CCNA 200-301 Official Cert Guide - Volume 2 (Odom, Wendell) PT-BR

Machine Translated by Google
CCNA 200-301, Volume 2

Guia Oficial de Certificação
Além da riqueza de conteúdo atualizado, esta nova edição inclui uma série de exercícios práticos
gratuitos para ajudá-lo a dominar várias atividades de configuração do mundo real. Esses exercícios
podem ser realizados no software CCNA 200-301 Network Simulator Lite, Volume 2 incluído
gratuitamente no site que acompanha este livro. Este software, que simula a experiência de trabalhar
em roteadores e switches Cisco reais, contém os 13 exercícios de laboratório gratuitos a seguir,
cobrindo tópicos de ACL na Parte I:
1. ACL I
2. ACL II
3. LCA III
4. LCA IV
5. LCA V
6. ACLVI
7. Análise ACL I
8. Nomeado ACL I
9. Nomeado ACL II
10. Nomeado ACL III
11. Cenário de configuração de ACL padrão

12. Cenário de configuração de ACL I estendido
13. Cenário de configuração estendido do ACL II
Se você estiver interessado em explorar mais laboratórios práticos e praticar configuração e solução
de problemas com mais comandos de roteador e switch, acesse www.pearsonitcertification.com/
networksimulator para demos e revisar os produtos mais recentes à venda.
Requisitos do sistema CCNA 200-301 Network Simulator Lite, Volume 2:

Requisitos do sistema Windows (mínimo): Requisitos de sistema do Mac (mínimo):
• Windows 10 (32/64 bits), Windows 8.1 (32/64 bits) ou Windows • macOS 10.15, 10.14, 10.13, 10.12 ou 10.11
7 (32/64 bits)
• Intel Core Duo 1,83 GHz
• 1 gigahertz (GHz) ou 32 bits mais rápido (x86) ou
Processador de 64 bits (x64) • 512 MB de RAM (1 GB recomendado)
• 1 GB de RAM (32 bits) ou 2 GB de RAM (64 bits) • 1,5 GB de espaço em disco rígido
• 16 GB de espaço disponível em disco rígido (32 bits) • Profundidade de cor de 32 bits com resolução de 1024 x 768
ou 20 GB (64 bits)
• Adobe Acrobat Reader versão 8 e superior
• Dispositivo gráfico DirectX 9 com WDDM 1.0 ou
motorista superior
• Adobe Acrobat Reader versão 8 e superior
CCNA
200-301
Guia Oficial de Certificação,
Volume 2
WENDELL ODOM, CCIE No. 1624 Emérito
Imprensa Cisco
ii Guia Oficial de Certificação CCNA 200-301, Volume 2
Guia Oficial de Certificação CCNA 200-301,

Volume 2
Wendell Odom
Direitos autorais © 2020 Pearson Education, Inc.
Publicado por: Cisco Press
Todos os direitos reservados. Nenhuma parte deste livro pode ser reproduzida ou transmitida de qualquer forma ou por
qualquer meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou por qualquer sistema de armazenamento e recuperação
de informações, sem permissão por escrito do editor, exceto pela inclusão de breves citações em uma revisão.
Código de Impressão Automatizado Scout
Número de controle da Biblioteca do Congresso: 2019949625
ISBN-13: 978-1-58714-713-5
ISBN-10: 1-58714-713-0
Aviso e isenção de responsabilidade
Este livro foi desenvolvido para fornecer informações sobre o exame Cisco CCNA 200-301. Todos os esforços foram feitos
para tornar este livro o mais completo e preciso possível, mas nenhuma garantia ou adequação está implícita.
As informações são fornecidas “como estão”. Os autores, Cisco Press e Cisco Systems, Inc. não terão responsabilidade nem
responsabilidade perante qualquer pessoa ou entidade com relação a quaisquer perdas ou danos decorrentes das informações
contidas neste livro ou do uso dos discos ou programas que possam conter compreenda.
As opiniões expressas neste livro pertencem ao autor e não são necessariamente as da Cisco Systems, Inc.
Reconhecimentos de marca registrada
Todos os termos mencionados neste livro que são conhecidos como marcas registradas ou marcas de serviço foram devidamente
capitalizados. A Cisco Press ou a Cisco Systems, Inc. não podem atestar a exatidão dessas informações. O uso de um termo
neste livro não deve ser considerado como afetando a validade de qualquer marca registrada ou marca de serviço.
A Microsoft e/ou seus respectivos fornecedores não fazem representações sobre a adequação das informações contidas nos
documentos e gráficos relacionados publicados como parte dos serviços para qualquer finalidade. Todos esses documentos e
gráficos relacionados são fornecidos “como estão” sem garantia de qualquer tipo. A Microsoft e/ou seus respectivos fornecedores
se isentam de todas as garantias e condições com relação a essas informações, incluindo todas as garantias e condições de
comercialização, expressas, implícitas ou estatutárias, adequação a uma finalidade específica, título e não violação. Em nenhum
caso a Microsoft e/ou seus respectivos fornecedores serão responsáveis por quaisquer danos especiais, indiretos ou conseqüentes
ou quaisquer danos resultantes de perda de uso, dados ou lucros, seja em uma ação de contrato, negligência ou outra ação ilícita,
decorrente de ou em conexão com o uso ou desempenho de informações disponíveis dos serviços.
Os documentos e gráficos relacionados aqui contidos podem incluir imprecisões técnicas ou erros tipográficos. As alterações
são adicionadas periodicamente às informações aqui contidas. A Microsoft e/ou seus respectivos fornecedores podem fazer
melhorias e/ou alterações no(s) produto(s) e/ou programa(s) aqui descritos a qualquer momento. Capturas de tela parciais
podem ser visualizadas na íntegra dentro da versão do software especificada.
Microsoft® e Windows® são marcas registradas da Microsoft Corporation nos EUA e em outros países. Capturas de tela e
ícones reimpressos com permissão da Microsoft Corporation. Este livro não é patrocinado, endossado ou afiliado à Microsoft
Corporation.
iii
Vendas Especiais
Para obter informações sobre como comprar este título em grandes quantidades ou para oportunidades de vendas especiais
(que podem incluir versões eletrônicas, designs de capa personalizados e conteúdo específico para sua empresa, metas de
treinamento, foco de marketing ou interesses de marca), entre em contato com nosso departamento de vendas corporativo em
corpsales@pearsoned.com ou (800) 382-3419.
Para consultas de vendas governamentais, entre em contato com Governmentsales@pearsoned.com.
Para perguntas sobre vendas fora dos EUA, entre em contato com intlcs@pearson.com.
Informações de feedback
Na Cisco Press, nosso objetivo é criar livros técnicos detalhados da mais alta qualidade e valor. Cada livro é elaborado com
cuidado e precisão, passando por um desenvolvimento rigoroso que envolve a experiência única de membros da comunidade
técnica profissional.
O feedback dos leitores é uma continuação natural desse processo. Se você tiver algum comentário sobre como podemos
melhorar a qualidade deste livro ou alterá-lo para melhor atender às suas necessidades, entre em contato conosco pelo e-mail
feedback@ciscopress.com. Certifique-se de incluir o título do livro e o ISBN em sua mensagem.
Agradecemos sua assistência.
Editor-chefe: Mark Taub Editor Técnico: Elan Beer
Gerente de Operações de Negócios, Cisco Press: Ronald Fligge Assistente editorial: Cindy Teeters
Diretor, Gerenciamento de Produto ITP: Brett Bartow Designer de capa: Chuti Prasertsith
Editor-chefe: Sandra Schroeder Composição: Tricia Bronkella
Editor de Desenvolvimento: Christopher Cleveland Indexador: Ken Johnson
Editora Sênior do Projeto: Tonya Simpson Revisor: Debbie Williams
Editor de texto: Chuck Hutchinson

iv Guia Oficial de Certificação CCNA 200-301, Volume 2
Sobre o autor
Wendell Odom, CCIE No. 1624 Emérito, está no setor de redes desde 1981. Ele trabalhou como
engenheiro de rede, consultor, engenheiro de sistemas, instrutor e desenvolvedor de cursos; ele
atualmente trabalha escrevendo e criando ferramentas de estudo de certificação. Este livro é sua 29ª
edição de algum produto para a Pearson, e ele é o autor de todas as edições do CCNA Cert Guides
about Routing and Switching da Cisco Press. Ele escreveu livros sobre tópicos básicos de rede, guias
de certificação ao longo dos anos para CCENT, CCNA R&S, CCNA DC, CCNP ROUTE, CCNP QoS
e CCIE R&S. Ele mantém ferramentas de estudo, links para seus blogs e outros recursos em
www.certskills.com.
Sobre o Autor Contribuinte

David Hucaby, CCIE No. 4594, CWNE No. 292, é engenheiro de rede da University of Kentucky
Healthcare. Ele é autor de títulos da Cisco Press há 20 anos, com foco em tópicos de comutação sem
fio e LAN. David é bacharel em ciências e mestre em ciências em engenharia elétrica. Ele mora em
Kentucky com sua esposa, Marci, e duas filhas.
Sobre o Revisor Técnico

Elan Beer, CCIE No. 1837, é consultora sênior e instrutora da Cisco especializada em arquitetura
de data center e projeto de rede multiprotocolo. Nos últimos 27 anos, a Elan projetou redes e
treinou milhares de especialistas do setor em arquitetura, roteamento e comutação de data centers.
A Elan tem sido fundamental nos esforços de serviços profissionais em grande escala, projetando
e solucionando problemas de redes interconectadas, realizando auditorias de data center e rede e
auxiliando os clientes com seus objetivos de design de curto e longo prazo.
Elan tem uma perspectiva global de arquiteturas de rede por meio de sua clientela internacional.
Elan usou sua experiência para projetar e solucionar problemas de data centers e redes na Malásia,
América do Norte, Europa, Austrália, África, China e Oriente Médio. Mais recentemente, a Elan se
concentrou no projeto, configuração e solução de problemas de data center, bem como em tecnologias
de provedores de serviços. Em 1993, Elan foi um dos primeiros a obter a certificação Cisco Certified
System Instructor (CCSI) e, em 1996, foi um dos primeiros a obter a mais alta certificação técnica do
Cisco System, o Cisco Certified Internetworking Expert. Desde então, Elan esteve envolvida em
vários projetos de redes de telecomunicações e data centers de grande escala em todo o mundo.
vi Guia Oficial de Certificação CCNA 200-301, Volume 2
Agradecimentos
Brett Bartow continua sendo a espinha dorsal da marca Cisco Press, orientando toda a equipe de autores durante a
grande transição em 2019–2020 com todas as mudanças que a Cisco introduziu em suas certificações.
Simplesmente o melhor! Obrigado por tudo que você faz, Brett!
Dave Hucaby se uniu novamente para escrever este livro, contribuindo com um capítulo aqui para acompanhar seus
quatro capítulos no livro CCNA Volume 1. É uma alegria rever seu trabalho e ver um material tão polido desde o primeiro
rascunho. Tem sido uma alegria trabalhar com um profissional tão consumado — obrigado, Dave!
Chris Cleveland desenvolveu o livro – de novo – e o tornou muito melhor – de novo – e o fez com mais malabarismos do
que nunca, eu acho. Cinco meses, cerca de 50 capítulos de tecnologia e outros 50 outros elementos do livro, e inúmeros
elementos online, tudo feito com aparente facilidade. Parabéns ao Chris, mais uma vez!
Estou ansioso para ler as edições técnicas dos capítulos de Elan Beer. Pode parecer estranho ouvir isso, mas Elan tem
habilidades de edição técnica realmente incríveis. Seus insights vão desde os detalhes da tecnologia, à mente do novo
aluno, à redação e clareza, aos buracos na lógica da rede em comparação com as palavras, até pequenos erros de
digitação que afetam o significado. Obrigado novamente Elan por melhorar tanto os capítulos!
Tonya Simpson gerenciou este livro, junto com o livro CCNA Volume 1, tudo no mesmo período de tempo comprimido
novamente. Como de costume, em ambos os projetos, Tonya manteve os processos de produção em andamento e
passando pelas idiossincrasias do conteúdo. Obrigado por guiar o livro pela selva novamente, Tonya!
Como sempre, obrigado à equipe de produção que trabalha com Tonya. Desde corrigir todas as minhas frases
gramaticais e de voz passiva até juntar o design e o layout, eles fazem tudo; obrigado por juntar tudo e fazer parecer fácil.
E Tonya conseguiu fazer malabarismos com dois livros meus ao mesmo tempo (de novo)—
obrigado por gerenciar todo o processo de produção novamente.
Mike Tanamachi, ilustrador e leitor de mentes, fez um ótimo trabalho nas figuras novamente. Mike apareceu novamente
com alguns belos produtos acabados. Obrigado novamente, Mike.
Eu não poderia ter feito a linha do tempo para este livro sem Chris Burns, da Certskills Professional. Chris é dono de
grande parte do processo de administração e suporte de perguntas do PTP, trabalha nos laboratórios que colocamos no
meu blog e depois pega qualquer coisa que eu precise jogar por cima do ombro para que eu possa me concentrar nos livros.
Cris, você é o cara!
Um agradecimento especial a vocês leitores que escrevem com sugestões e possíveis erros, e especialmente aqueles
que publicam online na Cisco Learning Network e no meu blog (https://blog.certskills.com).
Sem dúvida, os comentários que recebo diretamente e ouço ao participar da CLN fizeram desta edição um livro melhor.
Obrigado à minha maravilhosa esposa, Kris, que ajuda a tornar esse estilo de vida de trabalho, às vezes desafiador, uma
brisa. Adoro caminhar nessa jornada com você, boneca. Obrigado à minha filha Hannah, que realmente ajudou um pouco
com o livro neste verão antes de ir para a faculdade (vá Jaquetas!). E graças a Jesus Cristo, Senhor de tudo em minha vida.
vii
Conteúdo em resumo
Introdução xxvii
Parte I Listas de controle de acesso IP 3
Capítulo 1 Introdução ao transporte e aplicativos TCP/IP 4
Capítulo 2 Listas Básicas de Controle de Acesso IPv4 24
Capítulo 3 Listas de controle de acesso IPv4 avançado 44
Parte I Revisão 64
parte II Serviços de Segurança 67
Capítulo 4 Arquiteturas de Segurança 68
capítulo 5 Protegendo Dispositivos de Rede 86
Capítulo 6 Implementando a Segurança da Porta do Comutador 106
Capítulo 7 Implementando DHCP 122
Capítulo 8 Snooping DHCP e Inspeção ARP 144
Parte II Revisão 168
Parte III Serviços IP 171
Capítulo 9 Protocolos de Gerenciamento de Dispositivo 172
Capítulo 10 Tradução de Endereço de Rede 202
Capítulo 11 Qualidade de Serviço (QoS) 226
Capítulo 12 Serviços IP Diversos 254
Parte III Revisão 284
Parte IV Arquitetura de Rede 287
Capítulo 13 Arquitetura de LAN 288
Capítulo 14 Arquitetura WAN 302
Capítulo 15 Arquitetura de Nuvem 328
Parte IV Revisão 352
Parte V Automação de Rede 355
Capítulo 16 Introdução à rede baseada em controlador 356
Capítulo 17 Acesso definido por software Cisco (SDA) 382

viii CCNA 200-301 Official Cert Guide, Volume 2
Capítulo 18 Entendendo REST e JSON 406
Capítulo 19 Entendendo Ansible, Puppet e Chef 428
Revisão da Parte V 444
Parte VI Revisão Final 447

Capítulo 20 Revisão Final 448
Parte VII Apêndices 467

Apêndice A Tabelas de Referência Numérica 469
Apêndice B CCNA 200-301, Volume 2 Atualizações do Exame 476
Apêndice C Respostas à pergunta “Já sei disso?” Testes 478
Glossário 494
Índice 530
Apêndices on-line
Apêndice D Tópicos de edições anteriores
Apêndice E Prática para o Capítulo 2: Listas Básicas de Controle de Acesso IPv4
Apêndice F Edição anterior ICND1 Capítulo 35: Gerenciando arquivos IOS
Apêndice G Referência Cruzada dos Tópicos do Exame

ix
Serviços do Leitor
Para acessar o conteúdo adicional deste livro, basta registrar seu produto. Para iniciar o processo de
registro, acesse www.ciscopress.com/register e faça login ou crie uma conta* . Insira o ISBN do produto
9781587147135 e clique em Enviar. Após a conclusão do processo, você encontrará qualquer conteúdo de bônus
disponível em Produtos Registrados.
*Certifique-se de marcar a caixa que você gostaria de ouvir de nós para receber descontos exclusivos em futuros
edições deste produto.
x Guia Oficial de Certificação CCNA 200-301, Volume 2
Ícones usados neste livro
Ponto de acesso computador

Computador portátil
Servidor Telefone IP
Roteador Trocar Eixo Ponte

Comutador de Camada 3
Cabo (Vários) Linha de série circuito virtual Ethernet WAN Sem fio
Controlador SDN vSwitch IPS COMO UM Firewall
Nuvem de rede Modem a cabo DSLAM
Convenções de sintaxe de comando

As convenções usadas para apresentar a sintaxe de comando neste livro são as mesmas
convenções usadas no IOS Command Reference. A Command Reference descreve essas
convenções da seguinte forma:
ÿ Negrito indica comandos e palavras-chave que são inseridos literalmente como mostrado.
Em exemplos e saídas de configuração reais (sintaxe de comando não geral),
negrito indica comandos que são inseridos manualmente pelo usuário (como um show
comando).
ÿ Itálico indica argumentos para os quais você fornece valores reais.
ÿ Barras verticais (|) separam elementos alternativos mutuamente exclusivos.
ÿ Colchetes ([ ]) indicam um elemento opcional.
ÿ Chaves ({ }) indicam uma escolha obrigatória.
ÿ Chaves entre colchetes ([{ }]) indicam uma escolha obrigatória dentro de um elemento opcional
mento.
XI
Conteúdo
Introdução xxvii
Parte I Listas de controle de acesso IP 3
Capítulo 1 Introdução ao Transporte e Aplicativos TCP/IP 4
“Eu já sei disso?” Questionário 4 Tópicos
Fundamentais 6
Protocolos TCP/IP Camada 4: TCP e UDP 6

Protocolo de Controle de Transmissão 7
Multiplexação usando números de porta TCP 7
Aplicativos TCP/ IP populares 10

Estabelecimento e Rescisão de Conexão 12
Recuperação de Erros e Confiabilidade 13
Controle de fluxo usando o Windows 15
Protocolo de Datagrama de Usuário 16
Aplicativos TCP/IP 16
Identificadores Uniformes de Recursos 17
Encontrando o servidor Web usando DNS 18
Transferindo arquivos com HTTP 20
Como o host de recebimento identifica o recebimento correto

Aplicação 21
Revisão do Capítulo 22
Capítulo 2 Listas básicas de controle de acesso IPv4 24
Fundamentais 26
Noções básicas de lista de controle de acesso IPv4 26
Localização e Direção do ACL 26
Pacotes de correspondência 27
Agir quando ocorre uma partida 28
Tipos de IP ACLs 28
xii CCNA 200-301 Official Cert Guide, Volume 2
ACLs IPv4 numeradas padrão 29
Lógica de lista com IP ACLs 29
Combinando Lógica e Sintaxe de Comando 31
Correspondência do endereço IP exato 31
Correspondendo a um subconjunto do endereço com curingas 31
Máscaras Curinga Binária 33
Encontrando a máscara curinga certa para corresponder a uma sub-rede 33
Correspondência de qualquer/ todos os endereços 34
Implementando ACLs de IP padrão 34
Exemplo de ACL numerado padrão 1 35
Exemplo de ACL numerado padrão 2 36
Dicas para solução de problemas e verificação 38
Pratique a aplicação de IP ACLs padrão 39
Praticar comandos de lista de acesso de construção 39
Engenharia reversa da ACL para o intervalo de endereços 40
Capítulo 3 Listas de controle de acesso IPv4 avançado 44
Fundamentais 46
Listas de controle de acesso IP numeradas estendidas 46
Correspondência do protocolo, IP de origem e IP de destino 46
Correspondência de números de porta TCP e UDP 48
Configuração de ACL de IP estendida 51
Listas de acesso IP estendidas: Exemplo 1 51
Listas de acesso IP estendidas: Exemplo 2 53
Praticar Comandos da Lista de Acesso 54
ACLs nomeados e edição de ACL 54
Listas de Acesso IP Nomeado 54
Editando ACLs Usando Números de Sequência 56
Configuração de ACL numerada versus configuração de ACL nomeada 58
Considerações de Implementação de ACL 59
Leitura Adicional em ACLs 60
Parte I Revisão 64
xiii
parte II Serviços de Segurança 67
Capítulo 4 Arquiteturas de Segurança 68
básicos 70 Terminologia de segurança 70
Ameaças comuns à segurança 72
Ataques que falsificam 72
Ataques de negação de serviço 73
Ataques de Reflexão e Ampliação 75

Ataques Man-in-the-Middle 76
Resumo do ataque de falsificação de endereço 77

Ataques de Reconhecimento 77
Ataques de estouro de buffer 78
Malware 78
Vulnerabilidades Humanas 79
Vulnerabilidades de senha 80
Alternativas de senha 80
Controlando e Monitorando o Acesso do Usuário 82
Desenvolvendo um Programa de Segurança para Educar Usuários 83
Capítulo 5 Protegendo Dispositivos de Rede 86
básicos 88 Protegendo senhas do IOS 88
Criptografando senhas IOS mais antigas com criptografia de senha de serviço

89
Codificando as senhas de ativação com hashes 90

Interações entre Habilitar Senha e Habilitar Segredo 90
Tornando o segredo de ativação verdadeiramente secreto com um hash 91
Hashes aprimorados para o Enable Secret 92 da Cisco
Codificando as senhas para nomes de usuário locais 94
Controlando ataques de senha com ACLs 95

xiv Guia Oficial de Certificação CCNA 200-301, Volume 2
Firewalls e Sistemas de Prevenção de Intrusão 95
Firewalls Tradicionais 96
Zonas de Segurança 97
Sistemas de Prevenção de Intrusão (IPS) 99
Firewalls de última geração da Cisco 100
Cisco IPS 102 de última geração
Capítulo 6 Implementando a segurança da porta do switch 106
“Eu já sei disso?” Questionário 106 Tópicos básicos
108 Conceitos e configuração de segurança de porta
108
Configurando a Segurança da Porta 109
Verificando a Segurança da Porta 112
Endereços MAC de Segurança de Porta 113
Modos de violação de segurança da porta 114
Modo de desligamento de segurança da porta 115
Segurança da Porta Proteger e Restringir Modos 117
Capítulo 7 Implementando DHCP 122
“Eu já sei disso?” Questionário 122 Tópicos básicos
124 Protocolo de configuração de host dinâmico 124
Conceitos DHCP 125
Suportando DHCP para sub-redes remotas com DHCP Relay 126
Informações Armazenadas no Servidor DHCP 128
Configurando recursos DHCP em roteadores e switches 129
Configurando o Relé DHCP 130
Configurando um Switch como Cliente DHCP 130
Configurando um roteador como cliente DHCP 132
Identificando as configurações de IPv4 do host 133
Configurações de host para IPv4 133
Configurações de IP do host no Windows 134

xv
Configurações de IP do host no macOS 136
Configurações de IP do host no Linux 138
Capítulo 8 Snooping DHCP e Inspeção ARP 144
Fundamentais 146
Espionagem DHCP 146
Conceitos de espionagem de DHCP 146
Um exemplo de ataque: um servidor DHCP espúrio 147
Lógica de espionagem DHCP 148
Filtrando mensagens DISCOVER com base no endereço MAC 150
Filtrando mensagens que liberam endereços IP 150
Configuração de espionagem DHCP 152
Configurando o DHCP Snooping em um Switch de Camada 2 152
Limitando as Taxas de Mensagens DHCP 154
Resumo da configuração de espionagem de DHCP 155
Inspeção ARP Dinâmica 156
Conceitos DAI 156
Revisão do IP ARP 156 Normal

