Apostila CCNA 200 301 v1 PDF

CCNA R&S
200-301
1
Capítulo 1 – Fundamentos de redes
MODELOS EM CAMADAS
2
O MODELO OSI
A partir do início dos anos 80, um conjunto de circunstâncias, posteriormente

chamado de downsizing, começou a trazer para dentro das empresas os
novos computadores que surgiam na época com a promessa de dividir com os
mainframes (computadores de grande porte) as tarefas de processamento
informatizado crescentes nas empresas.
Esses novos computadores eram bem menores do que os mainframes e traziam

consigo a vantagem de serem distribuídos pelos ambientes corporativos ao invés de
concentrados no CPD.
Seu poder de processamento ainda era bem inferior ao dos computadores de grande
porte da época, mas sua versatilidade aliada à escalibilidade proporcionada pelos
modelos desktop trouxeram uma nova era na informatização dos trabalhos dentro das
empresas.
Rapidamente se espalharam e assumiram porções significativas das atividades

principais das empresas. Rotinas relacionadas à folha de pagamento, contabilidade,
registros e controles de processos internos foram então transferidos para os novas
máquinas, chamadas de Personal Computers (PC).
Devido ao fato das informações serem totalmente intern relacionadas, logo surgiu
a necessidade de unir o resultado do processamento das pequenas máquinas entre si
e também com o computador de grande porte.
A comunicação entre os computadores PC passou a ser então objeto de estudo e

desejo por parte de todos que faziam uso desta ferramenta. E este grupo crescia muito a
cada dia.
Surgiram soluções arrojadas e caras para as primeiras redes entre os PC´s; e algumas
empresas na época até conseguiram alavancar seu desenvolvimento oferecendo este tipo
de solução, além do comércio e importação dos pequenos computadores.
3
A presença dos computadores PC continuou a crescer dentro das empresas, devido ao
seu baixo custo se comparado ao grande porte e também por um outro fato ocorrido
na época, que foi a perda de controle por parte da IBM que conduziu a produção do
primeiros PC´s tratados inclusive como os IBMn PC. Como não ouve um patenteamento
do produto, por uma série de circunstâncias comerciais, outras empresas começaram a
produzir os cópias do produto da IBM. Essa produção cresceu muito rápido e
ultrapassou o produto original rapidamente. E esse fato também derrubou os preços
destas máquinas acelerando ainda mais sua entrada nas empresas.
As soluções apresentadas na época para interligação dos PC´s foram bem recebidas
pelo mercado, pois solucionavam o problema crônico das atualizações de dados. Já no
início da nova onda dos PC´s, era necessário gerar cópias de tudo o que era introduzido
no equipamento para agrupar ao produto de outros computadores. Se por um lado
eram úteis descentralizando o processamento dos dados, para aproveitar seu trabalho
era necessário integrar tudo num outro equipamento. Este centralizador poderia até
mesmo ser um mainframe ou mesmo outro PC que manteria uma centralização do que
era produzido nos outros equipamentos espalhados pela empresa. Começava a surgir
ali, o conceito dos primeiros servidores de banco de dados e outras informações.
Após coletar o trabalho de cada máquina com mídias utilizadas na época, tais como
disquetes e fitas, era necessário juntar tudo para gerar um produto
final. Normalmente, enfrentavan se problemas de atualização das informações, pois
qualquer input de dados feito nas maquinas e não passado ao centralizador, gerava
problemas de atualização nas bases de dados. Mesmo sincronizando as coletas
por horários, nunca se podia dizer que a base de dados central estava totalmente
atualizada.
Dessa forma, qualquer solução que pudesse interligar os computadores PC era bem
vinda. E o que surgiu na época foram as soluções onde o fabricante ofertava desde a
placa de rede, passando por conectores e cabos, softwares e drivers. Tudo compunha
um único pacote, proprietário da solução. E não existia nenhum tipo de
interoperabilidade entre os fabricantes dessas soluções.
4
Ao comprar a rede de um fabricante, o cliente ficava preso a esse fabricante, pois tudo
que era necessário para ampliação da rede precisava vir dali.
Fica claro que essa situação trouxe problemas para quem precisava de uma rede na
época. Basta lembrarmos que os computadores PC avançavam e ocupavam cada mais
espaço nas empresas. Dessa forma, interligán los em rede se tornava
algo imprescindível naquele momento.
A falta de possibilidade de integração entre componentes de diversos fabricantes na

mesma rede, tornou os preços das soluções muito altos, criando dificuldades mesmo para
empresas que já haviam adquirido uma grande quantidade de computadores.
E os fabricantes das soluções para redes de PC´s também se preocupavam com o

aumento da concorrência nesse mercado e os altos investimentos que já despontavam
mostrando ser impossível antecipar quem conseguiria se manter na preferência dos
consumidores em curto, médio e longo prazo.
Neste cenário de incertezas e temor comercial, a ISO, uma das principais organizações
internacionais atuante em desenvolvimento e publicação de padronizações
tecnológicas, apresentou ao mundo um modelo em camadas que descrevia em sete
módulos todo o processo de comunicação entre dois dispositivos em uma rede.
O modelo proposto rapidamente se tornou a maior referência em produção de

soluções, seja em hardware ou software para as redes de dados que atingiram um
crescimento exponencial após seu surgimento.
Tornoun s bastante claro para o mundo tecnológico que o fim das

soluções proprietárias havia chegado. O chamado Modelo OSI dividia a comunicação
entre dois dispositivos em 7 camadas, sendo que cada uma dessas camadas traz a
descrição completa de todos os procedimentos relacionados áquela fase da da
comunicação.
Observe o nome de cada uma das camadas na próxima figura.
5
BENEFÍCIOS DO MODELO OSI
Na parte mais alta encontra-‐‐se a parte lógica das comunicações, como aplicações e
protocolos e nas camadas mais baixas todo o conjunto de hardware envolvido no
processo.
Como cada fase da comunicação foi descrita nas camadas, podemos destacar facilmente
alguns benefícios trazidos por este modelo:
1) Aceleração do desenvolvimento das tecnologias de comunicação em redes – Isto

ocorreu porque agora os fabricantes poderiam concentrar seus investimentos
em camadas específicas, sem se preocupar com outras fases de processo de
comunicação. De uma certa forma, o modelo OSI “une” os fabricantes em torno
de um objetivo comum, criando uma sinergia ao invés da separação anterior a
ele.
2) Facilidade no ensino e aprendizado das novas tecnologias – A aceitação de
qualquer tecnologia sempre esteve associada ao quão popular ela pode se
tornar. Neste contexto, qualquer processo de comunicação que fosse eficiente
6
e pudesse ser facilmente compreendido tem seu caminho aberto para o
sucesso.
3) Interoperabilidade – Este talvez tenha sido o fruto maior do modelo OSI. Uma
vez que cada fabricante desenvolve seus produtos tendo como referência as
descrições do modelo em camadas, todos se tornam compatíveis. É claro que as
diferenças sempre existiram e existirão, principalmente devido ao nível dos
investimentos de cada produtor. Os maiores, agregavam outras qualidades a
seus produtos além do que estava descrito como base pela referência. Os
menores, por sua vez, apenas atendiam as referências, o que já os tornava
apropriados e compatíveis para serem utilizados pelo mercado.
Atualmente, todo treinamento onde exista a necessidade de uma formação profissional

para atuação em redes de dados, em sua porção fundamental traz conceitos
relacionados ao modelo OSI. É tratado como o fundamento das redes. Quando utilizados
em treinamentos voltados para determinadas certificações de fabricantes, os conceitos
costumam ser mais “tendenciosos” por determinadas camadas onde está mais presente
o produto daquele fabricante. Podemos destacar aqui, por exemplo, o caso da
certificação CCNA. A Cisco, apesar de atualmente possuir produtos que se relacionam a
todas as camadas do modelo OSI, tem como base de seu surgimento, roteadores e
switches. Por este motivo, um programa de certificação que tem como objetivo formar
profissionais desde os fundamentos das redes, naturalmente tem seu foco voltado para
algumas camadas mais específicas.
Aqui, traremos um breve conteúdo sobre cada uma das camadas, que deve ser bastante
considerado se a obtenção da certificação CCNA for um dos maiores objetivos:
7 – CAMADA DE APLICAÇÃO:
Esta é a camada mais alta do Modelo e mais próxima do ser humano, operante do
sistema. Aqui residem os controles sobre os serviços mais básicos de comunicações
através de software. Os bancos de dados, os browsers, as aplicações específicas para
comunicações via e-‐‐mails ou outros. Nomes muito conhecidos nos ambientes de redes,
tais como FTP, Telnet, SMTP, SNMP são considerados aplicações completas e
7
fazem parte desta camada. Costuma-‐‐se ainda, separar as aplicações por funcionalidade
em uma rede. Os aplicativos diretos seriam aqueles cuja existência está relacionada
exclusivamente a uma rede de dados. Não teriam utilidade alguma se o computador
onde residem não possuisse uma conexão a uma rede. Neste momento, te desafiamos
um pouco a pensar e escrever abaixo o nome de softwares que se encaixam como
aplicativos diretos de rede. Pense em ao menos 3 deles:
a)
b)
c)
Semelhantemente, são citados também na camada de aplicação, softwares cuja

funcionalidade principal não depende da existência de um rede no computador onde
residem. Esses são chamados de aplicativos indiretos de rede. Consegue lembrar de
alguns? Escreve 3 deles abaixo:
a)
b)
c)
6 – CAMADA DE APRESENTAÇÃO
Esta camada é responsável pela compatibilização entre os formatos dos dados. Tudo o
que envolve a sintaxe das informações está relacionada a esta camada. Existem 3 termos
muito fortes aqui que são a Criptografia, Compactação e Sintaxe dos dados.
O formato que uma aplicação atribui a um arquivo, bem como os formatos das
informações existentes dentro dos arquivos está descrita e documentada nesta camada.
Em outros modelos de referência, é comum que esta camada esteja totalmente
integrada a camda de aplicações, pois suas tarefas são muito próximas. Como um
exemplo prático de dificuldades envolvendo esta camada, podemos citar o exemplo de
um arquivo gerado numa arquitetura de computadores diferente do ambiente do PC.
Ao tentarmos interpretá-‐‐lo em um computador PC, teremos diferenças de códigos
originais de formato do arquivo que não serão interpretadas no
8
PC. Aqui estamos tratando de diferenças, por exemplo entre os formatos ASCII e EBCDIC,
que estão relacionados à base de formação de arquivos em diferentes arquiteturas de
computadores.
5 – CAMADA DE SESSÃO
Nesta camada, os protocolos tratam do controle das sessões que são estabelecidas,
mantidas e terminadas entre as aplicações.
Nas comunicações que ocorrem entre os aplicativos, existem os controles relacionados

as “conversas” entre eles.
Podemos destacar os principais serviços prestados pela camada de sessão:
• Estabelecimento de sessão entre duas aplicações ;

• Liberação da sessão entre duas aplicações ;
• Viabilizar a negociação de parâmetros entre as aplicações que se comunicam;
• Controle da troca de dados entre as aplicações, através de modelos de
sinalização específicos ;
• Controle de fluxo simplex, half-‐‐duplex ou full duplex, de acordo com as
solicitações e negociações efetuadas pelas aplicações.
• Sincronismo da comunicação;
• Facilidade para envio de informação urgente, com prioridade sobre as demais
seqüências de dados;
Um exemplo de protocolo relacionado a esta camada chama-‐‐se RPC (Remote

Procedure Call)
Mas vale lembrar que relacionado a certificação CCNA, apenas a funcionalidade básica
desta camada, que se resume ao controle das sessões entra aplicações é o mais
importante.
4 – CAMADA DE TRANSPORTE
Esta camada possui uma relevância maior que as superiores a ela no que diz respeito a
preparação para o CCNA.
9
Aqui são tratados os processos que envolvem a qualidade na comunicação e alguns
controles até mesmo relacionados à segurança das aplicações.
Basicamente, é necessário destacar 2 modelos de comunicação relacionados a esta

camada:
a) Comunicação orientada à conexão (protocolo TCP) – Neste modelo, toda a troca

de informações entre 2 aplicações acontece após o estabelecimento de uma
conexão lógica. O decorrer dessa comunicação e também o seu término estão
completamente relacionados aos controles estabelecidos por esta conexão
lógica. Numa comunicação orientada por conexão TCP, temos os seguintes
passos bem definidos:
Estabelecimento de conexão entre os 2 pontos de comunicação –
10
Observe que o ponto A, para iniciar a comunicação envia uma primeira sequencia de
dados. Algo como no início de uma conversa telefônica sendo estabelecida entre você e
um amigo. Neste caso, o sincronization inicial (SYN) seria semelhante a “Bom dia,
podemos conversar?”. Na sequência, seu amigo responderia demonstrando que
recebeu a mensagem (ACK) e enviando a própria mensagem: “Bom dia, sim podemos”
(SYN+ACK). E por fim, quando você comunicasse a ele que recebeu a resposta com um
simples “ok”, (ACK) teríamos ai um ambiente propício para uma troca de informações
mais longa descrita a seguir.
Transferência de dados controlada pela conexão já existente:
Observe que neste ponto começa a transmissão das informações para as quais a
conexão foi estabelecida. O volume de informações que deve ser enviado é longo e não
poderá ser transmitido em um único envio. Uma das funções do controle da conexão é
validar os limites de envio para cada conjunto de informações. O ponto A
11
envia uma quantidade de informações que julga adequada para ser recebida pelo ponto
B (Dados, na figura). Em termos técnicos, dizemos que isso corresponde ao tamanho de
uma janela de comunicações, que por sua vez é composta por um certo número de
segmentos. O ponto B, por sua vez, precisa receber estas informações, processá-‐‐las e
enviar um OK (ACK) para que o ponto A continua a transmitir. Apenas mediante a esta
confirmação de recebimento, o ponto A dará prosseguimento à transmissão.
Se pensarmos numa situação onde o ponto A tenha enviado uma janela contendo 5
segmentos, ele apenas enviará a sequência, que seria a proxima janela contendo os
segmentos seguintes (6 a 10) quando receber do ponto B a confirmação do que foi
enviado (ACK). Por motivos óbvios, a espera por esta confirmação não poderá ser
eterna. Ela tem seu tempo estabelecido também pelos parâmetros do protocolo TCP
para cada tipo de aplicação envolvida na comunicação. Se este tempo se esgotar, o
ponto A irá retransmitir as informações, reduzindo o tamanho da janela para 4
segmentos, por “julgar” que o destinatário pode não ter conseguido processar o volume
inicial de informações. Aqui temos 2 importantes processos da comunicação TCP, que
são a retransmissão e o controle de fluxo.
Uma outra possibilidade, seria que o ponto B enviasse um ACK de valor menor do que
o esperado pelo ponto A. Algo como ACK 5 ou ACK 4, demonstrando assim não ter
conseguido receber e processar todo o bloco de informações. Neste caso, teríamos
também uma situação de reenvio parcial da informação faltante ou ainda um reenvio
completo, com uma janela menor. É comum que o controle de fluxo estabelecido seja
chamado de “janelamento”.
O que estamos observando na verdade, nada mais é do que uma espécie de negociação
entre o ponto A e ponto B sobre o tamanho da janela de comunicação aceita por ambos.
Toda a comunicação é bidirecional, por isso, observe que a figura mostra também o
ponto B enviando dados e aguardando por ACK proveniente de A. Fato interessante
12
também, é que existem 2 negociações de tamanho de janela. A janela de
comunicação de A para B pode não ser a mesma do sentido inverso.
Ainda sobre o janelamento, vale destacar que ele pode ocorrer tanto para diminuir
como para aumentar o tamanho da janela de comunicação. Tudo dependerá do
produto das negociações que podem variar de acordo com a aplicação que está sendo
usada.
Se transportarmos todo o processo descrito acima para uma continuidade do exemplo

da conversa telefônica utilizada no estabelecimento da conexão, poderiámos imaginar
que nesta momento você começou a contar ao seu amigo o fato que motivou a ligação
telefônica. E que ao falar, espera receber dele em momentos diversos qualquer
confirmação de entendimento do que está dizendo. Algo como um “sim”, “ok” ou
qualquer comentário como “prossiga” e “entendi”. E durante o diálogo, em algum
momento, ele também falará algo a você, normalmente relacionado à mensagem que
está sendo passada. E você precisará também mostrar compreensão da mensagem
recebida.
Se estendermos o exemplo, imaginando que seu amigo fosse um estrangeiro que está
aprendendo a falar português há pouco tempo, seria necessário que você controlasse
mais a transmissão das informações falando mais devagar e repetindo algumas vezes
certas frases para que ele compreendesse. Pense e responda...Numa situação como
esta, a que partes do processo TCP, sua conversa estaria relacionada?
R:
Finalizando uma conexão entre os pontos A e B:
13
Figura na próxima página
Após a transmissão de toda a mensagem, o ponto A deseja encerrar a conexão. Ele então
envia ao ponto B uma mensagem especial do TCP conhecida como FIN (Finalization). Ele
aguarda pelo ACK de confirmação desta mensagem proveniente do ponto B. No
momento que esta mensagem ACK chega, o ponto A considera que metade da conexão
está encerrada (no caso a parte A na comunicação). Na sequência, o ponto B também
deve enviar seu sinal de FIN e receber do ponto A a confirmação (ACK). Então a
comunicação estará finalizada.
Voltando ao exemplo da ligação telefônica, você se despede do seu amigo mas não
desfaz a ligação imediatamente a isso. Você aguarda uma resposta dele e também suas
considerações finais sobre a conversa, que pode ser um simples “até logo”. Então você
confirma a ele que ouviu o que foi dito e então encerram a ligação.
14
O exemplo da ligação telefônica neste processo do TCP, tem por objetivo demonstrar
que na verdade a tecnologia é construída sob aspectos comuns da nossa vida. Em outras
palavras, em diversos aspectos você perceberá que a comunicação em redes procurar
reproduzir entre máquinas, a comunicação que existe entre as pessoas...
a) Comunicação não orientada à conexão (connectionless) UDP –
Neste formato de comunicação, as mensagens são enviadas entre os pontos A e

B, sem que exista uma interdependência entre elas. Existem considerações
importantes a respeito dos tempos de cada fase nestas comunicações. Metade
do RTT corresponde a 50% do tempo considerado entre o envio e o retorno da
informação no que diz respeito apenas ao trajeto na rede. O SPT (Server
processing time) corresponde ao tempo de processamento utilizado pela
máquina que recebe o pedido e será somado ao RTT (round time trip) para
compor o tempo completo entre o envio da requisição e o recebimento da
resposta. Esta comunicação também são bidirecionais e os processos se repetem
em ambos os sentidos. Considerações importantes sobre este modelo UDP:
15
• Não possui nenhum tipo de confirmação de entrega, nem retransmissão
e nem controle de fluxo.
• Toda a confiabilidade do processo precisa ser fornecida pela aplicação
envolvida nas comunicações, pois não há suporte no protocolo UDP.
• Normalmente as aplicações que utilizam UDP realizam tarefas onde a
perda de alguns segmentos não destruirá a comunicação.
• O UDP proporciona maior rapidez na comunicação, pois não possui os
mecanismos de controle existentes no TCP.
• A comunicação connectionless (via UDP) recebe um qualificação de
handshake duplo, ao contrário do modelo TCP que é tratado como
Handshake triplo.
A respeito deste último ítem, pense e responda associando as fases do TCP e do
UDP aos seus respectivos Handshakes:
Handshake triplo TCP –
Handshake duplo UDP -‐‐
Ainda sobre a camada de transporte do modelo OSI, é importante salientar que

durante o processo de comunicação exercido pelas aplicações existe a
possibilidade de diversas sessões de aplicações diferentes serem estabelecidas,
tendo como origem o mesmo host. Esta capacidade, que não existia na época
dos primeiros computadores PC, se tornou possível graças aos avanços dos
sistemas operacionais e também da pilha de protocolos TCP/IP que trouxe
melhorias no recursos computacionais dos protocolos TCP e UDP.
Durante os estabelecimento das sessões entre as aplicações, além dos endereços

de origem e destino envolvidos, na camada de transporte existem
16
números lógicos chamados de sockets, popularmente referidos como portas que
permitem a diversidade de sessões de comunicação. Na figuras abaixo, você
observa um exemplo das estruturas dos segmentos TCP e UDP, pertencentes à
camada de transporte. Note como a estrutura do UDP é bem mais “enxuta” em
termos de campos, por não possuir os mesmos mecanismos de verificação
presentes no TCP.
Note também, que ambas as estruturas, possuem campos de 2 bytes (16 bits)
para identificação de source port e destination port.
UDP Header
Estes campos, por comportarem um espaço de até 16 bits, podem receber números até
o limite de 65536 (216). Normalmente, estas sequências são divididas da seguinte forma:
17
Portas de 0 a 1023 – As mais conhecidas, associadas a serviços e protocolos da pilha
TCP/IP, além de serviços mais integrados aos sistemas operacionais.
Portas acima de 1023 – Utilizadas pelos sistemas operacionais como portas de origem
no estabelecimento das sessões de comunicação. Além disso, as portas de valores mais
altos, por vezes são ligadas a aplicações específicas. Por exemplo, o Packet Tracer tem
associado a ele a porta 38000 para estabelecer sessões multiuser entre máquinas
através de uma rede. Os games que funcionam em rede também possuem suas portas
específicas para comunicação.
Todas estas portas por vezes, precisam ser liberadas ou bloqueadas num firewall por
exemplo para que uma comunicação em rede seja permitida. Em outras palavras, estas
portas também estão associadas à segurança do ambiente de rede.
As principais portas citadas na certificação CCNA são as seguintes:
FTP TELNET DNS HTTP SMTP SNMP HTTPS DHCP TFTP

TCP 21, 20 23 53 80 25 161 443
UDP 53 67,68 69
As portas altas, acima de 5000 por exemplo, costumam passar por atualizações ao serem
vinculadas a novas aplicações, games, etc. No link abaixo, é possível acompanhar a lista
completa das portas, atualizada:
http://www.iana.org/assignments/service-‐‐names-‐‐port-‐‐numbers/service-‐‐names-‐‐port-‐‐
numbers.xhtml
3 – CAMADA DE REDE
A camada de rede está fortemente associada ao mundo Cisco. Nesta camada são
tratados os processos relacionados a rotas, escolha e determinação de caminhos para
os pacotes. Também nesta camada estão os endereços lógicos (ip) e os protocolos de
roteamento, além do roteador.
Normalmente, a camada de rede tem um papel vital quando as informações precisam

fluir de uma rede para a outra, quando origem e destino encontram-‐‐se em redes
18
diferentes esta camada faz uso de tabelas especiais (chamadas de tabelas de
roteamento) para encaminhar as informações a seus destinos. Na camada de rede, as
informações são referenciadas como pacotes ou também datagramas. Todas as
informações suportadas por esta camada não se utilizam de processos de confirmação
de entrega. Portanto, os protocolos existentes aqui são referidos como protocolos não
confiáveis. Mas isso apenas pelo fato de não confirmarem a entrega das informações
como acontece na camada de transporte com o TCP.
A tabela de roteamento, posteriormente detalhada neste material, mostrará as redes

acessíveis a um dispositivo e seus respectivos caminhos, representados por interfaces
do equipamento. Podemos encontrar tabelas de roteamento em hosts, roteadores,
switches L3 e outros equipamentos que possuam funções de encaminhamento de
pacotes entre redes.
Alguns protocolos referidos na camada de rede são:
IP – internet protocol – protocolo que recebe os segmentos vindos da camada de

transporte e os encapsula em datagramas, atribuindo informações como endereço
lógico de origem e destino.
ICMP – Internet control message protocol – Protocolo ligado ao IP e com funções de

fornecer relatórios de erros encontrados no processo de comunicação. Computadores
que utilizam protocolo IP em uma rede, podem mudar seu comportamento em função
de mensagens ICMP recebidas. Gateways de rede podem enviar mensagens ICMP
relatando erros de comunicação. Existem 2 importantes ferramentas básicas de testes
em redes, relacionadas ao ICMP, que são o PING e o traceroute. Ambos testam
conectividade entre pontos da rede.
Você conseguiria destacar as diferenças entre o PING e o TRACEROUTE? (Ou tracert, no

sistema operacional do PC)?
19
ARP – Address Resolution Protocol – Este protocolo é utilizado na comunicação em rede
para encontrar um endereço físico (MAC address), a partir do conhecimento do
endereço IP do host de destino.
Abaixo esá um exemplo visual de um cabeçalho IP, como chamamos a estrutura que
comporta as informações da camada de rede.
Existem campos relacionados a QoS, endereços de origem e destino, verficação de erros,

fragmentação e diversas outras funcionalidades. Nosso foco neste momento se volta
para o campo que está grifado e possui uma certa relevância para a compreensão do
movimento dos datagramas através das redes.
O TTL (Time to Live) é um campo de 8 bits que começa a trafegar na rede com seu maior
valor (255) e vai sendo decrementado por cada nó de rede que atravessa até ser
descartado quando atinge o valor 0. Isto constitui uma importante ferramenta para
evitar que pacotes “perdidos” em rede, formem loops e atrapalhem o funcionamento
da rede.
20
Observe também, a presença dos campos source address e destination address. Eles
possuem 32 bits (4 bytes) de comprimento e abrigam os endereços lógicos de origem e
de destino de cada pacote. Posteriormente neste material traremos mais detalhes a
respeito dos endereços e sua particularidades.
Para os objetivos da certificação CCNA, os outros campos, além do TTL e dos endereços
de origem e destino não possuem relevância. Mas isso não deve impedir que você
realize sua pesquisa e aprenda também sobre a funcionalidade dos outros campos,
afinal em algum momento esse conhecimento poderá lhe ajudar nas tarefas práticas do
dia-‐‐a-‐‐diia em conectividade.
2 – CAMADA DE ENLACE
A camada de enlace aparece como a interface principal entre os meios físicos e a parte
lógica da rede. Ela é responsável por receber os pacotes da camada de rede e promover
um novo encapsulamento dos mesmos em uma estrutura chamada quadro (frame) que
por sua vez, possui uma ligação direta com a tecnologia física utilizada na transmissão.
No passado, a camada de enlace foi dividida em 2 partes:
21
 LLC (Controle de link lógico)
 MAC (Controle de acesso ao meio)
A primeira subcamada, conhecida como protocolo IEEE 802.2 foi desenvolvida e

adicionada ao modelo OSI com objetivo de melhorar a passagem das informações que
vinham da camada de rede e eventualmente encontravam dificuldades de
comunicação com as diversas tecnologias físicas existentes na camada de enlace.
Mesmo o padrão Ethernet, em alguns casos, apresentava variações que justificavam a
existência do LLC.
Por outro lado, a subcamada MAC, traz consigo a ligação mais direta com tecnologias
físicas, tais como ethernet e suas variações. Esta subcamada também está relacionada ao
endereço físico dos dispositivos de rede, conhecido como MAC address.
Um mecanismo de correção de erros existente no Frame Ethernet, atribui alguma

qualidade a esta camada para que os dados passem por alguma validação antes e após
sua passagem pelos meios físicos.
A topologia da rede também é um outro aspecto ligado à camada de enlace.

Principalmente pelo fato de que uma topologia determina como são acessados os
meios físicos para transporte das informações. E tal função passa pelas atribuições da
camada de enlace também.
Algumas informações a respeito do endereçamento físico existente na camada de

enlace, chamado de MACn ADDRESS:
 Sistema de endereçamento com base hexadecimal, utilizando simbolos

numéricos de 0 a 9 e letras de A a F.
 Endereços contínuos (sequenciais)
 Endereços exclusivos (únicos, não pode ocorrer repetição)
 Endereços não hierárquicos
 Endereços de 48 bits
 Possuem divisão em 2 blocos de 24 bits cada
o A301F0_6B56C8
22
OUI <-‐‐> Fornecedor ou modelo
OUI representa o código do fabricante do hardware e a porção final, o endereço
individual deste hardware. Dessa forma podemos afirmar que 2 dispositivos que
possuem os primeiros 6 caracteres (ou 24 bits) em comum, pertencem ao
mesmo fabricante.
Cada caracter em hexadecimal, existente num endereço MAC possui 4 bits. Um

endereço é composto de 12 caracteres, formando assim 48 bits. Visualmente, podemos
encontrar um endereço MAC expresso das seguintes maneiras:
 A301.F06B.56C8 – Normalmente encontrado em dispositivos de rede, tais

como switches, roteadores, etc.
 A3--‐01--‐F0--‐6B--‐56--‐C8 – Normalmente essa costuma ser a forma expressa nos PC´s
e hosts de rede.
O endereço MAC funciona como uma identidade para que um dispositivo possa acessar
uma rede. Ele é gravado num chip do dispositivo (placa de rede, por exemplo) e está
presente na composição do encapsulamento das informações, exatamente na camada
de enlace.
Para que uma informação possa ser encaminhada de uma interface para outra dentro
da rede, o que chamamos de comutação, são sempre necessárias a presença dos
endereços MAC de origem e destino. As comutações ocorrem nos switches e também
nos roteadores.
Na camada de enlace, como dito anteriormente, estão expressas as informações sobre

a tecnologia de rede que está sendo utilizada para uma transmissão. Na grande maioria
das vezes, nos tempos atuais, utilizamos a tecnologia Ethernet. Ela surgiu no passado a
partir de experiências realizadas por cientistas como Robert Metcalf, que
posteriormente envolveu um consórcio de grandes empresas chamado DIX (Digital, Intel
e Xerox) que colaborou fortemente para o desenvolvimento dos padrões que utilizamos
hoje. Posteriormente, a tecnologia ethernet tornou um padrão reconhecido pelo IEEE
sob o código 802.3 que a identifica até os dias atuais como uma tecnologia aberta,
podendo ser alvo no desenvolvimento de produtos por qualquer empresa que tenha
interesse.
23
A estrutura de dados da Ethernet, é representada pelo quadro Ethernet. Observe
abaixo:
Preâmbulo: Neste campo, sequências de “0” e “1” carregam informações sobre o

início do quadro e algumas de suas características. Através deste campo, uma interface
física identifica se um quadro está chegando ou saindo por ali. Um dos 8 bytes deste
campo é chamado de SOF (Start of Frame) e ele promove a sincronização de recepção
entre os hosts da Lan.
Endereço de destino: Campo de 6 bytes (48 bits) que comporta o endereço MAC da
estação de destino do quadro.
Endereço de origem: Campo de 6 bytes (48 bits) que comporta o endereço MAC da
estação de origem do quadro.
Type: Campo de 2 bytes onde são indicados, além da quantidade de dados

transportados pelo quadro, também o tipo de protocolo de nível superior envolvido na
transmissão.
Dados: Contém os dados a serem passados para a próxima camada. Seu tamanho
deve variar entre 46 e 1500 bytes. Se o quadro como um todo tiver menos de 64 bytes,
somados do endereço de destino até o FCS, este campo de dados pode sofrer um
preenchimento extra para que seja possível sua transmissão. A tarefa
deste preenchimento é parte integrante da tecnologia. Mas apenas ocorre quando o
quadro cumpre os padrões tecnológicos. Determinados erros podem fazer com que o
quadro seja encaminhado com tamanho menor do que esses 64 bytes descritos. Isto
tornará o quadro um elemento de descarte chamado “Runt”. Esse descarte pode ser
feito por um switch por exemplo. Uma situação prática de quando isso ocorre, diz
respeito à
24
restos de colisão em redes onde ainda existam hubs presentes, ou mesmo de placas de
rede de má qualidade.
FCS: Frame Check Sequence, contém o CRC (Cyclic Redundancy Checking). O CRC é o
resultado de um cálculo feito pelo equipamento de origem da informação e colocado
neste campo. A cada passagem do quadro por outros dispositivos, é feita a conferência
deste cálculo e caso existam diferenças, fica claro que houve perda ou alteração das
informações transportadas. Esta situação, chamado de quadros com erros de CRC, pode
normalmente ser filtrada nas redes e utilizada como base para identificação de
problemas nas transmissões.
1 – CAMADA FÍSICA
A camada Física OSI fornece os requisitos para transportar pelo meio físico de rede os
bits que formam o quadro da camada de Enlace de Dados. Essa camada aceita um
quadro completo da camada de Enlace de Dados e o codifica como uma série de sinais
que serão transmitidos para o meio físico local. Os bits codificados que formam um
quadro são recebidos por um dispositivo final ou por um dispositivo intermediário.
A entrega de quadros pelo meio físico local exige os seguintes elementos da camada
Física:
 Meio físico e conectores ligados

 Representação de bits no meio físico
 Codificação de dados e informações de controle
 Circuito transmissor e receptor nos dispositivos de rede
Nesse estágio do processo de comunicação, os dados do usuário terão sido

segmentados pela camada de Transporte, colocados em pacotes pela camada de Rede
e depois encapsulados como quadros pela camada de Enlace de Dados. O objetivo da
camada Física é criar o sinal elétrico, óptico ou microondas que representa os bits em
cada quadro. Esses sinais são enviados posteriormente para o meio físico um de cada
vez.
25
É também função da camada Física recuperar os sinais individuais do meio físico,
restaurá-‐‐los às suas representações de bit e enviar os bits para a camada de Enlace de
Dados como um quadro completo.
Resumidamente, As três funções fundamentais da Camada Física são:
 Os componentes físicos
 Codificação de dados
 Sinalização
Os elementos físicos são os dispositivos de hardware, meio físico e conectores que

transmitem e transportam os sinais para representar os bits.
Codificação é um método de converter um fluxo de bits de dados em um código

predefinido. Os códigos são grupos de bits utilizados para fornecer um
padrão previsível que possa ser reconhecido pelo remetente e pelo receptor. Usar
padrões previsíveis auxilia a diferenciar bits de dados de bits de controle e fornece uma
detecção melhor de erros no meio físico.
Além de criar códigos para os dados, os métodos de codificação na camada física

também podem fornecer códigos de controle, como identificar o início e o fim de um
quadro. O host de transmissão enviará os padrões específicos de bits ou um código
para identificar o início e o fim de um quadro.
A camada Física irá gerar os sinais elétricos, ópticos ou sem fio que representam o "1" e
"0" no meio físico. O método de representação de bits é chamado de método de
sinalização. Os padrões da camada Física devem definir que tipo de sinal representa o
"1" e o "0". Isso pode ser tão simples quanto uma alteração no nível de um sinal
elétrico ou de um pulso óptico ou um método de sinalização mais complexo.
MODELO TCP/IP
26
Além do modelo OSI, que serviu de referência para as redes locais, o modelo TCP/IP se
firmou como referência para as redes WAN. Uma das abordagens do CCNA é a relação
existente entre as camadas desses dois modelos.
Em outras palavras, as ocorrências de um modelo, encontram seus equivalentes em

quais camadas do outro modelo.
Veja uma relação nas figuras abaixo:
 As 3 camadas altas do modelo OSI se relacionam à camada de Aplicação do

TCP/IP.
 As camadas de transporte se equivalem.
 Rede de um lado e Internet do outro.
 Enlace e física realizam tarefas semelhantes a camada de acesso à rede no
TCP/IP.
27
Capítulo 2 – Endereçamento IPV4
28
ESTRUTURA DO ENDEREÇAMENTO IPV4
Cada dispositivo de uma rede deve ter uma definição exclusiva. Na camada de rede, os
pacotes de comunicação precisam ser identificados com os endereços de origem e de
destino dos dois sistemas finais. Com o IPv4, isso significa que cada pacote tem um
endereço de origem de 32 bits e um endereço de destino de 32 bits no cabeçalho da
Camada 3.
Esses endereços são usados na rede de dados como padrões binários. Dentro dos
dispositivos, a lógica digital é aplicada à sua interpretação. Para nós, na rede humana,
uma string de 32 bits é difícil de interpretar e ainda mais difícil de lembrar. Portanto,
representamos endereços IPv4 usando o formato decimal pontuada.
Padrões binários que representam endereços IPv4 e são expressos como decimais com
pontos, separando-‐‐se cada byte do padrão binário, chamado de octeto, com um ponto.
É chamado de octeto por que cada número decimal representa um byte ou 8 bits.
Por exemplo, o endereço: 10101100000100000000010000010100 é expresso no
formato decimal com pontos como: 172.16.4.20.
Tenha em mente que os dispositivos usam lógica binária. O formato decimal com
pontos é usado para facilitar para as pessoas o uso e a memorização de endereços.
Forma binaria
29
Octeto
Porção de Rede e Host

Para cada endereço IPv4, uma porção dos bits mais significativos representa o endereço
de rede. Na Camada 3, definimos umarede como grupo de hosts que têm padrões de
bits idênticos na porção de endereço de rede de seus endereços.
Embora todos os 32 bits definam o endereço do host, temos um número variável de bits
que são chamados de porção de host do endereço. O número de bits usados nessa
porção de host determina o número de hosts que podemos ter na rede.
Por exemplo, se precisamos ter pelo menos 200 hosts em determinada rede,
precisaremos usar bits suficientes na porção de host para poder representar pelo menos
200 combinações de bits distintas.
30
Para atribuir um endereço único a cada um dos 200 hosts, usaremos todo o último
octeto. Com 8 bits, pode-‐‐se conseguir um total de 256 combinações de bits diferentes.
Isso significa que os bits dos três primeiros octetos representariam a porção de rede.
Trataremos a questão dos cálculos de endereços com mais detalhes à frente.
QUESTÃO IMPORTANTE – CONVERSÃO BINÁRIO PARA DECIMAL
Para entender a operação de um dispositvo na rede, precisamos ver os endereços e

outros dados do modo que o dispositivo os vê n pela notação binária. Isso quer dizer
que precisamos ter alguma habilidade em conversão de binário para decimal. Dados
representados em binário podem representar muitas formas diferentes de dados para a
rede humana. Nessa consideração, vamos nos referir ao binário conforme
relacionado ao endereçamento IPv4. Isso quer dizer que olharemos para cada byte
(octeto) como número decimal no intervalo de 0 a 255.
Notação Posicional
Aprender a converter de binário para decimal exige endendimento da base
matemática de um sistema de numeração chamado notação posicional. Notação
posicional significa que um dígito representa valores diferentes dependendo da
posição que ocupa. Mais especificamente, o valor que o dígito representa é aquele
valor multiplicado pela potência da base, ou raiz, representada pela posição que o
dígito ocupa. Alguns exemplos vão ajudar a esclarecer como esse sistema funciona. Para
o número decimal 245, o valor que o 2 representa é 2*10^2 (2 vezes 10 na
potência 2). O 2 está no que costumamos chamar de posição das centenas. A notação
posicional se refere a essa posição como posição de base^2, porque a base, ou raiz, é 10
e a potência é 2.
Usando a notação posicional no sistema de numeração de base 10, 245 representa: 245
= (2 * 10^2) + (4 * 10^1) + (5 * 10^0) ou 245 = (2 * 100) + (4 * 10) + (5 * 1) .
31
No sistema de numeração binário a raiz é 2. Portanto, cada posição representa
potências de 2 crescentes. Nos números binários de 8 bits, as posições representam
estas quantidades:
2^7, 2^6, 2^5, 2^4, 2^3, 2^2, 2^1, 2^0

128, 64, 32, 16, 8, 4, 2, 1
O sistema de numeração de base 2 só tem dois dígitos: 0 e 1.

Quando interpretamos um byte como número decimal, temos a quantidade que a
posição representa se o dígito é 1 e não temos quantidade se o dígito é 0, como
mostrado no exemplo dos números acima.
1 1 1 1 1 1 1 1
128, 64, 32, 16, 8, 4, 2, 1
Um 1 em cada posição significa que acrescentamos o valor daquela posição ao total.

Essa é a adição quando há um 1 em cada posição de um octeto. O total é 255.
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255
Um 0 em cada posição indica que o valor para aquela posição não é acrescentado ao
total. Um 0 em cada posição dá um total de 0.
128, 64, 32, 16, 8, 4, 2, 1
0+0+0+0+0+0+0+0=0
32
Note na figura que uma combinação diferente de uns e zeros resultará em um valor
decimal diferente.
Veja na figura abaixo os passos para converter um endereço binário para um endereço
decimal.
33
No exemplo, o número binário: 10101100 00010000 00000100 00010100 é convertido
para:
172.16.4.20
Tenha em mente estes passos:

 Divida os 32 bits em 4 octetos.
 Converta cada octeto para decimal.
Acrescente um "ponto" entre cada decimal.
PRATICANDO CONVERSÕES DE BINÁRIO PARA DECIMAL
Um conjunto de exercícios será fornecido pelo instrutor para que você possa praticar
estas conversões,tanto do decimal para o binário como também ao contrário. Procure
fazer isso repetidamente, até adquirir prática que o permita fazer apenas
mentalmente, sem precisar utilizar tabelas ou anotações escritas. Isto abreviará seu
tempo de resposta para questões da certificação CCNA.
Conversão de Decimal para Binário
Não precisamos só ser capazes de converter de binário para decimal, mas também de
decimal para binário. Muitas vezes precisamos examinar um octeto individual de um
endereço apresentado em notação decimal com pontos. Isso acontece quando os bits de
rede e os bits de host dividem um octeto.
Como exemplo, se um host com o endereço 172.16.4.20 está usando 28 bits para o
endereço de rede, precisaríamos examinar o binário no último octeto para descobrir
que esse host está na rede 172.16.4.16. Esse processo de extrair o endereço de rede
do endereço de host será explicado mais adiante.
34
Valores de Endereço entre 0 e 255
Visto que nossa representação de endereços é limitada a valores decimais para um único
octeto, só examinaremos o processo de conversão de binário de 8 bits para os valores
decimais de 0 a 255.
Para começar o processo de conversão, começamos determinando se o número decimal

é igual a ou maior do que nosso maior valor decimal representado pelo bit mais
significativo. Na posição mais significativa, determinamos se o valor é igual a ou maior
do que 128. Se o valor for menor que 128, colocamos um 0 na posição 128 e passamos
para a posição 64. Se o valor na posição 128 for maior ou igual a 128, colocamos um 1
na posição 128 e subtraímos 128 do número que está sendo convertido. Daí,
comparamos o restante dessa operação com o próximo valor menor,
64. Continuamos esse processo para todas as posições de bit restantes.
Veja na figura um exemplo desses passos. Convertemos 172 para 10101100.
35
36
Observe abaixo um endereço convertido em binário por um processo paralelo, mas
bem semelhante ao fluxo anterior:
Abaixo mais uma demonstração gráfica para facilitar a compreensão das conversões:
37
TIPOS DE ENDEREÇOS NUMA REDE IPV4
Dentro do intervalo de endereço de cada rede IPv4, temos três tipos de endereço:
Endereço de Rede - O endereço de rede é um modo padrão de se referir a uma rede.
Por exemplo, poderíamos chamar a rede mostrada na figura como a "rede 10.0.0.0".
Esse é um modo muito mais conveniente e descritivo de se referir à rede do que usar
um termo como "a primeira rede". Todos os hosts na rede 10.0.0.0 terão os mesmos
bits de rede.
Endereço de broadcast -‐‐ Endereço especial usado para enviar dados a todos os hosts
da rede
Endereços de host -‐‐ Os endereços designados aos dispositivos finais da rede
38
Dentro do intervalo de endereços IPv4 de uma rede, o primeiro endereço é reservado
para o endereço de rede. Esse endereço possui o valor 0 para cada bit de host do
endereço.
O endereço de broadcast IPv4 é um endereço especial para cada rede, que permite
comunicação a todos os hosts naquela rede. Para enviar dados para todos os hosts em
uma rede, um host pode enviar um único pacote que é endereçado para o endereço de
broadcast da rede.
O endereço de broadcast usa o último endereço do intervalo da rede. Esse é o endereço

no qual os bits da porção de host são todos 1s. Para a rede 10.0.0.0 com 24 bits de rede,
o endereço de broadcast seria 10.0.0.255. Esse endereço também é chamado de
broadcast direcionado.
Endereços de Host ou Endereços Válidos
Como descrito anteriormente, todo dispositivo final precisa de um endereço único para
encaminhar um pacote para um host. Nos endereços IPv4, atribuímos os valores entre
o endereço de rede e o de broadcast para os dispositivos naquela rede.
Prefixos de Rede
Uma pergunta importante é: Como sabemos quantos bits representam a porção de rede
e quantos bits representam a porção de host? Quando expressamos um endereço de
rede IPv4, acrescentamos um tamanho de prefixo ao endereço de rede. O tamanho do
prefixo é o número de bits no endereço que nos dá a porção de rede. Por exemplo, em
172.16.4.0 /24, o /24 é o tamanho do prefixo -‐‐ ele nos diz que os primeiros 24 bits são
o endereço de rede. Isso deixa os 8 bits restantes, o último octeto, como porção de host.
Mais adiante neste capítulo, aprenderemos mais um pouco sobre outra entidade que é
usada para especificar a porção de rede de um endereço IPv4 para os dispositivos de
rede. É chamada de máscara de sub-‐‐rede. A máscara de sub-‐‐rede
39
consiste em 32 bits, exatamente como o endereço, e usa 1s e 0s para indicar que bits
do endereço são bits de rede e que bits são bits de host.
Nem sempre se designa um prefixo /24 às redes. Dependendo do número de hosts na

rede, o prefixo designado pode ser diferente. Ter um número de prefixo diferente muda
o intervalo de host (de endereços válidos) e o endereço de broadcast de cada rede.
CÁLCULO DE ENDEREÇOS DE REDE, HOSTS E BROADCAST

Neste momento, você talvez esteja se perguntando: Como calculamos esses
endereços? Esse processo de cálculo exige que olhemos esses endereços como binários.
No exemplo de divisões de rede, precisamos olhar o octeto do endereço onde o prefixo

divide a porção de rede da porção de host. Em todos esses exemplos, é o último octeto.
Embora seja comum, o prefixo também pode dividir qualquer octeto.
Para começar a entender esse processo de determinar as atribuições de endereços,

vamos transformar alguns exemplos em binários.
172.16.20.0 /25
Endereços Decimal Representação binária
Rede 172.16.20.0 10101100 00010000 00010100 0 0000000
1º host válido 172.16.20.1 10101100 00010000 00010100 0 0000001
Broadcast 172.16.20.127 10101100 00010000 00010100 0 1111111
Último host válido 172.16.20.126 10101100 00010000 00010100 0 1111110
Veja na figura acima, um exemplo de atribuição de endereço para a rede 172.16.20.0

/25.
40
Na primeira linha, vemos a representação do endereço de rede. Com um prefixo de 25
bits, os últimos 7 bits são os bits de host. Para representar o endereço de rede, todos esse
bits de host são bits '0'. Isso faz com que o último octeto do endereço seja 0. O endereço
de rede fica assim: 172.16.20.0 /25.
Na segunda linha, vemos o cálculo do primeiro endereço de host. Ele é sempre um

valor acima do endereço de rede. Nesse caso, o último dos sete bits de host se torna
um bit '1'. Com o bit menos significativo de endereço de host configurado para 1, o
primeiro endereço de host ou endereço válido é 172.16.20.1.
A terceira linha mostra o cálculo do endereço de broadcast da rede. Portanto, todos os

sete bits de host usados nessa rede são '1s'. Pelo cálculo, obtemos o valor 127 para o
último octeto. Isso nos deixa com um endereço de broadcast 172.16.20.127.
A quarta linha mostra o cálculo do último endereço de host ou endereço válido. O

último endereço de host de uma rede é sempre um a menos que o de broadcast. Isso
significa que o bit menos significativo de host é um bit '0' e todos os outros bits de host
são bits '1'. Como já visto, isso torna o último endereço de host da rede igual a
172.16.20.126.
Experimente utilizar esta forma para testar outros valores. De qualquer forma, a
prática com estes cálculos deverá lhe proporcionar habilidade para resolver muito
rapidamente os endereços de redes e hosts, para que possa melhorar a performance
se desejar fazer a certificação.
Embora para esse exemplo tenhamos expandido todos os octetos, só precisamos

examinar o conteúdo do octeto dividido.
ENDEREÇOS PÚBLICOS E PRIVADOS

Embora a maioria dos endereços de host IPv4 sejam endereços públicos designados
para uso em redes que são acessíves pela Internet, há intervalos de endereços que são
usados em redes que precisam acesso limitado ou nenhum acesso à Internet. Esses
endereços são chamados de endereços privados.
41
Endereços Privados
Os intervalos de endereços privados são:

 de 10.0.0.0 a 10.255.255.255 (10.0.0.0 /8)
 de 172.16.0.0 a 172.31.255.255 (172.16.0.0 /12)
 de 192.168.0.0 a 192.168.255.255 (192.168.0.0 /16)
Os intervalos de endereços de espaço privado, como mostrado na figura, são reservados

para uso em redes privadas. O uso desses endereços não precisa ser exclusivo entre
redes externas. Hosts que não precisam de acesso à Internet em geral podem fazer uso
irrestrito de endereços privados. Contudo, as redes internas ainda devem projetar
esquemas de endereço para assegurar que os hots em redes privadas usem endereços
IP que são únicos dentro do seu ambiente de rede.
Muitos hosts em redes diferentes podem usar os mesmos endereços de espaço privado.
Os pacotes que usam esses endereços como origem ou destino não devem
42
aparecer na Internet pública. O roteador ou dispositivo de firewall no perímetro dessas
redes privadas deve bloquear ou converter esses endereços. Mesmo que esses pacotes
escapassem para a Internet, os roteadores não teriam rotas para as quais encaminhá-‐‐
los para a rede privada adequada.
Endereços Públicos
A vasta maioria dos endereços no intervalo de host unicast IPv4 são endereços públicos.
Esses endereços são projetados para serem usados nos hosts que são acessíveis
publicamente a partir da Internet. Mesmo nesses intervalos de endereços, há muitos
endereços que foram designados para outros fins especiais.
Network Address Translation (NAT)

