Escolar Documentos
Profissional Documentos
Cultura Documentos
200-301
1
Capítulo 1 – Fundamentos de redes
MODELOS EM CAMADAS
2
O MODELO OSI
Seu poder de processamento ainda era bem inferior ao dos computadores de grande
porte da época, mas sua versatilidade aliada à escalibilidade proporcionada pelos
modelos desktop trouxeram uma nova era na informatização dos trabalhos dentro das
empresas.
Devido ao fato das informações serem totalmente intern relacionadas, logo surgiu
a necessidade de unir o resultado do processamento das pequenas máquinas entre si
e também com o computador de grande porte.
Surgiram soluções arrojadas e caras para as primeiras redes entre os PC´s; e algumas
empresas na época até conseguiram alavancar seu desenvolvimento oferecendo este tipo
de solução, além do comércio e importação dos pequenos computadores.
3
A presença dos computadores PC continuou a crescer dentro das empresas, devido ao
seu baixo custo se comparado ao grande porte e também por um outro fato ocorrido
na época, que foi a perda de controle por parte da IBM que conduziu a produção do
primeiros PC´s tratados inclusive como os IBMn PC. Como não ouve um patenteamento
do produto, por uma série de circunstâncias comerciais, outras empresas começaram a
produzir os cópias do produto da IBM. Essa produção cresceu muito rápido e
ultrapassou o produto original rapidamente. E esse fato também derrubou os preços
destas máquinas acelerando ainda mais sua entrada nas empresas.
As soluções apresentadas na época para interligação dos PC´s foram bem recebidas
pelo mercado, pois solucionavam o problema crônico das atualizações de dados. Já no
início da nova onda dos PC´s, era necessário gerar cópias de tudo o que era introduzido
no equipamento para agrupar ao produto de outros computadores. Se por um lado
eram úteis descentralizando o processamento dos dados, para aproveitar seu trabalho
era necessário integrar tudo num outro equipamento. Este centralizador poderia até
mesmo ser um mainframe ou mesmo outro PC que manteria uma centralização do que
era produzido nos outros equipamentos espalhados pela empresa. Começava a surgir
ali, o conceito dos primeiros servidores de banco de dados e outras informações.
Após coletar o trabalho de cada máquina com mídias utilizadas na época, tais como
disquetes e fitas, era necessário juntar tudo para gerar um produto
final. Normalmente, enfrentavan se problemas de atualização das informações, pois
qualquer input de dados feito nas maquinas e não passado ao centralizador, gerava
problemas de atualização nas bases de dados. Mesmo sincronizando as coletas
por horários, nunca se podia dizer que a base de dados central estava totalmente
atualizada.
Dessa forma, qualquer solução que pudesse interligar os computadores PC era bem
vinda. E o que surgiu na época foram as soluções onde o fabricante ofertava desde a
placa de rede, passando por conectores e cabos, softwares e drivers. Tudo compunha
um único pacote, proprietário da solução. E não existia nenhum tipo de
interoperabilidade entre os fabricantes dessas soluções.
4
Ao comprar a rede de um fabricante, o cliente ficava preso a esse fabricante, pois tudo
que era necessário para ampliação da rede precisava vir dali.
Fica claro que essa situação trouxe problemas para quem precisava de uma rede na
época. Basta lembrarmos que os computadores PC avançavam e ocupavam cada mais
espaço nas empresas. Dessa forma, interligán los em rede se tornava
algo imprescindível naquele momento.
Neste cenário de incertezas e temor comercial, a ISO, uma das principais organizações
internacionais atuante em desenvolvimento e publicação de padronizações
tecnológicas, apresentou ao mundo um modelo em camadas que descrevia em sete
módulos todo o processo de comunicação entre dois dispositivos em uma rede.
5
BENEFÍCIOS DO MODELO OSI
Na parte mais alta encontra-‐‐se a parte lógica das comunicações, como aplicações e
protocolos e nas camadas mais baixas todo o conjunto de hardware envolvido no
processo.
Como cada fase da comunicação foi descrita nas camadas, podemos destacar facilmente
alguns benefícios trazidos por este modelo:
6
e pudesse ser facilmente compreendido tem seu caminho aberto para o
sucesso.
3) Interoperabilidade – Este talvez tenha sido o fruto maior do modelo OSI. Uma
vez que cada fabricante desenvolve seus produtos tendo como referência as
descrições do modelo em camadas, todos se tornam compatíveis. É claro que as
diferenças sempre existiram e existirão, principalmente devido ao nível dos
investimentos de cada produtor. Os maiores, agregavam outras qualidades a
seus produtos além do que estava descrito como base pela referência. Os
menores, por sua vez, apenas atendiam as referências, o que já os tornava
apropriados e compatíveis para serem utilizados pelo mercado.
Aqui, traremos um breve conteúdo sobre cada uma das camadas, que deve ser bastante
considerado se a obtenção da certificação CCNA for um dos maiores objetivos:
7 – CAMADA DE APLICAÇÃO:
Esta é a camada mais alta do Modelo e mais próxima do ser humano, operante do
sistema. Aqui residem os controles sobre os serviços mais básicos de comunicações
através de software. Os bancos de dados, os browsers, as aplicações específicas para
comunicações via e-‐‐mails ou outros. Nomes muito conhecidos nos ambientes de redes,
tais como FTP, Telnet, SMTP, SNMP são considerados aplicações completas e
7
fazem parte desta camada. Costuma-‐‐se ainda, separar as aplicações por funcionalidade
em uma rede. Os aplicativos diretos seriam aqueles cuja existência está relacionada
exclusivamente a uma rede de dados. Não teriam utilidade alguma se o computador
onde residem não possuisse uma conexão a uma rede. Neste momento, te desafiamos
um pouco a pensar e escrever abaixo o nome de softwares que se encaixam como
aplicativos diretos de rede. Pense em ao menos 3 deles:
a)
b)
c)
a)
b)
c)
6 – CAMADA DE APRESENTAÇÃO
Esta camada é responsável pela compatibilização entre os formatos dos dados. Tudo o
que envolve a sintaxe das informações está relacionada a esta camada. Existem 3 termos
muito fortes aqui que são a Criptografia, Compactação e Sintaxe dos dados.
O formato que uma aplicação atribui a um arquivo, bem como os formatos das
informações existentes dentro dos arquivos está descrita e documentada nesta camada.
Em outros modelos de referência, é comum que esta camada esteja totalmente
integrada a camda de aplicações, pois suas tarefas são muito próximas. Como um
exemplo prático de dificuldades envolvendo esta camada, podemos citar o exemplo de
um arquivo gerado numa arquitetura de computadores diferente do ambiente do PC.
Ao tentarmos interpretá-‐‐lo em um computador PC, teremos diferenças de códigos
originais de formato do arquivo que não serão interpretadas no
8
PC. Aqui estamos tratando de diferenças, por exemplo entre os formatos ASCII e EBCDIC,
que estão relacionados à base de formação de arquivos em diferentes arquiteturas de
computadores.
5 – CAMADA DE SESSÃO
Nesta camada, os protocolos tratam do controle das sessões que são estabelecidas,
mantidas e terminadas entre as aplicações.
Mas vale lembrar que relacionado a certificação CCNA, apenas a funcionalidade básica
desta camada, que se resume ao controle das sessões entra aplicações é o mais
importante.
4 – CAMADA DE TRANSPORTE
Esta camada possui uma relevância maior que as superiores a ela no que diz respeito a
preparação para o CCNA.
9
Aqui são tratados os processos que envolvem a qualidade na comunicação e alguns
controles até mesmo relacionados à segurança das aplicações.
10
Observe que o ponto A, para iniciar a comunicação envia uma primeira sequencia de
dados. Algo como no início de uma conversa telefônica sendo estabelecida entre você e
um amigo. Neste caso, o sincronization inicial (SYN) seria semelhante a “Bom dia,
podemos conversar?”. Na sequência, seu amigo responderia demonstrando que
recebeu a mensagem (ACK) e enviando a própria mensagem: “Bom dia, sim podemos”
(SYN+ACK). E por fim, quando você comunicasse a ele que recebeu a resposta com um
simples “ok”, (ACK) teríamos ai um ambiente propício para uma troca de informações
mais longa descrita a seguir.
Observe que neste ponto começa a transmissão das informações para as quais a
conexão foi estabelecida. O volume de informações que deve ser enviado é longo e não
poderá ser transmitido em um único envio. Uma das funções do controle da conexão é
validar os limites de envio para cada conjunto de informações. O ponto A
11
envia uma quantidade de informações que julga adequada para ser recebida pelo ponto
B (Dados, na figura). Em termos técnicos, dizemos que isso corresponde ao tamanho de
uma janela de comunicações, que por sua vez é composta por um certo número de
segmentos. O ponto B, por sua vez, precisa receber estas informações, processá-‐‐las e
enviar um OK (ACK) para que o ponto A continua a transmitir. Apenas mediante a esta
confirmação de recebimento, o ponto A dará prosseguimento à transmissão.
Se pensarmos numa situação onde o ponto A tenha enviado uma janela contendo 5
segmentos, ele apenas enviará a sequência, que seria a proxima janela contendo os
segmentos seguintes (6 a 10) quando receber do ponto B a confirmação do que foi
enviado (ACK). Por motivos óbvios, a espera por esta confirmação não poderá ser
eterna. Ela tem seu tempo estabelecido também pelos parâmetros do protocolo TCP
para cada tipo de aplicação envolvida na comunicação. Se este tempo se esgotar, o
ponto A irá retransmitir as informações, reduzindo o tamanho da janela para 4
segmentos, por “julgar” que o destinatário pode não ter conseguido processar o volume
inicial de informações. Aqui temos 2 importantes processos da comunicação TCP, que
são a retransmissão e o controle de fluxo.
Uma outra possibilidade, seria que o ponto B enviasse um ACK de valor menor do que
o esperado pelo ponto A. Algo como ACK 5 ou ACK 4, demonstrando assim não ter
conseguido receber e processar todo o bloco de informações. Neste caso, teríamos
também uma situação de reenvio parcial da informação faltante ou ainda um reenvio
completo, com uma janela menor. É comum que o controle de fluxo estabelecido seja
chamado de “janelamento”.
O que estamos observando na verdade, nada mais é do que uma espécie de negociação
entre o ponto A e ponto B sobre o tamanho da janela de comunicação aceita por ambos.
Toda a comunicação é bidirecional, por isso, observe que a figura mostra também o
ponto B enviando dados e aguardando por ACK proveniente de A. Fato interessante
12
também, é que existem 2 negociações de tamanho de janela. A janela de
comunicação de A para B pode não ser a mesma do sentido inverso.
Ainda sobre o janelamento, vale destacar que ele pode ocorrer tanto para diminuir
como para aumentar o tamanho da janela de comunicação. Tudo dependerá do
produto das negociações que podem variar de acordo com a aplicação que está sendo
usada.
Se estendermos o exemplo, imaginando que seu amigo fosse um estrangeiro que está
aprendendo a falar português há pouco tempo, seria necessário que você controlasse
mais a transmissão das informações falando mais devagar e repetindo algumas vezes
certas frases para que ele compreendesse. Pense e responda...Numa situação como
esta, a que partes do processo TCP, sua conversa estaria relacionada?
R:
13
Figura na próxima página
Após a transmissão de toda a mensagem, o ponto A deseja encerrar a conexão. Ele então
envia ao ponto B uma mensagem especial do TCP conhecida como FIN (Finalization). Ele
aguarda pelo ACK de confirmação desta mensagem proveniente do ponto B. No
momento que esta mensagem ACK chega, o ponto A considera que metade da conexão
está encerrada (no caso a parte A na comunicação). Na sequência, o ponto B também
deve enviar seu sinal de FIN e receber do ponto A a confirmação (ACK). Então a
comunicação estará finalizada.
Voltando ao exemplo da ligação telefônica, você se despede do seu amigo mas não
desfaz a ligação imediatamente a isso. Você aguarda uma resposta dele e também suas
considerações finais sobre a conversa, que pode ser um simples “até logo”. Então você
confirma a ele que ouviu o que foi dito e então encerram a ligação.
14
O exemplo da ligação telefônica neste processo do TCP, tem por objetivo demonstrar
que na verdade a tecnologia é construída sob aspectos comuns da nossa vida. Em outras
palavras, em diversos aspectos você perceberá que a comunicação em redes procurar
reproduzir entre máquinas, a comunicação que existe entre as pessoas...
15
• Não possui nenhum tipo de confirmação de entrega, nem retransmissão
e nem controle de fluxo.
• Toda a confiabilidade do processo precisa ser fornecida pela aplicação
envolvida nas comunicações, pois não há suporte no protocolo UDP.
• Normalmente as aplicações que utilizam UDP realizam tarefas onde a
perda de alguns segmentos não destruirá a comunicação.
• O UDP proporciona maior rapidez na comunicação, pois não possui os
mecanismos de controle existentes no TCP.
• A comunicação connectionless (via UDP) recebe um qualificação de
handshake duplo, ao contrário do modelo TCP que é tratado como
Handshake triplo.
A respeito deste último ítem, pense e responda associando as fases do TCP e do
UDP aos seus respectivos Handshakes:
16
números lógicos chamados de sockets, popularmente referidos como portas que
permitem a diversidade de sessões de comunicação. Na figuras abaixo, você
observa um exemplo das estruturas dos segmentos TCP e UDP, pertencentes à
camada de transporte. Note como a estrutura do UDP é bem mais “enxuta” em
termos de campos, por não possuir os mesmos mecanismos de verificação
presentes no TCP.
Note também, que ambas as estruturas, possuem campos de 2 bytes (16 bits)
para identificação de source port e destination port.
UDP Header
Estes campos, por comportarem um espaço de até 16 bits, podem receber números até
o limite de 65536 (216). Normalmente, estas sequências são divididas da seguinte forma:
17
Portas de 0 a 1023 – As mais conhecidas, associadas a serviços e protocolos da pilha
TCP/IP, além de serviços mais integrados aos sistemas operacionais.
Portas acima de 1023 – Utilizadas pelos sistemas operacionais como portas de origem
no estabelecimento das sessões de comunicação. Além disso, as portas de valores mais
altos, por vezes são ligadas a aplicações específicas. Por exemplo, o Packet Tracer tem
associado a ele a porta 38000 para estabelecer sessões multiuser entre máquinas
através de uma rede. Os games que funcionam em rede também possuem suas portas
específicas para comunicação.
Todas estas portas por vezes, precisam ser liberadas ou bloqueadas num firewall por
exemplo para que uma comunicação em rede seja permitida. Em outras palavras, estas
portas também estão associadas à segurança do ambiente de rede.
As portas altas, acima de 5000 por exemplo, costumam passar por atualizações ao serem
vinculadas a novas aplicações, games, etc. No link abaixo, é possível acompanhar a lista
completa das portas, atualizada:
http://www.iana.org/assignments/service-‐‐names-‐‐port-‐‐numbers/service-‐‐names-‐‐port-‐‐
numbers.xhtml
3 – CAMADA DE REDE
A camada de rede está fortemente associada ao mundo Cisco. Nesta camada são
tratados os processos relacionados a rotas, escolha e determinação de caminhos para
os pacotes. Também nesta camada estão os endereços lógicos (ip) e os protocolos de
roteamento, além do roteador.
18
diferentes esta camada faz uso de tabelas especiais (chamadas de tabelas de
roteamento) para encaminhar as informações a seus destinos. Na camada de rede, as
informações são referenciadas como pacotes ou também datagramas. Todas as
informações suportadas por esta camada não se utilizam de processos de confirmação
de entrega. Portanto, os protocolos existentes aqui são referidos como protocolos não
confiáveis. Mas isso apenas pelo fato de não confirmarem a entrega das informações
como acontece na camada de transporte com o TCP.
19
ARP – Address Resolution Protocol – Este protocolo é utilizado na comunicação em rede
para encontrar um endereço físico (MAC address), a partir do conhecimento do
endereço IP do host de destino.
Abaixo esá um exemplo visual de um cabeçalho IP, como chamamos a estrutura que
comporta as informações da camada de rede.
O TTL (Time to Live) é um campo de 8 bits que começa a trafegar na rede com seu maior
valor (255) e vai sendo decrementado por cada nó de rede que atravessa até ser
descartado quando atinge o valor 0. Isto constitui uma importante ferramenta para
evitar que pacotes “perdidos” em rede, formem loops e atrapalhem o funcionamento
da rede.
20
Observe também, a presença dos campos source address e destination address. Eles
possuem 32 bits (4 bytes) de comprimento e abrigam os endereços lógicos de origem e
de destino de cada pacote. Posteriormente neste material traremos mais detalhes a
respeito dos endereços e sua particularidades.
Para os objetivos da certificação CCNA, os outros campos, além do TTL e dos endereços
de origem e destino não possuem relevância. Mas isso não deve impedir que você
realize sua pesquisa e aprenda também sobre a funcionalidade dos outros campos,
afinal em algum momento esse conhecimento poderá lhe ajudar nas tarefas práticas do
dia-‐‐a-‐‐diia em conectividade.
2 – CAMADA DE ENLACE
A camada de enlace aparece como a interface principal entre os meios físicos e a parte
lógica da rede. Ela é responsável por receber os pacotes da camada de rede e promover
um novo encapsulamento dos mesmos em uma estrutura chamada quadro (frame) que
por sua vez, possui uma ligação direta com a tecnologia física utilizada na transmissão.
No passado, a camada de enlace foi dividida em 2 partes:
21
LLC (Controle de link lógico)
MAC (Controle de acesso ao meio)
Por outro lado, a subcamada MAC, traz consigo a ligação mais direta com tecnologias
físicas, tais como ethernet e suas variações. Esta subcamada também está relacionada ao
endereço físico dos dispositivos de rede, conhecido como MAC address.
o A301F0_6B56C8
22
OUI <-‐‐> Fornecedor ou modelo
OUI representa o código do fabricante do hardware e a porção final, o endereço
individual deste hardware. Dessa forma podemos afirmar que 2 dispositivos que
possuem os primeiros 6 caracteres (ou 24 bits) em comum, pertencem ao
mesmo fabricante.
O endereço MAC funciona como uma identidade para que um dispositivo possa acessar
uma rede. Ele é gravado num chip do dispositivo (placa de rede, por exemplo) e está
presente na composição do encapsulamento das informações, exatamente na camada
de enlace.
Para que uma informação possa ser encaminhada de uma interface para outra dentro
da rede, o que chamamos de comutação, são sempre necessárias a presença dos
endereços MAC de origem e destino. As comutações ocorrem nos switches e também
nos roteadores.
23
A estrutura de dados da Ethernet, é representada pelo quadro Ethernet. Observe
abaixo:
Endereço de destino: Campo de 6 bytes (48 bits) que comporta o endereço MAC da
estação de destino do quadro.
Endereço de origem: Campo de 6 bytes (48 bits) que comporta o endereço MAC da
estação de origem do quadro.
Dados: Contém os dados a serem passados para a próxima camada. Seu tamanho
deve variar entre 46 e 1500 bytes. Se o quadro como um todo tiver menos de 64 bytes,
somados do endereço de destino até o FCS, este campo de dados pode sofrer um
preenchimento extra para que seja possível sua transmissão. A tarefa
deste preenchimento é parte integrante da tecnologia. Mas apenas ocorre quando o
quadro cumpre os padrões tecnológicos. Determinados erros podem fazer com que o
quadro seja encaminhado com tamanho menor do que esses 64 bytes descritos. Isto
tornará o quadro um elemento de descarte chamado “Runt”. Esse descarte pode ser
feito por um switch por exemplo. Uma situação prática de quando isso ocorre, diz
respeito à
24
restos de colisão em redes onde ainda existam hubs presentes, ou mesmo de placas de
rede de má qualidade.
FCS: Frame Check Sequence, contém o CRC (Cyclic Redundancy Checking). O CRC é o
resultado de um cálculo feito pelo equipamento de origem da informação e colocado
neste campo. A cada passagem do quadro por outros dispositivos, é feita a conferência
deste cálculo e caso existam diferenças, fica claro que houve perda ou alteração das
informações transportadas. Esta situação, chamado de quadros com erros de CRC, pode
normalmente ser filtrada nas redes e utilizada como base para identificação de
problemas nas transmissões.
1 – CAMADA FÍSICA
A camada Física OSI fornece os requisitos para transportar pelo meio físico de rede os
bits que formam o quadro da camada de Enlace de Dados. Essa camada aceita um
quadro completo da camada de Enlace de Dados e o codifica como uma série de sinais
que serão transmitidos para o meio físico local. Os bits codificados que formam um
quadro são recebidos por um dispositivo final ou por um dispositivo intermediário.
A entrega de quadros pelo meio físico local exige os seguintes elementos da camada
Física:
25
É também função da camada Física recuperar os sinais individuais do meio físico,
restaurá-‐‐los às suas representações de bit e enviar os bits para a camada de Enlace de
Dados como um quadro completo.
Os componentes físicos
Codificação de dados
Sinalização
A camada Física irá gerar os sinais elétricos, ópticos ou sem fio que representam o "1" e
"0" no meio físico. O método de representação de bits é chamado de método de
sinalização. Os padrões da camada Física devem definir que tipo de sinal representa o
"1" e o "0". Isso pode ser tão simples quanto uma alteração no nível de um sinal
elétrico ou de um pulso óptico ou um método de sinalização mais complexo.
MODELO TCP/IP
26
Além do modelo OSI, que serviu de referência para as redes locais, o modelo TCP/IP se
firmou como referência para as redes WAN. Uma das abordagens do CCNA é a relação
existente entre as camadas desses dois modelos.
27
Capítulo 2 – Endereçamento IPV4
28
ESTRUTURA DO ENDEREÇAMENTO IPV4
Cada dispositivo de uma rede deve ter uma definição exclusiva. Na camada de rede, os
pacotes de comunicação precisam ser identificados com os endereços de origem e de
destino dos dois sistemas finais. Com o IPv4, isso significa que cada pacote tem um
endereço de origem de 32 bits e um endereço de destino de 32 bits no cabeçalho da
Camada 3.
Esses endereços são usados na rede de dados como padrões binários. Dentro dos
dispositivos, a lógica digital é aplicada à sua interpretação. Para nós, na rede humana,
uma string de 32 bits é difícil de interpretar e ainda mais difícil de lembrar. Portanto,
representamos endereços IPv4 usando o formato decimal pontuada.
Padrões binários que representam endereços IPv4 e são expressos como decimais com
pontos, separando-‐‐se cada byte do padrão binário, chamado de octeto, com um ponto.
É chamado de octeto por que cada número decimal representa um byte ou 8 bits.
Por exemplo, o endereço: 10101100000100000000010000010100 é expresso no
formato decimal com pontos como: 172.16.4.20.
Tenha em mente que os dispositivos usam lógica binária. O formato decimal com
pontos é usado para facilitar para as pessoas o uso e a memorização de endereços.
Forma binaria
29
Octeto
Embora todos os 32 bits definam o endereço do host, temos um número variável de bits
que são chamados de porção de host do endereço. O número de bits usados nessa
porção de host determina o número de hosts que podemos ter na rede.
Por exemplo, se precisamos ter pelo menos 200 hosts em determinada rede,
precisaremos usar bits suficientes na porção de host para poder representar pelo menos
200 combinações de bits distintas.
30
Para atribuir um endereço único a cada um dos 200 hosts, usaremos todo o último
octeto. Com 8 bits, pode-‐‐se conseguir um total de 256 combinações de bits diferentes.
Isso significa que os bits dos três primeiros octetos representariam a porção de rede.
Notação Posicional
Aprender a converter de binário para decimal exige endendimento da base
matemática de um sistema de numeração chamado notação posicional. Notação
posicional significa que um dígito representa valores diferentes dependendo da
posição que ocupa. Mais especificamente, o valor que o dígito representa é aquele
valor multiplicado pela potência da base, ou raiz, representada pela posição que o
dígito ocupa. Alguns exemplos vão ajudar a esclarecer como esse sistema funciona. Para
o número decimal 245, o valor que o 2 representa é 2*10^2 (2 vezes 10 na
potência 2). O 2 está no que costumamos chamar de posição das centenas. A notação
posicional se refere a essa posição como posição de base^2, porque a base, ou raiz, é 10
e a potência é 2.
Usando a notação posicional no sistema de numeração de base 10, 245 representa: 245
= (2 * 10^2) + (4 * 10^1) + (5 * 10^0) ou 245 = (2 * 100) + (4 * 10) + (5 * 1) .
31
No sistema de numeração binário a raiz é 2. Portanto, cada posição representa
potências de 2 crescentes. Nos números binários de 8 bits, as posições representam
estas quantidades:
1 1 1 1 1 1 1 1
128, 64, 32, 16, 8, 4, 2, 1
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255
Um 0 em cada posição indica que o valor para aquela posição não é acrescentado ao
total. Um 0 em cada posição dá um total de 0.
128, 64, 32, 16, 8, 4, 2, 1
0+0+0+0+0+0+0+0=0
32
Note na figura que uma combinação diferente de uns e zeros resultará em um valor
decimal diferente.
Veja na figura abaixo os passos para converter um endereço binário para um endereço
decimal.
33
No exemplo, o número binário: 10101100 00010000 00000100 00010100 é convertido
para:
172.16.4.20
Um conjunto de exercícios será fornecido pelo instrutor para que você possa praticar
estas conversões,tanto do decimal para o binário como também ao contrário. Procure
fazer isso repetidamente, até adquirir prática que o permita fazer apenas
mentalmente, sem precisar utilizar tabelas ou anotações escritas. Isto abreviará seu
tempo de resposta para questões da certificação CCNA.
Não precisamos só ser capazes de converter de binário para decimal, mas também de
decimal para binário. Muitas vezes precisamos examinar um octeto individual de um
endereço apresentado em notação decimal com pontos. Isso acontece quando os bits de
rede e os bits de host dividem um octeto.
Como exemplo, se um host com o endereço 172.16.4.20 está usando 28 bits para o
endereço de rede, precisaríamos examinar o binário no último octeto para descobrir
que esse host está na rede 172.16.4.16. Esse processo de extrair o endereço de rede
do endereço de host será explicado mais adiante.
34
Valores de Endereço entre 0 e 255
Visto que nossa representação de endereços é limitada a valores decimais para um único
octeto, só examinaremos o processo de conversão de binário de 8 bits para os valores
decimais de 0 a 255.
35
36
Observe abaixo um endereço convertido em binário por um processo paralelo, mas
bem semelhante ao fluxo anterior:
Abaixo mais uma demonstração gráfica para facilitar a compreensão das conversões:
37
TIPOS DE ENDEREÇOS NUMA REDE IPV4
Dentro do intervalo de endereço de cada rede IPv4, temos três tipos de endereço:
Endereço de Rede - O endereço de rede é um modo padrão de se referir a uma rede.
Por exemplo, poderíamos chamar a rede mostrada na figura como a "rede 10.0.0.0".
Esse é um modo muito mais conveniente e descritivo de se referir à rede do que usar
um termo como "a primeira rede". Todos os hosts na rede 10.0.0.0 terão os mesmos
bits de rede.
Endereço de broadcast -‐‐ Endereço especial usado para enviar dados a todos os hosts
da rede
38
Dentro do intervalo de endereços IPv4 de uma rede, o primeiro endereço é reservado
para o endereço de rede. Esse endereço possui o valor 0 para cada bit de host do
endereço.
O endereço de broadcast IPv4 é um endereço especial para cada rede, que permite
comunicação a todos os hosts naquela rede. Para enviar dados para todos os hosts em
uma rede, um host pode enviar um único pacote que é endereçado para o endereço de
broadcast da rede.
Como descrito anteriormente, todo dispositivo final precisa de um endereço único para
encaminhar um pacote para um host. Nos endereços IPv4, atribuímos os valores entre
o endereço de rede e o de broadcast para os dispositivos naquela rede.
Prefixos de Rede
Uma pergunta importante é: Como sabemos quantos bits representam a porção de rede
e quantos bits representam a porção de host? Quando expressamos um endereço de
rede IPv4, acrescentamos um tamanho de prefixo ao endereço de rede. O tamanho do
prefixo é o número de bits no endereço que nos dá a porção de rede. Por exemplo, em
172.16.4.0 /24, o /24 é o tamanho do prefixo -‐‐ ele nos diz que os primeiros 24 bits são
o endereço de rede. Isso deixa os 8 bits restantes, o último octeto, como porção de host.
