como resolver esse tipo de problema? Evitando que existam loops de camada-2!

Essa é a função do STP, enviar quadros (probes) chamados BPDUs para testar se existem loops
de camada 2 e utilizar um algoritmo para decidir quais os links devem ficar ativos e quais
devem ser desligados para “matar” os possíveis loops.

A vantagem do STP é que se um link principal (ativo) for desconectado ou tiver algum
problema, o link reserva é ativado após um período de tempo automaticamente, sem a
intervenção do administrador de redes.

Pense um pouco sobre o assunto e responda: “Se tivermos 10 cabos conectados para
entroncamento entre dois switches, por padrão quantos desses links estarão ativos entre
os dois equipamentos?”

Apenas um link ficará ativo, pois todos os demais precisam ser desativados para que não
hajam loops de camada-2!

3.2 Devo utilizar o padrão do STP ou customizar seu funcionamento nos switches?

Antes de entrarmos a fundo nos tipos de mensagens, regras e detalhes de funcionamento do


STP tenham em mente que a função dele é simples: achar onde tem links conectados causando
loop e deixar apenas um deles ativo.

Por exemplo, se você fosse o spanning-tree deveria seguir os cabos conectados entre os
switches (no backbone) e sair desconectando os cabos ligados de maneira redundante de
acordo com alguma regra que você mesmo definiria, por exemplo, desligar os cabos onde
temos links de mais baixa velocidade. No final da sua maratona desligando cabos a topologia
teria apenas um caminho possível entre os switches.

Você deve estar pensando agora: “Mas se o STP tem essa finalidade e já vem habilitado por
padrão porque me preocupar com entender seu funcionamento? Vamos deixar como está que o
padrão resolve tudo!”. Normalmente a operação padrão do STP é realmente suficiente para
redes de pequeno porte, fazendo que sua operação seja transparente em muitas empresas com
topologias simples.

Por exemplo, uma empresa que tem 60 funcionários utilizando três switches de 24 portas
conectados entre si por um ou dois cabos cruzados realmente pode deixar o padrão do STP que
vai funcionar muito bem. Veja a figura a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 32


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Mas a medida que as redes crescem, se não houver um padrão para conexão dos novos
equipamentos podemos gerar pontos únicos de falha e quando um switch falha toda a rede ou
pelo menos boa parte dela também para de funcionar.

Lembre-se que a Cisco, para evitar esse tipo de falta de padronização no desenho da rede,
criou a topologia em três camadas (Access/Acesso, Distribution/Distribuição e Core/Núcleo).
Com modelos como o de três camadas o padrão do STP normalmente não é o suficiente e é
preciso definir via comando como será o funcionamento do algoritmo. Veja a figura abaixo.

Nesse tipo de topologia geralmente as VLANs estão posicionadas entre os switches de


distribuição e de acesso, sendo que a conexão entre a distribuição e núcleo pode ser feita com
links camada-3, ou seja, através de roteamento e não via VLANs ou camada-2.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 33


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Portanto, customizar ou não o funcionamento do STP depende do porte da rede. Na prática


você vai perceber que os comandos para definir como a topologia deve se comportar são
simples e após o curso recomendo que sempre vocês customizem suas redes com switches
Cisco Catalyst independente do tamanho da rede.

3.3 Funcionamento do STP – Montando a rede livre de Loops

A função do protocolo Spanning-tree ou STP é identificar e bloquear possíveis loops de camada-


2 mantendo apenas um link ativo no segmento de rede entre dois switches, conforme já
estudamos anteriormente.

Para isso, o algoritmo de Spanning Tree determina qual é o caminho mais eficiente (de menor
custo) até um dos switches que será eleito como root ou raiz. No final do processo, o algoritmo
spanning tree coloca cada porta de trunks do backbone no estado de encaminhamento
(forwarding) ou no estado de bloqueio (blocking). O conjunto de portas no estado forwarding
cria um caminho único pelo qual os quadros são enviados entre os segmentos ethernet até o
switches (bridge) que é eleito como raiz.

Para viabilizar o cálculo do melhor caminho até o bridge eleito como raiz são trocados quadros
especiais chamados BPDU (Bridge Protocol Data Unit) entre os switches. Através das
informações contidas nesses quadros, as quais são informadas pelos switches, que todo
processo de cálculo dos caminhos livres de loop é realizado. Mas que informações são trocadas
nesses quadros? Veja abaixo:

 Root Bridge ID: valor que identifica quem é o root bridge, ou seja, o switch raiz que
servirá como referência para montar a topologia livre de loops.
 Bridge ID do Emissor: o identificador do próprio emissor do BPDU.
 Custo até o root: custo do STP entre o switch local e o switch eleito como root.
 Valores dos temporizadores do STP (timers): temporizadores no root switch,
incluindo hello timer (padrão 2s), MaxAge timer (padrão 10 vezes o valor do hello –
nesse caso 20s) e forward delay timer (padrão 15s).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 34


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Os passos para montar a topologia livre de loops até o root bridge que o algoritmo do
spanning-tree utiliza são:

1. Eleição do Root Bridge (root ou RB) ou switch raiz.


2. Determinação das portas raízes (Root Ports - RP) nos switches que não foram eleitos
como root (raiz).
3. Determinar as portas designadas ou Designated Ports (DP) -> portas dos links
redundantes que devem ficar ativas.
4. Determinar que portas serão não-designadas ou non-designated ports -> portas dos
links redundantes que devem ficar no estado de bloqueio ou blocked para evitar loops.

O que ocorre então quando ligamos um switch? Ocorre o processo de POST, carga do IOS,
carga da configuração inicial, assim como em um roteador, e após finalizar o processo básico de
inicialização o Spanning-tree entra em ação e por padrão todas as portas ficam bloqueadas
(blocked) por pelo menos 50 segundos, por padrão, até que a topologia livre de loops seja
calculada.

Primeiro haverá a eleição do switch raiz ou root bridge. Através da troca inicial de BPDU’s os
switches se autodenominam raízes, que serão o topo da topologia, até um momento que
haverá a convergência das informações e a eleição do bridge raiz. A lógica é simples, como
nenhum switch conhece nada sobre seus vizinhos ele mesmo coloca no seu BPDU inicial o
próprio Bridge ID no campo de root e de emissor.

Após a troca de BPDUs os switches elegem o bridge raiz e os que não são root terão que
determinar que portas deverão ficar ativas ou bloqueadas para evitar os loops de camada-2.
Conforme estudado anteriormente essa decisão é tomada, por padrão, pelo custo dos links, ou
seja, a preferência são os caminhos com maior largura de banda.

As portas com melhor custo ao switch raiz são eleitas como root ports, ou seja, as portas que
devem ficar ativas e serão utilizadas para encaminhar os quadros.

As demais portas que restam conectam links redundantes e devem ter apenas uma porta ativa
(chamada de designada) e outra bloqueada (chamada de não designada) para garantir que
existe apenas um caminho ativo até o root.

Analise a figura a seguir para ver o resultado do spanning-tree após sua convergência em uma
rede redundante. Apesar de vários links físicos estarem conectados, após o STP calcular os
caminhos livres de loop há apenas uma opção de link para chegar aos switches. As portas
desabilitadas continuam trocando BPDU e entrarão em atividade caso o caminho principal fique
inativo ou down.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 35


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.4 Entendendo o Algoritmo do STP

Vamos estudar agora os detalhes das regras gerais para determinar uma topologia após o STP
calcular os melhores caminhos livres de loop:
1. Eleição do root bridge ou switch raiz.
2. Determinação das portas raízes (root port) nos switches que não foram eleitos como
root (raiz).
3. Determinar as portas designadas ou designated ports -> portas dos links redundantes
que devem ficar ativas.
4. Determinar que portas serão não-designadas ou non-designated ports -> portas dos
links redundantes que devem ficar no estado de bloqueio ou blocked para evitar loops.

Nos tópicos a seguir vamos estudar como o STP funciona em condições normais e sem
alteração dos valores de fábrica dos switches. Na sequência vamos estudar como alterar esses
valores e influenciar na escolha da topologia do STP.

3.4.1 Eleição do Root Bridge (Raiz)


Cada VLAN em uma rede de switches deve ter apenas um switch raiz, ou seja, um root
bridge para cada domínio de broadcast ou VLAN. Esse root pode ser diferente para cada VLAN,
por exemplo, o switch-1 ser o root da VLAN1 e o switch-2 o root para a VLAN2.

O root bridge é determinado pelo menor Bridge ID (BID), valor que identifica cada switch no
STP e composto por um Bridge Priority (prioridade – 32768 por padrão) mais o MAC Address
do Switch. O valor é dado em hexadecimal.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 36


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por padrão a prioridade é a mesma em todos os switches, portanto, sem nenhuma configuração
realizada o switch com menor MAC será eleito como Root Bridge.

Quando os switches são ligados todos enviam seu próprio BID como se fosse o root e após
receber BPDUs melhores que os seus (com valores de BID mais baixo) de outros switches eles
param de enviar seu BID no campo de root. Com o tempo haverá uma convergência sobre
qual switch é realmente o root e todos os switches enviarão o mesmo valor BID do root em
seus BPDUs, ou seja, o valor do BID do switch que realmente é o raiz.

Os BPDUs com menor BID (melhores) são chamados “superiores” e os com maior BID (piores)
são chamados “inferiores”. Por exemplo, uma maneira de definir o root bridge é aquele switch
ou bridge que tem BPDU superior em relação aos demais switches.

Por exemplo, suponha que o switch-1 tem sua prioridade configurada com o valor 4096 e o
switch-2 tem sua prioridade com o valor de 8192, qual será o root? Independente do MAC dos
switches com certeza o switch-1 com BID 4096 será eleito como root.

Agora suponha que o campo referente a prioridade no BID está com o valor padrão em todos os
switches (valores iguais) e temos o switch-1 com MAC 0211.1111.1111 e o switch-2 com MAC
0511.1111.1111, qual dos dois será eleito como root? Vamos analisar o BID de cada um deles:

 Switch-1= 32768:0211.1111.1111
 Switch-2= 32768:0511.1111.1111

Veja que a comparação dos valores agora depende do MAC, pois as prioridades são iguais,
portanto o switch-1 será eleito root, pois o valor em hexadecimal do seu MAC é menor que o
valor do MAC do switch-2.

Na prática a prioridade aparece com o valor do VLAN ID somado, por exemplo, a VLAN 1 tem
prioridade 32768+1=32769, por isso não estranhe quando futuramente utilizarmos os
comandos show para verificar essas prioridades.

Resumindo os critérios para eleição do root bridge:

1. Menor prioridade de bridge (bridge priority)


2. Menor endereço MAC

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 37


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Um detalhe importante sobre o root bridge é que todas as suas portas são designadas, ou
seja, estão em modo de encaminhamento de pacotes (forwarding – FWD).

Para verificar nos switches que é o root podemos utilizar os comandos “show spanning-tree”,
“show spanning-tree vlan 1” ou “show spanning-tree root” ou “show spanning-tree
vlan 1 root”.

SW-DlteC-Rack-01#show spanning-tree

VLAN0001
Spanning tree enabled protocol rstp
Root ID Priority 24577
Address 0024.5161.6a00
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 24577 (priority 24576 sys-id-ext 1)


Address 0024.5161.6a00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type


------------------- ---- --- --------- -------- --------------------------------
Fa0/8 Desg FWD 19 128.8 P2p
Fa0/24 Desg FWD 19 128.24 P2p Edge

VLAN0010
Spanning tree enabled protocol rstp
Root ID Priority 24586
Address 0024.5161.6a00
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 24586 (priority 24576 sys-id-ext 10)


Address 0024.5161.6a00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type


------------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p Edge
Fa0/4 Desg FWD 19 128.4 P2p Edge
Fa0/7 Desg FWD 100 128.7 Shr Edge
Fa0/8 Desg FWD 19 128.8 P2p
Fa0/24 Desg FWD 19 128.24 P2p Edge
Gi0/2 Desg FWD 4 128.26 P2p Edge

SW-DlteC-Rack-01#show spanning-tree vlan 1

VLAN0001
Spanning tree enabled protocol rstp
Root ID Priority 24577
Address 0024.5161.6a00
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 38


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Bridge ID Priority 24577 (priority 24576 sys-id-ext 1)


Address 0024.5161.6a00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type


------------------- ---- --- --------- -------- --------------------------------
Fa0/8 Desg FWD 19 128.8 P2p
Fa0/24 Desg FWD 19 128.24 P2p Edge

SW-DlteC-Rack-01#show spanning-tree root

Root Hello Max Fwd


Vlan Root ID Cost Time Age Dly Root Port
---------------- -------------------- --------- ----- --- --- ------------
VLAN0001 24577 0024.5161.6a00 0 2 20 15
VLAN0010 24586 0024.5161.6a00 0 2 20 15
VLAN0020 24596 0024.5161.6a00 0 2 20 15
VLAN0030 24606 0024.5161.6a00 0 2 20 15

SW-DlteC-Rack-01#show spanning-tree vlan 1 root

Root Hello Max Fwd


Vlan Root ID Cost Time Age Dly Root Port
---------------- -------------------- --------- ----- --- --- ------------
VLAN0001 24577 0024.5161.6a00 0 2 20 15
SW-DlteC-Rack-01#

3.4.2 Escolha de uma root port por não-root bridge


A root port (porta raiz) será por padrão a interface de menor custo (maior largura de banda)
de um switch não-raiz que o conecta ao switch eleito root. O STP determina custos padrões
para cada tipo de interface e velocidade conforme tabela abaixo:

Largura de banda Custo do STP


(IEEE 802.1D)
10 Mb 100
100 Mb 19
1 Gb 4
10 Gb 2

O custo até o raiz é o valor acumulado para chegar até ele, por exemplo, se um switch para
chegar ao raiz passa por dois links em cascata de 100Mbps seu custo até o raiz será de 38
(100Mbps=19).

Lembre-se que o valor do custo até o raiz é passado dentro do BPDU, com isso os switches
conseguem determinar qual o custo acumulado para chegar ao root através de cada uma das
suas interfaces conectadas ao backbone.

Em casos de empate na escolha de uma root port o desempate é feito primeiramente através
da porta com menor Bridge-ID entre os vizinhos conectados ao root bridge.

Caso o switch tenha mais de uma porta conectada ao outro switch o bridge-ID dos BDPUs
enviados pelas portas será o mesmo e não servirá como critério de desempate, nesse caso o
port priority (prioridade da porta no STP – padrão 128 e pode variar de 0 a 255) é quem
determina quem será a root port, quanto menor melhor.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 39


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Se o port priority não foi alterado nos switches ele não servirá como critério de desempate
(tiebreaker) e o número da porta será utilizado como critério para definir a root port. Por
exemplo, se um switch está conectado ao root bridge utilizando as interfaces Fast 0/10 e
Fast0/20 quem será eleita como root port?

Nesse caso o BID será o mesmo, se a configuração está no padrão a prioridade da porta
também será a mesma, portanto a fast 0/10 será eleita como root port, pois seu identificador é
menor que da fast 0/20 (10<20).

Resumindo, a porta escolhida como root nos switches não raiz será aquela que:

1. Tem o menor custo acumulado até o root bridge


2. Menor BID entre vizinhos
3. Menor prioridade de porta
4. Menor número de porta

3.4.3 Escolha de uma porta designada por segmento

As portas designadas (designated ports) ficam no estado de forwarding, ou seja, podem


encaminhar tráfego na topologia do STP. Uma regra básica sobre portas designadas é que
TODAS as portas do switch raiz sempre são designadas e estão encaminhando quadros.

Nos switches que não foram eleitos como raiz, ou seja, nos demais switches da topologia, as
portas designadas são escolhidas por padrão pelo menor custo até o raiz (menor root cost).

A porta escolhida como designada fica no estado de forwarding.

A outra porta do link será escolhida como não designada (non-designated port) e não será
utilizada para o encaminhamento de quadros, ficando no estado de blocked ou bloqueada.
Apesar disso, as portas não designadas continuam escutando BPDU’s para verificar se
houveram alterações na topologia e se ela deve ou não ser ativada para permitir que o tráfego
saia por um caminho redundante. Veremos como isso funciona no próximo tópico sobre
alterações na topologia.

Caso haja um empate os critérios de desempate são:

1. Menor bridge ID
2. Menor custo até o root bridge (não o custo da porta em questão, mas o da root port)
3. Menor bridge ID de quem está enviando o BPDU
4. Menor port ID de quem está enviando o BPDU

Aqui podemos ter uma visão completa de como o STP atua em uma rede de switches
redundantes, pois teremos no final da topologia apenas um caminho até um switch eleito como
root, o que garante uma topologia final livre de loops.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 40


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.5 Exemplo Prático de Análise de Convergência do STP

Colocando em prática o que foi explicado sobre o algoritmo STP considere a topologia a seguir e
vamos descobrir a topologia final do STP.

Vamos começar encontrando o root bridge da rede, considerando que o bridge priority não foi
alterado, portanto o menor MAC deve ganhar a eleição.

Qual o switch com menor MAC que será eleito root bridge? Tente resolver sozinho.
Resposta: É o Switch C, portanto ele será o root bridge.

Como o switch C é o root, todas as suas portas estarão encaminhando pacotes, ou seja, serão
portas designadas e estarão no estado de forwarding.

A seguir precisamos determinar quais portas serão escolhidas como root-ports nos outros 3
switches não root-bridge. Pela regra serão as portas com menor custo acumulado até root
bridge, ou seja, as portas com maior largura de banda. Os custos dos links seguem a tabela
abaixo:

Bandwidth 802.1d 1998 STP Cost


10 Mb 100
100 Mb 19
1 Gb 4
10 Gb 2

Redesenhe a topologia anterior com os custos de cada link. Clique aqui para ver a resposta
certa.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 41


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Vamos analisar os possíveis caminhos para os 3 switches que não são raiz nas figuras de 1 a 3
para determinar os links principais que estarão encaminhando os quadros.

Analisando os caminhos possíveis entre o switch A e o C (root) na figura a seguir, a melhor


opção é enviar o quadro para o D e dele enviar para o C, pois o caminho pega dois links
Gigabit, que somados dão um custo 8. Portanto já sabemos que as 3 portas do switch C estarão
encaminhando e agora também as portas que ligam do switch A ao D e D ao C.

Na próxima figura temos os possíveis caminhos entre o switch B e o C (root), nesse caso fica
simples de ver que a ligação direta entre os dois switches via uma porta Giga é a melhor opção
com custo 4.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 42


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Na figura a seguir temos os caminhos entre D e C (root) com o mesmo caso do B, onde D tem
uma conexão direta via Giga com custo 4, que será o melhor caminho.

Agora redesenhe a topologia indicando os links que ficarão ativos e os que serão bloqueados
pelo STP. Clique aqui para ver a resposta certa.

Com a análise até o momento já conseguimos determinar os links principais e suas root ports
em cada um dos switches não root. Serão root ports a porta do switch A que conecta ao switch
D, a porta do switch B que o conecta ao switch C e a porta do switch D que o conecta ao switch
C. Além disso, todas as portas do switch C serão designadas e a porta do switch D que o
conecta ao switch A também deve ser designada (deve estar ativa e encaminhando quadros).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 43


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Agora, temos que analisar dos três links que deverão ficar inativos quais portas estarão
atuando como designadas e quais portas serão não designadas.

Conforme já citado o mais fácil é analisar começando pelo root C, pois todas as portas dele
devem ser designadas, estão no link entre A e C a porta do C estará designada e a do A não
designada ou bloqueada. Veja a figura a seguir.

Agora vamos para o link entre A e B. A regra diz que a porta do switch com menor custo até o
root bridge deve ser designada e em caso de empate o switch com menor Bridge ID terá sua
porta como designada. O switch B tem um caminho de menor custo por estar diretamente
conectado ao C via uma porta Giga (custo 4). Já o switch A tem seu custo até o root bridge
igual a 8, portanto a porta do Switch B será designada e a do A ficará bloqueada. Veja a figura
a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 44


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Agora vamos fazer a mesma análise para o link entre B e D. Note que o custo para o root para
ambos os switches será o mesmo porque os switches B e D tem conexão direta ao root via uma
porta Giga, portanto o custo dos dois até o raiz será 4. Utilizando os critérios de desempate, o
que vai determinar a porta designada será o BID ou Bridge ID. Como não houve alteração da
prioridade o menor MAC determina o switch com menor BID. Comparando os MACs de B e D
podemos concluir que o Switch D terá a porta designada e o B terá sua porta bloqueada ou não
designada.

Na figura a seguir mostramos a topologia completa e todas as portas já mapeadas.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 45


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

As portas aparecerão no comando "show spanning-tree" conforme saída abaixo como Root
(Raiz), Altn (porta não designada ou alternativa) e Desg (porta designada). O estado de BLK
quer dizer bloqueado e FWD quer dizer encaminhado. Veja exemplo do comando a seguir.

Switch#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 0006.2A69.A657
Cost 4
Port 25(GigabitEthernet1/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 0060.3EE1.E6D3
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/2 Altn BLK 19 128.2 P2p
Fa0/1 Desg FWD 19 128.1 P2p
Gi1/1 Root FWD 4 128.25 P2p
Switch#

Dica: Entre na área de aluno e baixe o arquivo "STP_Exemplo.pkt", com ele você pode
verificar a convergência utilizando o packet tracer e executar os comandos que foram ensinados
no capítulo em uma topologia semelhante.

Você pode utilizar os comandos “show spanning-tree root” e “show spanning-tree bridge”
para verificar mais informações sobre o processo de eleição. Esses comandos não são
suportados pelo packet tracer.

É importante para as provas do ICND-2 e CCNA Composite entender como o STP funciona e
monta sua topologia livre de loops. As questões de prova podem cobrar esse conceito e pedir
que você analise uma topologia e identifique o root bridge, root ports, portas designadas e não
designadas ou então pode pedir para identificar quais links estarão ativos após a convergência
do STP.

3.6 Estado das Portas com STP

Até o momento estudamos dois estados que as portas dos switches podem assumir após a
convergência do STP: encaminhando (forwarding ou FWD) ou bloqueada (blocked ou BLK).

Uma porta em FWD pode receber e encaminhar tanto quadros ethernet como BDPUs. Já no
estado de BLK as portas podem apenas escutar ou receber BPDUs.

Além desses dois estados, as portas dos switches que utilizam o STP, podem assumir mais três
estados, totalizando 5 possíveis estados de portas. Vamos ver todos os possíveis estados:

 Blocked ou bloqueada: apenas recebe BPDU.


 Forwarding ou encaminhando quadros: recebe e envia quadros ethernet e BPDU.
 Listening ou em escuta: envia e recebe apenas BPDUs.
 Learning ou em aprendizado: envia e recebe BPDUs, assim como aprende endereços
MACs dos hosts conectados às portas do switch para popular a tabela MAC.
 Disabled ou desabilitada: porta em shutdown.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 46


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Quando ligamos um switch as portas passam pelos estados acima e no final ficam ou em FWD
ou em BLK. Os estados de listening e learning são temporários e duram 15 segundos cada
um, tempo esse definido pelo temporizador chamado “forward delay” ou atraso de
encaminhamento.

Quando ligamos um switch você já deve ter notado que as portas ficam em laranja (ou âmbar)
indicando que elas estão desabilitadas pelo STP por um tempo relativamente longo, na
realidade totaliza 50 segundos com o STP tradicional.

O que ocorre é que ao ligar e inicializar um switch quem assume a próxima etapa, antes
mesmo de encaminhar os quadros através das porta, é o STP. Por padrão a porta é bloqueada
até que o temporizador chamado MaxAge finalize, por padrão isso leva 20 segundos (10 vezes
o hello que é de 2s por padrão). Nesse período os switches não podem enviar nem quadros ou
BPDUs, eles podem apenas receber BPDUs.

Quando o MaxAge finaliza as portas então passam para o estado chamado listening. Nesse
estado os switches podem receber e enviar apenas BPDUs, com isso ocorre a eleição do
root bridge e montagem da topologia livre de loops. Esse estado dura 15 segundos, o valor
definido no forward delay. Em listening o switch não pode nem enviar ou receber quadros
ethernet, assim como não pode aprender endereços MAC.

Na sequência a porta passa para o estado de learning, ou seja, aí sim pode enviar e receber
BPDUs e também escutar os quadros ethernet que estão sendo enviados pelos hosts para
montar sua tabela de endereços MAC. Esse estado dura 15 segundos, o valor também definido
pelo forward delay.

O próximo passo é colocar a porta em FWD para encaminhar quadros e BPDUs ou bloquear a
porta caso ela seja uma porta não designada. Portanto, as portas designadas, root ports e ports
de hosts (computadores e demais dispositivos de usuários) serão colocadas no estado de
encaminhamento ou FWD e as portas não designadas serão bloqueadas (BLK) para evitar loops.

Resumindo os estados das portas quando ligamos um switch e o tempo de transição entre cada
estado:

 BLK (20s – MaxAge) -> Listening (15s – FWD Delay) -> Learning (15s – FWD delay) ->
FWD ou BLK
 50 segundos (20s+15s+15s) até o STP calcular a topologia e bloquear ou liberar a porta
para o encaminhamento de quadros e BPDUs

Se a porta estiver em shutdown ela fica em disabled e nem envia ou recebe nenhuma
informação.

Uma vez montada a topologia e o STP finalizar sua convergência os switches trocarão apenas
quadros de BPDU de 2s em 2s como protocolo de hello, ou seja, para verificar se todos os
dispositivos estão presentes e ativos na topologia.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 47


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.7 Como o STP reage a mudanças na topologia?

E se um dos links ativos entre dois switches for desconectado ou cair? Como o STP trata esse
problema e ativa os links redundantes que estão desabilitados?

Os switches detectam que um link caiu (foi para down) quando para de receber BPDUs com
hellos através de uma de suas interfaces. Lembre-se que o switch espera, por padrão, receber
um hello a cada 2 segundos após a convergência. Se ele não receber hello por um período de
20 segundos (tempo definido pelo MaxAge que são 10 vezes o valor do temporizador de hello)
o switch deve fazer novamente o processo de escolha de uma nova root port para possibilitar
que o link backup seja ativado.

Então quer dizer que o link redundante não sobe de imediato com o STP? Isso mesmo, vai levar
até 50 segundos para que um link suba quando há alteração de topologia, pois o switch deve
esperar acabar o MaxAge, depois passar a porta para listening, learning e aí sim a nova root
port vai para o estado de FWD e pode encaminhar e receber os quadros ethernet.

Além disso, quando uma porta que estava bloqueada entre no estado de listening o switch
apaga os MACs que eventualmente estão vinculados àquela interface para evitar loops
temporários de camada-2.

Resumindo, quando há uma alteração na topologia e um link cai, se esse link estava ativo e
tinha uma root port em uma das suas pontas, será necessária a escolha de uma nova root port,
praticamente um recálculo do STP. Dependendo onde a falha ocorrer pode haver até a
necessidade de eleição de um novo root bridge!

Você pode verificar as alterações de estado das portas pelo STP com o comando “debug
spanning-tree events”. Lembre-se que o debug pode gerar diversas saídas de mensagens ao
console e atrapalhar a operação ou até parar o funcionamento um equipamento!

3.8 Recursos Extras do STP

O STP tem aproximadamente 30 anos e a IEEE 802.1D foi lançada na década de 80, portanto
estamos tratando de um protocolo maduro que foi inventado antes mesmo dos switches
dominarem as redes locais como estamos acostumados atualmente!

Durante esse tempo muita coisa mudou e recursos adicionais foram introduzidos à versão
original do STP para que seu desempenho fosse cada vez mais aprimorado e ficasse condizente
com as necessidades de cada época e porte de rede.

Vamos a seguir estudar de forma macro alguns desses recursos, dos quais vamos até
posteriormente aprender como implementá-los, pois são parte dos objetivos do ICND-2 (200-
105) e CCNA R&S Accelerated (200-125).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 48


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.8.1 RSTP – Rapid Spanning-tree


O RSTP é definido pela IEEE 802.1W pode ser considerado uma evolução do STP (802.1D),
pois ambos os protocolos STP e RSTP são compatíveis entre si e tem a mesma finalidade em
uma rede composta por switches: “evitar loops de camada-2”.

A grande diferença e vantagem do RSTP é sua velocidade de convergência, tanto na


inicialização quando em alterações de topologia, que é quase que imediato.

O RSTP elege um switch root, root ports, portas designadas e não-designadas (chamadas de
portas alternativas) da mesma maneira que o 802.1D. A diferença é que o tempo de transição
para o estado das portas foi reduzido com 3 operações básicas: Discarding (antigo BLK no
STP), Learning e Forwarding (não temos mais o estado de listening).

No RSTP, todos os switches são capazes de notificar eventos de mudança na topologia em suas
BPDUs e "anunciá-los" em intervalos regulares definidos pelo hello-time. Portanto, a cada 2
segundos (Hellotime) os switches criarão os seus próprios BPDUs e enviarão estes através de
suas designated ports. Se num intervalo de 6s (3 BPDUs consecutivas) o switch não receber
BPDUs do seu vizinho, o mesmo irá assumir que o nó vizinho não faz mais parte da topologia
RSTP e irá fazer o estorno das informações de nível 2 da porta conectada ao vizinho.

Isso permite a detecção de eventos de mudança mais rapidamente do que o MAX AGE (tempo
que um vizinho é considerado ausente – 20s por padrão) do STP 802.1D, sendo a convergência
agora feita LINK a LINK, muito mais veloz chegando a um máximo de 5 segundos.

Na prática, a topologia final que chegamos para o STP é igual a que o RSTP vai montar, porém
a porta chamada de “Não Designada” no RSTP é chama de Alternativa (Altn ou Alternative).

O RSTP foi retirado do foco prático na revisão do ICND-2 e tem seu estudo mais aprofundado
no CCNP Switch, porém ele é muito utilizado em ambientes reais, por isso vale a pena conhecer
melhor esse recurso.

3.8.2 Etherchannel ou Agregação de Portas


A agregação de links é a utilização de um protocolo para fazer com que vários links Fast ou
Gigabit Ethernet se comportem como se fosse apenas uma porta (um tubo), por exemplo,
juntando 4 links de 100Mbps entre dois switches você teria um link de 400Mbps como se fosse
apenas uma porta ligada entre os equipamentos.

A grande vantagem é que nesse caso o spanning-tree não desabilita as portas individuais e os
links que seriam reserva ficam ativos. Para o STP é como se o link agregado fosse uma única
porta.

Portanto o etherchannel é um recurso que tem como objetivo agregar segmentos ethernet
paralelos em uma única interface, possibilitando balanceamento de carga e redundância livre de
loops.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 49


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Outros benefícios do EtherChannel:

 Diminuição de tempo perdido com processos de convergência do spanning-tree, pois


representam um único link lógico entre os switches, considerando o encaminhamento de
frames;
 Para que a interface EtherChannel esteja "up", basta que apenas uma das portas
associadas também esteja;
 Se alguma das interfaces associadas ao EtherChannel falha, o tráfego continua a ser
distribuído pelas interfaces que permanecem ativas, com mínima perda, e sem
percepção por parte do usuário final.

O Port Aggregation Protocol (PAgP) é o protocolo que auxilia a negociação e estabelecimento do


EtherChannel Cisco. Ele associa as interfaces físicas em grupos chamados “channel-groups”, e
cada um desses formará uma interface chamada “port-channel”, que irá distribuir o tráfego
entre elas.

Vamos posteriormente aprender a configurar e resolver problemas com links etherchannel, pois
essa é a conexão preferida em ambientes reais quando diversos trunks precisam ser
conectados entre dois switches.

3.8.3 Port Fast


É utilizado para evitar o tempo de cálculo do STP em portas ponto a ponto, por isso deve ser
utilizado para conectar apenas um equipamento (como um computador ou servidor) ao switch
de acesso, pois com esse recurso ativado o STP não verifica se existem loops e ativa a porta
imediatamente.

Essa facilidade leva a porta diretamente para o estado de encaminhamento, sem passar pelos
demais estados do STP (learning e listening). Segue ao lado exemplo de configuração.

interface FastEthernet0/1
switchport mode access
switchport access vlan 1
spanning-tree portfast
end

É importante tomar o cuidado de certificar que a porta configurada com a facilidade port fast
realmente está conectada a um dispositivo final, pois ela não fará mais parte do cálculo dos
caminhos livres de loops.

Para verificar nas portas se o portfast está ativo utilize o comando “show spanning-tree
interface fastEthernet 0/1 portfast”, conforme exemplo a seguir.

SW-DlteC-Rack-01#show spanning-tree interface fastEthernet 0/1 portfast


VLAN0010 enabled

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 50


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.8.4 BPDU Guard


O recurso BPDUGuard faz com que determinada porta do switch não processe BPDUs, afim de
evitar eleição de um switch-raiz naquele determinado segmento. Isso evita que um hacker
conecte um switch com prioridade menor a fim de tornar esse switch o switch-raiz da rede ou
então que um switch seja conectado em uma porta configurada com o recurso de portfast, por
exemplo.

Com essa configuração se um switch for colocado na porta de acesso, onde um host deveria ser
conectado, a porta recebe um BPDU e o bpduguard nesse caso coloca a porta em “error
disable” (desabilitada) e um alarme será gerado para a gerência informando o bloqueio, assim
como quando ocorre uma violação do port security em modo shutdown.

O uso mais comum do BPDU Guard é em conjunto com o comando “spanning-tree portfast”,
pois esse comando desabilita o processamento de BPDUs pela porta e com o BDPU Guard se a
porta receber um BPDU será desabilitada, protegendo contra possíveis loops ou tentativas de
inserção de switches “intrusos” na rede.

Veja exemplo de configuração a seguir.

SW-DlteC#
SW-DlteC#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW-DlteC(config)#interface range fastEthernet 0/1 - 24
SW-DlteC(config-if-range)#spanning-tree portfast
SW-DlteC(config-if-range)#spanning-tree bpduguard enable
SW-DlteC(config-if-range)#

Por padrão o portfast e bpduguard estão desabilitados nas portas dos switches, porém podemos
alterar esse comportamento com os comandos abaixo que devem ser aplicados em modo de
configuração global.

 spanning-tree portfast default


 spanning-tree portfast bpduguard default

Para voltar à condição padrão utilize os comandos abaixo:

 spanning-tree portfast disable


 spanning-tree bpduguard disable

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 51


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4 Configurando o STP
Vamos nesse tópico estudar como configurar o modo de operação do STP e alterar parâmetros
para definir que switch da rede será o switch raiz (root bridge).

Além disso, também vamos estudar como manipular a prioridade das portas para possibilitar a
escolha de root ports e portas designadas na topologia.

Conforme já citamos anteriormente, dependendo do tamanho da sua topologia o administrador


de redes precisará influenciar em alguns parâmetros para ter maior previsibilidade sobre o
encaminhamento de quadros ou então poder fazer o balanceamento de cargas entre as VLANs
criadas.

4.1 Configurando o Modo de Operação do STP

O STP está baseado no protocolo 802.1D, o qual foi melhorado pela Cisco e é chamado de
PVST+ (Per VLAN Spanning-tree Plus). O padrão dos switches é o modo “pvst” que é o 802.1D
ou PVST+, para alterar essa configuração utilizamos o comando abaixo:

Switch(config)#spanning-tree mode ?
mst Multiple spanning tree mode
pvst Per-Vlan spanning tree mode
rapid-pvst Per-Vlan rapid spanning tree mode
Switch(config)#

Portanto, o comando “spanning-tree mode” define o modo que o switch irá operar. Se você
for utilizar o PVST+ (802.1D) não é necessário alterar esse parâmetro, pois esse é o modo
padrão que os switches Cisco vem configurados de fábrica.

A opção rapid-pvst ativa o RSTP ou 802.1W e a opção “mst” ativa o “Multiple STP”, ambas as
tecnologias são abordadas e melhor estudadas no CCNP Switch.

Note que ao alterar o modo de operação isso é feito para todas as VLANs no switch, pois o
comando não permite escolher o protocolo isoladamente por VLAN.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 52


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4.2 Influenciando na Escolha do Root Bridge

Uma vez definido o modo de operação dos switches, no caso desse curso utilizaremos o padrão
“pvst”, precisamos decidir se vamos precisar influenciar ou não na escolha do switch que será o
root ou raiz (root bridge).

Porque precisaríamos fazer essa escolha manualmente? Vamos começar analisando a topologia
abaixo.

O que acontece se escolhermos como root bridge um dos switches de acesso? Toda topologia
terá seus links ativos direcionados à camada de acesso, porém na prática, em uma rede desse
tipo o tráfego deve fluir ao contrário, ou seja, do acesso em direção ao núcleo ou Core.
Portanto, a melhor escolha do root nesse tipo de topologia em três camadas são os switches de
distribuição.

Se você tivesse uma topologia com o core e toda ela em camada-2 o próprio core poderia ser
escolhido como raiz, porém nas topologias mais atuais os links entre a distribuição e o core
normalmente são links camada-3, ou seja, o encaminhamento se dá via protocolo IP.

Existem duas maneiras de influenciar a decisão, colocar o switch com menor MAC na posição
desejada (o que é muito raro encontrar na prática) ou via comando alterando o valor da
prioridade da bridge ou bridge priority, pois sabemos que o switch com a menor prioridade que
está contida no campo BID do BPDU será eleito como root bridge.

Vamos a seguir estudar como configurar a prioridade manualmente e definir um root primário e
outro secundário.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 53


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4.2.1 Alterando a Prioridade Manualmente


A prioridade padrão de todos os switches é 32768, porém esse valor em decimal vai de 0 a
65.535 (utiliza 16 bits), variando em múltiplos de 4096 o que nos dá uma faixa de 0 até 61.440
(0, 4096, 8192, 12288, ..., 61,440).

A prioridade na realidade utiliza apenas os quatro primeiros bits dos 16, pois os 12 últimos bits
são utilizados para inserir o número da VLAN (VLAN ID) que vai de 1 a 4094. Por isso a
prioridade da VLAN 1 é 32769 por padrão, pois o valor 1 em binário vai escrito nos últimos 12
bits da prioridade.

Para alterar esse valor padrão podemos utilizar o comando “spanning-tree vlan vlan-id
priority x”, porém não é recomendado utilizar esse método devido ao esforço manual de
controlar qual a prioridade que o bridge raiz precisaria.

Por exemplo, queremos definir que o switch seja o raiz para as VLANs 1, 10, 11 e 12, o
comando ficaria: “spanning-tree vlan 1,10-12 priority 12288”. Note que o VLAN ID segue a
mesma expressão que utilizamos para definir que VLANs ficam permitidas no comando “trunk
allowed”, ou seja, a vírgula é o “AND” e o traço o “até”.

Como ficaria o comando para definir todas as VLANs de um switch com a prioridade 8192?
Tente resolver sozinho e depois clique aqui e veja a resposta.

Resposta: spanning-tree vlan 1-4094 priority 8192

4.2.2 Definindo o Root Primário e Secundário

A segunda opção de configuração, e mais recomendada, para utilizar em ambientes reais é a


definição via comando de um root primário e outro que será o secundário, assim se o principal
ficar indisponível o administrador de redes saberá que switch assumiu o papel de root.

Com esse comando o cálculo da prioridade é feito pelo próprio switch de maneira dinâmica,
portanto o switch definido como primário terá o menor BID da rede e o secundário o segundo
menor BID, os quais serão definidos dinamicamente.

O comando para realizar essa configuração é o: “spanning-tree vlan vlan-id root primary”
para definir o root bridge e “spanning-tree vlan vlan-id root secondary” para definir o
switch secundário (caso o primário fique indisponível).

Por exemplo, para definir um switch como primário para todas as VLANs em um switch que
não usa a faixa estendida de VLAN ID o comando será? Tente responder sozinho e depois
clique aqui para ver a resposta.

Resposta: spanning-tree vlan 1-1005 root primary

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 54


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O que acontece quando utilizamos esse comando? Lembre-se que o padrão da prioridade é
32.768. Utilizando esse comando, se a prioridade atual do root for maior que 24.576, o switch
local se configura com o valor de 24.576.

Se o root tem uma prioridade igual ou menor que 24.576, o switch local vai se configurar com
um múltiplo de 4096 que mantenha o switch como root.

Essa mesma lógica é utilizada para o switch com o comando para ser secundário.

Os comandos para verificar quem é o root e também as configurações dos não roots são os
mesmos que estudamos no item 3.4.1.

Opcionalmente você pode utilizar também o comando “show spanning-tree bridge” para
verificar as informações da bridge local, no root a saída dos comandos “show spanning-tree
root” e o citado anteriormente será a mesma.

4.3 Influenciando a Escolha de Root Ports e Portas Designadas

Para influenciar a escolha de root ports e designated ports podemos alterar a prioridade do STP
diretamente nas interfaces. Por padrão a prioridade das interfaces vem configurada com o valor
128, portanto se houver um empate no custo até o raiz quem define a root port será
normalmente o ID da interface.

Já no caso das portas designadas, caso haja empate no custo até o raiz quem desempata
normalmente será o menor BID entre os dois switches que estão no segmento. Caso existam
várias portas conectadas, a que será escolhida será também a de menor port-ID, pois a
prioridade das portas está por padrão em todos os switches como 128.

Para alterar essa prioridade devemos entrar na interface e utilizar o comando “spanning-tree
[vlan x] cost x”. Veja exemplo de uso do comando a seguir. Nesse exemplo temos a porta
giga 0/1 conectada ao root e eleita como root port com um custo 4. Temos também a porta
giga 0/2 bloqueada porque seu custo até o root é igual a 8. Vamos utilizar o comando
“spanning-tree vlan 20 cost 30” na porta giga 0/1 para forçar com que a porta giga 0/2 seja
eleita como root port e a giga 0/1 seja bloqueada. Para verificar a sequência de ações tomadas
pelo STP habilitamos o “debug spanning-tree events”.

SW-DlteC# debug spanning-tree events


Spanning Tree event debugging is on
SW-DlteC# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW-DlteC(config)# interface gigabitethernet0/1
SW-DlteC(config-if)# spanning-tree vlan 20 cost 30
SW-DlteC(config-if)# end
SW-DlteC#
*Sep 09 11:48:00.865: STP: VLAN0020 new root port Gi0/2, cost 8
*Sep 09 11:48:00.865: STP: VLAN0020 Gi0/2 -> listening
*Sep 09 11:48:00.865: STP: VLAN0020 sent Topology Change Notice on Gi0/2
*Sep 09 11:48:00.865: STP[10]: Generating TC trap for port GigabitEthernet0/1
*Sep 09 11:48:00.865: STP: VLAN0020 Gi0/1 -> blocking
*Sep 09 11:48:16.872: STP: VLAN0020 Gi0/2 -> learning
*Sep 09 11:48:35.881: STP[10]: Generating TC trap for port GigabitEthernet0/2
*Sep 09 11:48:35.881: STP: VLAN0020 sent Topology Change Notice on Gi0/2
*Sep 09 11:48:35.881: STP: VLAN0020 Gi0/2 -> forwarding

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 55


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note a sequência de comandos e as principais mensagens de debug marcadas em amarelo.


Quando passamos o custo da giga 0/1 para 30 o STP elege a giga 0/2 como root port, pois seu
custo até o raiz é 8 (menor que 30). Na sequência a porta giga 0/1 é bloqueada e a giga 0/2
passa para o estado de forwarding.

Para desabilitar o debug basta digitar “no debug spanning-tree events” ou “no debug all” ou
“undebug all”, porém os últimos dois comandos desabilitam TODOS os debugs ativos no switch.

Para ver os debugs ativos em um roteador ou switch Cisco você pode utilizar o comando “show
debugging”. Veja exemplo abaixo.

SW-DlteC-Rack-01#show debugging
Spanning Tree:
Spanning Tree event debugging is on
SW-DlteC-Rack-01#no debug spanning-tree events
Spanning Tree event debugging is off
SW-DlteC-Rack-01#show debugging

SW-DlteC-Rack-01#

Podemos também alterar a prioridade das portas para influenciar em um mesmo switch com
portas de mesmo custo qual delas será eleita como root ou designada. O comando para fazer
essa configuração é “spanning-tree [vlan vlan-number] port-priority priority”.

Por padrão a prioridade da porta é 128 e esse valor pode ir de 0 a 240 com múltiplos de 16.
Logo, se conectamos mais de uma porta com mesma largura de banda entre dois switches, a
porta designada ou root não poderá ser escolhida pelo custo (pois o custo seria o mesmo).
Portanto, por padrão, o número da porta é que definiria a root port, pois a prioridade é sempre
128.

Para alterar esse comportamento, por exemplo, temos as portas giga0/1 e giga0/2 conectadas
do switch não root ao switch root também nas mesmas portas. Por padrão a giga0/1 será a
root port. Para alterar esse comportamento e fazer com que a giga0/2 seja root port basta
inserir o seguinte comando nela: “spanning-tree vlan 1-1005 port-priority 112”, com isso todas
as VLANs de 1 a 1005 terão sua root port passada para a giga0/2.

SW-DlteC-Rack-01(config)#int g0/2
SW-DlteC-Rack-01(config-if)#spanning-tree vlan 1-1005 port-priority 112
SW-DlteC-Rack-01(config-if)#

Para verificar as configurações podemos utilizar o comando show spanning-tree interface giga
0/2, veja saída abaixo.

SW-DlteC-Rack-01#show spanning-tree interface giga 0/2

Vlan Role Sts Cost Prio.Nbr Type


------------------- ---- --- --------- -------- --------------------------------
VLAN0010 Desg FWD 4 112.26 P2p Edge
SW-DlteC-Rack-01#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 56


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

5 Resumo dos Comandos do STP


A seguir temos o resumo dos comandos utilizados no capítulo e uma breve descrição de uso
para facilitar a preparação final para os exames 200-105 e 200-125.

 spanning-tree mode { pvst | rapid-pvst| mst } -> configura o modo de operação


do STP (padrão PVST+)
 spanning-tree vlan vlan-number root primary -> configura o switch como root
bridge alterando dinamicamente sua prioridade.
 spanning-tree vlan vlan-number root secondary -> o switch tem sua prioridade
baixada para 28,672 para atuar como secundário, deve ser utilizado quando um dos
switches da rede teve o comando anterior configurado.
 spanning-tree [vlan vlan-id] {priority priority} -> utilizado para alterar
manualmente a prioridade do switch.
 spanning-tree [vlan vlan-number] cost cost -> altera o custo do STP para uma
determinada interface.
 spanning-tree [vlan vlan-number] port-priority priority -> altera a prioridade da
porta em múltiplos de 16 - vai de 0 a 240, com padrão 128.
 channel-group channel-group-number mode {auto | desirable | active | passive
 | on} -> habilita o EtherChannel em uma interface.
 spanning-tree portfast -> ativa o PortFast na interface.
 spanning-tree bpduguard enable -> ativa o BPDU Guard na interface.
 spanning-tree portfast default -> ativa o portfast globalmente para todas as
interfaces de acesso.
 spanning-tree portfast bpduguard default -> ativa o BPDU Guard globalmente para
todas as interfaces de acesso.
 spanning-tree portfast disable -> volta a condição padrão das portas com portfast
desativado.
 spanning-tree bpduguard disable -> idem ao idem anterior para o BDPU Guard.

Lembre-se que para a prova 200-125 temos também todos os comandos aprendidos para
switching durante o CCENT/ICND-1, pois essa prova cobre os objetivos de ambos os exames:
100-105 e 200-105.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 57


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

6 Configurando Links Etherchannel


Vamos começar esse tópico fazendo a seguinte pergunta: “Porque utilizar etherchannel?”.
Porque o STP desabilita os links redundantes e ficamos com interfaces paradas e largura de
banda desperdiçada, mesmo sendo por uma boa causa é bem melhor utilizar todo recurso
disponível.

Quando utilizamos o etherchannel as portas são agrupadas e o STP não desabilita os links
individuais. Se temos quatro links de 1Gbps conectados entre dois switches, sem o uso do
Etherchannel teremos apenas 1Gbps de banda nesse entroncamento. Se agruparmos esses
quatro links em um etherchannel teremos a banda de 4Gbps nesse entroncamento. Se, por
exemplo, um dos links cair o trunk fica com 3Gbps e ao voltar o trunk volta a ter 4Gbps, sem o
STP fazer a porta passar pelos estados que já estudamos anteriormente.

Para que um etherchannel seja configurado, antes temos que nos certificar que algumas
configurações estão realizadas nas interfaces que farão parte de um agrupamento. Os switches
verificam os seguintes parâmetros dos seus vizinhos:

 Mesma velocidade (Speed);


 Mesmo modo Duplex;
 Estado operacional do trunk, ou seja, todas as portas devem ser de acesso ou trunk,
não pode misturar o estado operacional;
 Se a porta é de acesso, todas devem pertencer a mesma VLAN;
 Se for porta trunk, a lista de VLANs permitidas deve ser a mesma no comando
switchport trunk allowed;
 Ainda em portas trunk, a VLAN nativa deve ser a mesma em todas as interfaces;
 Configurações do STP nas interfaces devem bater.

Para verificar essas informações os switches podem utilizar os protocolos PAgP ou LACP
(quando a negociação é dinâmica) ou utilizar o Cisco Discovery Protocol (CDP) se a
configuração for manual. Todas as configurações citadas anteriormente devem bater, com
exceção dos parâmetros relacionados ao STP. Se os parâmetros obrigatórios não baterem entre
os vizinhos as portas e o etherchannel entra em “Error Disable”, ou seja, o link fica down.

No parágrafo anterior foram citados os dois modos de configuração de um etherchannel:


manual ou via negociação dinâmica. Vamos na sequência estudar como fazer essas
configurações.

6.1 Configurando um Etherchannel Manualmente

Essa é a maneira mais simples de se configurar um etherchannel, basta criar um channel-group


e definir seu estado como “ON” em ambos os switches.

Lembre-se para o EtherChannel tornar-se um trunk Dot1q ou ISL, todas as interfaces devem
estar corretamente configuradas como trunk, com as mesmas permissões de VLAN e VLAN
nativa. Uma vez que uma interface associada a um EtherChannel seja configurada como trunk,
todas as demais terão a mesma configuração. Se o etherchannel for uma porta de acesso,
todas as interfaces deverão pertencer à mesma VLAN.

Segue um exemplo de configuração utilizando as portas de 17 a 20 em um etherchannel,


configurado no channel-group 1 no switch SW-2950 e channel-group 2 no SW-2960.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 58


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Configuração no SW-2950

interface FastEthernet0/17
switchport mode trunk
channel-group 1 mode on
!--- Porta atribuída ao canal de portas 1.
!--- Porta configurada para usar o 802.1Q de encapsulamento de entroncamento.
!--- Porta configurada para estar no modo de entroncamento.
!
interface FastEthernet0/18
!--- Configuração do tronco e do canal repetida.
switchport mode trunk
channel-group 1 mode on
!
interface FastEthernet0/19
!--- Configuração do tronco e do canal repetida.
switchport mode trunk
channel-group 1 mode on
!
interface FastEthernet0/20
!--- Configuração do tronco e do canal repetida.
switchport mode trunk
channel-group 1 mode on

A mesma configuração deve ser repetida o switch SW-2960 alterando o channel-group de 1


para 2, conforme planejamento anterior. Veja saída abaixo.

interface FastEthernet0/17
switchport mode trunk
channel-group 2 mode on
!
interface FastEthernet0/18
switchport mode trunk
channel-group 2 mode on
!
interface FastEthernet0/19
switchport mode trunk
channel-group 2 mode on
!
interface FastEthernet0/20
switchport mode trunk
channel-group 2 mode on

Para verificar as configurações podemos utilizar os comandos “show etherchannel 1


summary” no switch SW-2950 e “show etherchannel 2 summary” no SW-2960, pois nele
planejamos utilizar o channel-group 2.

No comando “show spanning-tree” o etherchannel é mostrado como “Po1” para o channel-


group 1. As portas individuais não serão mais mostradas nesse comando.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 59


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

6.2 Configurando Etherchannel Dinâmico

Os switches Cisco suportam o protocolo proprietário chamado Port Aggregation Protocol (PAgP)
e também o padrão aberto segundo a IEEE chamado Link Aggregation Control Protocol (LACP),
padrão 802.3ad.

Existem diferenças entre esses dois tipos de protocolo, porém elas são alvo de estudo do CCNP
Switch, para o nível do ICND-2 e CCNA R&S apenas precisamos saber que ambos cumprem o
mesmo objetivo de formar um link etherchannel agrupando diversas portas. Qual deles utilizar
em meus switches? Se forem todos Cisco podemos utilizar o PAgP, se você tiver que entroncar
um switch Cisco com um equipamento de outro fabricante prefira sempre o LACP, pois é um
padrão aberto.

A vantagem da configuração dinâmica é que você pode deixar um padrão e os switches


negociarão como montar o etherchannel.

As opções desirable e auto são utilizadas no channel-group para ativar o protocolo PAgP, já as
opções active e passive para ativar o protocolo LACP. Para que a negociação seja bem sucedida
no PAgP, um dos lados deve estar configurado como desirable, no caso do uso do LACP pelo
menos um dos lados deve estar configurado como active.

Veja exemplo de configuração na figura a seguir.

Nesse tipo de cenário não devemos utilizar o “mode on” no channel-group, pois ele não vai
fazer a negociação e o etherchannel não irá subir. Assim como não devemos utilizar auto/auto
ou passive/passive em ambas as pontas, pois nesse estado ambos os switches ficam esperando
o vizinho iniciar a negociação e o etherchannel simplesmente não sobe.

6.3 Switch Stacking e Agregação de Chassis

Normalmente os switches de acesso são independentes e se você necessita diversos switches


em um mesmo ambiente é preciso conectar links entre eles, por exemplo, trunks via
Etherchannel com duas portas entre cada switch.

Porém essa conexão em cascata ocupa cabos que poderiam ser utilizados para uplink e até
conectar mais hosts.

Para resolver esse tipo de situação a Cisco disponibiliza as tecnologias StackWise e StackWise
Plus, permitindo que vários switches sejam "empilhados" e atuem como um só dispositivo. A
feature de StackWise está disponível nos switches modelos Catalyst 3750-E, 3750-X e 3850.

Além disso, existem outras opções de empilhamento como o FlexStack e FlexStack


Plus, as quais estão disponíveis nas linhas 2960-S, 2960-X e 2960-XR.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 60


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Na prática, os switches empilháveis possuem entradas especiais para conexão dos cabos de
empilhamento (stacking cables), os quais são conectados formando um loop (daisy-chain), por
exemplo, para conectar 4 switches começamos conectando a porta de stack 2 do primeiro
switch com porta de stack 1 do segundo, depois porta 2 do segundo com porta 1 do terceiro, na
sequência porta 2 do terceiro com a porta 1 do quarto e fechando o loop porta 2 do quarto com
a porta 1 do primeiro. Veja foto a seguir com o esquema de conexão.

Obs.: Os cabos de stacking não acompanham o chassi do switch!

Quando conectados corretamente, os cabos formam um anel que possibilita que os switches
trabalhem com uma taxa de 32Gbps full-duplex (fluxo de tráfego bidirecional total entre dois
caminhos lógicos counter-rotating), porém se uma das conexões (cabos de stacking) for
rompida a largura de é reduzida em 50% fazendo com que a pilha passe a operar com 16Gbps.

Principais vantagens do StackWise:


 Possibilidade de empilhar até 9 switches em um mesmo stack, por exemplo, com
switches de 48 portas temos 432 portas em uma só pilha lógica de switches.
 Você pode abrir o loop para inserir ou retirar switches sem que os demais parem de
funcionar, tanto para manutenções como changes na topologia.
 Não é preciso fazer nenhuma configuração para inserção de um novo switch na pilha.
 A pilha vai funcionar como um único dispositivo, tendo apenas um IP de gerenciamento
único para todos os switches da pilha e sendo configurada a partir do switch definido
como "mestre".
 Portas de diferentes switches configurados em uma pilha podem ter suas interfaces
configuradas em um link chamado Multichassis EtherChannels (MECs).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 61


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 Quando os switches precisam enviar quadros entre si eles utilizam o cabo de stacking,
ou seja, ao invés de trocar quadros entre portas da maneira convencional é como se os
cabos de stacking fossem uma extensão do backplane dos switches.
 Elimina o problema de escalabilidade do diâmetro do protocolo Spanning Tree.

Quando falamos de agregação de chassis estamos visando a tecnologia chamada de VSS


(Virtual Switching System).

O VSS é uma tecnologia desenvolvida especificamente para equipamentos das camadas


superiores (núcleo e distribuição) que permite combinar pares de switches físicos redundantes
ou VSS Pairs (pares de VSS), criando um único switch lógico do ponto de vista de gestão e
operação, conforme figura abaixo.

Em plataformas como Cisco Catalyst 4500, 4500-X, 6500 e 8500 é possível configurar dois
chassis idênticos para trabalharem como um único switch lógico ou VSS.

Se uma placa supervisora do chassis configurado como mestre falhar, outro módulo supervisor
pode assumir, mesmo que esteja instalada fisicamente em outro chassis. Além disso, para
construir o switch lógico (logical switch), os dois chassis devem estar conectados entre si
através de várias interfaces configuradas para atuar como um Virtual Switch Link (VSL).

Os VSLs podem ser configurados com até 8 links entre o par de switches utilizando diferentes
combinações entre line cards ou placas supervisores para fornecer redundância. Em um caso
raro de TODOS os Virtual Switching Link (VSL) conectados entre o par de switches da VSS
caiam ou fiquem shutdown por qualquer motivo (mas os switches continuam ativos - isolados
mas funcionando), o VSS faz a transição para um modo chamado "Dual Active Recovery
Mode".

Com o switch em dual active recovery mode todas as interfaces são desligados no antigo switch
virtual ativo, porém o novo switch virtual ativo continua encaminha tráfego em todos os links.
Ou seja, quando o VSS passa a operar em dual active recovery mode, apenas o novo switch
virtual ativo continua a encaminhar o tráfego.

Assim como estudamos para os switches StackWise, com o VSS ou par de switches VSS
passam a ser vistos pelos switches de acesso como uma única entidade lógica, independente da
interligação física dos cabos, possibilitando o uso do recurso MEC (Multichassis Ether-Channel)
para associar portas físicas em diferentes switches a um único etherchannel. Nesse caso a

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 62


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

tecnologia VSS fará o gerenciamento do balanceamento de carga e da disponibilidade entre


essas conexões físicas em switches diferentes.

A maior vantagem do uso da tecnologia VSS é eliminar a necessidade do uso de tecnologias


FHRP (HSRP, VRRP e GLBP), o que acaba simplificando a rede como um todo e reduzindo a
sobrecarga de gerenciamento dos switches em quase 50%.

Além disso, ambas as tecnologias reduzem a complexidade de administração, pois a pilha para
o gerenciamento acaba sendo como um switch só, assim como o VSS comporta-se como um
switch para o gerenciamento.

7 Troubleshooting em Redes com STP


O foco para troubleshooting do exame ICND-2 200-105 e por consequência o CCNA Accelerated
200-125 na parte de STP é o mesmo que conversamos para o curso do CCENT:
 Prever a operação normal do STP ou demais protocolos estudados -> como deveria ser
montada a topologia final livre de loops?
 Isolar o problema na topologia -> onde os quadros estão parando ou temos interfaces
bloqueadas?
 Analisar a causa raiz do problema -> analisando os sintomas apresentados e isolando o
problema o que pode ser a causa raiz desse evento?
 Propor uma solução para a causa raiz do problema encontrado, aplicar a solução e testá-
la.

Já estudamos durante os tópicos anteriores como prever a operação do STP dada uma
configuração padrão e também o que pode ser alterado para melhorar seu desempenho.
Portanto, para analisar uma topologia e prever seu funcionamento precisamos:
1. Descobrir quem será eleito root bridge;
2. Quem serão as root ports nos switches não roots;
3. Quem serão as portas designadas e não designadas (bloqueadas) nos links redundantes.

Para links de acesso configurados com o portfast e BPDU guard sabemos que se um switch for
conectado o BPDU guard irá colocar a porta protegida em “Error Disable” e ela vai para o
estado de down/down.

Nos links etherchannel temos que tomar cuidado com as configurações básicas das portas antes
de ativá-lo e depois escolher se a configuração será manual ou dinâmica. Na configuração
dinâmica temos que tomar cuidado com os modos de configuração das portas e não utilizar a
opção “mode on” no channel-group quando utilizando esse tipo de negociação.

Os principais comandos que podem ser utilizados no troubleshooting relacionado ao STP são:

 show spanning-tree -> lista detalhes do STP no switch e o estado das portas trunk.
 show spanning-tree interface interface-id -> mostra informações do STP específicas
para aquela interface.
 show spanning-tree vlan vlan-id -> mostra informações do STP específicas para
aquela VLAN.
 show spanning-tree [vlan vlan-id] root -> mostra apenas informações sobre o root
em todas as VLANs ou VLAN específica.
 show spanning-tree [vlan vlan-id] bridge -> mostra informações do switch local
para todas as VLANs ou VLAN específica.
 debug spanning-tree events -> mostra em tempo real as mensagens e trocas de
estado das portas no STP.
 show spanning-tree interface type number portfast -> mostra se o portfast está
ativo em uma determinada interface e qual VLAN essa interface está configurada.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 63


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 show etherchannel [channel-groupnumber] {brief | detail | port | port-channel


| summary} -> mostra informações sobre o estado do EtherChannels no switch

Durante as vídeo aulas vamos estudar exemplos e possíveis cenários de prova para aprender
realmente como utilizar os comandos show e debug para resolver problemas envolvendo o STP
e também mostrar como os problemas do STP podem afetar a topologia como um todo levando
em conta as técnicas de troubleshooting estudadas no CCNA CCENT (conteúdo do ICND-1 100-
105).

7.1 Analisando problemas LANs com Switches – Data Plane e Control Plane

Durante o CCENT, principalmente no capítulo-12, estudamos como é o comportamento normal


da rede desde a negociação da velocidade e modo duplex das interfaces até o encaminhamento
dos quadros pelas portas dos switches. Além disso, aprendemos como um quadro é
encaminhado através da rede IP passando por diferentes LANs e através da WAN.

Basicamente estas análises estão vinculadas a transmissão dos dados na rede, ou seja, ações
que os dispositivos de rede tomam para encaminhar os quadros e pacotes entre a origem e
destino de um fluxo de dados. Essa análise também é conhecida como “Data Plane Analysis”
ou “análise no plano dos dados”.

Por exemplo, vamos analisar em termos de “data plane” o envio de quadros através de portas
de switches quando um computador envia quadros para um servidor na mesma VLAN. Primeiro
o switch recebe esse quadro analisa o MAC de destino e se esse MAC estiver listado em uma de
suas portas o quadro será enviado diretamente para a porta de destino. Caso não esteja, o
switch fará o flooding desse quadro para todas as portas da VLAN menos para a porta que
enviou o quadro.

Esse tipo de análise pode ser feito também quando enviamos dados através de uma WAN, veja
figura abaixo. Quando o PC1 envia informações para o PC2 que está em uma LAN remota
primeiro ele envia o quadro para seu gateway (R1), o qual analisa o IP de destino do pacote
recebido e encaminha para R2, que analisa o IP de destino e verifique que PC2 está conectado
em sua LAN, encaminhando o pacote até o destino.

Quando PC2 responde a mensagem de PC1 ele pega o sentido contrário, enviando os pacotes
para seu gateway que é R2, que envia a mensagem para R1 e assim o pacote é enviado para
PC1 que está conectado à sua rede LAN.

Note ainda na figura que os dados entre PC1 e R1 são enviados através de SW-1/SW-2/SW3
para chegar até R1, pois a porta que conecta SW1 a SW3 é não-designada e foi bloqueada pelo
STP.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 64


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Esse tipo de detalhe citado acima não faz parte do envio normal de dados úteis entre os hosts
de rede, pois se trata de uma informação de controle enviada entre os switches pertencentes
ao protocolo STP. O mesmo ocorre com o CDP que troca pacotes de controle para descobrir
informações de rede e montar a tabela de vizinhos.

Portanto, vamos ter que analisar também em topologias mais complexas o “control plane”, ou
seja, informações de controle trocadas entre os dispositivos de rede que não impactam
diretamente o fluxo dos dados entre os usuários.

É importante ter essa visão sobre a rede, pois não são somente os dados dos usuários que
estão sendo trafegados, outras informações de controle e gerenciamento são enviadas e muitas
vezes não nos atentamos a esse fato. Por exemplo, se ativarmos um protocolo de roteamento,
além do que citamos acima também teremos no control plane as informações de roteamento
enviadas entre os roteadores do domínio.

Vamos a seguir estudar sobre técnicas para prever a operação normal da rede, isolar problemas
e encontrar a provável causa raiz dos problemas. Não existe fórmula mágica em ambientes
reais, pois muitas coisas podem gerar problemas, porém as técnicas e recursos que vamos
abordar podem ajudar tanto a resolver questões de prova como problemas em situações reais.

7.2 Prevendo a Operação Normal

Vamos separar essa análise e resumir as ações para o data e control plane.

Falando do data plane, onde tratamos do fluxo das informações entre dois usuários ou um
computador e servidor, etc., você precisa lembrar dos passos gerais de encaminhamento em
camada-3 (como o pacote será roteado da origem ao destino) e também que a cada segmento
de rede em camada-2 existe uma lógica de encaminhamento local. Por exemplo, quando um
computador conectado a uma LAN envia dados através da WAN não há interação entre os
protocolos de LAN e WAN, cada link tem sua lógica de encaminhamento que é tratada a cada
ponto.

Resumindo:

1. Analise a topologia e elabore como os pacotes serão encaminhados e os pontos de


roteamento de pacotes entre diferentes redes.
2. Analise cada link na camada de enlace e veja a lógica de encaminhamento de cada tipo
de rede lógica envolvida.

Na sequência analise o “control plane” utilizando a seguinte lógica (sugestão):

1. Analise os protocolos que estão sendo utilizados para determinar o encaminhamento das
informações.
2. Analise os protocolos vitais para a operação da camada de controle da rede (control
plane), lembrando que cada protocolo pode exigir uma abordagem própria de análise.
3. Descarte protocolos que não afetam o encaminhamento do tráfego útil da rede a não ser
que vá utilizá-lo nos testes, por exemplo, utilizar o CDP para confirmar se a topologia
está seguindo o projeto original.

Finalizando a operação normal e tendo em mente como os quadros em camada-2 e pacotes na


camada-3 devem ser encaminhados através da rede é hora de isolar o problema.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 65


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

7.3 Isolando o Problema

O objetivo dessa fase do troubleshooting é sair de um estado onde não temos ideia do que está
gerando o problema, a não ser os sintomas gerais relatados pelo usuário afetado ou listado no
enunciado de um exercícios, para um cenário onde temos uma ideia de onde está o problema
com base no funcionamento normal da rede que previmos na etapa anterior.

Como isolamos um problema? Analisando os sintomas, comparando com a operação prevista da


rede e estreitando as possibilidades de problemas. Podemos também utilizar recursos de teste
como ping, trace, comandos show e debug para avaliar onde está o problema nessa fase.

Por exemplo, um usuário fala que não consegue acessar a Internet e todas as páginas que ele
entra em seu navegador de Internet não são mostradas. Como podemos isolar o problema?
Primeiro sabemos de forma geral que:
1. Podemos ter um problema no cabo do computador
2. Problemas na placa de rede do computador do usuário
3. Problemas relacionados à porta do switch onde o computador está conectado
4. O STP pode estar bloqueando portas
5. Problemas com o endereçamento IP do computador ou com o serviço de DHCP
6. Problemas na rede local entre os switches de acesso ou entre acesso e distribuição
7. Problemas de roteamento interno na rede
8. Problemas na saída de Internet
9. Problemas no servidor DNS da empresa (DNS errado ou inalcançável)
10. Etc.
Os problemas físicos e lógicos básicos (1, 2 e 3) podem ser verificados com os leds do switch,
do próprio computador ou verificando o estado da porta do switch. Além disso, com o ping
podemos verificar o alcance interno dos pacotes do computador através da rede até a saída de
internet. Para essa mesma análise podemos utilizar o traceroute.

Resumindo, precisaremos saber onde a informação está parando. Normalmente o foco das
questões de prova está em problemas das camadas 1, 2 e 3 do modelo OSI, portanto nesse
tipo de exercício comece verificando da camada física para a de rede para facilitar a resolução.

Uma vez isolado o problema precisamos descobrir a causa raiz, ou seja, o que realmente está
causando o problema para poder propor uma solução.

7.4 Análise da Causa Raiz

Nesse passo vamos estreitar cada vez mais a localização do problema para descobrir o que
realmente o está causando, pois é somente descobrindo a causa raiz de um problema que
podemos propor uma solução.

Essa análise está intimamente ligada com o passo anterior, pois listando onde o problema pode
estar localizado que vamos conseguir encontrar a causa raiz. Por exemplo, descobrimos com
um traceroute que o pacote entre o computador e um servidor de rede está parando em um
determinado roteador, podemos então entrar nesse roteador e verificar se não existe alguma
restrição via ACL àquele serviço ou algum problema de roteamento pode estar impedindo que o
pacote chegue até seu destino final.

Vamos supor que a causa raiz do computador não acessar o servidor seja uma lista de acesso,
para resolver esse problema precisamos então corrigir as regras da lista para permitir que esse
host acesse o serviço que está sendo necessário.

Portando nessa fase temos que ir tentando isolar o problema até chegarmos a uma lista de
poucos prováveis problemas, por exemplo, duas opções. Se mesmo assim não conseguirmos

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 66


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

determinar a causa raiz podemos alterar algo na topologia para tentar ajudar a determinar
como resolvê-lo através da mudança do comportamento da rede.

Por exemplo, no caso anterior que há suspeita que exista uma ACL bloqueando um
determinado serviço, podemos desativar as ACLs aplicadas à interface do roteador onde o
pacote está parando e verificar se o host tem acesso ao servidor, se tiver sucesso realmente o
problema é a ACL, se o acesso continua negado devemos partir para outra hipótese, pois com
certeza não é a lista de acesso que está causando o bloqueio.

Lembre-se que o processo de troubleshooting no data plane em redes com switches foi
estudado no material do CCNA CCENT, pois faz parte dos objetivos do ICND-1 (exame 100-
105).

Na prova do ICND-2 (exame 200-105) ou CCNA R&S (200-125) podem cair conceitos
misturados de STP e assuntos estudados nesse material com conceitos do material anterior,
portanto vale a pena fazer o laboratório de revisão do capítulo 1 e depois assistir a vídeo aula
com a correção, pois muitos comandos e conceitos do CCENT são revisados nesse material.

Para quem já foi aluno do CCNA CCENT (100-105) da DlteC e deseja revisar o material, lembre-
se que não é necessário comprar o curso novamente, você pode solicitar o acesso extra com
valor subsidiado.

8 Considerações Finais e Dicas Práticas


Uma dúvida que muitos estudantes têm nessa fase do curso é sobre quando utilizar a
arquitetura em três camadas, pois em redes com poucos pontos ela não faz muito sentido,
concorda?

Utilizar ou não um modelo em três camadas depende do número de pontos de rede e


também da criticidade do ambiente, ou seja, se aquele ambiente de rede precisa de alta
disponibilidade ou não.

O modelo em três camadas proporciona altíssima disponibilidade, pois existe redundância de


links e equipamentos na camada de distribuição e core, além disso, recomenda-se ter
também redundância da fonte de alimentação de energia dos equipamentos.

Em recomendações mais atuais para arquiteturas em três camadas, o uso de links camada 2
(Layer 2 ou L2) está restrito na camada de acesso, com o roteamento entre VLANs realizado na
camada de distribuição.

As conexões entre a camada de distribuição e Core (entre os switches de distribuição e núcleo)


são feitas em camada 3 (Layer 3 ou L3) utilizando protocolos de roteamento IP para realizar o
encaminhamento dos pacotes, redundância e balanceamento de carga entre os links nas
camadas de distribuição e núcleo.

Dessa maneira as VLANs ficam restritas entre as camadas de distribuição e acesso e não são
propagadas através da rede, evitando problemas como tempestades de broadcast.

Veja a figura a seguir com a comparação entre uma arquitetura puramente em camada 2 e
outra com a distribuição e núcleo em camada 3.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 67


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Outra vantagem dessa arquitetura com layer 3 na distribuição e core é a redução do diâmetro
da rede. Quanto mais switches são conectados em cascata maior o diâmetro da rede e isso traz
consequências negativas para a convergência do protocolo Spanning-tree, pois devido aos
temporizadores do STP e o tempo de propagação dos quadros a convergência pode deixar
trechos da rede bloqueados por períodos longos em caso de queda de links.

8.1 Balanceamento de VLANs entre switches via STP

Em redes com três camadas podemos fazer o balanceamento de carga de VLANs entre os
switches de distribuição utilizando o STP.

Essa configuração é feita manualmente através da escolha do root bridge para o Spanning
Tree diferente para cada VLAN.

Veja a figura abaixo onde na camada de acesso temos as VLANs de 1 a 9. Se escolhermos o


switch SW-D1 como root todas as VLANs serão passadas através do link que conecta os
switches de acesso com o SW-D1, deixando os links que ligam os switches de acesso com o
SW-D2 bloqueados e sem uso.

Uma solução para melhorar a distribuição de carga e diminuir o tráfego nos links de trunk seria
eleger o SW-D1 como root bridge para as VLANs pares e o SW-D2 como root para as VLANs

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 68


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

ímpares, por exemplo, pois assim dividimos o tráfego transmitido pelos trunks entre os dois
switches de distribuição e evitamos a ociosidade tanto dos links como dos equipamentos. Veja a
figura a seguir.

Lembre-se sempre que a escolha do root bridge (bridge ou switch raiz) e o root secundário é
muito importante, pois o caminho que os quadros irão seguir na topologia da rede LAN depende
de quem é eleito como root.

Para resolver problemas de camada 2 é essencial saber quem é esse switch principal e quem irá
assumir seu lugar em caso de falhas, pois assim saberemos por onde começar os testes e
resolver possíveis problemas de camada 2, tais como loops e tempestades de broadcast.

9 Resumo do Capítulo
Bem pessoal, chegamos ao final do capítulo. É muito importante que nesse ponto do curso você
tenha domínio dos seguintes itens:

 Funcionamento geral dos switches


 VLANs estendidas
 Configuração de portas de acesso e trunk com VLANs estendidas
 Protocolo VTP
 Protocolo Spanning-tree (STP)
 Funcionamento do STP
 Estado de portas e montagem da topologia livre de loops pelo STP
 Como influenciar via comandos a topologia final do STP
 Funcionamento e configuração do BPDUGuard e Portfast
 Entender o funcionamento e configurar links Etherchannel (agregação de portas trunk).
 Troubleshooting em redes com STP, BPDUGuard, Portfast e Etherchannel
 Introdução ao empilhamento e agregação de chassis
 Metodologias e opções avançadas de troubleshooting em redes de switches redundantes.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 69


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Capítulo 3 – Implementando
o Protocolo OSPFv2
Nesse capítulo estudaremos
os princípios de roteamento, Objetivos do Capítulo
troubleshooting e na
Ao final desse capítulo você terá estudado e
sequência estudaremos deverá compreender:
conceitos do OSPFv2.  Como testar uma topologia de rede
utilizando ping, trace e telnet.
Aqui estudaremos como o  Diferenciar os protocolos de
OSPFv2 monta a topologia roteamento vertor de distância e
utilizando LSAs, link-state.
balanceamento de cargas e  Diferenciar os protocolos de
muito mais. roteamento interno (IGP) e externo
(EGP).
Aproveite o capítulo e bons  Configurar roteamento entre VLANs
estudos! utilizando ROAS e SVIs.
 Entender o funcionamento do OSPF
single area.
 Ser capaz de configurar topologias
com OSPF single area.
 Entender o funcionamento básico do
OSPF multiarea.
 Ser capaz de configurar topologias
simples com OSPF multi area.
 Entender o conceito das LSAs do
tipo-1, 2 e 3.
 Entender e configurar o
balanceamento de carga no OSPF.
 Ser capaz de realizar troubleshooting
em uma rede OSPF.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 70


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Sumário do Capítulo 3.4 Estabelecimento de Vizinhanças e Troca


de Banco de Dados ___________________ 108

1 Processo de Roteamento em Hosts e 3.5 Alteração de Topologia e Atualizações


Roteadores _________________________ 72 Periódicas __________________________ 111

1.1 Roteamento e problemas simples com 3.6 Tipos de Redes Suportadas, DR e BDR
dispositivos finais _____________________ 72 112
3.6.1 Eleição do DR e BDR _____________ 113
1.2 Processo de Roteamento em
3.7 Escolha do melhor caminho pelo OSPF
Roteadores __________________________ 74
117
1.3 Encaminhamento de quadros entre
3.8 Configurando os Timers de Hello e Dead
roteadores ___________________________ 76
118
1.4 Relembrando a tabela de roteamento –
3.9 Defino ou não o Router ID? _______ 119
show ip route_________________________ 77
1.5 Principais problemas envolvendo 4 LSAs e Montagem da Topologia pelo
roteadores ___________________________ 78 OSPF _____________________________ 120
1.6 Roteamento entre VLANs com Router- 4.1 LSAs em Topologias Single Area ___ 121
on-a-stick ____________________________ 79 4.2 LSAs em Topologias Multiarea ____ 125
1.7 Roteamento entre VLANs com Switch L3 5 Balanceamento de Cargas no OSPF _ 129
e SVIs 81
6 Dicas de Troubleshooting com OSPF 131
1.8 Protocolos de Roteamento Interno - IGP
83 6.1 Opções de Debug no OSPF _______ 132
1.9 Tabela Comparativa dos IGPs ______ 85 6.2 Identificando e resolvendo problemas
de formação de adjacências no OSPF ____ 132
2 Testando a Conectividade com Ping, 6.2.1 Problemas com áreas erradas e RID
Traceroute e Telnet __________________ 86 duplicados_____________________________ 133
6.2.2 Problemas com Hello e Dead diferentes
2.1 Utilizando o Ping para isolar o problema em um dos vizinhos _____________________ 134
86 6.2.3 Problemas relacionados ao tipo de rede
2.1.1 Testanto a rede com ping _________ 86 OSPF 135
2.1.2 Opções Avançadas – Testes mais 6.2.4 Problemas relacionados ao MTU do link
específicos _____________________________ 87 136
2.2 Utilizando o Traceroute para isolar o 6.3 Resolvendo problemas onde as
problema ____________________________ 88 adjacências estão OK mas faltam rotas na
2.3 Utilizando o Telnet e SSH para validar tabela 138
serviços _____________________________ 89 7 Resumo dos Comandos Utilizados no
3 Funcionamento e Configuração do OSPF _____________________________ 138
OSPFv2 ____________________________ 91 8 Resumo do Capítulo _____________ 139
3.1 Configuração do OSPF Single Area___ 93
3.1.1 Dicas sobre o comando network ____ 98
3.1.2 Anunciando a Rota Padrão pelo OSPF 99
3.2 OSPF Multiarea _________________ 100
3.2.1 Configurando o OSPF Multiarea ___ 102
3.2.2 Configurando OSPFv2 via Interface _ 105
3.3 Resumo dos comandos show para OSPF
107

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 71


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1 Processo de Roteamento em Hosts e Roteadores


Quando falamos em roteamento temos que lembrar os conceitos básicos estudados no CCENT e
da divisão básica que é realizada da maneira que um roteador trata o processo e também como
um dispositivo final (computador, por exemplo) trata seu processo de roteamento.

Uma das topologias que você deve lembrar é o ROAS ou Router-on-a-stick, muito utilizada em
unidades remotas, onde temos switches L2 e um roteador fazendo o roteamento entre as
VLANs da unidade.

Outra opção muito utilizada atualmente é a utilização de switches L3 fazendo a conexão direta
entre as unidades remotas e suas matrizes. Nesse tipo de conexão utiliza-se uma interface
virtual chamada SVI para fazer o roteamento entre as VLANs da unidade remota.

Você também pode encontrar o roteamento feito por switches L3 em topologias de 3 camadas,
mas isso será melhor estudado no CCNP SWITCH.

Vamos na sequência relembrar de conceitos importantes tanto para realização do exame como
para o aprendizado do capítulo.

1.1 Roteamento e problemas simples com dispositivos finais

De maneira generalizada os hosts que representam os dispositivos finais (servidores,


computadores, tablets, telefones IP, smartphones, switch camada-2, etc.) tem sua configuração
repassada por um servidor DHCP (IP dinâmico) ou inserida manualmente por um
administrador de redes (IP estático). Os parâmetros básicos que um host desse tipo precisa
para navegar tanto em uma Intranet como na Internet são:

 Endereço IP
 Máscara de sub-rede
 Endereço do gateway padrão (default gateway ou roteador padrão)
 Endereço de pelo menos um servidor DNS

Podem ser configuradas mais opções? Sim, tais como endereço do servidor NTP, para telefonia
IP o endereço do servidor TFTP que armazena o firmware e configurações iniciais dos telefones,
etc. Porém os quatro itens citados anteriormente são obrigatórios.

Se ensinarmos apenas o endereço IP e a máscara com que outros dispositivos um


computador é capaz de se comunicar? Tente responder sozinho e clique aqui para ver a
resposta certa.

Resposta:
Apenas a própria sub-rede, ou seja, sua rede local seja uma LAN ou VLAN, pois sem um
gateway padrão o computador não consegue se comunicar com outras redes diferentes da
sua.

Portanto, em um dispositivo final, ao inserirmos um endereço IP e uma máscara ele cria uma
rota para sua própria sub-rede. Para comunicar-se com outras redes, na grande maioria das
vezes, precisamos configurar o endereço do roteador ou gateway padrão para o computador.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 72


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Agora chegou a hora de pensar um pouco e relembrar das configurações de redes


LAN/VLAN. Responda as seguintes perguntas:

1. Que endereço será utilizado como gateway padrão em uma rede Router on a Stick
(ROAS) sem VLANs?
2. E se utilizarmos uma topologia ROAS com VLANs?
3. E se utilizarmos switches camada-3?

Tente responder sozinho e clique aqui para ver a resposta certa.

Resposta:
1. Em redes sem VLAN o próprio endereço da interface física do roteador que está
conectado com o switch de acesso da LAN.
2. Em redes com VLAN utilizamos os endereços das subinterfaces lógicas do roteador
que está realizando o roteamento entre VLANs.
3. Em redes com switch L3 utilizamos os endereços configurados em cada interface
VLAN criada para o roteamento entre VLANs.

Até o momento já analisamos dois pontos importantes que podem ser cobrados em questões de
troubleshooting tanto no ICND-2 como na prova do CCNA Accelerated:

1. Temos que nos certificar que o IP e a máscara estão corretas no host.


2. Temos que nos certificar que o gateway configurado estaticamente ou via DHCP no host
realmente é o que deveria ser.

Se configurarmos uma rede diferente da LAN ou VLAN que foi planejada o host nem se
comunica localmente, já sem um gateway adequado o host não se comunica com outras LANs,
VLANs na Intranet e nem consegue sair para a Internet.