Com serviços para traduzir endereços privados para endereços públicos, os hosts numa
rede com endereços privados podem ter acesso a recursos na Internet. Esses serviços,
chamados de Network Address Translation (Tradução de Endereço de Rede) ou NAT,
podem ser implementados em um dispositivo na borda da rede privada.
O NAT permite que os hosts da rede "peguem emprestado" um endereço público para
se comunicar com redes externas. Embora haja algumas limitações e questões de
desempenho com o NAT, os clientes para muitas aplicações podem acessar serviços pela
Internet sem problemas perceptíveis.
Obs.: O NAT será tratado em detalhes posteriormente neste material.
ENDEREÇAMENTO CLASSFULL
Historicamente, RFC1700 agrupava os intervalos unicast em tamanhos específicos
chamados endereços classe A, classe B e classe C. Também definia os endereços de
classe D (multicast) e classe E (experimental), como mencionado anteriormente.
Os endereços unicast classes A, B e C definiam redes de tamanho específico, bem como

intervalos de endereços específicos para essas redes, como mostrado na figura. Era
designado a uma companhia ou organização um intervalo inteiro de endereços classe A,
classe B ou classe C. Esse uso de espaço de endereços é chamado de endereçamento
classful.
43
Intervalos Classe A
Um intervalo de endereços classe A foi projetado para suportar redes extremamente
grandes, com mais de 16 milhões de endereços de host. Os endereços IPv4 classe A
usavam um prefixo /8 com o primeiro octeto para indicar os endereços da rede. Os três
octetos finais eram usados para endereços de host.
Para reservar espaço de endereçamento para as classes de endereço restantes, todos os

endereços classe A precisavam que o bit mais significativo do primeiro octeto fosse zero.
Isso significava que só havia 128 redes classe A possíveis, de 0.0.0.0 /8 a
127.0.0.0 /8, antes de preencher os intervalos de endereço reservados. Embora os
endereços de classe A reservassem metade do espaço de endereço, por causa do seu
limite de 128 redes, eles só podiam alocar aproximadamente 120 companhias ou
organizações.
Intervalos Classe B
O espaço de endereços Classe B foi projetado para suportar as necessidades de redes
de tamanho moderado a muito grande com mais de 65.000 hosts. Um endereço IP
classe B usava os dois primeiros octetos para indicar o endereço de rede. Os outros dois
octetos especificavam os endereços de host. Como no caso da classe A, o espaço para
endereços das classes de endereços restantes precisava ser reservado também.
No caso de endereços classe B, os dois bits mais significativos do primeiro octeto eram
10. Isso restringia o intervalo de endereços para a classe B de 128.0.0.0 /16 a
191.255.0.0 /16. A Classe B tinha uma alocação de endereços ligeiramente mais
eficiente do que a da classe A porque dividia igualmente 25% do espaço total de
endereçamento IPv4 entre aproximadamente 16.000 redes.
Intervalos Classe C
O espaço de endereços classe C foi o mais comumente disponível das classes de
endereços. Esse espaço de endereço fornecia endereços para redes pequenas, com no
máximo 254 hosts. Os intervalos de endereço classe C usavam um prefixo /24. Isso
44
quer dizer que uma rede classe C usava apenas o último octeto como endereço de
host, e os três primeiros octetos eram usados para indicar o endereço de rede.
Os intervalos de endereço classe C reservavam espaço de endereço para a classe D

(multicast) e a classe E (experimental) usando um valor fixo de110 para os três dígitos
mais significativos do primeiro octeto. O intervalo de endereços restrito para a classe C
vai de 192.0.0.0 /16 a 223.255.255.0 /16. Embora ocupasse apenas 12,5% do espaço
total de endereços IPv4, poderia fornecer endereços para 2 milhões de redes.
Problemas do sistema baseado em Classes

A maioria das organizações não se ajustaram bem a nenhuma das 3 classes utilizadas
comercialmente. A alocação classful de espaço de endereço em geral desperdiçava
muitos endereços, o que acabava com a disponibilidade de endereços IPv4. Por
exemplo, uma companhia com uma rede de 260 hosts precisava receber um endereço
classe B com mais de 65.000 endereços.
Embora esse sistema classful tenha sido abandonado no fim do ano 1990, você verá
restos dele nas redes atuais. Por exemplo, quando você atribui um endereço IPv4 para
um computador, o sistema operacional examina o endereço sendo designado para
determinar se esse endereço é de classe A, classe B ou classe C. O sistema operacional
assume então o prefixo usado por aquela classe e faz a atribuição adequada da
máscara de subn rede.
Outro exemplo é a adoção da máscara por alguns protocolos de roteamento. Quando

alguns protocolos de roteamento recebem uma rota anunciada, podem presumir o
tamanho do prefixo com base na classe do endereço.
45
ENDEREÇAMENTO CLASSLESS
O sistema que usamos atualmente é chamado de endereçamento classless. Com o
sistema classless, intervalos de endereço adequados para o número de hosts são
designados para companhias ou organizações independentemente da classe unicast.
Atribuição dos endereços em uma rede

A atribuição dos endereços IP aos hosts de uma rede se resumem a 2 processos: Estático
– Normalmente relacionado a servidores, impressoras e outros dispositivos de rede que,
por receberem acesso externo, não podem ter seus endereços trocados com frequência
sob pena de se tornarem “desconhecidos” em algum momento. Algumas empresas
também optam por manter seu processo de endereçamento estático por questões de
segurança.
Normalmente este processo tem como vantagem eliminar o tráfego de entrega de
endereços dentro da rede, mas por outro lado existem contratempos relacionados ao
controle do endereçamento que por vezes falha e duplicidades de endereços podem
surgir, atrapalhando o funcionamento da rede.
Dinâmico – No passado diversos protocolos tiveram a propriedade de entrega dos

endereços ip aos hosts da rede. Atualmente, utilizan se o DHCP. Tratan se de
uma aplicação cuja principal funcionalidade é “alugar” informações de endereçamento
aos hosts da rede. Este aluguel tem tempo definido e pode ser modificado quando
se desejar, criando uma mudança no uso dos endereços pelos hosts da rede.
O recurso pode ser configurado em servidores ou em roteadores e switches. Sua

vantagem é centralizar a entrega de endereços, automatizando o processo e evitando
duplicidade.
Como desvantagens podemos apontar o fluxo de tráfego gerado na rede (tráfego de

broadcast) e segundo o entendimento de algumas empresas, também a falta de
segurança, pois facilita o primeiro acesso de estranhos a uma rede. Mais a frente
veremos como configurar o DHCP no roteador Cisco.
46
SUB--‐REDES E MÁSCARAS
Máscara de Subp Rede p Definição da Rede e das Porções de Host
Como aprendemos antes, um endereço IPv4 tem uma porção de rede e uma porção de
host. Nós nos referimos ao tamanho do prefixo como o número de bits no endereço
que nos dá a porção de rede. O prefixo é um modo de definir a porção de rede e que é
legível para nós. A rede de dados também deve ter sua porção de rede dos endereços
definida.
Para definir as porções de rede e de host de um Endereço, os dispositivos usam um
padrão separador de 32 bits chamado de máscara de subn rede. Expressamos
a máscara de subn rede no mesmo formato decimal com pontos dos endereços
IPv4. A máscara de subn rede é criada colocandon se o número binário1 em cada
posição de bit que representa a porção de rede e colocando o binário 0 em cada
posição de bit que representa a porção de
host.
192.168.50.234  Endereço de host

255. 255. 255. 224 Máscara de subn rede utilizada
11111111.11111111.11111111.11100000
O prefixo e a máscara de subn rede são modos diferentes de representar a mesma

coisa n a porção de rede de um endereço.
Para o valor representado acima, temos o prefixo original da rede, no caso o /24, visto
que o primeiro octeto nos mostra que o endereço é um classe C. Por ser um classe C, os
3 primeiros octetos são relacionados à rede. Por este motivo não serão modificados
dentro do endereço e nem da máscara que o acompanha.
Porém, para que possamos gerar subn divisões neste endereço, podemos utilizar
alguns bits do campo de hosts (últimos 8 bits) para criar um terceiro campo que se
juntará ao prefixo original da rede na determinação do roteamento. Este terceiro
campo está destacado abaixo:
47
111 00000  3 bits dos hosts originais foram para o prefixo de roteamento.
A este campo, damos o nome de subn rede. Ele dividirá o endereço ou bloco
original, em blocos menores, com menos hosts, mas muito úteis na organização das
redes.
Estas redes menores que serão geradas, ajudarão a reduzir os broadcasts da rede e
também trarão um padrão organizacional com divisões que ampliarão inclusive a
segurança do ambiente.
Veja abaixo, os novos blocos de subn redes que podemos utilizar com esta
divisão proposta:
000 – 1ª subp rede (0 no últmo octeto)

001 – 2ª subp rede (32 no últmo octeto)
010 – 3ª subp rede (64 no último octeto)
E o campo de hosts, irá variar para cada uma das subn redes representadas acima :
De 00000 a 11111, sendo que 00000  endereço de rede e 11111 Broadcast
Os hosts válidos estarão entre 00001 a 11110.
Identificando a rede através do endereço do host

Esta é uma tarefa de vital importância para quem deseja atingir a certificação CCNA.
Uma das formas de fazer isso, seria o que chamamos de AND lógico.
48
Uma operação matemática muito simples que consiste na comparação entre os
números binários da máscara e do endereço de host. O resultado será sempre o
endereço da rede. Veja um exemplo:
192.168.50.178 / 27 (255.255.255.224)
192.168.50.178  11000000.10101000.00110010.10110010
255.255.255.224  11111111.11111111.11111111.11100000
Resultado  11000000.10101000.00110010.10100000
Observe que o AND lógico consiste apenas de uma multiplicação entre os bits do
endereço que temos com a máscara correspondente. Onde tivermos combinação de bits
em “1” o resultado será “1”. Qualquer outra situação trará um resultado de “0” zero.
E o resultado desta operação sempre nos trará o endereço da rede onde o host se
encontra. No exemplo acima temos a rede 192.168.50.160. Neste caso, dizemos que o
host 192.168.50.178 /27, pertence a rede 192.168.50.160.
Dessa, forma guarde bem a regra do AND :

1 AND 1 = 1
1 AND 0 = 0
0 AND 1 = 0
0 AND 0 = 0
Na realidade, o roteado utiliza o AND para descobrir a rede e consequentemente o
caminho por onde deve encaminhar um pacote.
No exemplo acima, observamos que o endereço que originalmente era /24 passou a ser
/27 pois os 3 primeiros bits do octeto de host foram mudados para “1” binario.
Este é o procedimento para criação de sub-‐‐redes. Utilizamos bits do campo de host,

que dependendo da classe do endereço, podem estar em mais de um octeto.
A cada bit que mudamos de “0” para “1”, dobramos a quantidade de divisões (ou sub-‐‐
redes) possíveis. E como consequência reduzimos pela metade a quantidade de hosts
em cada uma.
49
Dessa forma, como podemos nos orientar sobre quantos bits “tomaremos
emprestados” do campo de host para criar sub-‐‐redes? Isto vai depender da quantidade
de sub-‐‐redes que precisamos. O que por sua vez, dependerá da quantidade de divisões
que precisamos dentro da empresa ou no ambiente onde estejamos organizando a rede.
O uso de sub-‐‐rede permite criar múltiplas redes lógicas a partir de um único intervalo
de endereços. Visto que usamos um roteador para conectar essas redes, cada interface
no roteador deve ter uma identificação de rede distinta. Cada nó nesse link está na
mesma rede.
Fórmula para calcular sub--redes
Use esta fórmula para calcular o número de sub-‐‐redes:
2^n onde n = número de bits emprestados

No exemplo mais acima, utilizamos 3 bits do campo de host. Logo 2¨3 teremos um
total de 8 sub-‐‐redes.
O número de hosts
Para calcular o número de hosts por rede, usamos a fórmula 2^n -‐‐ 2 onde n = número
de bits que sobraram para host.
Aplicando a fórmula, (2^5 -‐‐ 2 = 30) mostra que cada uma dessas sub-‐‐redes pode ter 30
hosts, ou 30 endereços válidos.
Exemplo com 3 sub--redes
A seguir, considere uma rede que precisa de três sub-‐‐redes. Veja a figura.
50
Utilizaremos o intervalo de endereço, 192.168.1.0 /24. Se pegássemos
emprestado um único bit, só poderíamos ter duas subn redes. Para ter mais
redes, mudamos a máscara de subn rede para 255.255.255.192, e pegamos
dois bits emprestados. Isso permitirá 4 subn redes.
Calcule a subn rede por meio desta fórmula:
2^2 = 4 subp redes
O número de hosts
Para calcular o número de hosts, comece examinando o último octeto. Note
estas subn redes.
Subn rede 0: 0 = 00000000
Subn rede 1: 64 = 01000000
Subn rede 2: 128 = 10000000
Subn rede 3: 192 = 11000000
Aplique a fórmula de cálculo de hosts.

2^6 n 2 = 62 hosts, ou 62 endereços válidos, por subn rede
51
Na figura acima temos a solução dos endereços propostos.
Exemplo com 6 sub--‐redes
Considere este exemplo com 5 LANs e uma WAN, num total de 6 redes. Veja a figura.
Para acomodar 6 redes, divida o endereço 192.168.1.0 /24 em sub-‐‐redes com

intervalos de endereços usando a fórmula:
2^3 = 8
52
Para obter pelo menos 6 sub-‐‐redes, pegue emprestados 3 bits de host. A máscara de
sub-‐‐rede 255.255.255.224 fornece três bits de rede adicionais.
O número de hosts
Para calcular o número de hosts, comece examinando o último octeto. Note estas sub-‐‐
redes.
0 = 00000000
32 = 00100000
64 = 01000000
96 = 01100000
128 = 10000000
160 = 10100000
192 = 11000000
224 = 11100000
Aplique a fórmula de cálculo de hosts:
2^5 - 2 = 30 hosts, ou 30 endereços válidos, por sub-rede.
Veja na figura o esquema de endereçamento dessas redes.
Até aqui, demonstramos exemplos de divisão em sub-‐‐redes em cenários onde todas as

divisões eram iguais. Cada sub-‐‐rede apresentada possuía a mesma quantidade de
hosts. Para situações onde se deseja apenas demonstrar a mecânica da divisão em si,
foram cenários adequados e produtivos.
Mas, dentro de uma empresa, as situações costumam ser diferentes. As redes não
possuem o mesmo tamanho, nem a mesma quantidade de hosts. Cada rede, na verdade,
representa um setor ou departamento da empresa. E estes departamentos, não são
iguais. Além disso, os links de WAN muitas vezes requerem apenas 2 endereços, por
serem ponto a ponto. E alocar uma sub-‐‐rede a eles que contenha 30 hosts, acaba por
gerar um desperdício de endereços. Números que certamente farão falta em outras
partes da divisão.
53
O mundo real, em relação às divisões em sub-‐‐redes, está relacionado a um formato
chamado de VLSM (Variable Length Subnet Mask). E passamos a demonstrar esse
assunto a partir daqui...
54
VLSM – (VARIABLE LENGTH SUBNET MASK) – MÁSCARA DE SUB
REDE DE COMPRIMENTO VARIÁVEL.
Cada rede dentro de uma corporação ou organização é projetada para acomodar um
número definido de hosts.
Algumas redes, como os links WAN ponto-‐‐a-‐‐ponto, precisam de no máximo dois hosts.
Outras redes, como uma LAN de usuários num grande prédio ou departamento, talvez
acomodem centenas de hosts. Os administradores de rede precisam preparar um
esquema de endereçamento que acomode o número de hosts necessário para cada
rede. O número de hosts em cada divisão deve permitir o crescimento da rede quando
necessário.
Sequência do projeto de endereçamento:
1) **Determine o Número Total de Hosts**

Primeiro, considere o número total de hosts necessários para a rede corporativa inteira.
Precisamos usar um intervalo de endereços suficientemente grande para acomodar
todos os dispositivos em todas as redes corporativas. Isso inclui dispositivos de usuário
final, servidores, dispositivos intermediários e interfaces de roteador.
Vamos a um exemplo:
Note que as quantidades de hosts necessárias a cada rede estão expressas na figura.
Seguindo a premissa detalhada acima, somaremos todos os hosts das redes
40+23+76+13+5+2 = 159.
Em seguida, vamos pensar em qual máscara poderia atender a 159 hosts, no mínimo.
Este raciocínio é exatamente invertido em relação ao processo de cálculo anterior onde
a preocupação era de descobrir quantos bits seriam necessários para criar uma certa
quantidade de sub-‐‐redes. Aqui estamos preocupados com a quantidade de hosts. Por
isso, vamos relembrar algo importante:
55
Em um máscara, temos o seguinte:
“1” binário  Bits de rede ou sub-‐‐rede
“0” binário  Bits de hosts
56
Isto nos mostra que nosso foco agora deve ser colocado sobre os bits em “0”. Em
outras palavras, quantos bits em “0” eu devo ter em uma máscara para que seja
possível endereçar ao menos 159 hosts. Vamos a algumas máscaras :
255 . 255 . 255 . 0 /24 8 bits em “0”, logo 2^8p 2= 254 hosts
255 . 255 . 255 .128 /25 7 bits em “0”, logo 2^7p 2= 126 hosts
255 . 255 .0 .0 /16 16 bits em “0”, logo 2^16p 2=65534 hosts
Perceba que, quanto maior a quantidade de bits em “0” maior é o número de hosts
possíveis. Você consegue encontrar a máscara que procuramos entre as que estão
acima? Em termos numéricos, apenas uma delas não atende ao nosso requisito de 159
hosts. Mas não podemos escolher qualquer uma delas, apenas porque ultrapassam a
quantidade que precisamos. Temos que escolher a que esteja mais próxima da
quantidade necessária, ultrapassando. Em outras palavras, aquela que atenda a no
mínimo 159 hosts com o máximo de subn redes possível.
Neste caso, repare que podemos destacar a primeira da lista:
As outras, ultrapassam demais ou ficam insuficientes...
Neste momento, acabamos de encontrar o bloco de endereços que deve comportar

nossa rede corporativa. Ele é 172.20.48.0
Este bloco será nossa base para subdividirmos e preencher a cada uma das redes da
topologia apresentada acima.
2)**Determine a máscara para cada subá rede do projeto**

Aqui iremos determinar cada uma das máscaras das subn redes individualmente.
Uma boa prática, explica que devemos começar nosso trabalho na ordem decrescente
das redes. Dessa forma a primeira a ser tratada é a subn rede 3 com 76 hosts:
57
Sub--‐rede 3 – 76 hosts  Observando o últmo octeto onde estão os bits zerados,
temos:
1 0 0 0 0 0 0 0 7 bits para hosts nos permitem 2^7-‐‐2=126 hosts. Este é o valor
mais próximo que temos de 76 hosts. Logo a máscara para esta sub-‐‐rede será
255.255.255.128. Este valor também pode ser referenciado como /25 (ou senhor /25
para quem não é muito amigo dele) Lembramos que o primeiro bit do 4º octeto que não
será utilizado para compor os hosts, ficará no campo das sub-‐‐redes.
A próxima, será a sub-‐‐rede 1, que precisa de um minimo de 40 hosts:
1 1 0 0 0 0 0 0 6 bits para hosts nos permitem 2^6-‐‐2=62 hosts. Este é o valor mais
próximo de 40 hosts. A máscara será 255.255.255.192 ou /26.
Nosso próximo alvo é a sub-‐‐rede 2 com 23 hosts...Vamos a ela:
próximo de 23 hosts. A máscara será 255.255.255.224 /27.
Em seguida a sub-‐‐rede 4 com 13 hosts:
Seguimos para a sub-‐‐rede 5 com seus 5 hosts:
E por fim, a sub-‐‐rede 6 com apenas 2 hosts, por ser um link de WAN do tipo ponto a
ponto:
58
111100 00 2 bits para hosts nos permitem hosts. Este é o valor exato
para 2 hosts. A máscara será 255.255.255.252 /30. A partir daqui memorize que os
links de wan ponto a ponto sempre serão /30.
E vamos observar o trabalho completo com as máscaras? Veja...
As máscaras já dimensionam cada rede com seu tamanho mais adequado. Agora
podemos completar o endereçamento, partindo do nosso bloco inicial, maior, que já
está informado no canto superior esquerdo da topologia.
A distribuição das redes, também na ordem decrescente, fica assim:

Sub-‐‐rede 3  172.20.48.0 /25
Sub--‐rede 1  172.20.48.128 /26
Sub--‐rede 2  172.20.48.192 /27
Sub--‐rede 4  172.20.48.224 /28
Sub--‐rede 5  172.20.48.240 /29
Sub--‐rede 6  172.20.48.248 /30
59
Procure perceber, a distância entre uma rede e outra (salto). Repare que a máscara local
orienta esta distância, de forma que a próxima rede desta máscara será colocada na
sequencia do endereçamento.
E por fim temos a topologia completa:
Considerações sobre este projeto:

 Após endereçar os links seriais, a próxima rede disponível seria 172.20.48.252.
Desta forma, poderíamos apenas endereçar mais um link /30 antes do
esgotamento do nosso bloco de endereço original que era um /24.
 Quando trabalhamos em um projeto de endereçamento por completo, como
fizemos aqui, é bem conveniente que nos orientemos pela ordem decrescente.
Porém em termos de certificação, talvez seja necessário completar algo que
esteja faltando no projeto. E neste caso, torna-‐‐se importante saber atribuir os
endereços independente da ordem. Procure praticar isso...
 A maioria das sub-‐‐redes neste projeto está em bom nível de escalabilidade,

com hosts a mais do que o necessário. Mas, quando isto não ocorre, precisamos
trabalhar com um bloco original maior. Devemos pensar sempre em
crescimentos da ordem de 15% em quantidades de hosts.
60
SUMARIZAÇÃO DE REDES
Um outro aspecto importante do processo de endereçamento é a sumarização ou

agregação de redes.
Para compreender bem este processo, começamos lembrando que existem alguns
endereços que dividimos e dizemos que estamos criando sub redes. Por exemplo,
192.168.4.0 /24 poderia ser dividido em sub redes da seguinte forma:
192.168.4.0 / 25
192.168.4.128 /26
192.168.4.192/27
192.168.4.224 /28
192.168.4.240 /29
192.168.4.248 /30
Todas esta redes menores, são referidas como sub redes utilizando o prefixo
192.168.4.X. Algo como se criássemos subconjuntos da rede 192.168.4.0. Embora sub
divididas, cada uma das redes funciona no ambiente real como uma rede isolada.
Mas observe abaixo uma diferença em relação ao que fizemos acima:
192.168.4.0 /24
192.168.5.0 /24
192.168.6.0 /24
192.168.7.0 /24
O que você enxerga? São 4 blocos de endereços com prefixos diferentes. No passado
diziamos se tratar de 4 redes classe C. Cada um delas poderia ser subdividida em
múltiplas e diferentes sub redes, da mesma forma que fizemos no exemplo anterior.
Mas, quando citamos o termo sumarização ou agregação de rotas, estamos nos
referidno a um endereço único que agrega ou reúne em si todas as redes
61
representadas acima. Costuma-‐‐se até utilizar o termo “super net” por se tratar de uma
reunião de redes.
Observe como ficaria no caso das redes do exemplo:
192.168.4.0 /24
Endereço
192.168.5.0 /24 Sumarizado
192.168.6.0 /24 192.168.4.0 /22
192.168.7.0 /24
E como se pode chegar ao resulto acima? Na verdade, se pudermos enxergar os endereços em

binário, notaremos que alguns bits são comuns aos 4 endereços:
11000000.10101000.00000100.00000000
11000000.10101000.00000101.00000000
11000000.10101000.00000110.00000000
11000000.10101000.00000111.00000000
A sumarização busca os bits iguais entre os números. Note que são iguais até o 22º bit.
Isto indica que a máscara do endereço sumarizado será um /22. E valor resultante até
o 22º bit é 192.168.4.0.
De forma que o resultado dessa sumarização é o 192.168.4.0 /22.
Procure perceber a relação existente entre as máscaras e você poderá resolver

situações de sumarização apenas mentalmente, sem precisar da comparação binária.
Na situação que foi proposta acima, a relação entre as máscaras pode ser observada
claramente, pois uma máscara /24 corresponde a 50% de uma /23 e 25% de uma /22.
Logo, 4 endereços /24 poderiam ser agregados em 1 endereço /22. Mas tome cuidado!
Para isso ser verdade, é necessário observar bem os endereços envolvidos. Observe se
são contínuos, como no exemplo. E também se pode ser “encaixados” num dos valores
existentes para a máscara maior.
Abaixo alguns conjuntos de endereços foram colocados para que você pratique a
sumarização:
62
1)
192.168.8.0
192.168.9.0
192.168.10.0 __________________________________
192.168.11.0
Demonstre abaixo pela comparação dos bits:
2)
192.168.8.0
192.168.11.0
192.168.12.0 __________________________________
192.168.14.0
3)
172.16.8.0
172.17.11.0
__________________________________
63
172.18.12.0
172.19.14.0
4)
192.168.18.10
192.168.18.20
192.168.18.25 __________________________________
192.168.18.30
64
EXERCÍCIOS ENDEREÇAMENTO IPV4
Agora, procure utilizar um raciocínio inverso. Observe o endereço sumarizado
de super net e assinale endereços que poderiam estar agregados a ele:
192.168.48.0 /20
192.168.38.0 /23 192.168.32.0 /19 192.168.52.0 /24
192.168.68.0 /22 192.168.58.0 /23 192.168.64.0 /22
192.168.63.0 /24 192.168.48.0 /21 192.168.44.0 /22
Na sequência disponibilizaremos alguns exercícios envolvendo endereços ipv4, sub-‐‐

redes e VLSM para que você possa se desenvolver bastante nestes assuntos visando a
certificação.
Conversões de sistemas numéricos

Binário para decimal
65
66
Decimal para binário
67
Identificação das classe dos endereços
68
Identificação de rede e host
Identifique a porção de rede Identifique a porção de host
69
Endereços de rede
Com base no endereço e máscara informados, escreva a rede.

Endereços de host
Com base no endereço e máscara informados, escreva o host.
70
Escreva a máscara de rede padrão para cada um dos endereços abaixo.
71
EXERCÍCIOS DE SUB REDES -‐‐ CLASSFULL
Problema 1
Qtde. de sub redes necessárias – 6
Qtde. de hosts utilizáveis por sub rede – 30
Endereço de rede – 195.85.8.0
Classe do endereço
Máscara de sub rede padrão
Máscará de sub rede personalizada
Qtde. total de sub redes
Qtde. total de endereços de host
Qtde. de endereços utilizáveis
Qtde. de bits emprestados
Faça a contas abaixo para obter os resultados:
72
Qtde. de hosts utilizáveis por sub rede – 5
Classe do endereço
73
Qtde. de hosts utilizáveis por sub rede – 131.070
Classe do endereço
74
EXERCÍCIOS DE VLSM
Com base no bloco de endereço informado, determine as máscaras e sub redes para
cada localidade demonstrada na fiigura abaixo:
Anotações e cálculos:
75
Anotações e cálculos
76
Anotações e cálculos
77
***Tente fazer este sem cáclulos escritos***
78
Questões de múltipla escolha ipv4
3)Qual a melhor opção para endereçamento do host?
79
1) Dada a seguinte máscara IP 255.252.0.0, responda:
a) Quantos bits utilizamos para rede.?
b) Quantos bits utilizamos para sub-‐‐rede.?
c) Quantos bits utilizamos para host?
Cálculos:
d) Quantos bits utilizamos para rede?
e) Quantos bits utilizamos para sub-‐‐rede?
f) Quantos bits utilizamos para host?
80
81
6) Dada a seguinte máscara IP 255.255.255.248 responda:
82
a) Quantos bits serão necessários para fazer a divisão e obter 64 sub-‐‐redes?
b) Quantos números IP (hosts) estarão disponíveis em cada sub-‐‐rede?
c) Qual a nova máscara de sub-‐‐rede?
d) Listar a faixa de endereços de cada sub-‐‐rede, mais os endereços de broadcast.
e) Listar o endereço de gateway e de um servidor DHCP.
83
d) Listar a faixa de endereços de cada sub-‐‐rede, mais os endereços de broadcast e

rede.
e) Para cada sub-‐‐rede listar o endereço de gateway e de um servidor DNS.
84
d) Listar a faixa de endereços de cada sub-‐‐rede, mais os endereços de broadcast e

rede.
e) Para cada sub-‐‐rede listar o endereço de gateway e de um servidor WEB e um

servidor de arquivos.
85
10) Um administrador de redes recebeu a incumbência de planejar a distribuição de IPs pelas
sub-‐‐redes dos diferentes departamentos de uma empresa. Ele deve executar essa tarefa
utilizando VLSM/CIDR dentro do intervalo IP 10.33.44.0/24. O número de computadores em
cada rede é:
Engenharia: 58 computadores
Montagem: 32 computadores
Administração: 30 computadores
Gerência: 9 computadores
Diretoria: 4 computadores
1 – Calcule os endereços IP dos intervalos de rede para cada uma das sub--‐redes acima;
2 – Informe o endereço de gateway, endereço de rede e endereço de broadcast para cada sub-‐‐
rede, seguindo as melhores práticas;
3 – Para cada uma das sub--‐redes informe o intervalo de endereços válidos para os hosts,
excluindo o endereço de gateway.
86
Gerência: 4 computadores Diretoria: 2 computadores
1 – Calcule os endereços IP dos intervalos de rede para cada uma das sub-‐‐redes acima;
2 – Informe o endereço de gateway, endereço de rede e endereço de broadcast para

cada sub-‐‐rede, seguindo as melhores práticas;
3 – Para cada uma das sub-‐‐redes informe o intervalo de endereços válidos para os
hosts, excluindo o endereço de gateway.
87
12) Um administrador de redes recebeu a incumbência de planejar a distribuição de IPs
pelas sub-‐‐redes dos diferentes departamentos de uma empresa. Ele deve executar essa
tarefa utilizando VLSM/CIDR dentro do intervalo IP 125.23.34.0/24. O número de
computadores em cada rede é:
Gerência: 7 computadores
Diretoria: 8 computadores
1 – Calcule os endereços IP dos intervalos de rede para cada uma das sub--‐redes acima;
2 – Informe o endereço de gateway, endereço de rede e endereço de broadcast para cada sub-‐‐
rede, seguindo as melhores práticas;
3 – Para cada uma das sub--‐redes informe o intervalo de endereços válidos para os hosts,
excluindo o endereço de gateway.
88
Capítulo 3 – IPV6
IPV6 – O NOVO SISTEMA DE ENDEREÇAMENTO DE REDES
89
O ESGOTAMENTO DO IPV4
As especificações do IPv4 reservam 32 bits para endereçamento, possibilitando gerar

mais de 4 bilhões de endereços distintos. Inicialmente, estes endereços foram divididos
em três classes de tamanhos fixos da seguinte forma:
Classe A: definia o bit mais significativo como 0, utilizava os 7 bits restantes do primeiro
octeto para identificar a rede, e os 24 bits restantes para identificar o host. Esses
endereços utilizavam a faixa de 1.0.0.0até 126.0.0.0;
Classe B: definia os 2 bits mais significativo como 10, utilizava os 14 bits seguintes para
identificar a rede, e os 16 bits restantes para identificar o host. Esses endereços
utilizavam a faixa de 128.1.0.0até 191.254.0.0;
Classe C: definia os 3 bits mais significativo como 110, utilizava os 21 bits seguintes para
identificar a rede, e os 8 bits restantes para identificar o host. Esses endereços
utilizavam a faixa de 192.0.1.0até 223.255.254.0;
Embora o intuito dessa divisão tenha sido tornar a distribuição de endereços mais
flexível, abrangendo redes de tamanhos variados, esse tipo de classificação mostrou-‐‐
se ineficiente. Desta forma, a classe A atenderia um número muito pequeno de redes,
mas ocupava metade de todos os endereços disponíveis; para endereçar 300
dispositivos em uma rede, seria necessário obter umbloco de endereços da classe B,
desperdiçando assim quase o total dos 65 mil endereços; e os 256 endereços da classe
C não supriam as necessidades da grande maioria dasredes.
Outro fator que colaborava com o desperdício de endereços, era o fato de que dezenas
de faixas classe A foram atribuídas integralmente a grandes instituições como IBM,
AT&T, Xerox, HP, Apple, MIT, Ford, Departamento de Defesa Americano, entre
muitas outras, disponibilizando para cada uma 16.777.216 milhões de
90
endereços. Além disso, 35 faixas de endereços classe A foram reservadas para usos
específicos como multicast, loopbacke uso futuro.
Em 1990, já existiam 313.000 hosts conectados a rede e estudos já apontavam para

um colapso devido a falta de endereços. Outros problemas também tornavam-‐‐se
mais efetivos conforme a Internet evoluía, como o aumento da tabela de roteamento.
Devido ao ritmo de crescimento da Internet e da política de distribuição de endereços,

em maio de 1992, 38% das faixas de endereços classe A, 43% da classe B e 2% da
classe C, já estavam alocados. Nesta época, a rede já possuía 1.136.000 hosts
conectados.
Em 1993, com a criação do protocolo HTTP e a liberação por parte do Governo

estadunidense para a utilização comercial da Internet, houve um salto ainda maior
na taxa de crescimento da rede, que passou de 2.056.000 de hostsem 1993 para mais
de 26.000.000 de hosts em 1997.
SOLUÇÕES PROPOSTAS AO ESGOTAMENTO DOS ENDEREÇOS IPV4:

● CIDR (RFC 4632)
●Fim do uso de classes = blocos de tamanho apropriado.
●Endereço de rede = prefixo/comprimento.
●Agregação das rotas = reduz o tamanho da tabela de rotas.
● DHCP
● Alocações dinâmicas de endereços.
● NAT + RFC 1918
● Permite conectar toda uma rede de computadores usando apenas um

endereço válido na Internet, porém com várias restrições.
91
Diante desse cenário, a IETF (Internet Engineering Task Force) passa a discutir
estratégias para solucionar a questão do esgotamento dos endereços IP e o
problema do aumento da tabela de roteamento. Para isso, em novembro de
1991, é formado o grupo de trabalho ROAD (ROuting and Addressing), que
apresenta como solução a estes problemas a utilização do CIDR (Classless
Interdomain Routing).
Definido na RFC 4632 (tornou obsoleta a RFC 1519), o CIDR tem como idéia
básica o fim do uso de classes de endereços, permitindo a alocação de
blocos de tamanho apropriado a real necessidade de cada rede; e a agregação
de rotas, reduzindo o tamanho da tabela de roteamento.
Com o CIDR os blocos são referenciados como prefixo de redes. Por

exemplo, no endereço a.b.c.d/x, os x bits mais significativos indicam o prefixo
da rede. Outra forma de indicar o prefixo é através de máscaras, onde a
máscara 255.0.0.0indica um prefixo /8, 255.255.0.0indica um /16, e assim
sucessivamente.
Outra solução, apresentada na RFC 2131 (tornou obsoleta a RFC 1541),

foi o protocolo DHCP (Dynamic Host Configuration Protocol). Através do DHCP
um host é capaz de obter um endereço IP automaticamente e adquirir
informações adicionais como máscara de subn rede, endereço do
roteador padrão e o endereço do servidor DNS local.
O DHCP tem sido muito utilizado por parte dos ISPs por permitir a atribuição de
endereços IP temporários a seus clientes conectados. Desta forma, tornan
se desnecessário obter um endereço para cada cliente, devendon se
apenas designar endereços dinamicamente, através de seu servidor
DHCP. Este servidor terá uma lista de endereços IP disponíveis, e toda vez que
um novo cliente se conectar à rede, lhe será designado um desses endereço de
forma arbitrária, e no momento que o cliente se desconecta, o endereço é
devolvido.
92
A NAT, bastante discutida em diversos ambientes de rede, traz as seguintes
características a serem consideradas em sua implementação:
 NAT
 Vantagens:
 Reduz a necessidade de endereços públicos;
 Facilita a numeração interna das redes;
 Oculta a topologia das redes;
 Só permite a entrada de pacotes gerado em resposta a
um pedido da rede.
 Desvantagens:
 Quebra o modelo fim-‐‐a-‐‐fim da Internet;
 Dificulta o funcionamento de uma série de aplicações;
 Não é escalável;
 Aumento do processamento no dispositivo tradutor;
 Falsa sensação de segurança;
 Impossibilidade de se rastrear o caminho do pacote;
 Impossibilita a utilização de algumas técnicas de
segurança como IPSec.
Embora estas soluções tenham diminuído a demanda por IPs, elas não foram suficientes
para resolver os problemas decorrentes do crescimento da Internet. A adoção dessas
técnicas reduziu em apenas 14% a quantidade de blocos de endereços solicitados à IANA
e a curva de crescimento da Internet continuava apresentando um aumento
exponencial.
Essas medidas, na verdade, serviram para que houvesse mais tempo para se
desenvolver uma nova versão do IP, que fosse baseada nos princípios que fizeram o
sucesso do IPv4, porém, que fosse capaz de suprir as falhas apresentadas por ele.
93
SURGIMENTO DO IPV6 – A SOLUÇÃO DEFINITIVA
As especificações da IPv6 foram apresentadas inicialmente na RFC 1883 de dezembro de
1995, no entanto, em em dezembro de 1998, está RFC foi substituída pela RFC 2460.
Como principais mudanças em relação ao IPv4 destacamn se:
Maior capacidade para endereçamento: no IPv6 o espaço para endereçamento

aumentou de 32 bits para 128 bits,permitindo: níveis mais específicos de
agregação de endereços; identificar uma quantidade muito maior de dispositivos na
rede; e implementar mecanismos de autoconfiguração. A escalabilidade do
roteamento multicast também foi melhorada através da adição do campo "escopo"
no endereço multicast. E um novo tipo de endereço, o anycast, foi definido;
Simplificação do formato do cabeçalho: alguns campos do cabeçalho IPv4 foram

removidos ou tornaramn se opcionais, com o intuito de reduzir o custo
do processamento dos pacotes nos roteadores;
Suporte a cabeçalhos de extensão: as opções não fazem mais parte do

cabeçalho base, permitindo um roteamento mais eficaz, limites menosrigorosos em
relação ao tamanho e a quantidade de opções, e uma maior flexibilidade para a
introdução de novas opções no futuro;
Capacidade de identificar fluxos de dados: foi adicionado um novo recurso que

permite identificar de pacotes que pertençam a determinados tráfegos de fluxos,
para os quais podem ser requeridos tratamentos especiais;
Suporte a autenticação e privacidade: foram especificados cabeçalhos de

extensão capazes de fornecer mecanismos de autenticação e garantir
a integridade e a confidencialidade dos dados transmitidos.
Além disso, o IPv6 também apresentou mudanças no tratamento da

fragmentação dos pacotes, que passou a ser realizada apenas na origem; permite
o uso de conexões fim-‐‐a-‐‐fim, princípio que havia sido quebrado com o IPv4 devido
a grande utilização de NAT; trouxe recursos que facilitam a configuração de redes, além
de outros aspectos que foram melhorados em relação ao IPv4.
94
RISCOS RELACIONADOS À AUSÊNCIA DO IPV6 NAS REDES DE DADOS
É importante observar que, embora a utilização do IPv6 ainda não tenha tanta
representatividade, todos os dados apresentados mostram que sua penetração nas
redes tem aumentado gradativamente. No entanto, é preciso avançar ainda mais.
Adiar por mais tempo a implantação do IPv6 pode trazer diversos prejuízos para o
desenvolvimento de toda a Internet.
Como vimos, existe hoje uma demanda muito grande por mais endereços IP, e mesmo
que a Internet continue funcionando sem novos endereços, ela terá muita dificuldade
para crescer. A cada dia surgem novas redes, graças a expansão das empresas e ao
surgimento de novos negócios; iniciativas de inclusão digital tem trazido muitos novos
usuários para a Internet; e o crescimento das redes 3G, e a utilização da Internet em
dispositivos eletrônicos e eletrodomésticos são exemplos de novas aplicações que
colaboram com seu crescimento.
A não implantação do IPv6 provavelmente impedira o desenvolvimento de todas essas

áreas, e além disso, com o IPv6 elimina-‐‐se a necessidade da utilização de NATs,
favorecendo o funcionamento de várias aplicações. Deste modo, o custo de não se
utilizar, ou adiar ainda mais a implantação do protocolo IPv6, será muito maior do que
o de utilizá-‐‐lo.
Para os provedores de serviços de telecomunicações e entretenimento, é importante

que estes ofereçam novos serviços a seus clientes, e principalmente, porque inovar é a
chave para competir e manter-‐‐se à frente da concorrência.
95
ESTRUTURA DO ENDEREÇAMENTO IPV6
Observe abaixo, como é o cabeçalho do ipv4:
O cabeçalho IPv4 é composto por 12 campos fixos, podendo conter ou não opções,
fazendo com que seu tamanho possa variar entre 20 e60 Bytes. Estes campos são
destinados transmitir informações sobre:
 a versão do protocolo;
 o tamanho do cabeçalho e dos dados;
 a fragmentação;
 o tipo de dados;
 o tempo de vida do pacote;
 o protocolo da camada seguinte (TCP, UDP, ICMP);
 a integridade dos dados;
 a origem e o destino do pacote.
Observe a seguir, o cabeçalho do IPV6 comparado ao IPV4...
96
***Campos grifados no ipv4 foram removidos para o Ipv6
Entre essas mudanças, destaca-‐‐se a remoção de seis campos do cabeçalho IPv4, visto
que suas funções não são mais necessárias ou são implementadas pelos cabeçalhos de
extensão.
No IPv6, as opções adicionais agora fazem parte dos cabeçalhos de extensão do IPv6.
Deste modo, os campos Opções e Complementos puderamser removidos.
O campo Tamanho do Cabeçalho também foi removido, porque o tamanho do

cabeçalho IPv6 é fixo.
Os campos Identificação, Flags e Deslocamento do Fragmento, foram removidos porque

as informações referentes a fragmentação são indicadas agora em um cabeçalho de
extensão apropriado.
Com o intuito de aumentar a velocidade do processamento dos roteadores, o campo

Soma de Verificação foi retirado, pois esse cálculo já é realizado pelos protocolos das
camadas superiores.
97
no novo cabeçalho, observe:
Seis campos do cabeçalho ipv4 foram removidos
Quatro campos tiveram seus nomes alterados e seus posicionamentos

Enquanto alguns campos foram removidos, outros tiveram seus nomes modificados no
98
Outra mudança refere-‐‐se a alteração do nome e do posicionamento de outros
quatro campos.
Esses reposicionamentos foram definidos para facilitar o processamento dessas

informações pelos roteadores.
Também foi adicionado um novo campo, o Identificador de Fluxo, acrescentado

um mecanismo extra de suporte a QoS ao protocolo IP.
E por fim, alguns campos foram mantidos, como é o caso de Versão e os de endereço
de origem e destino.
Na sequência, vamos conhecer um pouco mais sobre os campos do cabeçalho ipv6,

com um pequeno detalhamento sobre suas funcionalidades.
99
Versão (4 bits) n Identifica a versão do protocolo IP utilizado. No caso do IPv6 o
valor desse campo é 6.
Classe de Tráfego (8 bits) n Identifica e diferencia os pacotes por classes

de serviços ou prioridade. Ele continua provendo as mesmas funcionalidades
e definições do campo Tipo de Serviço do IPv4.
Identificador de Fluxo(20 bits) n Identifica e diferencia pacotes do mesmo fluxo

na camada de rede. Esse campo permite ao roteador identificar o tipo de fluxo de
cada pacote, sem a necessidade de verificar sua aplicação.
Tamanho do Dados(16 bits) n Indica o tamanho, em Bytes, apenas dosdados enviados

junto ao cabeçalho IPv6. Substituiu o campo Tamanho Total doIPv4, que indica o
tamanho do cabeçalho mais o tamanho dos dados transmitidos. Os cabeçalhos de
extensão também são incluídos no calculo do tamanho.
Próximo Cabeçalho(8 bits) n Identifica cabeçalho que se segue ao cabeçalho IPv6. Este
campo foi renomeado (no IPv4 chamavan se Protocolo) refletindo a nova
organização dos pacotes IPv6, pois agora este campo não contém apenas valores
referentes a outros protocolos, mas também indica os valores dos cabeçalhos de
extensão.
Limite de Encaminhamento(8 bits) n Indica o número máximo de roteadores que

o pacote IPv6 pode passar antes de ser descartado, sendo decrementado a cada
salto. Padronizou o modo como o campo Tempo de Vida (TTL) do IPv4 tem sido
utilizado, apesar da definição original do campo TTL, dizer que este deveria
indicar, em segundos, quanto tempo o pacote levaria para ser descartado caso não
chegasse ao seu destino.
Endereço de origem(128 bits) n Indica o endereço de origem do pacote.
Endereço de Destino(128 bits) n Indica o endereço de destino do pacote.
Diferente do IPv4, que inclui no cabeçalho base todas as informações opcionais, o IPv6
trata essas informações através de cabeçalhos de extensão. Estes cabeçalhos
localizamn se entre o cabeçalho base e o cabeçalho da camada imediatamente
100
acima, não havendo nem quantidade, nem tamanho fixo para eles. Caso existam
múltiplos cabeçalhos de extensão no mesmo pacote, eles serão adicionados em série
formando uma “cadeia de cabeçalhos”.
As especificações do IPv6 definem seis cabeçalhos de extensão: Hop-by-Hop

Options, Destination Options, Routing, Fragmentation, Authentication Header e
Encapsulating Security Payload.
A utilização dos cabeçalhos de extensão do IPv6, visa aumentar a velocidade de

processamento nos roteadores, visto que, o único cabeçalho de extensão processado
em cada roteador é o Hop-‐‐by-‐‐Hop;os demais são tratados apenas pelo nó
identificadono campo Endereço de Destino do cabeçalho base. Além disso, novos
cabeçalhos de extensão podem ser definidos e usados sem a necessidade de se alterar
o cabeçalho base.
Alguns aspectos sobre os cabeçalhos de extensão devem ser observados.
Primeiramente é importante destacar que, para evitar que os nós existentes ao longo
do caminho do pacote tenham que percorrer toda a cadeia de cabeçalhos de extensão
para conhecer quais informações deverão tratar, estes cabeçalhos devem ser enviados
respeitando um determinada ordem. Geralmente, os cabeçalhos importantes para
todos os nós envolvidos no roteamento devem ser colocados em primeiro lugar,
cabeçalhos importantes apenas para o destinatário final são colocados no final da
cadeia. A vantagem desta seqüência é que o nó pode parar de processar os cabeçalhos
assim que encontrar algum cabeçalho de extensão dedicado ao destino final, tendo
certeza de que nãohá mais cabeçalhos importantes a seguir.
Com isso, é possível melhorar significativamente o processamento dos pacotes, porque,

em muitos casos, apenas o processamento do cabeçalho base será suficiente para
encaminhar o pacote. Deste modo, a sequência a ser seguida é:
1. Hop-‐‐by-‐‐Hop Options
2. Routing
101
3. Fragmentation
4. Authentication Header
5. Encapsulating Security Payload
6. Destination Options
Também é vale observar, que se um pacote for enviado para um endereço multicast, os
cabeçalhos de extensão serão examinados por todos os nós do grupo.
Em relação à flexibilidade oferecida pelos cabeçalhos de extensão, merece destaque o

desenvolvido o cabeçalho Mobility, utilizado pelos nós que possuem suporte a
mobilidade IPv6.
ENDEREÇAMENTO IPV6
No IPv4, o campo do cabeçalho reservado para o endereçamento possui 32 bits. Este

tamanho possibilita um máximo de 4.294.967.296 (232) endereços distintos. A
época de seu desenvolvimento, está quantidade era considerada suficiente para
identificar todos os computadores na rede e suportar o surgimento de novas sub-
‐‐redes. No entanto, com o rápido crescimento da Internet, surgiu o problema da
escassez dos endereços IPv4, motivando a a criação de uma nova geração do protocolo
IP.
102
O IPv6 possui um espaço para endereçamento de 128 bits, sendo possível obter
340.282.366.920.938.463.463.374.607.431.768.211.456 endereços (2128). Este valor
representa aproximadamente 79 octilhões (7,9x1028) de vezes a quantidade de
endereços IPv4 e representa, também, mais de 56 octilhões (5,6x1028) de endereços por
ser humano na Terra, considerando-‐‐se a população estimada em 6 bilhões de
habitante
ESTRUTURA DO ENDEREÇO
• Formato hexadecimal de 128 bits (0-9, A-F)
• Utiliza os campos de número hexadecimais de 16 bits
separados por dois pontos (:)
• Cada 4 dígitos hexadecimais equivalem a 16 bits.
• Consiste em 8 sextetos/quartetos que equivalem a 16 bits
por sexteto.
2001:0DB8:0001:5270:0127:00AB:CAFE:0E1F /64
2001 em hexadecimal é o mesmo que 0010 0000 0000 0001 em

binário.
• O Prefixo do site ou o prefixo de roteamento global constitui--‐se dos

primeiros 3 sextetos ou 48 bits do endereço. Ele é determinado pelo
provedor de serviços.
• A Topologia do site ou o ID da sub--rede é o quarto sexteto do endereço.
• O ID da interface é composto pelos 4 últimos sextetos ou os últimos 64 bits
do endereço. Ele pode ser determinado manualmente ou dinamicamente
por meio do comando EUI--‐64 (identificador estendido exclusivo)
• Os primeiros 3 bits são fixados em 001 ou 200::/12 (número de

roteamento global IANA)
103
• Os bits 16-‐‐24 identificam o registro regional:
-‐‐ AfriNIC, APNIC, LACNIC, RIPE NCC and ARIN
2001:0000::/23 – IANA
2001:0200::/23 – APNIC (Região Ásia/Pacífico)
2001:0400::/23 – ARIN (Região da América do Norte)
2001:0600::/23 – RIPE (Europa, Oriente Médio e Ásia Central)
• Os 8 bits restantes até o 32 identificam o ISP
• O terceiro sexteto representa o identificador do site ou cliente.
• O quarto sexteto representa a topologia do site ou o ID da sub-‐‐

rede.
104
-‐‐ Permite 65.536 sub-‐‐redes com 18,446,744,073,709,551,616
(18 quintilhões) para cada sub-‐‐rede.
-‐‐ Não faz parte do endereço de host.
• O ID da interface é composto pelos últimos 64n bits do

endereço.
• Pode ser configurado manualmente ou dinamicamente usando o
EUIn 64 (identificador estendido exclusivo).
• O comando EUIn 64 usa o dispositivo de endereço MAC de 48
bits e o converte para 64 bits adicionando FF:FE no meio
do endereço.
• O primeiro endereço (rede) e último (broadcast) podem ser
designados para uma interface. Uma interface pode conter mais
de um endereço IPv6.
• Não há endereços de broadcast; usan se o multicast.
• O IPv6 usa o mesmo método que o IPv4 para a criação de sub-‐‐redes

em seus endereços.
105
• /127 fornece 2 endereços.
• /124 fornece 16 endereços
• /120 fornece 256 endereços
• O primeiro endereço em uma rede é formado somente por zeros,

enquanto o último é formado somente por efes (F).
• Por razões de simplicidade e de design, recomenda-‐‐se a utilização

de /64 em todos os locais. Usar qualquer coisa menor que /64
poderia possivelmente romper recursos de IPv6 e aumentar a
complexidade do projeto.
Regras dos zeros iniciais e dois pontos duplos (::)

• Zeros iniciais (0) em qualquer seção de 16 bits podem ser
omitidos.
Endereço antes da omissão:
2001:0DB8:0001:5270:0127:00AB:CAFE:0E1F /64
Endereço após a omissão:
2001:DB8:1:5270:127:AB:CAFE:E1F /64
• Essa regra se aplica somente a zeros iniciais; se zeros posteriores

forem omitidos, o endereço ficará vago.
106
• Os dois pontos duplos ou os zeros de compactação podem
ser usados para encurtar um endereço IPv6 quando um ou
mais sextetos são formados exclusivamente por zeros.
• Os dois pontos duplos só podem ser usados para compactar

blocos contínuos de 16 bits. Você não pode utilizar dois
pontos duplos para incluir parte de um bloco.
• Os dois pontos duplos podem ser usados apenas uma vez

em um endereço. Mais do que isso e o endereço poderá se
tornar ambíguo.
107
TIPOS DE ENDEREÇOS DO IPV6
• Endereço Unicast
• Identifica exclusivamente uma única interface em um

dispositivo de IPv6.
• Um pacote enviado para um endereço unicast viaja de um
host para o host de destino.
• Uma interface pode ter mais de um endereço IPv6 ou um
endereço combinado de IPv6 e IPv4, chamado de "Pilha
Dupla".
• Se ocorrerem erros na interface do IPv6 ao inserir um
endereço, o usuário deve acionar o comando no ipv6 address
antes de digitar o endereço correto, caso contrário o endereço
errado continuará aparecendo na interface. (veja a figura
abaixo)
108
• Endereço multicast
• Um endereço multicast identifica um grupo de interfaces.