Mais adiante neste capítulo, aprenderemos mais um pouco sobre outra entidade que é
usada para especificar a porção de rede de um endereço IPv4 para os dispositivos de
rede. É chamada de máscara de sub-‐‐rede. A máscara de sub-‐‐rede
39
consiste em 32 bits, exatamente como o endereço, e usa 1s e 0s para indicar que bits
do endereço são bits de rede e que bits são bits de host.
172.16.20.0 /25
Endereços Decimal Representação binária
Rede 172.16.20.0 10101100 00010000 00010100 0 0000000
1º host válido 172.16.20.1 10101100 00010000 00010100 0 0000001
Broadcast 172.16.20.127 10101100 00010000 00010100 0 1111111
Último host válido 172.16.20.126 10101100 00010000 00010100 0 1111110
40
Na primeira linha, vemos a representação do endereço de rede. Com um prefixo de 25
bits, os últimos 7 bits são os bits de host. Para representar o endereço de rede, todos esse
bits de host são bits '0'. Isso faz com que o último octeto do endereço seja 0. O endereço
de rede fica assim: 172.16.20.0 /25.
Experimente utilizar esta forma para testar outros valores. De qualquer forma, a
prática com estes cálculos deverá lhe proporcionar habilidade para resolver muito
rapidamente os endereços de redes e hosts, para que possa melhorar a performance
se desejar fazer a certificação.
41
Endereços Privados
Muitos hosts em redes diferentes podem usar os mesmos endereços de espaço privado.
Os pacotes que usam esses endereços como origem ou destino não devem
42
aparecer na Internet pública. O roteador ou dispositivo de firewall no perímetro dessas
redes privadas deve bloquear ou converter esses endereços. Mesmo que esses pacotes
escapassem para a Internet, os roteadores não teriam rotas para as quais encaminhá-‐‐
los para a rede privada adequada.
Endereços Públicos
A vasta maioria dos endereços no intervalo de host unicast IPv4 são endereços públicos.
Esses endereços são projetados para serem usados nos hosts que são acessíveis
publicamente a partir da Internet. Mesmo nesses intervalos de endereços, há muitos
endereços que foram designados para outros fins especiais.
ENDEREÇAMENTO CLASSFULL
Historicamente, RFC1700 agrupava os intervalos unicast em tamanhos específicos
chamados endereços classe A, classe B e classe C. Também definia os endereços de
classe D (multicast) e classe E (experimental), como mencionado anteriormente.
43
Intervalos Classe A
Um intervalo de endereços classe A foi projetado para suportar redes extremamente
grandes, com mais de 16 milhões de endereços de host. Os endereços IPv4 classe A
usavam um prefixo /8 com o primeiro octeto para indicar os endereços da rede. Os três
octetos finais eram usados para endereços de host.
Intervalos Classe B
O espaço de endereços Classe B foi projetado para suportar as necessidades de redes
de tamanho moderado a muito grande com mais de 65.000 hosts. Um endereço IP
classe B usava os dois primeiros octetos para indicar o endereço de rede. Os outros dois
octetos especificavam os endereços de host. Como no caso da classe A, o espaço para
endereços das classes de endereços restantes precisava ser reservado também.
No caso de endereços classe B, os dois bits mais significativos do primeiro octeto eram
10. Isso restringia o intervalo de endereços para a classe B de 128.0.0.0 /16 a
191.255.0.0 /16. A Classe B tinha uma alocação de endereços ligeiramente mais
eficiente do que a da classe A porque dividia igualmente 25% do espaço total de
endereçamento IPv4 entre aproximadamente 16.000 redes.
Intervalos Classe C
O espaço de endereços classe C foi o mais comumente disponível das classes de
endereços. Esse espaço de endereço fornecia endereços para redes pequenas, com no
máximo 254 hosts. Os intervalos de endereço classe C usavam um prefixo /24. Isso
44
quer dizer que uma rede classe C usava apenas o último octeto como endereço de
host, e os três primeiros octetos eram usados para indicar o endereço de rede.
Embora esse sistema classful tenha sido abandonado no fim do ano 1990, você verá
restos dele nas redes atuais. Por exemplo, quando você atribui um endereço IPv4 para
um computador, o sistema operacional examina o endereço sendo designado para
determinar se esse endereço é de classe A, classe B ou classe C. O sistema operacional
assume então o prefixo usado por aquela classe e faz a atribuição adequada da
máscara de subn rede.
45
ENDEREÇAMENTO CLASSLESS
O sistema que usamos atualmente é chamado de endereçamento classless. Com o
sistema classless, intervalos de endereço adequados para o número de hosts são
designados para companhias ou organizações independentemente da classe unicast.
46
SUB--‐REDES E MÁSCARAS
Máscara de Subp Rede p Definição da Rede e das Porções de Host
Como aprendemos antes, um endereço IPv4 tem uma porção de rede e uma porção de
host. Nós nos referimos ao tamanho do prefixo como o número de bits no endereço
que nos dá a porção de rede. O prefixo é um modo de definir a porção de rede e que é
legível para nós. A rede de dados também deve ter sua porção de rede dos endereços
definida.
Para definir as porções de rede e de host de um Endereço, os dispositivos usam um
padrão separador de 32 bits chamado de máscara de subn rede. Expressamos
a máscara de subn rede no mesmo formato decimal com pontos dos endereços
IPv4. A máscara de subn rede é criada colocandon se o número binário1 em cada
posição de bit que representa a porção de rede e colocando o binário 0 em cada
posição de bit que representa a porção de
host.
Para o valor representado acima, temos o prefixo original da rede, no caso o /24, visto
que o primeiro octeto nos mostra que o endereço é um classe C. Por ser um classe C, os
3 primeiros octetos são relacionados à rede. Por este motivo não serão modificados
dentro do endereço e nem da máscara que o acompanha.
Porém, para que possamos gerar subn divisões neste endereço, podemos utilizar
alguns bits do campo de hosts (últimos 8 bits) para criar um terceiro campo que se
juntará ao prefixo original da rede na determinação do roteamento. Este terceiro
campo está destacado abaixo:
47
111 00000 3 bits dos hosts originais foram para o prefixo de roteamento.
A este campo, damos o nome de subn rede. Ele dividirá o endereço ou bloco
original, em blocos menores, com menos hosts, mas muito úteis na organização das
redes.
Estas redes menores que serão geradas, ajudarão a reduzir os broadcasts da rede e
também trarão um padrão organizacional com divisões que ampliarão inclusive a
segurança do ambiente.
Veja abaixo, os novos blocos de subn redes que podemos utilizar com esta
divisão proposta:
E o campo de hosts, irá variar para cada uma das subn redes representadas acima :
De 00000 a 11111, sendo que 00000 endereço de rede e 11111 Broadcast
Os hosts válidos estarão entre 00001 a 11110.
48
Uma operação matemática muito simples que consiste na comparação entre os
números binários da máscara e do endereço de host. O resultado será sempre o
endereço da rede. Veja um exemplo:
192.168.50.178 / 27 (255.255.255.224)
192.168.50.178 11000000.10101000.00110010.10110010
255.255.255.224 11111111.11111111.11111111.11100000
Resultado 11000000.10101000.00110010.10100000
Observe que o AND lógico consiste apenas de uma multiplicação entre os bits do
endereço que temos com a máscara correspondente. Onde tivermos combinação de bits
em “1” o resultado será “1”. Qualquer outra situação trará um resultado de “0” zero.
E o resultado desta operação sempre nos trará o endereço da rede onde o host se
encontra. No exemplo acima temos a rede 192.168.50.160. Neste caso, dizemos que o
host 192.168.50.178 /27, pertence a rede 192.168.50.160.
No exemplo acima, observamos que o endereço que originalmente era /24 passou a ser
/27 pois os 3 primeiros bits do octeto de host foram mudados para “1” binario.
A cada bit que mudamos de “0” para “1”, dobramos a quantidade de divisões (ou sub-‐‐
redes) possíveis. E como consequência reduzimos pela metade a quantidade de hosts
em cada uma.
49
Dessa forma, como podemos nos orientar sobre quantos bits “tomaremos
emprestados” do campo de host para criar sub-‐‐redes? Isto vai depender da quantidade
de sub-‐‐redes que precisamos. O que por sua vez, dependerá da quantidade de divisões
que precisamos dentro da empresa ou no ambiente onde estejamos organizando a rede.
O uso de sub-‐‐rede permite criar múltiplas redes lógicas a partir de um único intervalo
de endereços. Visto que usamos um roteador para conectar essas redes, cada interface
no roteador deve ter uma identificação de rede distinta. Cada nó nesse link está na
mesma rede.
O número de hosts
Para calcular o número de hosts por rede, usamos a fórmula 2^n -‐‐ 2 onde n = número
de bits que sobraram para host.
Aplicando a fórmula, (2^5 -‐‐ 2 = 30) mostra que cada uma dessas sub-‐‐redes pode ter 30
hosts, ou 30 endereços válidos.
A seguir, considere uma rede que precisa de três sub-‐‐redes. Veja a figura.
50
Utilizaremos o intervalo de endereço, 192.168.1.0 /24. Se pegássemos
emprestado um único bit, só poderíamos ter duas subn redes. Para ter mais
redes, mudamos a máscara de subn rede para 255.255.255.192, e pegamos
dois bits emprestados. Isso permitirá 4 subn redes.
O número de hosts
Para calcular o número de hosts, comece examinando o último octeto. Note
estas subn redes.
Subn rede 0: 0 = 00000000
Subn rede 1: 64 = 01000000
Subn rede 2: 128 = 10000000
Subn rede 3: 192 = 11000000
51
Na figura acima temos a solução dos endereços propostos.
Exemplo com 6 sub--‐redes
Considere este exemplo com 5 LANs e uma WAN, num total de 6 redes. Veja a figura.
2^3 = 8
52
Para obter pelo menos 6 sub-‐‐redes, pegue emprestados 3 bits de host. A máscara de
sub-‐‐rede 255.255.255.224 fornece três bits de rede adicionais.
O número de hosts
Para calcular o número de hosts, comece examinando o último octeto. Note estas sub-‐‐
redes.
0 = 00000000
32 = 00100000
64 = 01000000
96 = 01100000
128 = 10000000
160 = 10100000
192 = 11000000
224 = 11100000
Aplique a fórmula de cálculo de hosts:
2^5 - 2 = 30 hosts, ou 30 endereços válidos, por sub-rede.
Veja na figura o esquema de endereçamento dessas redes.
Mas, dentro de uma empresa, as situações costumam ser diferentes. As redes não
possuem o mesmo tamanho, nem a mesma quantidade de hosts. Cada rede, na verdade,
representa um setor ou departamento da empresa. E estes departamentos, não são
iguais. Além disso, os links de WAN muitas vezes requerem apenas 2 endereços, por
serem ponto a ponto. E alocar uma sub-‐‐rede a eles que contenha 30 hosts, acaba por
gerar um desperdício de endereços. Números que certamente farão falta em outras
partes da divisão.
53
O mundo real, em relação às divisões em sub-‐‐redes, está relacionado a um formato
chamado de VLSM (Variable Length Subnet Mask). E passamos a demonstrar esse
assunto a partir daqui...
54
VLSM – (VARIABLE LENGTH SUBNET MASK) – MÁSCARA DE SUB
REDE DE COMPRIMENTO VARIÁVEL.
Cada rede dentro de uma corporação ou organização é projetada para acomodar um
número definido de hosts.
Algumas redes, como os links WAN ponto-‐‐a-‐‐ponto, precisam de no máximo dois hosts.
Outras redes, como uma LAN de usuários num grande prédio ou departamento, talvez
acomodem centenas de hosts. Os administradores de rede precisam preparar um
esquema de endereçamento que acomode o número de hosts necessário para cada
rede. O número de hosts em cada divisão deve permitir o crescimento da rede quando
necessário.
Vamos a um exemplo:
Note que as quantidades de hosts necessárias a cada rede estão expressas na figura.
Seguindo a premissa detalhada acima, somaremos todos os hosts das redes
40+23+76+13+5+2 = 159.
Em seguida, vamos pensar em qual máscara poderia atender a 159 hosts, no mínimo.
Este raciocínio é exatamente invertido em relação ao processo de cálculo anterior onde
a preocupação era de descobrir quantos bits seriam necessários para criar uma certa
quantidade de sub-‐‐redes. Aqui estamos preocupados com a quantidade de hosts. Por
isso, vamos relembrar algo importante:
55
Em um máscara, temos o seguinte:
“1” binário Bits de rede ou sub-‐‐rede
“0” binário Bits de hosts
56
Isto nos mostra que nosso foco agora deve ser colocado sobre os bits em “0”. Em
outras palavras, quantos bits em “0” eu devo ter em uma máscara para que seja
possível endereçar ao menos 159 hosts. Vamos a algumas máscaras :
255 . 255 . 255 . 0 /24 8 bits em “0”, logo 2^8p 2= 254 hosts
255 . 255 . 240 . 0 /20 12 bits em “0”, logo 2^12p 2= 4094 hosts
255 . 255 . 255 .128 /25 7 bits em “0”, logo 2^7p 2= 126 hosts
255 . 255 .0 .0 /16 16 bits em “0”, logo 2^16p 2=65534 hosts
Perceba que, quanto maior a quantidade de bits em “0” maior é o número de hosts
possíveis. Você consegue encontrar a máscara que procuramos entre as que estão
acima? Em termos numéricos, apenas uma delas não atende ao nosso requisito de 159
hosts. Mas não podemos escolher qualquer uma delas, apenas porque ultrapassam a
quantidade que precisamos. Temos que escolher a que esteja mais próxima da
quantidade necessária, ultrapassando. Em outras palavras, aquela que atenda a no
mínimo 159 hosts com o máximo de subn redes possível.
255 . 255 . 255 . 0 /24 8 bits em “0”, logo 2^8p 2= 254 hosts
As outras, ultrapassam demais ou ficam insuficientes...
Este bloco será nossa base para subdividirmos e preencher a cada uma das redes da
topologia apresentada acima.
57
Sub--‐rede 3 – 76 hosts Observando o últmo octeto onde estão os bits zerados,
temos:
1 0 0 0 0 0 0 0 7 bits para hosts nos permitem 2^7-‐‐2=126 hosts. Este é o valor
mais próximo que temos de 76 hosts. Logo a máscara para esta sub-‐‐rede será
255.255.255.128. Este valor também pode ser referenciado como /25 (ou senhor /25
para quem não é muito amigo dele) Lembramos que o primeiro bit do 4º octeto que não
será utilizado para compor os hosts, ficará no campo das sub-‐‐redes.
A próxima, será a sub-‐‐rede 1, que precisa de um minimo de 40 hosts:
1 1 0 0 0 0 0 0 6 bits para hosts nos permitem 2^6-‐‐2=62 hosts. Este é o valor mais
próximo de 40 hosts. A máscara será 255.255.255.192 ou /26.
1 1 1 0 0 0 0 0 5 bits para hosts nos permitem 2^5-‐‐2=30 hosts. Este é o valor mais
próximo de 23 hosts. A máscara será 255.255.255.224 /27.
Em seguida a sub-‐‐rede 4 com 13 hosts:
1 1 1 1 0 0 0 0 4 bits para hosts nos permitem 2^4-‐‐2=14 hosts. Este é o valor mais
próximo de 13 hosts. A máscara será 255.255.255.240 /28.
1 1 1 1 0 0 0 0 3 bits para hosts nos permitem 2^3-‐‐2=6 hosts. Este é o valor mais
próximo de 5 hosts. A máscara será 255.255.255.248 /29.
E por fim, a sub-‐‐rede 6 com apenas 2 hosts, por ser um link de WAN do tipo ponto a
ponto:
58
111100 00 2 bits para hosts nos permitem hosts. Este é o valor exato
para 2 hosts. A máscara será 255.255.255.252 /30. A partir daqui memorize que os
links de wan ponto a ponto sempre serão /30.
E vamos observar o trabalho completo com as máscaras? Veja...
As máscaras já dimensionam cada rede com seu tamanho mais adequado. Agora
podemos completar o endereçamento, partindo do nosso bloco inicial, maior, que já
está informado no canto superior esquerdo da topologia.
59
Procure perceber, a distância entre uma rede e outra (salto). Repare que a máscara local
orienta esta distância, de forma que a próxima rede desta máscara será colocada na
sequencia do endereçamento.
E por fim temos a topologia completa:
60
SUMARIZAÇÃO DE REDES
192.168.4.0 / 25
192.168.4.128 /26
192.168.4.192/27
192.168.4.224 /28
192.168.4.240 /29
192.168.4.248 /30
Todas esta redes menores, são referidas como sub redes utilizando o prefixo
192.168.4.X. Algo como se criássemos subconjuntos da rede 192.168.4.0. Embora sub
divididas, cada uma das redes funciona no ambiente real como uma rede isolada.
Mas observe abaixo uma diferença em relação ao que fizemos acima:
192.168.4.0 /24
192.168.5.0 /24
192.168.6.0 /24
192.168.7.0 /24
O que você enxerga? São 4 blocos de endereços com prefixos diferentes. No passado
diziamos se tratar de 4 redes classe C. Cada um delas poderia ser subdividida em
múltiplas e diferentes sub redes, da mesma forma que fizemos no exemplo anterior.
Mas, quando citamos o termo sumarização ou agregação de rotas, estamos nos
referidno a um endereço único que agrega ou reúne em si todas as redes
61
representadas acima. Costuma-‐‐se até utilizar o termo “super net” por se tratar de uma
reunião de redes.
Observe como ficaria no caso das redes do exemplo:
192.168.4.0 /24
Endereço
192.168.5.0 /24 Sumarizado
192.168.6.0 /24 192.168.4.0 /22
192.168.7.0 /24
11000000.10101000.00000100.00000000
11000000.10101000.00000101.00000000
11000000.10101000.00000110.00000000
11000000.10101000.00000111.00000000
A sumarização busca os bits iguais entre os números. Note que são iguais até o 22º bit.
Isto indica que a máscara do endereço sumarizado será um /22. E valor resultante até
o 22º bit é 192.168.4.0.
Abaixo alguns conjuntos de endereços foram colocados para que você pratique a
sumarização:
62
1)
192.168.8.0
192.168.9.0
192.168.10.0 __________________________________
192.168.11.0
Demonstre abaixo pela comparação dos bits:
2)
192.168.8.0
192.168.11.0
192.168.12.0 __________________________________
192.168.14.0
Demonstre abaixo pela comparação dos bits:
3)
172.16.8.0
172.17.11.0
__________________________________
63
172.18.12.0
172.19.14.0
Demonstre abaixo pela comparação dos bits:
4)
192.168.18.10
192.168.18.20
192.168.18.25 __________________________________
192.168.18.30
Demonstre abaixo pela comparação dos bits:
64
EXERCÍCIOS ENDEREÇAMENTO IPV4
Agora, procure utilizar um raciocínio inverso. Observe o endereço sumarizado
de super net e assinale endereços que poderiam estar agregados a ele:
192.168.48.0 /20
65
66
Decimal para binário
67
Identificação das classe dos endereços
68
Identificação de rede e host
69
Endereços de rede
70
Escreva a máscara de rede padrão para cada um dos endereços abaixo.
71
EXERCÍCIOS DE SUB REDES -‐‐ CLASSFULL
Problema 1
Qtde. de sub redes necessárias – 6
Classe do endereço
72
Qtde. de sub redes necessárias – 25
Classe do endereço
73
Qtde. de sub redes necessárias – 126
Classe do endereço
74
EXERCÍCIOS DE VLSM
Com base no bloco de endereço informado, determine as máscaras e sub redes para
cada localidade demonstrada na fiigura abaixo:
Anotações e cálculos:
75
Com base no bloco de endereço informado, determine as máscaras e sub redes para
cada localidade demonstrada na fiigura abaixo:
Anotações e cálculos
76
Com base no bloco de endereço informado, determine as máscaras e sub redes para
cada localidade demonstrada na fiigura abaixo:
Anotações e cálculos
77
Com base no bloco de endereço informado, determine as máscaras e sub redes para
cada localidade demonstrada na fiigura abaixo:
78
Questões de múltipla escolha ipv4
79
1) Dada a seguinte máscara IP 255.252.0.0, responda:
Cálculos:
80
4) Dada a seguinte máscara IP 255.255.255.252, responda:
81
6) Dada a seguinte máscara IP 255.255.255.248 responda:
82
a) Quantos bits serão necessários para fazer a divisão e obter 64 sub-‐‐redes?
83
b) Quantos números IP (hosts) estarão disponíveis em cada sub-‐‐rede?
84
b) Quantos números IP (hosts) estarão disponíveis em cada sub-‐‐rede?
85
10) Um administrador de redes recebeu a incumbência de planejar a distribuição de IPs pelas
sub-‐‐redes dos diferentes departamentos de uma empresa. Ele deve executar essa tarefa
utilizando VLSM/CIDR dentro do intervalo IP 10.33.44.0/24. O número de computadores em
cada rede é:
Engenharia: 58 computadores
Montagem: 32 computadores
Administração: 30 computadores
Gerência: 9 computadores
Diretoria: 4 computadores
1 – Calcule os endereços IP dos intervalos de rede para cada uma das sub--‐redes acima;
2 – Informe o endereço de gateway, endereço de rede e endereço de broadcast para cada sub-‐‐
rede, seguindo as melhores práticas;
3 – Para cada uma das sub--‐redes informe o intervalo de endereços válidos para os hosts,
excluindo o endereço de gateway.
86
Engenharia: 64 computadores
Montagem: 16 computadores
Administração: 8 computadores
1 – Calcule os endereços IP dos intervalos de rede para cada uma das sub-‐‐redes acima;
3 – Para cada uma das sub-‐‐redes informe o intervalo de endereços válidos para os
hosts, excluindo o endereço de gateway.
87
12) Um administrador de redes recebeu a incumbência de planejar a distribuição de IPs
pelas sub-‐‐redes dos diferentes departamentos de uma empresa. Ele deve executar essa
tarefa utilizando VLSM/CIDR dentro do intervalo IP 125.23.34.0/24. O número de
computadores em cada rede é:
Engenharia: 41 computadores
Montagem: 27 computadores
Administração: 12 computadores
Gerência: 7 computadores
Diretoria: 8 computadores
1 – Calcule os endereços IP dos intervalos de rede para cada uma das sub--‐redes acima;
2 – Informe o endereço de gateway, endereço de rede e endereço de broadcast para cada sub-‐‐
rede, seguindo as melhores práticas;
3 – Para cada uma das sub--‐redes informe o intervalo de endereços válidos para os hosts,
excluindo o endereço de gateway.
88
Capítulo 3 – IPV6
89
O ESGOTAMENTO DO IPV4
Classe A: definia o bit mais significativo como 0, utilizava os 7 bits restantes do primeiro
octeto para identificar a rede, e os 24 bits restantes para identificar o host. Esses
endereços utilizavam a faixa de 1.0.0.0até 126.0.0.0;
Classe B: definia os 2 bits mais significativo como 10, utilizava os 14 bits seguintes para
identificar a rede, e os 16 bits restantes para identificar o host. Esses endereços
utilizavam a faixa de 128.1.0.0até 191.254.0.0;
Classe C: definia os 3 bits mais significativo como 110, utilizava os 21 bits seguintes para
identificar a rede, e os 8 bits restantes para identificar o host. Esses endereços
utilizavam a faixa de 192.0.1.0até 223.255.254.0;
Embora o intuito dessa divisão tenha sido tornar a distribuição de endereços mais
flexível, abrangendo redes de tamanhos variados, esse tipo de classificação mostrou-‐‐
se ineficiente. Desta forma, a classe A atenderia um número muito pequeno de redes,
mas ocupava metade de todos os endereços disponíveis; para endereçar 300
dispositivos em uma rede, seria necessário obter umbloco de endereços da classe B,
desperdiçando assim quase o total dos 65 mil endereços; e os 256 endereços da classe
C não supriam as necessidades da grande maioria dasredes.
Outro fator que colaborava com o desperdício de endereços, era o fato de que dezenas
de faixas classe A foram atribuídas integralmente a grandes instituições como IBM,
AT&T, Xerox, HP, Apple, MIT, Ford, Departamento de Defesa Americano, entre
muitas outras, disponibilizando para cada uma 16.777.216 milhões de
90
endereços. Além disso, 35 faixas de endereços classe A foram reservadas para usos
específicos como multicast, loopbacke uso futuro.
● DHCP
91
Diante desse cenário, a IETF (Internet Engineering Task Force) passa a discutir
estratégias para solucionar a questão do esgotamento dos endereços IP e o
problema do aumento da tabela de roteamento. Para isso, em novembro de
1991, é formado o grupo de trabalho ROAD (ROuting and Addressing), que
apresenta como solução a estes problemas a utilização do CIDR (Classless
Interdomain Routing).
Definido na RFC 4632 (tornou obsoleta a RFC 1519), o CIDR tem como idéia
básica o fim do uso de classes de endereços, permitindo a alocação de
blocos de tamanho apropriado a real necessidade de cada rede; e a agregação
de rotas, reduzindo o tamanho da tabela de roteamento.
O DHCP tem sido muito utilizado por parte dos ISPs por permitir a atribuição de
endereços IP temporários a seus clientes conectados. Desta forma, tornan
se desnecessário obter um endereço para cada cliente, devendon se
apenas designar endereços dinamicamente, através de seu servidor
DHCP. Este servidor terá uma lista de endereços IP disponíveis, e toda vez que
um novo cliente se conectar à rede, lhe será designado um desses endereço de
forma arbitrária, e no momento que o cliente se desconecta, o endereço é
devolvido.
92
A NAT, bastante discutida em diversos ambientes de rede, traz as seguintes
características a serem consideradas em sua implementação:
NAT
Vantagens:
Reduz a necessidade de endereços públicos;
Facilita a numeração interna das redes;
Oculta a topologia das redes;
Só permite a entrada de pacotes gerado em resposta a
um pedido da rede.
Desvantagens:
Quebra o modelo fim-‐‐a-‐‐fim da Internet;
Dificulta o funcionamento de uma série de aplicações;
Não é escalável;
Aumento do processamento no dispositivo tradutor;
Falsa sensação de segurança;
Impossibilidade de se rastrear o caminho do pacote;
Impossibilita a utilização de algumas técnicas de
segurança como IPSec.
Embora estas soluções tenham diminuído a demanda por IPs, elas não foram suficientes
para resolver os problemas decorrentes do crescimento da Internet. A adoção dessas
técnicas reduziu em apenas 14% a quantidade de blocos de endereços solicitados à IANA
e a curva de crescimento da Internet continuava apresentando um aumento
exponencial.
Essas medidas, na verdade, serviram para que houvesse mais tempo para se
desenvolver uma nova versão do IP, que fosse baseada nos princípios que fizeram o
sucesso do IPv4, porém, que fosse capaz de suprir as falhas apresentadas por ele.
93
SURGIMENTO DO IPV6 – A SOLUÇÃO DEFINITIVA
As especificações da IPv6 foram apresentadas inicialmente na RFC 1883 de dezembro de
1995, no entanto, em em dezembro de 1998, está RFC foi substituída pela RFC 2460.
Como principais mudanças em relação ao IPv4 destacamn se:
o uso de conexões fim-‐‐a-‐‐fim, princípio que havia sido quebrado com o IPv4 devido
a grande utilização de NAT; trouxe recursos que facilitam a configuração de redes, além
de outros aspectos que foram melhorados em relação ao IPv4.
94
RISCOS RELACIONADOS À AUSÊNCIA DO IPV6 NAS REDES DE DADOS
É importante observar que, embora a utilização do IPv6 ainda não tenha tanta
representatividade, todos os dados apresentados mostram que sua penetração nas
redes tem aumentado gradativamente. No entanto, é preciso avançar ainda mais.
Adiar por mais tempo a implantação do IPv6 pode trazer diversos prejuízos para o
desenvolvimento de toda a Internet.