O próximo parâmetro obrigatório é o endereço do servidor DNS. Lembre-se que o DNS é um


serviço UDP nos clientes de rede e tem a função de traduzir um nome de domínio, por exemplo,
www.cisco.com, para um endereço IP. Lembre-se que não conseguimos montar um pacote IP
com um nome e sim com um endereço IP de destino.

Portanto, quando falamos de problemas com DNS ele pode ser basicamente duas alternativas
básicas (supondo que o servidor DNS está corretamente configurado e operacional):

1. O endereço configurado estaticamente ou via DHCP não está correto ou


2. O cliente de rede não tem conectividade com o servidor DNS.

Lembre-se ainda que em paralelo aos processos citados anteriormente temos as requisições
ARP na LAN que são importantíssimas para a resolução de endereços MAC e a montagem do
quadro de camada-2. A requisição ARP é enviada em broadcast e sua resposta dada em
Unicast. Quando o computador quer se comunicar com um host remoto que não faz parte da
sua rede local o roteador padrão é quem responde à solicitação ARP.

Resumindo a configuração e operação dos clientes de rede:

1. Precisa pegar sua configuração IP de maneira estática ou dinâmica via DHCP.


2. Precisa no mínimo de IP, máscara, gateway e um endereço de servidor DNS.
3. Na rede local se comunica diretamente com os demais clientes.
4. Quando a comunicação é para redes remotas ou simplesmente outra sub-rede precisa
do roteador padrão para encaminhar seus pacotes.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 73


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

5. Se a comunicação for utilizando um nome de domínio é necessária a tradução desse


nome para IP através de um servidor DNS.

Que outros problemas podem afetar um cliente de rede ou dispositivo final?

1. Problemas físicos: tais como cabeamento incorreto, conectado à porta errada do


switch, tipo de cabo errado (cross ao invés de direto ao conectar a um switch, por
exemplo), etc.
2. Problemas com o switch: porta em shutdown, speed e duplex configurados errados,
porta bloqueada pelo Port Security, VLAN de dados configurada errada, modo de
operação configurado errado (trunk ao invés de access, por exemplo), se o STP não está
bloqueando a porta, etc.
3. Servidor DHCP: se o servidor DHCP da rede for centralizado devemos lembrar que a
mensagem de requisição (DHCP Request) é enviada em broadcast e não será
encaminhada para uma sub-rede remota, portanto para esse tipo de cenário é necssário
o uso do DHCP relay nos roteadores (ip helper-address nas interfaces de LAN dos
roteadores).

Na prática, e também na prova, é interessante seguir o modelo OSI para eliminar problemas
começando pela camada física e subindo até a camada de rede, ou seja:

1. Verificar o cabeamento.
2. Verificar a placa de rede (ping 127.0.0.1).
3. Verificar a porta do switch (speed/duplex, VLAN de acesso, estado operacional e modo
operacional da porta).
4. Verificar as configurações de camada-3: endereço IP, máscara e gateway. Se for via
DHCP verificar se as configurações estão sendo passadas ao cliente corretamente.
5. Utilizar ping e traceroute para testar o alcance do host na Intranet até a saída para a
Internet.

Na prova esse tipo de conceito costuma ser cobrado em conjunto com saídas de comando show
nos roteadores e switches. Por exemplo, é dado um show running-config e a configuração de
um host e você teria que identificar que o gateway do host está errado ou algum outro
parâmetro básico.

1.2 Processo de Roteamento em Roteadores

Conforme estudado no ICND-1, basicamente os roteadores podem aprender caminhos em uma


rede IP de quatro maneiras:

1- Interfaces diretamente conectadas: criadas ao configurarmos um IP, Máscara e a


interface ficar ativa (UP/UP).

R1(config)#interface fast 0/0


R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shut

2 - Rotas Estáticas: definidas pelo próprio administrador de redes.

R1(config)#ip route rede máscara gateway/interface

3 - Roteamento Dinâmico: descobertas dinamicamente por um protocolo de roteamento


dinâmico.

R1(config)#router rip | eigrp 100 | ospf 1 | is-is 1 | bgp 6500

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 74


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4 - Gateway padrão: rota utilizada como último recurso de roteamento, ou seja, se o roteador
não tem uma saída específica para determinada rede de destino, se houver rota padrão
configurada ela é utilizada para encaminhar o pacote.

R1(config)#ip route 0.0.0.0 0.0.0.0 gateway/interface

Portanto, diferente de um host, por padrão, o roteador utilizará diversas entradas ou fontes de
roteamento para encaminhar seus pacotes (pois ele possui mais de uma saída disponível).

A lógica para escolha da melhor rota segue a figura abaixo. Um roteador pode ter várias
entradas de roteamento, porém sempre a que possui menor distância administrativa (AD –
Administrative Distance) é a considerada mais confiável e será utilizada para montar a tabela
de roteamento. Se um mesmo processo de roteamento descobrir mais de uma rota para um
destino ele utiliza a métrica para definir qual dessas entradas de roteamento devem ser
inseridas na tabela de roteamento.

Uma vez decidida qual rota a ser utilizada ela é instalada na tabela de roteamento e a decisão
sobre para que interface rotear é baseada no prefixo mais longo (longest prefix match). Por
exemplo, temos duas rotas:

1. 10.0.0.0/16 via serial 0/0


2. 10.0.0.0/24 via serial 0/1

O roteador recebe pela sua fast0/0 um pacote IP com o endereço de destino 10.0.0.1, qual
a rota será utilizada? Via serial 0/0 ou 0/1? Tente responder sozinho e clique aqui para
ver a resposta certa.

Resposta:
Via serial 0/1 porque ele é mais específica e tem o prefixo mais longo. Pense assim, quais
os IPs que a rota 1 conhece? 10.0.0.0/16 vai de 10.0.0.1 até 10.0.255.254, são mais de
65mil IPs. E se utilizássemos a rede 10.0.0.0/24? Essa rede tem os IPs 10.0.0.1 até
10.0.0.254, apenas 254 endereços. Portanto qual é mais confiável? O endereço 10.0.0.1
está entre 65mil endereços ou ser encontrado entre 254 endereços? Com certeza entre 254
endereços, por isso a rota mais específica ou com prefixo maior vai ser utilizada para o
encaminhamento desse pacote!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 75


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.3 Encaminhamento de quadros entre roteadores

O processo de roteamento básico entre dois roteadores nasce quando um pacote IP é recebido
em uma interface e precisa ser encaminhado para uma rede remota.

A primeira verificação que é realizada no quadro de camada-2 recebido é o campo FCS, onde
temos a checagem de erros do quadro. Se ele está íntegro o processo segue em frente, porém
se forem detectados erros o quadro é descartado.

A seguir o roteador desmonta o quadro de camada-2, consulta o IP de destino, verifica se tem


entrada na tabela de roteamento e encaminha para a Interface mais específica (maior
comprimento do prefixo = maior máscara).

Suponha que não existe rota que contenha o IP de destino, nesse caso o roteador verificar se
existe rota padrão configurada (0.0.0.0/0 ou qualquer rota marcada com um asterisco - * - na
tabela de roteamento). Se existir correspondência o pacote será encaminhado para essa
interface, senão o pacote será descartado e uma mensagem de rede inalcançável é enviada ao
host de origem pelo roteador via protocolo ICMP.

No caso de haver rota de saída na tabela de roteamento o roteador precisará remontar o pacote
IP utilizando o quadro de camada-2 da interface de saída, por exemplo, se a interface de saída
é uma fastethernet o roteador vai precisar seguir alguns passos:

 Descobrir o MAC do endereço IP do vizinho mapeado em sua tabela de roteamento:


utilizando um ARP request.
 Aguardar a resposta (ARP Reply) do vizinho.
 Montar o quadro, no padrão ethernet, inserindo seu MAC como origem e o MAC do
vizinho descoberto via ARP como destino.
 Encaminhar o quadro através da sua interface.

Esse processo precisa sempre de uma interface de saída, se na tabela de roteamento o próximo
salto for um endereço IP o roteador precisa descobrir a que interface pertence aquele IP para
encaminhar o pacote!

O processo básico descrito acima se chama Process Switching, veja a figura a seguir com um
resumo dessa operação básica.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 76


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1. Recebe quadro ethernet com pacote IP para destino remoto, verifica se o MAC de
destino é o seu (MAC de R1) e se o quadro está íntegro (sem erros no FCS).
2. Desencapsula o pacote IP.
3. Verifica se tem entrada para a rede de destino na tabela de roteamento.
4. Monta o quadro de saída conforme a interface encontrada na tabela de roteamento.
5. Envia o pacote IP através da interface de saída para o próximo salto encontrado na
tabela de roteamento.

1.4 Relembrando a tabela de roteamento – show ip route

Parte importante do processo de troubleshooting em redes IP é saber analisar a tabela de


roteamento. Sua visualização é feita com o comando “show ip route”.

Vamos analisar abaixo a saída parcial de uma tabela de roteamento e seus principais campos:

1. 10.0.0/8 -> Representa a rede classfull (A, B ou C) que gerou a entrada de roteamento
e pode ter sido subdividida em outras sub-redes. Nesse exemplo temos a rede
10.0.0.0/8.
2. 13 subnets -> A rede 10.0.0.0/8 foi dividida em 13 sub-redes.
3. 5 masks -> Essas 13 sub-redes em que a rede 10.0.0.0/8 foi subdividida possuem
cinco comprimentos de prefixos (máscaras) diferentes.
4. CLOO -> Código da origem de roteamento conforme legenda que é descrita no início do
show ip route e omitido nesse exemplo. Nesse caso C são rotas diretamente conectadas,
L rotas locais (/32) e O rotas aprendidas via OSPF.
5. 10.2.2.0 -> Número da sub-rede específica que gerou a entrada de roteamento.
6. /30 -> prefixo ou máscara da sub-rede anterior.
7. [110/ -> Distância administrativa do protocolo de roteamento ou fonte de aprendizado
da rota. Nesse caso foi aprendido via OSPF.
8. /128] -> Métrica da rota aprendida via OSPF.
9. 10.2.2.5 -> Endereço do próximo salto (roteador vizinho).
10. 14:31:52 -> Para o EIGRP e OSPF é quando a rota foi aprendida pela primeira vez.
11. Serial0/0/1 -> Interface local de saída caso haja pacotes enviados para a rede
10.2.2.0/30.

É muito importante que a interpretação da tabela de roteamento seja aprendida tanto para os
exames ICND-2 (200-105) e também para o CCNA Accelerated (200-125), assim como para
sua vida prática como administrador de redes.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 77


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.5 Principais problemas envolvendo roteadores

Vamos analisar os problemas que podem ocorrer em uma rede envolvendo roteadores, quais
são? A resposta não é muito animadora, pois na prática podem ser muitos problemas, porém
temos que lembrar o nosso processo de troubleshooting utilizado desde o CCENT e
recomendado no capítulo anterior:

1. Prever o funcionamento normal: descrevemos anteriormente o processo básico de


roteamento e encaminhamento dos pacotes.
2. Isolar o problema: aqui podemos utilizar comandos show interfaces, show ip route, ping
e traceroute.
3. Encontrar a causa raiz: com o problema isolado a poucas possibilidades fazer uma
análise localizada em busca do que realmente está causando o problema.
4. Propor uma solução: elaborar uma solução, implementá-la e validar com testes de ping,
traceroute e se possível testes de aplicação.

Também é importante levar em conta o processo de resolução seguindo o modelo OSI:

 Tem problemas físicos? -> tipos cabos conectados corretamente, parametrização


correta, interfaces ativas (shut/no shut), cabos com problemas, etc.
 Ou problemas na camada de enlace? -> protocolo de WAN igual em ambos os lados,
clock rate nas interfaces DCE, etc.
 Ou problemas na camada de rede? -> IP e máscara conforme planejado, protocolo de
roteamento trocando informações, etc.
 Se o roteador fornece DHCP aos clientes -> o range de IPs está correto? Gateway, DNS
e demais parâmetros também?

Outros problemas que podem ocorrer, que já foram estudados no CCENT, são relacionados ao
overlapping de endereçamento (sobreposição de IPs). Esses problemas são detectados pelo
Cisco IOS, pois se você digitar “ip address 192.168.1.1 255.255.255.0” e em outra interface do
roteador “ip address 192.168.1.1 255.255.255.128” o próprio roteador vai informar que tem
um erro.

Mas e se você digitar a segunda rede em um roteador remoto? Vai haver aviso do Cisco IOS
sobre o problema? A resposta é NÃO, simplesmente poderá haver duplicação de endereços,
pois a rede 192.168.1.0/24 tem os IPs de 192.168.1.1 até 192.168.1.254, já a rede
192.168.1.0/25 tem os IPs 192.168.1.1 até 192.168.1.126, ou seja, faixas iguais podem
acabar sendo distribuídas em roteadores diferentes, causando um verdadeiro caos na rede!

Portanto, cuidado com o planejamento de redes em ambientes reais. Na prova você pode
receber saídas de comandos ou topologias para analisar o endereçamento e apontar erros de
sobreposição. Outro modelo de questão pode fornecer diferentes opções de IPs que podem se
sobrepor para que você escolha quais devem ser configurados corretamente em uma topologia.

Quando utilizamos roteamento entre VLANs é importante também verificar a questão da VLAN
nativa, pois ela vem sem a marcação e deve ser a mesma tanto nos switches como no roteador
em uma topologia Router on a Stick (ROAS).

Caso essa configuração esteja errada, a rede da VLAN nativa pode não ser roteada pelo
roteador, pois ele espera por padrão a VLAN1 e nos switches esse parâmetro foi alterado.

Por último, lembre-se das configurações de listas de acesso quando houver um problema de
conectividade entre dois pontos, principalmente se determinados serviços funcionam e outros
não. ACLs aplicadas incorretamente ou configuradas incorretamente podem gerar sérios
problemas de conexão.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 78


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Tentamos resumir nesse primeiro tópico vários problemas que são pré-requisitos, pois devem
ter sido estudados no CCENT, e suas causas raízes.

É importante lembrar que não dá para o examinador separar muito entre problemas e
comandos estudados anteriormente com os novos conceitos, pois estamos apenas
acrescentando mais coisas no ICND-2.

1.6 Roteamento entre VLANs com Router-on-a-stick

Por padrão somente hosts de uma mesma VLAN podem se comunicar.

Para que computadores de VLANs diferentes se comuniquem é necessário que um equipamento


de camada-3 seja inserido na rede e devidamente configurado para efetuar o encaminhamento
do tráfego entre as VLANs.

Lembrem que cada VLAN está configurada em um domínio de broadcast diferente, ou seja,
cada uma possui sua própria rede ou sub-rede IP, por isso para haver comunicação um
roteador precisará realizar o roteamento entre as redes, ou seja, encaminhar os pacotes de
uma rede para outra.

Essa topologia com switches na rede LAN e um roteador fazendo o roteamento entre VLANs é
conhecida como “router-on-a-stick” ou ROAS, pois o roteador fica na ponta de uma fila de
switches L2 recebendo os quadros e fazendo o roteamento entre as VLANs.

Com a topologia ROAS todos os quadros com pacotes IP que precisam ser roteados serão
encaminhados através dos trunks até o roteador, o qual fará o roteamento entre as diferentes
VLANs criadas nos switches.

Para suportar roteamento entre VLANs, seja em redes entroncadas via ISL ou 802.1Q, a
interface LAN do roteador deve ser subdividida e essas novas interfaces lógicas são
chamadas subinterfaces.

O roteamento entre VLANs em roteadores é realizado criando subinterfaces lógicas em uma


Fastethernet ou Gigabitethernet. A interface LAN física deve estar sem endereço IP configurado,
pois ele será configurado nas subinterfaces lógicas.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 79


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Podemos fazer uma analogia que vamos “fatiar a interface física” para passar várias VLAN’s,
que são interfaces lógicas. Caso não fosse possível essa configuração o roteador necessitaria
uma interface LAN por VLAN configurada no switch.

Você pode escolher qualquer número de subinterface em um range de 0 até 4294967295,


conforme mostrado abaixo.

Router0(config)#int f0/0.?
FastEthernet interface number
Router0(config)#int f0/0.10
%LINK-5-CHANGED: Interface FastEthernet0/0.10, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.10, changed state
to up
Router0(config-subif)#

Assim que você cria a subinterface, se a interface principal estiver ativada, ela sobe para UP e a
rede IP configurada nela é inserida na tabela de roteamento.

Uma forma interessante de configuração que facilita a manutenção é colocar o número da


subinterface igual ao da VLAN a ser configurada nela, por exemplo, você vai configurar a VLAN
10 no roteador, entre com o comando “interface fast 0/0.10”, assim você poderá analisar os
problemas de roteamento entre VLANs mais facilmente.

As informações de VLAN também serão criadas nas subinterfaces com o


comando “encapsulation dot1q 10” , onde o parâmetro “dot1q” representa o
protocolo 802.1Q e o valor“10” representa a VLAN 10.

A seguir estudaremos outro exemplo de configuração de roteamento entre VLAN executado por
um roteador 2811, onde ele irá rotear as VLANs 10 e 20 com protocolo 802.1Q e a VLAN 30
com protocolo ISL, conforme topologia abaixo.

2811#config t
2811(config)#int fast 0/0 ! Configurando a interface física
2811(config-if)# no ip address
2811(config-if)# no shut
2811(config)# interface fastethernet 0/0.1 ! criando a subinterface 0/0.1
2811(config-subif)# encapsulation dot1q 10 ! VLAN 1 via 802.1Q
2811(config-subif)# ip address 192.168.1.1 255.255.255.0
2811(config-subif)#exit
2811(config)#interface fastethernet 0/0.2 ! criando a subinterface 0/0.2
2811(config-subif)#encapsulation dot1q 20 ! VLAN 2 via 802.1Q
2811(config-subif)#ip address 192.168.2.1 255.255.255.0
2811(config-subif)#exit
2811(config)#int f0/0.3 ! criando a subinterface 0/0.3
2811(config-subif)#encapsulation isl 30 ! VLAN 10 via ISL
2811(config-subif)#ip address 192.168.3.1 255.255.255.0
2811(config-subif)#exit
2811(config)#

Reforçando, o comando “encapsulation” define o protocolo de camada-2 a ser utilizado na


subinterface, o “dot1q” representa o 802.1Q e o “isl” é o ISL proprietário da Cisco, utilizado nos
switches de versão mais antiga, por exemplo a linha Catalyst 1900. O número colocado após o
parâmetro “dot1q” ou “isl” é o número da VLAN que o roteador irá encaminhar.

Além dessa configuração é necessário configurar os endereços IPs das subinterfaces, pois cada
VLAN necessita de uma rede ou sub-rede IP própria, com o comando “ip address” conforme já
ensinado anteriormente.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 80


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

É importante notar que a interface principal fica sem endereço IP, eles são configurados em
cada subinterface, conforme exemplo apresentado.

1.7 Roteamento entre VLANs com Switch L3 e SVIs

Normalmente em redes com arquitetura em três camadas utilizamos switches Layer 3 nas
camadas de distribuição e núcleo, sendo que o roteamento entre VLANs é recomendado ser
configurado nos switches de distribuição.

Mas atualmente muitas empresas estão utilizando switches L3 também em unidades remotas,
principalmente se não precisar de muitos recursos avançados um switch consegue suprir todas
as necessidades de pequenas unidades.

Portanto, a empresa consegue economizar um dispositivo conectando sua Internet e suas VPNs
diretamente no switch L3.

A diferença de um switch camada 3 para um roteador é que ele pode realizar roteamento de
pacotes de maneira semelhante ao encaminhamento dos quadros, ou seja, através de hardware
ao invés de software como nos roteadores, isso torna os switches camada 3 até mais rápido
que os roteadores para o encaminhamento dos pacotes.

Os switches Layer 3 da Cisco que rodam IOS são na realidade switches layer 2 por padrão e
para terem a facilidade de roteamento IP (Layer 3) você deve utilizar um IOS mais avançado,
que suporte o protocolo IP, e também habilitar o protocolo IP com o comando “ip routing” em
modo de configuração global, o mesmo comando que já vem habilitado por padrão nos
roteadores.

Para o roteamento entre VLANs basta criar interfaces virtuais chaveadas ou SVIs (Switched
Virtual Interface).

A configuração é a mesma que fazemos para inserir o IP de gerenciamento em switches L2, ou


seja, com o comando "interface vlan", porém em switches L3 essas interfaces VLAN podem ser
várias e suas redes são inseridas na tabela de roteamento.

Isso possibilita o roteamento dos pacotes entre as diversas VLANs de acesso.

Vamos mostrar um exemplo de configuração de roteamento entre VLANs em um switch layer 3


modelo Catalyst 3550 e também como configurar uma interface para layer 3 e conexão com um
roteador.

Vamos partir do pressuposto que as configurações básicas do switch 3550 foram realizadas e os
switches de acesso também, portanto vamos apenas nos preocupar com ativar o roteamento IP
no 3550, configurar o roteamento entre VLANs e ativar o recurso de layer 3 na interface Fast
0/1 para configurar um endereço IP nela.

Também teremos que configurar o roteamento no switch 3550, para que ele possa encaminhar
pacotes de redes não conhecidas em direção à rede corporativa, faremos isso com uma rota
estática padrão apontando para o roteador, o qual é seu gateway padrão.

Veja as configurações e topologia a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 81


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Passo 1 - Configurando o roteamento entre VLANs

Lembre-se que temos as VLANs 2, 3 e 10 e vamos alocar o primeiro IP de cada VLAN para o
3550. Vamos iniciar ativando o protocolo IP e depois configurando o roteamento entre VLANs.

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#ip routing
Switch(config)#interface Vlan2
Switch(config-if)#ip address 10.1.2.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config)#interface Vlan3
Switch(config-if)#ip address 10.1.3.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config)#interface Vlan10
Switch(config-if)#ip address 10.1.10.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#

Note que o roteamento entre VLANs nada mais é que criar uma interface VLAN para cada sub-
rede e ativá-la. Quando o switch é Layer-2 apenas uma interface VLAN é permitida, a de
gerenciamento, quando tentamos ativar mais uma ele coloca a anterior em shutdown.

Essas interfaces são chamadas SVIs ou Switched Virtual Interfaces.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 82


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Passo 2 – Ativando o Layer 3 na Interface do Switch e Criando Rota Padrão (opcional)

Agora vamos transformar a interface fast 0/1 em uma interface layer-3 com o comando “no
switchport”, configurar o IP na interface e criar a rota padrão apontando para o gateway.

Switch(config)#interface FastEthernet 0/1


Switch(config-if)#no switchport
Switch(config-if)#ip address 200.1.1.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)# ip route 0.0.0.0 0.0.0.0 200.1.1.2
Switch(config)#end
Switch#

Essas interfaces são chamadas portas roteadas ou "routed ports", pois elas passam a funcionar
como as interfaces dos roteadores.

Agora com o comando show ip route podemos verificar a tabela de roteamento no switch 3550,
veja abaixo.

Switch#show ip route
### Saídas omitidas ###
Gateway of last resort is 200.1.1.2 to network 0.0.0.0

200.1.1.0/30 is subnetted, 1 subnets


C 200.1.1.0 is directly connected, FastEthernet0/48
10.0.0.0/24 is subnetted, 3 subnets
C 10.1.10.0 is directly connected, Vlan10
C 10.1.3.0 is directly connected, Vlan3
C 10.1.2.0 is directly connected, Vlan2
S* 0.0.0.0/0 [1/0] via 200.1.1.2

Note que para cada interface VLAN criada foi inserida uma rota diretamente conectada na
tabela de roteamento do switch, tendo o mesmo efeito da configuração das sub-interfaces no
roteador quando utilizamos a topologia “router-on-a-stick”, ou seja, switches conectados
diretamente ao roteador através de um link layer-2.

Com essa configuração o switch camada-3 fará o encaminhamento de pacotes entre as redes
locais dos switches de acesso conectados a ele.

Quando um host de uma dessas redes quiser sair para a Internet o próprio switch de camada-3
encaminhará esse pacote ao roteador através da interface fast 0/1.

1.8 Protocolos de Roteamento Interno - IGP

Uma das classificações dos protocolos de roteamento é sobre onde ele é utilizado:
 IGP – Interior Gateway Protocol: protocolos utilizados dentro de um domínio de
roteamento ou sistema autônomo.
 EGP – Exterior Gateway Protocol: protocolos utilizados para comunicação entre
diferentes domínios de roteamento ou sistema autônomo.

Essa terminologia vem da Internet, a qual é uma rede mundial formada por diversas redes IP
de empresas, provedores de serviços de Internet (ISP), entidades governamentais (como
faculdades e redes de pesquisa) e outras entidades chamadas de Sistemas Autônomos (AS –
Autonomous System).

Portanto, protocolos IGP são usados no interior dos sistemas autônomos e os EGP para
conectar essas diversas entidades através da Internet.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 83


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O protocolo EGP atualmente utilizado é o BGP-4, todos os demais são IGPs (RIP, EIGRP, IS-IS e
OSPFv2).

Cada protocolo de roteamento funciona segundo um algoritmo que dita como ele deve enviar
suas informações, o que está contido nessas informações, quando enviá-las e assim por diante.
Basicamente podemos dividir os IGPs em três categorias:
 Vetor de distância (Distance Vector – RIP v1/v2 e IGRP)
 Estado de enlace (Link State ou SPF – OSPFv2 e IS-IS)
 Vetor de Distância Avançado (Protocolo Híbrido - EIGRP)

Ser um protocolo vetor de distância ou Distance Vector significa que as rotas são anunciadas
como vetores com uma distância e direção. A distância é definida em termos de uma métrica,
como contagem de saltos para o RIP, e a direção é simplesmente a interface de saída para
esses pacotes. Também é conhecido como algoritmo de Bellman-Ford.

Os protocolos de roteamento do vetor de distância pedem que o roteador anuncie


periodicamente a tabela de roteamento inteira para cada um de seus vizinhos. As atualizações
periódicas são enviadas em intervalos regulares (30 segundos para o RIP e 90 segundos para o
IGRP). Mesmo que a topologia não tenha sido alterada, as atualizações periódicas continuarão
sendo enviadas a todos os vizinhos indefinidamente.

Os roteadores que usam roteamento do vetor de distância não conhecem a topologia da rede
onde estão inseridos, pois eles têm apenas a visão da rede através de seus vizinhos
diretamente conectados, as demais redes são vistas por eles através de uma interface de saída
e uma métrica, porém sem conhecimento do caminho que o pacote fará até chegar ao seu
destino.

Os protocolos de roteamento link-state também são conhecidos como protocolos de roteamento


pelo caminho mais curto e são criados a partir do algoritmo SPF criado por Edsger Dijkstra, por
isso pode ser chamado também de algoritmo de Dijkstra.

Os protocolos de roteamento link-state IP mais famosos são o Protocolo OSPF versão 2 (Open
Shortest Path First ) e o IS-IS (Intermediate-System-to-Intermediate-System). Os protocolos
de estado de enlace não trocam tabela de roteamento e sim mensagens sobre seus enlaces
chamadas LSAs (Link State Advertisements).

Os protocolos híbridos ou vetores de distância avançados utilizam características dos vetores de


distância e também dos protocolos link–state, por isso o nome híbrido. Como foi construído com
mais características de vetores de distância que link-state recebe a designação de vetor de
distância avançado.

Atualmente o protocolo EIGRP é considerado vetor de distância avançado.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 84


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.9 Tabela Comparativa dos IGPs

Existem algumas características que foram citadas sobre os protocolos de roteamento e a


tabela abaixo resume o mais importante que pode ser cobrado em prova.

O IS-IS têm as mesmas características do OSPF.

Além disso, o RIP-v1 não suporta sumarização e os demais protocolos suportam. Também
sobre a forma de envio de updates para os vizinhos, o RIPv1 e IGRP utilizam broadcast, já o
EIGRP e OSPF utilizam multicast.

Lembrem que quando na tabela o protocolo é classificado como classful quer dizer que ele não
envia a máscara na tabela de roteamento e por isso não suporta VLSM nem CIDR. Os
protocolos classless suportam VLSM e CIDR porque enviam a máscara em seus anúncios de
roteamento.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 85


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2 Testando a Conectividade com Ping, Traceroute e Telnet


Os comandos ping, traceroute e telnet podem ser utilizados para realizar vários testes na rede,
sendo que os dois primeiros testam a camada 3 do modelo OSI, já o telnet vai até a camada de
aplicação.

Apesar de termos estudado no CCENT, e ser um pré-requisito, vamos relembrar alguns


conceitos e ensinar algumas técnicas para testes mais específicos.

2.1 Utilizando o Ping para isolar o problema

O comando ping responde uma pergunta simples: “Existe conectividade em camada 3


entre dois pontos?”. Caso haja, o teste será bem sucedido e você receberá um ponto de
exclamação como resposta, senão aparecerão erros representados por símbolos tais como um
ponto final (expirou o tempo limite) ou a letra U (Unreachable - destino inalcançável).

Lembre-se que ao executar um ping em seu computador ou roteador, uma mensagem de


“echo request” (requisição de echo) é enviada através do protocolo ICMP diretamente em um
pacote IP e quando o destinatário recebe essa mensagem ele deve responder com um “echo
reply” (resposta ao echo) em até dois segundos por padrão.

2.1.1 Testanto a rede com ping


Através do ping podemos disparar testes para cada um dos pontos chaves em uma rede, ou
seja, para os endereços dos roteadores por onde os pacotes são encaminhados.

Por exemplo, veja a figura a seguir.

Sabemos que o gateway do PC1 é o roteador R1, portanto disparamos um ping para R1 e se
obtivermos resposta é sinal que a comunicação local está OK. Caso não haja resposta podemos
ter um problema na configuração do PC1, por exemplo, IP e/ou máscara erradas.

Depois podemos testar o IP da interface serial de R1, assim sabemos que nosso pacote foi
roteado até a interface de saída da WAN.

Na sequência pingamos o IP da interface serial de R2. Se não obtivermos resposta pode ser um
problema de roteamento, por exemplo, R2 não tem rota para a rede LAN de R1. Outra hipótese
é um problema na própria interface serial, por exemplo, o endereço IP está configurado errado.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 86


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Se R2 responder através da WAN podemos pingar sua interface de LAN. Caso não haja resposta
e a WAN havia respondido, podemos ter uma ACL, impedindo o ping, aplicada na interface de
LAN de R2, por exemplo.

Por último podemos pingar o IP de gerenciamento dos switches da rede LAN de R2, se for
permitido, e por último pingar o PC2.

2.1.2 Opções Avançadas – Testes mais específicos


Vamos pensar no seguinte cenário, você é o administrador de redes e precisa testar se da LAN
de R1 há conectividade com o PC2 ou se o PC1 consegue responder para IPs de fora da LAN.
Será que eu preciso me deslocar até o computador do usuário com problemas ou fazer um
acesso remoto para testar?

Na realidade não, é possível utilizar o ping estendido para realizar esses testes, por exemplo,
definindo o IP de origem como sendo da própria LAN de R1 e enviando o ping para PC2
podemos testar se PC2 consegue acessar a rede de R1.

A outra situação onde queremos saber se PC1 responde ao ping para redes diferentes da sua
LAN é acessar remotamente R1 e pingar PC1 utilizando como interface de origem o IP da sua
serial. Simples assim!

A alteração em ambos os casos é feita no IP de origem (source address). Nele você pode digitar
um endereço ou o nome da interface, porém deve ser o nome completo, não é possível
abreviar. Veja campo marcado em amarelo a seguir.

DlteC-FW-GW#ping
Protocol [ip]:
Target IP address: 192.168.1.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
DlteC-FW-GW#

Mas para que precisaríamos alterar o IP de origem escolhido pelo roteador? Porque, por padrão,
o roteador monta o cabeçalho IP do ping utilizando o endereço da interface de saída do
pacote, a qual nem sempre pertence à rede de origem que estamos querendo testar.

Por exemplo, no teste do tópico anterior ao invés do roteador utilizar o IP da LAN onde o
computador estava situado, foi utilizado o IP da interface que conecta o roteador às demais
redes internas. Por isso o teste não foi 100% preciso, precisaria ser refeito utilizando o IP de
origem sendo o da LAN do roteador ou a própria interface ou subinterface dele.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 87


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Você pode executar as operações também diretamente via terminal, veja exemplo a seguir.

DlteC-FW-GW#ping 192.168.1.1 ?
data specify data pattern
df-bit enable do not fragment bit in IP header
repeat specify repeat count
size specify datagram size
source specify source address or name
timeout specify timeout interval
validate validate reply data
< cr >
DlteC-FW-GW#ping 192.168.10.1 repeat 10 source fastethernet0/0
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.2
!!!!!!!!!!
Success rate is 100 percent (10/10), round-trip min/avg/max = 1/2/4 ms
DlteC-FW-GW#

Portanto, com o comando acima definimos uma repetição de 10 vezes e alteramos a origem do
pacote para 192.168.1.1. Tudo isso pode ser feito das duas maneiras, pela linha de comando
ou com o ping estendido digitando apenas o comando “ping”.

2.2 Utilizando o Traceroute para isolar o problema

Com o traceroute podemos testar o caminho que o pacote percorre até chegar ao destino,
portanto poderíamos saber até que roteador o pacote está indo e continuar o troubleshooting a
partir desse ponto.

Lembre-se que o traceroute funciona com o envio de pacotes com valores de TTLs
incrementados a cada salto, fazendo com que os pacotes tenham seu tempo de vida expirado
nos roteadores e assim com o envio da mensagem de tempo de vida excedido o roteador local
pode mostrar os IPs de cada salto até o destino.

O comando traceroute é utilizado pelo Cisco IOS, Linux e MAC OS-X, no Windows temos os
comando tracert e pathping.

Veja exemplo de traceroute a seguir.

R1# traceroute 192.168.2.10


Type escape sequence to abort.
Tracing the route to 172.16.2.101
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.4.2 0 msec 0 msec 0 msec
2 192.168.2.10 0 msec 0 msec *

No primeiro exemplo o traceroute mostrou que para o computador 192.168.2.10 está a dois
saltos, veja que os índices 1 e 2 na frente representam os saltos dados.

Podemos também utilizar a opção estendida como utilizamos para o ping, veja exemplo a
seguir.

R1# traceroute
Protocol [ip]:
Target IP address: 192.168.2.10
Source address: 192.168.1.1
Numeric display [n]:
Timeout in seconds [3]:

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 88


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Probe count [3]:


Minimum Time to Live [1]:
Maximum Time to Live [30]:
Port Number [33434]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Type escape sequence to abort.
Tracing the route to 172.16.2.101
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.4.2 0 msec 0 msec 0 msec
2 192.168.2.10 0 msec 0 msec *

No exemplo acima alteramos o endereço de origem padrão definindo o IP 192.168.1.1 como


origem dos pacotes IP gerados para o teste de traceroute. A mesma recomendação sobre a
origem que o roteador utiliza para o ping vale também para o traceroute.

Um detalhe importante sobre o traceroute gerado pelo Cisco IOS é que ele utiliza pacotes IP
com um cabeçalho UDP para realização dos testes, por isso se o firewall bloquear tráfego
UDP o traceroute não terá sucesso, mesmo que a mensagem de TTL expirado esteja liberada.

A maioria dos demais sistemas operacionais utilizam pacotes IP puros com mensagens de
solicitação de echo para realizar o teste de traceroute ao invés de datagramas UDP.

Quando o tracerout não para de exibir asteriscos ou caracteres de erro, com a sequência de
teclas “Control+Shit+6” podemos suspender o comando. A mesma sequência pode ser
utilizada para interromper o ping e resoluções de nome.

2.3 Utilizando o Telnet e SSH para validar serviços

Não é porque o computador ou roteador remoto respondeu ao ping ou traceroute que seus
serviços irão funcionar, para garantir que até a camada 7 haja comunicação é preciso testar a
camada de aplicação. Para isso podemos utilizar um serviço como telnet, SSH, HTTP ou HTTPS
configuráveis em roteadores.

Um uso interessante do Telnet, que não é foco do CCNA ou CCENT, porém é bem útil para
testes práticos e simulações onde queremos ver pacotes sendo trocados através de sniffer é
simular conexões à portas de servidores via o comando telnet. Isso mesmo, você pode fazer
um telnet para a porta 80 para testar a conexão HTTP ou para a porta 25 para testar a conexão
com um servidor SNMP.

Veja exemplo abaixo onde vamos utilizar no switch (endereço 192.168.1.5) o comando “telnet
192.168.1.1 www” para abrir uma conexão HTTP com o roteador e no roteador vamos utilizar
o comando “show tcp brief” para verificar as conexões TCP abertas, similar ao netstat que
utilizamos nos computadores.

SW-DlteC#telnet 192.168.1.1 www


Trying 192.168.1.1, 80 ... Open

DlteC-FW-GW#sho tcp brief


TCB Local Address Foreign Address (state)
696EE480 192.168.2.1.2000 192.168.1.23.49411 ESTAB
697A0068 192.168.1.1.80 192.168.1.5.53921 ESTAB
679504C4 192.168.2.1.2000 192.168.2.20.44232 ESTAB
6975474C 192.168.1.1.22 192.168.1.22.65474 ESTAB
DlteC-FW-GW#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 89


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

No final com um “Control+C” digitado no switch podemos sair e finalizar o teste. Veja na
sequência o segundo teste para a porta 443 referente ao HTTPS realizada a partir do switch em
direção ao roteador.

SW-DlteC#telnet 192.168.1.1 443


Trying 192.168.1.1, 443 ... Open

DlteC-FW-GW#sho tcp brief


TCB Local Address Foreign Address (state)
696EE480 192.168.2.1.2000 192.168.1.23.49411 ESTAB
679504C4 192.168.2.1.2000 192.168.2.20.44232 ESTAB
6975474C 192.168.1.1.22 192.168.1.22.65474 ESTAB
697B3814 192.168.1.1.443 192.168.1.5.24360 ESTAB
DlteC-FW-GW#

Ambos os serviços foram ativados no roteador com os comandos abaixo:

SW-DlteC#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW-DlteC(config)#ip http server
SW-DlteC(config)#ip http secure-server
SW-DlteC(config)#ip http authentication local
SW-DlteC(config)#

Os serviços de HTTP e HTTPS nos roteadores e switches na prática geralmente são


desabilitados, porém você pode utilizar para realizar testes de camada 7, principalmente
quando estudarmos as listas de controle de acesso no próximo capítulo.

Para desabilitar os serviços basta colocar “no” no começo dos dois primeiros comandos, veja
abaixo.

SW-DlteC(config)#no ip http server


SW-DlteC(config)#no ip http secure-server

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 90


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3 Funcionamento e Configuração do OSPFv2


O OSPF é um protocolo de roteamento baseado no Estado de Enlace (Link State), os quais
utilizam o algoritimo SPF (Shortest path first – Caminho mais curto primeiro) para calcular as
melhores rotas.

O OSPF teve seu desenvolvimento no final dos anos 80 e atualmente possui duas versões,
sendo a versão 2 para o protocolo IPv4 (OSPFv2) e a versão 3 para o protocolo IP versão 6
(OSPFv3).

Diferente dos protocolos vetor de distância, como o RIP, o OSPF não troca tabelas de
roteamento e sim troca informações sobre os seus links através de LSAs (link state
advertisements).

As LSAs informam sobre o estado das interfaces dos roteadores adjacentes e são utilizadas
para que o roteador possa montar um banco de dados topológico e calcular então, através
do algoritmo Shortest Path First (SPF ou Algoritmo de Dijakstra), o melhor caminho para se
chegar ao destino e montar a tabela de roteamento do roteador. Na figura abaixo você tem o
resumo da operação do OSPF.

Um protocolo link-state procura com a troca de informações sobre suas interfaces montar um
“mapa” da rede, ou seja, primeiro ele descobre os vizinhos que estão em uma mesma área,
depois trocam informações (LSAs) que informam cada interface que esse vizinho possui, a que
outro vizinho ou rede ela está conectada e qual o “custo” dessa interface. Com essas
informações é possível organizar os vizinhos em um mapa e definir quais os melhores custos
para chegar a cada rede que está dentro dessa área OSPF.

Portanto, os roteadores OSPF conhecem o caminho para chegar até as redes de destino em
uma mesma área, por isso os protocolos link-state são mais pesados que os demais protocolos
de roteamento, pois dependendo do tamanho das áreas (quantidade de roteadores) pode haver
centenas ou até milhares de LSAs. Existe uma recomendação de até 50 roteadores por área
para minimizar o efeito da inundação de LSAs.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 91


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

No início do processo, quando ligamos os roteadores OSPF, eles devem estabelecer uma
“adjacência” com seus vizinhos utilizando um protocolo chamado Hello. Esse protocolo é
utilizado para formar e manter o vínculo entre os vizinhos.

Depois de formada a adjacência os roteadores enviam suas LSAs para toda a área através de
um processo chamado de “flooding” ou inundação. As informações recebidas
são armazenadas em um banco de dados de estado de enlaces ou LSDB (Link State Data
base). As informações contidas nas LSAs e armazenadas no banco de dados são geralmente:
 Rede e máscara
 Endereço IP
 Tipo de rede
 Custo do link (métrica)
 Vizinho diretamente conectado (se houver)

Após o processo inicial de flooding, quando os roteadores receberam todas as LSAs e seus
bancos de dados estão completos, os roteadores rodam o algoritmo SPF para montar uma
árvore SPF e determinar o melhor caminho para as redes de destino, alimentando a tabela
de roteamento. As melhores redes são determinadas através do custo de cada caminho
(somatória dos custos dos links do caminho).

Uma vez finalizado o processo de convergência (todos os roteadores conhecem as mesmas


informações de roteamento), as atualizações de roteamento ocorrerão novamente somente
quando houver alterações na rede (interfaces down ou novos componentes inseridos). Os
protocolos vetor de distância como RIP enviam periodicamente suas tabelas para os vizinhos
mesmo não havendo alterações.

Abaixo seguem as principais características do OSPFv2:

 Protocolo aberto definido na RFC 2328, podendo ser configurado entre roteadores Cisco
e de outros fabricantes.
 Suporta roteamento classless, isto é, repassa a máscara em seus updates e permite o
uso de VLSM e CIDR.
 A métrica do OSPF é determinada pelo custo do link, que por padrão é igual a
“100.000.000/Largura de banda” em bps.
 Utiliza multicast para troca de informações entre os roteadores (endereços 224.0.0.5 e
224.0.0.6).
 A distância administrativa padrão é 110.
 Utiliza áreas para melhor organizar o fluxo de informações entre os roteadores (envio
de LSAs).
 Cada roteador no mínimo mapeia a topologia de sua própria área da rede, o que facilita
a solução de possíveis problemas que possam ocorrer.
 Requer um projeto hierárquico para reduzir o overhead de roteamento, acelerar a
convergência e isolar redes instáveis em áreas específicas.

A configuração do OSPF pode ser em uma única área (OSPF Single Area - área única) onde
todas as interfaces devem pertencer à área zero.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 92


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Já o OSPF Multiarea utiliza mais áreas para dividir melhor as redes e teremos
obrigatoriamente uma área de backbone ou zero e as demais áreas conectas a ela. Não
podemos ter topologia sem a área zero, pois as demais áreas precisam da área zero para se
comunicar.

A área zero é chamada de “backbone” porque serve como trânsito para informações entre as
áreas regulares, por exemplo, se um computador conectado à área 1 quiser se comunicar com
um computador conectado à área 2, esse pacote IP será encaminhado entre as áreas passando
através do backbone (área 0).

Veja na figura a seguir uma topologia de rede OSPF multiarea, formada por uma área de
backbone (área zero) e áreas regulares (demais áreas diferentes de zero).

3.1 Configuração do OSPF Single Area

Vamos agora a um exemplo prático da configuração básica do OSPF seguindo a topologia


mostrada na figura. Vamos partir do princípio que todas as interfaces foram configuradas
corretamente, inclusive com o parâmetro bandwidth e vamos apenas configurar o OSPF.

Para configurar o OSPF básico vamos utilizar o passo a passo abaixo:


 Criar a interface loopback.
 Definir as redes e máscaras curingas diretamente conectadas.
 Entrar em modo de configuração do roteador OSPF.
 Configurar o router-ID (mesmo IP definido na Loopback).
 Inserir as interfaces no processo de roteamento com o comando network.
 Desativar o envio e recebimento de Hellos com o passive-interface em interfaces que
não estão conectadas a outros roteadores OSPF.

Veja a topologia do exemplo prático a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 93


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Vamos partir do princípio que todas as interfaces foram configuradas corretamente, inclusive
com o parâmetro bandwidth e vamos apenas configurar o OSPF.

Iniciando a config pelo roteador RA

Passo 1 – Criando a loopback

RA#config term
RA(config)#interface loopback 0
RA(config-int)#ip address 192.168.1.1 255.255.255.255
RA(config-int)#

Passo 2 – Definindo as redes e mascaras curingas das redes diretamente conectadas

LAN do RA – 10.0.1.0 /24 ou 255.255.255.0


Máscara curinga= 255.255.255.255 - 255.255.255.0 = 0.0.0.255
WAN RA – 10.0.0.8 /30 ou 255.255.255.252
Máscara curinga= 255.255.255.255 - 255.255.255.252 = 0.0.0.3

Passo 3 – Entrando na configuração do roteador OSPF e Configurando Router-ID

RA(config-int)#router ospf 1
RA(config-router)#router-id 192.168.1.1

Passo 4 – Anunciando as redes

RA(config-router)#network 10.0.1.0 0.0.0.255 area 0


RA(config-router)#network 10.0.0.8 0.0.0.3 area 0

Passo 5 – Desativando Interfaces não Necessárias e Salvando a Configuração

RA(config-router)#passive-interface fast 0/0


RA(config-router)#end
RA#copy running-config startup-config
RA#

O comando passive-interface é utilizado para desativar o envio de recebimentos de Hellos e


formação de adjacências, mas não do anúncio da interface no processo de roteamento. Nesse
exercício, como não temos outros roteadores OSPF na LAN simplesmente desativamos o envio
de hellos nela e evitamos que adjacências indesejadas sema formadas.

Outra maneira de configurar é em modo de configuração do roteador OSPF e digitar “passive-


interface default”, desabilitando o OSPF em todas as interfaces, depois liberar apenas as que
devem formar adjacência com o comando “no passive-interface serial 0/0/0”.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 94


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Configuração do roteador RB

RB#config term
RB(config)#interface loopback 0
RB(config-int)#ip address 192.168.1.2 255.255.255.255
RB(config-int)#router ospf 1
RB(config-router)#router-id 192.168.1.2
RB(config-router)#network 10.0.2.0 0.0.0.255 area 0
RB(config-router)#network 10.0.0.8 0.0.0.3 area 0
RB(config-router)#passive-interface fast0/0
00:02:51: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.1.1 on Serial0/0/0 from LOADING
to FULL, Loading Done
RB(config-router)#end
RB#copy running-config startup-config
RB#

Quando o OSPF se comunicou e trocou as informações das LSAs corretamente, a mensagem


que o estado foi alterado de Load para Full deve aparecer, indicando que o processo subiu,
houve criação de adjacências e as LSP’s (pacotes do link-state) foram trocadas com sucesso,
conforme destacado em amarelo na saída das configurações do roteador RB.

Para verificar as configurações utilize o comando “show running-config”, para mostrar a


tabela de roteamento o “show ip route” e para manter o OSPF utilize os comandos “show ip
ospf ...”.

RA#show ip ospf ?
<1-65535> Process ID number
border-routers Border and Boundary Router Information
database Database summary
interface Interface information
neighbor Neighbor list
virtual-links Virtual link information
<cr>
RA#

Os dois comandos mais importantes são o “show ip ospf neighbor” e “show ip ospf
interface”.

O comando “show ip ospf neighbor” mostrará a “tabela de vizinhança” (neighbor table), onde
são listados os vizinhos diretamente conectados do seu roteador com o estado da adjacência.
Veja a saído do comando a seguir.

RA#sho ip ospf neighbor


Neighbor ID Pri State Dead Time Address Interface
192.168.1.2 0 FULL/ - 00:00:39 10.0.0.10 Serial0/0/0
RA#

O Roteador ID do vizinho é mostrado no campo “Neighbor ID”, o parâmetro PRI refere-se à


prioridade do roteador vizinho e o State em Full representa que uma vizinhança foi estabelecida
por completo com esse roteador mostrado no comando, se um status diferente aparecer pode
significar que existem problemas no estabelecimento da vizinhança.

Normalmente esse problema de estabelecimento de vizinhanças está relacionado aos valores


dos timers de Hello e Dead, os quais devem ser os mesmos em ambos os roteadores e veremos
com o próximo comando no slide seguinte.

O campo Dead Time indica quanto tempo o roteador espera para considerar que o seu vizinho
“morreu” e retirá-lo da sua base de dados.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 95


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Os campos Address e Interface são referentes ao roteador remoto, ou seja, são o endereço IP
da interface que o roteador utilizou para fazer a vizinhança e o número dessa interface.

No comando “show ip ospf interface” você poderá verificar o tipo de rede, prioridade do
OSPF, roteador ID, quem é DR e BDR, custo do link, timers de hello e dead e outras
informações.

RA#show ip ospf interface


Serial0/0/0 is up, line protocol is up
Internet address is 10.0.0.9/30, Area 0
Process ID 1, Router ID 192.168.1.1, Network Type POINT-TO-POINT, Cost: 125
Transmit Delay is 1 sec, State POINT-TO-POINT, Priority 0
No designated router on this network
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:04
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1 , Adjacent neighbor count is 1
Adjacent with neighbor 192.168.1.2
Suppress hello for 0 neighbor(s)
FastEthernet0/0 is up, line protocol is up
Internet address is 10.0.1.1/24, Area 0
Process ID 1, Router ID 192.168.1.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 192.168.1.1, Interface address 10.0.1.1
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:06
Index 2/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)
RA#

Observe acima os campos em destaque os quais são explicados na sequência abaixo para a
interface serial Ponto a Ponto:
 Roteador ID 192.168.1.1  Indica qual o ID do roteador, o qual normalmente é o
endereço IP da interface de Loopback configurada ou o maior IP do roteador se não
configurarmos uma Loopback.
 Network Type POINT-TO-POINT  Indica o tipo de rede, com essa informação
saberemos se vai ou não haver a necessidade de eleição de DR e BDR (somente para
redes LAN ou WAN com Frame-relay NBMA).
 Cost: 125  Custo acumulado do caminho, lembrando que o custo de cada caminho é
“10^8/Bandwidth”, por isso temos que nos certificar se o comando bandwidth foi
configurado corretamente nas interfaces seriais. Para as interfaces de LAN não é
necessário inserir o bandwidth. A velocidade do link WAN configurado foi de 800kbps,
portanto o custo da interface será 1000000000/800000 = 125. Para a rede LAN temos
uma interface Fastethernet, ou seja, 100000000/100000000
 Priority 0  Indica a prioridade configurada para a interface, esse parâmetro será
estudado quando configurarmos redes que exigem eleição de DR e BDR.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 96


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 No designated roteador on this network / No backup designated roteador on


this network  Se houver eleição de DR/BDR nesse campo será mostrado os IDs dos
roteadores eleitos.
 Timer intervals configured, Hello 10, Dead 40  Valores dos contadores de hello e
dead, os quais devem ser iguais em ambas as pontas para que seja formada uma
adjacência. Se esses valores forem diferentes o OSPF entre os vizinhos não irá subir.

Note as diferenças dos campos descritos acima para a interface fastethernet 0/0:

FastEthernet0/0 is up, line protocol is up


Internet address is 10.0.1.1/24, Area 0
Process ID 1, Roteador ID 192.168.1.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DR, Priority 1
Designated Roteador (ID) 1.1.1.1, Interface address 10.0.1.1
No backup designated roteador on this network
Timer intervals configured, Hello 10, Dead 40

Como a interface fast é uma interface do tipo broadcast multiacesso, mesmo não tendo outro
roteador nessa LAN ela faz a eleição de DR/BDR assumindo o papel de DR. Note que o ID de
Designated Roteador é igual ao próprio Roteador ID do roteador, pois ele mesmo se elegeu
como DR.

Vamos agora analisar o comando show ip route. Veja que a métrica ou o custo acumulado
para chegar até a rede LAN do vizinho RB é de 126, ou seja, 125 da rede WAN mais 1 da rede
LAN.

RA#sho ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 10.0.0.8/30 is directly connected, Serial0/0/0
C 10.0.1.0/24 is directly connected, FastEthernet0/0
O 10.0.2.0/24 [110/126] via 10.0.0.10, 00:02:44, Serial0/0/0
192.168.1.0/32 is subnetted, 1 subnets
C 192.168.1.1 is directly connected, Loopback0
RA#

Você também pode utilizar o comando “show ip route ospf” para ver apenas as rotas
aprendidas pelo protocolo OSPF, veja exemplo abaixo.

RoteadorB#show ip route ospf


10.0.0.0/24 is subnetted, 5 subnets
O 10.0.0.0 [110/101] via 192.168.1.6, 00:00:10, Serial0/0/0
O 10.0.1.0 [110/101] via 192.168.1.6, 00:00:10, Serial0/0/0
O 10.0.4.0 [110/101] via 192.168.1.9, 00:00:10, Serial0/0/1
192.168.1.0/30 is subnetted, 3 subnets
O 192.168.1.0 [110/1662] via 192.168.1.6, 00:00:10, Serial0/0/0
O*E2 0.0.0.0/0 [110/1] via 192.168.1.9, 00:00:10, Serial0/0/1

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 97


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.1.1 Dicas sobre o comando network


O comando network no OSPF é diferente do que estudamos para o RIPv2, pois ele exige uma
máscara curinga e a área que aquela rede vai pertencer.

No “OSPF Single Area” a área fica sempre zero, pois se temos uma área só ela
obrigatoriamente deve ser a área de backbone ou área zero.

A máscara curinga é aquela mesma que estudamos no CCENT para as ACLs, sem nenhuma
diferença.

Você pode definir as interfaces e redes que participarão no OSPF de duas maneiras: fechada
pela interfaces (IP mais máscara 0.0.0.0) ou aberta pela rede/sub-rede.

A maneira mais simples e segura de se configurar o comando network no OSPF é utilizando a


máscara curinga (wildcard mask) 0.0.0.0 e fechar pelo IP das interfaces.

Portanto, esse tipo de configuração exige que utilizemos o endereço IP exato que está
configurado em cada interface do roteador que precisa fazer parte do processo de roteamento
do OSPF.

Por exemplo, o roteater tem o IP 192.168.1.1/24 configurado em sua interface fast0/0 e a rede
dessa interface deve ser anunciada pelo OSPF, portando o comando network fechado para a
interface será “network 192.168.1.1 0.0.0.0 area 0”.

Resumindo, fechado pelo IP você precisará anunciar todos os IPs configurados nas interfaces
que devem ter suas redes anunciadas pelo OSPF.

Essa forma de configurar o comando network torna mais simples e mais seguro sabermos que
interfaces estão ativadas no roteamento OSPF.

Podemos também utilizar máscaras curingas mais complexas para definição das possíveis
interfaces que podem ser ativadas no OSPF e fazer um comando network aberto pela
Rede/Sub-rede.

Por exemplo, temos a interface com o IP 192.168.1.1/28 (255.255.255.240) e queremos que


sua rede seja anunciada na área zero, podemos criar o comando network definindo a sub-rede
inteira diminuindo o broadcast (255.255.255.255) da máscara de sub-rede: 255.255.255.255 –
255.255.255.240 = 0.0.0.15, portanto o comando será: “network 192.168.1.0 0.0.0.15 area
0”.

Veja que essa configuração implica que quaisquer interfaces na faixa de endereços da sub-rede
de 192.168.1.1 até 192.168.1.14 se configuradas no roteador farão parte do processo de
roteamento.

Outra forma de fazer o comando network aberto pela rede é anunciando a rede classful inteira,
porém não é muito usual nem recomendado.

Por exemplo, você usa as sub-redes 10.0.0.0/24, 10.0.1.0/24 e 10.0.2.0/24, portanto poderia
fazer um comando anunciando a rede 10 cheia: “network 10.0.0.0 0.255.255.255 area 0”.

Assim qualquer IP de 10.0.0.1 a 10.255.255.254 se configurado em uma interface UP fará


parte do processo de roteamento e a rede configurada na interface será anunciada pelo OSPF.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 98


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por último tem a configuração “network de preguiçoso”, essa é a menos indica, mas na pressa
funciona muito bem (risos)... Basta você anunciar a Internet toda no comando, ou seja, em
termos de IP seria a rede 0.0.0.0 com a máscara 0.0.0.0 (0.0.0.0/0).

Se transformarmos isso em máscara curinga fica “0.0.0.0 255.255.255.255”, ou seja, “network


0.0.0.0 255.255.255.255 area 0”.

Com esse comando quaisquer interfaces UP entrarão no processo de roteamento e terão suas
redes/sub-redes anunciadas pelo OSPF.

Por isso mesmo esse método é o menos seguro de todos, não utilize na sua empresa, apenas
em laboratório, combinado?

Nos exames ICND-2 (200-105) ou do CCNA R&S (200-125) você pode também encontrar
questões onde será necessária a análise reversa, por exemplo, dado um comando network ou
um “show ip protocols” achar que interfaces do roteador entrarão no processo de roteamento.

Lembre-se que nesses casos a máscara curinga que utilizamos no OSPF é a mesma que
utilizamos nas ACLs, ou seja, onde é zero quer dizer que deve haver correspondência e onde
temos bit um tanto faz.

Se o assunto ficou confuso por causa das máscaras curinga siga enfrente mesmo assim, pois
teremos mais para frente um capítulo sobre ACL e você vai com certeza dominar as máscaras
curinga.

3.1.2 Anunciando a Rota Padrão pelo OSPF


Para fazer com que a rota padrão seja anunciada diretamente pelo OSPF a partir do roteador
conectado à Internet utilize o comando “default-information originate” dentro do modo de
configuração do OSPF. A rota padrão deve ter sido configurada via roteamento estático nesse
roteador.

Veja a topologia a seguir onde o roteador R1 está conectado com a Internet. Para que a rota
padrão seja anunciada diretamente pelo OSPF precisamos apenas configurar normalmente uma
rota estática padrão em R1 e depois inserir o comando citado no parágrafo anterior dentro da
configuração do OSPF no roteador R1.

Veja a configuração necessária para toda a rede conhecer a Internet, considerando que o OSPF
já está configurado e rodando normalmente.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 99


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

R1#conf t
R1(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.1
R1(config)#router ospf 1
R1(config-router)#default-information originate
R1(config-router)#^Z
R1#

Apenas com a configuração acima, a rota padrão aprendida através do roteador R1 será
passada dinamicamente pelo OSPF para os demais roteadores como uma rota Externa do tipo
2, marcada por padrão como “O E2”.

Sem essa configuração, o administrador de redes teria que entrar roteador por roteador e
configurar manualmente uma saída padrão!

3.2 OSPF Multiarea

Quando estamos projetando uma rede OSPF, as duas principais opções para implementação são
em uma área única (a qual já estudamos sua configuração) ou através de múltiplas áreas,
chamado OSPF Multiarea.

Apesar da facilidade de configuração do OSPF em área única, quando temos redes muito
grandes surgem alguns problemas que essa topologia pode sofrer, por exemplo:
 Uma topologia maior requer mais memória nos roteadores para guardar as informações
de roteamento;
 O poder de processamento requerido pelo algoritmo SPF para bancos de dados maiores
cresce muito quanto maior o número de caminhos na topologia;
 Quaisquer alterações de estado na interface (UP/DOWN) exige um recalculo do
algoritmo SPF em todos os roteadores da área.

O valor exato do que é uma rede “grande” para definir a necessidade do uso de um projeto em
múltiplas áreas não existe, pois ele depende de fatores como o projeto (design) da rede,
quantidade de memória e CPU dos roteadores, etc. Porém, de uma maneira bem simplificada a
Cisco recomenda não ter mais que 50 roteadores ou 100 sub-redes por área.

Para criar uma topologia multiarea devemos seguir algumas regras básicas:
 Sempre deve haver uma área de backbone (área zero) que irá interligar as demais
áreas.
 Todas as áreas devem estar conectadas ao backbone, seja diretamente ou através de
links virtuais (assunto do CCNP ROUTE).
 A topologia deve seguir um projeto hierárquico para facilitar o endereçamento e
agregação de rotas, permitindo a otimização das tabelas de roteamento e trocas de
informações de estado de enlace entre os roteadores ospf.

Veja na figura a seguir temos um exemplo de uma topologia multiarea com três áreas
conectadas ao backbone.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 100


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A divisão das áreas pode ser feita por região, por operadora de Telecom que o link WAN
pertence, por tipo de rede, etc.

Uma das vantagens da divisão em áreas é poder agregar redes que apresentam certos tipos de
problemas conhecidos, por exemplo, a empresa tem links de dados que conhecidamente caem
e sobem (ficam UP DOWN) constantemente por pequenos períodos de tempo, nesse caso
podemos criar uma área com esses tipos de interfaces e configurar o tempo considerado que a
rede caiu no OSPF com um valor maior ou simplesmente segregar esse problema nessa área,
pois quando as redes caírem essas informações não serão passadas para o backbone.

O nome desse tipo de problema quando uma interface fica Down depois rapidamente volta para
UP é chamado de “flapping”.

Quando utilizamos o OSPF Multiarea os roteadores podem assumir diferentes papéis na


topologia conforme descrito abaixo (veja figura abaixo das explicações):
 Roteador Interno (Internal Router): São roteadores cujas interfaces pertencem a
mesma área. Todos os roteadores na mesma área compartilham do mesmo Banco de
Dados (DB) de estado de enlace (idênticos).
 Roteador do Backbone (Backbone Router): São roteadores que têm pelo menos uma
interface conectada na Área 0. A área 0 serve como área de trânsito entre as demais
áreas do OSPF.
 Roteador de Borda de Área (ABR - Area Border Router): Roteadores que têm
interfaces conectadas a diversas áreas. Esse roteador mantém um banco de dados de
estado de enlace distinto para cada área à qual está conectado. Os ABR’s são pontos de
saída da área e podem resumir as informações de LSDB para distribuir no backbone, em
seguida o backbone encaminha essas informações para outras áreas.
 Roteador de Fronteira entre Sistemas Autônomos (ASBR - Autonomous System
Boundary Router): Roteadores que têm pelo menos uma interface em uma rede externa
(outro sistema autônomo - AS) e outra dentro da rede OSPF. Esse roteador faz
Redistribuição de rotas entre o mundo OSPF e o mundo não-OSPF.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 101


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Além da diversidade de tipos de roteadores no OSPF Multiarea temos também diferentes tipos
de rotas quando usamos esse tipo de topologia, abaixo segue a descrição dos principais tipos:
 Interna ou Intra-área (Intra-area route): rotas que pertencem à mesma área OSPF.
 Inter Área (Inter-area route): rotas que pertencem ao mesmo processo OSPF,
porém a áreas diferentes da que o roteador está configurado.
 Externa (External route): rotas aprendidas por fontes externas ao OSPF, por
exemplo, uma rota padrão aprendida pelo comando “default-information originate” ou
por redistribuição.

Cada tipo de rota OSPF diferente é marcado na tabela de roteamento com um código diferente.
Por exemplo, rotas internas recebem apenas o “O” na frente, já uma rota externa é inserida
como “O-E1” ou “O-E2”.

3.2.1 Configurando o OSPF Multiarea


A diferença da configuração do OSPF com várias áreas é que temos que definir uma área de
backbone onde teremos roteadores de backbone (que possuem apenas interfaces na área
zero) e roteadores que farão o roteamento entre as áreas chamados ABRs ou Area Border
Routers.

Na topologia multiarea podemos ter também os roteadores chamados ASBR (Autonomous


System Boundary Router), os quais conectam o domínio do OSPF com outros domínios de
roteamento externos, por exemplo, uma saída para a Internet.

Vamos utilizar a topologia da figura a seguir e lembrar a configuração de três roteadores em


multiarea. Nessa topologia o roteador R1 é um roteador de backbone (todas as interfaces na
área zero) e os demais serão ABRs (conectam a área zero a outra área).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 102


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que o Roteador A tem a rede de backbone, o Roteador B tem a área 2 e o Roteador
C tem a área 1.

Os roteadores B e C conectam-se ao backbone via suas interfaces seriais que estão na área
zero, já suas LANs fazem parte das áreas que não são backbone ou Inter-Areas.

No OSPF multiarea quando as áreas que não são backbones (áreas regulares ou comuns)
precisam trocar pacotes devem passar pelo backbone para se comunicar, ou seja, os
roteadores de backbone acabam servindo como intermediários entre as áreas.

Você vai notar que a configuração básica do OSPF Multiarea é muito semelhante ao que fizemos
anteriormente, apenas vamos indicar nas redes que pertencem às outras áreas com o número
dela no final do comando network.

Ou seja, no comando network das interfaces de LAN dos roteadores B e C ao invés de ter o final
“area 0”, em B será “area 2” e em C “area 1”.

Configuração do Roteador A – Conectado a Área de Backbone

Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Roteador_A
Roteador_A(config)#int s0/0
Roteador_A(config-if)#ip add 192.168.1.1 255.255.255.252
Roteador_A(config-if)#band 2000
Roteador_A(config-if)#no shut
Roteador_A(config-if)#int s0/1
Roteador_A(config-if)#ip add 192.168.1.5 255.255.255.252
Roteador_A(config-if)#clock rate 2000000
Roteador_A(config-if)#band 2000
Roteador_A(config-if)#no shut
Roteador_A(config-if)#int f0/0
Roteador_A(config-if)#ip add 192.168.1.129 255.255.255.128
Roteador_A(config-if)#no shut
Roteador_A(config-if)#int loopback 0
Roteador_A(config-if)#ip add 10.0.0.3 255.255.255.255
Roteador_A(config-if)#exit
Roteador_A(config)#router ospf 1
Roteador_A(config-router)#router-id 10.0.0.3
Roteador_A(config-router)#network 192.168.1.0 0.0.0.3 area 0
Roteador_A(config-router)#network 192.168.1.4 0.0.0.3 area 0

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 103


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Roteador_A(config-router)#network 192.168.1.128 0.0.0.127 area 0


Roteador_A(config-router)#

Configuração do Roteador B – Área 2

Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Roteador_B
Roteador_B(config)#interface serial 0/0
Roteador_B(config-if)#ip add 192.168.1.2 255.255.255.252
Roteador_B(config-if)#clock rate 2000000
Roteador_B(config-if)#band 2000
Roteador_B(config-if)#no shut
Roteador_B(config-if)#int loopback 0
Roteador_A(config-if)#ip add 10.0.0.1 255.255.255.255
Roteador_A(config-if)#int f0/0
Roteador_A(config-if)#ip add 192.168.2.0 255.255.255.0
Roteador_A(config-if)#no shut
Roteador_B(config-if)#exit
Roteador_B(config)#router ospf 1
Roteador_A(config-router)#router-id 10.0.0.1
Roteador_B(config-router)#network 192.168.1.0 0.0.0.3 area 0
Roteador_B(config-router)#network 192.168.2.0 0.0.0.0 area 2
Roteador_B(config-router)#

Configuração do Roteador C – Área 1

Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Roteador_C
Roteador_C(config)#int s0/0
Roteador_C(config-if)#ip add 192.168.1.6 255.255.255.252
Roteador_C(config-if)#no shut
Roteador_C(config-if)#int loopback 0
Roteador_C(config-if)#ip add 10.0.0.2 255.255.255.255
Roteador_A(config-if)#int f0/0
Roteador_A(config-if)#ip add 192.168.3.1 255.255.255.0
Roteador_A(config-if)#no shut
Roteador_C(config-if)#exit
Roteador_C(config)#router ospf 1
Roteador_A(config-router)#router-id 10.0.0.2
Roteador_C(config-router)#network 192.168.1.4 0.0.0.3 area 0
Roteador_B(config-router)#network 192.168.3.0 0.0.0.0 area 1
Roteador_C(config-router)#

Se dermos agora um show ip route no roteador B vamos notar que as rotas aprendidas que
pertencem às áreas zero e um estão como “O IA” – rotas inter-área. As rotas marcadas
como O são rotas intra-área, ou seja, pertencem à própria área que o roteador pertence.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 104


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Essas são as principais rotas que estudaremos durante esse capítulo, as Intra-áreas e Inter-
área. Existem também as rotas aprendidas pelos ASBRs chamadas de rotas externas,
marcadas como E2 por padrão, ou seja, a rota aparece com o índice “O E2” na tabela de
roteamento.

3.2.2 Configurando OSPFv2 via Interface


Existe uma novidade na configuração do OSPF que não precisa do comando network para
definir as interfaces que farão parte do processo de roteamento.

Ao invés disso você define a área e as interfaces que farão parte dessas áreas diretamente em
modo de configuração de interface, não necessitando do uso da máscara curinga.

O resultado final acaba sendo o mesmo que da configuração indireta das interfaces que farão
parte do processo do OSPF via comando network, porém bem mais simples porque
economizamos alguns cálculos de máscara curinga.

Apesar disso, as definições mais avançadas como passive-interface, router-ID, anúncio de rota
padrão e outras continuam necessitando ser realizadas em modo de configuração do protocolo
de roteamento.

Portanto, os passos de configuração para seguir podem ser resumidos em:


1. Crie a interface loopback que será utilizada como router-ID
2. Ative o processo de roteamento OSPF definindo o process-ID
3. Configure o router-ID, passive interface e anúncio da rota padrão (se necessário_ dentro
do modo do roteador OSPF
4. Entre em modo de interface e defina a área com o comando “ip ospf process-id area
area-id”

Note que os passos 1, 2 e 3 são os mesmos que configuramos, portanto vamos passar um
exemplo de configuração do roteador C apresentado no tópico passado com essa nova forma de
configuração. Vamos considerar que os endereços IP das interfaces serial e fastethernet já
estão configurados.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 105


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Configuração do Roteador C – Área 1

Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Roteador_C
Roteador_C(config-if)#int loopback 0
Roteador_C(config-if)#ip add 10.0.0.2 255.255.255.255
Roteador_A(config-if)#int f0/0
Roteador_C(config-if)#exit
Roteador_C(config)#router ospf 1
Roteador_A(config-router)#router-id 10.0.0.2
Roteador_A(config-router)#passive-interface fast0/0
Roteador_C(config-router)#exit
Roteador_C(config)#int s0/0
Roteador_C(config-if)#ip ospf 1 area 0
Roteador_C(config-if)#
Roteador_A(config-if)#int f0/0
Roteador_A(config-if)# ip ospf 1 area 1

Você não precisa obrigatoriamente seguir os passos 1, 2 e 3, porém aí o OSPF vai ficar com a
configuração padrão do router-ID que é o maior IP de loopback configurada se ela existir, senão
o router-ID será o maior IP configurado em uma interface ativa.

Apesar de ter sido mostrado no item de OSPF Multiarea a configuração via interface funciona
também para o OSPF Single Area.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 106


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.3 Resumo dos comandos show para OSPF

A seguir temos uma figura com os comandos e em que situação podemos utilizar cada um deles
tanto para o exame 200-105 (ICND-2) como para o 200-125 ( CCNA Accelerated).

Portanto, essa divisão é bem didática pois começa com o show running-config para ajudar a
revisar os comandos aplicados, depois precisamos verificar se o comando network realmente
adicionou ao processo de roteamento as interfaces corretamente (interfaces habilitadas).

Com as interfaces corretamente adicionadas ao processo no comando network e os requisitos


para formação de vizinhança satisfeita devem-se formar vizinhanças, as quais podem ser
verificadas com os comandos que apontam para a caixa “Vizinhos”.

Após a formação de vizinhança os roteadores devem trocar suas LSAs para montar o banco de
dados de LSAs (LSDB – Link State Data Base).

Uma vez montado o banco de dados devemos verificar as rotas na tabela de roteamento com
os comandos descritos em rotas e tabela de roteamento.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 107


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.4 Estabelecimento de Vizinhanças e Troca de Banco de Dados

Basicamente o processo do OSPF passa pelas seguintes etapas ou fases até a sincronização
completa ou convergência:

1. Inicialização e estabelecimento das vizinhanças ou adjacências.


2. Troca do banco de dados de estado de enlace (LSBD – Link state data base) através do
envio das LSAs locais de cada roteador.
3. Finalização da convergência e montagem da tabela de roteamento.
4. Roteadores entram em Full (carregamento completo do OSPF) e em operação normal,
ou seja, após as rotas calculadas os roteadores podem encaminhar o tráfego.
5. Durante a operação pode haver atualizações do estado dos enlaces por mudanças na
rede (problemas ou adições de novos roteadores OSPF ou redes à topologia).
6. Atualizações periódicas no caso de não haver alterações na topologia (reflooding a cada
30 minutos).

Na figura abaixo temos o resumo de todos os passos até o roteador estar no estado Full
Loaded, indicando que pode trocar pacotes porque sua tabela de roteamento foi alimentada
com as rotas calculadas pelo OSPF (convergência).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 108


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note na figura anterior que quando um roteador OSPF é ligado ele inicia em um estado
chamado “down” e envia um pacote hello em multicast esperando que outros roteadores
OSPF diretamente conectados respondam essa mensagem para poder estabelecer uma
vizinhança e trocar informações sobre o OSPF.

Esse pacote de hello contém o RID do próprio roteador e informando que não tem nenhum
vizinho naquele link (RID do vizinho nulo), quando esse pacote é enviado o roteador entra em
um estado chamado de “init”.

Os roteadores ficam nesse estado até que recebam seu próprio RID na resposta de um vizinho.

Nessa troca de pacotes de hello várias informações são enviadas e os roteadores formarão
vizinhança apenas se os parâmetros abaixo estiverem iguais em ambos os roteadores:

 Mesma sub-rede e máscara configurada em ambas as interfaces.


 Valores de intervalo (timers) de Dead e Hello iguais.
 As interfaces devem pertencer à mesma área OSPF.
 Passar na autenticação se estiver habilitado (opcional).
 Se estiver sendo utilizada rede stub ambas as interfaces devem ter o mesmo flag
(identificação da área stub – o estudo desse parâmetro faz parte do CCNP ROUTE).

Caso tudo esteja correto na troca de mensagens de hello inicias, o roteador inclui todos os
roteadores na sua tabela de vizinhança e passa para o estado chamado “two-way”.

As informações sobre os vizinhos guardadas no banco de dados de vizinhança (neighbor


database) podem ser consultadas com o comando “show ip ospf neighbor”. Veja a figura a
seguir com um resumo até os dois routers ficarem em 2-way.

1. Estado inicial em Down, link sobre ou é configurado no processo do OSPF.


2. Envio do hello com seu RID e passa para Init.
3. Recebe hello contando o RID do vizinho e seu próprio RID como reconhecido passa para
2-way.
4. R2 também recebe uma resposta do seu hello com seu RID listado e passa para 2-way.

No próximo passo, os roteadores determinam quem será “mestre” e “escravo” para troca de
LSAs, pois deve haver uma ordem para não “dar bagunça”. Nessa fase os roteadores OSPF
estão em um estado chamado “Exstart”.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 109


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Após esse passo (definido que inicia a troca de LSAs) os roteadores devem trocar as LSAs para
montar o banco de dados topológico e entram em um estado chamado “Exchange”.

Portanto, nessa fase ocorre a troca de informações sobre as bases de dados dos estados dos
enlaces dos roteadores (LSDB – Link State Data Base). O roteador local inunda a rede com
todas as suas LSAs para que seus vizinhos tenham o mesmo banco de dados local.

Esse processo não é feito através da troca de LSAs uma a uma, mas sim através de “pacotes de
LSAs”. Primeiro os roteadores trocam pacotes chamados Database Description (DD), os quais
contém uma lista das LSAs que são conhecidas por eles. Por exemplo, ele recebe um pacote de
DD contendo 20 LSAs, das quais 10 ele conhece, portanto ele precisa solicitar só as 10
restantes que ele não conhece.

Isso permite que o roteador solicite apenas as LSAs que ele não conhece utilizando um pacote
chamado Link-State Request (LSR). Portanto, seguindo o exemplo anterior, o roteador
enviaria um LSR contendo as 10 LSAs que ele não conhece.

As LSAs solicitadas no pacote de LSR são passadas via um pacote chamado Link-State Update
(LSU), a qual agrupa a lista de LSAs solicitadas em apenas uma mensagem, tornando o
processo de flooding de LSAs mais rápido e eficiente. Veja a figura abaixo com um resumo da
troca de bando de dados (LSDB).

Depois de finalizar a troca de informações de LSDB os roteadores executam o algoritmo SPF,


calculam e inserem as melhores rotas na tabela de roteamento e entram no estado “full”, o
que significa que já podem fazer a troca de tráfego de acordo com suas tabelas de roteamento
montadas pelo OSPF com base nas mesmas informações.

O estado full significa que todos os roteadores conhecem todas as LSAs dos demais
roteadores e houve a convergência da rede, ou seja, foi montado o banco de dados
topológico, executado o SPF e as melhores rotas foram calculadas e instaladas na tabela de
roteamento. Quando ocorre isso, o roteador emite uma mensagem avisando que está no estado
de full para o console do roteador conforme abaixo:

00:00:20: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.2 on Serial0/0/1 from LOADING


to FULL, Loading Done

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 110


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Resumindo o processo de estabelecimento de vizinhanças o roteador passa pelos seguintes


estados até ficar full-loaded em sequência:

 Down > Init > Two-way > Exstart > Exchange > Loading > Full.

No CCNP Route outros detalhes são agregados, pois existem ainda mais informações trocadas e
estados intermediários possíveis!

3.5 Alteração de Topologia e Atualizações Periódicas

Após a rede convergir, o OSPF entra em operação normal e não são mais trocadas informações
sobre os estados dos enlaces até que haja uma alteração na topologia.

As alterações podem ser causadas por problemas de rede, como uma interface que fica Down
ou um roteador que é desligado, ou então pela inserção de novas redes ou roteadores na
topologia pelo crescimento natural das empresas.

Quando ocorre uma alteração na topologia, o roteador OSPF que teve uma ou várias redes
comprometidas ou adicionadas envia em multicast um pacote LSU (Link State Update). O
vizinho confirma o recebimento da LSU com um ACK e faz flooding do LSU para todos os
roteadores da rede utilizando um endereço de multicast também. Cada LSA é confirmada
separadamente com um LSAck.

Portanto, quando ocorre uma alteração na topologia os caminhos entre os roteadores serão
recalculados e novamente o algoritmo SPF entra em ação para determinar as rotas nesse novo
estado da topologia após as alterações. Você consegue analisar quantas vezes o SPF foi
recalculado com o comando “show ip ospf”.

Se houver um período de inatividade na rede, ou seja, nenhuma alteração foi notificada por
nenhum dos roteadores OSPF, existe a troca de LSAs entre os roteadores para garantir que não
ocorreu nenhuma alteração, o padrão do timer de inatividade é de 30 minutos.

Portanto, se nada ocorrer em uma rede OSPF haverá uma reenvio de informações de LSAs de
30 em 30 minutos (inundação ou reflooding).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 111


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.6 Tipos de Redes Suportadas, DR e BDR

O protocolo OSPF suporta 5 tipos de redes:


 Ponto a ponto (redes WAN como PPP, HDLC e Frame-relay ponto-a-ponto)
 Multiacesso com broadcast (redes Ethernet e Fastethernet)
 Rede sem broadcast multiacesso ou NBMA (Frame-relay com split-horizon)
 Ponto a multiponto
 Links virtuais

Redes ponto a ponto são redes tipicamente WAN, nas quais existem apenas dois
equipamentos se comunicando entre si. Para esses equipamentos as LSAs são enviadas
normalmente entre eles e a adjacência é formada entre os dois equipamentos.

No caso de redes multiacesso ou compartilhadas, ou seja, onde existe mais de um


equipamento na mesma rede IP, como em redes LAN, será necessária a eleição de um roteador
designado (DR – Designated Router) e seu backup (BDR – Backup Designated Router).
Todos os demais roteadores formam adjacência somente com eles (DR e BDR), não formando
vizinhança entre si.

Na figura a seguir temos uma rede multiacesso sem broadcast (NBMA), ou seja, uma rede
frame-relay onde todas as interfaces ou subinterfaces estão na mesma sub-rede.

Na figura a seguir temos uma rede multiacesso com broadcast, ou seja, uma típica rede LAN
com padrão da família Ethernet.

É simples entender o motivo, imagine uma rede LAN em um Data Center onde temos 100
roteadores interconectados na mesma sub-rede.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 112


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Esses roteadores teriam que formar adjacências entre si, resultando em mais de 4000
adjacências por roteador. Quanto de memória RAM e CPU teríamos que reservar para esse
processamento de informações quando os pacotes de link-state começassem a ser trocado?
Com certeza muito.

Com apenas um DR e um BDR são formadas duas adjacências por roteador que não é DR ou
BDR. E entre dois roteadores que não são DR ou BDR o que ocorre? A adjacência entre eles fica
em 2-way, nunca chegam a full-loaded, eles ficam full-loaded apenas com os roteadores DR e
BDR.

Os roteadores que não são DR ou BDR são chamados DROTHER.

Portanto, quando temos redes padrão ethernet ou frame-relay NBMA, antes da troca de LSAs
há uma eleição de DR e BDR, sendo que após essa eleição quem recebe e repassa as DD
(Database Description), LSRs e LSUs são apenas o DR e BDR. Os demais roteadores
(DROTHER) não enviam pacotes sobre troca de LSAs entre si.

O DR será eleito conforme sequência de prioridade abaixo:


 Maior prioridade (se configurado o comando “ip ospf priority”) > Maior Router-ID (se
configurado o comando “router-id”) > Maior IP de Loopback (se existir uma loopback) >
Maior endereço IP configurado em interface UP/UP.

Portanto, se nada for configurado o roteador configurado com o maior IP será o DR. O BDR será
o roteador com segundo maior valor da lista citada acima.

Na vídeo aula do capítulo será mostrado na prática essa lista de prioridades de eleição do
DR/BDR.

Resumindo quando precisamos de eleição de DR e BDR nas redes com o protocolo OSPF:
 Ponto-a-ponto (PPP e HDLC): NÃO
 Multiacesso com broadcast (Ethernet e Fastethernet): SIM
 Rede Multiacesso sem Broadcast ou NBMA (Frame-relay com split-horizon – todos
roteadores na mesma sub-rede IP): SIM

Os links virtuais e redes multiponto não fazem parte do conteúdo do ICND2 e/ou CCNAX.

3.6.1 Eleição do DR e BDR


Já comentamos que em redes multiacesso com ou sem broadcast (Ethernet, Fastethernet e
Frame-relay NBMA) será necessária “a eleição” ou escolha de um roteador designado (DR ou
Designated Roteador) e um roteador para ser seu backup (BDR ou Backup Designated
Roteador), mas porque isso precisou ser implementado nesses tipos de rede? O que essa
utilização de um roteador designado e seu backup traz de melhorias?

A eleição de um roteador designado e um backup em redes multiacesso se dá pela possibilidade


de termos diversos roteadores OSPF configurados na mesma rede e a formação de adjacência
entre eles consumiria muita largura de banda dessa rede LAN ou WAN NBMA.