ARP Gratuito como um Vetor de Ataque 157
Lógica de Inspeção ARP Dinâmica 158
Configuração de Inspeção ARP Dinâmica 160
Configurando a inspeção ARP em um switch 160 de camada 2
Limitando as Taxas de Mensagens DAI 163
Configurando Verificações de Mensagem DAI Opcionais 164
Resumo da Configuração de Inspeção IP ARP 165
Parte II Revisão 168

xvi Guia Oficial de Certificação CCNA 200-301, Volume 2
Parte III Serviços IP 171
Capítulo 9 Protocolos de Gerenciamento de Dispositivo 172
básicos 174 Log de mensagens do sistema
(Syslog) 174
Enviando Mensagens em Tempo Real para Usuários Atuais 174
Armazenando Mensagens de Log para Revisão Posterior 175
Formato da Mensagem de Log 176
Níveis de Gravidade da Mensagem de Log 177
Configurando e Verificando o Log do Sistema 178
O comando debug e as mensagens de log 180
Protocolo de Tempo de Rede (NTP) 181
Configurando a Hora e o Fuso Horário 182
Configuração Básica de NTP 183
Relógio de Referência NTP e Estrato 185
Configuração NTP Redundante 186
NTP usando uma interface de loopback para melhor disponibilidade 188
Analisando a topologia usando CDP e LLDP 190
Examinando as informações aprendidas pelo CDP 190
Configurando e Verificando o CDP 193
Examinando as informações aprendidas pelo LLDP 194
Configurando e Verificando o LLDP 197
Capítulo 10 Tradução de Endereço de Rede 202
Fundamentais 204
Perspectivas sobre escalabilidade de endereços IPv4 204

CIDR 205
Endereçamento Privado 206
Conceitos de Tradução de Endereço de Rede 207
NAT Estático 208
NAT dinâmico 210
Sobrecarregando NAT com Tradução de Endereço de Porta 211

xvii
Configuração NAT e Solução de Problemas 213
Configuração NAT Estática 213
Configuração de NAT Dinâmico 215
Verificação de NAT Dinâmico 217
Configuração de Sobrecarga NAT (PAT) 219
Solução de problemas de NAT 222
Capítulo 11 Qualidade de Serviço (QoS) 226
básicos 228 Introdução à QoS 228
QoS: Gerenciando largura de banda, atraso, jitter e perda 228
Tipos de Tráfego 229
Aplicativos de Dados 229
Aplicativos de Voz e Vídeo 230
QoS como mencionado neste livro 232
QoS em Switches e Roteadores 233
Classificação e Marcação 233

Noções Básicas de Classificação 233
Noções básicas de correspondência (classificação) 234
Classificação em Roteadores com ACLs e NBAR 235
Marcando IP DSCP e Ethernet CoS 236 Marcando
o cabeçalho IP 237 Marcando o cabeçalho
Ethernet 802.1Q 237 Outros campos de marcação 238
Definindo Limites de Confiança 238
Valores de Marcação Sugeridos DiffServ 239
Encaminhamento Acelerado (EF) 240
Encaminhamento Garantido (AF) 240
Seletor de Classe (CS) 241
Diretrizes para Valores de Marcação DSCP 241

xviii Guia Oficial de Certificação CCNA 200-301, Volume 2
Fila 242
Agendamento Round-Robin (Priorização) 243
Fila de Baixa Latência 243
Uma Estratégia de Priorização para Dados, Voz e Vídeo 245
Moldando e Policiando 245
Policiamento 246
Onde Usar o Policiamento 246
Modelagem 248
Configurando um bom intervalo de tempo de modelagem para voz e vídeo 249
Prevenção de congestionamento 250
Fundamentos de Janelas TCP 250
Ferramentas de Prevenção de Congestionamento 251
Capítulo 12 Serviços IP Diversos 254
básicos 256 Protocolo de redundância do primeiro
salto 256
A Necessidade de Redundância em Redes 257
A necessidade de um protocolo de redundância de primeiro salto 259
As três soluções para redundância de primeiro salto 260
Conceitos HSRP 261

HSRP Failover 261
Balanceamento de Carga HSRP 262
Protocolo de Gerenciamento de Rede Simples 263
Leitura e Escrita de Variáveis SNMP: Obter e Definir SNMP 264
Notificações SNMP: Armadilhas e Informa 265
A Base de Informações Gerenciais 266
Protegendo o SNMP 267

FTP e TFTP 268
Gerenciando imagens do Cisco IOS com FTP/TFTP 268
O Sistema de Arquivos IOS 268
Atualizando Imagens IOS 270
Copiando uma nova imagem IOS para um sistema de arquivos IOS local usando
TFTP 271
xix
Verificando a integridade do código IOS com MD5 273
Copiando Imagens com FTP 273

Os Protocolos FTP e TFTP 275
Noções Básicas do Protocolo FTP 275
Modos FTP Ativo e Passivo 276
FTP sobre TLS (FTP Seguro) 278

Princípios Básicos do Protocolo TFTP 279
Parte III Revisão 284
Parte IV Arquitetura de Rede 287
Capítulo 13 Arquitetura de LAN 288
básicos 290 Analisando topologias de LAN do
campus 290
Projeto de campus de dois níveis (núcleo recolhido) 290
O Projeto do Campus de Duas Camadas 290
Terminologia de topologia vista dentro de um projeto de duas camadas 291
Design de Campus de Três Camadas (Núcleo) 293
Terminologia de Projeto de Topologia 295

Escritório Pequeno/Escritório Doméstico 295
Power over Ethernet (PoE) 297

Noções Básicas de PoE 297
Operação PoE 298
Projeto PoE e LAN 299
Capítulo 14 Arquitetura WAN 302
Fundamentais 304
Metro Ethernet 304
Projeto Físico Metro Ethernet e Topologia 305
Serviços e Topologias Ethernet WAN 306
Serviço de Linha Ethernet (Ponto a Ponto) 307
Serviço de LAN Ethernet (Malha Completa) 308
Serviço de Árvore Ethernet (Hub e Spoke) 309

xx Guia Oficial de Certificação CCNA 200-301, Volume 2
Projeto de Camada 3 Usando Metro Ethernet 309
Projeto de Camada 3 com Serviço de Linha Eletrônica 309
Projeto de Camada 3 com Serviço E-LAN 311
Comutação de Etiqueta Multiprotocolo (MPLS) 311
Projeto Físico e Topologia de VPN MPLS 313
MPLS e Qualidade de Serviço 314
Camada 3 com MPLS VPN 315

VPNs de Internet 317
Acesso à Internet 317
Linha de Assinante Digital 318

Internet a cabo 319
WAN sem fio (3G, 4G, LTE, 5G) 320
Acesso à Internet por Fibra (Ethernet) 321

Fundamentos de VPN na Internet 321
VPNs site a site com IPsec 322
VPNs de acesso remoto com TLS 324
Comparações VPN 326
Capítulo 15 Arquitetura de Nuvem 328
Fundamentais 330
Virtualização de Servidor 330
Hardware do Servidor Cisco 330
Noções básicas de virtualização de servidor 331
Rede com switches virtuais em um host virtualizado 333
A Rede de Data Center Físico 334

Fluxo de trabalho com um data center virtualizado 335
Serviços de Computação em Nuvem 336
Nuvem Privada (On-Premise) 337

Nuvem Pública 338
xxi
Nuvem e o Modelo “Como Serviço” 339
Infraestrutura como Serviço 339
Software como Serviço 341
(Desenvolvimento) Plataforma como Serviço 341

Caminhos de Tráfego WAN para Alcançar Serviços em Nuvem 342
Conexões WAN Corporativas para Nuvem Pública 342
Acessando Serviços de Nuvem Pública Usando a Internet 342
Prós e contras de conectar-se à nuvem pública com

Internet 343
WAN Privada e Acesso VPN de Internet à Nuvem Pública 344
Prós e contras de se conectar à nuvem com WANs privadas 345
Intercâmbios em Nuvem 346
Resumindo os prós e contras da WAN em nuvem pública

Opções 346
Um cenário: filiais e a nuvem pública 347
Migrando fluxos de tráfego ao migrar para SaaS de e-mail 347
Filiais com Internet e WAN Privada 349
Parte IV Revisão 352
Parte V Automação de Rede 355
Capítulo 16 Introdução à rede baseada em controlador 356
Fundamentais 358
SDN e Redes Baseadas em Controlador 358
Os Planos de Dados, Controle e Gerenciamento 358

O Plano de Dados 359
O Plano de Controle 360
O Plano de Gestão 361

Internos do plano de dados do switch Cisco 361
Controladores e Arquitetura Definida por Software 362
Controladores e Controle Centralizado 363
A Interface Sul 364
A Interface Norte 365

xxii CCNA 200-301 Official Cert Guide, Volume 2
Resumo da Arquitetura Definida por Software 367
Exemplos de programabilidade de rede e SDN 367
OpenDaylight e OpenFlow 367
O controlador OpenDaylight 368
O controlador Cisco Open SDN (OSC) 369
Infraestrutura centrada em aplicativos da Cisco (ACI) 369
Projeto Físico ACI: Spine and Leaf 370
Modelo Operacional ACI com Rede Baseada em Intenção 371
Módulo empresarial Cisco APIC 373

APIC-EM Básico 373
Substituição APIC-EM 374
Resumo dos Exemplos SDN 375
Comparando redes tradicionais versus redes baseadas em controlador 375
Como a automação afeta o gerenciamento de rede 376
Comparando redes tradicionais com baseadas em controlador

Redes 378
Capítulo 17 Acesso definido por software Cisco (SDA) 382
Fundamentais 384 SDA Fabric, Underlay e
Overlay 384
A Base SDA 386
Usando Equipamento Existente para o Underlay SDA 386
Usando novo equipamento para o SDA Underlay 387
A Sobreposição SDA 390
Túneis VXLAN na Sobreposição (Plano de Dados) 390
LISP para Descoberta e Localização de Sobreposição (Plano de Controle) 392
Centro de DNA e Operação SDA 395

Centro de DNA Cisco 395
Cisco DNA Center e Grupos Escaláveis 396
Problemas com a segurança tradicional baseada em IP 397
Segurança SDA baseada em grupos de usuários 398

xxiii
DNA Center como uma plataforma de gerenciamento de rede 400
Semelhanças do Centro de DNA com a Gestão Tradicional 401
Diferenças do DNA Center com o Gerenciamento Tradicional 402
Capítulo 18 Entendendo REST e JSON 406
Fundamentais 408
APIs baseadas em REST 408
APIs baseadas em REST (RESTful) 408

Arquitetura Cliente/ Servidor 409
Operação sem estado 410
Armazenável (ou Não) 410
Antecedentes: Dados e Variáveis 410
Variáveis Simples 410
Variáveis de Lista e Dicionário 411

APIs REST e HTTP 413
Ações CRUD de software e verbos HTTP 413
Usando URIs com HTTP para especificar o recurso 414
Exemplo de chamada de API REST para DNA Center 417
Serialização de dados e JSON 418

A necessidade de um modelo de dados com APIs 419
Linguagens de Serialização de Dados 421
JSON 421
XML 421
YAML 422
Resumo da Serialização de Dados 423
Interpretando JSON 423
Interpretando Chave JSON:Pares de Valor 423
Interpretando objetos e matrizes JSON 424
JSON 426 Minificado e Embelezado

xxiv Guia Oficial de Certificação CCNA 200-301, Volume 2
Capítulo 19 Entendendo Ansible, Puppet e Chef 428
Fundamentais 430 Desafios e Soluções de
Configuração do Dispositivo 430
Desvio de Configuração 430
Arquivos de Configuração Centralizados e Controle de Versão 431
Monitoramento e Aplicação de Configuração 433
Provisionamento de Configuração 434
Modelos e Variáveis de Configuração 435
Arquivos que Controlam a Automação de Configuração 437
Noções básicas do Ansible, Puppet e Chef 438

Ansible 438
Marionete 440
Cozinheiro 441
Resumo das Ferramentas de Gerenciamento de Configuração 442
Revisão da Parte V 444
Parte VI Revisão Final 447
Capítulo 20 Revisão Final 448
Conselhos sobre o evento do exame 448
Evento de exame: Saiba mais sobre os tipos de perguntas 448
Evento de exame: Pense no seu orçamento de tempo 450
Evento de Exame: Um Método de Verificação de Tempo de Amostra 451
Evento de Exame: Uma Semana Fora 451

Evento do exame: 24 horas antes do exame 452
Evento do Exame: Os Últimos 30 Minutos 452
Evento de exame: Reserve a hora após o exame 453
Revisão do Exame 454
Revisão do Exame: Faça os Exames Práticos 454
Usando os exames práticos do CCNA 455
Revisão do exame: Conselhos sobre como responder às perguntas do exame 456
Revisão do exame: exames adicionais com a Premium Edition 457

xxv
Revisão do exame: encontre lacunas de conhecimento 458
Revisão do exame: Pratique as habilidades práticas da CLI 460
Tópicos do exame CCNA com requisitos de habilidade CLI 460

Revisão do Exame: Armadilhas da Autoavaliação 462
Revisão do exame: ajustes para sua segunda tentativa 463
Revisão do Exame: Outras Tarefas de Estudo 464
Considerações Finais 464
Parte VII Apêndices 467
Apêndice A Tabelas de Referência Numérica 469
Apêndice B CCNA 200-301, Volume 2 Atualizações do Exame 476
Apêndice C Respostas à pergunta “Já sei disso?” Testes 478
Glossário 494
Índice 530
Apêndices on-line
Apêndice D Tópicos de edições anteriores
Apêndice E Prática para o Capítulo 2: Listas Básicas de Controle de Acesso IPv4
Apêndice F Edição anterior ICND1 Capítulo 35: Gerenciando arquivos IOS
Apêndice G Referência Cruzada dos Tópicos do Exame
Apêndice H Planejador de Estudo

Esta página foi intencionalmente deixada em branco

xxvii
Introdução
Sobre as certificações Cisco e CCNA

Parabéns! Se você está lendo o suficiente para ler a introdução deste livro, provavelmente já decidiu obter
sua certificação Cisco, e a certificação CCNA é o único lugar para começar essa jornada. Se você deseja
ter sucesso como técnico no setor de rede, precisa conhecer a Cisco. A Cisco tem uma participação de
mercado ridiculamente alta no mercado de roteadores e switches, com mais de 80% de participação de
mercado em alguns mercados. Em muitas regiões e mercados ao redor do mundo, a rede é igual à Cisco.
Se você quer ser levado a sério como engenheiro de rede, a certificação Cisco faz todo o sentido.
OBSERVAÇÃO Este livro aborda parte do conteúdo que a Cisco inclui no exame CCNA 200-301, com
o CCNA 200-301 Official Cert Guide, Volume 1, cobrindo o restante. Você precisará dos livros do Volume
1 e do Volume 2 para ter todo o conteúdo necessário para o exame.
As primeiras páginas desta introdução explicam os principais recursos do programa Cisco Career
Certification, do qual o Cisco Certified Network Associate (CCNA) serve como base para todas as outras
certificações do programa. Esta seção começa com uma comparação das certificações antigas com as
novas devido a grandes mudanças no programa em 2019. Em seguida, fornece os principais recursos do
CCNA, como obtê-lo e o que está no exame.
As grandes mudanças nas certificações da Cisco em 2019

A Cisco anunciou mudanças radicais em seu programa de certificação de carreira em meados de 2019.
Como muitos de vocês já leram e ouviram falar sobre as versões antigas da certificação CCNA, esta
introdução começa com algumas comparações entre o antigo e o novo CCNA, bem como algumas das
outras certificações de carreira da Cisco.
Primeiro, considere as certificações de carreira da Cisco antes de 2019, conforme mostrado na Figura
I-1. Naquela época, a Cisco oferecia 10 certificações CCNA separadas em diferentes faixas de tecnologia.
A Cisco também tinha oito certificações de nível profissional (CCNP, ou Cisco Certified Network
Professional).
xxviii Guia Oficial de Certificação CCNA 200-301, Volume 2
Centro de dados de colaboração Roteamento e Serviço de segurança sem fio

Trocando Fornecedor
CCIE
Centro de dados de colaboração Roteamento e Nuvem de serviço de segurança sem fio
Trocando Fornecedor
CCNP
Centro de dados de colaboração Roteamento e Segurança sem fio Serviço Nuvem Cibernética Industrial
Trocando Fornecedor Operações
CCNA
Figura I-1 Conceitos antigos do silo de certificação Cisco
Por que tantos? A Cisco começou com uma faixa – Roteamento e Comutação – em 1998.
Com o tempo, a Cisco identificou cada vez mais áreas de tecnologia que cresceram para ter conteúdo
suficiente para justificar outro conjunto de certificações CCNA e CCNP sobre esses tópicos, então a Cisco
adicionou mais faixas. Muitos deles também cresceram para oferecer suporte a tópicos de nível
especializado com CCIE (Cisco Certified Internetwork Expert).
Em 2019, a Cisco consolidou as faixas e mudou bastante os tópicos, conforme mostrado na Figura
I-2.
Centro de dados de colaboração Empreendimento Provedor de serviços de segurança
CCIE
Centro de dados de colaboração Empreendimento Provedor de serviços de segurança
CCNP
CCNA
Figura I-2 Novas trilhas e estrutura de certificação da Cisco
Todas as faixas agora começam com o conteúdo da certificação CCNA restante. Para CCNP, agora você
tem a opção de cinco áreas de tecnologia para suas próximas etapas, conforme mostrado na Figura I-2.
(Observe que a Cisco substituiu “Routing and Switching” por “Enterprise”.)
xxix
A Cisco fez as seguintes alterações com os anúncios de 2019:
CCENT: Aposentado a única certificação de nível básico (CCENT, ou Cisco Certified Entry Network
Technician), sem substituição.
CCNA: Todas as certificações CCNA foram retiradas, exceto o que era então conhecido como
“CCNA Routing and Switching”, que se tornou simplesmente “CCNA”.
CCNP: Consolidou as certificações de nível profissional (CCNP) em cinco faixas, incluindo a fusão de
Roteamento e Comutação CCNP e CCNP Wireless no CCNP Enterprise.
CCIE: Alcançado melhor alinhamento com as trilhas do CCNP através das consolidações.
A Cisco precisou mover muitos dos tópicos individuais do exame de um exame para outro devido ao
número de alterações. Por exemplo, a Cisco anunciou a retirada de todas as certificações de
associados – nove certificações CCNA mais a certificação CCDA (Design Associate) – mas essas
tecnologias não desapareceram! A Cisco acabou de mudar os tópicos para diferentes exames em
diferentes certificações. (Observe que a Cisco anunciou mais tarde que o CCNA Cyber Ops permaneceria
e não seria aposentado, com detalhes a serem anunciados.)
Considere as LANs sem fio como exemplo. Os anúncios de 2019 retiraram as certificações CCNA
Wireless e CCNP Wireless. Alguns dos tópicos antigos do CCNA Wireless foram incluídos no novo
CCNA, enquanto outros foram incluídos nos dois exames do CCNP Enterprise sobre LANs sem fio.
Para aqueles que desejam saber mais sobre a transição, confiram meu blog (https://
blog.certskills.com) e procurem postagens na categoria Notícias por volta de junho de 2019. Agora
vamos aos detalhes sobre o CCNA existe a partir de 2019!
Como obter sua certificação CCNA
Como você viu na Figura I-2, todos os caminhos de certificação de carreira agora começam com CCNA.
Então, como você consegue? Hoje, você tem uma e apenas uma opção para obter a certificação CCNA:
Faça e passe em um exame: o exame Cisco 200-301 CCNA.
Para fazer o exame 200-301, ou qualquer exame Cisco, você usará os serviços da Pearson VUE
(vue.com). O processo funciona mais ou menos assim:
1. Estabeleça um login em https://home.pearsonvue.com/ (ou use seu login existente).
2. Inscreva-se, agende um horário e local e pague pelo exame Cisco 200-301, tudo
do site da VUE.
3. Faça o exame no centro de testes VUE.
4. Você receberá um aviso de sua pontuação, e se você passou, antes de sair

o centro de testes.
Tipos de perguntas sobre o exame CCNA 200-301

Os exames Cisco CCNA e CCNP seguem o mesmo formato geral, com estes tipos de perguntas:
ÿ Múltipla escolha, resposta única
ÿ Múltipla escolha, múltiplas respostas

xxx Guia Oficial de Certificação CCNA 200-301, Volume 2
ÿ Testlet (um cenário com várias perguntas de múltipla escolha)
ÿ Arrastar e soltar
ÿ Laboratório simulado (sim)
ÿ Simlet
Embora os quatro primeiros tipos de perguntas da lista devam ser um pouco familiares para você de outros testes
na escola, os dois últimos são mais comuns aos testes de TI e aos exames da Cisco em particular. Ambos usam
um simulador de rede para fazer perguntas para que você controle e use dispositivos Cisco simulados. Em
particular:
Perguntas do Sim: Você vê uma topologia de rede e um cenário de laboratório e pode acessar os dispositivos.
Seu trabalho é corrigir um problema com a configuração.
Perguntas Simlet: Este estilo combina os formatos de perguntas sim e testlet. Assim como em uma pergunta
sim, você vê uma topologia de rede e um cenário de laboratório e pode acessar os dispositivos.
No entanto, como acontece com um testlet, você também vê várias perguntas de múltipla escolha. Em vez de
alterar ou corrigir a configuração, você responde a perguntas sobre o estado atual da rede.
Esses dois estilos de pergunta com o simulador dão à Cisco a capacidade de testar suas habilidades de
configuração com perguntas de sim e suas habilidades de verificação e solução de problemas com perguntas de
simlet.
Antes de fazer o teste, conheça a interface do usuário do exame assistindo a alguns vídeos que a Cisco fornece
sobre a interface. Para encontrar os vídeos, basta acessar www.cisco.com e pesquisar “Cisco Certification Exam
Tutorial Videos”.
Conteúdo do exame CCNA 200-301, por Cisco