Como vimos, existe hoje uma demanda muito grande por mais endereços IP, e mesmo
que a Internet continue funcionando sem novos endereços, ela terá muita dificuldade
para crescer. A cada dia surgem novas redes, graças a expansão das empresas e ao
surgimento de novos negócios; iniciativas de inclusão digital tem trazido muitos novos
usuários para a Internet; e o crescimento das redes 3G, e a utilização da Internet em
dispositivos eletrônicos e eletrodomésticos são exemplos de novas aplicações que
colaboram com seu crescimento.
95
ESTRUTURA DO ENDEREÇAMENTO IPV6
Observe abaixo, como é o cabeçalho do ipv4:
O cabeçalho IPv4 é composto por 12 campos fixos, podendo conter ou não opções,
fazendo com que seu tamanho possa variar entre 20 e60 Bytes. Estes campos são
destinados transmitir informações sobre:
a versão do protocolo;
o tamanho do cabeçalho e dos dados;
a fragmentação;
o tipo de dados;
o tempo de vida do pacote;
o protocolo da camada seguinte (TCP, UDP, ICMP);
a integridade dos dados;
a origem e o destino do pacote.
96
***Campos grifados no ipv4 foram removidos para o Ipv6
Entre essas mudanças, destaca-‐‐se a remoção de seis campos do cabeçalho IPv4, visto
que suas funções não são mais necessárias ou são implementadas pelos cabeçalhos de
extensão.
No IPv6, as opções adicionais agora fazem parte dos cabeçalhos de extensão do IPv6.
97
no novo cabeçalho, observe:
98
Outra mudança refere-‐‐se a alteração do nome e do posicionamento de outros
quatro campos.
E por fim, alguns campos foram mantidos, como é o caso de Versão e os de endereço
de origem e destino.
99
Versão (4 bits) n Identifica a versão do protocolo IP utilizado. No caso do IPv6 o
valor desse campo é 6.
Próximo Cabeçalho(8 bits) n Identifica cabeçalho que se segue ao cabeçalho IPv6. Este
campo foi renomeado (no IPv4 chamavan se Protocolo) refletindo a nova
organização dos pacotes IPv6, pois agora este campo não contém apenas valores
referentes a outros protocolos, mas também indica os valores dos cabeçalhos de
extensão.
Diferente do IPv4, que inclui no cabeçalho base todas as informações opcionais, o IPv6
trata essas informações através de cabeçalhos de extensão. Estes cabeçalhos
localizamn se entre o cabeçalho base e o cabeçalho da camada imediatamente
100
acima, não havendo nem quantidade, nem tamanho fixo para eles. Caso existam
múltiplos cabeçalhos de extensão no mesmo pacote, eles serão adicionados em série
formando uma “cadeia de cabeçalhos”.
Primeiramente é importante destacar que, para evitar que os nós existentes ao longo
do caminho do pacote tenham que percorrer toda a cadeia de cabeçalhos de extensão
para conhecer quais informações deverão tratar, estes cabeçalhos devem ser enviados
respeitando um determinada ordem. Geralmente, os cabeçalhos importantes para
todos os nós envolvidos no roteamento devem ser colocados em primeiro lugar,
cabeçalhos importantes apenas para o destinatário final são colocados no final da
cadeia. A vantagem desta seqüência é que o nó pode parar de processar os cabeçalhos
assim que encontrar algum cabeçalho de extensão dedicado ao destino final, tendo
certeza de que nãohá mais cabeçalhos importantes a seguir.
1. Hop-‐‐by-‐‐Hop Options
2. Routing
101
3. Fragmentation
4. Authentication Header
5. Encapsulating Security Payload
6. Destination Options
Também é vale observar, que se um pacote for enviado para um endereço multicast, os
cabeçalhos de extensão serão examinados por todos os nós do grupo.
ENDEREÇAMENTO IPV6
102
O IPv6 possui um espaço para endereçamento de 128 bits, sendo possível obter
340.282.366.920.938.463.463.374.607.431.768.211.456 endereços (2128). Este valor
representa aproximadamente 79 octilhões (7,9x1028) de vezes a quantidade de
endereços IPv4 e representa, também, mais de 56 octilhões (5,6x1028) de endereços por
ser humano na Terra, considerando-‐‐se a população estimada em 6 bilhões de
habitante
ESTRUTURA DO ENDEREÇO
• Formato hexadecimal de 128 bits (0-9, A-F)
• Utiliza os campos de número hexadecimais de 16 bits
separados por dois pontos (:)
• Cada 4 dígitos hexadecimais equivalem a 16 bits.
• Consiste em 8 sextetos/quartetos que equivalem a 16 bits
por sexteto.
2001:0DB8:0001:5270:0127:00AB:CAFE:0E1F /64
103
• Os bits 16-‐‐24 identificam o registro regional:
-‐‐ AfriNIC, APNIC, LACNIC, RIPE NCC and ARIN
2001:0000::/23 – IANA
2001:0200::/23 – APNIC (Região Ásia/Pacífico)
2001:0400::/23 – ARIN (Região da América do Norte)
2001:0600::/23 – RIPE (Europa, Oriente Médio e Ásia Central)
104
-‐‐ Permite 65.536 sub-‐‐redes com 18,446,744,073,709,551,616
(18 quintilhões) para cada sub-‐‐rede.
-‐‐ Não faz parte do endereço de host.
105
• /127 fornece 2 endereços.
2001:0DB8:0001:5270:0127:00AB:CAFE:0E1F /64
2001:DB8:1:5270:127:AB:CAFE:E1F /64
106
• Os dois pontos duplos ou os zeros de compactação podem
ser usados para encurtar um endereço IPv6 quando um ou
mais sextetos são formados exclusivamente por zeros.
107
TIPOS DE ENDEREÇOS DO IPV6
• Endereço Unicast
108
• Endereço multicast
• Endereço anycast
109
Endereço local de link
Endereço de loopback
110
IPV6 IPV4
111
Tipos de ameaças
Redes de computadores com e sem fio são essenciais para as atividades
diárias. Indivíduos e organizações dependem de seus computadores e
redes. A invasão de uma pessoa não autorizada pode resultar em
interrupções dispendiosas na rede e perda de trabalho. Ataques em uma
rede podem ser devastadores e resultar em perda de tempo e dinheiro
devido a danos ou roubo de informações ou ativos importantes.
112
Tipos de vulnerabilidades
Vulnerabilidade é o grau de fraqueza em uma rede ou dispositivo.
Algum grau de vulnerabilidade é inerente a roteadores, switches,
desktops, servidores e até dispositivos de segurança. Normalmente,
os dispositivos de rede sob ataque são os pontos finais, como
servidores e computadores desktop.
113
Segurança física
Uma área vulnerável da rede igualmente importante a considerar é a
segurança física dos dispositivos. Se os recursos de rede puderem ser
fisicamente comprometidos, um agente de ameaça poderá negar o uso
de recursos de rede.
114
Planejar a segurança física para limitar os danos
ao equipamento
115
Manter backups
Fazer backup de configurações e dados do dispositivo é uma das maneiras
mais eficazes de se proteger contra a perda de dados. Um backup de dados
armazena uma cópia das informações em um computador na mídia de
backup removível que pode ser mantida em um local seguro. Os
dispositivos de infraestrutura devem ter backups dos arquivos de
configuração e imagens do IOS em um servidor de arquivos FTP ou similar.
Se o computador ou o hardware de um roteador falhar, os dados ou a
configuração podem ser restaurados usando a cópia de backup.
116
Atualização, atualização e patch
Manter-se atualizado com os desenvolvimentos mais recentes pode levar a uma defesa
mais eficaz contra ataques à rede. À medida que novos malwares são lançados, as
empresas precisam se manter atualizadas com as versões mais recentes do software
antivírus.
Uma solução para o gerenciamento de patches críticos de segurança é garantir que todos
os sistemas finais baixem automaticamente as atualizações, conforme mostrado no
Windows 10 na figura. Os patches de segurança são baixados e instalados
automaticamente sem a intervenção do usuário.
117
Autenticação, Autorização e Contabilidade
Todos os dispositivos de rede devem ser configurados com segurança para
fornecer acesso apenas a indivíduos autorizados. Os serviços de segurança
de rede de autenticação, autorização e contabilidade (AAA ou "triplo A")
fornecem a estrutura principal para configurar o controle de acesso nos
dispositivos de rede.
O AAA é uma maneira de controlar quem tem permissão para acessar uma
rede (autenticar), quais ações eles executam enquanto acessam a rede
(autorizar) e fazer um registro do que foi feito enquanto eles estão lá
(contabilidade).
118
Firewalls
Um firewall é uma das ferramentas de segurança mais eficazes disponíveis
para proteger os usuários contra ameaças externas. Um firewall protege
computadores e redes, impedindo que tráfego indesejável entre nas redes
internas.
Operação de firewall
119
Um firewall pode permitir que usuários externos tenham acesso controlado a
serviços específicos. Por exemplo, servidores acessíveis a usuários externos
geralmente estão localizados em uma rede especial denominada DMZ (zona
desmilitarizada), conforme mostrado na figura. A DMZ permite que um
administrador de rede aplique políticas específicas para hosts conectados a essa
rede.
120
Tipos de firewalls
Os produtos de firewall são fornecidos de várias formas. Esses produtos
usam técnicas diferentes para determinar o que será permitido ou negado o
acesso a uma rede. Eles incluem o seguinte:
Segurança do Endpoint
Um ponto final, ou host, é um sistema ou dispositivo de computador
individual que atua como um cliente de rede. Os pontos de extremidade
comuns são laptops, desktops, servidores, smartphones e tablets. Proteger
dispositivos de terminal é um dos trabalhos mais desafiadores de um
administrador de rede, pois envolve a natureza humana. Uma empresa
deve ter políticas bem documentadas e os funcionários devem estar cientes
dessas regras. Os funcionários precisam ser treinados sobre o uso adequado
da rede. As políticas geralmente incluem o uso de software antivírus e a
prevenção de intrusões no host. Soluções de segurança de endpoint mais
abrangentes dependem do controle de acesso à rede.
121
Senhas
122
Nos roteadores Cisco, os espaços iniciais são ignorados para senhas, mas os
espaços após o primeiro caractere não são. Portanto, um método para criar
uma senha forte é usar a barra de espaço e criar uma frase composta de
muitas palavras. Isso é chamado de senha. Uma senha é geralmente mais
fácil de lembrar do que uma senha simples. Também é mais longo e mais
difícil de adivinhar.
123
Os administradores de rede podem se distrair e deixar acidentalmente uma sessão
privilegiada no modo EXEC aberta em um terminal. Isso pode permitir que o
acesso de um agente de ameaças interno altere ou apague a configuração do
dispositivo.
Por padrão, os roteadores Cisco efetuam logout de uma sessão EXEC após 10
minutos de inatividade. No entanto, você pode reduzir essa configuração usando o
comando exec-timeout minutes seconds line configuration. Este comando pode
ser aplicado ao console online, auxiliar e linhas vty. Na figura, dizemos ao
dispositivo Cisco que desconecte automaticamente um usuário inativo em uma
linha vty após o usuário ficar inativo por 5 minutos e 30 segundos.
124
Ativar SSH
O Telnet simplifica o acesso ao dispositivo remoto, mas não é seguro. Os
dados contidos em um pacote Telnet são transmitidos sem criptografia. Por
esse motivo, é altamente recomendável ativar o Secure Shell (SSH) em
dispositivos para acesso remoto seguro.
125
Etapa 6. Habilite as sessões SSH de entrada vty. Por padrão, nenhuma
sessão de entrada é permitida nas linhas vty. Você pode especificar vários
protocolos de entrada, incluindo Telnet e SSH, usando a entrada de
transporte [ssh | comando telnet].
126
Desativar serviços não utilizados
Os roteadores e switches da Cisco começam com uma lista de serviços ativos
que podem ou não ser necessários em sua rede. Desative todos os serviços
não utilizados para preservar os recursos do sistema, como ciclos de CPU e
RAM, e impedir que os agentes de ameaças explorem esses serviços. O tipo
de serviços que estão ativados por padrão variará dependendo da versão do
IOS. Por exemplo, o IOS-XE normalmente terá apenas portas HTTPS e DHCP
abertas. Você pode verificar isso com o comando show ip ports all, como
mostrado no exemplo.
127
Capítulo 4 – Switching
128
SWITCHING NO CCNA
129
Este modelo de rede ethernet centralizada no hub, trazia como vantagens algumas
melhorias no padrão elétrico e de conectividade. Se um host fosse desconectado
fisicamente da rede os outros não sofreriam impacto como ocorria no modelo em
barramento. Também pesava o fato de que o cabo de par trançado era mais leve e de
fácil instalação e manutenção.
Entretanto, fatores importantes não sofreram grandes modificações com esta mudança.
O hub era um equipamento associado à camada física do modelo OSI e não possuia as
funcioalidades de camada de enlace. Por esse motivo ele não tinha condições de efetuar
a leitura do quadro e identificar os endereços MAC de origem e de destino que já havia
sido colocados ali pela placa de rede do dispositivo transmissor. Dessa forma, o padrão
de trabalho do hub era encaminhar os quadros recebidos para todas as suas portas,
menos a porta de origem. Ao receberem os quadros vindos do hub, cada placa de rede
dos hosts comparava o endereço MAC de destino do quadro recebido com seu próprio
endereço. Se ocorresse correspondência, o quadro era recebido e encaminhado às
camadas mais altas. Do contrário era descartado.
Fica claro que neste modelo de comunicação, os hosts na maior parte do tempo
recebem quadros que devem descartar. Isto, além de gerar um movimento intenso na
rede para um volume bem menor de comunicação efetiva, também ampliava muito as
possibilidades de erros. Erros, principalmente associados ao que chamamos de colisão,
pois ao mesmo tempo em que o hub não conseguia dar encaminhamento fim a fim para
as mensagens, ele também possuía barramento único compartilhado por todas as
estações. Internamente, o hub era semelhante ao backbone do cabo coaxial. E o
protocolo elétrico original da rede ethernet (CSMA/CD) antecipava a possibilidade de
múltiplos hosts tentarem transmitir ao mesmo tempo, ou ainda que isso ocorresse de
fato entre 2 ou mais computadores. A colisão, que era o encontro de 2 ou mais sinais no
meio físico (dentro do hub), ocorria repetidas vezes no ambiente de rede. Era dissipada
pelos mecanismos de controle como estava previsto, porém a tolerância ao aumento na
quantidade de hosts compartilhando o meio físico (hub) era moderada. O hub era
chamado de domínio de colisão, e quando esse domínio crescia demais, os
130
impactos negativos para o funcionamento da rede eram significativos. Observe uma
imagem que demonstra o funcionamento do antigo CSMA/CD:
Pense e responda:
Como um domínio de colisão era ampliado? Quais ações provocavam este aumento?
131
Alguns progressos foram necessários e o maior deles foi o surgimento de um
dispositivo denominado Bridge. Observe as figuras abaixo:
Figura 1
Figura 2
Na figura 1, temos um domínio de colisão ampliado entre 2 hubs. Neste caso, todos
computadores existentes nos 2 segmentos compartilham um único meio físico e as
colisões ocorrem com mais frequência, prejudicando muito o desempenho da rede.
132
Na figura 2, a presença da bridge entre os hubs trouxe uma melhoria considerável para
a rede. A bridge tinha a capacidade de “aprender” os endereços MAC associados a cada
uma de suas 2 portas. Dessa maneira, o tráfego ficava isolado a um dos lados quando
origem e destino estavam desse mesmo lado. Isto evitava que colisões fossem
expandidas entre os 2 segmentos físicos da rede. Na figura 2 passamos a ter 2 domínios
de colisão ao invés de um único como representado na figura 1. Neste tempo, as redes
começavam a mudar em termos de colisão e apresentar um aspecto semelhante ao que
temos atualmente.
Com o aumento no tamanho das redes e proporcional diminuição nos custos de portas
dos switches, esses equipamentos foram aparecendo nas redes, trazendo vantagens
sobre as bridges:
133
Comutação realizada em nível de hardware, por um chip denominado ASIC
Expansão de recursos para a rede, além de ganho de performance
Microssegmentação, expandindo barramentos de comunicação com a rede,
observe na figura abaixo:
E toda essa evolução nas aplicações dos computadores, acarretaram também um peso
maior ao tráfego de dados que atravessava as redes. De forma que a evolução natural
das tecnologias, exterminou por completo a rede compartilhada com uso de hubs. E o
novo tempo trouxe um ambiente de rede como o demonstrado abaixo, na mais abaixo:
134
Neste modelo, totalmente escalável, pelo fato de que o switch central normalmente
possui capacidades ampliadas para receber novos grupos, pode-‐‐se fazer uso de
recursos existentes em cada equipamento (switch) para melhoria da rede como um
todo. Esses recursos, que também começaram a surgir no princípio das redes
comutadas, vem se expandindo e estão diretamente associados ao poder de
gerenciamento agregado aos ativos da rede.
Este poder de gerenciamento dos dispositivos de rede, podem e devem ser explorados
ao máximo, para que se consiga organizar as redes da forma mais otimizada possível.
135
próprios servidores que no passado controlavam tudo o que funcionava nos ambientes
de rede. E cada vez mais, muitas das funcionalidades dos servidores vão sendo
transferidas para roteadores, switches e outros dispositivos, tornando necessário o
bom planejamento para implementação e suporte da infraestrutura onde estão estes
equipamentos.
Nas redes comutadas atualmente, são utilizadas muitos modelos de switches. Dos mais
variados fabricantes . Se procurarmos em relação a preços, encontraremos produtos que
vão de simples 20 dólares até milhares e milhares de dólares. Alguns concorrendo em
preço até mesmo com um bom imóvel hoje em dia.
Observe na imagem seguinte que existe a semelhança com uma pirâmide, onde os
usuários da rede estão na base e o núcleo da rede no topo.
136
MODELO DE 3 CAMADAS CISCO
Core: Switches de maiores capacidades, via de tráfego rápido da rede, backone principal,
interligação com roteadores e links de WAN. Quando o tráfego chega nesta camada,
deve estar livre de todo tipo de filtragem e correções para que possa ser tratado em via
rápida.
137
As plataformas de equipamentos da Cisco se distribuem em função desta camadas. No
CCNA o foco é voltado para a camada de acesso. Nossas intenções de configuração se
concentrarão a esta camada, com poucas exceções.
Apesar disso, vale lembrar que pelo fato de estarmos tratando de equipamentos onde
está presente o IOS Cisco, a grande maioria dos comandos existe em todas as
plataformas.
138
Durante este processo, a programação existente na memória ROM do equipamento
executa vários testes envolvendo o hardware principal como memórias (RAM, NVRAM,
FLASH). Estes testes também recebem o nome de POST (Power on self test).
Após esta fase, o IOS, sistema operacional (proprietário Cisco) que normalmente se
encontra armazenado na memória flash é acionado, descompactado e carregado para a
memória RAM.
139
Ao término destas rotinas o equipamento encontra-‐‐se pronto para uso e configuração.
No entanto, se considerarmos o uso de um equipamento que ainda não está
configurado, encontramos a seguinte tela inicial:
O prompt inicial, mostra o símbolo “>” a frente do nome padrão do equipamento. Este
símbolo identifica o modo inicial de utilização, chamado de modo usuário. No modo
usuário, não existem direitos administrativos para realização de configurações e nem se
pode visualizar aspecto estratégicos da configuração. As tarefas possíveis no modo
usuário são mais ligadas a um trabalho de help desk nível básico, onde se pode coletar
poucas e básicas informações.
140
O símbolo “#” mostra o prompt no modo privilegiado, que é o ambiente administrativo
do IOS. A partir deste prompt pode-‐‐se acessar outros onde é possível realizar
configurações que afetam o router como um todo, ou apenas determinadas interfaces.
Switch> enable
Switch> enable
Switch# configure terminal
Switch#(config)hostname Sw_1 Nome host ao equipamento
Sw_1#(config)
Switch> enable
Switch# configure terminal
Switch#(config) line console 0
Switch#(config) password @b&lh@35
Switch#(config) login
141
Os comandos acima definem a senha @b&lh@35 para ser utilizado nos acessos via
porta console ao equipamento.
Switch> enable
Switch# configure terminal
Switch#(config) line vty 0 15
Switch#(config) password t0rr&27
Switch#(config) login
Nos comandos anteriores são configurados 16 terminais para acesso via telnet ao
switch, utilizando a senha t0rr&27. O acesso telnet é uma da principais e
mais
Switch> enable
Switch# configure terminal
Switch#(config)interface vlan 1
Switch#(configp if) ip address 192.168.1.50 255.255.255.0
Switch#(configp if) no shutdown
E o acesso remoto para gerenciamento, poderá ser feito tanto por telnet como também
por interface gráfica. Para este último ítem pode ser necessário o acréscimo de um
comando que habilite o acesso por browser:
142
Dependendo da versão do IOS este comando pode até mesmo já estar habilitado
padronizadamente, apesar de ser considerado por muitos uma falha de segurança por
permitir um modelo de acesso ao dispositivo sem que isso tenha sido configurado
previamente por algum responsável pelo equipamento.
Tudo o que foi feito no switch até este momento, está em operação na memória RAM.
Memória volátil, que perderá todo este conteúdo se houver um desligamento ou queda
de energia no dispositivo. Precisamos “salvar” estas configurações na memória fixa.
Memória NVRAM, onde o conteúdo ficará gravado mesmo após algum desligamento. O
procedimento para isto é o seguinte:
Running-config -‐‐ Nome pelo qual nos referimos à memória RAM no Cisco IOS.
Startup--config -‐‐ Nome pelo qual nos referimos à memória NVRAM no Cisco IOS.
Os recursos de help existentes no IOS Cisco são contextualizados de acordo com cada
prompt onde estejamos trabalhando. Para se acionar o help basta digitar o ?. E
dependendo do prompt onde estivermos, receberemos informações sempre no
contexto daquele ambiente. As informações normalmente consistem do nome do
comando ou parâmetro do comando e logo à frente, um breve detalhamento da
funcionalidade. Vejamos alguns exemplos...
No modo usuário:
143
Um número menor de comandos no modo EXEC usuário e um quantidade maior no
modo EXEC privilegiado:
144
E no modo de configuração global
Switch#con?
configure connect
145
Neste caso, recebemos a informação de que neste prompt temos 2 comandos
iniciados por “con”. Se acrescentarmos mais uma letra poderemos sair da
ambiguidade:
Switch#conf?
configure
Neste caso, se colocarmos um espaço entre o pedaço da palavra e o ?, teremos os
parâmetros subordinados ao comando escolhido:
Switch#conf ?
<cr>
Neste caso, como subcomando de “configure” temos “terminal”. E na frente da palavra
a descrição rápida da funcionalidade. A presença do “<cr>” logo abaixo, indica que após
a digitação da palavra “configure” poderíamos pressionar um “enter” que o comando já
entraria em operação. Esta operação poderia até mesmo ser a solicitação de mais
parâmetros.
146
Note que no exemplo acima, após a lista de parâmetros subordinados ao comando
“show”
CONFIGURAÇÕES DE INTERFACES
147
explorações e vulnerabilidades nas redes. Vejamos alguns casos, mais relacionados ao
CCNA:
Switch(config)#interface gi1/1
Switch(config-if)#speed ?
10 Force 10 Mbps operation
100 Force 100 Mbps operation
1000 Force 1000 Mbps operation
auto Enable AUTO speed configuration
No exemplo acima, uma interface GigabitEthernet pode ser configurada com uma das
velocidades específicas ao invés de “auto” como é o seu padrão. Vale lembrar que para
um bom funcionamento desta alteração pode ser importante sincronizar a mudança
com o host também. Pode ser necessário configurar da mesma forma a placa de rede
do host para que não ocorram incompatibilidades. E uma boa dose de organização, para
que todas as novas conexões de host também passem por este ajuste.
Switch(config)#interface gi1/1
Switch(config-if)#duplex ?
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation
Você saberia apontar as diferenças entre o formato full-‐‐duplex e half-‐‐duplex? Escreva
abaixo:
148
Fulln duplex:
Halfn duplex:
Formato ACCESS, ou modo de acesso: Quando a interface está configurada para atuar
dentro de uma vlan específica. Normalmente para interfaces de conexão com hosts de
qualquer tipo.
149
Switch(config)#interface range fa0/1 - 20
Switch(config-if-range)#switchport mode access
Além desta preocupação, devemos ainda desabilitar todas as portas que não estiverem
sendo utilizadas e voltar a ativá-‐‐las apenas quando for necessário o seu uso:
Isto evita que acessos não autorizados sejam início para invasões e problemas de
segurança com a rede.
Seguindo pelo caminho das configurações básicas de interfaces do switch, temos ainda
algumas configurações importantes:
150
tráfego gerado a partir destes endereços autorizados atravesse a interface
configurada.
151
Note que cada um dos endereços MAC acima foi aprendido dinamicamente assim que
cada host gerou algum tipo de tráfego na interface onde está conectado. Este tipo de
“aprendizado” na tabela, tem um prazo de validade. O endereço permanece vinculado
à interface por exatos 300 segundos, caso não haja tráfego gerado pelo host. São apenas
5 minutos de inatividade que podem manter um endereço vinculado a uma interface do
switch. No caso de servidores, impressoras e outros dispositivos que necessitem
fornecer algum tipo de serviço à rede, isso pode não ser adequado. Perdas de conexão
ou atrasos podem ocorrer nas respostas. É possível também vincular um endereço MAC
a uma interface de forma estática, definitiva. Isto pode ser feito apenas por configuração
direta, vinculando o MAC de forma estatica à interface, ou ainda associando isso ao
recurso de segurança denominado PORT-‐‐SECURITY. Neste caso, além de vincular o
endereço de forma fixa à interface, algumas ações podem ser tomadas, caso exista uma
tentativa de conectar outro host àquela interface. Vejamos um exemplo...
Switch(config)#interface fa0/5
Switch(config-if)#shutdown
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
152
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#no shutdown
switchport portp security macp address sticky: Define a forma como o endereço (ou
endereços) MAC será “aprendido” pela interface. O formato sticky “cola” o endereço do
host conectado a interface a partir de algum tráfego gerado pelo mesmo.
switchport portp security violation shutdown: Define a ação a ser tomada, caso ocorra
uma violação da política definida na porta. Como violação entendan se apenas o fato de
ocorrer uma troca de hosts conectados a interface configurada do switch. Neste caso, a
porta será desabilitada, caso um outro host seja conectado a ela.
153
Observe agora, como está a topologia após a configuração do PORT-‐‐SECURITY:
Note que o host agora tem seu endereço MAC vinculado de forma estática à interface
fa0/5. E se retirarmos a conexão do host_B e tentarmos conectar um outro, a porta
será desabilitada:
154
E um mais específico sobre a interface:
Para que a interface volte a funcionar corretamente, será necessário devolver o host
original vinculado pelo endereço MAC e após acessar a interface, devemos digitar o
comando shutdown e logo em seguida o no shutdown. Desta forma a situação de “error-
‐‐disabled” acionada pelo PORT-‐‐SECURITY será corrigida.
155
Em algumas situações não seria interessante que a interface fosse desabilitada,
observe a figura abaixo:
Note que o host_intruso não aparece com um endereço MAC aprendido pela interface.
De forma que seu tráfego não entra na rede devido à restrição de segurança. Por outro
lado, a interface fa0/5 do switch não entra em shutdown, não prejudicando o
funcionamento dos outros hosts autorizados a funcionarem na rede.
Ambas as opções Restrict e Protect possuem a mesma funcionalidade, porém com uma
diferença significativa no funcionamento. No caso da opção Restrict, o contado de
violações é incrementado, enquanto no Protect não é. Isso também direciona para o
fato de que pode ser gerado um log do Restrict, mas não do Protect.
Em outras palavras, enquanto o Restrict permite que se faça um controle das violações,
o Protect apenas evita o tráfego intruso. Algo como uma câmera que filma e grava as
imagens (Restrict) e uma outra que apenas filma (Protect).
156
Switch(config)#interface fa0/5
Switch(config-if)# description Interface conectada ao servidor de vendas S33_tre
Para efeitos de documentação pode-‐‐se também colocar banners de aviso que serão
visualizados por todos os acessos ao switch:
Switch(config)#banner motd #
Enter TEXT message. End with the character '#'.