Por exemplo, em uma rede ponto a ponto os dois vizinhos precisam formar adjacência somente
entre si, já em uma rede Fastethernet com cinco roteadores OSPF cada um deles precisaria
formar 4 adjacências com seus vizinhos, como temos 5 roteadores seriam 20 conexões entre
eles.

Agora imagine isso em um Data Center com 100 roteadores, seriam 99 adjacências por
roteador vezes 100 roteadores, ou seja, 9900 conexões para troca de informação sobre o OSPF!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 113


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por esse motivo foram criadas as funções de DR e BDR, para que os roteadores pudessem
formar adjacência somente com dois outros dispositivos, economizando banda em redes
multiacesso. Portanto, o roteador DR serve como ponto central para receber e enviar as LSAs
entre os demais roteadores. O BDR serve como backup para caso o DR fique indisponível não
seja preciso recalcular todas as rotas novamente, pois o BDR tem uma cópia da base de dados
topológica do DR.

Essa eleição é realizada com o protocolo de Hello do OSPF e escolhe-se o roteador com maior
Priority ID ou com maior Router ID. O priority ID padrão é 1, podendo ser configurada de 0 a
255. Já o router ID é o valor configurado no comando “router-id” ou o maior endereço de
Loopback (se existir interface loopback configurada) ou o maior endereço IP configurado no
roteador, nessa sequência de preferência.

A eleição é feita por rede ou sub-rede Broadcast ou NBMA.

O comando para alterar a prioridade deve ser inserido por interface, abaixo segue a sintaxe:

Router(config-if)#ip ospf priority 100

A prioridade 0 evita que o roteador participe da eleição de DR e BDR. O valor máximo para a
prioridade é 255.

Quando o DR é eleito, ele permanece como DR até que ele falhe, o processo OSPF no DR falhe
ou a interface multiacesso no DR falhe. É possível influenciar o processo de eleição do DR &
BDR das seguintes maneiras:
 Ligando o roteador DR primeiro, seguido do BDR, e depois ligue todos os outros
roteadores.
 Colocando em Shutdown todas as interfaces em todos os roteadores, seguido de um “no
shutdown” no DR, depois no BDR, e depois nos outros roteadores.

Vamos ver no exemplo a seguir o processo de eleição de DR e BDR. Parte-se do pressuposto


que todas as demais configurações estão realizadas e em perfeito estado.

Configuração do Lab_A

hostname Lab_A
interface FastEthernet0/0
ip address 205.7.5.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.5.5.1 255.255.255.0
duplex auto
speed auto
!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 114


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

router ospf 1
network 192.5.5.0 0.0.0.255 area 0
network 205.7.5.0 0.0.0.255 area 0

Configuração do Lab_B

hostname Lab_B
interface FastEthernet0/0
ip address 205.7.5.2 255.255.255.0
duplex auto
speed auto
!
router ospf 1
network 205.7.5.0 0.0.0.255 area 0

Configuração do Lab_C

hostname Lab_C
interface FastEthernet0/0
ip address 192.5.5.2 255.255.255.0
duplex auto
speed auto
!
router ospf 1
network 192.5.5.0 0.0.0.255 area 0

Analisando as configurações mostradas responda as questões abaixo:

1. Qual a prioridade de cada roteador?


2. Qual o router ID de cada roteador?
3. Quem será o DR para a rede 205.7.5.0? E o BDR?
4. Quem será o DR para a rede 192.5.5.0? E o BDR?

O comando “show ip ospf interface” abaixo ajudará a responder essas questões, apesar de
ser possível chegar aos resultados apenas analisando as configurações.

Portanto sabemos que a prioridade de cada roteador é 1, pois não foi alterado o padrão. Já o
roteador ID é o maior IP do roteador, pois não temos interfaces de Loopback configuradas.
Analisando os IPs dos roteadores podemos chegar a conclusão que o Roteador-ID do Lab_A é
205.7.5.1, do Lab_B é 205.7.5.2 e do Lab_C é 192.5.5.2, pois esses são os maiores IPs
configurados em cada roteador.

Agora podemos definir quem será eleito DR e BDR por rede ou subrede IP LAN, pois no caso da
rede 205.7.5.0, a qual está entre A e B, o roteador Lab_B tem maior roteador ID, sendo
escolhido como DR e o Lab_A como BDR, pois não tem outro roteador na rede. Já para a rede
192.5.5.0 o DR é o Lab_A, pois ele tem o maior roteador ID, ficando como BDR o Lab_C.

Os demais roteadores que não são DR nem BDR serão chamados de DROTHER.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 115


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Analise a saída do comando show ip ospf interface e confirme a análise que fizemos
anteriormente.

LAB_A#show ip ospf interface


FastEthernet0/0 is up, line protocol is up
Internet Address 205.7.5.1/24, Area 0
Process ID 1, Router ID 205.7.5.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 205.7.5.2, Interface address 205.7.5.2
Backup Designated router (ID) 205.7.5.1, Interface address 205.7.5.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:02
Index 2/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 2, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 205.7.5.2 (Designated Router)
Suppress hello for 0 neighbor(s)
FastEthernet0/1 is up, line protocol is up
Internet Address 192.5.5.1/24, Area 0
Process ID 1, Router ID 205.7.5.1, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 205.7.5.1, Interface address 192.5.5.1
Backup Designated router (ID) 192.5.5.2, Interface address 192.5.5.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:07
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 2, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.5.5.2 (Backup Designated Router)
Suppress hello for 0 neighbor(s)

Resumindo, para eleger o DR e BDR o OSPF utiliza os seguintes parâmetros em ordem de


prioridade:
 Priority  Prioridade configurada na interface, quem tem o maior valor é escolhido
como DR. Caso a prioridade não tenha sido configurada o valor padrão é 1 e não serve
como critério de eleição.
 Maior “router-id”  lembre-se que o router ID é em ordem de preferência o valor
configurado no comando “router-id”, maior IP entre as interfaces loopback configuradas
ou maior endereço IP válido entre as interfaces ou subinterfaces configuradas.

Você também pode forçar uma eleição de determinado roteador como DR e BDR alterando o
parâmetro “ip ospf priority” dentro do modo de configuração de interface. Exemplo:

Router#conf t
Router(config)#int fast 0/0
Router(config-if)#ip ospf priority 100
Router(config-if)#^Z
Router#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 116


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.7 Escolha do melhor caminho pelo OSPF

Após o roteador OSPF trocar as LSDBs (Banco de dados dos estados de enlace) o algoritmo SFP
é executado, uma árvore com todos os enlaces e roteadores pertencentes à mesma área é
criada com todos os caminhos possíveis.

O próprio roteador é posicionado no topo dessa árvore e a partir dela os caminhos (rotas) com
“menor custo” (menor métrica baseada na largura de banda da interface) serão adicionados à
tabela de roteamento.

Veja a figura abaixo onde para a rede 10.0.0.0 /24 (conectada ao roteador R1) alcançar a rede
10.0.1.0 /24 (conectada ao R2) exitem duas opções: via R2 através de dois links de 10Mbps ou
via R3 através de dois links de 100Mbps.

Tanto o OSPF como o EIGRP por padrão escolherão sempre a rota com maior largura de
banda total pelo caminho. Já o RIP iria fazer o balanceamento de carga nesse exemplo, pois
para ele as duas rotas tem a mesma métrica de dois saltos.

Esta métrica, chamada custo no OSPF, é a soma da divisão do valor de 100.000.000 (100
milhões) pela largura de banda da interface em bps (10^8 / bandwidth/bps).

Por exemplo, em um link Ethernet (10Mbps ou 10.000.000bps) temos o custo de


“100.000.000/10.000.000”, o que nos dá um custo igual a 10. Em um link de 64kbps teremos
um custo de “100.000.000/64000”, o que nos dá um custo igual a 1562.

Os valores da métrica são números inteiros, por isso desconsideramos o resto da divisão.

Portanto entre um link de 64k e uma saída Ethernet o OSPF prefere a Ethernet, pois a métrica é
menor.

Se o caminho passa por vários links a métrica é a soma desses links, por exemplo, se temos
dois roteadores com interfaces fastethernet conectados por um link serial de 64kbps o custo
desse caminho será a soma de (100.000.000/64.000)+(100.000.000/100.000.000)] = 1562 +
1 = 1563.

A métrica da interface local não entra na conta da métrica!

Você pode configurar manualmente o custo de uma interface com o comando, em modo de
configuração de interface, “ip ospf cost”. Por exemplo, para configurar o custo de uma
interface para 65 basta entrar na interface e digitar “ip ospf cost 65”.

Essa configuração faz com que o roteador ignore o comando bandwidth e não seja mais
necessário o cálculo do custo pelo OSPF, pois você já inseriu o comando de maneira manual.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 117


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por padrão, o custo das interfaces OSPF está referenciado a um custo onde a maior velocidade
é de 100 Mbps.

Portanto, para uma interface de 1Gbps o custo seria 1, o mesmo de uma interface de 100Mbps.
Sendo assim, em roteadores mais novos com interfaces LAN a gigabit será necessário ajustar
esse valor no protocolo de roteamento através do comando “auto-cost reference-
bandwidth” em modo de configuração de roteamento. Acompanhe o exemplo abaixo onde
vamos ajustar para a base ser um link de 1 Gbps:

R1(config)#router ospf 1
R1(config-router)#auto-cost reference-bandwidth 1000

Com esse ajuste uma interface de 1Gbps terá custo 1 (1.000Mbps/1Gbps=1) e uma interface
de 100Mbps terá custo 10 (1000Mbps/100Mbps=10).

Um cuidado com esse comando é de não utilizar valores muito grandes, pois links de baixa
velocidade, por exemplo, 64kbps, podem acabar ficando com uma métrica tão alta que acabam
sendo considerados com custo infinito e não anunciados pelo OSPF!

3.8 Configurando os Timers de Hello e Dead

Para que o OSPF funcione entre dois roteadores, além das configurações que analisamos
anteriormente estarem corretas, são necessários que os timers de hello e dead sejam os
mesmos em ambos os vizinhos.

Esses timers são definidos por interface e significam:

 Hello: timer de envio de pacotes do protocolo de hello, utilizado para identificar se a


conexão entre os processos do OSPF nos roteadores está ok e também para a formação
de uma adjacência.
 Dead: temporizador que indica quando a comunicação entre dois roteadores OSPF foi
considerada como interrompida, geralmente 4 vezes o valor do Hello.

Esses parâmetros são pré-requisitos para estabelecimento de uma adjacência (vizinhança)


entre dois roteadores OSPF e devem ser iguais em ambos os roteadores. Caso sejam diferentes
os roteadores não trocarão informações de roteamento.

Veja a seguir os comandos para alteração dos timers para 5 segundos de hello e 20 segundos
para o dead.

Router(config)#interface Loopback0
Router(config-if)#ip ospf hello-interval 5
Router(config-if)#ip ospf dead-interval 20

Esses timers podem ser visualizados no comando “show ip ospf interface”.

Veja ao abaixo a saída do comando “debug ip ospf events” para um roteador com problemas
de hello e dead configurados com valores diferentes entre dois roteadores com OSPF.

RA#debug ip ospf events


OSPF events debugging is on
RA#
01:02:16: OSPF: Rcv hello from 192.168.1.2 area 0 from Serial0/0/0 10.0.0.10
01:02:16: OSPF: Mismatched hello parameters from 10.0.0.10
01:02:16: OSPF: Dead R 40 C 40 Hello R 10 C 5 Mask R 255.255.255.252 C
255.255.255.252

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 118


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O valor de Dead R 40 é o Dead Timer do vizinho, o valor C 40 representa o mesmo


temporizador do roteador local, portanto o Dead está igual. Depois temos as informações de
Hello, onde seguimos a mesma lógica, ou seja, o vizinho tem hello configurado com 10s (R10)
e o roteador local está com hello a cada 5 segundos (C 5), por isso temos que entrar em um
dos dois e alterar o temporizador de hello para resolver esse critério de formação de
vizinhança.

Vamos alterar o valor para o padrão no rotador local que é de 10s e verificar como será a
comunicação até fechar a adjacência. Acompanhe na saído do debug a seguir.

RA(config-if)#no ip ospf hello-interval 5


RA(config-if)#
01:05:56: OSPF: Rcv hello from 192.168.1.2 area 0 from Serial0/0/0 10.0.0.10
01:05:56: OSPF: 2 Way Communication to 192.168.1.2 on Serial0/0/0, state 2WAY
01:05:56: OSPF: Send DBD to 192.168.1.2 on Serial0/0/0 seq 0x192a opt 0x00 flag
0x7 len 32
01:05:56: OSPF: End of hello processing
01:05:56: OSPF: Neighbor change Event on interface Serial0/0/0
01:05:56: OSPF: Rcv DBD from 192.168.1.2 on Serial0/0/0 seq 0xa54 opt 0x00 flag
0x7 len 32 mtu 1500 state EXSTART
01:05:56: OSPF: NBR Negotiation Done. We are the SLAVE
01:05:56: OSPF: Send DBD to 192.168.1.2 on Serial0/0/0 seq 0xa54 opt 0x00 flag
0x2 len 72
01:05:56: OSPF: Rcv DBD from 192.168.1.2 on Serial0/0/0 seq 0xa55 opt 0x00 flag
0x3 len 72 mtu 1500 state EXCHANGE
01:05:56: OSPF: Send DBD to 192.168.1.2 on Serial0/0/0 seq 0xa55 opt 0x00 flag
0x0 len 32
01:05:56: OSPF: Rcv DBD from 192.168.1.2 on Serial0/0/0 seq 0xa56 opt 0x00 flag
0x1 len 32 mtu 1500 state EXCHANGE
01:05:56: OSPF: Send DBD to 192.168.1.2 on Serial0/0/0 seq 0xa56 opt 0x00 flag
0x0 len 32
01:05:56: Exchange Done with 192.168.1.2 on Serial0/0/0
01:05:56: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.1.2 on Serial0/0/0 from EXCHANGE
to FULL, Exchange Done
01:05:56: OSPF: Send DBD to 192.168.1.2 on Serial0/0/0 seq 0xa56 opt 0x00 flag
0x0 len 32
01:06:06: OSPF: Rcv hello from 192.168.1.2 area 0 from Serial0/0/0 10.0.0.10
01:06:06: OSPF: End of hello processing

Perceba que após consertar os valores a adjacência é formada, os roteadores entram em Full
state e os hello são recebidos e processados sem erros.

3.9 Defino ou não o Router ID?

A configuração do Router ID é colocada como opcional porque mesmo que você não a declare
na configuração do OSPF o roteador irá escolher seu identificador sozinho.

O router ID ou RID, valor que é um endereço IP (32 bits – 4 octetos em decimal pontuado) será
utilizado na seguinte ordem de prioridade:

1. Valor configurado no comando RID na configuração do OSPF;


2. Valor do maior endereço IP de loopback configurada no roteador, caso o comando
router-id não foi definido na configuração do roteador OSPF;
3. Valor do maior endereço IP das interfaces ativas do roteador, caso não existe nenhuma
loopback.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 119


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Porque essa informação é importante? Porque o roteador monta seu processo encima do RID, o
qual deve ser único na rede. Se você repetir esse valor terá problemas de instabilidade na rede,
processos que sobem e caem.

O RID também é utilizado para definir quem será o DR e BDR em redes Multiacesso. O roteador
com maior RID será o DR, o segundo maior o BDR e os demais DROTHER.

Você pode verificar quem é DR ou BDR em uma rede multiacesso com o comando “show ip
ospf neighbors” ou “show ip ospf interface”.

4 LSAs e Montagem da Topologia pelo OSPF


O OSPF utiliza diferentes tipos de LSAs para anunciar diferentes tipos de rotas.

Muitas destas rotas estão representadas na tabela de roteamento por um prefixo especial (letra
que designa o tipo de rota na frente dela). Veja abaixo uma descrição dos cinco principais tipos
de LSA em um total de 11:

 LSA Tipo-1 (Router LSA 1): Anuncia rotas intra-área. São geradas por um roteador
OSPF e inundadas apenas dentro da área. Recebem a letra "O" na tabela de roteamento.
 LSA Tipo-2 (Network LSA 2): Anuncia roteadores em um link de acesso múltiplo
(rede broadcast ethernet) dentro da própria área, ou seja, são geradas por um roteador
DR. São inundadas apenas dentro da área e recebem também a designação "O" na
tabela de roteamento.

Portanto, os dois primeiros tipos de LSAs representam links ou rotas que estão dentro da
mesma área (intra área), por exemplo, em uma topologia single-area apenas LSAs do tipo 1 e 2
são encontradas no banco de dados de LSAs (LSDB).

 LSA Tipo-3 (Summary LSA 3): Anuncia rotas inter-area e são geradas por um ABR.
São inundadas em áreas adjacentes (vizinhas) e recebem a designação "O IA" na tabela
de rotas.

Resumindo, uma LSA do tipo-3 são as rotas aprendidas por um ABR e ensinadas para a área
zero. Note que a área de backbone vai conhecer essas rotas, mas não o detalhe da topologia
interna da rede da área remota.

 LSA Tipo-4 (Summary LSA 4): Gerada por um ABR para anunciar a rota para um
ASBR para as demais dentro do OSPF. Inundada para áreas vizinhas.
 LSA Tipo-5 (External LSA 5): Anuncia rotas em domínio de roteamento gerado por
um ASBR. Essa mensagem de LSA é inundada para áreas adjacentes e recebe a
designação "O" na tabela de roteamento com um dos dois sufixos (O E1 ou O E2):
o E1– a métrica é aumentada a cada roteador que passa pela rede.
o E2– a métrica fica fixa e não aumenta ao passar por outros roteadores na rede
(padrão).

Essas duas LSAs são utilizadas quando temos redes externas simples, por exemplo, as
aprendidas via comando “default-information originate”. A LSA do tipo-4 informa onde está
o ASBR e as LSAs do tipo-5 são as rotas que esse ASBR aprendeu em um domínio de
roteamento externo e inseriu dentro do OSPF como rotas externas (marcadas como O E2 por
padrão).

Legal tudo isso, mas o que tem dentro de uma LSA? São informações que permitam ao OSPF
criar um mapa da rede! Veja abaixo o que as LSAs do tipo 1, 2 e 3 trazem de informações:

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 120


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 LSA do tipo-1 (Router LSA 1) -> descreve um roteador -> traz seu router RID,
interfaces, IP/máscara e estado da interface (link state).
 LSA do tipo-2 (Network 2) -> descreve uma rede que possui DR/BDR (multiacesso) -
> traz os endereços do DR e BDR, sub-rede (subnet ID) e máscara (prefixo).
 LSA do tipo-3 (Summary 3) -> traz informações de outras áreas -> sub-rede (Subnet
ID), máscara e RID do ABR que enviou a LSA.

Essas informações podem ser verificadas com o comando “show ip ospf database. A seguir
vamos estudar como o OSPF utiliza essas informações para montar sua topologia em uma rede
single-area e multiarea.

4.1 LSAs em Topologias Single Area

Vamos começar a estudar como o OSPF monta a topologia de rede de uma área utilizando as
informações contidas nas LSAs em uma topologia simples e single-area, conforme figura
abaixo.

Vamos iniciar configurando R1 e verificando o que ocorre em seu banco de dados de LSAs.

R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1
R1(config-router)#net
R1(config-router)#network 192.168.1.0 0.0.0.3 area 0
R1(config-router)#network 172.16.1.0 0.0.0.255 area 0
R1(config-router)#do show ip ospf database

OSPF Router with ID (1.1.1.1) (Process ID 1)

Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count


1.1.1.1 1.1.1.1 22 0x80000002 0x00645E 2
R1(config-router)#

Note que após a configuração, onde inserimos as interfaces giga0/0 e serial1/0 no processo de
roteamento, foi criada uma LSA com link ID 1.1.1.1 e relacionada ao RID do roteador R1
1.1.1.1. Além disso a LSA diz que existem dois links. Essa é uma LSA do tipo 1, pois trata-se de
uma “Router Link States” pertencente à área zero.

Agora vamos inserir o roteador R3 no processo do OSPF e ver como ficará o LSDB de R1 e R3.
Veja as configurações abaixo referentes ao R3.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 121


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

R3#conf t
R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#network 172.16.1.2 0.0.0.0 area 0
*Sep 10 10:21:01.099: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.1 on
GigabitEthernet0/0 from LOADING to FULL, Loading Done
R3(config-router)#do show ip ospf database

OSPF Router with ID (3.3.3.3) (Process ID 1)

Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count


1.1.1.1 1.1.1.1 42 0x80000003 0x00A45E 2
3.3.3.3 3.3.3.3 41 0x80000001 0x00A8F3 1

Net Link States (Area 0)

Link ID ADV Router Age Seq# Checksum


172.16.1.1 1.1.1.1 42 0x80000001 0x009FC7
R3(config-router)#

Veja agora como ficou o banco de dados do roteador R1.

R1#show ip ospf database

OSPF Router with ID (1.1.1.1) (Process ID 1)

Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count


1.1.1.1 1.1.1.1 936 0x80000003 0x00A45E 2
3.3.3.3 3.3.3.3 938 0x80000001 0x00A8F3 1

Net Link States (Area 0)

Link ID ADV Router Age Seq# Checksum


172.16.1.1 1.1.1.1 936 0x80000001 0x009FC7
R1#

Foi adicionada a LSA do tipo 1 que representa a rede LAN de R3 e uma LSA do tipo-2 (Net Link
States) que é do próprio roteador R1, note que o link ID é o IP da sua LAN e o RID é 1.1.1.1, o
qual é o RID do roteador R1.

Essa LSA do tipo-1 (chamada “Net Link States”) é gerada quando temos redes do tipo
multiacesso, como LANs e WANs NBMA (non-broadcast multiaccess) para representar um
segmento de rede que pode ter mais de um roteador, pois em uma rede multiacesso temos
diversos equipamentos na mesma sub-rede. Além disso, quem inunda a rede com LSA do tipo-
2 é o roteador eleito como DR, nesse caso é o R1, veja saída do comando abaixo com essa
informação.

R1#show ip ospf interface gigabitEthernet 0/0


GigabitEthernet0/0 is up, line protocol is up
Internet Address 172.16.1.1/24, Area 0
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 1
Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Transmit Delay is 1 sec, State DR, Priority 1

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 122


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Designated Router (ID) 1.1.1.1, Interface address 172.16.1.1


Backup Designated router (ID) 3.3.3.3, Interface address 172.16.1.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
### saídas omitidas ###

O comando show ip ospf interface brief mostra também se a interface é DR/BDR ou


DROTHER, assim como a qual área ela pertence, informação importante no troubleshooting
para certificar-se que o comando network foi inserido com a máscara curinga correta. Veja
exemplo abaixo.

R1#show ip ospf interface brief


Interface PID Area IP Address/Mask Cost State Nbrs F/C
Gi0/0 1 0 172.16.1.1/24 1 DR 1/1
Se1/0 1 0 192.168.1.1/30 49 P2P 1/1

Veja que a informação do custo da interface também é mostrada no comando anterior.

Veja que o DR eleito foi R1 e o BDR o roteador R3. Isso porque o R1 foi o primeiro a entrar na
rede, apesar da regra que o maior RID será eleito DR, mesmo com um menor RID o primeiro
router que é ligado se elege DR e só perde esse estado se desconectar/conectar o roteador,
com um shut/no shut na interface, por exemplo.

Nessa versão de prova atual esse conceito não é cobrado, mas consideramos importante
darmos detalhes que podem surpreender nossos alunos em situações práticas. O foco desse
estudo mais avançado é do CCNP Route.

Outra maneira de verificar quem é o DR e BDR em uma rede é com o comando show ip ospf
neighbor. Veja a saída do comando em R3, onde ele mostra R1 (RID 1.1.1.1) conectado como
Full e DR.

R3#sho ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface


1.1.1.1 1 FULL/DR 00:00:36 172.16.1.1
GigabitEthernet0/0
R3#

Agora vamos inserir o roteador R2 em nosso domínio de roteamento OSPF, veja abaixo.

R2#conf t
R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2
R2(config-router)#net 192.168.1.2 0.0.0.3 area 0
*Sep 10 10:46:42.227: %OSPF-5-ADJCHG: Process 1, Nbr 1.1.1.1 on Serial1/0 from
LOADING to FULL, Loading Done
R2(config-router)#net 192.168.2.1 0.0.0.0 area 0
R2(config-router)#passive-interface gigabitEthernet 0/0
R2(config-router)#do show ip ospf database

OSPF Router with ID (2.2.2.2) (Process ID 1)

Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count


1.1.1.1 1.1.1.1 25 0x80000004 0x00E36B 3
2.2.2.2 2.2.2.2 17 0x80000002 0x007BE1 3
3.3.3.3 3.3.3.3 1566 0x80000001 0x00A8F3 1

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 123


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Net Link States (Area 0)

Link ID ADV Router Age Seq# Checksum


172.16.1.1 1.1.1.1 1565 0x80000001 0x009FC7
R2(config-router)#

Note que com a inserção de R2 mais uma LSA foi gerada para representar o roteador R2 e as
LSAs que foram criadas por R1 e R3 são mostradas no banco de dados de R2, pois é assim que
o OSPF funciona: todos devem conhecer a mesma topologia em sua área. Vamos
comparar com o LSDB final em R1.

R1#show ip ospf database

OSPF Router with ID (1.1.1.1) (Process ID 1)

Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count


1.1.1.1 1.1.1.1 291 0x80000004 0x00E36B 3
2.2.2.2 2.2.2.2 285 0x80000002 0x007BE1 3
3.3.3.3 3.3.3.3 1834 0x80000001 0x00A8F3 1

Net Link States (Area 0)

Link ID ADV Router Age Seq# Checksum


172.16.1.1 1.1.1.1 1833 0x80000001 0x009FC7
R1#

As informações desse comando são resumidas, pois não faz parte do conteúdo do exame atual
ir mais a fundo nas LSAs, porém com os detalhes das LSAs os roteadores conseguem saber os
demais roteadores de rede, suas interfaces e redes sendo capaz de no final montar uma
topologia conforme ilustração abaixo.

Note que R2 mesmo tendo uma rede LAN não gera LSA tipo-2, pois não temos mais
equipamentos conectados à rede, por isso é gerada apenas uma LSA do tipo-1. Se mais routers
se conectarem ao domínio de roteamento do OSPF pela LAN de R2 aí sim uma LSA do tipo-2
será gerada pelo DR.

Veja que o processo que OSPF faz para montar a rede é como montar um mapa, por exemplo,
cada router seria uma cidade e as interfaces poderiam ser a rotas de saída que conectam as
cidades, aí pela kilometragem entre as diversas opções de caminho entre as cidades
poderíamos determinar o custo de cada rota e saber qual o caminho mais curto entre elas.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 124


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4.2 LSAs em Topologias Multiarea

Quando criamos uma topologia multiarea a diferença é que precisamos seguir um padrão de
conexão e divisão das sub-redes para que tenhamos a otimização do envio das LSAs entre as
diferentes áreas. Além disso, todas as áreas devem ser conectadas ao backbone e recomenda-
se não ter áreas descontínuas. No CCNP Route aprenderemos como tratar esse tipo de
situação.

Outro ponto sobre a topologia multiarea é que precisamos de roteadores, entre as demais áreas
e o backbone, que serão o ponto de junção entre elas. Esses roteadores são chamados ABR ou
Area Border Router. O ABR terá em seu banco de dados LSAs da área zero e da área regular
nele conectada (qualquer área diferente de zero).

E como as rotas das áreas diferentes de zero são ensinadas ao backbone e às demais áreas?
Através das LSAs do tipo-3 ou Summary LSAs. Os ABRs criam essas LSAs e repassam ao
backbone e para as demais áreas do domínio de roteamento OSPF.

Vamos a um exemplo prático onde vamos inserir mais um roteador à topologia configurado na
área 1. Veja figura abaixo.

Vamos iniciar configurando R4.

R4#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R4(config)#router ospf 1
R4(config-router)#network 192.168.3.2 0.0.0.0 area 1
R4(config-router)#do show ip ospf database

OSPF Router with ID (192.168.3.2) (Process ID 1)

Router Link States (Area 1)

Link ID ADV Router Age Seq# Checksum Link count


192.168.3.2 192.168.3.2 8 0x80000001 0x00C5F5 1
R4(config-router)#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 125


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que temos ainda uma LSA do tipo-1 criada em R4, porém ela está na área 1. Vamos agora
configurar R2.

R2(config)#router ospf 1
R2(config-router)#network 192.168.3.1 0.0.0.0 area 1
*Sep 10 11:16:59.263: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.3.2 on Serial1/1
from LOADING to FULL, Loading Done
R2(config-router)#do sho ip ospf database

OSPF Router with ID (2.2.2.2) (Process ID 1)

Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count


1.1.1.1 1.1.1.1 108 0x80000005 0x00E16C 3
2.2.2.2 2.2.2.2 3 0x80000004 0x007ADF 3
3.3.3.3 3.3.3.3 1567 0x80000002 0x00A6F4 1

Net Link States (Area 0)

Link ID ADV Router Age Seq# Checksum


172.16.1.1 1.1.1.1 1641 0x80000002 0x009DC8

Summary Net Link States (Area 0)

Link ID ADV Router Age Seq# Checksum


192.168.3.0 2.2.2.2 205 0x80000001 0x005446

Router Link States (Area 1)

Link ID ADV Router Age Seq# Checksum Link count


2.2.2.2 2.2.2.2 214 0x80000001 0x006903 2
192.168.3.2 192.168.3.2 216 0x80000002 0x008183 2

Summary Net Link States (Area 1)

Link ID ADV Router Age Seq# Checksum


172.16.1.0 2.2.2.2 215 0x80000001 0x00B292
192.168.1.0 2.2.2.2 216 0x80000001 0x006A32
192.168.2.0 2.2.2.2 216 0x80000001 0x008F39
R2#

Note que as LSAs do tipo 1 e 2 da área zero continuam as mesmas (três do tipo-1 e uma do
tipo-2), não sofreram alterações porque a nova rede e roteadores entraram na área 1. Já a rota
para o novo roteador R4 foi inserida como uma “Summary Net Link States” (uma LSA do
tipo-3), indicando a rede de destino e o RID (ADV Router) do ABR.

Para a área 1 (destacado em cinza) foram criadas duas LSAs do tipo-1: 2.2.2.2 do R2 e
192.168.3.2 do R4. Também as rotas da área zero serão injetadas na área 1 como LSAs do
tipo-3 (Summary Net Link States), em um total de três LSAs tipo-3.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 126


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Desafio: porque o router ID (RID) de R4 é 192.168.3.2? Tente resolver sozinho e clique


aqui para ver a resposta.

Resposta:
Porque não definimos o comando “router-id” e nem configuramos uma interface de
loopback, por isso o roteador pega o maior IP entre as interfaces ativas para definir
o RID. Nesse caso, como temos apenas a interfaces s1/1 com IP 192.168.3.2 ativa, ele
vira o roter-ID de R4.

Portanto, o ABR que é o roteador R2 criou LSAs do tipo-3 para a área zero com a nova rede
192.168.3.0/30 e também ensina para os roteadores internos da área 1 as redes da área zero
com LSAs do tipo-3, uma para cada rede da área diferente. Vamos agora completar o diagrama
com essas informações.

Note no diagrama final que é criado um banco de dados separado para cada área e apenas o
ABR tem LSAs de ambas as áreas, os roteadores de backbone e o roteador interno da área 1
conhecem apenas que as outras redes podem ser alcançadas via um ABR.

Então quer dizer que os roteadores do backbone sabem a topologia exata da área zero, mas
não sabem como os pacotes serão encaminhas na área 1? Isso mesmo, essa é a grande
vantagem de se dividir o OSPF em áreas quando utilizamos redes de maior porte, por exemplo,
redes com uma quantidade acima de 50 roteadores ou 2.000 rotas.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 127


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

As principais vantagens de se dividir a rede OSPF em áreas são:

 Quanto menor o banco de dados (LSDB) por área, menos memória os roteadores
precisam para armazenar as informações.
 Quanto menor as áreas e o número de LSAs os roteadores precisam de menos ciclos de
CPU para o processamento das informações e cálculos do algoritmo SPF, melhorando o
tempo de convergência e o desempenho dos equipamentos.
 Alterações que acontecem em uma área ficam restritas à ela, ou seja, se um link cair na
área 1 a área zero não precisa ficar sabendo e recalcular a topologia com o algoritmo
SPF.
 Quanto menos LSAs os roteadores precisarem trocar menos banda será necessária na
inicialização do OSPF, reduzindo a largura de banda utilizada no processo de flooding
inicial das informações e também de reflooding a cada 30 minutos.

Além disso, é possível fazer a sumarização de rotas entre as áreas e reduzir ainda mais a
quantidade de LSAs do tipo-3 trocadas entre elas, veja um exemplo na topologia a seguir.

Note que foi realizado um endereçamento IP hierárquico e reservado para cada área as
seguintes faixas ou blocos de endereços:

 Área zero: 1.0.0.0/16


 Área 1: 1.3.0.0/16
 Área 2: 1.1.0.0/16
 Aárea 3 1.2.0.0/16

O que possibilita que todas as redes da área zero, 1, 2 e 3 sejam passadas através de apenas
uma LSA do tipo-3 entre elas!

Existem outros tipos de redes OSPF e configurações para otimizar mais ainda o envio de LSAs
entre as áreas, porém elas são tradadas no CCNP Route. Se você deseja seguir a área de
roteamento e switching o CCNP R&S traz muitas outras informações importantes para redes de
maior porte.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 128


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

5 Balanceamento de Cargas no OSPF


Até o momento consideramos que temos apenas uma rota para determinada rede de destino
com a melhor métrica, mas o que acontece se o OSPF encontrar duas rotas para um mesmo
destino com a mesma métrica, ou seja, com o mesmo custo?

Por padrão o OSPF faz o balanceamento de cargas (em inglês Load Balancing) entre até quatro
rotas por padrão, podendo ser aumentado até 6 em IOSs mais antigos (versão 12.x) e na
versão 15 maioria suporta um máximo de 32 rotas balanceando cargas.

Podemos verificar essa informação no comando “show ip protocols” no campo “Maximum


path”, veja exemplo abaixo.

R1#show ip protocols
*** IP Routing is NSF aware ***

Routing Protocol is "ospf 1"


Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID 1.1.1.1
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
172.16.1.0 0.0.0.255 area 0
192.168.1.0 0.0.0.3 area 0
Routing Information Sources:
Gateway Distance Last Update
2.2.2.2 110 00:59:05
Distance: (default is 110)

R1#

Para alterar esse comportamento precisamos entrar em modo de configuração de roteamento e


utilizar o comando “maximum-paths”. Veja exemplo abaixo onde vamos desativar o
balanceamento de cargas.

R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#router ospf 1
R1(config-router)#maximum-paths ?
<1-32> Number of paths

R1(config-router)#maximum-paths 1
R1(config-router)#

Com o valor do maximum-path igual a 1 o roteador balanceia carga com um link, ou seja, só a
melhor métrica funciona. Nessa versão de IOS utilizada o roteador suporta até 32 rotas fazendo
o Equal Cost Load Balancing (balanceamento de carga entre rotas de mesmo custo).

O OSPF não suporta balanceamento de cargas entre métricas de custos diferentes, esse recurso
somente o EIGRP suporta. Você pode alterar a métrica entre duas rotas no OSPF para forçar
um balanceamento de cargas se for necessário.

Um detalhe importante é que esse balanceamento de cargas pode ser por pacotes ou por fluxo
(per-packet ou per-flow/per-destination), sendo que o padrão varia conforme a versão de IOS e
método de encaminhamento escolhido (Process-switching, Fast-switching ou CEF).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 129


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A diferença é que em um balanceamento por pacotes o roteador envia um pacote de saída por
interface para fazer com que a carga seja distribuída de forma igual. Veja figura a seguir.

Já no balanceamento por destino, a cada fluxo criado para um IP de destino o roteador envia
para uma das interfaces que estão envolvidas no processo de load balancing.

O balanceamento de carga pode ser confirmado no comando show ip route, veja exemplo
abaixo.

Matriz-B#sho ip rou
### Saídas omitidas ###

Gateway of last resort is 10.0.0.1 to network 0.0.0.0

10.0.0.0/24 is subnetted, 5 subnets


C 10.0.0.0 is directly connected, FastEthernet0/0
C 10.0.1.0 is directly connected, FastEthernet0/1
O 10.0.2.0 [110/102] via 10.0.0.1, 00:09:15, FastEthernet0/0
O 10.0.3.0 [110/102] via 10.0.0.1, 00:09:15, FastEthernet0/0
192.168.0.0/32 is subnetted, 1 subnets
C 192.168.0.20 is directly connected, Loopback0
192.168.1.0/30 is subnetted, 3 subnets
O 192.168.1.0 [110/1563] via 10.0.0.1, 00:09:15, FastEthernet0/0
O 192.168.1.4 [110/101] via 10.0.0.1, 00:09:15, FastEthernet0/0
O*E2 0.0.0.0/0 [110/1] via 10.0.0.1, 00:09:15, FastEthernet0/0
[110/1] via 10.0.1.1, 00:09:15, FastEthernet0/1

Note que a rota padrão está sendo balanceada, pois ela tem duas entradas na tabela de
roteamento, uma apontando para a fast 0/0 e a segunda apontando para a fast 0/1, indicando
que os pacotes com destino à Internet serão balanceados através dessas duas interfaces.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 130


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Outra maneira de observar as informações sobre o balanceamento de cargas é com o comando


show ip route e depois seguido da rede em questão que você deseja analisar, veja exemplo
abaixo.

Matriz-B#show ip route 0.0.0.0


Routing entry for 0.0.0.0/0, supernet
Known via "ospf 1", distance 110, metric 1, candidate default path
Tag 1, type extern 2, forward metric 1
Last update from 10.0.0.1 on FastEthernet0/0, 00:09:32 ago
Routing Descriptor Blocks:
* 10.0.0.1, from 192.168.0.3, 00:09:32 ago, via FastEthernet0/0
Route metric is 1, traffic share count is 1
10.0.1.1, from 192.168.0.3, 00:09:32 ago, via FastEthernet0/1
Route metric is 1, traffic share count is 1
Matriz-B#

Temos a indicação que os pacotes para a Internet estão sendo balanceados através da fast 0/0,
enviando para o próximo salto 10.0.0.1. Além disso, ela traz que foi aprendida via o ASBR
192.168.0.3, RID do roteador Filial-2. Logo abaixo tem a segunda interface que está
balanceando cargas via 10.0.1.1 pela fast 0/1.

6 Dicas de Troubleshooting com OSPF


Os principais problemas que podemos encontrar em questões envolvendo o OSPF são:
 Problemas básicos de camadas 1, 2 e 3 -> Muitas vezes o OSPF não forma uma
adjacência porque temos cabos rompidos ou tipos de cabos errados nas conexões (por
exemplo, deveria ser um cabo cross e foi utilizado um direto). Na camada de enlace em
interfaces seriais DCE falta o comando clock rate ou o tipo de protocolo em uma das
pontas está errado (encapsulation) e na camada de rede o IP/máscara das interfaces
pode estar errado. Se ambas as interfaces vizinhas diretamente conectadas não
estiverem na mesma rede IP o OSPF não sobe.
 Configurações erradas -> Redes anunciadas erradas no comando network, tanto a
rede como a máscara curinga ou a própria área. Quando utilizamos uma única área é
obrigatório que todas as redes estejam configuradas na área zero que é chamada de
backbone. Além disso, os temporizadores de Hello e Dead devem ser iguais em ambos
os roteadores para que a adjacência possa ser formada.
 Falta de configurações -> Interfaces não selecionadas ou faltantes no comando
network.

Os comandos show relacionados ao OSPF já foram estudados e detalhados durante esse tópico.
Podem haver questões solicitando a análise de um comando show e solicitando que informações
sejam fornecidas, por exemplo, com a saída de um show running-config parcial e um show
ip interface brief a questão pode pedir as interfaces que farão parte do processo OSPF em
questão.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 131


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

6.1 Opções de Debug no OSPF

Com o OSPF temos os seguintes comandos de debug:

dltec#debug ip ospf ?
adj OSPF adjacency events
capability OSPF Capability
database-timer OSPF database timer
events OSPF events
flood OSPF flooding
hello OSPF hello events
lsa-generation OSPF lsa generation
monitor OSPF spf monitoring
mpls OSPF MPLS
nsf OSPF non-stop forwarding events
packet OSPF packets
retransmission OSPF retransmission events
rib OSPF RIB
scheduler OSPF process scheduling
spf OSPF spf
tree OSPF database tree

Sendo que para o exame os mais relevantes são:

 debug ip ospf events: Mostra todas as mensagens para cada evento ou ação tomada
pelo OSPF incluindo o recebimento de mensagens.
 debug ip ospf packet: Mostra as mensagens do OSPF com a descrição do conteúdo de
todos os pacotes.
 debug ip ospf hello: Mostra a mensagens de Hellos e suas falhas. Utilizado para
verificar problemas de formação de adjacência.
 debug ip ospf adj: Mostra eventos relacionados especificamente à formação e
manutenção de vizinhança ou adjacência.

No packet tracer temos apenas as opções “adj” e “events”.

6.2 Identificando e resolvendo problemas de formação de adjacências no OSPF

Lembre-se que o processo do OSPF inicia com a troca de hellos e a formação da vizinhança,
chamada de adjacência. Para que isso ocorra já estudamos que alguns parâmetros básicos
devem ser configurados da mesma maneira em ambos os vizinhos.

A seguir vamos ver os principais problemas que podem ocorrer e os comandos que são
indicados para resolvê-los.

1. Os roteadores devem estar na mesma sub-rede -> utilizar os comandos show


interfaces e debug ip ospf hello.
2. Caso configurada autenticação, ambos os vizinhos devem passar nessa fase
(autenticação mútua e bidirecional) -> utilizar os comandos show ip ospf interface e
debug ip ospf adj.
3. Temporizadores de hello e dead devem ser iguais -> utilizar os comandos show ip
ospf interface e debug ip ospf hello.
4. As interfaces vizinhas devem estar na mesma área -> utilizar os comandos show ip
ospf interface brief e debug ip ospf adj.
5. O RID deve ser único na rede -> utilizar o comando show ip ospf.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 132


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Lembre-se que se a vizinhança foi formada e houve o fechamento da adjacência os roteadores


devem ser mostrados no comando “show ip ospf neighbor” com o estado de Full, com
exceção do estado da vizinhança entre roteadores DROTHER que ficam em 2-way, eles ficam
em Full apenas com o DR e BDR.

Outro problema que pode impedir o estabelecimento de uma vizinhança é o comando


“passive-interface” declarado de maneira errada ou a falta do “no passive-interface” para
uma nova interface inserida no OSPF quando utilizamos o “passive-interface default”.
Lembre-se que a interface passiva não pode formar adjacência devido ao hello ser ignorado
quando ela está nesse estado, portanto sua rede é anunciada no processo do OSPF, porém a
interface não é capaz de formar adjacência.

O comando show que pode ajudar nesse tipo de situação, além do show running-config, é o
show ip ospf interface brief. Com esse comando podemos verificar todas as interfaces que
estão inseridas no processo do OSPF e depois no show running-config identificar quais estão
passivas.

R2#sho ip ospf interface brief


Interface PID Area IP Address/Mask Cost State Nbrs F/C
Gi0/0 1 0 192.168.2.1/24 1 DR 0/0
Se1/0 1 0 192.168.1.2/30 49 P2P 1/1
Se1/1 1 1 192.168.3.1/30 49 P2P 1/1
R2#show running-config | section ospf 1
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
passive-interface GigabitEthernet0/0
network 192.168.1.0 0.0.0.3 area 0
network 192.168.2.1 0.0.0.0 area 0
network 192.168.3.1 0.0.0.0 area 1
R2#

Repare que temos três interfaces anunciadas no OSPF e a giga0/0 com o passive-interface
suprimindo hellos. Esses comandos também podem ajudar a verificar eventuais erros de
anúncio no comando network.

6.2.1 Problemas com áreas erradas e RID duplicados


Para que dois roteadores formem vizinhança eles devem ter as interfaces diretamente
conectadas na mesma sub-rede e o mesmo identificador de área (area-ID ou número de área).

Quando a área está errada é porque o comando network não foi configurado corretamente em
uma das pontas do link. Para identificar esse tipo de problema podemos analisar a running-
config, o show ip ospf interface [brief] ou o debug ip ospf adj.

Veja um exemplo da saída do debug com a mensagem indicando o problema.

R1# debug ip ospf adj


OSPF adjacency events debugging is on
R1#
*Set 12 10:02:01.000: OSPF-1 ADJ Gi0/0: Rcv pkt from 10.0.0.1, area 0.0.0.0,
mismatched area 0.0.0.1 in the header
R1#
R1# undebug all
All possible debugging has been turned off

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 133


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O comando informa um mismatch, essa mensagem significa que o roteador deveria estar
recebendo um pacote de hello na área zero (0.0.0.0) e está recebendo na área 1 (0.0.0.1).
Para corrigir o problema basta arrumar o anúncio do comando network que estiver na área
errada.

Esse mesmo debug pode ser utilizado para resolver problemas de autenticação.

Sobre o RID é importante lembrar que ele deve ser único no domínio de roteamento do OSPF,
pois ele vai identificar o roteador e muitas vezes identificam as próprias LSAs, por isso se
houverem RIDs duplicados o OSPF não irá formar a topologia corretamente.

Quando temos esse problema os roteadores enviam uma mensagem para informar a duplicação
do RID para a console:

*Set 12 10:02:01.000: %OSPF-4-DUP_RTRID_NBR: OSPF detected duplicate router-id


1.1.1.1 from 10.0.0.1 on interface GigabitEthernet0/0

Para verificar se o RID está realmente duplicado podemos entrar com o comando “show ip
ospf” (no roteador que mostrou a mensagem e no roteador que o IP é mostrado na
mensagem) para certificar o problema e depois corrigir o roteador que teve o RID configurado
errado.

6.2.2 Problemas com Hello e Dead diferentes em um dos vizinhos


Outra causa raiz de problemas com o OSPF já discutida anteriormente é devido a alteração dos
timers (temporizadores) padrões de hello e dead nas interfaces.

Para verificar o problema podemos utilizar o comando “debug ip ospf hello” e depois verificar
com o “show ip ospf interface” os valores configurados nas interfaces para corrigir o
parâmetro que não foi configurado conforme planejamento. Veja exemplo a seguir.

R2#debug ip ospf hello


OSPF hello events debugging is on
R2#
*Sep 12 12:04:58.991: OSPF: Rcv hello from 1.1.1.1 area 0 from Serial1/0
192.168.1.1
*Sep 12 12:04:58.995: OSPF: End of hello processing
R2#
*Sep 12 12:05:01.931: OSPF: Send hello to 224.0.0.5 area 0 on Serial1/0 from
192.168.1.2
R2#
*Sep 12 12:05:07.691: OSPF: Rcv hello from 192.168.3.2 area 1 from Serial1/1
192.168.3.2
*Sep 12 12:05:07.695: OSPF: Mismatched hello parameters from 192.168.3.2
*Sep 12 12:05:07.699: OSPF: Dead R 40 C 132, Hello R 10 C 33
*Sep 12 12:05:08.455: OSPF: Rcv hello from 1.1.1.1 area 0 from Serial1/0
192.168.1.1
*Sep 12 12:05:08.459: OSPF: End of hello processing
R2#
*Sep 12 12:05:11.159: OSPF: Send hello to 224.0.0.5 area 0 on Serial1/0 from
192.168.1.2
R2#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 134


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Destacado em amarelo temos um hello normal do vizinho com RID 1.1.1.1.

Em verde temos um hello com problemas vindo do vizinho 192.168.3.2, que podemos
identificar na mensagem "Mismatched hello parameters from 192.168.3.2".

Note que o valor de hello recebido foi de 10s (R - received ou recebido) e está configurado
como 33s (C - configured ou configurado) no no roteador local, fazendo com o que dead
também esteja errado, pois ele é calculado com base no hello.

Vamos agora verificar os valores nas interfaces de cada roteador.

R2#show ip ospf interface serial 1/1


Serial1/1 is up, line protocol is up
Internet Address 192.168.3.1/30, Area 1
Process ID 1, Router ID 2.2.2.2, Network Type POINT_TO_POINT, Cost: 49
Topology-MTID Cost Disabled Shutdown Topology Name
0 49 no no Base
Transmit Delay is 1 sec, State POINT_TO_POINT
Timer intervals configured, Hello 33, Dead 132, Wait 132, Retransmit 5

R4#show ip ospf interface serial 1/1


Serial1/1 is up, line protocol is up
Internet Address 192.168.3.2/30, Area 1
Process ID 1, Router ID 192.168.3.2, Network Type POINT_TO_POINT, Cost: 49
Transmit Delay is 1 sec, State POINT_TO_POINT
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5

Portanto temos a diferença confirmada, basta alterar a configuração do hello em R4 para 33 ou


em R2 para 10, qual alterar depende do enunciado do exercício.

Para confirmar que a vizinhança não foi estabelecida podemos utilizar o comando abaixo:

R2#show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface


1.1.1.1 0 FULL/ - 00:00:37 192.168.1.1 Serial1/0
R2#

Note que realmente o vizinho 192.168.3.2 não está listado na tabela.

6.2.3 Problemas relacionados ao tipo de rede OSPF


O OSPF define alguns tipos de redes, as quais determinam como os vizinhos são aprendidos. A
descoberta de vizinhos pode ser realizada do forma dinâmica ou não. Caso não seja dinâmica o
administrador precisa definir o vizinho via comando “neighbor” estático, o qual é foco do exame
CCNP Route.

Precisamos saber que nesse momento estamos utilizando dois tipos de redes básicas:

 Point-to-point: seriais configuradas como HDLC, PPP ou a que vamos estudar


posteriormente, chamada Frame-relay point-to-point utilizando subinterfaces. Nesse tipo
de rede há descoberta automática de vizinhos e não há necessidade de eleição de DR e
BDR.
 Broadcast: redes LAN padrão ethernet com descoberta automática de vizinhos e eleição
de DR e BDR.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 135


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Se o tipo de interface estiver configurada errada ou você utilizar um tipo que não foi citado
acima (que necessita de declaração estática dos vizinhos) podem haver problemas na formação
de vizinhança. Logo, é necessário ficar atento nas interfaces ponto a ponto, é preciso que no
comando show ip ospf interface esteja a informação “Network Type POINT_TO_POINT”,
já as interfaces LAN devem mostrar a informação “Network Type BROADCAST”.

Esse padrão pode ser alterado em modo de interface com o comando “ip ospf network”, veja
exemplo abaixo.

R4(config)#int f0/0
R4(config-if)#ip ospf network ?
broadcast Specify OSPF broadcast multi-access network
non-broadcast Specify OSPF NBMA network
point-to-multipoint Specify OSPF point-to-multipoint network
point-to-point Specify OSPF point-to-point network

R4(config-if)#ip ospf network point-to-point


R4(config-if)#no ip ospf network point-to-point

Portanto, é possível configurar uma interface fastethernet como ponto a ponto, o porquê disso
não será tratado nesse material, porém mais detalhes serão estudados no capítulo que tratar
do Frame-relay.

6.2.4 Problemas relacionados ao MTU do link


Como já estudado no material do CCENT/ICND-1, o MTU define por interface camada-3 o
tamanho máximo do pacote que um roteador pode encaminhar, por exemplo, o padrão das
interfaces LAN da família ethernet para IPv4 são 1500 bytes.

Podemos verificar essa informação no show interfaces e podemos alterar essa valor dentro de
cada interface com o comando “ip mtu valor-em-bytes”. Por exemplo, “ip mtu 1200” em
uma interface ethernet altera o valor de 1500 para 1200 bytes.

Os roteadores configurados com OSPFv2 consegue formar vizinhança se duas interfaces


tiverem MTUs diferentes, porém não passam do estado 2-way, ou seja, terão problemas
quando iniciar o processo de troca de LSAs para montar as LSDBs. No final do processo e falha
da troca de LSAs a própria vizinhança acaba caindo. Mas porque esse problema ocorre?

Lembre-se que os pacotes de hello são pequenos, pois transmitem poucas informações e
dificilmente irão atingir o valor máximo do tamanho do pacote (MTU). Os roteadores até
chegam ao estado de 2-way, porém quando iniciarem a troca de LSAs para formação do banco
de dados (LSDB) os pacotes terão mais informações e acabam atingindo o tamanho máximo do
MTU.

Quando isso ocorre, a interface que tem o MTU menor rejeita os pacotes que são acima do
MTU. Por exemplo, se em R1 o MTU da interface é 1500 e em R2 a interface tem MTU 1400,
quando R2 começar a receber pacotes com informações de LSA acima de 1400 bytes eles serão
descartados, o que inviabiliza a formação do LSDB e da própria adjacência.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 136


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Veja exemplo abaixo.

R2#show int serial 1/1 | include MTU


MTU 1500 bytes, BW 2016 Kbit/sec, DLY 20000 usec,
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#int s1/1
R2(config-if)#ip mtu ?
< 68-1500 > MTU (bytes)

R2(config-if)#ip mtu 1400


R2(config-if)#shut
R2(config-if)#
*Sep 12 12:42:53.191: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.3.2 on Serial1/1
from FULL to DOWN, Neighbor Down: Interface down or detached
R2(config-if)#no shut
R2(config-if)#
*Sep 12 12:42:55.139: %LINK-5-CHANGED: Interface Serial1/1, changed state to
administratively down
*Sep 12 12:42:56.139: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/1,
changed state to down
R2(config-if)#
*Sep 12 12:42:58.367: %LINK-3-UPDOWN: Interface Serial1/1, changed state to up
R2(config-if)#
*Sep 12 12:42:59.383: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/1,
changed state to up
R2(config-if)#do sho ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface


1.1.1.1 0 FULL/ - 00:00:39 192.168.1.1 Serial1/0
192.168.3.2 0 EXSTART/ - 00:00:36 192.168.3.2 Serial1/1

Portanto a interface chega a 2-way mas não passa de EXSTART, pois ela não consegue
completar a troca de LSAs. Agora vamos corrigir o problema voltando ao valor de MTU padrão
de 1500 bytes.

R2(config-if)#no ip mtu 1400


R2(config-if)#shut
R2(config-if)#no
*Sep 12 12:45:47.523: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.3.2 on Serial1/1
from DOWN to DOWN, Neighbor Down: Interface down or detached
R2(config-if)#no shut
R2(config-if)#
*Sep 12 12:45:49.527: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.3.2 on Serial1/1
from LOADING to FULL, Loading Done
R2(config-if)#

O MTU não é utilizado na métrica do OSPF, porém sua configuração pode afetar a
formação de adjacências.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 137


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

6.3 Resolvendo problemas onde as adjacências estão OK mas faltam rotas na tabela

Vamos supor que tudo foi aparentemente configurado corretamente, no comando show ip
ospf neighbor os vizinhos estão presentes em todos os roteadores, mas mesmo assim
algumas rotas não estão sendo exibidas em alguns ou todos os roteadores. O que pode estar
acontecendo nesse caso?

Lembre-se que nem todas as redes nos roteadores precisam ter vizinhos, por exemplo, em
LANs que não temos outros roteadores não serão observados vizinhos, por isso se apenas
algumas rotas não aparecem na tabela de roteamento outros problemas podem estar
acontecendo além dos descritos anteriormente.

As prováveis causas raízes nesse tipo de situação podem ser:

1. A rede de destino está com problemas, por exemplo, uma interface está down em um
dos roteadores.
2. Falta o comando network que insere a interface que tem a rede que está faltando na
tabela de roteamento dentro do processo do OSPF.

7 Resumo dos Comandos Utilizados no OSPF


 router ospf process-id -> cria o processo OSPF com um ID ou entra em um processo
criado com determinado PID (ID de processo).
 network end-IP masc-curinga area area-id -> ativa interfaces que batam com o IP
e a máscara curinga no processo do OSPF, ou seja, as redes dessas interfaces passarão
a ser anunciadas.
 ip ospf cost custo -> define um custo manual para uma interface OSPF, deve ser
aplicado em modo de interface.
 bandwidth banda/kpbs -> as interfaces devem ter o comando bandwidth (Kbps)
definido ou senão a banda considerada na serial pelo OSPF será de um link T1
(1,5Mbps).
 auto-cost reference-bandwidth valor -> altera a referência do cálculo do custo, por
padrão definida como uma interface de 100Mbps.
 router-id id-IPv4 -> define um router ID manualmente para o OSPF.
 interface loopback número -> cria uma interface loopback.
 maximum-paths num-de-caminhos -> define o número máximo de links que podem
fazer balanceamento de cargas caso o custo entre eles para uma mesma rede seja igual.
Por padrão vem configurado com o valor 4.
 passive-interface tipo num -> desabilita envio e recebimento de hellos na interface
listada no comando.
 passive-interface default -> desabilita envio e recebimento de hellos em todas as
interfaces do roteador.
 no passive-interface tipo num -> ativa envio e recebimento de hellos em uma
interface desabilitada pelos dois comandos anteriores.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 138


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

8 Resumo do Capítulo
Bem pessoal, chegamos ao final de mais um capítulo!

É muito importante que nesse ponto do curso você tenha domínio dos seguintes itens:

 Entender o funcionamento básico de um protocolo de roteamento dinâmico.


 Entender as diferenças entre os tipos de algoritmos de protocolos de roteamento.
 Entender as características gerais dos IGPs e EGPs.
 Entender o funcionamento de um protocolo de estado de enlace.
 Entender o funcionamento do OSPF single area.
 Ser capaz de configurar topologias com OSPF single area.
 Entender o funcionamento básico do OSPF multiarea.
 Ser capaz de configurar topologias simples com OSPF multi area.
 Ser capaz de realizar troubleshooting em uma rede OSPF.
 Ser capaz de testar uma topologia de rede utilizando ping, trace e telnet.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 139


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Capítulo 4 - Implementando
o Protocolo EIGRP
Nesse capítulo estudaremos
os princípios do roteamento Objetivos do Capítulo
dinâmico vetores de
Ao final desse capítulo você terá estudado e
distância e mais deverá compreender:
especificamente como  Entender o funcionamento do EIGRP.
implementar e manter o  Ser capaz de configurar topologias
protocolo EIGRP. com EIGRP.
 Entender o funcionamento básico do
Durante o capítulo EIGRP.
estudaremos os conceitos  Entender e configurar o
dos protocolos vetor de balanceamento de carga no EIGRP.
distância, sua relação e  Entender e ser capaz de utilizar
comandos show e debug para
diferenças com o EIGRP,
resolver problemas básicos em redes
como utilizar os comandos EIGRP.
de configuração e como  Ser capaz de realizar troubleshooting
fazer troubleshooting para na formação de vizinhança do EIGRP.
resolver os principais  Entender e resolver problemas com
problemas envolvendo o redes classful descontínuas.
protocolo EIGRP.
Aproveite o capítulo e bons
estudos!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 140


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Sumário do Capítulo 4.1 Resumo dos comandos show para


troubleshooting do EIGRP _____________ 179

1 Protocolos Vetor de Distância ______ 142 4.2 Identificando e Resolvendo problemas


de vizinhança no EIGRP _______________ 180
1.1 Revisão da Métrica e Distância
Administrativa _______________________ 143 4.3 Entendendo problemas com redes
descontínuas e autossumarização _______ 182
1.2 Operação Básica de um Protocolo Vetor
de Distância _________________________ 146 4.4 Comandos Debug no EIGRP _______ 183

1.3 Processo de Convergência e Split 5 Resumo dos comandos de configuração


Horizon ____________________________ 147 do EIGRP para o exame ______________ 184
1.4 Prevenindo Loops de roteamento com o 6 Resumo do Capítulo _____________ 185
Route Poisoning _____________________ 148
1.5 EIGRP como Vetor de Distância
Avançado ___________________________ 149
2 Introdução ao EIGRP _____________ 150
2.1 Outras Características do EIGRP ___ 152
2.2 Tabelas e Pacotes do EIGRP _______ 153
2.3 Operação e Funcionamento do EIGRP
154
2.4 Relacionamento com Vizinhos e Troca
de Informações de Roteamento _________ 156
2.5 Descobrindo um Vizinho e Definindo
Melhores Rotas com o DUAL ___________ 157
2.6 Cálculo da Métrica e Escolha do Melhor
Caminho pelo EIGRP __________________ 158
2.7 Exemplo de Cálculo da Métrica do EIGRP
160
2.8 EIGRP - Exemplo Prático __________ 161
3 Comandos e Configurações do EIGRP 164
3.1 Introdução aos Comandos show do
EIGRP 167
3.2 Opções Adicionais de comandos Show e
Debug para o EIGRP __________________ 169
3.3 Configurações Adicionais do EIGRP _ 171
3.4 Balanceamento de Cargas com EIGRP
172
3.4.1 Balanceamento de Cargas entre Rotas
com Métricas Iguais _____________________ 173
3.4.2 Balanceamento de Cargas com Rotas de
Métricas Diferentes _____________________ 175

4 Troubleshooting em topologias com


EIGRP_____________________________ 178

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 141


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1 Protocolos Vetor de Distância


No capítulo anterior fizemos um estudo aprofundado sobre o OSPF e o funcionamento dos
protocolos que trabalham com o algoritmo de roteamento baseados no estado de enlace ou
link-states, pois o funcionamento geral do IS-IS segue os mesmo princípios do OSPF quando
falamos em tabelas de administração do protocolo, métricas, cálculo das melhores rotas livres
de loops, etc.

Nesse capítulo vamos estudar um protocolo de roteamento que é enquadrado como vetor de
distância avançado e em algumas bibliografias chamado de híbrido. Esse protocolo é o EIGRP
(Enhanced Interior Gateway Routing Protocol).

Veja os termos em inglês abaixo que podem ser utilizados para enquadrar o EIGRP em relação
ao seu algoritmo de roteamento macro:

 Balanced Hybrid Routing Protocol – protocolo de roteamento híbrido balanceado ou


 Advanced Distance Vector Protocol – protocolo de roteamento vetor de distância
avançado.

Ser um protocolo vetor de distância (ou distance vector) significa que as rotas são anunciadas
com uma informação de direção (vetor) e uma distância para serem alcançadas. Lembre-se que
no OSPF, ou seja, em protocolos link-state os roteadores não trocam rotas e sim LSAs para
montar um “mapa da rede”.

A distância é definida em termos de uma métrica, por exemplo, contagem de saltos para o RIP,
e a direção é simplesmente a interface de saída para esses pacotes.

Para calcular a melhor rota o RIP utiliza um algoritmo conhecido como Bellman-Ford. O EIGRP
utiliza o DUAL.

Os protocolos de roteamento do vetor de distância convencionais, tais como o RIP versões 1 e


2, pedem que o roteador anuncie periodicamente a tabela de roteamento inteira para cada um
de seus vizinhos.

As atualizações periódicas são enviadas em intervalos regulares (30 segundos para o RIP e 90
segundos para o IGRP). Tenha a rede convergido ou não e mesmo que a topologia não tenha
sido alterada as atualizações periódicas continuarão sendo enviadas a todos os vizinhos
indefinidamente pelo RIP e IGRP.

Além do que estudamos até o momento, os protocolos de vetor de distância não permitem que
os roteadores conheçam a topologia da rede onde estão inseridos, pois eles têm apenas a visão
da rede através de seus vizinhos diretamente conectados. As demais redes são vistas por eles
através de uma interface de saída e uma métrica, porém sem conhecimento do caminho que o
pacote fará até chegar ao seu destino.

Se você lembrar-se do OSPF é um conceito totalmente diferente, pois um roteador OSPF


conhece a topologia exata da área onde está inserido.

O EIGRP é chamado híbrido ou vetor de distância avançado porque ele não trabalha como os
tradicionais RIP e IGRP, ele tem melhorias consideráveis na descoberta de vizinhança,
manutenção das tabelas de roteamento e reação a alterações na topologia.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 142


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Você vai perceber ao longo do capítulo que o EIGRP pega um pouco do que é bom dos link-
states e dos vetores de distância para criar um protocolo robusto, relativamente leve e muito
rápido.

1.1 Revisão da Métrica e Distância Administrativa

Os roteadores Cisco suportam diversos protocolos de roteamento simultaneamente, mas como


ele decide que informação utilizar?

Quando um roteador aprende a informação sobre o caminho até uma rede (rota) através de
mais de uma fonte, ou seja, aprendeu rota para uma mesma rede de destino através de mais
de um protocolo de roteamento, a distância administrativa (AD ou Administrative Distance)
é utilizada como fator de escolha da rota que deve ser utilizada para encaminhamento dos
pacotes pelo roteador. Nesse caso, o roteador escolhe a rota aprendida pelo protocolo de
roteamento com menor distância administrativa.

Cada protocolo ou entrada de roteamento possui uma distância administrativa padrão, porém
ela pode ser configurada manualmente. Veja a tabela abaixo com as ADs padrões.

Para construir a tabela de roteamento, além da distância administrativa temos também o


conceito da métrica das rotas que é utilizada quando um mesmo protocolo de roteamento
aprende mais de uma entrada para o mesmo caminho. Assim como a AD, a menor métrica é
a que irá ser inserida na tabela de roteamento.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 143


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Cada protocolo de roteamento possui um tipo de métrica, por exemplo, no RIP a métrica
utilizada é o número de saltos, já protocolos mais avançados como EIGRP e OSPF consideram a
velocidade do link em suas métricas. Veja a figura abaixo com exemplos de parâmetros
utilizados no seu cálculo.

Vamos a um exemplo de como a métrica pode influenciar na escolha dos caminhos. Considere a
rede da figura abaixo. Para o roteador "MatrizCTBA" enviar um pacote para o "FilialPGO" ele
utilizará o caminho do "Router_C", pois o protocolo RIP utiliza como métrica o número de saltos
(hops).

Agora imagine que você também configurou o protocolo EIGRP nessa mesma rede, conforme
mostrado na figura a seguir. Nesse novo cenário o roteador deverá primeiramente escolher qual
dos dois protocolos ele utilizará para determinar o melhor caminho, o RIP ou o EIGRP. Nesse
caso a escolha será pelo protocolo EIGRP, pois a distância administrativa do EIGRP é 90
enquanto que a do RIP é 120. O roteador sempre irá escolher o protocolo que possui a menor
distância administrativa.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 144


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Depois de decidido o protocolo ele deverá escolher o melhor caminho através da métrica. No
caso do EIGRP será através do "Router_A" e "Router_B". Isso porque o EIGRP leva em
consideração a informação de largura de banda para o cálculo da melhor métrica e não o
número de saltos. O link pelo "Router_A" e "Router_B" possui largura de banda de 512Kbps e
2Mbps respectivamente, sendo muito melhor do que um caminho com menos saltos mas onde
a largura de banda é de apenas 64Kbps.

Para os protocolos de roteamento que levam em conta a largura de banda do link é importante
configurar na interface o parâmetro “bandwidth” corretamente, pois em uma interface serial
quando o comando não é configurado o roteador assume a banda de 1,5Mbps (T1) para a
interface. Se todas as interfaces possuírem o mesmo “clock rate” não há problemas, porém
quando a rede não é simétrica haverá métricas que não corresponderão à realidade.

E se agora comparamos a escolha da melhor rota na topologia para a mesma rede de destino
utilizando o OSPFv2 como protocolo de roteamento? É simples, como ele usa o custo, que é
relacionado à largura de banda, em sua maioria das vezes será o mesmo caminho que o EIGRP
escolheria.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 145


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.2 Operação Básica de um Protocolo Vetor de Distância

O processo de convergência de um protocolo vetor de distância como o RIP é incremental e a


cada rodada de envio e recebimento de tabelas de roteamento entre os vizinhos os roteadores
vão conhecendo mais informações até o momento que eles conhecem informações de todas as
redes e atingem a convergência completa das informações.

É importante lembrar que no início os roteadores conhecem apenas as redes diretamente


conectadas e enviam aos vizinhos uma atualização ou update contendo a rede que eles
conhecem e sua métrica (distância). Então o vizinho vincula essa entrada de roteamento com a
interface que ele recebeu o anúncio, ou seja, tem o vetor ou sentido que deve enviar o pacote
para encontrar a rede de destino recebida no anúncio.

Por exemplo, quando ativamos o RIP os roteadores mandam na primeira rodada as redes
diretamente conectadas aos seus vizinhos.

Na segunda rodada (passado 30 segundos do primeiro envio) é bem provável que eles já
conheçam, além de suas redes conectadas, também as redes de seus vizinhos.

Na terceira rodada eles irão conhecer as redes com três saltos de distância, ou seja, até os
vizinhos de seus vizinhos, e assim o processo continua até conhecerem todas as redes com um
limite de 15 saltos de profundidade no caso do RIP (o RIP suporta no máximo quinze roteadores
conectados em série, uma métrica igual a 16 saltos é considerada infinita, portanto
inalcançável).

Veja exemplo prático na figura a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 146


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.3 Processo de Convergência e Split Horizon

Vamos analisar a convergência no roteador R1 na topologia.

Na primeira atualização ele envia as redes dele mesmo e recebe as redes diretamente
conectadas do R2. Porém a rede 192.168.2.0 não será enviada, vamos entender a lógica por
traz dessa informação.

Como a rede 192.168.2.0 está configurada na interface de saída do anúncio com certeza o
roteador vizinho que vai trocar informações de roteamento já deve conhecer essa rota. Existe
uma regra nos protocolos vetor de distância chamada “Split Horizon” que faz o roteador não
anunciar redes pertencentes ou aprendidas por uma interface através da mesma saída. Vamos
entender melhor a ação desse recurso nas próximas rodadas.

Na segunda rodada, o roteador R1 recebe as rotas diretamente conectadas de R2 menos a


192.168.2.0, pois ela já pertence à interface de saída do anúncio. Com isso R1 verifica que a
rede 192.168.3.0 não existe em sua tabela de roteamento e insere essa nova informação com
métrica 1 (distância) e direção (vetor) via serial 0/0.

Na terceira rodada o roteador R1 envia sua tabela de roteamento novamente. Em seu anúncio
teremos somente a rota 192.168.1.0, porque a 192.168.2.0 está diretamente conectada na
interface de saída do update e a 192.168.3.0 foi aprendida pela mesma interface.

O que poderia acontecer se R1 enviasse uma mensagem dizendo que conhece a rede
192.168.3.0 via s0/0? Se momentaneamente ela caísse em R2 ele iria inserir uma rota para
essa rede apontando para R1 e estaria criado um loop de roteamento!

Se acontecesse o fato citado acima R2 pensa que R1 tem a rede 192.168.3.0 e R1 pensa que
R2 tem essa rota, quando um pacote for enviado a um host dessa rede ficaria sendo enviado de
R1 para R2 e R2 para R1 sucessivamente até seu TTL chegar a zero!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 147


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Esse recurso também é utilizado pelo EIGRP para protegê-lo contra loops de roteamento e
estudaremos no capítulo sobre WAN que para o frame-relay, em determinadas situações,
podemos ter alguns problemas e precisaremos desabilitá-lo.

Para saber mais sobre o split horizon você pode clicar aqui para ler um artigo no Blog da DlteC
sobre o assunto.

Link: http://www.dltec.com.br/blog/cisco/split-horizon-curso-ccna/

1.4 Prevenindo Loops de roteamento com o Route Poisoning

Outro recurso utilizado pelos protocolos de vetor de distância para evitar loops de roteamento é
o envenenamento da rota ou route poisoning.

O route poisoning trata-se de um anúncio informando que uma determinada rota caiu através
de uma métrica infinita, forçando seus vizinhos a retirarem rapidamente essa informação da
tabela de roteamento.

Cada protocolo tem um valor próprio para definir a métrica infinita, pois cada um utiliza uma
métrica distinta. Veja um resumo abaixo:

 RIP -> rota anunciada com métrica igual a 16 saltos.


 EIGRP -> 2^32 – 1 (4.294.967.295) na maioria dos IOSs, porém algumas versões mais
novas pode ser 2^56 – 1 (72.057.594.037.927.935).
 OSPFv2 -> 2^24 – 1 (16777215).

Resumindo o processo, quando uma rota cai o roteador toma a seguinte ação para evitar loops
e acelerar o processo de convergência com o route poisoning:

1. Remove a interface diretamente conectada da sua tabela de roteamento.


2. Envia um anúncio aos seus vizinhos sobre a rota que falhou com métrica infinita.
3. Quando o vizinho recebe esse anúncio pode retirar a rota imediatamente da sua tabela
de roteamento ou marcar a rota como “provável rota quebrada” e aguarda um tempo
antes de removê-la da tabela de roteamento. Isso depende da configuração do protocolo
de roteamento.

Com essas ações R1 não utilizará uma entrada desatualizada que poderia causar um loop de
roteamento.

O RIP mais especificamente ainda tem outras ferramentas, tais como temporizadores de
Holdown, para evitar loops de roteamento, pois quanto maior a rede com um protocolo vetor de
distância mais risco de loops existirão devido ao tempo de propagação das informações na
rede.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 148


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.5 EIGRP como Vetor de Distância Avançado

Agora que já relembramos dos conceitos de um protocolo de vetor de distância comum, vamos
analisar o que diferencia o EIGRP desses outros protocolos, tal como o RIP, e faz com que ele
seja considerado avançado. Veja a lista abaixo:

1. O RIP e o IGRP não formam adjacências, simplesmente enviam suas mensagens aos
vizinhos, por padrão, sem nenhuma autenticação ou validação. Em outras palavras,
qualquer roteador poderia trocar rotas com eles!
2. O EIGRP tem um processo de formação de adjacência mais simples que o utilizado pelos
protocolos link state, mas permite configurar a autenticação para proteger as
informações de roteamento e formação de vizinhanças. O RIP v2 também permite
autenticação, assim como o OSPF.
3. O vetor de distância normal envia a tabela de rotas completa periodicamente mesmo
que o processo de convergência tenha finalizado.
4. O EIGRP faz o processo de convergência inicial e depois de finalizado troca apenas
mensagens de hello, assim como os protocolos link states.
5. Quando há alteração na topologia os distance vectors comuns enviam uma flash update
(atualização disparada por eventos ou triggered update) com toda a tabela de
roteamento.
6. Quando há alteração na topologia o EIGRP é capaz de enviar updates parciais com
apenas as informações ou rotas alteradas. O OSPF, que é link state, também trabalha
dessa forma, enviando informações parciais contendo apenas as alterações da rede.

Outras características que o EIGRP tem e que nem os distance vectors ou link state possuem
são:

 Tem a capacidade de manter uma rota principal e uma ou mais backups em sua tabela
de topologias, permitindo que em caso de queda a rota backup assuma o tráfego sem
recálculo da melhor rota.
 Suportar mais de um protocolo de camada-3 no mesmo processo de roteamento.
 Não precisa de reflooding, como no caso do OSPF, que mesmo sem alterações na
topologia precisa fazer um novo processo de flooding de LSAs a cada 30 minutos
(padrão).
 Pode ter a largura de banda máxima utilizada em um link para envio de informações de
roteamento, podendo ser otimizado em links de baixa velocidade.
 Tem protocolo próprio de camada-4 para envio de updates de roteamento – RTP
(Reliable Transport Protocol).
 Utiliza o DUAL para calcular as rotas livres de loop.

Essas comparações são importantes para responder perguntas no exame de certificação, tanto
no ICND-2 como para o CCNA Accelerated (CCNAX).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 149


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2 Introdução ao EIGRP

O EIGRP é um protocolo de roteamento criado pela Cisco na década de 90 e até o ano de 2013
seu principal ponto negativo era o fato de ser um protocolo proprietário da Cisco, ou seja, em
redes com roteadores de diversos fabricantes normalmente a preferência seria utilizar o OSPF
ao invés do EIGRP, pois todos os roteadores precisavam ser Cisco para haver 100% da rede
trocando rotas via EIGRP.

A Cisco publicou em 2013 o EIGRP como uma RFC informacional, possibilitando que outros
fabricantes implementem em seus sistemas operacionais o EIGRP, o que possibilitará em um
futuro próximo que roteadores Cisco troquem informações de roteamento com roteadores de
outros fabricantes através do EIGRP.

O tempo de convergência do EIGRP é rápido e também se trata de um protocolo de


fácil configuração.

O EIGRP utiliza para o cálculo de caminhos livres de loop o algoritmo DUAL (Diffusing Update
Algorithm). Conforme já citado, o DUAL permite que uma ou mais rotas backups sejam
instaladas em uma tabela de topologia, permitindo que, em caso de falhas com o caminho
principal, o redirecionamento para o caminho redundante seja praticamente imperceptível para
o usuário final. É o tempo de remover uma rota e inserir outra na tabela de roteamento, sem
necessidade de recálculos por parte do DUAL ou refazer o processo de convergência.

Esse recurso descrito no parágrafo anterior é exclusivo do EIGRP, tanto o OSPF como o RIP não
possuem essa capacidade. Se um link cair e houver redundância, o novo caminho precisa ser
recalculado e aguardar o tempo de convergência.

Tem uso de largura de banda reduzido após a convergência, pois não envia updates
periódicos como os protocolos vetores de distância tradicionais. Além disso, diferente do RIP
suporta até 255 saltos para contagem ao infinito, porém vem configurado com um diâmetro de
100 saltos como padrão. Lembre-se que o RIP suporta no máximo 15 saltos (quinze roteadores
ligados em série).

Possui suporte a VLSM e roteamento classless (CIDR), sendo que a sumarização automática
utilizando redes classful vem ativada por padrão na maioria das versões de Cisco IOS. Existe
também a opção de sumarização manual por interface.

A sumarização automática significa que se você tem várias sub-redes em um roteador EIGRP,
por padrão, ao invés de anunciar as sub-redes em uma interface de saída ele anuncia a rede
classful que as gerou. Por exemplo, você tem as redes 192.168.1.0/28 e 192.168.1.16/28, por
padrão o EIGRP vai anunciar aos vizinhos que você tem a rede 192.168.1.0/24 ao invés das
duas sub-redes. O comando “no auto-summary” desativa esse comportamento e anuncia
todas as sub-redes configuradas nas interfaces selecionadas no comando network (mesmo
princípio do OSPF, porém sem as áreas).

O EIGRP é capaz de trocar rotas com o IGRP se ambos estiverem utilizando o mesmo número
de AS.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 150


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por padrão é capaz de fazer balanceamento de carga entre quatro links de métricas iguais,
assim como estudamos para o OSPF, valor esse que pode ser alterado até 6 para IOSs antigos
ou até 16 ou 32 em algumas versões mais novas do Cisco IOS. A diferença é que vamos
estudar que o EIGRP suporta também balanceamento de cargas entre rotas de métricas
diferentes, por exemplo, tenho dois links WAN entre duas unidades, um com 512kbps e outro
com 1Mbps, o EIGRP permite balancear carga entre eles sem a necessidade de alteração das
métricas.

Suporta todas as redes multiacesso padrão ethernet, ponto a ponto (PPP e HDLC) e NBMA
(Frame-Relay e X-25).

Sua métrica é composta pela largura de banda (Bandwidth - BW) e atraso (Delay - DLY) por
padrão, podendo utilizar também os parâmetros de Carga (Load – txload/rxload) e
Confiabilidade (Reliability). Sua métrica é igual a do seu antecessor IGRP multiplicada por
256. Assim como para o OSPF, para o EIGRP é necessário configurar o comando bandwidth nas
interfaces serias para que a métrica seja calculada corretamente.

Segue uma explicação breve sobre as métricas do EIGRP.

 Bandwidth (BW - Largura de Banda): O EIGRP usa uma largura de banda estática para
calcular a métrica. As interfaces seriais usam a largura de banda padrão de 1.544Mbps
(T1) se o comando bandwidth não for configurado nela. O comando bandwidth não
precisa ser configurado nas interfaces LAN.
 Delay (DLY - Atraso): É uma medida do tempo necessário para um pacote atravessar
um caminho. É um valor estático, baseado no tipo de link ao qual a interface está
conectada. Pode ser alterado na interface com o comando “delay” seguido do valor do
atraso em décimos de microssegundos.

Veja exemplo abaixo onde vamos alterar o padrão do atraso de uma interface fast de 100 para
1000 microssegundos, logo após vamos voltar à configuração padrão. Essa configuração é
utilizada para alterar o peso (métrica) das rotas no EIGRP para forçar alterações na tomada de
decisão sobre determinado caminho a ser tomado, principalmente quando não queremos alterar
a informação da largura de banda real da interface.

DlteC-FW-GW(config)#int f0/0
DlteC-FW-GW(config-if)#delay ?
<1-16777215> Throughput delay (tens of microseconds)

DlteC-FW-GW(config-if)#delay 1000
DlteC-FW-GW(config-if)#do show interfaces f0/0 | include DLY
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 10000 usec,
DlteC-FW-GW(config-if)#no delay 1000
DlteC-FW-GW(config-if)#do show intterfaces f0/0 | include DLY
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
DlteC-FW-GW(config-if)#

 Confiabilidade (Reliability - não é uma métrica padrão do EIGRP): É uma medida da


probabilidade do link falhar ou que diz a frequência do link resultar em erro. A
confiabilidade é medida dinamicamente com um valor entre 0 e 255, quanto mais alto o
valor, mais confiável o link.
 Carga (Load - txload / rxload - não é uma métrica padrão do EIGRP): A carga reflete a
quantidade de tráfego que utiliza o link. A carga é medida dinamicamente com um valor
entre 0 e 255, quanto mais baixo, menor tráfego no link é fornecido por direção: TX são
dados transmitidos pela interface e RX dados recebidos.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 151


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

As informações sobre os parâmetros que o EIGRP vai utilizar para calcular a métrica podem ser
verificadas com o comando “show interfaces” nos campos grifados.

RouterA#show int s0/0/0


Serial0/0/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 192.168.1.1/30
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255

2.1 Outras Características do EIGRP

A comunicação entre os vizinhos ocorre via o endereço de multicast 224.0.0.10, com timer de
Hello de 5s para links maiores que 1.544MB e 60s com largura de banda mais baixa. O
temporizador de Dead é 3 vezes o valor do hello, por exemplo, para um link T1 o hello
padrão será de 5s e o dead 15s.

Se você lembrar o valor dos temporizadores de Hello e Dead no OSPF precisavam ser iguais
para que ele formasse vizinhança, no EIGRP eles não precisam, a vizinhança é estabelecida
mesmo que esses dois parâmetros estejam diferentes.

Outro ponto importante é que o EIGRP não utiliza nem o TCP ou UDP como meio de transporta,
pois utiliza o RTP (Reliable Transport Protocol) como protocolo de transporte confiável para
envio de updates (mensagens com informações de roteamento), por isso é tido como um
protocolo independente de camada de rede.

O EIGRP suporta diversos protocolos de camada 3 como IPv4, IPX, Apple talk e outros, sendo
considerado com suporte multiprotocolo. Para o IPv6 existe uma versão específica de EIGRP
chamada EIGRPv6, a qual estudaremos no capítulo específico sobre IPv6. Entendendo o
funcionamento do EIGRP você também entenderá o do EIGRPv6, pois ambos têm os mesmo
processos e características operacionais.

O EIGRP é configurado com um ASN (Autonomous System Number) ou número de


sistema autônomo interno e troca informações com outros vizinhos dentro do mesmo AS.
Por exemplo, para ativar o EIGRP em R1 e R2 da topologia abaixo precisamos digitar o
comando “router eigrp 123”, em modo de configuração global.