• Todos os endereços multicast são identificados pela fileira de
endereço FF00::0/8
• Um pacote enviado para um endereço multicast é entregado
a todos os dispositivos identificáveis pelo endereço.
Protocolo multicast IPv4 multicast IPv6

OSPF (Router) 224,0.0,5 FF02::5
OSPF (DR/BDR) 224,0.0,6 FF02::6
RIPv2 224,0.0,9 FF02::9
EIGRP 224,0.0,10 FF02::A
• Endereço anycast
• Um endereço unicast pode ser designado para várias

interfaces/dispositivos.
• Um pacote enviado para um endereço de anycast vai apenas
até o membro mais próximos do grupo, de acordo com os
protocolos de roteamento e medidas de distância.
• Anycast é descrita como uma mistura entre unicast e
multicast.
A diferença entre anycast e multicast é que em anycast, o pacote é entregue
a um único dispositivo, enquanto que em multicast ele é enviado para
vários dispositivos.
109
Endereço local de link
• Endereços locais de link são projetados para serem

utilizados em um único local de link.
• Endereços locais de link são automaticamente
configurados em todas as interfaces.
• O prefixo usado por um endereço local de link é
FE80::X/10.
• Os roteadores não encaminham o pacote com endereço de
destino e de origem que contenham um endereço local de
link.
Endereço de loopback
• Função similar ao endereço de IPv4 127.0.0.1

• O endereço de loopback é 0:0:0:0:0:0:0:1, mas pode ser
simplificado usando dois pontos duplos como ::1.
• É usado por um dispositivo para enviar um pacote para si
mesmo
110
IPV6 IPV4
Endereço de 128 bits que contém o prefixo de Esquema de endereçamento de

32 bits que contém um host e
interface. uma parte da rede.
Utiliza um formato binário
entre 0 e 1.
Unidade máxima de transmissão de até 1280 Unidade máxima de
COMPARATIVO ENTRE IPV6 E IPV4
bytes. transmissão de até 576 bytes.

Endereços de rede e de broadcast podem ser Endereços de rede e de
designados para uma interface ou para broadcasts não podem ser
dispositivo final. designados para uma interface
Criptografia nativa de segurança de IP ou dispositivo final.
As tecnologias de VPN devem
ser usadas para criptografar os
pacotes de IPv4.
111
Tipos de ameaças
Redes de computadores com e sem fio são essenciais para as atividades
diárias. Indivíduos e organizações dependem de seus computadores e
redes. A invasão de uma pessoa não autorizada pode resultar em
interrupções dispendiosas na rede e perda de trabalho. Ataques em uma
rede podem ser devastadores e resultar em perda de tempo e dinheiro
devido a danos ou roubo de informações ou ativos importantes.
Os invasores podem obter acesso a uma rede através de

vulnerabilidades de software, ataques de hardware ou adivinhando o
nome de usuário e a senha de alguém. Os invasores que obtêm acesso
modificando o software ou explorando vulnerabilidades são chamados
de agentes de ameaças.
Depois que o agente da ameaça obtém acesso à rede, quatro tipos de

ameaças podem surgir.
Information theft está invadindo um computador para obter informações

confidenciais. As informações podem ser usadas ou vendidas para
diversos fins. Exemplo: roubar informações proprietárias de uma
organização, como dados de pesquisa e desenvolvimento.
Data loss and manipulation está invadindo um computador para destruir

ou alterar registros de dados. Um exemplo de perda de dados é um
agente de ameaças que envia um vírus que reformata o disco rígido do
computador. Um exemplo de manipulação de dados é invadir um sistema
de registros para alterar informações, como o preço de um item.
Identity theft é uma forma de roubo de informações em que informações

pessoais são roubadas com o objetivo de assumir a identidade de alguém.
Usando essas informações, um agente de ameaças pode obter
documentos legais, solicitar crédito e fazer compras on-line não
autorizadas. Identificar roubo é um problema crescente que custa bilhões
de dólares por ano.
Disruption of service está impedindo que usuários legítimos acessem

serviços aos quais têm direito. Exemplos: ataques de negação de serviço
(DoS) em servidores, dispositivos de rede ou links de comunicação de
rede.
112
Tipos de vulnerabilidades
Vulnerabilidade é o grau de fraqueza em uma rede ou dispositivo.
Algum grau de vulnerabilidade é inerente a roteadores, switches,
desktops, servidores e até dispositivos de segurança. Normalmente,
os dispositivos de rede sob ataque são os pontos finais, como
servidores e computadores desktop.
Existem três principais vulnerabilidades ou fraquezas: política

tecnológica, configuração e segurança. Todas essas três fontes de
vulnerabilidades podem deixar uma rede ou dispositivo aberto a
vários ataques, incluindo ataques de código malicioso e ataques de
rede.
113
Segurança física
Uma área vulnerável da rede igualmente importante a considerar é a
segurança física dos dispositivos. Se os recursos de rede puderem ser
fisicamente comprometidos, um agente de ameaça poderá negar o uso
de recursos de rede.
As quatro classes de ameaças físicas são as seguintes:
Ameaças de hardware - Isso inclui danos físicos a servidores,

roteadores, comutadores, instalações de cabeamento e estações de
trabalho. Ameaças ambientais - Isso inclui temperaturas extremas
(muito quentes ou muito frias) ou temperaturas extremas de umidade
(muito úmidas ou muito secas).
Ameaças elétricas - Isso inclui picos de tensão, tensão de alimentação
insuficiente (quedas de energia), energia não condicionada (ruído) e
perda total de energia.
Ameaças à manutenção - Isso inclui manuseio inadequado dos
principais componentes elétricos (descarga eletrostática), falta de peças
sobressalentes críticas, cabeamento inadequado e rotulagem
inadequada. Um bom plano de segurança física deve ser criado e
implementado para resolver esses problemas. A figura mostra um
exemplo de plano de segurança física.
114
Planejar a segurança física para limitar os danos
ao equipamento
115
Manter backups
Fazer backup de configurações e dados do dispositivo é uma das maneiras
mais eficazes de se proteger contra a perda de dados. Um backup de dados
armazena uma cópia das informações em um computador na mídia de
backup removível que pode ser mantida em um local seguro. Os
dispositivos de infraestrutura devem ter backups dos arquivos de
configuração e imagens do IOS em um servidor de arquivos FTP ou similar.
Se o computador ou o hardware de um roteador falhar, os dados ou a
configuração podem ser restaurados usando a cópia de backup.
Os backups devem ser realizados regularmente, conforme identificado na

política de segurança. Os backups de dados geralmente são armazenados
externamente para proteger a mídia de backup, se algo acontecer com a
instalação principal. Os hosts do Windows têm um utilitário de backup e
restauração. É importante que os usuários façam backup de seus dados em
outra unidade ou em um provedor de armazenamento baseado em nuvem.
A tabela mostra considerações de backup e suas descrições.
116
Atualização, atualização e patch
Manter-se atualizado com os desenvolvimentos mais recentes pode levar a uma defesa
mais eficaz contra ataques à rede. À medida que novos malwares são lançados, as
empresas precisam se manter atualizadas com as versões mais recentes do software
antivírus.
A maneira mais eficaz de atenuar um ataque de worm é baixar atualizações de segurança

do fornecedor do sistema operacional e corrigir todos os sistemas vulneráveis. A
administração de vários sistemas envolve a criação de uma imagem de software padrão
(sistema operacional e aplicativos credenciados que são autorizados para uso em sistemas
clientes) implantada em sistemas novos ou atualizados. No entanto, os requisitos de
segurança são alterados e os sistemas já implantados podem precisar ter patches de
segurança atualizados instalados.
Uma solução para o gerenciamento de patches críticos de segurança é garantir que todos
os sistemas finais baixem automaticamente as atualizações, conforme mostrado no
Windows 10 na figura. Os patches de segurança são baixados e instalados
automaticamente sem a intervenção do usuário.
117
Autenticação, Autorização e Contabilidade
Todos os dispositivos de rede devem ser configurados com segurança para
fornecer acesso apenas a indivíduos autorizados. Os serviços de segurança
de rede de autenticação, autorização e contabilidade (AAA ou "triplo A")
fornecem a estrutura principal para configurar o controle de acesso nos
dispositivos de rede.
O AAA é uma maneira de controlar quem tem permissão para acessar uma
rede (autenticar), quais ações eles executam enquanto acessam a rede
(autorizar) e fazer um registro do que foi feito enquanto eles estão lá
(contabilidade).
O conceito de AAA é semelhante ao uso de um cartão de crédito. O cartão

de crédito identifica quem pode usá-lo, quanto esse usuário pode gastar e
mantém em conta os itens em que o usuário gastou dinheiro, conforme
mostrado na figura.
118
Firewalls
Um firewall é uma das ferramentas de segurança mais eficazes disponíveis
para proteger os usuários contra ameaças externas. Um firewall protege
computadores e redes, impedindo que tráfego indesejável entre nas redes
internas.
Os firewalls de rede residem entre duas ou mais redes, controlam o tráfego

entre elas e ajudam a impedir o acesso não autorizado. Por exemplo, a
topologia superior na figura ilustra como o firewall permite que o tráfego
de um host de rede interno saia da rede e retorne à rede interna. A
topologia inferior ilustra como o tráfego iniciado pela rede externa (ou seja,
a Internet) tem acesso negado à rede interna.
Operação de firewall
119
Um firewall pode permitir que usuários externos tenham acesso controlado a
serviços específicos. Por exemplo, servidores acessíveis a usuários externos
geralmente estão localizados em uma rede especial denominada DMZ (zona
desmilitarizada), conforme mostrado na figura. A DMZ permite que um
administrador de rede aplique políticas específicas para hosts conectados a essa
rede.
A figura mostra um retângulo, rotulado Dentro. Dentro do retângulo há um pc.

Fora e à direita do retângulo, há um firewall. À direita do firewall, há uma nuvem
chamada Internet. Acima do firewall, há um servidor DMZ dentro de um
retângulo. Existem duas setas, uma que vai do PC através do firewall para o
servidor DMZ e outra da Internet através do firewall para o servidor DMZ.
Topologia de firewall com DMZ
120
Tipos de firewalls
Os produtos de firewall são fornecidos de várias formas. Esses produtos
usam técnicas diferentes para determinar o que será permitido ou negado o
acesso a uma rede. Eles incluem o seguinte:
• Packet filtering - Impede ou permite o acesso com base em endereços

IP ou MAC
• Application filtering - Impede ou permite o acesso por tipos de
aplicativos específicos com base nos números de porta
• URL filtering - Impede ou permite o acesso a sites com base em URLs
ou palavras-chave específicas
• Stateful packet inspection (SPI) - Pacotes recebidos devem ser
respostas legítimas a solicitações de hosts internos. Pacotes não
solicitados são bloqueados, a menos que seja permitido
especificamente. O SPI também pode incluir a capacidade de
reconhecer e filtrar tipos específicos de ataques, como negação de
serviço (DoS)
Segurança do Endpoint
Um ponto final, ou host, é um sistema ou dispositivo de computador
individual que atua como um cliente de rede. Os pontos de extremidade
comuns são laptops, desktops, servidores, smartphones e tablets. Proteger
dispositivos de terminal é um dos trabalhos mais desafiadores de um
administrador de rede, pois envolve a natureza humana. Uma empresa
deve ter políticas bem documentadas e os funcionários devem estar cientes
dessas regras. Os funcionários precisam ser treinados sobre o uso adequado
da rede. As políticas geralmente incluem o uso de software antivírus e a
prevenção de intrusões no host. Soluções de segurança de endpoint mais
abrangentes dependem do controle de acesso à rede.
121
Senhas
Para proteger dispositivos de rede, é importante usar senhas fortes. Aqui

estão as diretrizes padrão a seguir:
• Use um comprimento de senha de pelo menos oito caracteres, de

preferência 10 ou mais caracteres. Uma senha mais longa é uma senha
mais segura.
• Torne as senhas complexas. Inclua uma combinação de letras
maiúsculas e minúsculas, números, símbolos e espaços, se permitido.
• Evite senhas baseadas em repetição, palavras comuns no dicionário,
seqüências de letras ou números, nomes de usuários, nomes relativos
ou de animais de estimação, informações biográficas, como datas de
nascimento, números de identificação, nomes de ancestrais ou outras
informações facilmente identificáveis.
• Deliberadamente, digite uma senha incorretamente. Por exemplo,
Smith = Smyth = 5mYth ou Security = 5ecur1ty.
• Troque as senhas com frequência. Se uma senha for inconscientemente
comprometida, a janela de oportunidade para o agente de ameaças
usar a senha é limitada.
• Não anote as senhas e deixe-as em locais óbvios, como na mesa ou no
monitor.
As tabelas mostram exemplos de senhas fortes e fracas.
122
Nos roteadores Cisco, os espaços iniciais são ignorados para senhas, mas os
espaços após o primeiro caractere não são. Portanto, um método para criar
uma senha forte é usar a barra de espaço e criar uma frase composta de
muitas palavras. Isso é chamado de senha. Uma senha é geralmente mais
fácil de lembrar do que uma senha simples. Também é mais longo e mais
difícil de adivinhar.
Segurança de senha adicional

Senhas fortes são úteis apenas se forem secretas. Existem várias etapas que
podem ser tomadas para ajudar a garantir que as senhas permaneçam
secretas em um roteador e switch Cisco, incluindo estes:
• Criptografando todas as senhas de texto sem formatação

• Definindo um tamanho mínimo aceitável de senha
• Determinando ataques de adivinhação de senha de força bruta
• Desativando um acesso no modo EXEC privilegiado inativo após um
período de tempo especificado.
Conforme mostrado na configuração de amostra da figura, o comando

service password-encryption global configuration impede que indivíduos
não autorizados visualizem senhas em texto sem formatação no arquivo de
configuração. Este comando criptografa todas as senhas de texto sem
formatação. Observe no exemplo, que a senha "cisco" foi criptografada
como "03095A0F034F".
Para garantir que todas as senhas configuradas tenham no mínimo um

comprimento especificado, use o comando security passwords min-length
no modo de configuração global. Na figura, qualquer nova senha
configurada teria que ter um comprimento mínimo de oito caracteres.
Os atores de ameaças podem usar o software de quebra de senha para

realizar um ataque de força bruta em um dispositivo de rede. Esse ataque
tenta adivinhar as senhas válidas até que funcione. Use o comando login
block-for # attempts # within # global configuration para impedir esse
tipo de ataque. Na figura, por exemplo, o comando login block-for 120
attempts 3 within 60 bloqueará as tentativas de login vty por 120
segundos se houver três tentativas de login com falha dentro de 60
segundos.
123
Os administradores de rede podem se distrair e deixar acidentalmente uma sessão
privilegiada no modo EXEC aberta em um terminal. Isso pode permitir que o
acesso de um agente de ameaças interno altere ou apague a configuração do
dispositivo.
Por padrão, os roteadores Cisco efetuam logout de uma sessão EXEC após 10
minutos de inatividade. No entanto, você pode reduzir essa configuração usando o
comando exec-timeout minutes seconds line configuration. Este comando pode
ser aplicado ao console online, auxiliar e linhas vty. Na figura, dizemos ao
dispositivo Cisco que desconecte automaticamente um usuário inativo em uma
linha vty após o usuário ficar inativo por 5 minutos e 30 segundos.
124
Ativar SSH
O Telnet simplifica o acesso ao dispositivo remoto, mas não é seguro. Os
dados contidos em um pacote Telnet são transmitidos sem criptografia. Por
esse motivo, é altamente recomendável ativar o Secure Shell (SSH) em
dispositivos para acesso remoto seguro.
É possível configurar um dispositivo Cisco para suportar SSH usando as seis

etapas a seguir:
Etapa 1. Configure um nome de host de dispositivo exclusivo. Um

dispositivo deve ter um nome de host exclusivo que não seja o padrão.
Etapa 2. Configure o nome do domínio IP. Configure o nome de domínio

IP da rede usando o comando ip-domain name do modo de configuração
global.
Etapa 3. Gere uma chave para criptografar o tráfego SSH. O SSH

criptografa o tráfego entre a origem e o destino. No entanto, para fazer isso,
uma chave de autenticação exclusiva deve ser gerada usando o comando de
configuração global rypto key generate rsa general-keys modulus bits. Os
bits do módulo determinam o tamanho da chave e podem ser configurados
de 360 a 2048 bits. Quanto maior o valor do bit, mais segura a chave. No
entanto, valores de bits maiores também levam mais tempo para
criptografar e descriptografar informações. O comprimento mínimo
recomendado do módulo é 1024 bits.
Etapa 4. Verifique ou crie uma entrada de banco de dados local. Crie

uma entrada de nome de usuário do banco de dados local usando o
comando username global configuration. No exemplo, o parâmetro secret é
usado para que a senha seja criptografada usando o MD5.
Etapa 5. Autentique no banco de dados local. Use o comando de

configuração da linha local de login para autenticar a linha vty no banco de
dados local.
125
Etapa 6. Habilite as sessões SSH de entrada vty. Por padrão, nenhuma
sessão de entrada é permitida nas linhas vty. Você pode especificar vários
protocolos de entrada, incluindo Telnet e SSH, usando a entrada de
transporte [ssh | comando telnet].
Como mostrado no exemplo, o roteador R1 está configurado no domínio

span.com. Essas informações são usadas junto com o valor de bit
especificado no comando crypto key generate rsa general-keys modulus
para criar uma chave de criptografia.
Em seguida, é criada uma entrada de banco de dados local para um usuário

chamado Bob. Finalmente, as linhas vty são configuradas para se autenticar
no banco de dados local e aceitar apenas sessões SSH recebidas.
126
Desativar serviços não utilizados
Os roteadores e switches da Cisco começam com uma lista de serviços ativos
que podem ou não ser necessários em sua rede. Desative todos os serviços
não utilizados para preservar os recursos do sistema, como ciclos de CPU e
RAM, e impedir que os agentes de ameaças explorem esses serviços. O tipo
de serviços que estão ativados por padrão variará dependendo da versão do
IOS. Por exemplo, o IOS-XE normalmente terá apenas portas HTTPS e DHCP
abertas. Você pode verificar isso com o comando show ip ports all, como
mostrado no exemplo.
As versões do IOS anteriores ao IOS-XE usam o comando show control-

plane host open-ports. Mencionamos esse comando porque você pode vê-lo
em dispositivos mais antigos. A saída é semelhante. No entanto, observe que
esse roteador mais antigo possui um servidor HTTP inseguro e o Telnet em
execução. Ambos os serviços devem estar desabilitados. Como mostrado no
exemplo, desative o HTTP com o comando no ip http server global
configuration. Desative o Telnet especificando apenas SSH no comando de
configuração de linha, transport input ssh.
127
Capítulo 4 – Switching
128
SWITCHING NO CCNA
O assunto switching na certificação CCNA, possui uma ampla abrangência de conteúdos,

porém na sua grande maioria apenas os conceitos iniciais e básicos são cobrados. Abaixo
serão tratados estes assuntos de forma um pouco mais profunda que o contexto da
certificação para que possamos oferecer uma boa base tanto para quem pretende
apenas realizar a prova CCNA como também para aqueles que pretendem melhorar sua
atuação profissional em redes Cisco.
Vamos aos assuntos...
Domínios de colisão Redes Compartilhadas
No passado as redes entre computadores PC funcionavam através de conexões fisícas

feitas a um cabo coaxial chamdo de Backbone. Ele recebeu este nome por representar
a “espinha dorsal” da rede, sua principal via de tráfego. Tempos depois, a evolução levou
a rede ethernet para a chamada topologia em estrela, onde os hosts passaram a ser
conectados a um equipamento central chamado de HUB. Além disso, também houve
mudança no meio físico. O então cabo coaxial foi substituído pelo cabo de par trançado,
ainda hoje amplamente utilizado nas redes.
* Rede em barramento com cabo coaxial
* Rede em topologia estrela
129
Este modelo de rede ethernet centralizada no hub, trazia como vantagens algumas
melhorias no padrão elétrico e de conectividade. Se um host fosse desconectado
fisicamente da rede os outros não sofreriam impacto como ocorria no modelo em
barramento. Também pesava o fato de que o cabo de par trançado era mais leve e de
fácil instalação e manutenção.
Entretanto, fatores importantes não sofreram grandes modificações com esta mudança.
O hub era um equipamento associado à camada física do modelo OSI e não possuia as
funcioalidades de camada de enlace. Por esse motivo ele não tinha condições de efetuar
a leitura do quadro e identificar os endereços MAC de origem e de destino que já havia
sido colocados ali pela placa de rede do dispositivo transmissor. Dessa forma, o padrão
de trabalho do hub era encaminhar os quadros recebidos para todas as suas portas,
menos a porta de origem. Ao receberem os quadros vindos do hub, cada placa de rede
dos hosts comparava o endereço MAC de destino do quadro recebido com seu próprio
endereço. Se ocorresse correspondência, o quadro era recebido e encaminhado às
camadas mais altas. Do contrário era descartado.
Fica claro que neste modelo de comunicação, os hosts na maior parte do tempo
recebem quadros que devem descartar. Isto, além de gerar um movimento intenso na
rede para um volume bem menor de comunicação efetiva, também ampliava muito as
possibilidades de erros. Erros, principalmente associados ao que chamamos de colisão,
pois ao mesmo tempo em que o hub não conseguia dar encaminhamento fim a fim para
as mensagens, ele também possuía barramento único compartilhado por todas as
estações. Internamente, o hub era semelhante ao backbone do cabo coaxial. E o
protocolo elétrico original da rede ethernet (CSMA/CD) antecipava a possibilidade de
múltiplos hosts tentarem transmitir ao mesmo tempo, ou ainda que isso ocorresse de
fato entre 2 ou mais computadores. A colisão, que era o encontro de 2 ou mais sinais no
meio físico (dentro do hub), ocorria repetidas vezes no ambiente de rede. Era dissipada
pelos mecanismos de controle como estava previsto, porém a tolerância ao aumento na
quantidade de hosts compartilhando o meio físico (hub) era moderada. O hub era
chamado de domínio de colisão, e quando esse domínio crescia demais, os
130
impactos negativos para o funcionamento da rede eram significativos. Observe uma
imagem que demonstra o funcionamento do antigo CSMA/CD:
Pense e responda:
Como um domínio de colisão era ampliado? Quais ações provocavam este aumento?
Segmentação  Redes comutadas
Quando os sistemas operacionais evoluíram para o modo gráfico, além do aumento de

performance do hardware dos PC’s e também da convergência de rede, as redes
rapidamente mostraram-‐‐se ineficientes com seu modelo de comunicação
compartilhada pelo hub.
131
Alguns progressos foram necessários e o maior deles foi o surgimento de um
dispositivo denominado Bridge. Observe as figuras abaixo:
Figura 1
Figura 2
Na figura 1, temos um domínio de colisão ampliado entre 2 hubs. Neste caso, todos
computadores existentes nos 2 segmentos compartilham um único meio físico e as
colisões ocorrem com mais frequência, prejudicando muito o desempenho da rede.
132
Na figura 2, a presença da bridge entre os hubs trouxe uma melhoria considerável para
a rede. A bridge tinha a capacidade de “aprender” os endereços MAC associados a cada
uma de suas 2 portas. Dessa maneira, o tráfego ficava isolado a um dos lados quando
origem e destino estavam desse mesmo lado. Isto evitava que colisões fossem
expandidas entre os 2 segmentos físicos da rede. Na figura 2 passamos a ter 2 domínios
de colisão ao invés de um único como representado na figura 1. Neste tempo, as redes
começavam a mudar em termos de colisão e apresentar um aspecto semelhante ao que
temos atualmente.
A figura 3 abaixo mostra um novo passo na evolução da rede ethernet e na

substituição do modelo compartilhado pela rede comutada:
Com o aumento no tamanho das redes e proporcional diminuição nos custos de portas
dos switches, esses equipamentos foram aparecendo nas redes, trazendo vantagens
sobre as bridges:
 Maior número de portas
133
 Comutação realizada em nível de hardware, por um chip denominado ASIC
 Expansão de recursos para a rede, além de ganho de performance
 Microssegmentação, expandindo barramentos de comunicação com a rede,
observe na figura abaixo:
Em paralelo ao aumento da quantidade de computadores nas redes, vieram também a

melhoria e o surgimento de um sem número de aplicações. Aplicações para todo tipo
de tarefas que anteriormente nem eram realizadas em computadores. Estas novas
aplicações também trouxeram ampliação de recursos para as páginas de internet com
consequente avanço dos recursos dos navegadores de web.
E toda essa evolução nas aplicações dos computadores, acarretaram também um peso
maior ao tráfego de dados que atravessava as redes. De forma que a evolução natural
das tecnologias, exterminou por completo a rede compartilhada com uso de hubs. E o
novo tempo trouxe um ambiente de rede como o demonstrado abaixo, na mais abaixo:
134
Neste modelo, totalmente escalável, pelo fato de que o switch central normalmente
possui capacidades ampliadas para receber novos grupos, pode-‐‐se fazer uso de
recursos existentes em cada equipamento (switch) para melhoria da rede como um
todo. Esses recursos, que também começaram a surgir no princípio das redes
comutadas, vem se expandindo e estão diretamente associados ao poder de
gerenciamento agregado aos ativos da rede.
Este poder de gerenciamento dos dispositivos de rede, podem e devem ser explorados
ao máximo, para que se consiga organizar as redes da forma mais otimizada possível.
Atualmente, o adequado funcionamento de uma rede, depende mais da boa

configuração desses recursos ligados aos dispositivos de infraestrutura do que dos
135
próprios servidores que no passado controlavam tudo o que funcionava nos ambientes
de rede. E cada vez mais, muitas das funcionalidades dos servidores vão sendo
transferidas para roteadores, switches e outros dispositivos, tornando necessário o
bom planejamento para implementação e suporte da infraestrutura onde estão estes
equipamentos.
Os switches ampliaram a capacidade das antigas bridges em “aprender” e registrar em

suas tabelas os endereços MAC dos dispositivos conectados a eles. A tabela CAM
(Content Addressable Memory) registra cada endereço MAC que origina
uma comunicação associandon o à sua respectiva interface. Um ponto importante
é que dessa forma, podemos dizer que são os endereços de origem numa
comunicação, que alimentam a tabela CAM.
Existe ainda um controle de tempo ao armazenar cada endereço associado a uma

porta, de forma que se possa determinar quanto tempo de inatividade existe entre o
host e a rede. No caso do registro desse endereço na tabela ter ocorrido de forma
dinâmica, como na maioria das vezes, o tempo limite de inatividade é de 300 segundos
(5 minutos). Após este tempo, o endereço é automaticamente excluído da interface e
voltará para lá apenas quando ocorrer um novo tráfego originado por aquele host. Isto
permite uma eficiência maior no controle e administração da tabela CAM por parte do
switch.
Nas redes comutadas atualmente, são utilizadas muitos modelos de switches. Dos mais
variados fabricantes . Se procurarmos em relação a preços, encontraremos produtos que
vão de simples 20 dólares até milhares e milhares de dólares. Alguns concorrendo em
preço até mesmo com um bom imóvel hoje em dia.
A Cisco, para facilitar a compreensão e identificação de seus equipamentos, organiza

as topologias de rede em 3 camadas.
Observe na imagem seguinte que existe a semelhança com uma pirâmide, onde os
usuários da rede estão na base e o núcleo da rede no topo.
136
MODELO DE 3 CAMADAS CISCO
Acesso: Aqui estão os equipamentos que conectam as áreas de trabalho e usuários à

rede. Normalmente estão nos racks dos chamados IDF´s disponibilizando pontos de
acesso à rede a todo o ambiente de produção da empresa. Esta é a camada mais
populada da rede e deve ser o local onde a maioria dos problemas devem ser
identficados e resolvidos. Normalmente, numa rede extensa utiliza apenas switches L2.
Distribuição: Camada de junção de toda a camada de acesso da rede. Em redes extensas,

aqui se distribuem os switches L3, com roteamento entre vlans, entregas de endereços
lógicos (DHCP), além de outros filtros que podem limitar a comunicação entre as redes.
Core: Switches de maiores capacidades, via de tráfego rápido da rede, backone principal,
interligação com roteadores e links de WAN. Quando o tráfego chega nesta camada,
deve estar livre de todo tipo de filtragem e correções para que possa ser tratado em via
rápida.
137
As plataformas de equipamentos da Cisco se distribuem em função desta camadas. No
CCNA o foco é voltado para a camada de acesso. Nossas intenções de configuração se
concentrarão a esta camada, com poucas exceções.
Apesar disso, vale lembrar que pelo fato de estarmos tratando de equipamentos onde
está presente o IOS Cisco, a grande maioria dos comandos existe em todas as
plataformas.
Um informação importante a ser considerada, é que existem claras diferenças técnicas

entre equipamentos localizados em cada uma desta camadas. Grandes diferenças de
performance de processamento, quantidades de memória, quantidade de vlans
propagadas e uma série de outros recursos são vinculadas a cada plataforma, de acordo
com sua camada de atuação.
Aqui trataremos de switches Cisco relacionados a camada de acesso. Nosso modelo de

exemplo é o Catalyst 2960. Dentro desta plataforma, encontramos equipamentos mais
simples, com 12 portas 10/100, sem possibilidade de expansão, até equipamentos de 48
portas 10/100/1000 com recursos PoE (fornecimento de energia para alimentação de
telefones, AP´s, câmeras, etc). Todos atuam na camada de enlace e trazem grandes
possibilidades de recursos para a rede.
ACESSO INICIAL E COMANDOS BÁSICOS DO SWITCH
Logo ao ligarmos um Catalyst 2960, nos deparamos com um processo de inicialização

semelhante a um computador, embora por vezes, seja mais lento...
138
Durante este processo, a programação existente na memória ROM do equipamento
executa vários testes envolvendo o hardware principal como memórias (RAM, NVRAM,
FLASH). Estes testes também recebem o nome de POST (Power on self test).
Após esta fase, o IOS, sistema operacional (proprietário Cisco) que normalmente se
encontra armazenado na memória flash é acionado, descompactado e carregado para a
memória RAM.
Em seguida será a vez do carregamento do arquivo de configurações que fica

armazenado na memória NVRAM (Ram não volátil) em conjunto com um pequeno
arquivo armazenado na flash chamado vlan.dat. Este arquivo é o banco de dados das
vlans existentes no switch.
139
Ao término destas rotinas o equipamento encontra-‐‐se pronto para uso e configuração.
No entanto, se considerarmos o uso de um equipamento que ainda não está
configurado, encontramos a seguinte tela inicial:
O prompt inicial, mostra o símbolo “>” a frente do nome padrão do equipamento. Este
símbolo identifica o modo inicial de utilização, chamado de modo usuário. No modo
usuário, não existem direitos administrativos para realização de configurações e nem se
pode visualizar aspecto estratégicos da configuração. As tarefas possíveis no modo
usuário são mais ligadas a um trabalho de help desk nível básico, onde se pode coletar
poucas e básicas informações.
Para ascender ao modo administrativo, utilizamos o comando “enable” digitado no

prompt do modo usuário.
140
O símbolo “#” mostra o prompt no modo privilegiado, que é o ambiente administrativo
do IOS. A partir deste prompt pode-‐‐se acessar outros onde é possível realizar
configurações que afetam o router como um todo, ou apenas determinadas interfaces.
A mudança descrita acima, é a mais importante do ambiente do IOS, pois se trata do

momento em que passamos do modo usuário para o local onde se tem poderes
administrativos no equipamento que está sendo gerenciado. Por este motivo, como
parte de uma configuração básica do switch está a colocação de uma senha que deve
controlar esse acesso, observe:
Switch> enable
Switch# configure terminal Este comando permite o acesso ao “modo de

configuração global” , necessário para realização da maioria das configurações.
Switch(config)# enable secret class  “enable secret” corresponde ao comando e

“class” a senha que está sendo definida.
Após esta configuração, a senha será solicitada a qualquer acesso ao modo

privilegiado.
Além desta senha, de vital importância para a segurança do gerenciamento do switch,

existe um conjunto de configurações que compõem a “configuração básica” do switch
sob a óptica do ccna. Abaixo um destaque a estas configurações:
Switch> enable
Switch# configure terminal
Switch#(config)hostname Sw_1  Nome host ao equipamento
Sw_1#(config)
O nome de host é muito importante como uma das primeiras configurações do

equipamento por questões de gerenciamento.
Switch> enable
Switch#(config) line console 0
Switch#(config) password @b&lh@35
Switch#(config) login
141
Os comandos acima definem a senha @b&lh@35 para ser utilizado nos acessos via
porta console ao equipamento.
Switch> enable
Switch#(config) line vty 0 15
Switch#(config) password t0rr&27
Switch#(config) login
Nos comandos anteriores são configurados 16 terminais para acesso via telnet ao
switch, utilizando a senha t0rr&27. O acesso telnet é uma da principais e
mais
comumente utilizadas formas de acesso remoto a um equipamento via rede. O

gerenciamento remoto, dos dispositivos normalmente é feito desta forma. Para que este
acesso seja possível, além das configurações anteriores, também é necessário
atribuir um endereço ip ao switch.
Como se trata de um equpamento L2, o endereço ip não é atribuído a uma interface

física, mas a vlan principal do switch, chamada de vlan 1. Esta vlan que normalmente
possui diversos atributos importantes no switch deve ser acessada e ativada como
uma interface:
Switch> enable
Switch#(config)interface vlan 1
Switch#(configp if) ip address 192.168.1.50 255.255.255.0
Switch#(configp if) no shutdown
Após a atribuição do endereço e ativação da vlan 1 como interface, o switch estará

fazendo parte da rede escolhida para gerenciamento.
E o acesso remoto para gerenciamento, poderá ser feito tanto por telnet como também
por interface gráfica. Para este último ítem pode ser necessário o acréscimo de um
comando que habilite o acesso por browser:
Switch(config)# ip http server
142
Dependendo da versão do IOS este comando pode até mesmo já estar habilitado
padronizadamente, apesar de ser considerado por muitos uma falha de segurança por
permitir um modelo de acesso ao dispositivo sem que isso tenha sido configurado
previamente por algum responsável pelo equipamento.
Neste ponto das configurações básicas, temos um equipamento já com as principais

senhas de acesso definidas, pronto para ser gerenciado. Talvez seja o momento de já
nos preocuparmos com a gravação em memória permanente do que já está pronto.
Tudo o que foi feito no switch até este momento, está em operação na memória RAM.
Memória volátil, que perderá todo este conteúdo se houver um desligamento ou queda
de energia no dispositivo. Precisamos “salvar” estas configurações na memória fixa.
Memória NVRAM, onde o conteúdo ficará gravado mesmo após algum desligamento. O
procedimento para isto é o seguinte:
Switch# copy running-config startup--config [enter]

Destination filename [startup--config]? [enter]
Após a digitação do comando, seguido de enter, receberemos a pergunta de

confirmação sobre a gravação na memória NVRAM, bastando pressionar o enter
novamente para confirmar. Vale lembrar que:
Running-config -‐‐ Nome pelo qual nos referimos à memória RAM no Cisco IOS.
Startup--config -‐‐ Nome pelo qual nos referimos à memória NVRAM no Cisco IOS.
USO DO HELP NO IOS
Os recursos de help existentes no IOS Cisco são contextualizados de acordo com cada
prompt onde estejamos trabalhando. Para se acionar o help basta digitar o ?. E
dependendo do prompt onde estivermos, receberemos informações sempre no
contexto daquele ambiente. As informações normalmente consistem do nome do
comando ou parâmetro do comando e logo à frente, um breve detalhamento da
funcionalidade. Vejamos alguns exemplos...
No modo usuário:
143
Um número menor de comandos no modo EXEC usuário e um quantidade maior no
modo EXEC privilegiado:
144
E no modo de configuração global
E também no prompt de interfaces
Durante o uso do help podemos identificar complementos de nomes de comandos

apenas colocando o ? junto ao pedaço da palavra que sabemos a respeito do comando,
observe:
Switch#con?
configure connect
145
Neste caso, recebemos a informação de que neste prompt temos 2 comandos
iniciados por “con”. Se acrescentarmos mais uma letra poderemos sair da
ambiguidade:
Switch#conf?
configure
Neste caso, se colocarmos um espaço entre o pedaço da palavra e o ?, teremos os
parâmetros subordinados ao comando escolhido:
Switch#conf ?
terminal Configure from the terminal
<cr>
Neste caso, como subcomando de “configure” temos “terminal”. E na frente da palavra
a descrição rápida da funcionalidade. A presença do “<cr>” logo abaixo, indica que após
a digitação da palavra “configure” poderíamos pressionar um “enter” que o comando já
entraria em operação. Esta operação poderia até mesmo ser a solicitação de mais
parâmetros.
Veja também o exemplo abaixo:
146
Note que no exemplo acima, após a lista de parâmetros subordinados ao comando
“show”
CONFIGURAÇÕES DE INTERFACES
As principais funcionalidades dos switches estão associadas à suas interfaces de

conexão. Sempre é bom lembrar que através destas interfaces é que fornecemos
conectividade a todos os dispositivos que acessam a rede, tais como computadores,
telefones, impressoras, câmeras, extensões para redes sem fio e muitos outros.
Determinadas alterações feitas nas interfaces do switch, podem influenciar diretamente
a maneira como todos os elementos da rede, recebem ou enviam dados.
Existem diversas configurações de interfaces que já saem de fábrica padronizadas pelo

fabricante. Algumas até visam mesmo facilitar o trabalho de administradores de redes
menos experientes com o switch.
Mas, há algum tempo, as tais configurações padronizadas vem sendo muito

questionadas, principalmente no âmbito da segurança, por abrirem espaço para
147
explorações e vulnerabilidades nas redes. Vejamos alguns casos, mais relacionados ao
CCNA:
Velocidade das portas e forma de comunicação duplex, são padronizadamente definidos

para auto negociação. Em outras palavras, o switch sai de fábrica com suas interfaces
preparadas para negociar com os hosts a melhor forma de comunicação que ambos
possam reproduzir. Isto tem produzido alguns problemas de compatibilidade com
determinadas placas de rede. O resultado destas dificuldades na auto negociação se
refletem em demoras para estabelecimento de conexão, perdas de dados e até
conexões mal estabelecidas gerando problemas contínuos na comunicação.
A recomendação para esta situação em relação ao switch, é que a interfaces na medida

do possível seja definidas em relação ao formato e a velocidade da comunicação com os
hosts. Observe abaixo...
Switch(config)#interface gi1/1
Switch(config-if)#speed ?
10 Force 10 Mbps operation
auto Enable AUTO speed configuration
No exemplo acima, uma interface GigabitEthernet pode ser configurada com uma das
velocidades específicas ao invés de “auto” como é o seu padrão. Vale lembrar que para
um bom funcionamento desta alteração pode ser importante sincronizar a mudança
com o host também. Pode ser necessário configurar da mesma forma a placa de rede
do host para que não ocorram incompatibilidades. E uma boa dose de organização, para
que todas as novas conexões de host também passem por este ajuste.
Em relação ao duplex, teríamos o seguinte:
Switch(config)#interface gi1/1
Switch(config-if)#duplex ?
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation
Você saberia apontar as diferenças entre o formato full-‐‐duplex e half-‐‐duplex? Escreva
abaixo:
148
Fulln duplex:
Halfn duplex:
Ainda em relação ao formato da conexão da interface do switch com o meio externo,

existem 2 configurações que se destacam:
Formato ACCESS, ou modo de acesso: Quando a interface está configurada para atuar
dentro de uma vlan específica. Normalmente para interfaces de conexão com hosts de
qualquer tipo.
Formato TRUNK : Quando a interface está configurada para permitir o tráfego de

quadros de qualquer uma das vlans existentes no ambiente. Normalmente para
interfaces de interligação entre switches, ou uplink como normalmente se diz.
Em condições padrão, as interfaces da maioria dos switches Catalyst aceitam

negociação entre estes 2 modos, apenas por um detalhe extremamente simples. Basta
conectar um cabo cruzado à interface que o switch “imagina” que na outra ponta
haverá um outro switch, motivo pelo qual deverá utilizar um link de trunk. Apesar de o
objetivo principal disto ser a facilidade para quem administra os equipamentos,
abren se um espaço aos mal intencionados que poderiam estabelecer um trunk
entre o switch e um pc, por exemplo. E com uso de ferramentas hacker podem
“abrir” o tráfego de quaisquer vlans que passem por ali, gerando uma quebra
completa da segurança e isolamento conferidos pelas vlans ao ambiente da rede.
Dessa forma, como procedimento padrão, devemos definir antecipadamente quais

portas do switch receberão conexões de hosts e atribuir a elas a
seguinte configuração:
149
Switch(config)#interface range fa0/1 - 20
Switch(config-if-range)#switchport mode access
Além desta preocupação, devemos ainda desabilitar todas as portas que não estiverem
sendo utilizadas e voltar a ativá-‐‐las apenas quando for necessário o seu uso:

Switch(config-if-range)# shutdown
Isto evita que acessos não autorizados sejam início para invasões e problemas de
segurança com a rede.
Seguindo pelo caminho das configurações básicas de interfaces do switch, temos ainda
algumas configurações importantes:

Switch(config-if-range)#spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single

host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
%Portfast will be configured in 20 interfaces due to the range command

but will only have effect when the interfaces are in a non-trunking mode.
Este comando de interface, desabilita parte do Spanning-‐‐tree, evitando demora no

acionamento das portas ao conectarmos um host. Isto apenas deve ser feito em portas
onde sejam conectados hosts. Nunca em portas de uplink com trunk, por exemplo. Se
este comando for configurado em portas de conexão com outros switches, existe a
possiblidade de ocorrer looping de comutação, gerando a parada da rede em poucos
segundos. O protocolo que funciona no switch para evitar estes loopings é o Spanning-‐‐
tree que será melhor explanado na sequência deste material.
Visando aprimorar a segurança de acesso à rede, o Cisco IOS do switch possui um

recurso denominado PORT-‐‐SECURITY. Este recurso permite que vinculemos um
determinado (ou vários) endereços MAC a uma interface de forma que apenas o
150
tráfego gerado a partir destes endereços autorizados atravesse a interface
configurada.
A programação do PORT-‐‐SECURITY permite a definição de grupos de endereços MAC

atribuídos estaticamente à interface e caso algum endereço não autorizado tente
acessar a rede por aquela interface, as ações podem restringir seu acesso ou até mesmo
desabilitar a interface. Abaixo, temos uma saída de um comando bastante comum na
operação dos switches, que permite mostrar a tabela de endereços MAC aprendidos
pelo switch num dado momento:
Switch# show mac-address-table

Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports

---- ----------- -------- -----
1 0001.4292.391a DYNAMIC Fa0/1

1 0001.c714.2136 DYNAMIC Fa0/4
1 0001.c963.5b8c DYNAMIC Fa0/5
1 000a.411c.40c3 DYNAMIC Fa0/2
1 00e0.b05e.c303 DYNAMIC Fa0/3
151
Note que cada um dos endereços MAC acima foi aprendido dinamicamente assim que
cada host gerou algum tipo de tráfego na interface onde está conectado. Este tipo de
“aprendizado” na tabela, tem um prazo de validade. O endereço permanece vinculado
à interface por exatos 300 segundos, caso não haja tráfego gerado pelo host. São apenas
5 minutos de inatividade que podem manter um endereço vinculado a uma interface do
switch. No caso de servidores, impressoras e outros dispositivos que necessitem
fornecer algum tipo de serviço à rede, isso pode não ser adequado. Perdas de conexão
ou atrasos podem ocorrer nas respostas. É possível também vincular um endereço MAC
a uma interface de forma estática, definitiva. Isto pode ser feito apenas por configuração
direta, vinculando o MAC de forma estatica à interface, ou ainda associando isso ao
recurso de segurança denominado PORT-‐‐SECURITY. Neste caso, além de vincular o
endereço de forma fixa à interface, algumas ações podem ser tomadas, caso exista uma
tentativa de conectar outro host àquela interface. Vejamos um exemplo...
Na topologia acima, configuraremos o PORT-‐‐SECURITY na interface fa0/5 com a

intenção de vincular de forma definitiva o host_B a ela:
Switch(config)#interface fa0/5
Switch(config-if)#shutdown
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
152
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#no shutdown
O shutdown no principio, evita que algum movimento de tráfego na interface possa

atrapalhar a configuração. Após o término dos comandos de configuração, o no
shutdown ativa a interface e ajuda a completar o processo. Abaixo uma descrição da
funcionalidade de cada linha de comando.
switchport mode access: Coloca a porta em modo de acesso, condição necessária

para seja configurado o PORTn SECURITY.
switchport portp security: Aciona o recurso PORTn SECURITY na interface.
switchport portp security maximum 1: Define a quantide de endereços MAC

que poderá ser “aprendida” pela interface.
switchport portp security macp address sticky: Define a forma como o endereço (ou
endereços) MAC será “aprendido” pela interface. O formato sticky “cola” o endereço do
host conectado a interface a partir de algum tráfego gerado pelo mesmo.
switchport portp security violation shutdown: Define a ação a ser tomada, caso ocorra
uma violação da política definida na porta. Como violação entendan se apenas o fato de
ocorrer uma troca de hosts conectados a interface configurada do switch. Neste caso, a
porta será desabilitada, caso um outro host seja conectado a ela.
Pense e responda: Por quê os comandos shutdown e no shutdown ajudam a

completar este processo de configuração?
153
Observe agora, como está a topologia após a configuração do PORT-‐‐SECURITY:
Note que o host agora tem seu endereço MAC vinculado de forma estática à interface
fa0/5. E se retirarmos a conexão do host_B e tentarmos conectar um outro, a porta
será desabilitada:
Alguns comandos de visualização relacionados ao PORT-‐‐SECURITY mostram a situação

por outros ângulos. Anote estes comandos pois poderão ser úteis no futuro:
154
E um mais específico sobre a interface:
Switch# show port-security interface fa0/5
Port Security : Enabled

Port Status : Secure--shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
Secure Static Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses 1
Configured MAC Addresses : 0
Sticky MAC Addresses 1
Last Source Address:Vlan : 0001. 4373.C79C:1
Security Violation Count 1
Para que a interface volte a funcionar corretamente, será necessário devolver o host
original vinculado pelo endereço MAC e após acessar a interface, devemos digitar o
comando shutdown e logo em seguida o no shutdown. Desta forma a situação de “error-
‐‐disabled” acionada pelo PORT-‐‐SECURITY será corrigida.
Uma variação no processo de funcionamento do PORT-‐‐SECURITY envolve o uso das

opções RESTRICT e PROTECT na configuração das ações relacionadas a violação da
interface.
Switch(config-if)# switchport port--security violation ?

protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
155
Em algumas situações não seria interessante que a interface fosse desabilitada,
observe a figura abaixo:
Note que o host_intruso não aparece com um endereço MAC aprendido pela interface.
De forma que seu tráfego não entra na rede devido à restrição de segurança. Por outro
lado, a interface fa0/5 do switch não entra em shutdown, não prejudicando o
funcionamento dos outros hosts autorizados a funcionarem na rede.
Ambas as opções Restrict e Protect possuem a mesma funcionalidade, porém com uma
diferença significativa no funcionamento. No caso da opção Restrict, o contado de
violações é incrementado, enquanto no Protect não é. Isso também direciona para o
fato de que pode ser gerado um log do Restrict, mas não do Protect.
Em outras palavras, enquanto o Restrict permite que se faça um controle das violações,
o Protect apenas evita o tráfego intruso. Algo como uma câmera que filma e grava as
imagens (Restrict) e uma outra que apenas filma (Protect).
Para que tenhamos um melhor controle e documentação sobre as conexões de cada

porta do switch, podemos utilizar o seguinte:
156
Switch(config)#interface fa0/5
Switch(config-if)# description Interface conectada ao servidor de vendas S33_tre
O description permite a colocação de comentários de até 240 caracteres na interface do

switch. Isto é adequado para que se registre ali informações úteis para futuro
gerenciamento da interface.
Para efeitos de documentação pode-‐‐se também colocar banners de aviso que serão
visualizados por todos os acessos ao switch:
Switch(config)#banner motd #
Enter TEXT message. End with the character '#'.
Após o comando, coloca-‐‐se um caracter separador que poderia ser qualquer um. No
exemplo foi escolhido o “#” por ser um elemento que não costuma ser utilizado em
textos. Um enter após a colocação do caracter separador, traz a mensagem mostrada
logo abaixo da linha de comando e o cursor fica posicionado num espaço em branco
onde se pode colocar a mensagem. Após o término da digitação, encerra-‐‐se com o
caracter separador. A visualização da mensagem será feita por qualquer acesso, via
console, telnet, ssh, etc.
Existem diversos outros tipos de banners de avisos, direcionados a modelos de acesso

específicos. No material CCNA o foco está sobre o banner motd.
VLANS
Um dos conhecimentos mais requeridos atualmente no trabalho com redes locais, é

relacionado ao uso de vlans. Entender os motivos do uso, o planejamento e a
implementação é requisito básico para qualquer certificação vinculada a infraestrutura
de redes. Habilidades para realizar troubleshooting também desponta como algo
desejável em um profissional bem qualificado.
157
O CCNA tem como objetivo preparar o profissional para isso. Todo o processo de uso
das vlans é cobrado na certificação.
Como princípio básico destes conceitos, observe a figura abaixo:
Neste modelo de redes, existe uma divisão física muito forte entre os 3 segmentos. Este
modelo teve seu tempo em uma época onde cada grupo de rede era realmente isolado
e apenas precisava atravessar o backbone da rede em poucos momentos. Não existia
uma grande necessidade de comunicação entre os grupos. Praticamente tudo o que era
necessário a cada uma das salas representadas no desenho, poderia ser obtido de
alguma pasta do servidor local. Desta forma, o roteador tinha acesso aos 3 grupos e
cada um poderia chegar ao servidor principal. Eventuais necessidades de comunicação
entre os hosts das salas precisavam necessáriamente atravessar o backbone da rede,
passando pelo roteador. Este modelo de rede, em uma determinada ocasião chegou a
ser qualificado como 80/20. O significado disso era que 80% do tráfego de cada host era
destinado a buscar algo em seu próprio grupo. E apenas em 20% dos acessos, a busca
era por algo que estivesse no backbone da rede.
158
A dinâmica das redes sofreu grandes mudanças com o avanço das aplicações e a
convergência dos recursos para as redes. De tal forma que o antigo 80/20 chegou
mesmo a se transformar num 20/80, invertendo completamente as necessidades de
acesso. Nas redes modernas a maior parte do tráfego é de backbone. E surgiu também
a necessidade de uma maior flexibilização dos hosts em rede. O conceito de mobilidade,
por exemplo, trouxe a figura do funcionário que apesar de estar ligado a um
determinado setor da empresa, se desloca constantemente pelos diversos ambientes.
Seu host agora pode ser um pequeno computador portátil ou algum outro dispositivo
que o conecta à rede. A mobilidade não existiria nos antigos conceitos de rede física.
Dessa forma, as vlans trouxeram diversas facilidades para a comunicação em redes:
 Flexibilidade para definição e redefinição de grupos de acesso a aplicações e

servidores específicos.
o Neste caso, pode-‐‐se formar os grupos definidos por função e não
apenas por localização física dos hosts conectados.
 Controle e confinamento dos broadcasts de rede
o Aqui, isolamos tráfego de broadcast gerado pelas aplicações e
protocolos, limitando-‐‐os às vlans específicas onde estão seus hosts.
 Aumento da segurança de rede
o Isto acontece porque as vlans isolam o tráfego evitando ou dificultando
“capturas” indesejadas com uso de aplicações destinadas a isso.
As figuras abaixo demonstram bem como é o funcionamento do tráfego num ambiente
de vlans:
159
160
Um ambiente onde antes havia apenas uma divisão física, por andar, passa a ser
dividido por departamento com a chegada das vlans. E cada departamento pode
abranger hosts de andares distintos.
Uma visão técnica das divisões entre vlans acionadas pelos switches. Os quadros são
marcados com o número correspondente a cada vlan e encaminhados apenas à portas
pertencentes relacionadas a cada vlan. Os hosts pertencentes a cada vlan podem estar
em locais físicos distintos na empresa. Podem até mesmo estar distribuídos em locais
físicos distantes numa situação denominada “Lan to Lan” onde uma rede local pode se
estender por duas ou mais localidades.
As vlans também foram projetadas para se estender ao longo de todos os switches da

topologia. Para que possa existir comunicação dentro da mesma vlan através de
161
diversos switches, a tecnologia empregada é chamada de marcação de quadros. E duas
são as tecnologias citadas no CCNA para este fim:
IEEE 802.1Q – Padrão aberto mais popular nos ambientes em geral, pois permite a
distribuição das vlans através de switches de fabricantes diferentes. Nesta tecnologia, a
marcação do quadro ocorre através do acréscimo de uma TAG de 4 bytes adicionada ao
frame ethernet logo após o campo source address. Para isso, ocorre uma supressão e
recálculo do campo FCS que também ocupa 4 bytes. Em determinados momentos o
frame Ethernet pode ter 1522 bytes em função da TAG de vlan.
ISL – Padrão proprietário Cisco utilizado apenas em algumas plataformas.
162
Neste formato, o frame Ethernet é reencapsulado com acréscimo de até 30 bytes.
Isto torna o frame incompreensível para outros equipamentos não Cisco.
Além da marcação de quadros, a tecnologia de vlans expandidas a diversos switches,

utiliza também o conceito de TRUNK.
Um modelo de link entre 2 interfaces, onde o tráfego de todas as vlans, com seus
respectivos quadros marcados pode atravessar o mesmo canal para ter a acesso ao
switches em ambas as pontas. A figura abaixo ilustra as diferenças entre vlans
representadas por figuras geométricas e cores distintas. Observe que no link do meio
todo o tráfego compartilha o mesmo canal, representando o link de trunk. Já os links
posteriores representam canais exclusivos de cada vlan. Neste caso, dizemos que as
portas estão em modo de acesso em suas respectivas vlans.
CONFIGURAÇÕES DE VLANS:
Vamos agora observar como são realizadas as configurações das vlans e do link de trunk.
Procure praticar bastante os comandos que serão demonstrados aqui para que adquira
a prática necessária ao ambiente de trabalho com estes assuntos.
163
Você receberá exercícios onde poderá realizar esta configuração, mas também pode e
deve desenvolver suas próprias topologias. Um modelo interessante para auto
desenvolvimento, é você procurar entender como está distribuída a rede do seu local
de trabalho e tentar reproduzi-‐‐la (ou partes, caso seja muito extensa) na ferramenta
de laboratório.
Uma boa prática para começar a se desenvolver nestas configurações é ter o hábito de
desenhar o que se pretende construir e posteriormente documentar tudo o que foi feito,
seja em planilhas, ou arquivos de texto contendo as configurações dos equipamentos,
etc.
A documentação lhe permitirá expandir o projeto quando for necessário, com mais
facilidade e também resolver eventuais problemas que possam ocorrer.
Para configurar um ambiente como demonstrado na figura acima, teremos os

seguintes procedimentos:
SW_1:
164
SW_1(config)#vlan 10
SW_1(config- vlan)#name ADM
SW_1(config- vlan)#vlan 20
SW_1(config- vlan)#name RH
SW_1(config- vlan)#vlan 30
SW_1(config- vlan)#name Financeiro
SW_1(config)#interface range fa0/1 – 8

SW_1(config- if-range)#switchport mode access
SW_1(config- if-range)#switchport access vlan 10

SW_1(config-if-range)#switchport mode access

SW_1(config)#interface gi1/1
SW_1(config-if)#switchport mode trunk
SW_2:
SW_2(config)#vlan 10
SW_2(config-vlan)#name ADM
SW_2(config-vlan)#vlan 20
SW_2(config-vlan)#name RH
SW_2(config-vlan)#vlan 30
SW_2(config- vlan)#name Financeiro

SW_2(config-if-range)#switchport access vlan 10
SW_2(config-if-range)#switchport access vlan 20
165
SW_2(config)#interface gi1/1
SW_2(config-if)#switchport mode trunk
E após as configurações, podemos verificar utilizando alguns commandos SHOW:
166
No comando show interfaces trunk acima, repare que podemos visualizar o tipo de
marcação de quadros utilizada nesse trunk.
Mais a direita existe a informação sobre a vlan nativa em funcionamento neste link de
trunk. Mas o que é a vlan nativa?
Por padrão, a vlan nativa de um switch corresponde a vlan 1, a mesma utilizada para o
gerenciamento. Mas tudo isso pode ser modificado se desejarmos ou se for
necessário.
A vlan nativa tem a função principal de transportar quadros não marcados por vlan
para dentro de uma rede que possui vlans. Como exemplo, podemos citar uma rede
toda organizada por switches com vlans e trunks, onde exista a necessidade de
conectarmos um hub antigo ou um access point ou ainda qualquer outro dispositivo
que não realize marcação de quadros, ou em outras palavras não crie e não utilize
vlans.
No caso, se precisarmos incluir um segmento de rede conectado a um hub a nossa

rede de vlans precisaremos conectar o hub a um interface de switch que faça parte da
vlan nativa.
E todo o tráfego que atravessar uma rede, sem possuir nenhuma marcação de vlan (ou
tagg) ao passar pelo link de trunk será direcionado para a vlan nativa que estiver
configurada neste trunk. É importante que a mesma vlan nativa esteja definida nas 2
pontas do trunk, caso contrário mensagens de erro serão disparadas pelo switches e o
tráfego não será encaminhado corretamente.
167
ETHERCHANNEL
Etherchannel é um termo utilizado no ambiente Cisco para configurar o que

externamente recebe o título de 802.3ad ou lik aggregation.
Consiste da integração de 2 ou mais portas físicas do switch, criando uma porta lógica
que reúne toda a largura de banda somada dos links físicos.
Não se trata de um recurso novo nos ambientes de redes. Na realidade é uma tecnologia
que já existe há mais de 10 anos. Porém no início surgiu apenas como recurso para
grandes equipamentos e sua utilização se resumia à camada de Core da rede.
Atualmente, com o avanço das aplicações e os maiores requisitos de largura de banda

pelos links das camadas de distribuição e acesso, tornou-‐‐se uma opção interessante
para postergar uma troca de equipamentos, por exemplo, pelo fato de não possuírem
interfaces GigabitEthernet ou mesmo 10 GigabitEthernet.
Veja o exemplo abaixo:
168
Os links que sobem informações da camada de acesso para a de distribuição podem ficar
sobrecarregados em função do aumento do uso da rede no ambiente de trabalho. O que
anteriormente era apenas uma necessidade das ligações entre distribuição e core se
estendeu para o acesso. De uma certa forma, podemos dizer que o backbone das redes
atuais foi ampliado e chegou aos links de saída da camada de acesso.
E isto veio também de encontro ao fato de que na camada de acesso, os switches

normalmente possuem links de menor largura de banda em relação aos de distribuição
e core. Na camda de acesso, a atualização pode ser mais demorada. Dessa forma, se
pensássemos numa ambiente onde as ligações circuladas na figura fossem todas de
169
100 mb, poderíamos ter problemas de gargalo, caso ocorresse uma “superpopulação”
da rede mais abaixo.
Neste caso, a agregação dos links traria uma solução muito boa.
Algumas informações importantes sobre o recurso:
• Se um link físico do grupo cair, o EtherChannel perderá apenas a largura de

banda que aquele link forneceu. Se o link físico voltar, ele será adicionado
dinamicamente de volta ao EtherChannel.
• Com a ocorrência de dois links redundantes, o Spanning Tree bloqueará uma

porta para evitar loops.
• EtherChannel permite que a Spannig Tree trate os dois links físicos como uma
porta lógica, fazendo com que ambas as portas possam operar em modo total
de forward
• A Spanning Tree trata o EtherChannel como um único switchport lógico,

ajustando seu custo para refletir o aumento na largura de banda, observe abaixo:
• O EtherChannel pode ou não ser configurado para o modo trunking, dependendo

do projeto necessário. E neste caso, estaríamos configurando a
170
porta lógica para trunk, fazendo uso de toda a sua largura de banda somada
dos links físicos.
• Não ocorrem fragmentações nos quadros ethernet.
DETALHES DE IMPLEMENTAÇÃO:
• Podemos agregar múltiplas portas físicas Ethernet usando o comando chamado
channelp group. É criada uma interface única, chamada de portp channel, ou
canal de portas.
• Nos switches Cisco Catalyst podemos agrupar até oito portas 10/100 ao mesmo
tempo, criando um canal com largura de banda de 800 Mbps (o prospecto pode
exibir 1600 Mbps, uma vez que o pacote tem a operação full duplex). Também é
possível trabalhar com portas GigabitEthernet, apenas observando a
documentação de cada equipamento para trabalhar com as especificidades.
• Todas as portas de um conjunto devem ter status operacionais e de e

configuração idênticos. Diferenças de configurações simples entre
portas pertencentes a um grupo etherchannel são as maiores causas de
problemas de funcionamento. Se uma das portas do grupo possuir um
configuração diferente de negociação de duplex ou velocidade, por exemplo,
isto já será suficiente para impedir ou atrapalhar a formação da interface lógica.
• Através de um eficiente processo de balanceamento de carga, o etherchannel

distribui as informações por todas as interfaces físicas associadas ao grupo.
• O método padrão de compartilhamento de carga utiliza o MAC de origem nos

quadros. Os quadros de fontes diferentes serão enviados para
diferentes portas, mas todos os quadros de uma mesma fonte serão enviados
pela mesma porta. Isto torna mais eficiente o reagrupamento das
informações pelos protocolos de camadas mais altas, como é o caso do IP.
• O balanceamento padrão de carga pode ser alterado para ter como base:
171
• IP de destino
• IP de origem
• MAC de destino
• Combinações entre IP e MAC de destino e origem
Existem 2 protocolos utilizados junto ao etherchannel para implementação e

manutenção de seus recursos na rede:
PAGP (PORT AGGREGATION PROTOCOL) – Protocolo proprietário Cisco que gerencia o

estabelecimento de conexão lógica sobre interfaces físicas previamente definidas para
um grupo. Ao escolher o PAGP devemos ter em mente que necessariamente deveremos
agregar portas entre dispositivos Cisco.
• PAgP permite que os switches descubram as capacidades de cada interface

usada em um agrupamento EtherChannel e aciona com segurança interfaces de
configuração semelhante para formar um canal de portas.
• PAgP transmite e recebe mensagens em todas as interfaces no grupo

EtherChannel e restringe o tráfego de PAgP à VLAN nativa se as portas estão no
modo trunking.
• As portas em PAGP podem ser configuradas da seguinte forma:
• - Auto-desirable;
- Desirable-desirable;
- On-on.
• Auto: Pronta para aceitar pedidos de estabelecimento de

etherchannel;
Desirable: A interface busca negociar com a outra ponta a
formação EtherChannel;
On: a porta está configurada como parte do EtherChannel
estaticamente, e não toma iniciativa de negociar.
172
 LACP (LINK AGGREGATION CONTROL PROTOCOL) – Protocolo de agregação de links
de padrão aberto (802.3ad) permitindo expandir os conceitos do etherchannel

para múltiplas plataformas.
o As portas em LACP podem ser configuradas da seguinte forma:
 - Active-Passive;
- Active-Active;
- On-on.
 Passive: Interface aguarda por solicitações de negociação link

aggregation.
 Active: A interface busca negociar com a outra ponta a

formação do link aggregation;
On: a porta está configurada como parte do Link Aggregation
/EtherChannel estaticamente, e não toma iniciativa de
negociar.
Os protocolos DTP, VTP, STP e CDP funcionam normalmente através do etherchannel,

sendo que no caso do STP, o tráfego apenas é enviado através da primeira porta do
canal. Na realidade o STP enxerga apenas esta porta como um único canal físico
disponivel.
Isto é útil, pois o balanceamento de carga existente no etherchannel é para ser utilizado
pelo tráfego interessante da rede.
Ainda, considerando a situação do Spanning-‐‐Tree temos o seguinte:
• O Spanning-‐‐Tree reflete e é orientado pelo aumento na largura de banda

fornecida pela EtherChannel.
• O custo padrão para um link de 100 Mbps é 19, e se é criado um canal que
tenha apenas dois links de 100 Mbps o custo da spanning-‐‐tree será de 9.
• Um canal com seis ou mais portas físicas de 100 Mbps terão um custo STP de 5.
• Os custos STP para os canais de porta variam de acordo com quantas portas
são atribuídas ao pacote, e não quantos estão ativos no pacote.
173
EXEMPLO DE CONFIGURAÇÃO:
Na topologia acima, as interfaces GigabitEthernet dos 2 equipamentos serão agregadas

para posteriormente serem colocadas em trunk para servir de backbone eficiente para
o tráfego das vlans existentes.
Configurações a seguir...
SW_1(config)#interface range gi1/1 – 2

SW_1(config-if-range)#channel-group 1 mode ?
active Enable LACP unconditionally

auto Enable PAgP only if a PAgP device is detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected
SW_1(config-if-range)#channel-group 1 mode desirable
174
switch 2 será configurado como auto:
SW_2(config)#interface range gi1/1 – 2

SW_1(config-if-range)#channel-group 1 mode auto
E alguns comandos igualmente importantes nos permitem verificar os resultados:
175
envolvidas no grupo:
E aqui informações direcionadas ao Port-‐‐channel criado. Sob o foco da interface lógica

que foi configurada:
176
Switch# show interface etherchannel
Todos esses comandos são úteis para descobrir e corrigir defeitos de operação do
EtherChannel. Ao solucionar problemas,sempre comece verificando se as portas físicas
possuem os mesmos parâmetros operacionais. Faça isso em ambas as extremidades do
EtherChannel.
Exercitar este recurso é a melhor de saber quando utilizá-‐‐lo e fazer isso de forma
eficiente.
Spanning Tree protocol
A necessidade de redundância
Topologias redundantes são muito importantes em redes, pois:
 Permitem que as redes sejam tolerantes a falhas.

 Protegem contra downtime (tempo de inatividade) ou indisponibilidade da
rede.
o O downtime pode ser causado pela falha de um único link, porta ou
dispositivo da rede.
o O projeto deve equilibrar o custo da redundância com a necessidade de
disponibilidade da rede.
 Topologias redundantes organizadas com switches e bridges são sujeitas:
o a tempestades de broadcasts,
o múltiplas transmissões de quadros e
o instabilidade na tabela de endereços MAC (CAM).
Estes problemas, se não contornados de alguma forma, podem parar uma rede em
curto espaço de tempo.
Ao mesmo tempo que redes comutadas com switches podem fornecer benefícios como
redução do tamanho dos domínios de colisão; microssegmentação; operação full-‐‐
duplex e com tudo isso otimização no desempenho, a redundância, se não
177
gerenciada, pode provocar alguns efeitos colaterais inexistentes na época dos antigos
hubs.
A redundância, por sua vez, é necessária para proteger a rede contra perda de
conectividade relacionada a falha de dispositivos individuais.
O mundo corporativo exige disponibilidade (ou tempo de atividade) contínua da rede.

Um tempo de atividade de 100% talvez seja impossível, mas muitas organizações
tentam atingir tempos de atividade de 99,99999% (cinco noves).
Isso pode ser entendido como uma hora de inatividade, em média, a cada 4.000 dias,
ou aproximadamente 5,25 minutos de inatividade por ano.
Uma das metas das topologias redundantes é eliminar as interrupções da rede

causadas por um ponto único de falha.
Todas as redes precisam de redundância para melhorar sua confiabilidade. E

confiabilidade se consegue através de equipamentos confiáveis e projetos que tolerem
falhas e defeitos. Todo projeto deve também permitir convergência rápida em caso de
quedas ou falhas. Muitas aplicações utilizadas em redes atualmente são altamente
sensíveis a perda de conectividade ainda que por curtos períodos de tempo.
Seu principal efeito colateral, são os loops de comutação nas topologias físicas, que
podem parar o funcionamento da rede. Mas em que circunstância os loops podem ser
formados? Observe a figura abaixo:
178
Quando o comando show mac-‐‐address-‐‐table for emitido no SW_6, o endereço mac do
host A aparecerá relacionado a qual das portas do switch?
Se não houver um controle de redundância, poderíamos observar o endereço mac do

host A associado às portas fa0/12, fa0/8 e fa0/10 do SW_6. E o resultado disso é que
quando o host_B encaminhasse um quadro para o host_A, essa informação seria
copiada para as 3 portas envolvidas. E nos outros switches da topologia, o quadro
também seria copiado por múltiplas interfaces.
O quadro ethernet não possui em sua estrutura o TTL (Time to live) existente no
cabeçalho ip por exemplo. Este campo age como um contador que vai sendo
decrementado a cada passagem do pacote ip pelos dispositivos. Ao final ele
simplesmente deixa de existir na rede, evitando loops. Por não ter este campo em sua
estrutura, o quadro ethernet ao ser copiado múltiplas vezes, permanece circulando pela
rede ininterruptamente, contribuindo para a formação de loops de comutação.
Vejamos outros aspectos que justificam a presença do Spanning-‐‐Tree protocol nas

redes:
179
O servidor principal, está fornecendo importantes aplicações para toda a rede. Numa
topologia redundante e funcional, a queda de qualquer um dos dispositivos não deve
interromper o acesso a ele. E a mudança para o novo caminho precisa ser rápida sob
pena de prejuízo ao trabalho com as aplicações.
Inundação de quadros / tempestade de broadcast
 Os switches aprendem os endereços MAC dos dispositivos em suas portas, para

que os dados possam ser encaminhados corretamente para o destino.
 Os switches inundam (flood) quadros para destinos desconhecidos até
aprenderem os endereços MAC dos dispositivos. Broadcasts e multicasts
também são despejados.
 Devido a estes eventos, uma topologia comutada redundante, sem controle
lógico pode causar tempestades de broadcast, múltiplas cópias de quadros e
problemas de instabilidade da tabela de endereços MAC.
Observe os exemplos a seguir:
180
O host X encaminha um quadro de broadcast para seu segmento de rede. E os switches
continuam encaminhando estes quadros sem parar a todos os segmentos de rede onde
possuem conexão.
Os multicasts são tratados como broadcasts pelos switches. Quadros de broadcast e

multicast são inundados (flooded) por todas as portas, exceto a que recebeu o quadro.
Se o Host X enviar um broadcast, como uma solicitação ARP por exemplo, para o
endereço mac do roteador, o Switch A encaminhará o broadcast por todas as portas.
O switch B, estando no mesmo segmento, também encaminha todos os broadcasts de

forma repetida e contínua.
Os switchs A e B, nas trocas contínuas de broadcasts entre si e também com outros

equipamentos existentes na topologia, acabam por desencadear um processo
denominado “tempestade de broadcasts”. Este evento eleva sobremaneira o nível de
processamento dos switches provocando travamentos e lentidão. Além disso, o excesso
de tráfego repetido e desnecessário na rede, compromete todos os acessos.
Normalmente uma rede para de funcionar em alguns minutos após o início de uma
tempestade de broadcast.
Vale lembrar que todos os problemas relatados anteriormente, se referem a possíveis

ocorrências em redes onde exista topologia redundante fisicamente, mas sem o
controle lógico, denominado Spanning-‐‐Tree.
181
Em redes locais onde o Spanning-‐‐Tree está presente, ocorre a criação de uma
topologia lógica sobreposta hierárquicamente à topologia física, fazendo com que cada
lan seja acessada por um único caminho, sem loops.
A topologia lógica sem loops é chamada de árvore. Normalmente possui uma

distribuição em estrela ou estrela estendida no seu funcionamento. Algo como se
pensássemos em uma árvore com suas raízes, tronco e ramificações todos interligados.
O ponto principal dessa topologia também seria a raiz de onde partem os principais
recursos.
O Spanning-‐‐Tree padrão aberto a todos os fabricantes de equipamentos é o 802.1d.

Ele corresponde a um algorítmo matemático que age sobre a topologia física para
montar a estrutura lógica. Existem outros tipos de Spanning-‐‐Tree que comentaremos
mais a frente, mas por ora é importante compreender o funcionamento da tecnologia
padrão a partir da qual as outras também se originaram.
Para que os switches não precisem realizar trocas de tabelas CAM o tempo todo entre
si, visto que isso geraria boa parte dos problemas descritos anteriormente, existem
alguns processos semelhantes a eleições que ocorrem nos equipamentos.
1ª Eleição: Bridge raiz (root bridge)
 Todos os switches da topologia participam

 A root bridge eleita concentrará as tabelas de endereços MAC e será buscada
por todos os outros switches da topologia.
 Trocam informações entre si (os diretamente conectados) denominadas BPDU´s
(Bridge Protocol Data Unit) a cada 2 segundos. Uma BPDU carrega diversas
informações sobre o switch onde foi gerada:
182
A principal informação relevante e de comparação entre todos os switches para eleição
da root bridge é o -‐‐-‐‐ bridge id-‐‐-‐ . Este campo contém um valor que pode variar entre 0
e 65536 dependendo do fabricante do equipamento. Além disso, associado a este valor,
também está o endereço MAC principal do switch. De forma que a identificação principal
de cada equipamento, se dá pela combinação destes 2 valores.
Os switches da Cisco possuem como padrão de Bridge id, o valor de 32768.
Dessa forma, se este valor não for modificado, haverá uma igualdade entre todos os
equipamentos Cisco. Esta igualdade poderá ser desfeita a partir da comparação do
endereço MAC que será diferente entre cada equipamento.
O switch que apresentar o menor Bridge ID será eleito como root bridge. No caso de
empate do valor fixo, prevalecerá o menor endereço MAC.
Vale lembrar que aqui está descrito o processo automático de eleição. Mas, caso se
deseje, também é possível definir através de comandos qual dos switches será a root
bridge:
Switch(config)#spanning-tree vlan x root primary [secondary]
Ou ainda, modificar o número de prioridade relacionado ao equipamento:
183
Switch(config)#spanning-tree vlan 1 priority 28672
Note que o valor configurado é um múltiplo de 4096. Isto é uma regra para alterar as
prioridades. Mas, caso alguém tente alterar e digite qualquer valor, receberá uma boa
ajuda:
Switch(config)#spanning-tree vlan 1 priority 28500
% Bridge Priority must be in increments of 4096.

% Allowed values are:
0 4096 8192 12288 16384 20480 24576 28672
32768 36864 40960 45056 49152 53248 57344 61440
Neste caso, tratamos também de uma variação do spanning-‐‐tree (pvst), bastante

comum ao ambiente Cisco atualmente que define a presença de uma root bridge para
cada vlan existente na rede. Por este motivo aparece no comando a referência a vlan
onde estamos solicitando a configuração. E pode-‐‐se até mesmo definir uma root
secundária.
Na figura abaixo, observe que todos os switches possuem o mesmo valor fixo de bridge
id. Dessa forma, o Switch A, que possui o menor endereço MAC entre todos os presentes
na topologia será eleito a root bridge da topologia.
184
Os nomes relacionados a cada uma das interfaces da topologia estão vinculados ao
segundo processo de eleição que ocorre após a escolha da root bridge
Se considerarmos a utilização do PVST (Per Vlan SpanningTree) basta apenas projetar

tudo o que estamos acompanhando para cada uma das vlans. Na verdade, para cada
topologia lógica que possuímos na rede.
2ª Eleição – ROOT Ports
Cada switch (exceto o root bridge) fará uma eleição interna para determinar qual será o
melhor caminho para chegar até a root bridge. Isto será necessário pois a root bridge
185
detém consigo as informações de endereços MAC mais confiáveis para o
encaminhamento dos quadros. Cada switch conhece a root bridge pois essa
informação está “colada” nas BPDU´s que circulam na rede.
Informação:
DP – Designated Port
RP – Root Port
Veja um resumo desta eleição:
 Objetivo: Eleger a root port (melhor caminho para a root bridge)

 Participantes: Todos os switches, exceto a root bridge.
186
 Critérios: Análise de todas as portas conectadas a outros switches da topologia
 Valores considerados:
o 1º -‐‐ Menor custo de caminho (vide tabela abaixo)
o 2º -‐‐ Menor custo de porta
Tabela de custos de links:
Link (largura de banda) Custo
10 mb 100
100 mb 19
1000 mb (1 gb) 4
10000 mb (10 gb) 2
Tabela de custos de portas:
Interface Custo
Fa0/1 128.1
Fa0/2 128.2
Fa0/3 128.3
Fa0/X 128.X
Exemplo de análise de custo de caminhos:
O switch F possui 3 interfaces ligadas a outros switches. Mas, em função da topologia

os caminhos disponíveis para chegar à root bridge são vários. Saberia identificar
quais são? A figura abaixo destaca 2 destes caminhos. Tente calcular os custos deles
e escreva ao lado:.
187
Na topologia, todas as portas com a nomenclatura RP foram escolhidas como Root Ports
para estes switches. E as portas DP foram determinadas como Designated Ports.
Root Ports são os melhores caminhos para a root bridge e designated ports são possuem
a funcionalidade principal de transmitir BPDU´s, seja para as root port ou para as portas
bloqueadas. Observe que na topologia todas as portas do switch eleito como root bridge
estão como designated ports. O root bridge não possui portas bloqueadas. E também
temos uma porta designated para cada segmento da rede, normalmente em posição
oposta a uma porta bloqueada no switch vizinho.
Mas afinal de contas, por quê existem portas bloqueadas?
Esta talvez seja uma das parte principais do mecanismo Spanning Tree. É através do
bloqueio de algumas interfaces de caminhos redundantes, que se pode evitar os loops
de comutação causados pelas tempestades de broadcast e cópias contínuas dos
quadros, conforme explicado no início deste assunto. Este bloqueio evita a passagem do
tráfego comum dos dados de usuários, mas permite a passagem das BPDU´s que
continuarão a transportar informações da topologia lógica através da rede.
188
Os principais estados de portas e seus tempos no Spanning Tree são os seguintes
Estado tempo Funcionalidade

Bloqueio (blocking) 20 segs Apenas recebe bpdu´s
Escuta (listening) 15 segs Construindo topologia “ativa”
Aprendizado (learning) 15 segs Construindo a tabela de bridging
Encaminhando (forwarding) **** Enviando e recebendo dados de usuário
Um aspecto que influencia diretamente a escolha da root port por um switch, é o fato
de ter alguma interface diretamente conectada ao root bridge. Observe a figura abaixo
novamente:
Note que o switch D possui um caminho para a root bridge através de sua interface com
o switch B com um custo de 23 (4+19). Em termos de custo de caminho, este é melhor
do que o que foi escolhido, onde existe um link de 10 mb, determinando um custo de
100.
189
Então por quê, neste caso, o caminho escolhido para a root bridge não foi o de menor
custo?
Isto ocorreu pelo fato de que existir um link direto para a root bridge. Todo link direto
para a root bridge é naturalmente escolhido como o root port.
Agora, pense um pouco e responda. Qual a lógica aparente por trás disso?
Até este ponto, tratamos da situação da escolha da root port baseada no custo do
caminho até a root bridge.
Passamos a considerar agora como seria o critério de desempate, na escolha da root

port, caso ocorresse um empate entre os custos de caminhos de 2 ou mais interfaces.
190
Na imagem acima, a interface fa0/7 do Switch F havia sido escolhida como root bridge
em função de seu menor custo em relação aos outros 2 caminhos. Porém ocorreu um
problema na rede que interrompeu fisicamente este link entre os switchs E e F.
O que acontece em seguida? No tempo de uma BPDU (2 segundos), as interfaces fa0/5

e fa0/3 do switch F saem do estado de bloqueio e entram no estado listening
(escutando). Permanecem ali durante 15 segundos e uma importante decisão é tomada.
Uma das interfaces, mais especificamente a fa0/3, avança para o estado learning
(aprendendo) enquanto a fa0/5 retorna ao estado blocking.
Isto ocorre porque existe um empate no custo dos caminhos partindo das 2 portas. E o
segundo critério de análise é o custo da porta especificamente. Vamos relembrar os
custos de portas:
Interface Custo
Fa0/1 128.1
Fa0/2 128.2
Fa0/3 128.3
Fa0/X 128.X
Perceba que existe um valor de 128 associado a cada uma das portas. Dessa forma, a de
menor custo será sempre a interface de menor número. Mas, se quisermos podemos
modificar esse padrão de funcionamento para forçar uma porta a ser escolhida como
root. O comando para isso é o seguinte:
Switch_F(config)#int fa0/5
Switch_F(config-if)#spanning-tree vlan 1 port--priority 112
E o resultado pode ser visto assim:
191
Repare também que a modificação que fizemos no custo da porta fa0/5 foi relacionada
apenas à instância de Spanning Tree relacionada à Vlan 1. E o normal é sempre
configurarmos aspectos do Spanning Tree relacionados a cada uma das vlans. É preciso
ter a noção de que devido a isso, o fluxo de tráfego na topologia pode ser diferente para
cada vlan existente. Como foi dito no princípio deste assunto, tratam-‐‐ se de topologias
lógicas montadas sobre a estrutura física existente.
Embora na certificação CCNA muitas vezes o foco principal seja o padrão de

funcionamento dos recursos, vale a pena observar como alguns destes padrões podem
ser modificados, para um momento de necessidade no ambiente de trabalho.
Retornando à nossa eleição automática da root port em relação as 2 interfaces (fa0/3 e

fa0/5) em função da queda da root port anterior (fa0/7), agora temos a seguinte
situação:
192
Tão logo a interface fa0/7 retorne ao seu funcionamento, uma nova eleição será feita e
ela voltará a ocupar o lugar de root port, pelo fato de possuir o caminho de menor custo.
EXERCÍCIO SPANNING--‐TREE
Após todo o processo de convergência do Spanning Tree ter sido concluído vamos
utilizar um exercício onde será possível observar algumas práticas relacionadas ao
protocolo em questão.
O exercício será explicado e resolvido para facilitar e ampliar a compreensão sobre o

funcionamento e convergência do Spanning-‐‐Tree.
A topologia base do nosso exercício é a seguinte:
193
194
Apesar de parecer confusa, à primeira vista, temos aqui um modelo de topologia
bastante semelhante às redes reais atuais.
195
Após emitir o comando SHOW SPANNING-‐‐TREE no modo privilegiado, temos o
seguinte:
Podemos perceber que este switch não corresponde à root bridge da topologia. Observe
que as primeiras informações trazem dados sobre a root bridge e o bloco mais abaixo
sobre o switch em que estamos, chamado de “bridge id”. Os endereços MAC de ambos
são diferentes. Um outro fato a se destacar também, é que na root bridge todas as
portas são designadas, o que não acontece neste equipamento que estamos
visualizando.
Você pode ainda visualizar o status das portas envolvidas no processo spanning-‐‐tree e
até identificar qual está bloqueada.
Se continuarmos nossa pesquisa em busca da root bridge, passaremos por diversos (ou
talvez todos) equipamentos.
Na próxima figura, um outro switch da camada de distribuição.
196
Perceba que este switch da camada de distribuição indica o mesmo endereço MAC para
a root bridge desta topologia que já apareceu na saída do switch anterior que
visualizamos. E também, observe o fato de a porta fa0/5 deste equipamento ser a root
port. Isto projeta bem onde pode estar a root bridge procurada. Se olharmos a
topologia, veremos que esta interface aponta para um equipamento da camada de
acesso, posicionado praticamente no fim da topologia. Vale a pena dar uma olhada nele:
197
Agora, temos fortes indícios para desconfiar que nossa busca terminou...E eles estão
todos grifados na saída do comando acima.
É claro que se tivermos uma documentação onde esteja registrado o endereço MAC de
cada switch, após o primeiro comando show spanning-‐‐tree emitido poderíamos ir
direto ao root bridge da rede.
Passo 2
Ter como root bridge um dos switches posicionados na camada de acesso, pode não ser
uma boa idéia.
198
Você conseguiria pensar num motivo para isso? Escreva aqui...
De qualquer forma, neste segundo passo, vamos forçar a troca da root bridge para um
switch da camada de CORE.
C1(config)#spanning-tree vlan 1 priority 4096
O comando acima muda a prioridade deste switch do valor original de 32768 para 4096.
Este é o principal valor envolvido na escolha da root bridge pelos switches. Logo que
este comando é executado, as BPDU´s que partem deste switch já informam aos outros
seu novo valor de prioridade. E em pouco tempo todos o reconhecem como a nova root
bridge da topologia, veja:
199
O comando show spanning-‐‐tree no switch que era a root bridge anteriormente
Passo 3
Uma boa prática para completar a configuração básica, seria configurar o 2º switch da
camada de core para ser uma root bridge de backup. Para isto basta definir para ele uma
prioridade menor do que o restante da rede, porém maior do que a do switch C1 que
agora está como root bridge.
200
C2(config)#spanning-tree vlan 1 priority 8192
E o resultado:
Neste exercício verificamos como realizar pequenas intervenções no funcionamenro do

protocolo Spanning-‐‐tree em redes comutadas.
O maior trabalho com relação a este protocolo não são de fato as configurações a serem
realizadas, mas bem mais as decisões a serem tomadas em relação aos root bridges e
root ports. Principalmente em ambientes de muitas vlans onde cada instância de STP
pode direcionar o tráfego da vlan para um caminho diferente das outras.
Podemos até comparar o gerenciamento deste protocolo e seus processos à operação

do trânsito de veículos numa grande cidade. Orientar as mãos de direção das principais
avenidas, definir semáforos e seus tempos, bem como horários para controle maior ou
menor do tráfego...Tudo isso tem seu paralelo na administração do Spanning-‐‐Tree que
requer bastante estudo e práticas para uma performance otimizada.
201
CAPÍTULO 5 – ROTEAMENTO
202
ROTEAMENTO
O roteamento é o processo utilizado nas redes para encaminhar informações entre
computadores e redes distintos. Tendo como referencial o endereçamento hierárquico
(endereçamento lógico, ip) roteadores, servidores, switches L3 criam tabelas de
roteamento e por estas informações enviam os dados por suas interfaces.
A hierarquia existente nos endereços com suas máscaras, define redes e hosts
pertencentes a elas. O tráfego das informações entre estes grupos criados é conhecido
como roteamento. Ele envolve a presença de diversos processos, descritos a seguir.
O roteamento IP não garante uma entrega confiável nem estabelece uma conexão
antes da transmissão dos dados. Esta comunicação sem conexão e não confiável é
rápida e flexível, mas as camadas superiores precisam fornecer mecanismos para
garantir a entrega dos dados, se necessário.
A função do roteamento é transportar dados de um host para outro, sem considerar o tipo
de dado. Os dados são encapsulados em pacotes. O cabeçalho do pacote possui campos
que incluem o endereço de destino e origem do pacote.
O endereçamento hierárquico, com porções de rede e de host, facilita a divisão das

redes em subn redes e possibilita que o prefixo de rede seja usado
para o encaminhamento dos pacotes a seus destinos em vez de usar cada endereço
individual de host.
Se o endereço de destino não estiver na mesma rede do host de origem, o pacote é

passado para o Gateway padrão para o encaminhamento à rede de destino. O
Gateway é um endereço de interface de um roteador que cada host deve possuir, caso
precise enviar informações para outras redes.
A tabela de roteamento é montada e mantida pelos roteadores e funciona como um

mapa indicador de caminhos para as redes que constam ali. Se a rede de destino
constar como uma entrada em sua tabela de roteamento, o roteador encaminhará o
pacote para a interface de saída indicada ali. Tecnicamente, este caminho é referido
como gateway de próximo salto. Se não houver uma entrada de roteamento, o
203
roteador poderá por padrão descarta o pacote, mas pode também encaminhá-‐‐lo
baseado numa informação especial do roteamento denominada rota padrão que
veremos mais adiante.
As entradas da tabela de roteamento podem ser configuradas manualmente (rotas

estáticas) ou dinamicamente pelo trabalho de alguns algoritmos matemáticos,
denominados protocolos de roteamento.
O ROTEADOR
A figura central do processo de roteamento – O ROTEADOR
No centro da rede está o roteador. Resumidamente, um roteador conecta uma rede a

outra. Por isso, ele é responsável pela entrega de pacotes em redes diferentes. O destino
do pacote IP pode ser um servidor Web em outro país ou um servidor de email na rede
local. É a responsabilidade dos roteadores entregar esses pacotes em tempo hábil. A
efetividade da comunicação de redes interconectadas depende, amplamente, da
capacidade dos roteadores de encaminhar pacotes da maneira mais eficiente possível.
Além do encaminhamento de pacotes, um roteador também presta outros serviços.

Para atender às demandas das redes atuais, os roteadores também são usados para:
 Servir de gateway físico entre redes de tecnologia distintas

 Assegurar uma disponibilidade 24x7 (24 horas por dia, 7 dias por semana). Para
ajudar a garantir o alcanço da rede, os roteadores usam caminhos alternativos,
caso haja falha no caminho primário.
 Fornecer serviços integrados de dados, vídeo e voz em redes com e sem fio. Os
roteadores usam a priorização de Qualidade de Serviço (QoS, Quality of
204
Service) dos pacotes IP para assegurar que o tráfego em tempo real, como voz,
vídeo e dados críticos não sejam descartados ou atrasados.
 Atenuar o impacto de worms, vírus e outros ataques na rede, permitindo ou
negando o encaminhamento de pacotes.
Toda essa extensão de serviços está relacionada às constantes melhorias na capacidade

dos equipamentos utilizados como roteadores nas redes. De acordo com cada
plataforma e porte de equipamento, podemos expandir as capacidades de um rede a
altos níveis de serviços.
Perceba que no momento atual, os roteadores oferecem bem mais serviços para uma
rede do que o faziam há poucos anos atrás. Eles já invadiram o espaço das aplicações e
também dos servidores em termos de fornecimento de serviços.
Roteadores na verdade possuem muitas semelhanças com computadores. São

considerados como computadores de alta performance.
Os roteadores têm muitos componentes de hardware e de software iguais aos

encontrados em computadores, inclusive:
 CPU
 RAM
 ROM
 Sistema operacional
Um roteador conecta várias redes. Isso significa que ele tem várias interfaces, cada uma
pertencente a uma rede IP diferente. Quando um roteador recebe um pacote IP em uma
interface, ele determina que interface usar para encaminhar o pacote para seu destino.
A interface que o roteador usa para encaminhar o pacote pode ser a rede do destino
final do pacote (a rede com o endereço IP de destino desse pacote) ou pode ser uma
rede conectada a outro roteador usado para alcançar a rede de destino.
205
Cada rede a qual um roteador se conecta costuma exigir uma interface separada. Essas
interfaces são usadas para conectar uma combinação de redes locais (LANs, Local Area
Networks) e redes remotas (WAN, Wide Area Networks). As redes locais costumam ser
redes Ethernet que contêm dispositivos como PCs, impressoras e servidores. As WANs
são usadas para conectar redes em uma área geográfica extensa. Por exemplo, uma
conexão WAN costuma ser usada para conectar uma rede local à rede do Provedor de
Internet (ISP, Internet Service Provider). Também é comum a utilização de redes WAN
para extensão geográfica de redes locais. São as chamadas redes lan-‐‐to-‐‐lan, bastante
utilizadas atualmente na interligação de sites das empresas.
Observe alguns exemplos abaixo:
Uma topologia típica de acesso à internet
206
Aqui um modelo de interligação para extensão de um rede local
Em redes como as demonstradas acima, as principais funções do roteador se resumem

a determinar o melhor caminho para enviar os pacotes e realizar este envio. Embora nos
exemplos acima, tenhamos a impressão de que os caminhos sejam únicos, é importante
ter em mente que após a chegada na nuvem, os pacotes estão numa via de tráfego onde
existem muitos caminhos. Por esse motivo, dizemos que a figura da “nuvem”
representado a rede WAN, através das operadoras de telecom, na verdade representa
uma rede presumida, onde existem todos os tipos de equipamentos e diversos
caminhos. Algo assim, por exemplo:
207
O roteador usa sua tabela de roteamento para determinar o melhor caminho para
encaminhar o pacote. Quando o roteador recebe um pacote, ele examina seu endereço
IP de destino e procura a melhor correspondência com uma linha da tabela de
roteamento. A tabela de roteamento também inclui a interface a ser usada para
encaminhar o pacote. Quando uma correspondência é localizada, o roteador encapsula
o pacote IP no quadro de enlace da interface de saída, e o pacote é encaminhado para
seu destino.Um detalhe importante, é que ao examinar o pacote recebido o roteador
extrai dele o endereço da rede de destino. No primeiro momento, o endereço do host
específico não é importante. Você se lembra o nome do processo
que é utilizado para que ele identifica num dado endereço, qual a rede ao qual
pertence?
Escreva o nome aqui:

É muito provável que um roteador receba um pacote encapsulado em um tipo de
quadro de enlace, como um quadro Ethernet e, ao encaminhar o pacote, o encapsule
em um tipo diferente de quadro de enlace, como o Protocolo Ponto a Ponto (PPP, Point-
‐‐to-‐‐Point Protocol). O encapsulamento do quadro de enlace depende do tipo de
208
interface do roteador e do tipo de meio a que ele se conecta. Entre as tecnologias de
enlace de dados diferentes a que um roteador pode se conectar estão tecnologias de
rede local, como Ethernet e conexões WAN do tipo serial.
Antes de prosseguir com os assuntos relacionados aos processos de roteamento,

traremos um breve resumo dos componentes físicos do roteador para que você
compreenda melhor o trabalho dele posteriormente.
Os componentes mais importantes de um roteador são:

 CPU
 Memórias
o Ram
o ROM
o Flash
o NVRAM
 Interfaces (dezenas de modelos distintos)
Vamos a um breve resumo de suas funcionalidades.
CPU
209
A CPU executa instruções do sistema operacional, como inicialização de sistema,
funções de roteamento e de comutação, além de processar instruções de algoritmos
como os protocolos de roteamento.
RAM
A RAM armazena as instruções e os dados que precisam ser executados pela CPU. A
RAM é usada para armazenar estes componentes:
o Sistema operacional: O IOS (Internetwork Operating System, Sistema

operacional de Internet) Cisco é copiado para a RAM durante a inicialização.
o Arquivo de configuração: Esse é o arquivo que armazena os comandos de
configuração que o IOS do roteador está usando atualmente. Com poucas
exceções, todos os comandos configurados no roteador são armazenados no
arquivo de configuração em execução, conhecido como runningn config.
o Tabela de roteamento IP: Esse arquivo armazena informações sobre redes
conectadas diretamente e remotas. Ele é usado para determinar o melhor
caminho para encaminhar o pacote.
o Cache ARP: Esse cache contém o endereço IPv4 para mapeamentos de
endereço MAC, semelhante ao cache ARP em um PC. O cache ARP é usado em
roteadores com interfaces de rede local, como interfaces Ethernet.
o Buffer de pacotes: Os pacotes são armazenados temporariamente em um
buffer quando recebidos em uma interface ou antes de saírem por uma.
RAM é uma memória volátil e perde seu conteúdo quando o roteador é desligado ou
reiniciado.
ROM
ROM é uma forma de armazenamento permanente. Os dispositivos Cisco usam a ROM
para armazenar:
 As instruções de bootstrap
 Software de diagnóstico básico
210
 Versão redimensionada do IOS
A ROM usa firmware, que é o software incorporado ao circuito integrado. O firmware é
um tipo de software que normalmente não precisa ser modificado ou atualizado,
como as instruções de inicialização. A ROM não perde seu conteúdo quando
o roteador é desligado ou reiniciado.
Memória flash
Flash é uma memória de computador não volátil que armazena as informações
eletricamente e sempre que necessário seu conteúdo pode ser apagado e regravado,
tal qual o Hard disk de um computador. A memória flash é usada como
armazenamento permanente para o sistema operacional, o Cisco IOS. Na maioria dos
modelos de roteadores Cisco, o IOS é armazenado permanentemente na flash e
copiado para a RAM durante o processo de inicialização, quando é executado pela
CPU. Físicamente, a memória flash consiste de placas SIMMs ou PCMCIA, que podem
ser ampliadas por upgrade, aumentando as capacidades do roteador.
A memória flash não perde seu conteúdo quando o roteador é desligado ou reiniciado.
NVRAM
A RAM Não Volátil (NVRAM, Nonvolatile RAM) não perde suas informações quando a
energia é desligada. Isso é o oposto ao que acontece na maioria das formas comuns de
RAM, como DRAM, que exige energia ininterrupta para manter suas informações. A
NVRAM é usada pelo Cisco IOS como armazenamento permanente para o arquivo de
configuração de inicialização (startupn config). Todas as alterações feitas na
configuração são armazenadas no arquivo runningn config na RAM e, com

poucas exceções, são implementadas imediatamente pelo IOS.
Para salvar essas alterações caso o roteador seja reiniciado ou desligado, o

runningn config deve ser copiado para a NVRAM, onde é armazenada como o
arquivo startupn
211
config. A NVRAM manterá seu conteúdo, mesmo quando o roteador for recarregado
ou desligado.
ROM, RAM, NVRAM e memória flash são abordadas na seção a seguir, que apresenta o
IOS e o processo de inicialização. Elas também são abordadas mais detalhadamente em
um capítulo posterior referente ao gerenciamento do IOS.
TABELA DE ROTEAMENTO
Conforme já apresentado anteriormente, a principal função de um roteador é
encaminhar um pacote para sua rede de destino, que está representada no endereço
IP de destino do pacote. Para isso, um roteador precisa pesquisar as informações de
roteamento armazenadas em sua tabela de roteamento.
Uma tabela de roteamento é um arquivo de dados na RAM usada para armazenar

informações de rota sobre redes diretamente conectadas e também remotas. A tabela
de roteamento contém associações de rede/próximo salto. Essas associações
informam a um roteador que, um determinado destino pode ser alcançado enviandon
se o pacote para um roteador específico que representa o "próximo salto" a caminho
do destino final. A associação de próximo salto também pode ser a interface de saída
para o destino final. O próximo salto pode ser ainda, uma outra interface do próprio
roteador que contém a rede de origem.
Qualquer rede diretamente conectada a uma interface ativa do roteador, aparecerá

também na tabela de roteamento e a condição de conexão direta estará
bem identificada, observe abaixo:
212
Repare que a tabela acima mostra que o R_central possui 3 redes diretamente
conectadas, em cada uma de suas interfaces GigabitEthernet. Temos a representação
de cada rede e também do endereço de host que representa a conexão desta interface.
Esta é uma particularidade do IOS a partir da versão 15.
Como mostrado na figura acima, a tabela de roteamento é exibida com o comando show
ip route. Neste momento, não houve nenhuma rota estática configurada nem qualquer
protocolo de roteamento dinâmico habilitado. Portanto, a tabela de roteamento de
R_central só mostra as redes do roteador conectadas diretamente. Para cada rede
listada na tabela de roteamento, as seguintes informações são incluídas:
No exemplo acima, quando o roteador precisa encaminhar um pacote para a rede
192.168.2.0, ele perceberia, por consulta à tabela de roteamento, que o pacote precisa
ser encaminhado através da interface GigabitEthernet0/1.
Importante ressaltar, que o processo de roteamento padrão consiste de roteamento

baseado no destino do pacote. Em ocasiões muito especiais podemos modificar esta
característica, através de políticas de roteamento diferenciadas e configuradas
manualmente.
Uma rede remota é uma rede que não está conectada diretamente ao roteador. Em
outras palavras, ela só pode ser alcançada enviando-‐‐se o pacote para outro roteador.
213
As redes remotas são adicionadas à tabela de roteamento usando um protocolo de
roteamento dinâmico ou configurando rotas estáticas. Rotas dinâmicas são rotas para
redes remotas que foram aprendidas automaticamente pelo roteador, usando um
protocolo de roteamento dinâmico. Rotas estáticas são configuradas manualmente por
um administrador de rede.
Pense um pouco e responda: Como podemos acrescentar uma rede 192.168.4.0 /24 à tabela de
roteamento do roteador R_central? Ela deve aparecer como rede diretamente conectada, igual
às outras que já estão lá.
TIPOS DE ROTEAMENTO
Como processos de roteamento, temos 3 formas em destaque no conteúdo do CCNA:
Estático – O administrador configura manualmente as rotas
Dinâmico – Protocolos de roteamento são utilizados e seus algoritmos automatizam o

processo de escolha de caminhos e montagem da tabela de roteamento.
Padrão – Este formato indica basicamente ao roteador qual caminho deve seguir ao não
encontrar o destino para um determinada rede em sua tabela de roteamento.
ROTEAMENTO ESTÁTICO
Uma rota estática inclui o endereço de rede e a máscara de sub-‐‐rede da rede remota,
além do endereço IP do roteador do próximo salto ou o nome da interface de saída. As
214
rotas estáticas são denotadas com o código S na tabela de roteamento como mostrado
na próxima figura.
Acima estão demonstradas 2 tabelas de roteamento onde existem redes diretamente

conectadas e também rotas estáticas.
Repare que cada um dos roteadores envolvidos, possui redes diretamente conectadas.
O R_1 possui 2 linhas nesse modelo de redes. E o R_2 possui 3 redes diretamente
conectadas a ele. Possuem também rota estática (1 cada um) para as redes Lan um do
outro.
Um análise minuciosa à estas informações nos permitiria, por exemplo, fazer o
215
desenho da topologia envolvida. Você consegue ? Este é um desafio interessante que o
216
ajudará a compreender as funcionalidades da tabela de roteamento. Você pode fazer
isso no espaço abaixo:
Para compor este desenho, converse com outros colegas para que a junção das idéias
posso facilitar o projeto.
Vantagens e desvantagens das rotas estáticas no ambiente da rede:
 Vantagens
o Sem uso de CPU e memória do roteador
o Flexibilidade aos ambientes mistos (vário tipos de roteamento)
o Contingência aos protocolos dinâmicos
o Escalabilidade
 Desvantagens
o Maior trabalho de configuração
217
o Sem atualização automática (depende de gerenciamento do
administrador da rede)
o Não sensível a mudanças ou quedas nos links
Indicaremos as 2 formas de rotas estáticas para o ambiente acima. Tanto a rota de

próximo salto, como a rota diretamente conectada.
Router A:
R_A(config)# ip route R2 máscara_R1 R4.2
ip route R2 máscara_R1 s0/0/0
Router B:
R_B(config)# ip route R1 máscara_R1 R4.1
R_B(config)# ip route R3 máscara_R3 R5.2
218
Router C:
Um desafio interessante, seria reescrever as rotas acima atribuindo os endereços ip.
Considere para isso os seguintes endereços:
R1 192.168.10.0 /24
R2 192.168.20.0/24
R3  192.168.30.0/24
R4  192.168.40.0/24
R5  192.168.50.0/24
Router_A
219
Router_B
Router_C
Além das rotas de próximo salto e as diretamente conectadas, temos ainda as rotas
sumarizadas e as rotas flutuantes ou de contingência.
Rota flutuante
Observe a topologia abaixo:
220
Imagine que o host_B precisa ter acesso aos recursos existentes na rede do Router_A. E
para isto, por se tratar de um ambiente pequeno, podemos configurar todo o ambiente
com rotas estáticas.
O caminho da rede B para a rede A está funcionando com uma rota estática passando
pelo roteador C, assim:
Router_B(config)# ip route 192.168.10.0 255.255.255.0 200.100.100.2
E para retorno, existe uma rota no Router_A, dessa forma:
Router_A(config)# ip route 192.168.20.0 255.255.255.0 200.50.50.1
Como regra, podemos considerar que existe um 2o caminho para que o host B chegue
aos recursos da rede A. Apenas não podemos configurar ambos os caminhos com o
mesmo nível de grandeza ou preferência de roteamento. Na verdade, chamamos de
distância administrativa, o valor naturalmente associado a cada processo de roteamento
e que determina uma ordem de escolha entre estes processos. Para isto, existe uma
tabela com valores de 0 a 255 onde os processos de roteamento estão listados cada qual
com seu valor.
Abaixo temos um resumo desta tabela, constando os valores mais relevantes para este
curso.
221
Repare que as rotas estáticas ocupam as posições de 0 (as diretamente conectadas) e 1
as de próximo salto. Quanto menor o valor nesta tabela, maior a preferência pelo
processo de roteamento. Como exemplo, imagine um ambiente configurado com OSPF
onde alguém configure algumas rotas estáticas para os mesmos destinos já aprendidos
pelo OSPF. Imediatamente, os caminhos configurados nas rotas estáticas, assumem o
roteamento para aquelas redes no lugar do OSPF.
Seguindo o exemplo acima, das rotas estáticas flutuantes, poderíamos configurar no

router B uma rota alternativa que mantivesse o fluxo de acesso do host B aos recursos
da rede A, caso o caminho principal ficasse indisponível.
Veja como :
Router_B(config)# ip route 192.168.10.0 255.255.255.0 200.200.200.2 10
Note que o caminho do próximo salto, faz referência à outra rede serial que temos como
alternativa. E o número 10 no final da rota mostra uma distância administrativa maior
que deixaria esta rota como backup da anterior. Esta segunda rota ficaria contida apenas
na configuração. Na tabel de roteamento estaria a rota principal. No entanto, na
ocorrência de qualquer problema em relação a rota principal, tal como indisponibilidade
da interface, a rota de backup permitiria a continuidade do tráfego.
222
Rota sumarizada
No exemplo acima, não existe a necessida de 4 rotas estáticas serem configuradas no

roteador ISP. Devemos lembrar que provavelmente ele teria outros clientes e possuir
rota estática para cada uma dessas redes, seria um trabalho de gerenciamento
desnecessário.
Podemos simplesmente configurar a rota sumarizada, conforme o exemplo.
As redes sumarizadas são utilizadas em outros momentos, além da configuração de

rotas estáticas, por esse motivo é interessante desenvolvar a visão que temos do
endereçamento ip, de forma a sumarizar endereços com absoluta facilidade e rapidez.
ROTEAMENTO DINÂMICO
As redes remotas também podem ser adicionadas à tabela de roteamento, usando um
protocolo de roteamento dinâmico, que a princípio pode ser entendido como um
algoritmo matemático complexo destinado cálculos de rotas com base em determinadas
métricas.
Os protocolos de roteamento dinâmico são usados por roteadores para compartilhar

informações sobre o alcance e o status de redes remotas. Os protocolos de roteamento
dinâmico executam várias atividades, inclusive:
 Detecção de rede
223
 Atualização e manutenção das tabelas de roteamento
Detecção automática de rede
Detecção de rede é a capacidade de um protocolo de roteamento de compartilhar

informações sobre as redes aprendidas com outros roteadores que também estão
usando o mesmo protocolo dinâmico. Em vez de configurar rotas estáticas para redes
remotas em todos os roteadores, um protocolo de roteamento dinâmico permite aos
roteadores aprender automaticamente essas redes com outros roteadores. Essas
redes – e o melhor caminho para cada uma – são adicionadas à tabela de roteamento e
denotadas como uma rede aprendida por um protocolo de roteamento dinâmico
específico.
Mantendo tabelas de roteamento
Após a detecção de rede inicial, os protocolos de roteamento dinâmico atualizam e

mantêm as redes em suas tabelas de roteamento. Os protocolos de roteamento
dinâmico não apenas criam uma determinação de melhor caminho para várias redes,
mas também determinam um novo melhor caminho caso o inicial fique inutilizável (ou
caso a topologia seja alterada). Por essas razões, os protocolos de roteamento
dinâmico têm uma vantagem em relação a rotas estáticas. Os roteadores que usam
protocolos dinâmicos compartilham automaticamente informações de roteamento
com outros roteadores e compensam qualquer alteração feita na topologia
sem necessitar de intervenção do humana.
Protocolos de roteamento IP
Existem vários protocolos de roteamento dinâmico para IP. Aqui estão alguns dos mais
comuns:
 RIP (Routing Information Protocol)

 EIGRP ( Enhanced Interior Gateway Routing Protocol) – Proprietário Cisco
 OSPF (Open Shortest Path First)
 IS-‐‐IS (Intermediate System-‐‐toIntermediate System)
224
 BGP (Border Gateway Protocol)
Obs: O protocolo RIP está fora do escopo da nova versão do CCNA. Utilizamos ainda hoje
este protocolo, principalmente para demonstrar exemplos de processos de roteamento
dinâmico.
IS-IS e BGP estão relacionados ao CCNP, bem como a porção mais avançada de EIGRP e
OSPF.
No CCNA apresentaremos boa parte da teoria do EIGRP e OSPF, além de suas
configurações básicas e intermediárias.
Geralmente, os protocolos de roteamento dinâmico são usados em redes maiores para

aliviar a sobrecarga administrativa e operacional causada pelo uso de rotas estáticas.
Normalmente, uma rede usa a combinação de um protocolo dinâmico e rotas estáticas.
Na maioria das redes, um único protocolo de roteamento dinâmico é usado. No entanto,
há casos em que partes diferentes da rede podem usar protocolos de roteamento
diferentes.
Todos os protocolos de roteamento têm a mesma finalidade: aprender redes remotas e

adaptar-‐‐se rapidamente sempre que houver uma alteração na topologia. O método
usado pelo protocolo de roteamento para isso depende do algoritmo que ele usa e das
características operacionais desse protocolo. Os operações de um protocolo de
roteamento dinâmico variam de acordo com o tipo e suas caracterísitcas operacionais.
Em geral, as operações de um protocolo de roteamento dinâmico podem ser descritas
da seguinte forma:
 O roteador envia e recebe mensagens de roteamento em suas interfaces.

 O roteador compartilha mensagens e informações de roteamento com outros
 roteadores que estão usando o mesmo protocolo.
 Os roteadores trocam informações de roteamento para aprender redes
remotas.
 Quando um roteador detecta uma alteração de topologia, o protocolo de
roteamento
 pode anunciar essa alteração a outros roteadores.
Vantagens do roteamento dinâmico:
225
 O administrador tem menos trabalho para manter a configuração ao adicionar
ou remover redes.
 Os protocolos reagem automaticamente às alterações de topologia.
 A configuração é menos propensa a erros.
 Mais escalável, o desenvolvimento da rede não costuma ser um problema.
Desvantagens do roteamento dinâmico:
 São usados recursos de roteador (ciclos de CPU, memória e largura de banda

de link).
 São necessários mais conhecimentos de administrador para configuração,
verificação e solução de problemas.
IGP e EGP
Um sistema autônomo (AS, autonomous system) – também conhecido como um
domínio de roteamento -‐‐ é um conjunto de roteadores sob a mesma administração.
Essa administração é tarefa das operadoras de telecom. Como a Internet é baseada no
conceito de sistema autônomo, são necessários dois tipos de protocolos de roteamento:
IGP (Interior Gateway Protocol) são usados para roteamento de sistema intra-‐‐
autônomo -‐‐ roteamento dentro de um sistema autônomo.
EGP (Exterior Gateway Protocol) são usados para roteamento de sistema inter-‐‐
autônomo -‐‐ roteamento entre sistemas autônomos.
Obs: Para uma melhor compreensão deste conceito de sistema autônomo, imagine que
as nuvens, que representam as redes WAN são separadas por domínios administrativos.
Cada domínio administrativo recebe um número diferente para identificação. Algo como
o “CEP” de uma rua. Talvez seja interessante pensar no número do sistema autônomo
com um “CEP” da nuvem.
Dentre os protocolos de roteamento já citados anteriormente, apenas o BGP pode ser

configurado com um EGP. Todos os outros atuam como IGP’s dentro de seus respectivos
sistemas autônomos.
226
Os IGP’s possuem sub grupos e características que os diferenciam entre si e estas
informações conheceremos agora...
Os Interior gateway protocols (IGP) se dividem em dois grupos:
 Vetores de distância
 Link States
Vetor de distância significa que as rotas são anunciadas como vetores direcionais. A
distância é definida em termos de uma métrica como contagem de saltos e a direção é
dada simplesmente pelo roteador do próximo salto ou pela interface de saída. Os
protocolos do vetor de distância normalmente usam o algoritmo Bellmann Ford para
determinar a melhor rota.
Alguns protocolos do vetor de distância enviam periodicamente tabelas de

roteamento completas a todos os vizinhos conectados. Em redes grandes, essas
atualizações de roteamento podem ficar enormes, causando tráfego significativo nos
links.
Embora o algoritmo Bellmann Ford acabe acumulando conhecimentos suficientes

para manter um banco de dados de redes que podem ser alcançadas, o algoritmo
não permite que um roteador aprenda a topologia exata de redes
interconectadas. O roteador só conhece as informações de roteamento recebidas de
seus vizinhos. Não existe uma visão ampla da topologia como um todo.
Os protocolos do vetor de distância usam os roteadores como postagens de sinal ao

longo do caminho para o destino final. As únicas informações que um roteador
conhece sobre uma rede remota são a distância ou a métrica para alcançar essa rede e
o caminho ou a interface que devem ser usados para isso. Os protocolos de

roteamento do vetor de distância não têm um mapa real da topologia da rede.
Os protocolos do tipo vetor de distância funcionam melhor em situações onde:
a) A rede é simples e fixa e não requer um design hierárquico especial.

b) Os administradores não têm conhecimentos suficientes para configurar e
solucionar os problemas dos protocolos link-‐‐state.
227
c) Redes de tipos específicos, como redes hub-‐‐and-‐‐spoke, estão sendo
implementadas.
d) Os tempos de convergência inesperada em uma rede não são uma
preocupação.
Em comparação com vetor de distância, um protocolo de roteamento link-‐‐state pode
criar uma “exibição completa” da topologia da rede coletando informações de todos os
outros roteadores. Usar um protocolo de roteamento link-‐‐state é como ter um mapa
completo da rede. As postagens de sinal ao longo do caminho, da origem ao destino,
não são necessárias, pois todos os roteadores link-‐‐state estão usando um "mapa"
idêntico da rede. Um roteador link-‐‐state usa as informações de link-‐‐state para criar um
mapa de topologia e selecionar o melhor caminho para todas as redes de destino da
topologia.
Os protocolos de roteamento link-‐‐state não usam atualizações periódicas. Após a

convergência da rede, a atualização de link-‐‐state só será enviada quando houver uma
alteração na topologia.
Os protocolos de link-‐‐state são mais adequados em situações nas quais:
 O design de rede é hierárquico, o que normalmente ocorre em redes grandes.

 Os administradores têm um bom conhecimento do protocolo de roteamento
link-‐‐state implementado.
 A convergência rápida da rede é crucial.
228
CONCEITOS IMPORTANTES EM ROTEAMENTO
Convergência:
É um estado de consistência entre todas as tabelas de roteamento existentes em
uma topologia. Haverá convergência na rede quando todos os roteadores tiverem
informações completas e precisas sobre ela. O tempo de convergência é o tempo
que os roteadores levam para compartilhar informações, calcular os melhores
caminhos e atualizar suas tabelas de roteamento. Para que uma rede seja
completamente operável, é necessário que haja convergência nela. Portanto, a
maioria das redes precisa chegar o mais rápido possível num estado de
convergência.
A convergência é colaborativa e independente. Apesar de compartilharem

informações entre si, os roteadores devem calcular de forma independente os
impactos da alteração na topologia em suas próprias rotas. Como eles desenvolvem
um acordo com a nova topologia de forma independente, acredita-‐‐se que eles
realizam convergências nesses consensos.
As propriedades da convergência incluem a velocidade de propagação das

informações de roteamento e o cálculo de caminhos ideais. Os protocolos de
roteamento podem ser classificados com base na velocidade de convergência;
quanto mais rápida for a convergência, melhor será o protocolo de roteamento. Os
antigos, RIP e IGRP eram lentos para convergir, enquanto o EIGRP e OSPF são mais
rápidos.
229
Métrica:
Para selecionar o melhor caminho, o protocolo de roteamento deve poder avaliar e
diferenciar os caminhos disponíveis. A métrica é usada para essa finalidade. Métrica
é um valor usado por protocolos de roteamento para atribuir custos com a finalidade
de alcançar redes remotas. A métrica é usada para determinar o melhor caminho
quando houver vários caminhos para a mesma rede remota.
Cada protocolo de roteamento usa sua própria métrica. Por exemplo, o RIP usa a
contagem de saltos, o EIGRP usa uma combinação de largura de banda e atraso e o
OSPF usa um valor de custo, muito relacionado a largura de banda. A contagem de
saltos é a métrica mais fácil de visualizar. A contagem de saltos se refere ao número
de roteadores que um pacote deve atravessar para alcançar a rede de destino.
Observe a topologia abaixo onde faremos algumas considerações sobre as principais

métricas utilizadas pelos protocolos de roteamento:
230
No caso de uma métrica de saltos, partindo do roteador A para chegar ao roteador B, o
caminho escolhido seria necessariamente ADB, pois temos ai a menor quantidade
de saltos.
Se, por outro lado, a métrica considerada fosse largura de banda, muito provavelmente
o caminho considerado melhor para chegar de A a B seria ADFEB.
Outras métricas poderiam ainda considerar caminhos diferentes disso. Tudo dependeria
dos parâmetros a serem analisados por cada métrica.
Uma outra situação interessante aplicada a esta topologia, demonstra a fragilidade de

uma métrica apenas baseado em número de saltos. Na tabela de roteamento de A, no
caso de uma métrica em saltos, haveria um empate entre 2 caminhos para chegar de A
a C. Os caminhos possíveis e iguais em termos de saltos seriam ADBEC e
também ADFEC. Porém a largura de banda existente nos links entre DFE
são muito superiores as outras. Isto certamente traria mais rapidez e dinâmica na
entrega dos pacotes, mas no caso da métrica de saltos, o empate faria com que os 2
caminhos fossem instalados na tabela de roteamento e que um balanceamento de
231
carga ocorresse entre eles. Esta situação, poderia inclusive provocar erros de
funcionamento entre aplicações que trocassem pacotes entre as redes de A e C. Este
seria um bom exemplo de uma ocasião onde um administrador da rede precisaria
intervir colocando uma rota estática por exemplo, que mantivesse na tabela de apenas
o caminho de maior largura de banda.
Alguns exemplos de parâmetros utilizados pelas métricas:
 Contagem de saltos -‐‐ Uma métrica simples que conta o número de roteadores
que um pacote deve atravessar
 Largura de banda -‐‐ Influencia a seleção do caminho ao escolher o caminho com
a maior largura de banda.
 Carga -‐‐ Considera a utilização de tráfego de determinado link.
 Atraso -‐‐ Considera o tempo que um pacote leva para atravessar um caminho.
 Confiabilidade -‐‐ Avalia a probabilidade de uma falha de link, calculada a partir
da contagem de erros de interface ou de falhas de link anteriores.
 Custo -‐‐ Um valor determinado pelo IOS ou pelo administrador de rede para
indicar sua preferência por uma rota. O custo pode representar uma métrica,
uma combinação de métricas ou uma política.
232
Balanceamento de carga:
233
Observe abaixo a tabela de roteamento do roteador D:
R_D#show ip route
234
Perceba que em no local grifado temos um exemplo de balanceamento de carga
automático, instalado pelo protocolo de roteamento dinâmico que está em uso (RIP).
No caso, a métrica utilizada pelo protocolo é a contagem de saltos e ocorreu um empate.
Ou seja, partindo de D para chegar até a rede 192.168.6.0 existente no roteador C,
existem 2 caminhos. Um deles partindo da interface gi0/0 e outro pela S0/0/0. Ambos
com 3 saltos cada como se pode ver na linha, logo após a identificação da rede de
destino.
Uma característica do balanceamento de carga, é que os caminhos válidos ficam todos

instalados na tabela de roteamento, atuantes no envio dos pacotes.
Note ainda, que nas mesmas linha é possível enxergar o ip de próximo salto associado à
interface local por onde o pacote é encaminhado para chegar até a rede de destino.
Estas são informações de vital importância no contexto CCNA. Interpretar a tabela de

roteamento é muito importante tanto para o mundo do trabalho com roteadores como
para realizar a prova CCNA.
235
Alguns desafios para você após observar os pedaços destacados da tabela de
roteamento acima:
O que estas linhas acima estão informando? Qual a diferença entre elas?
Se o roteador em questão precisasse encaminhar 50 mb de informações para a rede

200.6.6.0, qual caminho (s) ele utilizaria? Por qual deles seria encaminhada a maior
parte das informações?
236
Quais informações são relacionadas aos locais indicados pelas setas?
Loops de roteamento
Um loop de roteamento é uma condição em que um pacote é transmitido

continuamente em uma série de roteadores sem sequer alcançar a rede de destino. Um
loop de roteamento pode ocorrer quando dois ou mais roteadores possuem
informações de roteamento que, apesar de aparecerem como válidas em suas tabelas
de roteamento, já não se encontram mais nessa condição em função de algum
problema ocorrido e ainda não detectado. De uma certa forma, uma tabela
de roteamento pode conter registros para redes que já não estão mais alcançáveis.
O loop pode ser resultado de:
 Rotas estáticas configuradas incorretamente

 Rota de redistribuição configurada incorretamente (redistribuição é o processo
de entregar as informações de roteamento de um protocolo de roteamento para
outro).
 Tabelas de roteamento inconsistentes que não estão sendo atualizadas devido a
uma convergência lenta em redes instáveis.
237
Loops de roteamento são mais comuns em redes com protocolos do tipo vetor de
distância e bem mais raras em ambientes link state.
Alguns efeitos dos loops de roteamento para uma rede, incluem:
 Os loops utilizam a largura de banda disponível para os dados, provocando a

perda das comunicações de usuário.
 Sobrecarga de CPU com encaminhamentos de pacotes inúteis que afetarão a
convergência da rede de forma negativa.
 As atualizações de roteamento podem ser perdidas ou não ser processadas em
tempo hábil. Essas condições introduziriam loops de roteamento adicionais,
piorando a situação.
 Os pacotes podem ser perdidos em "buracos negros".
Há vários mecanismos disponíveis para eliminar loops de roteamento, alguns inerentes
a determinados protocolos e outros podendo ser configurados. Os principais e mais
conhecidos são:
1. Hold--down timers
2. Split horizon
3. Route poisoning ou poison reverse
1. Os temporizadores de hold-‐‐down são usados para impedir que as mensagens de

atualização regulares restabeleçam incorretamente uma rota que pode ter
apresentado uma falha. Eles instruem os roteadores a manter todas as alterações
que podem afetar rotas durante um período especificado. Se uma rota for
identificada como desativada, ou possivelmente desativada, todas as outras
informações dessa rota que contiverem o mesmo status, ou um status pior, serão
ignoradas por um período pré-‐‐determinado (o período de hold-‐‐down). Isso
significa que os roteadores deixarão uma rota marcada como inalcançável nesse
estado por um período longo o suficiente para que as atualizações propaguem as
tabelas de roteamento com as informações mais recentes.
Entenda o passo a passo dos hold-‐‐down timers:
238
a) Um roteador recebe uma atualização de um vizinho indicando que
determinada rede não está mais acessível.
b) O roteador marca a rede como possivelmente desativada e inicia o
temporizador de holddown.
c) Se uma atualização com uma métrica melhor para essa rede for recebida de
qualquer roteador vizinho durante o período de hold-‐‐down, a rede será
restabelecida e o temporizador de hold-‐‐down será removido.
d) Se uma atualização de qualquer outro vizinho for recebida durante o período
de hold--‐down com a mesma métrica ou com uma métrica pior para essa
rede, tal atualização será ignorada. Desse modo, haverá mais tempo para a
propagação das informações sobre a alteração.
2. O split horizon é outro método usado para impedir loops de roteamento causados
pela convergência muitas vezes lenta de um protocolo de roteamento. A regra do
split horizon diz que um roteador não deve anunciar uma rede através da interface
pela qual recebeu as informações desta mesma rede. O refluxo de uma informação
de roteamento precisa ser evitado para que não sejam propagadas informações
inconsistentes.
O split horizon pode ser desabilitado por um administrador. Em determinadas
condições, isso tem que ser feito para que o roteamento apropriado seja obtido.
3. O route poisoning é outro método empregado pelos protocolos de roteamento do

vetor de distância para impedir loops de roteamento. O route poisoning é usado
para marcar a rota como inalcançável em uma atualização de roteamento enviada
para outros roteadores. Inalcançável é interpretado como uma métrica definida
como máximo. Para o RIP, uma rota “envenenada” tem uma métrica de 16.
E quando os roteadores propagam esta rota originalmente “envenenada”, os outros roteadores que
recebem esta atualização não incluem a rota envenenada em suas tabelas por acreditarem que está
inatingível. E esta continuidade do “envenenamento” de rotas é denominado Poison Reverse. Esta
técnica também pode ser configurada.
239
.
240
CAPÍTULO 5 –ROTEAMENTO DE VLANS
241
Na porção de switching deste material, você aprende sobre a criação e manutenção
das redes locais virtuais no ambientes de redes comutadas.
Pode-‐‐se perceber que os switches L2 possuem a capacidade de criar as vlans, atribuir

portas as mesmas, além de configurar os trunks para extensão destas vlans entre
diversos switches.
O que estes equipamentos não possuem a capacidade de realizar, é a comunicação entre

vlans distintas.
Esta comunicação acontece através de roteamento que pode ser implementado por
switches L3 ou como é mais peculiar ao ambiente CCNA, por roteadores.
Observe a topologia abaixo:
Este é um modelo de roteamento físico, onde o roteador possui uma interface padrão
Ethernet conectada a cada uma das vlans existentes. Os endereços ip destas interfaces
são os gateways para os computadores dentro de cada uma das vlans.
As vlans criadas nos switches não recebem endereço ip.. Os endereços estarão nos hosts
e também nas interfaces do roteador.
242
Neste modelo de comunicação, não existe a necessidade de criarmos nenhuma rota,
visto que as rotas estão vinculadas a interfaces do mesmo routeador. Numa situação
assim, poden se dizer que o roteamento é um processo nativo, visto que se vale
da comutação entre as portas para trocar também seus pacotes.
Numa rede não muito ampla, este modelo de roteamento pode se mostrar eficiente com
vantagens como a facilidade para implementação de lista de controle de acesso para
filtrar o tráfego entre as vlans.
Estas ACLs poderiam ser criadas no roteador e posicionadas em cada uma das
interfaces físicas na devida orientaçõa de entrada ou saída do tráfego.
Usando o roteador como um GATEWAY
O roteamento tradicional exige que roteadores tenham interfaces físicas múltiplas

para facilitar o roteamento entre VLANs. O roteador realiza o roteamento conectando
cada uma de suas interfaces físicas a uma VLAN exclusiva. Cada interface é também
configurada com um endereço IP para a subn rede associada à VLAN específica à
qual está conectada. Com a configuração dos endereços IP nas interfaces
físicas, dispositivos
de rede conectados a cada uma das VLANs podem comunicarn se com o roteador
que usa a interface física conectada à mesma VLAN. Nessa configuração,
dispositivos de rede podem usar o roteador como um gateway para
acessar os dispositivos conectados às outras VLANs.
O processo de roteamento exige que o dispositivo de origem determine se o

dispositivo de destino está local ou remoto em relação à subn rede local. O
dispositivo de origem realiza essa tarefa comparando os endereços de origem e
destino com a máscara de subrede. Quando é determinado que o endereço de destino
está em uma rede remota, o dispositivo de origem deve identificar para onde precisa
encaminhar o
243
pacote a fim de alcançar o dispositivo de destino. O dispositivo de origem examina a
tabela de roteamento local para determinar para onde precisa enviar os dados.
Normalmente, dispositivos usam o gateway padrão como o destino para todo tráfego que
precise deixar a subn rede local. O gateway padrão é a rota que o dispositivo usa
quando não tem nenhuma outra rota explicitamente definida até a rede de destino. A
interface do roteador na subn rede local age como o gateway padrão para o dispositivo
remetente.
Quando o dispositivo de origem determina que o pacote deve viajar pela interface do
roteador local na VLAN conectada, o dispositivo de origem envia uma solicitação ARP para
determinar o endereço MAC da interface do roteador local. Quando o roteador envia sua
resposta ARP ao dispositivo de origem, o dispositivo de origem pode usar o endereço
MAC para terminar de estruturar o pacote antes de envián lo na rede como tráfego
unicast.
Considerando que o quadro ethernet tenha o endereço MAC de destino da interface

do roteador, o switch sabe exatamente para qual porta de switch encaminhar o
tráfego unicast, a fim de alcançar a interface do roteador naquela VLAN. Quando o
quadro chega ao roteador, ele remove as informações do endereço MAC de origem e
destino para examinar o endereço IP de destino do pacote. O roteador compara o
endereço de destino a entradas na tabela de roteamento para determinar para onde
precisa encaminhar os dados a fim de alcançar seu destino final.
Se o roteador determina que a rede de destino é uma rede localmente conectada,

como seria o caso em roteamento entre VLANs, o roteador envia uma solicitação ARP
pela interface fisicamente conectada para a VLAN de destino. O dispositivo de destino
responde ao roteador com seu endereço MAC, o qual é usado para estruturar o
pacote.
Em seguida, o roteador envia o tráfego unicast ao switch, e este encaminhan o

pela porta à qual o dispositivo de destino está conectado.
244
O inconveniente maior desta solução é o fato de que os roteadores não possuem muitas
interfaces físicas disponíveis. E, atualmente, é cada vez mais comum os links de Wan
serem entregues pelas operadoras também em portas ethernet, o que reduziria a
quantidade de interfaces disponíveis para utilização com roteamento de vlans.
Roteador fixo
Dessa forma, a soliução denominada router on stick, onde uma subinterface lógica é
criada no roteador para cada vlan existente no switch, acaba sendo o modelo mais
interessante. Os detalhes de processo veremos a seguir.
"Router on a Stick" é um tipo de configuração de roteador na qual uma única interface

física roteia o tráfego entre VLANs múltiplas em uma rede. Como você pode ver na
figura, o roteador está conectado ao switch S1 usando uma única conexão de rede física.
A interface do roteador é configurada para operar como um link de trunk e está

conectada a uma porta de switch configurada para operar neste modo. O roteador
executa o roteamento entre VLANs aceitando o tráfego com etiqueta de VLAN, que
245
vem do switch adjacente na interface de tronco, e roteando internamente entre as
VLANs que usam subinterfaces. Em seguida, o roteador encaminha o tráfego roteado –
com etiqueta de VLAN para a VLAN de destino pela mesma interface física.
Subinterfaces são interfaces virtuais múltiplas, associadas a uma interface física. Elas são
configuradas em software, em um roteador configurado independentemente com um
endereço IP e uma atribuição de VLAN para operar em uma VLAN específica.
Subinterfaces são configuradas para sub-‐‐redes diferentes que correspondem à sua

atribuição de VLAN para facilitarem o roteamento lógico antes das estruturas de dados
terem etiquetas de VLAN e serem enviadas de volta pela interface física
Como você pode ver na figura, o PC na VLAN10 pode se comunicar com o PC na VLAN30
pelo roteador R1, usando uma única interface de roteador física.
Configuração da subinterface
A configuração de subinterfaces de roteador é semelhante à configuração de interfaces
físicas, exceto que você precisa criar a subinterface e atribuí-‐‐la a uma VLAN.
No exemplo, da figura anterior, crie a subinterface de roteador digitando o comando

interface Gi0/0.10 em modo de configuração global. A sintaxe para a subinterface
sempre é a interface física, neste caso Gi0/0, seguido por um ponto e um número de
subinterface. O número da subinterface é configurável, mas geralmente é associado
para refletir o número da VLAN. No exemplo, as subinterfaces usam 10 e 30 como
números para ficar mais fácil de lembrar com quais VLANs estão associadas. A interface
física é especificada porque pode haver interfaces múltiplas no roteador, e cada uma
delas pode ser configurada para suportar várias subinterfaces.
Antes da atribuição de um endereço IP a uma subinterface, a subinterface precisa ser

configurada para funcionar em uma VLAN específica por meio do comando
encapsulation dot1q vlan id. No exemplo, a subinterface Gi0/0.10 foi atribuída à
VLAN10. Depois que a VLAN é atribuída, o comando ip address 172.17.10.1
255.255.255.0 atribui a subinterface ao endereço IP apropriado para aquela VLAN.
246
Ao contrário de uma interface física comum, subinterfaces não são habilitadas com o
comando no shutdown no nível do modo de configuração de subinterface do software
IOS Cisco. Em vez disso, quando a interface física é habilitada com o comando no
shutdown, todas as subinterfaces configuradas são habilitadas. Da mesma forma, se a
interface física é desabilitada, todas as subinterfaces são desabilitadas.
Uma vantagem do uso de um link de tronco é que o número de roteadores e portas de

switch usados é reduzido. Isso não só ajuda a economizar dinheiro, como também pode
reduzir a complexidade da configuração. Por conseguinte, é possível escalar a
abordagem da subinterface de roteador para um número muito maior de VLANs que
uma configuração com uma interface física por design de VLAN.
Desempenho
Como não há nenhuma contenção de largura de banda em interfaces físicas separadas,

interfaces físicas têm melhor desempenho quando comparadas com o uso de
subinterfaces. O tráfego de cada VLAN conectada tem acesso à largura de banda total
da interface física do roteador conectada à VLAN para roteamento entre VLANs.
Quando subinterfaces são usadas no roteamento entre VLANs, o tráfego que está sendo
roteado compete pela largura de banda na única interface física. Em uma rede ocupada,
isso pode causar um gargalo na comunicação. Para equilibrar a carga de tráfego em uma
interface física, subinterfaces são configuradas em interfaces físicas múltiplas, o que
resulta em menos contenção entre o tráfego de VLAN.
Portas de acesso e portas de tronco
A conexão de interfaces físicas para o roteamento entre VLANs exige que as portas de
switch sejam configuradas como portas de acesso. Subinterfaces exigem que a porta de
switch seja configurada como uma porta de tronco para poder aceitar o tráfego com
etiqueta de VLAN no link de tronco. Usando subinterfaces, muitas VLANs podem ser
roteadas em um único link de tronco em lugar de uma única interface física para cada
VLAN.
247
Custo
Financeiramente, é mais econômico usar subinterfaces em interfaces físicas separadas.

Roteadores que têm muitas interfaces físicas custam mais que roteadores com uma
única interface. Além disso, se você tem um roteador com muitas interfaces físicas,
cada interface é conectada a uma porta de switch separada, consumindo portas de
switch adicionais na rede. Portas de switch são um recurso caro em switches de alto
desempenho.
Consumindo portas adicionais para funções do roteamento entre VLANs, o switch e o

roteador aumentam o custo global da solução de roteamento entre VLANs.
Complexidade
O uso de subinterfaces no roteamento entre VLANs resulta em uma configuração física

menos complexa do que o uso de interfaces físicas separadas, porque há menos cabos
de rede física interconectando o roteador ao switch. Com menos cabos, há menos
confusão em relação ao local em que o cabo é conectado ao switch. Como
o entroncamento das VLANs está sendo feito em um único link, é mais fácil solucionar
os problemas das conexões físicas.
Por outro lado, o uso de subinterfaces com uma porta de tronco resulta em uma
configuração de software mais complexa, o que pode ser difícil de solucionar. No
modelo de roteador fixo, apenas uma interface é usada para acomodar todas as
diferentes VLANs. Se uma VLAN está com dificuldade para rotear a outras VLANs, você
não pode simplesmente rastrear o cabo para saber se ele está conectado à porta
correta. É necessário verificar se a porta de switch está configurada para ser um tronco
e se a VLAN não está sendo filtrada em algum link de tronco antes de alcançar a
interface do roteador. Também é necessário verificar se a subinterface do roteador
está configurada para usar a ID de VLAN e o endereço IP corretos para a subn
rede associada a essa VLAN.
Na sequência, traremos um exercício de configuração resolvido, utilizando a mesma

topologia utilizada para descrever a solução.
248
Seria interessante que você realizasse outras práticas para se habituar a esta solução.
Exercício de configuração
Lista de comandos
R1
R1(config)#interface gi0/0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface gi0/0.10
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 172.17.10.1 255.255.255.0
R1(config-subif)#exit
R1(config)# interface gi0/0.20
249
R1(config-subif)#exit
R1(config)# interface gi0/0.30
SW1
SW1(config)#interface Gi0/1
SW1(config- if)#switchport mode trunk
250
CAPÍTULO 6 – PROTOCOLOS DE ROTEAMENTO
251
OSPF – OPEN SHORTEST PATH FIRST
Antes de tratar especificamente do OSPF, vamos a algumas informações sobre o

funcionamento dos protocolos do tipo link state, grupo no qual o OSPF está inserido.
1. Cada roteador obtém informações sobre seus próprios links e suas próprias redes
diretamente conectadas. Isso é obtido pela detecção de uma interface no estado up
(ativo).
2. Cada roteador é responsável por encontrar seus vizinhos em redes diretamente

conectadas. Semelhantes ao EIGRP, roteadores link-‐‐state fazem isso trocando pacotes
Hello com outros roteadores link-‐‐state em redes diretamente conectadas
3. Cada roteador cria um pacote link-‐‐state (LSP) que contém o estado de cada link
diretamente conectado. Isso é feito com o registro de todas as informações pertinentes
sobre cada vizinho, inclusive a ID do vizinho, o tipo de link e a largura de banda.
4. Cada roteador inunda o LSP para todos os vizinhos, que armazenam todos os LSPs
recebidos em um banco de dados. Esses vizinhos, por sua vez, inundam os LSPs para
todos os seus vizinhos até que todos os roteadores na área tenham recebido os LSPs.
Cada roteador armazena uma cópia de cada LSP recebido de seus vizinhos em um banco
de dados local.
252
5. Cada roteador usa o banco de dados para criar um mapa completo da topologia e
computa o melhor caminho para cada rede de destino. Como se tivesse um mapa de
estrada, o roteador tem agora um mapa completo de todos os destinos na topologia e
as rotas para alcançá-‐‐los. O algoritmo SPF é usado para criar o mapa da topologia e
determinar o melhor caminho para cada rede.
Com protocolos de roteamento link-‐‐state, um link é uma interface em um roteador.
A interface deve ser corretamente configurada com um endereço IP e uma máscara de

sub-‐‐rede, e o link deve estar no estado up antes de o protocolo de roteamento link-‐‐
state obter informações sobre um link. Também como protocolos de vetor de distância,
a interface deve ser incluída em um dos comandos network antes de poder participar
do processo de roteamento link-‐‐state.
Informações sobre o estado desses links são conhecidas como link-‐‐states. Essas
informações incluem:
 O endereço IP da interface e a máscara de sub-‐‐rede.

 O tipo de rede, como Ethernet (difusão) ou link serial ponto a ponto.
 O custo do link.
 Qualquer roteador vizinho nesse link.
O segundo passo no processo de roteamento link-‐‐state é:
Cada roteador é responsável por encontrar seus vizinhos em redes diretamente

conectadas. Roteadores usam um protocolo Hello para detectar todos os vizinhos em
seus links. Um vizinho é qualquer outro roteador habilitado com o mesmo protocolo de
roteamento link-‐‐state.
Da mesma maneira que acontece com os pacotes Hello do EIGRP, quando dois
roteadores linkstate descobrem que são vizinhos, eles formam uma adjacência. Esses
pequenos pacotes Hello continuam sendo trocados entre dois vizinhos adjacentes, o que
funciona como uma função de manutenção de atividade (keepalive) para monitorar o
estado do vizinho. Se um roteador deixa de receber pacotes Hello de um vizinho, esse
vizinho é considerado inalcançável e a adjacência é interrompida.
253
No terceiro passo do roteamento link state temos o seguinte:
Cada roteador cria um pacote link-‐‐state que contém o estado de cada link diretamente
conectado.
Uma vez que um roteador estabelece suas adjacências, ele pode criar seus pacotes link-
‐‐state que contêm as informações link-‐‐state sobre seus links. Uma versão simplificada
dos LSPs de R1 é seria:
1. R1; GigabitEthernet network 192.168.1.0/24; Cost 4
2. R1 -‐‐> R2; Serial point-‐‐to-‐‐point network; 200.1.1.0/30; Cost 20
Esses pacotes possuem uma série de detalhes não relevantes ao CCNA, porém o
conhecimento de sua existência é importante para servir de base a outros
conhecimentos importantes no nosso contexto.
O quarto passo do processo é:
254
Roteadores realizam o processo de inundação de LSPs.
Cada roteador inunda suas informações linkn state em todos os outros roteadores
linkn state na área de roteamento. Sempre que um roteador recebe um LSP de um
vizinho, ele imediatamente envia o LSP para todas as outras interfaces, exceto a interface
que recebeu o LSP. Esse processo cria um efeito de inundação de LSPs de todos
os roteadores ao longo da área de roteamento.
Os LSPs são inundados quase imediatamente após serem recebidos, sem qualquer
cálculo intermediário. Ao contrário de protocolos de roteamento do vetor de distância
que devem executar o algoritmo Bellmann Ford para processar atualizações
de roteamento antes de envián las a outros roteadores, os protocolos de roteamento
linkn state calculam o algoritmo SPF depois de a inundação ser concluída. Como
resultado, os protocolos de roteamento linkn state alcançam convergência
muito mais rapidamente que protocolos de roteamento do vetor de distância.
Os LSPs não precisam ser enviados periodicamente. Um LSP só precisa ser enviado
durante a primeira inicialização do roteador ou do processo de protocolo
de roteamento nesse roteador; ou ainda, sempre que houver uma mudança na
topologia, incluindo um link para cima ou para baixo, ou uma adjacência de vizinho
que estiver sendo estabelecida ou quebrada.
Além das informações linkn state, outras informações são incluídas no LSP n
como números de seqüência e informações de idade n para ajudar a gerenciar o
processo de inundação. Essas informações são usadas por cada roteador para
determinar se ele já recebeu o LSP de outro roteador ou se o LSP tem informações
mais novas que as existentes no banco de dados link state. Esse processo permite
que um roteador mantenha apenas as informações mais atuais em seu banco de dados.
O último passo no processo de roteamento linkn state é:
Cada roteador usa o banco de dados para criar um mapa completo da topologia e
computa o melhor caminho para cada rede de destino.
255
Depois que cada roteador propaga seus próprios LSPs usando o processo de inundação
link state, cada um tem ao menos um LSP recebido de todos os roteadores na área de
roteamento. Esses LSPs são armazenados no banco de dados . Agora, cada roteador na
área de roteamento pode usar o algoritmo SPF para criar as árvores SPF que você viu
anteriormente. O mapa da rede consiste da tabela de topologia e os melhores caminhos
calculados pelo algorítmo formam a conhecida tabela de roteamento.
RESUMO DE Características E VANTAGENS DO Link State COMPARADO

A VETORES DE DISTÂNCIA.
Constroem um mapa topológico
Protocolos de roteamento link-‐‐state criam um mapa topológico ou uma árvore SPF da

topologia de rede. Roteadores que implementam um protocolo de roteamento do vetor
de distância têm apenas uma lista de redes que inclui o custo (distância) e roteadores
do próximo salto (direção) para essas redes. Como protocolos de roteamento link-‐‐state
trocam estados de link, o algoritmo SPF pode criar uma árvore SPF da rede. Usando a
árvore SPF, cada roteador pode determinar de maneira independente o caminho mais
curto para cada rede
Convergência rápida
Ao receberem um pacote link-‐‐state, protocolos de roteamento link-‐‐state

imediatamente inundam o LSP em todas as interfaces com exceção da interface da qual
o LSP foi recebido. Um roteador que usa um protocolo de roteamento do vetor de
distância precisa processar cada atualização de roteamento e atualizar sua tabela de
roteamento antes de inundá-‐‐las em outras interfaces, até mesmo com atualizações
disparadas. Uma convergência mais rápida é alcançada com protocolos de roteamento
link-‐‐state. Uma exceção notável é o EIGRP.
Atualizações baseadas em eventos
256
Depois da inundação inicial dos LSPs, os protocolos de roteamento link-‐‐state só enviam
um LSP quando há uma mudança na topologia. O LSP contém apenas as informações
relativas ao link afetado. Ao contrário de alguns protocolos de roteamento do vetor de
distância, os protocolos de roteamento link-‐‐state não enviam atualizações periódicas.
Design hierárquico
Protocolos de roteamento link-‐‐state como o OSPF e o IS-‐‐IS usam o conceito de áreas.