Após o comando, coloca-‐‐se um caracter separador que poderia ser qualquer um. No
exemplo foi escolhido o “#” por ser um elemento que não costuma ser utilizado em
textos. Um enter após a colocação do caracter separador, traz a mensagem mostrada
logo abaixo da linha de comando e o cursor fica posicionado num espaço em branco
onde se pode colocar a mensagem. Após o término da digitação, encerra-‐‐se com o
caracter separador. A visualização da mensagem será feita por qualquer acesso, via
console, telnet, ssh, etc.
VLANS
157
O CCNA tem como objetivo preparar o profissional para isso. Todo o processo de uso
das vlans é cobrado na certificação.
Neste modelo de redes, existe uma divisão física muito forte entre os 3 segmentos. Este
modelo teve seu tempo em uma época onde cada grupo de rede era realmente isolado
e apenas precisava atravessar o backbone da rede em poucos momentos. Não existia
uma grande necessidade de comunicação entre os grupos. Praticamente tudo o que era
necessário a cada uma das salas representadas no desenho, poderia ser obtido de
alguma pasta do servidor local. Desta forma, o roteador tinha acesso aos 3 grupos e
cada um poderia chegar ao servidor principal. Eventuais necessidades de comunicação
entre os hosts das salas precisavam necessáriamente atravessar o backbone da rede,
passando pelo roteador. Este modelo de rede, em uma determinada ocasião chegou a
ser qualificado como 80/20. O significado disso era que 80% do tráfego de cada host era
destinado a buscar algo em seu próprio grupo. E apenas em 20% dos acessos, a busca
era por algo que estivesse no backbone da rede.
158
A dinâmica das redes sofreu grandes mudanças com o avanço das aplicações e a
convergência dos recursos para as redes. De tal forma que o antigo 80/20 chegou
mesmo a se transformar num 20/80, invertendo completamente as necessidades de
acesso. Nas redes modernas a maior parte do tráfego é de backbone. E surgiu também
a necessidade de uma maior flexibilização dos hosts em rede. O conceito de mobilidade,
por exemplo, trouxe a figura do funcionário que apesar de estar ligado a um
determinado setor da empresa, se desloca constantemente pelos diversos ambientes.
Seu host agora pode ser um pequeno computador portátil ou algum outro dispositivo
que o conecta à rede. A mobilidade não existiria nos antigos conceitos de rede física.
159
160
Um ambiente onde antes havia apenas uma divisão física, por andar, passa a ser
dividido por departamento com a chegada das vlans. E cada departamento pode
abranger hosts de andares distintos.
Uma visão técnica das divisões entre vlans acionadas pelos switches. Os quadros são
marcados com o número correspondente a cada vlan e encaminhados apenas à portas
pertencentes relacionadas a cada vlan. Os hosts pertencentes a cada vlan podem estar
em locais físicos distintos na empresa. Podem até mesmo estar distribuídos em locais
físicos distantes numa situação denominada “Lan to Lan” onde uma rede local pode se
estender por duas ou mais localidades.
161
diversos switches, a tecnologia empregada é chamada de marcação de quadros. E duas
são as tecnologias citadas no CCNA para este fim:
IEEE 802.1Q – Padrão aberto mais popular nos ambientes em geral, pois permite a
distribuição das vlans através de switches de fabricantes diferentes. Nesta tecnologia, a
marcação do quadro ocorre através do acréscimo de uma TAG de 4 bytes adicionada ao
frame ethernet logo após o campo source address. Para isso, ocorre uma supressão e
recálculo do campo FCS que também ocupa 4 bytes. Em determinados momentos o
frame Ethernet pode ter 1522 bytes em função da TAG de vlan.
162
Neste formato, o frame Ethernet é reencapsulado com acréscimo de até 30 bytes.
Isto torna o frame incompreensível para outros equipamentos não Cisco.
Um modelo de link entre 2 interfaces, onde o tráfego de todas as vlans, com seus
respectivos quadros marcados pode atravessar o mesmo canal para ter a acesso ao
switches em ambas as pontas. A figura abaixo ilustra as diferenças entre vlans
representadas por figuras geométricas e cores distintas. Observe que no link do meio
todo o tráfego compartilha o mesmo canal, representando o link de trunk. Já os links
posteriores representam canais exclusivos de cada vlan. Neste caso, dizemos que as
portas estão em modo de acesso em suas respectivas vlans.
CONFIGURAÇÕES DE VLANS:
Vamos agora observar como são realizadas as configurações das vlans e do link de trunk.
Procure praticar bastante os comandos que serão demonstrados aqui para que adquira
a prática necessária ao ambiente de trabalho com estes assuntos.
163
Você receberá exercícios onde poderá realizar esta configuração, mas também pode e
deve desenvolver suas próprias topologias. Um modelo interessante para auto
desenvolvimento, é você procurar entender como está distribuída a rede do seu local
de trabalho e tentar reproduzi-‐‐la (ou partes, caso seja muito extensa) na ferramenta
de laboratório.
Uma boa prática para começar a se desenvolver nestas configurações é ter o hábito de
desenhar o que se pretende construir e posteriormente documentar tudo o que foi feito,
seja em planilhas, ou arquivos de texto contendo as configurações dos equipamentos,
etc.
A documentação lhe permitirá expandir o projeto quando for necessário, com mais
facilidade e também resolver eventuais problemas que possam ocorrer.
SW_1:
164
SW_1(config)#vlan 10
SW_1(config- vlan)#name ADM
SW_1(config- vlan)#vlan 20
SW_1(config- vlan)#name RH
SW_1(config- vlan)#vlan 30
SW_1(config- vlan)#name Financeiro
SW_1(config)#interface gi1/1
SW_1(config-if)#switchport mode trunk
SW_2:
SW_2(config)#vlan 10
SW_2(config-vlan)#name ADM
SW_2(config-vlan)#vlan 20
SW_2(config-vlan)#name RH
SW_2(config-vlan)#vlan 30
SW_2(config- vlan)#name Financeiro
165
SW_2(config- if-range)#switchport mode access
SW_2(config- if-range)#switchport access vlan 30
SW_2(config)#interface gi1/1
SW_2(config-if)#switchport mode trunk
166
No comando show interfaces trunk acima, repare que podemos visualizar o tipo de
marcação de quadros utilizada nesse trunk.
Mais a direita existe a informação sobre a vlan nativa em funcionamento neste link de
trunk. Mas o que é a vlan nativa?
Por padrão, a vlan nativa de um switch corresponde a vlan 1, a mesma utilizada para o
gerenciamento. Mas tudo isso pode ser modificado se desejarmos ou se for
necessário.
A vlan nativa tem a função principal de transportar quadros não marcados por vlan
para dentro de uma rede que possui vlans. Como exemplo, podemos citar uma rede
toda organizada por switches com vlans e trunks, onde exista a necessidade de
conectarmos um hub antigo ou um access point ou ainda qualquer outro dispositivo
que não realize marcação de quadros, ou em outras palavras não crie e não utilize
vlans.
E todo o tráfego que atravessar uma rede, sem possuir nenhuma marcação de vlan (ou
tagg) ao passar pelo link de trunk será direcionado para a vlan nativa que estiver
configurada neste trunk. É importante que a mesma vlan nativa esteja definida nas 2
pontas do trunk, caso contrário mensagens de erro serão disparadas pelo switches e o
tráfego não será encaminhado corretamente.
167
ETHERCHANNEL
Consiste da integração de 2 ou mais portas físicas do switch, criando uma porta lógica
que reúne toda a largura de banda somada dos links físicos.
Não se trata de um recurso novo nos ambientes de redes. Na realidade é uma tecnologia
que já existe há mais de 10 anos. Porém no início surgiu apenas como recurso para
grandes equipamentos e sua utilização se resumia à camada de Core da rede.
168
Os links que sobem informações da camada de acesso para a de distribuição podem ficar
sobrecarregados em função do aumento do uso da rede no ambiente de trabalho. O que
anteriormente era apenas uma necessidade das ligações entre distribuição e core se
estendeu para o acesso. De uma certa forma, podemos dizer que o backbone das redes
atuais foi ampliado e chegou aos links de saída da camada de acesso.
169
100 mb, poderíamos ter problemas de gargalo, caso ocorresse uma “superpopulação”
da rede mais abaixo.
Neste caso, a agregação dos links traria uma solução muito boa.
• EtherChannel permite que a Spannig Tree trate os dois links físicos como uma
porta lógica, fazendo com que ambas as portas possam operar em modo total
de forward
170
porta lógica para trunk, fazendo uso de toda a sua largura de banda somada
dos links físicos.
DETALHES DE IMPLEMENTAÇÃO:
• Podemos agregar múltiplas portas físicas Ethernet usando o comando chamado
channelp group. É criada uma interface única, chamada de portp channel, ou
canal de portas.
• Nos switches Cisco Catalyst podemos agrupar até oito portas 10/100 ao mesmo
tempo, criando um canal com largura de banda de 800 Mbps (o prospecto pode
exibir 1600 Mbps, uma vez que o pacote tem a operação full duplex). Também é
possível trabalhar com portas GigabitEthernet, apenas observando a
documentação de cada equipamento para trabalhar com as especificidades.
• O balanceamento padrão de carga pode ser alterado para ter como base:
171
• IP de destino
• IP de origem
• MAC de destino
• - Auto-desirable;
- Desirable-desirable;
- On-on.
172
LACP (LINK AGGREGATION CONTROL PROTOCOL) – Protocolo de agregação de links
- Active-Passive;
- Active-Active;
- On-on.
Isto é útil, pois o balanceamento de carga existente no etherchannel é para ser utilizado
pelo tráfego interessante da rede.
• O custo padrão para um link de 100 Mbps é 19, e se é criado um canal que
tenha apenas dois links de 100 Mbps o custo da spanning-‐‐tree será de 9.
• Um canal com seis ou mais portas físicas de 100 Mbps terão um custo STP de 5.
• Os custos STP para os canais de porta variam de acordo com quantas portas
são atribuídas ao pacote, e não quantos estão ativos no pacote.
173
EXEMPLO DE CONFIGURAÇÃO:
Configurações a seguir...
174
switch 2 será configurado como auto:
175
envolvidas no grupo:
176
Switch# show interface etherchannel
Todos esses comandos são úteis para descobrir e corrigir defeitos de operação do
EtherChannel. Ao solucionar problemas,sempre comece verificando se as portas físicas
possuem os mesmos parâmetros operacionais. Faça isso em ambas as extremidades do
EtherChannel.
Exercitar este recurso é a melhor de saber quando utilizá-‐‐lo e fazer isso de forma
eficiente.
A necessidade de redundância
Topologias redundantes são muito importantes em redes, pois:
Estes problemas, se não contornados de alguma forma, podem parar uma rede em
curto espaço de tempo.
Ao mesmo tempo que redes comutadas com switches podem fornecer benefícios como
redução do tamanho dos domínios de colisão; microssegmentação; operação full-‐‐
duplex e com tudo isso otimização no desempenho, a redundância, se não
177
gerenciada, pode provocar alguns efeitos colaterais inexistentes na época dos antigos
hubs.
A redundância, por sua vez, é necessária para proteger a rede contra perda de
conectividade relacionada a falha de dispositivos individuais.
Isso pode ser entendido como uma hora de inatividade, em média, a cada 4.000 dias,
ou aproximadamente 5,25 minutos de inatividade por ano.
Seu principal efeito colateral, são os loops de comutação nas topologias físicas, que
podem parar o funcionamento da rede. Mas em que circunstância os loops podem ser
formados? Observe a figura abaixo:
178
Quando o comando show mac-‐‐address-‐‐table for emitido no SW_6, o endereço mac do
host A aparecerá relacionado a qual das portas do switch?
O quadro ethernet não possui em sua estrutura o TTL (Time to live) existente no
cabeçalho ip por exemplo. Este campo age como um contador que vai sendo
decrementado a cada passagem do pacote ip pelos dispositivos. Ao final ele
simplesmente deixa de existir na rede, evitando loops. Por não ter este campo em sua
estrutura, o quadro ethernet ao ser copiado múltiplas vezes, permanece circulando pela
rede ininterruptamente, contribuindo para a formação de loops de comutação.
179
O servidor principal, está fornecendo importantes aplicações para toda a rede. Numa
topologia redundante e funcional, a queda de qualquer um dos dispositivos não deve
interromper o acesso a ele. E a mudança para o novo caminho precisa ser rápida sob
pena de prejuízo ao trabalho com as aplicações.
180
O host X encaminha um quadro de broadcast para seu segmento de rede. E os switches
continuam encaminhando estes quadros sem parar a todos os segmentos de rede onde
possuem conexão.
Se o Host X enviar um broadcast, como uma solicitação ARP por exemplo, para o
endereço mac do roteador, o Switch A encaminhará o broadcast por todas as portas.
181
Em redes locais onde o Spanning-‐‐Tree está presente, ocorre a criação de uma
topologia lógica sobreposta hierárquicamente à topologia física, fazendo com que cada
lan seja acessada por um único caminho, sem loops.
Para que os switches não precisem realizar trocas de tabelas CAM o tempo todo entre
si, visto que isso geraria boa parte dos problemas descritos anteriormente, existem
alguns processos semelhantes a eleições que ocorrem nos equipamentos.
182
A principal informação relevante e de comparação entre todos os switches para eleição
da root bridge é o -‐‐-‐‐ bridge id-‐‐-‐ . Este campo contém um valor que pode variar entre 0
e 65536 dependendo do fabricante do equipamento. Além disso, associado a este valor,
também está o endereço MAC principal do switch. De forma que a identificação principal
de cada equipamento, se dá pela combinação destes 2 valores.
Dessa forma, se este valor não for modificado, haverá uma igualdade entre todos os
equipamentos Cisco. Esta igualdade poderá ser desfeita a partir da comparação do
endereço MAC que será diferente entre cada equipamento.
O switch que apresentar o menor Bridge ID será eleito como root bridge. No caso de
empate do valor fixo, prevalecerá o menor endereço MAC.
Vale lembrar que aqui está descrito o processo automático de eleição. Mas, caso se
deseje, também é possível definir através de comandos qual dos switches será a root
bridge:
183
Switch(config)#spanning-tree vlan 1 priority 28672
Note que o valor configurado é um múltiplo de 4096. Isto é uma regra para alterar as
prioridades. Mas, caso alguém tente alterar e digite qualquer valor, receberá uma boa
ajuda:
Na figura abaixo, observe que todos os switches possuem o mesmo valor fixo de bridge
id. Dessa forma, o Switch A, que possui o menor endereço MAC entre todos os presentes
na topologia será eleito a root bridge da topologia.
184
Os nomes relacionados a cada uma das interfaces da topologia estão vinculados ao
segundo processo de eleição que ocorre após a escolha da root bridge
Cada switch (exceto o root bridge) fará uma eleição interna para determinar qual será o
melhor caminho para chegar até a root bridge. Isto será necessário pois a root bridge
185
detém consigo as informações de endereços MAC mais confiáveis para o
encaminhamento dos quadros. Cada switch conhece a root bridge pois essa
informação está “colada” nas BPDU´s que circulam na rede.
Informação:
DP – Designated Port
RP – Root Port
186
Critérios: Análise de todas as portas conectadas a outros switches da topologia
Valores considerados:
o 1º -‐‐ Menor custo de caminho (vide tabela abaixo)
o 2º -‐‐ Menor custo de porta
10 mb 100
100 mb 19
1000 mb (1 gb) 4
Interface Custo
Fa0/1 128.1
Fa0/2 128.2
Fa0/3 128.3
Fa0/X 128.X
187
Na topologia, todas as portas com a nomenclatura RP foram escolhidas como Root Ports
para estes switches. E as portas DP foram determinadas como Designated Ports.
Root Ports são os melhores caminhos para a root bridge e designated ports são possuem
a funcionalidade principal de transmitir BPDU´s, seja para as root port ou para as portas
bloqueadas. Observe que na topologia todas as portas do switch eleito como root bridge
estão como designated ports. O root bridge não possui portas bloqueadas. E também
temos uma porta designated para cada segmento da rede, normalmente em posição
oposta a uma porta bloqueada no switch vizinho.
Esta talvez seja uma das parte principais do mecanismo Spanning Tree. É através do
bloqueio de algumas interfaces de caminhos redundantes, que se pode evitar os loops
de comutação causados pelas tempestades de broadcast e cópias contínuas dos
quadros, conforme explicado no início deste assunto. Este bloqueio evita a passagem do
tráfego comum dos dados de usuários, mas permite a passagem das BPDU´s que
continuarão a transportar informações da topologia lógica através da rede.
188
Os principais estados de portas e seus tempos no Spanning Tree são os seguintes
Um aspecto que influencia diretamente a escolha da root port por um switch, é o fato
de ter alguma interface diretamente conectada ao root bridge. Observe a figura abaixo
novamente:
Note que o switch D possui um caminho para a root bridge através de sua interface com
o switch B com um custo de 23 (4+19). Em termos de custo de caminho, este é melhor
do que o que foi escolhido, onde existe um link de 10 mb, determinando um custo de
100.
189
Então por quê, neste caso, o caminho escolhido para a root bridge não foi o de menor
custo?
Isto ocorreu pelo fato de que existir um link direto para a root bridge. Todo link direto
para a root bridge é naturalmente escolhido como o root port.
Agora, pense um pouco e responda. Qual a lógica aparente por trás disso?
Até este ponto, tratamos da situação da escolha da root port baseada no custo do
caminho até a root bridge.
190
Na imagem acima, a interface fa0/7 do Switch F havia sido escolhida como root bridge
em função de seu menor custo em relação aos outros 2 caminhos. Porém ocorreu um
problema na rede que interrompeu fisicamente este link entre os switchs E e F.
Isto ocorre porque existe um empate no custo dos caminhos partindo das 2 portas. E o
segundo critério de análise é o custo da porta especificamente. Vamos relembrar os
custos de portas:
Interface Custo
Fa0/1 128.1
Fa0/2 128.2
Fa0/3 128.3
Fa0/X 128.X
Perceba que existe um valor de 128 associado a cada uma das portas. Dessa forma, a de
menor custo será sempre a interface de menor número. Mas, se quisermos podemos
modificar esse padrão de funcionamento para forçar uma porta a ser escolhida como
root. O comando para isso é o seguinte:
Switch_F(config)#int fa0/5
191
Repare também que a modificação que fizemos no custo da porta fa0/5 foi relacionada
apenas à instância de Spanning Tree relacionada à Vlan 1. E o normal é sempre
configurarmos aspectos do Spanning Tree relacionados a cada uma das vlans. É preciso
ter a noção de que devido a isso, o fluxo de tráfego na topologia pode ser diferente para
cada vlan existente. Como foi dito no princípio deste assunto, tratam-‐‐ se de topologias
lógicas montadas sobre a estrutura física existente.
192
Tão logo a interface fa0/7 retorne ao seu funcionamento, uma nova eleição será feita e
ela voltará a ocupar o lugar de root port, pelo fato de possuir o caminho de menor custo.
EXERCÍCIO SPANNING--‐TREE
Após todo o processo de convergência do Spanning Tree ter sido concluído vamos
utilizar um exercício onde será possível observar algumas práticas relacionadas ao
protocolo em questão.
193
194
Apesar de parecer confusa, à primeira vista, temos aqui um modelo de topologia
bastante semelhante às redes reais atuais.
195
Após emitir o comando SHOW SPANNING-‐‐TREE no modo privilegiado, temos o
seguinte:
Podemos perceber que este switch não corresponde à root bridge da topologia. Observe
que as primeiras informações trazem dados sobre a root bridge e o bloco mais abaixo
sobre o switch em que estamos, chamado de “bridge id”. Os endereços MAC de ambos
são diferentes. Um outro fato a se destacar também, é que na root bridge todas as
portas são designadas, o que não acontece neste equipamento que estamos
visualizando.
Você pode ainda visualizar o status das portas envolvidas no processo spanning-‐‐tree e
até identificar qual está bloqueada.
Se continuarmos nossa pesquisa em busca da root bridge, passaremos por diversos (ou
talvez todos) equipamentos.
196
Perceba que este switch da camada de distribuição indica o mesmo endereço MAC para
a root bridge desta topologia que já apareceu na saída do switch anterior que
visualizamos. E também, observe o fato de a porta fa0/5 deste equipamento ser a root
port. Isto projeta bem onde pode estar a root bridge procurada. Se olharmos a
topologia, veremos que esta interface aponta para um equipamento da camada de
acesso, posicionado praticamente no fim da topologia. Vale a pena dar uma olhada nele:
197
Agora, temos fortes indícios para desconfiar que nossa busca terminou...E eles estão
todos grifados na saída do comando acima.
É claro que se tivermos uma documentação onde esteja registrado o endereço MAC de
cada switch, após o primeiro comando show spanning-‐‐tree emitido poderíamos ir
direto ao root bridge da rede.
Passo 2
Ter como root bridge um dos switches posicionados na camada de acesso, pode não ser
uma boa idéia.
198
Você conseguiria pensar num motivo para isso? Escreva aqui...
De qualquer forma, neste segundo passo, vamos forçar a troca da root bridge para um
switch da camada de CORE.
O comando acima muda a prioridade deste switch do valor original de 32768 para 4096.
Este é o principal valor envolvido na escolha da root bridge pelos switches. Logo que
este comando é executado, as BPDU´s que partem deste switch já informam aos outros
seu novo valor de prioridade. E em pouco tempo todos o reconhecem como a nova root
bridge da topologia, veja:
199
O comando show spanning-‐‐tree no switch que era a root bridge anteriormente
Passo 3
Uma boa prática para completar a configuração básica, seria configurar o 2º switch da
camada de core para ser uma root bridge de backup. Para isto basta definir para ele uma
prioridade menor do que o restante da rede, porém maior do que a do switch C1 que
agora está como root bridge.
200
C2(config)#spanning-tree vlan 1 priority 8192
E o resultado:
O maior trabalho com relação a este protocolo não são de fato as configurações a serem
realizadas, mas bem mais as decisões a serem tomadas em relação aos root bridges e
root ports. Principalmente em ambientes de muitas vlans onde cada instância de STP
pode direcionar o tráfego da vlan para um caminho diferente das outras.
201
CAPÍTULO 5 – ROTEAMENTO
202
ROTEAMENTO
O roteamento é o processo utilizado nas redes para encaminhar informações entre
computadores e redes distintos. Tendo como referencial o endereçamento hierárquico
(endereçamento lógico, ip) roteadores, servidores, switches L3 criam tabelas de
roteamento e por estas informações enviam os dados por suas interfaces.
A hierarquia existente nos endereços com suas máscaras, define redes e hosts
pertencentes a elas. O tráfego das informações entre estes grupos criados é conhecido
como roteamento. Ele envolve a presença de diversos processos, descritos a seguir.
O roteamento IP não garante uma entrega confiável nem estabelece uma conexão
antes da transmissão dos dados. Esta comunicação sem conexão e não confiável é
rápida e flexível, mas as camadas superiores precisam fornecer mecanismos para
garantir a entrega dos dados, se necessário.
A função do roteamento é transportar dados de um host para outro, sem considerar o tipo
de dado. Os dados são encapsulados em pacotes. O cabeçalho do pacote possui campos
que incluem o endereço de destino e origem do pacote.
203
roteador poderá por padrão descarta o pacote, mas pode também encaminhá-‐‐lo
baseado numa informação especial do roteamento denominada rota padrão que
veremos mais adiante.
O ROTEADOR
A figura central do processo de roteamento – O ROTEADOR
204
Service) dos pacotes IP para assegurar que o tráfego em tempo real, como voz,
vídeo e dados críticos não sejam descartados ou atrasados.
Atenuar o impacto de worms, vírus e outros ataques na rede, permitindo ou
negando o encaminhamento de pacotes.
Perceba que no momento atual, os roteadores oferecem bem mais serviços para uma
rede do que o faziam há poucos anos atrás. Eles já invadiram o espaço das aplicações e
também dos servidores em termos de fornecimento de serviços.
CPU
RAM
ROM
Sistema operacional
Um roteador conecta várias redes. Isso significa que ele tem várias interfaces, cada uma
pertencente a uma rede IP diferente. Quando um roteador recebe um pacote IP em uma
interface, ele determina que interface usar para encaminhar o pacote para seu destino.
A interface que o roteador usa para encaminhar o pacote pode ser a rede do destino
final do pacote (a rede com o endereço IP de destino desse pacote) ou pode ser uma
rede conectada a outro roteador usado para alcançar a rede de destino.
205
Cada rede a qual um roteador se conecta costuma exigir uma interface separada. Essas
interfaces são usadas para conectar uma combinação de redes locais (LANs, Local Area
Networks) e redes remotas (WAN, Wide Area Networks). As redes locais costumam ser
redes Ethernet que contêm dispositivos como PCs, impressoras e servidores. As WANs
são usadas para conectar redes em uma área geográfica extensa. Por exemplo, uma
conexão WAN costuma ser usada para conectar uma rede local à rede do Provedor de
Internet (ISP, Internet Service Provider). Também é comum a utilização de redes WAN
para extensão geográfica de redes locais. São as chamadas redes lan-‐‐to-‐‐lan, bastante
utilizadas atualmente na interligação de sites das empresas.
206
Aqui um modelo de interligação para extensão de um rede local
207
O roteador usa sua tabela de roteamento para determinar o melhor caminho para
encaminhar o pacote. Quando o roteador recebe um pacote, ele examina seu endereço
IP de destino e procura a melhor correspondência com uma linha da tabela de
roteamento. A tabela de roteamento também inclui a interface a ser usada para
encaminhar o pacote. Quando uma correspondência é localizada, o roteador encapsula
o pacote IP no quadro de enlace da interface de saída, e o pacote é encaminhado para
seu destino.Um detalhe importante, é que ao examinar o pacote recebido o roteador
extrai dele o endereço da rede de destino. No primeiro momento, o endereço do host
específico não é importante. Você se lembra o nome do processo
que é utilizado para que ele identifica num dado endereço, qual a rede ao qual
pertence?
208
interface do roteador e do tipo de meio a que ele se conecta. Entre as tecnologias de
enlace de dados diferentes a que um roteador pode se conectar estão tecnologias de
rede local, como Ethernet e conexões WAN do tipo serial.
209
A CPU executa instruções do sistema operacional, como inicialização de sistema,
funções de roteamento e de comutação, além de processar instruções de algoritmos
como os protocolos de roteamento.
RAM
A RAM armazena as instruções e os dados que precisam ser executados pela CPU. A
RAM é usada para armazenar estes componentes:
RAM é uma memória volátil e perde seu conteúdo quando o roteador é desligado ou
reiniciado.
ROM
ROM é uma forma de armazenamento permanente. Os dispositivos Cisco usam a ROM
para armazenar:
As instruções de bootstrap
Software de diagnóstico básico
210
Versão redimensionada do IOS
A ROM usa firmware, que é o software incorporado ao circuito integrado. O firmware é
um tipo de software que normalmente não precisa ser modificado ou atualizado,
como as instruções de inicialização. A ROM não perde seu conteúdo quando
o roteador é desligado ou reiniciado.
Memória flash
Flash é uma memória de computador não volátil que armazena as informações
eletricamente e sempre que necessário seu conteúdo pode ser apagado e regravado,
tal qual o Hard disk de um computador. A memória flash é usada como
armazenamento permanente para o sistema operacional, o Cisco IOS. Na maioria dos
modelos de roteadores Cisco, o IOS é armazenado permanentemente na flash e
copiado para a RAM durante o processo de inicialização, quando é executado pela
CPU. Físicamente, a memória flash consiste de placas SIMMs ou PCMCIA, que podem
ser ampliadas por upgrade, aumentando as capacidades do roteador.
A memória flash não perde seu conteúdo quando o roteador é desligado ou reiniciado.
NVRAM
A RAM Não Volátil (NVRAM, Nonvolatile RAM) não perde suas informações quando a
energia é desligada. Isso é o oposto ao que acontece na maioria das formas comuns de
RAM, como DRAM, que exige energia ininterrupta para manter suas informações. A
NVRAM é usada pelo Cisco IOS como armazenamento permanente para o arquivo de
configuração de inicialização (startupn config). Todas as alterações feitas na
211
config. A NVRAM manterá seu conteúdo, mesmo quando o roteador for recarregado
ou desligado.