Essa é uma característica fundamental para a ativação do EIGRP em um domínio de


roteamento: “o número de AS deve ser o mesmo entre os roteadores!”. Se em R1
configurarmos “router eigrp 100” e em R2 “router eigrp 200” eles não formarão
vizinhança e não haverá troca de informações de roteamento entre eles.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 152


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Além do mesmo ASN os roteadores devem ter as seguintes configurações para que a vizinhança
seja formada:

 Deve passar no processo de autenticação se configurada.


 O IP de origem do pacote de Hello deve estar na mesma sub-rede da interface remota.
 Os valores da métrica do EIGRP definidas pelas constantes K devem ser iguais (deve ter
a mesma regra de cálculo da métrica).

Uma das maiores vantagens do EIGRP sobre os demais protocolos de roteamento é a


capacidade de manter uma rota backup chamada de feasible successor ou sucessora viável
(FS) na sua tabela de topologia. Com essa facilidade quando a rota principal cai, a rota backup
(FS) assume sem a necessidade de troca de informações ou recálculos.

A rota principal no EIGRP é chamada de sucessora ou successor, pois aponta para o


roteador do próximo salto que será o sucessor no caminho do pacote até o seu destino.

2.2 Tabelas e Pacotes do EIGRP

O EIGRP mantém três tabelas básicas para o processo de roteamento de maneira muito
semelhante ao OSPF:

 Tabela de vizinhança ou adjacências: guarda informações sobre os vizinhos


diretamente conectados descobertos através do protocolo de Hello (mais simples que o
estudado para o OSPF).
 Tabela de topologia: guarda informações sobre as rotas sucessoras e sucessoras
viáveis descobertas com a troca de updates de roteamento.
 Tabela de roteamento: as melhores rotas até os destinos remotos descobertas pelo
EIGRP são inseridas na tabela de roteamento.

O EIGRP troca cinco tipos de mensagem entre os roteadores:

 Hello: Usados para descobrir vizinhos por multicast (224.0.0.10) de forma não confiável
de 5 em 5 segundos para links maiores que 1.544MB ou de 60 em 60s para menores. O
temporizador de dead é 3 vezes o tempo de hello.
 Update: Pacotes update requerem confirmação (envio confiável) e são enviados por
multicast para trocar informações de roteamento.
 Query: Pacotes que requerem confirmação (confiável RTP) e perguntam se existe um
router backup (rota sucessora viável) para um determinado caminho.
 Reply: Pacotes de resposta a um Query e requerem confirmação. São enviados por
Unicast somente a quem perguntou.
 Acknowledgment (ACK): Pacotes de confirmação enviado por unicast.

Pacotes como: Update, query e reply precisam de confirmação, ou seja, precisam receber um
ACK confirmando seu recebimento. Já o Hello não precisa.

Obs: Pacotes confiáveis só são retransmitidos 16 vezes, caso contrário o vizinho é considerado
morto e retirado da tabela de vizinhança.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 153


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Abaixo segue um resumo da terminologia do EIGRP que será utilizada em todo o capítulo para
explicar os conceitos:

 Neighbor table: Cada router tem uma tabela com seus routers adjacentes;
 Neighbor Address: Endereço de rede do vizinho (IP);
 Q (Queue): Fila de pacotes esperando para serem enviados (0 é normal);
 SRTT (Smooth Round Trip Timer): O tempo mais rápido que enviou e recebeu um
pacote;
 Hold Time: Tempo máximo até colocar o vizinho em OFF, geralmente 3x o tempo do
Hello;
 Topology table: Cada router tem uma tabela de topologia que inclui todos os caminhos
aprendidos para cada protocolo;
 Routing table: É a tabela de roteamento. EIGRP escolhe o melhor router (successor)
para um caminho e coloca na tabela de rotas;
 Successor: O successor é o router escolhido como primeira opção para um caminho, ou
seja, é a rota principal;
 Feasible successor (FS): Router de backup é escolhido junto com o successor
(principal), ou seja, é a rota backup;
 FD (feasible distance): Distância viável, é a soma dos custos de todos os links até o
destino, o menor valor será considerada a FD, ou seja, é a métrica da melhor rota até
um destino;
 AD ou RD (Advertised Distance ou Reported distance): Distancia anunciada ou
reportada, é a soma dos custos do vizinho até o destino, ou seja, a melhor métrica que
o vizinho que anunciou a rota calculou.

2.3 Operação e Funcionamento do EIGRP

Basicamente o processo do EIGRP passa pelas seguintes etapas ou fases:

 Descoberta de Vizinhança: Inicialização e estabelecimento das vizinhanças ou


adjacências através do protocolo de Hello (semelhante ao OSPF, porém muito mais
simples);
 Troca de Topologia: Troca de informações sobre a topologia de rede entre os
roteadores para possibilitar a escolha das melhores rotas através do algoritmo DUAL;
 Escolha das Melhores Rotas: Cada roteador analisa as informações contidas na tabela
de topologia criada com o recebimento dos dados da etapa anterior para determinar os
caminhos livres de loops e instalar as rotas com melhores métricas (quanto menor o
valor melhor) em sua tabela de roteamento.
 Operação: Após a convergência os roteadores enviam apenas pacotes de hello. Até que
haja uma mudança de topologia só pacotes de hello são enviados.

Com isso, conforme já citado anteriormente, o EIGRP cria e mantém as três tabelas mais
importantes:

 Tabela de vizinhança ou adjacências: guarda informações sobre os vizinhos


adjacentes (diretamente conectados). Pode ser visualizada com o comando “show ip
eigrp neighbors” -> no OSPF o comando para ver a tabela de vizinhança é “show ip
ospf neighbors”.
 Tabela de topologia: guarda informações sobre os caminhos descobertos pelo EIGRP,
ou seja, seu banco de dados topológico. Pode ser visualizada com o comando “show ip
eigrp topology” -> no OSPF para ver o banco de dados (LSDB) é “show ip ospf
database”.
 Tabela de roteamento: as melhores métricas são inseridas na tabela de roteamento.
Pode ser visualizada com o comando “show ip route” ou “show ip route eigrp”.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 154


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A comunicação do protocolo de Hello entre os roteadores vizinhos (neighbors) no EIGRP se dá


através do endereço de Multicast 224.0.0.10 e as mensagens de atualização de roteamento
(Updates) são enviadas via RTP, conforme já estudamos.

As atualizações no EIGRP são trocadas de maneira completa (Full) quando o roteador é


inicializado e após entrar em operação elas são feitas de maneira parcial (partial update) em
caso de alteração da topologia de rede. Isso proporciona uma economia de banda com updates,
pois durante a operação os roteadores enviam, em caso de alterações, apenas informações
sobre as redes/subredes que sofreram alterações. Caso não hajam alterações nada é enviado
além dos pacotes de hello.

Veja a figura abaixo que mostra desde a inicialização (descoberta de vizinhos), a finalização da
montagem da tabela de roteamento (full routing – update completo de informações de
roteamento), a fase de operação onde somente Hellos são trocados periodicamente e por
último uma alteração de rede gerando um update parcial.

Note que o processo de inicialização, descoberta de vizinhança e atualização de roteamento é


muito mais simples no EIGRP quando comparamos com o OSPF, pois para o OSPF temos vários
tipos de updates e estados que o roteador deve passar.

Por isso o EIGRP é mais rápido e mais leve que o OSPF, porém com grande escalabilidade e
suportando redes de mesmo porte (ou até maiores que o OSPF). Porém, o EIGRP exige uma
rede homogênea com equipamentos do fabricante Cisco, pois foi concebido como um protocolo
proprietário e até outros fabricantes começarem a implementação podemos ainda ter esse tipo
de inconsistência em redes com roteadores de outros fabricantes.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 155


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.4 Relacionamento com Vizinhos e Troca de Informações de Roteamento

EIGRP envia multicasts periódicos (hello) pela interface utilizando seu IP primário (IPs
secundário não forma adjacências) para descobrir vizinhos.

Quando outro router pertence ao mesmo AS e recebe um hello é estabelecida uma relação de
vizinhança, essas informações do vizinho são adicionadas na Neighbor Table (tabela de
vizinhança). Veja figura a seguir.

Após a troca inicial de Hellos para estabelecer a vizinhança os roteadores enviam pacotes de
Updates com suas informações de roteamento. Nesses updates são passadas as redes,
máscaras, métrica calculada pelo vizinho, etc. Essas informações são inseridas na tabela de
topologia e o DUAL é executado para calcular os caminhos livres de loop e alimentar a tabela de
roteamento com as melhores métricas.

Finalizado o processo de troca de Updates os roteadores enviarão apenas Hellos para


verificarem se os vizinhos estão realmente ativos.

Quando o vizinho não mais envia respostas aos pacotes hello e o hold time acaba (3 vezes o
tempo do hello – chamado de temporizador de Dead), ele considera que o vizinho não está
mais operacional, assim toda a tabela de topologia aprendida pelo vizinho é deletada e
mensagens de Update são enviadas para que os demais roteadores apaguem as rotas desse
vizinho de suas tabelas de roteamento.

Quando apenas uma interface específica de um roteador cai (fica down/down) pacotes de
Query (perguntas) são enviadas para verificar se algum vizinho tem um sucessor confiável
(feasible sucessor ou rota backup) como um caminho alternativo antes de apagar a rota da
tabela de roteamento.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 156


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Quando isso ocorre, a rota perdida fica em um estado chamado ativo (Active) na tabela de
topologia até que as queries enviadas aos routers vizinhos sejam respondidas. Essas queries
são transmitidas aos vizinhos dos vizinhos sucessivamente, menos o roteador que a enviou
inicialmente. Se essas consultas não forem respondidas os roteador que enviou a query coloca
o roteador vizinho como SIA (Stuck in Active) ou preso no estado ativo. Caso não venha uma
resposta em três minutos a vizinhança com esse roteador que não respondeu a query é
reinicializada.

Note que dependendo do número de vizinhos e caminhos redundantes que a rede possui
podemos ter um problema grave com o envio de query/reply, por isso é importante tentar
otimizar ao máximo o escopo das queries, ou seja, tentar reduzir o número de vizinhos e
informações de roteamento para envio dessa mensagens.

Uma solução para reduzir essa propagação é a sumarização de rotas, pois raramente um
router remoto precisa saber todas as rotas que são divulgadas em toda rede.

2.5 Descobrindo um Vizinho e Definindo Melhores Rotas com o DUAL

Abaixo segue a sequência utilizada pelo EIGRP para descobrir vizinhos e trocar informações de
roteamento levando em conta a figura abaixo da lista.

1. Um novo roteador (router A) entra na rede e envia um pacote Hello pelas interfaces;
2. Router B da rede recebe esse hello e responde com pacote update com todas as rotas
que ele tem em sua tabela de rotas menos as rotas aprendidas pelo novo router A (split
horizon);
3. Router A responde com um ACK confirmando o recebimento das informações;
4. Router A ajusta todos os pacotes de update na sua tabela de topologia associando a
métrica para alcançar cada destino;
5. Router A troca pacotes update com cada vizinho;
6. Cada router envia um ACK de confirmação e finalizam o processo de montagem da
topologia e inserção de rotas na tabela de roteamento.
7. Roteadores trocam apenas hellos a partir desse momento.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 157


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Quando todos os routers têm todas as rotas eles estão prontos para escolher as rotas primárias
e rotas de backup para manter na Topology Table. Pelo Dual ele define, por padrão, a melhor
rota baseado nos parâmetros bandwidth e delay.

Para encontrar as melhores rotas livres de loop o dual utiliza a menor distância viável (FD ou
Feasible Distance), a qual é a distância confiável tirada a partir da soma dos custos dos
enlaces para alcançar a rede de destino. O caminho escolhido para a rede de destino é
chamado de successor ou rota sucessora.

Para que haja uma rota backup ou sucessor confiável (FS ou Feasible Sucessor), ou seja,
um caminho alternativo para a rede de destino, deve-se atender a Feasible Condition
(Condição de Viabilidade), onde a distância reportada da rota backup (métrica da rota
calculada pelo vizinho) deve ser menor que a distância viável (métrica da rota
principal) ou RD<FD.

Lembrando que a distância anunciada ou reportada (RD ou AD) é a soma dos custos dos
enlaces para a rede de destino anunciado pelos vizinhos -> é a métrica que o vizinho utilizou
para inserir a rota na tabela de roteamento!

Vamos estudar melhor esse conceito em tópicos posteriores.

2.6 Cálculo da Métrica e Escolha do Melhor Caminho pelo EIGRP

Para entendermos os valores mostrados como métrica e utilizados para a escolha das melhores
rotas temos que entender como o EIGRP realiza esse cálculo.

Apesar de muitas bibliografias (e nesse material seguirmos as fontes oficiais da Cisco) citarem
a métrica do EIGRP como largura de banda (bandwidth), atraso (delay), confiabilidade
(reliability), carga (txload e rxload) e MTU, na prática o MTU não é utilizado como métrica no
EIGRP.

Além disso, por padrão a métrica do EIGRP é calculada apenas com a largura de banda e
atraso, os demais parâmetros ficam desabilitados e dependem da configuração das constantes
K (K1 e K3 iguais a um e K2, K4 e K5 ficam como zero) na fórmula do EIGRP conforme figura
abaixo.

Aplicando os valores de K na métrica a fórmula é reduzida para a figura a seguir, onde a conta
fica restrita aos parâmetros de largura de banda e atraso. Na realidade o cálculo é feito com
base na MENOR largura de banda do caminho em kilo bit por segundo e a SOMA dos delays
(atraso) das interfaces em micro segundos.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 158


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Lembre-se que a largura de banda é definida pelo comando bandwidth e se você não
configurar esse comando nas interfaces seriais elas assumem uma taxa de 1,5Mbps (T1).

Portanto antes de configurar tanto o EIGRP como o OSPF (pois ambos levam a largura de banda
como métrica) certifique-se que o comando bandwidth nas interfaces seriais foi configurado
corretamente.

Nas interfaces de LAN (Ethernet, Fastethernet ou Giga) não é necessário o uso do comando,
pois o roteador consegue ler a velocidade que está estabelecida na interface pelos valores
serem fixos e bem conhecidos.

O delay é definido por padrão pelo Cisco IOS de acordo com o tipo de interface, por exemplo, o
delay de uma interface Fastethernet é 100 micro segundos, se dois routers estiverem
conectados pelas suas fasts a soma dos delays será 200.

Você pode alterar o valor do delay entrando em modo de configuração de interface e digitando
o comando “delay” e inserindo um valor que será multiplicado por 10, portanto se você inserir o
comando “delay 12” o delay final da interface será 120. Veja o exemplo abaixo.

dltec#sho int f0/0


FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is 001e.130b.1aee (bia 001e.130b.1aee)
Internet address is 192.168.1.6/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255

### Saídda Omitida ###

dltec#conf t
Enter configuration commands, one per line. End with CNTL/Z.
dltec(config)#int f0/0
dltec(config-if)#delay ?
<1-16777215> Throughput delay (tens of microseconds)

dltec(config-if)#delay 12
dltec(config-if)#do show int f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is 001e.130b.1aee (bia 001e.130b.1aee)
Internet address is 192.168.1.6/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 120 usec,
reliability 255/255, txload 1/255, rxload 1/255

### Saídda Omitida ###

Se você precisa alterar os valores da métrica para fazer ajustes na escolha do melhor caminho,
a recomendação da Cisco é para que esse ajuste seja realizado no Delay e não no comando
Bandwidth.

Recomenda-se que a largura de banda esteja configurada de maneira correta. Isto porque
poucos ou quase nenhum outro protocolo utiliza o Delay, porém o parâmetro da largura de
banda é mais utilizado e por isso não se recomenda alterá-lo.

Todos os parâmetros da métrica do EIGRP podem ser verificados no show interfaces, conforme
já mostrado anteriormente.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 159


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.7 Exemplo de Cálculo da Métrica do EIGRP

Vamos utilizar a topologia da figura abaixo para fazer um exemplo do cálculo da métrica.

O objetivo é verificar qual a métrica da rota que o EIGRP do roteador R1 irá colocar na tabela
de roteamento para alcançar a rede 200.200.200.0/24. Note que para chegar ao destino, R1
passa por um link serial de 1544kbps (T1) e alcança a rede 200.200.200.0 que é uma
fastethernet (100.000 kbps).

Como o EIGRP utiliza a menor velocidade do caminho até o destino, o bandwidth utilizado
na conta da métrica será de 1544 kbps.

Já o atraso é a soma dos atrasos do caminho, portanto será 20000 microssegundos da


interface serial mais 100 micro segundos da fastethernet, portando o delay acumulado será de
20100. Agora vamos aplicar a fórmula conforme figura abaixo.

Note que o IOS faz um arredondamento dos números para que o resultado seja um número
inteiro, desconsiderando as casas decimais. Por isso, o valor de 10.000.000 divididos por 1544
ficou como 6476 e não como 6476,683937823834.

Como existe somente um caminho entre R1 e a rota 200.200.200.0, esta será a melhor métrica
calculada, chamada de distância viável ou “Feasible Distance” (FD) e será inserida na tabela
de roteamento.

R1#sho ip route eigrp


D 200.200.200.0/24 [90/2172416] via 10.0.2.2, 00:05:16, Serial0/0/0
R1#

Esta mesma rede é anunciada pelo roteador R2 para o R1 com uma métrica da rota
diretamente conectada, ou seja, {[(10.000.000 / 100.000) + (100/10)]*256} =
[(100+10)*256] = 28160.

Quando o R1 receber essa métrica ele irá registrar em seu banco de dados topológico como a
distância reportada ou anunciada (Reported Distance – RD ou Advertised Distance -
AD) dessa rota.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 160


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

R1#sho ip eigrp topology


IP-EIGRP Topology Table for AS 100/ID(10.0.2.1)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,


r - Reply status

P 10.0.0.0/24, 1 successors, FD is 28160


via Connected, FastEthernet0/0
P 10.0.2.0/24, 1 successors, FD is 2169856
via Connected, Serial0/0/0
P 200.200.200.0/24, 1 successors, FD is 2172416
via 10.0.2.2 (2172416/28160), Serial0/0/0
R1#

Lembre-se que a distância reportada é a melhor métrica que o vizinho calculou para a mesma
rede e juntamente com a distância viável (FD) é utilizada pelo DUAL para definir se a rota pode
ser armazenada como um caminho alternativo (rota backup – Feasible Successor).

Você notará na prática que a distância reportada que aparece na tabela de topologia de um
roteador é igual ao valor da distância viável dos vizinhos, ou seja, a distância reportada é o
valor que aparece na métrica da tabela de roteamento dos vizinhos!

Você pode montar a topologia desse exemplo e fazer uma configuração básica no packet tracer
(ou se você preferir pode utilizar o GNS3) para confirmar as contas. O fazer uma topologia
própria, fazer os cálculos e confirmar se realmente aprendeu o conceito.

No exame não será cobrado como fazer essas contas das métricas do EIGRP, mas sim o
conceito do cálculo, pois na prática você precisa entender como o protocolo de roteamento se
comporta, assim como os parâmetros de decisão de melhor rota em cada um deles.

2.8 EIGRP - Exemplo Prático

Vamos analisar um exemplo prático conforme a topologia mostrada. Nesse exemplo para a rede
LAN RA alcançar a rede LAN RB existe dois caminhos possíveis. Um via um link serial de
800kbps e outro por uma interface LAN de 100Mbps. Acompanhe a análise do comando.

Para o roteador RA alcançar a rede LAN de RB ele tem duas opções colocadas na tabela de
topologia:

1. Via 10.0.10.2 (LAN RA – RB) com FD 30720 e RD 28160


2. Via 10.0.0.10 (Rede WAN RA- RB) com FD 3714560 e RD 28160

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 161


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Portanto, a rota principal será via a LAN que está conectada entre RA e RB, pois sua distância
viável é menor que a segunda opção.

Mas será que a segunda rota pode ser backup da principal? Uma Feasible Successor? Para
saber temos que analisar sua distância reportada.

Nesse caso ela é menor que a distância viável da rota principal (RD<FD = 28160<30720),
atendendo a Feasible Condition e permanecendo na tabela de topologia como rota sucessora
viável, ou seja, uma rede backup que assumirá o lugar da principal em caso de queda sem
necessidade do DUAL ser envolvido.

Caso a feasible condition não seja atendida mesmo que exista um caminho alternativo as
rotas não serão consideradas backups e não ficarão na tabela de topologia, pois a feasible
condition exige que tenhamos uma rota alternativa livre de loops. Resumindo, essa comparação
garante que a rota que será utilizada como alternativa não tem chance de gerar um loop de
roteamento ao ser utilizado.

A tabela de topologia é mostrada com o comando “show ip eigrp topology”, veja exemplo
tirado da topologia que analisamos nesse exemplo.

RA#sho ip eigrp topology


IP-EIGRP Topology Table for AS 100

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,


r - Reply status

P 10.0.1.0/24, 1 successors, FD is 28160


via Connected, FastEthernet0/0
P 10.0.0.8/30, 1 successors, FD is 3712000
via Connected, Serial0/0/0
P 10.0.2.0/24, 1 successors, FD is 30720
via 10.0.10.2 (30720/28160), FastEthernet0/1
via 10.0.0.10 (3714560/28160), Serial0/0/0
### Saídas Omitidas ###

Vamos analisar a tabela de roteamento em RA e RB.

RA#show ip rou
### Saídas Omitidas ###

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks


C 10.0.0.8/30 is directly connected, Serial0/0/0
C 10.0.1.0/24 is directly connected, FastEthernet0/0
D 10.0.2.0/24 [90/30720] via 10.0.10.2, 00:01:47, FastEthernet0/1
C 10.0.10.0/24 is directly connected, FastEthernet0/1
192.168.1.0/32 is subnetted, 1 subnets
C 192.168.1.1 is directly connected, Loopback0
D*EX 0.0.0.0/0 [170/8322560] via 10.0.10.2, 00:01:48, FastEthernet0/1
RA#

Note que a métrica da rota para a rede 10.0.2.0/24 é a feasible distance (FD) calculada na
tabela de topologia. Agora vamos verificar a tabela de RB, onde a rede 10.0.2.0/24 é
diretamente conectada, por isso não vamos conseguir verificar a FD da rota na saída desse
comando.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 162


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

RB#sho ip route
### Saídas Omitidas ###

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks


C 10.0.0.8/30 is directly connected, Serial0/0/0
D 10.0.1.0/24 [90/30720] via 10.0.10.1, 00:03:54, FastEthernet0/1
C 10.0.2.0/24 is directly connected, FastEthernet0/0
C 10.0.10.0/24 is directly connected, FastEthernet0/1
C 192.168.1.0/24 is directly connected, Loopback0
S* 0.0.0.0/0 [1/0] via 10.0.0.9
RB#

Para ver a FD da rota 10.0.2.0/24 precisamos verificar a tabela de topologia em RB, veja
abaixo onde temos que a FD em RB é realmente igual ao RD dessa rota em RA.

RB#show ip eigrp topology


IP-EIGRP Topology Table for AS 100

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,


r - Reply status

P 10.0.2.0/24, 1 successors, FD is 28160


via Connected, FastEthernet0/0

### Saídas omitidas ###

Na figura a seguir você pode visualizar o funcionamento geral do DUAL quando a rota principal
é perdida.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 163


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3 Comandos e Configurações do EIGRP


Os comandos e maneira de configurar o EIGRP são bem mais simples que para o OSPF e bem
semelhantes à configuração do RIP versão-2.

Para configurar o EIGRP básico siga as instruções abaixo.

1. Configurar uma interface de loopback (opcional – semelhante ao que fizemos para o OSPF).
2. O bandwidth default da interface serial é T1 (1.544MB), verifique se está correto e se
preciso utilize o comando bandwidth nas interfaces seriais para alterar para o valor.
3. Ative o EIGRP definindo o ASN (número de AS) que deve coincidir com todos routers da
rede à R1(config)#router eigrp 100
4. Configurar opcionalmente o ID do roteador EIGRP (router ID) com o comando “R1(config-
router)#eigrp router-id 1.1.1.1”. Se não for definido o RID do roteador EIGRP será o
maior IP da loopback, se a loopback não estiver configurada será o maior IP entre das
interfaces configuradas e ativas (mesmo padrão do OSPF).
5. Inserir as interfaces no processo de roteamento do EIGRP:
a. Método 1: anunciando as redes classfull diretamente conectadas (classe cheia e não
sub-redes) que fazem parte do EIGRP com o comando network à as redes
determinam as interfaces que farão parte do EIGRP à (config-router)#network
192.168.1.0
b. Método 2: utilizando o comando network seguido de uma máscara coringa para
definir as interfaces que farão parte do processo de roteamento, similar ao que
fizemos para o OSPF.
6. Utilizar o comando “no auto-summary” para evitar a sumarização automática de rotas
para rede classful. Esse comando já pode estar definido como padrão em versões de Cisco
IOS mais recentes.
7. Utilizar o comando “passive-interface” para suprimir anúncios em interfaces LAN ou WAN
que não tem roteadores conectados (comando opcional com mesma função estudada para o
OSPF).

Vamos a um exemplo de configuração utilizando a topologia da figura com número de AS 100


utilizando redes classful para definir as interfaces que participarão do processo do EIGRP no
comando network (método 1).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 164


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Configuração do roteador RA:

interface FastEthernet0/0
ip address 10.0.1.1 255.255.255.0
!
interface FastEthernet0/1
ip address 10.0.10.1 255.255.255.0
!
interface Serial0/0/0
ip address 10.0.0.9 255.255.255.252
Bandwidth 800
!
Router eigrp 100
Network 10.0.0.0
Passive-interface fast0/0
No auto-summary

Configuração do roteador RB:

interface FastEthernet0/0
ip address 10.0.2.1 255.255.255.0
!
interface FastEthernet0/1
ip address 10.0.10.2 255.255.255.0
!
interface Serial0
bandwidth 800
ip address 10.0.0.10 255.255.255.252
!
Router eigrp 100
Network 10.0.0.0
Passive-interface default
No passive-interface fast 0/1
No passive-interface serial 0/0/0
No auto-summary

Note que o comando passive-interface para evitar que adjacências sejam formadas em
interfaces que não possuem roteadores vizinhos conectados pode ser inserido de duas
maneiras. A primeira delas é desativando por interface, como realizado em RA com o comando
“passive-interface”. Outra forma é desativando hellos em todas as interfaces e depois ativando
somente nas interfaces necessárias, como realizado em RB com os comandos “passive-interface
default” e “no passive-interface” respectivamente.

Podemos também utilizar máscaras curinga para definir as interfaces do EIGRP, veja como
ficaria a configuração utilizando o método de selecionar a sub-rede da interface (diminuindo o
broadcast da máscara de sub-rede da interface).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 165


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Configuração do roteador RA:

interface FastEthernet0/0
ip address 10.0.1.1 255.255.255.0
!
interface FastEthernet0/1
ip address 10.0.10.1 255.255.255.0
!
interface Serial0/0/0
ip address 10.0.0.9 255.255.255.252
Bandwidth 800
!
Router eigrp 100
network 10.0.0.8 0.0.0.3
network 10.0.1.0 0.0.0.255
network 10.0.10.0 0.0.0.255
passive-interface fast0/0
No auto-summary

Configuração do roteador RB:

interface FastEthernet0/0
ip address 10.0.2.1 255.255.255.0
!
interface FastEthernet0/1
ip address 10.0.10.2 255.255.255.0
!
interface Serial0
bandwidth 800
ip address 10.0.0.10 255.255.255.252
!
Router eigrp 100
Network 10.0.2.0 0.0.0.255
Network 10.0.10.0 0.0.0.255
Network 10.0.0.8 0.0.0.3
Passive-interface fast0/0
No auto-summary

Poderíamos também inserir os endereços IP específicos de cada interface que precisa ser
adicionada no processo de roteamento, veja exemplo abaixo para o roteador RB:

Router eigrp 100


Network 10.0.2.1 0.0.0.0
Network 10.0.10.2 0.0.0.0
Network 10.0.0.10 0.0.0.0
No auto-summary

Nessa configuração utilizamos a máscara curinga de host (0.0.0.0) e temos que definir todos os
IPs (um a um ) do roteador, mesmas regras que utilizamos para calcular as máscaras curingas
do OSPF sem o conceito de áreas.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 166


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.1 Introdução aos Comandos show do EIGRP

Os comandos show serão retirados da mesma topologia configurada anteriormente.

Com o comando “show ip route” verifique se a tabela de roteamento está com as rotas para
todos os destinos. Nesse caso devemos encontrar apenas a rota para a LAN de RB no router RA
e a LAN de RA no router RB via EIGRP, as demais rotas são diretamente conectadas.

Note que a distância administrativa da rota aprendida é90 e a Feasible Distance (distância
viável), a qual é a métrica com custo mais baixo para a rede LAN do RB, tem o valor 30720.
Além disso, você consegue verificar que o roteador pegou a saída via interface Fastethernet ao
invés da rede WAN: via 10.0.10.2, 00:54:26, FastEthernet0/1.

RA#sho ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks


C 10.0.0.8/30 is directly connected, Serial0/0/0
C 10.0.1.0/24 is directly connected, FastEthernet0/0
D 10.0.2.0/24 [90/30720] via 10.0.10.2, 00:54:26, FastEthernet0/1
C 10.0.10.0/24 is directly connected, FastEthernet0/1
192.168.1.0/32 is subnetted, 1 subnets
C 192.168.1.1 is directly connected, Loopback0
RA#

Para verificar a tabela de vizinhos entre com o comando “show ip eigrp neighbors”. É
importante lembrar que se um vizinho não aparece nessa tabela de vizinhança existe um
problema de configuração nele ou no seu roteador. Veja com o comando “show running-
config” se todas as redes foram anunciadas corretamente.

Os dois IP’s do roteador RB foram colocados na tabela de vizinhança. Seguem os principais


campos encontrados nesse comando:

RA#show ip eigrp neighbors


IP-EIGRP neighbors for process 100
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.0.0.10 Se0/0/0 13 00:59:53 40 1000 0 12
1 10.0.10.2 Fa0/1 10 00:58:06 40 1000 0 13

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 167


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Legenda das informações da saída do comando:

 Address: Endereço de rede do vizinho (IP);


 Q (Queue): Fila de pacotes esperando para serem enviados (0 é normal);
 SRTT (Smooth Round Trip Timer): O tempo mais rápido que enviou e recebeu um
pacote;
 Hold Time: Tempo máximo até colocar o vizinho em OFF, geralmente 3x o tempo do
Hello;
 Uptime: quanto tempo os roteadores trocam pacotes sem perder comunicação
completa.

Para verificar a tabela de topologia utilize o comando “show ip eigrp topology”.

RA#show ip eigrp topology


IP-EIGRP Topology Table for AS 100

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,


r - Reply status

P 10.0.1.0/24, 1 successors, FD is 28160


via Connected, FastEthernet0/0
P 10.0.0.8/30, 1 successors, FD is 3712000
via Connected, Serial0/0/0
P 10.0.2.0/24, 1 successors, FD is 30720
via 10.0.10.2 (30720/28160), FastEthernet0/1
via 10.0.0.10 (3714560/28160), Serial0/0/0
P 10.0.10.0/24, 1 successors, FD is 28160
via Connected, FastEthernet0/1
RA#

A tabela de topologia do EIGRP traz as informações sobre todas as rotas aprendidas e seus
caminhos. Lembrando que as que entrarão na tabela de roteamento são as com MENOR métrica
por rede, por exemplo, olhe a saída para a rede 10.0.2.0/24:

P 10.0.2.0/24, 1 successors, FD is 30720


via 10.0.10.2 (30720/28160), FastEthernet0/1
via 10.0.0.10 (3714560/28160), Serial0/0/0

O campo grifado é a distância viável (feasible distance), portanto a saída nos mostra que a rede
10.0.2.0/24 pode ser alcançada pelo vizinho 10.0.10.2 através da interface local fast 0/1 com
FD 30720. Já a segunda linha nos mostra que a mesma rota está disponível pelo gateway
10.0.0.10, que está conectado à interface local serial 0/0/0, com a FD 3714560. Como a saída
por 10.0.10.2 tem a menor métrica (que é a feasible distance – FD) ela é instalada na tabela de
roteamento. Esta rota principal é também chamada pelo EIGRP de rota sucessora (successor).

Mas e a rota por 10.0.0.10 é uma rota backup, ou seja, pode ser uma sucessora viável (feasible
successor)? Aí a comparação é feita entre a distância reportada dela, que está logo depois da
sua distância viável, ou seja, o valor 28160 (“via 10.0.0.10 (3714560/28160), Serial0/0/0”).
Com a distância viável da melhor rota, ou seja, a métrica de 30720, se a comparação atender a
Feasible Condition (Condição de Viabilidade - distância reportada deve ser menor que a
distância viável ou RD<FD) a rota é considerada uma sucessora viável.

Nesse caso o RD é 28160 e o FD 30720, portanto como a distância reportada é menor que a
distância viável esse segunda rota é considerada uma rota sucessora viável e se a rota principal
cair, essa segunda rota será acionada sem a necessidade de recálculo por parte do DUAL, ou
seja, o backup entra instantaneamente sem perda de pacotes.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 168


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Na figura a seguir podemos ver os campos detalhados da saída do comando “show ip eigrp
topology”.

3.2 Opções Adicionais de comandos Show e Debug para o EIGRP

O EIGRP tem duas opções de debug para o caso de necessidade de análises mais aprofundadas
bem interessantes:

RA#debug eigrp ?
fsm EIGRP Dual Finite State Machine events/actions
packets EIGRP packets
RA#debug eigrp packets
RA#debug eigrp fsm

O debug eigrp fsm traz as mensagens do DUAL, sendo mais aconselhável para resolver
problemas de roteamento, e o debug eigrp packets mostra a troca de pacotes do EIGRP,
sendo utilizado para problemas gerais de formação de adjacência e troca de pacotes.

Outro comando que pode ser utilizado para verificar uma rota do EIGRP é para detalhar uma
determinada rota com o “show ip eigrp topology 192.168.1.0/24”. Nesse exemplo vamos
detalhar a tabela de topologia da rede 192.168.1.0 /24. Veja um exemplo do comando ao lado.

R1>show ip eigrp topology 192.168.1.0/24


IP-EIGRP (AS 100): Topology entry for 192.168.1.0/24
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 2172416
Routing Descriptor Blocks:
192.168.2.2 (Serial0/1), from 192.168.2.2, Send flag is 0x0
Composite metric is (2195456/281600), Route is Internal
Vector metric:
Minimum bandwidth is 1544 Kbit
Total delay is 21000 microseconds

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 169


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 1
192.168.2.10 (Serial0/0), from 192.168.2.10, Send flag is 0x0
Composite metric is (2707456/2195456), Route is Internal
Vector metric:
Minimum bandwidth is 1544 Kbit
Total delay is 41000 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 2

Note que no início do comando temos que essa rota tem apenas uma saída (1 successor) com
distância viável (FD) 2172416. Porém, abaixo vemos que existem dois caminhos possíveis para
a rede 192.168.2.0 /24, uma através da serial 0/1 e outro pela serial 0/0. Porém, o caminho
escolhido é através da serial 0/0, pois esse caminho é quem tem a FD igual a anunciada no
início do comando -> “1 Successor(s), FD is 2172416 = 192.168.2.10 (Serial0/0) ...
Composite metric is (2707456/2195456)”.

Os parâmetros utilizados e os que poderiam ser utilizados no cálculo da métrica são mostrados
logo abaixo:

1. Largura de banda: Minimum bandwidth is 1544 Kbit


2. Atraso do caminho: Total delay is 41000 microseconds
3. Confiabilidade: Reliability is 255/255
4. Carga: Load is 1/255
5. MTU: Minimum MTU is 1500

Além disso, na última linha de cada caminho temos a quantos saltos o roteador está dessa rede
de destino: “Hop count is 2”, nesse caso são dois saltos até o destino.

Você pode utilizar também o comando “show ip protocols” para verificar a configuração geral
do EIGRP, assim como fizemos para o RIP e OSPF. Veja um exemplo do comando na figura a
seguir, onde podemos verificar o número do AS que o EIGRP foi configurado e as constantes K
utilizadas na métrica (padrão k1,k3=1 e k2,k4,k5=0).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 170


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Abaixo seguem as informações mais importantes descritas:

Número de saltos permitidos (contagem ao infinito) configurada com o padrão 100, podendo ir
até 255:
 EIGRP maximum hopcount 100

Variância (comando variance) está configurada com o padrão “1”, podendo ir até “128”:
 EIGRP maximum metric variance 1

O comando auto-summary foi desabilitado (sumarização automática de rotas):


 Automatic network summarization is not in effect

Permitindo balanceamento de carga com até 4 rotas, o que é padrão do EIGRP, podendo ir até
6:
 Maximum path: 4

Rotas que estão anunciadas no comando Network:


 Routing for Networks:
o 10.0.0.0
o 192.168.2.0

Vizinhos diretamente conectados que estão trocando informações de roteamento via EIGRP:
 Routing Information Sources:
o Gateway Distance Last Update
o 192.168.2.10 90 01:32:24
o 192.168.2.2 90 01:32:24

Distância administrativa configurada está com o padrão de 90 para rotas internas e 170 para
rotas aprendidas por outros protocolos de roteamento (fontes externas com o comando
Redistribute):
 Distance: internal 90 external 170

3.3 Configurações Adicionais do EIGRP

Uma configuração interessante é a da largura de banda máxima que o EIGRP vai utilizar da
interface. Por padrão, o EIGRP utilizará somente até 50% da largura de banda de uma
interface para informações de EIGRP.

Você pode alterar esse valor com o comando abaixo para cada interface:

Router(config-if)#ip bandwidth-percent eigrp as-number percent

Por exemplo, para alterar o máximo para 30% no EIGRP com AS 100:

Router(config-if)#ip bandwidth-percent 100 30

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 171


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.4 Balanceamento de Cargas com EIGRP

O balanceamento de carga é uma propriedade do RIP, OSPF e EIGRP utilizar links


backup para compartilhar o envio de dados. Veja a figura ao lado com um exemplo de
balanceamento de carga de custos iguais por pacotes.

Quando o protocolo de roteamento ativa o balanceamento de carga em dois ou mais links se


um host envia pacotes para uma rede de destino o roteador divide os pacotes (per packet) ou
fluxos (per destination – por destino) entre as interfaces balanceando (dividindo) o envio
dos pacotes (carga) entre esses caminhos.

No balanceamento de carga por pacotes os roteadores enviam um pacote para cada interface
que participa do processo. Já por fluxo (ou destino) o balanceamento de carga é realizado por
conexão TCP ou UDP aberta, ou seja, se um usuário solicitou uma página de internet aquele
fluxo vai seguir até o final por um link, quando um segundo usuário abrir outra sessão na
sequência o fluxo dele será encaminhado ao segundo link. O tipo de balanceamento de carga
depende do tipo do encaminhamento de pacotes que está configurado nas interfaces do
roteador. No process switching você terá balanceamento de carga padrão por pacotes, já
para o fast switching e CEF o padrão é balanceamento de carga por destino.

O comando para habilitar o process switching é o “no ip route-cache”, para habilitar o fast
switching é o “ip route-cache” e para habilitar o CEF “ip route-cache cef” inserido em
modo de configuração de interface. Veja exemplo abaixo onde deixamos a interface fast0/0
com process switching, a fast0/1 com fast switching e a fast 1/0 como CEF:

Router# config t
Router(config)# interface fast 0/0
Router(config-if)# no ip route-cache
Router(config)# interface fast 0/1
Router(config-if)# ip route-cache
Router(config-if)#
Router(config)# interface fast 1/0
Router(config-if)# ip route-cache cef

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 172


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Para configurar o modo de operação do balanceamento de carga por pacote ou por destino
utilize o comando “ip load-sharing” também em modo de configuração de interface. Veja um
exemplo abaixo:

R3(config-if)#ip load-sharing ?
per-destination Deterministic distribution
per-packet Random distribution

R3(config-if)#ip load-sharing per-packet


R3(config-if)#

Na tabela de roteamento visualizamos rotas balanceando carga através de múltiplas entradas


de roteamento para o mesmo destino.

RouterA#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is 192.168.1.2 to network 0.0.0.0

10.0.0.0/24 is subnetted, 5 subnets


C 10.0.0.0 is directly connected, FastEthernet0/0
C 10.0.1.0 is directly connected, FastEthernet0/1
R 10.0.2.0 [120/1] via 192.168.1.5, 00:00:10, Serial0/0/1
R 10.0.3.0 [120/1] via 192.168.1.5, 00:00:10, Serial0/0/1
R 10.0.4.0 [120/1] via 192.168.1.2, 00:00:11, Serial0/0/0
192.168.1.0/30 is subnetted, 3 subnets
C 192.168.1.0 is directly connected, Serial0/0/0
C 192.168.1.4 is directly connected, Serial0/0/1
R 192.168.1.8 [120/1] via 192.168.1.2, 00:00:11, Serial0/0/0
[120/1] via 192.168.1.5, 00:00:10, Serial0/0/1
R* 0.0.0.0/0 [120/1] via 192.168.1.2, 00:00:10, Serial0/0/0
RouterA#

3.4.1 Balanceamento de Cargas entre Rotas com Métricas Iguais

Por padrão os roteadores Cisco fazem o balanceamento de carga entre rotas de métricas de
mesmo custo (equal cost path).

Além disso, por padrão, os três protocolos fazem carga balanceada em 4 links de custos
iguais e podem utilizar no máximo de 6 links para compartilhar a carga. As configurações de
quantos links devem participar do balanceamento de carga está dentro do modo de
configuração de roteamento com o comando “maximum-paths” (padrão “maximum-paths
4”).

Nos tópicos anteriores estudamos que podemos verificar esse parâmetro no comando “show ip
protocols”. Na tabela de roteamento você consegue verificar o balanceamento de carga
através de entradas repetidas para a mesma rede com custos (métricas) iguais. Veja o exemplo
na figura ao lado.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 173


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que a rede 192.168.1.8 é alcançada pelo roteador a partir das interfaces seriais 0/0/0 e
0/0/1 com o mesmo custo “1”. Portanto 50% dos pacotes enviados para a rede 192.168.1.8
pelo roteador A saem pela serial 0/0/0 e os outros 50% pela serial 0/0/1, ou seja, um pacote
sai por uma interface e o seguinte pela outra e assim por diante.

Se houver balanceamento de carga com métricas iguais no OSPF ou EIGRP a visualização na


tabela de roteamento é semelhante, ou seja, irá aparecer a letra D (EIGRP) ou O (OSPF) com
mais de uma entrada para a rede após os parênteses da distância administrativa/métrica.
Repare na figura abaixo, nas entradas de roteamento grifadas referente à rede 192.168.1.8,
onde temos uma entrada RIP representada com R e dois caminhos para a mesma rota.

RouterA#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is 192.168.1.2 to network 0.0.0.0

10.0.0.0/24 is subnetted, 5 subnets


C 10.0.0.0 is directly connected, FastEthernet0/0
C 10.0.1.0 is directly connected, FastEthernet0/1
R 10.0.2.0 [120/1] via 192.168.1.5, 00:00:10, Serial0/0/1
R 10.0.3.0 [120/1] via 192.168.1.5, 00:00:10, Serial0/0/1
R 10.0.4.0 [120/1] via 192.168.1.2, 00:00:11, Serial0/0/0
192.168.1.0/30 is subnetted, 3 subnets
C 192.168.1.0 is directly connected, Serial0/0/0
C 192.168.1.4 is directly connected, Serial0/0/1
R 192.168.1.8 [120/1] via 192.168.1.2, 00:00:11, Serial0/0/0
[120/1] via 192.168.1.5, 00:00:10, Serial0/0/1
R* 0.0.0.0/0 [120/1] via 192.168.1.2, 00:00:10, Serial0/0/0
RouterA#

Essa propriedade melhora o uso dos links, pois diminui a sobrecarga de termos uma topologia
redundante com link principal e backup em espera (stand-by) entrando em atividade somente
em caso de problemas, assim como o balanceamento de carga evita que o link backup fique
ocioso.

Para desabilitar o balanceamento de carga basta utilizar o comando “maximum-paths 1”


(padrão é 4 e o máximo 6).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 174


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.4.2 Balanceamento de Cargas com Rotas de Métricas Diferentes


O Balanceamento de Cargas com Rotas de Métricas Diferentes (Unequal Cost Path Load
Balancing) é uma propriedade do protocolo EIGRP, a qual permite fazer balanceamento de
links de custos diferentes de acordo com a métrica da rota.

No balanceamento feito por links de custos diferentes os pacotes são enviados por turnos e o
número de pacotes enviados através de cada caminho é inversamente proporcional à métrica
da rota, ou seja, links com taxa de bit mais alta receberão mais pacotes que os de taxa mais
baixa.

Por exemplo, se temos um link de 128 kbps e um de 64 kbps compartilhando carga utilizando o
EIGRP e Unequal Cost Path Load Balancing o link de 128 kbps enviaria 2 pacotes aí o de 64
kbps enviaria 1 pacote, pois o link de 128k tem o dobro de velocidade do link de 64k
(mantendo uma relação de 2 para 1 entre os links). Esta operação evita os efeitos do atraso e o
recebimento de pacotes em ordem inversa na camada de transporte.

Para ativar o balanceamento em rotas de métrica diferentes no EIGRP devemos utilizar o


comando “variance” para adicionar outros links de custos diferentes criando uma margem a
ser considerada como load-balance.

Por exemplo, você tem um link com métrica 1000 como melhor rota e quer que uma rede em
um caminho com métrica 5500 seja utilizada para balancear carga, basta você utilizar o
variance com o valor 6, pois o EIGRP irá trabalhar com rotas que vão de 1000 a 6000 (1000*6
= 6000). Como o valor de métrica 5500 está na faixa a rota entrará na tabela de roteamento e
fará o balanceamento de cargas com a sucessora viável.

Portanto, o variance nada mais é que um multiplicador que pode ir de 1 (padrão – faz apenas
balanceamento de carga com rotas de métricas iguais) até 128 em números inteiros. Por
exemplo, se configurarmos o variance como 2 ele permite balanceamento de carga com
caminhos de métrica até o dobro da métrica do sucessor viável (rota principal originalmente
instalada na tabela de roteamento).

Veja a topologia na figura abaixo, nela temos três roteadores conectados via serial e o R2 tem
a saída para a Internet.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 175


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A largura de banda entre os roteadores R1/R2 e R2/R3 é de 1544 kbps (T1), já no link R1/R3
temos uma largura de banda de 64 kbps, portanto se você analisar a tabela de roteamento em
R1 na figura abaixo perceberá que não está ocorrendo balanceamento de carga para nenhuma
rede.

Porém, se analisarmos a saída do comando “show ip eigrp topology” na figura a seguir veremos
que existem rotas com duas possibilidades de caminho para envio dos pacotes para as redes
10.0.1.0 e 192.168.2.4.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 176


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Se quisermos que seja feito o balanceamento de carga entre essas duas rotas temos que
comparar a distância viável da rota sucessora com a distância viável da segunda rota com
métrica pior e achar um multiplicador para aplicar no variance.

Para a rede 10.0.1.0 a FD é 2.707.456 e a FD do segundo caminho é 40.537.600. Se você


dividir um pelo outro verá que a segunda rota tem um FD aproximadamente 15 vezes menor
que o da rota sucessora, por isso se você configurar o variance com o valor 15 essa rota
entrará na tabela de roteamento, indicando o balanceamento de carga. Veja a figura a seguir
com a configuração do variance e logo abaixo a saída do show ip route com a confirmação da
entrada da nova rota de maior métrica balanceando carga com a rota principal.

No exame de certificação os termos específicos do EIGRP podem ser utilizados para definir
esses parâmetros, pois a melhor (menor) métrica no EIGRP é chamada de distância viável (FD
– Feasible Distance), portanto podemos dizer que o variance é um multiplicador que atua
encima da distância viável, permitindo balanceamento de carga entre rotas com valor igual até
o valor do variance multiplicado pela distância viável.

O RIP e OSPF não suportam balanceamento de carga com caminhos de métricas diferentes
(Unequal Cost Path Load Balancing).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 177


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4 Troubleshooting em topologias com EIGRP


Abaixo segue um resumo dos pontos de atenção mais importantes relacionado ao EIGRP:

 Problemas básicos de camadas 1, 2 e 3 -> Muitas vezes o EIGRP não se comunica


porque temos cabos rompidos ou tipos de cabos errados nas conexões (por exemplo,
deveria ser um cabo cross e foi utilizado um direto). Na camada de enlace em interfaces
serias DCE falta o comando clock rate ou o tipo de protocolo em uma das pontas está
errado (encapsulation) e na camada de rede o IP/máscara das interfaces pode estar
errado, nesse caso o EIGRP avisa com uma mensagem de erro avisando que o vizinho
não está na mesma subrede: “IP-EIGRP(Default-IP-Routing-Table:100): Neighbor
192.168.2.10 not on common subnet for Serial0/0”. Tudo isso pode fazer com que
o EIGRP não consiga trocar mensagens de atualização e não suba corretamente, mesmo
que as configurações de roteamento estejam corretas.
 Configurações erradas -> Número de AS (Sistema Autônomo) configurado errado em
um ou vários roteadores e redes anunciadas erradas no comando network. Lembre-se
que o EIGRP tem o mesmo princípio de configuração do RIP, sendo preciso anunciar
apenas as redes classe cheia (A, B ou C) diretamente conectada, não anunciamos sub-
redes.
 Falta de configurações -> Redes não anunciadas ou faltantes no comando network e
falta do comando “no auto-summary” para evitar a sumarização automática de rotas,
causando problema de redes descontínuas.

Lembre-se em laboratórios simulados que cobram troubleshooting envolvendo protocolos de


roteamento que as configurações precisam estar corretas em ambos os lados. Por exemplo, se
uma rota não aparece em um router pode ser que o comando network não foi inserido no
vizinho que está gerando a informação de roteamento, porém se do outro lado a interface
estiver com o IP errado, mesmo corrigindo o roteador com o comando network faltante as rotas
do restante da topologia não serão visualizadas nesse roteador local até que o problema do IP
da interface remota seja corrigido. Portanto, em laboratórios de troubleshooting lembre-se de
verificar ambos os roteadores onde o problema está ocorrendo.

Além disso, em um laboratório simulado normalmente o problema está relacionado às


configurações, por isso conhecendo bem o script de configuração de cada protocolo de
roteamento e resolvendo os problemas por camada dificilmente você terá dificuldades em
resolver uma questão simulada de troubleshooting.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 178


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4.1 Resumo dos comandos show para troubleshooting do EIGRP

Estudamos durante esse capítulo diversos comandos show utilizados para verificar
configurações e estados do EIGRP, suas configurações, etc. Abaixo segue um resumo dos
comandos separados pelo uso dentro do processo de troubleshooting.

Lembre-se do processo básico para resolver problemas que estamos utilizando até o momento
de reconhecer como a rede deveria funcionar normalmente, depois identificar o problema e
encontrar a causa raiz.

No caso dos protocolos de roteamento seu objetivo final é inserir rotas para as redes de destino
das interfaces anunciadas no comando network, porém para que isso ocorra, tanto no EIGRP
como no OSPF, várias etapas devem ser cumpridas. Podemos separar essas etapas no EIGRP
conforme a figura anterior:

1. Configuração: ativação do EIGRP, declaração das interfaces no comando network e


opcionalmente utilizar o comando passive-interface para evitar estabelecimento de
vizinhanças em redes que não deveriam existir vizinhos.
2. Descoberta de vizinhos:Após a ativação das interfaces os roteadores devem descobrir
vizinhos com o protocolo de Hello.
3. Depois montar a tabela de vizinhança.
4. Trocar Updates de roteamento e montar um banco de dados topológico.
5. Utilizar o DUAL e montar a tabela de roteamento com as melhores rotas e a tabela
de topologia com as informações das melhores rotas (Successor) e rotas backup
(Feasible Successor).

Em cada uma dessas fases podem acontecer problemas que fazem que o EIGRP não funcione
corretamente e com os comandos show listado podemos identificar esses problemas.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 179


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por exemplo, um exercício pode fornecer um show running-config ou um laboratório simulado


que tem um roteador que não está trocando informações com seu vizinho. Como podemos
identificar a causa raiz e propor uma solução?

1. Verificando na configuração as condições de estabelecimento de vizinhança: EIGRP


declara com o mesmo ASN, interfaces diretamente conectadas entre os vizinhos na
mesma sub-rede e mesmos valores de K na fórmula da métrica.
2. Identificado um desses problemas encontramos uma possível causa raiz e resolver o
problema inicial.
3. Por exemplo, a sub-rede estava errada em um dos roteadores, você corrige na interface
e mesmo assim eles não sobem. Qual o provável problema agora?
4. Devemos verificar se as interfaces estão UP/UP e pingando, se está tudo OK a opção é
novamente na configuração relacionada ao passive-interface.
5. Portanto com o show running-config ou show ip protocols podemos verificar se a
interface não está passiva em uma das pontas.
6. Se estiver é só resolver o problema com o “no passive-interface”.
7. Vamos supor que o passive interface está correto e mesmo assim a vizinhança não sobe,
o que pode ainda estar acontecendo?
8. A opção mais provável é uma ACL bloqueando a troca de informações do EIGRP.
Portanto teríamos que verificar as ACLs com o show running-config ou show access-lists.

O exemplo citado acima é muito complexo para o nível das questões de prova, porém todos os
conceitos tratados acima poderiam ser cobrados em questões isoladas ou inseridos
parcialmente em um laboratório de troubleshooting.

Outra maneira de cobrar questões de troubleshooting é fornecer uma saída de comando show
inteira ou parcial e fazer perguntas sobre o que está sendo exibido. Por exemplo, pode ser
fornecido um show ip eigrp topology para que o aluno reconheça qual a rota sucessora, se
existem rotas backup (sucessoras viáveis), quais seriam sucessoras viáveis para determinadas
redes de destino, qual o IP de próximo salto se um pacote para um determinado destino fosse
recebido, etc.

Nas questões do nosso simulado procuramos inserir várias questões para que você possa
verificar o que pode ser pedido durante o exame e se habitue com os tipos de questões que
podem ser cobradas.

O importante é entender os requisitos de configuração e as fases de estabelecimento do


protocolo de roteamento para identificar as possíveis causas raízes e resolver os problemas
tanto na hora do exame como na vida prática como futuro CCNA Routing and Switching.

4.2 Identificando e Resolvendo problemas de vizinhança no EIGRP

Lembre-se que a formação de vizinhança no EIGRP é um processo mais simples que o realizado
pelo OSPF e tem menos exigências também, as quais são:
1. Mesmo ASN na declaração inicial do EIGRP.
2. Interfaces diretamente conectadas entre os vizinhos na mesma sub-rede e devidamente
anunciadas com o comando Network.
3. Mesmos valores de K na fórmula da métrica (não é foco desse exame e sim do CCNP
Route).
4. Interfaces com problemas na configuração do comando passive-interface.

Para identificar problemas com o ASN podemos verificar a running-config de ambos os


vizinhos para comparar o valor inserido no comando “router eigrp num-as”, sendo que o
num-as (número do AS) deve ser o mesmo em TODOS os roteadores do mesmo domínio de
roteamento EIGRP.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 180


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Além do show running-config, para verificar o ASN configurado podemos utilizar o “show ip
protocols” para verificar tanto o ASN como as interfaces anunciadas no processo de
roteamento do EIGRP via comando network, assim como interfaces passivas e valores de K
utilizados no cálculo da métrica. Veja exemplo abaixo.

Routing Protocol is "eigrp 100"


Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Default networks flagged in outgoing updates
Default networks accepted from incoming updates
Redistributing: eigrp 100
EIGRP-IPv4 Protocol for AS(100)
Metric weight K1=1, K2=0, K3=1, K4=0, K5=0
NSF-aware route hold timer is 240
Router-ID: 192.168.3.1
Topology : 0 (base)
Active Timer: 3 min
Distance: internal 90 external 170
Maximum path: 4
Maximum hopcount 100
Maximum metric variance 1

Automatic Summarization: disabled


Maximum path: 4
Routing for Networks:
192.168.1.0
192.168.2.0
192.168.3.0
Passive Interface(s):
GigabitEthernet0/0
Routing Information Sources:
Gateway Distance Last Update
Distance: internal 90 external 170

R2#

Problemas com interfaces EIGRP primeiro pode ser o endereço e máscara configurado, pois os
vizinhos devem estar na mesma sub-rede. Para verificar esse problema podemos utilizar o
show running-config, show interfaces ou show ip interface brief (porém não mostra a máscara
só o IP). Para resolver é só reconfigurar o comando “ip address” dentro da interface.

O EIGRP só forma vizinhança com IPs primários, se você utilizar um IP secundário ele não
formará a vizinhança, é importante lembrar desse detalhe!

Sobre problemas com a declaração das interfaces via comando network, lembre-se que no
EIGRP podemos utilizar esse comando de duas formas, sendo que a mais simples é utilizando
as redes classful diretamente conectadas apenas, sem anunciar sub-redes.Outra forma seria
utilizando a máscara curinga para fazer anúncios mais precisos, ou seja, para selecionar as
interfaces que farão parte do processo de roteamento e terão suas redes anunciadas no EIGRP
de forma mais precisa.

Utilizando máscaras curingas podemos anunciar as sub-redes (fazendo a conta do broadcast


menos a sub-rede da interface) ou anunciar os IPs específicos das interfaces utilizando a
máscara curinga de host (0.0.0.0).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 181


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Para verificar as interfaces que estão anunciadas no comando network e fazem parte do
processo de roteamento você pode utilizar o comando “show ip eigrp interfaces”, porém as
interfaces passivas não são mostradas. Veja exemplo a seguir.

R2#show ip eigrp interfaces


EIGRP-IPv4 Interfaces for AS(100)
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Se1/0 0 0/0 0 0/1 0 0
Se1/1 0 0/0 0 0/1 0 0
R2#

Sobre o passive interface vale a mesma recomendação feita sobre a forma de configuração,
pois podemos tirar cada interface via “passive-interface” ou desabilitar todas com o
“passive-interface dafault” e ativar uma a uma com o “no passive-interface”. Você deve
analisar qual o caso se cair exercício com esse conceito através do show running-config.

O comando “show ip eigrp interfaces” também permite identificar as interfaces que não
estão com passive-interfaces, pois ele mostra todas as interfaces EIGRP ativas e que não estão
passivas.

Sobre vizinhança mostramos tudo que pode ser utilizado e cobrado no exame, assim como
ferramentas que podem ajudá-lo na prática a resolver problemas no seu dia a dia.

4.3 Entendendo problemas com redes descontínuas e autossumarização

A autossumarização ou, em inglês, Autosummarization é o recurso que permite ao EIGRP,


por padrão, fazer o anúncio de apenas uma ou mais redes classful que deram origem às
eventuais sub-redes utilizadas nas interfaces que foram incluídas no processo de roteamento
via comando network.

Em termos de Cisco IOS, esse comando vinha habilitado por padrão em versões 12.x mais
antigas. No entanto, para verões mais novas a autossumarização já vem desabilitada por
padrão, não sendo necessário preocupar-se com o problema que ela pode gerar. Apesar disso,
precisamos estar preparados para responder perguntas sobre o assunto e resolver problemas
relativos à autossumarização que podem ser cobrados no exame.

O problema ocorre com a autossumarização quando temos redes descontínuas.Vamos entender


melhor o que os termos “redes contínuas” e “redes descontínuas” representam:

 Redes Contínuas (Contiguous network): uma rede cujos pacotes são enviados entre
pares de sub-redes que pertencem à mesma rede classful, sem passar por sub-redes ou
redes de outras redes classful.
 Redes Descontínuas (Discontiguous network): a rede classful que o pacote está
sendo enviado passa por pelo menos um par de sub-redes com a rede classful diferente.

Vamos a uma figura para ilustrar melhor o que é uma rede descontínua.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 182


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A descontinuidade se dá na figura anterior entre R2 e R3 passando por dois links através de R2


que estão na sub-rede da rede classful 172.16.0.0/16. Portanto quando R2 receber os anúncios
sumarizados das sub-redes de R1 e R3 não saberá em que interface deverá vincular a rede de
destino 10.0.0.0/8, pois ele recebeu o mesmo anúncio por ambas as interfaces seriais.

Para evitar esse tipo de problema podemos durante a fase de projeto (design) evitar redes
descontínuas ou então utilizar o comando “no auto-summary” na configuração do protocolo
EIGRP, dessa maneira as redes das interfaces que foram inseridas no processo via comando
network serão anunciadas uma a uma e não de maneira sumarizada.

Na prática não é recomendada a utilização da sumarização automática e sim a manual, pois


permite ao administrador de redes anunciar rotas sumarizadas mais específicas, contendo
apenas as sub-redes que fazem parte de determinado segmento do domínio de roteamento.

4.4 Comandos Debug no EIGRP

Os comandos de debug no EIGRP são utilizados para visualizar a troca de informações em


tempo real do protocolo de roteamento e estão listados abaixo:

Matriz#debug ip eigrp ?
<1-65535> Autonomous System
neighbor IP-EIGRP neighbor debugging
notifications IP-EIGRP event notifications
summary IP-EIGRP summary route processing
vrf Select a VPN Routing/Forwarding instance

Matriz#debug eigrp ?
<1-65535> Autonomous System
fsm EIGRP Dual Finite State Machine events/actions
neighbors EIGRP neighbors
nsf EIGRP Non-Stop Forwarding events/actions
packets EIGRP packets
transmit EIGRP transmission events
vrf Select a VPN Routing/Forwarding instance
<cr>

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 183


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que existem duas formas de entrar com o comando: “debug eigrp” e “debug ip eigrp”. Os
que são mais utilizados são os descritos abaixo:

 debug eigrp packets: Mostra o a troca de pacotes referentes ao EIGRP.


 debug eigrp fsm: Mostra as mudanças entre uma rota EIGRP sucessora (successor) e
sua sucessora viável (feasible successor routes).
 debug ip eigrp: Mostra a troca dos pacotes do EIGRP, semelhante ao comando debug
eigrp packets command, porém especificamente para o protocolo IP. Você pode utilizar o
comando “debug ip eigrp 100” caso tenha mais de um processo EIGRP configurado no
roteador.

5 Resumo dos comandos de configuração do EIGRP para o exame


Abaixo segue a lista dos principais comandos do EIGRP para o exame de certificação ICND-2
(200-105) e CCNA Accelerated (200-125).

Comandos dentro do modo de configuração do roteador EIGRP (config-router).

 router eigrp autonomous-system -> ativa o processo do EIGRP para um


determinado número de AS (ASN). Lembrar que o ASN deve ser o mesmo em um
domínio EIGRP.
 network network-number [wildcard-mask] -> define as interfaces que farão parte
do processo de roteamento EIGRP. Podem ser anunciadas via uma rede classful ou
utilizando máscaras curinga para possibilitar anúncios mais restritos.
 variance multiplicador -> multiplicador que possibilita o balanceamento de carga
entre rotas de métricas diferentes no EIGRP. Apenas os roteadores FS (feasible
successor) podem entrar no balanceamento de cargas.
 maximum-paths num-de-caminhos -> define o número máximo de links que podem
fazer balanceamento de cargas caso o custo entre eles para uma mesma rede seja igual.
Por padrão vem configurado com o valor 4.
 [no] auto-summary -> desativa ou ativa a sumarização automática em redes classful.
 passive-interface tipo num -> desabilita envio e recebimento de hellos na interface
listada no comando.
 passive-interface default -> desabilita envio e recebimento de hellos em todas as
interfaces do roteador.
 no passive-interface tipo num -> ativa envio e recebimento de hellos em uma
interface desabilitada pelos dois comandos anteriores.

Comandos em modo de interface (config-if).

 bandwidth banda/kpbs -> as interfaces devem ter o comando bandwidth (Kbps)


definido ou senão a banda considerada na serial pelo OSPF será de um link T1
(1,5Mbps).
 delay valor-do-atraso -> permite alterar o valor do atraso nas interfaces em décimos
de microssegundos.
 ip hello-interval eigrp num-AS valor-em-seg -> permite alterar o temporizador de
hello dentro das interfaces. Não precisam ser iguais no EIGRP.
 ip hold-time eigrp num-AS valor-em-seg -> permite alterar o temporizador de Hold
(similar ao dead do OSPF) dentro das interfaces. Não precisam ser iguais no EIGRP.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 184


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

6 Resumo do Capítulo
Bem pessoal, chegamos ao final de mais um capítulo!

É muito importante que nesse ponto do curso você tenha domínio dos seguintes itens:

 Entender o funcionamento do EIGRP.


 Ser capaz de configurar topologias com EIGRP.
 Entender o funcionamento básico do EIGRP.
 Entender e configurar o balanceamento de carga no EIGRP.
 Entender e ser capaz de utilizar comandos show e debug para resolver problemas
básicos em redes EIGRP.
 Ser capaz de realizar troubleshooting na formação de vizinhança do EIGRP.
 Entender e resolver problemas com redes classful descontínuas.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 185


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Capítulo 5 - Wide-Area
Networks - WAN
Nesse capítulo iremos
estudar as redes de longa Objetivos do Capítulo
distância.
Ao final desse capítulo você terá estudado e
Veremos seus principais deverá compreender:
fundamentos e padrões.  Saber explicar os principais
componentes de uma rede WAN.
Estudaremos os princípios  Entender a terminologia utilizada em
de funcionamento redes WAN.
 Saber descrever o protocolo HDLC.
configurações e comandos
 Entender o fluxo de informações em
show/debug para camada 2 entre a LAN e WAN.
realização de  Entender o comando show interfaces
troubleshooting em redes e seus principais campos.
WAN com os protocolos  Saber diferenciar equipamento DTE e
HDLC, PPP, túneis GRE, DCE.
 Conseguir realizar uma configuração
PPPoE e eBGP Single
de interfaces seriais HDLC costa-a-
Homed. costa.
 Entender e configurar o protocolo
Também serão estudadas as
PPP com ou sem autenticação CHAP
mais utilizadas tecnologias e PAP.
de acesso privativo e  Entender as diversas opções de WAN
público para redes WAN para conectar unidades remotas.
disponibilizadas pelos  Entender e configurar o protocolo
provedores de serviço de PPPoE.
comunicação.  Entender e configurar o protocolo
eBGP Single Homed.
Aproveite o capítulo e bons  Conhecer os princípios de
estudos! funcionamento do MPLS e Metro
Ethernet, assim como opções de
banda larga.
 Saber fazer troubleshooting em
redes WAN utilizando comandos
show e debug ensinados no capítulo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 186


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Sumário do Capítulo 6.1 Teste de Loop em Interfaces Seriais 232


7 VPN - Virtual Private Networks ____ 235
1 Introdução às Redes de Longa Distância - 7.1 Fundamentos de VPN – Requisitos de
WAN _____________________________ 188 Segurança __________________________ 236
1.1 Exemplos de Topologias de Rede WAN 7.2 Dispositivos e Softwares para VPN 238
189
7.3 Protocolo IPSec ________________ 238
1.2 Terminologia Utilizada em WAN ___ 191
7.4 Criptografia IPSec_______________ 240
1.3 Conectando Roteadores via Serial em
Laboratório _________________________ 192 7.5 Conceitos e Configurações de Túneis
GRE 241
1.4 Links WAN e o Modelo OSI – Links
Seriais HDLC _________________________ 193 7.6 DMVPN - Cisco Dynamic Multipoint VPN
244
1.5 Enviando Informações Através da WAN
194 7.7 Considerações Finais sobre VPN ___ 246

1.6 Principais Topologias de WAN _____ 196 8 Opções de Serviços de WAN _______ 247

2 Interfaces de WAN _______________ 199 8.1 Opções de WAN Privativas _______ 248
8.1.1 Leased Lines – PPP e HDLC _______ 248
2.1 Interfaces Seriais _______________ 201 8.1.2 Circuitos Frame-Relay ___________ 249
8.1.3 MPLS - MultiProtocol Label Switching
3 Configurando Links Seriais HDLC____ 203 250
3.1 Verificando a Configuração do Protocolo 8.1.3.1 MPLS VPN e Protocolos de
IP das Interfaces _____________________ 206 Roteamento _________________________ 252
8.1.4 Metro Ethernet ________________ 254
3.2 Acrescentando um Link WAN HDLC na 8.1.4.1 Topologias Metro Ethernet _____ 256
Topologia ___________________________ 207 8.1.4.2 Bandwidth Profiles – Controlando a
largura de banda _____________________ 258
4 Configurando Links Seriais PPP _____ 211 8.1.5 VSAT – Links via Satélites _________ 259
4.1 Subcamadas do PPP e Inicialização _ 212 8.2 Opções de WAN Pública _________ 259
4.2 Inicialização do PPP _____________ 213 8.2.1 Acesso via Modem Discado e ISDN _ 260
8.2.2 Entendendo o Acesso Banda Larga xDSL
4.3 Entendendo a Autenticação no PPP 215 262
8.2.3 Entendendo o Acesso Banda Larga via
4.4 Configurando a Autenticação CHAP 217
Cable Modem __________________________ 264
4.4.1 Configurando a Autenticação PAP __ 219
8.2.4 Acesso Banda Larga Celular - 3G/4G 265
4.5 Analisando o Debug PPP Authentication
9 Configurando e Verificando o eBPG
220
Single Homed ______________________ 266
4.6 Analisando a Configuração do PPP _ 221
9.1 Configurações do eBGP Single Homed
4.7 Conceitos avançados sobre 268
Autenticação no PPP __________________ 222
9.2 Verificando o eBGP _____________ 271
4.8 Multilink PPP __________________ 223
4.8.1 Configurações e Comandos Show __ 223 10 Resumo dos Comandos de Configuração
do Capítulo________________________ 274
5 PPPoE – PPP Over Ethernet ________ 226
11 Resumo do Capítulo _____________ 275
5.1 PPPoE Cliente – Funcionamento e
Configurações _______________________ 228
5.2 Verificando o PPPoE _____________ 229
6 Troubleshooting em redes WAN ____ 231

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 187


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1 Introdução às Redes de Longa Distância - WAN


Nesse capítulo vamos estudar mais a fundo algumas tecnologias de WAN, assunto já abordado
no capítulo-4 do curso CCNA CCENT (ICND-1 exame 100-105).

Vamos inciar o capítulo fazendo uma breve revisão de alguns conceitos importantes para
entendermos melhor o posicionamento da WAN em uma topologia de rede, a terminologia e
relembrar o nome das interfaces que podemos utilizar para conectar links seriais nos roteadores
de acesso Cisco.

Basicamente faremos uma repetição da parte inicial do que estudamos no CCENT para depois
entrarmos nas configurações de linhas dedicadas seriais utilizando HDLC e PPP. Na sequência
estudaremos as configurações do frame-relay e veremos também as configurações do PPP over
Ethernet ou PPPoE, muito utilizado em redes do tipo xDSL e Clable para conexão de Internet.

A história da WAN ou Redes de Longa Distância começa em 1965 quando Lawrence Roberts e
Thomas Merril ligaram dois computadores, um TX-2 em Massachussets a um Q-32 na
Califórnia, através de uma linha telefônica de baixa velocidade, criando a primeira rede de área
alargada (WAN). Atualmente as redes WAN interligam redes situadas em localidades diversas e
são providas quase que em sua totalidade por operadoras de telecomunicações.

Atualmente a maior WAN que existe é a Internet, contendo milhares de roteadores e switches
para interconectar os diversos computadores espalhados ao redor do globo.

Falando em termos de mercado Brasileiro, a abertura do mercado das telecomunicações


proporcionou uma oferta maior de serviços cada vez mais variados para conectividade WAN.
Atualmente o investimento dessas empresas vem sendo focado na migração para redes MPLS,
fornecimento de VoIP e Telefonia IP, qualidade de serviço ou QoS e IPTV (TV via Internet), a
fim de atingir um número cada vez maior de usuários atraídos pelo custo cada vez menor
devido a concorrência na prestação destes serviços.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 188


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Portanto, podemos simplificar o conceito de WAN e dizer que ela interliga diversas LANs de uma
mesma empresa, formando a rede corporativa.

Para dar uma ideia de dimensão que uma WAN pode ter, na figura a seguir temos um mapa de
maioria dos links óticos (fibra óptica) que circulam o globo e fazem parte das conexões da
Internet e demais serviços globais de conexão.

Fonte: http://www.cablemap.info/ retirado 09-07-2013.

1.1 Exemplos de Topologias de Rede WAN

Na figura a seguir temos um exemplo de uma pequena empresa utilizando uma linha dedicada
para conectar apenas uma unidade remota utilizando um link serial ponto a ponto HDLC.

Agora na figura a seguir vamos analisar um exemplo de rede WAN mais complexo. Note que
temos uma empresa conectada a diversas unidades remotas utilizando variados tipos de acesso
WAN, tais como linhas privativas e circuitos VPN através da Internet.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 189


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que essa empresa possui uma Matriz (Unidade Central ou Headquarter) e quatro Unidades
Remotas (Remote Office ou Branch Office), além disso, ela possui funcionários que trabalham
remotamente ou atuam em campo e precisam acesso à rede corporativa para leitura de seus e-
mails ou acessar bases de dados corporativas.

Note que a Filial 1 utiliza um circuito dedicado (linha privativa) ponto a ponto, a qual pode
utilizar como protocolo de camada 2 o HDLC ou PPP, no caso da Cisco lembre-se que o HDLC é
proprietário. Já as Filiais 2 e 3 conectam-se à Matriz através de um backbone Frame-relay.
Além disso, a Filial 3 utiliza uma solução de backup discado, via uma linha telefônica digital
ISDN, para o caso da linha principal fique indisponível esse circuito é utilizado como
contingência. Note que a conexão é direta entre o roteador um dispositivo chamado RAS ou
Servidor de Acesso Remoto.

O RAS é um dispositivo que de um lado se conecta a rede tradicional de telefonia PSTN ou ISDN
e na outra ponta conecta-se à rede de dados da empresa, permitindo que usuários remotos ou
então unidades remotas conectem-se à rede de dados via um circuito discado, seja ele
analógico (PSTN) ou digital (ISDN ou RDSI). Nesse caso, temos um circuito de baixa velocidade
utilizado no caso de backup apenas para serviços essenciais ou troubleshooting da linha
principal.

Depois temos a conexão da Matriz com a Internet, sendo que nessa topologia para que os
computadores das Filiais 1 a 3 acessem a Internet deverão passar pela Matriz, pois eles não
têm acesso direto local.

Note que conectados à Internet temos uma Unidade Remota chamada Filial 4, a qual pode
acessar a rede corporativa (Intranet) através de um circuito VPN (Rede Virtual Privativa)
fechada entre o roteador local e o roteador Matriz. Algumas empresas fazem essa conexão com
um “Concentrado VPN” na Matriz, o qual tem a função de ponto único de acesso para todas
as conexões VPN da empresa, seja de Unidades Remotas com topologias site-to-site, como a
Filial 4, ou então de usuários remotos que trabalham em casa em Home-Office. Esse tipo de
funcionário que trabalha em sua residência possui um aplicativo VPN Client que permite a
conexão do seu computador de maneira segura com a rede interna da empresa.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 190


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Nesse segundo exemplo ilustramos uma topologia real de WAN de uma empresa de médio
porte, porém a rede WAN ainda depende do que as prestadoras de serviço conseguem
disponibilizar para cada localidade e também de quanto a empresa deseja investir em seus links
WAN.

Portanto, complexidade das topologias de rede depende do número de unidades conectadas e


porte de cada empresa.

Perceba também que um projeto de rede básico depende de uma topologia da rede local ou
LAN de cada unidade e do projeto da interconexão dessas LANs através de uma rede WAN.
Lembre-se que na maioria dos casos as redes WAN pertencem aos provedores de serviço e
existe um custo de instalação mais um valor mensal para uso dos serviços que sempre são
considerados na escolha da melhor opção em um projeto real.

No conteúdo do CCENT 100-105 estudamos conceitualmente as opções mais comuns e também


o protocolo HDLC. Agora, no CCNA ICND-2 (prova 200-105), vamos estudar como configurar
outras opções de WAN.

1.2 Terminologia Utilizada em WAN

A opção de WAN mais comum e mencionada em bibliografias de redes são as linhas privativas
ou circuitos dedicados.

Historicamente são utilizados vários termos para descrever esse tipo de serviço:

 Linha privada ou privativa ou circuito dedicado


 Link T1 ou E1
 Link serial, serial ponto a ponto ou simplesmente link ponto a ponto
 Link WAN

Os termos privativo ou dedicado vem


do conceito que uma linha privativa
não é compartilhada, por isso garante
a privacidade dos dados. Já os termos
E1 e T1 são tipos de circuitos
utilizados para possibilitar essas
conexões dedicadas através de redes
convencionais de Telecomunicações.

Os termos “serial” e “ponto a ponto” é


porque normalmente esse tipo de
circuito tem apenas dois pontos e
utiliza uma interface serial no roteador
para conexão com a rede do provedor
de serviços (ISP ou Service Provider).

Normalmente esse tipo de conexão


utiliza a topologia ao lado.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 191


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Para entender uma rede WAN temos que apresentar os principais termos envolvidos na figura
anterior:

 CPE (Customer Premises Equipment): Dispositivos localizados nas instalações do


assinante. Inclui os dispositivos de propriedade do assinante e os dispositivos que o
provedor de serviços aluga ao assinante. O roteador do cliente é um CPE.
 Demarcação (Demarc): O ponto onde o CPE termina e a parte do loop local do serviço
começa. Geralmente ocorre no POP de um prédio.
 Loop local ("last mile"): Cabeamento da demarcação até o escritório central do
provedor de serviços de WAN. Podem ser links metálicos (par metálico como HDLS e
ADSL), fibras ópticas, rádios digitais ou links via satélite.
 Switch da Operadora (CO - Central Office): Recurso de comutação que fornece o
serviço de WAN do provedor ao ponto de presença (POP) mais próximo. Switch é um
termo genérico, porém a rede da operadora de Telecom é composta por diversos
equipamentos como Multiplexadores DWDM, roteadores, switches, rádios, etc.
 Rede tarifada: O conjunto de switches e recursos (chamados de entroncamentos)
dentro da nuvem do provedor da WAN. O tráfego do cliente pode atravessar
entroncamentos de operadoras setoriais regionais e internacionais, à medida que a
chamada trafega o longo caminho até seu destino.
 CSU/DSU e Modem: o dispositivo que a operadora faz a entrega dos serviços no caso
das linhas privativas ou circuitos digitais é chamado de CSU/DSU (Unidade de Serviço de
Canal/Unidade de Serviço de Dados). No caso de linhas analógicas utiliza-se o termo
Modem no CCNA. No Brasil chamamos o CSU/DSU de Modem Digital, porém no CCENT e
CCNA o termo Modem é para linhas analógicas. O CSU/DSU é um dispositivo DCE,
enquanto o router ou CPE é DTE.

Na prática, as duas pontas de um circuito dedicado ponto a ponto tem a mesma estrutura,
sendo que as informações podem cruzar diversos dispositivos dentro do provedor de serviços
até alcançar o ponto remoto.

1.3 Conectando Roteadores via Serial em Laboratório

Você deve estar agora se perguntando o que a frase “O CSU/DSU é um dispositivo DCE,
enquanto o router ou CPE é DTE” significa se nunca ouviu falar desses termos DCE e DTE.

Em Telecomunicações a velocidade de leitura dos dados é que define a taxa ou velocidade em


bits por segundo. Mas quem define essa velocidade? É o roteador ou o CSU/DSU? Isso é
definido pelos padrões DCE e DTE, o DCE é o padrão utilizado pelos equipamentos de
comunicação e fornecem essa taxa de leitura chamada aqui de “clock rate”. Já um dispositivo
DTE recebe esse relógio (clock) e se sincroniza com o que o DCE está enviando.

Por esse motivo o equipamento do provedor de serviços é DCE e do cliente ou empresa é DTE,
senão como o provedor iria cobrar por velocidade se os clientes pudessem alterar ou mandar
nesse parâmetro?

Em topologias de laboratório não temos os CSU/DSUs disponíveis, por isso utilizamos um


artifício de colocar um cabo DCE em um dos roteadores e no outro um cabo DTE, simulando
uma conexão real, porém sem o uso de CSU/DSU. Essa topologia se chama back-to-back ou
costa a costa. Veja figura abaixo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 192


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Em ambientes de laboratório temos então que inserir um cabo do tipo DCE em um dos
roteadores e configurar a velocidade ou “clock rate” na interface onde esse cabo foi conectado
para que o link entre os roteadores funcione.

Na prática, links seriais dedicados utilizam interfaces seriais nos roteadores, chamadas de WIC
(WAN Interface Card) ou HWIC (High-Speed WAN Interface Card). Por exemplo, uma interface
HWIC-1T possui uma (1) interface serial (T).

O que define se a placa será DCE ou DTE é o tipo de cabo conectado. Em ambientes reais
utilizamos nos roteadores cabos DTE, os quais possuem dois modelos disponibilizados pela
Cisco dependendo do tipo de conector na placa serial:

 CAB-SS-V35-MT: cabo V.35 DTE macho com conexão smart-serial para o roteador,
normalmente utilizada com WIC-2T, HWIC-1T e HWIC-2T.
 CAB-V35-MT: cabo V.35 DTE macho com conexão DB-60 para o roteador,
normalmente utilizada com WIC-1T.

Portanto, os cabos descritos acima são os que ligam o roteador ao cabo DCE do CSU/DSU da
operadora de Telecom.

1.4 Links WAN e o Modelo OSI – Links Seriais HDLC

Os links WAN, tais como circuitos dedicados, fornecem conectividade física, ou seja, um meio
para transmissão pura e simples dos bits entre dois pontos.

Sabemos que isso não é suficiente, precisamos de um protocolo de camada 2 que monte um
quadro para que esses bits trocados possam ser interpretados, removido o cabeçalho e enviado
o pacote IP para a camada superior, lembre-se do processo de encapsulamento e
desencapsulamento que estudamos no capítulo 2.

Os dois protocolos mais utilizados nesse tipo de conexão são o Point-to-Point Protocol (PPP) e
High Level Data Link Control (HDLC).

O HDLC é um protocolo da camada de enlace de dados do modelo OSI com orientação bit a bit,
por isso ele pode ser utilizado em conexões seriais síncronas. O HDLC é um protocolo ponto a
ponto utilizado em linhas privadas e não possui qualquer método de autenticação.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 193


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Além disso, ele é um método de encapsulamento padrão utilizado em routers Cisco para
ligações através de ligações seriais síncronas. Portanto, sem configuração alguma uma interface
serial Cisco já vem com o protocolo HDLC ativo.

Ele é um protocolo proprietário e não funciona com interfaces de outros fabricantes, somente
entre roteadores Cisco. Abaixo segue o quadro do HDLC e a descrição dos seus campos.

 Flag: início e fim do quadro com o padrão 0x7E.