Desde que eu estava na escola primária, sempre que um professor anunciava que teríamos uma prova em
breve, alguém sempre perguntava: “O que há na prova?” Todos queremos saber, e todos queremos estudar o
que importa e evitar estudar o que não importa.
A Cisco informa ao mundo os tópicos de cada um de seus exames. A Cisco quer que o público conheça a variedade
de tópicos e tenha uma ideia sobre os tipos de conhecimento e habilidades necessários para cada tópico para cada
exame de certificação da Cisco. Para encontrar os detalhes, acesse www.cisco.com/
go/certifications, procure a página CCNA e navegue até ver os tópicos do exame.
Este livro também lista esses mesmos tópicos de exame em vários lugares. De uma perspectiva, cada
capítulo se propõe a explicar um pequeno conjunto de tópicos do exame, de modo que cada capítulo começa
com a lista de tópicos do exame abordados nesse capítulo. No entanto, você também pode querer ver os
tópicos do exame em um só lugar, então o Apêndice G, “Referência Cruzada dos Tópicos do Exame”, lista todos
os tópicos do exame. Você pode baixar o Apêndice G em formato PDF e mantê-lo à mão. O apêndice lista os
tópicos do exame com duas referências cruzadas diferentes:
ÿ Uma lista de tópicos do exame e os capítulos que abrangem cada tópico
ÿ Uma lista de capítulos e os tópicos do exame abordados em cada capítulo

xxxi
Verbos e profundidade do tópico do exame
Ler e entender os tópicos do exame, especialmente decidir a profundidade das habilidades necessárias
para cada tópico do exame, requer alguma reflexão. Cada tópico do exame menciona o nome de
alguma tecnologia, mas também lista um verbo que indica a profundidade com que você deve dominar o
tópico. Cada um dos tópicos do exame primário lista um ou mais verbos que descrevem o nível de habilidade
necessário. Por exemplo, considere o seguinte tópico de exame:
Configurar e verificar o endereçamento e a sub-rede IPv4
Observe que este tópico de exame tem dois verbos (configurar e verificar). De acordo com este tópico do
exame, você deve ser capaz não apenas de configurar endereços e sub-redes IPv4, mas também deve
entendê-los bem o suficiente para verificar se a configuração funciona. Por outro lado, o seguinte tópico do
exame solicita que você descreva uma tecnologia, mas não solicita que você a configure:
Descrever a finalidade do protocolo de redundância do primeiro salto
O verbo describe diz para você estar pronto para descrever o que quer que seja um “protocolo de
redundância de primeiro salto”. Esse tópico de exame também implica que você não precisa estar pronto
para configurar ou verificar quaisquer protocolos de redundância de primeiro salto (HSRP, VRRP e GLBP).
Por fim, observe que os tópicos do exame configurar e verificar implicam que você deve ser capaz de
descrever e explicar e dominar os conceitos para que você entenda o que configurou. O anterior “Configurar
e verificar endereçamento e sub-rede IPv4” não significa que você deve saber como digitar comandos, mas
não tem ideia do que configurou. Você deve primeiro dominar os verbos do tópico do exame conceitual. A
progressão é mais ou menos assim:
Descrever, identificar, explicar, comparar/contrastar, configurar, verificar, solucionar problemas
Por exemplo, um tópico de exame que lista “comparar e contrastar” significa que você deve ser capaz de
descrever, identificar e explicar a tecnologia. Além disso, um tópico de exame com “configurar e verificar”
informa para você também estar pronto para descrever, explicar e comparar/contrastar.
O contexto em torno dos tópicos do exame
Reserve um momento para navegar até www.cisco.com/go/certifications e encontre a lista de tópicos do

exame CCNA 200-301. Seus olhos foram direto para a lista de tópicos do exame? Ou você teve tempo para
ler os parágrafos acima dos tópicos do exame primeiro?
Essa lista de tópicos de exame para o exame CCNA 200-301 inclui pouco mais de 50 tópicos de exame
primário e cerca de 50 tópicos de exame secundário. Os tópicos primários têm esses verbos como já
discutidos, que dizem algo sobre a profundidade da habilidade necessária. Os tópicos secundários listam
apenas os nomes de mais tecnologias a serem conhecidas.
xxxii Guia Oficial de Certificação CCNA 200-301, Volume 2
No entanto, a parte superior da página da Web que lista os tópicos do exame também lista algumas
informações importantes que nos contam alguns fatos importantes sobre os tópicos do exame. Em
particular, esse texto principal, encontrado no início das páginas de tópicos do exame Cisco de quase todos
os exames, nos diz estes pontos importantes:
ÿ As diretrizes podem mudar ao longo do tempo.
ÿ Os tópicos do exame são diretrizes gerais sobre o que pode estar no exame.
ÿ O exame real pode incluir "outros tópicos relacionados".
Interpretando esses três fatos em ordem, eu não esperaria ver uma mudança na lista publicada de
tópicos do exame para o exame. Escrevo os Guias de certificação do Cisco Press CCNA desde que a
Cisco anunciou o CCNA em 1998 e nunca vi a Cisco alterar os tópicos oficiais do exame no meio de um
exame, nem mesmo para corrigir erros de digitação. Mas as palavras introdutórias dizem que podem mudar
os tópicos do exame, então vale a pena conferir.
Quanto ao segundo item da lista anterior, mesmo antes de saber o que significam as siglas, você pode ver
que os tópicos do exame dão uma ideia geral, mas não detalhada, sobre cada tópico. Os tópicos do exame
não tentam esclarecer todos os cantos ou recantos ou listar todos os comandos e parâmetros; no entanto,
este livro serve como uma ótima ferramenta, pois atua como uma interpretação muito mais detalhada dos
tópicos do exame. Examinamos todos os tópicos do exame e, se acharmos que um conceito ou comando
está possivelmente dentro de um tópico do exame, o colocamos no livro. Assim, os tópicos do exame nos
dão uma orientação geral, e esses livros nos dão uma orientação muito mais detalhada.
O terceiro item da lista usa uma redação literal que é mais ou menos assim: “No entanto, outros tópicos
relacionados também podem aparecer em qualquer entrega específica do exame”. Essa afirmação pode
ser um pouco chocante para os participantes do teste, mas o que isso realmente significa? Descompactando
a declaração, ela diz que tais questões podem aparecer em qualquer exame, mas não; em outras palavras,
eles não começam a fazer perguntas a todos os examinandos que incluem conceitos não mencionados nos
tópicos do exame. Em segundo lugar, a frase “…outros tópicos relacionados …” enfatiza que tais questões
estariam relacionadas a algum tópico do exame, em vez de serem muito distantes – um fato que nos ajuda
na forma como respondemos a essa política específica do programa.
Por exemplo, o exame CCNA 200-301 inclui a configuração e verificação do protocolo de roteamento
OSPF, mas não menciona o protocolo de roteamento EIGRP. Eu pessoalmente não ficaria surpreso ao
ver uma questão OSPF que exigisse um termo ou fato não especificamente mencionado nos tópicos do
exame, mas não um recurso que (na minha opinião) se aventure longe dos recursos do OSPF nos tópicos
do exame. Além disso, não esperaria ver uma pergunta sobre como configurar e verificar o EIGRP.
E apenas como um ponto final, observe que a Cisco ocasionalmente faz algumas perguntas não pontuadas
a um participante do teste, e essas podem parecer estar nessa linha de perguntas de tópicos externos.
Quando você se senta para fazer o exame, as letras pequenas mencionam que você pode ver perguntas
não pontuadas e não saberá quais delas não foram pontuadas. (Essas perguntas dão à Cisco uma maneira
de testar possíveis novas perguntas.) No entanto, algumas delas podem ser aquelas que se enquadram na
categoria “outros tópicos relacionados”, mas não afetam sua pontuação.
xxxiii
Você deve se preparar um pouco diferente para qualquer exame da Cisco, em comparação com,
digamos, um exame na escola, à luz da política de “outras perguntas relacionadas” da Cisco:
ÿ Não aborde um tópico de exame com um “Vou aprender os conceitos básicos e ignorar os
bordas” abordagem.
ÿ Em vez disso, aborde cada tópico do exame com uma abordagem "pegue todos os pontos que puder"
dominar cada tópico do exame, tanto em amplitude quanto em profundidade.
ÿ Vá além de cada tópico do exame ao praticar configuração e verificação, fazendo

um pouco de tempo extra para procurar comandos show adicionais e opções de configuração,
e certifique-se de entender o máximo possível da saída do comando show .
Ao dominar os tópicos conhecidos e procurar lugares para ir um pouco mais fundo, esperamos que
você obtenha o máximo de pontos possível nas perguntas sobre os tópicos do exame. Então, a prática
extra que você faz com os comandos pode ajudá-lo a aprender além dos tópicos do exame de uma
maneira que também pode ajudá-lo a aprender outros pontos.
Conteúdo do exame CCNA 200-301, por este livro

Quando criamos o conteúdo do Official Cert Guide para o exame CCNA 200-301, consideramos
algumas opções de como empacotar o conteúdo e lançamos um conjunto de dois livros. A Figura I-3
mostra a configuração do conteúdo, com aproximadamente 60% do conteúdo no Volume 1 e o restante no
Volume 2.
Fundamentos
LANs Ethernet
Segurança
Roteamento IPv4
Serviços IP
Roteamento IPv6
Automação
LAN sem fio
Arquitetura
Vol. 1 - 60% Vol. 2 - 40%

Figura I-3 Dois Livros para CCNA 200-301
Os dois livros juntos cobrem todos os tópicos do exame CCNA 200-301. Cada capítulo em cada livro
desenvolve os conceitos e comandos relacionados a um tópico do exame, com explicações claras e
detalhadas, figuras frequentes e muitos exemplos que ajudam a entender como as redes Cisco
funcionam.
Quanto à escolha de qual conteúdo colocar nos livros, observe que começamos e terminamos com os
tópicos do exame da Cisco, mas com o objetivo de prever o maior número possível de “outros tópicos
relacionados”. Começamos com a lista de tópicos do exame e aplicamos uma boa quantidade de
experiência, discussão e outros molhos secretos para chegar a uma interpretação de quais conceitos e
comandos específicos são dignos de estar nos livros ou não. Ao final do processo de redação, os livros
devem cobrir todos os tópicos do exame publicados, com profundidade e amplitude adicionais que eu
escolho com base na análise do exame. Como fizemos desde a primeira edição do CCNA Official Cert
Guide, pretendemos cobrir cada tópico em profundidade. Mas, como seria de esperar, não podemos
prever todos os fatos do exame, dada a natureza das políticas do exame, mas fazemos o possível para
cobrir todos os tópicos conhecidos.
xxxiv Guia Oficial de Certificação CCNA 200-301, Volume 2
Recursos do livro
Este livro inclui muitos recursos de estudo além das principais explicações e exemplos em cada capítulo. Esta seção
funciona como uma referência aos vários recursos do livro.
Recursos do capítulo e como usar cada capítulo

Cada capítulo deste livro é um pequeno curso independente sobre uma pequena área de tópico, organizado para
leitura e estudo, da seguinte forma:
“Eu já sei disso?” questionários: Cada capítulo começa com um questionário pré-capítulo.
Tópicos Fundamentais: Este é o título da seção de conteúdo central do capítulo.
Revisão do Capítulo: Esta seção inclui uma lista de tarefas de estudo úteis para ajudá-lo a lembrar conceitos,
conectar ideias e praticar o conteúdo baseado em habilidades do capítulo.
A Figura I-4 mostra como cada capítulo usa esses três elementos-chave. Você começa com o questionário DIKTA.
Você pode usar a pontuação para determinar se já sabe muito, ou não tanto, e determinar como abordar a leitura dos
Tópicos Fundamentais (ou seja, o conteúdo de tecnologia do capítulo). Quando terminar, use as tarefas de Revisão do
Capítulo para começar a trabalhar no domínio de sua memória dos fatos e habilidades com configuração, verificação e
solução de problemas.
Teste DIKTA Tópicos Fundamentais Revisão do Capítulo
Pontuação máxima
(Skim) Tópicos da Fundação 1) No Capítulo, ou...
Faça o teste
Baixa pontuação
(Ler) Tópicos Fundamentais 2) Site Complementar
Figura I-4 Três Tarefas Primárias para uma Primeira Passagem em Cada Capítulo
Além desses três recursos principais do capítulo, cada seção “Revisão do capítulo” usa vários outros recursos do livro,
incluindo o seguinte:
ÿ Revisar os principais tópicos: dentro da seção "Tópicos básicos", o ícone do tópico principal
aparece ao lado dos itens mais importantes, para posterior revisão e domínio. Embora todo o conteúdo seja
importante, alguns são, obviamente, mais importantes para aprender ou precisam
mais revisão para dominar, para que esses itens sejam observados como tópicos principais. A Revisão do Capítulo
lista os principais tópicos em uma tabela. Digitalize o capítulo em busca desses itens para revisá-los. Ou
revise os principais tópicos interativamente usando o site complementar.
ÿ Tabelas completas da memória: em vez de apenas reler uma importante tabela de

informações, você descobrirá que algumas tabelas foram transformadas em tabelas de memória, uma
exercício interativo encontrado no site do companheiro. As tabelas de memória repetem a tabela
mas com partes da mesa removidas. Você pode então preencher a tabela para exercer sua
memória e clique para verificar seu trabalho.
ÿ Termos-chave que você deve conhecer: você não precisa ser capaz de escrever uma definição formal de todos os
termos do zero; no entanto, você precisa entender bem cada termo
suficiente para entender as perguntas e respostas do exame. A Revisão do Capítulo lista os principais
terminologia do capítulo. Certifique-se de ter uma boa compreensão de cada
termo e use o Glossário para verificar suas próprias definições mentais. Você também pode
revise os principais termos com o aplicativo “Key Terms Flashcards” no site complementar.
xxxv
ÿ Labs: muitos tópicos do exame usam verbos como configurar e verificar; tudo isso se refere
às habilidades que você deve praticar na interface do usuário (CLI) de um roteador ou switch. O
As revisões de capítulos e partes referem-se a essas outras ferramentas. A próxima seção intitulada
“Sobre o desenvolvimento de habilidades práticas” discute suas opções.
ÿ Referências de comandos: alguns capítulos de livros cobrem um grande número de roteadores e

comandos de troca. A Revisão do Capítulo inclui tabelas de referência para os comandos
usado nesse capítulo, juntamente com uma explicação. Use estas tabelas para referência, mas
também usá-los para estudar. Basta cobrir uma coluna da tabela e ver o quanto você
pode lembrar e completar mentalmente.
ÿ Revise as perguntas do DIKTA: embora você já tenha visto as perguntas do DIKTA

dos capítulos, responder a essas perguntas pode ser uma maneira útil de revisar
fatos. A Revisão da Parte sugere que você repita as perguntas do DIKTA, mas usando o
Exame Pearson Test Prep (PTP).
Recursos da peça e como usar a revisão da peça
O livro organiza os capítulos em partes com o objetivo de ajudá-lo a estudar para o exame. Cada parte
agrupa um pequeno número de capítulos relacionados. Em seguida, o processo de estudo (descrito logo
antes do Capítulo 1) sugere que você faça uma pausa após cada parte para fazer uma revisão de todos os
capítulos da parte. A Figura I-5 lista os títulos das oito partes e os capítulos dessas partes (por número de
capítulo) deste livro.
5 Automação de Rede (16-19)
4 Arquitetura de rede (13-15)
3 Serviços IP (9-12)
1 Acesso IP 2 Segurança
Listas de Controle (1-3) Serviços (4-8)
Figura I-5 As Partes do Livro (por Título) e Números de Capítulos em Cada Parte
A Revisão de Peças que encerra cada parte atua como uma ferramenta para ajudá-lo com as sessões de
revisão espaçadas. Revisões espaçadas – ou seja, revisar o conteúdo várias vezes ao longo de seu estudo
– ajudam a melhorar a retenção. As atividades de Revisão de Partes incluem muitos dos mesmos tipos de
atividades vistos na Revisão de Capítulos. Evite pular a Revisão da Parte e reserve um tempo para fazer a
revisão; ele irá ajudá-lo a longo prazo.
O site complementar para revisão de conteúdo online

Criamos uma versão eletrônica de cada tarefa de Revisão de Capítulos e Partes que poderia ser aprimorada
por meio de uma versão interativa da ferramenta. Por exemplo, você pode pegar um “Eu já sei disso?” quiz
lendo as páginas do livro, mas você também pode usar nosso software de teste. Como outro exemplo,
quando você deseja revisar os principais tópicos de um capítulo, também pode encontrar todos eles em
formato eletrônico.
xxxvi Guia Oficial de Certificação CCNA 200-301, Volume 2
Todos os elementos de revisão eletrônica, bem como outros componentes eletrônicos do livro, existem no site que acompanha este
livro. O site complementar oferece uma grande vantagem: você pode fazer a maior parte do seu trabalho de Capítulo e Revisão de
Partes de qualquer lugar usando as ferramentas interativas do site. As vantagens incluem
ÿ Mais fácil de usar: Em vez de ter que imprimir cópias dos apêndices e fazer o
trabalhar no papel, você pode usar esses novos aplicativos, que fornecem uma ferramenta fácil de usar,
experiência interativa que você pode facilmente repetir várias vezes.
ÿ Conveniente: quando você tiver 5 a 10 minutos livres, acesse o site do livro e
revise o conteúdo de um de seus capítulos recém-concluídos.
ÿ Livre do livro: você pode acessar suas atividades de revisão de qualquer lugar—
não há necessidade de ter o livro com você.
ÿ Bom para aprendizes táteis: às vezes, olhando para uma página estática depois de ler um capítulo
deixa sua mente vagar. Os aprendizes táteis podem se sair melhor, pelo menos, digitando respostas
em um aplicativo ou clicando dentro de um aplicativo para navegar, para ajudar a manter o foco no
atividade.
Os elementos interativos de Revisão do Capítulo também devem melhorar suas chances de aprovação. Nossas pesquisas
aprofundadas com leitores ao longo dos anos mostram que aqueles que fazem as revisões de capítulos e partes aprendem mais.
Aqueles que usam as versões interativas dos elementos de revisão também tendem a fazer mais trabalho de revisão de capítulos
e partes. Então aproveite as ferramentas e talvez você tenha mais sucesso também. A Tabela I-1 resume esses aplicativos
interativos e os recursos tradicionais de livros que abrangem o mesmo conteúdo.
Tabela I-1 Recursos do livro com opções tradicionais e de aplicativos
Funcionalidade Tradicional Aplicativo
Tópico-chave Tabela com lista; virar as páginas para encontrar Aplicativo de tabela de tópicos principais
Lista de verificação de configuração Apenas um dos muitos tipos de tópicos principais Aplicativo de lista de verificação de configuração
Termos chave Listado em cada seção “Revisão do Capítulo”, com o Aplicativo de Flash Cards do Glossário
Glossário na parte de trás do livro
O site complementar também inclui links para download, navegação ou transmissão para esses tipos de conteúdo:
ÿ Aplicativo de desktop Pearson Sim Lite
ÿ Aplicativo de desktop Pearson Test Prep (PTP)
ÿ Aplicativo Web Pearson Test Prep (PTP)
ÿ Vídeos conforme mencionado nos capítulos de livros

xxxvii
Como acessar o site do companheiro

Para acessar o site complementar, que lhe dá acesso ao conteúdo eletrônico deste livro, comece
estabelecendo um login em www.ciscopress.com e registre seu livro. Para isso, basta acessar
www.ciscopress.com/register e digitar o ISBN do livro impresso: 9781587147135. Após registrar seu livro,
vá para a página da sua conta e clique na aba Produtos Registrados . A partir daí, clique no link Access
Bonus Content para obter acesso ao site complementar do livro.
Observe que se você comprar o eBook Premium Edition e a versão Practice Test deste livro da Cisco
Press, seu livro será registrado automaticamente na página da sua conta.
Basta ir à página da sua conta, clicar na guia Produtos registrados e selecionar Acessar conteúdo
bônus para acessar o site complementar do livro.
Como acessar o aplicativo Pearson Test Prep (PTP)

Você tem duas opções para instalar e usar o aplicativo Pearson Test Prep: um aplicativo da Web e um
aplicativo de desktop.
Para usar o aplicativo Pearson Test Prep, comece encontrando o código de registro que acompanha
o livro. Você pode encontrar o código das seguintes maneiras:
ÿ Imprimir livro: procure um pedaço de papel na capa de papelão na parte de trás do livro
com o código PTP exclusivo do seu livro.
ÿ Premium Edition: se você comprar o eBook Premium Edition e o teste prático

diretamente do site da Cisco Press, o código será preenchido em sua conta
página após a compra. Basta fazer login em www.ciscopress.com, clicar em conta para ver detalhes de
sua conta e clique na guia de compras digitais .
ÿ Amazon Kindle: Para quem compra uma edição Kindle da Amazon, o acesso
código será fornecido diretamente da Amazon.
ÿ E-books de outras livrarias: Observe que, se você comprar uma versão de e-book de qualquer
outra fonte, o teste prático não está incluído porque outros fornecedores até o momento não
escolhido para vender o código de acesso exclusivo necessário.
NOTA Não perca o código de ativação, pois é o único meio pelo qual você pode acessar o conteúdo de
controle de qualidade com o livro.
Depois de ter o código de acesso, para encontrar instruções sobre o aplicativo Web PTP e o aplicativo
para desktop, siga estas etapas:
Etapa 1. Abra o site complementar deste livro, conforme mostrado anteriormente neste
Introdução sob o título “Como acessar o site do Companion”.
Etapa 2. Clique no botão Exames práticos .
Etapa 3. Siga as instruções listadas para instalar o aplicativo de desktop e para usar o aplicativo da web.
xxxviii Guia Oficial de Certificação CCNA 200-301, Volume 2
Observe que se você quiser usar o aplicativo da web apenas neste momento, basta navegar
até www.pearsontestprep.com, estabelecer um login gratuito se ainda não tiver um e registrar os testes
práticos deste livro usando o código de registro que você acabou de encontrar. O processo deve levar apenas
alguns minutos.
NOTA Clientes de e-book da Amazon (Kindle): É fácil perder o e-mail da Amazon que lista seu código de
acesso PTP. Logo após a compra do e-book Kindle, a Amazon deve enviar um e-mail. No entanto, o e-mail usa
um texto muito genérico e não faz menção específica ao PTP ou aos exames práticos. Para encontrar seu código,
leia todos os e-mails da Amazon depois de comprar o livro. Além disso, faça as verificações usuais (como verificar
sua pasta de spam) para garantir que seu e-mail chegue.
NOTA Outros clientes de e-books: No momento da publicação, apenas a editora e a Amazon fornecem
códigos de acesso PTP quando você compra suas edições de e-book deste livro.
Referência do recurso
A lista a seguir fornece uma referência fácil para obter a ideia básica por trás de cada recurso do livro:
ÿ Exame prático: o livro dá a você os direitos para o teste Pearson Test Prep (PTP)
software, disponível como um aplicativo da web e um aplicativo de desktop. Use o código de acesso em uma peça
de papelão na capa na parte de trás do livro e use o site complementar para
baixe o aplicativo de desktop ou navegue até o aplicativo da web (ou vá para
www.pearsontestprep.com).
ÿ E-book: a Pearson oferece uma versão em e-book deste livro que inclui prática extra
testes. Se estiver interessado, procure a oferta especial em um cartão de cupom inserido na manga
na parte de trás do livro. Esta oferta permite que você compre o CCNA 200-301
Guia Oficial de Certificação, Volume 2, eBook Premium Edition e Teste Prático a 70
percentual de desconto sobre o preço de tabela. O produto inclui três versões do e-book:
PDF (para ler em seu computador), EPUB (para ler em seu tablet, celular
dispositivo, ou Nook ou outro e-reader) e Mobi (a versão nativa do Kindle). Isso também
inclui perguntas de teste de prática adicionais e recursos de teste de prática aprimorados.
ÿ Vídeos de orientação: o site complementar também inclui vários vídeos sobre