Áreas múltiplas criam um design hierárquico para redes, possibilitando melhor
agregação de rota (sumarização) e o isolamento de problemas de roteamento dentro de
uma área. OSPF e IS-‐‐IS de áreas múltiplas são discutidos em detalhesmais adiante no
CCNP.
CARACTERÍSTICAS ESPECÍFICAS DO OSPF:
Estabelecimento da vizinhança
Antes de um roteador OSPF poder enviar seus link-‐‐states a outros roteadores, ele
deverá determinar se existem outros vizinhos OSPF em algum de seus links. Na figura,
os roteadores OSPF estão enviando pacotes Hello em todas as interfaces habilitadas por
OSPF para determinar se existem vizinhos nesses links. As informações no OSPF Hello
incluem a ID do roteador OSPF que envia o pacote Hello (a ID do roteador é discutida
posteriormente no capítulo). Receber um pacote Hello de OSPF em uma interface
confirma para um roteador que há outro roteador OSPF neste link. O OSPF estabelece
então uma adjacência com o vizinho.
Intervalos de Hello e de Dead de OSPF
Antes de dois roteadores poderem formar uma adjacência de vizinho OSPF, eles deverão
concordar em três valores: Intervalo de hello, intervalo de dead e tipo de rede. O
intervalo de Hello de OSPF indica com que freqüência o roteador OSPF transmite seus
pacotes Hello. Por padrão, os pacotes Hello de OSPF são enviados a
257
cada 10 segundos em segmentos multiacesso e ponton an ponto e a cada 30
segundos em segmentos de rede ponton an multiponto (NBMA)(Frame Relay, X.25,
ATM).
Na maioria dos casos, os pacotes Hello de OSPF são enviados como multicast para um
endereço reservado para ALLSPFRouters em 224.0.0.5. Utilizar um endereço multicast
permite que um dispositivo ignore o pacote se sua interface não estiver habilitada para
aceitar pacotes OSPF. Isto economiza o tempo de processamento da CPU em
dispositivos nãon OSPF.
O intervalo de dead é o período, expresso em segundos, que o roteador esperará para

receber um pacote Hello antes de declarar o vizinho "inativo." A Cisco utiliza um
padrão de quatro vezes o intervalo de Hello. Para segmentos multiacesso e ponton
an ponto, este período é de 40 segundos. Para redes NBMA, o intervalo de Dead é de
120 segundos.
Se o intervalo de Dead expirar antes de os roteadores receberem um pacote Hello, o

OSPF removerá aquele vizinho de seu banco de dados linkn state. O roteador envia
as informações linkn state sobre o vizinho "inativo" para todas as interfaces
OSPF habilitadas.
REDES MULTIACESSO COM BROADCAST
Para reduzir a quantidade de tráfego OSPF nas redes multiacesso, o OSPF elege um
Roteador Designado (DR) e um Roteador Designado de Backup (BDR). O DR
é responsável por atualizar todos os outros roteadores OSPF (chamados de
DROthers) quando uma alteração ocorrer na rede multiacesso. O BDR monitora o DR
e assume como DR se o DR atual falhar.
258
Como o DR e o BDR são eleitos? Os seguintes critérios são aplicados:
1. DR: Roteador com a mais alta prioridade de interface OSPF.
2. BDR: Roteador com a segunda mais alta prioridade de interface OSPF.
3. Se as prioridades de interface OSPF são iguais, a ID de roteador mais alta é utilizada

para desempatar.
As prioridades das interfaces, por padrão possuem o valor de 1. Esses valores podem ser
movidos entre 0 e 255. Um valor 0, força a interface a não participar da eleição. Quanto
maior o valor, mais preferência o roteador terá para ser eleito DR ou BDR na rede à qual
aquela interface esteja inserida.
259
O critério de desempate, que seria o id do roteador, consiste num endereço ip obtido a
partir dos seguintes critérios:
I. Maior ip de interface lógica

II. Maior ip de interface física
OS DROthers só formam adjacências FULL com o DR e BDR, mas ainda formarão uma
adjacência de vizinho com qualquer DROther que se unir à rede. Isto significa que
todos os roteadores DROther na rede multiacesso ainda recebem pacotes Hello de
todos os outros roteadores DROther. Deste modo, eles estão cientes de todos os
roteadores na rede. Quando dois roteadores DROther formarem uma adjacência de
vizinho, o estado de vizinho é exibido como 2WAY. Os diferentes estados de vizinho
são discutidos no CCNP.
A eleição do DR/BDR
O processo de eleição DR e BDR acontece assim que o primeiro roteador com uma
interface habilitada de OSPF está ativo na rede multiacesso. Isto pode acontecer
quando os roteadores forem ligados ou quando o comando network do OSPF para
aquela interface for configurado. O processo de eleição só leva alguns segundos. Se
todos os roteadores na rede multiacesso não terminarem de inicializar, é possível que
um roteador com uma ID de roteador inferior tornen se o DR. Este poderia ser
um roteador lowern end que levou menos tempo para inicializar.
Quando o DR é eleito, ele permanece como DR até que uma das condições seguintes
ocorra:
 O DR falha.
 O processo OSPF no DR falha.
 A interface multiacesso no DR falha.
260
• Os DROthers só formam adjacências
completas com o DR e BDR na rede e
enviam seus LSAs ao DR e o BDR
usando o endereço multicast 224.0.0.6
(IPv6 FF02::06)
261
OSPF MULTIÁREA
Em redes muito amplas, o OSPF enfrenta problemas relacionados ao envio das

atualizações em massa:
• Cálculos frequentes do algoritmo SPF -‐‐ em uma rede de grande porte, as

alterações serão inevitáveis, para isso os roteadores usam vários ciclos de
CPU para recalcular o algoritmo SPF e atualizar a tabela de roteamento.
• Tabela de roteamento de grande porte -‐‐ o OSPF não executa o resumo de rotas
por padrão. Se as rotas não são resumidas, a tabela de roteamento pode se
tornar muito grande, dependendo do tamanho da rede.
• Banco de dados de estado do link (LSDB) de grande porte -‐‐ porque o LSDB cobre
a topologia de toda a rede, cada roteador deverá manter uma entrada para
cada rede na área, mesmo que nem todas as rotas sejam selecionadas para a
tabela de roteamento.
Para fazer o OSPF mais eficiente e escalonável, a rede pode ser dividida em várias áreas
OSPF. Uma área OSPF é um grupo de roteadores que compartilham as mesmas
informações de estado do link em seus bancos de dados de estado do link.
262
As vantagens da divisão do OSPF em áreas ficam bem claras no escopo do projeto,
observe:
• Frequência reduzida de cálculos SPF: informações detalhadas sobre rotas

existentes em cada área, alterações de estado do link não inundadas para
outras áreas.
• Tabelas de roteamento menores: em vez de anunciar essas rotas explícitas
fora da área, os roteadores podem ser configurados para resumir as rotas
em um ou mais endereços resumidos.
• Redução de sobrecarga da LSU: em vez de enviar uma LSU sobre cada rede
em uma área, um roteador pode anunciar uma única rota resumida ou
número pequeno de rotas entre áreas.
263
O OSPF Multiárea precisa de um projeto de rede
hierárquico e a área principal é chamada a área
de backbone (área 0) e todas as áreas restantes
devem conectar-se à área de backbone.
Aqui temos uma implementação OSPF Multiárea com 3 áreas, área 1, área 0 e área 51.
O resultado são tabelas de roteamento e menos LSAs. O SPF é executado somente
dentro de uma área se houver uma alteração na rede.
264
O OSPF Multiárea é implementado em uma hierarquia de área de duas
camadas:
Área de backbone (tráfego) -‐‐ a rede hierárquica define a área de backbone

ou a área 0 como o núcleo ao qual todas as outras áreas conectam diretamente.
Áreas de backbone interconectam com outros tipos de área OSPF. A função
principal de uma área de backbone OSPF é o movimento rápido e eficiente de
pacotes IP. Em geral, os usuários finais não são encontrados dentro de uma área
de backbone.
Área regular (não backbone) -‐‐ conecta usuários e recursos. As áreas

regulares são geralmente configuradas juntamente a agrupamentos funcionais
ou geográficos. Por padrão, uma área regular não permite que o tráfego de outra
área use seus links para acessar outras áreas. Todo o tráfego de outras áreas
atravessa a área 0.
265
TIPOS DE ROTEADORES OSPF NO MULTIÁREA:
Há quatro tipos diferentes de roteadores OSPF:
• Roteador interno – esse é um roteador com todas as interfaces na mesma

área. Todos os roteadores internos em uma área possuem LSDBs idênticos.
• Roteadores de backbone – esse é um roteador na área de backbone.
Geralmente, a área de backbone é definida como área 0.
• Roteador de borda de área (ABR) – esse é um roteador com as interfaces
conectadas a várias áreas. Mantenha LSDBs separados para cada área a que o
roteador estiver conectado e pode rotear entre as áreas. Os ABRs são pontos
de saída para a área, o que significa que as informações de roteamento
destinadas para outra área podem chegar lá apenas por meio do ABR na
área local. Os ABRs podem ser configurados para resumir as
informações de roteamento dos LSDBs das suas áreas conectadas. Os
ABRs distribuem as informações de roteamento no backbone. Os
roteadores de backbone, em seguida, enviam informações a outros
ABRs. Em uma rede de multiárea, uma área pode ter um ou mais ABRs.
266
• Roteador de limite de sistema autônomo (ASBR) – este é um roteador
que tem pelo menos uma interface conectada a uma ligação entre redes
externa (outro sistema autônomo), como uma rede não OSPF. Um ASBR pode
importar as informações da rede não OSPF para a rede OSPF e vice-‐‐versa,
usando um processo chamado redistribuição de rota.
• A redistribuição no OSPF multiárea ocorre quando um ASBR conecta diferentes
domínios de roteamento (por exemplo, EIGRP e OSPF) e os configura para
anunciar e trocar informações de roteamento entre estes domínios de
roteamento.
• Um roteador pode ser classificado como mais de um tipo de roteador. Por
exemplo, se um roteador se conecta a área 0 e à área 1, ele é classificado de
duas formas diferentes: um roteador de backbone e um ABR.
267
CONFIGURAÇÕES DO OSPF
Multiárea (OSPF v2)
Neste exemplo:
• O R1 é um ABR porque tem 2 interfaces na área 1 e uma interface na área 0.

• O R2 é um roteador interno de backbone porque todas as suas interfaces estão
na área 0.
• O R3 é um ABR porque tem interfaces na área 2 e uma interface na área 0.
268
Não há nenhum comando especial necessário para executar essa rede OSPF multiárea.
Um roteador torna--‐se simplesmente um ABR quando tem duas instruções de rede em
diferentes áreas.
• O R1 está atribuído ao roteador com a ID 1.1.1.1. Este exemplo ativa o OSPF nas
duas interfaces LAN na área 1. A interface serial é configurada como parte da
área 0 do OSPF. Porque o R1 possui interfaces conectadas a duas áreas, é um
ABR.
• Observação: A configuração de máscara das redes, corresponde à máscara
curinga, semelhante ao visto no EIGRP. Basta invertes os binários da máscara
normal. Ou ainda, considerar que a somatória da máscara normal com a
curinga nos traria um valor de 255.255.255.255 em decimal.
Observe no próximo modelo de configuração, como é feita a configuração do OSPFv3

Multiárea.
O OSPFv3 é a versão do protocolo destinada a rotear os pacotes IPV6.
269
Como o OSPFv2, executar a topologia de OSPFv3 multiárea é simples. Não há
nenhum comando especial necessário. Um roteador torna-se simplesmente um
ABR quando tem duas interfaces em diferentes áreas.
• O R1 está atribuído ao roteador com a ID 1.1.1.1. O exemplo também

habilita o OSPF na interface de LAN na área 1 e a interface serial na
área 0. Porque o R1 possui interfaces conectadas a duas áreas, se torna
um ABR.
270
Resumos de rotas OSPF
• Grandes redes OSPF – grande número de LSAs enviados

• Todos os roteadores OSPF afetados têm que recalcular o LSDB e a árvore
SPF
• Resumo da rota de inter--áreas: configurado em ABRs e se aplica às rotas de
cada área
• Resumo rota externa: rotas externas que são inseridas no OSPF através da
redistribuição de rota -‐‐ configurada em ASBR apenas
• Os intervalos de endereço que estão sendo resumidos devem ser contíguos
O resumo ajuda a manter as tabelas de roteamento pequenas. Isso envolve a

consolidação de várias rotas em um único anúncio, que pode então ser propagado na
área de backbone.
• Normalmente, LSAs do tipo 1 e tipo 2 são gerados em cada área, convertido para
o tipo 3 de LSA e enviado para outras áreas. Se a área 1 tinha 30 redes para
anunciar, então 30 LSAs tipo 3 seriam encaminhados para o backbone. Com o
resumo de rotas, o ABR consolida as 30 redes em um ou dois anúncios.
271
RESUMO DA ROTA OSPF
 O R1 encaminha um LSA de resumo para o roteador C1 do núcleo.

 C1 por sua vez, encaminha o LSA de resumo para R2 e R3.
 R2 e R3 encaminham o LSA aos respectivos roteadores internos.
Na figura, R1 consolida todos os anúncios de rede em um LSA de resumo. Em vez de

enviar LSAs individuais para cada rota na área 1, o R1 encaminha um LSA de resumo
para o roteador C1 do núcleo. C1 por sua vez, encaminha o LSA de resumo para R2
e R3. R2 e R3 encaminham o LSA aos respectivos roteadores internos.
O resumo também ajuda a aumentar a estabilidade da rede, porque reduz as

inundações de LSA desnecessárias. Isso afeta diretamente a quantidade de largura
de banda, CPU, e recursos de memória consumidos pelo processo de roteamento do
OSPF. Sem o resumo de rotas, cada link LSA específico é propagado no backbone do
OSPF e além, causando tráfego de rede desnecessário e sobrecarga do roteador.
272
Calculando um resumo de rota
Resuma 10.1.1.0/24 e 10.1.2.0/24
A figura demonstra que resumir redes em um único endereço e máscara pode ser feito
em três etapas:
• Etapa 1. Liste as redes em formato binário. No exemplo as duas redes

10.1.1.0/24 e 10.1.2.0/24 da área 1 são listadas em formato binário.
• Etapa 2. Conte o número de bits correspondentes da extrema esquerda para
determinar a máscara para a rota resumida. Como destacado, os primeiros 22
bits da extrema esquerda correspondem. Isso leva ao prefixo /22 ou à máscara
de sub--‐rede 255.255.252.0.
• Etapa 3. Copie os bits correspondentes e adicione os bits zero para determinar o
endereço da rede resumida. Neste exemplo, os bits correspondentes à zero no
resultado final em um endereço de rede de 10.1.0.0/22. Este endereço
resumido faz o resumo de quatro redes: 10.1.0.0/24, 10.1.1.0/24, 10.1.2.0/24,
e 10.1.3.0/24.
• No exemplo, o endereço resumido combina quatro redes, embora apenas duas
redes existam.
273
Configurando o resumo de rotas inter-‐‐áreas
A configuração resume as duas rotas da área 1 interna, 10.1.0.0/24 para

10.1.3.0/24, em uma rota resumida de inter-‐‐área OSPF em R1. A rota resumida
10.1.0.0/22 na verdade resume quatro endereços de rede.
Examine a tabela de roteamento IPv4 do R1. Observe como uma nova entrada foi
exibida com uma interface de saída Null0 . O CISCO IOS cria automaticamente
274
uma rota de resumo falsa para a interface Null0 quando o resumo manual é
configurado para evitar loops de roteamento. Um pacote enviado para uma
interface nula é descartado.
Por exemplo, suponha que R1 recebeu um pacote destinado a 10.1.0.10. Embora
combine com a rota resumida do R1, o R1 não tem uma rota válida na área 1.
Portanto, R1 faria referência à tabela de roteamento para a próxima
correspondência mais longa, que seria a entrada Null0. O pacote seria
encaminhado para a interface Null0 e descartado. Isso evita que o roteador
encaminhe o pacote para uma rota padrão e possivelmente crie um loop de
roteamento.
Examine a tabela de roteamento R3 atualizada. Observe como agora há apenas
uma entrada de inter--‐área que vai para a rota resumida 10.1.0.0/22.
Abaixo, um resumo de redes, por VLSM para ser configurado no roteador.
Pense e responda – Por quê foram gerados 2 resumos das rotas à esquerda?
275
Rota padrão no OSPF
• Dois métodos:
• default--information originate
• default--information originate always
• A palavra chave “always” permite que a rota padrão seja anunciada mesmo que
o roteador não tenha a rota padrão
• Valor de métrica opcional para indicar a preferência
Observe um exemplo desta configuração a seguir:
276
277
COMANDOS PARA VERIFICAÇÃO DO OSPF:
• show ip ospf neighbor

• show IP OSPF Para OSPFv3
• show ip ospf interface simplesmente
• show ip protocols substitua ip por ipv6
• show ip ospf interface brief
• show ip route ospf
• show ip ospf database
Use o comando show ip protocols para verificar o status do OSPF. A saída do comando
revela que protocolos de roteamento estão configurados em um roteador. Também
inclui detalhes do protocolo de roteamento como a ID do roteador, o número de áreas
no roteador, e as redes incluídas na configuração do protocolo de roteamento.
278
• A figura exibe as configurações OSPF do R1. Observe que o comando mostra
que há duas áreas. A seção Roteamento para redes identifica as redes e suas
áreas respectivas.
Use o comando show ip ospf interface brief para exibir para exibir informações
resumidas relacionadas a interfaces OSPF ativadas. Este comando revela
informações úteis, como a ID de processo OSPF a qual a interface está atribuída,
a área nas quais as interfaces estão e o custo da interface.
• O comando mais comum usado para verificar uma configuração OSPF multiárea
é o comando show ip route . Adicionar o parâmetro ospf para exibir somente
exibir informações relacionadas ao OSPF.
• Esta figura exibe a tabela de roteamento do R1. Observe como as entradas O IA
na tabela de roteamento identificam as redes reconhecidas de outras áreas.
Especificamente, O representa rotas de “intra--‐área” OSPF, e IA
representa a inter--‐área, que significa que a rota foi originada em outra área.
A entrada [110/1295] na tabela de roteamento representa a distância
administrativa que é atribuída ao OSPF (110) e custo total das rotas (custo de
1295).
279
Verificação do banco de dados LSDB em R1
Saída do comando OSPF show ip ospf database. Muito útil para resolução de
problemas em redes OSPF.
280
OSPF em Multiárea
RTB – RTD – 192.168.0.0/24 RTA – RTB – 10.1.1.0/30 RTC – RTE – 192.168.4.0/24
RTD Lo0 – 192.168.1.0/24 RTA – RTC – 10.1.1.4/30 RTE Lo0 – 192.168.5.0/24

Exercício prático para execução no Packet Tracer
RTB – RTC – 10.1.1.8/30
RTA Lo0 - Internet – 172.16.1.0/24
281
Situação Atual
Os cibercriminosos agora têm a experiência e as ferramentas necessárias
para derrubar infra-estrutura e sistemas críticos. Suas ferramentas e técnicas
continuam a evoluir.
Os cibercriminosos estão levando o malware a níveis sem precedentes de

sofisticação e impacto. Eles estão se tornando mais hábeis em usar técnicas
furtivas e de evasão para ocultar suas atividades. Por fim, os cibercriminosos
estão explorando brechas indefesas na segurança.
As violações de segurança de rede podem interromper o comércio eletrônico,

causar a perda de dados comerciais, ameaçar a privacidade das pessoas e
comprometer a integridade das informações. Essas violações podem resultar
em perda de receita para empresas, roubo de propriedade intelectual, ações
judiciais e até ameaçar a segurança pública.
Manter uma rede segura garante a segurança dos usuários da rede e protege
os interesses comerciais. As organizações precisam de indivíduos que possam
reconhecer a velocidade e a escala com que os adversários estão
acumulando e refinando seus armamentos cibernéticos. Todos os usuários
devem estar cientes dos termos de segurança na tabela.
Os ativos devem ser identificados e protegidos. As vulnerabilidades devem

ser tratadas antes que se tornem uma ameaça e sejam exploradas. Técnicas
de mitigação são necessárias antes, durante e após um ataque.
282
Vetores de ataques de rede
Um vetor de ataque é um caminho pelo qual um agente de ameaças pode
obter acesso a um servidor, host ou rede. Os vetores de ataque são
originários de dentro ou de fora da rede corporativa, conforme mostrado
na figura. Por exemplo, os atores de ameaças podem direcionar uma rede
pela Internet, para interromper as operações da rede e criar um ataque de
negação de serviço (DoS).
Nota: Um ataque de DoS ocorre quando um dispositivo ou aplicativo de

rede está incapacitado e não é mais capaz de suportar solicitações de
usuários legítimos.
Um usuário interno, como um funcionário, pode acidental ou

intencionalmente:
• Roube e copie dados confidenciais para mídia removível, email,

software de mensagens e outras mídias.
• Comprometer servidores internos ou dispositivos de infraestrutura de
rede.
• Desconecte uma conexão de rede crítica e cause uma interrupção na
rede.
• Conecte uma unidade USB infectada a um sistema de computador
corporativo.
283
As ameaças internas têm o potencial de causar maiores danos do que as
ameaças externas, porque os usuários internos têm acesso direto ao
edifício e a seus dispositivos de infraestrutura. Os funcionários também
podem ter conhecimento da rede corporativa, seus recursos e dados
confidenciais.
Os profissionais de segurança de rede devem implementar ferramentas e

aplicar técnicas para mitigar ameaças externas e internas.
284
Perda de dados
É provável que os dados sejam o ativo mais valioso de uma organização. Os
dados organizacionais podem incluir dados de pesquisa e desenvolvimento,
dados de vendas, dados financeiros, recursos humanos e dados legais, dados
de funcionários, dados de contratados e dados de clientes.
Perda ou exfiltração de dados é quando os dados são intencional ou

involuntariamente perdidos, roubados ou vazados para o mundo externo. A
perda de dados pode resultar em:
• Danos à marca e perda de reputação

• Perda de vantagem competitiva
• Perda de clientes
• Perda de receita
• Contencioso / ação judicial que resulta em multas e penalidades civis
• Custo e esforço significativos para notificar as partes afetadas e se
recuperar da violação
Os vetores comuns de perda de dados são exibidos na tabela.
Os profissionais de segurança de rede devem proteger os dados da

organização. Vários controles de prevenção contra perda de dados (DLP)
devem ser implementados, combinando medidas estratégicas, operacionais e
táticas.
285
O Hacker
No tópico anterior, você obteve uma visão de alto nível do cenário atual
da segurança cibernética, incluindo os tipos de ameaças e
vulnerabilidades que afetam todos os administradores e arquitetos de
rede. Neste tópico, você aprenderá mais detalhes sobre tipos específicos
de atores de ameaças.
Hacker é um termo comum usado para descrever um ator de ameaça.

Conforme mostrado na tabela, os termos hacker de chapéu branco,
hacker de chapéu preto e hacker de chapéu cinza são frequentemente
usados para descrever um tipo de hacker.
Nota: Neste curso, não usaremos o termo hacker fora deste módulo.
Usaremos o termo ator de ameaça. O termo ator de ameaças inclui
hackers. Mas o ator de ameaças também inclui qualquer dispositivo,
pessoa, grupo ou estado nacional que seja, intencionalmente ou não, a
fonte de um ataque.
286
Evolução dos hackers
Os hackers começaram na década de 1960 com o telefone pirando, ou
phreaking, que se refere ao uso de frequências de áudio para manipular os
sistemas telefônicos. Naquela época, os comutadores telefônicos usavam
vários tons para indicar funções diferentes. Os primeiros hackers
perceberam que, imitando um tom usando um apito, eles poderiam explorar
os comutadores telefônicos para fazer chamadas gratuitas de longa
distância.
Em meados da década de 1980, modems dial-up de computador foram

usados para conectar computadores a redes. Os hackers criaram
programas de "discagem de guerra" que discavam cada número de
telefone em uma determinada área em busca de computadores. Quando
um computador foi encontrado, programas de quebra de senha foram
usados para obter acesso.
A tabela exibe os termos modernos de hackers e uma breve descrição de

cada um.
287
Criminosos cibernéticos
Estima-se que os cibercriminosos roubem bilhões de dólares de
consumidores e empresas. Os cibercriminosos operam em uma economia
subterrânea onde compram, vendem e trocam kits de ferramentas de
ataque, código de exploração de dia zero, serviços de botnet, cavalos de
Troia bancários, keyloggers e muito mais. Eles também compram e
vendem as informações privadas e a propriedade intelectual que roubam.
Os cibercriminosos têm como alvo pequenas empresas e consumidores,
assim como grandes empresas e indústrias inteiras.
Hacktivistas
Dois exemplos de grupos hacktivistas são o Anonymous e o Exército
Eletrônico Sírio. Embora a maioria dos grupos hacktivistas não seja bem
organizada, eles podem causar problemas significativos para governos e
empresas. Os hacktivistas tendem a confiar em ferramentas bastante
básicas e disponíveis gratuitamente.
Hackers patrocinados pelo Estado

Os hackers patrocinados pelo estado criam código de ataque avançado e
personalizado, geralmente usando vulnerabilidades de software não
descobertas anteriormente, chamadas vulnerabilidades de dia zero. Um
exemplo de ataque patrocinado pelo Estado envolve o malware Stuxnet,
criado para danificar os recursos de enriquecimento nuclear do Irã.
288
Visão geral do malware
Agora que você conhece as ferramentas que os hackers usam, este tópico
apresenta diferentes tipos de malware que os hackers usam para obter
acesso aos dispositivos finais.
Os dispositivos finais são particularmente propensos a ataques de malware.

É importante saber sobre malware, porque os atores de ameaças
dependem dos usuários para instalar malware para ajudar a explorar as
falhas de segurança.
Clique em Reproduzir para ver uma animação dos três tipos mais comuns
de malware.
289
Vírus e Cavalos de Tróia
O primeiro e mais comum tipo de malware de computador é um vírus.
Os vírus requerem ação humana para propagar e infectar outros
computadores. Por exemplo, um vírus pode infectar um computador
quando uma vítima abre um anexo de email, abre um arquivo em uma
unidade USB ou baixa um arquivo.
O vírus se oculta anexando-se ao código, software ou documentos

do computador. Quando aberto, o vírus executa e infecta o computador.
Os vírus podem:
• Altere, corrompa, exclua arquivos ou apague unidades inteiras.

• Causar problemas de inicialização do computador e aplicativos
corrompidos.
• Capture e envie informações confidenciais para atores de
ameaças.
• Acesse e use contas de email para se espalhar.
• Fique dormente até ser convocado pelo agente da ameaça.
Os vírus modernos são desenvolvidos para fins específicos, como
os listados na tabela.
Os atores de ameaças usam cavalos de Tróia para comprometer os

hosts. Um cavalo de Tróia é um programa que parece útil, mas também
carrega código malicioso. Os cavalos de Tróia geralmente recebem
programas on-line gratuitos, como jogos de computador. Usuários
inocentes baixam e instalam o jogo, junto com o cavalo de Tróia.
290
Existem vários tipos de cavalos de Tróia, conforme descrito na tabela.
Vírus e cavalos de Tróia são apenas dois tipos de malware que os

agentes ameaçam usar. Existem muitos outros tipos de malware que
foram projetados para fins específicos.
291
Outros tipos de malware
Abaixo segue detalhes sobre muitos tipos diferentes de
malware.
Adware
• O adware geralmente é distribuído através do download de software
online.
• O Adware pode exibir publicidade não solicitada usando janelas pop-
up, novas barras de ferramentas ou redirecionar inesperadamente uma
página da Web para outro site.
• Pode ser difícil controlar janelas pop-up, pois novas janelas podem
aparecer mais rapidamente do que o usuário pode fechá-las.
Ransomware
• O ransomware normalmente nega o acesso de um usuário a
seus arquivos, criptografando os arquivos e exibindo uma
mensagem exigindo um resgate pela chave de descriptografia.
• Usuários sem backups atualizados devem pagar o resgate para
descriptografar seus arquivos.
• O pagamento geralmente é feito usando transferência bancária
ou moedas criptográficas como Bitcoin.
Rootkit
• Os rootkits são usados pelos atores de ameaças para obter acesso no
nível da conta de administrador a um computador.
• Eles são muito difíceis de detectar porque podem alterar o firewall, a
proteção antivírus, os arquivos do sistema e até os comandos do SO
para ocultar sua presença.
• Eles podem fornecer um backdoor para os agentes de ameaças,
dando-lhes acesso ao PC, permitindo o upload de arquivos e a
instalação de um novo software para ser usado em um ataque DDoS.
• Ferramentas especiais de remoção de rootkit devem ser usadas para
removê-las ou pode ser necessária uma reinstalação completa do SO.
Spyware
• Semelhante ao adware, mas usado para coletar informações sobre o
usuário e enviá-lo aos atores de ameaças sem o consentimento do
usuário.
• O spyware pode ser uma ameaça baixa, reunindo dados de
navegação ou uma ameaça alta, capturando informações pessoais e
financeiras.
292
Spyware
• Semelhante ao adware, mas usado para coletar informações sobre
o usuário e enviá-lo aos atores de ameaças sem o consentimento
do usuário.
• O spyware pode ser uma ameaça baixa, reunindo dados de
navegação ou uma ameaça alta, capturando informações pessoais
e financeiras.
Worm
• Um worm é um programa de replicação automática que se propaga
automaticamente sem ações do usuário, explorando
vulnerabilidades em software legítimo.
• Ele usa a rede para procurar outras vítimas com a mesma
vulnerabilidade.
• A intenção de um worm geralmente é retardar ou interromper as
operações da rede.
293
Autenticação de Origem
Para adicionar autenticação à garantia de integridade, use um código
de autenticação de mensagem com chave hash (HMAC). O HMAC usa
uma chave secreta adicional como entrada para a função hash.
Autenticação de origem usando o HMAC:
HMAC Hashing Algorithm

Conforme mostrado na figura, um HMAC é calculado usando qualquer
algoritmo criptográfico que combina uma função hash criptográfica
com uma chave secreta. As funções de hash são a base do
mecanismo de proteção dos HMACs.
Somente o remetente e o destinatário conhecem a chave secreta, e a

saída da função hash agora depende dos dados de entrada e da
chave secreta. Somente as partes que têm acesso a essa chave
secreta podem calcular o resumo de uma função HMAC. Isso derrota
os ataques man-in-the-middle e fornece autenticação da origem dos
dados.
Se duas partes compartilharem uma chave secreta e usarem as

funções HMAC para autenticação, um resumo HMAC adequadamente
construído de uma mensagem que uma parte recebeu indica que a
outra parte foi a originadora da mensagem. Isso ocorre porque a outra
parte possui a chave secreta.
294
Creating the HMAC Value
Conforme mostrado na figura, o dispositivo de envio insere dados
(como o pagamento de Terry Smith de US $ 100 e a chave secreta)
no algoritmo de hash e calcula o resumo de HMAC de comprimento
fixo. Esse resumo autenticado é anexado à mensagem e enviado ao
destinatário.
Verifying the HMAC Value

Na figura, o dispositivo receptor remove o resumo da mensagem e
usa a mensagem de texto sem formatação com sua chave secreta
como entrada na mesma função de hash. Se o resumo calculado
pelo dispositivo receptor for igual ao resumo enviado, a mensagem
não foi alterada. Além disso, a origem da mensagem é autenticada
porque apenas o remetente possui uma cópia da chave secreta
compartilhada. A função HMAC garantiu a autenticidade da
mensagem.
295
Cisco Router HMAC Example
A figura mostra como os HMACs são usados pelos roteadores
Cisco configurados para usar a autenticação de roteamento Open
Shortest Path First (OSPF).
R1 está enviando uma atualização do estado do link (LSU)

referente a uma rota para a rede 10.2.0.0/16:
1. R1 calcula o valor do hash usando a mensagem LSU e a chave

secreta.
2. O valor do hash resultante é enviado com o LSU para o R2.
3. R2 calcula o valor do hash usando o LSU e sua chave secreta.
R2 aceita a atualização se os valores de hash corresponderem.
Se eles não corresponderem, o R2 descartará a atualização.
296
Confidencialidade dos dados
Existem duas classes de criptografia usadas para fornecer
confidencialidade dos dados. Essas duas classes diferem na maneira
como usam as chaves.
Algoritmos de criptografia simétrica como (DES), 3DES e AES (Advanced

Encryption Standard) baseiam-se na premissa de que cada parte que se
comunica conhece a chave pré-compartilhada. A confidencialidade dos
dados também pode ser garantida usando algoritmos assimétricos,
incluindo Rivest, Shamir e Adleman (RSA) e a infraestrutura de chave
pública (PKI).
A figura destaca algumas diferenças entre cada método do algoritmo de

criptografia.
297
Criptografia simétrica
Os algoritmos simétricos usam a mesma chave pré-compartilhada para
criptografar e descriptografar dados. Uma chave pré-compartilhada,
também chamada de chave secreta, é conhecida pelo remetente e pelo
receptor antes que qualquer comunicação criptografada possa ocorrer.
Para ajudar a ilustrar como a criptografia simétrica funciona, considere um

exemplo em que Alice e Bob moram em locais diferentes e desejam trocar
mensagens secretas entre si por meio do sistema de correio. Neste
exemplo, Alice deseja enviar uma mensagem secreta para Bob.
Na figura, Alice e Bob têm chaves idênticas a um único cadeado. Essas

chaves foram trocadas antes do envio de mensagens secretas. Alice
escreve uma mensagem secreta e a coloca em uma pequena caixa que
ela trava usando o cadeado com a chave. Ela envia a caixa para Bob. A
mensagem é bloqueada com segurança dentro da caixa enquanto ela
percorre o sistema de correios. Quando Bob recebe a caixa, ele usa sua
chave para desbloquear
o cadeado e recuperar a mensagem. Bob pode usar a mesma
caixa e cadeado para enviar uma resposta secreta para Alice.
298
Hoje, algoritmos de criptografia simétrica são comumente usados com o
tráfego VPN. Isso ocorre porque os algoritmos simétricos usam menos
recursos da CPU do que os algoritmos de criptografia assimétrica. A
criptografia e descriptografia de dados são rápidas ao usar uma VPN. Ao
usar algoritmos de criptografia simétrica, como qualquer outro tipo de
criptografia, quanto maior a chave, mais tempo levará para alguém
descobrir a chave. A maioria das chaves de criptografia tem entre 112 e
256 bits. Para garantir que a criptografia seja segura, use um comprimento
mínimo de chave de 128 bits. Use uma chave mais longa para
comunicações mais seguras.
Algoritmos de criptografia simétrica conhecidos são descritos na tabela.
299
Criptografia assimétrica
Os algoritmos assimétricos, também chamados algoritmos de chave
pública, são projetados para que a chave usada para criptografia seja
diferente da chave usada para descriptografia, conforme mostrado na
figura. A chave de descriptografia não pode, em uma quantidade razoável
de tempo, ser calculada a partir da chave de criptografia e vice-versa.
Algoritmos assimétricos usam uma chave pública e uma chave privada.

Ambas as chaves são capazes do processo de criptografia, mas a chave
emparelhada complementar é necessária para descriptografia. O processo
também é reversível. Os dados criptografados com a chave pública
requerem que a chave privada seja descriptografada. Os algoritmos
assimétricos alcançam confidencialidade, autenticação e integridade
usando esse processo.
Como nenhuma das partes possui um segredo compartilhado, é

necessário usar comprimentos de chave muito longos. A criptografia
assimétrica pode usar comprimentos de chave entre 512 e 4.096 bits.
Comprimentos de chave maiores ou iguais a 1.024 bits podem ser
confiáveis, enquanto comprimentos menores são considerados não
confiáveis.
300
Exemplos de protocolos que usam algoritmos de chave assimétrica incluem:
• Internet Key Exchange (IKE) - Este é um componente

fundamental das VPNs IPsec.
• Secure Socket Layer (SSL) - Agora isso é implementado como
TLS (Transport Layer Security) padrão da IETF.
• Secure Shell (SSH) - Este protocolo fornece uma conexão segura
de acesso remoto a dispositivos de rede.
• Pretty Good Privacy (PGP) - Este programa de computador
fornece privacidade e autenticação criptográficas. É
frequentemente usado para aumentar a segurança das
comunicações por email.
Os algoritmos assimétricos são substancialmente mais lentos que os
algoritmos simétricos. Seu design é baseado em problemas
computacionais, como fatorar números extremamente grandes ou calcular
logaritmos discretos de números extremamente grandes.
Por serem lentos, algoritmos assimétricos geralmente são usados em

mecanismos criptográficos de baixo volume, como assinaturas digitais e
troca de chaves. No entanto, o gerenciamento de chaves de algoritmos
assimétricos tende a ser mais simples que os algoritmos simétricos,
porque geralmente uma das duas chaves de criptografia ou
descriptografia pode ser tornada pública.
Exemplos comuns de algoritmos de criptografia assimétrica são descritos

na tabela.
301
Diffie-Hellman
Diffie-Hellman (DH) é um algoritmo matemático assimétrico em que dois
computadores geram uma chave secreta compartilhada idêntica sem ter
se comunicado antes. A nova chave compartilhada nunca é realmente
trocada entre o remetente e o destinatário. No entanto, como as duas
partes o conhecem, a chave pode ser usada por um algoritmo de
criptografia para criptografar o tráfego entre os dois sistemas.
Aqui estão três exemplos de casos em que o DH é comumente usado:

• Os dados são trocados usando uma VPN IPsec.
• Os dados são criptografados na internet usando SSL ou
TLS.
• Os dados SSH são trocados.
Para ajudar a ilustrar como o DH opera, consulte a figura.
302
As cores na figura serão usadas em vez de números longos complexos
para simplificar o processo de contrato de chave DH. A troca de chaves DH
começa com Alice e Bob concordando com uma cor comum arbitrária que
não precisa ser mantida em segredo. A cor acordada em nosso exemplo é
amarela.
Em seguida, Alice e Bob selecionarão uma cor secreta. Alice escolheu

vermelho enquanto Bob escolheu azul. Essas cores secretas nunca serão
compartilhadas com ninguém. A cor secreta representa a chave privada
secreta escolhida de cada parte.
Alice e Bob agora misturam a cor comum compartilhada (amarelo) com sua
respectiva cor secreta para produzir uma cor particular. Portanto, Alice
misturará o amarelo com a cor vermelha para produzir uma cor particular
de laranja. Bob mistura o amarelo e o azul para produzir uma cor verde
particular.
Alice envia sua cor particular (laranja) para Bob e Bob envia sua cor
particular (verde) para Alice.
Alice e Bob misturam a cor que receberam com a sua própria cor secreta
original (vermelho para Alice e azul para Bob). O resultado é uma mistura
final de cor marrom que é idêntica à mistura final de cores do outro. A cor
marrom representa a chave secreta compartilhada resultante entre Bob e
Alice.
A segurança DH usa números incrivelmente grandes em seus cálculos. Por

exemplo, um número DH 1024 bits é aproximadamente igual a um número
decimal de 309 dígitos. Considerando que um bilhão é de 10 dígitos
decimais (1.000.000.000), pode-se facilmente imaginar a complexidade de
trabalhar com não um, mas muitos números decimais de 309 dígitos.
Infelizmente, os sistemas de chave assimétrica são extremamente lentos

para qualquer tipo de criptografia em massa. Portanto, é comum
criptografar a maior parte do tráfego usando um algoritmo simétrico, como
3DES ou AES e, em seguida, usar o algoritmo DH para criar chaves que
serão usadas pelo algoritmo de criptografia.
303
Redes Privadas Virtuais
Para proteger o tráfego de rede entre sites e usuários, as organizações
usam redes privadas virtuais (VPNs) para criar conexões de rede privadas
de ponta a ponta. Uma VPN é virtual, pois carrega informações dentro de
uma rede privada, mas essas informações são realmente transportadas por
uma rede pública. Uma VPN é privada, pois o tráfego é criptografado para
manter os dados confidenciais enquanto são transportados pela rede
pública.
A figura mostra uma coleção de vários tipos de VPNs gerenciadas pelo site
principal de uma empresa. O túnel permite que sites e usuários remotos
acessem os recursos de rede do site principal com segurança.
Os primeiros tipos de VPNs eram estritamente túneis IP que não incluíam

autenticação ou criptografia dos dados. Por exemplo, o GRE (Generic
Routing Encapsulation) é um protocolo de encapsulamento desenvolvido
pela Cisco e que não inclui serviços de criptografia. É usado para
encapsular o tráfego IPv4 e IPv6 dentro de um túnel IP para criar um link
ponto a ponto virtual.
304
Benefícios da VPN
As VPNs modernas agora oferecem suporte a recursos de criptografia,
como IPsec (Internet Protocol Security) e VPNs Secure Sockets Layer
(SSL) para proteger o tráfego de rede entre sites.
Os principais benefícios das VPNs são mostrados na tabela.
305
VPNs site a site e acesso remoto
As VPNs geralmente são implantadas em uma das seguintes configurações:
acesso site a site ou acesso remoto.
Site-to-site VPN
Uma VPN site a site é criada quando os dispositivos de terminação da VPN,

também chamados de gateways VPN, são pré-configurados com
informações para estabelecer um túnel seguro. O tráfego da VPN é
criptografado apenas entre esses dispositivos. Os hosts internos não sabem
que uma VPN está sendo usada.
Remote-Access VPN
Uma VPN de acesso remoto é criada dinamicamente para estabelecer uma
conexão segura entre um cliente e um dispositivo de terminação da VPN.
Por exemplo, uma VPN SSL de acesso remoto é usada quando você verifica
suas informações bancárias online.
306
VPNs para empresas e provedores de serviços
Existem muitas opções disponíveis para proteger o tráfego corporativo.
Essas soluções variam dependendo de quem está gerenciando a VPN.
As VPNs podem ser gerenciadas e implantadas como:
• VPNs corporativas - As VPNs gerenciadas pela empresa são uma

solução comum para proteger o tráfego corporativo na Internet. As
VPNs de acesso remoto e site a site são criadas e gerenciadas pela
empresa usando VPNs IPsec e SSL.
• VPNs do provedor de serviços - As VPNs gerenciadas pelo provedor
de serviços são criadas e gerenciadas pela rede do provedor. O
provedor usa Multiprotocol Label Switching (MPLS) na Camada 2 ou
3 para criar canais seguros entre os sites de uma empresa. MPLS é
uma tecnologia de roteamento que o provedor usa para criar caminhos
virtuais entre sites. Isso efetivamente separa o tráfego de outro tráfego
do cliente. Outras soluções herdadas incluem VPNs Frame Relay e
Modo de Transferência Assíncrona (ATM).
A figura lista os diferentes tipos de implantações de VPN gerenciadas por

empresas e gerenciadas por provedores de serviços que serão discutidas em
mais detalhes neste módulo.
307
VPNs de acesso remoto
No tópico anterior, você aprendeu sobre o básico de uma VPN. Aqui você
aprenderá sobre os tipos de VPNs.
As VPNs se tornaram a solução lógica para a conectividade de acesso

remoto por vários motivos. Conforme mostrado na figura, as VPNs de
acesso remoto permitem que usuários remotos e móveis se conectem com
segurança à empresa, criando um túnel criptografado. Os usuários
remotos podem replicar com segurança o acesso à segurança da empresa,
incluindo aplicativos de email e rede. As VPNs de acesso remoto também
permitem que contratados e parceiros tenham acesso limitado a
servidores, páginas da Web ou arquivos específicos, conforme necessário.
Isso significa que esses usuários podem contribuir para a produtividade
dos negócios sem comprometer a segurança da rede.
As VPNs de acesso remoto geralmente são ativadas dinamicamente pelo

usuário quando necessário. As VPNs de acesso remoto podem ser criadas
usando IPsec ou SSL. Conforme mostrado na figura, um usuário remoto
deve iniciar uma conexão VPN de acesso remoto.
A figura mostra duas maneiras pelas quais um usuário remoto pode iniciar
uma conexão VPN de acesso remoto: VPN sem cliente e VPN baseada em
cliente.
308
• Conexão VPN sem cliente - A conexão é protegida usando uma
conexão SSL do navegador da web. O SSL é usado principalmente
para proteger o tráfego HTTP (HTTPS) e protocolos de email como
IMAP e POP3. Por exemplo, HTTPS é realmente HTTP usando um
túnel SSL. A conexão SSL é estabelecida primeiro e, em seguida, os
dados HTTP são trocados pela conexão.
• Conexão VPN baseada no cliente - o software cliente VPN, como o
Cisco AnyConnect Secure Mobility Client, deve ser instalado no
dispositivo final do usuário remoto. Os usuários devem iniciar a
conexão VPN usando o cliente VPN e, em seguida, autenticar no
gateway VPN de destino. Quando usuários remotos são
autenticados, eles têm acesso a arquivos e aplicativos corporativos. O
software cliente VPN criptografa o tráfego usando IPsec ou SSL e o
encaminha pela Internet para o gateway VPN de destino.
309
VPNs SSL
Quando um cliente negocia uma conexão SSL VPN com o gateway VPN,
na verdade ele se conecta usando o TLS (Transport Layer Security). TLS
é a versão mais recente do SSL e às vezes é expressa como SSL / TLS.
No entanto, ambos os termos são frequentemente usados de forma
intercambiável.
O SSL usa a infraestrutura de chave pública e os certificados digitais

para autenticar pares. As tecnologias IPsec e SSL VPN oferecem acesso a
praticamente qualquer recurso ou aplicativo de rede. No entanto,
quando a segurança é um problema, o IPsec é a escolha superior. Se o
suporte e a facilidade de implantação forem os principais problemas,
considere o SSL. O tipo de método de VPN implementado é baseado nos
requisitos de acesso dos usuários e nos processos de TI da organização.
A tabela compara implantações de acesso remoto IPsec e SSL.
É importante entender que as VPNs IPsec e SSL não são mutuamente

exclusivas. Em vez disso, eles são complementares; ambas as
tecnologias resolvem problemas diferentes e uma organização pode
implementar IPsec, SSL ou ambos, dependendo das necessidades de
seus teletrabalhadores.
310
VPNs IPsec site a site
As VPNs site a site são usadas para conectar redes através de outra
rede não confiável, como a Internet. Em uma VPN site a site, os hosts
finais enviam e recebem tráfego TCP / IP não criptografado normal
por meio de um dispositivo de terminação da VPN. O encerramento da
VPN geralmente é chamado de gateway VPN. Um dispositivo de
gateway VPN pode ser um roteador ou um firewall, conforme
mostrado na figura. Por exemplo, o Cisco Adaptive Security Appliance
(ASA) mostrado no lado direito da figura é um dispositivo de firewall
independente que combina firewall, concentrador de VPN e
funcionalidade de prevenção de intrusões em uma imagem de
software.
O gateway VPN encapsula e criptografa o tráfego de saída para todo o

tráfego de um site específico. Em seguida, ele envia o tráfego através
de um túnel VPN pela Internet para um gateway VPN no site de
destino. Após o recebimento, o gateway VPN receptor retira os
cabeçalhos, descriptografa o conteúdo e retransmite o pacote em
direção ao host de destino dentro de sua rede privada.
As VPNs site a site geralmente são criadas e protegidas usando a

segurança IP (IPsec).
311
GRE sobre IPsec
O encapsulamento de roteamento genérico (GRE) é um protocolo de
encapsulamento VPN site a site não seguro. Ele pode encapsular vários
protocolos da camada de rede. Ele também suporta tráfego de difusão
seletiva e de difusão, o que pode ser necessário se a organização exigir
que os protocolos de roteamento operem através de uma VPN. No
entanto, o GRE não suporta, por padrão, criptografia; e, portanto, não
fornece um túnel VPN seguro.
Uma VPN IPsec padrão (não GRE) só pode criar túneis seguros para
tráfego unicast. Portanto, os protocolos de roteamento não trocam
informações de roteamento por uma VPN IPsec.
Para resolver esse problema, podemos encapsular o tráfego do protocolo

de roteamento usando um pacote GRE e, em seguida, encapsular o
pacote GRE em um pacote IPsec para encaminhá-lo com segurança ao
gateway VPN de destino.
Os termos usados para descrever o encapsulamento do túnel GRE sobre

IPsec são protocolo de passageiro, protocolo de operadora e protocolo
de transporte, conforme mostrado na figura.
• Protocolo de passageiro - Este é o pacote original que deve ser

encapsulado pelo GRE. Pode ser um pacote IPv4 ou IPv6, uma
atualização de roteamento e muito mais.
• Protocolo de transportadora - GRE é o protocolo de
transportadora que encapsula o pacote de passageiros original.
• Protocolo de transporte - Este é o protocolo que realmente será
usado para encaminhar o pacote. Pode ser IPv4 ou IPv6.
312
Por exemplo, na figura que exibe uma topologia, Filial e HQ gostariam
de trocar informações de roteamento OSPF por uma VPN IPsec. No
entanto, o IPsec não suporta tráfego multicast. Portanto, o GRE sobre
IPsec é usado para oferecer suporte ao tráfego do protocolo de
roteamento na VPN IPsec. Especificamente, os pacotes OSPF (isto é,
protocolo de passageiro) seriam encapsulados por GRE (isto é,
protocolo de operadora) e subsequentemente encapsulados em um
túnel VPN IPsec.
A captura de tela do Wireshark na figura exibe um pacote Hello OSPF

que foi enviado usando GRE sobre IPsec. No exemplo, o pacote
multicast original OSPF Hello (ou seja, protocolo de passageiros) foi
encapsulado com um cabeçalho GRE (ou seja, protocolo de operadora),
que é subsequentemente encapsulado por outro cabeçalho IP (ou seja,
protocolo de transporte). Esse cabeçalho IP seria encaminhado por um
túnel IPsec.
313
Tecnologias IPsec
IPsec é um padrão IETF (RFC 2401-2412) que define como uma VPN pode
ser protegida em redes IP. O IPsec protege e autentica pacotes IP entre a
origem e o destino. O IPsec pode proteger o tráfego da camada 4 à camada 7.
Usando a estrutura IPsec, o IPsec fornece estas funções essenciais de

segurança:
• Confidencialidade - O IPsec usa algoritmos de criptografia para impedir

que criminosos cibernéticos leiam o conteúdo do pacote.
• Integridade - O IPsec usa algoritmos de hash para garantir que os
pacotes não tenham sido alterados entre a origem e o destino.
• Autenticação de origem - o IPsec usa o protocolo IKE (Internet Key
Exchange) para autenticar a origem e o destino. Métodos de
autenticação, incluindo o uso de chaves pré-compartilhadas (senhas),
certificados digitais ou certificados RSA.
• Diffie-Hellman - Troca segura de chaves normalmente vários grupos do
algoritmo DH.
O IPsec não está vinculado a nenhuma regra específica para comunicações

seguras. Essa flexibilidade da estrutura permite que o IPsec integre
facilmente novas tecnologias de segurança sem atualizar os padrões IPsec
existentes. As tecnologias atualmente disponíveis estão alinhadas às suas
funções de segurança específicas. Os slots abertos mostrados na estrutura
IPsec na figura podem ser preenchidos com qualquer uma das opções
disponíveis para essa função IPsec para criar uma associação de segurança
exclusiva (SA).
314
As funções de segurança estão listadas na tabela.
A figura mostra exemplos de SAs para duas implementações diferentes.