 Address: campo que identifica o tipo de quadro que está sendo enviado:
o 0x0F – Unicast.
o 0x80 – Broadcast.
 Controle (Ctrl): fixo em 0x00.
 Protocol: tipo de protocolo encapsulado no campo de dados, por exemplo, 0x0800 para
IPv4 (utiliza o mesmo padrão do ethernet).
 Data: dados da camada superior, por exemplo, um pacote IP.
 FCS: checksum para verificação de erros, similar ao utilizado pela Ethernet.

Quando dois roteadores configurados com HDLC trocam informações elas são encapsuladas
conforme o quadro mostrado acima.

A diferença do HDLC Cisco para o padrão definido pela ISO é um campo extra, mais
especificamente o campo Type, chamado aqui de Protocol, adicionado ao cabeçalho do HDLC
para possibilitar que os roteadores suportem diversos protocolos de camada-3 através
do link. Por exemplo, os roteadores Cisco podem passar pelo mesmo link HDLC pacotes dos
protocolos IPv4 e IPv6 porque o campo Type/Protocol identifica o tipo de protocolo e encaminha
a informação para a pilha correta na camada-3, ou seja, pacotes IPv4 vão para a versão 4 e do
IPv6 são encaminhados para serem roteados via IPv6.

1.5 Enviando Informações Através da WAN

Vamos agora entender a dinâmica de envio de informações iniciadas em um LAN e que


necessitam passar por uma WAN para chegar ao seu destino utilizando a topologia abaixo.

Nesse exemplo, o computador A deseja enviar informações para o computador B, porém os


dois estão separados por uma rede WAN que é um link serial entre os roteadores R1 e R2.

No capítulo que estudamos as redes e endereçamento IP você vai aprender que o computador
A tem um endereço da mesma rede que R1 e quando ele precisa falar para fora da sua rede o
R1 será o intermediário, chamado gateway ou roteador padrão. Portanto, quando A for enviar
pacotes para B ele irá direcioná-los para R1.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 194


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Ao chegar em R1 esses pacotes estão encapsulados em quadros ethernet, portanto R1 precisa


desencapsular, analisar o endereço IP de destino do pacote (computador B) e decidir para onde
encaminhar os pacotes.

Para tomar essa decisão R1 analisa sua tabela de roteamento e se tudo estiver correto
descobre que precisa encaminhar esse pacote IP pela interface serial que está conectada com
R2. Para isso R1 monta um quadro HDLC e coloca o pacote IP dentro do campo de dados do
HDLC (payload), enviando as informações para R2.

Quando R2 recebe esse quadro ele desmonta para obter o pacote IP, analisa o endereço IP de
destino do pacote e descobre que precisa enviá-lo para o computador B.

Como B está em uma LAN com padrão ethernet, R2 precisa agora montar um quadro ethernet
e enviar para B, que recebe o quadro e repassa para as camadas superiores tratarem das
informações e passarem para a aplicação de destino.

Claro que vários passos foram omitidos, os quais serão estudados no próximo capítulo mais
específico sobre TCP/IP, porém com o exemplo mostrado aqui você já pode notar um dos

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 195


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

segredos de sucesso do TCP/IP: “suportar diversos tipos de meio físico”, o que o torna um
protocolo de rede extremamente flexível, pois permite que as empresas, usuários e instituições
se conectarem a rede utilizando o mais variado tipo de tecnologias possíveis.

1.6 Principais Topologias de WAN

Normalmente as redes WAN podem ser conectadas em topologias padrões, as quais são
definidas pelas tecnologias de camada-2 que utilizamos.

As principais topologias que podemos citar, as quais fazem parte do ICND-2 e CCNAX, são:
 Ponto a ponto (point-to-point)
 Hub and Spoke
 Full mesh
 Single Homed
 Dual Homed

A ponto a ponto estudamos bastante tanto para WAN com HDLC como com PPP e PPPoE.

São redes que tem apenas dois pontos, portanto precisam de apenas dois endereços de
camada-3, normalmente redes /30 ou /31, apesar da última não ser tão comum em campo é
uma opção de uso se os roteadores suportarem essa máscara.

As redes Hub and Spoke são redes muito comuns nas tecnologias Frame-relay e DMVPN, onde
temos um roteador Hub ou matriz e vários Spokes ou unidades remotas.

Para que os Spokes falem entre si eles precisam passar pelo Hub, ou seja, o Hub faz o papel de
ponto focal da rede e tem a função de fazer acesso entre as unidades remotas ou até com
outros serviços de rede como a Internet.

Nesse tipo de topologia normalmente utilizamos uma rede IP que comporte o número de
componentes da rede, pois eles compartilham a mesma rede ou sub-rede IP. Veja no exemplo
abaixo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 196


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A topologia Hub and Spoke na realidade é uma topolgia “partial mesh”, ou seja, não tem a
totalidade de links interconectados entre si.

A topologia full meshed ou full mesh faz conexão de todos os links possíveis entre os sites da
empresa, ou seja, não é preciso de intermediário para que dois pontos se comuniquem como no
hub and spoke, pois todos os componentes da rede tem links entre si.

Veja exemplo abaixo onde fizemos as conexões faltantes para que o exemplo do hub and spoke
fosse convertido em uma rede full mesh. Note que agora existem links entre todas as unidades,
ou seja, não é necessário mais do Hub para que os spokes falem entre si.

Se você prestar bastante atenção a topologia parece o rosto de um palhacinho... só para


descontrair... (risos)

Em comparação a topologia full mesh é muito mais cara que a hub and spoke ou partial mesh,
pois ela vai precisar de muito mais links, sejam eles físicos ou virtuais, para completar a
topologia.

As topologias single e dual homed dizem sobre a conexão com a Internet pública via o
protocolo BGP.

Uma topologia single homed quer dizer que a empresa tem apenas um provedor de serviços e
um link entre eles.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 197


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O termo dual homed significa que existem dois links entre o ISP e a empresa. Note que os dois
links não precisam estar conectados ao mesmo roteador, abaixo temos três exemplos de
conexão dual homed, sendo que a mais segura em termos de disponibilidade de serviços é a
terceira, pois cada link está separado em roteadores distintos.

Se existem mais de um provedor de serviços e a empresa dizemos que temos um multihome


que pode ser single multi homed, ou seja, apenas um link entre a empresa e os diversos ISPs,
ou dual multi homed onde dois links são conectados entre os diversos ISPs e a empresa.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 198


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Nessa versão de CCNA R&S (exames ICND2 e CCNAX) estudaremos as configurações do BGP
limitada a especificamente ao eBGP com topologia single homed.

Sendo bem honesto, empresas que usam topologia single-homed com a Internet dificilmente
utilizam eBGP, pois preferem utilizar uma rota estática.

A ideia do BGP ter entrado no CCNA R&S é dar uma visão sobre o protocolo e suas
configurações iniciais, possibilitando que o candidato fique familiarizado com o protocolo e
possa dar pelo menos troubleshooting básico se precisar em sua vida prática, pois com o MPLS
tem crescido o uso do BGP na WAN.

2 Interfaces de WAN
Existem diversos tipos de interfaces para os roteadores Cisco, porém o foco do curso será em
interfaces do tipo serial, ethernet, fastethernet e gigabit ethernet.

Dependendo do modelo do roteador as interfaces podem ser de configuração fixa, ou seja, não
há possibilidade de escolha, ou inseridas através de “slots”.

Os roteadores da linha 2500 tem configuração fechada, por exemplo, o Cisco 2501 têm uma
interface ethernet e duas seriais. Já equipamentos como os da linha 1700, 1800, 2600 e
2800 permitem a escolha do tipo de interface a ser utilizada.

É importante acostumar-se com o nome das interfaces, por exemplo, um roteador 2500 terá a
interface “ethernet 0”, “serial 0” e “serial 1”. Em um 2600, o qual tem dois slots, você pode ter
uma interface serial 1/0, ou seja, slot 1 interface 0.

Na figura abaixo temo um exemplo da vista traseira de um roteador Cisco 2811 onde podemos
observar a localização das interfaces.

Na figura abaixo segue um exemplo de uma placa WIC-2T utilizada para conexões de linhas
serias.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 199


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Na próxima figura temos uma placa WIC-2AM para conexões de linhas discadas.

Já nos roteadores atuais da série ISR-G2 1900, 2900 e 3900 a numeração das interfaces é bem
parecida com da série anterior ISR-G1 1800, 2800 e 3800 com dois ou três números separados
por uma barra “/”, por exemplo giga 0/0 e serial 0/0/0, porém nem todas as interfaces antigas
são compatíveis com essa nova linha de roteadores.

Por exemplo, as interfaces de WAN WIC-1T e WIC-2T foram substituídas pelas HWICs, ou seja,
agora temos a HWIC-1T e HWIC-2T. É importante sempre verificar antes de especificar uma
interface ou software a compatibilidade entre versão e modelo de equipamento. Veja a foto
abaixo da parte traseira de um roteador ISR-G2 modelo 2901 e uma interface WAN HWIC-
4T1/E1.

É importante lembrar-se que para instalar ou remover módulos em roteadores das linhas
citadas acima é necessário desligar o equipamento antes.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 200


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.1 Interfaces Seriais

Interfaces seriais são utilizadas em redes de longa distância (WAN) para conexões ponto a
ponto ou ponto-multiponto.

Para interligações das redes WAN é necessário utilizar a infraestrutura de uma operadora de
telecomunicações, a qual pode oferecer diversos tipos de soluções e interfaces de WAN para
seus clientes. Os tipos mais comuns de tecnologia WAN são:

 Linhas dedicadas utilizando HDLC ou PPP (nx64kbps – 64k a 2048kbps)


 Links Frame-relay
 Linhas DSL (ADSL e HDSL) e Cable Modem

As interfaces seriais utilizam cabeamento específico e interfaces como:

 EIA/TIA-232
 EIA/TIA-449
 V.35 (utilizado para conectar um CSU/DSU)
 X.21 (utilizado para X.25)
 EIA-530

Os três tipos de protocolos de camada-2 mais comuns suportados pelas interfaces serias são:

 HDLC: proprietário da Cisco e padrão nas interfaces seriais.


 PPP: o point-to-point protocol é um padrão aberto e suporta autenticação.
 Frame-relay: é um protocolo aberto, estatístico e que permite compartilhamento de
recursos por parte da operadora.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 201


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Lembre-se que existem dois tipos de cabos para conexão WAN: DTE e DCE. O DTE é o que
normalmente utilizamos nos roteadores e o cabo DCE normalmente é o cabo que vem no
equipamento da prestadora de serviços de telecomunicações. Porém, por questões de
laboratório teremos que utilizar uma topologia chamada costa-a-costa ou back-to-back, na qual
usamos um roteador diretamente conectado ao outro.

Por esse motivo um dos roteadores terá que simular a Operadora com um cabo DCE,
fornecendo clock ou a temporização (velocidade do link), e o outro roteador fará o papel normal
com um cabo DTE, se sincronizando com o equipamento DCE.

Você verá no próximo capítulo que um equipamento DCE precisa em sua interface um comando
a mais: "clock rate", o qual define a taxa de bits que a interface irá funcionar.

Veja figura abaixo com a foto dos cabos DCE e DTE com os tipos de conectores DB-60 e Smart-
serial ilustrados. Em ambiente de laboratório com equipamentos reais precisamos de um cabo
de cada modelo desses abaixo para conectar as interfaces seriais.

Abaixo temos dois roteadores costa a costa um com cabo DCE e outro com cabo DTE, inclusive
nos laboratórios práticos do exame do CCENT esse conceito das conexões costa a costa pode
ser cobrado!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 202


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Na prática os roteadores são conectados aos CSU/DSUs das operadoras e, conforme já


comentado, é conectado com um cabo DTE ao dispositivo da operadora que é DCE e fornece o
clock para o circuito de dados.

3 Configurando Links Seriais HDLC


O protocolo HDLC em roteadores Cisco tem um formato proprietário, não podendo ser
configurado para comunicação entre equipamentos Cisco e diferentes fabricantes.

Além disso, ele é o protocolo padrão das interfaces Seriais, mesmo que você não utilize o
comando “encapsulation” para definir o protocolo de camada 2, o roteador da Cisco se
autoconfigura como HDLC.

Veja um exemplo de configuração completa abaixo de uma interface serial com HDLC que
possui um cabo DCE conectado.

MatrizCTBA#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
MatrizCTBA(config)#interface serial 0
MatrizCTBA(config-if)#ip address 200.171.51.1 255.255.255.252
MatrizCTBA(config-if)#bandwidth 128
MatrizCTBA(config-if)#clock rate 128000
MatrizCTBA(config-if)#description Serial 0 conectada a FilialPGO
MatrizCTBA(config-if)#encapsulation hdlc
MatrizCTBA(config-if)#no shutdown
MatrizCTBA#

Como as interfaces seriais utilizam o protocolo HDLC como padrão, ou seja, se você não utilizar
o comando “encapsulation” sua interface será automaticamente configurada como HDLC.

Observe que o comando “clock rate” deve ser utilizado somente quando a interface serial
estiver conectada a um cabo DCE, no caso da interface DTE não é necessário definir o “clock
rate”, apenas o “bandwidth”.

Portanto, o comando clock rate é dado em bits por segundo e define a velocidade física que a
interface irá trafegar, por exemplo, se você deseja uma velocidade de 1Mbps você deve digitar
“clock rate 1000000” (um milhão de bits por segundo).

Já o comando bandwidth é utilizado apenas pelos protocolos de roteamento dinâmicos que tem
como métrica a taxa da interface, por exemplo, o EIGRP e o OSPF. O valor do bandwidth é dado
em kilo bits por segundo, por isso é o valor do clock rate divididos por mil. No exemplo da taxa
de 1Mbps o bandwidth ficaria com a valor 1000 (bandwidth 1000).

Se você não configurar o comando bandwidth em interfaces seriais por padrão roteador arbitra
a velocidade de um link T1 para a interface, ou seja, 1.5Mbps, o que pode trazer problemas
para os cálculos dos protocolos de roteamento se as interfaces seriais tiverem velocidades
variadas.

Dependendo do equipamento o valor do clock rate é pré-definidos e você não pode digitar
outros valores, caso você tenha tentado digitar um valor e recebeu uma mensagem de erro
utilize para descobrir os valores permitidos o comando Help da seguinte maneira “clock rate
?”.

Se você não configurar comando bandwidth a interface DCE ou DTE não irá parar de
funcionar, porém se ela for DCE e você esquecer-se do clock rate a interface não funcionará e
ficará com o status “UP/DOWN”, ou seja, a camada física está OK, mas a camada de enlace
não, pois você não definiu sua velocidade.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 203


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

No packet tracer as interfaces seriais são representadas por um “raio” e a DCE é a que tem um
relógio na figura, se você fizer a conexão utilizando esse ícone o primeiro router que você
clicar será o DCE e o segundo será o DTE.

Para verificar se a interface é DCE ou DTE utilize o comando “show controller


serial [n°-da-serial]”. Veja exemplos abaixo (a saída foi suprimida e somente parte do
comando foi inserido no texto).

Exemplo 1: Cabo desconectado

show controllers serial 0


Interface Serial0
Hardware is PowerQUICC MPC860
No serial cable attached

Exemplo 2: Cabo DCE conectado

show controllers serial 0


Interface Serial0
Hardware is PowerQUICC MPC860
DCE V.35, clock rate 128000

Para verificar as configurações podemos utilizar os comandos “show running-config”, “show


interfaces” e “show ip interface brief”.

Você pode também ver somente o status da interface específica com o comando “show
interface serial 0”, conforme exemplo abaixo:

MatrizCTBA#show interface serial0


Serial0 is up, line protocol is up
Hardware is PowerQUICC Serial
Description: Serial 0 conectada a FilialPGO
Internet address is 200.171.51.1/30
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
Last input 00:00:03, output 00:00:03, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 96 kilobits/sec
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
509 packets input, 36414 bytes, 0 no buffer
Received 509 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
519 packets output, 38532 bytes, 0 underruns
0 output errors, 0 collisions, 16 interface resets
0 output buffer failures, 0 output buffers swapped out
2 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
MatrizCTBA#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 204


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Vamos descrever algumas informações úteis sobre o comando show interfaces conforme
campos grifados e na sequência:

1. Serial0 is up, line protocol is up  campo que indica o estado operacional da


interface, queremos que esteja UP/UP.
2. Description: Serial 0 conectada a FilialPGO  descrição configurada com o
comando description.
3. BW 128 Kbit  largura de banda configurada no comando bandwidth.
4. 509 packets input  pacotes recebidos pela interface, se estiver zerado ou não
sendo incrementado quer dizer que a interface não está recebendo pacotes.
5. 519 packets output  pacotes enviados pela interface, se estiver zerado ou
não sendo incrementado quer dizer que a interface não está enviando pacotes.

Vamos lembrar-nos dos possíveis estados em uma interface serial e as principais causas raízes
de problemas.

 Serial0 is down, line protocol is down  Significa problemas na camada física.


o Cabo desconectado ou com problemas, seja com roteador costa a costa remoto
ou quando conectado a um CSU/DSU.
o Se houver conexão costa a costa a interface remota pode estar shutdown ou o
roteador remoto está desligado.
o Se o roteador local estiver conectado a um CSU/DSU esse equipamento pode
estar desligado.
 Serial0 is up, line protocol is down  Significa problemas na camada de enlace.
o Comando encapsulamento em um dos lados pode estar declarado de forma
errada, por exemplo, um lado como ppp e o outro como hdlc.
o Falta do comando clock rate.
o Keepalive desabilitado via comando “no keepalive” em uma das pontas.
 Serial0 is down, line protocol is down, administratively down  A interface não
foi ativada com o comando “no shutdown”.

Podemos verificar esses problemas e encontrar a causa raiz com os comandos “show running-
config” e no próprio “show interfaces”. Os problemas com tipo de cabo DCE/DTE e clock rate
são analisados com o “show controllers serial x/y”.

Mais para frente, em tópicos posteriores você irá aprender que para o PPP e o Frame-relay
existem ainda outras condições que podem fazer com que a interface fique UP/Down, por
exemplo, se o PPP for configurado com autenticação e o usuário e/ou a senha estiverem
erradas a interface não sobe e fica UP/Down.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 205


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.1 Verificando a Configuração do Protocolo IP das Interfaces

Para verificar a configuração da interface já estudamos anteriormente o comando “show


running-config” e “show running-config interface serial 0/0/0”, o qual mostra a saída
apenas da interface que você deseja analisar. Esse segundo comando não é suportado no
Packet Tracer. Veja exemplo abaixo.

DlteC-FW-GW#show running-config interface fastEthernet 0/0


Building configuration...

Current configuration : 231 bytes


!
interface FastEthernet0/0
description $FW_INSIDE$
ip address 192.168.10.2 255.255.255.0
duplex auto
speed auto
end

DlteC-FW-GW#

Também estudamos o comando “show ip interface brief” que dá o IP configurado e o estado


da interface, sendo que o primeiro Up/Down é da camada física e o segundo da camada de
enlace. Acompanhe no exemplo abaixo.

DlteC-FW-GW#show ip interface brief


Any interface listed with OK? value "NO" does not have a valid configuration

Interface IP-Address OK? Method Status Protocol


FastEthernet0/0 192.168.10.2 YES NVRAM up up
FastEthernet0/1 unassigned YES NVRAM up up
FastEthernet0/1.10 192.168.1.1 YES NVRAM up up
FastEthernet0/1.20 10.0.1.1 YES NVRAM up up
FastEthernet0/1.30 192.168.2.1 YES NVRAM up up
Loopback1 10.10.10.10 YES NVRAM up up
DlteC-FW-GW#

Uma outra forma é utilizar o comando “show interfaces” ou “show interfaces serial
0/0/0”, porém esses comandos mostram informações mais detalhadas das interfaces. Bem no
começo da saída eles trazem a máscara de rede ou sub-rede e endereço MAC da interface,
informações que não são mostradas no comando anterior. Além disso, mostram também
detalhes de contadores das interfaces. Veja exemplo abaixo.

DlteC-FW-GW#show interfaces fastEthernet 0/0


FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is 001e.130b.1aee (bia 001e.130b.1aee)
Description: $FW_INSIDE$
Internet address is 192.168.10.2/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:02, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
### Saídas omitidas ###

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 206


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por último, temos a opção do comando para verificar os protocolos de camada 3 ativos, estado
e endereço/máscara das interfaces: “show protocols” ou “show protocolos serial 0/0/0”.
Veja exemplo abaixo.

DlteC-FW-GW#show protocols
Global values:
Internet Protocol routing is enabled
FastEthernet0/0 is up, line protocol is up
Internet address is 192.168.10.2/24
FastEthernet0/1 is up, line protocol is up
FastEthernet0/1.10 is up, line protocol is up
Internet address is 192.168.1.1/24
FastEthernet0/1.20 is up, line protocol is up
Internet address is 10.0.1.1/24
FastEthernet0/1.30 is up, line protocol is up
Internet address is 192.168.2.1/24
NVI0 is up, line protocol is up
Interface is unnumbered. Using address of FastEthernet0/0 (192.168.10.2)
Virtual-Access1 is down, line protocol is down
Virtual-Template1 is down, line protocol is down
Interface is unnumbered. Using address of FastEthernet0/0 (192.168.10.2)
Virtual-Access2 is down, line protocol is down
Loopback1 is up, line protocol is up
Internet address is 10.10.10.10/32
DlteC-FW-GW#show protocols fastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
Internet address is 192.168.10.2/24
DlteC-FW-GW#

Note em amarelo que o comando “show protocols” traz a informação dos protocolos de
camada 3 ativos (Internet Protocol routing is enabled), estado de todas as interfaces e
endereço/máscara configurada. Repare também no detalhe em verde, onde podemos ver o
estado da interface fast 0/0, portanto note que o comando traz o estado da interface e seu
endereço de camada 3.

Todos esses comandos show são úteis para verificação após a configuração de roteadores Cisco
ou para auxiliar na resolução de problemas (trobleshooting).

3.2 Acrescentando um Link WAN HDLC na Topologia

Vamos relembrar como acrescentar mais um roteador e um switch e conectá-lo a um roteador


já configurado via um link WAN com topologia costa a costa (back-to-back) no Packet Tracer,
conforme figura abaixo. Vamos utilizar roteadores modelo 1841.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 207


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Para acrescentar ou remover um módulo em um roteador primeiro você precisará desligá-lo,


como este é um fato muito importante o packet tracer tem um botão de liga e desliga na aba
Physical.

Portanto desligue o roteador, arraste uma WIC-1T ou WIC-2T para o “slot 0” e ligue novamente
o roteador. Veja a figura abaixo.

Depois de inserir as interfaces em ambos os equipamentos escolha o cabo serial DCE (com o
relógio), clique no Router 1, selecione a interface Serial 0/0/0 e depois ligue na interface Serial
0/0/0 do Router 2, conforme já realizamos nos laboratórios do capítulo 2.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 208


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Agora vamos às configurações e testes, iniciando pelo Router 1 que tem a interface DCE, note
que os IPs estão definidos na topologia.

DlteC-Teste#conf t
Enter configuration commands, one per line. End with CNTL/Z.
DlteC-Teste(config)#interface serial 0/0/0
DlteC-Teste(config-if)#ip add 192.168.2.1 255.255.255.0
DlteC-Teste(config-if)#clock rate 1000000
DlteC-Teste(config-if)#bandwidth 1000
DlteC-Teste(config-if)#description Serial do router 1 conectada ao Router 2
DlteC-Teste(config-if)#no shutdown

%LINK-5-CHANGED: Interface Serial0/0/0, changed state to down


DlteC-Teste(config-if)#

Note que a interface ficou em Down, pois ainda não configuramos o Router 2.

Agora vamos configurar o router 2 e note na sequência o comando show ip interface brief com
a interface agora em UP/UP.

DlteC-Teste2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
DlteC-Teste2(config)#int s 0/0/0
DlteC-Teste2(config-if)#ip add 192.168.2.2 255.255.255.0
DlteC-Teste2(config-if)#bandwidth 1000
DlteC-Teste2(config-if)#description conectado ao router 1
DlteC-Teste2(config-if)#no shutdown

%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up

DlteC-Teste2(config-if)#end
DlteC-Teste2#
%SYS-5-CONFIG_I: Configured from console by console

DlteC-Teste2#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up

DlteC-Teste2#show ip inter bri


Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 unassigned YES manual up down

FastEthernet0/1 unassigned YES unset up down

Serial0/0/0 192.168.2.2 YES manual up up

DlteC-Teste2#

Para testar as interfaces seriais você pode a partir do Router 2 fazer ping para o Router 1 e
também um teste de Telnet.

Lembre-se que para o Router 2 aceitar uma conexão de Telnet você precisará configurar a line
VTY, pois sem uma senha na VTY o roteador não aceitará a conexão via telnet. Veja a figura a
seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 209


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Com o comando “show ip route” você pode verificar se uma rota para a rede configurada no
roteador foi criada.

Você aprenderá em capítulos posteriores que ao configurar o endereço IP em uma interface e


ela está no estado Up/Up uma rota diretamente conectada é criada na tabela de roteamento,
indicando qual o melhor caminho para a rede que inserimos naquela interface.

Veja um exemplo da saída do comando na figura abaixo e note que as redes das interfaces
diretamente conectadas aparecem com a letra C na frente.

Nesse exemplo temos a rede 192.168.1.0 /28 configurada nas fast 0/0 e a rede
192.168.1.16/28 configurada na serial 0/0/0 do roteador chamado Roteador_A.

Para verificar o IP que está configurado precisamos do comando “show ip int brief”, pois o
“show ip route” nas versões 12.x do IOS não fornecem os IPs das interfaces na tabela de
roteamento.

No IOS versão 15 uma rota local com um “L” na frente é criada indicando o IP da própria
interface na tabela de roteamento.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 210


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4 Configurando Links Seriais PPP


O PPP é um protocolo aberto, ponto a ponto, utilizado em links seriais síncronos ou assíncronos.
A vantagem do PPP sobre o HDLC é que ele não é proprietário da Cisco e pode ser utilizado em
situações que você necessite conectar roteadores Cisco a de outros fabricantes.

Outra vantagem do protocolo PPP é o suporte a autenticação, permitindo uma maior segurança
em caso de links discados através da rede de telefonia convencional ou RDSI (rede digital de
serviços integrados – ISDN).

Veja na tabela abaixo um resumo dos recursos que o PPP suporta.

A autenticação, conforme já citado anteriormente, permite que em linhas compartilhadas seja


solicitado um usuário e senha para que seja estabelecida uma conexão. Por exemplo, você está
utilizando um backup discado e não deseja que qualquer roteador se conecte com o seu RAS
(Servidor de Acesso Remoto), nesse caso o uso do PPP com uma autenticação CHAP garante
que os usuários remotos necessitem ter um usuário e uma senha validados antes de fechar a
sessão de dados com o PPP. Sem isso qualquer usuário simplesmente discaria para o RAS e
seria capaz de entrar na rede corporativa da empresa.

O PPP também suporta compressão de dados, permitindo compactar as informações para


melhor utilização da banda do link WAN. Já a facilidade de detecção de erros com o Quality
Magic Number com linhas seriais síncronas não é mais utilizada, porém quando os circuitos
eram todos analógicos esse recurso permitia estabelecer um mínimo de qualidade da linha para
o estabelecimento da sessão PPP através de uma porcentagem que representa a taxa de erros
na linha.

Por último, o recurso de Multilink permite a agregação de links seriais para formar um canal
de mais alta velocidade. Por exemplo, um multilink com dois links de 2Mbps se comportam
como um link de 4Mbps, evitando a necessidade do uso do balanceamento de carga pelos
protocolos de roteamento.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 211


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Lembre que o encapsulamento padrão para as interfaces seriais em roteadores Cisco é o HDLC,
sendo necessário utilizar o comando “encapsulation” para alterar para ppp, porém o restante
da configuração é a mesma que estudamos para o HDLC. Abaixo segue um exemplo de
configuração com PPP sem autenticação:

MatrizCTBA#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
MatrizCTBA(config)#interface serial 1
MatrizCTBA(config-if)#ip address 200.171.0.2 255.255.255.252
MatrizCTBA(config-if)#bandwidth 128
MatrizCTBA(config-if)#description Serial 1 conectada a FilialSJP
MatrizCTBA(config-if)#encapsulation ppp
MatrizCTBA(config-if)#no shutdown
MatrizCTBA#

4.1 Subcamadas do PPP e Inicialização

O PPP é formado por quarto principais componentes (veja a figura a seguir):

1. Pode utilizar EIA/TIA-232-C, V.24, V.35, ISDN e dial-up (modem por linha telefônica
convencional) como interface na camada física em links seriais síncronos ou
assíncronos.
2. HDLC como quadro padrão para envio nas interfaces seriais. Aqui estamos nos referindo
ao formato do quadro, pois apesar desse fato o HDLC não é compatível com o PPP.
3. LCP (Link Control Protocol): Utilizado para o estabelecimento, configuração,
manutenção e encerramento da conexão ponto a ponto.
4. NCP (Network Control Protocol): Utilizado para estabelecer comunicação e
configurar diferentes protocolos da camada de rede. O NCP é projetado para permitir o
uso simultâneo de múltiplos protocolos da camada de rede. Alguns exemplos de
protocolos aqui são IPCP (Internet Protocol Control Protocol), CDPCP (Cisco Discovery
Protocol Control Protocol) e o IPXCP (Internetwork Packet Exchange Control Protocol).

A divisão do PPP em duas camadas de controle do link (LCP) e controle de rede (NCP) é para
facilitar a interface entre as camadas de rede e física. O LCP trata da abertura do link, ou seja,
estabelecer o link. Já o NCP está mais próximo à camada de rede, servindo de interface e
controle da comunicação com os diversos protocolos de rede que podem estar configurados
em um roteador. Por exemplo, no estabelecimento de sessões dial-up, quando os
computadores conectam-se à Internet via uma placa de fax/modem, o NCP é responsável por
atribuir IP à interface dial-up via DHCP.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 212


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4.2 Inicialização do PPP

O LCP oferece um método de estabelecimento, configuração, manutenção e encerramento de


uma conexão ponto a ponto através de quatro fases distintas:

1. Negociação da configuração e estabelecimento do enlace: Um nó PPP de origem


envia quadros LCP para configurar e estabelecer o enlace de dados. Caso a autenticação
PAP ou CHAP tenham sido configuradas é nessa fase que há a troca de mensagens sobre
usuário e senha, caso haja problemas o LCP não será aberto e a interface ficará em
UP/DOWN.
2. Determinação da qualidade do enlace (opcional): Testa o enlace determinando se
a sua qualidade é suficiente.
3. Negociação da configuração do protocolo da camada de rede: Nó PPP de origem
envia quadros NCP para configurar os protocolos da camada de rede (IP, Novell IPX e
AppleTalk). Depois de configurados os protocolos da camada de rede seus pacotes
podem ser enviados através do link PPP.
4. Encerramento do enlace: Os quadros LCP ou NCP fecham o enlace quando o cabo é
desconectado ou um timer de inatividade é atingido.

Na figura abaixo temos um fluxograma simplificado das possibilidades do fechamento de um


enlace PPP com ou sem autenticação.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 213


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Tudo começa quando conectamos a interface e ela passa para o status de “Down/Down” ou
“Administratively Down” para “UP/Down”, ou seja, a camada física subiu, indicado pelo Início
(1) no fluxograma.

A partir daí o LCP tenta estabelecer uma sessão (2), se houver falha a interface fica em
UP/Down (3), se o estabelecimento tiver sucesso passamos para a fase de autenticação (4).

Se não foi configurada a autenticação a interface simplesmente sobe e fica UP/UP (5), caso haja
autenticação o roteador verifica o usuário/senha localmente ou através de um servidor de
autenticação (TACACS+ ou RADIUS). Ao final do processo de autenticação se o usuário e senha
forem validados a interface fica UP/UP (5), caso os dados não sejam validados a interface passa
para UP/Down e é terminada a conexão (6), portanto a interface ficará no estado de UP/Down
(3).

Quando usamos autenticação os roteadores ficam tentando se autenticar constantemente,


mesmo que a senha esteja errada, por isso tem um passo para a renegociação da sessão,
porém o link não ficará UP/UP até que o usuário e/ou senha sejam corrigidos e o processo de
autenticação tenha sucesso.

O processo de término da sessão também pode ser ativado quando simplesmente


desconectamos o cabo ou então damos um shutdown na interface serial.

A inicialização do PPP pode ser verificada com o comando “debug ppp negotiation” e com o
“show interfaces” você pode verificar o status do LCP e NCP, conforme mostrado ao lado.

RouterA#show interfaces serial 0/0/0


Serial0/0/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 192.168.1.1/30
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
LCP Open
Open: IPCP, CDPCP
Last input never, output never, output hang never
Last clearing of "show interface" counters never
… Saída omitida
DCD=up DSR=up DTR=up RTS=up CTS=up
RouterA#

No “show interfaces” sabemos que o PPP estabeleceu a sessão quando o LCP está no estado
de Open na mensagem “LCP Open” e os protocolos da camada 3 ou outras camadas que foram
negociados pelo NCP vem logo abaixo na mensagem “Open: IPCP, CDPCP”. Note que o CDP
foi tratado pelo NCP, como se fosse um protocolo de rede.

Se o LCP e NCP estiverem em “Closed” significa que a interface não conseguiu fechar a sessão
do LCP e provavelmente está UP/Down ou Down/Down dependendo do que gerou essa
condição. Por exemplo, se for a senha errada para autenticação a interface ficará UP/Down,
porém se tivermos um problema físico a interface ficará Down/Down.

Outro problema comum que pode ocorrer e fazer com que o PPP, ou até os demais protocolos
de camada-2 de WAN, não subam é configurar em uma ponta um protocolo e na outra ponta
um protocolo diferente. Por exemplo, em uma das interfaces como HDLC e na outra PPP, nesse
caso as interfaces ficam em UP/Down.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 214


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A falta do clock rate em interfaces DCE também faz com que as interfaces não subam, assim
como a falta do keepalive, o qual é utilizado para verificar se os vizinhos estão ativos. Se a
placa não responde o keepalive por um tempo ela é considerada Down e nesse caso a interface
pode ficar Down/Down.

4.3 Entendendo a Autenticação no PPP

A autenticação permite um nível maior de segurança no estabelecimento da comunicação entre


dois roteadores, pois ela permite que seja solicitado um usuário e uma senha antes de fechar o
circuito. Caso esse par usuário/senha sejam desconhecidos ou estejam errados o roteador não
permitirá a conexão. Essa facilidade é muito utilizada para linhas discadas, por exemplo, em
uma internet via modem, através da rede de telefonia convencional.

O PPP permite uma autenticação simples (chamada PAP) ou com criptografia (chamada CHAP).
A principal diferença entre as duas é o fato do CHAP não passar a senha na rede e sim o
resultado de um Hash MD5 calculado através de um usuário e senha secreta configurada nos
roteadores, impossibilitando a leitura do usuário ou senha caso tenha seus quadros capturados.
Já o PAP passa as informações em modo texto.

O PAP possui um mecanismo simples de autenticação, cada um dos roteadores utiliza seu
hostname como usuário e devem ter uma senha igual pré-configurada. Ao inicializar o link são
trocados os usuários e senhas e os roteadores validam ou rejeitam a autenticação. Toda essa
informação é passada em texto claro, ou seja, se você capturar os quadros conseguirá ler o
usuário e senha enviados na rede. Veja figura a seguir.

No CHAP ao invés de enviar um usuário e senha para se autenticar, os roteadores enviam um


valor numérico chamado “Challenge” (desafio) vinculado ao seu “Hostname” para que seja
gerada uma “chave” de autenticação. Esse valor de challenge mais a senha são utilizados para
calcular o hash MD5 (chave) que é enviado e será comparado com a mesma conta feita no
vizinho para autenticação. Se o valor for igual o roteador autentica, porém se o valor for
diferente ele não autentica. Veja a figura a seguir.

O valor do hostname do vizinho é enviado juntamente com o challenge para validar que aquele
roteador está autorizado a iniciar o processo de autenticação, pois esse hostname deve estar
contido nas declarações de username configuradas no roteador.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 215


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O Hash MD5 calculado é a mesma conta utilizada para garantir a integridade das mensagens
em VPNs e para criptografar a senha de acesso privilegiado nos roteadores (enable secret).

Veja abaixo o fluxo de autenticação do PPP com CHAP em uma linha discada, onde o roteador
R1 disca para o roteador R2, portanto o chamador é o R1 e o receptor é o R2 nesse exemplo.

Veja abaixo a explicação de cada passo do exemplo do fluxograma acima com o roteador R1
iniciando uma chamada para o roteador R2 e fazendo a autenticação com CHAP:

1. Neste exemplo, o roteador 1 inicia a chamada.


2. Quando o roteador 2 recebe a chamada ele envia um “Challenge” vinculado ao seu
hostname para o Roteador 1 poder calcular o hash MD5 e dar continuidade no processo
de autenticação. Por padrão, para esta autenticação utiliza o nome do host do roteador
para identificar o vizinho que está chamando. O roteador R1 irá procurar pelo R2 em sua
lista de “usernames” configurados.
3. O roteador R1 recebe o challenge de R2 e procura em seu banco de dados local pelo
username "R2".
4. O roteador 1 encontra o “R2” e sua senha que é "cisco". Com isso R1 usa essa senha e o
desafio (challenge) do roteador 2 como parâmetros de entrada na função de hash MD5 e
gera o valor do hash.
5. O roteador 1 envia o valor do hash para o roteador R2 vinculado ao seu hostname R1.
6. O roteador 2 recebe a resposta e procura pelo usuário R1 em seu banco de dados local.
7. O roteador 2 encontra o usuário R1 com a senha "cisco", com essas informações ele
utiliza a senha e o desafio (challenge) enviado anteriormente para o roteador 1 como
parâmetros de entrada para a função de hash MD5, gerando um valor hash localmente.
8. Agora o roteador 2 compara o valor de hash gerado com o valor que foi recebido do
roteador 1.
9. Se os parâmetros de entrada (desafio e password) são idênticos, o valor de hash
resultante será o mesmo e a autenticação terá sucesso.

O CHAP utiliza um processo de três vias para se autenticar, pois ele recebe um challenge,
calcula um hash e somente depois disso o vizinho autentica ou recusa o valor recebido. Nesse
exemplo temos mais passos porque mostramos desde a ligação, atendimento até a finalização
do fechamento do link entre os roteadores.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 216


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4.4 Configurando a Autenticação CHAP

O primeiro passo para configurar a autenticação é especificar um usuário e uma senha para os
roteadores. O comando utilizado para esse fim é o “username”, em modo de configuração
global. O PPP utiliza por padrão o hostname do roteador remoto como usuário e a senha
deve ser a mesma para as duas pontas.

Depois de configurado o usuário e a senha utiliza-se o comando para ativar a autenticação “ppp
authentication {pap | chap | pap chap | chap pap}”.

Se você utilizar o comando “ppp authentication chap” somente o CHAP será utilizado como
protocolo de autenticação.

Caso seja necessária a configuração de Fallback podem ser utilizados os comandos “ppp
authentication pap chap” ou “ppp authentication chap pap”, por exemplo. Com o último
comando o roteador tentará se autenticar com CHAP e caso não tenha sucesso tentará com o
PAP na sequência. Portanto, o fallback é você ter uma segunda opção de protocolo de
autenticação na mesma interface.

Na figura a seguir temos um exemplo de circuito PPP onde utilizamos a autenticação CHAP.
Abaixo segue a configuração necessária para os dois roteadores.

Roteador MatrizCTBA

MatrizCTBA(config)#username FilialSJP password class


MatrizCTBA(config)#interface Serial 0
MatrizCTBA(config-if)#encapsulation ppp
MatrizCTBA(config-if)#ppp authentication chap
MatrizCTBA(config-if)#ip address 10.0.0.1 255.255.255.0
MatrizCTBA(config-if)#clock rate 512000
MatrizCTBA(config-if)#bandwidth 512

Roteador FilialSJP

FilialSJP(config)#username MatrizCTBA password class


FilialSJP(config)#interface Serial 1
FilialSJP(config-if)#encapsulation ppp
FilialSJP(config-if)#ppp authentication chap
FilialSJP(config-if)#ip address 10.0.0.2 255.255.255.0
FilialSJP(config-if)#bandwidth 512

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 217


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que no roteador MatrizCTBA utilizamos o usuário FilialSJP e no roteador FilialSJP


utilizamos o usuário MatrizCTBA, os quais são os respectivos hostnames dos roteadores. O
hostname utilizado como usuário deve estar escrito exatamente como no roteador remoto, pois
ele diferencia letras maiúsculas de minúsculas. Além disso, ambos utilizaram a senha class, a
qual deve ser igual e também diferencia maiúsculo e minúsculo.

Resumindo:

 Usuário da autenticação -> hostname remoto.


 Senha -> igual nos dois lados.

Para verificar a configuração utilize os comandos “show run”, “show int” para verificar o
status da interface e o “debug ppp authentication” para verificar a troca de informações da
autenticação on-line, ou seja, no momento que elas acontecem.

Você pode também utilizar o comando “debug ppp negotiation” para analisar as quatro fases
de negociação do PPP juntamente com a negociação da autenticação, porém se cair uma
questão específica de autenticação o comando do parágrafo anterior é o mais recomendado.

Para desativar o debug podemos digitar os seguintes comandos:


 undebug all
 no debug all
 no debug ppp authentication
 no debug ppp negotiation

Os dois primeiros desativam todos os possíveis debugs habilitados e os dois últimos somente os
específicos, não interferindo nos demais debugs que estejam habilitados.

Abaixo temos saída do comando "show interface serial 0" para o exercício acima. Nas linhas
grifadas podemos ver que a serial está “up”, o IP está de acordo com a figura proposta e o
encapsulamento é o PPP.

MatrizCTBA#show interfaces s0
Serial0/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 10.0.0.1/24
MTU 1500 bytes, BW 512 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
LCP Open
Open: IPCP, CDPCP
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0 (size/max/drops); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/0/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 218


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Com o comando debug você poderá visualizar a troca de pacotes em tempo real, ou seja,
consegue analisar qual o problema está ocorrendo.

Veja abaixo a saída do “debug ppp authentication” em um roteador com problema na


senha, preste atenção na linha grifada.

debug ppp authentication


00:22:00.799: Se0 PPP: Authorization required
00:22:02.791: Se0 CHAP: O CHALLENGE id 4 len 25 from "FilialSJP"
00:22:02.799: Se0 CHAP: I CHALLENGE id 4 len 25 from "MatrizCTBA"
00:22:02.803: Se0 CHAP: Using hostname from unknown source
00:22:02.803: Se0 CHAP: Using password from AAA
00:22:02.803: Se0 CHAP: O RESPONSE id 4 len 25 from "FilialSJP"
00:22:02.807: Se0 CHAP: I RESPONSE id 4 len 25 from "MatrizCTBA"
00:22:02.807: Se0 PPP: Sent CHAP LOGIN Request to AAA
00:22:02.807: Se0 PPP: Received LOGIN Response from AAA = FAIL
00:22:02.807: Se0 CHAP: O FAILURE id 4 len 26 msg is "Authentication failure"

Note a diferença da saída do debug abaixo quando foi corrigido o problema, você notará que o
“Authentication Failure” (falha na autenticação) do exemplo com problema não será mais
mostrado, pois após a correção serão trocadas as informações e o roteador informará um
“Success” ou “Pass”, indicando que a autenticação foi realizada com sucesso.

debug ppp authentication


00:20:36.659: Se0 CHAP: O CHALLENGE id 2 len 25 from "FilialSJP"
00:20:36.663: Se0 CHAP: I CHALLENGE id 2 len 25 from "MatrizCTBA"
00:20:36.667: Se0 CHAP: Using hostname from unknown source
00:20:36.667: Se0 CHAP: Using password from AAA
00:20:36.667: Se0 CHAP: O RESPONSE id 2 len 25 from "FilialSJP"
00:20:36.671: Se0 CHAP: I RESPONSE id 2 len 25 from "MatrizCTBA"
00:20:36.671: Se0 PPP: Sent CHAP LOGIN Request to AAA
00:20:36.671: Se0 PPP: Received LOGIN Response from AAA = PASS
00:20:36.671: Se0 CHAP: O SUCCESS id 2 len 4
00:20:36.675: Se0 CHAP: I SUCCESS id 2 len 4

As saídas do comando debug podem variar um pouco dependendo da versão de IOS que se
esteja trabalhando, porém normalmente quando temos o CHAP configurado devem aparecer as
mensagens de “Success”, “Pass” ou “Failure”. Já para o PAP algumas versões de IOS não
indicam falha, ou seja, os roteadores ficam tentando autenticar sem sucesso sem parar até que
um usuário e senha sejam digitados corretamente.

4.4.1 Configurando a Autenticação PAP


O princípio de configuração do PAP, a senha enviada em texto claro, é bem semelhante a o que
fizemos para o CHAP, porém com a diferença que precisamos utilizar o comando “ppp
authentication pap” e definir a senha que será enviada com o comando “ppp pap sent-
username” inserindo o próprio hostname local e a senha configurada no comando “username”.

Por exemplo, veja a configuração do roteador A com PAP ao invés de CHAP.

MatrizCTBA(config)#username FilialSJP password class


MatrizCTBA(config)#interface Serial 0
MatrizCTBA(config-if)#encapsulation ppp
MatrizCTBA(config-if)#ppp authentication pap
MatrizCTBA(config-if)#ppp pap sent-username MatrizCTBA password class

Você pode utilizar o comando “show ppp all” para verificar o tipo de autenticação utilizado.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 219


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4.5 Analisando o Debug PPP Authentication

Nesse exemplo temos o roteador R1 ligado diretamente a um roteador R2, sendo que R1 está
com sua senha errada. Vamos visualizar abaixo a saída do debug ppp authentication com
problema e depois de corrigido. A autenticação configurada nos roteadores é a padrão
bidirecional, ou seja, ambos os roteadores devem se autenticar entre si.

O debug foi coletado no roteador R2, portanto nesse exemplo o roteador R2 irá se autenticar
em R1, porém como a senha de R1 está errada ele não vai conseguir se autenticar em R2.
Como no CHAP o usuário e senha não são enviados entre os pares não há a possibilidade de
autenticar de um lado e do outro não, por isso teremos apenas uma mensagem de que a
autenticação teve falha: "Authentication failed".
*Mar 1 03:49:25.419: Se0/0 PPP: Authorization required
*Mar 1 03:49:25.471: Se0/0 CHAP: O CHALLENGE id 212 len 23 from "R2"
*Mar 1 03:49:25.471: Se0/0 CHAP: I CHALLENGE id 211 len 23 from "R1"
*Mar 1 03:49:25.483: Se0/0 CHAP: I RESPONSE id 212 len 23 from "R1"
*Mar 1 03:49:25.487: Se0/0 CHAP: Using hostname from unknown source
*Mar 1 03:49:25.487: Se0/0 CHAP: Using password from AAA
*Mar 1 03:49:25.487: Se0/0 CHAP: O RESPONSE id 211 len 23 from "R2"
*Mar 1 03:49:25.491: Se0/0 PPP: Sent CHAP LOGIN Request
*Mar 1 03:49:25.499: Se0/0 PPP: Received LOGIN Response FAIL
*Mar 1 03:49:25.499: Se0/0 CHAP: O FAILURE id 212 len 25 msg is
"Authentication failed"

Essa mensagem irá se repetir indefinidamente até que a senha em R1 seja corrigida e a
interface suba.

Agora vamos corrigir a senha em R1 e coletar o debug a partir do roteador R1. Note que como
entrada o roteador recebeu o hostname do R2 (I CHALLENGE id 121 len 23 from "R2") e como
saída enviou o seu hostname R1 (O CHALLENGE id 119 len 23 from "R1").

Em amarelo temos as mensagens de sucesso enviadas e recebidas pelo LCP, já em verde temos
as mensagens de sucesso do NCP, logo após a linha (camada 2) fica UP e está marcado como
cinza.
*Mar 1 03:59:29.971: Se0/0 PPP: Authorization required
*Mar 1 03:59:30.047: Se0/0 CHAP: O CHALLENGE id 119 len 23 from "R1"
*Mar 1 03:59:30.051: Se0/0 CHAP: I CHALLENGE id 121 len 23 from "R2"
*Mar 1 03:59:30.059: Se0/0 CHAP: Using hostname from unknown source
*Mar 1 03:59:30.059: Se0/0 CHAP: Using password from AAA
*Mar 1 03:59:30.063: Se0/0 CHAP: O RESPONSE id 121 len 23 from "R1"
*Mar 1 03:59:30.123: Se0/0 CHAP: I RESPONSE id 119 len 23 from "R2"
*Mar 1 03:59:30.127: Se0/0 PPP: Sent CHAP LOGIN Request
*Mar 1 03:59:30.131: Se0/0 PPP: Received LOGIN Response PASS
*Mar 1 03:59:30.139: Se0/0 PPP: Sent LCP AUTHOR Request
*Mar 1 03:59:30.143: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 03:59:30.143: Se0/0 CHAP: I SUCCESS id 121 len 4
*Mar 1 03:59:30.147: Se0/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 03:59:30.151: Se0/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 03:59:30.151: Se0/0 CHAP: O SUCCESS id 119 len 4

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 220


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

*Mar 1 03:59:30.159: Se0/0 PPP: Sent CDPCP AUTHOR Request


*Mar 1 03:59:30.167: Se0/0 CDPCP: Received AAA AUTHOR Response PASS
*Mar 1 03:59:30.279: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 03:59:30.915: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0,
changed state to up

4.6 Analisando a Configuração do PPP

Para finalizar o PPP analise na figura a seguir a configuração dos roteadores e diga qual o
problema de configuração que existe?

Aparentemente está tudo certo, porém note a senha utilizada para login, o que você vê de
diferença? A senha é “case sensitive” distingue maiúsculo de minúsculo.

Agora vamos analisar a figura a seguir. Veja que os IP’s estão em redes diferentes, será que
uma interface consegue pingar a outra?

Teoricamente uma interface ponto a ponto deveria estar na mesma rede IP para funcionar,
porém o PPP mapeia o IP nas interfaces e se você pingar vai funcionar, essa é uma
característica do PPP.

Resumindo, o PPP não se importa com o IP, ele faz a camada 2 mesmo que a 3 esteja com uma
configuração errada, portanto a resposta é sim, as interfaces irão responder ao ping uma da
outra.

O problema é que como a rede tem as interfaces em redes diferentes, para os protocolos de
roteamento essa configuração não funciona, pois lembre-se que tanto para o OSPF como para o

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 221


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

EIGRP existe a condição básica das redes das interfaces que vão formar vizinhança estejam na
mesma sub-rede e utilizem a mesma máscara.

Uma sugestão é que você configure as duas topologias mostradas no packet tracer e realize os
testes e confirme as respostas dadas acima.

4.7 Conceitos avançados sobre Autenticação no PPP

Conforme já citado anteriormente, a autenticação do PPP normalmente é ativada para a


conexão em circuitos seriais assíncronos, os quais podem ser realizados através da rede
telefônica comum (PSTN), utilizando modems analógicos, ou através de linhas telefônicas
digitais que utilizam ISND.

As conexões através de modems analógicos com linhas telefônicas comuns são chamadas de
“dial-up”.

Esta topologia é utilizada para fazer acesso backup discado de baixa velocidade. Normalmente
se tem um circuito principal através de uma linha serial síncrona com PPP ou frame-relay
(circuito dedicado ou linha privativa) e um acesso dial-up ou ISDN como opção de backup em
caso de falhas da conexão principal.

As conexões das unidades remotas geralmente são concentradas em uma Unidade Principal ou
em um Data Center em um dispositivo chamado RAS (Remote Access Server ou Servidor de
Acesso Remoto), o qual concentra várias linhas telefônicas em um ou vários acessos E1, os
quais agregam até 30 linhas telefônicas em um só circuito. Veja a topologia característica na
figura a seguir, onde um roteador tem um link serial dedicado principal utilizando uma WIC-1T
e um link backup analógico discado utilizando uma WIC-1AM na Unidade Remota. Na Matriz ele
poderia se conectar a um roteador ou a um RAS, como mostrado na topologia.

Lembre-se que uma linha discada é acessada por número telefônico, logo, qualquer pessoa
pode discar para esse número e tentar conectar-se ao seu RAS sendo necessário um processo
de autenticação entre os pares para garantir a segurança da rede interna. Apesar da baixa

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 222


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

velocidade essa solução de backup ainda pode ser utilizada devido ao seu baixo custo. Como
exemplo de uso podemos citar caixas bancários automáticos, que ficam instalados em Shopping
Centers ou fora de uma agência bancária, ou em quiosques, onde uma consulta via Internet é
disponibilizada.

Em situações como essa é muito comum termos problemas de autenticação, causando um


transtorno para as empresas, pois quando o link principal cair e houver um erro no usuário ou
senha da autenticação PAP ou CHAP o link de contingência não irá subir, pois o LCP não
deixará. Para resolver problemas de autenticação devemos analisar as configurações locais e
remotas e temos também o “debug ppp authentication” para confirmar se realmente o erro
é na autenticação.

4.8 Multilink PPP

Um “multilink bundle” ou grupo de multilink é uma conexão virtual PPP através de um link da
rede, onde vários links são unidos para formar apenas uma interface Multilink serial.

Utilizando esse recurso do PPP você tem um “multilink bundle” transmitindo pacotes através
desse link para outro “multilink bundle” que receberá essas informações. Quando receber os
pacotes o “multilink bundle” fará a remontagem dos fragmentos (remonta os pacotes IP)
utilizando o número de sequência que existe no cabeçalho do fragmento multilink.

Cada membro individual do bundle é uma interface conectada através do protocolo PPP.

O Multilink PPP permite que os pacotes IP sejam mais bem divididos, recombinados e
sequnciados através de múltiplos links lógicos de camada-2.

Além disso, o Multilink PPP utiliza melhor a banda e reduz a latência entre os dois pontos, pois
tudo é enviado ao mesmo tempo através de múltiplos links ponto a ponto, porém utilizando
apenas um par de endereços IP /30 ou /31, dependendo de cada projeto.

Dessa maneira os roteadores utilizam vários links sem depender do balanceamento de carga
dos protocolos de roteamento, pois vários links viram apenas uma interface Multilink, ou seja, o
roteador enxerga como apenas um link WAN ao invés de vários.

Opcionalmente você pode utilizar uma “policy map” para classificar o tráfego e configurar
opções mais avançadas de QoS (qualidade de serviço), porém essa configuração não faz parte
do escopo da prova atual do ICND2 ou CCNAX.

4.8.1 Configurações e Comandos Show


Para configurar o MLPPP você precisa seguir os três passos abaixo:
1. Configurar as interfaces Multilink nos roteadores (todas opções de L3 como IP serão
configurados nessa interface).
2. Configurar as interfaces físicas (clock rate - Layer 1 - e ppp authentication - Layer 2).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 223


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3. Definir o grupo do MLPP configurado no passo 1 para vincular as interfaces físicas ao


bundle correto.

O comando “ppp multilink” deve ser utilizado em todas as interfaces que farão parte do bundle
e no comando “ppp multilink group” vinculamos as interfaces físicas à interface multilink virtual
que será a interface virtual PPP.

Vamos configurar no exemplo abaixo o roteador R1 utilizando a figura do item 4.8 como base.

Hostname R1 Hostname R2
! !
interface Multilink1 interface Multilink1
ip address 10.0.0.1 255.255.255.252 ip address 10.0.0.2 255.255.255.252
ppp multilink ppp multilink
ppp multilink group 1 ppp multilink group 1
! !
interface Serial1/1 interface Serial1/1
no ip address no ip address
encapsulation ppp encapsulation ppp
ppp multilink ppp multilink
ppp multilink group 1 ppp multilink group 1
! !
interface Serial1/2 interface Serial1/2
no ip address no ip address
encapsulation ppp encapsulation ppp
ppp multilink ppp multilink
ppp multilink group 1 ppp multilink group 1

Você pode verificar as configurações com o comando “show interfaces multilink 1” e “show ppp
multilink”.

Lembre-se que em comandos como “show ip route” e “show ip ospf/eigrp neighbors” a interface
multilink será mostrada ao invés das interfaces físicas. Assim como no comando show ip
interfaces brief não aparecerão endereços IP nas interfaces físicas, apenas no multilink.

Veja saída abaixo de alguns comandos citados anteriormente.

R2#sh cdp neighbor


Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater

Device ID Local Intrfce Holdtme Capability Platform Port ID


R1 Multilink1 122 R 2811 Multilink1

R2#show ip ospf neighbors

Neighbor ID Pri State Dead Time Address Interface


1.1.1.1 0 FULL/ - 00:00:30 10.0.0.1 Multilink1

R2#sh ppp multilink active


Multilink1
Bundle name: R1
Remote Endpoint Discriminator: [1] R1
Local Endpoint Discriminator: [1] R2
Bundle up for 00:07:14, total bandwidth 3088, load 1/255
Receive buffer limit 24000 bytes, frag timeout 1000 ms
0/0 fragments/bytes in reassembly list
0 lost fragments, 9 reordered
0/0 discarded fragments/bytes, 0 lost received
0x40 received sequence, 0x43 sent sequence

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 224


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Member links: 2 active, 0 inactive (max not set, min not set)
Se1/2, since 00:07:14
Se1/1, since 00:06:55

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 225


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

5 PPPoE – PPP Over Ethernet


Além do PPP ser utilizado em links seriais ponto a ponto, por exemplo, linhas discadas (dial-up
e ISDN) e interfaces seriais como os estudados até o momento, ele também pode ser adaptado
e utilizado em outros ambientes.

As tecnologias de acesso a Internet como xDSL (Digital Subscriber Line, por exemplo, ADSL e
VDSL) estão na camada 1 (Layer 1) do modelo OSI, ou seja, são tecnologias da camada física e
precisam de um protocolo de camada-2 para transporte dos pacotes IP, fazer autenticação,
auxiliar na alocação de endereço, etc.

Na camada de enlace podemos utilizar basicamente três métodos para transportar as


informações sobre links DSL:

 Bridging: esse método está baseado nas RFCs 1483 e 2684, a qual prevê tráfego
Ethernet “bridged” (encaminhado de um ponto a outro) dos computadores do assinante
(através de um modem DSL e do DSLAM) até um roteador no ISP. Não é muito utilizado
por questões de segurança (autenticação) e escalabilidade.
 Point-to-Point Protocol over Ethernet (PPPoE): este método é muito comum em
redes DSL e utiliza um quadro PPP encapsulado dentro de quadros Ethernet. O PPP é
utilizado para fornecer a autenticação do usuário remoto na rede do ISP.
 Point-to-Point Protocol over ATM (PPPoA): nesse método os pacotes PPP são
encapsulados e roteados utilizando a tecnologia ATM entre o dispositivo do cliente e a
rede do ISP. Também é bastante utilizado como opção de camada 2 no Brasil e no
mundo.

O PPPoE é definido via RFC e deriva do protocolo PPP e estabelece a sessão e realiza a
autenticação com o provedor de acesso a Internet banda larga através do CHAP, sendo que os
quadros PPP são encapsulados dentro de quadros Ethernet, como um túnel sendo passado
através da linha xDSL.

Com o PPPoE é possível fazer com que o cliente tenha um software para autenticar com o ISP
ou que a autenticação seja feita pelo próprio roteador DSL. Já com o PPPoA o próprio roteador
faz a autenticação com o ISP, não necessitando que os clientes realizem mais esse processo.

Lembre-se que nos serviços de Internet via dial-up ou ISDN o uso do PPP era possível, pois ele
naturalmente pode ser configurado como protocolo de camada-2, já nos serviços banda laga
xDSL não existe esse processo de discagem, por isso tecnologias como PPPoE e PPPoA surgiram
para possibilitar que os provedores de serviço tenham como fazer a autenticação de seus
usuários.

Portanto os provedores de internet ou ISPs usam o PPPoE como protocolo de camada de enlace
(data link protocol) por alguns motivos, os quais seguem abaixo:

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 226


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 O PPPoE possibilita que o ISP forneça um endereço IP ao cliente.


 Através da autenticação CHAP o ISP pode verificar e validar a conexão dos seus clientes.
 Uma vez autenticado pelo PPP através do CHAP o ISP pode verificar se esse cliente está
em dia com seus pagamentos antes de liberar o acesso a Internet, integrando a
autenticação do PPP com seus sistemas de cobrança (em inglês “Billing”).

Outro conceito importante que vamos frisar é que o link DSL não cria um link ponto a ponto
entre o roteador cliente e roteador do ISP, mas sim uma sessão PPPoE. O PPPoE funciona como
um túnel, ou seja, é como se os pacotes IP fossem encapsulados em quadros PPP, os quais por
sua vez fossem encapsulados em quadros Ethernet.

O PPPoE faz sua conexão em duas fases:


 Active Discovery Phase: nessa fase o cliente localiza o PPPoE server com pacotes
PADI enviados em broadcast. Quando o servidor (concentrador ou “Access Server”)
recebe o PADI ele responde com uma mensagem chamada PADO.
 PPP Session Phase: na segunda fase são negociadas as demais opções doo PPP, como
autenticação e endereçamento.

Após essas duas sessões iniciais os pacotes PPP com dados são trocados (PPPoE Session Up) e
ao final da sessão ela pode ser finalizada, por exemplo, é possível configurar um timeout de
inatividade ou conectar a linha e deixá-la sempre ativa. As mensagens trocadas entre cliente e
servidor PPPoE seguem abaixo:
 PADI (PPPoE Active Discovery Initialization): Cliente envia um PADI em broadcast
(ffff.ffff.ffff) para encontrar um servidor.
 PADO (PPPoE Active Discovery Offer): O servidor responde em unicast com um PADO
informando que está disponível.
 PADR (PPPoE Active Discovery Request): O cliente então envia um PADR em unicast
para o servidor escolhido.
 PADS (PPPoE Active Discovery Session confirmation): O servidor encaminha em unicast
um quadro contendo todas as informações da sessão.
 PPP Data (Dados do PPP): Com o túnel estabelecido ocorre a troca de informações, por
exemplo, acesso a páginas de Internet.
 PADT (PPPoE Active Discovery Terminate): Caso seja solicitado o fim da sessão, um
quadro PADT é enviado e a sessão PPPoE é terminada.

Abaixo segue imagem com essa troca de informações para estabelecimento da sessão PPPoE.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 227


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

No ICND2 o foco é o cliente, porém vamos passar um script para configuração do servidor
dentro da atividade prática da área do alino para que você possa realizar testes em laboratório.

A seguir vamos analisar a configuração do PPPoE cliente.

5.1 PPPoE Cliente – Funcionamento e Configurações

A configuração do PPPoE é feita através de uma interface discadora ou “interface dialer”, a


qual é uma interface virtual que terá os dados do PPP referentes à autenticação CHAP.

Depois essa interface dialer será vinculada a uma interface física (no exemplo é a giga0/0) que
ativará a discagem ou conexão com o dispositivos remoto via PPPoE.

No exemplo que vamos utilizar a “interface dialer 1”. Dentro dela será definido o protocolo de
camada-2 como PPP (encapsulation PPP), o endereço IP será negociado com o servidor (ip
address negotiated).

Quando o concentrador xDSL receber essa conexão, o usuário e senha deverão ser verificados
(configurados nos comandos “ppp chap hostname” e “ppp chap password”), também o ISP
verifica se o cliente não está inadimplente e se tudo estiver OK o acesso a Internet é liberado
com a finalização da conexão via PPPoE.

Outro detalhe interessante é que o MTU recomendado para esse tipo de conexão deve ser
abaixo de 1500, mais especificamente o recomendado é 1492 (comando “mtu 1492”), pois é
preciso de espaço para acomodar o cabeçalho e trailer inserido pelo PPPoE.

Por último devemos configurar o número do dialer-pool que será utilizado para vincular com a
interface física, nesse exemplo será utilizado o número 7.

Você pode utilizar o comando opcional "Dialer Persistent" dentro da interface dialer para que
a sessão PPPoE não seja encerrada caso não haja tráfego dos dados interessantes através da
interface. Sem esse comando a interface normalmente é desconectada toda vez que o timeout
de inatividade da interface fosse alcançado.

Veja as configurações na figura abaixo com todos os detalhes citados acima.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 228


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que na interface física (giga 0/0) não configuramos o endereço IP, isso porque ele será
autonegociado pelo PPP via interface dialer. Depois vinculamos o dialer-pool criado na interface
dialer com o comando “pppoe-cliente dial-pool-number 7”.

Ao finalizar a configuração vai aparecer o comando “pppoe enable” no “show run” (dentro da
interface física), essa linha de configuração é gerada automaticamente quando você entra com
o comando “pppoe-cliente dial-pool-number”, veja na saída abaixo.

#show run int g0/0


interface g0/0
no ip address
pppoe-client dial-pool-number 7
pppoe enable ! gerado automaticamente pelo comando anterior
no shutdown

Além das configurações acima, lembre-se que você precisa configurar o gateway para que o
cliente consiga acessar as demais redes ou a Internet. Você pode criar uma rota padrão estática
apontando para a interface dialer criada, ou seja:

R1(config)#ip route 0.0.0.0 0.0.0.0 dialer 1

É importante entender os dados de configuração para responder possíveis questões no exame.

5.2 Verificando o PPPoE

Note que a configuração do PPPoE cliente tem vários detalhes, portanto vários problemas
diferentes podem ocorrer.

No final você terá que verificar os parâmetros das interfaces dialer e física (uma Gigabit
Ethernet, por exemplo), assim como parâmetros relativos ao PPP, tais como usuário e senha
configurados para autenticação no ISP.

Para verificar as interfaces você pode utilizar o bom e velho comando “show interfaces” e “show
ip interfaces brief”. Veja exemplo abaixo do show interfaces dialer 1.

# show interfaces dialer 1


Dialer1 is up, line protocol is up (spoofing)
Hardware is Unknown
Internet address is 198.7.100.200/32
MTU 1492 bytes, BW 56 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Closed, loopback not set
Keepalive set (10 sec)
DTR is pulsed for 1 seconds on reset
Interface is bound to Vi1
### Saídas Omitidas ###
Bound to:
Virtual-Access1 is up, line protocol is up
Hardware is Virtual Access interface
MTU 1492 bytes, BW 56 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Stopped: CDPCP
Open: IPCP
PPPoE vaccess, cloned from Dialer1
Vaccess status 0x44, loopback not set
Keepalive set (10 sec)
DTR is pulsed for 5 seconds on reset

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 229


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Interface is bound to Di1 (Encapsulation PPP)


### Saídas Omitidas ###

O estado da dialer 1 fica “UP/UP”, porém como “spoofing”, isso significa que ela está operando
normalmente. Essa sigla é utilizada porque as informações de camada-2 não ficam diretamente
na dialer e sim em uma nova interface virtual que é criada dinamicamente (vamos falar dela a
seguir).

Note que mais uma interface foi criada quando a dialer 1 ficou “UP/UP”, chamada de “Virtual-
access 1” (Interface is bound to Vi1 – quer dizer que a dialer está ligada a interface virtual-
access 1). Essa informação será mostrada enquanto o PPPoE estiver ativo e você pode ver
detalhes da interface com o comando “show interfaces virtual-access 1”.

A interface virtual-access tem foco nas informações de camada-2 (Layer 2) mostrando que o
LCP está ativo (LCP open), porém não traz informações do endereçamento IP, pois a parte de
camada-3 (Layer 3) fica na interface dialer 1.

Para verificar a configuração da interface virtal-access criada utilize o comando abaixo.

R1# show interfaces virtual-access 1 configuration


Virtual-Access1 is a PPP over Ethernet link (sub)interface
Derived configuration : 109 bytes
!
interface Virtual-Access1
mtu 1492
ppp chap hostname DlteC
ppp chap password 0 cisco$
pulse-time 0
end

Outra forma de verificar a sessão PPPoE é com o comando “show pppoe session [interface type
number]”, por exemplo, “show pppoe session interface gigabitEthernet 0/0”, veja exemplo
abaixo. Se houver sessão ativa esse comando deve mostrar informações, se a sessão não subiu
nada será mostrado.

Com os comandos “show ip route” e “show ip interface brief” você pode verificar dados de
camada-3 da interface.

Resumindo, se o PPPoE subir você terá 3 interfaces vinculadas a ele, levando em conta nosso
exemplo essas interfaces são:
1. Giga 0/0
2. Interface Dialer 1
3. Interface Virtual-access 1

Quem leva o endereço IP será a interface dialer 1, já as informações de camada-2 estão na


virtual-access 1. Portanto, no “show ip int bri”, por exemplo, se houver endereço na interface
giga está errado, você esqueceu-se de dar o comando “no ip address” nessa interface.

Se não aparecer a interface virtual-access o problema é de camada 1 ou 2, provavelmente o


PPPoE tem problemas com seu usuário e senha configurados.

Na sequência vamos estudar outras dicas de troubleshooting mais gerais que podem ser
aplicadas em redes WAN.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 230


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

6 Troubleshooting em redes WAN


Vamos lembrar-nos da conexão básica para qualquer um dos três tipos de protocolos
aprendidos nesse capítulo quando utilizamos um circuito de um provedor de serviços de
Telecom na figura abaixo.

Seja a tecnologia que estivermos utilizando o problema vai estar na rede do provedor de
serviços (seja nos seus roteadores, switches ou last mile, por exemplo, uma fibra óptica
rompida), no ponto de demarcação (mau contato ou rompimento de um cabo), no próprio
CSU/DSU (equipamento mal configurado ou queimado), na conexão entre o CSU/DSU (cabos
DCE/DTE que conectam os equipamentos) e o CPE ou no próprio CPE. Aqui ainda podemos ter
problemas físicos ou lógicos, por exemplo, em configurações no CPE ou nos equipamentos dos
provedores de serviços.

A abordagem mais simples, porém mais cara, trata-se da utilização de sobressalente (spare
part) que esteja operacional para descartar falhas no equipamento do cliente (CPE), pois se
trocarmos o CPE por um que está 100% operacional e o serviço voltar à operação o problema
com certeza é do CPE.

No comando show interfaces temos os indicadores de input e output erros, assim como o CRC
que podem ser utilizados para verificação de problemas, pois esses contadores são
incrementados quando temos problemas. Os problemas de input normalmente não são relativos
ao equipamento local e sim tem relação com o provedor. Já os erros de output (saída)
normalmente significam problemas no cabo ou na própria interface serial.

Quando estamos utilizando topologia de laboratório, ou seja, com conexão costa a costa (back-
to-back) um problema comum é de esquecer o comando clock rate na interface que está com o
cabo DCE. Nesse caso a interface fica como UP/Down e para verificar quem está com o cabo
DCE deve-se utilizar o comando “show controllers serial 0”. Veja a figura abaixo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 231


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Outro problema comum a ambas as tecnologias é a utilização de protocolo de camada 2 errado


em uma das pontas, o que também deixa a interface em UP/Down. Por exemplo, o link é PPP e
em um dos roteadores a interface está como HDLC, ou então, o exercício fala para utilizar
frame-relay com padrão IETF e em uma das pontas o comando está como “encapsulation
frame-relay”, fazendo com que o encapsulamento seja Cisco.

6.1 Teste de Loop em Interfaces Seriais

Uma das tarefas que um CCNA pode ter em campo é o de determinar se um problema em link
WAN está no seu roteador ou no circuito contratado de uma operadora de Telecomunicações.
Um dos testes recomendado pelo Centro de Assistência Técnica da Cisco (TAC) é fazer um loop
no CSU/DSU do provedor de serviços e realizar um teste de ping no roteador.

Esse teste permite que os dados sejam encaminhados ao CSU/DSU, voltem pelo cabo local e
seja comparado no roteador com o que foi enviado, possibilitando a comparação do padrão
enviado e recebido pelo ping dando uma taxa de erros na interface. Se a interface e os cabos
locais DCE e DTE estão sem problemas o resultado desse teste deve fornecer 0% de erros, caso
haja erros pode indicar problema no roteador, interface, cabos locais ou no próprio CSU/DSU,
porém facilita isolar problemas causados por configurações ou infraestrutura remota. Veja a
figura abaixo.

Para isso duas condições básicas devem ser atendidas:

1. O CSU/DSU deve ter o recurso de loop disponível.


2. A interface serial no roteador deve ser configurada com o protocolo HDLC.

Veja na figura abaixo um exemplo de conexão local com CSU/DSU e os detalhes dos botões de
loop.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 232


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Normalmente no CSU/DSU, que no Brasil pode ser um modem digital HDSL/SHDSL/MHDSL,


rádio digital ou fracionador, vamos ter normalmente os seguintes botões de loop para testes:

 LDL (Looping Digital Local): deixa o modem local (instalado no cliente) em looping.
 LDR (Looping Digital Remoto): deixa o modem remoto (instalado na prestadora de
serviços) em looping.
 LAL (Looping Analógico Local): idem LDL só que analógico.

A seguir será descrito os passos para testar placas seriais WICs ou HWICs 1T ou 2T, assim
como demais modelos com saídas seriais conforme melhores práticas da Cisco:

Passo 1) Salve a configuração do roteador e configure o modem da operadora para loop local:
 No roteador entre com o comando “copy start run” para salvar a configuração.
 Pressione o botão “LDL” ou “LAL” no modem. Verifique se o led “test” no modem está
aceso (caso existe).
 No roteador verifique o loop com o comando “sh int serial x/x” ela deverá estar com o
estado UP/UP (looped).

Passo 2) Configure o encapsulamento HDLC na interface a ser testada:


 Entre no modo de configuração: config term
 Entre na interface a ser testada: int serial x/x
 Configure o encapsulamento HDLC: encap HDLC
 Configure o clock: clock rate 64000
 Saia do modo de configuração da interface: Ctrl + Z

Passo 3) Configure um endereço IP na interface. Caso já tenha um endereço configurado


passe para o próximo passo.

Passo 4) Zere os contadores do roteador com o comando “clear counters serial x/y” em modo
privilegiado.

Passo 5) Realize os testes de ping estendido conforme dados abaixo:


 Target address = endereço IP da interface a ser testada.
 Repeat count = 50
 Datagram size = 1500
 Timeout = pressione ENTER
 Extended cmds = yes
 Source Address = pressione ENTER

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 233


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 Type of service = pressione ENTER


 Set Df bit in ip header = pressione ENTER
 Validate reply data = pressione ENTER
 Data pattern: 0×0000 (todos zeros)
 Pressione ENTER 3 vezes

Passo 6) Repita o passo anterior para os seguintes padrões de dados (Data pattern no ping
estendido):
 DATA PATTERN of 0×1111
 DATA PATTERN of 0xffff
 DATA PATTERN of 0xaaaa
 DATA PATTERN of 0×4040
 DATA PATTERN of 0×8080
 DATA PATTERN of 0x4C4C3

Passo 7) Verifique os resultados.


 Todos os testes de pings devem ter 100% de sucesso.
 Entre com “show int serial x/x”
 Verifique se na interface não existe nenhum erro de CRC e input errors.

Se todos os pings tiveram 100% de sucesso e não existe nenhum erro na interface então, tanto
a roteador quanto a WIC, está funcionando perfeitamente. Nesse caso, problema
provavelmente está no CSU/DSU ou para dentro da nuvem da Operadora.

Caso esse passo indique erros durante o ping ou incremente os contadores de CRC (input errors
ou output errors) serão necessários mais testes nos equipamentos locais. Uma dica é verificar
se os cabos V.35 estão bem conectados. Outros testes são realizando a troca dos cabos, depois
da serial e em último caso do próprio CSU/DSU e até do próprio roteador.

Passo 8 ) Retorne o roteador para o estado original com um reload sem salvar as
configurações realizadas e desative o botão de loop no CSU/DSU:
 Roteador#reload (se o prompt informar que foram realizadas alterações e se você
deseja salvar a config insira “no”, ou então você irá salvar as alterações realizadas para
o teste).
 Remova o loop do CSU/DSU apertando o botão LDL ou LAL conforme foi a escolha no
início dos testes.

O passo oito é fundamental, pois se não seguido corretamente você deixará a unidade em teste
“fora do ar”!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 234


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

7 VPN - Virtual Private Networks


Uma Rede Virtual Privada ou Virtual Private Network (VPN) tem a função principal de permitir a
criação de redes privadas através da Internet, permitindo privacidade e tunelamento de
protocolos dentro TCP/IP, visando acesso remoto de usuários que trabalham em Home Office
ou de Unidades Remotas através da Internet.

As VPNs são usadas diariamente para dar acesso corporativo à rede para usuários remotos,
conectividade a escritórios remotos utilizando um meio público como a Internet, sendo uma
opção mais barata que circuitos dedicados. Também podem ser uma opção para links de
contingência utilizando tecnologias como ADSL ou Internet via cabo coaxial. Veja na figura uma
topologia básica de aplicação de uma VPN em um ambiente corporativo.

Na construção de uma VPN são empregadas diversas técnicas combinadas como autenticação,
criptografia e tunelamento.

Os protocolos mais comuns para realização de VPNs ou tunelamento via IP são:

 Layer 2 Forwarding (L2F)


 Point-to-Point Tunneling Protocol (PPTP)
 Layer 2 Tunneling Protocol (L2TP)
 Generic Routing Encapsulation (GRE)
 IPSec

Note que uma VPN é um protocolo encapsulado e criptografado passando dentro do pacote IP,
o que gera um grande overhead (cabeçalho adicional) devido às técnicas de tunelamento e
criptografia utilizadas.

Na realidade o GRE não é um recurso de VPN, ele faz um tunelamento sem segurança
necessitando de um protocolo auxiliar para realizar a criptografia dos dados. A vantagem do
GRE é o suporte simultâneo à segurança e roteamento.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 235


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

7.1 Fundamentos de VPN – Requisitos de Segurança

Se compararmos uma VPN com um link dedicado existem alguns pontos que precisamos tratar
relacionados à segurança em uma VPN, pois o link dedicado por si só já garante a segurança da
comunicação, porém uma VPN está passando os dados de uma pessoa ou empresa por um
meio inseguro como a Internet, expondo esses dados a diversos riscos. Por isso, uma VPN deve
contemplar os seguintes itens de segurança:

 Confidencialidade: A confidencialidade dos dados é fornecida através da criptografia


dos dados e evita que, se um terceiro (hacker) interceptar os dados criptografados, ele
não poderá interpretá-lo.
 Integridade: A integridade de dados garante que os dados não serão modificados em
trânsito. Por exemplo, roteadores em cada extremidade de um túnel podem calcular um
valor de checksum ou um valor de hash para os dados transmitidos. Se os dois
roteadores na recepção recalcularem o valor e o resultado for o mesmo, significa que os
dados muito provavelmente não tenham sido modificados em trânsito.
 Autenticação: autenticação de dados permite que as partes envolvidas na comunicação
verifiquem se a outra parte é quem realmente diz ser.
 Não Repúdio (Anti-replay): O não repúdio juntamente com a autenticidade
compreende o que poderia ser chamado de “responsabilidade final”, ou seja, busca-se
fazer a verificação da identidade e autenticidade de uma pessoa ou agente externo de
um sistema a fim de assegurar a integridade de origem impedindo que um agente no
meio do caminho capture pacotes e reenvie-os como se fossem pacotes legítimos.

Portanto, um protocolo utilizado para fechar uma VPN entre dois pontos precisa conter diversos
mecanismos para tratar cada um desses itens de segurança citados acima.

O funcionamento básico e mais comum de uma VPN segue o modelo da figura seguinte, onde é
utilizado um túnel VPN. Tunelar significa que o pacote IP original a ser protegido será
inteiramente criptografado e depois inserido como payload (dados) em um novo pacote IP.
Portanto, quando o pacote passar pela rede pública, geralmente a Internet, seu conteúdo
estará protegido. Ao chegar ao roteador de destino o cabeçalho do túnel IP é removido, seu
payload será descriptografado e então enviado ao seu destino.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 236


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Podemos ainda dividir as VPNs em três conjuntos macro (veja a figura abaixo):

 Intranet: Conecta um escritório remoto a uma rede corporativa através da Internet,


fazendo com que os computadores locais tenham acesso como se estivessem no mesmo
ambiente de rede. Normalmente realizada entre dois roteadores ou dispositivos de
segurança como o Cisco ASA (Adaptive Security Appliances). Esse tipo de VPN é também
chamada de site-to-site.
 Extranet: Conecta dispositivos entre duas empresas via VPN através da Internet,
porém são duas empresas diferentes, geralmente parceiros de negócio que definem
regras e restrições de acesso aos recursos em ambas às localidades.
 Acesso Remoto: Conecta um dispositivo individual à rede corporativa normalmente
através de um software cliente VPN. A Cisco possui o Cisco VPN Client, o qual permite os
usuários conectarem-se com a rede corporativa e utilizarem seus recursos como se
estivem com o computador conectado a um ponto de rede local.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 237


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

7.2 Dispositivos e Softwares para VPN

Para construir uma VPN você precisa de dispositivos que suportem esse recurso em ambas às
pontas da conexão. As duas topologias básicas VPN utilizadas em empresas são a site-to-site
(que interliga duas unidades remotas ou uma unidade remota à sua Matriz via Internet) ou a
VPN de acesso (que dá acesso a um usuário remoto aos recursos de rede como se ele
estivesse sentado em uma mesa na empresa e conectado a um ponto de rede corporativo).

Falando mais especificamente de produtos Cisco, estes recursos estão disponíveis nos seguintes
dispositivos e softwares:

 Roteadores: Além do encaminhamento de pacotes os roteadores podem fazer várias


outras funções, desde voz até segurança, e uma delas é a VPN. Para que seja possível o
roteador permitir conexões VPN o IOS utilizado deve suportar esse recurso e os
requisitos de memória devem ser obedecidos. Além disso, existem algumas placas que
podem ser adicionadas a alguns modelos de roteadores para melhorar o desempenho e
fazer com que o processamento da parte de segurança das VPNs não interfira tanto no
processamento do roteador, por exemplo, o módulo VPN AIM para a linha de roteadores
ISR-G1.
 ASA (Adaptive Security Appliances): Trata-se de uma linha de equipamentos de
segurança que são capazes de realizar diversas funções inclusive VPN site-to-site ou de
acesso.
 VPN Client: normalmente um software utilizado nos computadores dos usuários
remotos para permitir a criação de um túnel VPN de acesso. A Cisco possui o Cisco VPN
Client.

7.3 Protocolo IPSec

O IPSec (Internet Protocol Security) é um framework padrão do IETF, definido pela RFC 4301,
que proporciona confidencialidade, integridade e autenticação dos dados. Com o IPSec
podemos criar um túnel entre dois pontos, por onde os “dados sensíveis” (dados que
necessitam ser protegidos) são enviados. Veja a figura abaixo com um pacote protegido pelo
IPSec.

O IPSec pode transportar as informações em dois modos, Transporte ou Túnel. No modo


transporte, somente a mensagem (payload) é criptografada, sendo que o cabeçalho IP
permanece intacto. Já no modo de tunelamento, o pacote IP é criptografado por inteiro. Deve,
assim, encapsular um novo pacote IP para distribuí-lo. O tunelamento é usado para
comunicações da rede-a-rede (túneis seguros entre roteadores, chamadas de VPNs site-to-site)
ou comunicações de host-a-rede e de host-a-host através da internet.