outros tópicos mencionados em capítulos individuais.
ÿ CCNA 200-301 Network Simulator Lite: Esta versão lite do CCNA mais vendido
O Network Simulator da Pearson fornece a você um meio, agora mesmo, de experimentar a interface
de linha de comando (CLI) da Cisco. Não há necessidade de comprar equipamentos reais ou comprar um
simulador completo para começar a aprender a CLI. Basta instalá-lo a partir do site complementar.
ÿ CCNA Simulator: Se você estiver procurando por mais prática prática, talvez queira
considere comprar o CCNA Network Simulator. Você pode adquirir uma cópia deste
software da Pearson em http://pearsonitcertification.com/networksimulator ou outro
xxxix
pontos de venda. Para ajudá-lo em seus estudos, a Pearson criou um guia de mapeamento que mapeia
cada um dos laboratórios do simulador para as seções específicas de cada volume do Guia do CCNA Cert.
Você pode obter este guia de mapeamento gratuitamente na guia Extras na página do produto do livro:
www.ciscopress.com/title/9781587147135.
ÿ PearsonITCertification.com: O site www.pearsonitcertification.com é um ótimo recurso para todas as

coisas relacionadas à certificação de TI. Confira os excelentes artigos, vídeos, blogs e outras ferramentas
de preparação para certificação do CCNA dos melhores autores e instrutores do setor.
ÿ Site e blogs do autor: o autor mantém um site que hospeda ferramentas e links úteis ao estudar para o
CCNA. Em particular, o site tem um grande número de exercícios de laboratório gratuitos sobre o conteúdo
do CCNA, exemplos de perguntas adicionais e outros exercícios.
Além disso, o site indexa todo o conteúdo para que você possa estudar com base nos capítulos e partes
do livro. Para encontrá-lo, navegue até https://blog.certskills.com.
Organização do livro, capítulos e apêndices O CCNA 200-301 Official Cert
Guide, Volume 1, contém 29 capítulos, enquanto este livro possui 19 capítulos principais. Cada capítulo
abrange um subconjunto dos tópicos do exame CCNA. O livro organiza seus capítulos em partes de três a
cinco capítulos da seguinte forma:
ÿ Parte I: Listas de controle de acesso IP
ÿ O Capítulo 1, “Introdução ao transporte e aplicativos TCP/IP”, completa a maior parte da discussão

detalhada das duas camadas superiores do modelo TCP/IP (transporte e aplicativo), concentrando-se
no TCP e nos aplicativos. ÿ O Capítulo 2, “Listas básicas de controle de acesso IPv4”, examina
como as ACLs de IP padrão podem filtrar pacotes com base no endereço IP de origem para que um roteador
não encaminhe o pacote.
ÿ O Capítulo 3, “Listas de controle de acesso IPv4 avançado”, examina as ACLs nomeadas e

numeradas e as ACLs IP padrão e estendidas.
ÿ Parte II: Serviços de Segurança
ÿ O Capítulo 4, “Arquiteturas de segurança”, discute uma ampla variedade de conceitos fundamentais

em segurança de rede.
ÿ O Capítulo 5, “Protegendo dispositivos de rede”, mostra como usar a CLI do roteador e do switch e
apresenta os conceitos por trás de firewalls e sistemas de prevenção de intrusão (IPSs).
ÿ O Capítulo 6, “Implementando a segurança da porta do switch”, explica os conceitos e também

como configurar e verificar a segurança da porta do switch, um recurso do switch que faz o
monitoramento básico baseado em MAC dos dispositivos que enviam dados para um switch.
ÿ O Capítulo 7, “Implementação do DHCP”, discute como os hosts podem ser configurados com suas
configurações de IPv4 e como eles podem aprender essas configurações com o DHCP.
ÿ O Capítulo 8, “Inspeção de DHCP e Inspeção ARP”, mostra como implementar dois recursos de
segurança de switch relacionados, com um focado na reação a mensagens DHCP suspeitas e o outro
na reação a mensagens ARP suspeitas.
xl Guia Oficial de Certificação CCNA 200-301, Volume 2
ÿ Parte III: Serviços IP
ÿ O Capítulo 9, “Protocolos de gerenciamento de dispositivos”, discute os conceitos e a

configuração de algumas ferramentas comuns de gerenciamento de rede: syslog, NTP, CDP e
LLDP. ÿ O Capítulo 10, “Tradução de endereço de rede”, trabalha com o conceito completo,
configuração, verificação e sequência de solução de problemas para o recurso NAT do roteador,
incluindo como ele ajuda a conservar endereços IPv4 públicos. ÿ O Capítulo 11, “Qualidade de
serviço (QoS)”, discute uma ampla variedade de conceitos, todos relacionados ao amplo tópico de QoS.
ÿ O Capítulo 12, “Serviços IP diversos”, discute vários tópicos para os quais o exame requer
conhecimento conceitual, mas nenhum conhecimento de configuração, incluindo FHRPs (incluindo
HSRP), SNMP, TFTP e FTP.
ÿ Parte IV: Arquitetura de Rede
ÿ O Capítulo 13, “Arquitetura de LAN”, examina várias maneiras de projetar LANs Ethernet, discutindo
os prós e contras e explica a terminologia de projeto comum, incluindo Power over Ethernet (PoE).
ÿ O Capítulo 14, "Arquitetura de WAN", discute os conceitos por trás de três alterações de WAN
nativos: Metro Ethernet, VPNs MPLS e VPNs de Internet.
ÿ O Capítulo 15, “Arquitetura em nuvem”, explica os conceitos básicos e, em seguida, discute o

impacto que a computação em nuvem tem em uma rede corporativa típica, incluindo os conceitos
fundamentais de virtualização de servidor.
ÿ Parte V: Automação de Rede
ÿ O Capítulo 16, “Introdução à rede baseada em controlador”, discute muitos conceitos e termos
relacionados a como a rede definida por software (SDN) e a programação de rede estão
impactando as redes corporativas típicas.
ÿ O Capítulo 17, “Acesso definido por software Cisco (SDA)”, discute a oferta de rede definida por
software (SDN) da Cisco para a empresa, incluindo o controlador DNA Center.
ÿ O Capítulo 18, “Compreendendo REST e JSON”, explica os conceitos fundamentais de APIs REST,
estruturas de dados e como o JSON pode ser útil para trocar dados usando APIs.
ÿ O Capítulo 19, “Noções básicas sobre Ansible, Puppet e Chef”, discute a necessidade de
software de gerenciamento de configuração e apresenta os conceitos básicos de cada uma dessas
três ferramentas de gerenciamento de configuração.
ÿ Parte VI: Revisão Final
ÿ O Capítulo 20, "Revisão Final", sugere um plano para a preparação final depois que você
terminou as partes principais do livro, em particular explicando as muitas opções de estudo
disponíveis no livro.
ÿ Parte VII: Apêndices
ÿ O Apêndice A, "Tabelas de referência numérica", lista várias tabelas de informações numéricas,

incluindo uma tabela de conversão de binário para decimal e uma lista de potências de 2.
xli
ÿ Apêndice B, "Atualizações do exame CCNA 200-301 Volume 2", é um local para o autor
para adicionar o conteúdo do livro na edição intermediária. Sempre verifique on-line a versão em PDF mais recente do
este apêndice; o apêndice lista as instruções de download.
ÿ Apêndice C, “Respostas à pergunta 'Já sei disso?' Questionários”, inclui o

explicações para todos os questionários “Eu já sei disso”.
ÿ O Glossário contém definições para muitos dos termos usados no livro, incluindo
os termos listados nas seções “Termos-chave que você deve conhecer” na conclusão do
os capítulos.
ÿ Apêndices on-line
ÿ Apêndice D, “Tópicos de edições anteriores

ÿ Apêndice E, "Prática para o Capítulo 2: Listas básicas de controle de acesso IPv4"
ÿ Apêndice F, "Edição anterior ICND1 Capítulo 35: Gerenciando arquivos IOS"
ÿ O Apêndice G, "Referência cruzada dos tópicos do exame", fornece algumas tabelas para ajudá-lo
Encontre onde cada objetivo do exame é abordado no livro.
ÿ Apêndice H, "Planejador de Estudos", é uma planilha com os principais marcos do estudo, onde
você pode acompanhar seu progresso através de seu estudo.
Sobre como desenvolver habilidades práticas

Você precisa de habilidades no uso de roteadores e switches Cisco, especificamente a interface de linha de
comando (CLI) da Cisco. A Cisco CLI é uma interface de usuário de comando e resposta baseada em texto: você
digita um comando e o dispositivo (um roteador ou switch) exibe mensagens em resposta. Para responder a
perguntas de sim e simlet nos exames, você precisa conhecer muitos comandos e ser capaz de navegar até o
lugar certo na CLI para usar esses comandos.
Esta próxima seção percorre as opções do que está incluído no livro, com uma breve descrição das opções de
laboratório fora do livro.
Exercícios do laboratório de configuração
Alguns recursos de roteador e switch exigem vários comandos de configuração. Parte da habilidade que você
precisa aprender é lembrar quais comandos de configuração funcionam juntos, quais são necessários e quais
são opcionais. Portanto, o nível de desafio vai além de apenas escolher os parâmetros certos em um comando.
Você precisa escolher quais comandos usar, em qual combinação, normalmente em vários dispositivos. E ficar
bom nesse tipo de tarefa requer prática.
Cada Config Lab lista detalhes sobre um exercício de laboratório simples para o qual você deve criar um pequeno
conjunto de comandos de configuração para alguns dispositivos. Cada laboratório apresenta uma topologia de
laboratório de amostra, com alguns requisitos, e você precisa decidir o que configurar em cada dispositivo. A
resposta mostra uma configuração de exemplo. Seu trabalho é criar a configuração e, em seguida, verificar sua
resposta em relação à resposta fornecida.
O conteúdo do Config Lab reside fora do livro no site do blog do autor (https://
blog.certskills.com). Você pode navegar para o Config Lab de várias maneiras no site ou simplesmente
acessar https://blog.certskills.com/category/hands-on/
config-lab/ para acessar uma lista de todos os Config Labs. A Figura I-6 mostra o logotipo que você verá em cada
Config Lab.
xlii CCNA 200-301 Guia Oficial de Certificação, Volume 2
Figura I-6 Logotipo do Config Lab nos blogs do autor
Esses Config Labs têm vários benefícios, incluindo o seguinte:
Livre e responsivo: faça-os de qualquer lugar, de qualquer navegador da Web, do seu telefone ou tablet,
sem restrições do livro.
Projetado para momentos ociosos: cada laboratório é projetado como um exercício de 5 a 10 minutos, se
tudo o que você está fazendo é digitar em um editor de texto ou escrever sua resposta em papel.
Dois resultados, ambos bons: Pratique ficar melhor e mais rápido com a configuração básica ou, se você se
perder, descobriu um tópico que agora pode voltar e reler para completar seu conhecimento. De qualquer forma,
você está um passo mais perto de estar pronto para o exame!
Formato do blog: O formato permite adições e alterações fáceis por mim e comentários fáceis por você.
Autoavaliação: como parte da revisão final, você deve ser capaz de fazer todos os Config Labs, sem ajuda e
com confiança.
Observe que o blog organiza essas postagens do Config Lab por capítulo de livro, para que você possa usá-las
facilmente na Revisão do capítulo e na Revisão da parte.
Um início rápido com o Pearson Network Simulator Lite

A decisão de como obter habilidades práticas pode ser um pouco assustadora no começo. A boa notícia: você
tem um primeiro passo simples e gratuito para experimentar a CLI: instale e use o Pearson Network Simulator
Lite (ou NetSim Lite) que acompanha este livro.
Este livro vem com uma versão lite do best-seller CCNA Network Simulator da Pearson, que fornece um meio,
agora mesmo, de experimentar o Cisco CLI. Não há necessidade de comprar equipamentos reais ou comprar um
simulador completo para começar a aprender o CLI. Basta instalá-lo a partir do site complementar.
O software CCNA 200-301 Network Simulator Lite Volume 2 contém 13 laboratórios que cobrem tópicos de ACL
da Parte I do livro. Portanto, certifique-se de usar o NetSim Lite para aprender o básico da CLI para ter um bom
começo.
Claro, uma razão pela qual você obtém acesso ao NetSim Lite é que o editor espera que você compre o produto
completo. No entanto, mesmo que você não use o produto completo, você ainda pode aprender com os laboratórios
que vêm com o NetSim Lite enquanto decide quais opções seguir.
xliii
O simulador de rede Pearson

O Config Labs e o Pearson Network Simulator Lite atendem a necessidades específicas e ambos vêm com o
livro. No entanto, você precisa de mais do que essas duas ferramentas.
A melhor opção para trabalho de laboratório junto com este livro é a versão paga do Pearson Network Simulator.
Este produto simulador simula roteadores e switches Cisco para que você possa aprender para a certificação CCNA.
Mas, mais importante, ele se concentra no aprendizado para o exame, fornecendo um grande número de exercícios
de laboratório úteis. Pesquisas com leitores nos dizem que as pessoas que usam o Simulador junto com o livro
adoram o processo de aprendizado e elogiam como o livro e o Simulador funcionam bem juntos.
Claro, você precisa tomar uma decisão por si mesmo e considerar todas as opções.
Felizmente, você pode ter uma ótima ideia de como o produto Simulator completo funciona usando o produto
Pearson Network Simulator Lite incluído no livro. Ambos têm o mesmo código base, a mesma interface de usuário
e os mesmos tipos de laboratórios. Experimente a versão Lite para decidir se deseja comprar o produto completo.
Observe que o Simulador e os livros funcionam em um cronograma de lançamento diferente. Por um tempo em
2020, o Simulador será aquele criado para as versões anteriores dos exames (ICND1 100-101, ICND2 200-101 e
CCNA 200-120). Curiosamente, a Cisco não adicionou um grande número de novos tópicos que exigem habilidades
de CLI ao exame CCNA 200-301 em comparação com seu antecessor, de modo que o antigo Simulador abrange
a maioria dos tópicos CCNA 200-301 CLI. Portanto, durante o ínterim antes do lançamento dos produtos baseados
no exame 200-301, os produtos antigos do Simulator devem ser bastante úteis.
Em uma observação prática, quando você deseja fazer laboratórios ao ler um capítulo ou fazer uma Revisão
de Parte, o Simulador organiza os laboratórios para corresponder ao livro. Basta procurar a guia Classificar por
capítulo na interface do usuário do Simulador. No entanto, durante os meses de 2020 para os quais o Simulador
é a edição mais antiga que lista os exames mais antigos no título, você precisará consultar um PDF que lista esses
laboratórios em relação à organização deste livro. Você pode encontrar esse PDF na página do produto do livro na
guia Downloads aqui: www.ciscopress.com/
título/9781587147135.
Mais opções de laboratório

Se você decidir não usar o Pearson Network Simulator completo, ainda precisará de experiência prática. Você
deve planejar usar algum ambiente de laboratório para praticar o máximo de CLI possível.
Primeiro, você pode usar roteadores e switches Cisco reais. Você pode comprá-los, novos ou usados, ou
emprestá-los no trabalho. Você pode alugá-los por uma taxa. Se você tiver a combinação certa de equipamentos,
você pode até mesmo fazer os exercícios do Config Lab do meu blog sobre esse equipamento ou tentar recriar
exemplos do livro.
A Cisco também faz um simulador que funciona muito bem como ferramenta de aprendizado: o Cisco Packet Tracer.
A Cisco agora disponibiliza o Packet Tracer gratuitamente. No entanto, ao contrário do Pearson Network Simulator,
ele não inclui exercícios de laboratório que o orientam sobre como aprender cada tópico. Se estiver interessado em
mais informações sobre o Packet Tracer, confira minha série sobre o uso do Packet Tracer no meu blog (https://
blog.certskills.com); basta procurar por “Packet Tracer”.
xliv CCNA 200-301 Guia Oficial de Certificação, Volume 2
A Cisco oferece um produto de virtualização que permite executar imagens de sistema operacional (SO) de
roteador e switch em um ambiente virtual. Essa ferramenta, o Virtual Internet Routing Lab (VIRL), permite
criar uma topologia de laboratório, iniciar a topologia e conectar-se a um roteador real e a imagens do sistema
operacional do switch. Confira http://virl.cisco.com para obter mais informações.
Você pode até alugar um roteador Cisco virtual e pods de laboratório de switch da Cisco, em
uma oferta chamada Cisco Learning Labs (https://learningnetworkstore.cisco.com/cisco-learning-labs).
Este livro não lhe diz qual opção usar, mas você deve planejar obter alguma prática prática de alguma
forma. O importante a saber é que a maioria das pessoas precisa praticar o uso da Cisco CLI para estar
pronta para passar nesses exames.
Para maiores informações
Se você tiver algum comentário sobre o livro, envie-o via www.ciscopress.com. Basta acessar o site,
selecionar Fale Conosco e digitar sua mensagem.
A Cisco pode fazer alterações que afetam a certificação CCNA de tempos em tempos. Você deve sempre
verificar www.cisco.com/go/ccna para obter os detalhes mais recentes.
O CCNA 200-301 Official Cert Guide, Volume 2, ajuda você a obter a certificação CCNA. Este é o livro
de certificação CCNA da única editora autorizada pela Cisco. Nós da Cisco Press acreditamos que este livro
certamente pode ajudá-lo a obter a certificação CCNA, mas o verdadeiro trabalho depende de você! Eu
confio que seu tempo será bem gasto.
Créditos de figuras
Figura 7-9, captura de tela dos detalhes da conexão de rede © Microsoft, 2019
Figura 7-10, capturas de tela reimpressas com permissão da Apple, Inc.
Figura 7-11, captura de tela do Linux © The Linux Foundation
Figura 12-16, captura de tela do CS Blogfigs 2018 © FileZila
Figura 13-9, tomada elétrica © Mike McDonald/Shutterstock
Figura 15-10, captura de tela de Configurar VM com CPU/RAM/SO diferente © 2019, Amazon Web
Serviços, Inc.
Figura 16-13, ilustração do ícone do homem © AlexHliv/Shutterstock
Figura 18-9, captura de tela da solicitação REST GET © 2019 Postman, Inc.
Figura 20-1, captura de tela da classificação PTP © 2019 Pearson Education
Figura 20-2, captura de tela da classificação PTP © 2019 Pearson Education
Figura D-1, conjunto de fitas © petrnutil/123RF

O CCNA Official Cert Guide, Volume 2, inclui os tópicos que ajudam você a construir uma rede corporativa
para que todos os dispositivos possam se comunicar com todos os outros dispositivos. As partes I e II deste
livro concentram-se em como proteger essa rede corporativa para que apenas os dispositivos e usuários
apropriados possam se comunicar.
A Parte I se concentra nas listas de controle de acesso (ACLs) do IP Versão 4 (IPv4). ACLs são filtros de
pacotes IPv4 que podem ser programados para examinar cabeçalhos de pacotes IPv4, fazer escolhas e
permitir a passagem de um pacote ou descartar o pacote. Como você pode implementar ACLs IPv4 em
qualquer roteador, um engenheiro de rede tem um grande número de opções de onde usar ACLs, sem
adicionar hardware ou software adicional, tornando as ACLs uma ferramenta muito flexível e útil.
O Capítulo 1 começa esta parte com uma introdução aos protocolos TCP/IP da camada de transporte TCP e
UDP, juntamente com uma introdução a vários aplicativos TCP/IP. Este capítulo fornece a base necessária
para entender os capítulos de ACL e prepará-lo melhor para as próximas discussões de tópicos de segurança
adicionais na Parte II e tópicos de serviços IP na Parte III.
Os Capítulos 2 e 3 apresentam detalhes sobre as ACLs. O Capítulo 2 discute os fundamentos da ACL,

evitando alguns detalhes para garantir que você domine vários conceitos-chave. O Capítulo 3, em seguida,
examina a gama muito mais ampla de recursos de ACL para deixá-lo pronto para aproveitar o poder das ACLs
e para gerenciar melhor essas ACLs.
Parte I
Listas de controle de acesso IP
Capítulo 1: Introdução ao transporte e aplicativos TCP/IP
Capítulo 2: Listas básicas de controle de acesso IPv4
Capítulo 3: Listas de controle de acesso IPv4 avançado
Revisão da Parte I
CAPÍTULO 1
Introdução ao transporte e
aplicativos TCP/IP
Este capítulo abrange os seguintes tópicos do exame:
1.0 Fundamentos de Rede
1.5 Comparar TCP com UDP
4.0 Serviços IP
4.3 Explicar o papel do DHCP e DNS na rede
O exame CCNA concentra-se principalmente nas funções nas camadas inferiores do TCP/IP, que
definem como as redes IP podem enviar pacotes IP de host para host usando LANs e WANs. Este
capítulo explica o básico de alguns tópicos que recebem menos atenção nos exames: a camada de
transporte TCP/IP e a camada de aplicação TCP/IP. As funções dessas camadas superiores
desempenham um grande papel nas redes TCP/IP reais. Além disso, muitos dos tópicos de segurança
nas Partes I e II deste livro, e alguns dos tópicos de serviços IP na Parte III, exigem que você conheça
os fundamentos de como as camadas de transporte e aplicação do TCP/IP funcionam. Este capítulo
serve como essa introdução.
Este capítulo começa examinando as funções de dois protocolos da camada de transporte:

Transmission Control Protocol (TCP) e User Datagram Protocol (UDP). A segunda seção principal do
capítulo examina a camada de aplicação TCP/IP, incluindo algumas discussões sobre como funciona a
resolução de nomes do Sistema de Nomes de Domínio (DNS).
“Eu já sei disso?” Questionário

Faça o teste (aqui ou use o software PTP) se quiser usar a pontuação para ajudá-lo a decidir quanto
tempo gastar neste capítulo. As respostas das letras estão listadas na parte inferior da página após o
questionário. O Apêndice C, encontrado tanto no final do livro quanto no site que o acompanha, inclui
as respostas e as explicações. Você também pode encontrar respostas e explicações no software de
teste PTP.
Tabela 1-1 “Eu já sei disso?” Mapeamento de seção a pergunta dos tópicos básicos
Seção de Tópicos Fundamentais Perguntas
Protocolos de Camada 4 TCP/IP: TCP e UDP 1–4
Aplicativos TCP/IP 5–6

1. Qual dos campos de cabeçalho a seguir identifica qual aplicativo TCP/IP obtém dados
recebido pelo computador? (Escolha duas respostas.) a.
Tipo Ethernet b. Tipo de protocolo SNAP c. Protocolo IP
d. Número da porta TCP

e. Número da porta UDP
2. Quais das seguintes são funções típicas do TCP? (Escolha quatro respostas.) a. Controle de
fluxo (janela) b. Recuperação de erros c. Multiplexação usando números de porta d.
Roteamento e. Criptografia
f. Transferência de dados ordenada
3. Qual das seguintes funções é executada tanto pelo TCP quanto pelo UDP?
uma. Janela b.
Recuperação de erros
c. Multiplexação usando números de porta
d. Roteamento e. Criptografia f. Transferência
de dados ordenada
4. Como você chama os dados que incluem o cabeçalho do protocolo da Camada 4 e os dados
fornecidos à Camada 4 pelas camadas superiores, sem incluir os cabeçalhos e trailers das
Camadas 1 a 3? (Escolha duas respostas.)
uma. L3PDU
b. Pedaço
c. Segmento
d. Pacote
e. Quadro, Armação
f. L4PDU
5. No URI http://blog.certskills.com/config-labs, qual parte identifica o servidor web?