ROM, RAM, NVRAM e memória flash são abordadas na seção a seguir, que apresenta o
IOS e o processo de inicialização. Elas também são abordadas mais detalhadamente em
um capítulo posterior referente ao gerenciamento do IOS.
TABELA DE ROTEAMENTO
Conforme já apresentado anteriormente, a principal função de um roteador é
encaminhar um pacote para sua rede de destino, que está representada no endereço
IP de destino do pacote. Para isso, um roteador precisa pesquisar as informações de
212
Repare que a tabela acima mostra que o R_central possui 3 redes diretamente
conectadas, em cada uma de suas interfaces GigabitEthernet. Temos a representação
de cada rede e também do endereço de host que representa a conexão desta interface.
Esta é uma particularidade do IOS a partir da versão 15.
Como mostrado na figura acima, a tabela de roteamento é exibida com o comando show
ip route. Neste momento, não houve nenhuma rota estática configurada nem qualquer
protocolo de roteamento dinâmico habilitado. Portanto, a tabela de roteamento de
R_central só mostra as redes do roteador conectadas diretamente. Para cada rede
listada na tabela de roteamento, as seguintes informações são incluídas:
No exemplo acima, quando o roteador precisa encaminhar um pacote para a rede
192.168.2.0, ele perceberia, por consulta à tabela de roteamento, que o pacote precisa
ser encaminhado através da interface GigabitEthernet0/1.
Uma rede remota é uma rede que não está conectada diretamente ao roteador. Em
outras palavras, ela só pode ser alcançada enviando-‐‐se o pacote para outro roteador.
213
As redes remotas são adicionadas à tabela de roteamento usando um protocolo de
roteamento dinâmico ou configurando rotas estáticas. Rotas dinâmicas são rotas para
redes remotas que foram aprendidas automaticamente pelo roteador, usando um
protocolo de roteamento dinâmico. Rotas estáticas são configuradas manualmente por
um administrador de rede.
Pense um pouco e responda: Como podemos acrescentar uma rede 192.168.4.0 /24 à tabela de
roteamento do roteador R_central? Ela deve aparecer como rede diretamente conectada, igual
às outras que já estão lá.
TIPOS DE ROTEAMENTO
Como processos de roteamento, temos 3 formas em destaque no conteúdo do CCNA:
Padrão – Este formato indica basicamente ao roteador qual caminho deve seguir ao não
encontrar o destino para um determinada rede em sua tabela de roteamento.
ROTEAMENTO ESTÁTICO
Uma rota estática inclui o endereço de rede e a máscara de sub-‐‐rede da rede remota,
além do endereço IP do roteador do próximo salto ou o nome da interface de saída. As
214
rotas estáticas são denotadas com o código S na tabela de roteamento como mostrado
na próxima figura.
Repare que cada um dos roteadores envolvidos, possui redes diretamente conectadas.
O R_1 possui 2 linhas nesse modelo de redes. E o R_2 possui 3 redes diretamente
conectadas a ele. Possuem também rota estática (1 cada um) para as redes Lan um do
outro.
215
desenho da topologia envolvida. Você consegue ? Este é um desafio interessante que o
216
ajudará a compreender as funcionalidades da tabela de roteamento. Você pode fazer
isso no espaço abaixo:
Para compor este desenho, converse com outros colegas para que a junção das idéias
posso facilitar o projeto.
Vantagens
o Sem uso de CPU e memória do roteador
o Flexibilidade aos ambientes mistos (vário tipos de roteamento)
o Contingência aos protocolos dinâmicos
o Escalabilidade
Desvantagens
o Maior trabalho de configuração
217
o Sem atualização automática (depende de gerenciamento do
administrador da rede)
Router A:
Router B:
218
ip route R3 máscara_R3 s0/0/0
Router C:
R1 192.168.10.0 /24
R2 192.168.20.0/24
R3 192.168.30.0/24
R4 192.168.40.0/24
R5 192.168.50.0/24
Router_A
219
Router_B
Router_C
Além das rotas de próximo salto e as diretamente conectadas, temos ainda as rotas
sumarizadas e as rotas flutuantes ou de contingência.
Rota flutuante
220
Imagine que o host_B precisa ter acesso aos recursos existentes na rede do Router_A. E
para isto, por se tratar de um ambiente pequeno, podemos configurar todo o ambiente
com rotas estáticas.
O caminho da rede B para a rede A está funcionando com uma rota estática passando
pelo roteador C, assim:
Como regra, podemos considerar que existe um 2o caminho para que o host B chegue
aos recursos da rede A. Apenas não podemos configurar ambos os caminhos com o
mesmo nível de grandeza ou preferência de roteamento. Na verdade, chamamos de
distância administrativa, o valor naturalmente associado a cada processo de roteamento
e que determina uma ordem de escolha entre estes processos. Para isto, existe uma
tabela com valores de 0 a 255 onde os processos de roteamento estão listados cada qual
com seu valor.
Abaixo temos um resumo desta tabela, constando os valores mais relevantes para este
curso.
221
Repare que as rotas estáticas ocupam as posições de 0 (as diretamente conectadas) e 1
as de próximo salto. Quanto menor o valor nesta tabela, maior a preferência pelo
processo de roteamento. Como exemplo, imagine um ambiente configurado com OSPF
onde alguém configure algumas rotas estáticas para os mesmos destinos já aprendidos
pelo OSPF. Imediatamente, os caminhos configurados nas rotas estáticas, assumem o
roteamento para aquelas redes no lugar do OSPF.
Veja como :
Note que o caminho do próximo salto, faz referência à outra rede serial que temos como
alternativa. E o número 10 no final da rota mostra uma distância administrativa maior
que deixaria esta rota como backup da anterior. Esta segunda rota ficaria contida apenas
na configuração. Na tabel de roteamento estaria a rota principal. No entanto, na
ocorrência de qualquer problema em relação a rota principal, tal como indisponibilidade
da interface, a rota de backup permitiria a continuidade do tráfego.
222
Rota sumarizada
ROTEAMENTO DINÂMICO
As redes remotas também podem ser adicionadas à tabela de roteamento, usando um
protocolo de roteamento dinâmico, que a princípio pode ser entendido como um
algoritmo matemático complexo destinado cálculos de rotas com base em determinadas
métricas.
Detecção de rede
223
Atualização e manutenção das tabelas de roteamento
Detecção automática de rede
Protocolos de roteamento IP
Existem vários protocolos de roteamento dinâmico para IP. Aqui estão alguns dos mais
comuns:
224
BGP (Border Gateway Protocol)
Obs: O protocolo RIP está fora do escopo da nova versão do CCNA. Utilizamos ainda hoje
este protocolo, principalmente para demonstrar exemplos de processos de roteamento
dinâmico.
IS-IS e BGP estão relacionados ao CCNP, bem como a porção mais avançada de EIGRP e
OSPF.
No CCNA apresentaremos boa parte da teoria do EIGRP e OSPF, além de suas
configurações básicas e intermediárias.
225
O administrador tem menos trabalho para manter a configuração ao adicionar
ou remover redes.
Os protocolos reagem automaticamente às alterações de topologia.
A configuração é menos propensa a erros.
Mais escalável, o desenvolvimento da rede não costuma ser um problema.
Desvantagens do roteamento dinâmico:
IGP e EGP
Um sistema autônomo (AS, autonomous system) – também conhecido como um
domínio de roteamento -‐‐ é um conjunto de roteadores sob a mesma administração.
Essa administração é tarefa das operadoras de telecom. Como a Internet é baseada no
conceito de sistema autônomo, são necessários dois tipos de protocolos de roteamento:
IGP (Interior Gateway Protocol) são usados para roteamento de sistema intra-‐‐
autônomo -‐‐ roteamento dentro de um sistema autônomo.
EGP (Exterior Gateway Protocol) são usados para roteamento de sistema inter-‐‐
autônomo -‐‐ roteamento entre sistemas autônomos.
Obs: Para uma melhor compreensão deste conceito de sistema autônomo, imagine que
as nuvens, que representam as redes WAN são separadas por domínios administrativos.
Cada domínio administrativo recebe um número diferente para identificação. Algo como
o “CEP” de uma rua. Talvez seja interessante pensar no número do sistema autônomo
com um “CEP” da nuvem.
226
Os IGP’s possuem sub grupos e características que os diferenciam entre si e estas
informações conheceremos agora...
Vetores de distância
Link States
Vetor de distância significa que as rotas são anunciadas como vetores direcionais. A
distância é definida em termos de uma métrica como contagem de saltos e a direção é
dada simplesmente pelo roteador do próximo salto ou pela interface de saída. Os
protocolos do vetor de distância normalmente usam o algoritmo Bellmann Ford para
determinar a melhor rota.
227
c) Redes de tipos específicos, como redes hub-‐‐and-‐‐spoke, estão sendo
implementadas.
d) Os tempos de convergência inesperada em uma rede não são uma
preocupação.
Em comparação com vetor de distância, um protocolo de roteamento link-‐‐state pode
criar uma “exibição completa” da topologia da rede coletando informações de todos os
outros roteadores. Usar um protocolo de roteamento link-‐‐state é como ter um mapa
completo da rede. As postagens de sinal ao longo do caminho, da origem ao destino,
não são necessárias, pois todos os roteadores link-‐‐state estão usando um "mapa"
idêntico da rede. Um roteador link-‐‐state usa as informações de link-‐‐state para criar um
mapa de topologia e selecionar o melhor caminho para todas as redes de destino da
topologia.
228
CONCEITOS IMPORTANTES EM ROTEAMENTO
Convergência:
É um estado de consistência entre todas as tabelas de roteamento existentes em
uma topologia. Haverá convergência na rede quando todos os roteadores tiverem
informações completas e precisas sobre ela. O tempo de convergência é o tempo
que os roteadores levam para compartilhar informações, calcular os melhores
caminhos e atualizar suas tabelas de roteamento. Para que uma rede seja
completamente operável, é necessário que haja convergência nela. Portanto, a
maioria das redes precisa chegar o mais rápido possível num estado de
convergência.
229
Métrica:
Para selecionar o melhor caminho, o protocolo de roteamento deve poder avaliar e
diferenciar os caminhos disponíveis. A métrica é usada para essa finalidade. Métrica
é um valor usado por protocolos de roteamento para atribuir custos com a finalidade
de alcançar redes remotas. A métrica é usada para determinar o melhor caminho
quando houver vários caminhos para a mesma rede remota.
Cada protocolo de roteamento usa sua própria métrica. Por exemplo, o RIP usa a
contagem de saltos, o EIGRP usa uma combinação de largura de banda e atraso e o
OSPF usa um valor de custo, muito relacionado a largura de banda. A contagem de
saltos é a métrica mais fácil de visualizar. A contagem de saltos se refere ao número
de roteadores que um pacote deve atravessar para alcançar a rede de destino.
230
No caso de uma métrica de saltos, partindo do roteador A para chegar ao roteador B, o
caminho escolhido seria necessariamente ADB, pois temos ai a menor quantidade
de saltos.
Se, por outro lado, a métrica considerada fosse largura de banda, muito provavelmente
o caminho considerado melhor para chegar de A a B seria ADFEB.
Outras métricas poderiam ainda considerar caminhos diferentes disso. Tudo dependeria
dos parâmetros a serem analisados por cada métrica.
231
carga ocorresse entre eles. Esta situação, poderia inclusive provocar erros de
funcionamento entre aplicações que trocassem pacotes entre as redes de A e C. Este
seria um bom exemplo de uma ocasião onde um administrador da rede precisaria
intervir colocando uma rota estática por exemplo, que mantivesse na tabela de apenas
o caminho de maior largura de banda.
Contagem de saltos -‐‐ Uma métrica simples que conta o número de roteadores
que um pacote deve atravessar
Largura de banda -‐‐ Influencia a seleção do caminho ao escolher o caminho com
a maior largura de banda.
Carga -‐‐ Considera a utilização de tráfego de determinado link.
Atraso -‐‐ Considera o tempo que um pacote leva para atravessar um caminho.
Confiabilidade -‐‐ Avalia a probabilidade de uma falha de link, calculada a partir
da contagem de erros de interface ou de falhas de link anteriores.
Custo -‐‐ Um valor determinado pelo IOS ou pelo administrador de rede para
indicar sua preferência por uma rota. O custo pode representar uma métrica,
uma combinação de métricas ou uma política.
232
Balanceamento de carga:
233
Observe abaixo a tabela de roteamento do roteador D:
R_D#show ip route
234
Perceba que em no local grifado temos um exemplo de balanceamento de carga
automático, instalado pelo protocolo de roteamento dinâmico que está em uso (RIP).
No caso, a métrica utilizada pelo protocolo é a contagem de saltos e ocorreu um empate.
Ou seja, partindo de D para chegar até a rede 192.168.6.0 existente no roteador C,
existem 2 caminhos. Um deles partindo da interface gi0/0 e outro pela S0/0/0. Ambos
com 3 saltos cada como se pode ver na linha, logo após a identificação da rede de
destino.
Note ainda, que nas mesmas linha é possível enxergar o ip de próximo salto associado à
interface local por onde o pacote é encaminhado para chegar até a rede de destino.
235
Alguns desafios para você após observar os pedaços destacados da tabela de
roteamento acima:
O que estas linhas acima estão informando? Qual a diferença entre elas?
236
Quais informações são relacionadas aos locais indicados pelas setas?
Loops de roteamento
237
Loops de roteamento são mais comuns em redes com protocolos do tipo vetor de
distância e bem mais raras em ambientes link state.
1. Hold--down timers
2. Split horizon
3. Route poisoning ou poison reverse
238
a) Um roteador recebe uma atualização de um vizinho indicando que
determinada rede não está mais acessível.
b) O roteador marca a rede como possivelmente desativada e inicia o
temporizador de holddown.
c) Se uma atualização com uma métrica melhor para essa rede for recebida de
qualquer roteador vizinho durante o período de hold-‐‐down, a rede será
restabelecida e o temporizador de hold-‐‐down será removido.
d) Se uma atualização de qualquer outro vizinho for recebida durante o período
de hold--‐down com a mesma métrica ou com uma métrica pior para essa
rede, tal atualização será ignorada. Desse modo, haverá mais tempo para a
propagação das informações sobre a alteração.
2. O split horizon é outro método usado para impedir loops de roteamento causados
pela convergência muitas vezes lenta de um protocolo de roteamento. A regra do
split horizon diz que um roteador não deve anunciar uma rede através da interface
pela qual recebeu as informações desta mesma rede. O refluxo de uma informação
de roteamento precisa ser evitado para que não sejam propagadas informações
inconsistentes.
O split horizon pode ser desabilitado por um administrador. Em determinadas
condições, isso tem que ser feito para que o roteamento apropriado seja obtido.
239
.
240
CAPÍTULO 5 –ROTEAMENTO DE VLANS
241
Na porção de switching deste material, você aprende sobre a criação e manutenção
das redes locais virtuais no ambientes de redes comutadas.
Esta comunicação acontece através de roteamento que pode ser implementado por
switches L3 ou como é mais peculiar ao ambiente CCNA, por roteadores.
Este é um modelo de roteamento físico, onde o roteador possui uma interface padrão
Ethernet conectada a cada uma das vlans existentes. Os endereços ip destas interfaces
são os gateways para os computadores dentro de cada uma das vlans.
As vlans criadas nos switches não recebem endereço ip.. Os endereços estarão nos hosts
e também nas interfaces do roteador.
242
Neste modelo de comunicação, não existe a necessidade de criarmos nenhuma rota,
visto que as rotas estão vinculadas a interfaces do mesmo routeador. Numa situação
assim, poden se dizer que o roteamento é um processo nativo, visto que se vale
da comutação entre as portas para trocar também seus pacotes.
Numa rede não muito ampla, este modelo de roteamento pode se mostrar eficiente com
vantagens como a facilidade para implementação de lista de controle de acesso para
filtrar o tráfego entre as vlans.
Estas ACLs poderiam ser criadas no roteador e posicionadas em cada uma das
interfaces físicas na devida orientaçõa de entrada ou saída do tráfego.
de rede conectados a cada uma das VLANs podem comunicarn se com o roteador
que usa a interface física conectada à mesma VLAN. Nessa configuração,
dispositivos de rede podem usar o roteador como um gateway para
acessar os dispositivos conectados às outras VLANs.
243
pacote a fim de alcançar o dispositivo de destino. O dispositivo de origem examina a
tabela de roteamento local para determinar para onde precisa enviar os dados.
Normalmente, dispositivos usam o gateway padrão como o destino para todo tráfego que
precise deixar a subn rede local. O gateway padrão é a rota que o dispositivo usa
quando não tem nenhuma outra rota explicitamente definida até a rede de destino. A
interface do roteador na subn rede local age como o gateway padrão para o dispositivo
remetente.
Quando o dispositivo de origem determina que o pacote deve viajar pela interface do
roteador local na VLAN conectada, o dispositivo de origem envia uma solicitação ARP para
determinar o endereço MAC da interface do roteador local. Quando o roteador envia sua
resposta ARP ao dispositivo de origem, o dispositivo de origem pode usar o endereço
MAC para terminar de estruturar o pacote antes de envián lo na rede como tráfego
unicast.
244
O inconveniente maior desta solução é o fato de que os roteadores não possuem muitas
interfaces físicas disponíveis. E, atualmente, é cada vez mais comum os links de Wan
serem entregues pelas operadoras também em portas ethernet, o que reduziria a
quantidade de interfaces disponíveis para utilização com roteamento de vlans.
Roteador fixo
Dessa forma, a soliução denominada router on stick, onde uma subinterface lógica é
criada no roteador para cada vlan existente no switch, acaba sendo o modelo mais
interessante. Os detalhes de processo veremos a seguir.
245
vem do switch adjacente na interface de tronco, e roteando internamente entre as
VLANs que usam subinterfaces. Em seguida, o roteador encaminha o tráfego roteado –
com etiqueta de VLAN para a VLAN de destino pela mesma interface física.
Subinterfaces são interfaces virtuais múltiplas, associadas a uma interface física. Elas são
configuradas em software, em um roteador configurado independentemente com um
endereço IP e uma atribuição de VLAN para operar em uma VLAN específica.
Como você pode ver na figura, o PC na VLAN10 pode se comunicar com o PC na VLAN30
pelo roteador R1, usando uma única interface de roteador física.
Configuração da subinterface
A configuração de subinterfaces de roteador é semelhante à configuração de interfaces
físicas, exceto que você precisa criar a subinterface e atribuí-‐‐la a uma VLAN.
246
Ao contrário de uma interface física comum, subinterfaces não são habilitadas com o
comando no shutdown no nível do modo de configuração de subinterface do software
IOS Cisco. Em vez disso, quando a interface física é habilitada com o comando no
shutdown, todas as subinterfaces configuradas são habilitadas. Da mesma forma, se a
interface física é desabilitada, todas as subinterfaces são desabilitadas.
Desempenho
Quando subinterfaces são usadas no roteamento entre VLANs, o tráfego que está sendo
roteado compete pela largura de banda na única interface física. Em uma rede ocupada,
isso pode causar um gargalo na comunicação. Para equilibrar a carga de tráfego em uma
interface física, subinterfaces são configuradas em interfaces físicas múltiplas, o que
resulta em menos contenção entre o tráfego de VLAN.
A conexão de interfaces físicas para o roteamento entre VLANs exige que as portas de
switch sejam configuradas como portas de acesso. Subinterfaces exigem que a porta de
switch seja configurada como uma porta de tronco para poder aceitar o tráfego com
etiqueta de VLAN no link de tronco. Usando subinterfaces, muitas VLANs podem ser
roteadas em um único link de tronco em lugar de uma única interface física para cada
VLAN.
247
Custo
Complexidade
Por outro lado, o uso de subinterfaces com uma porta de tronco resulta em uma
configuração de software mais complexa, o que pode ser difícil de solucionar. No
modelo de roteador fixo, apenas uma interface é usada para acomodar todas as
diferentes VLANs. Se uma VLAN está com dificuldade para rotear a outras VLANs, você
não pode simplesmente rastrear o cabo para saber se ele está conectado à porta
correta. É necessário verificar se a porta de switch está configurada para ser um tronco
e se a VLAN não está sendo filtrada em algum link de tronco antes de alcançar a
interface do roteador. Também é necessário verificar se a subinterface do roteador
está configurada para usar a ID de VLAN e o endereço IP corretos para a subn
rede associada a essa VLAN.
248
Seria interessante que você realizasse outras práticas para se habituar a esta solução.
Exercício de configuração
Lista de comandos
R1
R1(config)#interface gi0/0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface gi0/0.10
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 172.17.10.1 255.255.255.0
R1(config-subif)#exit
R1(config)# interface gi0/0.20
R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#ip address 172.17.20.1 255.255.255.0
249
R1(config-subif)#exit
R1(config)# interface gi0/0.30
R1(config-subif)#encapsulation dot1q 30
R1(config-subif)#ip address 172.17.30.1 255.255.255.0
SW1
SW1(config)#interface Gi0/1
SW1(config- if)#switchport mode trunk
250
CAPÍTULO 6 – PROTOCOLOS DE ROTEAMENTO
251
OSPF – OPEN SHORTEST PATH FIRST
1. Cada roteador obtém informações sobre seus próprios links e suas próprias redes
diretamente conectadas. Isso é obtido pela detecção de uma interface no estado up
(ativo).
3. Cada roteador cria um pacote link-‐‐state (LSP) que contém o estado de cada link
diretamente conectado. Isso é feito com o registro de todas as informações pertinentes
sobre cada vizinho, inclusive a ID do vizinho, o tipo de link e a largura de banda.
4. Cada roteador inunda o LSP para todos os vizinhos, que armazenam todos os LSPs
recebidos em um banco de dados. Esses vizinhos, por sua vez, inundam os LSPs para
todos os seus vizinhos até que todos os roteadores na área tenham recebido os LSPs.
Cada roteador armazena uma cópia de cada LSP recebido de seus vizinhos em um banco
de dados local.
252
5. Cada roteador usa o banco de dados para criar um mapa completo da topologia e
computa o melhor caminho para cada rede de destino. Como se tivesse um mapa de
estrada, o roteador tem agora um mapa completo de todos os destinos na topologia e
as rotas para alcançá-‐‐los. O algoritmo SPF é usado para criar o mapa da topologia e
determinar o melhor caminho para cada rede.
Informações sobre o estado desses links são conhecidas como link-‐‐states. Essas
informações incluem:
Da mesma maneira que acontece com os pacotes Hello do EIGRP, quando dois
roteadores linkstate descobrem que são vizinhos, eles formam uma adjacência. Esses
pequenos pacotes Hello continuam sendo trocados entre dois vizinhos adjacentes, o que
funciona como uma função de manutenção de atividade (keepalive) para monitorar o
estado do vizinho. Se um roteador deixa de receber pacotes Hello de um vizinho, esse
vizinho é considerado inalcançável e a adjacência é interrompida.
253
No terceiro passo do roteamento link state temos o seguinte:
Cada roteador cria um pacote link-‐‐state que contém o estado de cada link diretamente
conectado.
Uma vez que um roteador estabelece suas adjacências, ele pode criar seus pacotes link-
‐‐state que contêm as informações link-‐‐state sobre seus links. Uma versão simplificada
dos LSPs de R1 é seria:
Esses pacotes possuem uma série de detalhes não relevantes ao CCNA, porém o
conhecimento de sua existência é importante para servir de base a outros
conhecimentos importantes no nosso contexto.
254
Roteadores realizam o processo de inundação de LSPs.
Cada roteador inunda suas informações linkn state em todos os outros roteadores
linkn state na área de roteamento. Sempre que um roteador recebe um LSP de um
vizinho, ele imediatamente envia o LSP para todas as outras interfaces, exceto a interface
que recebeu o LSP. Esse processo cria um efeito de inundação de LSPs de todos
os roteadores ao longo da área de roteamento.
Os LSPs são inundados quase imediatamente após serem recebidos, sem qualquer
cálculo intermediário. Ao contrário de protocolos de roteamento do vetor de distância
que devem executar o algoritmo Bellmann Ford para processar atualizações
de roteamento antes de envián las a outros roteadores, os protocolos de roteamento
linkn state calculam o algoritmo SPF depois de a inundação ser concluída. Como
resultado, os protocolos de roteamento linkn state alcançam convergência
muito mais rapidamente que protocolos de roteamento do vetor de distância.
Os LSPs não precisam ser enviados periodicamente. Um LSP só precisa ser enviado
durante a primeira inicialização do roteador ou do processo de protocolo
de roteamento nesse roteador; ou ainda, sempre que houver uma mudança na
topologia, incluindo um link para cima ou para baixo, ou uma adjacência de vizinho
que estiver sendo estabelecida ou quebrada.
Além das informações linkn state, outras informações são incluídas no LSP n
como números de seqüência e informações de idade n para ajudar a gerenciar o
processo de inundação. Essas informações são usadas por cada roteador para
determinar se ele já recebeu o LSP de outro roteador ou se o LSP tem informações
mais novas que as existentes no banco de dados link state. Esse processo permite
que um roteador mantenha apenas as informações mais atuais em seu banco de dados.
Cada roteador usa o banco de dados para criar um mapa completo da topologia e
computa o melhor caminho para cada rede de destino.
255
Depois que cada roteador propaga seus próprios LSPs usando o processo de inundação
link state, cada um tem ao menos um LSP recebido de todos os roteadores na área de
roteamento. Esses LSPs são armazenados no banco de dados . Agora, cada roteador na
área de roteamento pode usar o algoritmo SPF para criar as árvores SPF que você viu
anteriormente. O mapa da rede consiste da tabela de topologia e os melhores caminhos
calculados pelo algorítmo formam a conhecida tabela de roteamento.
Convergência rápida
256
Depois da inundação inicial dos LSPs, os protocolos de roteamento link-‐‐state só enviam
um LSP quando há uma mudança na topologia. O LSP contém apenas as informações
relativas ao link afetado. Ao contrário de alguns protocolos de roteamento do vetor de
distância, os protocolos de roteamento link-‐‐state não enviam atualizações periódicas.
Design hierárquico
Estabelecimento da vizinhança
Antes de um roteador OSPF poder enviar seus link-‐‐states a outros roteadores, ele
deverá determinar se existem outros vizinhos OSPF em algum de seus links. Na figura,
os roteadores OSPF estão enviando pacotes Hello em todas as interfaces habilitadas por
OSPF para determinar se existem vizinhos nesses links. As informações no OSPF Hello
incluem a ID do roteador OSPF que envia o pacote Hello (a ID do roteador é discutida
posteriormente no capítulo). Receber um pacote Hello de OSPF em uma interface
confirma para um roteador que há outro roteador OSPF neste link. O OSPF estabelece
então uma adjacência com o vizinho.
Antes de dois roteadores poderem formar uma adjacência de vizinho OSPF, eles deverão
concordar em três valores: Intervalo de hello, intervalo de dead e tipo de rede. O
intervalo de Hello de OSPF indica com que freqüência o roteador OSPF transmite seus
pacotes Hello. Por padrão, os pacotes Hello de OSPF são enviados a
257
cada 10 segundos em segmentos multiacesso e ponton an ponto e a cada 30
segundos em segmentos de rede ponton an multiponto (NBMA)(Frame Relay, X.25,
ATM).
Na maioria dos casos, os pacotes Hello de OSPF são enviados como multicast para um
endereço reservado para ALLSPFRouters em 224.0.0.5. Utilizar um endereço multicast
permite que um dispositivo ignore o pacote se sua interface não estiver habilitada para
aceitar pacotes OSPF. Isto economiza o tempo de processamento da CPU em
dispositivos nãon OSPF.
Para reduzir a quantidade de tráfego OSPF nas redes multiacesso, o OSPF elege um
Roteador Designado (DR) e um Roteador Designado de Backup (BDR). O DR
é responsável por atualizar todos os outros roteadores OSPF (chamados de
DROthers) quando uma alteração ocorrer na rede multiacesso. O BDR monitora o DR
e assume como DR se o DR atual falhar.
258
Como o DR e o BDR são eleitos? Os seguintes critérios são aplicados:
As prioridades das interfaces, por padrão possuem o valor de 1. Esses valores podem ser
movidos entre 0 e 255. Um valor 0, força a interface a não participar da eleição. Quanto
maior o valor, mais preferência o roteador terá para ser eleito DR ou BDR na rede à qual
aquela interface esteja inserida.