O framework IPSec, ou seja, sua estrutura, prevê dois tipos básicos de protocolos que podem
ser utilizados dentro de um pacote IP: o Authentication Header (AH), que provê a
autenticação e integridade dos dados, mas não a confidencialidade, e o Encapsulating

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 238


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Security Payload (ESP), que provê autenticação, confidencialidade dos dados e integridade da
mensagem. Veja a figura abaixo.

Cada funcionalidade do IPSec está em um blocos com espaços que podem ser preenchidos com
os protocolos ao lado, porém veja que a confidencialidade, que são os algoritmos de
criptografia não são suportados pelo AH. Para o IPSec fornecer a confidencialidade você terá
que utilizar o protocolo ESP ou ESP trabalhando em conjunto com o AH.

O segundo espaço representa o tipo de confidencialidade implementado usando um algoritmo


de criptografia como DES, 3DES (lê-se “triple DES”), AES ou SEAL. A escolha depende do nível
de segurança exigido, a qual a ordem de nível de segurança (da esquerda para a direita –
menos seguro para o mais seguro) segue ao lado: DES -> 3DES -> AES -> SEAL. Normalmente
utilizamos na prática o 3DES e o AES.

O terceiro espaço representa a integridade que podem ser implementada utilizando hash MD5
ou SHA. Essa garantia da integridade é realizada utilizando o Hashed Message Authentication
Codes (HMAC), normalmente com o MD5 ou SHA-1.

O quarto é referente à autenticação e representa a forma como a chave secreta


compartilhada é estabelecida. Os dois métodos são: chaves pré-compartilhada (preshared key
ou PSK) ou com certificados digitais RSA. O IPSec utiliza o protocolo Internet Key Exchange
(IKE) para autenticação e troca das chaves.

O último grupo representa o algoritmo Diffie-Hellman ou DH utilizado para troca segura das
chaves através da Internet. Há quatro algoritmos distintos DH de troca de chaves para se
escolher incluindo DH Grupo 1 (DH1), DH Grupo 2 (DH2), DH Grupo 5 (DH5) e DH Grupo 7
(DH7). O tipo de grupo selecionado depende das necessidades específicas de cada projeto.

Durante a configuração do túnel os pares VPN negociam como os túneis serão formados e o que
irão utilizar em cada opção para completar os blocos da figura. Essa negociação é configurada
em políticas de segurança, por exemplo, poderíamos ter um tipo de política de segurança que
utiliza o padrão ESP, com criptografia AES, integridade através de Hash MD5, autenticação com
chaves pré-compartilhadas e DH grupo 2 para troca segura das chaves. Portanto, se essa fosse

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 239


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

a política de segurança de um roteador que aceita VPN de acesso, o mesmo deveria estar
configurado nos clientes para que seja possível a conexão.

7.4 Criptografia IPSec

Vamos ignorar a parte matemática da criptografia, o que é cobrado nas certificações da carreira
de segurança da Cisco, para entendermos o conceito de como o IPSec trata a confidencialidade
dos dados. Portanto, o processo sem a parte matemática precisa de duas fórmulas: uma para
criptografar os dados e outra para decriptografá-los, ou seja, traduzir os dados que foram
modificados pela criptografia nos dados originais enviados.

A criptografia é feita com uma chave secreta, a qual mesmo que o pacote seja capturado seria
muito difícil para que o atacante decifre a mensagem. Além disso, decifrar a mensagem de um
pacote não significa que o atacante já conhece a chave para decifrar todos os seguintes, pois
normalmente a chave é fechada por sessão e muda ao longo da transmissão, dificultando mais
ainda a vida de um hacker.

Na figura abaixo temos um esquema básico do sistema de criptografia utilizado pelo IPSec, veja
os passos abaixo:

1. Na origem o pacote IP e a chave pré-compartilhada são utilizadas na fórmula de


criptografia para geração dos dados criptografados.
2. O roteador ou ASA insere o cabeçalho da VPN (VPN Header) e o novo cabeçalho IP (IP
Header) para transmissão via Internet.
3. Os dados são enviados para o destino de maneira segura através da Internet.
4. Quando recebidos no destino a fórmula de decriptografia é utilizada para decifrar a
mensagem com o uso da sua chave de sessão e o pacote original é enviado ao IP de
destino.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 240


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

7.5 Conceitos e Configurações de Túneis GRE

Túneis GRE são geralmente configurados entre roteadores de origem e destino, ou seja,
pacotes enviados ponto a ponto.

Os pacotes designados para serem enviados através do túnel (já encapsulados com um
cabeçalho de um protocolo como, por exemplo, o IP) são encapsulados por um novo cabeçalho
(cabeçalho GRE) e colocados no túnel com o endereço de destino do final do túnel. Ao chegar a
este final, os pacotes são desencapsulados (retira-se o cabeçalho GRE) e continuam seu
caminho para o destino determinado pelo cabeçalho original. Veja figura representando
processo de tunelamento GRE abaixo.

Abaixo seguem as principais características do GRE:

 Multiprotocolo: Encapsula uma grande variedade de tipos de protocolo de pacotes dentro


de túneis IP.
 Cria um link virtual ponto a ponto para os roteadores Cisco em pontos remotos através
de uma rede IP.
 Usa o IP para o transporte (camada 3) e suporta diversos protocolos de roteamento.
 Utiliza um cabeçalho adicional para suportar Multicasting e qualquer outro protocolo da
camada-3 do modelo OSI como carga útil (payload ou dados).
 A grande vantagem do tunelamento GRE é permitir o tráfego de protocolos em cenários
onde normalmente não seria possível, e por esta propriedade é muito utilizado em
conjunto com protocolos de roteamento.

O GRE encapsula todo o pacote IP original com um cabeçalho IP padrão e um cabeçalho GRE, o
qual contém pelo menos dois campos obrigatórios:

 Flag GRE
 Tipo de protocolo

Ele utiliza um campo de tipo de protocolo no cabeçalho GRE para suportar o encapsulamento de
diferentes protocolos de camada 3. O cabeçalho GRE, juntamente com o cabeçalho IP de
encapsulamento, cria pelo menos 24 bytes de overhead adicional para os pacotes encapsulados
(bytes a mais quando comparado a um pacote IP normal).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 241


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Vamos a configuração utilizando como base a figura a seguir.

Nesse exemplo faremos a configuração de um túnel GRE entre os roteadores R1 e R4 para fazer
a comunicação entre as redes 10.1.1.0/24 de R1 e 10.2.2.0/24 de R4 sem anunciá-las aos
outros roteadores, utilizando o processo de tunelamento, porém ainda sem criptografia.

Os passos básicos a serem seguidos são:

Passo 1: Criar uma interface do túnel (comando “interface Tunnel x” – x é o número do túnel,
como na criação de uma loopback);
Passo 2: Atribuir IP ao túnel (comando “IP address”);
Passo 3: Configurar a interface de túnel de origem (comando “tunnel source Serialx/y”);
Passo 4: Identificar o IP de destino do túnel (comando “tunnel destination x.x.x.x”);
Passo 5: Configurar qual protocolo de camada-3 o GRE vai encapsular (comando “tunnel mode
gre IP”).

Vamos às configurações do R1:

R1#config term
R1(config)#interface Tunnel0
R1(config-if)#ip address 1.1.1.1 255.255.255.252
R1(config-if)#tunnel source Serial0/0

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 242


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

R1(config-if)#tunnel destination 200.2.2.2


R1(config-if)#tunnel mode gre ip
R1(config-if)#exit
R1(config)#ip route 10.2.2.0 255.255.255.0 1.1.1.2 - rota para a LAN de R2
R1(config)#end
R1#

A rota foi inserida porque os roteadores R2 e R3 não irão conhecer a rede LAN de R1 e R4,
portanto você deve criar uma rota pelo GRE para que as LANs se comuniquem.

Abaixo segue a configuração de R4.

R4#config term
R4(config)#interface Tunnel0
R4(config-if)#ip address 1.1.1.2 255.255.255.252
R4(config-if)#tunnel source Serial0/0
R4(config-if)#tunnel destination 200.1.1.2
R4(config-if)#tunnel mode gre ip
R4(config-if)#exit
R4(config)#ip route 10.1.1.0 255.255.255.0 1.1.1.1 - rota para a LAN de R1
R4(config)#end
R4#

Com a configuração mostrada, quando um micro da LAN de R1 quiser se comunicar com outro
micro remoto da LAN de R4, e vice versa, o pacote será encapsulado dentro de um túnel GRE e
será desmontado apenas quando chegar a seu destino. Com essa configuração os demais
roteadores não precisam saber da existência das redes 10.1.1.0 e 10.2.2.0, precisando
conhecer apenas as redes WAN dos roteadores em questão.

Lembre que no GRE é feito apenas o encapsulamento, de forma que não há nenhuma proteção
aos dados trafegados. Para isso seria necessário a utilização do IPSEC ou qualquer outro
protocolo para criptografar as informações.

Algumas condições devem estar estabelecidas para que o Túnel GRE fique “UP”:

 Túnel de origem e de destino deve estar configurado.


 A rede IP do Túnel está na tabela de roteamento.
 Keepalives GRE são recebidos (se utilizado).
 GRE está configurado como modo padrão de túnel.

Você pode verificar se o túnel está funcionando com o “show interfaces tunnel interface-
number”, “show ip interface brief” e fazendo um traceroute para o destino verificando se o
túnel está realmente sendo ativado e os dados estão passando. Veja exemplos das saídas dos
comandos na sequência.

R1# show interfaces tunnel0


Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.1.3.1/24
MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 1.1.1.1 (Serial0/0/0), destination 2.2.2.2
Tunnel Subblocks:
src-track:
Tunnel0 source tracking subblock associated with Serial0/0/0
Set of tunnels with source Serial0/0/0, 1 member (includes iterators), on

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 243


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

interface <OK>
Tunnel protocol/transport GRE/IP
! saídas omitidas

7.6 DMVPN - Cisco Dynamic Multipoint VPN

Lembra do funcionamento do bom e velho Frame-relay hub-and-spoke? Então você já entende


o princípio do DMVPN, onde vários sites remotos (spokes) tem uma conexão VPN com um site
principal (hub).

Essa solução é mais simples que criar conexões full mesh utilizando VPNs IPsec site-to-site, que
apesar de parecer mais completa seria mais cara e muito complexa de se manter, por isso ter a
comunicação entre as unidades passando pelo roteador central é bem aceitável.

Além do Dynamic Multipoint VPN (DMVPN) manter uma conexão virtual permanente entre o
hub e os spokes, como no caso do Frame-relay hub-and-spoke, ele também permite que um
túnel VPN seja criado dinamicamente entre dois sites spokes conforme a necessidade utilizando
o mGRE (GRE Multiponto) e o NHRP (Next Hop Resolution Protocol).

O DMVPN cria túneis VPN seguros permanentes utilizando o IPsec entre os spokes e os HUBs,
porém, não entre os spokes como citamos anteriormente. A medida que um spoke precisa
enviar um pacote para outro spoke, ele realiza uma busca via NHRP (Next Hop Resolution
Protocol) para encontrar o endereço público (roteável) do outro spoke em questão. Uma vez
encontrado, o túnel entre os spokes é estabelecido via interface mGRE (Multipoint GRE).

Portanto o DMVPN precisa dos protocolos Multipoint GRE, Next Hop Resolution Protocol
(NHRP) e IPSec para funcionar corretamente, além disso ele tira vantagem do GRE suportar
protocolos de roteamento e do CEF para melhor desempenho. Veja a figura a seguir com
uma topologia que utiliza DMVPN.

Apesar de não ser parte da prova a configuração do DMVPN, você pode facilmente criar e testar
utilizando o Cisco Configuration Professional (CCP). Essa opção está no DMVPN wizard em
Configure > Security > VPN > Dynamic Multipoint VPN. Depois é só selecionar a opção
Create a spoke ou Create a hub e seguir o fluxo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 244


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Na prática o DMVPN também ajuda a economizar várias linhas de comando, facilitando a


configuração e adição de novos spokes na VPN.

Imagine que você tem uma empresa com 100 unidades e precisa através do GRE puro fazer
com que elas se comuniquem entre si. No mínimo no HUB você precisaria de 99 interfaces
túneis mais um túnel criado em cada unidade remota, certo? Com o mGRE e o NHRP isso pode
ser reduzido bastante.

Simplificando ao máximo, o NHRP (Next Hop Resolution Protocol) é um protocolo similar ao


ARP para redes Ethernet, porém no caso de um túnel ele tem a capacidade de mapear o
endereço IP de um túnel a um endereço IP Non-Broadcast Multi-Access (NBMA) em uma tabela.
Esse recurso permite que o mGRE (GRE multiponto) dinamicamente crie túneis entre
roteadores descobertos via NHRP que precisam se comunicar.

Existem duas maneiras de configurar o mGRE no hub e deixar a configuração “normal” do GRE
nos spokes. A primeira é fazer um mapeamento estático do NHRP no roteador que está atuando
como HUB e a segunda é deixar que o NHRP faça o mapeamento dinâmico no roteador
configurado como HUB.

O DMVPN usa o recurso do NHRP dinâmico para mapear as unidades remotas fazendo com que
o HUB atue como servidor e os Spokes como clientes, assim cada vez que um Spoke é
adicionado na rede ele informa ao HUB seu endereço físico e lógico que será utilizado para
formação de túneis mGRE.

Quando o HUB está com sua tabela de vizinhos NHRP populada ele pode responder requisições
de clientes que precisam se comunicar passando os endereços físico e lógico para formação do
túnel dinâmico.

O comando "show ip nhrp [detail]" permite visualizar os vizinhos aprendidos. Veja exemplo
abaixo.

Router#show ip nhrp detail


10.1.1.2/32 via 10.2.1.2, Tunnel1 created 00:00:12, expire 01:59:47
Type: dynamic, Flags: authoritative unique nat registered used
NBMA address: 10.12.1.2

Esse comando mostra os endereços IP e máscaras no cachê de endereços IP-para-NBMA. A


máscara é /32 porque a implementação da Cisco do NHRP não suporta agregação de endereços
nonbroadcast multiaccess (NBMA). Na sequência temos o túnel e quando ele foi criado. Por
último temos o "authoritative flag", que indica que quem forneceu essa informação foi um
servidor NHRP de próximo salto (next-hop server) ou um roteador.

Se a entrada for estática (manual) no campo Type estaria escrito "static", nesse caso o dynamic
indica que o NHRP resolveu o endereço.

Normalmente quando um túnel DMVPN começa a subir e voltar (chamado em inglês de


"flapping" ou "flap") é devido a problemas de vizinhança e o comando anterior pode ajudar a
verificar qual vizinho está instável.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 245


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

7.7 Considerações Finais sobre VPN

Para a implementação mais rápida e simples das VPNs a Cisco possui o conceito do Easy VPN, o
qual é um framework para implementação de VPNs site-to-site ou de acesso.

Além disso, também é possível implementar o acesso seguro com VPNs SSL para acesso HTTPS
em um servidor de rede. Por exemplo, a empresa utiliza um sistema WEB para registro de
vendas e não quer fornecer acesso VPN completo ao usuário remoto, nesse caso uma VPN SSL
permitiria a conexão segura desse usuário com somente um determinado servidor WEB interno
com a devida autenticação.

Configurar o Easy VPN ou uma VPN SSL via CLI não é uma tarefa simples, porém com o uso do
SDM ou CCP os passos são facilitados de maneira incrível.

Para o exame é importante saber distinguir os requisitos de segurança do IPSec


(confidencialidade, autenticação e integridade), entender suas diferenças e cada técnica ou
tecnologia utilizada para garantir esses requisitos.

A configuração e aplicação dos conceitos são tratadas no CCNA Security e CCNP Security, além
disso, você precisa diferenciar as VPNs site-to-site de uma DMVPN e VPNs de acesso (VPN
Client).

As VPNs site-to-site são configuradas de forma estática entre duas unidades.

Se você precisar de uma arquitetura Hub-and-Spoke, com uma matriz e várias unidades
remotas que conectam-se a essa matriz via Internet e VPN, aí a melhor opção é uma DMVPN,
pois com poucas linhas de comando podemos inserir e remover unidades da configuração,
conforme já estudamos anteriormente.

As VPNs de acesso utilizam um software de VPN Client direto nas máquinas dos usuários
remotos da empresa para que eles possam acessar recursos de rede pela Internet de maneira
segura.

Esse acesso pode ser feito via VPN e um túnel IPSec ou etnão via SSL, via HTTPS.

A seguir vamos estudar outras opções de acesso WAN.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 246


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

8 Opções de Serviços de WAN

Conforme já estudamos, os serviços utilizados em uma WAN podem ser classificados como:

 Leased Lines ou Circuitos Dedicados: são links normalmente ponto a ponto e


dedicados a apenas um cliente, ou seja, não há compartilhamento de banda entre outros
usuários da operadora. São normalmente mais caros, porém tem sua banda garantida e
são mais seguros pelo fato de não haver compartilhamento. Utilizam os protocolos HDLC
e PPP na camada 2.
 Circuitos Comutados ou Comutação por Circuitos: são compostas pelas redes de
telefonia convencional ou ISDN (rede digital de serviços integrados). São redes
determinísticas, ou seja, um circuito fim a fim é criado quando uma chamada é
estabelecida e o caminho é fixo do início ao fim da chamada.
 Comutação por Pacotes: essa é a opção mais econômica, pois permite a operadora
compartilhar os recursos entre diversos clientes, como um link de Internet. O protocolo
IP é o melhor exemplo de uma rede comutada por pacotes. O ATM, Frame-Relay e X.25
são exemplos de comutação por pacotes que podem ir de taxas de 56kbps a taxas acima
de 34Mbps.

Existem algumas velocidades que as operadoras normalmente trabalham na comercialização de


circuitos dedicados ou via comutação por pacotes:

 Nx64 (n vezes 64kbps): links que irão de 64kbps até 2048kbps variando de 64 em
64kbps (de 1 a 32 no Brasil e de 1 a 24 nos EUA). As mais comumente encontradas são
links de 64kbps, 128kbps, 256kbps, 512kbps, 1024kbps ou 1Mbps e 2048kbps ou 2M.

 O padrão americano de velocidades é baseado em múltiplos de 64kbps, porém limitados


de 1 a 24 circuitos de 64k:
o T1: 1,5Mbps (24x 64k)
o T2: 6Mbps (4x T1)
o T3: 45Mbps (28x T1)

 O Brasil segue o padrão europeu baseado em normas definidas pela ITU-T e as


velocidades são baseadas em links de 64kbps e agregados múltiplos de 2048kbps:
o E1: 2048kbps ou 2Mbps (32x 64k)
o E2: 8Mbps (4x 2M)
o E3: 34Mbps (4x8M ou 16 E1s)
o E4: 140Mbps (4x 34M ou 64 E1s)

 A partir de links de 140Mbps iniciamos com equipamentos síncronos (SDH ou DWDM)


que transportam links a partir de 155Mbps, chamado de STM-1 com 63 x links de
2Mbps.

As tecnologias de links com frações de 64kbps (Fractional T1 ou T1 fracionado ou nx64) são


chamados como sistema “T-carrier” e utiliza uma tecnologia chamada Time-Division
Multiplexing (TDM – Multiplexação no domínio do tempo). Atualmente são mais
difundidas para fornecimento de troncos agregados de voz, pois cada canal de 64kbps em um
T1 ou E1 pode também transportar um canal de voz.

As velocidades que estudamos aqui são as tradicionalmente utilizadas em Telecomunicações,


porém atualmente vem crescendo as ofertas de LAN-to-LAN, ou seja, a operadora entrega uma
porta Ethernet, Fast ou Giga para os clientes interligarem suas redes utilizando a tecnologia
MPLS encima de redes Ethernet, chamada de Metro Ethernet.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 247


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Nesse tópico do curso vamos revisar serviços de WAN já estudados, com um enfoque mais
prático, relacionando seu uso no dia a dia como opção de conexão nas empresas. Vamos dividir
as tecnologias em redes WAN privativas e públicas, pois podemos utilizar serviços que são
exclusivos, ou seja, não se conectam com um backbone público como o da Internet, assim
como a própria Internet que é uma rede de domínio público.

O que isso traz de diferença na prática? Dois itens importantes para qualquer rede corporativa:
privacidade e segurança.

8.1 Opções de WAN Privativas

Como opções de conexão WAN privativas podemos citar:

 Linhas dedicadas ou privativas (também conhecidas pelos termos Leased lines e Clear
Channel)
 Frame Relay
 Ethernet WANs
 MPLS
 VSAT

Quando utilizamos esses tipos de serviço? Principalmente quando o envio dos dados através da
Internet não for uma opção devido a segurança ou até mesmo por uma política da empresa.

Podem ser mais caros que conexões de Internet de mesma velocidade, pois normalmente
necessitam de mais recursos exclusivos dentro do backbone das prestadoras de serviços de
comunicação.

Para o exame de certificação sem dúvida as tecnologias PPP, HDLC e Frame-relay são as mais
importantes dentre as que vamos tratar a seguir.

8.1.1 Leased Lines – PPP e HDLC


São links ponto a ponto e dedicados a apenas um cliente, sem compartilhamento de banda
entre outros usuários do provedor de serviços. Utilizam os protocolos HDLC e PPP na camada 2
através de linhas seriais. São normalmente mais caros, porém tem sua banda garantida e são
mais seguros pelo fato de não haver compartilhamento. Principais características:

 Na camada física normalmente utilizam TDM (T1/E1 fracionados - nx64kbps ou links T1,
E1, etc.).
 Interface no roteador -> Serial (WIC/HWIC).
 Protocolos de camada-2 -> HDLC e PPP.
 Serviço de WAN esperado -> transmissão dos bits fim a fim com a velocidade
contratada.

Abaixo temos uma topologia típica de circuitos ponto a ponto.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 248


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Portanto vamos relembrar que uma linha dedicada utiliza os CSU/DSUs ou simplesmente
chamado algumas vezes como CSU nas bibliografias, depois entra no backbone do provedor de
serviços, onde diversas tecnologias podem ser utilizadas, chegando em um last-mile até a
unidade remota da empresa.

8.1.2 Circuitos Frame-Relay


Uma rede frame-relay como serviço de WAN também é considerado uma WAN privativa, pois
apesar da possibilidade de compartilhamento de banda, não há compartilhamento de
informações. Os circuitos virtuais criados são privativos e permanentes (PVC).

Normalmente o roteador é do cliente (chamado de CPE) e conecta-se a um switch frame-relay


(SW FR) do provedor de serviços utilizando diversas tecnologias de camada-1, porém as mais
utilizadas são canais E1/T1 fracionais (nx64kbps) ou links E1/T1/E3/T3. Dentro do backbone do
provedor várias tecnologias podem ser utilizadas para encaminhamento das informações.

O que define um link frame-relay no provedor de serviços são os seguintes pontos:

 A velocidade de acesso (Access rate), a velocidade do link físico de acesso ao backbone


que o CPE do cliente será conectado.
 Banda garantida do PVC ou CIR (Commited Information Rate), a qual será a banda
mínima disponibilizada em casos de congestionamento do backbobe frame-relay.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 249


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 Os dados são privados, pois a informação trocada por um cliente não será enviada a
outro cliente -> não existe ponto em comum entre os diversos clientes conectados a um
switch frame-relay sem a criação explícita de um PVC.
 Nos links de acesso, assim como dentro da nuvem quaisquer tecnologias podem ser
utilizadas pelo frame-relay.
 A conexão entre dois endereços chamados DLCI (data-link connection identifier) definem
um circuito entre dois roteadores, chamado de PVC.
 A banda contratada como taxa de acesso será entregue ao cliente, podendo ser baixada
até o mínimo da CIR contratada.

O uso do frame-relay é bem semelhante ao das linhas dedicadas, porém com um custo
reduzido pelo fato de podermos economizar interfaces e também o provedor de serviços poder
compartilhar banda entre clientes.

Apesar da configuração do frame-relay não fazer mais parte dessa revisão do CCNA R&S
(ICND2 e CCNAX) mantivemos esse mínimo sobre a tecnologia para que você possa ter uma
noção básica da existência do protocolo.

As configurações do Frame-relay atualmente fazem parte de um Technote DlteC dentro da


categira Cisco (Painel Dashboard > Menu Technote > Categoria Cisco > Frame-Relay em
Roteadores Cisco).

8.1.3 MPLS - MultiProtocol Label Switching


O MPLS ou MultiProtocol Label Switching é uma tecnologia de encaminhamento de pacotes
baseada em rótulos (labels) que funciona com base na adição de um rótulo (label) nos pacotes
de tráfego na entrada do backbone (chamados de roteadores de borda) e, a partir daí, todo o
encaminhamento pelo backbone passa a ser feito com base neste rótulo.

Comparativamente ao encaminhamento de quadros realizados pelos protocolos de camada-2


que estudamos até o momento, o MPLS torna-se mais eficiente uma vez que dispensa a
consulta das tabelas de roteamento.

Outra vantagem do MPLS é de ser indiferente ao tipo de dados transportado, podendo ser
tráfego IP ou qualquer outro protocolo de camada 3. O MPLS atua praticamente como um
protocolo de camada-3, em algumas bibliografias chegam a colocá-lo como um protocolo de
camada “2,5”, ou seja, entre as camdas 2 e 3 do modelo OSI. Veja a figura abaixo com a
topologia típica do MPLS.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 250


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Este protocolo permite a criação de Redes Virtuais Privadas (VPNs) garantindo um isolamento
completo do tráfego com a criação de tabelas de "labels" (usadas para roteamento) exclusivas
de cada VPN.

Além disso, é possível realizar QoS (Quality of Service) com a priorização de aplicações críticas,
dando um tratamento diferenciado para o tráfego entre os diferentes pontos da VPN. O QoS
cria as condições necessárias para o melhor uso dos recursos da rede, permitindo também o
tráfego de voz e vídeo, sendo um dos diferencias do MPLS.

Com o MPLS podemos utilizar todas as tecnologias estudadas até o momento (frame-relay,
links seriais PPP, família Ethernet, etc) como links de acesso, pois sua missão é “etiquetar” os
pacotes e encaminhá-los através da rede.

Portanto não se assuste ao verificar nos roteadores da empresa onde você trabalha a rede
MPLS utilizando links frame-relay ou PPP chegando a sua interface serial ou gigabitethernet.

Como toda tecnologia de WAN o MPLS tem algumas terminologias próprias, sendo que o mais
importante são os termos: Customer Edge (CE) e Provider Edge (PE).

O customer edge (CE) é normalmente um roteador que está no lado do cliente, em inglês
“customer site”, ou seja, na empresa que está adquirindo o serviço de conexão via MPLS.

Já o provider edge (PE) fica nas pontas do provedor de serviços (SP – Service Provider), na
outra ponta do link de acesso que conecta a rede do cliente com a rede do provedor de
serviços.

Analisando a figura anterior podemos dizer que B1 a B4 são roteadores CEs e os roteadores
sem nome, os quais estão dentro do backbone MPLS são os PEs.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 251


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

8.1.3.1 MPLS VPN E PROTOCOLOS DE ROTEAMENTO

Esse tópico traz alguns pontos que um administrador de redes deve saber sobre a rede MPLS.

Lembre-se que a carreira de Routing & Switching traz a visão do administrador de redes como
cliente dos provedores de serviços (SPs – Service Providers) e ISPs.

Não precisamos saber exatamente como o provedor de serviços trata os labels do MPLS ou
como sua rede funciona internamente, porém devido as VPNs MPLS serem serviços Layer 3,
como clientes de um provedor de serviços precisamos ter noção do que precisamos fazer ou
planejar para que nossos roteadores troquem rotas e pacotes corretamente.

A rede MPLS do provedor vai precisar dos seguintes itens:


 Saber as redes e/ou sub-redes dos seus clientes.
 Precisará rodar um protocolo de roteamento e aprender essas redes e rotas do cliente.
 Utilizará essas rotas e IPs dos clientes para tomar decisões de encaminhamento.

Portanto, dependendo do provedor de serviços o MPLS não será totalmente transparente para o
cliente, por ser justamente um serviço de camada-3, pois a rede MPLS vai precisar saber a
faixa de endereços do cliente e trocar rotas com o ele!

Note que os padrões do MPLS permitem criar diversos outros tipos de serviços, não estão
restritos a apenas VPNs Layer 3 MPLS, mas nós vamos tratar nesse tópico como se
estivéssemos utilizando apenas esse tipo de serviço para fins didáticos por ser o mais utilizado
e também citado na bibliografia oficial.

Se você lembrar da figura do tópico anterior, um roteador CE precisa aprender as rotas dos
outros roteadores CE da rede, porém eles não formam vizinhança entre si, pois estão
conectados aos PEs.

Se considerarmos que nossa rede MPLS é L3, um roteador CE forma vizinhança com o roteador
PE que está conectado ao link de acesso e também é a porta de entrada para a rede MPLS do
provedor. Veja abaixo indicado nas setas.

Mas como vai ocorrer a troca de rotas na rede MPLS?

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 252


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

As redes dos clientes do provedor (nossas redes) serão trocadas com os roteadores PE, os
quais anunciarão essas rotas pelo Backbone MPLS até chegar aos demais roteadores CE. Ou
seja, os clientes aprender rotas através de um protocolo de roteamento que será configurado
entre os PEs e CEs, pois eles sim podem fazer vizinhança e trocar informações de roteamento.

Se o protocolo de roteamento entre PE-CE não for o BGP, para fazer o encaminhamento das
rotas entre PEs até os CEs remotos o provedor de serviços precisará fazer a redistribuição das
rotas dos clientes dentro do backbone, processo chamado de redistribuição de rotas (route
redistribution) e assunto do CCNP ROUTE.

A redistribuição de rotas é um processo onde o roteador PE pega as rotas aprendidas por outras
fontes de roteamento e insere essas informações dentro do processo de roteamento utilizado
pelo backbone MPLS, que normalmente é o Multiprotocol BGP (MPBGP), uma variação do BGP
que permite manter as rotas de diversos clientes separadas entre si.

Essa propriedade do MPBGP é muito útil em uma MPLS VPNs, pois permite que um PE conecte-
se a vários CEs de diferentes clientes permitindo que suas informações fiquem segregadas, ou
seja, logicamente separadas entre si garantindo a segurança das informações trocadas pelos
clientes.

Veja na figura da rede completa que ambos os clientes (link azul e link vermelho) utilizam as
mesmas redes IP sem problema algum, pois o MPBGP separa os clientes, normalmente via
roteamento virtual (VRF), assunto também do CCNP ROUTE.

O MPLS permite que os protocolos como OSPF e EIGRP sejam utilizados pelos roteadores CEs
dos clientes, porém como esses CEs não farão vizinhança direta entre si alguns detalhes de
projeto (design) devem ser levados em consideração quando utilizamos MPLS na WAN.

Agora vamos para finalizar o assunto ver algumas considerações sobre o uso do OSPF e EIGRP
em WANs MPLS VPN, começando pelo OSPF.

Quando utilizamos OSPF nos CEs o backbone MPLS forma uma espécie de rede “OSPF super
backbone” entre os PEs.

Os PEs formam então uma área backbone (área zero) que é chamada de “super backbone”,
sendo que o link entre PE-CE pode estar em quaisquer áreas seja ela de backbone ou não. Por
exemplo, todos os roteadores PE e CE podem estar na área zero e formar uma rede OSPF
Single Area.

Veja exemplo na imagem a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 253


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Com o EIGRP fazendo o roteamento entre PE-CE você pode utilizar o mesmo número de AS
para todos os CEs ou não, pois as vizinhanças são realizadas localmente e as rotas de cada CE
serão redistribuídas entre os PEs.

Como os CEs não formam vizinhança entre si e os PEs não utilizam EIGRP entre eles podemos
utilizar um número de AS diferente para cada link PE-CE.

Porém, devido aos efeitos da redistribuição entre os PEs através do MPBGP recomenda-se
utilizar o mesmo número de AS em todos os CEs, pois com ASs diferentes as métricas do EIGRP
podem sofrer alterações, ou seja, manter o mesmo número de sistema autônomo em todos CEs
deixa a métrica mais realista, mesmo sendo realizado redistribuição no backbone entre os PEs.

8.1.4 Metro Ethernet


Utilizar redes Ethernet em áreas Metropolitanas e geograficamente distribuídas através do uso
conjunto da tecnologia Ethernet permite que links de 100Mbps até 10Gbps sejam utilizados
através de fibra óptica para acesso entre os provedores de serviços e seus clientes.

Esse conceito surgiu de acordo com alguns estudos porque o tráfego de dados estaria
superando o tráfego de voz convencional nas redes metropolitanas, portanto é mais
interessante utilizar uma infraestrutura de transmissão de dados do que uma estrutura
convencional TDM (Time Division Multiplexing) criada para a transmissão de voz, além disso, a
tecnologia Ethernet é uma escolha lógica, devido ao seu baixo custo, flexibilidade e facilidade
de manutenção e operação.

Utilizando esse tipo de serviço para o cliente existe a impressão que ele tem um link ethernet
ponto a ponto, pois a meio de transmissão entre os dispositivos da operadora é transparente
para o cliente.

Falando mais especificamente da rede “metropolitan-area Ethernet”, “Ethernet MAN” ou “Metro


Ethernet network”, é uma arquitetura baseada em padrões Ethernet para conectar clientes a
rede do provedor de serviços, seja para conexão de Internet ou entre pontos da empresa
cliente.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 254


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A vantagem para o cliente é que ele recebe um ponto de rede no padrão Ethernet que é
amplamente conhecido e dominado no mercado.

O padrão Metro Ethernet (MEN – Metro Ethernet Network) define uma topologia composta de
switches no service provider (SP – provedor de serviços), que ficam em um ponto de presença
(PoP – Point of presence), próximo aos clientes e conecta-se a eles utilizando um link de acesso
(last mile) normalmente via fibra óptica padrão Ethernet.

Tudo o que acontece com o link está definido em uma “User Network Interface” ou UNI
(interface de rede de usuário), onde o termo “rede” (network) refere-se a rede do SP, enquanto
o cliente (enterprise ou a própria empresa cliente) é o usuário (user) da rede.

O usuário remoto ou site remoto é também chamado de folha ou leaf e o site central ou matriz
é chamado de root.

Note na figura anterior que os detalhes do provedor de serviços (SP – Service Provider) foram
omitidos, pois nesse momento não é foco do CCNA R&S (ICND2 e CCNAX).

O SP tem a função de encaminhar os quadros Ethernet através da WAN entre os usuários da


rede, ou seja, switches (L2 ou L3) ou roteadores dos clientes. Esse encaminhamento é
realizado através do cabeçalho dos quadros 802.1Q encaminhados pelos trunks indicando cada
VLAN configurada, porém os detalhes de como isso é feito dentro do SP não é relevante nesse
material.

As conexões UNI são definidas pelos padrões Ethernet, os quais alcançam distâncias muito
maiores via fibra que cabos metálicos UTP. Os seguintes padrões podem ser utilizados nos links
de acesso:

Você pode encontrar também o termo “carrier Ethernet” ao invés de Metro Ethernet para definir
esse serviço, o que significa a grosso modo “Ethernet para Provedores de Serviço”.

O Metro Ethernet oferece várias vantagens para provedores e assinantes, tais como não
necessidade de roteador na ponta do cliente, diminuindo custo, flexibilidade, fácil manutenção e

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 255


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

gerenciamento, o cliente lida com uma interface Ethernet comum e bem conhecida, integrando-
se perfeitamente a LAN já instalada, etc.

8.1.4.1 TOPOLOGIAS METRO ETHERNET

A conexão física dos clientes a uma rede Metro Ethernet é normalmente um cabo de fibra óptica
no padrão Ethernet, como citado anteriormente, porém o MEF (Metro Ethernet Fórum) define
vários padrões de conexão lógica entre os dispositivos da rede Metro Ethernet.

Vamos estudar aqui três tipos de especificações, as citadas na bibliografia ocificial da Cisco:
 Ethernet Line Service ou E-Line (topologia ponto a ponto): dois customer premise
equipment (CPE) trocando quadros Ethernet entre si, como linhas dedicadas ponto a
ponto. Os links são chamados e EVCs ou “Ethernet Virtual Connection” (conexão
ethernet virtual).

 Ethernet LAN Service ou E-LAN (topologia full mesh): o mais parecido com uma LAN,
onde todos os CPEs pode trocar quadros entre si. Nessa topologia são criados EVCs
entre todos os usuários, por exemplo, com 3 dispositivos serão necessários 3 EVCs,
porém com 6 sites você precisará de 15 EVCs para fazer a topologia full mesh.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 256


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 Ethernet Tree Service ou E-Tree (topologia hub-and-spoke/partial mesh/ponto-


multiponto): como já estudamos nessa topologia o Hub (switch central) faz o “meio de
campo” para que os demais switches possam se comunicar, ou seja, o Hub fala com
todos os Spokes, porém os Spokes não falam entre si diretamente.

Em termos de projeto da rede IP no E-Line você precisa de uma sub-rede /30


(255.255.255.252) com dois IPs para cada link entre sites. Nessa topologia os protocolos de
roteamento conseguem formar vizinhança como em redes ponto a ponto, por exemplo, R1 terá
R2 e R3 como vizinhos, já R2 terá R1 e R3 também somente R1 em sua tabela de vizinhança.

Para as redes E-LAN e E-Tree devemos utilizar uma sub-rede apenas para identificar cada site,
como fazemos em uma LAN, por exemplo, uma rede com 14 pontos precisaria de uma rede /28
(255.255.255.240).

Para o projeto ambas as topologias E-LAN e E-Tree utilizam o mesmo princípio, porém em
termos de vizinhança os protocolos EIGRP e OSPF na topologia E-LAN terá um comportamento
parecido com redes LAN Ethernet.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 257


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Já no E-Tree o Hub formará vizinhança com os Spokes, porém os Spokes não devem formar
vizinhança entre si por padrão, além disso, se considerarmos R1 como Hub, os pacotes
enviados de R3 a R2 devem sempre passar por R1.

8.1.4.2 BANDWIDTH PROFILES – CONTROLANDO A LARGURA DE BANDA

Por último vamos estudar sobre como o Metro Ethernet trata o uso da banda dos links WAN
através dos EVC Bandwidth Profiles (BWP).

Os provedores de serviço precisam de uma maneira mais flexível de cobrar pelo uso da sua
banda que simplesmente cobrar o valor integral do link, pois dessa maneira links com
velocidade ou largura de banda mais alta teriam um custo impraticável.

Lembrem que estudamos anteriormente que os links metro ethernet podem ir de 10Mbps,
100Mbps até 10Gbps, um link de 10 a 100Mbps podem ter preços razoáveis, mas 1Gbps é uma
velocidade muito melhor, mas provavelmente você pagaria muito por uma banda que não
utilizaria.

Por exemplo, você tem um link de Internet de 100Mbps na empresa e descobriu que está
chegando no limite, mas com apenas mais 50Mbps, ou seja, um total de 150Mbps já teria
banda suficiente para atender a todos so usuários.

Se considerarmos em um link único, você precisaria de 1Gbps, mas aí pagaria por uma banda
extra não utilizada.

O MetroE (Metro Ethernet ou MEN) utiliza o conceito de Ethernet Virtual Connection (EVC)
amarrado ao um número de bits/segundo garantido chamado Committed Information Rate
(CIR) à aquele EVC.

Ou seja, você tem um link de 1Gbps com um CIR de 150Mbps, o que significa que o provedor
de serviços vai se comprometer a entregar no mínimo 150Mbps de banda no seu circuito,
podendo até deixar que você navegue em velocidade maior quando a rede está livre, porém em
casos de congestionamento você tem garantido 150Mbps do total disponível de 1Gbps.

Nos casos de topologias Hub-and-spoke o link principal (root) deve ter um CIR combinado que
suporte todas as CIRs das unidades remotas (de cada leaf), isso deve ser considerado para
todos os EVCs que cruzam o link.

Para proteger a rede de um tráfego excessivo, o que pode chegar a parar o backbone do
provedor, esse provedor de serviços aplica políticas de QoS como “policing and shaping”,
monitorando o tráfego em cada EVC e descartando o que ultrapasse o CIR.

Para evitar que muito tráfego seja descartado em casos de congestionamento da rede, o
provedor de serviços preferencialmente faz a redução da banda enviada no EVC até que ela
atinga o CIR. Para isso é preciso fazer o “traffic shaping” no roteador do cliente.

Tanto o policing como traffic shaping serão estudados no tópico específico sobre QoS.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 258


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

8.1.5 VSAT – Links via Satélites


As opções anteriores necessitam sempre de algum tipo de cabeamento ou links de rádio que
necessitam de linha de visada (um ponto enxergar o outro) para possibilitar a conexão física
até o backbone do provedor de serviços.

Mas e se a empresa onde você trabalha não está próxima a um grande centro ou está fazendo
obras no meio da selva amazônica, será que é viável passar um cabeamento nesse caso? Com
certeza não, pois pode sair uma fortuna!

Nesses casos existe a opção de utilizar um link WAN via satélite com a tecnologia chamada
VSAT (Very Small Aperture Terminal).

Uma rede VSAT é composta de um número de estações VSAT e uma estação principal (“hub
station”). A estação principal dispõe de antena maior e se comunica com todas as estações
VSAT remotas, coordenando o tráfego entre elas, além disso, ela também serve como ponto de
interconexão para outras redes de comunicação. Veja a imagem a seguir.

Para resumir, uma rede VSAT forma também uma WAN privativa (como a criada pelas linhas
privadas e frame-relay), porém pode ser utilizada para conectar unidades distantes ao
backbone de rede corporativo.

8.2 Opções de WAN Pública

Quando falamos de WAN pública estamos falando de acesso à Internet através de um Internet
Service Provider (ISP).

Lembre-se que já comentamos anteriormente e também no CCENT que quaisquer tecnologias


estudadas até o momento podem ser utilizadas como link de acesso à Internet, por exemplo,
podemos conectar a rede corporativa à Internet via:

 Links serias PPP ou HDLC através de T1 ou E1


 Circuitos Frame-relay através de T1 ou E1
 VSAT
 Links ópticos padrão ethernet, etc.

Nesse tópico vamos tratar mais uma vez do assunto já estudado no CCENT que são as
tecnologias de banda larga xDSL e Cable Modem, porém vamos também estudar as opções de
acesso discado, acesso via tecnologia móvel (3G/4G) e a configuração do PPP over Ethernet
(PPPoE).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 259


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

8.2.1 Acesso via Modem Discado e ISDN


Quando falamos de Internet discada ou dial-up via modem analógico através de uma linha
telefônica analógica convencional pode parecer meio estranho para muitos alunos, pois essa é
uma tecnologia que iniciou o acesso à Internet com velocidades baixas de 19kbps, 33kbps
chegando a um máximo de 56kbps, sem tecnologias de compressão de dados.

Porém, foi muito utilizada desde a década de 90 até o surgimento do ISDN e posteriormente
das tecnologias xDLS, por exemplo, o ADSL.

Nesse tipo de solução de acesso temos um backbone que é o sistema de telefonia, o qual
tradicionalmente é analógico, portanto para trafegar dados nesse meio de comunicação é
necessário primeiro converter os dados em um sinal analógico, transmitir o sinal na linha e na
outra ponta converter novamente o sinal modulado em bits e bytes do sinal digital. Veja a
figura a seguir com um exemplo de conexão com a Internet via modem analógico.

No lado da Internet o provedor de serviços precisa ter um banco de modems ou um RAS, já


citado anteriormente no tópico sobre PPP, para receber as ligações telefônicas dos seus
clientes. Normalmente existe um número único de telefone onde os clientes se conectam e se
autenticam para acessar a Internet via modem discado. Esse ponto onde estão localizados os
equipamentos do ISP é chamado de Ponto de Presença (Point of Presence ou PoP).

Veja um exemplo de topologia dial-up onde os clientes podem acessar seu PoP através de
modems analógicos externos ou placas fax/modem internas. No provedor de serviços temos o
telefone de acesso 3004-2110 e quem está recebendo as conexões é um roteador que possui
um canal E1 capaz de agregar até 30 clientes em um só link. Lembre-se que tanto o E1 como o
T1 pode ser utilizado para receber tanto chamadas de voz como conexões de dados.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 260


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

As linhas ISDN (Integrated Services Digital Network ou Rede Digital de Serviços


Integrados) é uma evolução da telefonia convencional, onde ao invés de trafegar na linha um
sinal analógico, o circuito entre a central telefônica ISDN e o terminal do usuário é 100%
digital.

O ISDN tem dois tipos de serviços:

 BRI: Basic Rate Interface que pode ter um ou dois canais de 64Kbps para o usuário
trafegar voz ou dados, por isso um telefone ISDN com dois canais de 64kbps pode ter
dois números de telefone, podendo utilizar um para conversar e outro para trafegar
dados a 64kbps.
 PRI: Primary Rate Interface que pode ser implementado em um link T1 (23 canais de
voz ou dados) ou E1 (30 canais de voz ou dados). Portanto o PRI traz um canal ISDN
agregado em um link de mais alta velocidade, utilizado normalmente para servir como
ponto de agregação para vários usuários que se conectarão à rede ou à Internet via
canais BRI.

Veja topologia abaixo utilizando acesso à Internet a um PoP que tem telefone de acesso 3004-
2110 e agrega as conexões dos seus clientes de Internet via ISDN através de um link PRI T1
(23 canais de voz para conexão via modem analógico interno do roteador).

Ambas as tecnologias de acesso dial ou ISDN utilizam as linhas telefônicas via par metálico
chamadas de “loop local” e atualmente estão caindo em desuso para acesso à Internet, porém
você ainda pode encontrar esse tipo de solução como backup de baixa velocidade.

Lembre-se que uma linha analógica chega a 56kbps sem compactação e uma linha ISDN BRI
pode chegar a 128kbps.

É importante frisar aqui que tanto uma linha analógica em um dial-up como o ISDN está
fornecendo acesso à camada-1 para o computador que deseja acessar a Internet. Na camada
de enlace os ISPs podem utilizar, por exemplo, o protocolo PPP com autenticação CHAP para
garantir que somente usuários autenticados e com as devidas permissões acessem a Internet.

O mesmo conceito deve ser utilizado quando utilizamos esse tipo de serviço como acesso
backup, pois senão qualquer roteador poderia discar para o número do telefone do RAS ou do
um dos roteadores das unidades que usam esse tipo de conexão e acessar a rede corporativa.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 261


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Lembre-se que tanto no dial-up analógico quanto utilizando ISDN é preciso efetuar uma ligação
telefônica para que a comunicação de Internet seja estabelecida, elas não estão sempre ativas.
Além disso, o ISDN forma um canal simétrico com a Internet, ou seja, mesma velocidade de
download (Internet -> Cliente) como de Upload (Cliente -> Internet). Isso é importante porque
as opções de banda larga nem sempre são assim, ou seja, tem velocidades diferentes para
cada sentido, sendo consideradas assimétricas.

8.2.2 Entendendo o Acesso Banda Larga xDSL


Os DSLs (Digital Subscriber Line ou xDSL) são tecnologias de comunicação de dados que
permitem a transmissão de dados mais rápida através de linhas de telefone quando
comparamos a taxa que um modem convencional pode oferecer, permitindo o
compartilhamento da voz analógica tradicional com dados de alta velocidade (banda larga).

A grande vantagem das tecnologias xDSL, tais como o ADSL, é o aproveitamento da


infraestrutura de pares metálicos utilizados pela rede de telefonia convencional para prover
serviços de maior valor agregado à clientes residenciais e corporativos.

Uma das principais tecnologias é o ADSL, o qual foi concebido em 1989 através de modems
chamados "assimétricos". O “A” da sigla ADSL se dá devido à transmissão ser assimétrica
(Asymmetric), diferenciando-o de outros formatos, ou seja, teremos um canal de comunicação
mais rápido para receber os dados (download ou downstream) e outro mais lento para enviar
(upload ou upstream) os dados. Veja a figura abaixo.

O ADSL utiliza de técnicas de modulação (padrões da ANSI e ETSI usam os esquemas de


modulação DMT) para a transmissão do sinal, ou seja, a voz ficará na faixa de frequência até
4kHZ, enquanto o sinal de upload e download do ADSL em outras faixas de frequência,
permitindo o uso do mesmo meio de transmissão para a voz e dados.

A topologia do ADSL integra duas redes que normalmente são distintas nas operadoras, a rede
de voz convencional e a rede de dados. O ADSL terá um dispositivo que fará conexão via a
tecnologia IP (normalmente utilizando ATM na camada 2) com a rede de dados e transformará
esse sinal de dados em um padrão modulado, o qual será inserido junto com o sinal de voz no
mesmo par metálico. No cliente ele será novamente dividido com um splitter (divisor de
frequências) em dois sinais, um de voz que vai para seu telefone e outro de dados que vai para
o modem ADSL. Veja o que foi explicado acima na figura a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 262


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que o equipamento que faz a interconexão com a Internet e gera o sinal ADSL é chamado
de DSLAM ou “DSL Access Multiplexer”. Ele é responsável por modular os dados em uma
frequência que seja possível de passar pelo cabo metálico e chegar até as residências ou
escritórios que utilizam o serviço de dados via ADSL. De outro lado temos uma central
telefônica convencional ligada no mesmo par metálico e o seu sinal é misturado com o de dados
antes de ser enviado na linha (POTS Splitter). Ao chegar à casa do cliente outro splitter fará a
separação do sinal que irá para o telefone e para o modem ADSL, ou seja, separa a voz dos
dados.

No lado do cliente podemos utilizar um modem ADSL, normalmente chamado de roteador


ADSL, pois ele também acaba fazendo outros papéis dentro da rede dos clientes. Outras opções
são utilizar uma placa de rede ADSL diretamente no computador ou então utilizar uma interface
ADSL em um roteador comercial, por exemplo, uma WIC-1ADSL nos roteadores da Cisco.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 263


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

8.2.3 Entendendo o Acesso Banda Larga via Cable Modem


Assim como as tecnologias DSL tiram proveito da rede metálica existente para telefonia
convencional para transmitir dados de alta velocidade, o cable modem utiliza o mesmo
princípio, porém encima de uma rede de cabos coaxiais utilizadas para prover serviços de TV a
cabo.

A banda larga via cable modem utiliza também faixas de frequências livres para envio de
sinais de dados com intuito de conectar os assinantes de TV a cabo à Internet utilizando o
mesmo meio físico, por isso as tecnologias DSL e Cable para banda larga tem muita
similaridade, porém funcionam de maneira distinta uma da outra.

Na tecnologia de Cable o sinal da Internet chega ao mesmo cabo coaxial que o sinal de TV, um
spliter é utilizado para conectar o mesmo cabo a um Cable Modem e ao Set-top-box (receptor
de TV) do cliente. Veja figura abaixo.

Podemos concluir que ambas as opções de banda larga são interessantes para empresas que
possuem pequenos escritórios remotos e funcionários que trabalham em suas casas, sendo que
a melhor escolha depende da oferta local de serviços e preços oferecidos pelos provedores.
Outro ponto importante na decisão é a largura de banda, pois muitas vezes os serviços de
banda larga podem ter restrições de velocidade de acordo com a região em que o usuário final
se encontra.

As soluções mais encontradas no mercado de cable modem também trabalham de forma


assimétrica como o ADSL, ou seja, possuem uma velocidade mais alta de download (Internet -
> Cliente) do que para upload (Cliente -> Internet). Por exemplo, você pode ter em um cable
modem uma velocidade de download para baixar arquivos da Internet de 10Mbps, já para subir
informações em direção à Internet de apenas 1Mbps.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 264


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

8.2.4 Acesso Banda Larga Celular - 3G/4G


Não poderíamos deixar de lado o acesso de dados via Celular, pois atualmente é raro quem não
tenha um smartphone sem acesso à Internet via 3G, principalmente que está na área de redes
ou TI, pois ter a Internet à mão e em qualquer lugar já se tornou quase que uma necessidade
para muitos administradores de rede.

No mundo corporativo o acesso à Internet via tecnologias móveis tem tomado cada vez mais
importância para disponibilização de métodos de pagamento em suas lojas ou para que os
vendedores que necessitam mobilidade acessem sistemas e registrem pedidos, etc.

Podemos também fazer a contingência (redundância) do link de Internet em unidades remotas


utilizando acesso móvel. Por exemplo, uma unidade tem um link principal via ADSL e não pode
ficar sem Internet devido aos seus sistemas e processos internos, uma opção para esse tipo de
necessidade é colocar um roteador da série 800 com acesso ADSL e 3G/4G, configurando uma
rota para a Internet de maior custo (AD maior), assim se o ADSL cair o acesso 3G/4G será
utilizado sem que os usuários percebam o problema.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 265


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

9 Configurando e Verificando o eBPG Single Homed


Provavelmente esse é um assunto muito esperado por muitos alunos, pois o BGP é o protocolo
de roteamento que a Internet utiliza e tem toda uma mística que o envolve.

O CCNA R&S em seus exames ICND2 e CCNAX vai cobrar os conceitos do BGP externo
(External BGP ou eBGP) conectado somente a um provedor de serviços (Single Homed), por
isso esse capítulo chama-se: “Configurando e Verificando o eBPG Single Homed”.

O BGP (Border Gateway Protocol) é um protocolo de roteamento externo (EGP ou External


Gateway Protocol), ou seja, sua função é trocar informações de roteamento entre redes ou
sistemas autônomos diferentes. É o protocolo usado entre os prestadores de serviços de
Internet (ISPs) e também pode ser usado entre uma empresa e um ou mais ISPs. Acompanhe
na figura abaixo onde temos uma nuvem de roteadores BGP interconectando vários sistemas
autônomos, tais como ISP’s e demais empresas que são AS’s.

Um detalhe interessante de se notar é que o BGP foi construído para a confiabilidade, controle e
escalabilidade, porém não se preocupando com a velocidade, portanto, ele se comporta de
maneira diferente dos protocolos de roteamento internos ou IGPs que estudamos até o
momento. Você vai notar quando iniciar suas configurações de BGP que até para subir ele é
mais lento que o OSPF e EIGRP.

Vamos abaixo a algumas definições e termos importantes do mundo do BGP:

 Os roteadores rodando BGP são denominados "BGP speakers".


 Utiliza o conceito de Sistemas Autônomos (AS - Autonomous Systems), sendo que
um sistema autônomo é um grupo de redes sob uma administração comum.
 Normalmente os sistemas autônomos executam um Interior Gateway Protocols (IGP)
dentro do sistema, tais como OSPF, EIGRP, RIP ou IS-IS.
 Para conexão entre os ASs utilizamos um Exterior Gateway Protocol (EGP), o qual temos
o BGP versão 4 como única opção de EGP atualmente utilizada na Internet. O
roteamento entre sistemas autônomos é chamado "roteamento interdomain" ou
"interdomain routing".
 Existem duas versões de BPG: EBGP (BGP Externo para uso entre ASs) e IBPG (BGP
Interno para uso dentro do AS). A distância administrativa para rotas EBGP é 20, já a
distância administrativa para rotas IBGP é de 200.
 Os vizinhos do BGP são chamados de "pares" ou "peers" e devem ser configurados
estaticamente, não há descoberta dinâmica de vizinhos como no OSPF e EIGRP.
 O BGP utiliza a camada de transporte na porta TCP 179 para troca incremental de
mensagens, atualizações de roteamento e keepalives periódicos.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 266


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 Os roteadores podem executar apenas uma instância de BGP (apenas um número de AS


configurado em cada roteador).

O BGP é um protocolo considerado "path-vector" ou "vetor de caminho", sendo que uma rota
BGP para determinada rede de destino é formada por uma lista de sistemas autônomos que
determinam o caminho até aquela rede. Se compararmos com os IGPs o BGP é bem parecido
com o RIP, porém ao invés de número de saltos entre roteadores ele utiliza a quantidade de
sistemas autônomos que essa rota irá atravessar até o destino. Essa métrica pode também ser
composta por outros valores de decisão, ou seja, o administrador de redes pode influenciar de
maneira mais flexível nessa tomada de decisão.

O mecanismo de prevenção de loop do BGP é o próprio número de sistema autônomo de todos


os ASs por onde uma rota deve passar até alcançar a rede de destino. Quando uma atualização
de roteamento sai do sistema autônomo, esse número de AS é prefixado na lista de sistemas
autônomos da atualização de roteamento. Quando um sistema autônomo recebe uma
atualização ele examina essa lista e se encontrar seu próprio número de sistema autônomo nela
a atualização é descartada, pois existe um loop nesse caminho. Veja a figura abaixo com um
exemplo da detecção de loop pelo AS 1000 quando recebe a rota para a rede 1.1.1.0/24
anunciada por ele mesmo através do AS 400.

Enquanto os IGPs anunciam blocos de endereços chamados subnets ou sub-redes, com o BGP
chamamos de blocos de endereços (blocks of addresses ou address block) ou então prefixos
(prefixes). O nome mais formal utilizado pelo BGP para os prefixos é Network Layer
Reachability Information (NLRI).

O BGP Interno (Internal BGP ou IBGP) é utilizado para fazer a vizinhança do BGP entre
roteadores internos do Sistema Autônomo. Já o BGP Externo (External BGP ou EBGP) é
utilizado para estabelecer relacionamento através do BGP entre roteadores de ASs diferentes.
Aqui é importante ter em mente que o BGP trata os updates enviados por pares internos de
maneira diferenciada em relação aos updates de pares externos recebidos pelo EBGP.

Outro conceito importante em relação ao IBGP é que os neighbors (vizinhos) não têm a
obrigação de estar diretamente conectados através de um circuito físico, ou seja, pode-se criar
conexões virtuais entre os pares IBGP. Já os peers que trocam informações via EBGP devem
estar diretamente conectados através de um link serial ou interface LAN, por exemplo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 267


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Veja a figura abaixo onde os roteadores R1, R3 e R5 estão conectando diferentes ASs através
do BGP externo. Note também que no AS 200 os roteadores R5, R6 e R7 formam conexões
internas no AS através do IBGP, além disso, não há conexão física entre R5 e R7, porém
mesmo assim é possível fazer com que o IBGP seja trocado entre esses roteadores.

Antes que os roteadores BGP ou "BGP speaker" possam ser um par ou "peer" com seu vizinho,
há a necessidade de uma configuração estática que definirá essas vizinhanças. Após definidos
os vizinhos via comando, uma sessão TCP deve ser estabelecida, por isso o endereço IP
utilizado na configuração dos pares e vizinhos deve ser alcançável, ou seja, pertencer a uma
rede diretamente conectada ou que seja conhecida entre os vizinhos.

É importante que os roteadores internos do AS que rodam o IBGP tenham conexões full-
meshed entre si, pois o BGP também está sujeito ao split horizon e impede que vizinhos IBGP
recebam atualizações uns dos outros dentro do mesmo AS, por isso conexão entre todos os
vizinhos internos é necessária.

A configuração do iBGP não faz parte do conteúdo do CCNA R&S e sim do CCNP R&S.

9.1 Configurações do eBGP Single Homed

A configuração do BGP é um pouco diferente das que realizamos para os IGPs (OSPF, EIGRP e
RIPv2), pois o BGP não forma vizinhança automaticamente como os IGPs, seu comando
network também tem um funcionamento diferente.

Com o BGP primeiro você precisa definir o número do sistema autônomo, depois configurar os
vizinhos (neighbors) do seu roteador local com o comando “neighbor and-IP-do-vizinho remote-
as num-do-AS” para que ele troque informações de roteamento.

Para inserir os prefixos de rede no processo de roteamento do BGP utilizamos também o


comando network, redistribuição ou aprendendo prefixos de um vizinho.

Uma vez configurado corretamente o BGP abre uma conexão com a porta TCP 179, aguardando
mensagens do seu vizinho. Se o vizinho foi também corretamente configurado a conexão TCP é
formada e o processo do BGP vai decidir se eles realmente serão vizinhos ou não.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 268


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O BGP então vai trocar algumas mensagens, uma vez decidido que está tudo correto os
roteadores tornam-se vizinhos (peers) e estão aptos a começar a troca de informações de
roteamento (Updates).

Para iniciar a configuração você deve entrar em modo de configuração global com o comando
“router bgp asn”, onde o “asn” é o número do AS utilizado pela empresa ou ISP.

No eBGP single-homed temos um link direto entre dois roteadores que precisam ser eBGP peers
(pares eBGP), por isso podemos utilizar os endereços das interfaces que conectam os
roteadores como referência. Isso é realizado com o comando “neighbor peer-ip-address” dentro
do modo de configuração do BGP, onde o peer-ip-address é o endereço IP do roteador vizinho.

Você pode desativar um vizinho dando um shutdown nele com o comando “bgp peer-ip-address
shutdown”, onde o peer-ip-address é o endereço IP do roteador vizinho que você quer fechar a
sessão BGP, dessa maneira não há mais vizinhança e os vizinhos param de trocar updates.

Veja topologia e exemplo a seguir, onde R1 tem o ASN 100 e deve formar vizinhança com R3
(ASN 200).

Roteador R1:
R1(config)#router bgp 100
R1(config-router)#!--- Ativa o BGP no sistema autônomo 100
R1(config-router)#!
R1(config-router)#neighbor 200.200.200.2 remote-as 200
R1(config-router)#!
R1(config-router)#!--- Especifica que o endereço 200.200.200.2
R1(config-router)#!--- do AS remoto 200 faz uma conexão EBGP
R1(config-router)#!--- entre R1 e R3
R1(config-router)#

Roteador R3:
R3(config)#router bgp 200
R3(config-router)#!--- Ativa o BGP no sistema autônomo 200
R3(config-router)#!
R3(config-router)#neighbor 200.200.200.1 remote-as 100
R3(config-router)#!
R3(config-router)#!--- Especifica que o endereço 200.200.200.1
R3(config-router)#!--- do AS remoto 200 faz uma conexão EBGP
R3(config-router)#!--- entre R3 e R1

Com as configurações acima as vizinhanças entre R1/R3 irão subir e a mensagem de sucesso
deve ser mostrada conforme abaixo:

R3(config-router)#
*Mar 1 00:27:12.539: %BGP-5-ADJCHANGE: neighbor 200.200.200.1 Up

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 269


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Com o comando "show ip bgp summary" podemos verificar que agora R1 tem os dois vizinhos
funcionando normalmente:

R1#sho ip bgp summary


BGP router identifier 200.200.200.1, local AS number 100
BGP table version is 1, main routing table version 1

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd


200.200.200.2 4 200 6 6 1 0 0 00:02:01 0
R1#

Agora vamos configurar o comando "network" para iniciar a troca de informações de


roteamento:

R1(config)#router bgp 100


R1(config-router)#network 200.200.200.0 mask 255.255.255.252
R1(config-router)#network 100.100.100.0 mask 255.255.255.0

R3(config)#router bgp 200


R3(config-router)#network 200.200.200.0 mask 255.255.255.252

Com os comandos "show ip bgp" podemos ver o banco de dados do BGP e com o "show ip
route" a tabela de roteamento, veja a saída do roteador R1 após a configuração completa:

R1#show ip bgp
BGP table version is 4, local router ID is 200.200.200.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path


* i100.100.100.0/24 100.100.100.2 0 100 0 i
*> 0.0.0.0 0 32768 i
* 200.200.200.0/30 200.200.200.2 0 0 200 i
*> 0.0.0.0 0 32768 i

R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

200.200.200.0/30 is subnetted, 1 subnets


C 200.200.200.0 is directly connected, FastEthernet0/1
100.0.0.0/24 is subnetted, 1 subnets
C 100.100.100.0 is directly connected, FastEthernet0/0
R1#

Nos IGPs o comando network inicia o processo de roteamento em uma interface, ou seja,
selecionamos as interfaces que farão parte do processo do IGP.

No BGP esse comando diz ao roteador para originar anúncios sobre aquela rede, não
necessitando que essa rede esteja diretamente conectada ao roteador, precisa apenas que ela

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 270


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

esteja presente na tabela de roteamento. Teoricamente pode ser anunciada até mesmo uma
rede que não pertence ao mesmo AS, porém isso não é recomendado.

Ao anunciar uma rede com o comando network o BGP anuncia a rede padrão classful A, B ou C
que a subnet pertence. Para anunciar uma subnet é preciso utilizar a opção "mask", conforme
realizado no exemplo de configuração básica do BGP anteriormente onde especificamos a
máscara de sub-rede em todos os anúncios.

Na tabela de roteamento é preciso conter a mesma rede e máscara (prefixo e máscara de sub-
rede) para que a rede listada no comando "network" antes que os anúncios do BGP possam
repassar essa rota para seus vizinhos, processo chamado também de "injeção da rota" (injetar
a rota ou route inject).

Você pode ainda utilizar o comando network para anunciar uma rede classe cheia, por exemplo,
uma classe C /24 inteira sem utilizar a opção “mask” ou anunciar blocos não contínuos criando
uma rota estática de descarte (null route).

Por exemplo, você tem as sub-redes 200.0.0.0/29 e 200.0.0.128/26 e não quer anunciar essas
duas rotas, mas sim uma rota só /24 “200.0.0.0/24”.

Não será possível fazer isso direto porque a rede 200.0.0.0/24 não existe na tabela de
roteamento, por isso o BGP não pode anunciá-la.

Então você pode criar uma rota estática de descarte e fazer o anúncio, veja como fica abaixo.

ip route 200.0.0.0 255.255.255.0 null0


!
router bgp 100
network 200.0.0.0 mask 255.255.255.0

Quando chegar um pacote com destino para 200.0.0.0/24 através das rotas mais específicas
/29 e /26 será feito o encaminhamento corretamente.

Se chegar um pacote para uma rede diferente das duas que você possui na sua tabela, por
exemplo, destino 200.0.0.254 o pacote simplesmente será descartado, pois utilizará a rota
genérica criada apontando para null 0, que é um descarte de pacotes.

Por último, mas somente para que você possa realizar testes em laboratório, é possível fazer o
BGP anunciar uma rota padrão ao vizinho. Basta criar uma rota padrão de descarte e anunciar a
rede 0.0.0.0 (ip route 0.0.0.0 0.0.0.0 null0, router bgp 100 e network 0.0.0.0).

Na prática podemos receber anúncios completos (full route), parciais ou somente rota padrão
dos vizinhos. Mas se o BGP roteia a Internet porque não conhecer todas as rotas? Você deve
estar se perguntando.

Atualmente somente para IPv4 são mais de 600mil rotas, imagine o processamento e memória
dos roteadores para lidar com essa quantidade de informações! Por isso mesmo aprender todas
as rotas nem sempre é uma opção viável, principalmente para pequenos sistemas autônomos.

9.2 Verificando o eBGP

Para iniciar a verificação você pode utilizar o comando “show tcp brief” e verificar se a porta
TCP 129 está realmente aberta.

Em seguida pode utilizar o comando "show ip bgp neighbors", o qual mostra a lista de peers e o
status das sessões BGP, sendo que podemos encontrar os seguintes estados do BGP:

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 271


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 Idle: Sem relacionamento de vizinhança estabelecida e o roteador está procurando pelo


vizinho. "Idle (admin)" significa que o relacionamento da vizinhança foi colocado em
shutdown pelo administrador.
 Connect: Handshake do TCP foi completado com sucesso.
 OpenSent ou Active: Uma mensagem de open foi enviada para tentar estabelecer
vizinhança mas ainda não teve resposta.
 OpenConfirm: O roteador local recebeu uma resposta à mensagem de open enviada.
 Established: A sessão BGP está estabelecida, este é o estado final desejado que
representa que o relacionamento de vizinhança foi completado com sucesso.

Essa informação também pode ser obtida com o comando “show ip bgp summary”, no campo
“State/PfxRcd”.

Você também pode utilizar os comandos “show ip route” e a opção “longer-prefixes” para listar
todos os prefixos dentro de um range definido, vamos mostrar um exemplo a seguir.

No exemplo de configuração anterior analisamos as saídas de comandos show de R1, agora


vamos analizar de R3. Vamos iniciar com o comando show tcp brief para verificar a sessão TCP
aberta na porta 179.

R3#show tcp brief


TCB Local Address Foreign Address (state)
110FFB00 200.200.200.2.1025 200.200.200.1.179 ESTABLISHED

Agora vamos verificar a vizinhança com o comando “show ip bgp summary”.

R3#show ip bgp summary


BGP router identifier 200.200.200.2, local AS number 200
BGP table version is 3, main routing table version 6
2 network entries using 264 bytes of memory
2 path entries using 104 bytes of memory
1/0 BGP path/bestpath attribute entries using 92 bytes of memory
2 BGP AS-PATH entries using 48 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 1) using 32 bytes of memory
BGP using 540 total bytes of memory
BGP activity 1/0 prefixes, 2/0 paths, scan interval 60 secs

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd


200.200.200.1 4 100 7 6 3 0 0 00:04:52 4

Veja que nesse comando podemos verificar o AS local na primeira linha (200) e nas últimas
linha temos o vizinho (neighbor), AS do vizinho (100) e o estado está como 4, portanto está
havendo troca de prefixos e a vizinhança fo formada.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 272


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Se você der um shutdown no R1 ele vai aparecer nessa linha como idle.

Agora vamos analisar as rotas, iniciando com o comando show ip bgp.

R3#show ip bgp
BGP table version is 4, local router ID is 200.200.200.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path


*> 100.100.100.0/24 200.200.200.1 0 0 0 100 i
*> 200.200.200.0/24 0.0.0.0 0 0 32768 i
* 200.200.200.1 0 0 0 100 i

Note qu o asterisco significa que a rota é válida e o sinal de maior que ela é o melhor caminho.
Além disso, o “i” indica que são rotas internas.

Note que a rede 100.100.100.0/24 tem como próximo salto R1 (Next Hop 200.200.200.1) e
veio pelo AS 100 apenas, ou seja, saltou um AS: “do AS 100 já chegou no AS local 200”.

A rede local 200.200.200.0/24 aparece com próximo salto em 0.0.0.0, ou seja, é uma rota
diretamente conectada.

Vamos agora inserir algumas rotas como citamos nos exemplos do tópico anterior em R1 e
analisar as saídas. Vamos criar as sub-redes 200.0.0.0/29 e 200.0.0.128/26 para podermos
criar a rota de descarte 200.0.0.0/24, assim como vamos criar uma rota padrão em R1, veja o
resumo das configurações abaixo.

R1(config-if)#int loop 1
R1(config-if)#ip add 200.0.0.129 255.255.255.192
R1(config-if)#no shut
R1(config-if)#int loop 0
R1(config-if)#ip add 200.0.0.1 255.255.255.248
R1(config)#ip route 200.0.0.0 255.255.255.0 null 0
R1(config)#ip route 0.0.0.0 0.0.0.0 null 0
R1(config)#router bgp 100
R1(config-router)#network 200.0.0.0
R1(config-router)#network 0.0.0.0

Vamos a saída do comando show ip bgp em R3 com as duas novas rotas para 200.0.0.0/24 e a
padrão 0.0.0.0/32.

R3#sho ip bgp
BGP table version is 9, local router ID is 200.200.200.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path


*> 0.0.0.0/32 200.200.200.1 0 0 0 100 i
*> 100.100.100.0/24 200.200.200.1 0 0 0 100 i
*> 200.0.0.0/24 200.200.200.1 0 0 0 100 i
*> 200.200.200.0/24 0.0.0.0 0 0 32768 i
* 200.200.200.1 0 0 0 100 i

R3#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 273


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Em R1 podemos entrar com o comando show ip route para a rede 200.0.0.0 e a opção longer
prefixes para analisar a rota.

R1#show ip route 200.0.0.0 255.255.255.0 longer-prefixes


200.0.0.0/24 is Variably subnetted, 2 subnets, 2 masks
C 200.0.0.0/29 is directly connected, Loopback0
C 200.0.0.128/26 is directly connected, Loopback1
R1#

Veja o show ip route em R3 com a informação da rota padrão e a rota para 200.0.0.0/24
inseridas. Note que as rotas aprendidas via BGP tem o indicador “B” na frente e distância
administrativa 20.

R3#sho ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is 200.200.200.1 to network 0.0.0.0

* 0.0.0.0/32 is subnetted, 1 subnets


B* 0.0.0.0 [20/0] via 200.200.200.1, 01:10:33
100.0.0.0/24 is subnetted, 1 subnets
B 100.100.100.0 [20/0] via 200.200.200.1, 01:10:33
B 200.0.0.0/24 [20/0] via 200.200.200.1, 01:10:33
C 200.200.200.0/24 is directly connected, Serial0/0/0
R3#

Como o roteador utilizado não era IOS versão 15 não aparecem as rotas locais (L).

Dica: você pode repetir esse laboratório prático e todos os comandos mostrados no Packet
Tracer a partir da versão 6, pois ele suporta a parte básica do BGP.

Com isso finalizamos os tópicos do capítulo!

10 Resumo dos Comandos de Configuração do Capítulo


Dessa vez o resumo dos comandos que devem ser estudados para os exames ICDN-2 (200-
105) e CCNA Accelerated (200-125) não trará a explicação, em caso de dúvidas consulte o
capítulo específico para entender a utilização de cada um deles. Isso porque a explicação sem
um contexto torna o comando muitas vezes com difícil explicação.

Os comandos do PPPoE estudados também são importantes para a prova e devem ser
lembrados e entendidos, porém como acabamos de mostrar não serão inseridos no resumo.

Comandos do HDLC e PPP

 encapsulation {hdlc | ppp}


 [no] shutdown
 clock rate velicidade-bps
 bandwidth velocidade-kbps
 description texto
 ppp authentication {pap | chap | pap chap | chap pap}
 username hostname-vizinho password senha

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 274


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Comandos do GRE

 interface tunnel núm-interface


 tunnel source tipo-da-interface núm-interface
 tunnel source ip-da-origem-do-túnel
 tunnel destination ip-do-destino-do-túnel
 tunnel mode gre

Comandos do BGP

 router bgp asn


 neighbor ip-vizinho remote-as asn-do-vizinho
 network rede mask mascara

11 Resumo do Capítulo

Bem pessoal, chegamos ao final do capítulo. É muito importante que nesse ponto do curso você
tenha domínio dos seguintes itens:

 Saber explicar os principais componentes de uma rede WAN.


 Entender a terminologia utilizada em redes WAN.
 Saber descrever o protocolo HDLC.
 Entender o fluxo de informações em camada 2 entre a LAN e WAN.
 Entender o comando show interfaces e seus principais campos.
 Saber diferenciar equipamento DTE e DCE.
 Conseguir realizar uma configuração de interfaces seriais HDLC costa-a-costa.
 Entender e configurar o protocolo PPP com ou sem autenticação CHAP.
 Entender e configurar o protocolo Frame-relay.
 Entender as diversas opções de WAN para conectar unidades remotas.
 Entender e configurar o protocolo PPPoE.
 Entender os conceitos de MPLS e Metro Ethernet.
 Explicar opções de banda larga.
 Entender, configurar e verificar o BGP Single Homed.
 Saber fazer troubleshooting em redes WAN utilizando comandos show e debug
ensinados no capítulo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 275


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Capítulo 6 - First Hop


Redundancy Protocol
Nesse capítulo iremos (FHRP)
estudar opções de
redundância e Objetivos do Capítulo
compartilhamento de links.
Ao final desse capítulo você terá estudado e
O principal objetivo desse deverá compreender:
capítulo é discutir  As opções de compartilhamento de
tecnologias que sejam Links.
 O conceito de topologias de alta
eficazes em eliminar pontos
disponibilidade.
únicos de falhas em  O conceito de pontos únicos de
topologias através do uso de falhas.
roteadores e links  O conceito do FHRP e os protocolos
redundantes. HSRP, VRRP e GLBP.
 O conceito de funcionamento do
Vamos estudar recursos HSRP.
como HSRP, VRRP e GLBP.  O conceito de Failover e
Balanceamento de Cargas via HSRP.
Aproveite o capítulo e bons  Ativação e verificação do HSRP.
estudos!  Configurar prioridade, preemption e
versões do HSRP.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 276


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Sumário do Capítulo

1 Compartilhamento de Links e Opções de


Redundância sem FHRP ______________ 278
1.1 Topologias de Alta Disponibilidade _ 280
1.2 Conceito do FHRP – Redundância no
Primeiro Salto _______________________ 281
2 Entendendo e Configurando o HSRP _ 283
2.1 Entendendo o Failover com HSRP __ 284
2.2 Balanceando Cargas com HSRP ____ 285
2.3 Ativando e Verificando o HSRP Básico
286
2.4 Preemption ____________________ 288
2.5 Problemas mais comuns ao Configurar o
HSRP 289
3 Entendendo o GLBP ______________ 290
4 Resumo dos Comandos Utilizados no
Capítulo ___________________________ 291
5 Resumo do Capítulo ______________ 292

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 277


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1 Compartilhamento de Links e Opções de Redundância sem FHRP


Se você recordar do que já estudamos, tanto no conteúdo do CCNA CCENT (ICND-1 exame
100-105), pré-requisito para esse curso, e até mesmo durante esse material CCNA ICND-2
(exame 200-105) já nos deparamos com opções de redundância, balanceamento de carga
entre links de mesmo custo (rotas estáticas, OSPFv2 e EIGRP) e custos diferentes (EIGRP),
opções de balanceamento de cargas entre VLANs, distribuindo as VLANs escolhendo roots para
determinadas VLANs.

Lembre-se que o balanceamento de cargas entre rotas de mesmo custo (métricas iguais) vem
ativado por padrão para o RIP-v2, OSPFv2 e EIGRP entre até quatro links, portanto se você
conectar quatro interfaces seriais de mesmo custo entre dois roteadores configurados com os
protocolos de roteamento acima, por padrão, ele já fará o balanceamento de cargas. Veja
figura a seguir.

O EIGRP suporta um tipo especial de balanceamento de cargas através do multiplicador


“variance”, o qual permite que rotas sucessoras e sucessoras viáveis compartilhem cargas,
mesmo não tendo métricas iguais.

A vantagem do balanceamento de cargas é que não ficamos com links backup parados em
stand-by, sendo ativados somente na queda de um caminho principal. Isso permite maior
desempenho e utilização de banda em links WAN.

Esse mesmo tipo de balanceamento de cargas pode ser feito com rotas estáticas. Basta criar
rotas estáticas de mesmo custo apontando para duas ou mais interfaces ou gateways de
próximo salto diretamente conectados.

Baixando mais uma camada do modelo OSI podemos fazer o balanceamento de carga de VLANs
utilizando dois switches de distribuição e apontando parte das VLANs para um switch que será o
root e as demais VLANs para o segundo switch que será o root dessas outras VLANs. Por
exemplo, no switch de distribuição 1 configuramos para que ele seja root das VLANs pares e no
switch de distribuição 2 configuramos para que ele seja root para as VLANs ímpares. Assim
conseguimos melhorar o desempenho dos trunks conectados entre os switches de distribuição e
acesso.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 278


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Não se esqueça de tornar o switch de distribuição 2 root secundário para as VLANs pares e o
switch 1 para as ímpares, pois se houver queda de um dos dois você pode ter sérios problemas
na rede.

Em todos os casos analisados anteriormente temos redundâncias e balanceamento de carga


entre links que estão na mesma camada 1 e 2, mas e se na figura do balanceamento de cargas
R1 cair, adiantou alguma coisa ter o compartilhamento do link? O usuário final Host-A vai poder
enviar seus pacotes para o servidor?

O mesmo vale para o exemplo das VLANs em switches root diferentes, se eles forem camada-3
o gateway configurado nos computadores que estão em uma VLAN ímpar será o IP do switch
SW-D1, concorda? E se esse switch cair? Valeu alguma coisa o switch SW-D2 assumir as
VLANs?

Pense um pouco sobre o assunto lembrando que o gateway configurado no computador


normalmente é um endereço IP, se SW-D1 cair você teria que entrar no DHCP e alterar o
gateway padrão para o IP configurado na interface VLAN de SW-D2, isso se o switch SW-D1
não estiver com o serviço de DHCP configurado nele, aí é pior ainda, pois teríamos que subir o
escopo configurado nele em SW-D2.

Aí imagine que SW-D1 voltou à operação normal, teríamos que desfazer tudo o que foi feito
anteriormente para que a rede funcionasse normalmente.

O que vamos estudar nesse capítulo vem como um complemento aos recursos que já
estudamos complementando opções de redundância que envolva os hosts. Por isso o
nome First Hop que quer dizer primeiro salto, ou seja, vamos tratar de protocolos que
permitem redundância de links no primeiro salto, levando em conta o usuário final e como
manter sua conectividade de maneira transparente se algo falhar na rede.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 279


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.1 Topologias de Alta Disponibilidade

Quando falamos em alta disponibilidade em uma topologia de redes significa que temos que nos
preocupar com diversas situações que podem ocorrer, porém normalmente no dia a dia
estamos acostumados apenas a pensar em links redundantes. Por exemplo, o STP e o
Etherchannel procuram suprir problemas de links em camada-2, já o balanceamento de cargas
e os protocolos de roteamento podem tratar problemas de quedas entre links redundantes que
conectam duas unidades ou fazem a conexão de Internet. Mas o que pode ocorrer que esse tipo
de redundância não poderia resolver?

Por exemplo, você tem um roteador de Internet com dois links de 2Mbps balanceando cargas.
O que aconteceria se um dos links caíssem? O segundo link continua funcionando. Mas e se a
energia cair e o roteador ficar indisponível? Ou se simplesmente o tempo de vida do roteador
chegou ao fim e ele parou de funcionar?

É no exemplo acima que temos o conceito do ponto único de falhas ou em inglês Single Point
of Failure (SPOF), já citado durante o curso CCNA CCENT. Veja figura abaixo e note que
mesmo utilizando dois links temos vários pontos únicos de falha, tanto a unidade central
conectada via R1 com dois links, até na unidade remota conectada a R3 também por dois links
WAN. O próprio roteador, seu link até o switch e o switch que interconecta o roteador aos
demais elementos de rede são pontos únicos de falha, ou seja, qualquer um deles que falhe a
comunicação entre as duas unidades ou até o roteamento entre as VLANs pode ser afetada.

O que poderíamos fazer para melhorar a topologia e proteger a rede do exemplo acima contra
os pontos únicos de falha?

 Adicionar dispositivos e links redundantes.


 Implementar recursos que facilitem o funcionamento desses dispositivos e links
redundantes.

Na prática, além das medidas citadas acima, precisamos nos preocupar também com questões
como:

 Fonte de energia redundante, por exemplo, conectar os dispositivos em redes elétricas


diferentes quando possível.
 Fonte alternativa de energia elétrica, por exemplo, com o uso de UPS (Nobreake) e até
geradores no caso de redes de maior porte.
 Proteção em linhas analógicas de entrada contra raios e sobretensão.
 Quando possível, contratar os links redundantes de provedores de serviços (Telco ou
ISP) diferentes, etc.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 280


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Abaixo segue figura com uma possível solução em termos de topologia para melhorar a
conexão entre as duas unidades mostradas anteriormente. Na topologia foram inseridos
equipamentos redundantes e também links redundantes, garantindo que a topologia sempre
estará operacional, mesmo em caso de uma catástrofe e que dispositivos inteiros sejam
perdidos.