uma.
httpb . blog.certskills.com
c. certskills. com
d. http://blog.certskills.com e. O
arquivo name.html inclui o nome do host.
6 Guia Oficial de Certificação CCNA 200-301, Volume 2
6. Fred abre um navegador da web e se conecta ao site www.certskills.com. Qual dos

o que se segue normalmente é verdade sobre o que acontece entre o navegador da Web de Fred e
o servidor web? (Escolha duas respostas.)
uma. As mensagens que fluem para o servidor usam a porta de destino UDP 80.
b. As mensagens que fluem do servidor normalmente usam RTP.
c. As mensagens que fluem para o cliente geralmente usam um número de porta TCP de origem de 80.
d. As mensagens que fluem para o servidor geralmente usam TCP.
Tópicos Fundamentais
Protocolos TCP/IP de Camada 4: TCP e UDP

A camada de transporte OSI (camada 4) define várias funções, sendo as mais importantes a recuperação de erros e o controle
de fluxo. Da mesma forma, os protocolos da camada de transporte TCP/IP também implementam esses mesmos tipos de
recursos. Observe que tanto o modelo OSI quanto o modelo TCP/IP chamam essa camada de camada de transporte. Mas,
como de costume, ao se referir ao modelo TCP/IP, o nome e o número da camada são baseados no OSI, portanto, quaisquer
protocolos da camada de transporte TCP/IP são considerados protocolos da Camada 4.
A principal diferença entre TCP e UDP é que o TCP fornece uma ampla variedade de serviços para aplicativos, enquanto o
UDP não. Por exemplo, os roteadores descartam pacotes por vários motivos, incluindo erros de bits, congestionamento e
instâncias em que nenhuma rota correta é conhecida.
Como você já leu, a maioria dos protocolos de enlace de dados detecta erros (um processo chamado detecção de
erros) , mas descarta os quadros com erros. O TCP fornece retransmissão (recuperação de erros) e ajuda a evitar
congestionamento (controle de fluxo), enquanto o UDP não. Como resultado, muitos protocolos de aplicativos optam por
usar o TCP.
No entanto, não deixe que a falta de serviços do UDP faça você pensar que o UDP é pior que o TCP. Ao fornecer menos
serviços, o UDP precisa de menos bytes em seu cabeçalho em comparação ao TCP, resultando em menos bytes de
sobrecarga na rede. O software UDP não retarda a transferência de dados nos casos em que o TCP pode desacelerar
propositalmente. Além disso, alguns aplicativos, notadamente hoje Voz sobre IP (VoIP) e vídeo sobre IP, não precisam de
recuperação de erros, então eles usam UDP. Assim, o UDP também ocupa hoje um lugar importante nas redes TCP/IP.
A Tabela 1-2 lista os principais recursos suportados pelo TCP/UDP. Observe que apenas o primeiro item listado na tabela é
compatível com UDP, enquanto todos os itens da tabela são compatíveis com TCP.
Tabela 1-2 Recursos da camada de transporte TCP/IP

Função Descrição
Multiplexação usando portas Função que permite aos hosts receptores escolher a aplicação correta para a qual os
dados são destinados, com base no número da porta
Recuperação de erros (confiabilidade) Processo de numeração e reconhecimento de dados com Sequência e

Campos de cabeçalho de reconhecimento
Controle de fluxo usando Processo que usa tamanhos de janela para proteger o espaço do buffer e os dispositivos
janelas de roteamento de serem sobrecarregados com tráfego
Capítulo 1: Introdução ao Transporte e Aplicativos TCP/IP 7
Função Descrição
Estabelecimento e encerramentoProcesso usado para inicializar números de porta e Sequência e 1
da conexão Campos de reconhecimento
Transferência de dados ordenada Fluxo contínuo de bytes de um processo da camada superior que é
e segmentação de dados “segmentado” para transmissão e entregue aos processos da camada
superior no dispositivo receptor, com os bytes na mesma ordem
Em seguida, esta seção descreve os recursos do TCP, seguido por uma breve comparação com o UDP.
protocolo de Controle de Transmissão

Cada aplicativo TCP/IP normalmente escolhe usar TCP ou UDP com base nos requisitos do aplicativo. Por
exemplo, o TCP fornece recuperação de erros, mas, para isso, consome mais largura de banda e usa mais
ciclos de processamento. O UDP não executa a recuperação de erros, mas consome menos largura de
banda e usa menos ciclos de processamento. Independentemente de qual desses dois protocolos da
camada de transporte TCP/IP o aplicativo escolher usar, você deve entender o básico de como cada um
desses protocolos da camada de transporte funciona.
O TCP, conforme definido em Request For Comments (RFC) 793, realiza as funções listadas na Tabela 1-2
por meio de mecanismos nos computadores terminais. O TCP depende do IP para entrega de dados de
ponta a ponta, incluindo problemas de roteamento. Em outras palavras, o TCP executa apenas parte das
funções necessárias para entregar os dados entre os aplicativos. Além disso, a função que desempenha é
direcionada ao fornecimento de serviços para os aplicativos que ficam nos computadores terminais.
Independentemente de dois computadores estarem na mesma Ethernet ou separados por toda a Internet,
o TCP desempenha suas funções da mesma maneira.
A Figura 1-1 mostra os campos no cabeçalho TCP. Embora você não precise memorizar os nomes dos
campos ou suas localizações, o restante desta seção se refere a vários dos campos, portanto, todo o
cabeçalho está incluído aqui para referência .
4 bytes
Porta de origem Porto de destino
Número sequencial
Número de confirmação
Desvio Reservado Bits de sinalização Janela
Soma de verificação Urgente
Figura 1-1 Campos do cabeçalho TCP
A mensagem criada pelo TCP que começa com o cabeçalho TCP, seguido por quaisquer dados da
aplicação, é chamada de segmento TCP. Alternativamente, o termo mais genérico Layer 4 PDU, ou L4PDU,
também pode ser usado.
Multiplexação usando números de porta TCP

TCP e UDP usam um conceito chamado multiplexação. Portanto, esta seção começa com uma explicação
de multiplexação com TCP e UDP. Depois, os recursos exclusivos do TCP são explorados.
A multiplexação por TCP e UDP envolve o processo de como um computador pensa ao receber dados. O
computador pode estar executando muitos aplicativos, como um navegador da Web, um pacote de e-mail
ou um aplicativo VoIP da Internet (por exemplo, Skype). A multiplexação TCP e UDP informa ao computador
receptor para qual aplicativo fornecer os dados recebidos.
Alguns exemplos ajudarão a tornar óbvia a necessidade de multiplexação. A rede de amostra consiste
em dois PCs, chamados Hannah e George. Hannah usa um aplicativo que ela escreveu para enviar anúncios
que aparecem na tela de George. O aplicativo envia um novo anúncio para George a cada 10 segundos.
Hannah usa um segundo aplicativo, um aplicativo de transferência eletrônica, para enviar algum dinheiro a
George. Finalmente, Hannah usa um navegador web para acessar o servidor web que roda no PC de George.
O aplicativo de anúncio e o aplicativo de transferência eletrônica são imaginários, apenas para este exemplo.
O aplicativo da web funciona exatamente como na vida real.
A Figura 1-2 mostra a rede de exemplo, com George executando três aplicativos:
ÿ Um aplicativo de anúncio baseado em UDP
ÿ Um aplicativo de transferência eletrônica baseado em TCP
ÿ Um aplicativo de servidor web TCP
Eu recebi três pacotes

Hannah da mesma fonte
Jorge
MAC e IP. Qual dos
Servidor web
meus aplicativos recebem o
Aplicativo de anúncio dados em cada um?
Aplicação de fio
Eth IP UDP Dados do anúncio Eth
Eth Dados de transferência de fio IP TCP Eth
Eth Dados da página da Web IP TCP Eth
Figura 1-2 Hannah enviando pacotes para George, com três aplicativos
George precisa saber para qual aplicativo fornecer os dados, mas todos os três pacotes são do mesmo
endereço Ethernet e IP. Você pode pensar que George poderia verificar se o pacote contém um cabeçalho
UDP ou TCP, mas como você vê na figura, dois aplicativos (transferência eletrônica e web) estão usando
TCP.
TCP e UDP resolvem esse problema usando um campo de número de porta no cabeçalho TCP ou UDP,
respectivamente. Cada um dos segmentos TCP e UDP de Hannah usa um número de porta de destino
diferente para que George saiba para qual aplicativo fornecer os dados. A Figura 1-3 mostra um exemplo.
A multiplexação depende de um conceito chamado soquete. Um soquete consiste em três coisas:
ÿ Um endereço IP
ÿ Um protocolo de transporte
ÿ Um número de porta
Respostas para a pergunta “Já sei disso?” questionário:

1 D, E 2 A, B, C, F 3 C 4 C, F 5 B 6 C, D
,·OOORRNLQWKH
Hannah Jorge
Porta de
Servidor Web Porta 80
destino UDP ou TCP para 1
Servidor de anúncios da porta 800
identificar o aplicativo!
Aplicação de fio da porta 9876
Eth IP UDP Dados do anúncio Eth
Porta de destino 800
Eth Dados de transferência de fio IP TCP Eth
Porta de destino 9876
Eth Dados da página da Web IP TCP Eth
Porta de destino 80
Figura 1-3 Hannah enviando pacotes para George, com três aplicativos usando porta
Números para Multiplex
Assim, para uma aplicação de servidor web em George, o soquete seria (10.1.1.2, TCP, porta 80) porque, por
padrão, os servidores web usam a conhecida porta 80. Quando o navegador web de Hannah se conecta ao servidor
web, Hannah usa um soquete também—possivelmente um como este: (10.1.1.1, TCP, 49160). Por que 49160? Bem,
Hannah só precisa de um número de porta exclusivo em Hannah, então Hannah vê essa porta 49160.
A Internet Assigned Numbers Authority (IANA), a mesma organização que gerencia a alocação de endereços IP em
todo o mundo, subdivide os intervalos de números de porta em três intervalos principais.
As duas primeiras faixas reservam números que a IANA pode alocar para protocolos de aplicativos específicos por
meio de um processo de solicitação e revisão, com a terceira categoria reservando portas para serem alocadas
dinamicamente conforme usadas para clientes, como no exemplo da porta 49160 no parágrafo anterior. Os nomes e
intervalos de números de porta (conforme detalhado na RFC 6335) são
ÿ Portas conhecidas (sistema): números de 0 a 1023, atribuídos pela IANA, com um

processo de revisão para atribuir novas portas do que as portas do usuário.
ÿ Portas de usuário (registradas): números de 1024 a 49151, atribuídos pela IANA com um
processo rigoroso para atribuir novas portas em comparação com portas conhecidas.
ÿ Portas efêmeras (dinâmicas, privadas): números de 49152 a 65535, não atribuídos e

destinado a ser alocado dinamicamente e usado temporariamente para um aplicativo cliente enquanto
o aplicativo está em execução.
A Figura 1-4 mostra um exemplo que usa três portas efêmeras no dispositivo do usuário à esquerda, com o servidor à
direita usando duas portas conhecidas e uma porta do usuário. Os computadores usam três aplicativos ao mesmo
tempo; portanto, três conexões de soquete estão abertas. Como um soquete em um único computador deve ser
exclusivo, uma conexão entre dois soquetes deve identificar uma conexão exclusiva entre dois computadores. Essa
exclusividade significa que você pode usar vários aplicativos ao mesmo tempo, conversando com aplicativos executados
no mesmo computador ou em computadores diferentes. A multiplexação, baseada em soquetes, garante que os dados
sejam entregues aos aplicativos corretos.
Do utilizador Servidor
de Anúncios Arame Rede de Anúncios Arame Rede

Inscrição Inscrição Navegador Inscrição Inscrição Servidor
Porta 49159 Porta 49153 Porta 49152 Porta 800 Porta 9876 Porta 80
UDP TCP UDP TCP
Endereço IP 10.1.1.1 Endereço IP 10.1.1.2
(10.1.1.1, TCP, 49152) (10.1.1.2, TCP, 80)
(10.1.1.1, TCP, 49153) (10.1.1.2, TCP, 9876)
(10.1.1.1, UDP, 49159) (10.1.1.2, UDP, 800)
Figura 1-4 Conexões entre soquetes
Os números de porta são uma parte vital do conceito de soquete. Os servidores usam portas conhecidas
(ou portas de usuário), enquanto os clientes usam portas dinâmicas. Os aplicativos que fornecem um
serviço, como FTP, Telnet e servidores da Web, abrem um soquete usando uma porta conhecida e
ouvem solicitações de conexão. Como essas solicitações de conexão de clientes precisam incluir os
números de porta de origem e de destino, os números de porta usados pelos servidores devem ser
conhecidos antecipadamente. Portanto, cada serviço usa um número de porta conhecido específico ou
número de porta do usuário. As portas conhecidas e de usuário estão listadas em www.iana.org/
assignments/service names-port-numbers/service-names-port-numbers.txt .
Em máquinas clientes, onde as solicitações se originam, qualquer número de porta local não utilizado
pode ser alocado. O resultado é que cada cliente no mesmo host usa um número de porta diferente,
mas um servidor usa o mesmo número de porta para todas as conexões. Por exemplo, 100 navegadores
da Web no mesmo computador host poderiam se conectar a um servidor da Web, mas o servidor da
Web com 100 clientes conectados a ele teria apenas um soquete e, portanto, apenas um número de
porta (porta 80, neste caso) . O servidor pode saber quais pacotes são enviados de cada um dos 100
clientes observando a porta de origem dos segmentos TCP recebidos. O servidor pode enviar dados
para o cliente da Web correto (navegador) enviando dados para o mesmo número de porta listado como
uma porta de destino. A combinação de soquetes de origem e destino permite que todos os hosts
participantes distingam entre a origem e o destino dos dados. Embora o exemplo explique o conceito
usando 100 conexões TCP, o mesmo conceito de numeração de porta se aplica às sessões UDP da
mesma maneira.
NOTA Você pode encontrar todas as RFCs online em www.rfc-editor.org/rfc/rfcxxxx.txt, onde xxxx é o
número do RFC. Se você não souber o número do RFC, tente pesquisar por tópico em www.rfc-editor.org.
Aplicativos TCP/IP populares

Ao longo de sua preparação para o exame CCNA, você encontrará uma variedade de aplicativos
TCP/IP. Você deve pelo menos estar ciente de alguns dos aplicativos que podem ser usados para
ajudar a gerenciar e controlar uma rede.
O aplicativo World Wide Web (WWW) existe por meio de navegadores da Web que acessam o conteúdo
disponível em servidores da Web. Embora muitas vezes seja considerado um aplicativo de usuário final, você
1
pode usar a WWW para gerenciar um roteador ou switch. Você habilita uma função de servidor web no roteador
ou switch e usa um navegador para acessar o roteador ou switch.
O Domain Name System (DNS) permite que os usuários usem nomes para se referir a computadores, com
o DNS sendo usado para encontrar os endereços IP correspondentes. O DNS também usa um modelo
cliente/servidor, com os servidores DNS sendo controlados pelo pessoal da rede e as funções do cliente DNS
fazendo parte da maioria dos dispositivos que usam TCP/IP hoje. O cliente simplesmente pede ao servidor DNS
para fornecer o endereço IP que corresponde a um determinado nome.
O Simple Network Management Protocol (SNMP) é um protocolo de camada de aplicação usado

especificamente para gerenciamento de dispositivos de rede. Por exemplo, a Cisco fornece uma grande
variedade de produtos de gerenciamento de rede, muitos deles na família de produtos de software de
gerenciamento de rede Cisco Prime. Eles podem ser usados para consultar, compilar, armazenar e exibir
informações sobre a operação de uma rede. Para consultar os dispositivos de rede, o software Cisco Prime usa
principalmente protocolos SNMP.
Tradicionalmente, para mover arquivos de e para um roteador ou switch, a Cisco usava o Trivial File Transfer
Protocol (TFTP). O TFTP define um protocolo para transferência básica de arquivos – daí a palavra trivial.
Alternativamente, roteadores e switches podem usar o File Transfer Protocol (FTP), que é um protocolo muito
mais funcional, para transferir arquivos. Ambos funcionam bem para mover arquivos de e para dispositivos
Cisco. O FTP permite muitos outros recursos, tornando-o uma boa opção para a população geral de usuários
finais. Os aplicativos cliente e servidor TFTP são muito simples, tornando-os boas ferramentas como partes
incorporadas de dispositivos de rede.
Alguns desses aplicativos usam TCP e outros usam UDP. Por exemplo, Simple Mail Transfer Protocol (SMTP) e
Post Office Protocol versão 3 (POP3), ambos usados para transferência de correio, exigem entrega garantida,
então eles usam TCP.
Independentemente de qual protocolo de camada de transporte é usado, os aplicativos usam um número de

porta bem conhecido para que os clientes saibam a qual porta tentar se conectar. A Tabela 1-3 lista vários
aplicativos populares e seus números de porta conhecidos.
Tabela 1-3 Aplicativos populares e seus números de porta conhecidos

Número da porta Protocolo Inscrição
20 TCP Dados de FTP
21 TCP Controle FTP

22 TCP SSH
23 TCP Telnet
25 TCP SMTP
53 UDP, TCP1 DNS
67 UDP Servidor DHCP
68 UDP Cliente DHCP
69 UDP TFTP
80 TCP HTTP (WWW)
110 TCP POP3
Número da porta Protocolo Inscrição

161 UDP SNMP
443 TCP SSL
514 UDP Syslog
1 DNS usa UDP e TCP em diferentes instâncias. Ele usa a porta 53 para TCP e UDP.
Estabelecimento e Rescisão de Conexão

O estabelecimento da conexão TCP ocorre antes que qualquer um dos outros recursos TCP possa
iniciar seu trabalho. O estabelecimento da conexão refere-se ao processo de inicialização dos campos
Sequência e Reconhecimento e de acordo com os números de porta utilizados. A Figura 1-5 mostra um
exemplo de fluxo de estabelecimento de conexão.
Navegador da Web Servidor web
SYN, DPORT=80, ESPORTE=49155
SYN, ACK, DPORT=49155, SPORT=80

Porta
Porta
49155 ACK, DPORT=80, ESPORTE=49155
80
Figura 1-5 Estabelecimento de Conexão TCP
Esse fluxo de estabelecimento de conexão de três vias (também chamado de handshake de três vias)
deve ser concluído antes que a transferência de dados possa começar. A conexão existe entre os dois
soquetes, embora o cabeçalho TCP não tenha um campo de soquete único. Das três partes de um soquete,
os endereços IP estão implícitos com base nos endereços IP de origem e destino no cabeçalho IP.
O TCP está implícito porque um cabeçalho TCP está em uso, conforme especificado pelo valor do campo
de protocolo no cabeçalho IP. Portanto, as únicas partes do soquete que precisam ser codificadas no
cabeçalho TCP são os números das portas.
TCP sinaliza o estabelecimento da conexão usando 2 bits dentro dos campos de flag do cabeçalho TCP.
Chamados de sinalizadores SYN e ACK, esses bits têm um significado particularmente interessante.
SYN significa “sincronizar os números de sequência”, que é um componente necessário na inicialização do
TCP.
A Figura 1-6 mostra a terminação da conexão TCP. Essa sequência de terminação de quatro vias é
direta e usa um sinalizador adicional, chamado de bit FIN. (FIN é a abreviação de “finished”, como você pode
imaginar.) Uma observação interessante: antes que o dispositivo à direita envie o terceiro segmento TCP na
sequência, ele notifica o aplicativo que a conexão está caindo. Em seguida, ele aguarda uma confirmação do
aplicativo antes de enviar o terceiro segmento da figura. Caso o aplicativo demore algum tempo para
responder, o PC à direita envia o segundo fluxo na figura, reconhecendo que o outro PC deseja encerrar a
conexão. Caso contrário, o PC à esquerda pode reenviar o primeiro segmento repetidamente.
ACK, FIN
1
computador
ACK computador
ACK, FIN
ACK
Figura 1-6 Terminação de Conexão TCP
O TCP estabelece e encerra as conexões entre os terminais, enquanto o UDP não.

Muitos protocolos operam sob esses mesmos conceitos, então os termos orientado a conexão e sem
conexão são usados para se referir à ideia geral de cada um. Mais formalmente, esses termos podem ser
definidos da seguinte forma:
ÿ Protocolo orientado a conexão: um protocolo que requer uma troca de mensagens antes
transferência de dados começa, ou que tem uma correlação pré-estabelecida necessária entre dois
pontos finais.
ÿ Protocolo sem conexão: um protocolo que não requer troca de mensagens e

que não requer uma correlação pré-estabelecida entre dois endpoints.
Recuperação de erros e confiabilidade

O TCP fornece transferência de dados confiável, que também é chamada de confiabilidade ou recuperação
de erros, dependendo do documento que você lê. Para obter confiabilidade, o TCP numera os bytes de
dados usando os campos Sequência e Reconhecimento no cabeçalho TCP. O TCP alcança confiabilidade
em ambas as direções, usando o campo Sequence Number de uma direção combinado com o campo
Acknowledgement na direção oposta.
A Figura 1-7 mostra um exemplo de como os campos Sequência TCP e Confirmação permitem que o PC
envie 3.000 bytes de dados para o servidor, com o servidor confirmando o recebimento dos dados. Os
segmentos TCP na figura ocorrem em ordem, de cima para baixo. Para simplificar, todas as mensagens têm
1.000 bytes de dados na porção de dados do segmento TCP. O primeiro número de sequência é um bom
número redondo (1000), novamente para simplificar. A parte superior da figura mostra três segmentos, com
cada número de sequência sendo 1000 a mais que o anterior, identificando o primeiro dos 1000 bytes da
mensagem. (Ou seja, neste exemplo, o primeiro segmento contém os bytes 1000–1999; o segundo contém
os bytes 2000–2999; e o terceiro contém os bytes 3000–3999.)
1000 Bytes de Dados, Sequência = 1000
1 Obteve todos os 3000 bytes.