259
O critério de desempate, que seria o id do roteador, consiste num endereço ip obtido a
partir dos seguintes critérios:
A eleição do DR/BDR
O processo de eleição DR e BDR acontece assim que o primeiro roteador com uma
interface habilitada de OSPF está ativo na rede multiacesso. Isto pode acontecer
quando os roteadores forem ligados ou quando o comando network do OSPF para
aquela interface for configurado. O processo de eleição só leva alguns segundos. Se
todos os roteadores na rede multiacesso não terminarem de inicializar, é possível que
um roteador com uma ID de roteador inferior tornen se o DR. Este poderia ser
um roteador lowern end que levou menos tempo para inicializar.
Quando o DR é eleito, ele permanece como DR até que uma das condições seguintes
ocorra:
O DR falha.
O processo OSPF no DR falha.
260
• Os DROthers só formam adjacências
completas com o DR e BDR na rede e
enviam seus LSAs ao DR e o BDR
usando o endereço multicast 224.0.0.6
(IPv6 FF02::06)
261
OSPF MULTIÁREA
262
As vantagens da divisão do OSPF em áreas ficam bem claras no escopo do projeto,
observe:
263
O OSPF Multiárea precisa de um projeto de rede
hierárquico e a área principal é chamada a área
de backbone (área 0) e todas as áreas restantes
devem conectar-se à área de backbone.
Aqui temos uma implementação OSPF Multiárea com 3 áreas, área 1, área 0 e área 51.
O resultado são tabelas de roteamento e menos LSAs. O SPF é executado somente
dentro de uma área se houver uma alteração na rede.
264
O OSPF Multiárea é implementado em uma hierarquia de área de duas
camadas:
265
TIPOS DE ROTEADORES OSPF NO MULTIÁREA:
266
• Roteador de limite de sistema autônomo (ASBR) – este é um roteador
que tem pelo menos uma interface conectada a uma ligação entre redes
externa (outro sistema autônomo), como uma rede não OSPF. Um ASBR pode
importar as informações da rede não OSPF para a rede OSPF e vice-‐‐versa,
usando um processo chamado redistribuição de rota.
• A redistribuição no OSPF multiárea ocorre quando um ASBR conecta diferentes
domínios de roteamento (por exemplo, EIGRP e OSPF) e os configura para
anunciar e trocar informações de roteamento entre estes domínios de
roteamento.
• Um roteador pode ser classificado como mais de um tipo de roteador. Por
exemplo, se um roteador se conecta a área 0 e à área 1, ele é classificado de
duas formas diferentes: um roteador de backbone e um ABR.
267
CONFIGURAÇÕES DO OSPF
Multiárea (OSPF v2)
Neste exemplo:
268
Não há nenhum comando especial necessário para executar essa rede OSPF multiárea.
Um roteador torna--‐se simplesmente um ABR quando tem duas instruções de rede em
diferentes áreas.
• O R1 está atribuído ao roteador com a ID 1.1.1.1. Este exemplo ativa o OSPF nas
duas interfaces LAN na área 1. A interface serial é configurada como parte da
área 0 do OSPF. Porque o R1 possui interfaces conectadas a duas áreas, é um
ABR.
• Observação: A configuração de máscara das redes, corresponde à máscara
curinga, semelhante ao visto no EIGRP. Basta invertes os binários da máscara
normal. Ou ainda, considerar que a somatória da máscara normal com a
curinga nos traria um valor de 255.255.255.255 em decimal.
269
Como o OSPFv2, executar a topologia de OSPFv3 multiárea é simples. Não há
nenhum comando especial necessário. Um roteador torna-se simplesmente um
ABR quando tem duas interfaces em diferentes áreas.
270
Resumos de rotas OSPF
• Normalmente, LSAs do tipo 1 e tipo 2 são gerados em cada área, convertido para
o tipo 3 de LSA e enviado para outras áreas. Se a área 1 tinha 30 redes para
anunciar, então 30 LSAs tipo 3 seriam encaminhados para o backbone. Com o
resumo de rotas, o ABR consolida as 30 redes em um ou dois anúncios.
271
RESUMO DA ROTA OSPF
272
Calculando um resumo de rota
A figura demonstra que resumir redes em um único endereço e máscara pode ser feito
em três etapas:
273
Configurando o resumo de rotas inter-‐‐áreas
274
uma rota de resumo falsa para a interface Null0 quando o resumo manual é
configurado para evitar loops de roteamento. Um pacote enviado para uma
interface nula é descartado.
Por exemplo, suponha que R1 recebeu um pacote destinado a 10.1.0.10. Embora
combine com a rota resumida do R1, o R1 não tem uma rota válida na área 1.
Portanto, R1 faria referência à tabela de roteamento para a próxima
correspondência mais longa, que seria a entrada Null0. O pacote seria
encaminhado para a interface Null0 e descartado. Isso evita que o roteador
encaminhe o pacote para uma rota padrão e possivelmente crie um loop de
roteamento.
Examine a tabela de roteamento R3 atualizada. Observe como agora há apenas
uma entrada de inter--‐área que vai para a rota resumida 10.1.0.0/22.
Pense e responda – Por quê foram gerados 2 resumos das rotas à esquerda?
275
Rota padrão no OSPF
• Dois métodos:
• default--information originate
• A palavra chave “always” permite que a rota padrão seja anunciada mesmo que
o roteador não tenha a rota padrão
276
277
COMANDOS PARA VERIFICAÇÃO DO OSPF:
Use o comando show ip protocols para verificar o status do OSPF. A saída do comando
revela que protocolos de roteamento estão configurados em um roteador. Também
inclui detalhes do protocolo de roteamento como a ID do roteador, o número de áreas
no roteador, e as redes incluídas na configuração do protocolo de roteamento.
278
• A figura exibe as configurações OSPF do R1. Observe que o comando mostra
que há duas áreas. A seção Roteamento para redes identifica as redes e suas
áreas respectivas.
Use o comando show ip ospf interface brief para exibir para exibir informações
resumidas relacionadas a interfaces OSPF ativadas. Este comando revela
informações úteis, como a ID de processo OSPF a qual a interface está atribuída,
a área nas quais as interfaces estão e o custo da interface.
• O comando mais comum usado para verificar uma configuração OSPF multiárea
é o comando show ip route . Adicionar o parâmetro ospf para exibir somente
exibir informações relacionadas ao OSPF.
• Esta figura exibe a tabela de roteamento do R1. Observe como as entradas O IA
na tabela de roteamento identificam as redes reconhecidas de outras áreas.
Especificamente, O representa rotas de “intra--‐área” OSPF, e IA
representa a inter--‐área, que significa que a rota foi originada em outra área.
A entrada [110/1295] na tabela de roteamento representa a distância
administrativa que é atribuída ao OSPF (110) e custo total das rotas (custo de
1295).
279
Verificação do banco de dados LSDB em R1
Saída do comando OSPF show ip ospf database. Muito útil para resolução de
problemas em redes OSPF.
280
OSPF em Multiárea
281
Situação Atual
Os cibercriminosos agora têm a experiência e as ferramentas necessárias
para derrubar infra-estrutura e sistemas críticos. Suas ferramentas e técnicas
continuam a evoluir.
Manter uma rede segura garante a segurança dos usuários da rede e protege
os interesses comerciais. As organizações precisam de indivíduos que possam
reconhecer a velocidade e a escala com que os adversários estão
acumulando e refinando seus armamentos cibernéticos. Todos os usuários
devem estar cientes dos termos de segurança na tabela.
282
Vetores de ataques de rede
Um vetor de ataque é um caminho pelo qual um agente de ameaças pode
obter acesso a um servidor, host ou rede. Os vetores de ataque são
originários de dentro ou de fora da rede corporativa, conforme mostrado
na figura. Por exemplo, os atores de ameaças podem direcionar uma rede
pela Internet, para interromper as operações da rede e criar um ataque de
negação de serviço (DoS).
283
As ameaças internas têm o potencial de causar maiores danos do que as
ameaças externas, porque os usuários internos têm acesso direto ao
edifício e a seus dispositivos de infraestrutura. Os funcionários também
podem ter conhecimento da rede corporativa, seus recursos e dados
confidenciais.
284
Perda de dados
É provável que os dados sejam o ativo mais valioso de uma organização. Os
dados organizacionais podem incluir dados de pesquisa e desenvolvimento,
dados de vendas, dados financeiros, recursos humanos e dados legais, dados
de funcionários, dados de contratados e dados de clientes.
285
O Hacker
No tópico anterior, você obteve uma visão de alto nível do cenário atual
da segurança cibernética, incluindo os tipos de ameaças e
vulnerabilidades que afetam todos os administradores e arquitetos de
rede. Neste tópico, você aprenderá mais detalhes sobre tipos específicos
de atores de ameaças.
Nota: Neste curso, não usaremos o termo hacker fora deste módulo.
Usaremos o termo ator de ameaça. O termo ator de ameaças inclui
hackers. Mas o ator de ameaças também inclui qualquer dispositivo,
pessoa, grupo ou estado nacional que seja, intencionalmente ou não, a
fonte de um ataque.
286
Evolução dos hackers
Os hackers começaram na década de 1960 com o telefone pirando, ou
phreaking, que se refere ao uso de frequências de áudio para manipular os
sistemas telefônicos. Naquela época, os comutadores telefônicos usavam
vários tons para indicar funções diferentes. Os primeiros hackers
perceberam que, imitando um tom usando um apito, eles poderiam explorar
os comutadores telefônicos para fazer chamadas gratuitas de longa
distância.
287
Criminosos cibernéticos
Estima-se que os cibercriminosos roubem bilhões de dólares de
consumidores e empresas. Os cibercriminosos operam em uma economia
subterrânea onde compram, vendem e trocam kits de ferramentas de
ataque, código de exploração de dia zero, serviços de botnet, cavalos de
Troia bancários, keyloggers e muito mais. Eles também compram e
vendem as informações privadas e a propriedade intelectual que roubam.
Os cibercriminosos têm como alvo pequenas empresas e consumidores,
assim como grandes empresas e indústrias inteiras.
Hacktivistas
Dois exemplos de grupos hacktivistas são o Anonymous e o Exército
Eletrônico Sírio. Embora a maioria dos grupos hacktivistas não seja bem
organizada, eles podem causar problemas significativos para governos e
empresas. Os hacktivistas tendem a confiar em ferramentas bastante
básicas e disponíveis gratuitamente.
288
Visão geral do malware
Agora que você conhece as ferramentas que os hackers usam, este tópico
apresenta diferentes tipos de malware que os hackers usam para obter
acesso aos dispositivos finais.
Clique em Reproduzir para ver uma animação dos três tipos mais comuns
de malware.
289
Vírus e Cavalos de Tróia
O primeiro e mais comum tipo de malware de computador é um vírus.
Os vírus requerem ação humana para propagar e infectar outros
computadores. Por exemplo, um vírus pode infectar um computador
quando uma vítima abre um anexo de email, abre um arquivo em uma
unidade USB ou baixa um arquivo.
Os vírus podem:
290
Existem vários tipos de cavalos de Tróia, conforme descrito na tabela.
291
Outros tipos de malware
Abaixo segue detalhes sobre muitos tipos diferentes de
malware.
Adware
• O adware geralmente é distribuído através do download de software
online.
• O Adware pode exibir publicidade não solicitada usando janelas pop-
up, novas barras de ferramentas ou redirecionar inesperadamente uma
página da Web para outro site.
• Pode ser difícil controlar janelas pop-up, pois novas janelas podem
aparecer mais rapidamente do que o usuário pode fechá-las.
Ransomware
• O ransomware normalmente nega o acesso de um usuário a
seus arquivos, criptografando os arquivos e exibindo uma
mensagem exigindo um resgate pela chave de descriptografia.
• Usuários sem backups atualizados devem pagar o resgate para
descriptografar seus arquivos.
• O pagamento geralmente é feito usando transferência bancária
ou moedas criptográficas como Bitcoin.
Rootkit
• Os rootkits são usados pelos atores de ameaças para obter acesso no
nível da conta de administrador a um computador.
• Eles são muito difíceis de detectar porque podem alterar o firewall, a
proteção antivírus, os arquivos do sistema e até os comandos do SO
para ocultar sua presença.
• Eles podem fornecer um backdoor para os agentes de ameaças,
dando-lhes acesso ao PC, permitindo o upload de arquivos e a
instalação de um novo software para ser usado em um ataque DDoS.
• Ferramentas especiais de remoção de rootkit devem ser usadas para
removê-las ou pode ser necessária uma reinstalação completa do SO.
Spyware
• Semelhante ao adware, mas usado para coletar informações sobre o
usuário e enviá-lo aos atores de ameaças sem o consentimento do
usuário.
• O spyware pode ser uma ameaça baixa, reunindo dados de
navegação ou uma ameaça alta, capturando informações pessoais e
financeiras.
292
Spyware
• Semelhante ao adware, mas usado para coletar informações sobre
o usuário e enviá-lo aos atores de ameaças sem o consentimento
do usuário.
• O spyware pode ser uma ameaça baixa, reunindo dados de
navegação ou uma ameaça alta, capturando informações pessoais
e financeiras.
Worm
• Um worm é um programa de replicação automática que se propaga
automaticamente sem ações do usuário, explorando
vulnerabilidades em software legítimo.
• Ele usa a rede para procurar outras vítimas com a mesma
vulnerabilidade.
• A intenção de um worm geralmente é retardar ou interromper as
operações da rede.
293
Autenticação de Origem
Para adicionar autenticação à garantia de integridade, use um código
de autenticação de mensagem com chave hash (HMAC). O HMAC usa
uma chave secreta adicional como entrada para a função hash.
294
Creating the HMAC Value
Conforme mostrado na figura, o dispositivo de envio insere dados
(como o pagamento de Terry Smith de US $ 100 e a chave secreta)
no algoritmo de hash e calcula o resumo de HMAC de comprimento
fixo. Esse resumo autenticado é anexado à mensagem e enviado ao
destinatário.
295
Cisco Router HMAC Example
A figura mostra como os HMACs são usados pelos roteadores
Cisco configurados para usar a autenticação de roteamento Open
Shortest Path First (OSPF).
296
Confidencialidade dos dados
Existem duas classes de criptografia usadas para fornecer
confidencialidade dos dados. Essas duas classes diferem na maneira
como usam as chaves.
297
Criptografia simétrica
Os algoritmos simétricos usam a mesma chave pré-compartilhada para
criptografar e descriptografar dados. Uma chave pré-compartilhada,
também chamada de chave secreta, é conhecida pelo remetente e pelo
receptor antes que qualquer comunicação criptografada possa ocorrer.
298
Hoje, algoritmos de criptografia simétrica são comumente usados com o
tráfego VPN. Isso ocorre porque os algoritmos simétricos usam menos
recursos da CPU do que os algoritmos de criptografia assimétrica. A
criptografia e descriptografia de dados são rápidas ao usar uma VPN. Ao
usar algoritmos de criptografia simétrica, como qualquer outro tipo de
criptografia, quanto maior a chave, mais tempo levará para alguém
descobrir a chave. A maioria das chaves de criptografia tem entre 112 e
256 bits. Para garantir que a criptografia seja segura, use um comprimento
mínimo de chave de 128 bits. Use uma chave mais longa para
comunicações mais seguras.
299
Criptografia assimétrica
Os algoritmos assimétricos, também chamados algoritmos de chave
pública, são projetados para que a chave usada para criptografia seja
diferente da chave usada para descriptografia, conforme mostrado na
figura. A chave de descriptografia não pode, em uma quantidade razoável
de tempo, ser calculada a partir da chave de criptografia e vice-versa.
300
Exemplos de protocolos que usam algoritmos de chave assimétrica incluem:
301
Diffie-Hellman
Diffie-Hellman (DH) é um algoritmo matemático assimétrico em que dois
computadores geram uma chave secreta compartilhada idêntica sem ter
se comunicado antes. A nova chave compartilhada nunca é realmente
trocada entre o remetente e o destinatário. No entanto, como as duas
partes o conhecem, a chave pode ser usada por um algoritmo de
criptografia para criptografar o tráfego entre os dois sistemas.
302
As cores na figura serão usadas em vez de números longos complexos
para simplificar o processo de contrato de chave DH. A troca de chaves DH
começa com Alice e Bob concordando com uma cor comum arbitrária que
não precisa ser mantida em segredo. A cor acordada em nosso exemplo é
amarela.
Alice e Bob agora misturam a cor comum compartilhada (amarelo) com sua
respectiva cor secreta para produzir uma cor particular. Portanto, Alice
misturará o amarelo com a cor vermelha para produzir uma cor particular
de laranja. Bob mistura o amarelo e o azul para produzir uma cor verde
particular.
Alice envia sua cor particular (laranja) para Bob e Bob envia sua cor
particular (verde) para Alice.
Alice e Bob misturam a cor que receberam com a sua própria cor secreta
original (vermelho para Alice e azul para Bob). O resultado é uma mistura
final de cor marrom que é idêntica à mistura final de cores do outro. A cor
marrom representa a chave secreta compartilhada resultante entre Bob e
Alice.
303
Redes Privadas Virtuais
Para proteger o tráfego de rede entre sites e usuários, as organizações
usam redes privadas virtuais (VPNs) para criar conexões de rede privadas
de ponta a ponta. Uma VPN é virtual, pois carrega informações dentro de
uma rede privada, mas essas informações são realmente transportadas por
uma rede pública. Uma VPN é privada, pois o tráfego é criptografado para
manter os dados confidenciais enquanto são transportados pela rede
pública.
A figura mostra uma coleção de vários tipos de VPNs gerenciadas pelo site
principal de uma empresa. O túnel permite que sites e usuários remotos
acessem os recursos de rede do site principal com segurança.
304
Benefícios da VPN
As VPNs modernas agora oferecem suporte a recursos de criptografia,
como IPsec (Internet Protocol Security) e VPNs Secure Sockets Layer
(SSL) para proteger o tráfego de rede entre sites.
305
VPNs site a site e acesso remoto
As VPNs geralmente são implantadas em uma das seguintes configurações:
acesso site a site ou acesso remoto.
Site-to-site VPN
Remote-Access VPN
Uma VPN de acesso remoto é criada dinamicamente para estabelecer uma
conexão segura entre um cliente e um dispositivo de terminação da VPN.
Por exemplo, uma VPN SSL de acesso remoto é usada quando você verifica
suas informações bancárias online.
306
VPNs para empresas e provedores de serviços
Existem muitas opções disponíveis para proteger o tráfego corporativo.
Essas soluções variam dependendo de quem está gerenciando a VPN.
307
VPNs de acesso remoto
No tópico anterior, você aprendeu sobre o básico de uma VPN. Aqui você
aprenderá sobre os tipos de VPNs.
A figura mostra duas maneiras pelas quais um usuário remoto pode iniciar
uma conexão VPN de acesso remoto: VPN sem cliente e VPN baseada em
cliente.
308
• Conexão VPN sem cliente - A conexão é protegida usando uma
conexão SSL do navegador da web. O SSL é usado principalmente
para proteger o tráfego HTTP (HTTPS) e protocolos de email como
IMAP e POP3. Por exemplo, HTTPS é realmente HTTP usando um
túnel SSL. A conexão SSL é estabelecida primeiro e, em seguida, os
dados HTTP são trocados pela conexão.
• Conexão VPN baseada no cliente - o software cliente VPN, como o
Cisco AnyConnect Secure Mobility Client, deve ser instalado no
dispositivo final do usuário remoto. Os usuários devem iniciar a
conexão VPN usando o cliente VPN e, em seguida, autenticar no
gateway VPN de destino. Quando usuários remotos são
autenticados, eles têm acesso a arquivos e aplicativos corporativos. O
software cliente VPN criptografa o tráfego usando IPsec ou SSL e o
encaminha pela Internet para o gateway VPN de destino.
309
VPNs SSL
Quando um cliente negocia uma conexão SSL VPN com o gateway VPN,
na verdade ele se conecta usando o TLS (Transport Layer Security). TLS
é a versão mais recente do SSL e às vezes é expressa como SSL / TLS.
No entanto, ambos os termos são frequentemente usados de forma
intercambiável.
310
VPNs IPsec site a site
As VPNs site a site são usadas para conectar redes através de outra
rede não confiável, como a Internet. Em uma VPN site a site, os hosts
finais enviam e recebem tráfego TCP / IP não criptografado normal
por meio de um dispositivo de terminação da VPN. O encerramento da
VPN geralmente é chamado de gateway VPN. Um dispositivo de
gateway VPN pode ser um roteador ou um firewall, conforme
mostrado na figura. Por exemplo, o Cisco Adaptive Security Appliance
(ASA) mostrado no lado direito da figura é um dispositivo de firewall
independente que combina firewall, concentrador de VPN e
funcionalidade de prevenção de intrusões em uma imagem de
software.
311
GRE sobre IPsec
O encapsulamento de roteamento genérico (GRE) é um protocolo de
encapsulamento VPN site a site não seguro. Ele pode encapsular vários
protocolos da camada de rede. Ele também suporta tráfego de difusão
seletiva e de difusão, o que pode ser necessário se a organização exigir
que os protocolos de roteamento operem através de uma VPN. No
entanto, o GRE não suporta, por padrão, criptografia; e, portanto, não
fornece um túnel VPN seguro.
Uma VPN IPsec padrão (não GRE) só pode criar túneis seguros para
tráfego unicast. Portanto, os protocolos de roteamento não trocam
informações de roteamento por uma VPN IPsec.
312
Por exemplo, na figura que exibe uma topologia, Filial e HQ gostariam
de trocar informações de roteamento OSPF por uma VPN IPsec. No
entanto, o IPsec não suporta tráfego multicast. Portanto, o GRE sobre
IPsec é usado para oferecer suporte ao tráfego do protocolo de
roteamento na VPN IPsec. Especificamente, os pacotes OSPF (isto é,
protocolo de passageiro) seriam encapsulados por GRE (isto é,
protocolo de operadora) e subsequentemente encapsulados em um
túnel VPN IPsec.
313
Tecnologias IPsec
IPsec é um padrão IETF (RFC 2401-2412) que define como uma VPN pode
ser protegida em redes IP. O IPsec protege e autentica pacotes IP entre a
origem e o destino. O IPsec pode proteger o tráfego da camada 4 à camada 7.
314
As funções de segurança estão listadas na tabela.
315
Encapsulamento do protocolo IPsec
A escolha do encapsulamento do protocolo IPsec é o primeiro bloco de
construção da estrutura. O IPsec encapsula pacotes usando o cabeçalho de
autenticação (AH) ou o protocolo de segurança de encapsulamento (ESP).
316
Confidencialidade
A confidencialidade é alcançada criptografando os dados, conforme
mostrado na figura. O grau de confidencialidade depende do algoritmo de
criptografia e do comprimento da chave usada no algoritmo de criptografia.
Se alguém tentar hackear a chave por meio de um ataque de força bruta, o
número de possibilidades para tentar é uma função do comprimento da
chave. O tempo para processar todas as possibilidades é uma função do
poder do computador do dispositivo atacante. Quanto menor a chave, mais
fácil é quebrar. Uma chave de 64 bits pode levar aproximadamente um ano
para ser quebrada em um computador relativamente sofisticado. Uma chave
de 128 bits com a mesma máquina pode levar aproximadamente 1019 ou 10
quintilhões de anos para descriptografar.
317
• O DES usa uma chave de 56 bits.
• O 3DES é uma variante do DES de 56 bits. Ele usa três chaves de
criptografia independentes de 56 bits por bloco de 64 bits, o que
fornece uma força de criptografia significativamente mais forte sobre o
DES.
• O AES fornece segurança mais forte que o DES e é
computacionalmente mais eficiente que o 3DES. O AES oferece três
comprimentos de chave diferentes: 128 bits, 192 bits e 256 bits.
• SEAL é uma cifra de fluxo, o que significa que criptografa dados
continuamente, em vez de criptografar blocos de dados. SEAL usa uma
chave de 160 bits.
318
Integridade
Integridade de dados significa que os dados recebidos são exatamente os
mesmos dados que foram enviados. Potencialmente, os dados podem ser
interceptados e modificados. Por exemplo, na figura, suponha que Alex
verifique um cheque de US $ 100. O cheque é enviado por correio a Alex,
mas é interceptado por um ator de ameaça. O agente da ameaça altera o
nome do cheque para Jeremy e o valor do cheque para US $ 1.000 e tenta
descontá-lo. Dependendo da qualidade da falsificação na verificação
alterada, o atacante pode ser bem sucedido.
319
• O Message-Digest 5 (MD5) usa uma chave secreta compartilhada de
128 bits. A mensagem de tamanho variável e a chave secreta
compartilhada de 128 bits são combinadas e executadas pelo algoritmo
de hash HMAC-MD5. A saída é um hash de 128 bits.
• O Secure Hash Algorithm (SHA) usa uma chave secreta de 160 bits. A
mensagem de comprimento variável e a chave secreta compartilhada
de 160 bits são combinadas e executadas pelo algoritmo HMAC-SHA-1.
A saída é um hash de 160 bits.
320
Autenticação
Ao realizar negócios de longa distância, você deve saber quem está do outro
lado do telefone, email ou fax. O mesmo vale para redes VPN. O dispositivo
na outra extremidade do túnel da VPN deve ser autenticado antes que o
caminho da comunicação seja considerado seguro. A figura destaca os dois
métodos de autenticação de mesmo nível.
321
A figura mostra um exemplo de autenticação PSK. No dispositivo local, a
chave de autenticação e as informações de identidade são enviadas por
meio de um algoritmo de hash para formar o hash do par local (Hash_L). A
autenticação unidirecional é estabelecida enviando Hash_L para o
dispositivo remoto. Se o dispositivo remoto puder criar independentemente
o mesmo hash, o dispositivo local será autenticado. Depois que o
dispositivo remoto autentica o dispositivo local, o processo de autenticação
começa na direção oposta e todas as etapas são repetidas do dispositivo
remoto para o dispositivo local.
322
A figura mostra um exemplo de autenticação RSA. No dispositivo local, a
chave de autenticação e as informações de identidade são enviadas pelo
algoritmo de hash para formar o hash do par local (Hash_L). Em seguida, o
Hash_L é criptografado usando a chave de criptografia privada do
dispositivo local. Isso cria uma assinatura digital. A assinatura digital e um
certificado digital são encaminhados para o dispositivo remoto. A chave de
criptografia pública para descriptografar a assinatura está incluída no
certificado digital. O dispositivo remoto verifica a assinatura digital
descriptografando-a usando a chave de criptografia pública. O resultado é
Hash_L. Em seguida, o dispositivo remoto cria independentemente Hash_L
a partir das informações armazenadas. Se o Hash_L calculado for igual ao
Hash_L descriptografado, o dispositivo local será autenticado. Depois que o
dispositivo remoto autentica o dispositivo local, o processo de autenticação
começa na direção oposta e todas as etapas são repetidas do dispositivo
remoto para o dispositivo local.
323
Troca de chaves segura com Diffie-Hellman
Os algoritmos de criptografia requerem uma chave secreta simétrica e
compartilhada para executar criptografia e descriptografia. Como os
dispositivos de criptografia e descriptografia obtêm a chave secreta
compartilhada? O método mais fácil de troca de chaves é usar um método
de troca de chave pública, como Diffie-Hellman (DH), conforme mostrado
na figura.
324
O grupo DH escolhido deve ser forte o suficiente ou ter bits suficientes para
proteger as chaves IPsec durante a negociação. Por exemplo, o grupo DH 1
é forte o suficiente para suportar a criptografia DES e 3DES, mas não o
AES. Por exemplo, se os algoritmos de criptografia ou autenticação usarem
uma chave de 128 bits, use os grupos 14, 19, 20 ou 24. No entanto, se os
algoritmos de criptografia ou autenticação usarem uma chave de 256 bits
ou superior, use o grupo 21 ou 24.
325
Visão geral do CDP
A primeira coisa que você quer saber sobre sua rede é o que está nela?
Onde estão esses componentes? Como eles estão conectados? Basicamente,
você precisa de um mapa. Este tópico explica como você pode usar o Cisco
Discovery Protocol (CDP) para criar um mapa da sua rede.