Muitos podem estar pensando no custo para fazer uma topologia desse tipo. Com certeza esse
é um fator importante, pois quanto mais alta for a necessidade de disponibilidade da rede, mais
alto o custo da solução. Porém, lembre-se que muitas vezes a perda de receita da empresa
ficar sem acesso a um sistema interno ou ter seu website fora do ar por algumas horas é muito
mais alto que soluções desse tipo, portanto tudo é uma questão de requisito de disponibilidade
e prioridade que cada corporação define para seu negócio.

Mesmo com toda essa redundância o que vai acontecer, por exemplo, quando o roteador R1
cair, com os computadores que tem seu endereço IP como gateway padrão? Vamos analisar no
tópico a seguir, mas você já pode ir pensando na resposta antes de passar para ele, sempre
vale a pena analisar a situação para “abrir os horizontes”!

1.2 Conceito do FHRP – Redundância no Primeiro Salto

Vamos agora responder a questão anterior sobre como podemos resolver a questão do gateway
configurado nos computadores. Veja a figura abaixo e relembre a questão que deixamos para
responder aqui.

Mesmo com toda essa redundância o que vai acontecer, por exemplo, quando o roteador R1
cair, com os computadores que tem seu endereço IP como gateway padrão? As opções que
conhecemos até o momento seriam:

1. Ao cair R1, entrar nos computadores locais ou no servidor DHCP e alterar manualmente
o endereço do gateway padrão para o endereço “192.168.1.129” referente à R2.
2. Quando R2 for reestabelecido teremos que fazer o processo contrário, ou seja, voltar à
condição anterior do gateway configurando os computadores, um a um, manualmente
ou através da alteração do gateway no servidor DHCP.

Esse procedimento deveria ser realizado toda vez que R1, seu link com a LAN ou com a WAN
ficasse indisponível.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 281


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Você poderia pensar também em inserir um segundo gateway na placa de rede dos clientes,
porém essa solução não funciona na maioria dos sistemas operacionais e o host acaba tendo
problemas de conectividade.

Os protocolos classificados como FHRP ou First Hop Redundancy Protocol tratam esse
problema que pode ocorrer no primeiro salto dos hosts, ou seja, entre o computador do usuário
final e seu gateway padrão.

Mas como isso pode ser feito? Simplificando o assunto ao máximo, imagine que pudéssemos
configurar um mesmo endereço IP e MAC para R1 e R2, porém somente um deles irá responder
ao usuário final fazendo com que esse problema de queda do link ou do equipamento seja
transparente a ele? Resolveria o problema, concorda?

Vamos então simplificar o que um protocolo FHRP faria no caso da queda de R1 ou sua
conectividade com a rede de maneira generalizada:

1. Os hosts não sofrem nenhuma alteração, continuam como o esperado com um gateway
configurado em sua placa de rede.
2. Os roteadores padrão R1 e R2 compartilham um endereço IP virtual para a sub-rede
19.168.1.0/24, o qual é definido nas configurações do protocolo FHRP ativado em ambos
os roteadores.
3. Os hosts utilizam o endereço IP virtual definido no FHRP como seu default gateway.
4. Os roteadores trocam mensagens do protocolo FHRP para definir qual dos dois atuará e
como será essa atuação durante a operação normal de rede, por exemplo, R1 será o
principal e R2 fica como standby até R1 falhar.
5. Quando ocorre um problema na rede os roteadores trocam mensagens através do
protocolo FHRP para escolher quem assumirá as responsabilidades do roteador que
falhou.

Com isso conseguiremos fazer a redundância no primeiro salto, ou seja, entre os computadores
dos usuários e seu gateway de maneira transparente, pois nada precisará ser feito na
configuração da placa de rede dos computadores.

Os três protocolos principais da família FHRP são:

 HSRP (Hot Standby Router Protocol Cisco): protocolo definido pela Cisco, trabalha
com um roteador ativo e outro em standby (Active/standby). Permite balanceamento de
cargas por sub-rede.
 VRRP (Virtual Router Redundancy Protocol): protocolo aberto definido pela IETF
(RFC 5798), assim como HSRP um dos roteadores ficará ativo e os demais em standby
(Active/standby). Permite balanceamento de cargas por sub-rede.
 GLBP (Gateway Load Balancing Protocol): protocolo definido pela Cisco, permite
que ambos os roteadores trabalhem simultaneamente (ativo/ativo - Active/active).
Permite balanceamento de cargas por host.

A seguir vamos estudar os conceitos e implementação do HSRP, pois VRRP e GLBP atualmente
são cobrados no CCNP SWITCH.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 282


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2 Entendendo e Configurando o HSRP


Devido aos conceitos de funcionamento do HSRP e VRRP serem muito similares vamos explicar
o funcionamento de ambos e depois vamos mostrar a configuração da mesma topologia com o
protocolo HSRP.

O HSRP trabalha com um conceito de Ativo/Standby que pode ser chamado também como
Ativo/Passivo em algumas bibliografias. Isso quer dizer que por sub-rede apenas um roteador
ficará ativo enviando o tráfego, o outro roteador ficará como passivo ou standby até que o
primeiro roteador falhe.

O roteador HSRP ativo possui configurado um endereço IP virtual vinculado também a um


endereço MAC virtual. Essa configuração faz parte do processo de ativação do HSRP nos
roteadores, porém o roteador continua tendo o seu endereço IP configurado com o comando “ip
address” em sua interface. O IP virtual é um endereço na mesma sub-rede da interface ou
subinterface, porém diferente. Já o MAC virtual é criado automaticamente pelo roteador.

Como a arquitetura do HSRP é ativo/passivo (ou standby), todos os roteadores participando do


processo conhecem o endereço IP virtual, mas o único que responde as requisições enviadas é
o roteador ativo (principal). Veja a figura abaixo.

Os computadores agora não utilizam nem o endereço 192.168.1.9 ou 192.168.1.129 como


gateway, mas sim um endereço IP virtual 192.168.1.1 como gateway (GW). Além disso, as
requisições ARP solicitando o MAC do gateway 192.168.1.1 não são mais respondidas utilizando
o MAC físico de R1 e sim um MAC virtual (VMAC) definido automaticamente pelo roteador.

Note também que mensagens do HSRP são trocadas entre R1 (ativo ou active) e R2 (passivo ou
stanby). Portanto, nos passos de configuração do HSRP ambos os roteadores precisam de
configurações específicas, por exemplo, definir o IP virtual, definir quem será o ativo e quem
será o passivo ou standby.

O HSRP tem duas versões (1 e 2) e em ambas a configuração do IP virtual é tarefa do


administrador de redes. Já o MAC virtual (VMAC) é definido através de uma regra básica
dependendo da versão que o HSRP está utilizando e o grupo configurado pelo administrador de
redes.

O HSRP versão 1 utiliza a faixa de endereços 0000.0C07.ACxy como MAC virtual dos
roteadores, onde xy é o número do grupo do HSRP em hexadecimal configurado na interface.
Por exemplo, se o HSRP for configurado no grupo 1 o virtual MAC será 0000.0C07.AC01.
Portanto, computadores naquele segmento de rede terão as suas requisições do Address
Resolution Protocol (ARP) respondidas com esse endereço MAC 0000.0C07.AC01 independente
do MAC real da interface de LAN do roteador ativo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 283


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A versão 2 do HSRP permite a configuração de um número de grupo estendido de 0 a 4095 e


utiliza um novo range de MACs virtuais, os quais podem ir de 0000.0C9F.F000 até
0000.0C9F.FFFF. Em hexadecimal 0 pode ser escrito como 000 e 4095 é FFF, por isso os
valores do range de MACs virtuais no HSRP-v2 tem nos três últimos algarismos o valor do
grupo HSRP configurado pelo administrador de redes convertido em hexadecimal, assim como
no HSRP v1, porém com três dígitos ao invés de dois apenas.

O HSRP envia mensagens em multicast no endereço 224.0.0.2 através da porta UDP 1985. A
versão 2 do HSRP utiliza o endereço 224.0.0.102 ao invés do anterior.

Além disso, o HSRP versão 2 suporta IPv6 e envio de hellos em milissegundos.

Normalmente o HSRP envia mensagens de hello para verificar se o roteador ativo está “no ar”
de 3 em 3 segundos, caso o roteador ativo não envie hello em 10 segundos (mais ou menos 3
vezes do timer de hello) o standby vai assumir a rede como ativo.

Podemos alterar esse valor para diminuir o tempo do roteador stanby assumir como principal
em caso de falha do ativo. No HSRP versão 2 esse valor pode ser diminuído para menos de 1
segundo.

Também existe uma diferença na quantidade de grupos HSRP que podem ser criados entre as
versões 1 e 2, sendo que a 1 suporta de 0 a 255 e a versão 2 de 0 a 4095.

O VRRP utiliza o endereço de multicast 224.0.0.18, porém não utiliza nem o UDP nem o TCP
para transmissão de mensagens, pois elas são montadas diretamente no pacote IP e
identificadas com o número de protocolo 112 no cabeçalho do pacote IP.

O virtual MAC utilizado pelo VRRP está no range de 00-00-5e-00-01-00 até 00-00-5e-00-01-FF,
sendo que seu formato é 00-00-5e-00-01-<num-VRRP-group>. Por exemplo, se o VRRP foi
configurado no grupo 1 seu MAC virtual será 00-00-5e-00-01-01.

Porque os MACs virtuais são importantes? Porque em necessidades de troubleshooting é


através deles que podemos verificar nos switches o mapeamento das portas utilizadas para
encaminhamento até o gateway, pois agora ele é um endereço virtual.

Além disso, visualizando a tabela ARP dos hosts poderemos saber quem eles estão utilizando
como gateway. Essa informação no HSRP e VRRP até não é tão relevante, pois todos os hosts
devem utilizar o mesmo MAC de destino para o gateway, não importando o roteador que esteja
ativo momentaneamente, porém para o GLBP a situação é um pouco diferente.

O GLBP ao invés de ter apenas um gateway ativo e outro em standby, ele deixa até quatro
gateways balanceando cargas simultaneamente, por isso você tem um VMAC para cada
gateway no GLBP.

2.1 Entendendo o Failover com HSRP

Quando os roteadores têm o HSRP ou VRRP configurado há uma troca inicial de pacotes entre
eles e é decidido quem será ativo e passivo. Após essa troca inicial o roteador ativo responde às
solicitações ARP dos clientes utilizando o IP virtual (igual para todos os roteadores HSRP/VRRP)
e seu MAC virtual (também o mesmo).

Caso haja um problema em R1, através de mensagens do HSRP ou de temporizadores de


timeout (não recebimento de mensagens) R2 será colocado como ativo e R1 passará a ser
o standby, porém nada mudará para os clientes, ou seja, o endereço IP e MAC virtuais
continuarão os mesmos. Esse processo é chamado de Failover.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 284


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Mas espera um pouco, as entradas das tabelas MAC dos switches SW-1 até SW-4 vinculam o
MAC virtual à porta que conecta ao roteador R1, como esse problema é resolvido pelo HSRP?
De uma maneira bem simples, quando R2 assume como ativo ele envia mensagens em
broadcast avisando que o IP virtual e o MAC virtual agora pertencem a ele. Essas mensagens
são chamadas de Gratuitous ARP, nada mais é que um ARP Reply para que os switches de
SW-1 a SW-4 apaguem o vínculo do MAC virtual com a porta que conecta R1 e estabeleçam um
novo vínculo com a porta que conecta o roteador R2. Lembrem-se que essa é uma das regras
que estudamos nos switches, quando ele recebe uma informação nova sobre o mesmo MAC a
antiga é apagada e o endereço é vinculado à nova porta.

Portanto, todas as ações para R2 assumir como ativo estão restritas a ele mesmo e aos
switches de acesso, não envolvendo em nenhum momento os computadores dos usuários
finais, ou seja, o processo é transparente aos computadores. Veja figura abaixo com um
resumo do processo de Failover do HSRP.

1. Via mensagens e/ou temporizadores do HSRP, R2 descobre que houve falha em R1 e é


passado para o estado de ativo.
2. Gratuitous ARP são enviados por R2 para ensinar aos switches que o MAC virtual VMAC1
está agora com o roteador R2.
3. Os hosts da sub-rede 192.168.1.0/24 não são alterados, porém os switches passam a
encaminhar quadros com destino o VMAC1 para a porta onde R2 está conectado.

2.2 Balanceando Cargas com HSRP

O HSRP é tratado por sub-rede, por isso para fazer balanceamento de cargas através dele
precisamos fazer uma configuração com a mesma filosofia que estudamos para compartilhar
cargas entre VLANs em switches de distribuição, ou seja, um roteador assume algumas sub-
redes como ativo e o outro roteador assume as demais.

Assim é possível o balanceamento de cargas, porém dependendo do tráfego gerado em cada


uma das VLANs pode haver sobrecarga em um dos roteadores, isso deve ser analisado com
ferramentas de monitoração externas para definir como será realizada essa divisão das sub-
redes entre os roteadores HSRP.

Vamos a um exemplo prático utilizando switches camada-3 ao invés de roteadores como


gateway para os computadores dos usuários finais. Veja topologia a seguir.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 285


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Nesse exemplo, SW-D1 está encaminhando pacotes das sub-redes das VLANs pares, assim
como está ativo no HSRP para essas sub-redes. Caso SW-D1 tenha problemas o switch SW-D2
assume as sub-redes das VLANs pares.

O mesmo conceito pode ser utilizado quando temos roteadores como dispositivos de camada-3
em uma topologia Router-on-a-Stick (ROAS). Um dos roteadores pode ser definido como ativo
para parte das sub-redes e o segundo roteador ficaria ativo para o restante das sub-redes,
sendo que um ficaria como passivo do outro assumindo todas as sub-redes caso haja
problemas com um deles.

O mesmo princípio pode ser utilizado para o VRRP.

2.3 Ativando e Verificando o HSRP Básico

A ativação básica do HSRP é bastante simples e envolve apenas três comandos em modo de
configuração de interface:

1. standby group num-do-grupo: define o grupo que os roteadores participando do


HSRP estarão configurados e compartilharão o mesmo IP e MAC virtuais, deve ser o
mesmo em todos os roteadores. Opcionalmente você pode definir um nome para o
grupo com a opção “name” na sequência.
2. Standby num-do-grupo ip endereço-ip-virtual: define o endereço IP virtual do
grupo que deve ser o mesmo em todos os roteadores.
3. standby num-do-grupo priority valor-prioridade: define a prioridade dos
roteadores, o roteador com o maior valor será o ativo e os demais serão os passivos. O
valor padrão é 100.

Abaixo segue a configuração de R1 e R2, sendo que R1 será o ativo e R2 passivo. Vamos
utilizar o número 1 para definir o grupo HSRP.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 286


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

R1# show running-config


! Linhas omitidas propositalmente
!
interface GigabitEthernet0/0
ip address 192.168.1.9 255.255.255.0
standby 1 name grupo-HSRP-teste
standby version 2
standby 1 ip 192.168.1.1
standby 1 priority 110

R2# show running-config


! Linhas omitidas propositalmente
!
interface GigabitEthernet0/0
ip address 192.168.1.129 255.255.255.0
standby 1 name grupo-HSRP-teste
standby version 2
standby 1 ip 192.168.1.1

Note que a configuração é a mesma em ambos os roteadores, porém a prioridade mais alta foi
definida em R1 porque ele precisa ser o ativo, conforme planejamento inicial.

Para verificar as configurações do HSRP podemos utilizar os comandos:

 show running-config
 show standby brief: traz em uma linha informações sobre o grupo HSRP, se o roteador
é standby ou ativo e seu endereço IP virtual.
 show standby: detalha as informações sobre o HSRP, incluindo as informações acima,
o MAC virtual e muitos outros detalhes.

Veja a saída dos comandos abaixo.

R1#show standby brief


P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Gig0/0 1 110 Active local 192.168.1.129 192.168.1.1
Router#

Portanto em R1 temos o HSRP configurado na interface Giga0/0 (campo Interface), ele está no
grupo HSRP 1 (campo Grp), seu estado está como ativo (Campo State - Active), o endereço IP
do roteador passivo está no campo Stanby como 192.168.1.129, ou seja, o IP do R2. O
endereço virtual está mostrado no campo “Virtual IP” e configurado como 192.168.1.1. Agora
veja a saída para R2 abaixo e compare os comandos.

Note que no campo “Active” ele mostra a informação “local”, ou seja, o próprio R1 é o roteador
ativo. Também no campo “Pri” temos a prioridade de R1 que foi configurada como 110 para
que ele pudesse ser escolhido como ativo, pois o padrão é 100.

R2#show standby brief


P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Gig0/0 1 100 Standby 192.168.1.9 local 192.168.1.1
Router#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 287


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que para R2 a interface é a Giga0/0 (campo Interface), ele também está no grupo HSRP 1
(campo Grp), sua prioridade é 100 (campo Pri) e seu estado é standby ou passivo (campo
State), pois a prioridade de R1 é maior. Depois podemos ver o IP de R1 (192.168.1.9)
mostrado como ativo (campo Active), no campo Standby mostra que o próprio R2 está como
passivo (local) e o endereço virtual é 192.168.1.1 (campo Virtual IP), o mesmo de R1.

Agora vamos verificar as informações completas com o comando “show standby” e descobrir
o MAC virtual configurado pelo HSRP.

Router#show standby
GigabitEthernet0/0 - Group 1 (version 2)
State is Active
5 state changes, last state change 00:01:33
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0C9F.F001
Local virtual MAC address is 0000.0C9F.F001 (v2 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.622 secs
Preemption disabled
Active router is local
Standby router is 192.168.1.129
Priority 110 (configured 110)
Group name is hsrp-Gig0/0-1 (default)
Router#

Como configuramos o HSRP versão 2 seu MAC virtual inicia com 0000.0C9F.F e tem o final
001, o qual é o número do grupo que configuramos no comando “standby 1 ip 192.168.1.1”
em hexadecimal.

2.4 Preemption

Pense um pouco nessa pergunta: “Um roteador chamado R1 estava configurado com prioridade
mais alta para ser o ativo. O R1 cai e o roteador R2 com prioridade menor detecta (10
segundos sem receber hello) passa de standby para ativo, assumindo a rede como gateway.
Após alguns minutos R1 volta a funcionar normalmente. O que vai acontecer com essa rede
após o retorno em operação de R1? Quem será o roteador ativo quando o roteador R1 voltar?”

Pense um pouco, não leia os parágrafos abaixo!

O comportamento padrão do HSRP é que o roteador que assumiu a rede fique como ativo, ou
seja, mesmo que R1 retorne ao estado operacional R2 será o ativo até cair.

Para alterar esse comportamento podemos configurar o recurso chamado “preemption”, que é o
direito de assumir a rede sempre que ele esteja operacional.

Para que o roteador principal seja sempre o ativo quando operacional acrescente o sub-
comando “standby 1 preempt” na configuração do HSRP do roteador ativo apenas.

Você pode verificar se o recurso está ativo no comando “show standby” na linha relativa ao
Preemption. Se estiver escrito “Preemption disabled” é porque o recurso está inativo, se
aparecer como enabled é porque foi configurado.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 288


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.5 Problemas mais comuns ao Configurar o HSRP

Abaixo segue uma lista do que precisamos garantir para que o HSRP funcione corretamente:
 Os roteadores devem ser configurados como a mesma versão de HSRP version (standby
version {1 | 2})
 Também devem ser configurados no mesmo grupo HSRP (standby num-grupo …).
 Ter o mesmo IP virtual] (standby grupo end-IP).
 O endereço IP virtual deve estar na mesma sub-rede da LAN ou VLAN local.
 As interfaces físicas ou virtuais devem estar na mesma LAN ou VLAN.
 Não devem existir ACLs filtrando mensagens do HSRP (UDP porta 1985 e version 1 usa o
IP de multicast 224.0.0.2, para version 2 o IP é 224.0.0.102).

Normalmente quando o administrador de redes configura duas interfaces HSRP que deveriam
estar no mesmo grupo com versões de HSRP diferentes vai aparecer uma mensagem de IP
duplicado, por exemplo:

*Mar 9 17:54:01.724: %IP-4-DUPADDR: Duplicate address 192.168.0.1 on


GigabitEthernet0, sourced by 0000.0c07.ac01

Note que o VMAC acima é da versão 1 do HSRP, se você planejou utilizar a versão 2 já sabe
onde está o problema.

Você vai notar nessa situação que ambos os roteadores acabam ficando como ativo, pois cada
um está em uma versão diferente do HSRP.

Um problema semelhante pode ocorrer se você configurar dois roteadores com o mesmo IP
Virtual, mas grupos HSRP diferentes. Por exemplo, era para configurar as interfaces no grupo 1
e em uma delas você configura por engano no grupo 2.

Assim sobrem dois processos em grupos diferentes com o mesmo endereço IP virtual,
ocorrendo novamente um conflito de IPs.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 289


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3 Entendendo o GLBP
Os protocolos HSRP e VRRP tiveram seu desenvolvimento e lançamento anteriores ao GLBP
(Gateway Load Balancing Protocol). Isso se deve ao fato de que ele é um protocolo definido
pela Cisco para suprir a necessidade de um melhor balanceamento de cargas do que o realizado
pelos anteriores, pois o fluxo de uma sub-rede é quase que imprevisível e torna o HSRP e o
VRRP mais difíceis para o administrador de redes prever qual a melhor distribuição dessas sub-
redes por roteador ou switch camada-3.

O GLBP faz o balanceamento de cargas por destino utilizando uma arquitetura ativo/ativo para
encaminhamento dos pacotes, ou seja, você utiliza os dois roteadores para envio de
informações por isso o nome ativo/ativo sem a necessidade de fazer o esquema mostrado de
balanceamento por sub-redes do HSRP e VRRP.

A grande diferença do GLBP é que um roteador atua em um papel especial chamado Active
Virtual Gateway (AVG – Gateway Virtual Ativo). Os demais roteadores utilizam o mesmo
endereço IP virtual, porém cada um possui um MAC virtual próprio, sendo que o AVG pode
responder aos ARP Requests com um MAC virtual diferente para cada host solicitante. Qual o
resultado final desse tipo de operação? Alguns computadores enviarão informações para o MAC
virtual de um roteador e outros para o MAC virtual do segundo roteador, permitindo o
balanceamento de cargas por destino, conforme mencionado no início das explicações.

Os roteadores que fazem parte do GLBP e farão o encaminhamento dos pacotes são chamados
de forwarders ou encaminhadores, inclusive o próprio roteador escolhido como AVG pode
ser um dos encaminhadores.

Os roteadores forwarders podem ser chamados de AVF ou Active Virtual Forwarder.

Portanto, diferente dos protocolos da família FHRP anteriores, os computadores que estão
utilizando roteadores configurados via GLBP enviarão seus pacotes para um único endereço IP
virtual, porém cada host de rede receberá o MAC de destino de um dos dois roteadores
forwarders, conforme distribuição feita pelo AVG.

Por exemplo, temos os roteadores R1 e R2 configurados com o protocolo GLBP, onde R1 é o


AVG e forwarder e R2 é apenas forwarder. Quando o computador-1 enviar um pacote para o IP
virtual do GLBP ele receberá o VMAC-1 configurado em R1, porém quando o computador-2
enviar uma requisição ARP na sequência ele receberá o VMAC-2 configurado em R2. Veja a
figura a seguir com a ilustração sobre a operação do GLBP.

No exemplo da figura anterior os computadores A, B, C e D enviam quadros um após do outro,


portanto o AVG (R1) envia seu próprio VMAC-1 na resposta à requisição ARP do computador A.
Depois ele envia o VMAC-2 de R2 como resposta ao ARP Request do computador-B, na
sequência de novo seu VMAC-1 como resposta ao ARP Req do computador C e por último envia

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 290


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

o VMAC-2 como resposta à solicitação do roteador D. No final A e C estão enviando pacotes por
R1 (utilizando o VMAC-1) e B e D através de R2 (utilizando o VMAC-2).

Esse processo mostrado acima ilustra como o GLBP faz o balanceamento de cargas, porém
existe ainda o processo de assumir o tráfego do outro roteador caso ele caia. O GLBP troca
mensagens entre os roteadores para verificar se eles estão ativos, caso um forwarder falhe o
que estiver funcionando deve assumir o virtual MAC daquele que caiu para que o tráfego
continue normalmente e os usuários finais não percebem que ocorreu um problema na rede,
pois o GLBP também deve ser transparente para os usuários finais.

Por padrão o GLBP utiliza o endereço de multicast 224.0.0.102 para enviar suas mensagens de
hello a cada 3 segundos através da porta UDP 3222.

O roteador definido como Active Virtual Gateway (AVG) em um determinado grupo é quem
define o endereço MAC virtual que cada roteador do grupo irá utilizar. O formato segue o
padrão 0007.B400.xxyy, onde xx é o número do grupo que o GLBP foi configurado e yy é um
sequencial diferente para cada AFV, por exemplo 01, 02, 03, etc.

Se tomarmos como exemplo a topologia da figura anterior, o roteador R1 será escolhido como
AVG e será o primeiro forwarder do GLBP, já o roteador R2 será o segundo forwarder. Se o
grupo configurado for o número 1 teremos os seguintes MACs virtuais:

 Forwarder 1 e AVG será R1 com o MAC virtual 0007.B400.0101.


 Forwarder 2 será R2 com o MAC virtual 0007.B400.0102.

Você pode visualizar na tabela ARP dos hosts quem eles estão utilizando como gateway
(forwarder) e identificar o roteador que está sendo utilizado como forwarder se entender bem a
regrinha acima.

4 Resumo dos Comandos Utilizados no Capítulo


Segue abaixo resumo dos comandos de configuração do capítulo importantes para o exame de
certificação. Lembre-se que todos os comandos do HSRP estudados nesse capítulo foram
inseridos em modo de configuração de interface.

 Comandos do HSRP:
o standby num-grupo ip end-ip-virtual: comando para ativar o HSRP e definir o
IP virtual associado a um grupo específico.
o standby num-grupo priority 0-a-255: comando para definir a prioridade a do
roteador HSRP e configurar qual será o ativo em um grupo específico. O maior
valor ganha, sendo que o padrão é 100.
o standby num-grupo name nome-descritivo: define um nome descritivo para
um determinado grupo HSRP.
o standby version 1-ou-2: define a versão do HSRP para todos os grupos
configurados em uma interface. Lembre-se que a versão 1 do HSRP permite dos
grupos 0 a 255 e a versão 2 de 0 a 4095.
o standby num-grupo preempt: faz com que o roteador ativo seja sempre ativo
quando operacional.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 291


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

5 Resumo do Capítulo
Bem pessoal, chegamos ao final do capítulo. É muito importante que nesse ponto do curso você
tenha domínio dos seguintes itens:

 Entender as opções de compartilhamento de links.


 Entender o conceito de topologias de alta disponibilidade.
 Entender o conceito de pontos únicos de falhas.
 Entender o conceito do FHRP e os protocolos HSRP, VRRP e GLBP.
 Entender e Configurar o HSRP.
 Entender o conceito de Failover e Balanceamento de Cargas via HSRP.
 Ativar e verificar o HSRP.
 Entender o GLBP.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 292


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Capítulo 7 - IPv6 – EIGRPv6


Nesse capítulo vamos e OSPFv3
revisar os principais
conceitos do IPv6 estudados
Objetivos do Capítulo
no CCNA CCENT (ICND-1) e
aprender como utilizá-los Ao final desse capítulo você deverá ter
para realizar o estudado e compreendido os seguintes
troubleshooting básico no assuntos:
roteamento Ipv6.
 Entender como realizar
Na sequência vamos troubleshooting básico no
estudar os protocolos de roteamento IPv6 com as informações
roteamento OSPFv3 e revidas do CCNA ICND-1.
 Entender o processo de roteamento
EIGRPv6 com um enfoque
do IPv6.
bastante prático e diversos  Entender os conceitos de
truques e dicas de funcionamento do OSPFv3, suas
troubleshooting válidos tabelas e protocolos de formação de
tanto para os exames 200- vizinhança.
105 e 200-125 como para  Entender como o OSPFv3 troca LSAs
e monta sua LSDB.
sua vida prática de futuro
 Configurar e realizar troubleshooting
CCNA R&S. no OSPFv3.
Bons estudos.  Entender os conceitos de
funcionamento do OSPFv3, suas
tabelas e protocolos de formação de
vizinhança.
 Entender como o EIGRPv6 troca
Updates de roteamento e monta sua
tabela de topologia.
 Configurar e realizar troubleshooting
no EIGRPv6.
 Entender as diferenças dos
protocolos OSPF e EIGRP para IPv4 e
IPv6.
 Entender os diversos comandos
show, seus principais parâmetros e
utilização no troubleshooting do
EIGRPv6 e OSPFv3.

Apostila/E-Book do Curso CCNA ICND-2 200-101 Página 293


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Sumário do Capítulo 3.1.1 Verificando as Configurações Iniciais e


Interfaces EIGRPv6 ______________________ 334
3.1.2 Verificando a Tabela de Vizinhos
1 Protocolo IP versão 6 - Revisão e EIGRPv6 335
Troubleshooting ____________________ 295 3.1.3 Verificando a Tabela de Topologia
EIGRPv6 337
1.1 Endereçamento IPv6 ____________ 295 3.1.4 Verificando a Tabela de Roteamento 341
1.2 Projeto de Redes e Sub-redes IPv6 _ 297 4 Resumo dos comandos de configuração
1.3 Fornecendo Endereços IPv6 para utilizados no capítulo _______________ 342
Usuários Finais_______________________ 300 5 Resumo do Capítulo _____________ 343
1.3.1 Stateless Address Autoconfiguration -
SLAAC 300
1.3.2 DHCPv6 Stateful ________________ 302
1.4 Configurando IPv6 nas Interfaces dos
Roteadores _________________________ 303
1.5 Roteamento IPv6 Estático ________ 305
1.6 Analisando a Comunicação entre Dois
Hosts IPv6 __________________________ 307
1.7 Testando a Conectividade IPv6 com Ping
e Traceroute ________________________ 309
1.8 Troubleshooting Básico no Roteamento
IPv6 310
1.8.1 Causas raízes em problemas envolvendo
hosts 312
1.8.2 Causas raízes em problemas envolvendo
roteadores e bloqueio de pacotes __________ 314

2 Implementando OSPFv3 __________ 316


2.1 Opções Extras de Configuração do
OSPFv3 _____________________________ 319
2.1.1 Comandos Relacionados à Métrica do
OSPF 319
2.1.2 Balanceamento de Cargas ________ 320
2.1.3 Anunciando uma Rota Padrão via
OSPFv3 321
2.2 Verificando o Funcionamento do
OSPFv3 _____________________________ 321
2.2.1 Verificando a Configuração Inicial e
Interfaces OSPFv3 _______________________ 322
2.2.2 Formação de Vizinhanças OSPFv3 __ 324
2.2.3 Troca de LSAs e Banco de Dados - LSDB
326
2.2.4 Tabela de Roteamento e Métrica do
OSPFv3 327
2.2.5 Problemas com novas rotas inseridas no
OSPFv3 328

3 Implementando o EIGRPv6 ________ 331


3.1 Verificando o Funcionamento do
EIGRPv6 ____________________________ 333

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 294


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1 Protocolo IP versão 6 - Revisão e Troubleshooting


Lembre-se que o funcionamento básico do IPv6, seus protocolos auxiliares, endereçamento,
roteamento estático, OSPFv3, configuração de interfaces, configuração em hosts e demais
características foram estudados durante o CCNA CCENT, mesmo que você não tenha feito o
curso da DlteC esses assuntos são pré-requisitos para o CCNA ICND-2.

Mesmo assim vamos fazer uma breve revisão de alguns conceitos importantes que você vai
precisar para continuar os estudos que já devem ter sido realizados sobre o IPv6 e OSPFv3,
assim como aprender a configurar e manter o EIGRPv6, os quais são os principais focos dessa
segunda parte do conteúdo do CCNA Routing & Switching.

Além disso, vamos dar um enfoque para o troubleshooting em redes IPv6, da mesma maneira
fizemos no início do capítulo sobre OSPFv2, onde tratamos o troubleshooting em redes IPv4 na
visão de um host e também do roteador.

Durante a revisão vamos fazer analogias com o protocolo IPv4 para relembrar alguns conceitos
importantes tanto para o exame como para vida prática de um profissional de redes.

1.1 Endereçamento IPv6

Vamos começar comparando o IPv6 ao IPv4 em termos de redes e sub-redes.

No CCNA CCENT estudamos que as redes IPv4 nasceram com um conceito de classes, sendo
divididas em cinco tipos de redes:

 Classe A: Contém endereços de rede (primeiro IP), unicast (segundo ao penúltimo) e


broadcast (último endereço), sendo que o mesmo conceito vale para as classes B e C.
Tem um octeto reservado para redes e três para hosts. As redes vão de 1.0.0.0 até
126.0.0.0 com a máscara 255.0.0.0.
 Classe B: Tem dois octetos reservado para redes e dois para hosts. As redes vão de
128.0.0.0 até 191.255.0.0/16
 Classe C: Tem três octetos reservado para redes e um para hosts. As classes A, B e C
utilizam também o conceito de máscara de rede ou sub-rede para identificar a porção de
rede e a porção de host do endereço. As redes vão de 192.0.0.0 até 223.255.255.0 com
a máscara 255.255.255.0
 Classe D: Classe reservada para multicast. Não usa o conceito de rede e host, existem
somente endereços de host no multicast. Os endereços vão de 224.0.0.0 até
239.255.255.255.
 Classe E: Classe experimental. Os endereços vão de 240.0.0.0 até 255.255.255.254.

Vamos lembrar brevemente da evolução do IPv4:

 Com o tempo essa distribuição ficou pouco flexível devido a diversidade de tamanhos de
redes nas empresas e as redes foram divididas em sub-redes.
 Com o aumento da Internet nasceu a necessidade da reserva de faixas para uso
privativo (RFC 1918 – 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) e a introdução da
tradução de endereços realizada pelo NAT/PAT ou servidores proxy.
 Atualmente as classes foram abandonadas e temos o conceito do roteamento classless
(CIDR - Classless Inter-Domain Routing), ou seja, temos apenas um prefixo e um
comprimento do prefixo para determinar que hosts pertençam a um sistema autônomo.

Apostila/E-Book do Curso CCNA ICND-2 200-101 Página 295


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

E para o IPv6, como o endereçamento foi dividido? Temos classes no IPv6? Tente lembrar dos
conceitos sobre o endereçamento IPv6 e sua divisão antes de seguir com a leitura do conteúdo.

O IPv6 já nasce como um endereçamento classless, ou seja, não utilizamos máscaras e sim
um prefixo (ou bloco) que tem sua porção de redes definido pelo comprimento do prefixo (bits
um que representam a porção de rede do endereço). O termo máscara de rede/sub-rede pode
ser utilizado para o IPv6? Até pode, você vai encontrar algumas bibliografias se referindo ao
comprimento do prefixo (/8, /64, /128,...) como máscara.

O que muda é a quantidade de tipos de endereços, veja um resumo abaixo:

 ::/0 -> Rota padrão.


 ::/128 -> Endereço não especificado (Unspecified).
 ::1/128 -> Endereço de Loopback (no IPv4 é o 127.0.0.1).
 ::/96 -> Reservado para compatibilidade com IPv4, porém seu uso foi descontinuado.
 ::FFFF:0:0/96 -> Endereço IPv4 mapeado como IPv6.
 2001::/32 -> prefixo utilizado no mecanismo de transição Teredo.
 2001:DB8::/32 -> prefixo utilizado para representar endereços IPv6 em textos e
documentações.
 2002::/16 -> Prefixo utilizado no mecanismo de transição 6to4.
 FC00::/7 -> Unique local address (ULA), similar ao endereçamento privativo (RFC
1918)
 FE80::/10 -> Este endereço é utilizado apenas na LAN onde a interface está conectada,
o endereço link local por padrão é atribuído automaticamente utilizando o prefixo
FE80::/64 e os outros 64 bits do ID da Interface são configurados utilizando o formato
IEEE EUI-64, uma composição que utiliza o endereço MAC do host para formar o
endereço da Interface.

 FEC0::/10 -> Site-local unicast, porém sua utilização foi substituída pelos endereços
ULA e ele caiu em desuso.
 FF00::/8 -> Faixa de endereços de multicast. Exemplos de endereços de multicast
reservados:
o FF02::1 -> Todos os Hosts no Link
o FF02::2 -> Todos os Roteadores no Link
o FF02::5 -> Protocolo OSPFv3
o FF02::6 -> Protocolo OSPFv3
o FF02::A -> Protocolo EIGRP/Cisco

 2000::/3 -> faixa reservada para os endereços de Unicast Globais, ou seja, endereços
roteáveis na Internet. Vai dos endereços de 2000:: a 3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff. Isso
representa 13% do total de endereços possíveis com IPv6. O nome dado aos
endereços de Unicast é “Global Unicast”. Ele está dividido em um prefixo de roteamento
global (porção de rede em comparação ao IPv4), uma porção de sub-rede e o
identificador da interface (porção de host).

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 296


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Os endereços de anycast são criados a partir da faixa de endereços unicast e não há diferenças
de notação entre eles. O que os diferencia é a configuração realizada nos roteadores e um
anúncio explícito de que aquele IP é de anycast.

Para o exame é importante saber que obrigatoriamente uma interface IPv6 precisa de um
endereço de link local, pois ele identifica um host na rede local IPv6.

1.2 Projeto de Redes e Sub-redes IPv6

Para projetar e endereçar uma rede com IPv6 temos duas opções atualmente:

1. Utilizar endereços que não são roteáveis na Internet, funcionando somente na Intranet
chamados de ULA (Unique Local Address) na faixa FD00::/8. A faixa exata a ser
utilizada pode ser escolhida pelo administrador de redes.
2. Utilizar endereços válidos de Internet, ou seja, os Global Unicast Addresses da faixa
2000::/3. Esses endereços devem ser fornecidos por um ISP (provedor de Internet)
ou diretamente pelo processo de Sistema Autônomo.

Se utilizarmos um endereço válido de Internet precisamos entender três campos básicos do


IPv6 (veja figura a seguir) para fazer sub-redes:

1. Global Routing Prefix (Identificação do ISP): nesse exemplo são os 48 primeiros


bits (/48) que representam a identificação da região (por exemplo, faixa passada pela
LACNIC para o NIC.BR para distribuição no Brasil mais a identificação do provedor de
serviços que foi alocada pelo NIC.BR). Não podem ser alterados pelo usuário final ou
empresa.
2. Bits de sub-rede: nesse exemplo por termos recebido um prefixo /48 sobram 16 bits
de sub-rede (64-48=16).
3. Identificador da interface IPv6: por padrão deixamos reservados 64 bits para o
identificador da porção de host, chamado de Interface-ID.

A soma dos bits utilizados para “GRP+Sub-rede+Interface-ID” deve dar 128, no exemplo da
figura acima temos 48 bits para GRP, 16 bits para sub-rede e os últimos 64 bits para os hosts o
que totalizou 128 bits, pois esse é o comprimento de um endereço IPv6.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 297


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Podemos receber outros comprimentos de prefixo do provedor de serviços? Sim, tudo depende
do tamanho de cada empresa ou então da política de alocação de IPv6 de cada país. Os
comprimentos de prefixos normalmente serão de /48 até /64. Para empresas está previsto
entre /48 até /56 e para usuários domésticos de /56 até /64. Todas as opções possuem um
total de 64 bits zero para hosts, ou seja, o dobro de bits de rede e host que toda a Internet
IPv4 atual tem!

O projeto de quantas sub-redes precisamos ter para endereçar uma topologia de rede
segue o mesmo critério que utilizamos para o IPv4, onde precisamos definir os seguintes itens
macro de projeto:

 Definir quantas sub-redes serão necessárias para saber quantos bits precisamos para
dividir o bloco de endereços IPv6 recebido.
 Definir as sub-redes IPv6 que serão utilizadas em cada segmento de rede da topologia.
 Definir o endereço das interfaces dos roteadores e interface VLAN de switches camada-3
de acordo com a divisão realizada no passo anterior.
 Definir os endereços de gerenciamento para switches, access-points e demais
dispositivos de rede camada-2.
 Definir endereços IP fixos de impressoras, servidores e demais dispositivos que precisam
ter um endereçamento bem definido.
 Definir as faixas de endereços que serão distribuídos dinamicamente nas LANs ou VLANs
e que método será utilizado para alocação dinâmica.

No último ponto temos uma grande diferença de funcionamento entre o IPv4 e IPv6 nas opções
de alocação dinâmica de endereços, pois para a versão 4 temos apenas o DHCP e na versão 6
temos SLAAC, SLAAC+DHCPv6 Stateless, DHCPv6 Stateful e SLAAC com RDNSS para o
Linux. Veremos esse assunto na alocação de IPs para hosts.

Na prática é desenhar a topologia, escrever as sub-redes e os endereços das interfaces no


projeto macro da rede IPv6, idêntico a um projeto de rede para IPv4, veja figura a seguir.

Temos quatro segmentos de rede nessa topologia e recebemos como base o prefixo
2340:1111:AAAA::/48 do provedor de Internet (ISP). Veja o que foi escolhido para cada
segmento de rede da topologia:
 2340:1111:AAAA:0001::/64 para a LAN de R1
 2340:1111:AAAA:0002::/64 para a WAN entre R1 e R2
 2340:1111:AAAA:0003::/64 para a LAN de R3
 2340:1111:AAAA:0004::/64 para a WAN entre R1 e o roteador do ISP

Dividimos esse endereço utilizando 64 bits de rede (prefixo /64), portanto se recebemos /48 e
vamos utilizar para as sub-redes /64 temos um total de 16 bits de sub-rede, ou seja, 2^16
sub-redes que dão mais de 65 mil sub-redes.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 298


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Poderíamos utilizar outros comprimentos de prefixo como no VLSM do IPv4? Sim, sem
problemas, podemos pegar a sub-rede 2340:1111:AAAA:0000::/64 e subdividi-la com
prefixos /127 para termos apenas dois IPs e utilizar para o endereçamento das WANs. Por
exemplo, ao invés de utilizar a sub-rede 2340:1111:AAAA:0004::/64 para a WAN entre R1 e o
roteador do ISP, utilizaríamos 2340:1111:AAAA:0000::1/127 (2340:1111:AAAA::1/127) na
interface serial do ISP-1 e 2340:1111:AAAA:0000::0/127 (2340:1111:AAAA::/127) em R1.

Lembre-se que não existe mais endereço de rede e broadcast no IPv6, todos os
endereços são utilizáveis! Você pode no máximo receber uma mensagem com os IPv6 com
todos os bits de host em zero avisando que ele é usado como Anycast, se configurados em
interfaces LAN, mas mesmo assim permite configurá-lo como Unicast na interface do roteador.

No caso de utilizar os endereços ULA a recomendação de divisão segue a figura abaixo:

O início da sub-rede é sempre FD, depois nos próximos 40 bits você define o identificador
global da rede ULA que você pode arbitrar, seguido de 16 bits para sub-rede (mais de 65mil
sub-redes /64) e os últimos 64 bits são utilizados para endereçamento dos hosts. Por exemplo,
poderíamos utilizar o seguinte prefixo:

 FD00:AAAA:BBBB::/48 -> o ID global 00:AAAA:BBBB


 Sub-redes /64:
o FD00:AAAA:BBBB::/64
o FD00:AAAA:BBBB:1::/64
o FD00:AAAA:BBBB:2::/64
o FD00:AAAA:BBBB:3::/64
o ...
o FD00:AAAA:BBBB:FFFF::/64

O conceito é o mesmo para os endereços Globais, com a diferença que o que seria o GRP do
endereço global foi definido pelo administrador de redes. Veja como ficaria a mesma topologia
com endereços ULA utilizando as quatro primeiras sub-redes.

Claro que o roteador do ISP não seria configurado com uma rede ULA, mas fizemos alocação
apenas por motivos didáticos e de comparação entre as duas opções.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 299


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Nos exemplos desse tópico utilizamos endereços IPv6 fixos nas interfaces dos roteadores,
porém eles suportam endereços estáticos via EUI-64, SLAAC e DHCPv6.

1.3 Fornecendo Endereços IPv6 para Usuários Finais

Uma vez definida a topologia e os endereços das interfaces dos roteadores, o próximo passo é
definir o endereçamento dos demais hosts da rede.

Conforme já citado anteriormente, alguns hosts precisarão de IPv6 fixo, tais como servidores e
switches camada-2 que precisam ter seu endereço bem definido para facilitar o gerenciamento
de rede.

Mesmo o IPv6 fixo tem mais opções agora do que havia para o IPv4. No IPv6 podemos ter um
endereço fixo escrito de forma completa ou definido através do EUI-64. Vamos relembrar como
configurar essas duas opções posteriormente.

Já os demais computadores e endpoints da rede (por exemplo, telefones IP), assim como no
IPv4, terão suas configurações adquiridas de forma dinâmica.

No IPv4 utilizamos o serviço DHCP para alocação dinâmica de endereços, o qual definimos um
escopo com as seguintes informações necessárias para que os hosts se comuniquem:

 Endereço da interface e máscara de sub-rede para permitir comunicação local.


 Endereço do gateway padrão para permitir comunicação com redes remotas: pacotes
com destino diferentes da própria sub-rede configurada na interface local.
 Endereço de pelo menos um servidor DNS para traduzir nomes de domínio em
endereços IP.

E para o IPv6? Você lembra-se das opções disponíveis?

Vamos a seguir estudar as opções de alocação dinâmica para o IPv6.

1.3.1 Stateless Address Autoconfiguration - SLAAC


Para o IPv6 as coisas mudaram um pouco, pois ele foi publicado com uma solução de alocação
dinâmica de endereços nativa chamada Stateless Address Autoconfiguration ou SLAAC, a
qual não depende de servidor para que os hosts construam um endereço de rede.

Com esse recurso o computador do usuário final utiliza um prefixo e comprimento anunciado
pelo roteador da sua LAN ou VLAN e monta seu próprio endereço de host (interface-ID)
utilizando o EUI-64 (padrão para Cisco) ou endereços randômicos (padrão para o Windows).
Veja figura abaixo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 300


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

As mensagens utilizadas nesse processo agora são enviadas pelo protocolo ICMPv6 com o
nome de Router Solicitation (RS), enviada por um host para o endereço de multicast FF02::2
(todos os roteadores no link) e a resposta do roteador é também feita utilizando uma
mensagem do ICMPv6 chamada Router Advertisement (RA) contendo um prefixo, o
comprimento do prefixo e o endereço do próprio roteador que será utilizado como gateway
padrão pelo computador. A resposta (mensagem de RA) é fornecida para o endereço de
multicast FF02::1 para que todos os demais computadores possam se autoconfigurar sem a
necessidade do envio de um RS.

Lembre-se que o EUI-64 utiliza o MAC (48 bits) mais os algarismos 0xfffe (FF-FE) para
formação do interface-ID da placa de rede ou interface com 64 bits. Para finalizar o processo, o
sétimo bit mais a esquerda (chamado de bit U/L – Universal/Local) do endereço MAC deve ser
invertido, isto é, se for 1 será alterado para 0 e se for 0 será alterado para 1.

Por exemplo, um computador que tem como endereço MAC 001e.130b.1aee e recebe um
prefixo 2001::/64 do seu roteador terá os seguintes endereços de Link Local e Global
Unicast:

 FE80::21E:13FF:FE0B:1AEE -> Prefixo FE80::/64


 2001::21E:13FF:FE0B:1AEE -> Prefixo 2001::/64

Como chegamos nesses valores acima? Note que o MAC é 001e.130b.1aee, portanto vamos
achar o sétimo bit e fazer a inversão: 00 -> 00000000 -> 00000010 -> 02. Agora vamos
inserir o FF-FE no meio e formar o EUI 64: 021e:13ff:fe0b:1aee.

Resumindo o endereçamento de link local e endereço global via SLAAC:

 Ligou um computador com suporte a IPv6 sua placa de rede sozinha configura um
endereço de link local com prefixo FE80::/64 e interface ID via endereçamento
randômico ou EUI-64.
 Computador recebeu uma mensagem de RA enviada pelo roteador ou como resposta a
um RS enviado por ele, será montado seu endereço Global de Unicast com o prefixo
anunciado e interface-ID pode ser via endereçamento randômico ou EUI-64.
 O gateway é retirado também do anúncio de RA enviado pelo roteador.

Mas quais são os requisitos para que um computador com IPv6 se comunique com sua rede
local, redes remotas na Intranet e acesse serviços na Internet? Basicamente os mesmos do
IPv4 (com exceção do endereço de link local que não existe no IPv4):

 Endereço de link local (FE80::/64) para comunicação na própria LAN ou VLAN.


 Endereço Global de Unicast (endereço de Internet): prefixo, comprimento do prefixo e
interface-ID (endereço da interface).
 Endereço do gateway padrão para permitir comunicação com redes remotas: pacotes
com destino diferentes da própria sub-rede configurada na interface local.
 Endereço de pelo menos um servidor DNS para traduzir nomes de domínio em
endereços IP.

Se você é um bom observador deve ter notado que faltou no SLAAC o fornecimento do
endereço do servidor DNS, portanto somente o SLAAC não resolve a alocação dinâmica de
endereços no IPv6, precisamos de outro protocolo!

A primeira opção e mais simples é combinar o SLAAC com o serviço de DHCPv6 sem estado ou
Stateless. Se você lembrar-se do IPv4 o servidor DHCP guarda várias informações sobre o
endereço IP alugado: MAC do computador, quando o endereço foi alugado, até quando ele é
válido, etc.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 301


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O SLAAC não guarda nenhuma dessas informações, nem o DHCPv6 Stateless, por isso o nome
sem estado, porque o endereço e as informações adicionais de DNS são passadas mas não há
registro de quem pediu, quando pediu, etc.

Portanto, o DHCPv6 Stateless tem a função apenas de passar o endereço do DNS e outras
informações que os hosts precisem conforme cada projeto e recursos suportados pelo DHCPv6
sem armazenar informações do host que as solicitou. Para o Linux existe uma solução parecida
chamada RDNSS, a qual não é foco do exame.

O nome do protocolo do ICMPv6 que faz a troca de informações entre vizinhos (mensagens de
RA/RS e NA/NS) é NDP ou Neighbor Discovery Protocol. Além da função de auxiliar no
processo de autoconfiguração, esse protocolo também substitui o ARP na rede IPv6 para
descoberta do endereço MAC remoto no envio de quadros através de uma LAN, pois agora não
temos mais broadcasts.

1.3.2 DHCPv6 Stateful


E se for necessário guardar as informações de estado das alocações dinâmicas de IPv6 para
controle de acesso, gerenciamento e/ou implementações de políticas de segurança para os
usuários finais? Aí utilizamos o DHCPv6 Stateful.

O DHCPv6 Stateful é similar ao DHCP para o IPv4, porém ele não utiliza broadcast em suas
mensagens, pois o broadcast foi eliminado no IPv6. Além disso, o DHCPv6 não passa a
informações do gateway em seu escopo, essa informação é tirada a partir do anúncio de RA
enviado pelo roteador da rede local.

Portanto, mesmo com o DHCPv6 Stateful o roteador vai precisar enviar mensagens de RA,
porém suprimindo em seu anúncio o prefixo e comprimento de prefixo, se isso não for
configurado o computador pode pegar dois endereços diferentes pelo menos, um via SLAAC e
outro via DHCPv6 Stateful. Essa é uma diferença bastante grande entre o IPv6 e o IPv4, pois
uma interface IPv6 pode ter diversos endereços na mesma sub-rede ou pertencentes a sub-
redes diferentes!

Os roteadores Cisco suportam ser configurados como servidor, cliente ou agente relay do
DHCPv6, encaminhando as solicitações de endereços à servidores posicionados em redes
remotas, assim como estudamos para o IPv4 com o comando “ip helper-address”, porém no
IPv6 o comando é “ipv6 dhcp relay destination” seguido do endereço do servidor DHCPv6
remoto. Veja exemplo de topologia e configuração abaixo do roteador R1 atuando como DHCP
relay e encaminhando as solicitações de endereço enviadas pelos hosts locais ao servidor DHCP
remoto.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 302


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A configuração dos serviços de DHCPv6 Stateless e Stateful continuam não fazendo parte do
conteúdo dos exames revisados do CCNA R&S, ICND-1 e ICND2.

1.4 Configurando IPv6 nas Interfaces dos Roteadores

Uma vez terminada a fase de planejamento e projeto da topologia, escolha das redes IPv6,
endereços das interfaces dos roteadores, VLANs, etc. chegou a hora de configurar a rede.

Se a rede já estiver implementada com IPv4 você pode configurar nos roteadores e switches da
Cisco simultaneamente o protocolo IPv6, onde as interfaces responderão para ambos os
protocolos utilizando a técnica de migração entre IPv4 e IPv6 chamada Dual Stack ou pilha
dupla, pois temos duas pilhas do protocolo IP configuradas em uma mesma interface.

Tudo se inicia com a ativação do roteamento IPv6 com o comando “ipv6 unicast-routing” em
modo de configuração global. Se o comando não entrar verifique se a versão de Cisco IOS
utilizada suporta IPv6 e tente fazer um upgrade se realmente não houver suporte.

Depois temos as seguintes opções de configuração de IPv6 nas interfaces:

1. Configuração do Link Local via EUI-64: “ipv6 enable”


2. Configuração estática: “ipv6 address end-ipv6/tamanho-do-prefixo”
3. Configuração estática com EUI-64: “ipv6 address prefixo-de-rede/64 eui-64”
4. Autoconfiguração stateless: “ipv6 address autoconfig [default]”
5. DHCPv6 cliente stateful: “ipv6 dhcp client [pd {nome-do-prefixo | hint prefixo-ipv6}]
[rapid-commit]”

Por padrão, ao configurar um IPv6 na interface de um roteador Cisco, ele enviará mensagens
de RA anunciando o prefixo através dessa interface.

Ao configurar uma interface IPv6 em roteadores Cisco, assim como estudamos para o IPv4,
uma rota local com máscara de host (/128) e uma rota diretamente conectada são criadas
automaticamente na tabela de roteamento IPv6 (show ipv6 route). Para verificar a interface
podemos utilizar os comandos “show ipv6 interface brief” ou “show ipv6 interface”.

Outro ponto que funciona da mesma maneira entre o IPv4 e o IPv6 é que os roteadores tem
apenas acesso às redes diretamente conectadas por padrão, para que haja alcance à redes
remotas é preciso a configuração de protocolo de roteamento dinâmico ou rotas estáticas.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 303


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Vamos fazer um exemplo prático e analisar a configuração da interface fast 0/0 do roteador R1
com o IPv6 estático 2000:100::1/112 (IPv6 fixo), já a interface fast 0/1 será configurada com
IPv6 fixo via EUI-64 com o prefixo 2001:100::/64 e a interface fast 2/0 será configurada via
autoconfiguração.

R1(config)#int f0/0
R1(config-if)#ipv6 address 2000:100::1/112 ?
anycast Configure as an anycast
eui-64 Use eui-64 interface identifier
<cr>
R1(config-if)#ipv6 address 2000:100::1/112
R1(config-if)#int f0/1
R1(config-if)#ipv6 address 2001:100::/64 eui-64
R1(config-if)#int f2/0
R1(config-if)#ipv6 address autoconfig
R1(config-if)#end
R1#

Com o comando “show ipv6 interface brief” temos um resumo das interfaces IPv6 e os
endereços configurados, veja abaixo a saída para o R1 configurado anteriormente.

R1#show ipv6 interface brief


FastEthernet0/0 [up/up]
FE80::C001:33FF:FE7C:0 -> endereço de link-local via EUI-64
2000:100::1 -> endereço global unicast estático
FastEthernet0/1 [up/up]
FE80::C001:33FF:FE7C:1 -> link local e global usam EUI-64 e tem
2001:100::C001:33FF:FE7C:1 -> mesmo interface ID “C001:33FF:FE7C:1”
FastEthernet2/0 [up/up]
FE80::C001:33FF:FE7C:20
2002:100::C001:33FF:FE7C:20 -> na autoconfig também é utilizado o
-> EUI-64 para definir a interface ID

Com o comando “show ipv6 interface fast 0/0”, por exemplo, você pode ver as opções
completas referentes ao IPv6, veja exemplo abaixo da saída para a interface f0/0.

R1#show ipv6 interface fast0/0 -> Interface usando configuração estática


FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::C001:33FF:FE7C:0 -> link local via
EUI-64 utilizando o MAC da interface
No Virtual link-local address(es):
Global unicast address(es):
2000:100::1, subnet is 2000:100::/112 -> end global e subrede
Joined group address(es): -> endereços de multicast
FF02::1 -> todos os nós
FF02::2 -> todos os roteadores
FF02::1:FF00:1 -> solicited node do endereço de Unicast Global
FF02::1:FF7C:0 -> solicited node do endereço de Link Local
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1 -> detecção de endereços
duplicados está habilitada e rodou uma vez (attempts)
ND reachable time is 30000 milliseconds -> tempo de vida do protocolo de
descoberta de hosts vizinhos
ND advertised reachable time is 0 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 200 seconds

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 304


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

ND router advertisements live for 1800 seconds


ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.
R1#

Se você fizer a conta, ativando o IPv6 com um endereço estático (IPv6 fixo) acabamos com
dois endereços de Unicast (link local e global unicast) mais quatro endereços de multicast
somente nessa interface!

Quando uma interface IPv6 é ativada e tem um endereço configurado o roteador utiliza o
protocolo NDP para verificar se não há conflito de endereços de Unicast (endereço IPv6
duplicado) na rede através do processo chamado DAD (Duplicate address detection). O
roteador envia uma mensagem de solicitação de vizinho (NS – neighbor solicitation) pedindo o
endereço MAC do seu próprio endereço IPv6, se alguém responder a interface terá que utilizar
outro endereço. Por padrão esse processo é feito apenas uma vez.

Um teste com o DAD é feito por endereço configurado, portanto nesse exemplo foi realizado um
teste para o endereço de link local e outro para o de link global.

1.5 Roteamento IPv6 Estático

Com as interfaces locais configuradas e testadas precisamos resolver o roteamento para as


redes remotas. A opção mais simples e econômica em termos de processamento e CPU para o
IPv6 e também para o IPv4 são as rotas estáticas.

O mesmo princípio básico que utilizamos para criar rotas estáticas no IPv4 pode ser adotado
para o IPv6, porém agora podemos ter algumas outras opções de configuração.

No IPv4 utilizamos o comando “ip route” depois definimos a rede/host, máscara de sub-rede,
IP do próximo salto ou interface local de saída e por último podemos definir a distância
administrativa da rota estática criada (AD padrão é 1 quando apontamos para um próximo salto
ou zero se apontarmos para uma interface local de saída, mesma regra serve para o IPv6).
Exemplo, “ip route 10.0.0.0 255.255.255.0 serial 0/0 100”, criamos uma rota para a rede
10.0.0.0/24 (sub-rede da rede 10.0.0.0/8) com interface de saída local pela serial 0/0 e
distância administrativa 100.

No IPv6 a parte inicial do comando é bem parecida: “ipv6 route”, também em modo de
configuração global. Depois definimos o prefixo e o comprimento do prefixo, por exemplo,
2000::/64, tudo junto separado pela barra. Na sequência definimos o IPv6 do próximo salto ou
interface de saída podendo também definir a distância administrativa, por exemplo:

R1(config)#ipv6 route 2000::/64 serial 1/0 100


R1(config)#ipv6 route 2000::/64 2000::1

Porém, podemos definir para que endereço esse pacote será encaminhado se utilizarmos a
interface de saída local como referência de roteamento. Lembre-se que o próximo salto pode
ser um IPv6 de Unicast ou um Link Local, veja exemplo:

R1(config)#ipv6 route 2000::/64 serial 1/0 fe80::1 100


R1(config)#ipv6 route 2000::/64 serial 1/0 2000::10

Para configurar uma rota estática padrão no IPv6 basta criar uma rota apontando para a rede
::/0, veja exemplo abaixo.

R1(config)#ipv6 route ::/0 serial 1/0

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 305


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O processo de roteamento do IPv6 segue a mesma lógica do IPv4:

1. Para inserir rotas na tabela de roteamento prefira primeiro entradas com menor
distância administrativa (AD).
2. O encaminhamento é feito através do prefixo mais longo listado na tabela de
roteamento.
3. Não encontrado prefixo específico, verifique se existe rota padrão configurada (::/0) e
encaminhe os pacotes através da interface de saída definida pela rota padrão.
4. Se não houver rota padrão descarte o pacote IPv6 com destino desconhecido e informe
através do ICMPv6 ao host que enviou o pacote que a rede está inalcançável.

Portanto, um roteador IPv6 precisa ter as rotas diretamente conectadas listada em sua tabela
de roteamento, uma rota padrão para saída de Internet ou acesso à redes remotas,
opcionalmente rotas específicas para as redes internas de destino (contando que estamos
trabalhando com um roteador da rede corporativa sem troca de informações com a Internet).

Em uma rede IPv6 podemos ter uma Intranet com ULA e a Internet com os endereços globais,
porém todos os hosts estarão conectados diretamente na Internet com endereços válidos. Não
existe previsão para serviço de NAT traduzir endereços entre duas redes IPv6, pois não teria
sentido uma vez que existem endereços suficientes para termos endereços válidos fim a fim
com o IPv6.

Veja exemplo de saída da tabela de roteamento IPv6 abaixo. A rota diretamente conectada vem
marcada como C, a estática como S e a local como L, sem alterações em relação ao IPv4. Além
disso, temos a mesma notação de distância administrativa e métrica entre parênteses. Logo
abaixo temos o endereço IP de próximo salto e/ou interface de saída.

R1#sho ipv6 route


IPv6 Routing Table - default - 5 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external, ND - Neighbor Discovery
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
S ::/0 [1/0]
via Serial1/0, directly connected
S 2000::/64 [1/0]
via 2000::10, Serial1/0
C 2340:1111:AAAA::/127 [0/0]
via Serial1/0, directly connected
L 2340:1111:AAAA::1/128 [0/0]
via Serial1/0, receive
L FF00::/8 [0/0]
via Null0, receive
R1#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 306


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.6 Analisando a Comunicação entre Dois Hosts IPv6

Depois da rede configurada e inclusive os hosts já com seus parâmetros do IPv6 devidamente
alocados a comunicação entre os hosts efetivamente pode ser realizada.

Se você recordar no IPv4 classificamos a comunicação em alguns tipos:


 Dentro da mesma rede ou sub-rede através do endereço IP remoto: realizada
diretamente entre os hosts e o quadro de camada-2 é montado com o auxílio do ARP.
 Fora da sub-rede através de um IP remoto: realizada com o auxílio do gateway
configurado na placa de rede e o quadro de camada-2 é montado com o auxílio do ARP,
porém o MAC de destino será do gateway e não do computador remoto, pois ele está em
outra sub-rede.
 Acesso a serviço de Internet: antes da troca de mensagens o computador local
precisa resolver o nome de domínio para um endereço IP, por isso primeiro precisa
enviar uma requisição ao DNS (A) para depois enviar os quadros até o destino com
auxílio do gateway.

No IPv6 temos basicamente as mesmas situações:

 Computadores na mesma sub-rede, porém mesmo sem um endereço global, podem se


comunicar utilizando o endereço de link local. Nesse caso a comunicação é direta entre
os hosts.
 Computadores em sub-redes diferentes e estamos fazendo acesso através do seu
endereço IP: nesse caso segue a mesma filosofia do IPv4, ou seja, os pacotes devem ser
encaminhados ao gateway.
 Computadores acessando sites de Internet pelo nome de domínio: assim como para o
IPv4 o host IPv6 vai precisar resolver o nome via uma requisição ao DNS (AAAA) para
depois enviar os quadros para seu gateway, o qual fará o encaminhamento para o
próximo salto em direção ao destino.

A diferença no IPv6 é que para descobrir o MAC do host remoto (quando os hosts estão na
mesma sub-rede) ou do gateway (para comunicação em sub-redes diferentes) não é utilizado o
ARP e sim o protocolo NDP através das mensagens de NS e NA.

No IPv4 quando alguém perguntava: “Qual a primeira ação que um host deve tomar quando o
comando ping 1.2.3.4 (host na mesma sub-rede) é executado?”. A resposta seria que o host
deveria fazer uma requisição ARP (ARP Request) em broadcast para descobrir o MAC do
computador 1.2.3.4 e poder montar os quadros de camada-2 antes de enviá-los através da
rede local.

No IPv6 a resposta para o mesmo tipo de pergunta será: “O computador de origem enviará
uma mensagem em multicast de NS (Neighbor Solicitation) para o endereço de Solicited
Node do computador remoto pedindo qual seu endereço MAC e poder montar os quadros de
camada-2 antes de enviá-los através da rede local.”.

O computador remoto ao receber essa mensagem responderá em Unicast para o solicitante o


seu endereço MAC dentro de uma mensagem de NA (Neighbor Advertisement). Veja figura
abaixo com o processo ilustrado.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 307


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

O Solicited-node é um endereço de multicast formado pelo prefixo “ff02::1:ff” mais os 24


últimos bits (seis últimos algarismos em hexadecimal) do endereço de link local ou global que
está se procurando descobrir o endereço MAC.

As informações aprendidas pelo NDP são guardadas na tabela de vizinhanças do IPv6 que pode
ser visualizada com o comando “show ipv6 neighbors”, veja exemplo abaixo.

R1#sho ipv6 neighbors


R1#ping 2000::2

Type escape sequence to abort.


Sending 5, 100-byte ICMP Echos to 2000::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/39/120 ms
R1#show ipv6 neighbors
IPv6 Address Age Link-layer Addr State Interface
2000::2 0 ca01.18b8.0008 REACH Gi0/0
FE80::C801:18FF:FEB8:8 0 ca01.18b8.0008 DELAY Gi0/0

Note que não haviam entradas na tabela de vizinhança de R1, porém após o ping realizado para
R2 o endereço global foi mostrado na tabela vinculado ao MAC ca01.18b8.0008. Essa
informação fica armazenada por um tempo e se não houver contato entre os roteadores ela
será apagada, assim como o aging time do ARP que apaga entradas antigas que não são
utilizadas.

Se a comunicação for para uma rede remota o computador faz a descoberta de vizinhança do
MAC do seu gateway para que os quadros sejam encaminhados através dele. Assim como no
caso do IPv4 o quadro de camada-2 que transporta um pacote IPv6 para uma rede remota terá
como MAC de origem o endereço do computador local e o MAC de destino será o do gateway. Já
os endereços de camada-3 de origem e destino serão do computador local e do servidor remoto
respectivamente.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 308


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.7 Testando a Conectividade IPv6 com Ping e Traceroute

Os testes de conectividade nos roteadores ainda continuam sendo realizados via ping ou
traceroute utilizando os mesmos princípios estudados para o IPv4:

 Ping: utilizado para testes fim a fim.


 Traceroute: realizar testes ponto a ponto (por salto).

Você também tem a opção de ping estendido com o IPv6 para poder testar se uma rede remota
responde para o endereço de LAN do roteador local, pois lembre-se que o ping utiliza o
endereço da interface de saída como endereço de origem dos seus pacotes. Veja exemplos a
seguir.

dltec#ping fe80::1 repeat 100


Output Interface: fastethernet0/0
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to FE80::1, timeout is 2 seconds:
Packet sent with a source address of FE80::1%FastEthernet0/0
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 0/0/4 ms

Para utilizar o ping estendido digite apenas “ping” e depois aperte a tecla “enter”. A seguir
escolha o protocolo digite “ipv6”, veja exemplo abaixo.

dltec#ping
Protocol [ip]: ipv6
Target IPv6 address: fe80::1
Repeat count [5]: 100
Datagram size [100]: 1000
Timeout in seconds [2]:
Extended commands? [no]: y
Source address or interface: fastethernet0/0
UDP protocol? [no]:
Verbose? [no]:
Precedence [0]:
DSCP [0]:
Include hop by hop option? [no]: y
Include destination option? [no]:
Sweep range of sizes? [no]:
Output Interface: fastethernet0/0
Type escape sequence to abort.
Sending 100, 1000-byte ICMP Echos to FE80::1, timeout is 2 seconds:
Packet sent with a source address of FE80::1%FastEthernet0/0
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 0/0/4 ms
dltec#

Você pode também forçar que o ping e o traceroute seja através do IPv6 quando fizer um teste
para um nome de domínio, por exemplo, “ping ipv6 www.ietf.org”.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 309


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Pings e traceuroutes utilizando endereços de link local precisam ter a interface de saída definida
no comando, pois a rede FE80::/64 pertence à todas as interfaces por padrão. Veja abaixo
exemplo de traceroute no Cisco IOS.

R1#traceroute 2340:1111:AAAA:3:C006:22FF:FEEC:0

Type escape sequence to abort.


Tracing the route to 2340:1111:AAAA:3:C006:22FF:FEEC:0

1 2340:1111:AAAA:2::2 4 msec 8 msec 12 msec


2 * * *
3 * * *
R1#

Os asteriscos representam que a partir do segundo salto não houve resposta, pois a mesma
simbologia de problemas que estudamos para o ping e trace no IPv4 continua a mesma no
IPv6. Para cancelar os testes ainda podemos utilizar a sequência de saída “ctrl+shift+6”.

1.8 Troubleshooting Básico no Roteamento IPv6

Agora que já revisamos os principais conceitos que devem ter sido estudados no material do
CCNA CCENT, vamos entender o que podemos ter de problemas que impediria que a rede IPv6
funcionasse corretamente.

Os métodos de resolução sugeridos no IPv6 são os mesmos que utilizamos para o IPv4:

 Utilizando a análise por camadas do modelo OSI, iniciando da física para as superiores.
 Utilizando o método generalizado para resolução de problemas seguindo os passos:
1. Analisar ou prever o funcionamento normal da rede.
2. Isolar o problema.
3. Analisar as possíveis causas raízes e testar soluções para resolver o problema.

É importante também lembrar aqui que estamos trocando o protocolo de camada-3, para as
demais camadas permanece praticamente sem alteração, ou seja, o mesmo cabo de rede que
liga um roteador com interfaces configuradas com IPv4 liga interfaces com IPv6, o mesmo
padrão Ethernet/Fast/Giga que transporta um quadro IPv4 é utilizado para transportar o IPv6 e
assim por diante.

Os protocolos de camada superior, principalmente aplicações que levam informações do


endereço de camada-3 precisam ser adaptados para que, ao invés de transportarem endereços
de 32 bits, também entendam endereços de 128 bits, porém para rede isso é transparente.

O serviço de DNS, vital tanto para o IPv4 quanto para o IPv6, mudou de uma requisição do tipo
A para AAAA, porém continua em UDP porta 53 para os clientes. O que deve ser garantido
antes de montar a rede é que os servidores de DNS entendam e consigam responder a
requisições AAAA, recurso que maioria dos serviços de DNS do mercado já suporta.

Em termos de problemas, assim como estudamos para o IPv4, as falhas de roteamento em


uma rede IPv6 pode ter sua origem nos principais pontos abaixo:

1. No próprio host (usuário final).


2. No roteador local.
3. Em roteadores de redes remotas, ou seja, no caminho entre a origem e destino.
4. Em pacotes/quadros sendo filtrados ou bloqueados nos switches ou por ACLs aplicadas
nas interfaces dos roteadores.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 310


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Vamos lembrar da figura utilizada para mostrar a comunicação entre dois hosts no IPv4 e tenha
em mente que o mesmo princípio é válido para o IPv6. Para que o PC1 envie seu pacote até o
PC2 no IPv6 ele precisa ter um endereço na mesma rede de R1, resolver o MAC de R1 (NDP
mensagens de NS/NA), enviar os pacotes para R1, R1 precisa ter uma rota apontando para a
rede de PC2 porque ela não está diretamente conectada, R1 envia o pacote para R2, R2
consulta sua tabela de roteamento e envia o pacote para PC2.

E os switches no IPv6? Não importa o protocolo de camada-3 para os switches, desde que o
IPv6 utilize um quadro de camada-2 correto a informação será passada pelas suas portas.

Portanto, já sabemos muito de redes IPv6, pois a camada física e enlace não mudam, o
roteamento segue o mesmo princípio e assim por diante! Tirando o formato do quadro e
tamanho dos endereços, as principais mudanças são no ARP que foi trocado pelo NDP e no
endereçamento dinâmico!

Tendo os conceitos estudados até aqui podemos listar que os principais requisitos para que os
computadores ou demais hosts de rede se comuniquem corretamente fim a fim em uma rede
IPv6 são:

1. O serviço de alocação dinâmica de IPs deve estar configurado corretamente e acessível


(SLAAC e/ou DHCPv6). Se o host foi configurado manualmente sua configuração deve
também estar seguindo os padrões do segmento de rede em que ele se encontra.
2. Seu endereço deve estar na mesma sub-rede IPv6 que seu roteador padrão (gateway).
3. O tamanho do prefixo (máscara) utilizado deve ser o mesmo do gateway.
4. O endereço do gateway deve apontar para o endereço da interface real do roteador
padrão da rede local.
5. Os endereços dos servidores de DNS devem estar corretamente configurados e
acessíveis.

Quando passamos a analisar os roteadores temos que lembrar os seguintes requistos de


funcionamento:

1. As interfaces devem estar up/up (operacionais e ativadas – “no shut”).


2. Dois roteadores que conectam um mesmo segmento de rede devem ter suas interfaces
na mesma sub-rede IPv6.
3. Deve haver rotas configuradas (estáticas ou dinâmicas) que apontem para TODAS as
redes IPv6 remotas de acordo com o projeto da topologia. Em redes stub podemos
utilizar apenas uma rota estática padrão ao invés de rotas específicas.
4. Uma rota default (::/0) deve estar criada em cada roteador caso haja necessidade de
acesso à Internet.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 311


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por último, temos os possíveis problemas de filtragem de quadros e pacotes que podem afetar
a comunicação fim a fim entre dois hosts:

1. Filtragem de MACs em switches devido ao Port Security.


2. VLANs faltantes nos switches ou bloqueadas nos trunks (comando “switchport trunk
allowed”).
3. Listas de acesso (ACL) IPv6 configuradas nos roteadores.

O item 3 não faz parte do conteúdo da prova, porém temos que citá-lo para que atuando em
um ambiente real você saiba que da mesma maneira que as ACLs foram criadas no CCNA
CCENT para o IPv4 também podem ser criadas para o IPv6, portanto ACLs IPv6 com problemas
na elaboração podem causar falha na comunicação.

Vamos a seguir analisar as principais causas raízes de cada um dos cenários de problema.

1.8.1 Causas raízes em problemas envolvendo hosts


Para analisar o funcionamento de um host IPv6 e os problemas que podem acontecer considere
a figura abaixo.

Suponha que você é um analista de redes e um usuário (PC1) registra um chamado no Service
Desk da empresa dizendo que está sem acesso a determinado servidor (PC2). Vamos também
considerar que não temos problemas físicos nem de camada 2, pois já verificamos que o
cabeamento está correto e a porta de SW-1 está up/up e operando normalmente.

Nesse caso o problema está relacionado com a alocação dinâmica de endereço IPv6 ou
configuração estática realizado no host pelo administrador de redes. Também podemos ter um
problema relacionado ao DNS, por exemplo, o endereço está errado ou um problema de
roteamento ou lista de acesso pode estar bloqueando a consulta realizada pelo host.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 312


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Podemos começar os testes realizando pings a partir do computador para verificar se suas
configurações estão com problema fazendo dois testes básicos:

1. Ping para o endereço global do gateway: Se não funcionar podemos ter um


problema de configuração e para verificar se não é a placa de rede podemos fazer um
ping para ::1 (loopback IPv6) e depois para o endereço de Link Local (FE80::...) do
gateway. Se os dois últimos testes funcionarem com certeza a placa de rede está OK e a
configuração da placa de rede precisa ser verificada. Se o ping para o endereço global
do gateway funcionar faça o segundo teste.
2. Ping para o endereço do servidor DNS: se o DNS não responder ao ping podemos
ter um problema não relacionado ao host, ou seja, de conectividade ou bloqueio de
pacotes através da rede.

Para analisar melhor o teste do item 1 você pode verificar as configurações de rede do
computador com o comando ipconfig /all no Windows ou ifconfig no Linux e MAC OS-X.

Lembre-se que o computador deve ter pelo menos um endereço IP com o mesmo prefixo e
comprimento de prefixo configurado para sua LAN ou VLAN, assim como um gateway e pelo
menos um endereço de servidor DNS, sendo que tudo deve bater com o que está planejado
para o segmento de rede.

Para verificar o gateway e o DNS no Linux via linha de comando você pode utilizar o comando
“netstat -A inet6 –rn” e procure a entrada para a rota “::/0”. No MAC via linha de comando
você pode utilizar o mesmo comando, se não funcionar utilize “/usr/sbin/netstat -f inet6 –rn” e
procure pela entrada da rota padrão.

Lembre-se que as configurações dinâmicas nesse exame tem foco com o computador utilizando
SLAAC combinado com o DHCPv6 Stateless ou DHCPv6 Stateful. Para que a
autoconfiguração via SLAAC funcione as mensagens do NDP de RS e RA devem estar sendo
trocadas normalmente e no roteador ele deve ter um endereço IPv6 em sua interface de LAN
ou VLAN, assim como o comando “ipv6 unicast-routing” deve estar habilitado.

No caso dos servidores DHCPv6 eles devem também estar ativos e acessíveis, por exemplo, a
empresa utiliza um servidor DHCPv6 consolidado em seu Datacenter e não distribuído nas
unidades. Lembre-se que, nesse caso, o comando para configurar o roteador como DHCPv6
Relay deve estar configurado em sua interface de LAN ou VLAN: “ipv6 dhcp relay
destination”.

Resolvido o problema no primeiro salto, ou seja, entre o roteador e seu gateway e mesmo
assim redes remotas continuam não acessíveis vamos ter que verificar o próximo passo - o
roteamento a partir do gateway em direção às demais redes. Veja a continuação no próximo
tópico.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 313


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1.8.2 Causas raízes em problemas envolvendo roteadores e bloqueio de pacotes


Continuando a análise e levando em conta a mesma topologia, nosso computador agora está
com a configuração correta e já consegue se comunicar com seu gateway, vamos então mais
uma vez olhar nossa topologia.

Para que PC1 acesse PC2 o roteador R1 precisa ter uma entrada em sua tabela de roteamento
apontando para LAN de R2, onde está posicionado PC2. Para essa verificação podemos utilizar o
“show ip route”. Outro problema que pode estar acontecendo é que a interface de R2 pode
estar desativada ou com problemas, para isso podemos utilizar o comando “show ipv6
interface” ou também a opção brief no final, com ela podemos verificar o estado das
interfaces nos roteadores e também se há problema de endereçamento.

Um teste simples de realizar em redes com mais saltos (mais roteadores) é utilizar o
traceroute para isolar o problema, pois onde o pacote parar sabemos que a provável causa
raiz está.

Nessa faze podemos fazer um ping estendido em R1 para criar um teste entre a interface de
LAN de R1 até o IPv6 da LAN de R2, assim podemos ver se há conectividade entre as duas
LANs.

Nos exames, e na prática também, um problema comum de conectividade entre dois


roteadores é a criação de loops de roteamento com rotas padrão. Por exemplo, R1 pode ter
uma rota padrão apontando para R2 e R2 apontando para R1, assim quando PC1 pingar para
uma rede desconhecida ou tentar sair para a Internet e o roteador R2 não conhecer também o
destino ele devolve o pacote para R1, quando R1 recebe o pacote ele analisa sua tabela de
roteamento, não encontra o destino e devolve para R2 e assim por diante até o TTL do pacote
finalizar.

Com o traceroute é simples de reconhecer esse tipo de problema.

Portanto, nessa fase é analisar a conectividade entre os roteadores e suas tabelas de


roteamento para isolar o problema e encontrar a causa raiz. Caso não sejam encontrados
problemas ou eles sejam resolvidos e mesmo assim PC1 não conseguir se comunicar com PC2
podemos ter um possível problema de bloqueio de pacotes por ACLs ou filtragem de quadros na
camada-2.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 314


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Os problemas de filtragem em camada-2 já foram verificados no início do curso, basta seguir os


mesmos passos para verificação nos switches. Para verificar se existe ACL configurada nos
roteadores você pode utilizar o comando “show ipv6 interface” e procurar pelo campo em
destaque conforme exemplo abaixo.

R1#show ipv6 interface


Serial1/0 is up, line protocol is down
IPv6 is tentative, link-local address is FE80::C800:18FF:FEB8:6 [TEN]
No Virtual link-local address(es):
Global unicast address(es):
2000::C800:18FF:FEB8:6, subnet is 2000::/64 [EUI/TEN]
Joined group address(es):
FF02::1
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
Output features: Access List
Outgoing access list test-ACL
### Saídas omitidas propositalmente ###

Portanto, temos como verificar se há ACL aplicada na interface e verificar se elas não estão
bloqueando o tráfego, pois elas são bem parecidas com as que fizemos para o IPv4. Veja
exemplo abaixo.

ipv6 access-list DENY_TELNET


deny tcp any host 2000::10 eq telnet
permit ipv6 any any
!
interface fast0/0
ipv6 traffic-filter DENY_TELNET out

Nesse exemplo criamos uma ACL IPv6 que bloqueia o telnet originado de qualquer rede para o
host 2000::10 (deny tcp any host 2000::10 eq telnet) e aplicamos na direção de saída da
interface de LAN do roteador com o comando “ipv6 traffic-filter” mais o nome da ACL criada
em modo de configuração global e a direção de saída (out). Ou seja, mesmo conceito utilizado
para as ACLs nomeadas estendidas do IPv4 mudando apenas o comando para aplicá-la na
interface.

Para concluir, em termos macro as mesmas análises de problemas que realizamos tanto no
material do curso CCNA CCENT quanto o que estudamos agora no CCNA ICND-2 para resolução
de problemas em redes IPv4 são aplicáveis para redes Ipv6, com exceção em alguns protocolos
e tarefas que são exclusivas do IPv6 devido à mudanças provocadas pelo fim do uso do
broadcast. Por isso, não tenha medo do IPv6. Ele não é tão complicado nem tão difícil de
aprender, pois muitas coisas que já sabemos para o IPv4 são as mesmas para o IPv6!

Como um complemento ao IPv6 a DlteC desenvolveu um curso específico sobre o protocolo


IPv6, onde muitos dos conceitos são os mesmos ensinados no CCNA CCENT e ICND-2, porém
trazemos a configuração do DHCPv6 e outros recursos como ativar um túnel para conexão real
com a Internet IPv6 que não faz parte do conteúdo de nenhum dos exames atuais da Cisco
sobre IPv6. Vale a pena conferir, pois a implantação do IPv6 já é uma realidade!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 315


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2 Implementando OSPFv3
O OSPFv3 está descrito na RFC 2740 e assim como o OSPFv2 é um protocolo de roteamento
link-state, por isso utiliza o algoritmo de Dijkstra (SPF ou Shortest Path First) para o cálculo da
melhor rota.

Sua métrica é também o custo da interface (mesmo cálculo do OSPFv2) e também pode ser
organizado hierarquicamente em áreas, onde a área zero é a de backbone e todas as demais
áreas devem se conectar a ela. O OSPFv3 permite também a configuração em uma única área
(Sigle Area) com todas as interfaces conectadas ao backbone (área zero).