Enviar ACK
Sem dados, confirmação = 4000
Figura 1-7 Reconhecimento TCP sem erros
O quarto segmento TCP na figura – o único que retorna do servidor para o navegador da web – reconhece
o recebimento de todos os três segmentos. Quão? O reconhecimento
valor de 4000 significa "Recebi todos os dados com números de sequência até um menor que 4000, então
estou pronto para receber seu próximo byte 4000". (Observe que essa convenção de confirmação listando o
próximo byte esperado, em vez do número do último byte recebido, é chamada de confirmação direta.)
No entanto, este primeiro exemplo não se recupera de nenhum erro; ele simplesmente mostra o básico de
como o host de envio usa o campo de número de sequência para identificar os dados, com o host de
recebimento usando confirmações de encaminhamento para reconhecer os dados. A discussão mais
interessante gira em torno de como usar essas mesmas ferramentas para fazer a recuperação de erros. O
TCP usa os campos Sequence e Acknowledgment para que o host de recebimento possa notar a perda de
dados, solicitar ao host de envio para reenviar e, em seguida, confirmar que os dados reenviados chegaram.
Existem muitas variações de como o TCP faz a recuperação de erros. A Figura 1-8 mostra apenas um
exemplo, com detalhes semelhantes em comparação com a figura anterior. O navegador da Web novamente
envia três segmentos TCP, novamente com 1.000 bytes cada, novamente com números de sequência fáceis
de lembrar. No entanto, neste exemplo, o segundo segmento TCP não consegue cruzar a rede.


Recebi 1000 – 1999.
1 Recebi 3000 – 3999.
Peça 2000 Próximo!
Ele perdeu segmento com
SEQ = 2000. 2
Reenvie!
3 Recebi 2000 – 2999.
Já tenho 3000 – 3999.
Peça 4000 Seguinte!
Figura 1-8 Reconhecimento TCP com Erros
A figura aponta três conjuntos de ideias por trás de como os dois anfitriões pensam. Primeiro, à direita, o
servidor percebe que não recebeu todos os dados. Os dois segmentos TCP recebidos contêm bytes
numerados de 1000–1999 e 3000–3999. Claramente, o servidor não recebeu os bytes numerados entre eles.
O servidor então decide reconhecer todos os dados até os dados perdidos - ou seja, enviar de volta um
segmento com o campo Acknowledgment igual a 2000.
O recebimento de uma confirmação que não reconhece todos os dados enviados até o momento informa
ao host de envio para reenviar os dados. O PC à esquerda pode esperar alguns instantes para garantir que
nenhuma outra confirmação chegue (usando um cronômetro chamado cronômetro de retransmissão), mas
logo decidirá que o servidor significa “Eu realmente preciso de 2.000 em seguida – reenvie”. O PC à
esquerda faz isso, conforme mostrado no quinto dos seis segmentos TCP na figura.
Por fim, observe que o servidor pode reconhecer não apenas os dados reenviados, mas todos os dados
anteriores que foram recebidos corretamente. Nesse caso, o servidor recebeu o segundo segmento TCP
reenviado (os dados com números de sequência 2000–2999), mas o servidor já havia recebido o terceiro
segmento TCP (os dados numerados de 3000–3999). O próximo campo de reconhecimento do servidor
reconhece os dados em ambos os segmentos, com um campo de reconhecimento de 4000.
Controle de fluxo usando janelas

O TCP implementa o controle de fluxo usando um conceito de janela que é aplicado à quantidade de
1
dados que podem estar pendentes e aguardando confirmação em qualquer momento. O conceito de
janela permite que o host receptor informe ao remetente quantos dados ele pode receber agora, dando
ao host receptor uma maneira de fazer com que o host de envio diminua ou acelere. O receptor pode
deslizar o tamanho da janela para cima e para baixo - chamado de janela deslizante ou janela dinâmica
- para alterar a quantidade de dados que o host de envio pode enviar.
O mecanismo de janela deslizante faz muito mais sentido com um exemplo. O exemplo, mostrado
na Figura 1-9, usa as mesmas regras básicas dos exemplos das figuras anteriores.
Neste caso, nenhum dos segmentos TCP tem erros, e a discussão começa um segmento TCP mais
cedo do que nas duas figuras anteriores.
ACK=1000
Janela=3000
Eu recebi um novo 1
Janela: 3000 SEQ=1000
SEQ=2000
SEQ=3000
Eu devo esperar
2 3 Enviar um ACK = 4000
para um ACK Conceder um novo
Janela: 4000
ACK=4000
Janela=4000
Ganhei um ACK! 4
Eu também tenho um maior
Janela: 4000
Figura 1-9 Janela TCP
Comece com o primeiro segmento, enviado pelo servidor ao PC. O campo Acknowledgement já
deve ser familiar: ele informa ao PC que o servidor espera um segmento com o número de seqüência
1000 em seguida. O novo campo, o campo da janela, é definido como 3.000. Como o segmento flui
para o PC, esse valor informa ao PC que o PC não pode enviar mais de 3.000 bytes por essa conexão
antes de receber uma confirmação. Assim, conforme mostrado à esquerda, o PC percebe que pode
enviar apenas 3.000 bytes e para de enviar, aguardando uma confirmação, após enviar três segmentos
TCP de 1.000 bytes.
Continuando o exemplo, o servidor não apenas reconhece o recebimento dos dados (sem qualquer
perda), mas o servidor decide aumentar um pouco o tamanho da janela. Observe a segunda
mensagem fluindo da direita para a esquerda na figura, desta vez com uma janela de 4000. Uma vez
que o PC recebe este segmento TCP, o PC percebe que pode enviar outros 4000 bytes (uma janela
um pouco maior que o valor anterior).
Observe que, embora as últimas figuras mostrem exemplos com o objetivo de explicar como os
mecanismos funcionam, os exemplos podem dar a impressão de que o TCP faz com que os hosts
fiquem sentados e esperem muito por reconhecimentos. O TCP não quer fazer com que o host de envio
tenha que esperar para enviar dados. Por exemplo, se uma confirmação for recebida antes que a janela
se esgote, uma nova janela será iniciada e o remetente continuará enviando dados até que o
a janela atual está esgotada. Muitas vezes, em uma rede com poucos problemas, poucos segmentos perdidos e
pouco congestionamento, as janelas TCP permanecem relativamente grandes com hosts raramente esperando
para enviar.
Protocolo de datagrama do usuário

O UDP fornece um serviço para aplicativos trocarem mensagens. Ao contrário do TCP, o UDP não tem conexão e
não oferece confiabilidade, janelas, reordenação dos dados recebidos e segmentação de grandes blocos de dados
no tamanho certo para transmissão. No entanto, o UDP fornece algumas funções do TCP, como transferência de
dados e multiplexação usando números de porta, e faz isso com menos bytes de sobrecarga e menos processamento
necessário do que o TCP.
A transferência de dados UDP difere da transferência de dados TCP, pois nenhuma reordenação ou
recuperação é realizada. Os aplicativos que usam UDP são tolerantes aos dados perdidos ou têm algum mecanismo
de aplicativo para recuperar dados perdidos. Por exemplo, VoIP usa UDP porque se um pacote de voz for perdido, no
momento em que a perda puder ser notada e o pacote retransmitido, terá ocorrido muito atraso e a voz ficará
ininteligível. Além disso, as solicitações de DNS usam UDP porque o usuário tentará novamente uma operação se a
resolução de DNS falhar. Como outro exemplo, o Network File System (NFS), um aplicativo de sistema de arquivos
remoto, executa a recuperação com o código da camada de aplicativo, portanto, os recursos UDP são aceitáveis para
o NFS.
A Figura 1-10 mostra o formato do cabeçalho UDP. Mais importante, observe que o cabeçalho inclui campos de porta
de origem e destino, para a mesma finalidade do TCP. No entanto, o UDP tem apenas 8 bytes, em comparação com
o cabeçalho TCP de 20 bytes mostrado na Figura 1-1. O UDP precisa de um cabeçalho mais curto que o TCP
simplesmente porque o UDP tem menos trabalho a fazer.
4 bytes
Porta de origem Porto de destino
Comprimento Soma de verificação
Figura 1-10 Cabeçalho UDP
Aplicativos TCP/IP
Todo o objetivo de construir uma rede corporativa, ou conectar uma pequena rede doméstica ou de escritório à
Internet, é usar aplicativos como navegação na web, mensagens de texto, e-mail, downloads de arquivos, voz e vídeo.
Esta seção examina um aplicativo específico—navegação na web usando o protocolo HTTP (Hypertext Transfer
Protocol).
A World Wide Web (WWW) consiste em todos os servidores da Web conectados à Internet no mundo, além de
todos os hosts conectados à Internet com navegadores da Web. Os servidores da Web, que consistem em software
de servidor da Web executado em um computador, armazenam informações (na forma de páginas da Web) que
podem ser úteis para diferentes pessoas. Um navegador da Web, que é um software instalado no computador de um
usuário final, fornece os meios para se conectar a um servidor da Web e exibir as páginas da Web armazenadas no
servidor da Web.
NOTA Embora a maioria das pessoas use o termo navegador da web, ou simplesmente navegador, os navegadores
da web também são chamados de clientes da web, porque obtêm um serviço de um servidor da web.
Para que esse processo funcione, várias funções específicas da camada de aplicativo devem ocorrer. O usuário
deve de alguma forma identificar o servidor, a página da web específica e o protocolo usado para obter
os dados do servidor. O cliente deve encontrar o endereço IP do servidor, com base no nome do servidor,
normalmente usando DNS. O cliente deve solicitar a página da web, que na verdade consiste em vários arquivos
separados, e o servidor deve enviar os arquivos para o navegador da web. Finalmente, para aplicativos de
1
comércio eletrônico (e-commerce), a transferência de dados, principalmente dados financeiros sensíveis, precisa
ser segura. As seções a seguir abordam cada uma dessas funções.
Identificadores Uniformes de Recursos

Para que um navegador exiba uma página da Web, o navegador deve identificar o servidor que possui a página
da Web, além de outras informações que identificam a página da Web específica. A maioria dos servidores web
tem muitas páginas web. Por exemplo, se você usar um navegador da Web para navegar em www.cisco.com e
clicar nessa página da Web, verá outra página da Web. Clique novamente e você verá outra página da web. Em
cada caso, a ação de clicar identifica o endereço IP do servidor, bem como a página da Web específica, com os
detalhes geralmente ocultos para você. (Esses itens clicáveis em uma página da Web, que por sua vez levam você
a outra página da Web, são chamados de links.)
O usuário do navegador pode identificar uma página da Web ao clicar em algo em uma página da Web ou ao inserir
um URI (Uniform Resource Identifier) na área de endereço do navegador. Ambas as opções—
clicar em um link e digitar um URI — consulte um URI, porque quando você clica em um link em uma página
da Web, esse link na verdade se refere a um URI.
OBSERVAÇÃO A maioria dos navegadores oferece suporte de alguma forma para visualizar o URI oculto referenciado por um link.
Em vários navegadores, passe o ponteiro do mouse sobre um link, clique com o botão direito do mouse e selecione Propriedades.
A janela pop-up deve exibir o URI para o qual o navegador será direcionado se você clicar nesse link.
Na linguagem comum, muitas pessoas usam os termos endereço da Web ou termos semelhantes relacionados
ao Universal Resource Locator (ou Uniform Resource Locator [URL]) em vez de URI, mas URI é de fato o termo
formal correto. Na verdade, o URL era mais usado do que o URI há mais de alguns anos. No entanto, o IETF (o
grupo que define o TCP/IP), juntamente com o consórcio W3C (W3.org, um consórcio que desenvolve padrões
web) fez um esforço conjunto para padronizar o uso de URI como o termo geral. Veja RFC 7595 para alguns
comentários nesse sentido.
De uma perspectiva prática, os URIs usados para conectar a um servidor da Web incluem três componentes
principais, conforme observado na Figura 1-11. A figura mostra os nomes formais dos campos URI.
Mais importante para esta discussão, observe que o texto antes do :// identifica o protocolo usado para se conectar
ao servidor, o texto entre o // e / identifica o servidor pelo nome e o texto após o / identifica a página da web.
Formal: URI Esquema Autoridade Caminho
http://www.certskills.com/blog
Exemplo: Web Protocolo Página da Web do nome do servidor

Figura 1-11 Estrutura de um URI usado para recuperar uma página da Web
Nesse caso, o protocolo é HTTP (Hypertext Transfer Protocol), o nome do host é www.certskills.com e o nome
da página da Web é blog.
Encontrando o servidor Web usando DNS

Um host pode usar o DNS para descobrir o endereço IP que corresponde a um nome de host
específico. Os URIs normalmente listam o nome do servidor — um nome que pode ser usado para
aprender dinamicamente o endereço IP usado por esse mesmo servidor. O navegador da Web não pode
enviar um pacote IP para um nome de destino, mas pode enviar um pacote para um endereço IP de destino.
Portanto, antes que o navegador possa enviar um pacote para o servidor da Web, ou normalmente precisa
resolver o nome dentro do URI para o endereço IP ou correspondente a um navegador
esse nome.
Para reunir vários conceitos, a Figura 1-12 mostra o processo de DNS iniciado por um navegador da
Web, bem como outras informações relacionadas. De uma perspectiva básica, o usuário insere o URI
(neste caso, http://www.cisco.com/go/learningnetwork), resolve o nome www.cisco.com no endereço IP
correto e começa a enviar pacotes para o servidor web .
1 O humano digitou este URI:

http://www.cisco.com/go/learningnetwork
Servidor dns
Solicitação de Resolução de Nome
192.31.7.1 2
Cabeçalho IP Solicitação de DNS do cabeçalho UDP
Fonte 64.100.1.1 Fonte 49161 O que é endereço IP
Dest. 192.31.7.1 Dest. Porta 53 de www.cisco.com?
Cliente
Resposta de resolução de nomes 64.100.1.1
3
Cabeçalho IP Solicitação de DNS do cabeçalho UDP
Fonte 192.31.7.1 Fonte 53 O endereço IP é
Dest. 64.100.1.1 Dest. 49161 198.133.219.25
Configuração de conexão TCP

4
Cabeçalho IP Cabeçalho TCP
Fonte 64.100.1.1 Fonte 49172

Dest. 198.133.219.25 Dest. Porta 80, SYN
Servidor Web www.cisco.com

198.133.219.25
Figura 1-12 Resolução de DNS e solicitação de uma página da Web

as etapas: na figura são as seguintes
O usuário insere o URI, http://www.cisco.com/go/learningnetwork, na área de endereço do navegador

1. 1. O cliente envia uma solicitação DNS ao servidor DNS. Normalmente, o cliente aprende o
endereço IP do servidor DNS por meio do DHCP. Observe que a solicitação DNS usa um
cabeçalho UDP, com uma porta de destino da porta DNS conhecida de 53. (Consulte a
Tabela 1-3, anteriormente neste capítulo, para obter uma portas de portas conhecidas
populares.)
2. 2. O servidor DNS envia uma resposta, listando o endereço IP 198.133.219.25 como
endereço IP de www.cisco.com. Observe também que a resposta mostra um endereço IP de
destino de 64.100.1.1, o
endereço IP do cliente. Ele também mostra um cabeçalho UDP, com a porta de origem 53; a porta de
origem é 53 porque os dados são originados ou enviados pelo servidor DNS.
1
4. O cliente inicia o processo de estabelecimento de uma nova conexão TCP com o servidor web.
Observe que o endereço IP de destino é o endereço IP recém-aprendido do servidor web.
O pacote inclui um cabeçalho TCP, porque o HTTP usa o TCP. Observe também que a porta TCP de
destino é 80, a porta bem conhecida para HTTP. Finalmente, o bit SYN é mostrado,
como um lembrete de que o processo de estabelecimento da conexão TCP começa com um segmento
TCP com o bit SYN ativado (binário 1).
O exemplo da Figura 1-12 mostra o que acontece quando o host cliente não conhece o endereço IP associado
ao nome do host, mas a empresa conhece o endereço. No entanto, os hosts podem armazenar em cache os
resultados das solicitações de DNS para que, por um tempo, o cliente não precise solicitar ao DNS que resolva
o nome. Além disso, o servidor DNS pode armazenar em cache os resultados de solicitações DNS anteriores;
por exemplo, o servidor DNS corporativo na Figura 1-12 normalmente não teria informações configuradas sobre
nomes de host em domínios fora dessa empresa, de modo que o exemplo dependia do DNS ter armazenado
em cache o endereço associado ao nome de host www.cisco.com.
Quando o DNS local não conhece o endereço associado a um nome de host, ele precisa pedir ajuda. A Figura
1-13 mostra um exemplo com o mesmo cliente da Figura 1-12. Nesse caso, o DNS corporativo atua como um
servidor DNS recursivo, enviando mensagens DNS repetidas em um esforço para identificar o servidor DNS
autoritativo .
DNS raiz
Empreendimento
3 DNS 1
.com TLD
DNS
5
4
autoritário
cisco.com
DNS
Figura 1-13 Pesquisa de DNS recursiva
As etapas mostradas na figura são as seguintes:
1. O cliente envia uma solicitação DNS para www.cisco.com ao servidor DNS que conhece, que
é o servidor DNS corporativo.
2. O servidor DNS empresarial (recursivo) ainda não sabe a resposta, mas não
rejeite a solicitação de DNS do cliente. Em vez disso, segue um processo repetitivo (recursivo)
(mostrado como etapas 2, 3 e 4), começando com a solicitação de DNS enviada a um DNS raiz
servidor. A raiz também não fornece o endereço, mas fornece o endereço IP do
outro servidor DNS, um responsável pelo domínio de nível superior .com.
3. O DNS corporativo recursivo envia a próxima solicitação de DNS para o servidor DNS aprendido em
a etapa anterior — desta vez o servidor DNS TLD para o domínio .com. Este DNS também
não conhece o endereço, mas conhece o servidor DNS que deve ser o servidor DNS autoritativo
para o domínio cisco.com, portanto, fornece o endereço desse servidor DNS.
4. O DNS corporativo envia outra solicitação de DNS para o servidor DNS cujo endereço foi
aprendi na etapa anterior, novamente solicitando a resolução do nome www.cisco.com.
Este servidor DNS, o servidor autorizado para cisco.com, fornece o endereço.
5. O servidor DNS corporativo retorna uma resposta DNS ao cliente, fornecendo o IP
endereço solicitado na etapa 1 .
Transferindo arquivos com HTTP

Depois que um cliente da Web (navegador) cria uma conexão TCP com um servidor da Web, o cliente
pode começar a solicitar a página da Web do servidor. Na maioria das vezes, o protocolo usado para
transferir a página da Web é o HTTP. O protocolo da camada de aplicativo HTTP, definido na RFC 7230,
define como os arquivos podem ser transferidos entre dois computadores. O HTTP foi criado especificamente
com o propósito de transferir arquivos entre servidores web e clientes web.
O HTTP define vários comandos e respostas, sendo o mais utilizado a solicitação HTTP GET .
Para obter um arquivo de um servidor web, o cliente envia uma solicitação HTTP
GET ao servidor, listando o nome do arquivo. Se o servidor decidir enviar o arquivo, o servidor envia uma
resposta HTTP GET, com um código de retorno de 200 (significando OK), juntamente com o conteúdo do arquivo.
NOTA Existem muitos códigos de retorno para solicitações HTTP. Por exemplo, quando o servidor não possui
o arquivo solicitado, ele emite um código de retorno 404, que significa “arquivo não encontrado”. A maioria dos
navegadores da Web não mostra os códigos de retorno HTTP numéricos específicos, exibindo uma resposta
como “página não encontrada” em reação ao recebimento de um código de retorno de 404.
As páginas da Web geralmente consistem em vários arquivos, chamados de objetos. A maioria das páginas da
web contém texto, bem como várias imagens gráficas, anúncios animados e possivelmente voz ou vídeo. Cada
um desses componentes é armazenado como um objeto (arquivo) diferente no servidor web. Para obter todos
eles, o navegador da Web obtém o primeiro arquivo. Esse arquivo pode (e normalmente inclui) referências a
outros URIs, de modo que o navegador também solicita os outros objetos. A Figura 1-14 mostra a ideia geral,
com o navegador obtendo o primeiro arquivo e depois dois outros.
Digitado pelo usuário:

http://www.cisco.com/go/ccna
HTTP GET (/go/ccna)
www.cisco.com
Rede
Dados HTTP OK: /go/ccna
Navegador
(Cliente)
HTTP GET /graphics/logo1.gif
Dados HTTP OK: logo1.gif
HTTP GET /graphics/ad1.gif
Dados HTTP OK: ad1.gif
Figura 1-14 Várias solicitações/ respostas HTTP GET

Nesse caso, depois que o navegador da Web obtém o primeiro arquivo – aquele chamado “/go/
ccna” no URI – o navegador lê e interpreta esse arquivo. Além de conter partes da página da web, o
arquivo se refere a dois outros arquivos, de modo que o navegador emite duas solicitações HTTP GET adicionais. 1
Observe que, mesmo que não seja mostrado na figura, todos esses comandos fluem por uma (ou
possivelmente mais) conexão TCP entre o cliente e o servidor. Isso significa que o TCP forneceria
recuperação de erros, garantindo que os dados fossem entregues.
Como o host de recebimento identifica o aplicativo de recebimento correto

Este capítulo termina com uma discussão sobre o processo pelo qual um host, ao receber qualquer
mensagem em qualquer rede, pode decidir qual de seus muitos programas aplicativos deve processar
os dados recebidos.
Como exemplo, considere o host A mostrado no lado esquerdo da Figura 1-15. O host tem três janelas
diferentes do navegador da Web abertas, cada uma usando uma porta TCP exclusiva. O host A também
tem um cliente de e-mail e uma janela de bate-papo aberta, ambos usando TCP. Os aplicativos de e-mail e
bate-papo usam um número de porta TCP exclusivo no host A, conforme mostrado na figura.
Servidor web
UMA
TCP HTTP +
Et. IP Dados
(Porto de Destino)
Navegador: porta TCP 49124

E-mail: porta TCP 49127
Bater papo: porta TCP 49128
Figura 1-15 Dilema: como o host A escolhe o aplicativo que deve receber esses dados
Este capítulo mostrou vários exemplos de como os protocolos da camada de transporte usam o campo
de número da porta de destino no cabeçalho TCP ou UDP para identificar o aplicativo receptor. Por
exemplo, se o valor da porta TCP de destino na Figura 1-15 for 49124, o host A saberá que os dados se
destinam à primeira das três janelas do navegador da web.
Antes que um host receptor possa examinar o cabeçalho TCP ou UDP e encontrar o campo da porta de
destino, ele deve primeiro processar os cabeçalhos externos na mensagem. Se a mensagem recebida for
um quadro Ethernet que encapsula um pacote IPv4, os cabeçalhos se parecerão com os detalhes da
Figura 1-16.
0x0800 6 49124 Servidor web
Ethernet IPv4 TCP HTTP

(Tipo) (Protocolo) (Porto de Destino) e dados
Figura 1-16 Três campos-chave com os quais identificar o próximo cabeçalho
O host receptor precisa examinar vários campos, um por cabeçalho, para identificar o próximo
cabeçalho ou campo na mensagem recebida. Por exemplo, o host A usa uma NIC Ethernet para se
conectar à rede, de modo que a mensagem recebida é um quadro Ethernet. O campo Ethernet Type
identifica o tipo de cabeçalho que segue o cabeçalho Ethernet — neste caso, com um valor hexadecimal
0800, um cabeçalho IPv4.
O cabeçalho IPv4 tem um campo semelhante chamado de campo Protocolo IP. O campo Protocolo IPv4 possui uma
lista padrão de valores que identificam o próximo cabeçalho, com o decimal 6 usado para TCP e o decimal 17 usado
para UDP. Nesse caso, o valor 6 identifica o cabeçalho TCP que segue o cabeçalho IPv4. Uma vez que o host receptor
percebe que existe um cabeçalho TCP, ele pode processar o campo da porta de destino para determinar qual processo
de aplicação local deve receber os dados.
Revisão do Capítulo
Uma chave para se sair bem nos exames é realizar sessões de revisão espaçadas repetitivas. Revise o material deste
capítulo usando as ferramentas do livro ou ferramentas interativas para o mesmo material encontrado no site do livro.
Consulte o elemento “Seu Plano de Estudo” para mais detalhes. A Tabela 1-4 descreve os principais elementos de
revisão e onde você pode encontrá-los.
Para acompanhar melhor o progresso do seu estudo, registre quando você concluiu essas atividades na segunda
coluna.
Tabela 1-4 Rastreamento de Revisão de Capítulo