326
Configurar e verificar CDP
Para dispositivos Cisco, o CDP é ativado por padrão. Por motivos de
segurança, pode ser desejável desativar o CDP em um dispositivo de rede
globalmente ou por interface. Com o CDP, um invasor pode obter
informações valiosas sobre o layout da rede, como endereços IP, versões
do IOS e tipos de dispositivos.
327
Para verificar o status do CDP e exibir uma lista de vizinhos, use o comando
show cdp neighbours no modo EXEC privilegiado. O comando show cdp
neighbours exibe informações importantes sobre os vizinhos do CDP.
Atualmente, este dispositivo não possui vizinhos porque não está
fisicamente conectado a nenhum dispositivo, conforme indicado pelos
resultados do comando show cdp neighbours exibido no exemplo.
Use o comando show cdp interface para exibir as interfaces ativadas para
CDP em um dispositivo. O status de cada interface também é exibido. A
figura mostra que cinco interfaces são ativadas para CDP no roteador com
apenas uma conexão ativa com outro dispositivo.
328
Descobrir dispositivos usando o CDP
Considere a falta de documentação na topologia mostrada na figura. O
administrador da rede sabe apenas que o R1 está conectado a outro
dispositivo.
Com o CDP ativado na rede, o comando show cdp neighbours pode ser
usado para determinar o layout da rede, conforme mostrado na saída.
329
O administrador da rede usa os detalhes show cdp neighbours para
descobrir o endereço IP do S1. Conforme exibido na saída, o endereço para
S1 é 192.168.1.2.
330
Outro switch, S2, é revelado na saída. S2 está usando F0 / 1 para
conectar-se à interface F0 / 1 em S1, conforme mostrado na figura.
331
Introdução ao SNMP
Agora que sua rede está mapeada e todos os seus componentes estão usando
o mesmo relógio, é hora de analisar como você pode gerenciar sua rede
usando o SNMP (Simple Network Management Protocol).
• Gerenciador de SNMP
• Agentes SNMP (nó gerenciado)
• Base de Informações de Gerenciamento (MIB)
Para configurar o SNMP em um dispositivo de rede, primeiro é necessário
definir o relacionamento entre o gerente e o agente.
332
O agente SNMP e o MIB residem nos dispositivos clientes SNMP. Os
dispositivos de rede que devem ser gerenciados, como comutadores,
roteadores, servidores, firewalls e estações de trabalho, estão equipados
com um módulo de software do agente SMNP. Os MIBs armazenam dados
sobre o dispositivo e as estatísticas operacionais e devem estar disponíveis
para usuários remotos autenticados. O agente SNMP é responsável por
fornecer acesso ao MIB local.
333
Operação SNMP
Os agentes SNMP que residem em dispositivos gerenciados coletam e
armazenam informações sobre o dispositivo e sua operação. Esta
informação é armazenada pelo agente localmente na MIB. O gerenciador
SNMP usa o agente SNMP para acessar informações no MIB.
334
O agente SNMP responde às solicitações do gerente SNMP da seguinte
maneira:
335
Interceptações de agente SNMP
Um NMS pesquisa periodicamente os agentes SNMP que residem em
dispositivos gerenciados usando a solicitação get. O NMS consulta o
dispositivo em busca de dados. Usando esse processo, um aplicativo de
gerenciamento de rede pode coletar informações para monitorar cargas de
tráfego e verificar as configurações de dispositivos gerenciados. As
informações podem ser exibidas por meio de uma GUI no NMS. Médias,
mínimos ou máximos podem ser calculados. Os dados podem ser
representados graficamente ou limites podem ser configurados para acionar
um processo de notificação quando os limites forem excedidos. Por
exemplo, um NMS pode monitorar a utilização da CPU de um roteador
Cisco. O gerenciador do SNMP faz uma amostragem periódica do valor e
apresenta essas informações em um gráfico para o administrador da rede
usar na criação de uma linha de base, na criação de um relatório ou na
exibição de informações em tempo real.
336
A troca de todas as mensagens SNMP é ilustrada na figura.
337
Versões SNMP
Existem várias versões do SNMP:
338
Nota: SNMPv1 e SNMPv2c oferecem recursos mínimos de segurança.
Especificamente, o SNMPv1 e o SNMPv2c não podem autenticar a origem
de uma mensagem de gerenciamento nem fornecer criptografia.
Atualmente, o SNMPv3 é descrito nas RFCs 3410 a 3415. Ele adiciona
métodos para garantir a transmissão segura de dados críticos entre
dispositivos gerenciados.
339
SNMPv2c
levei noAuthNoPriv
Encryption No
SNMPv3 noAuthNoPriv
levei noAuthNoPriv
Authentication Username
Encryption No
Result Uses a username- match for authentication (an improvement over SNMPv2c).
SNMPv3 authNoPriv
levei authNoPriv
Encryption No
340
Um administrador de rede deve configurar o agente SNMP para usar a
versão SNMP suportada pela estação de gerenciamento. Como um agente
pode se comunicar com vários gerenciadores de SNMP, é possível
configurar o software para suportar as comunicações usando SNMPv1,
SNMPv2c ou SNMPv3.
341
Community Strings
Para que o SNMP opere, o NMS deve ter acesso ao MIB. Para garantir que
as solicitações de acesso sejam válidas, alguma forma de autenticação deve
estar em vigor.
• Read-only (ro) - Esse tipo fornece acesso às variáveis MIB, mas não
permite que essas variáveis sejam alteradas, somente leitura. Como a
segurança é mínima na versão 2c, muitas organizações usam o
SNMPv2c no modo somente leitura.
• Read-write (rw) - Esse tipo fornece acesso de leitura e gravação a
todos os objetos no MIB.
Para visualizar ou definir variáveis MIB, o usuário deve especificar a
sequência de caracteres da comunidade apropriada para acesso de leitura
ou gravação.
342
Introdução ao Syslog
Como uma luz Check Engine no painel do carro, os componentes da sua
rede podem dizer se há algo errado. O protocolo syslog foi projetado para
garantir que você possa receber e entender essas mensagens. Quando certos
eventos ocorrem em uma rede, os dispositivos de rede possuem mecanismos
confiáveis para notificar o administrador com mensagens detalhadas do
sistema. Essas mensagens podem ser não críticas ou significativas. Os
administradores de rede têm uma variedade de opções para armazenar,
interpretar e exibir essas mensagens. Eles também podem ser alertados
sobre as mensagens que podem ter o maior impacto na infraestrutura de
rede.
343
Muitos dispositivos de rede suportam syslog, incluindo: roteadores,
comutadores, servidores de aplicativos, firewalls e outros dispositivos de
rede. O protocolo syslog permite que os dispositivos de rede enviem
mensagens do sistema pela rede para servidores syslog.
344
Operação Syslog
Nos dispositivos de rede da Cisco, o protocolo syslog inicia enviando
mensagens do sistema e saída de depuração para um processo de registro
local interno ao dispositivo. Como o processo de log gerencia essas
mensagens e saídas é baseado nas configurações do dispositivo. Por
exemplo, as mensagens syslog podem ser enviadas pela rede para um
servidor syslog externo. Essas mensagens podem ser recuperadas sem a
necessidade de acessar o dispositivo real. As mensagens e saídas de log
armazenadas no servidor externo podem ser inseridas em vários
relatórios para facilitar a leitura.
Por fim, o administrador da rede pode especificar que apenas certos tipos
de mensagens do sistema sejam enviados para vários destinos. Por
exemplo, o dispositivo pode ser configurado para encaminhar todas as
mensagens do sistema para um servidor syslog externo. No entanto, as
mensagens no nível de depuração são encaminhadas para o buffer interno
e são acessíveis apenas pelo administrador na CLI.
345
eSRVVtYHOPRQLWRUDUUHPRWDPHQWHDVPHQVDJHQVGRVLVWHPDH[LELQGRRV
ORJVHPXPVHUYLGRUV\VORJRXDFHVVDQGRRGLVSRVLWLYRSRU7HOQHW66+RX
SHODSRUWDGRFRQVROH
)RUPDWRGHPHQVDJHP6\VORJ
2VGLVSRVLWLYRV&LVFRSURGX]HPPHQVDJHQVV\VORJFRPRUHVXOWDGRGH
HYHQWRVGHUHGH7RGDPHQVDJHPV\VORJFRQWpPXPQtYHOGHJUDYLGDGHH
XPUHFXUVR
2VQtYHLVQXPpULFRVPHQRUHVVmRRVDODUPHVGHV\VORJPDLVFUtWLFRV2QtYHO
GHJUDYLGDGHGDVPHQVDJHQVSRGHVHUGHILQLGRSDUDFRQWURODURQGHFDGD
WLSRGHPHQVDJHPpH[LELGRRXVHMDQRFRQVROHRXQRVRXWURVGHVWLQRV$
OLVWDFRPSOHWDGRVQtYHLVGHV\VORJpPRVWUDGDQDWDEHOD
346
Cada nível do syslog tem seu próprio significado:
347
Instalações Syslog
Além de especificar a gravidade, as mensagens syslog também contêm
informações sobre o recurso. Os recursos do Syslog são identificadores de
serviço que identificam e categorizam dados do estado do sistema para
relatórios de mensagens de erro e evento. As opções do recurso de registro
disponíveis são específicas para o dispositivo de rede. Por exemplo, os
switches Cisco 2960 Series executando o Cisco IOS Release 15.0 (2) e os
roteadores Cisco 1941 executando o Cisco IOS Release 15.2 (4) oferecem
suporte a 24 opções de instalação categorizadas em 12 tipos de instalação.
IP
Protocolo OSPF
Sistema operacional SYS
Segurança IP (IPsec)
IP da interface (IF)
Por padrão, o formato das mensagens syslog no Cisco IOS Software é o
seguinte:
As mensagens mais comuns são mensagens de link para cima e para baixo e
mensagens que um dispositivo produz quando sai do modo de configuração.
Se o log da ACL estiver configurado, o dispositivo gerará mensagens syslog
quando os pacotes corresponderem a uma condição de parâmetro.
348
Configurar registro de data e hora do syslog
Por padrão, as mensagens de log não têm registro de data e hora. No
exemplo, a interface R1 GigabitEthernet 0/0/0 está desligada. A
mensagem registrada no console não identifica quando o estado da
interface foi alterado. As mensagens de log devem ter o carimbo de data e
hora para que, quando enviadas para outro destino, como um servidor
Syslog, haja um registro de quando a mensagem foi gerada.
349
Controlador e operações SDN
O tópico anterior abordou o SDN. Este tópico irá explicar os controladores.
Cada fluxo que viaja pela rede deve primeiro obter permissão do
controlador SDN, que verifica se a comunicação é permitida de acordo com
a política de rede. Se o controlador permitir um fluxo, ele calcula uma rota
para o fluxo e adiciona uma entrada para esse fluxo em cada um dos
comutadores ao longo do caminho.
350
Dentro de cada switch, uma série de tabelas implementadas em
hardware ou firmware são usadas para gerenciar os fluxos de pacotes
através do switch. Para o comutador, um fluxo é uma sequência de
pacotes que corresponde a uma entrada específica em uma tabela de
fluxo.
351
Componentes principais da ACI
Estes são os três componentes principais da arquitetura
ACI:
• Application Network Profile (ANP) - Um ANP é uma coleção de grupos
de terminais (EPG), suas conexões e as políticas que definem essas
conexões. Os EPGs mostrados na figura, como VLANs, serviços da
Web e aplicativos, são apenas exemplos. Uma ANP é frequentemente
muito mais complexa.
• Application Policy Infrastructure Controller (APIC) - O APIC é
considerado o cérebro da arquitetura ACI. O APIC é um controlador
de software centralizado que gerencia e opera uma malha em cluster
ACI escalável. Ele foi projetado para programabilidade e
gerenciamento centralizado. Ele traduz políticas de aplicativos em
programação de rede.
• Cisco Nexus 9000 Series switches - Esses switches fornecem uma
malha de comutação que reconhece aplicativos e trabalham com um
APIC para gerenciar a infraestrutura de rede física e virtual.
O APIC está posicionado entre o APN e a infraestrutura de rede ativada
pela ACI. O APIC converte os requisitos do aplicativo em uma
configuração de rede para atender a essas necessidades, conforme
mostrado na figura
352
Topologia da coluna vertebral
A estrutura do Cisco ACI é composta pelos comutadores APIC e Cisco
Nexus 9000 series usando a topologia de duas camadas da coluna
vertebral, conforme mostrado na figura. Os comutadores de folhas sempre
se prendem aos espinhos, mas nunca se prendem um ao outro. Da
mesma forma, os interruptores lombares são conectados apenas aos
interruptores de folha e núcleo (não mostrados). Nesta topologia de duas
camadas, tudo fica a um salto de todo o resto.
353
Tipos de SDN
O Cisco Application Policy Infrastructure Controller - Módulo Corporativo
(APIC-EM) estende a ACI voltada para implantações corporativas e de
campus. Para entender melhor o APIC-EM, é útil dar uma olhada mais
ampla nos três tipos de SDN.
Device-based SDN
Nesse tipo de SDN, os dispositivos são programáveis por aplicativos
executados no próprio dispositivo ou em um servidor na rede, conforme
mostrado na figura. O Cisco OnePK é um exemplo de SDN baseado em
dispositivo. Ele permite que os programadores construam aplicativos
usando C e Java com Python, para integrar e interagir com dispositivos
Cisco.
354
Controller-based SDN
Esse tipo de SDN usa um controlador centralizado que possui
conhecimento de todos os dispositivos da rede, conforme mostrado na
figura. Os aplicativos podem interagir com o controlador responsável por
gerenciar dispositivos e manipular fluxos de tráfego em toda a rede. O
Cisco Open SDN Controller é uma distribuição comercial do
OpenDaylight.
Policy-based SDN
Esse tipo de SDN é semelhante ao SDN baseado em controlador, em
que um controlador centralizado tem uma visão de todos os dispositivos
na rede, conforme mostrado na figura. O SDN baseado em política inclui
uma camada de política adicional que opera em um nível mais alto de
abstração. Ele usa aplicativos internos que automatizam tarefas de
configuração avançada por meio de um fluxo de trabalho guiado e uma
GUI amigável. Nenhuma habilidade de programação é necessária. O
Cisco APIC-EM é um exemplo desse tipo de SDN.
355
Recursos APIC-EM
Cada tipo de SDN tem seus próprios recursos e vantagens. O SDN
baseado em políticas é o mais robusto, fornecendo um mecanismo
simples para controlar e gerenciar políticas em toda a rede.
356
Rastreio de caminho APIC-EM
A ferramenta de rastreamento de caminho APIC-EM permite que o
administrador visualize facilmente os fluxos de tráfego e descubra
quaisquer entradas ACL conflitantes, duplicadas ou sombreadas. Essa
ferramenta examina ACLs específicas no caminho entre dois nós finais,
exibindo possíveis problemas. Você pode ver onde as ACLs ao longo do
caminho permitiram ou negaram seu tráfego, conforme mostrado na
figura. Observe como o Branch-Router2 permite todo o tráfego. O
administrador da rede agora pode fazer ajustes, se necessário, para filtrar
melhor o tráfego.
357
O aumento da automação
Automação é qualquer processo auto-orientado, que reduz e
potencialmente elimina a necessidade de intervenção humana.
358
Dispositivos pensantes
Os dispositivos podem pensar? Eles podem aprender com o ambiente?
Nesse contexto, existem muitas definições da palavra "pensar". Uma
definição possível é a capacidade de conectar uma série de informações
relacionadas e usá-las para alterar um curso de ação.
359
O conceito de API
APIs são encontradas em quase todos os lugares. O Amazon Web Services,
o Facebook e os dispositivos de automação residencial, como termostatos,
geladeiras e sistemas de iluminação sem fio, usam APIs. Eles também são
usados para criar automação de rede programável.
Uma API é um software que permite que outros aplicativos acessem seus dados
ou serviços. É um conjunto de regras que descrevem como um aplicativo pode
interagir com outro e as instruções para permitir que a interação ocorra. O
usuário envia uma solicitação de API para um servidor solicitando informações
específicas e recebe uma resposta da API em troca do servidor junto com as
informações solicitadas.
360
Um exemplo de API
Para realmente entender como as APIs podem ser usadas para fornecer dados e
serviços, examinaremos duas opções para fazer reservas de companhias aéreas.
A primeira opção usa o site de uma companhia aérea específica, como mostra a
figura. Usando o site da companhia aérea, o usuário insere as informações para
fazer uma solicitação de reserva. O site interage diretamente com o banco de
dados da própria companhia aérea e fornece ao usuário informações
correspondentes à solicitação do usuário.
Em vez de usar um site de companhia aérea individual que tenha acesso direto
a suas próprias informações, existe uma segunda opção. Os usuários podem
usar um site de viagens para acessar essas mesmas informações, não apenas de
uma companhia aérea específica, mas de várias companhias aéreas. Nesse caso,
o usuário digita informações de reserva semelhantes. O site do serviço de
viagens interage com os vários bancos de dados das companhias aéreas, usando
APIs fornecidas por cada companhia aérea. O serviço de viagem usa cada API
de companhia aérea para solicitar informações dessa companhia aérea
específica e, em seguida, exibe as informações de todas as companhias aéreas
em sua página da web, conforme mostrado na figura.
361
A API atua como um tipo de mensageiro entre o aplicativo solicitante e o
aplicativo no servidor que fornece os dados ou serviço. A mensagem do
aplicativo solicitante para o servidor em que os dados residem é conhecida
como chamada de API.
362
APIs abertas, internas e de parceiros
Uma consideração importante ao desenvolver uma API é a distinção entre
APIs abertas, internas e de parceiros:
363
Tipos de APIs de serviço da Web
Um serviço da Web é um serviço disponível na Internet, usando a World
Wide Web. Existem quatro tipos de APIs de serviço da web:
364
O REST é a API de serviço da web mais usada, representando mais de 80% de
todos os tipos de API usados. O REST será discutido mais adiante neste
módulo.
RPC é quando um sistema solicita que outro sistema execute algum código e
retorna as informações. Isso é feito sem a necessidade de entender os detalhes
da rede. Isso funciona como uma API REST, mas existem diferenças
relacionadas à formatação e flexibilidade. O XML-RPC é um protocolo
desenvolvido antes do SOAP e posteriormente evoluiu para o que se tornou
SOAP. JSON-RPC é um protocolo muito simples e semelhante ao XML-RPC.
365
Configuração de rede tradicional
Dispositivos de rede como roteador, comutadores e firewalls são
tradicionalmente configurados por um administrador de rede usando a CLI,
conforme mostrado na figura. Sempre que houver uma alteração ou novo
recurso, os comandos de configuração necessários devem ser inseridos
manualmente em todos os dispositivos apropriados. Em muitos casos, isso
não apenas consome tempo, mas também pode estar sujeito a erros. Isso se
torna um problema importante em redes maiores ou com configurações mais
complexas.
366
Você também pode usar APIs para automatizar a implantação e o
gerenciamento de recursos de rede. Em vez de o administrador da rede
configurar manualmente portas, listas de acesso, qualidade de serviço
(QoS) e políticas de balanceamento de carga, eles podem usar ferramentas para
automatizar configurações. Essas ferramentas se conectam às APIs da rede para
automatizar tarefas rotineiras de provisionamento de rede, permitindo ao
administrador selecionar e implantar os serviços de rede de que precisam. Isso
pode reduzir significativamente muitas tarefas repetitivas e mundanas para
liberar tempo para os administradores de rede trabalharem em coisas mais
importantes.
367
Automação de rede
Estamos nos afastando rapidamente de um mundo em que um administrador
de rede gerencia algumas dezenas de dispositivos de rede, para um onde eles
estão implantando e gerenciando centenas, milhares e até dezenas de milhares
de dispositivos de rede complexos (físicos e virtuais) com a ajuda de
Programas. Essa transformação está se espalhando rapidamente desde o início
no data center, para todos os locais da rede. Existem métodos novos e
diferentes para os operadores de rede monitorar, gerenciar e configurar
automaticamente a rede. Conforme mostrado na figura, eles incluem
protocolos e tecnologias como REST, Ansible, Puppet, Chef, Python, JSON,
XML e muito mais.
368
Ferramentas de Gerenciamento de Configuração
As ferramentas de gerenciamento de configuração usam solicitações de API
RESTful para automatizar tarefas e podem ser escaladas em milhares de
dispositivos. As ferramentas de gerenciamento de configuração mantêm as
características de um sistema ou rede para garantir a consistência. Estas são
algumas características da rede que os administradores se beneficiam ao
automatizar:
• Ansible
• Chefe de cozinha
• Fantoche
• SaltStack
369
O objetivo de todas essas ferramentas é reduzir a complexidade e o tempo
envolvidos na configuração e manutenção de uma infraestrutura de rede em
larga escala com centenas, até milhares de dispositivos. Essas mesmas
ferramentas também podem beneficiar redes menores.
370
Compare Ansible, Chef, Puppet e SaltStack
371
• Como os dispositivos são gerenciados? - Isso está em um dispositivo
chamado Master in Puppet, Chef e SaltStack. No entanto, como o Ansible
é sem agente, qualquer computador pode ser o controlador.
• O que é criado pela ferramenta? - Os administradores de rede usam
ferramentas de gerenciamento de configuração para criar um conjunto de
instruções a serem executadas. Cada ferramenta tem seu próprio nome
para estas instruções: Manual, Livro de Receitas, Manifesto e Pilar.
Comum a tudo isso é a especificação de uma política ou configuração que
deve ser aplicada aos dispositivos. Cada tipo de dispositivo pode ter sua
própria política. Por exemplo, todos os servidores Linux podem ter a
mesma política básica de configuração e segurança.
372
Visão geral da rede baseada em intenção
O IBN é o modelo emergente da indústria para a próxima geração de redes. O
IBN baseia-se em redes definidas por software (SDN), transformando uma
abordagem manual e centralizada em hardware para projetar e operar redes
em uma que é centralizada em software e totalmente automatizada.
373
Tradução - A função de tradução permite que o administrador da rede
expresse o comportamento esperado de rede que melhor dará suporte à
intenção do negócio.
Ativação - A intenção capturada precisa ser interpretada em políticas que
podem ser aplicadas na rede. A função de ativação instala essas políticas na
infraestrutura de rede física e virtual usando a automação em toda a rede.
Garantia - Para verificar continuamente se a intenção expressa é respeitada
pela rede a qualquer momento, a função de garantia mantém um ciclo
contínuo de validação e verificação.
374
Infraestrutura de rede como malha
Da perspectiva do IBN, a infraestrutura de rede física e virtual é uma malha.
Tecido é um termo usado para descrever uma sobreposição que representa a
topologia lógica usada para conectar-se virtualmente aos dispositivos,
conforme mostrado na figura. A sobreposição limita o número de dispositivos
que o administrador da rede deve programar. Ele também fornece serviços e
métodos alternativos de encaminhamento não controlados pelos dispositivos
físicos subjacentes. Por exemplo, a sobreposição é onde ocorrem protocolos de
encapsulamento, como segurança IP (IPsec) e Controle e Aprovisionamento
de Pontos de Acesso Sem Fio (CAPWAP). Usando uma solução IBN, o
administrador da rede pode especificar através de políticas exatamente o que
acontece no plano de controle de sobreposição. Observe que o modo como os
comutadores estão fisicamente conectados não é uma preocupação da
sobreposição.
375
A rede subjacente é a topologia física que inclui todo o hardware necessário
para atender aos objetivos de negócios. A subjacência revela dispositivos
adicionais e especifica como esses dispositivos são conectados, conforme
mostrado na figura. Os pontos finais, como os servidores da figura, acessam a
rede através dos dispositivos da Camada 2. O plano de controle de
subjacência é responsável por tarefas simples de encaminhamento.
376
Arquitetura de rede digital da Cisco (DNA)
A Cisco implementa a malha IBN usando o Cisco DNA. Conforme exibido na
figura, a intenção do negócio é implantada com segurança na infraestrutura de
rede (a malha). O Cisco DNA reúne dados de várias fontes (dispositivos e
aplicativos) para fornecer um rico contexto de informações. Essas informações
podem ser analisadas para garantir que a rede esteja executando com
segurança no nível ideal e de acordo com a intenção do negócio e as políticas
de rede.
377
Essas soluções não são mutuamente exclusivas. Por exemplo, todas as quatro
soluções podem ser implantadas por uma organização.
Muitas dessas soluções são implementadas usando o Cisco DNA Center, que
fornece um painel de software para gerenciar uma rede corporativa.
378
Cisco DNA Center
O Cisco DNA Center é a plataforma básica de controlador e análise no
coração do Cisco DNA. Ele suporta a expressão de intenção para vários casos
de uso, incluindo recursos básicos de automação, provisionamento de malha e
segmentação baseada em políticas na rede corporativa. O Cisco DNA Center é
um centro de gerenciamento e comando de rede para provisionar e configurar
dispositivos de rede. É uma plataforma de hardware e software que fornece um
"painel de vidro único" (interface única) que se concentra na garantia, análise
e automação.
379
Na parte superior, os menus fornecem acesso às cinco principais áreas do
DNA Center. Como mostrado na figura, esses são
380
CAPÍTULO 7 – HSRP
REDUNDÂNCIA DE ROTEAMENTO
381
A redundância do gateway padrão
Cada cliente recebe apenas um gateway padrão. Não há como configurar um gateway
secundário, mesmo que exista uma segunda rota para transportar pacotes para fora do
segmento local.
382
Dispositivos finais são geralmente configurados com um único endereço IP de gateway
padrão, que não será alterado quando a topologia da rede mudar. Se o roteador cujo
endereço IP é configurado como gateway padrão falhar, o dispositivo local é incapaz de
enviar pacotes fora o segmento de rede local, desconectando-‐‐se efetivamente do resto
da rede. Se existe um roteador redundante que possa servir como um gateway padrão
para esse segmento, não existe método dinâmico pelo qual esses dispositivos possam
determinar o endereço de um novo gateway padrão.
Ainda que o exemplo seja explicado nos roteadores, em redes modernas os roteadores
deveriam ser switches de camada 3. Esses são dispositivos de alto desempenho para o
roteamento, mas, em contraste com os roteadores, têm muitas interfaces.
383
na LAN. Ao compartilhar um endereço IP (camada 3) e um endereço MAC (camada 2),
dois ou mais roteadores podem atuar como um único roteador "virtual".
Estas são as etapas que ocorrem quando um roteador ou um switch de camada 3 falha:
384
Terminologia HSRP
Terminologia HSRP
Roteador ativo: É o roteador que está encaminhando pacotes para o roteador virtual
385
A função de roteador em standby HSRP é monitorar o status operacional do grupo
HSRP e assumir rapidamente a responsabilidade de encaminhamento de pacotes se o
roteador ativo se tornar inoperante.
• Roteador ativo:
• Responde às solicitações de gateway padrão ARP com o
endereço MAC do roteador virtual
• Apropria--‐se do encaminhamento de pacotes para o roteador
virtual
• Envia mensagens hello
• Conhece o endereço IP virtual do roteador
• Roteador em standby
• Ouve mensagens hello periódicas
• Apropria--‐se do encaminhamento de pacotes ativos se não
receber nenhuma mensagem do roteador ativo
386
HSRP
Grupo 1
Prioridade de 110 Prioridade de 90
do roteador A do roteador B
Em HSRPv1, o número de grupo pode ser qualquer valor entre 0 e 255, mas deve ser o
mesmo em ambos os roteadores vizinhos. Em HSRPv2, o número de grupo pode ser
qualquer valor entre 0 e 4095.
O endereço IP é o endereço IP do roteador virtual para o grupo HSRP. Ele deve ser
idêntico em todos os roteadores de um mesmo grupo HSRP.
Cada grupo de espera tem seus próprios ativos e roteadores standby. Um engenheiro
de rede pode atribuir um valor de prioridade a cada roteador de um grupo de espera,
controlando, dessa forma, a ordem na qual os roteadores ativos do grupo serão
selecionados. O valor padrão é 100, mas pode ser de 0 a 255.
387
tornará o roteador ativo, independentemente da prioridade configurada. O antigo
roteador ativo pode ser configurado para retomar a função de roteador de
encaminhamento ao assumir o lugar de um roteador com prioridade mais baixa.