Um SA é o componente básico do IPsec. Ao estabelecer um link VPN, os
pares devem compartilhar o mesmo SA para negociar parâmetros de troca
de chaves, estabelecer uma chave compartilhada, autenticar-se e negociar
os parâmetros de criptografia. Observe que o Exemplo 1 da SA não está
usando criptografia.
315
Encapsulamento do protocolo IPsec
A escolha do encapsulamento do protocolo IPsec é o primeiro bloco de
construção da estrutura. O IPsec encapsula pacotes usando o cabeçalho de
autenticação (AH) ou o protocolo de segurança de encapsulamento (ESP).
A escolha de AH ou ESP estabelece quais outros blocos de construção estão

disponíveis. Clique em cada protocolo IPsec na figura para obter mais
informações.
• AH é apropriado somente quando a confidencialidade não é necessária

ou permitida. Ele fornece autenticação e integridade de dados, mas
não fornece confidencialidade de dados (criptografia). Todo o texto é
transportado sem criptografia.
• O ESP fornece confidencialidade e autenticação. Ele fornece
confidencialidade executando a criptografia no pacote IP. O ESP
fornece autenticação para o pacote IP interno e o cabeçalho ESP. A
autenticação fornece autenticação de origem de dados e integridade de
dados. Embora a criptografia e a autenticação sejam opcionais no ESP,
no mínimo, um deles deve ser selecionado.
316
Confidencialidade
A confidencialidade é alcançada criptografando os dados, conforme
mostrado na figura. O grau de confidencialidade depende do algoritmo de
criptografia e do comprimento da chave usada no algoritmo de criptografia.
Se alguém tentar hackear a chave por meio de um ataque de força bruta, o
número de possibilidades para tentar é uma função do comprimento da
chave. O tempo para processar todas as possibilidades é uma função do
poder do computador do dispositivo atacante. Quanto menor a chave, mais
fácil é quebrar. Uma chave de 64 bits pode levar aproximadamente um ano
para ser quebrada em um computador relativamente sofisticado. Uma chave
de 128 bits com a mesma máquina pode levar aproximadamente 1019 ou 10
quintilhões de anos para descriptografar.
Os algoritmos de criptografia destacados na figura são todos sistemas de

criptografia de chave simétrica.
317
• O DES usa uma chave de 56 bits.
• O 3DES é uma variante do DES de 56 bits. Ele usa três chaves de
criptografia independentes de 56 bits por bloco de 64 bits, o que
fornece uma força de criptografia significativamente mais forte sobre o
DES.
• O AES fornece segurança mais forte que o DES e é
computacionalmente mais eficiente que o 3DES. O AES oferece três
comprimentos de chave diferentes: 128 bits, 192 bits e 256 bits.
• SEAL é uma cifra de fluxo, o que significa que criptografa dados
continuamente, em vez de criptografar blocos de dados. SEAL usa uma
chave de 160 bits.
318
Integridade
Integridade de dados significa que os dados recebidos são exatamente os
mesmos dados que foram enviados. Potencialmente, os dados podem ser
interceptados e modificados. Por exemplo, na figura, suponha que Alex
verifique um cheque de US $ 100. O cheque é enviado por correio a Alex,
mas é interceptado por um ator de ameaça. O agente da ameaça altera o
nome do cheque para Jeremy e o valor do cheque para US $ 1.000 e tenta
descontá-lo. Dependendo da qualidade da falsificação na verificação
alterada, o atacante pode ser bem sucedido.
Como os dados da VPN são transportados pela Internet pública, é necessário

um método para provar a integridade dos dados para garantir que o
conteúdo não tenha sido alterado. O HMAC (Hashed Message
Authentication Code) é um algoritmo de integridade de dados que garante a
integridade da mensagem usando um valor de hash. A figura destaca os dois
algoritmos HMAC mais comuns. Clique em cada algoritmo para obter mais
informações.
Nota: A Cisco agora classifica o SHA-1 como legado e recomenda pelo

menos o SHA-256 para integridade.
319
• O Message-Digest 5 (MD5) usa uma chave secreta compartilhada de
128 bits. A mensagem de tamanho variável e a chave secreta
compartilhada de 128 bits são combinadas e executadas pelo algoritmo
de hash HMAC-MD5. A saída é um hash de 128 bits.
• O Secure Hash Algorithm (SHA) usa uma chave secreta de 160 bits. A
mensagem de comprimento variável e a chave secreta compartilhada
de 160 bits são combinadas e executadas pelo algoritmo HMAC-SHA-1.
A saída é um hash de 160 bits.
320
Autenticação
Ao realizar negócios de longa distância, você deve saber quem está do outro
lado do telefone, email ou fax. O mesmo vale para redes VPN. O dispositivo
na outra extremidade do túnel da VPN deve ser autenticado antes que o
caminho da comunicação seja considerado seguro. A figura destaca os dois
métodos de autenticação de mesmo nível.
• Um valor de chave secreta pré-compartilhada (PSK) é inserido

manualmente em cada par. O PSK é combinado com outras
informações para formar a chave de autenticação. Os PSKs são fáceis
de configurar manualmente, mas não escalam bem, porque cada par
IPsec deve ser configurado com o PSK de todos os outros pares com os
quais se comunica.
• A autenticação Rivest, Shamir e Adleman (RSA) usa certificados
digitais para autenticar os pares. O dispositivo local deriva um hash e o
criptografa com sua chave privada. O hash criptografado é anexado à
mensagem e é encaminhado para a extremidade remota e age como
uma assinatura. Na extremidade remota, o hash criptografado é
descriptografado usando a chave pública da extremidade local. Se o
hash descriptografado corresponder ao hash recalculado, a assinatura
será genuína. Cada par deve autenticar seu par oposto antes que o
túnel seja considerado seguro.
321
A figura mostra um exemplo de autenticação PSK. No dispositivo local, a
chave de autenticação e as informações de identidade são enviadas por
meio de um algoritmo de hash para formar o hash do par local (Hash_L). A
autenticação unidirecional é estabelecida enviando Hash_L para o
dispositivo remoto. Se o dispositivo remoto puder criar independentemente
o mesmo hash, o dispositivo local será autenticado. Depois que o
dispositivo remoto autentica o dispositivo local, o processo de autenticação
começa na direção oposta e todas as etapas são repetidas do dispositivo
remoto para o dispositivo local.
322
A figura mostra um exemplo de autenticação RSA. No dispositivo local, a
chave de autenticação e as informações de identidade são enviadas pelo
algoritmo de hash para formar o hash do par local (Hash_L). Em seguida, o
Hash_L é criptografado usando a chave de criptografia privada do
dispositivo local. Isso cria uma assinatura digital. A assinatura digital e um
certificado digital são encaminhados para o dispositivo remoto. A chave de
criptografia pública para descriptografar a assinatura está incluída no
certificado digital. O dispositivo remoto verifica a assinatura digital
descriptografando-a usando a chave de criptografia pública. O resultado é
Hash_L. Em seguida, o dispositivo remoto cria independentemente Hash_L
a partir das informações armazenadas. Se o Hash_L calculado for igual ao
Hash_L descriptografado, o dispositivo local será autenticado. Depois que o
dispositivo remoto autentica o dispositivo local, o processo de autenticação
começa na direção oposta e todas as etapas são repetidas do dispositivo
remoto para o dispositivo local.
323
Troca de chaves segura com Diffie-Hellman
Os algoritmos de criptografia requerem uma chave secreta simétrica e
compartilhada para executar criptografia e descriptografia. Como os
dispositivos de criptografia e descriptografia obtêm a chave secreta
compartilhada? O método mais fácil de troca de chaves é usar um método
de troca de chave pública, como Diffie-Hellman (DH), conforme mostrado
na figura.
O DH fornece uma maneira para dois pares estabelecerem uma chave

secreta compartilhada que somente eles conhecem, mesmo que estejam se
comunicando por um canal inseguro. Variações da troca de chaves DH são
especificadas como grupos DH:
• Os grupos DH 1, 2 e 5 não devem mais ser usados. Esses grupos

suportam um tamanho de chave de 768 bits, 1024 bits e 1536 bits,
respectivamente.
• Os grupos DH 14, 15 e 16 usam tamanhos de chave maiores com 2048
bits, 3072 bits e 4096 bits, respectivamente, e são recomendados para
uso até 2030.
• Os grupos DH 19, 20, 21 e 24 com tamanhos de chave respectivos de
256 bits, 384 bits, 521 bits e 2048 bits oferecem suporte à Criptografia
de curva elíptica (ECC), que reduz o tempo necessário para gerar
chaves. O grupo DH 24 é a criptografia preferida da próxima geração.
324
O grupo DH escolhido deve ser forte o suficiente ou ter bits suficientes para
proteger as chaves IPsec durante a negociação. Por exemplo, o grupo DH 1
é forte o suficiente para suportar a criptografia DES e 3DES, mas não o
AES. Por exemplo, se os algoritmos de criptografia ou autenticação usarem
uma chave de 128 bits, use os grupos 14, 19, 20 ou 24. No entanto, se os
algoritmos de criptografia ou autenticação usarem uma chave de 256 bits
ou superior, use o grupo 21 ou 24.
325
Visão geral do CDP
A primeira coisa que você quer saber sobre sua rede é o que está nela?
Onde estão esses componentes? Como eles estão conectados? Basicamente,
você precisa de um mapa. Este tópico explica como você pode usar o Cisco
Discovery Protocol (CDP) para criar um mapa da sua rede.
O CDP é um protocolo de camada 2 proprietário da Cisco usado para

reunir informações sobre dispositivos Cisco que compartilham o mesmo
link de dados. O CDP é independente de mídia e protocolo e é executado
em todos os dispositivos Cisco, como roteadores, comutadores e servidores
de acesso.
O dispositivo envia anúncios periódicos do CDP para os dispositivos

conectados, conforme mostrado na figura.
Esses anúncios compartilham informações sobre o tipo de dispositivo

descoberto, o nome dos dispositivos e o número e tipo das interfaces.
Como a maioria dos dispositivos de rede está conectada a outros

dispositivos, o CDP pode ajudar nas decisões de projeto da rede, na solução
de problemas e na alteração de equipamentos. O CDP também pode ser
usado como uma ferramenta de descoberta de rede para determinar as
informações sobre os dispositivos vizinhos. Essas informações coletadas do
CDP podem ajudar a criar uma topologia lógica de uma rede quando falta
documentação ou falta de detalhes na documentação.
326
Configurar e verificar CDP
Para dispositivos Cisco, o CDP é ativado por padrão. Por motivos de
segurança, pode ser desejável desativar o CDP em um dispositivo de rede
globalmente ou por interface. Com o CDP, um invasor pode obter
informações valiosas sobre o layout da rede, como endereços IP, versões
do IOS e tipos de dispositivos.
Para verificar o status do CDP e exibir informações sobre o CDP, digite o

comando show cdp, conforme exibido no exemplo.
Para ativar o CDP globalmente para todas as interfaces suportadas no

dispositivo, digite cdp run no modo de configuração global. O CDP pode
ser desativado para todas as interfaces no dispositivo com o comando no
cdp run no modo de configuração global.
Para desativar o CDP em uma interface específica, como a interface

voltada para um provedor de serviços de Internet, insira no cdp enable no
modo de configuração da interface. O CDP ainda está ativado no
dispositivo; no entanto, nenhum anúncio CDP será enviado a essa
interface. Para ativar o CDP na interface específica novamente, insira cdp
enable, conforme mostrado no exemplo.
327
Para verificar o status do CDP e exibir uma lista de vizinhos, use o comando
show cdp neighbours no modo EXEC privilegiado. O comando show cdp
neighbours exibe informações importantes sobre os vizinhos do CDP.
Atualmente, este dispositivo não possui vizinhos porque não está
fisicamente conectado a nenhum dispositivo, conforme indicado pelos
resultados do comando show cdp neighbours exibido no exemplo.
Use o comando show cdp interface para exibir as interfaces ativadas para
CDP em um dispositivo. O status de cada interface também é exibido. A
figura mostra que cinco interfaces são ativadas para CDP no roteador com
apenas uma conexão ativa com outro dispositivo.
328
Descobrir dispositivos usando o CDP
Considere a falta de documentação na topologia mostrada na figura. O
administrador da rede sabe apenas que o R1 está conectado a outro
dispositivo.
Com o CDP ativado na rede, o comando show cdp neighbours pode ser
usado para determinar o layout da rede, conforme mostrado na saída.
Nenhuma informação está disponível sobre o restante da rede. O comando

show cdp neighbours fornece informações úteis sobre cada dispositivo
vizinho do CDP, incluindo o seguinte:
• Device identifiers - Este é o nome do host do dispositivo vizinho (S1).

• Port identifier - Este é o nome da porta local e remota (G0 / 0/1 e
F0 / 5, respectivamente).
• Capabilities list - Mostra se o dispositivo é um roteador ou um
comutador (S para comutador; I para IGMP está além do escopo deste
curso)
• Platform - Esta é a plataforma de hardware do dispositivo (WS-C3560
para switch Cisco 3560).
A saída mostra que há outro dispositivo Cisco, S1, conectado à interface

G0 / 0/1 no R1. Além disso, o S1 é conectado através do seu F0 / 5,
conforme mostrado na topologia atualizada.
329
O administrador da rede usa os detalhes show cdp neighbours para
descobrir o endereço IP do S1. Conforme exibido na saída, o endereço para
S1 é 192.168.1.2.
Acessando o S1 remotamente pelo SSH ou fisicamente pela porta do

console, o administrador da rede pode determinar quais outros dispositivos
estão conectados ao S1, conforme exibido na saída dos vizinhos show cdp
na figura.
330
Outro switch, S2, é revelado na saída. S2 está usando F0 / 1 para
conectar-se à interface F0 / 1 em S1, conforme mostrado na figura.
Novamente, o administrador da rede pode usar os detalhes show cdp

neighbours para descobrir o endereço IP do S2 e acessá-lo remotamente.
Após um login bem-sucedido, o administrador da rede usa o comando
show cdp neighbours para descobrir se há mais dispositivos.
O único dispositivo conectado ao S2 é o S1. Portanto, não há mais

dispositivos a serem descobertos na topologia. O administrador da rede
agora pode atualizar a documentação para refletir os dispositivos
descobertos.
331
Introdução ao SNMP
Agora que sua rede está mapeada e todos os seus componentes estão usando
o mesmo relógio, é hora de analisar como você pode gerenciar sua rede
usando o SNMP (Simple Network Management Protocol).
O SNMP foi desenvolvido para permitir que os administradores gerenciem

nós, como servidores, estações de trabalho, roteadores, comutadores e
dispositivos de segurança, em uma rede IP. Permite aos administradores de
rede monitorar e gerenciar o desempenho da rede, encontrar e resolver
problemas de rede e planejar o crescimento da rede.
O SNMP é um protocolo da camada de aplicativo que fornece um formato de

mensagem para comunicação entre gerentes e agentes. O sistema SNMP
consiste em três elementos:
• Gerenciador de SNMP
• Agentes SNMP (nó gerenciado)
• Base de Informações de Gerenciamento (MIB)
Para configurar o SNMP em um dispositivo de rede, primeiro é necessário
definir o relacionamento entre o gerente e o agente.
O gerenciador de SNMP faz parte de um sistema de gerenciamento de rede

(NMS). O gerenciador SNMP executa o software de gerenciamento SNMP.
Conforme mostrado na figura, o gerente SNMP pode coletar informações de
um agente SNMP usando a ação "get" e pode alterar as configurações em um
agente usando a ação "set". Além disso, os agentes SNMP podem encaminhar
informações diretamente para um gerenciador de rede usando “traps”.
332
O agente SNMP e o MIB residem nos dispositivos clientes SNMP. Os
dispositivos de rede que devem ser gerenciados, como comutadores,
roteadores, servidores, firewalls e estações de trabalho, estão equipados
com um módulo de software do agente SMNP. Os MIBs armazenam dados
sobre o dispositivo e as estatísticas operacionais e devem estar disponíveis
para usuários remotos autenticados. O agente SNMP é responsável por
fornecer acesso ao MIB local.
O SNMP define como as informações de gerenciamento são trocadas entre

aplicativos de gerenciamento de rede e agentes de gerenciamento. O
gerenciador SNMP consulta os agentes e consulta os agentes SNMP da MIB
na porta UDP 161. Os agentes SNMP enviam quaisquer traps SNMP ao
gerenciador SNMP na porta UDP 162.
333
Operação SNMP
Os agentes SNMP que residem em dispositivos gerenciados coletam e
armazenam informações sobre o dispositivo e sua operação. Esta
informação é armazenada pelo agente localmente na MIB. O gerenciador
SNMP usa o agente SNMP para acessar informações no MIB.
Existem duas solicitações principais do gerenciador SNMP, obter e definir.

Uma solicitação de obtenção é usada pelo NMS para consultar dados do
dispositivo. Uma solicitação de conjunto é usada pelo NMS para alterar as
variáveis de configuração no dispositivo do agente. Uma solicitação de
conjunto também pode iniciar ações em um dispositivo. Por exemplo, um
conjunto pode causar a reinicialização de um roteador, enviar um arquivo
de configuração ou receber um arquivo de configuração. O gerenciador de
SNMP usa as ações get e set para executar as operações descritas na tabela.
334
O agente SNMP responde às solicitações do gerente SNMP da seguinte
maneira:
• Get an MIB variable - O agente SNMP executa essa função em

resposta a uma GetRequest-PDU do gerenciador de rede. O agente
recupera o valor da variável MIB solicitada e responde ao gerenciador
de rede com esse valor.
• Set an MIB variable - O agente SNMP executa essa função em resposta
a um SetRequest-PDU do gerenciador de rede. O agente SNMP altera o
valor da variável MIB para o valor especificado pelo gerenciador de
rede. Uma resposta do agente SNMP a uma solicitação definida inclui
as novas configurações no dispositivo.
A figura ilustra o uso de um SNMP GetRequest para determinar se a

interface G0 / 0/0 está ativa / ativa.
335
Interceptações de agente SNMP
Um NMS pesquisa periodicamente os agentes SNMP que residem em
dispositivos gerenciados usando a solicitação get. O NMS consulta o
dispositivo em busca de dados. Usando esse processo, um aplicativo de
gerenciamento de rede pode coletar informações para monitorar cargas de
tráfego e verificar as configurações de dispositivos gerenciados. As
informações podem ser exibidas por meio de uma GUI no NMS. Médias,
mínimos ou máximos podem ser calculados. Os dados podem ser
representados graficamente ou limites podem ser configurados para acionar
um processo de notificação quando os limites forem excedidos. Por
exemplo, um NMS pode monitorar a utilização da CPU de um roteador
Cisco. O gerenciador do SNMP faz uma amostragem periódica do valor e
apresenta essas informações em um gráfico para o administrador da rede
usar na criação de uma linha de base, na criação de um relatório ou na
exibição de informações em tempo real.
A pesquisa periódica do SNMP tem desvantagens. Primeiro, há um atraso

entre a hora em que um evento ocorre e a hora em que ele é notado (por
meio de pesquisa) pelo NMS. Segundo, há uma troca entre a frequência de
pesquisa e o uso da largura de banda.
Para atenuar essas desvantagens, é possível que os agentes SNMP gerem e

enviem traps para informar o NMS imediatamente sobre determinados
eventos. Traps são mensagens não solicitadas alertando o gerente SNMP
para uma condição ou evento na rede. Exemplos de condições de
interceptação incluem, entre outros, autenticação incorreta do usuário,
reinicialização, status do link (ativo ou inativo), rastreamento de endereço
MAC, fechamento de uma conexão TCP, perda de conexão com um vizinho
ou outros eventos significativos. As notificações direcionadas à
interceptação reduzem os recursos de rede e do agente, eliminando a
necessidade de algumas solicitações de pesquisa SNMP.
A figura ilustra o uso de uma interceptação SNMP para alertar o

administrador da rede de que a interface G0 / 0/0 falhou. O software NMS
pode enviar ao administrador da rede uma mensagem de texto, abrir uma
janela no software NMS ou deixar o ícone do roteador vermelho na GUI do
NMS.
336
A troca de todas as mensagens SNMP é ilustrada na figura.
337
Versões SNMP
Existem várias versões do SNMP:
• SNMPv1 - Este é o Protocolo Simples de Gerenciamento de Rede, um

padrão completo da Internet, definido na RFC 1157.
• SNMPv2c - Isso é definido nas RFCs 1901 a 1908. Ele usa uma
Estrutura Administrativa baseada na comunidade.
• SNMPv3 - Este é um protocolo interoperável baseado em padrões,
originalmente definido nas RFCs 2273 a 2275. Ele fornece acesso
seguro aos dispositivos, autenticando e criptografando pacotes pela
rede. Ele inclui os seguintes recursos de segurança: integridade da
mensagem para garantir que um pacote não seja violado em trânsito,
autenticação para determinar que a mensagem é de uma fonte válida
e criptografia para impedir que o conteúdo de uma mensagem seja
lido por uma fonte não autorizada.
Todas as versões usam gerenciadores, agentes e MIBs SNMP. O software
Cisco IOS suporta as três versões acima. A versão 1 é uma solução herdada
e não é frequentemente encontrada nas redes atualmente; portanto, este
curso se concentra nas versões 2c e 3.
O SNMPv1 e o SNMPv2c usam uma forma de segurança baseada na

comunidade. A comunidade de gerentes que é capaz de acessar o MIB do
agente é definida por uma sequência de comunidades.
Diferente do SNMPv1, o SNMPv2c inclui um mecanismo de recuperação

em massa e relatórios de mensagens de erro mais detalhados para estações
de gerenciamento. O mecanismo de recuperação em massa recupera
tabelas e grandes quantidades de informações, minimizando o número de
viagens de ida e volta necessárias. O tratamento aprimorado do SNMPv2c
inclui códigos de erro expandidos que distinguem diferentes tipos de
condições de erro. Essas condições são relatadas através de um único
código de erro no SNMPv1. Os códigos de retorno de erro no SNMPv2c
incluem o tipo de erro.
338
Nota: SNMPv1 e SNMPv2c oferecem recursos mínimos de segurança.
Especificamente, o SNMPv1 e o SNMPv2c não podem autenticar a origem
de uma mensagem de gerenciamento nem fornecer criptografia.
Atualmente, o SNMPv3 é descrito nas RFCs 3410 a 3415. Ele adiciona
métodos para garantir a transmissão segura de dados críticos entre
dispositivos gerenciados.
O SNMPv3 fornece modelos de segurança e níveis de segurança. Um

modelo de segurança é uma estratégia de autenticação configurada para
um usuário e o grupo em que o usuário reside. Um nível de segurança é o
nível permitido de segurança dentro de um modelo de segurança. Uma
combinação do nível de segurança e do modelo de segurança determina
qual mecanismo de segurança é usado ao manipular um pacote SNMP. Os
modelos de segurança disponíveis são SNMPv1, SNMPv2c e SNMPv3.
A tabela identifica as características das diferentes combinações de

modelos e níveis de segurança.
339
SNMPv2c
levei noAuthNoPriv
Authentication Community string
Encryption No
Result Uses a community string match for authentication.
SNMPv3 noAuthNoPriv
levei noAuthNoPriv
Authentication Username
Encryption No
Result Uses a username- match for authentication (an improvement over SNMPv2c).
SNMPv3 authNoPriv
levei authNoPriv
Authentication Message Digest 5 (MDS) or Secure Hash Algorithm (SHA)
Encryption No
Result Provides authentication based on the HMAC-MDS or HMAC-SHA algorithms.
340
Um administrador de rede deve configurar o agente SNMP para usar a
versão SNMP suportada pela estação de gerenciamento. Como um agente
pode se comunicar com vários gerenciadores de SNMP, é possível
configurar o software para suportar as comunicações usando SNMPv1,
SNMPv2c ou SNMPv3.
341
Community Strings
Para que o SNMP opere, o NMS deve ter acesso ao MIB. Para garantir que
as solicitações de acesso sejam válidas, alguma forma de autenticação deve
estar em vigor.
O SNMPv1 e o SNMPv2c usam seqüências de caracteres da comunidade

que controlam o acesso ao MIB. As strings da comunidade são senhas de
texto simples. As strings da comunidade SNMP autenticam o acesso aos
objetos MIB.
Existem dois tipos de strings da comunidade:
• Read-only (ro) - Esse tipo fornece acesso às variáveis MIB, mas não
permite que essas variáveis sejam alteradas, somente leitura. Como a
segurança é mínima na versão 2c, muitas organizações usam o
SNMPv2c no modo somente leitura.
• Read-write (rw) - Esse tipo fornece acesso de leitura e gravação a
todos os objetos no MIB.
Para visualizar ou definir variáveis MIB, o usuário deve especificar a
sequência de caracteres da comunidade apropriada para acesso de leitura
ou gravação.
Nota: As senhas de texto sem formatação não são consideradas um

mecanismo de segurança. Isso ocorre porque as senhas de texto simples são
altamente vulneráveis a ataques intermediários, nos quais elas são
comprometidas pela captura de pacotes.
342
Introdução ao Syslog
Como uma luz Check Engine no painel do carro, os componentes da sua
rede podem dizer se há algo errado. O protocolo syslog foi projetado para
garantir que você possa receber e entender essas mensagens. Quando certos
eventos ocorrem em uma rede, os dispositivos de rede possuem mecanismos
confiáveis para notificar o administrador com mensagens detalhadas do
sistema. Essas mensagens podem ser não críticas ou significativas. Os
administradores de rede têm uma variedade de opções para armazenar,
interpretar e exibir essas mensagens. Eles também podem ser alertados
sobre as mensagens que podem ter o maior impacto na infraestrutura de
rede.
O método mais comum de acessar mensagens do sistema é usar um

protocolo chamado syslog.
Syslog é um termo usado para descrever um padrão. Também é usado para

descrever o protocolo desenvolvido para esse padrão. O protocolo syslog foi
desenvolvido para sistemas UNIX na década de 1980, mas foi documentado
pela primeira vez como RFC 3164 pela IETF em 2001. O Syslog usa a porta
UDP 514 para enviar mensagens de notificação de eventos através de redes
IP para coletores de mensagens de eventos, conforme mostrado na figura.
343
Muitos dispositivos de rede suportam syslog, incluindo: roteadores,
comutadores, servidores de aplicativos, firewalls e outros dispositivos de
rede. O protocolo syslog permite que os dispositivos de rede enviem
mensagens do sistema pela rede para servidores syslog.
Existem vários pacotes de software de servidor syslog diferentes para

Windows e UNIX. Muitos deles são freeware.
O serviço de log syslog fornece três funções principais, da seguinte

maneira:
• A capacidade de reunir informações de log para monitoramento e

solução de problemas
• A capacidade de selecionar o tipo de informações de log capturadas
• A capacidade de especificar os destinos das mensagens syslog
capturadas
344
Operação Syslog
Nos dispositivos de rede da Cisco, o protocolo syslog inicia enviando
mensagens do sistema e saída de depuração para um processo de registro
local interno ao dispositivo. Como o processo de log gerencia essas
mensagens e saídas é baseado nas configurações do dispositivo. Por
exemplo, as mensagens syslog podem ser enviadas pela rede para um
servidor syslog externo. Essas mensagens podem ser recuperadas sem a
necessidade de acessar o dispositivo real. As mensagens e saídas de log
armazenadas no servidor externo podem ser inseridas em vários
relatórios para facilitar a leitura.
Como alternativa, as mensagens syslog podem ser enviadas para um

buffer interno. As mensagens enviadas para o buffer interno são visíveis
apenas através da CLI do dispositivo.
Por fim, o administrador da rede pode especificar que apenas certos tipos
de mensagens do sistema sejam enviados para vários destinos. Por
exemplo, o dispositivo pode ser configurado para encaminhar todas as
mensagens do sistema para um servidor syslog externo. No entanto, as
mensagens no nível de depuração são encaminhadas para o buffer interno
e são acessíveis apenas pelo administrador na CLI.
Conforme mostrado na figura, os destinos populares para mensagens

syslog incluem o seguinte:
• Buffer de registro (RAM dentro de um roteador ou switch)
• Linha do console
• Linha terminal
• Servidor syslog
345
eSRVVtYHOPRQLWRUDUUHPRWDPHQWHDVPHQVDJHQVGRVLVWHPDH[LELQGRRV
ORJVHPXPVHUYLGRUV\VORJRXDFHVVDQGRRGLVSRVLWLYRSRU7HOQHW66+RX
SHODSRUWDGRFRQVROH
)RUPDWRGHPHQVDJHP6\VORJ
2VGLVSRVLWLYRV&LVFRSURGX]HPPHQVDJHQVV\VORJFRPRUHVXOWDGRGH
HYHQWRVGHUHGH7RGDPHQVDJHPV\VORJFRQWpPXPQtYHOGHJUDYLGDGHH
XPUHFXUVR
2VQtYHLVQXPpULFRVPHQRUHVVmRRVDODUPHVGHV\VORJPDLVFUtWLFRV2QtYHO
GHJUDYLGDGHGDVPHQVDJHQVSRGHVHUGHILQLGRSDUDFRQWURODURQGHFDGD
WLSRGHPHQVDJHPpH[LELGRRXVHMDQRFRQVROHRXQRVRXWURVGHVWLQRV$
OLVWDFRPSOHWDGRVQtYHLVGHV\VORJpPRVWUDGDQDWDEHOD
346
Cada nível do syslog tem seu próprio significado:
• Nível de aviso 4 - Nível de emergência 0: essas mensagens são

mensagens de erro sobre mau funcionamento de software ou
hardware; esses tipos de mensagens significam que a funcionalidade
do dispositivo é afetada. A gravidade do problema determina o nível
real do syslog aplicado.
• Nível de notificação 5: este nível de notificação é para eventos
normais, mas significativos. Por exemplo, as transições de interface
para cima ou para baixo e as mensagens de reinicialização do sistema
são exibidas no nível das notificações.
• Nível informativo 6: Esta é uma mensagem informativa normal que
não afeta a funcionalidade do dispositivo. Por exemplo, quando um
dispositivo Cisco está inicializando, você pode ver a seguinte
mensagem informativa:% LICENSE-6-EULA_ACCEPT_ALL: O direito
de usar o Contrato de licença do usuário final é aceito.
• Nível de depuração 7: este nível indica que as mensagens são
geradas pela emissão de vários comandos de depuração.
347
Instalações Syslog
Além de especificar a gravidade, as mensagens syslog também contêm
informações sobre o recurso. Os recursos do Syslog são identificadores de
serviço que identificam e categorizam dados do estado do sistema para
relatórios de mensagens de erro e evento. As opções do recurso de registro
disponíveis são específicas para o dispositivo de rede. Por exemplo, os
switches Cisco 2960 Series executando o Cisco IOS Release 15.0 (2) e os
roteadores Cisco 1941 executando o Cisco IOS Release 15.2 (4) oferecem
suporte a 24 opções de instalação categorizadas em 12 tipos de instalação.
Alguns recursos comuns de mensagens syslog relatados nos roteadores Cisco

IOS incluem:
IP
Protocolo OSPF
Sistema operacional SYS
Segurança IP (IPsec)
IP da interface (IF)
Por padrão, o formato das mensagens syslog no Cisco IOS Software é o
seguinte:
Por exemplo, a saída de amostra em um comutador Cisco para um estado de

mudança de link EtherChannel para cima é:
Aqui, o recurso é LINK e o nível de gravidade é 3, com um MNEMONIC de

UPDOWN.
As mensagens mais comuns são mensagens de link para cima e para baixo e
mensagens que um dispositivo produz quando sai do modo de configuração.
Se o log da ACL estiver configurado, o dispositivo gerará mensagens syslog
quando os pacotes corresponderem a uma condição de parâmetro.
348
Configurar registro de data e hora do syslog
Por padrão, as mensagens de log não têm registro de data e hora. No
exemplo, a interface R1 GigabitEthernet 0/0/0 está desligada. A
mensagem registrada no console não identifica quando o estado da
interface foi alterado. As mensagens de log devem ter o carimbo de data e
hora para que, quando enviadas para outro destino, como um servidor
Syslog, haja um registro de quando a mensagem foi gerada.
Use o comando service timestamps log datetime para forçar os eventos

registrados a exibir a data e a hora. Conforme mostrado na figura, quando
a interface R1 GigabitEthernet 0/0/0 é reativada, as mensagens de log
agora contêm a data e a hora.
Nota: Ao usar a palavra-chave datetime, o relógio no dispositivo de rede

deve ser definido, manualmente ou através do NTP, conforme discutido
anteriormente.
349
Controlador e operações SDN
O tópico anterior abordou o SDN. Este tópico irá explicar os controladores.
O controlador SDN define os fluxos de dados entre o plano de controle

centralizado e os planos de dados em roteadores e switches individuais.
Cada fluxo que viaja pela rede deve primeiro obter permissão do
controlador SDN, que verifica se a comunicação é permitida de acordo com
a política de rede. Se o controlador permitir um fluxo, ele calcula uma rota
para o fluxo e adiciona uma entrada para esse fluxo em cada um dos
comutadores ao longo do caminho.
Todas as funções complexas são executadas pelo controlador. O

controlador preenche as tabelas de fluxo. Os comutadores gerenciam as
tabelas de fluxo. Na figura, um controlador SDN se comunica com switches
compatíveis com OpenFlow usando o protocolo OpenFlow. Este protocolo
usa o TLS
(Transport Layer Security) para enviar com segurança comunicações do
plano de controle pela rede. Cada comutador OpenFlow se conecta a
outros comutadores OpenFlow. Eles também podem se conectar a
dispositivos de usuário final que fazem parte de um fluxo de pacotes.
350
Dentro de cada switch, uma série de tabelas implementadas em
hardware ou firmware são usadas para gerenciar os fluxos de pacotes
através do switch. Para o comutador, um fluxo é uma sequência de
pacotes que corresponde a uma entrada específica em uma tabela de
fluxo.
Os três tipos de tabelas mostrados na figura anterior são os seguintes:

• Flow Table - Esta tabela corresponde aos pacotes recebidos para um
fluxo específico e especifica as funções que devem ser executadas
nos pacotes. Pode haver várias tabelas de fluxo que operam de
maneira pipeline.
• Group Table - Uma tabela de fluxo pode direcionar um fluxo para uma
tabela de grupo, o que pode desencadear uma variedade de ações
que afetam um ou mais fluxos
• Meter Table - Esta tabela aciona uma variedade de ações
relacionadas ao desempenho em um fluxo, incluindo a capacidade de
limitar o tráfego com taxa.
351
Componentes principais da ACI
Estes são os três componentes principais da arquitetura
ACI:
• Application Network Profile (ANP) - Um ANP é uma coleção de grupos
de terminais (EPG), suas conexões e as políticas que definem essas
conexões. Os EPGs mostrados na figura, como VLANs, serviços da
Web e aplicativos, são apenas exemplos. Uma ANP é frequentemente
muito mais complexa.
• Application Policy Infrastructure Controller (APIC) - O APIC é
considerado o cérebro da arquitetura ACI. O APIC é um controlador
de software centralizado que gerencia e opera uma malha em cluster
ACI escalável. Ele foi projetado para programabilidade e
gerenciamento centralizado. Ele traduz políticas de aplicativos em
programação de rede.
• Cisco Nexus 9000 Series switches - Esses switches fornecem uma
malha de comutação que reconhece aplicativos e trabalham com um
APIC para gerenciar a infraestrutura de rede física e virtual.
O APIC está posicionado entre o APN e a infraestrutura de rede ativada
pela ACI. O APIC converte os requisitos do aplicativo em uma
configuração de rede para atender a essas necessidades, conforme
mostrado na figura
352
Topologia da coluna vertebral
A estrutura do Cisco ACI é composta pelos comutadores APIC e Cisco
Nexus 9000 series usando a topologia de duas camadas da coluna
vertebral, conforme mostrado na figura. Os comutadores de folhas sempre
se prendem aos espinhos, mas nunca se prendem um ao outro. Da
mesma forma, os interruptores lombares são conectados apenas aos
interruptores de folha e núcleo (não mostrados). Nesta topologia de duas
camadas, tudo fica a um salto de todo o resto.
Os APICs da Cisco e todos os outros dispositivos da rede se conectam

fisicamente aos comutadores em folha.
Quando comparado ao SDN, o controlador APIC não manipula o caminho

de dados diretamente. Em vez disso, o APIC centraliza a definição de
política e programa os comutadores folha para encaminhar o tráfego com
base nas políticas definidas.
353
Tipos de SDN
O Cisco Application Policy Infrastructure Controller - Módulo Corporativo
(APIC-EM) estende a ACI voltada para implantações corporativas e de
campus. Para entender melhor o APIC-EM, é útil dar uma olhada mais
ampla nos três tipos de SDN.
Device-based SDN
Nesse tipo de SDN, os dispositivos são programáveis por aplicativos
executados no próprio dispositivo ou em um servidor na rede, conforme
mostrado na figura. O Cisco OnePK é um exemplo de SDN baseado em
dispositivo. Ele permite que os programadores construam aplicativos
usando C e Java com Python, para integrar e interagir com dispositivos
Cisco.
354
Controller-based SDN
Esse tipo de SDN usa um controlador centralizado que possui
conhecimento de todos os dispositivos da rede, conforme mostrado na
figura. Os aplicativos podem interagir com o controlador responsável por
gerenciar dispositivos e manipular fluxos de tráfego em toda a rede. O
Cisco Open SDN Controller é uma distribuição comercial do
OpenDaylight.
Policy-based SDN
Esse tipo de SDN é semelhante ao SDN baseado em controlador, em
que um controlador centralizado tem uma visão de todos os dispositivos
na rede, conforme mostrado na figura. O SDN baseado em política inclui
uma camada de política adicional que opera em um nível mais alto de
abstração. Ele usa aplicativos internos que automatizam tarefas de
configuração avançada por meio de um fluxo de trabalho guiado e uma
GUI amigável. Nenhuma habilidade de programação é necessária. O
Cisco APIC-EM é um exemplo desse tipo de SDN.
355
Recursos APIC-EM
Cada tipo de SDN tem seus próprios recursos e vantagens. O SDN
baseado em políticas é o mais robusto, fornecendo um mecanismo
simples para controlar e gerenciar políticas em toda a rede.
O Cisco APIC-EM é um exemplo de SDN baseado em política. O Cisco

APIC-EM fornece uma interface única para gerenciamento de rede,
incluindo:
• descobrindo e acessando inventários de dispositivos e
hosts,
• visualizando a topologia (como mostrado na figura),
• traçando um caminho entre os pontos finais e
• definição de políticas.
356
Rastreio de caminho APIC-EM
A ferramenta de rastreamento de caminho APIC-EM permite que o
administrador visualize facilmente os fluxos de tráfego e descubra
quaisquer entradas ACL conflitantes, duplicadas ou sombreadas. Essa
ferramenta examina ACLs específicas no caminho entre dois nós finais,
exibindo possíveis problemas. Você pode ver onde as ACLs ao longo do
caminho permitiram ou negaram seu tráfego, conforme mostrado na
figura. Observe como o Branch-Router2 permite todo o tráfego. O
administrador da rede agora pode fazer ajustes, se necessário, para filtrar
melhor o tráfego.
357
O aumento da automação
Automação é qualquer processo auto-orientado, que reduz e
potencialmente elimina a necessidade de intervenção humana.
A automação já foi confinada à indústria de transformação. Tarefas

altamente repetitivas, como montagem de automóveis, foram entregues
a máquinas e nasceu a moderna linha de montagem. As máquinas são
excelentes em repetir a mesma tarefa sem fadiga e sem os erros que
os humanos tendem a cometer em tais trabalhos.
Estes são alguns dos benefícios da automação:
• As máquinas podem trabalhar 24 horas por dia sem interrupções, o

que resulta em maior rendimento.
• Máquinas fornecem um produto mais uniforme.
• A automação permite a coleta de grandes quantidades de dados que
podem ser analisados rapidamente para fornecer informações que
podem ajudar a orientar um evento ou processo.
• Os robôs são usados em condições perigosas, como mineração,
combate a incêndios e limpeza de acidentes industriais. Isso reduz o
risco para os seres humanos.
• Sob certas circunstâncias, os dispositivos inteligentes podem alterar
seu comportamento para reduzir o uso de energia, fazer um
diagnóstico médico e melhorar a segurança na direção de automóveis.
358
Dispositivos pensantes
Os dispositivos podem pensar? Eles podem aprender com o ambiente?
Nesse contexto, existem muitas definições da palavra "pensar". Uma
definição possível é a capacidade de conectar uma série de informações
relacionadas e usá-las para alterar um curso de ação.
Muitos dispositivos agora incorporam tecnologia inteligente para ajudar a

governar seu comportamento. Isso pode ser tão simples quanto um
dispositivo inteligente, diminuindo seu consumo de energia durante
períodos de pico de demanda ou tão complexo quanto um carro
autônomo.
Sempre que um dispositivo executa um curso de ação com base em

informações externas, esse dispositivo é chamado de dispositivo
inteligente. Muitos dispositivos com os quais interagimos agora têm a
palavra inteligente em seus nomes. Isso indica que o dispositivo tem a
capacidade de alterar seu comportamento, dependendo do ambiente.
Para que os dispositivos “pensem”, eles precisam ser programados

usando ferramentas de automação de rede.
359
O conceito de API
APIs são encontradas em quase todos os lugares. O Amazon Web Services,
o Facebook e os dispositivos de automação residencial, como termostatos,
geladeiras e sistemas de iluminação sem fio, usam APIs. Eles também são
usados para criar automação de rede programável.
Uma API é um software que permite que outros aplicativos acessem seus dados
ou serviços. É um conjunto de regras que descrevem como um aplicativo pode
interagir com outro e as instruções para permitir que a interação ocorra. O
usuário envia uma solicitação de API para um servidor solicitando informações
específicas e recebe uma resposta da API em troca do servidor junto com as
informações solicitadas.
Uma API é semelhante a um garçom em um restaurante, conforme mostrado

na figura a seguir. Um cliente de um restaurante gostaria que um pouco de
comida fosse entregue à mesa. A comida está na cozinha, onde é cozida e
preparada. O garçom é o mensageiro, semelhante a uma API. O garçom (a API)
é a pessoa que recebe o pedido do cliente (a solicitação) e diz à cozinha o que
fazer. Quando a comida estiver pronta, o garçom entregará a comida (a resposta)
de volta ao cliente.
Anteriormente, você via uma solicitação de API para um servidor que

retornava a latitude e longitude atual da Estação Espacial Internacional.
Essa era uma API que o Open Notify fornece para acessar dados de um
navegador da Administração Nacional de Aeronáutica e Espaço (NASA).
360
Um exemplo de API
Para realmente entender como as APIs podem ser usadas para fornecer dados e
serviços, examinaremos duas opções para fazer reservas de companhias aéreas.
A primeira opção usa o site de uma companhia aérea específica, como mostra a
figura. Usando o site da companhia aérea, o usuário insere as informações para
fazer uma solicitação de reserva. O site interage diretamente com o banco de
dados da própria companhia aérea e fornece ao usuário informações
correspondentes à solicitação do usuário.
Em vez de usar um site de companhia aérea individual que tenha acesso direto
a suas próprias informações, existe uma segunda opção. Os usuários podem
usar um site de viagens para acessar essas mesmas informações, não apenas de
uma companhia aérea específica, mas de várias companhias aéreas. Nesse caso,
o usuário digita informações de reserva semelhantes. O site do serviço de
viagens interage com os vários bancos de dados das companhias aéreas, usando
APIs fornecidas por cada companhia aérea. O serviço de viagem usa cada API
de companhia aérea para solicitar informações dessa companhia aérea
específica e, em seguida, exibe as informações de todas as companhias aéreas
em sua página da web, conforme mostrado na figura.
361
A API atua como um tipo de mensageiro entre o aplicativo solicitante e o
aplicativo no servidor que fornece os dados ou serviço. A mensagem do
aplicativo solicitante para o servidor em que os dados residem é conhecida
como chamada de API.
362
APIs abertas, internas e de parceiros
Uma consideração importante ao desenvolver uma API é a distinção entre
APIs abertas, internas e de parceiros:
• Open APIs or Public APIs - essas APIs estão disponíveis ao público e

podem ser usadas sem restrições. A API da Estação Espacial Internacional
é um exemplo de API pública. Como essas APIs são públicas, muitos
provedores de API, como o Google Maps, exigem que o usuário obtenha
uma chave ou token gratuito antes de usar a API. Isso ajuda a controlar o
número de solicitações de API que eles recebem e processam. Pesquise na
Internet uma lista de APIs públicas.
• Internal or Private APIs - são APIs usadas por uma organização ou
empresa para acessar dados e serviços apenas para uso interno. Um
exemplo de API interna é permitir que os vendedores autorizados acessem
os dados internos de vendas em seus dispositivos móveis.
• Partner APIs - são APIs usadas entre uma empresa e seus parceiros de
negócios ou contratados para facilitar os negócios entre eles. O parceiro de
negócios deve ter uma licença ou outra forma de permissão para usar a
API. Um serviço de viagem usando a API de uma companhia aérea é um
exemplo de API de parceiro.
363
Tipos de APIs de serviço da Web
Um serviço da Web é um serviço disponível na Internet, usando a World
Wide Web. Existem quatro tipos de APIs de serviço da web:
• Protocolo Simples de Acesso a Objetos (SOAP)

• Representational State Transfer (REST)
• Chamada de procedimento remoto de linguagem de marcação
eXtensible (XML-RPC)
• Chamada de procedimento remoto de notação de objeto JavaScript
(JSON-RPC)
SOAP é um protocolo de mensagens para a troca de informações estruturadas

em XML, na maioria das vezes por HTTP ou SMTP (Simple Mail Transfer
Protocol). Projetadas pela Microsoft em 1998, as APIs SOAP são consideradas
lentas para analisar, complexas e rígidas.
Isso levou ao desenvolvimento de uma estrutura de API REST mais simples,

que não requer XML. O REST usa HTTP, é menos detalhado e é mais fácil de
usar que o SOAP. O REST se refere ao estilo da arquitetura de software e se
tornou popular devido ao seu desempenho, escalabilidade, simplicidade e
confiabilidade.
364
O REST é a API de serviço da web mais usada, representando mais de 80% de
todos os tipos de API usados. O REST será discutido mais adiante neste
módulo.
RPC é quando um sistema solicita que outro sistema execute algum código e
retorna as informações. Isso é feito sem a necessidade de entender os detalhes
da rede. Isso funciona como uma API REST, mas existem diferenças
relacionadas à formatação e flexibilidade. O XML-RPC é um protocolo
desenvolvido antes do SOAP e posteriormente evoluiu para o que se tornou
SOAP. JSON-RPC é um protocolo muito simples e semelhante ao XML-RPC.
365
Configuração de rede tradicional
Dispositivos de rede como roteador, comutadores e firewalls são
tradicionalmente configurados por um administrador de rede usando a CLI,
conforme mostrado na figura. Sempre que houver uma alteração ou novo
recurso, os comandos de configuração necessários devem ser inseridos
manualmente em todos os dispositivos apropriados. Em muitos casos, isso
não apenas consome tempo, mas também pode estar sujeito a erros. Isso se
torna um problema importante em redes maiores ou com configurações mais
complexas.
O SNMP (Simple Network Management Protocol) foi desenvolvido para

permitir que os administradores gerenciem nós, como servidores, estações de
trabalho, roteadores, comutadores e dispositivos de segurança, em uma rede IP.
Usando uma estação de gerenciamento de rede (NMS), mostrada na figura a
seguir, o SNMP permite que os administradores de rede monitorem e
gerenciem o desempenho da rede, localizem e resolvam problemas de rede e
executem consultas de estatísticas. O SNMP funciona razoavelmente bem para
o monitoramento de dispositivos. No entanto, normalmente não é usado para
configuração devido a preocupações de segurança e dificuldade na
implementação. Embora o SNMP esteja amplamente disponível, ele não pode
servir como uma ferramenta de automação para as redes atuais.
366
Você também pode usar APIs para automatizar a implantação e o
gerenciamento de recursos de rede. Em vez de o administrador da rede
configurar manualmente portas, listas de acesso, qualidade de serviço
(QoS) e políticas de balanceamento de carga, eles podem usar ferramentas para
automatizar configurações. Essas ferramentas se conectam às APIs da rede para
automatizar tarefas rotineiras de provisionamento de rede, permitindo ao
administrador selecionar e implantar os serviços de rede de que precisam. Isso
pode reduzir significativamente muitas tarefas repetitivas e mundanas para
liberar tempo para os administradores de rede trabalharem em coisas mais
importantes.
367
Automação de rede
Estamos nos afastando rapidamente de um mundo em que um administrador
de rede gerencia algumas dezenas de dispositivos de rede, para um onde eles
estão implantando e gerenciando centenas, milhares e até dezenas de milhares
de dispositivos de rede complexos (físicos e virtuais) com a ajuda de
Programas. Essa transformação está se espalhando rapidamente desde o início
no data center, para todos os locais da rede. Existem métodos novos e
diferentes para os operadores de rede monitorar, gerenciar e configurar
automaticamente a rede. Conforme mostrado na figura, eles incluem
protocolos e tecnologias como REST, Ansible, Puppet, Chef, Python, JSON,
XML e muito mais.
368
Ferramentas de Gerenciamento de Configuração
As ferramentas de gerenciamento de configuração usam solicitações de API
RESTful para automatizar tarefas e podem ser escaladas em milhares de
dispositivos. As ferramentas de gerenciamento de configuração mantêm as
características de um sistema ou rede para garantir a consistência. Estas são
algumas características da rede que os administradores se beneficiam ao
automatizar:
• Controle de software e versão