Outras características comuns do OSPFv3 em relação ao OSPFv2:

 Utiliza a mesma terminologia para os dispositivos (ABR, ASBR, Backone, áreas, etc.).
 Utiliza os mesmos tipos de pacotes estudados para o OSPFv2, porém com algumas
diferenças no LSDB que não são estudadas no ICND-2.
 Forma adjacências (vizinhanças) da mesma maneira, com o protocolo de hello e
passando pelos mesmos estados do OSPFv2.
 Inundação periódica a cada 30 minutos caso não haja alterações de rede (reflooding).
 Pode rodar simultaneamente com o OSPFv2, uma vez que eles usam processos e bases
de dados distintas.
 Precisam ter os mesmos valores para os temporizados de Hello e Dead para formar
adjacência.

As principais diferenças do OSPFv3 para o OSPFv2 é o formato do endereçamento, pois agora


usamos o IPv6 e os endereços para envio dos anúncios de roteamento são os de multicast
FF02::5 e FF02::6, porém utilizando o endereço de link-local como origem desses pacotes.
Com isso, o OSPF para IPv6 pode acabar formando adjacências com vizinhos que não estão
na mesma sub-rede. Lembre-se que para o OSPFv2 a vizinhança era feita com um endereço
IPv4 da mesma sub-rede obrigatoriamente, como os endereços de link local do IPV6 pertencem
à rede FE80::/64 se a rede global do vizinho estiver configurada em um prefixo diferente por
engano, mesmo assim o OSPFv3 sobe.

Outra diferença interessante entre o OSPF para IPv6 e IPv4 é que a versão 3 do OSPF suporta
múltiplas instâncias de OSPF em uma mesma interface, enquanto o OSPFv2 suporta uma única
instância por link. Por exemplo, você cria o “ipv6 router ospf 1” e “ipv6 router ospf 2” e
pode ter esses dois processos de OSPF rodando na mesma interface, ou seja, dois domínios de
roteamento OSPFv3 em uma mesma interface.

Antes de começar a configuração do OSPFv3 certifique-se que o comando “ipv6 unicast-


routing” e os endereços IPv6 das interfaces estejam configurados corretamente.

Lembre-se que para configuração do OSPFv3, o processo de roteamento e suas propriedades


são criadas em modo de configuração global e a definição das interfaces que farão parte do
processo de roteamento é realizada dentro das interfaces, porém para o OSPF precisaremos
definir a área que cada rede irá se conectar. Não existe mais o comando network no
OSPFv3.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 316


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Antes de definir as interfaces que irão participar do processo do OSPF é preciso também definir
um router-ID de 32 bits igual a um IPv4 (decimal pontuado), pois o router-ID não é criado
automaticamente no caso do OSPFv3. Resumindo, os passos da configuração:

1. Certificar-se que o comando “ipv6 unicast-routing” está rodando e que as interfaces


estão corretamente configuradas (prefixo/comprimento correto) e ativas (no shut).
2. Ativar o protocolo de roteamento em modo de configuração global com o comando “ipv6
route ospf PID” -> PID ou process-ID é o número de processo utilizado para vincular
as interfaces ao roteamento OSPFv3.
3. Definir o router ID dentro do modo de configuração de roteamento com o comando
“router-id RID”, lembrando que o RID tem o formado de um endereço IPv4 e deve ser
único no domínio de roteamento OSPF.
4. Entrar nas interfaces que irão participar do processo e ativar o OSPFv3 definindo a área
que ele irá se conectar com o comando “ipv6 ospf PID area x”, onde o PID é o mesmo
definido no item 2 e o “x” é o número da área que a interface deve estar alocada.

O endereço utilizado pelo RID não precisa ser roteável e se ele não for definido pelo comando
“router-id” o roteador vai pegar o maior IPv4 de loopback configurado ou o maior IPv4 de
interface configurado, assim como é feito no OSPFv2 para definir o DR/BDR. Por isso, é
importante antes de iniciar o processo do OSPFv3 nas interfaces já ter o RID definido para que
não haja surpresas e outro valor assuma como RID. Assim que você vincula uma interface no
processo do OSPFv3 o RID é escolhido e se não houver o comando router-id será um desses
IPs versão 4 e não muda até que o processo seja reiniciado (comando clear ipv6 ospf num-
PID).

Relembre a configuração básica do OSPFv3 no roteador R3, o qual é um ABR, pois conecta a
área zero às áreas 18 e 51. O router-ID a ser configurado é 3.3.3.3. As configurações
exclusivas do OSPF estão em destaque. Veja a figura seguinte com a topologia onde o roteador
R3-DR está inserido.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 317


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Analisando a topologia você conseguiria identificar como os roteadores que R1, R2, R4, R5
e R6 seriam classificados no OSPFv3? Pense um pouco e depois confira a resposta
clicando aqui.

Resposta:
R1 é um roteador interno da área 18, R2 é um roteador interno da área 51, R4 é um ABR,
R5 é um ASBR, pois conecta o domínio do OSPF com um domínio externo do RIPng, e R6
não faz parte do OSPF.

Configuração do roteador ABR R3:

R3-DR(config)#interface FastEthernet0/0
R3-DR(config-if)# ipv6 address 2000:101::1/64
R3-DR(config-if)# ipv6 ospf 1 area 0
R3-DR(config-if)#!
R3-DR(config-if)#interface Serial0/0
R3-DR(config-if)# bandwidth 512
R3-DR(config-if)# ipv6 address 2002:104::1/64
R3-DR(config-if)# ipv6 ospf 1 area 18
R3-DR(config-if)#!
R3-DR(config-if)#interface FastEthernet0/1
R3-DR(config-if)# ipv6 address 2000:100::1/64
R3-DR(config-if)# ipv6 ospf 1 area 0
R3-DR(config-if)#!
R3-DR(config-if)#interface Serial0/1
R3-DR(config-if)# bandwidth 256
R3-DR(config-if)# ipv6 address 2003:104::1/64
R3-DR(config-if)# ipv6 ospf 1 area 51
R3-DR(config-if)#!
R3-DR(config-if)#ipv6 router ospf 1
R3-DR(config-rtr)# router-id 3.3.3.3

Lembre-se também que assim como para o OSPFv2 podemos também no OSPFv3 utilizar o
comando “passive-interface” para evitar o envio de Hellos e formação de adjacências em
interfaces onde não existem outros roteadores OSPFv3. Por exemplo, em uma LAN onde temos
apenas usuários finais não há sentido trocar LSAs ou enviar Hello, portanto basta entrar em
modo de configuração do roteador OSPFv3 e desabilitar o envio na interface com o “passive-
interface”, veja exemplo abaixo.

R3-DR(config-if)#ipv6 router ospf 1


R3-DR(config-rtr)#router-id 3.3.3.3
R3-DR(config-rtr)#passive-interface Fast0/0

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 318


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

A segunda maneira de utilizar o passive-interface é com o comando “passive-interface


default” em modo de configuração do roteador OSPFv3 para desativar TODAS as interfaces e
habilitar uma a uma com o comando “no passive-inteface”. Veja exemplo para o roteador R3
da topologia anterior utilizando a segunda metodologia do passive-interface.

R3-DR(config-if)#ipv6 router ospf 1


R3-DR(config-rtr)#router-id 3.3.3.3
R3-DR(config-rtr)#passive-interface default
R3-DR(config-rtr)#no passive-interface Fast0/0
R3-DR(config-rtr)#no passive-interface Fast0/1
R3-DR(config-rtr)#no passive-interface Serial0/0
R3-DR(config-rtr)#no passive-interface Serial0/1

Essa opção de configuração parece mais trabalhosa, porém é a mais segura, pois garante que
quando novas interfaces subirem não teremos a chance de, por engano, subir uma vizinhança
indevida e que rotas falsas seja injetadas no domínio atual de roteamento OSPFv3.

2.1 Opções Extras de Configuração do OSPFv3

Como já estudamos para o OSPFv2 podemos alterar outros parâmetros de configuração que
podem também ser ajustados no OSPFv3 e vamos nesse tópico aprender essas configurações
extras que fazem parte dos objetivos do ICND-2 (exame 200-105) e consequentemente do
CCNAX.

2.1.1 Comandos Relacionados à Métrica do OSPF


Vamos começar lembrando os valores relativos ao cálculo da métrica do OSPFv3, que depende
exclusivamente da largura de banda da interface configurada no comando bandwidth para as
interfaces seriais, já para interfaces de LAN os valores são retirados diretamente do speed
configurado ou do resultado da autonegociação.

Portanto, como podemos influenciar ou ajustar esses valores? Veja as opções abaixo.

1. Configurar o custo da interface diretamente em sua configuração com o comando “ipv6


ospf cost x”, sendo que o x pode variar de 1 a 65,535.
2. Alterar a largura de banda da interface no comando bandwidth em Kbps e deixar o
roteador calcular o custo (10^8/BW-Interface ou reference-bandwidth/interface-
bandwidth).
3. Alterar a largura de banda de referência (reference bandwidth) do roteador entrando no
modo de configuração do roteador OSPFv3 e utilizando o comando “auto-cost
reference-bandwidth ref-BW” em Mbps.

Lembre-se que a melhor métrica para um caminho é aquele com a menor somatória dos custos
acumulados. Veja exemplo abaixo onde vamos analisar o melhor caminho entre B e C. Os
custos das interfaces já estão calculados e indicados na topologia, lembrando que o menor
custo será o escolhido.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 319


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.1.2 Balanceamento de Cargas

Assim como para o OSPFv2 o OSPFv3 suporta, por padrão, balanceamento de cargas entre até
quatro rotas. Se for preciso inserir mais rotas no balanceamento de cargas elas devem ter o
mesmo custo que a melhor métrica calculada, pois o OSPFv3 também suporta apenas
balanceamento de cargas entre rotas de mesmo custo.

Para desabilitar o balanceamento de cargas primeiro precisamos entrar no modo de


configuração de roteamento OSPFv3 e depois utilizar o comando “maximum-paths 1”.

Se o requisito for aumentar o número de rotas do padrão para seis, por exemplo, utilizamos o
comando “maximum-paths 6”. Veja exemplo abaixo onde vamos mostrar alguns problemas
que podem ocorrer na ativação do OSPFv3 grifados em cinza, depois a configuração do
maximum-paths em amarelo. Note em cinza que não ativamos o roteamento IPv6 e uma
mensagem foi mostrada “% IPv6 routing not enabled” indicando que o comando “ipv6
unicast-routing” não está ativado. Na sequência tem um aviso para ativarmos o RID
manualmente porque não existe IPv4 configurado no roteador.

R1(config)#ipv6 router ospf 1


% IPv6 routing not enabled
R1(config)#ipv6 unicast-routing
R1(config)#ipv6 router ospf 1
R1(config-rtr)#
*Sep 19 13:06:15.423: %OSPFv3-4-NORTRID: OSPFv3 process 1 could not pick a
router-id,
please configure manually
R1(config-rtr)#router-id 1.1.1.1
R1(config-rtr)#maximum-paths ?
<1-32> Number of paths

R1(config-rtr)#maximum-paths 6
R1(config-rtr)#

Na tabela de roteamento duas ou mais rotas balanceando cargas são vistas com mais de um
destino na mesma entrada de roteamento, veja exemplo abaixo destacado em amarelo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 320


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

R1#sho ipv6 route ospf


### Legendas omitidas ###
O 2010::0/127 [110/128]
via FE80::C801:18FF:FEB8:6, Serial1/0
O 2030::/127 [110/65]
via FE80::C801:18FF:FEB8:6, Serial1/1
via FE80::C801:18FF:FEB8:6, Serial1/0
O 2600:BA:BA::/64 [110/2]
via FE80::C803:FFF:FE04:8, GigabitEthernet0/0
R1#

Note que a rota para a rede de destino 2030::/127 tem métrica (custo) 65 e pode ser
alcançada pelas interfaces seriais 1/0 e 1/1, ou seja, está havendo balanceamento de cargas
entre elas porque ambas possuem métrica igual a 65.

As outras duas entradas de roteamento para as redes 2010::0/127 e 2600:BA:BA::/64


possuem apenas uma opção de próximo salto ou então as rotas alternativas tem maior custo,
por isso não estão balanceando cargas.

2.1.3 Anunciando uma Rota Padrão via OSPFv3

Assim como para o OSPFv2 é possível fazer o anúncio da rota padrão para os demais
roteadores do domínio de roteamento OSPFv3 através do ASBR que está conectado à Internet
utilizando o comando “default-information originate”.

Com esse comando a rota para a Internet “::/0” será enviada para todos os demais roteadores
OSPFv3 como uma rota externa sem a necessidade da configuração estática por roteador,
apenas o ASBR precisa da rota estática padrão mais o comando “default-information
originate”, mesmo princípio do OSPFv2.

2.2 Verificando o Funcionamento do OSPFv3

Para verificar as configurações e estado do OSPF podemos começar com o comando “show
ipv6 route ospf” e verificar se há entrada de roteamento aprendida através do OSPF.

Caso os roteadores OSPF não estejam trocando rotas podemos verificar se os vizinhos foram
encontrados ou estão com problemas com o comando “show ipv6 ospf neighbor” e com o
comando “show ipv6 ospf interface” podemos verificar se os timers de hello e dead estão
iguais em ambos os lados.

Além disso, temos outros comandos show bem parecidos com os utilizados no OSPFv2, veja a
tabela a seguir com os principais comandos em comparação entre o OSPFv3 e v2.

Objetivo do comando Sintaxe IPv4 Sintaxe IPv6


Verificar as rotas aprendidas pelo OSPF show ip route ospf show ipv6 route ospf
Verificar o router ID, temporizadores e
estatísticas dos ABRs show ip ospf show ipv6 ospf
show ip protocols
Listar informações das origens de roteamento show ip ospf neighbor show ipv6 ospf neighbor
Verificar as interfaces que pertencem a cada show ip protocols show ipv6 protocols
área show ip ospf interface brief show ipv6 ospf interface brief
Verificar custos das interfaces do OSPF e
número de vizinhos show ip interface brief show ipv6 interface brief

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 321


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Obter informações detalhadas sobre as


interfaces OSPF (DR/BDR, tipo de link,
autenticação, dead e hello timers, ect.) show ip ospf interface show ipv6 ospf interface
Mostrar informações resumidas sobre o banco
de dados do OSPF show ip ospf database show ipv6 ospf database

Lembre-se que os passos para verificação de problemas no OSPF é o mesmo para as duas
verões:

 Verificar as configurações do OSPFv3 com show running-config.


 Verificar se as interfaces estão corretamente vinculadas ao processo de roteamento e
áreas corretas.
 Verificar se os vizinhos foram descobertos via Hello.
 Verificar se as LSAs estão sendo trocadas e o LSDB está sendo montado.
 Verificar o cálculo do SPF e se a tabela de roteamento tem rotas injetadas pelo OSPF.

Vamos a seguir analisar a operação do OSPFv3 e os principais problemas que podem afetar seu
funcionamento normal.

2.2.1 Verificando a Configuração Inicial e Interfaces OSPFv3


A primeira parte da configuração do OSPFv3 é ativar o protocolo, definir um RID e depois entrar
nas interfaces e vinculá-las ao processo conforme PID utilizado na configuração inicial.

Para verificar problemas relacionados à ativação do OSPFv3 e suas interfaces podemos utilizar
os seguintes comandos.

 show running-config: Procurar pelas declarações que iniciam com o comando “ipv6
route ospd PID” e pelas declarações nas interfaces com o comando “ipv6 ospf PID area
x”. Lembre-se que o número do PID deve bater nessas declarações de comandos e as
áreas deve seguir o planejamento conforme topologia ou dados do exercício no exame.

 show ipv6 protocols: Permite visualizar os protocolos de roteamento configurados


para o IPv6, se o OSPFv3 com o PID planejado não estiver listado é porque o OSPFv3
não foi configurado. Além disso, esse comando mostra as interfaces ativas por área.
Veja exemplo a seguir onde temos o OSPFv3 com PID 1 configurado e as interfaces
serial 1/0 na área zero e a giga0/0 na área 1. Mesmo que a interface esteja passiva ela
aparece nesse comando.

R1#sho ipv6 protocols


IPv6 Routing Protocol is "ND"
IPv6 Routing Protocol is "connected"
IPv6 Routing Protocol is "ospf 1"
Interfaces (Area 0):
Serial1/0
Interfaces (Area 1):
GigabitEthernet0/0
Redistribution:
None
 show ipv6 ospf interface: Com esse comando podemos verificar diversas opções das
interfaces ospfv3, por exemplo, a área da interface, número do processo (PID), RID do
roteador, o custo da interface e valores de hello/dead (marcados em sequência). Veja
exemplo abaixo onde a interface giga está passiva e para ela também aparece a
informação sobre DR/BDR.

R1#show ipv6 ospf interface


Serial1/0 is up, line protocol is down

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 322


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Link Local Address FE80::C800:18FF:FEB8:6, Interface ID 5


Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1
Network Type POINT_TO_POINT, Cost: 64
Transmit Delay is 1 sec, State DOWN,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
GigabitEthernet0/0 is up, line protocol is up
Link Local Address FE80::C800:18FF:FEB8:8, Interface ID 4
Area 1, Process ID 1, Instance ID 0, Router ID 1.1.1.1
Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State WAITING, Priority 1
Designated Router (ID) 1.1.1.1, local address FE80::C800:18FF:FEB8:8
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
No Hellos (Passive interface)
Wait time before Designated router selection 00:00:27
Graceful restart helper support enabled
Index 1/1/2, flood queue length 0
Next 0x0(0)/0x0(0)/0x0(0)
Last flood scan length is 0, maximum is 0
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)

 show ipv6 ospf interface tipo número: Mostra o mesmo conteúdo visto
anteriormente, porém de uma interface ospf específica.
 show ipv6 ospf interface brief: Mostra um resumo das interfaces OSPFv3, sendo bem
útil para a fase de diagnóstico inicial de problemas com interfaces OSPFv3. Veja exemplo
a seguir, note que temos por interface o número do processo (PID), a área em que ela
foi vinculada (Area), seu custo (Cost) e estado da vizinhança (State).

R1#sho ipv6 ospf interface brief


Interface PID Area Intf ID Cost State Nbrs F/C
Se1/0 1 0 5 64 DOWN 0/0
Gi0/0 1 1 4 1 DR 0/0

Com acesso ao comando show running-config fica bem mais simples de analisar a configuração
e procurar eventuais erros de configuração, porém o exame pode dar um dos comandos show
acima para que o aluno faça o diagnóstico e escolha uma opção de troubleshooting para
resolução do problema.

Por exemplo, fornecendo uma topologia e a saída do comando “show ipv6 interface” pede
para indicar porque determinado roteador não está trocando LSAs com seu vizinho. No
comando podemos encontrar os temporizadores de Hello e Dead e também se a interface está
passiva, pois uma interface declarada no comando passive-interface não forma vizinhança e por
isso não troca LSAs com seu vizinho.

Outro problema comum relacionado a interfaces é quando declaramos a área errada no


comando “ipv6 ospf PID area x”. No exame podem ser dados os comandos “show running-
config”, “show ipv6 interface” ou “show ipv6 interface brief” perguntando por que determinada
rota não aparece na tabela de roteamento em uma topologia single area e ela está na área 1,
conforme as saídas mostradas anteriormente. Para resolver o problema é só corrigir o comando
entrando na giga 0/0 e digitanto “ipv6 ospf 1 area 0”, o que poderia ser parte de um exercício
prático simulado, por exemplo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 323


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.2.2 Formação de Vizinhanças OSPFv3


Com as interfaces configuradas nas áreas certas e ativas espera-se que os roteadores OSPF
iniciem a troca de hellos para formação de vizinhança, passando por vários estados até ficarem
Full-loaded conforme sequência abaixo.

 Down > Init > Two-way > Exstart > Exchange > Loading > Full

Podemos verificar a troca de mensagens de adjacência no OSPFv3 com o comando “debug


ipv6 ospf adj”. Veja exemplo abaixo onde os passos citados acima foram grifados. Note que a
parte de loading não é especificada com esse nome e sim é identificada com o envio e
recebimento de LSAs (LS REQ, DBD e UPD).

R1#debug ipv6 ospf adj


OSPFv3 adjacency events debugging is on
R1#
*Sep 19 15:44:39.078: OSPFv3: Added 2.2.2.2 to nbr list for Serial1/0
*Sep 19 15:44:39.130: OSPFv3: 2 Way Communication to 2.2.2.2 on Serial1/0, state
2WAY
*Sep 19 15:44:39.130: OSPFv3: Serial1/0 Nbr 2.2.2.2: Prepare dbase exchange
*Sep 19 15:44:39.130: OSPFv3: Send DBD to 2.2.2.2 on Serial1/0 seq 0x23A9 opt
0x0013 flag 0x7 len 28
*Sep 19 15:44:39.134: OSPFv3: Rcv DBD from 2.2.2.2 on Serial1/0 seq 0x1934 opt
0x0013 flag 0x7 len 28 mtu 1500 state EXSTART
*Sep 19 15:44:39.138: OSPFv3: NBR Negotiation Done. We are the SLAVE
*Sep 19 15:44:39.138: OSPFv3: Serial1/0 Nbr 2.2.2.2: Summary list built, size 4
*Sep 19 15:44:39.138: OSPFv3: Send DBD to 2.2.2.2 on Serial1/0 seq 0x1934 opt
0x0013 flag 0x2 len 108
*Sep 19 15:44:39.178: OSPFv3: Rcv DBD from 2.2.2.2 on Serial1/0 seq 0x1935 opt
0x0013 flag 0x1 len 48 mtu 1500 state EXCHANGE
*Sep 19 15:44:39.182: OSPFv3: Exchange Done with 2.2.2.2 on Serial1/0
*Sep 19 15:44:39.182: OSPFv3: Send LS REQ to 2.2.2.2 length 12 LSA count 1
*Sep
R1# 19 15:44:39.182: OSPFv3: Send DBD to 2.2.2.2 on Serial1/0 seq 0x1935 opt
0x0013 flag 0x0 len 28
*Sep 19 15:44:39.214: OSPFv3: Rcv LS UPD from 2.2.2.2 on Serial1/0 length 56 LSA
count 1
*Sep 19 15:44:39.214: OSPFv3: Synchronized with 2.2.2.2 on Serial1/0, state FULL
*Sep 19 15:44:39.218: %OSPFv3-5-ADJCHG: Process 1, Nbr 2.2.2.2 on Serial1/0 from
LOADING to FULL, Loading Done

No final do processo a tabela de vizinhança deve mostrar o roteador com RID 2.2.2.2, veja
abaixo.

R1#show ipv6 ospf neighbor


Neighbor ID Pri State Dead Time Interface ID Interface
2.2.2.2 0 FULL/ - 00:00:37 5 Serial1/0

Em redes multiacesso brodcast (LAN padrão Ethernet) ou NBMA (Frame-relay configurado com
interface ou subinterface multiponto) teremos ainda a eleição de um roteador designado (DR ou
Designated Router) e seu backup (BDR ou Backup Designated Router). Lembre-se que as
adjacências ficam full apenas entre DR/BDR e DR e demais roteadores, chamados de DROTHER.

Lembre-se que entre dois DROTHER (roteadores que não são nem DR nem BDR) a vizinhança
não passa do estado 2-Way, por isso nem sempre um roteador em um estado diferente de Full
está com problemas, tudo depende do tipo de interface que estamos fazendo a conexão entre
eles.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 324


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Veja exemplo na saída abaixo onde temos o roteador 1.1.1.1 (R1) como DR, o 3.3.3.3 (R3) é o
BDR e o 2.2.2.2 (R2) é um DROTHER conectados a uma mesma rede LAN e pertencentes à
área 1.

R1#show ipv6 ospf interface brief


Interface PID Area Intf ID Cost State Nbrs F/C
Se1/0 1 0 5 64 P2P 1/1
Gi0/0 1 1 4 1 DR 2/2
R1#!
R1#show ipv6 ospf neighbor
Neighbor ID Pri State Dead Time Interface ID Interface
2.2.2.2 1 FULL/DROTHER 00:00:37 4 GigabitEthernet0/0
3.3.3.3 1 FULL/BDR 00:00:37 4 GigabitEthernet0/0

Para que a vizinhança no OSPFv3 seja estabelecida os requisitos são parecidos com os que
estudamos no OSPFv2, vamos comparar com a listagem logo a seguir.

 As Interfaces devem estar up/up -> isso vale para as duas versões de OSPF, se as
interfaces não estão UP não há nenhuma troca de pacotes.
 As Interfaces devem estar na mesma sub-rede -> esse é um requisito do OSPFv2,
pois o OSPFv3 utiliza o endereço de Link Local para fazer vizinhança por padrão, por isso
já está na mesma sub-rede do vizinho que é FE80::/64 para qualquer tipo de interface.
 Listas de acesso (ACLs) não devem filtrar pacotes do OSPF -> sim, esse requisito
tem que ser o mesmo para ambas as versões, pois se houver filtragem de pacotes de
hello ou quaisquer outras mensagens não haverá formação de adjacência e/ou troca de
LSAs.
 Se configurado, devem passar no processo de autenticação entre vizinhos ->
com certeza é válido para o OSPFv2 e OSPFv3, ambos suportam autenticação e se
estiver habilitado se não autenticar a vizinhança não sobre, esse é um recurso de
segurança do OSPF ensinado no CCNP Route.
 Temporizadores de Hello e Dead devem ser iguais -> também é requisito tanto
para o OSPFv2 como para o OSPFv3.
 O Router-ID deve ser único no domínio de roteamento OSPF -> também é
requisito tanto para o OSPFv2 como para o OSPFv3.
 Devem utilizar o mesmo process-ID na configuração inicial do OSPF -> não
precisa ser o mesmo para nenhuma das versões de OSPF, porém no OSPFv3 esse valor
é utilizado para ativar as interfaces no processo de roteamento.

Além disso, para que duas interfaces vizinhas formem adjacências elas não podem estar
passivas (passive-interface) e também precisar utilizar o mesmo identificador de área (area-
ID). Para isolar os principais problemas de formação de adjacências podemos utilizar os
seguintes comandos show e debug:

 Autenticação -> show ipv6 ospf interface e debug ipv6 ospf adj
 Temporizadores de Hello e dead -> show ipv6 ospf interface
 Verificar se as interfaces estão na mesma área -> show ipv6 ospf interface brief e
show ipv6 protocols
 Verificar Router-IDs duplicados -> show ipv6 ospf
 Verificar se a interfaces está passiva -> show ipv6 ospf interface

Esses comandos já foram estudados e mostrados exemplos em tópicos anteriores.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 325


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.2.3 Troca de LSAs e Banco de Dados - LSDB


Se você lembrar o que estudamos no capítulo 3 desse curso sobre o OSPFv2, para as topologias
que utilizamos somente com áreas internas e no máximo rotas inter-areas utilizando roteadores
de backbone, internos e ABR apenas três tipos de LSAs foram utilizadas para a montagem do
banco de dados ou LSDB (Link State Data Base):

 Uma LSA para cada roteador (router LSA do tipo-1) conectado a uma determinada área,
incluindo também o ABR.
 Uma “network LSA” (LSA tipo-2) para cada rede que possui um DR com pelo menos um
vizinho (BDR ou DROTHER).
 Uma LSA por prefixo de rota aprendida de uma área diferente da sua (LSA tipo-3).

O conceito das LSAs do tipo-1, tipo-2 e tipo-3 continuam valendo no OSPFv3, porém outras
LSAs foram criadas e o banco de dados para o IPv6 também é um pouco diferente, por isso
vamos mostrar o banco de dados mas não entrar em detalhes como fizemos para o OSPFv2,
pois está além do escopo do conteúdo atual para o CCNA R&S.

Abaixo segue exemplo de um roteador interno pertencente à área 1 configurado com OSPFv3.

R3#show ipv6 ospf database

OSPFv3 Router with ID (3.3.3.3) (Process ID 1)

Router Link States (Area 1)

ADV Router Age Seq# Fragment ID Link count Bits


1.1.1.1 521 0x80000005 0 1 B
2.2.2.2 344 0x80000002 0 1 B
3.3.3.3 470 0x80000003 0 1 None

Net Link States (Area 1)

ADV Router Age Seq# Link ID Rtr count


1.1.1.1 521 0x80000003 4 3

Inter Area Prefix Link States (Area 1)

ADV Router Age Seq# Prefix


1.1.1.1 1517 0x80000002 2000::/64
2.2.2.2 344 0x80000002 2000::/64

### Saídas omitidas propositalmente ###

Note que esse roteador tem dois outros vizinhos na área 1 (campo “Router Link States” –
LSAs do tipo-1), que são 1.1.1.1 e 2.2.2.2, pois 3.3.3.3 é mostrado no início que é o próprio
roteador local. Logo depois disso, no campo “Net Link States” (LSAs do tipo-2) conseguimos
ver que o roteador 1.1.1.1 é DR de uma rede multiacesso, nesse caso é uma LAN, pois R1, R2,
e R3 estão conectados na mesma LAN.

Por último temos as “Inter Area Prefix Link States”, ou seja, rotas aprendidas através de
LSAs tipo-3 e pertencem a outras áreas, note que R3 aprendeu que a rede 2000::/64 pode ser
alcançada por R1 (1.1.1.1) e por R2 (2.2.2.2).

Assim como estudamos para o OSPFv2, o OSPFv3 precisa que suas interfaces tenham o mesmo
MTU para que sejam trocados os pacotes com as LSAs e LSDBs corretamente, se os parâmetros
não baterem os roteadores não conseguem chegar até o estado Full. No IPv4 o comando que
utilizamos foi “ip mtu” e para o IPv6 o comando é “ipv6 mtu”.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 326


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2.2.4 Tabela de Roteamento e Métrica do OSPFv3


Resolvidos os problemas de formação de vizinhanças os bancos de dados de LSAs devem ser
trocados e montada a LSDB para que o algoritmo SFP possa calcular as melhores rotas.

Os comandos para verificar a tabela de roteamento e suas entradas com o OSPFv3 são:

 show ipv6 route


 show ipv6 route ospf
 show ipv6 route subnet mask -> exemplo show ipv6 route 2000::/64
 show ipv6 route | section subnet -> exemplo show ipv6 route | section 2000

Lembre-se que as rotas aprendidas pelo OSPFv3, que são foco do exame atual (200-105 e 200-
125), podem ser internas (intra-area – LSA tipo-1 e tipo-2) e vindas de outras áreas (inter-area
– LSA tipo-3). No OSPFv3 as rotas internas são marcadas com a letra “O” e as inter-areas com
“OI”, lembre-se que para o OSPFv2 as rotas intra-area tem a mesma notação como “O”, mas
as inter-areas são marcadas como “O IA”.

Se utilizarmos o comando “default-information originate” a rota para a internet injetada


pelo roteador ASBR do OSPFv3 para os demais roteadores será marcada como externa, mas
especificamente como externa do tipo-2 “OE2” por padrão, notação similar é utilizada pelo
OSPFv2 “O E2”.

Veja a topologia abaixo, onde vamos fazer o cálculo da melhor rota e visualizar com comandos
show para verificar as contas realizadas. Nessa configuração as interfaces seriais e loopbacks
de R1 e R2 estão configuradas na área zero e as demais interfaces na área 1, incluindo R3 e
suas interfaces.

Vamos analisar o caminho de R1 para alcançar a interface loopback de R2 com endereço


2030::1. Nesse caminho temos duas interfaces de mesma velocidade, pois o comando
bandwidth foi configurado corretamente nelas, portanto o valor do custo de cada interface será
“10^8/2.016.000=49” (dá um número com vírgula, mas o OSPF manda pegar apenas o valor
inteiro antes da vírgula, desconsiderando arredondamentos). A interface Loopback 0 de R2 tem
o custo padrão igual a 1 no OSPF, portanto para sair de R1 e chegar até a loopback de R2
temos um custo de 50 através da interface s1/0 e o mesmo custo por s1/1, portanto haverá
balanceamento de cargas.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 327


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Vamos confirmar as contas iniciando com um show ipv6 route e a opção section. Esse comando
é o mesmo show ipv6 route de sempre, porém com um filtro “| section 2030” que pede
informações somente da entrada com a rede 2030.

R1#show ipv6 route | section 2030


O 2030::/127 [110/50]
via FE80::C801:18FF:FEB8:6, Serial1/1
via FE80::C801:18FF:FEB8:6, Serial1/0

Confirmamos a métrica calculada para a rota igual a 50 e temos o balanceamento de cargas


entre a s1/0 e 1/1 também confirmado. Agora vamos analisar o custo das interfaces em R1 e
R2 com o comando “show ipv6 ospf interface brief”.

R1#show ipv6 ospf interface brief


Interface PID Area Intf ID Cost State Nbrs F/C
Lo0 1 0 10 1 P2P 0/0
Se1/1 1 0 6 49 P2P 1/1
Se1/0 1 0 5 49 P2P 1/1
Gi0/0 1 1 4 1 DROTH 2/2
R1#

R2#show ipv6 ospf interface brief


Interface PID Area Intf ID Cost State Nbrs F/C
Lo0 1 0 10 1 P2P 0/0
Se1/1 1 0 6 49 P2P 1/1
Se1/0 1 0 5 49 P2P 1/1
Gi0/0 1 1 4 1 BDR 2/2

Portanto, saindo de R1 temos o custo de 49 confirmado para as interfaces s1/0 e 1/1, quando
chegamos em R2 o custo de 1 da interface loopback 0 também foi confirmado.

2.2.5 Problemas com novas rotas inseridas no OSPFv3

Ainda considerando a topologia anterior, suponha que mais uma rede serial seja inserida entre
R1 e R2 com a mesma velocidade (clock rate 2.016.000) na área zero, assim como as outras
seriais.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 328


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Se considerarmos a operação normal do OSPFv3, se a interface tem mesmo clock rate e teve o
comando bandwidth configurado corretamente ela deve ser utilizada no balanceamento de
cargas por R1 e R2 para o envio de pacotes destinados às suas loopbacks. Além disso, o
roteador R3 deve receber essa rota como “OI”.

Mas e se isso não acontecer? Quais as prováveis causas raízes?

1. Uma ou ambas as interfaces não estão ativas.


2. O comando para inserir a nova interface no OSPFv3 não foi inserido corretamente nas
interfaces ou está faltando, lembre-se que devemos entrar com a mesma área em
ambas as interfaces. Além disso, devem ser respeitados os requisitos para formação de
vizinhança para que o OSPF reconheça o link ponto a ponto.
3. O comando bandwidth foi configurado errado na interface.

Vamos começar errando a área:

R1(config)#interface Serial1/2
R1(config-if)# no ip address
R1(config-if)# ipv6 address 2011::1/127
R1(config-if)# ipv6 ospf 1 area 0
R1(config-if)# ipv6 traffic-filter DENY_TELNET in
R1(config-if)# serial restart-delay 0
R1(config-if)# clock rate 2016000

R2(config)# interface Serial1/2


R2(config-if)# no ip address
R2(config-if)# ipv6 address 2011::2/127
R2(config-if)# ipv6 ospf 1 area 1
R2(config-if)# ipv6 traffic-filter DENY_TELNET in
R2(config-if)# serial restart-delay 0
R2(config-if)# clock rate 2016000

Com esse problema em R1 e R2 aparecerão mensagens de Mismatch, ou seja, temos área


errada em uma das pontas:

R1(config-if)# *Sep 19 18:20:38.902: %OSPFv3-4-AREA_MISMATCH: Received packet


with incorrect area from FE80::C801:18FF:FEB8:6, Serial1/2, area 0.0.0.0, packet
area 0.0.0.1

O problema está em R2, vamos arrumar o comando e deixar a rede subir, porém se você
verificar a configuração ainda assim temos o bandwidth não configurado corretamente em
ambos os roteadores, pois eles estão com o padrão de 1.5Mbps (T1). Note na saída do
comando abaixo que o custo da S1/2 deveria ser 49, assim como das outras duas seriais, pois
ela tem clock rate de 2.016.000bps (2,016Mbps).

R2#sho ipv6 ospf interface brief


Interface PID Area Intf ID Cost State Nbrs F/C
Lo0 1 0 10 1 P2P 0/0
Se1/2 1 0 7 64 P2P 1/1
Se1/1 1 0 6 49 P2P 1/1
Se1/0 1 0 5 49 P2P 1/1
Gi0/0 1 1 4 1 BDR 2/2

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 329


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que ela não entra no balanceamento de cargas de R1 em direção a loopback de R2 e vice
versa.

R1#show ipv6 route | section 2030


O 2030::/127 [110/50]
via FE80::C801:18FF:FEB8:6, Serial1/1
via FE80::C801:18FF:FEB8:6, Serial1/0

Agora vamos finalizar a “arrumação da casa” inserindo o comando “bandwidth 2016 em ambas
as interfaces e verificar novamente a tabela de roteamento para a rede 2030::/127.

R1#show ipv6 route | section 2030


O 2030::/127 [110/50]
via FE80::C801:18FF:FEB8:6, Serial1/1
via FE80::C801:18FF:FEB8:6, Serial1/0
via FE80::C801:18FF:FEB8:6, Serial1/2

Veja também a saída do comando para ver a rota específica 2030::/127 na base de dados de
roteamento do roteador R1. Com a saída desse comando temos a origem de aprendizado da
rota, a distância administrativa, métrica, tipo de rota, a contagem de rotas e depois os
caminhos utilizados no roteamento grifados.

R1#show ipv6 route 2030::/127


Routing entry for 2030::/127
Known via "ospf 1", distance 110, metric 50, type intra area
Route count is 3/3, share count 0
Routing paths:
FE80::C801:18FF:FEB8:6, Serial1/1
Last updated 00:43:08 ago
FE80::C801:18FF:FEB8:6, Serial1/0
Last updated 00:43:08 ago
FE80::C801:18FF:FEB8:6, Serial1/2
Last updated 00:02:13 ago

Com isso finalizamos os conceitos do OSPFv3 e lembre-se que quase tudo que foi estudado aqui
vale também para o OSPFv2, mudando alguns comandos e conceitos básicos devido a mudança
entre o IPv4 e IPv6, porém o funcionamento macro continua o mesmo, pois ambas as versões
de protocolo são Link States.

Na sequência vamos ativar o protocolo EIGRPv6, que segue a mesma linha de raciocínio, ou
seja, o que aprendemos para o EIGRP continua valendo!

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 330


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3 Implementando o EIGRPv6
O EIGRP para IPv6 foi baseado na versão utilizada para o IPv4, sendo que podemos rodar os
dois no mesmo roteador sem problemas, pois eles trabalham em processos distintos. As
características comuns do EIGRPv6 e EIGRP são:

 O EIGRPv6 continua classificado como “Advanced Distance Vector Routing


Protocol”, ou seja, vetor de distância avançado ou híbrido balanceado.
 Utiliza a métrica composta assim como em sua versão para o IPv4 contendo como parte
da fórmula BW, delay, reliability e load, porém por padrão apenas a largura de banda
(BW) e atraso (delay) são considerados.
 Utiliza o mesmo mecanismo confiável para troca de atualizações de roteamento (RTP –
Reliable Transport Protocol) e o DUAL para manter as rotas livres de loop.
 Envia os mesmos tipos de pacotes que a versão para IPv4, porém utilizando o endereço
IPv6 de multicast FF02::A.

As mensagens do EIGRPv6 utilizam o endereço de link-local como origem (source address), o


que pode fazer com que roteadores com interfaces em diferentes sub-redes formem
adjacências, assim como estudado para o OSPFv3.

Não existe mais o comando network e o comando que define as interfaces que devem fazer
parte do processo de roteamento EIGRPv6 é habilitado diretamente nelas (config-if).

A diferença aqui é que você precisa definir uma identificação para o roteador ou “router-ID” no
formato do IPv4 (endereço de 32 bits). Esse endereço não precisa ser roteável e se não for
definido o roteador vai pegar o maior IP de loopback configurado ou o maior IP de interface
configurado, assim como é feito no OSPFv2 para definir o DR/BDR. Por isso, é importante antes
de iniciar o processo do EIGRPv6 nas interfaces já ter o RID definido para que não haja
surpresas e outro valor assuma como RID, pois assim que você configurar uma interface no
processo do EIGRP o RID é escolhido e se não houver o comando router-id será um desses IPs
versão 4 e não muda até que o processo seja reiniciado (comandos clear ipv6 eigrp ASN ou
shut/no shut dentro da configuração do roteador EIGRPv6), assim como estudado para o
OSPFv3.

Vamos ver abaixo a configuração do EIGRPv6 com número de AS 100 e router ID 1.1.1.1 (o
comando “ipv6 unicast-routing” foi inserido anteriormente, sem ele o EIGRPv6 não sobe).

R1(config)#ipv6 router eigrp 100


R1(config-rtr)#eigrp router-id 1.1.1.1

Agora vamos ativar o roteamento EIGRP nas interfaces com endereços IPv6 configurados.

R1(config-if)#int f0/0
R1(config-if)#ipv6 eigrp 100
R1(config-if)#int f0/1
R1(config-if)#ipv6 eigrp 100
R1(config-if)#int s0/1/0
R1(config-if)#ipv6 eigrp 100

O comando passive-interface também pode ser utilizado da mesma maneira no EIGRPv6,


assim como estudamos para o EIGRPv4. Esse comando faz com que o hello não seja nem
enviado ou recebido pela interface declarada, evitando que seja formada adjacência sem
impedir que a interface seja anunciada no processo do EIGRPv6.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 331


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Vamos comparar na tabela a seguir os comandos que estudamos para o EIGRP com os
possíveis comandos do EIGRPv6, você vai notar que já sabe muita coisa!

Configuração EIGRP EIGRPv6


Criar o processo para um
número de AS (ASN) router eigrp ASN ipv6 router eigrp ASN
Definir o router-ID (RID) eigrp router-id RID Mesmo comando
Máximo de rotas para o
balanceamento de cargas maximum-paths número-rotas Mesmo comando
Configurar o multiplicador
variance variance multiplicador Mesmo comando
Influenciar no cálculo da métrica
através da largura de banda e bandwidth BW-kpbs
atraso nas interfaces delay atraso-déc-microsseg Mesmo comando
Alterar os temporizadores de ip hello-interval eigrp ASN tempo-seg Basta mudar de ip
Hello e hold nas interfaces ip hold-time eigrp ASN tempo-seg para ipv6 no comando
network endereço-ou-rede [masc- ipv6 eigrp ASN
Ativar o EIGRP em uma interface curinga] (dentro da interface)
Desabilitar a sumarização Não existe no
Classful automática [no] auto-summary EIGRPv6

Em algumas versões de Cisco IOS o EIGRPv6 vem desabilitado (shutdown) por padrão, ou seja,
ele vem desligado e é preciso dar um “no shutdown” dentro da configuração do roteamento
(config-rtr) para ativá-lo. Nas versões mais recentes do Cisco IOS 15 o EIGRPv6 já vem
habilitada (no shutdown) por padrão, por isso não utilizamos esse comando no exemplo inicial.

Assim como para o EIGRP para IPv4 mostramos como utilizar o comando bandwitdh e delay nas
interfaces para manipular a métrica, também é possível fazer a mesma coisa no EIGRPv6, por
exemplo, se o administrador de redes esquecer do comando bandwidth em uma interface serial
com velocidade de 2Mbps ela terá na realidade um bandwidth de 1,5Mbps (T1), podendo afetar
o resultado final das rotas escolhidas como melhor caminho.

Outro recurso muito útil do EIGRPv4 continua presente no EIGRPv6, o balanceamento de cargas
entre rotas de métricas diferentes. Assim como aprendemos para o EIGRPv4 podemos utilizar a
opção variance para escolher rotas feasible successor de menor métrica para balancear carga
com a rota sucessora, basta configurar um variance que seja maior que a divisão da métrica do
feasible successor pelo valor melhor métrica ou feasible distance (FD).

No estudo sobre o funcionamento e verificação dos comandos show do EIGRPv6 vamos


relembrar dos conceitos citados no parágrafo anterior.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 332


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.1 Verificando o Funcionamento do EIGRPv6

Os comandos show para o EIGRPv6 são praticamente os mesmos e também podemos utilizar os
comandos “show ipv6 protocols”, “show ipv6 route [eigrp]” e demais comandos gerais
vistos para o OSPFv3 no troubleshooting e verificação do EIGRPv6, veja abaixo a lista.

dltec#sho ipv6 eigrp ?


<1-65535> Autonomous System
events Events logged
interfaces interfaces
neighbors Neighbors
sia-statistics SIA Statistics
timers Timers
topology Select Topology
traffic Traffic Statistics

Abaixo segue uma lista comparando comandos show e debug do IPv4 com IPv6:

Objetivo do comando Sintaxe IPv4 Sintaxe IPv6


Verificar todas as rotas na
show ip route show ipv6 route
tabela de roteamento
Verificar apenas as rotas do
show ip route eigrp show ipv6 route eigrp
EIGRP
Detalhes sobre uma rota
show ip route subnet mask show ipv6 route prefix/length
para um prefixo específico
Interfaces onde o EIGRP
está habilitado com sua
métrica, weights, variance, show ip protocols show ipv6 protocols
redistribuição, maxpaths e
admin distance
Listar as origens de show ip protocols
show ipv6 eigrp neighbors
roteamento show ip eigrp neighbors
show ip eigrp interfaces
show ipv6 eigrp interfaces detail
Intervalo de Hello detail
EIGRP database (tabela de show ip eigrp topology [all-
show ipv6 eigrp topology [all-links]
topologia) links]
Debug das mensagens de
debug ip eigrp notifications debug ipv6 eigrp notifications
update enviadas e recebidas

Para fazer o troubleshooting do EIGRPv6 também seguimos os mesmos passos que estudamos
para o EIGRPv4, veja sequência abaixo:

1. Verificar se o roteamento IPv6 foi ativado, se as interfaces tem seus endereços corretos
e estão up/up.
2. Verificar os comandos ipv6 eigrp ASN -> em todos os roteadores o valor do ASN deve
ser igual.
3. Verificar se as interfaces IPv6 foram corretamente inseridas no processo de roteamento
do EIGRPv6.
4. Verificar processo de descoberta de vizinhos através do protocolo Hello -> tabela de
vizinhança.
5. Verificar a troca de Updates de roteamento.
6. Cálculo do DUAL e rotas do EIGRPv6 inseridas na tabela de roteamento do IPv6.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 333


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Agora vamos analisar os principais componentes e possíveis problemas que podem fazer com
que o EIGRPv6 não funcione corretamente. Lembre-se que maioria dos conceitos que vamos
estudar são iguais ou bem parecidos com os estudados para o EIGRPv4, por isso aproveite
como uma revisão para os dois!

3.1.1 Verificando as Configurações Iniciais e Interfaces EIGRPv6


Lembre-se que o ASN em todos os roteadores EIGRPv4 e EIGRPv6 deve ser igual para que eles
troquem informações de roteamento no comando “ipv6 router eigrp ASN”. Logo após,
devemos configurar as interfaces dentro do processo de roteamento.

Quando ativamos o EIGRPv6 em uma interface o roteador toma duas ações:


1. Descobrir possíveis vizinhos EIGRPv6 conectados ao mesmo segmento de rede através
do protocolo de hello.
2. Anunciar o prefixo configurado na interface através dos seus updates de roteamento.

Para verificar as interfaces que terão seus prefixos anunciados através dos anúncios do
EIGRPv6 precisamos utilizar o comando correto, pois alguns não mostram interfaces que
estejam passivas (passive-interface).

A listagem de todos os comandos para analisar parâmetros das interfaces EIGRPv6 seguem
abaixo.

 show ipv6 eigrp interfaces


 show ipv6 eigrp interfaces detail
 show ipv6 eigrp interfaces tipo número
 show ipv6 protocols

Lembre-se que o “show running-config” também é muito útil para a análise se as interfaces
estão corretamente vinculadas ao processo do EIGRPv6. Lembre-se que o ASN declarado na
configuração global do EIGRP deve ser o mesmo utilizado para o comando utilizado dentro da
interface para ativá-la no processo de roteamento.

Os dois principais comandos para verificar essas informações são “show ipv6 eigrp
interfaces”, o qual exclui as interfaces passivas da sua listagem, e o comando “show ipv6
protocols”, o qual mostra todas as interfaces incluindo as passivas que estejam corretamente
anunciadas no processo do EIGRPv6. Veja exemplo de configuração e posteriormente os
comandos shows abaixo.

R1(config)#ipv6 router eigrp 100


R1(config-rtr)#eigrp router-id 1.1.1.1
R1(config-rtr)#passive-interface giga0/0
R1(config-rtr)#exit
R1(config)#int g0/0
R1(config-if)#ipv6 eigrp 100
R1(config-if)#int s1/0
R1(config-if)#ipv6 eigrp 100

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 334


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Veja abaixo os comandos show, onde no primeiro não mostra a giga0/0, já no segundo temos
todas as interfaces com as passivas marcadas como “passive”.

R1#show ipv6 eigrp interfaces


EIGRP-IPv6 Interfaces for AS(100)
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Se1/0 0 0/0 0 0/1 0 0

R1#show ipv6 protocols


IPv6 Routing Protocol is "connected"
IPv6 Routing Protocol is "ND"
IPv6 Routing Protocol is "eigrp 100"
EIGRP-IPv6 Protocol for AS(100)
Metric weight K1=1, K2=0, K3=1, K4=0, K5=0
NSF-aware route hold timer is 240
Router-ID: 1.1.1.1
Topology : 0 (base)
Active Timer: 3 min
Distance: internal 90 external 170
Maximum path: 16
Maximum hopcount 100
Maximum metric variance 1

Interfaces:
Serial1/0
GigabitEthernet0/0 (passive)
Redistribution:
None

Se não entrarmos com o comando “ipv6 eigrp 100” em uma das interfaces ela não será
anunciada no update enviado para os vizinhos EIGRPv6.

3.1.2 Verificando a Tabela de Vizinhos EIGRPv6


Uma vez as interfaces configuradas corretamente e também inseridas no processo de
roteamento EIGRPv6 ocorrerá a troca de hellos e a formação de vizinhança.

Lembre-se que existem requisitos para que haja a formação de vizinhança que são semelhantes
ao do EIGRPv4, vamos ver os requisitos e comparar as duas versões de EIGRP:

 As Interfaces devem estar up/up -> isso vale para as duas versões de EIGRP, se as
interfaces não estão UP não há nenhuma troca de pacotes.
 As Interfaces devem estar na mesma sub-rede -> esse é um requisito do EIGRPv4,
pois o EIGRPv6 utiliza o endereço de Link Local para fazer vizinhança por padrão, por
isso já está na mesma sub-rede do vizinho que é FE80::/64 para qualquer tipo de
interface.
 Listas de acesso (ACLs) não devem filtrar pacotes do OSPF -> sim, esse requisito
tem que ser o mesmo para ambas as versões, pois se houver filtragem de pacotes de
hello ou quaisquer outras mensagens não haverá formação de vizinhança e troca de
updates de roteamento.
 Se configurado, devem passar no processo de autenticação entre vizinhos ->
com certeza é válido para o EIGRPv4 e EIGRPv6, ambos suportam autenticação e se
estiver habilitado se não autenticar a vizinhança não sobe, esse é um recurso de
segurança ensinado no CCNP Route.
 Temporizadores de Hello e Hold devem ser iguais -> para o EIGRPv4 e EIGRPv6
esses valores podem ser diferentes que eles mesmo assim formam vizinhança.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 335


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

 O Router-ID deve ser único no domínio de roteamento EIGRP -> para o EIGRP v4
e v6 esse parâmetro não impede a formação de vizinhança, porém pode causar
problemas caso rotas externas sejam inseridas no domínio local.
 Devem utilizar o mesmo número de AS (ASN) na configuração inicial do EIGRP -
> em ambas as versões esse valor precisa ser igual e também é utilizado para ativar as
interfaces no processo de roteamento.
 Os valores de K devem ser iguais em todos os roteadores EIGRP -> esse requisito
vale para ambas as versões de EIGRP, pois para que uma métrica seja utilizada ela deve
ser calculada da mesma maneira em todo domínio de roteamento.

Além disso, as interfaces que precisam formar vizinhança devem estar ativas, ou seja, sem o
comando “passive-interface”. Os comandos para verificar a vizinhança EIGRPv6 são:

 show ipv6 eigrp neighbors


 show ipv6 eigrp neighbors tipo-de-interface número
 show ipv6 protocols

Veja exemplo dos comandos a seguir onde vamos analisar a tabela de vizinhos completa e
depois os vizinhos somente da serial 1/0.

R1#show ipv6 eigrp neighbors


EIGRP-IPv6 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
2 Link-local address: Gi0/0 12 00:00:16 72 432 0 5
FE80::C803:FFF:FE04:8
1 Link-local address: Gi0/0 12 00:00:46 72 648 0 4
FE80::C801:18FF:FEB8:8
0 Link-local address: Se1/0 11 00:01:54 63 378 0 2
FE80::C801:18FF:FEB8:6
R1#show ipv6 eigrp neighbors serial 1/0
EIGRP-IPv6 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Se1/0 10 00:02:04 63 378 0 2
FE80::C801:18FF:FEB8:6

Note na linha destacada que o comando traz o endereço de link-local do vizinho e não o
endereço Global ou ULA, por isso mesmo com um prefixo configurado errado o EIGRPv6 e
também o OSPFv3 sobem.

Quando for apresentada uma questão relacionada a vizinhança no EIGRP e no EIGRPv6 ou


então de roteamento com esses protocolos procure verificar as configurações dos roteadores,
quantos vizinhos cada roteador deve ter, verificar cada vizinho específico que o roteador deve
ter por interface e certificar que essa vizinhança existe na tabela de vizinhos. Caso algum
vizinho esteja faltando utilize os conceitos dos parâmetros necessários para formação de
vizinhança estudadas no início do tópico para isolar o problema e chegar à possível causa raiz.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 336


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

3.1.3 Verificando a Tabela de Topologia EIGRPv6


Uma vez resolvido o problema de vizinhança os roteadores trocarão suas tabelas de roteamento
através dos pacotes de Update e formarão a tabela de topologia para que o DUAL possa ser
executado e definir as rotas sucessoras e sucessoras viáveis.

A tabela de topologia (topology table) do EIGRPv4, do EIGRPv6 ou de ambos é questão quase


certa nas provas do CCNA ICND-2 (exame 200-105) e CCNA 200-125, pois são protocolos
desenvolvidos pela Cisco e a partir dessa tabela podemos tirar muitas informações da rede
configurada com o protocolo EIGRPv4 ou v6. Por isso, aprenda bem esse conceito, que é
praticamente o mesmo entre os protocolos com exceção do formato dos endereços serem
diferentes.

Lembre-se que o mesmo processo de troca de informações e montagem da tabela de topologia


do EIGRPv4 é igual para o EIGRPv6, sendo que o objetivo final é preencher essa tabela com as
possíveis rotas para um destino com suas métricas calculadas no próprio roteador e também
para as rotas aprendidas através de outros vizinhos ele mantém o valor da melhor métrica
calculada nesse vizinho para o destino.

A melhor métrica calculada para um destino no roteador local é chamada de Feasible


Distance (FD ou distância viável) e a rota é chamada de sucessora (successor) e essa rota é
inserida na tabela de roteamento. Quando o roteador local anunciar essa mesma rota a um
vizinho ele encaminha esse valor calculado e no vizinho passa a se chamar de Reported ou
Advertised Distance (RD ou AD).

No próximo roteador é feito um cálculo local da melhor métrica para o caminho, a qual será
também chamada de FD e se ele tiver caminhos alternativos para o mesmo destino com
métricas maiores que o valor de FD elas podem ou não ser inseridas na tabela de topologia
para servirem como rotas backups ou Feasible Successors (FS ou sucessor viável). Para que
isso ocorra e essa rota possa entrar no lugar da rota sucessora sem recálculo por parte do
EIGRPv6 é preciso que seja obedecida a Feasible Condition (condição de viabilidade de
redundância): a Reported/Advertised Distance (RD ou AD) das rotas não sucessoras
anunciada pelos vizinhos deve ser menor que a Feasible Distance do caminho calculado no
roteador local, ou simplesmente RD<FD.

Essa condição é verificada no DUAL para garantir que na tabela de topologia entrem apenas
rotas possivelmente backup ou FS (feasible successor) livres da possibilidade de gerarem loops
de roteamento caso sejam ativadas imediatamente após a principal ou sucessora cair. Portanto,
o DUAL deve se certificar que as rotas sucessoras viáveis, backups ou Feasible Successors
(FS) devem ser caminhos livres de loop através da Feasible Condition (RD<FD).

Vamos analisar abaixo o comando “show ipv6 eigrp topology”.

R3#show ipv6 eigrp topology


EIGRP-IPv6 Topology Table for AS(100)/ID(3.3.3.3)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status

P 2500::/64, 1 successors, FD is 2816


via Connected, GigabitEthernet0/0
P 2020::/127, 1 successors, FD is 130816
via FE80::C800:18FF:FEB8:8 (130816/128256), GigabitEthernet0/0
P 2030::/127, 1 successors, FD is 130816
via FE80::C801:18FF:FEB8:8 (130816/128256), GigabitEthernet0/0
P 2000::/64, 2 successors, FD is 1782016
via FE80::C800:18FF:FEB8:8 (1782016/1781760), GigabitEthernet0/0
via FE80::C801:18FF:FEB8:8 (1782016/1781760), GigabitEthernet0/0

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 337


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Quando a rota é local (diretamente conectada) embaixo tem escrito “via connected”, se a rota
foi aprendida através de um vizinho, ou seja, é uma rede remota, terá escrito abaixo dela “via
FE80:...”. Lembre de que os endereços dos vizinhos utilizados pelo EIGRPv6 são endereços de
link-local. Analise essas informações grifadas no comando acima.

Os outros detalhes da entrada da tabela de topologia estão mostradas na figura abaixo.

Na prática as rotas que aparecem na saída desse comando são sempre as sucessoras e
sucessoras viáveis, porém no exame podem ser colocadas rotas não sucessoras viáveis para
que o aluno reconheça, por isso cuidado com saídas desse comando no exame!

Na tabela de topologia também podemos verificar rotas que estão balanceando cargas, veja o
exemplo abaixo. Note que a rota 2000::/64 tem dois sucessores com, pois ambas as rotas tem
a mesma métrica, ou seja, o FD 1782016 é igual a melhor métrica calculada via o vizinho com
endereço de link local FE80::C800:18FF:FEB8:8 e FE80::C801:18FF:FEB8:8.

P 2000::/64, 2 successors, FD is 1782016


via FE80::C800:18FF:FEB8:8 (1782016/1781760), GigabitEthernet0/0
via FE80::C801:18FF:FEB8:8 (1782016/1781760), GigabitEthernet0/0

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 338


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Agora vamos analisar outra tabela de topologia e analise a entrada para a rede 2030::/127.
Note R1 encontrou dois caminhos para a mesma rede através da serial1/0 e pela giga0/0,
porém a métrica através da giga0/0 é menor (melhor) e por isso está indicada como FD
(melhor métrica).

R1#show ipv6 eigrp topology


### Códigos omitidos porpositalmente ###

P 2500::/64, 1 successors, FD is 2816


via Connected, GigabitEthernet0/0
P 2020::/127, 1 successors, FD is 128256
via Connected, Loopback0
P 2030::/127, 1 successors, FD is 130816
via FE80::C801:18FF:FEB8:8 (130816/128256), GigabitEthernet0/0
via FE80::C801:18FF:FEB8:6 (1909760/128256), Serial1/0
P 2000::/64, 1 successors, FD is 1781760
via Connected, Serial1/0

Analise a segunda entrada na tabela de topologia acima, ela indica uma métrica igual a
1909760, por isso por padrão não será exibida na tabela de roteamento. Mas porque está está
na tabela de topologia? Será que ela é uma sucessora viável (FS ou backup)? Temos que
comparar a distância reportada (RD) dela com a FD da rota sucessora: RD=128256 e
FD=130816, portanto como RD é menor que FD essa é realmente uma rota backup.

E se quisermos ativar o balanceamento de cargas entre essas rotas o que é preciso? Primeiro
como ela é sucessora viável ela pode balancear carga e temos que calcular o multiplicador para
configurar no comando variance para que ela entre no balanceamento -> Métrica da rota
backup=1909760 divididos por FD=130816 -> 14,6 portanto o valor deve ser 15. Vamos
configurar o valor e verificar o que ocorre.

R1(config)#ipv6 router eigrp 100


R1(config-rtr)#variance 15
R1(config-rtr)#do show ipv6 eigrp topology
EIGRP-IPv6 Topology Table for AS(100)/ID(1.1.1.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status

P 2500::/64, 1 successors, FD is 2816


via Connected, GigabitEthernet0/0
P 2020::/127, 1 successors, FD is 128256
via Connected, Loopback0
P 2030::/127, 2 successors, FD is 130816
via FE80::C801:18FF:FEB8:6 (1909760/128256), Serial1/0
via FE80::C801:18FF:FEB8:8 (130816/128256), GigabitEthernet0/0
P 2000::/64, 1 successors, FD is 1781760
via Connected, Serial1/0

R1(config-rtr)#

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 339


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Note que na tabela de topologia são indicados dois sucessores agora, vamos verificar na tabela
de roteamento.

R1#show ipv6 route | section 2030


D 2030::/127 [90/130816]
via FE80::C801:18FF:FEB8:8, GigabitEthernet0/0
via FE80::C801:18FF:FEB8:6, Serial1/0

R1#show ipv6 route 2030::/127


Routing entry for 2030::/127
Known via "eigrp 100", distance 90, metric 130816, type internal
Backup from "ospf 1 [110]"
Route count is 2/2, share count 0
Routing paths:
FE80::C801:18FF:FEB8:8, GigabitEthernet0/0
Last updated 00:21:57 ago
FE80::C801:18FF:FEB8:6, Serial1/0
Last updated 00:01:56 ago

Com o comando traceroute podemos ver os pacotes sendo enviados através das diferentes
interfaces confirmando o balanceamento de cargas ativado por pacotes, veja saída abaixo.

R1#traceroute 2030::1

Type escape sequence to abort.


Tracing the route to 2030::1

1 2000::C801:18FF:FEB8:6 104 msec -> serial 1/0


2500::3 44 msec -> giga 0/0
2000::C801:18FF:FEB8:6 36 msec -> serial 1/0

O mesmo comando para verificar a tabela de topologias pode ser utilizada com as seguintes
opções abaixo:

 show ipv6 eigrp topology sub-rede/prefixo


 show ipv6 eigrp topology | section sub-rede

Com o primeiro comando podemos tirar os detalhes dos dados utilizados na métrica e cálculo
da melhor rota, veja exemplo abaixo.

R1#show ipv6 eigrp topology 2030::/127


EIGRP-IPv6 Topology Entry for AS(100)/ID(1.1.1.1) for 2030::/127
State is Passive, Query origin flag is 1, 2 Successor(s), FD is 130816
Descriptor Blocks:
FE80::C801:18FF:FEB8:6 (Serial1/0), from FE80::C801:18FF:FEB8:6, Send flag is
0x0
Composite metric is (1909760/128256), route is Internal
Vector metric:
Minimum bandwidth is 2016 Kbit
Total delay is 25000 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 1
Originating router is 2.2.2.2
FE80::C801:18FF:FEB8:8 (GigabitEthernet0/0), from FE80::C801:18FF:FEB8:8, Send
flag is 0x0
Composite metric is (130816/128256), route is Internal
Vector metric:

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 340


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Minimum bandwidth is 1000000 Kbit


Total delay is 5010 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 1
Originating router is 2.2.2.2

Note que para cada entrada é mostrado os valores da métrica calculada e a distância reportada
(composite metric), logo após temos os valores utilizados no cálculo da métrica (Minimum
bandwidth e total delay).

3.1.4 Verificando a Tabela de Roteamento


Depois que o DUAL é executado e as melhores rotas são definidas a tabela de roteamento é
alimentada com as rotas aprendidas pelo EIGRPv6. Podemos visualizar as rotas com os
comandos:

 show ipv6 route


 show ipv6 route eigrp
 show ipv6 route sub-rede/prefixo
 show ipv6 route | section sub-rede/prefixo

Lembre-se que as rotas do EIGRPv6, assim como para o EIGRPv4, são marcadas com a letra
“D” e tem por padrão distância administrativa 90. Não vamos mostrar exemplos nesse tópico
porque já utilizamos o comando nos tópicos anteriores.

Se rotas que deveriam aparecer na tabela de roteamento não estão aparecendo use a mesma
metodologia ensinada para o OSPFv3, verificando as vizinhanças, se interfaces estão passivas
ou se a interface está vinculada ao processo de roteamento EIGRPv6 dentro do modo da
interface.

Se o roteador possuir a rota, porém ela não é a melhor opção (rota subótima) pode haver links
com problemas entre pares de roteadores no caminho entre origem e destino ou então o
comando bandwidth está configurado de maneira errada em interfaces seriais. Lembre-se que o
EIGRPv6 utiliza a menor largura de banda e o somatório do atraso no cálculo da métrica.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 341


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

4 Resumo dos comandos de configuração utilizados no capítulo


Os comandos desse capítulo foram muito bem comentados, por isso vamos apenas listar os
comandos sem explicações.

Comandos do OSPFv3:

 ipv6 router ospf PID


 ipv6 ospf PID area num-area
 ipv6 ospf cost custo-da-iface
 bandwidth banda-em-Kbps
 auto-cost reference-bandwidth valor
 router-id RID-IPv4
 maximum-paths num-de-caminhos

Comandos do EIGRPv6:

 router eigrp ASN -> Cria o processo para um número de AS (ASN).


 eigrp router-id RID -> Define o router-ID (RID).
 maximum-paths número-rotas -> Máximo de rotas para o balanceamento de cargas.
 variance multiplicador -> Configura o multiplicador variance.
 bandwidth BW-kpbs -> Influencia o cálculo da métrica através da largura de banda
nas interfaces.
 delay atraso-déc-microsseg -> Influencia o cálculo da métrica através do atraso nas
interfaces.
 ip hello-interval eigrp asn tempo-seg -> Altera os temporizadores de Hello nas
interfaces.
 ip hold-time eigrp asn tempo-seg -> Altera os temporizadores de Hold nas
interfaces.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 342


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

5 Resumo do Capítulo
Bem pessoal, chegamos ao final de mais um capítulo!

É muito importante que nesse ponto do curso você tenha domínio dos seguintes itens:

 Entender como realizar troubleshooting básico no roteamento IPv6 com as informações


aprendidas no CCNA CCENT.
 Entender o processo de roteamento do IPv6.
 Entender os conceitos de funcionamento do OSPFv3, suas tabelas e protocolos de
formação de vizinhança.
 Entender como o OSPFv3 troca LSAs e monta sua LSDB.
 Configurar e realizar troubleshooting no OSPFv3.
 Entender os conceitos de funcionamento do OSPFv3, suas tabelas e protocolos de
formação de vizinhança.
 Entender como o EIGRPv6 troca Updates de roteamento e monta sua tabela de
topologia.
 Configurar e realizar troubleshooting no EIGRPv6.
 Entender as diferenças dos protocolos OSPF e EIGRP para IPv4 e IPv6.
 Entender os diversos comandos show, seus principais parâmetros e utilização no
troubleshooting do EIGRPv6 e OSPFv3.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 343


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Capítulo 8 - Gerenciamento
de Redes e Dispositivos
Nesse capítulo vamos
estudar o gerenciamento de Objetivos do Capítulo
dispositivos Cisco através do
Ao final desse capítulo você terá estudado e
SNMP, utilizando o IP SLA, deverá compreender:
espelhamento de portas e os  Configurar e verificar o SNMPv2 e
conceitos do AAA. SNMPv3
 Utilizar o ICMP para monitorar a rede
Bons estudos! através do IP SLA
 Fazer o espelhamento de portas para
monitorar os switches
 Descrever o funcionamento do AAA
utilizando os protocolos RADIUS e
TACACS+

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 344


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Sumário do Capítulo

1 Introdução _____________________ 346


2 Gerenciamento de Redes__________ 346
2.1 Entendendo e Ativando o SNMP ___ 347
2.1.1 O que é uma MIB? ______________ 349
2.1.2 Configurando o SNMP versão 2C ___ 350
2.1.3 SNMP versão 3 _________________ 351
2.1.3.1 Mais Opções de Configuração do
SNMPv3 352
2.1.4 Configurando o envio de SNMP Traps e
Informs 353
2.1.5 Verificando o SNMP _____________ 353
2.2 Gerenciando Dispositivos com AAA 354
2.2.1 Protocolos TACAS+ e RADIUS _____ 355

3 IP SLA - IP Service Level Agreement _ 357


3.1 Configurando e Verificando o IP SLA
Básico 358
4 Espelhamento de Portas Locais – Local
SPAN _____________________________ 360
4.1 Configurando o Local SPAN _______ 361
5 Outras opções de gerenciamento de
dispositivos Cisco ___________________ 363
5.1 Configurando o Acesso HTTP e HTTPS
em Roteadores e Switches Cisco ________ 363
5.2 SDM – Security Device Manager ___ 364
5.2.1 Cisco Configuration Professional – CCP
364
5.3 Acessando Switches via Catalyst Series
Device Manager______________________ 366
5.4 Cisco Network Assistant __________ 367
6 Resumo do Capítulo ______________ 371

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 345


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

1 Introdução
Nesse capítulo vamos estudar como gerenciar a rede como um todo, claro que focado nos
roteadores e switches que são os equipamentos chave para o exame CCNA ICND-2 e CCNAX.

Vamos aprender as funções e configurações dos recursos de SNMP, IP SLA com ICMP,
espelhamento de portas locais de switches e entender o funconamento do AAA.

Vamos também mostrar algumas ferramentas que não são foco do CCNA R&S, porém podem
ajudá-lo no dia a dia se sua empresa não possuir um sistema de monitoração a responder
perguntas como:

 Será que meu trunk está superutilizado e preciso agregar mais links para evitar
congestionamento?
 Será que os links WAN são estáveis e não “flapam” muito? (Ficar de UP para Down e
down para up repetidamente em intervalos curtos de tempo).
 Quando eu preciso contratar mais banda para os links WAN? Qual a utilização atual do
meu link?
 Em um link congestionado, será que serviço está utilizando mais banda? Será que é
acesso de e-mail ou HTTP?

Portanto, com ferramentas simples você pode responder a todas essas perguntas se um
sistema de gerenciamento não estiver disponível.

2 Gerenciamento de Redes
O tema sobre gerenciamento de redes é bastante abrangente e normalmente envolvem
ferramentas, tais como softwares de gerenciamento (NMS ou Network Management
System), que são capazes de realizar inúmeras tarefas e monitorar o ambiente de rede de
maneira abrangente.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 346


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Em uma rede de médio ou grande porte parâmetros como a utilização de memória, carga da
CPU (processamento), temperatura dos dispositivos, status de dispositivos de rede, status de
links WAN de roteadores, utilização de links WAN ou interfaces trunk e muitos outros
parâmetros podem ser monitorados via um software de gerenciamento de redes e uma equipe
de suporte pode agir proativamente ou de maneira reativa frente a problemas que esse
sistema de monitoração informa em suas mensagens de alarmes ou avisos.

O ICND-2 e o CCNA R&S como um todo cobra o conceito do gerenciamento de um dispositivo e


da rede utilizando o Syslog, SNMP e o entendimento do AAA.

Além disso, no final do capítulo abordaremos de forma superficial os principais


softwares/ferramentas gratuitas de uso local disponibilizados pela Cisco para administração
Web de roteadores e switches:

 Security Device Manager (SDM).


 Cisco Configuration Professional (CCP).
 Cisco Network Assistant.
 Catalyst Series Device Manager.

Essas últimas opções não são foco do exame, porém são excelentes opções para serem
utilizadas na prática, por isso vamos iniciar pelas três ferramentas que são foco do exame.
Lembre-se que o Syslog já foi estudado no CCNA CCENT, nesse capítulo vamos estudar o SNMP
e os conceitos de AAA.

2.1 Entendendo e Ativando o SNMP

O protocolo SNMP ou Simple Network Management Protocol é utilizado para gerenciar


redes TCP/IP complexas. Com o SNMP, os administradores podem gerenciar e
configurar elementos de rede de um servidor localizado centralmente em vez de ter que
executar o software de gerenciamento de rede. Também é possível usar o SNMP para monitorar
o desempenho da rede, detectar problemas de rede e acompanhar quem usa a rede e como ela
é usada. O SNMP trabalha por padrão com o protocolo UDP na porta 161.

Uma rede gerida pelo protocolo SNMP é formada por três componentes chaves:
1. Agentes SNMP (SNMP Agent): os próprios roteadores e switches.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 347


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

2. MIB (Management Information Base): base de dados padronizada que é lida por um
gerente SNMP.
3. Gerentes SNMP ou SNMP Manager: Sistemas de Gestão de Redes ou NMS (Network
Management Systems), por exemplo, o pacote de software da Cisco chamado Cisco Prime.

Um Dispositivo Gerenciado é um nó de rede que possui um agente SNMP instalado e se


encontra numa rede gerenciada. Estes dispositivos coletam e armazenam informações de
gestão e mantêm estas informações disponíveis para sistemas NMS através do protocolo SNMP.
Dispositivos geridos, também às vezes denominados de dispositivos de rede, podem ser
roteadores, servidores de acesso, impressoras, computadores, servidores de rede, switches,
dispositivos de armazenamento, dentre outros.

Um Agente é um módulo de software de gestão de rede que fica armazenado num Dispositivo
Gerenciado. Um agente tem o conhecimento das informações de gestão locais e traduz estas
informações para um formato compatível com o protocolo SNMP e padronizados em bancos de
dados chamados MIB (Management Information Base).

Um sistema NMS é um gerente SNMP responsável pelas aplicações que monitoram e


controlam os Agentes SNMP. Normalmente é instalado em um (ou mais que um) servidor de
rede dedicado a estas operações de gestão, que recebe informações (pacotes SNMP) de todos
os dispositivos geridos daquela rede, por exemplo, o Whatsup Gold, Cisco Prime e o HP
Openview.

Trazendo para a realidade dos roteadores e switches, eles são os dispositivos gerenciados, os
quais possuem uma MIB, que é um banco de dados que armazena de forma padronizada
informações de hardware, software e parâmetros operacionais. Através de um sistema de
gerenciamento (gerente SNMP) podemos ler essas informações e apresentá-las de forma mais
intuitiva para que um analista de suporte, por exemplo, tenha informação de quanta CPU está
sendo utilizada pelo roteador naquele momento através de um comando SNMP Get.

Esse tipo de operação pode ser automatizado em sistemas de gerência para geração de avisos,
por exemplo, o gerenciador pode de 5 em 5 minutos checar o uso de CPU pelo roteador e se
chegar a 50% gerar um aviso na tela de gerenciamento que a CPU passou desse limite
configurado (threshold ou limiar).

Outro tipo de mensagem que o SNMP pode gerar é um TRAP. Esse tipo de mensagem é gerada
espontaneamente pelo dispositivo para informar que um problema inesperado ocorreu. Os traps

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 348


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

são mensagens SNMP que descrevem uma variável da MIB, porém geradas pelo próprio
dispositivo, sem a solicitação do NMS, o qual pode tomar uma ação diferente nesse caso, por
exemplo, enviando uma mensagem para um destinatário de e-mail e soar um alarme para a
equipe de monitoração.

O SNMP possui três versões principais: 1, 2c e 3. A versão 1 é extremamente antiga e


raramente encontrada atualmente, as versões mais utilizadas são a 2c e 3. A diferença entre as
duas últimas é que a versão 2 não possui muitos recursos de segurança, o que foi contemplado
para a felicidade de muitos administradores de rede na versão 3 do SNMP.

A versão 3 possui recursos como autenticação, garantia da integridade das mensagens e


criptografia.

2.1.1 O que é uma MIB?

Um Management Information Base ou simplesmente MIB define variáveis de um dispositivo


de rede que podem ser monitoradas e/ou controladas por um software de gerenciamento.

O termo correto para as variáveis armazenadas na MIB são objetos identificados por números
chamados de object ID ou OID. A MIB tem esses OIDs organizados em uma árvore com base
em padrões definidos por RFCs formando uma hierarquia de OIDs.

Essa árvore formada pela MIB contém algumas informações (OIDs) padronizadas por RFCs e
comuns a qualquer elemento de rede e também características próprias dos equipamentos
definidas pelo fabricante, por exemplo, informações específicas sobre a memória flash de um
roteador. Veja exemplo da árvore abaixo.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 349


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Por exemplo, se fosse necessário consultar o valor armazenado como “cisco flash group” o
gerenciador teria que procurar pelo OID “1.2.3.1.4.1.9.9.10”. No dia a dia esse tipo de consulta
pode se tornar inviável, porém os gerenciadores como o Cisco Prime tem essas consultas pré-
configuradas e você pode escolher o que monitorar sem saber especificamente cada OID e seu
caminho na árvore da MIB.

2.1.2 Configurando o SNMP versão 2C


Vamos iniciar aprendendo os principais comandos relacionados ao SNMP versão 2c. Tanto nessa
versão como na versão 1 do SNMP são utilizadas comunidades (community strings) para
definir o acesso às MIBs e qual o nível podemos ter a essas informações através de dois tipos
de comunidades.

 Read-only (RO): permite acesso de leitura às variáveis da MIB e opção mais utilizada
com a Version 2c devido a falta de recursos de segurança adicionais dessa versão de
SNMP.
 Read-write (RW): permite acesso de leitura e escrita a quaisquer objetos da MIB sem
nenhuma verificação extra.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 350


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

Portanto, com um nome ou string definimos o acesso e que tipo de acesso podemos fazer à MIB
dos dispositivos com SNMPv2c ativado.

Para configurá-lo utilizamos os passos abaixo, sendo que somente o passo 1 é obrigatório, os
demais são opcionais:

1. Configurar a community string e o nível de acesso com o comando “snmp-server


community comunidade RO|RW” em modo de configuração global.
2. Descrever (documentar) a localização do dispositivo com o comando “snmp-server
location”.
3. Documentar o contato responsável pelo dispositivo com o comando “snmp-server
contact”.
4. Restringir o acesso SNMP apenas ao servidor ou host que possui o sistema NMS
utilizando uma ACL no comando “snmp-server community nome-da-comunidade
num-ou-nome-da-acl”.

Veja exemplo de configuração abaixo onde o host de gerenciamento tem IP 192.168.1.15 e a


comunidade a ser configurada apenas como leitura tem o nome dltec12345. Vamos também
limitar o acesso à comunidade exclusivamente ao host de gerenciamento.

R1(config)#access-list 1 permit host 192.168.1.15


R1(config)#snmp-server community dltec12345 RO 1
R1(config)#snmp-server location Curitiba/PR/Brasil
R1(config)#snmp-server contact Marcelo Nascimento – 41 3045-7810
R1(config)#end
R1#

Se fosse necessário acesso de leitura e escrita o comando que define a comunidade será:
“snmp-server community dltec12345 RW 1”, apenas trocamos o RO por RW.

2.1.3 SNMP versão 3


No SNMP versão 3 temos realmente recursos de segurança implementados, são eles:

 Integridade das mensagens: através de um algoritmo de hash pode ser verificado se


o conteúdo da mensagem não foi alterado em trânsito, seja por problemas na rede ou
ataque.
 Autenticação: ajuda a validar se a origem que está enviando informações realmente
tem a permissão para tal.
 Criptografia: protege os dados eventualmente capturados em trânsito dificultando a
leitura das informações.

Com isso, a configuração do SNMPv3 tem três opções a mais que estudamos para a versão
anterior:

 noAuthNoPriv  opção no comando noauth e utiliza um usuário e senha para


autenticação, porém sem criptografia.
 authNoPriv  usa a opção auth no comando e implementa Message Digest 5 (MD5) ou
Secure Hash Algorithm (SHA) para autenticação, porém ainda sem criptografia.
 authPriv  opção priv no comando, implementa autenticação e integridade com
Message Digest 5 (MD5) ou Secure Hash Algorithm (SHA) e criptografia através do DES
ou DES-56.

Os comandos para configuração do SNMPv3 seguem abaixo, assim como exemplo de


configuração.

Apostila/E-Book do Curso CCNA ICND-2 200-105 Página 351


tel (41) 3045.7810 - info@dltec.com.br - www.dltec.com.br

snmp-server group [groupname {v1 | v2c | v3{auth | noauth | priv}}] [read


readview] [write writeview] [notify notifyview] [access access-list]

snmp-server user username [groupname remote ip-address [udp-port port] {v1 | v2c
| v3 [encrypted] [auth {md5 | sha} auth-password [priv des56 priv password]]
[access access-list]

Na configuração abaixo vamos utilizar a versão 3, com um grupo chamado V3Group, com
autenticação MD-5, porém sem criptografia.

R1(config)#snmp-server view V3Read iso included


R1(config)#snmp-server view V3Write iso included
R1(config)#snmp-server group V3Group v3 auth read V3Read write V3Write
R1(config)#snmp-server user V3User V3Group v3 auth md5 MyPassword

Note que você primeiro cria uma View (comando snmp-server view), a qual define o que será
gerenciado via SNMP. O mnemônico “iso” deixa monitorar tudo no dispositivo.

Depois você precisa criar um Group (snmp-server group) e vinculá-lo a View criada, nesse
grupo você define a versão do SNMP (v3), o nível de segurança (noauth | auth | priv) e se o
grupo é de leitura (read) ou leitura/escrita (write).

Note que esse grupo terá apenas autenticação (auth) e foram criadas duas opções de grupo:
V3Read para leitura e V3Write para leitura/escrita.

Por ultimo temos que criar o usuário (User - snmp-server user), vinculá-lo ao Group (grupo) e
definer se ele vai ter autenticação, criptografia e o tipo que sera utilizado.

Portanto são três passos na configuração do SNMPv3: criar View > Group > User.

2.1.3.1 MAIS OPÇÕES DE CONFIGURAÇÃO DO SNMPV3

No tópico anterior configuramos o SNMPv3 com autenticação MD5, porém lembre-se que
podemos configurá-lo sem autenticação ou com autenticação e criptografia.

Essas configurações são feitas tanto no grupo (Group) como no usuário (User) e você precisa
saber diferenciá-las.

Todas as três precisam de uma “View > Group > User”, o que varia são as opções de
criptografia e autenticação. Vamos exemplificar.

Veja o mesmo exemplo do item anterior com a opção sem autenticação.

R1(config)#snmp-server view V3Read iso included


R1(config)#snmp-server view V3Write iso included
R1(config)#snmp-server group V3Group v3 noauth read V3Read write V3Write
R1(config)#snmp-server user V3User V3Group v3

Note que foram criadas as mesmas Views, depois no grupo colocamos a opção “noauth” e por
ultimo definimos que o usuário V3User faz parte do grupo criado sem opções de autenticação e
criptografia.

Para configurar o mesmo exemplo com autenticação e criptografia devemos no Group definir a
opção priv e depois no usuário definir como será a autenticação (MD5 ou SHA) e criptografia
(DES, 3DES ou AES). Veja exemplo a seguir.

Ap