Você pode usar o comando show standby brief para observar as configurações HSRP:
388
O grupo HSRP rastreia as interfaces uplink. Se o uplink no switch correto falhar, o
roteador reduzirá automaticamente a prioridade dessa interface e enviará mensagens
hello com a prioridade reduzida.
Suponha que, no exemplo da figura, o roteador à direita está configurado com uma
prioridade mais alta e, portanto, está controlando o tráfego para o núcleo. Assim que a
interface do roteador à direita falhar, o host não conseguirá acessar o núcleo da rede.
HSRP fará do roteador à esquerda o roteador ativo.
Na figura, dois roteadores capacitados com HSRP participam de duas VLANs separadas.
Executar o HSRP nos troncos permite que os usuários configurem a redundância entre
vários roteadores.
Ao configurar o HSRP nos troncos, você pode eliminar as situações nas quais um único
ponto de falha causa interrupções no tráfego. Esse recurso fornece certas melhorias na
389
resiliência da rede em geral ao fornecer recursos de balanceamento de carga e
redundância entre sub--‐redes e VLANs.
Balanceamento de carga
Ainda que HSRP e VRRP forneçam a resiliência do gateway, para os membros à espera
do grupo de redundância, a largura de banda de upstream não é usada enquanto o
dispositivo estiver em modo de espera.
Somente o roteador ativo em grupos HSRP e VRRP pode encaminhar o tráfego para o
endereço MAC virtual. Os recursos que estão associados ao roteador em standby não
são utilizados completamente. Você pode realizar certo balanceamento de carga com
390
esses protocolos, criando vários grupos e designando vários gateways padrão, mas tal
configuração criará sobrecarga administrativa.
GLBP é uma solução patenteada da Cisco para permitir a seleção automática e o uso
simultâneo de vários gateways disponíveis, além do failover automático entre eles.
Vários roteadores compartilham a carga de quadros que, do ponto de vista do cliente,
serão enviados para um único endereço do gateway padrão.
Com o GLBP, você pode utilizar integralmente os recursos sem a carga administrativa
de configurar vários grupos e de gerenciar as configurações de vários gateways padrão.
Visualizando o balanceamento
R1#show glbp
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:04:12
Virtual IP address is 192.168.2.100
<output omitted>
Active is local
Standby is 192.168.2.2, priority 100 (expires in
7,644 sec)
Priority 100 (default)
Weighting 100 (default 100), thresholds: lower
1, upper 100
Load balancing: round-robin
Group members:
c000,0ce0,0000 (192.168.2.1) local c001,0ce0,0000
(192.168.2.2)
<output omitted>
Page 288
391
Para exibir informações do GLBP, use o comando show glbp no modo privilegiado.
O comando show glbp, neste exemplo abaixo, exibe informações sobre o status do GLBP
grupo 1
R1#show glbp
<output omitted>
There are 2 forwarders (1 active)
Forwarder 1
State is Active
1 state change, last state change 00:04:02
MAC address is 0007.b400.0101 (default)
Owner ID is c000.0ce0.0000
Redirection enabled
Preemption enabled, min delay 30 sec
Active is local, weighting 100
Forwarder 2
State is Listen
392
CAPÍTULO 8 – REDES WAN
393
Assuntos relacionados a redes WAN
O termo orientado a conexão significa que os dois aplicativos que utilizam o TCP
devem estabelecer uma conexão TCP para que eles possam trocar dados. TCP é um
protocolo em full duplex, o que significa que cada conexão TCP dá suporte a um par de
fluxos de bytes, cada um com fluxo em uma direção. O TCP inclui um mecanismo de
controle de fluxo para cada fluxo de bytes que permite ao receptor limitar quantos
dados o remetente pode transmitir. O TCP também implementa um mecanismo de
controle de congestionamento.
394
Detalhe importante antes de seguir em frente:
395
Endereço IP de origem
Endereço IP de destino
Tipo de mensagem ICMP
A ACL também pode extrair informações de camada superior e testá-‐‐las em relação às
suas regras. Entre as informações da camada superior estão:
Por exemplo, você poderia dizer, "Só permita acesso à Web para usuários da rede A.
Negue acesso à Web para usuários da rede B, mas permita a eles todos os demais
acessos".
Para esse cenário, o filtro de pacote observa todos os pacotes da seguinte forma:
Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele terá permissão
para passar. Todos os demais acessos são negados para esses usuários.
Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele será
bloqueado. No entanto, todos os demais acessos são permitidos.
Este é apenas um simples exemplo. Você pode configurar várias regras para ainda
permitir ou negar serviços a usuários específicos. Você também pode filtrar pacotes no
nível de porta utilizando uma ACL estendida, abordada na sequência deste material.
396
utilizadas para selecionar tipos de tráfego a ser analisado, encaminhado ou processado
de outras formas.
Na medida em que cada pacote passa por uma interface com uma ACL associada, a ACL
é verificada de cima para baixo, uma linha por vez, procurando um padrão
correspondente ao pacote de entrada. A ACL aplica uma ou mais políticas de segurança
corporativas, aplicando uma regra de permissão ou negação para determinar o destino
do pacote. As ACLs podem ser configuradas para controlar o acesso a uma rede ou sub-
‐‐rede.
Por padrão, um roteador não tem nenhuma ACL configurada e, por isso, não filtra o
tráfego. O tráfego que entra no roteador é roteado de acordo com a tabela de
roteamento. Se você não utilizar as ACLs no roteador, todos os pacotes que puderem
ser roteados pelo roteador passarão pelo roteador até o próximo segmento de rede.
1) Uma ACL por protocolo – para controlar o fluxo de tráfego em uma interface,
uma ACL deve ser definida para cada protocolo habilitado na interface.
397
2) Uma ACL por direção – as ACLs controlam o tráfego em uma direção por vez em
uma interface. Duas ACLs separadas devem ser criadas para controlar os
tráfegos de entrada e de saída.
3) Uma ACL por interface – as ACLs controlam o tráfego de uma interface, por
exemplo, Fast Ethernet 0/0.
Escrever ACLs pode ser uma tarefa desafiante e complexa. Não tanto pelas quantidade
de ACL´s possíveis, mas por sua lógica de configuração. Erros nestas configurações, além
não surtirem o efeito desejado ainda atrapalham o funcionamento da rede como um
todo.
ACL pode classificar o tráfego para habilitar o processamento por prioridades na linha.
Esse recurso é semelhante a ter uma passagem VIP para um show ou evento esportivo.
398
A passagem VIP oferece privilégios a convidados selecionados não oferecidos a
proprietários de entradas, como poder entrar em uma área restrita e ser escoltado até
seus assentos.
ACLs de entrada – os pacotes de entrada são processados antes de serem roteados para
a interface de saída. Uma ACL de entrada será eficiente porque evita a sobrecarga das
pesquisas de roteamento se o pacote for descartado. Se for permitido pelos testes, o
pacote será processado para roteamento.
Uma instrução incluída no final abrange todos os pacotes para os quais as condições não
se mostraram verdadeiras. Essa condição de teste final corresponde a todos os demais
pacotes e resultados em uma instrução "negar". Em vez de continuar dentro ou fora de
uma interface, o roteador ignora todos esses pacotes restantes. Essa instrução final
costuma ser conhecida como "negar qualquer instrução implicitamente" ou
399
"negar todo o tráfego". Por conta dessa instrução, uma ACL deve ter pelo menos uma
instrução de permissão; do contrário, a ACL bloqueia todo o tráfego.
Podemos aplicar uma ACL a várias interfaces. No entanto, não se deve esquecer que
existem as limitações de uma por protocolo, por direção e interface.
Ao final de toda lista de acesso, há uma instrução implícita do critério "negar todo o
tráfego".
Ela também é conhecida às vezes como a instrução "deny any implícito". Por isso, se não
corresponder a nenhuma das entradas ACL, um pacote será bloqueado
automaticamente.
O "negar todo o tráfego" implícito é o comportamento padrão das ACLs, não podendo
ser alterado.
IMPORTANTE!
Existe uma advertência chave associada a esse comportamento "negar tudo": para a
maioria dos protocolos, se definir uma lista de acesso de entrada para a filtragem de
tráfego, você deverá incluir instruções de critérios da lista de acesso explícitas para
permitir atualizações de roteamento. Se não fizer, você poderá efetivamente perder a
comunicação com a interface quando as atualizações de roteamento forem bloqueadas
pela instrução implícita "negar todo o tráfego" ao final da lista de acesso.
ACLs padrão
400
R_1(config)# Accessp list 1 permit 192.168.30.0 0.0.0.255
O exemplo permite todo o tráfego da rede 192.168.30.0/24. Por conta da "negar tudo"
implícita ao final, todo os demais tráfegos são bloqueados com essa ACL. As ACLs
padrão são criadas no modo de configuração global. Se uma linha a mais
for acrescentada ao final da ACL, poden se resolver a situação da negação implícita:
ACLs estendidas
As ACLs estendidas filtram pacotes IP com base em vários atributos, por exemplo, tipo
de protocolo, endereço IP de origem, endereço IP de destino, portas TCP e UDP de
origem, portas TCP e UDP de destino e informações do tipo de protocolo opcionais
para maior granularidade de controle. No exemplo abaixo, a ACL 103 permite tráfego
com origem na rede 192.168.30.0/24 para o host de destino 192.168.50.15 na porta 80
(HTTP).
R_1(config)# Accessp list 103 permit TCP 192.168.30.0 0.0.0.255 host 192.168.50.15
eq 80
401
Estendida Router(config)#accessn list accessn listn number [deny | permit |
remark] [protocol] source [source wildcard] destination [source wildcard] eq [port] [log]
Remark – Comentário que pode ser feito para cada linha de ACL, para efeito de
documentação das linhas.
Log – A presença deste ítem ao fim de cada linha, gera um log, ou um registro todas as
vezes que aquela linha for executada.
Protocol – As opções mais comuns, são TCP, UDP, IP e ICMP. No fim da linha da ACL
estendida, o parâmetro “eq” permit especificar por número de porta, qual aplicação
desejamos mencionar.
Além de criar as ACL´s, também é importante que elas sejam posicionadas nas
interfaces correspondentes para que sejam executadas.
Para ACL´s padrão deve ser o mais próximo possível da origem do tráfego a ser
filtrado.
Para ACL´s estendidas, a aplicação deve ser, quando possível, o mais próximo
possível da origem do tráfego a ser filtrado.
402
ACL´s Nomeadas
Você pode criar ACLs nomeadas tanto para as estendidas como para a padrão e
basicamente da mesma forma. Os comandos para criar uma ACL nomeada têm pouca
diferença para ACLs padrão e estendidas.
Começando no modo EXEC privilegiado, siga estas etapas para criar uma ACL estendida
utilizando nomes.
extended name para definir uma ACL estendida nomeada. Para uma ACL padrão
bastaria utilizar a palavra “standard” no lugar de “extended”
Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando show
access-‐‐lists [number | name].
Para remover uma ACL estendida nomeada, utilize o comando no modo de configuração
global no ip access-list extended name.
403
NAT – NETWORK ADDRESS TRANSLATION
Você deve ter observado que todos os exemplos neste curso utilizam um número um
pouco restrito de endereços IP. Você também deve ter observado a semelhança entre
esses números e os números que você usou em uma rede pequena para exibir as
páginas de instalação da web de muitas marcas de impressoras, do DSL e de
roteadores a cabo, bem como de outros periféricos. Eles são endereços de internet
privados reservados retirados dos três blocos mostrados na figura. Esses endereços
podem ser usados somente em redes internas e privadas. A RFC 1918 especifica que os
endereços privados não devem ser roteados pela Internet. Os endereços privados são
descritos, às vezes, como " não roteáveis." Entretanto, os pacotes com endereços
privados podem ser roteados dentro de redes interconectadas privadas.
Entretanto, como não é possível rotear endereços privados pela Internet e como não
existem endereços públicos suficientes para permitir que as organizações forneçam
404
um host para todos, as redes precisam que um mecanismo traduza os endereços
privados para endereços públicos na extremidade de sua rede que funcionar em
ambas as direções. Na ausência de um sistema de tradução, os hosts privados de um
roteador na rede de uma organização não podem conectarn se a hosts privados de um
roteador em outras organizações pela Internet.
A NAT tem muitos usos, mas o principal é salvar os endereços IP, permitindo que as
redes usem os endereços IP privados. A NAT traduz endereços privados, não roteáveis e
internos em endereços públicos e externos. A NAT tem um benefício adicional de
proporcionar um nível maior de privacidade e segurança para uma rede porque ela
oculta endereços IP internos de redes externas.
Um dispositivo habilitado para NAT funciona normalmente na borda de uma rede stub.
Em nosso exemplo, o R2 é o roteador de borda. Uma rede stub é uma rede que tem
uma única conexão com sua rede vizinha. Como visto no ISP, o R2 forma uma rede
stub.
405
192.168.100.67 192.168.100.70
192.168.100.5 192.168.100.8
Cada um dos hosts da rede 192.168.100.X ao enviar pacotes ao ISP, fará isto através de
um dos endereços públicos da rede 200.104.116.0 /29.
406
Como a NAT funciona?
Em seguida, o roteador envia o pacote a seu destino. Quando o servidor web responde,
o pacote volta ao endereço global de R2 (200.104.116.1).
R2 consulta a sua tabela de NAT e verifica que esse era um endereço IP que foi traduzido
anteriormente. Portanto, ele traduz o endereço global interno para o endereço local
interno, e o pacote é encaminhado ao PC1 no endereço IP 192.168.100.67. Se ele não
localizar um mapeamento, o pacote será descartado.
407
Mapeamento dinâmico e estático
Existem dois tipos de tradução NAT: dinâmica e estática.
Tanto a NAT estática como a dinâmica exigem que endereços públicos suficientes
estejam disponíveis para atender ao número total de sessões de usuário simultâneas.
Isso é o que a maioria dos roteadores locais fazem. Seu ISP atribui um endereço a seu
Com a sobrecarga de NAT, vários endereços podem ser mapeados para um ou alguns
endereços porque cada endereço privado também é acompanhado por um número de
porta.
408
Quando um cliente abrir uma sessão de TCP/IP, o roteador de NAT atribuirá um
número de porta ao seu endereço de origem. A sobrecarga de NAT garante que os
clientes utilizem um número de porta TCP diferente para cada sessão do cliente com
um servidor na Internet.
Quando uma resposta voltar do servidor, o número de porta de origem, que se torna o
número de porta de destino na viagem de retorno, determinará para qual cliente o
roteador irá rotear os pacotes. Ele também validará se os pacotes de entrada foram
solicitados, acrescentando um grau de segurança à sessão.
409
BENEFÍCIOS E DESVANTAGENS DE USAR A NAT
A NAT oferece muitos benefícios e vantagens. Porém, existem algumas desvantagens
no uso do recurso, inclusive a falta de suporte para alguns tipos de tráfego.
410
Entretanto, a NAT apresenta algumas desvantagens. Vários problemas são criados pelo
fato de os hosts na Internet parecerem comunicarn se diretamente com o dispositivo
de NAT, em vez de comunicarn se com o host real dentro da rede privada.
Teoricamente, um endereço IP globalmente exclusivo pode representar hosts
endereçados privativamente. Isso pode ser vantajoso do ponto de vista da privacidade
e segurança mas, na prática, existem desvantagens.
411
O uso da NAT também complica os protocolos de tunelamento, como o IPsec, porque
ela modifica os valores nos cabeçalhos que interferem nas verificações de integridade
feitas pelo IPsec e por outros protocolos de tunelamento.
CONFIGURANDO A NAT
NAT estática
A configuração das traduções de NAT estáticas é uma tarefa simples. É necessário definir
os endereços a serem traduzidos e, em seguida, configurar a NAT nas interfaces
apropriadas. Os pacotes que chegam em uma interface do endereço IP definido estão
sujeitos à tradução. Os pacotes que chegam em uma interface externa, destinados para
o endereço IP identificado, estão sujeitos à tradução.
412
de 192.168.1.100 em um endereço externo de 200.104.116.5. O host na rede externa
direciona as solicitações ao endereço IP público 200.104.116.5, e o roteador R2 sempre
encaminha esse tráfego ao servidor em 192.168.1.100.
Assim como a NAT estática, ela exige que a configuração identifique cada interface como
uma interface interna ou externa. Entretanto, em vez de criar um mapa estático para
um único endereço IP, utiliza-‐‐se um conjunto de endereços globais internos.
S0/1 S0/0
R2
Gi0/0
413
Observe as configurações necessárias no R2 para que os hosts da topologia acima
possam acessar um site existente no servidor remoto:
Basicamente, o que fazemos aqui é criar uma ACL que filtra os endereços internos que
poderão ser traduzidos, criar também um pool de endereços publicos no roteador que
serão utilizados para tradução e em seguida associar estas 2 informações. Repare que
os comando Ip nat inside e ip nat outside são colocados na interfaces sempre
orientando as partes internas e externas da rede.
Neste modelo de configuração temos um nat dinâmico, pois cada um dos endereços
internos, da rede 192.168.100.0 será traduzido para um dos públicos. O problema é
que neste caso, temos apenas 6 endereços públicos.
Pense e responda.. O que acontecerá quando o sétimo host interno fizer requisição de
saída?
414
Para que a configuração acima se torne um NAT com overload, o modelo mais
utilizado atualmente para conectividade com a Internet, bastaria acrescentarmos uma
palavra ao último comando. Observe:
A partir disto, teremos uma tradução diferente, onde cada um dos endereços internos
será traduzido para o primeiro endereço público da sequência. Haverá uma variação
nos números de portas lógica de origem da conexão. As portas geradas pelo sistema
operacional quando cada host solicita uma conexão, farão a diferença entre as
sessões.
Acompanhe atentamente uma demonstração prática disto, feita pelo instrutor e faça
anotações abaixo. Para o exame CCNA é muito importante que você saiba configurar o
NAT com overload.
415
VPN – Virtual Private Network
Uma VPN típica pode ter uma rede local (LAN) principal na sede corporativa de uma empresa,
outras LANs em instalações ou escritórios remotos e usuários individuais que se conectam de fora
no campo.
VPN é uma rede privada que usa uma rede pública (geralmente a Internet) para conectar locais ou
usuários remotos. Em vez de usar uma conexão dedicada do mundo real, como uma linha alugada,
uma VPN usa conexões "virtuais" roteadas por meio da Internet, da rede privada da empresa até o
local ou funcionário remoto.
A maioria das redes VPN funcionam utilizando um conceito chamado "Túnel de comunicação". A ideia do
túnel de comunicação é de colocar um pacote inteiro dentro de outro e enviar os dois pacotes
(encapsulados) pela rede. O pacote externo é entendido pela rede e os pontos de entrada e saída do
túnel são chamados de interfaces túnel.
A VPN é executada na camada de rede do modelo de pilha de comunicações em camadas de TCP/IP. Mais
especificamente, a VPN utiliza a estrutura aberta IPSec (IP Security Architecture). A IPSec fornece
funções de segurança de base para a Internet, bem como blocos de construção flexíveis a partir dos quais
pode criar redes privadas virtuais sólidas e seguras.
416
PPP – POINT TO POINT PROTOCOL
Um dos tipos mais comuns de conexão WAN é a ponto a ponto. As conexões ponto a
ponto são utilizadas em redes locais com WANs de operadora e na conexão de
segmentos de rede local dentro de uma rede empresarial. Uma conexão ponto a
ponto entre rede local e WAN também é conhecida como uma conexão serial
ou conexão de linha alugada, porque as linhas são alugadas de uma operadora
(normalmente uma companhia telefônica) e de uso dedicado pela empresa locadora
das linhas. As empresas pagam por uma conexão contínua entre dois locais remotos, e
a linha permanece sempre ativa e disponível.
Ele pode ser usado em linhas de par trançado, de fibra óptica e na transmissão via
satélite. O PPP fornece transporte em links ATM, Frame Relay, ISDN e ópticos. Em
redes modernas, a segurança é uma grande preocupação. O PPP permite autenticar
conexões usando o Protocolo de autenticação de senha (PAP, Password Authentication
Protocol ) ou o mais eficiente Protocolo avançado de autenticação de reconhecimento
(CHAP, Challenge Handshake Authentication Protocol).
417
Padrões de comunicação serial
Todas as comunicações de longa distância e a maioria das redes de computadores usa
conexões seriais, porque o custo do cabo e as dificuldades de sincronização tornam as
conexões paralelas impraticáveis. A vantagem mais significativa é uma fiação mais
simples. Além disso, os cabos seriais podem ser mais longos que os cabos paralelos,
porque há muito menos interação (linha cruzada) entre os condutores no cabo. Neste
material, restringiremos nossa consideração quanto à comunicação serial à conexão de
redes locais com WANs.
418
Os dados são encapsulados pelo protocolo de comunicação utilizado pelo roteador de
envio. O quadro encapsulado é enviado por um meio físico para a WAN. Há várias formas
de atravessar a WAN, mas o roteador de recepção usa o mesmo protocolo de
comunicação para desencapsular o quadro quando ele chega.
RS-232 – grande parte das portas seriais em computadores pessoais é compatível com
os padrões RS-‐‐232C ou RS-‐‐422 e RS-‐‐423. São usados conectores de 9 e de 25 pinos.
Uma porta serial é uma interface de finalidade geral que pode ser usada por
praticamente qualquer tipo de dispositivo, inclusive modems, mouses e impressoras.
Muitos dispositivos de rede utilizam conectores RJ-‐‐45 que também são compatíveis
com o padrão RS-‐‐232. A figura mostra dois exemplos de conector RS-‐‐232.
419
HSSI – Uma High-‐‐Speed Serial Interface (HSSI) suporta taxas
de transmissão de até 52 Mb/s. Os engenheiros usam HSSI
para conectar roteadores em redes locais a WANs em linhas
de alta velocidade, como linhas T3. Eles também usam HSSI
para fornecer conectividade de alta velocidade entre redes locais, usando Token Ring
ou Ethernet. HSSI é uma interface DTE/DCE desenvolvida pela Cisco.
O que é PPP?
420
O PPP suporta a autenticação PAP e CHAP. Este recurso será explicado e
praticado em uma seção posterior.
PPP contém três componentes principais:
ARQUITETURA PPP
Uma arquitetura de camadas é um modelo lógico, design ou plano que auxilia na
comunicação entre camadas de interconexão. A figura mapeia a arquitetura de
camadas do PPP em relação ao modelo Open System Interconnection (OSI). PPP e OSI
têm a mesma camada física, mas PPP distribui as funções de LCP e NCP de maneira
diferente.
Serial assíncrona
Serial síncrona
HSSI
ISDN
O PPP funciona em qualquer interface DTE/DCE (RS-‐‐232-‐‐C, RS-‐‐422, RS-‐‐423 ou V.35). O
único requisito absoluto imposto pelo PPP é um circuito bidirecional, dedicado ou
comutado, capaz de funcionar em modos seriais de bits assíncronos ou síncronos,
transparentes para quadros de camada de enlace PPP. O PPP não impõe nenhuma
421
restrição quanto à taxa de transmissão que não seja a imposta pela interface DTE/DCE
em particular sendo utilizada.
Grande parte do trabalho feito pelo PPP acontece nas camadas de enlace e de rede pelo
LCP e pelos NCPs. O LCP configura a conexão PPP e seus parâmetros, os NCPs lidam com
configurações de protocolo da camada superior e o LCP encerra a conexão PPP.
O LCP é a parte funcional real do PPP. O LCP fica acima da camada física e tem uma
função de estabelecer, configurar e testar a conexão de enlace. O LCP estabelece o link
ponto-‐‐a-‐‐ponto. O LCP também negocia e configura opções de controle no vínculo
WAN, que são tratadas pelo NCPs.
422
Protocol), e o IPX utiliza o Protocolo de controle Novell IPX (IPXCP, IPX Control
Protocol).
O link continua configurado para comunicação até que os quadros LCP ou NCP
explícitos fechem o link ou até que ocorra algum evento externo (por exemplo, um
temporizador de inatividade expira ou um usuário intervém). O LCP pode encerrar o
link a qualquer momento. Isso costuma ser feito quando um dos roteadores solicita o
encerramento, mas pode acontecer por conta de um evento físico, como a perda de
uma operadora ou a expiração de um temporizador de período inativo.
423
COMANDOS DE CONFIGURAÇÃO PPP
Antes de você efetivamente configurar o PPP em uma interface serial, observaremos os
comandos e suas sintaxes. Esta série de exemplos mostra como configurar o PPP e
algumas das opções.
Para definir o PPP como o método de encapsulamento utilizado por uma interface
serial ou ISDN, utilize o comando de configuração da interface encapsulation ppp. O
seguinte exemplo habilita o encapsulamento PPP na interface serial 0/0/0:
R3#configure terminal
O comando encapsulation ppp não tem nenhum argumento, mas você deve primeiro
configurar o roteador com um protocolo de roteamento IP para utilizar o
encapsulamento PPP. Você deve se lembrar de que, se não configurar o PPP em um
roteador Cisco, o encapsulamento padrão das interfaces seriais é HDLC.
Exemplo 2: compressão
424
Exemplo 3: monitoramento de qualidade do link
O LCP fornece uma fase de determinação da qualidade do link opcional. Nessa fase, o
LCP testa o link para determinar se sua qualidade é suficiente para utilizar protocolos
da Camada 3. O comando ppp quality percentual assegura que o link atende ao
requisito de qualidade determinado por você; do contrário, o link é fechado.
425
Utilize o comando show interfaces serial para verificar a configuração apropriada do
encapsulamento HDLC ou PPP. A saída do comando na figura mostra uma configuração
PPP.
Quando você configura o HDLC, a saída do comando show interfaces serial deve
mostrar "encapsulation HDLC". Ao configurar o PPP, você pode verificar seus estados
LCP e NCP.
AUTENTICAÇÃO PPP
O PPP define um LCP extensível que permite a negociação de um protocolo de
autenticação para autenticar seu túnel antes de permitir os protocolos da camada de
rede transmitirem pelo link. A RFC 1334 define dois protocolos para autenticação.
A fase de autenticação de uma sessão PPP é opcional. Se for utilizado, você poderá
autenticar o túnel depois que o LCP estabelecer o link e escolher o protocolo de
autenticação. Se ele for utilizado, a autenticação ocorrerá antes da configuração do
protocolo da camada de rede.
426
PAP não é um protocolo de autenticação forte. Utilizando PAP, você envia senhas pelo
link em texto sem formatação, não havendo nenhuma proteção contra reprodução ou
ataques de tentativa e erro repetidos. O nó remoto está no controle da freqüência e do
timing das tentativas de login.
Uma grande base instalada de aplicativos clientes não compatíveis com CHAP
Incompatibilidades entre implementações de fornecedores diferentes do CHAP
Situações em que uma senha em texto simples deve ser disponibilizada para
simular um login no host remoto
Protocolo avançado de autenticação de reconhecimento (CHAP)
Depois que a autenticação é estabelecida com PAP, ela basicamente pára de funcionar.
Isso deixa a rede vulnerável a ataques. Diferentemente do PAP, que só autentica uma
vez, o CHAP realiza desafios periódicos para verificar se o nó remoto ainda tem um valor
de senha válido.
Depois que a fase de estabelecimento do link PPP é concluída, o roteador local envia
uma mensagem de desafio para o nó remoto.
S0/0/1
S0/0/0
427
Na situação de configuração acima, repare que as senhas nos dois lados são as mesmas.
Isso é necessário para o funcionamento da autenticação no PPP.
Outro ponto, é que o username criado de um lado precisa ser exatamente igual ao sent-
‐‐username no lado oposto. Neste caso, não existe a necessidade de um roteador enviar
exatamente o seu hostname para o vizinho. Qualquer parâmetro pode ser enviado,
desde que este mesmo nome esteja criado como usuário no outro roteador.
S0/0/1
S0/0/0
No caso do CHAP, os roteadores enviam seus próprios hostnames ao vizinho. Por este
motivo cada um precisa ter um usuário criado que corresponda a este nome enviado.
Para encerrarmos o assunto sobre o PPP, tenha em mente que uma grande preocupação
da Cisco é que os profissionais certificados possuam habilidade na interligação de seus
equipamentos com os de outros fabricantes, evitando contratempos que poderiam
refletir negativamente na imagem dos produtos dela. Por este motivo o foco no PPP vem
sendo renovado a cada versão do CCNA.
428