Elemento de revisão Data(s) de Revisão Recurso usado
Revise os principais tópicos livro, site
Revise os principais termos livro, site
Repita as perguntas do DIKTA Livro, PTP
Revise as tabelas de memória livro, site
Revise todos os tópicos principais

Tabela 1-5 Principais Tópicos para o Capítulo 1
Descrição do Elemento do Tópico-Chave Número de página
Tabela 1-2 Funções do TCP e UDP 6
Tabela 1-3 Números de porta TCP e UDP conhecidos 11
Figura 1-5 Exemplo de estabelecimento de conexão TCP 12
Lista Definições de orientado a conexão e sem conexão 13
Figura 1-12 Resolução de nomes DNS 18
Figura 1-16 Campos de cabeçalho que identificam o próximo cabeçalho 21
Termos-chave que você deve conhecer

estabelecimento de conexão, detecção de erro, recuperação de erro, controle de fluxo, confirmação de
encaminhamento, HTTP, transferência de dados ordenada, porta, segmento, janelas deslizantes, URI, servidor web,
Servidor DNS, servidor DNS recursivo
Esta página foi intencionalmente deixada em branco

CAPÍTULO 2
Listas básicas de controle de acesso IPv4

Este capítulo abrange os seguintes tópicos do exame:
5.0 Fundamentos de Segurança
5.6 Configurar e verificar listas de controle de acesso
As listas de controle de acesso (ACL) IPv4 dão aos engenheiros de rede a capacidade de programar um filtro em um
roteador. Cada roteador, em cada interface, tanto na direção de entrada quanto na de saída, pode habilitar uma ACL
diferente com regras diferentes. As regras de cada ACL informam ao roteador quais pacotes descartar e quais permitir.
Este capítulo discute os conceitos básicos de IPv4 ACLs e, em particular, um tipo de IP ACL: IP ACLs numeradas
padrão. As ACLs numeradas padrão usam lógica simples, correspondendo apenas ao campo de endereço IP de origem
e usam um estilo de configuração que faz referência à ACL usando um número.
Este capítulo se propõe a ajudá-lo a aprender primeiro esse tipo mais simples de ACL. O próximo capítulo,
intitulado “Listas de controle de acesso IPv4 avançado”, completa a discussão descrevendo outros tipos de IP ACLs.
Os outros tipos de ACLs usam recursos que se baseiam nos conceitos que você aprendeu neste capítulo, mas com
mais complexidade e opções de configuração adicionais.
“Eu já sei disso?” Questionário

Faça o teste (aqui ou use o software PTP) se quiser usar a pontuação para ajudá-lo a decidir quanto tempo gastar neste
capítulo. As respostas das letras estão listadas na parte inferior da página após o questionário. O Apêndice C,
encontrado tanto no final do livro quanto no site que o acompanha, inclui as respostas e as explicações. Você também
pode encontrar respostas e explicações no software de teste PTP.
Tabela 2-1 “Eu já sei disso?” Mapeamento de seção a pergunta dos tópicos básicos
Seção de Tópicos Fundamentais Perguntas
Noções básicas da lista de controle de acesso IP 1
ACLs IPv4 numeradas padrão 2–5
Pratique a aplicação de ACLs de IP padrão 6
1. Barney é um host com endereço IP 10.1.1.1 na sub-rede 10.1.1.0/24. Qual dos fol
Quais são as coisas que uma ACL IP padrão pode ser configurada para fazer? (Escolha dois
respostas.)
uma. Corresponda ao endereço IP de origem exato.
b. Combine os endereços IP 10.1.1.1 a 10.1.1.4 com um comando de lista de acesso

sem corresponder a outros endereços IP.
c. Combine todos os endereços IP na sub-rede de Barney com um comando de lista de acesso sem
corresponder a outros endereços IP.
d. Corresponder apenas ao endereço IP de destino do pacote.

2. Qual das seguintes respostas lista um número válido que pode ser usado com
IP ACLs numeradas? (Escolha duas respostas.)
uma. 1987
b. 2187
c. 187
d. 87
3. Qual das seguintes máscaras curinga é mais útil para corresponder a todos os pacotes IP na sub-rede
10.1.128.0, máscara 255.255.255.0?
uma. 0.0.0.0
b. 0.0.0.31
c. 0.0.0.240
d. 0.0.0.255
e. 0.0.15.0
f. 0.0.248.255
4. Qual das seguintes máscaras curinga é mais útil para combinar todos os pacotes IP na sub-rede
10.1.128.0, máscara 255.255.240.0?
uma. 0.0.0.0
b. 0.0.0.31
c. 0.0.0.240
d. 0.0.0.255
e. 0.0.15.255
f. 0.0.248.255
5. A ACL 1 tem três instruções, na seguinte ordem, com endereços e valores de máscara curinga: 1.0.0.0
0.255.255.255, 1.1.0.0 0.0.255.255 e 1.1.1.0 0.0.0.255.
Se um roteador tentou corresponder a um pacote originado do endereço IP 1.1.1.1 usando esta
ACL, qual instrução de ACL um roteador considera que o pacote correspondeu?
uma. Primeiro
b. Segundo
c. Terceiro
d. Negação implícita no final da ACL
6. Qual dos seguintes comandos de lista de acesso corresponde a todos os pacotes enviados de hosts em
sub-rede 172.16.4.0/23?
uma. permissão da lista de acesso 1 172.16.0.5

0.0.255.0 b. permissão da lista de acesso 1 172.16.4.0
0.0.1.255 c. permissão da lista de acesso 1 172.16.5.0
d. permissão da lista de acesso 1 172.16.5.0 0.0.0.127
Tópicos Fundamentais
Noções básicas da lista de controle de acesso IPv4

As listas de controle de acesso IPv4 (IP ACL) fornecem aos engenheiros de rede uma maneira de identificar diferentes
tipos de pacotes. Para fazer isso, a configuração da ACL lista os valores que o roteador pode ver nos cabeçalhos IP,
TCP, UDP e outros. Por exemplo, uma ACL pode corresponder a pacotes cujo endereço IP de origem seja 1.1.1.1, ou
pacotes cujo endereço IP de destino seja algum endereço na sub-rede 10.1.1.0/24, ou pacotes com uma porta de
destino da porta TCP 23 (Telnet).
As ACLs IPv4 executam muitas funções nos roteadores Cisco, sendo o uso mais comum como filtro de pacotes. Os
engenheiros podem habilitar ACLs em um roteador para que a ACL fique no caminho de encaminhamento dos pacotes à
medida que passam pelo roteador. Depois de habilitado, o roteador considera se cada pacote IP será descartado ou
permitido continuar como se a ACL não existisse.
No entanto, as ACLs também podem ser usadas para muitos outros recursos do IOS. Como exemplo, as ACLs podem
ser usadas para combinar pacotes para aplicar recursos de Qualidade de Serviço (QoS). A QoS permite que um roteador
forneça um serviço melhor a alguns pacotes e um serviço pior a outros pacotes. Por exemplo, os pacotes que contêm
voz digitalizada precisam ter um atraso muito baixo, para que as ACLs possam corresponder aos pacotes de voz, com a
lógica de QoS, por sua vez, encaminhando os pacotes de voz mais rapidamente do que os pacotes de dados.
Esta primeira seção apresenta as ACLs de IP usadas para filtragem de pacotes, focando nesses aspectos das ACLs: os
locais e a direção para habilitar as ACLs, correspondência de pacotes examinando cabeçalhos e ação após a
correspondência de um pacote .
Localização e direção do ACL

Os roteadores Cisco podem aplicar a lógica ACL aos pacotes no ponto em que os pacotes IP entram em uma interface
ou no ponto em que saem de uma interface. Em outras palavras, a ACL torna-se associada a uma interface e a uma
direção de fluxo de pacotes (entrada ou saída). Ou seja, a ACL pode ser aplicada de entrada ao roteador, antes que o
roteador tome sua decisão de encaminhamento (roteamento), ou de saída, após o roteador tomar sua decisão de
encaminhamento e determinar a interface de saída a ser usada.
As setas na Figura 2-1 mostram os locais nos quais você pode filtrar os pacotes que fluem da esquerda para a direita
na topologia. Por exemplo, imagine que você deseja permitir pacotes enviados pelo host A para o servidor S1, mas
descartar os pacotes enviados pelo host B para o servidor S1. Cada linha com seta representa um local e direção em
que um roteador pode aplicar uma ACL, filtrando os pacotes enviados pelo host B.
As quatro linhas com setas na figura indicam o local e a direção das interfaces do roteador usadas para encaminhar
o pacote do host B para o servidor S1. Neste exemplo específico, essas interfaces e direção são de entrada na
interface F0/0 de R1, de saída na interface S0/0/0 de R1, de entrada na interface S0/0/1 de R2 e de saída na interface
F0/0 de R2. Se, por exemplo, você habilitou uma ACL na interface F0/1 de R2, em qualquer direção, essa ACL não
poderia filtrar o pacote enviado do host B para o servidor S1, porque a interface F0/1 de R2 não faz parte da rota de B
para S1.
Respostas para a pergunta “Já sei disso?” questionário:
1 A, C 2 A, D 3 D 4 E 5 A 6 B
Capítulo 2: Listas básicas de controle de acesso IPv4 27
UMA
S1
F0/0 R1 S0/0/0 S0/0/1 R2 F0/0

B
F0/1 2
S2
Figura 2-1 Locais para filtrar pacotes dos hosts A e B indo para o servidor S1
Resumindo, para filtrar um pacote, você deve habilitar uma ACL em uma interface que processe o pacote,
na mesma direção em que o pacote flui por aquela interface.
Quando habilitado, o roteador processa cada pacote IP de entrada ou saída usando essa ACL. Por
exemplo, se habilitado em R1 para pacotes de entrada na interface F0/0, R1 compararia cada pacote IP de
entrada em F0/0 com a ACL para decidir o destino desse pacote: continuar inalterado ou ser descartado
.
Pacotes correspondentes
Quando você pensa na localização e na direção de uma ACL, já deve estar pensando em quais pacotes
planeja filtrar (descartar) e quais deseja permitir.
Para informar ao roteador essas mesmas ideias, você deve configurar o roteador com um IP ACL que
corresponda aos pacotes. A correspondência de pacotes refere-se a como configurar os comandos ACL
para examinar cada pacote, listando como identificar quais pacotes devem ser descartados e quais devem
ser permitidos.
Cada IP ACL consiste em um ou mais comandos de configuração, com cada comando listando detalhes
sobre valores a serem procurados nos cabeçalhos de um pacote. Geralmente, um comando ACL usa lógica
como “procure esses valores no cabeçalho do pacote e, se encontrado, descarte o pacote”. (A ação pode ser
permitir o pacote, em vez de descartar.) Especificamente, a ACL procura campos de cabeçalho que você já
deve conhecer bem, incluindo os endereços IP de origem e destino, além dos números de porta TCP e UDP.
Por exemplo, considere um exemplo com a Figura 2-2, na qual você deseja permitir pacotes do host A para
o servidor S1, mas descartar pacotes do host B indo para o mesmo servidor. Todos os hosts agora têm
endereços IP e a figura mostra o pseudocódigo para uma ACL em R2. A Figura 2-2 também mostra o local
escolhido para habilitar a ACL: entrada na interface S0/0/1 do R2.
A Figura 2-2 mostra uma ACL de duas linhas em um retângulo na parte inferior, com lógica de
correspondência simples: ambas as instruções apenas procuram corresponder ao endereço IP de origem
no pacote. Quando ativado, o R2 analisa cada pacote IP de entrada nessa interface e compara cada
pacote com esses dois comandos ACL. Os pacotes enviados pelo host A (endereço IP de origem 10.1.1.1)
. descartados
são permitidos e aqueles originados pelo host B (endereço IP de origem 10.1.1.2) são
S_IP = 10.1.1.1
10.1.1.1
UMA
S1
F0/0 S0/0/0 F0/0

B R1 S0/0/1 R2
10.1.1.2
1) Se S_IP = 10.1.1.1, Permitir
S_IP = 10.1.1.2 2) Se S_IP = 10.1.1.2, descarte
Figura 2-2 Pseudocódigo para demonstrar a lógica de correspondência de comandos ACL
Agir quando ocorre uma partida

Ao usar IP ACLs para filtrar pacotes, apenas uma das duas ações pode ser escolhida. Os comandos de
configuração usam as palavras-chave deny e permit, e significam (respectivamente) descartar o pacote ou
permitir que ele continue como se a ACL não existisse.
Este livro se concentra no uso de ACLs para filtrar pacotes, mas o IOS usa ACLs para muitos outros recursos.
Esses recursos geralmente usam a mesma lógica de correspondência. No entanto, em outros casos, as
palavras-chave negar ou permitir implicam em alguma outra ação.
Tipos de ACLs IP
O Cisco IOS oferece suporte a IP ACLs desde os primeiros dias dos roteadores Cisco. Começando com
as ACLs de IP numeradas padrão originais nos primeiros dias do IOS, que poderiam habilitar a lógica
mostrada anteriormente na Figura 2-2, a Cisco adicionou muitos recursos de ACL, incluindo o seguinte:
ÿ ACLs numeradas padrão (1-99)

ÿ ACLs numeradas estendidas (100–199)
ÿ Números de ACL adicionais (padrão 1300–1999, 2000–2699 estendido)
ÿ ACLs nomeadas
ÿ Edição aprimorada com números de sequência
Este capítulo se concentra apenas em IP ACLs numeradas padrão, enquanto o próximo capítulo discute as outras
três categorias principais de IP ACLs. Resumidamente, as ACLs de IP serão numeradas ou nomeadas de acordo
com a configuração que identifica a ACL usando um número ou um nome. As ACLs também serão padrão ou
estendidas, com as ACLs estendidas tendo habilidades muito mais robustas na correspondência de pacotes. A
Figura 2-3 resume as grandes ideias relacionadas às categorias de IP ACLs
.
Padrão Padrão Padrão: Correspondência

Numerado Nomeado - IP fonte
Estendido Estendido Estendido: correspondência

Numerado Nomeado - Origem & Dest. IP
- Origem & Dest. Porta
- Outras
Numerado: Nomeado:
- Identificação com Número - Identificação com Nome
- Comandos Globais - Subcomandos
Figura 2-3 Comparações de tipos de IP ACL
ACLs IPv4 numeradas padrão

O título desta seção serve como uma ótima introdução, se você puder decodificar o que Cisco quer dizer
com cada palavra específica. Esta seção é sobre um tipo de filtro Cisco (ACL) que corresponde apenas ao
endereço IP de origem do pacote (padrão), é configurado para identificar a ACL usando números em vez de
nomes (numerados) e analisa os pacotes IPv4.
Esta seção examina os detalhes das ACLs IP numeradas padrão. Primeiro, examina a ideia de que uma
ACL é uma lista e qual lógica essa lista usa. Em seguida, o texto analisa de perto como combinar o campo de
endereço IP de origem no cabeçalho do pacote, incluindo a sintaxe dos comandos. Esta seção termina com
uma visão completa dos comandos de configuração e verificação para implementar ACLs padrão
.
Lógica de lista com IP ACLs

Uma única ACL é uma entidade única e, ao mesmo tempo, uma lista de um ou mais comandos de
configuração. Como uma única entidade, a configuração habilita toda a ACL em uma interface, em uma
direção específica, conforme mostrado anteriormente na Figura 2-1. Como uma lista de comandos, cada
comando tem uma lógica de correspondência diferente que o roteador deve aplicar a cada pacote ao filtrar
usando essa ACL.
Ao fazer o processamento da ACL, o roteador processa o pacote, em comparação com a ACL, da

seguinte forma:
ACLs usam lógica de primeira correspondência. Quando um pacote corresponde a uma linha na ACL, o
roteador executa a ação listada nessa linha da ACL e para de procurar mais na ACL.
Para ver exatamente o que isso significa, considere o exemplo construído em torno da Figura 2-4. A figura
mostra um exemplo de ACL 1 com três linhas de pseudocódigo. Este exemplo aplica ACL 1 na interface
S0/0/1 do R2, de entrada (o mesmo local da Figura 2-2 anterior).
10.1.1.1
UMA
S1
F0/0 S0/0/0
F0/0
B R1 S0/0/1 R2
F0/1
Pseudocódigo ACL 1
10.1.1.2
Se Origem = 10.1.1.1 Permitir
C
Se Origem = 10.1.1.x Negar
Se Origem = 10.xxx Permitir
10.3.3.3
Figura 2-4 Pano de fundo para discussão do processo de lista com IP ACLs
Considere a lógica ACL de primeira correspondência para um pacote enviado pelo host A ao servidor S1.
O endereço IP de origem será 10.1.1.1 e será roteado para que entre na interface S0/0/1 de R2, acionando
a lógica ACL 1 de R2. R2 compara este pacote com a ACL, combinando o primeiro item da lista com uma
ação de permissão. Portanto, esse pacote deve ser permitido, conforme mostrado na Figura 2-5, à
esquerda.
Anfitrião A Anfitrião B Anfitrião C

S_IP = 10.1.1.1 S_IP = 10.1.1.2 S_IP = 10.3.3.3
Se Fonte = 10.1.1.1 Permissão Se Fonte = 10.1.1.1 Permissão Se Fonte = 10.1.1.1 Permissão
Se Origem = 10.1.1.x Negar Se Origem = 10.1.1.x Negar Se Origem = 10.1.1.x Negar

Se Fonte = 10.xxx Permissão Se Fonte = 10.xxx Permissão Se Fonte = 10.xxx Permissão
Lenda:
Endereço IP de origem S_IP

Examinado e combinado
Examinado e não correspondido
Figura 2-5 Itens ACL Comparados para Pacotes dos Hosts A, B e C na Figura 2-4
Em seguida,
, considere um pacote enviado pelo host B, endereço IP de origem 10.1.1.2. Quando o pacote
entra na interface S0/0/1 de R2, R2 compara o pacote com a primeira instrução de ACL 1 e não faz uma
correspondência (10.1.1.1 não é igual a 10.1.1.2). R2 então passa para a segunda declaração, que requer
alguns esclarecimentos. O pseudocódigo ACL, de volta à Figura 2-4, mostra 10.1.1.x, que significa que
qualquer valor pode existir no último octeto. Comparando apenas os três primeiros octetos, R2 decide que
este último pacote tem um endereço IP de origem que começa com os três primeiros octetos 10.1.1, então
R2 considera que é uma correspondência na segunda instrução. R2 executa a ação listada (negar),
descartando o pacote. R2 também interrompe o processamento da ACL no pacote, ignorando a terceira
linha na ACL.
Finalmente, considere um pacote enviado pelo host C, novamente para o servidor S1. O pacote
tem o endereço IP de origem 10.3.3.3, então quando ele entra na interface S0/0/1 de R2 e aciona o
processamento de ACL em R2, R2 olha para o primeiro comando em ACL 1. R2 não corresponde ao
primeiro comando ACL (10.1.1.1 no comando não é igual ao 10.3.3.3 do pacote). R2 examina o segundo
comando, compara os três primeiros octetos (10.1.1) com o endereço IP de origem do pacote (10.3.3) e
ainda não encontra correspondência. R2 então olha para o terceiro comando. Nesse caso, o curinga
significa ignorar os três últimos octetos e apenas comparar o primeiro octeto (10), para que o pacote
corresponda. R2 então executa a ação listada (permissão), permitindo que o pacote continue.
Essa sequência de processamento de uma ACL como uma lista acontece para qualquer tipo de IOS ACL: IP, outros
protocolos, padrão ou estendidos, nomeados ou numerados.
Finalmente, se um pacote não corresponder a nenhum dos itens da ACL, o pacote será descartado. A razão é que cada IP ACL
tem uma instrução deny all implícita no final da ACL. Ele não existe na configuração, mas se um roteador continuar pesquisando
na lista e nenhuma correspondência for feita até o final da lista, o IOS considera que o pacote correspondeu a uma entrada que
2
possui uma negação
açao.
Correspondência de lógica e sintaxe de comando

As ACLs de IP numeradas padrão usam o seguinte comando global:
lista de acesso {1-99 | 1300-1999} {autorização | deny} parâmetros correspondentes
Cada ACL numerada padrão tem um ou mais comandos de lista de acesso com o mesmo número, qualquer número dos
intervalos mostrados na linha de sintaxe anterior. (Um número não é melhor que o outro.) IOS se refere a cada linha em uma
ACL como uma entrada de controle de acesso (ACE), mas muitos engenheiros apenas as chamam de instruções ACL.
Além do número da ACL, cada comando da lista de acesso também lista a ação (permitir ou negar), mais a lógica
correspondente. O restante desta seção examina como configurar os parâmetros correspondentes, o que, para ACLs padrão,
significa que você só pode corresponder o endereço IP de origem ou partes do endereço IP de origem usando algo chamado
máscara curinga de ACL.
Correspondendo ao endereço IP exato

Para corresponder a um endereço IP de origem específico, o endereço IP inteiro, tudo o que você precisa fazer é digitar esse
endereço IP no final do comando. Por exemplo, o exemplo anterior usa pseudocódigo para “permitir se fonte = 10.1.1.1”. O
comando a seguir configura essa lógica com a sintaxe correta usando a ACL número 1:
lista de acesso 1 permissão 10.1.1.1
A correspondência do endereço IP completo exato é simples assim.
Nas versões anteriores do IOS, a sintaxe incluía uma palavra-chave de host . Em vez de simplesmente digitar o endereço
IP completo, você digitou primeiro a palavra-chave do host e depois o endereço IP. Observe que em versões posteriores do
IOS, se você usar a palavra-chave host , o IOS aceitará o comando, mas removerá a palavra-chave.
host de permissão da lista de acesso 1 10.1.1.1
Correspondendo a um subconjunto do endereço com curingas

Muitas vezes ,
as metas de negócios que você deseja implementar com uma ACL não correspondem a um único endereço IP
específico, mas sim a um intervalo de endereços IP. Talvez você queira combinar todos os endereços IP em uma sub-rede.
Talvez você queira combinar todos os endereços IP em um intervalo de sub-redes. Independentemente disso, você deseja
verificar mais de um endereço IP em um intervalo de endereços.
O IOS permite que as ACLs padrão correspondam a um intervalo de endereços usando uma ferramenta chamada
máscara curinga. Observe que esta não é uma máscara de sub-rede. A máscara curinga (que este livro abrevia como máscara
WC) fornece ao engenheiro uma maneira de dizer ao IOS para ignorar partes do endereço ao fazer comparações,
essencialmente tratando essas partes como curingas, como se já correspondessem.
Você pode pensar em máscaras WC em decimal e em binário, e ambos têm seus usos. Para começar,
pense nas máscaras WC em decimal, usando estas regras:
Decimal 0: O roteador deve comparar este octeto normalmente.
Decimal 255: O roteador ignora este octeto, considerando que já corresponde.
Mantendo essas duas regras em mente, considere a Figura 2-6, que demonstra essa lógica usando três
máscaras WC diferentes, mas populares: uma que informa ao roteador para ignorar o último octeto, uma que
informa ao roteador para ignorar os dois últimos octetos e uma que diz ao roteador para ignorar os últimos três
octetos.
10 . 21. 0 . 10 . 1. 00. 10 . .
000 .
10 . 21. 1 . 10 . 1. 54. 10 . .
432 .
0 . . .25500 0 . . .2552550 0 . . .255255255
255 = Ignorar
Figura 2-6 Lógica para Máscaras de WC 0.0.0.255, 0.0.255.255 e 0.255.255.255
Todos os três exemplos nas caixas da Figura 2-6 mostram dois números que são claramente diferentes.
A máscara WC faz com que o IOS compare apenas alguns dos octetos, enquanto ignora outros octetos.
Todos os três exemplos resultam em uma correspondência, porque cada máscara curinga diz ao IOS para
ignorar alguns octetos. O exemplo à esquerda mostra a máscara WC 0.0.0.255, que diz ao roteador para tratar
o último octeto como um curinga, ignorando essencialmente esse octeto para a comparação. Da mesma forma,
o exemplo do meio mostra a máscara WC 0.0.255.255, que diz ao roteador para ignorar os dois octetos à
direita. O caso mais à direita mostra a máscara WC 0.255.255.255, dizendo ao roteador para ignorar os três
últimos octetos ao comparar valores.
Para ver a máscara de WC em ação, pense no exemplo anterior relacionado à Figura 2-4 e à Figura 2-5. O
pseudocódigo ACL nessas duas figuras usava lógica que pode ser criada usando uma máscara WC. Como
lembrete, a lógica na ACL do pseudocódigo nessas duas figuras incluía o seguinte:
Linha 1: Combine e permita todos os pacotes com um endereço de origem exatamente 10.1.1.1.
Linha 2: Combine e negue todos os pacotes com endereços de origem com os três primeiros octetos 10.1.1.
Linha 3: Combine e permita todos os endereços com o primeiro único octeto 10.
A Figura 2-7 mostra a versão atualizada da Figura 2-4, mas com a sintaxe correta e completa, incluindo as
máscaras WC. Em particular, observe o uso da máscara WC 0.0.0.255 no segundo comando, informando R2 para
ignorar o último octeto do número 10.1.1.0, e a máscara WC 0.255.255.255 no terceiro comando, informando R2
para ignorar os três últimos octetos no valor 10.0.0.0.
Finalmente, observe que ao usar uma máscara WC, o parâmetro source definido livremente do comando
access-list deve ser 0 em qualquer octeto onde a máscara WC for 255. O IOS especificará um endereço de
origem como 0 para as partes que serão ignoradas , mesmo se valores diferentes de zero foram configurados.
10.1.1.1
UMA
S0/0/1
S1
F0/0 S0/0/0 F0/0
R1 R2
B
F0/1
2
10.1.1.2 LCA 1
C lista de acesso 1 permissão 10.1.1.1
lista de acesso 1 negar 10.1.1.0 0.0.0.255
10.3.3.3 lista de acesso 1 permissão 10.0.0.0 0.255.255.255
Figura 2-7 ACL sintaticamente correto substitui o pseudocódigo da Figura 2-4
Máscaras curinga binárias

As máscaras curinga, como valores de número decimal com pontos (DDN), representam, na verdade, um número
binário de 32 bits. Como um número de 32 bits, a máscara WC na verdade direciona a lógica do roteador bit a bit.
Resumindo, um bit de máscara WC de 0 significa que a comparação deve ser feita normalmente, mas um binário 1
significa que o bit é um curinga e pode ser ignorado ao comparar os números.
Felizmente, para fins de estudo CCNA e para a maioria das aplicações do mundo real, você pode ignorar a máscara
WC binária. Por quê? Bem, geralmente queremos combinar um intervalo de endereços que possam ser facilmente
identificados por um número de sub-rede e máscara, seja uma sub-rede real ou uma rota de resumo que agrupa sub-
redes. Se você puder descrever o intervalo de endereços com um número de sub-rede e uma máscara, poderá
encontrar os números a serem usados em sua ACL com alguma matemática decimal simples, conforme discutido a
seguir .
NOTA Se você realmente deseja conhecer a lógica da máscara binária, pegue os dois números DDN que a
ACL irá comparar (um do comando access-list e outro do cabeçalho do pacote) e converta ambos em binários.
Em seguida, converta também a máscara WC para binário. Compare os dois primeiros números binários bit a bit,
mas também ignore quaisquer bits para os quais a máscara WC liste um binário 1, porque isso lhe diz para
ignorar o bit. Se todos os bits que você verificou forem iguais, é uma correspondência!
Encontrando a máscara curinga certa para corresponder a uma sub-rede

Em muitos casos, uma ACL precisa corresponder a todos os hosts em uma sub-rede específica. Para combinar
uma sub-rede com uma ACL, você pode usar o seguinte atalho:
ÿ Use o número da sub-rede como o valor de origem no comando access-list .
ÿ Use uma máscara curinga encontrada subtraindo a máscara de sub-rede de 255.255.255.255.
Por exemplo, para a sub-rede 172.16.8.0 255.255.252.0, use o número da sub-rede (172.16.8.0) como parâmetro
de endereço e faça o seguinte cálculo para localizar a máscara curinga:
255.255.255.255
– 255.255.252.0
0. 0. 3.255
Continuando este exemplo, um comando completo para esta mesma sub-rede seria o seguinte:
permissão da lista de acesso 1 172.16.8.0 0.0.3.255

A seção “Praticar a aplicação de ACLs IP padrão” oferece a oportunidade de praticar a correspondência de sub-
redes ao configurar ACLs.
Correspondência de qualquer/todos os endereços
Em alguns casos, você desejará que um comando ACL corresponda a todo e qualquer pacote que chegue a
esse ponto na ACL. Primeiro, você precisa conhecer a maneira (simples) de combinar todos os pacotes usando
a palavra-chave any . Mais importante, você precisa pensar em quando combinar todos e quaisquer pacotes.
Primeiro, para combinar todos e quaisquer pacotes com um comando ACL, basta usar a palavra-chave any para o
endereço. Por exemplo, para permitir todos os pacotes:
lista de acesso 1 permite qualquer
Então, quando e onde você deve usar esse comando? Lembre-se, todas as Cisco IP ACLs terminam com um
conceito de negação implícita no final de cada ACL. Ou seja, se um roteador comparar um pacote com a ACL e
o pacote não corresponder a nenhuma das instruções configuradas, o roteador descartará o pacote. Quer
substituir esse comportamento padrão? Configure uma permissão qualquer no final da ACL.
Você também pode querer configurar explicitamente um comando para negar todo o tráfego (por exemplo,
lista de acesso 1 deny any) no final de uma ACL. Por que, quando a mesma lógica já fica no final da ACL?
Bem, os comandos show ACL listam contadores para o número de pacotes combinados por cada comando na
ACL, mas não há nenhum contador para negar qualquer conceito implícito no final da ACL. Portanto, se você
quiser ver os contadores de quantos pacotes são correspondidos pela lógica deny any no final da ACL, configure
um deny any explícito .
Implementando ACLs de IP padrão

Este capítulo já introduziu todas as etapas de configuração em partes. Esta seção resume essas partes como
um processo de configuração. O processo também se refere ao comando access-list , cuja sintaxe genérica é
repetida aqui para referência:
lista de acesso número da lista de acesso {negar | permitir} fonte [source-curinga]
Passo 1. Planeje a localização (roteador e interface) e direção (dentro ou fora) nessa interface:
A. As ACLs padrão devem ser colocadas próximas ao destino dos pacotes para que não descartem
involuntariamente os pacotes que não devem ser descartados.
B. Como as ACLs padrão só podem corresponder ao endereço IP de origem de um pacote,

identifique os endereços IP de origem dos pacotes conforme eles vão na direção que a ACL
está examinando.
Etapa 2. Configure um ou mais comandos de configuração global da lista de acesso para criar a ACL, tendo
em mente o seguinte:
A. A lista é pesquisada sequencialmente, usando a lógica de primeira correspondência.
B. A ação padrão, se um pacote não corresponder a nenhuma lista de acesso com

mandos, é negar (descartar) o pacote.
Etapa 3. Habilite a ACL na interface do roteador escolhido, na direção correta, usando

o número do grupo de acesso ip {em | out} subcomando de interface .
O restante desta seção mostra alguns exemplos.

Exemplo 1 de ACL numerado padrão

O primeiro exemplo mostra a configuração para os mesmos requisitos demonstrados na Figura 2-4 e na
Figura 2-5. Reafirmado, os requisitos para esta ACL são os seguintes:
1. Habilite a entrada ACL na interface S0/0/1 do R2.
2. Permitir pacotes vindos do host A. 2

3. Negue pacotes vindos de outros hosts na sub-rede do host A.
4. Permitir pacotes vindos de qualquer outro endereço na rede Classe A 10.0.0.0.
5. O exemplo original não fez comentários sobre o que fazer por padrão, então simplesmente negue
todo o outro tráfego.
O Exemplo 2-1 mostra uma configuração correta completa, começando com o processo de configuração,
seguido pela saída do comando show running-config .
Exemplo 2-1 ACL numerada padrão Exemplo 1 Configuração

R2# configurar terminal
Digite os comandos de configuração, um por linha. Termine com CNTL/Z.
R2(config)# lista de acesso 1 permissão 10.1.1.1
R2(config)# access-list 1 deny 10.1.1.0 0.0.0.255
R2(config)# access-list 1 permit 10.0.0.0 0.255.255.255
R2(config)# interface S0/0/1
R2(config-if)# ip access-group 1 in
R2(config-if)# ^Z
R2# mostra a configuração em execução
! Linhas omitidas por brevidade

lista de acesso 1 negar 10.1.1.0 0.0.0.255
lista de acesso 1 permissão 10.0.0.0 0.255.255.255
Primeiro, preste muita atenção ao processo de configuração na parte superior do exemplo. Observe que o
comando access-list não altera o prompt de comando do prompt do modo de configuração global, porque
o comando access-list é um comando de configuração global.
Em seguida, compare isso com a saída do comando show running-config : os detalhes são idênticos
em comparação com os comandos que foram adicionados no modo de configuração. Finalmente, certifique-
se de anotar o ip access-group 1 no comando, sob a interface S0/0/1 do R2, que habilita a lógica ACL
(local e direção).
O Exemplo 2-2 lista algumas saídas do Roteador R2 que mostram informações sobre essa ACL. O comando
show ip access-lists lista detalhes somente sobre IPv4 ACLs, enquanto o comando show access lists
lista detalhes sobre IPv4 ACLs mais quaisquer outros tipos de ACLs que estão configurados no momento;
por exemplo, ACLs IPv6 .
Exemplo 2-2 ACL mostra comandos em R2

R2# mostra listas de acesso IP
Lista de acesso IP padrão 1
10 licença 10.1.1.1 (107 partidas)

20 nega 10.1.1.0, bits curinga 0.0.0.255 (4 correspondências)
30 permitem 10.0.0.0, bits curinga 0.255.255.255 (10 correspondências)

R2# mostra listas de acesso
Lista de acesso IP padrão 1
10 licença 10.1.1.1 (107 partidas)

20 nega 10.1.1.0, bits curinga 0.0.0.255 (4 correspondências)
30 permitem 10.0.0.0, bits curinga 0.255.255.255 (10 correspondências)
R2# mostra interface ip s0/0/1
Serial0/0/1 está ativo, o protocolo de linha está ativo
O endereço da Internet é 10.1.2.2/24
O endereço de transmissão é 255.255.255.255
Endereço determinado pelo comando de configuração

MTU é 1500 bytes
O endereço do auxiliar não está definido
O encaminhamento de transmissão direcionada está desabilitado
Grupos reservados multicast ingressados: 224.0.0.9

A lista de acesso de saída não está definida
A lista de acesso de entrada é 1
! Linhas omitidas por brevidade
A saída desses comandos mostra dois itens de observação. A primeira linha de saída neste caso indica o
tipo (padrão) e o número. Se existisse mais de uma ACL, você veria várias estrofes de saída, uma por
ACL, cada uma com uma linha de título como esta. Em seguida, esses comandos listam as contagens de
pacotes para o número de pacotes que o roteador combinou com cada comando. Por exemplo, 107
pacotes até agora corresponderam à primeira linha na ACL.
Finalmente, o final do exemplo lista a saída do comando show ip interface . Este comando lista, entre
muitos outros itens, o número ou nome de qualquer IP ACL habilitado na interface pelo subcomando ip
access-group interface.
Exemplo 2 de ACL numerado padrão

Para o segundo exemplo, use a Figura 2-8 e imagine que seu chefe lhe dá alguns requisitos
apressadamente no corredor. A princípio, ele diz que deseja filtrar os pacotes que vão dos servidores
à direita para os clientes à esquerda. Em seguida, ele diz que deseja que você permita o acesso dos
hosts A, B e outros hosts em sua mesma sub-rede ao servidor S1, mas negue o acesso a esse
servidor aos hosts na sub-rede do host C. Em seguida, ele informa que, além disso, os hosts na sub-
rede do host A devem ter acesso negado ao servidor S2, mas os hosts na sub-rede do host C devem ter
acesso ao servidor S2 - tudo filtrando os pacotes da direita para a esquerda apenas. Ele então diz para
você colocar a entrada ACL na interface F0/0 do R2.
10.1.1.1/24 10.2.2.1
UMA
S1
F0/0 S0/0/0 F0/0
R1 S0/0/1 R2
B
F0/1
S2
10.1.1.2/24
C
10.3.3.3 10.2.2.2
Figura 2-8 Exemplo 2 de ACL numerado padrão

Se você analisar todos os comentários do chefe, os requisitos podem ser reduzidos ao seguinte:
1. Habilite a entrada ACL na interface F0/0 do R2.
2. Permitir pacotes do servidor S1 indo para hosts na sub-rede de A.
3. Negue pacotes do servidor S1 indo para hosts na sub-rede de C. 2

4. Permitir pacotes do servidor S2 indo para hosts na sub-rede de C.
5. Negue pacotes do servidor S2 indo para hosts na sub-rede de A.
6. (Não houve comentários sobre o que fazer por padrão; use a negação implícita de todos
predefinição.)
Acontece que você não pode fazer tudo o que seu chefe pediu com uma ACL padrão. Por exemplo, considere o
comando óbvio para o requisito número 2: access-list 2 permit 10.2.2.1. Isso permite todo o tráfego cujo IP de origem
seja 10.2.2.1 (servidor S1). O próximo requisito pede que você filtre (rejeite) os pacotes originados desse mesmo
endereço IP! Mesmo se você adicionasse outro comando que verificasse o endereço IP de origem 10.2.2.1, o roteador
nunca chegaria a ele, porque os roteadores usam a lógica de primeira correspondência ao pesquisar a ACL. Você não pode
verificar o endereço IP de destino e de origem, porque as ACLs padrão não podem verificar o endereço IP de destino.
Para resolver este problema, você deve obter um novo chefe! Não, sério, você tem que repensar o problema e mudar as
regras. Na vida real, você provavelmente usaria uma ACL estendida, que permite verificar o endereço IP de origem e de
destino.
Para praticar outra ACL padrão, imagine que seu chefe permite que você altere os requisitos. Primeiro, você usará duas
ACLs de saída, ambas no roteador R1. Cada ACL permitirá que o tráfego de um único servidor seja encaminhado para
aquela LAN conectada, com os seguintes requisitos modificados:
1. Usando uma ACL de saída na interface F0/0 de R1, permita pacotes do servidor S1 e
negar todos os outros pacotes.
2. Usando uma ACL de saída na interface F0/1 de R1, permita pacotes do servidor S2 e
negar todos os outros pacotes.
O Exemplo 2-3 mostra a configuração que completa esses requisitos.
Exemplo 2-3 Configuração alternativa no roteador R1
observação da lista de acesso 2 Esta ACL permite o tráfego do servidor S1 para a sub-rede do host A
!
observação da lista de acesso 3 Esta ACL permite o tráfego do servidor S2 para a sub-rede do host C
permissão da lista de acesso 3 10.2.2.2
!
interface F0/0
ip access-group 2 out
!
interface F0/1
Conforme destacado no exemplo, a solução com ACL número 2 permite todo o tráfego do servidor S1,
com essa lógica habilitada para pacotes que saem da interface F0/0 de R1. Todos os outros tráfegos
serão descartados devido à negação implícita de tudo no final da ACL. Além disso, a ACL 3 permite o
tráfego do servidor S2, que então tem permissão para sair da interface F0/1 de R1. Além disso, observe
que a solução mostra o uso do parâmetro de observação da lista de acesso , que permite deixar a
documentação em texto que fica com a ACL.
NOTA Quando os roteadores aplicam uma ACL para filtrar pacotes na direção de saída, conforme
mostrado no Exemplo 2-3, o roteador verifica os pacotes que ele roteia em relação à ACL. No entanto, um
roteador não filtra os pacotes que o próprio roteador cria com uma ACL de saída. Exemplos desses pacotes
incluem mensagens de protocolo de roteamento e pacotes enviados pelos comandos ping e traceroute
nesse roteador.
Dicas para solução de problemas e verificação

A resolução de problemas de ACLs IPv4 requer alguma atenção aos detalhes. Em particular, você
precisa estar pronto para examinar o endereço e a máscara curinga e prever com confiança os
endereços correspondentes a esses dois parâmetros combinados. Os próximos problemas de prática um
pouco mais adiante neste capítulo podem ajudar a prepará-lo para essa parte do trabalho. Mas algumas
outras dicas também podem ajudá-lo a verificar e solucionar problemas de ACL nos exames.
Primeiro, você pode saber se o roteador está combinando pacotes ou não com algumas ferramentas. O
Exemplo 2-2 já mostrou que o IOS mantém estatísticas sobre os pacotes combinados por cada linha de
uma ACL. Além disso, se você adicionar a palavra-chave log ao final de um comando de lista de acesso ,
o IOS emitirá mensagens de log com estatísticas ocasionais sobre correspondências dessa linha
específica da ACL. Tanto as estatísticas quanto as mensagens de log podem ser úteis para decidir qual
linha na ACL está sendo correspondida por um pacote.
Por exemplo, o Exemplo 2-4 mostra uma versão atualizada da ACL 2 do Exemplo 2-3, desta vez com a
palavra-chave log adicionada. A parte inferior do exemplo mostra uma mensagem de log típica, esta
mostrando a correspondência resultante com base em um pacote com o endereço IP de origem 10.2.2.1
(conforme combinado com a ACL), para o endereço de destino 10.1.1.1 .
Exemplo 2-4 Criando mensagens de log para estatísticas de ACL

R1# mostra a configuração em execução
! linhas removidas por brevidade
observação da lista de acesso 2 Esta ACL permite o tráfego do servidor S1 para a sub-rede do host A
lista de acesso 2 permissão 10.2.2.1 log

!
interface F0/0
R1#
4 de fevereiro 18:30:24.082: %SEC-6-IPACCESSLOGNP: lista 2 permitida 0 10.2.2.1 -> 10.1.1.1, 1

pacote
Ao solucionar problemas de uma ACL pela primeira vez, antes de entrar nos detalhes da lógica
correspondente, reserve um tempo para pensar na interface na qual a ACL está habilitada e na direção do
fluxo de paco

Idioma

CCNA 200-301 Official Cert Guide - Volume 2 (Odom, Wendell) PT-BR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CCNA 200-301 Official Cert Guide - Volume 2 (Odom, Wendell) PT-BR

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Machine Translated by Google

CCNA 200-301, Volume 2

11. Cenário de configuração de ACL padrão

Requisitos do sistema CCNA 200-301 Network Simulator Lite, Volume 2:

ii Guia Oficial de Certificação CCNA 200-301, Volume 2

Guia Oficial de Certificação CCNA 200-301,

Direitos autorais © 2020 Pearson Education, Inc.

Publicado por: Cisco Press

Código de Impressão Automatizado Scout

Número de controle da Biblioteca do Congresso: 2019949625

Aviso e isenção de responsabilidade

Reconhecimentos de marca registrada

Para consultas de vendas governamentais, entre em contato com Governmentsales@pearsoned.com.

Agradecemos sua assistência.

Editor-chefe: Mark Taub Editor Técnico: Elan Beer

Editor-chefe: Sandra Schroeder Composição: Tricia Bronkella

Editor de Desenvolvimento: Christopher Cleveland Indexador: Ken Johnson

Editora Sênior do Projeto: Tonya Simpson Revisor: Debbie Williams

Editor de texto: Chuck Hutchinson

iv Guia Oficial de Certificação CCNA 200-301, Volume 2

Sobre o Autor Contribuinte

Sobre o Revisor Técnico

vi Guia Oficial de Certificação CCNA 200-301, Volume 2

Parte I Listas de controle de acesso IP 3

Capítulo 1 Introdução ao transporte e aplicativos TCP/IP 4

Capítulo 2 Listas Básicas de Controle de Acesso IPv4 24

Capítulo 3 Listas de controle de acesso IPv4 avançado 44

parte II Serviços de Segurança 67

Capítulo 4 Arquiteturas de Segurança 68

capítulo 5 Protegendo Dispositivos de Rede 86

Capítulo 6 Implementando a Segurança da Porta do Comutador 106

Capítulo 7 Implementando DHCP 122

Capítulo 8 Snooping DHCP e Inspeção ARP 144

Parte II Revisão 168

Parte III Serviços IP 171

Capítulo 9 Protocolos de Gerenciamento de Dispositivo 172

Capítulo 10 Tradução de Endereço de Rede 202

Capítulo 11 Qualidade de Serviço (QoS) 226

Capítulo 12 Serviços IP Diversos 254

Parte III Revisão 284

Parte IV Arquitetura de Rede 287

Capítulo 13 Arquitetura de LAN 288

Capítulo 14 Arquitetura WAN 302

Capítulo 15 Arquitetura de Nuvem 328

Parte IV Revisão 352

Parte V Automação de Rede 355

Capítulo 16 Introdução à rede baseada em controlador 356

Capítulo 17 Acesso definido por software Cisco (SDA) 382

viii CCNA 200-301 Official Cert Guide, Volume 2

Capítulo 18 Entendendo REST e JSON 406

Capítulo 19 Entendendo Ansible, Puppet e Chef 428

Revisão da Parte V 444

Parte VI Revisão Final 447

Parte VII Apêndices 467

Apêndice B CCNA 200-301, Volume 2 Atualizações do Exame 476

Apêndice C Respostas à pergunta “Já sei disso?” Testes 478

Apêndice E Prática para o Capítulo 2: Listas Básicas de Controle de Acesso IPv4

Apêndice F Edição anterior ICND1 Capítulo 35: Gerenciando arquivos IOS

Apêndice G Referência Cruzada dos Tópicos do Exame

x Guia Oficial de Certificação CCNA 200-301, Volume 2

Ícones usados neste livro