• Atributos do dispositivo, como nomes, endereçamento e segurança
• Configurações de protocolo
• Configurações de ACL
As ferramentas de gerenciamento de configuração geralmente incluem

automação e orquestração. Automação é quando uma ferramenta executa
automaticamente uma tarefa em um sistema. Isso pode estar configurando
uma interface ou implantando uma VLAN. Orquestração é
o processo de como todas essas atividades automatizadas precisam ocorrer,
como a ordem em que elas devem ser realizadas, o que deve ser concluído
antes que outra tarefa seja iniciada etc. A orquestração é a organização das
tarefas automatizadas que resultam em uma coordenada processo ou fluxo de
trabalho.
Existem várias ferramentas disponíveis para facilitar o gerenciamento de

configurações:
• Ansible
• Chefe de cozinha
• Fantoche
• SaltStack
369
O objetivo de todas essas ferramentas é reduzir a complexidade e o tempo
envolvidos na configuração e manutenção de uma infraestrutura de rede em
larga escala com centenas, até milhares de dispositivos. Essas mesmas
ferramentas também podem beneficiar redes menores.
370
Compare Ansible, Chef, Puppet e SaltStack
Ansible, Chef, Puppet e SaltStack são fornecidos com a documentação da API

para configurar solicitações de API RESTful. Todos eles suportam JSON e
YAML, bem como outros formatos de dados. A tabela a seguir mostra um
resumo de uma comparação das principais características das ferramentas de
gerenciamento de configuração Ansible, Puppet, Chef e SaltStack.
• Qual linguagem de programação? - Ansible e SaltStack são construídos

em Python, enquanto Puppet e Chef são construídos em Ruby.
Semelhante ao Python, o Ruby é uma linguagem de programação de
código aberto que é multiplataforma. No entanto, Ruby é normalmente
considerado uma linguagem mais difícil de aprender do que Python.
• Baseado em agente ou sem agente? - O gerenciamento de configuração é
baseado em agente ou sem agente. O gerenciamento de configuração
baseado em agente é baseado em pull, o que significa que o agente no
dispositivo gerenciado se conecta periodicamente ao mestre para obter
informações de configuração. As alterações são feitas no mestre e puxadas
para baixo e executadas pelo dispositivo. O gerenciamento de
configuração sem agente é
"baseado em envio". Um script de configuração é executado no mestre. O
mestre se conecta ao dispositivo e executa as tarefas no script. Das quatro
ferramentas de configuração da tabela, apenas o Ansible não possui
agente.
371
• Como os dispositivos são gerenciados? - Isso está em um dispositivo
chamado Master in Puppet, Chef e SaltStack. No entanto, como o Ansible
é sem agente, qualquer computador pode ser o controlador.
• O que é criado pela ferramenta? - Os administradores de rede usam
ferramentas de gerenciamento de configuração para criar um conjunto de
instruções a serem executadas. Cada ferramenta tem seu próprio nome
para estas instruções: Manual, Livro de Receitas, Manifesto e Pilar.
Comum a tudo isso é a especificação de uma política ou configuração que
deve ser aplicada aos dispositivos. Cada tipo de dispositivo pode ter sua
própria política. Por exemplo, todos os servidores Linux podem ter a
mesma política básica de configuração e segurança.
372
Visão geral da rede baseada em intenção
O IBN é o modelo emergente da indústria para a próxima geração de redes. O
IBN baseia-se em redes definidas por software (SDN), transformando uma
abordagem manual e centralizada em hardware para projetar e operar redes
em uma que é centralizada em software e totalmente automatizada.
Os objetivos de negócios da rede são expressos como intenção. O IBN captura

a intenção do negócio e usa análises, aprendizado de máquina e automação
para alinhar a rede contínua e dinamicamente conforme as necessidades dos
negócios mudam.
O IBN captura e traduz a intenção de negócios em políticas de rede que

podem ser automatizadas e aplicadas de forma consistente em toda a rede.
A Cisco vê o IBN como tendo três funções essenciais: tradução, ativação e

garantia. Essas funções interagem com a infraestrutura física e virtual
subjacente, conforme mostrado na figura.
373
Tradução - A função de tradução permite que o administrador da rede
expresse o comportamento esperado de rede que melhor dará suporte à
intenção do negócio.
Ativação - A intenção capturada precisa ser interpretada em políticas que
podem ser aplicadas na rede. A função de ativação instala essas políticas na
infraestrutura de rede física e virtual usando a automação em toda a rede.
Garantia - Para verificar continuamente se a intenção expressa é respeitada
pela rede a qualquer momento, a função de garantia mantém um ciclo
contínuo de validação e verificação.
374
Infraestrutura de rede como malha
Da perspectiva do IBN, a infraestrutura de rede física e virtual é uma malha.
Tecido é um termo usado para descrever uma sobreposição que representa a
topologia lógica usada para conectar-se virtualmente aos dispositivos,
conforme mostrado na figura. A sobreposição limita o número de dispositivos
que o administrador da rede deve programar. Ele também fornece serviços e
métodos alternativos de encaminhamento não controlados pelos dispositivos
físicos subjacentes. Por exemplo, a sobreposição é onde ocorrem protocolos de
encapsulamento, como segurança IP (IPsec) e Controle e Aprovisionamento
de Pontos de Acesso Sem Fio (CAPWAP). Usando uma solução IBN, o
administrador da rede pode especificar através de políticas exatamente o que
acontece no plano de controle de sobreposição. Observe que o modo como os
comutadores estão fisicamente conectados não é uma preocupação da
sobreposição.
375
A rede subjacente é a topologia física que inclui todo o hardware necessário
para atender aos objetivos de negócios. A subjacência revela dispositivos
adicionais e especifica como esses dispositivos são conectados, conforme
mostrado na figura. Os pontos finais, como os servidores da figura, acessam a
rede através dos dispositivos da Camada 2. O plano de controle de
subjacência é responsável por tarefas simples de encaminhamento.
376
Arquitetura de rede digital da Cisco (DNA)
A Cisco implementa a malha IBN usando o Cisco DNA. Conforme exibido na
figura, a intenção do negócio é implantada com segurança na infraestrutura de
rede (a malha). O Cisco DNA reúne dados de várias fontes (dispositivos e
aplicativos) para fornecer um rico contexto de informações. Essas informações
podem ser analisadas para garantir que a rede esteja executando com
segurança no nível ideal e de acordo com a intenção do negócio e as políticas
de rede.
Cisco DNA Continuous Implementation of Business Intent
O Cisco DNA é um sistema que está constantemente aprendendo, adaptando-

se às necessidades dos negócios. A tabela lista alguns produtos e soluções Cisco
DNA.
377
Essas soluções não são mutuamente exclusivas. Por exemplo, todas as quatro
soluções podem ser implantadas por uma organização.
Muitas dessas soluções são implementadas usando o Cisco DNA Center, que
fornece um painel de software para gerenciar uma rede corporativa.
378
Cisco DNA Center
O Cisco DNA Center é a plataforma básica de controlador e análise no
coração do Cisco DNA. Ele suporta a expressão de intenção para vários casos
de uso, incluindo recursos básicos de automação, provisionamento de malha e
segmentação baseada em políticas na rede corporativa. O Cisco DNA Center é
um centro de gerenciamento e comando de rede para provisionar e configurar
dispositivos de rede. É uma plataforma de hardware e software que fornece um
"painel de vidro único" (interface única) que se concentra na garantia, análise
e automação.
A página de ativação da interface do DNA Center fornece um resumo geral da

saúde e um instantâneo da rede, conforme mostrado na figura. A partir daqui,
o administrador da rede pode pesquisar rapidamente as áreas de interesse.
379
Na parte superior, os menus fornecem acesso às cinco principais áreas do
DNA Center. Como mostrado na figura, esses são
• Design - Modele toda a sua rede, de sites e edifícios a dispositivos e links,

físicos e virtuais, no campus, filial, WAN e nuvem.
• Policy - Use políticas para automatizar e simplificar o gerenciamento de
rede, reduzindo custos e riscos enquanto acelera o lançamento de serviços
novos e aprimorados.
• Provision - Forneça novos serviços aos usuários com facilidade,
velocidade e segurança na rede corporativa, independentemente do
tamanho e da complexidade da rede.
• Assurance - Use monitoramento e informações proativos da rede,
dispositivos e aplicativos para prever problemas mais rapidamente e
garantir que as alterações de política e configuração atinjam a intenção do
negócio e a experiência do usuário que você deseja.
• Platform - Use APIs para se integrar aos seus sistemas de TI preferidos,
para criar soluções completas e adicionar suporte para dispositivos de
vários fornecedores.
380
CAPÍTULO 7 – HSRP
REDUNDÂNCIA DE ROTEAMENTO
381
A redundância do gateway padrão
Cada cliente recebe apenas um gateway padrão. Não há como configurar um gateway
secundário, mesmo que exista uma segunda rota para transportar pacotes para fora do
segmento local.
Por exemplo, caminhos primários e secundários entre o equipamento da camada de

acesso e os switches da camada de distribuição fornecem acesso contínuo no caso de
uma falha de link entre essas duas camadas. Os caminhos principais e secundários entre
os switches da camada de distribuição e os switches da camada do núcleo fornecem
operação contínua se ocorrer alguma falha entre essas duas camadas.
Neste exemplo, o roteador A é responsável pelo roteamento de pacotes para a sub-‐‐

rede A, e o roteador B é responsável pelo roteamento de pacotes para a sub-‐‐rede B. Se
o roteador A se tornar indisponível, os protocolos de roteamento podem convergir e
determinar de maneira rápida e dinâmica que o roteador B irá transferir os pacotes. A
maioria das estações de trabalho, servidores e impressoras, no entanto, não recebe essa
informação de roteamento dinâmica.
382
Dispositivos finais são geralmente configurados com um único endereço IP de gateway
padrão, que não será alterado quando a topologia da rede mudar. Se o roteador cujo
endereço IP é configurado como gateway padrão falhar, o dispositivo local é incapaz de
enviar pacotes fora o segmento de rede local, desconectando-‐‐se efetivamente do resto
da rede. Se existe um roteador redundante que possa servir como um gateway padrão
para esse segmento, não existe método dinâmico pelo qual esses dispositivos possam
determinar o endereço de um novo gateway padrão.
Ainda que o exemplo seja explicado nos roteadores, em redes modernas os roteadores
deveriam ser switches de camada 3. Esses são dispositivos de alto desempenho para o
roteamento, mas, em contraste com os roteadores, têm muitas interfaces.
Com o tipo de redundância do roteador exibida na figura, um conjunto de roteadores

funcionam em conjunto para criar a ilusão de um único roteador aos olhos dos hosts
383
na LAN. Ao compartilhar um endereço IP (camada 3) e um endereço MAC (camada 2),
dois ou mais roteadores podem atuar como um único roteador "virtual".
O endereço IP do roteador virtual é configurado como gateway padrão para as estações

de trabalho em um segmento IP específico. Quando os quadros são enviados da estação
de trabalho para o gateway padrão, a primeira usará o ARP para resolver o endereço
MAC que está associado ao endereço IP do gateway padrão. A resolução ARP retorna o
endereço MAC do roteador virtual. Os quadros enviados para o endereço MAC do
roteador virtual podem então ser fisicamente processados por qualquer ativo ou
roteador em standby que faça parte do grupo virtual do roteador.
Utiliza-‐‐se um protocolo para identificar dois ou mais roteadores como os dispositivos

responsáveis pelo processamento dos quadros enviados para o MAC ou para o endereço
IP de um único roteador virtual. Os dispositivos host enviam o tráfego para o endereço
do roteador virtual. O roteador físico que encaminha esse tráfego é transparente para
as estações finais.
O protocolo de redundância fornece o mecanismo para determinar qual roteador deve

assumir a função ativa de encaminhar o tráfego, além de determinar quando tal função
deve ser executada por um roteador em standby. A transição de um roteador de
transmissão para outro é transparente para os dispositivos finais.
Estas são as etapas que ocorrem quando um roteador ou um switch de camada 3 falha:
1. O roteador em standby para de visualizar mensagens hello do roteador de

encaminhamento.
2. O roteador em standby assume a função do roteador de encaminhamento.
3. Como o novo roteador de encaminhamento assume os endereços IP e de
MAC do roteador virtual, as estações terminais não observam nenhuma
interrupção de serviço.
A figura abaixo demonstra estas fases:
384
Terminologia HSRP
HSRP define um grupo de roteadores em espera, com um roteador nomeado como

roteador ativo. HSRP fornece redundância de gateway ao compartilhar os endereços IP
e MAC entre gateways redundantes. O protocolo consiste em endereços virtuais MAC e
IP que são compartilhados entre dois roteadores de um mesmo grupo HSRP.
Terminologia HSRP
Roteador ativo: É o roteador que está encaminhando pacotes para o roteador virtual
Roteador em standby: É o roteador de backup principal
Grupo de espera: É o conjunto de roteadores participantes no HSRP que, juntos,

imitam um roteador virtual
385
A função de roteador em standby HSRP é monitorar o status operacional do grupo
HSRP e assumir rapidamente a responsabilidade de encaminhamento de pacotes se o
roteador ativo se tornar inoperante.
HSRP é um protocolo propriedade da Cisco, e VRRP é um protocolo padrão. Além disso,

as diferenças entre HSRP e VRRP são muito pequenas.
• Roteador ativo:
• Responde às solicitações de gateway padrão ARP com o
endereço MAC do roteador virtual
• Apropria--‐se do encaminhamento de pacotes para o roteador
virtual
• Envia mensagens hello
• Conhece o endereço IP virtual do roteador
• Roteador em standby
• Ouve mensagens hello periódicas
• Apropria--‐se do encaminhamento de pacotes ativos se não
receber nenhuma mensagem do roteador ativo
386
HSRP
Grupo 1
Prioridade de 110 Prioridade de 90
do roteador A do roteador B
RouterA(config)# interface GigabitEthernet0/0

RouterA(config-if)# ip address 10.1.10.2 255.255.255.0
RouterA(config-if)# standby 1 ip 10.1.10.1
RouterA(config-if)# standby 1 priority 110
RouterA(config-if)# standby 1 preempt
Após configurar o endereço IP na interface, use o comando standby group--number ip

ip--address para reconfigurar o HSRP.
Em HSRPv1, o número de grupo pode ser qualquer valor entre 0 e 255, mas deve ser o
mesmo em ambos os roteadores vizinhos. Em HSRPv2, o número de grupo pode ser
qualquer valor entre 0 e 4095.
O endereço IP é o endereço IP do roteador virtual para o grupo HSRP. Ele deve ser
idêntico em todos os roteadores de um mesmo grupo HSRP.
Cada grupo de espera tem seus próprios ativos e roteadores standby. Um engenheiro
de rede pode atribuir um valor de prioridade a cada roteador de um grupo de espera,
controlando, dessa forma, a ordem na qual os roteadores ativos do grupo serão
selecionados. O valor padrão é 100, mas pode ser de 0 a 255.
Durante o processo de seleção, o roteador com maior prioridade em um grupo HSRP se

torna o roteador ativo. Se um vínculo ocorrer, o roteador com o maior endereço IP
configurado se tornará ativo.
Se os roteadores não estão configurados com preempt, um roteador que se inicializar

de modo significativamente mais rápido do que os outros do grupo de espera, se
387
tornará o roteador ativo, independentemente da prioridade configurada. O antigo
roteador ativo pode ser configurado para retomar a função de roteador de
encaminhamento ao assumir o lugar de um roteador com prioridade mais baixa.
Você pode usar o comando show standby brief para observar as configurações HSRP:
P indicates configured to preempt.

|
Interface Grp Pri P State Active Standby Virtual IP
Gig0/0 1 110 P Active local 10.1.10.3 10.1.10.1
Rastreamento de interface HSRP
O rastreamento da interface permite que a prioridade de um roteador grupo de espera

seja ajustada automaticamente, tomando por base a disponibilidade das interfaces do
roteador. Quando uma interface rastreada estiver indisponível, o recurso de
rastreamento HSRP garante que um roteador com uma interface chave indisponível
abdique a função de roteador ativo.
388
O grupo HSRP rastreia as interfaces uplink. Se o uplink no switch correto falhar, o
roteador reduzirá automaticamente a prioridade dessa interface e enviará mensagens
hello com a prioridade reduzida.
Suponha que, no exemplo da figura, o roteador à direita está configurado com uma
prioridade mais alta e, portanto, está controlando o tráfego para o núcleo. Assim que a
interface do roteador à direita falhar, o host não conseguirá acessar o núcleo da rede.
HSRP fará do roteador à esquerda o roteador ativo.
Balanceamento de Carga HSRP
Os roteadores podem fornecer simultaneamente o backup redundante e executar o

compartilhamento de cargas através de várias sub--‐redes.
Na figura, dois roteadores capacitados com HSRP participam de duas VLANs separadas.
Executar o HSRP nos troncos permite que os usuários configurem a redundância entre
vários roteadores.
Ao configurar o HSRP nos troncos, você pode eliminar as situações nas quais um único
ponto de falha causa interrupções no tráfego. Esse recurso fornece certas melhorias na
389
resiliência da rede em geral ao fornecer recursos de balanceamento de carga e
redundância entre sub--‐redes e VLANs.
Balanceamento de carga
Ainda que HSRP e VRRP forneçam a resiliência do gateway, para os membros à espera
do grupo de redundância, a largura de banda de upstream não é usada enquanto o
dispositivo estiver em modo de espera.
Somente o roteador ativo em grupos HSRP e VRRP pode encaminhar o tráfego para o
endereço MAC virtual. Os recursos que estão associados ao roteador em standby não
são utilizados completamente. Você pode realizar certo balanceamento de carga com
390
esses protocolos, criando vários grupos e designando vários gateways padrão, mas tal
configuração criará sobrecarga administrativa.
GLBP é uma solução patenteada da Cisco para permitir a seleção automática e o uso
simultâneo de vários gateways disponíveis, além do failover automático entre eles.
Vários roteadores compartilham a carga de quadros que, do ponto de vista do cliente,
serão enviados para um único endereço do gateway padrão.
Com o GLBP, você pode utilizar integralmente os recursos sem a carga administrativa
de configurar vários grupos e de gerenciar as configurações de vários gateways padrão.
Dessa forma, podemos resumir as questões relacionadas ao balanceamento de carga

da seguinte forma:
• Permite uso completo de recursos em todos os dispositivos sem a carga

administrativa de criar vários grupos
• Fornece um único endereço IP virtual e múltiplos endereços MAC virtuais
• Envia o tráfego para um único gateway, distribuído por entre os roteadores
• Fornece novo roteamento automático no caso de qualquer falha
Visualizando o balanceamento
R1#show glbp
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:04:12
Virtual IP address is 192.168.2.100
<output omitted>
Active is local
Standby is 192.168.2.2, priority 100 (expires in
7,644 sec)
Priority 100 (default)
Weighting 100 (default 100), thresholds: lower
1, upper 100
Load balancing: round-robin
Group members:
c000,0ce0,0000 (192.168.2.1) local c001,0ce0,0000
(192.168.2.2)
<output omitted>
Page 288
391
Para exibir informações do GLBP, use o comando show glbp no modo privilegiado.
A saída, no exemplo, mostra que o endereço IP virtual do roteador é 192.168.2.100 e

que um roteador está no estado ativo e o outro está em estado de escuta. "Active” indica
que o roteador é responsável por responder a solicitações ARP para o endereço IP
virtual. “Listen” indica que o roteador está recebendo pacotes hello e que está pronto
para ser ativado se o roteador ativo falhar.
O comando show glbp, neste exemplo abaixo, exibe informações sobre o status do GLBP
grupo 1
R1#show glbp
<output omitted>
There are 2 forwarders (1 active)
Forwarder 1
State is Active
1 state change, last state change 00:04:02
MAC address is 0007.b400.0101 (default)
Owner ID is c000.0ce0.0000
Redirection enabled
Preemption enabled, min delay 30 sec
Active is local, weighting 100
Forwarder 2
State is Listen
392
CAPÍTULO 8 – REDES WAN
393
Assuntos relacionados a redes WAN
ACL´S – ACCESS CONTROL LISTS

As ACLs permitem controlar o tráfego dentro e fora da sua rede. Esse controle pode ser
tão simples quanto permitir ou negar hosts de rede ou endereços. No entanto, as ACLs
também podem ser configuradas para controlar o tráfego da rede com base na porta TCP
utilizada. Para compreender como uma ACL funciona com o TCP, permitan nos
observar o diálogo que ocorre durante uma conversa TCP quando você faz o download
de uma página da Web no seu computador.
Quando você solicita dados de um servidor Web, o IP cuida da comunicação entre o PC

e o servidor. O TCP cuida da comunicação entre o seu navegador (aplicativo) e o
software do servidor de rede. Quando você envia um email, observa uma página da Web
ou faz o download de um arquivo, o TCP é responsável por dividir os dados em
pacotes IP para que eles sejam enviados, além de montar os dados a partir dos pacotes
quando eles chegam. O processo TCP é muito semelhante a uma conversa na qual dois
nós em uma rede concordam em transmitir dados entre um e o outro.
O TCP fornece um serviço de fluxo de bytes confiável, orientado à conexão.
O termo orientado a conexão significa que os dois aplicativos que utilizam o TCP
devem estabelecer uma conexão TCP para que eles possam trocar dados. TCP é um
protocolo em full duplex, o que significa que cada conexão TCP dá suporte a um par de
fluxos de bytes, cada um com fluxo em uma direção. O TCP inclui um mecanismo de
controle de fluxo para cada fluxo de bytes que permite ao receptor limitar quantos
dados o remetente pode transmitir. O TCP também implementa um mecanismo de
controle de congestionamento.
O segmento de dados TCP também identifica a porta correspondente ao serviço

solicitado. Por exemplo, HTTP é a porta 80, SMTP é a porta 25 e FTP é a porta 20 e 21. A
figura mostra exemplos de portas UDP e TCP.
394
Detalhe importante antes de seguir em frente:
Pesquise e escreva abaixo os números de portas solicitados e procure memorizar isto,

pois são as mais citadas no exame CCNA:
Aplicacação TCP UDP

HTTP
SMTP
DNS
SNMP
FTP
TFTP
TELNET
DHCP
SSH
A filtragem de pacote, às vezes chamada de filtragem de pacote estática, controla o

acesso a uma rede, analisando os pacotes de entrada e de saída e transmitindo ou
paralisando-‐‐os com base em critérios informados.
Um roteador funciona como um filtro de pacote ao encaminhar ou negar pacotes de

acordo com as regras de filtragem. Quando um pacote chega ao roteador de filtragem
de pacote, o roteador extrai determinadas informações do cabeçalho do pacote e toma
decisões de acordo com as regras do filtro quanto à possibilidade do pacote ser
transmitido ou descartado. A filtragem de pacote funciona na camada de rede do
modelo de referência OSI ou na camada de Internet do TCP/IP.
Por ser um dispositivo da Camada 3, um roteador de filtragem de pacote utiliza regras

para determinar se deve permitir ou negar tráfego com base nos endereços IP de origem
e de destino, na porta de origem e na porta de destino, além do protocolo do pacote.
Essas regras são definidas utilizando-‐‐se listas de controle de acesso ou ACLs.
Lembre-‐‐se de que uma ACL é uma lista sequencial de instruções de permissão ou

negação que se aplicam a endereços IP ou protocolos de camada superior. A ACL pode
extrair as seguintes informações do cabeçalho do pacote, testá-‐‐lo em relação às suas
regras e tomar decisões "permitir" ou "negar" com base em:
395
 Endereço IP de origem
 Endereço IP de destino
 Tipo de mensagem ICMP
A ACL também pode extrair informações de camada superior e testá-‐‐las em relação às
suas regras. Entre as informações da camada superior estão:
 Porta de origem TCP/UDP

 Porta de destino TCP/UDP
Para compreender o conceito de como um roteador utiliza a filtragem de pacote,
imagine que um segurança foi colocado diante de uma porta fechada. As instruções do
segurança são para permitir apenas as pessoas cujos nomes estão em uma lista para
passar pela porta. O segurança está filtrando as pessoas com base nos critérios da
presença de seus nomes na lista autorizada.
Por exemplo, você poderia dizer, "Só permita acesso à Web para usuários da rede A.
Negue acesso à Web para usuários da rede B, mas permita a eles todos os demais
acessos".
Para esse cenário, o filtro de pacote observa todos os pacotes da seguinte forma:
 Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele terá permissão
para passar. Todos os demais acessos são negados para esses usuários.
 Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele será
bloqueado. No entanto, todos os demais acessos são permitidos.
Este é apenas um simples exemplo. Você pode configurar várias regras para ainda
permitir ou negar serviços a usuários específicos. Você também pode filtrar pacotes no
nível de porta utilizando uma ACL estendida, abordada na sequência deste material.
ACL é um script de configuração que controla se um roteador permite ou nega a

passagem a pacotes com base nos critérios encontrados no cabeçalho de pacote. As
ACLs estão entre os objetos mais utilizados no software IOS Cisco. As ACLs também são
396
utilizadas para selecionar tipos de tráfego a ser analisado, encaminhado ou processado
de outras formas.
Na medida em que cada pacote passa por uma interface com uma ACL associada, a ACL
é verificada de cima para baixo, uma linha por vez, procurando um padrão
correspondente ao pacote de entrada. A ACL aplica uma ou mais políticas de segurança
corporativas, aplicando uma regra de permissão ou negação para determinar o destino
do pacote. As ACLs podem ser configuradas para controlar o acesso a uma rede ou sub-
‐‐rede.
Por padrão, um roteador não tem nenhuma ACL configurada e, por isso, não filtra o
tráfego. O tráfego que entra no roteador é roteado de acordo com a tabela de
roteamento. Se você não utilizar as ACLs no roteador, todos os pacotes que puderem
ser roteados pelo roteador passarão pelo roteador até o próximo segmento de rede.
Aqui estão algumas diretrizes para utilizar ACLs:
 Utilize as ACLs em roteadores de firewall colocados entre as suas redes interna

e externa, como a Internet.
 Utilize as ACLs em um roteador colocado entre duas partes da sua rede para
controlar o tráfego que entra ou sai de uma determinada parte da sua rede
interna.
 Configure as ACLs em roteadores de borda (roteadores situados nas
extremidades das suas redes). Isso fornece um buffer muito básico da rede
externa ou entre uma área menos controlada da sua própria rede e uma área
mais confidencial da sua rede.
 Configure as ACLs para cada protocolo de rede configurado nas interfaces do
roteador de borda. Você pode configurar as ACLs em uma interface para filtrar o
tráfego de entrada, o tráfego de saída ou ambos.
Você pode configurar uma ACL por protocolo, por direção, por interface:
1) Uma ACL por protocolo – para controlar o fluxo de tráfego em uma interface,
uma ACL deve ser definida para cada protocolo habilitado na interface.
397
2) Uma ACL por direção – as ACLs controlam o tráfego em uma direção por vez em
uma interface. Duas ACLs separadas devem ser criadas para controlar os
tráfegos de entrada e de saída.
3) Uma ACL por interface – as ACLs controlam o tráfego de uma interface, por
exemplo, Fast Ethernet 0/0.
Escrever ACLs pode ser uma tarefa desafiante e complexa. Não tanto pelas quantidade
de ACL´s possíveis, mas por sua lógica de configuração. Erros nestas configurações, além
não surtirem o efeito desejado ainda atrapalham o funcionamento da rede como um
todo.
As ACLs executam as seguintes tarefas:
 Limitam o tráfego da rede para aumentar o desempenho da rede. Por exemplo,

se a política corporativa não permitir tráfego de vídeo na rede, as ACLs que
bloqueiam o tráfego de vídeo poderão ser configuradas e aplicadas. Isso
reduziria muito a carga de rede e aumentaria o desempenho da rede.
 Fornecem controle de fluxo do tráfego. As ACLs podem restringir a entrega das
atualizações de roteamento. Se as atualizações não forem obrigatórias por conta
das condições de rede, a largura de banda será preservada.
 Fornecem um nível básico de segurança para o acesso à rede. As ACLs podem
permitir a um host acessar uma parte da rede e impedir outro host de acessar a
mesma área. Por exemplo, o acesso à rede de recursos humanos pode ser
restringido para selecionar os usuários.
 Decidem que tipos de tráfego encaminhar ou bloquear nas interfaces do
roteador. Por exemplo, uma ACL pode permitir tráfego de email, mas bloqueia
todo o tráfego de Telnet.
 Controlam as áreas que um cliente pode acessar em uma rede.
As ACLs inspecionam pacotes de rede com base em critérios, como endereço de origem,
endereço de destino, protocolos e números de porta. Além de permitir ou negar tráfego,
uma
ACL pode classificar o tráfego para habilitar o processamento por prioridades na linha.
Esse recurso é semelhante a ter uma passagem VIP para um show ou evento esportivo.
398
A passagem VIP oferece privilégios a convidados selecionados não oferecidos a
proprietários de entradas, como poder entrar em uma área restrita e ser escoltado até
seus assentos.
COMO AS ACLS FUNCIONAM

As ACLs definem o conjunto de regras que dão controle adicional para pacotes que
entram por interfaces de entrada, pacotes retransmitidos pelo roteador e pacotes que
saem pelas interfaces de saída do roteador. As ACLs não funcionam em pacotes com
origem no próprio roteador.
As ACLs são configuradas para se aplicar ao tráfego de entrada ou de saída.
ACLs de entrada – os pacotes de entrada são processados antes de serem roteados para
a interface de saída. Uma ACL de entrada será eficiente porque evita a sobrecarga das
pesquisas de roteamento se o pacote for descartado. Se for permitido pelos testes, o
pacote será processado para roteamento.
ACLs de saída – os pacotes de entrada são roteados para a interface de saída e, em

seguida, processados pela ACL de saída.
As instruções ACL funcionam em ordem sequencial. Elas avaliam pacotes em relação à

ACL, de cima para baixo, uma instrução por vez.
Se o cabeçalho de um pacote corresponder a uma instrução ACL, as demais instruções

na lista serão ignoradas e o pacote será permitido ou negado conforme determinação
da instrução correspondente. Se o cabeçalho de um pacote não corresponder a uma
instrução ACL, o pacote será testado em relação à próxima instrução da lista. Esse
processo de comparação continua até o término da lista. O processo busca por uma
correspondência exata.
Uma instrução incluída no final abrange todos os pacotes para os quais as condições não
se mostraram verdadeiras. Essa condição de teste final corresponde a todos os demais
pacotes e resultados em uma instrução "negar". Em vez de continuar dentro ou fora de
uma interface, o roteador ignora todos esses pacotes restantes. Essa instrução final
costuma ser conhecida como "negar qualquer instrução implicitamente" ou
399
"negar todo o tráfego". Por conta dessa instrução, uma ACL deve ter pelo menos uma
instrução de permissão; do contrário, a ACL bloqueia todo o tráfego.
Podemos aplicar uma ACL a várias interfaces. No entanto, não se deve esquecer que
existem as limitações de uma por protocolo, por direção e interface.
A instrução implícita do critério "Negar todo o tráfego"
Ao final de toda lista de acesso, há uma instrução implícita do critério "negar todo o
tráfego".
Ela também é conhecida às vezes como a instrução "deny any implícito". Por isso, se não
corresponder a nenhuma das entradas ACL, um pacote será bloqueado
automaticamente.
O "negar todo o tráfego" implícito é o comportamento padrão das ACLs, não podendo
ser alterado.
IMPORTANTE!
Existe uma advertência chave associada a esse comportamento "negar tudo": para a
maioria dos protocolos, se definir uma lista de acesso de entrada para a filtragem de
tráfego, você deverá incluir instruções de critérios da lista de acesso explícitas para
permitir atualizações de roteamento. Se não fizer, você poderá efetivamente perder a
comunicação com a interface quando as atualizações de roteamento forem bloqueadas
pela instrução implícita "negar todo o tráfego" ao final da lista de acesso.
Dois são os tipos de ACLs :
ACLs padrão
As ACLs padrão permitem a você permitir ou negar tráfego de endereços IP de origem.

O destino do pacote e as portas envolvidas não estão no escopo para serem
configuradas.
400
R_1(config)# Accessp list 1 permit 192.168.30.0 0.0.0.255
O exemplo permite todo o tráfego da rede 192.168.30.0/24. Por conta da "negar tudo"
implícita ao final, todo os demais tráfegos são bloqueados com essa ACL. As ACLs
padrão são criadas no modo de configuração global. Se uma linha a mais
for acrescentada ao final da ACL, poden se resolver a situação da negação implícita:
R_1(config)# Accessp list 1 permit 192.168.30.0 0.0.0.255
R_1(config)# Accessp list 1 permit any
Na realidade, a negação implícita, ou “deny any” continuará a ser a última linha da

ACL. Porém agora, nenhum tráfego passará pela segunda linha para chegar até essa
última.
ACLs estendidas
As ACLs estendidas filtram pacotes IP com base em vários atributos, por exemplo, tipo
de protocolo, endereço IP de origem, endereço IP de destino, portas TCP e UDP de
origem, portas TCP e UDP de destino e informações do tipo de protocolo opcionais
para maior granularidade de controle. No exemplo abaixo, a ACL 103 permite tráfego
com origem na rede 192.168.30.0/24 para o host de destino 192.168.50.15 na porta 80
(HTTP).
R_1(config)# Accessp list 103 permit TCP 192.168.30.0 0.0.0.255 host 192.168.50.15
eq 80
Note que as ACL´s utilizam máscaras curinga, semelhantes aos protocolos de

roteamento OSPF e EIGRP.
A sintaxe de configuração de uma ACL segue o modelo da padrão e estendida, veja:
Padrão  Router(config)#accessn list accessn listn number [deny | permit |

remark] source [source wildcard] [log]
401
Estendida  Router(config)#accessn list accessn listn number [deny | permit |
remark] [protocol] source [source wildcard] destination [source wildcard] eq [port] [log]
Sobre os escopos acima, algumas informações :
Number – Para ACL´s padrão, de 1 a 99. E para as estendidas, de 100 a 199.
Remark – Comentário que pode ser feito para cada linha de ACL, para efeito de
documentação das linhas.
Log – A presença deste ítem ao fim de cada linha, gera um log, ou um registro todas as
vezes que aquela linha for executada.
Protocol – As opções mais comuns, são TCP, UDP, IP e ICMP. No fim da linha da ACL
estendida, o parâmetro “eq” permit especificar por número de porta, qual aplicação
desejamos mencionar.
Source / destination – Esta parte da configuração aceita um host específico, apenas

utilizando a palavra “host” antes do endereço IP. Também podemos citar uma rede um
subn rede com uso de máscara curinga. E para situações mais genéricas
podemos utilizar a palavra “any” para especificar qualquer um.
POSICIONAMENTO DAS ACL´S
Além de criar as ACL´s, também é importante que elas sejam posicionadas nas
interfaces correspondentes para que sejam executadas.
Este posicionamento deve seguir algumas regras básicas:
 Para ACL´s padrão deve ser o mais próximo possível da origem do tráfego a ser
filtrado.
 Para ACL´s estendidas, a aplicação deve ser, quando possível, o mais próximo
possível da origem do tráfego a ser filtrado.
402
ACL´s Nomeadas
Você pode criar ACLs nomeadas tanto para as estendidas como para a padrão e
basicamente da mesma forma. Os comandos para criar uma ACL nomeada têm pouca
diferença para ACLs padrão e estendidas.
Começando no modo EXEC privilegiado, siga estas etapas para criar uma ACL estendida
utilizando nomes.
Etapa 1. Começando no modo de configuração global, utilizar o comando ip access--list
extended name para definir uma ACL estendida nomeada. Para uma ACL padrão
bastaria utilizar a palavra “standard” no lugar de “extended”
Etapa 2. No modo de configuração da ACL nomeada, especificar as condições que você

deseja permitir ou negar.
Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando show
access-‐‐lists [number | name].
Para remover uma ACL estendida nomeada, utilize o comando no modo de configuração
global no ip access-list extended name.
403
NAT – NETWORK ADDRESS TRANSLATION
Todos os endereços de Internet públicos devem ser registrados com um Registro de

internet regional (RIR, Regional Internet Registry). As organizações podem emprestar os
endereços públicos de um ISP. Somente o proprietário registrado de um endereço público
de internet pode atribuir esse endereço a um dispositivo de rede.
Você deve ter observado que todos os exemplos neste curso utilizam um número um
pouco restrito de endereços IP. Você também deve ter observado a semelhança entre
esses números e os números que você usou em uma rede pequena para exibir as
páginas de instalação da web de muitas marcas de impressoras, do DSL e de
roteadores a cabo, bem como de outros periféricos. Eles são endereços de internet
privados reservados retirados dos três blocos mostrados na figura. Esses endereços
podem ser usados somente em redes internas e privadas. A RFC 1918 especifica que os
endereços privados não devem ser roteados pela Internet. Os endereços privados são
descritos, às vezes, como " não roteáveis." Entretanto, os pacotes com endereços
privados podem ser roteados dentro de redes interconectadas privadas.
Diferentemente dos endereços IP públicos, os endereços IP privados são um bloco

reservado de números que podem ser usados por qualquer um. Isso significa que duas
redes ou dois milhões de redes podem usar os mesmos endereços privados. Para
proteger a estrutura de endereços da Internet pública, os ISPs geralmente configuram os
roteadores de borda para impedir que o tráfego endereçado exclusivamente a eles seja
encaminhado pela Internet.
Ao fornecer um maior espaço de endereços do que a maioria das organizações pode

obter através de um RIR, o endereçamento privado confere às empresas uma
flexibilidade considerável no design da rede. Isso permite a obtenção de esquemas de
endereçamento operacional e administrativamente convenientes, além de um
crescimento mais fácil.
Entretanto, como não é possível rotear endereços privados pela Internet e como não
existem endereços públicos suficientes para permitir que as organizações forneçam
404
um host para todos, as redes precisam que um mecanismo traduza os endereços
privados para endereços públicos na extremidade de sua rede que funcionar em
ambas as direções. Na ausência de um sistema de tradução, os hosts privados de um
roteador na rede de uma organização não podem conectarn se a hosts privados de um
roteador em outras organizações pela Internet.
A Tradução de endereços de rede (NAT, Network Address Translation) fornece esse

mecanismo. Antes da NAT, um host com um endereço privado não podia acessar a
Internet. Usando a NAT, as empresas individuais podem designar a alguns ou todos os
seus hosts com endereços privados e usar a NAT para fornecer acesso à Internet.
Assim, enquanto o servidor DHCP designa os endereços IP dinâmicos para os

dispositivos dentro da rede, os roteadores habilitados pela NAT retêm um ou muitos
endereços IP de Internet válidos fora da rede. Quando o cliente enviar pacotes pela
rede, a NAT traduzirá o endereço IP interno do cliente para um endereço externo. Para
usuários externos, todo o tráfego destinado para a rede e proveniente dela possui o
mesmo endereço IP ou vem do mesmo conjunto de endereços.
A NAT tem muitos usos, mas o principal é salvar os endereços IP, permitindo que as
redes usem os endereços IP privados. A NAT traduz endereços privados, não roteáveis e
internos em endereços públicos e externos. A NAT tem um benefício adicional de
proporcionar um nível maior de privacidade e segurança para uma rede porque ela
oculta endereços IP internos de redes externas.
Um dispositivo habilitado para NAT funciona normalmente na borda de uma rede stub.
Em nosso exemplo, o R2 é o roteador de borda. Uma rede stub é uma rede que tem
uma única conexão com sua rede vizinha. Como visto no ISP, o R2 forma uma rede
stub.
405
192.168.100.67 192.168.100.70
192.168.100.5 192.168.100.8
Cada um dos hosts da rede 192.168.100.X ao enviar pacotes ao ISP, fará isto através de
um dos endereços públicos da rede 200.104.116.0 /29.
Na terminologia de NAT, a rede interna é o conjunto de redes que estão sujeitas à

tradução. A rede externa se refere a todos os outros endereços. Os endereços IP
possuem designações diferentes dependendo de estarem na rede privada ou na rede
pública (Internet) e de o tráfego estar chegando ou saindo.
A orientação do sentido da tradução é parte integrante das configurações e

frequentemente erros nesta parte da configuração impede o funcionamento de todo o
recurso.
406
Como a NAT funciona?
192.168.100.5 192.168.100.8 192.168.100.67 192.168.100.70
No exemplo acima, um host interno (192.168.100.67) deseja se comunicar com um

servidor web externo (209.165.201.1). Ele envia um pacote a R2, o gateway de borda
configurado para NAT da rede.
R2 lê o endereço IP de origem do pacote e verifica se o pacote corresponde aos critérios

especificados para tradução. R2 possui uma ACL que identifica a rede interna como hosts
válidos para tradução. Portanto, ele traduz um endereço IP local interno para um
endereço IP global interno que, neste caso, é 200.104.116.1. Ele armazena esse
mapeamento de endereço local para endereço global na tabela de NAT.
Em seguida, o roteador envia o pacote a seu destino. Quando o servidor web responde,
o pacote volta ao endereço global de R2 (200.104.116.1).
R2 consulta a sua tabela de NAT e verifica que esse era um endereço IP que foi traduzido
anteriormente. Portanto, ele traduz o endereço global interno para o endereço local
interno, e o pacote é encaminhado ao PC1 no endereço IP 192.168.100.67. Se ele não
localizar um mapeamento, o pacote será descartado.
407
Mapeamento dinâmico e estático
Existem dois tipos de tradução NAT: dinâmica e estática.
A NAT dinâmica utiliza um conjunto de endereços públicos e os atribui por ordem de

chegada. Quando um host com um endereço IP privado solicitar acesso à Internet, a NAT
dinâmica escolherá um endereço IP do conjunto que não estiver mais sendo usado por
outro host. Esse é o mapeamento descrito até então.
A NAT estática usa um mapeamento exclusivo de endereços globais e locais, e tais

mapeamentos permanecem constantes. A NAT estática é particularmente útil para
servidores web ou hosts que devam ter um endereço consistente que possa ser
acessado da Internet.
Esses hosts internos podem ser servidores corporativos ou dispositivos de redes

interconectadas.
Tanto a NAT estática como a dinâmica exigem que endereços públicos suficientes
estejam disponíveis para atender ao número total de sessões de usuário simultâneas.
NAT com overload (sobrecarga)

A sobrecarga de NAT (chamada à vezes de Tradução de endereço de porta ou PAT)
mapeia diversos endereços IP privados para um único endereço IP público ou para
alguns endereços.
Isso é o que a maioria dos roteadores locais fazem. Seu ISP atribui um endereço a seu
roteador, mas vários membros de sua família podem navegar na Internet

simultaneamente, pensando num serviço caseiro, por exemplo.
Com a sobrecarga de NAT, vários endereços podem ser mapeados para um ou alguns
endereços porque cada endereço privado também é acompanhado por um número de
porta.
408
Quando um cliente abrir uma sessão de TCP/IP, o roteador de NAT atribuirá um
número de porta ao seu endereço de origem. A sobrecarga de NAT garante que os
clientes utilizem um número de porta TCP diferente para cada sessão do cliente com
um servidor na Internet.
Quando uma resposta voltar do servidor, o número de porta de origem, que se torna o
número de porta de destino na viagem de retorno, determinará para qual cliente o
roteador irá rotear os pacotes. Ele também validará se os pacotes de entrada foram
solicitados, acrescentando um grau de segurança à sessão.
Os números de porta são codificados em 16 bits. O número total de endereços

internos que pode ser traduzido para um endereço externo pode ser, teoricamente, de
65.536 por cada endereço IP. Porém, na realidade, o número de endereços internos
que pode ser atribuído a um único endereço IP é cerca de 4.000.
Diferenças entre a NAT com e sem overload

Um resumo das diferenças entre a NAT e a sobrecarga de NAT facilitará sua
compreensão. A NAT geralmente só traduz os endereços IP em uma correspondência
de 1:1 entre os endereços IP publicamente expostos e os endereços privativamente
retidos.
A sobrecarga de NAT modifica o endereço IP privado e o número de porta do

remetente. A sobrecarga de NAT escolhe os números de porta vistos pelos hosts na rede
pública.
A NAT roteia os pacotes de entrada para seus destinos internos recorrendo ao

endereço IP de origem de entrada dado pelo host na rede pública. Com a sobrecarga
de NAT, geralmente existe somente um ou muito poucos endereços IP publicamente
expostos. Os pacotes de entrada da rede pública são roteados aos seus destinos na
rede privada por meio da consulta na tabela no dispositivo de sobrecarga de NAT que
monitora os pares de portas públicas e privadas. Isso é chamado de monitoramento de
conexão.
409
BENEFÍCIOS E DESVANTAGENS DE USAR A NAT
A NAT oferece muitos benefícios e vantagens. Porém, existem algumas desvantagens
no uso do recurso, inclusive a falta de suporte para alguns tipos de tráfego.
Os benefícios de usar a NAT incluem:
I. A NAT conserva o esquema de endereçamento legalmente registrado,

permitindo a privatização das intranets. A NAT conserva os endereços através
da multiplexação de nível de porta de aplicativo. Com sobrecarga de NAT, os
hosts internos podem compartilhar um único endereço IP público para todas as
comunicações externas. Neste tipo de configuração, são necessários muito
poucos endereços externos para suportar os muitos hosts internos.
II. A NAT aumenta a flexibilidade das conexões com a rede pública. Diversos
conjuntos, conjuntos de backup e conjuntos de balanceamento de
carga podem ser implementados para assegurar conexões de redes
públicas confiáveis.
III. A NAT fornece uma consistência para esquemas de endereçamento de rede
internos. Em uma rede sem endereços IP privados e NAT, a mudança de
endereços IP públicos exige a renumeração de todos os hosts na
rede existente. Os custos para renumerar hosts podem ser significativos. O
NAT permite que o esquema existente permaneça enquanto suporta um
novo esquema de endereçamento público. Isso significa que uma
organização poderia mudar os ISPs e não precisaria mudar nenhum de
seus clientes internos.
IV. O NAT oferece segurança de rede. Como as redes privadas não anunciam seus
endereços ou topologia interna, elas permanecem razoavelmente seguras
quando usadas juntamente com a NAT para obter o acesso externo controlado.
Porém, a NAT não substitui os firewalls.
410
Entretanto, a NAT apresenta algumas desvantagens. Vários problemas são criados pelo
fato de os hosts na Internet parecerem comunicarn se diretamente com o dispositivo
de NAT, em vez de comunicarn se com o host real dentro da rede privada.
Teoricamente, um endereço IP globalmente exclusivo pode representar hosts
endereçados privativamente. Isso pode ser vantajoso do ponto de vista da privacidade
e segurança mas, na prática, existem desvantagens.
A primeira desvantagem afeta o desempenho. A NAT aumenta os atrasos da

comutação porque a tradução de cada endereço IP dentro dos cabeçalhos do pacote é
demorada. O primeiro pacote é comutado por processo, o que significa que ele
sempre passa pelo caminho mais lento. O roteador deve observar todos os pacotes
para decidir se eles precisam de tradução. O roteador precisa alterar o cabeçalho de IP
e, possivelmente, alterar o cabeçalho de TCP ou UDP. Se existir uma entrada de cache,
os pacotes restantes passam através do caminho que foi comutado rapidamente; caso
contrário, eles também são atrasados.
Muitos protocolos e aplicativos de Internet dependem da funcionalidade fimn an

fim, com pacotes inalterados encaminhados da origem ao destino. Com a alteração
dos endereços fiman fim, a NAT evita alguns aplicativos que utilizam o
endereçamento IP. Por exemplo, alguns aplicativos de segurança, como as
assinaturas digitais, falham porque o endereço IP de origem muda. Os aplicativos que
usam endereços físicos em vez de um nome de domínio qualificado não alcançam os
destinos que são traduzidos através do roteador de NAT. Às vezes, esse problema pode
ser evitado implementando mapeamentos de NAT estáticos.
A capacidade de rastreamento IP fimn an fim também é perdida. Tornan se muito mais

difícil rastrear pacotes que passam por muitas mudanças de endereço ao longo dos
diversos saltos da NAT, dificultando a identificação e solução de problemas. Por outro
lado, os hackers que querem determinar a origem de um pacote acham difícil rastrear ou
obter a origem ou o endereço de destino.
411
O uso da NAT também complica os protocolos de tunelamento, como o IPsec, porque
ela modifica os valores nos cabeçalhos que interferem nas verificações de integridade
feitas pelo IPsec e por outros protocolos de tunelamento.
Os serviços que exigem a iniciação de conexões de TCP da rede externa ou protocolos

sem estado, como os que usam o UDP, podem ser interrompidos. A menos que o
roteador de NAT se esforce especificamente para suportar esses protocolos, os pacotes
de entrada não poderão chegar ao seu destino. Alguns protocolos podem acomodar
uma instância de NAT entre os hosts participantes (FTP no modo passivo, por exemplo),
mas falham quando ambos os sistemas são separados da Internet pela NAT.
CONFIGURANDO A NAT
NAT estática
A NAT estática é um mapeamento exclusivo entre um endereço interno e um endereço

externo. Permite conexões iniciadas por dispositivos externos para dispositivos internos.
Por exemplo, você pode desejar mapear um endereço global interno para um endereço
local interno específico que está atribuído ao seu servidor web.
A configuração das traduções de NAT estáticas é uma tarefa simples. É necessário definir
os endereços a serem traduzidos e, em seguida, configurar a NAT nas interfaces
apropriadas. Os pacotes que chegam em uma interface do endereço IP definido estão
sujeitos à tradução. Os pacotes que chegam em uma interface externa, destinados para
o endereço IP identificado, estão sujeitos à tradução.
A figura é uma configuração de NAT estática simples aplicada em ambas as interfaces.

O roteador sempre traduz os pacotes do host dentro da rede com o endereço privado
412
de 192.168.1.100 em um endereço externo de 200.104.116.5. O host na rede externa
direciona as solicitações ao endereço IP público 200.104.116.5, e o roteador R2 sempre
encaminha esse tráfego ao servidor em 192.168.1.100.
Um fator importante para o funcionamento desta configuração, é que na interface

interna de R2, devemos configurar o comando IP NAT INSIDE. E na interface externa,
que envia trafego para a nuvem, deve existir o comando IP NAT OUTSIDE.
Isto é necessário em todas as configurações de nat. Algo como se estivéssemos dizendo

ao roteador onde fica a parte interna e a externa da nossa rede.
Configurando a NAT dinâmica
Enquanto a NAT estática fornece um mapeamento permanente entre um endereço

interno e um endereço público específico, a NAT dinâmica mapeia os endereços IP
privados para endereços públicos. Esses endereços IP públicos vêm de um conjunto de
NAT. A configuração de NAT dinâmica é diferente da NAT estática, mas também
apresenta algumas semelhanças.
Assim como a NAT estática, ela exige que a configuração identifique cada interface como
uma interface interna ou externa. Entretanto, em vez de criar um mapa estático para
um único endereço IP, utiliza-‐‐se um conjunto de endereços globais internos.
S0/1 S0/0
R2
Gi0/0
192.168.100.5 192.168.100.8 192.168.100.67 192.168.100.70
413
Observe as configurações necessárias no R2 para que os hosts da topologia acima
possam acessar um site existente no servidor remoto:
R2(config)# accessp list 1 permit 192.168.100.0 0.0.0.127
R2(config)#ip nat pool rede_publica 200.104.116.1 200.104.116.6 netmask

255.255.255.248
R2(config)# ip nat inside source list 1 pool rede_publica
R2(config)# interface s0/0
R2(configp if)#ip nat outside
R2(config)# interface gi0/0
R2(configp if)#ip nat inside
R2(config)# interface s0/1
R2(configp if)#ip nat inside
Basicamente, o que fazemos aqui é criar uma ACL que filtra os endereços internos que
poderão ser traduzidos, criar também um pool de endereços publicos no roteador que
serão utilizados para tradução e em seguida associar estas 2 informações. Repare que
os comando Ip nat inside e ip nat outside são colocados na interfaces sempre
orientando as partes internas e externas da rede.
Neste modelo de configuração temos um nat dinâmico, pois cada um dos endereços
internos, da rede 192.168.100.0 será traduzido para um dos públicos. O problema é
que neste caso, temos apenas 6 endereços públicos.
Pense e responda.. O que acontecerá quando o sétimo host interno fizer requisição de
saída?
414
Para que a configuração acima se torne um NAT com overload, o modelo mais
utilizado atualmente para conectividade com a Internet, bastaria acrescentarmos uma
palavra ao último comando. Observe:
R2(config)# ip nat inside source list 1 pool rede_publica overload
A partir disto, teremos uma tradução diferente, onde cada um dos endereços internos
será traduzido para o primeiro endereço público da sequência. Haverá uma variação
nos números de portas lógica de origem da conexão. As portas geradas pelo sistema
operacional quando cada host solicita uma conexão, farão a diferença entre as
sessões.
Acompanhe atentamente uma demonstração prática disto, feita pelo instrutor e faça
anotações abaixo. Para o exame CCNA é muito importante que você saiba configurar o
NAT com overload.
415
VPN – Virtual Private Network
Uma VPN típica pode ter uma rede local (LAN) principal na sede corporativa de uma empresa,
outras LANs em instalações ou escritórios remotos e usuários individuais que se conectam de fora
no campo.
VPN é uma rede privada que usa uma rede pública (geralmente a Internet) para conectar locais ou
usuários remotos. Em vez de usar uma conexão dedicada do mundo real, como uma linha alugada,
uma VPN usa conexões "virtuais" roteadas por meio da Internet, da rede privada da empresa até o
local ou funcionário remoto.
A maioria das redes VPN funcionam utilizando um conceito chamado "Túnel de comunicação". A ideia do
túnel de comunicação é de colocar um pacote inteiro dentro de outro e enviar os dois pacotes
(encapsulados) pela rede. O pacote externo é entendido pela rede e os pontos de entrada e saída do
túnel são chamados de interfaces túnel.
A VPN é executada na camada de rede do modelo de pilha de comunicações em camadas de TCP/IP. Mais
especificamente, a VPN utiliza a estrutura aberta IPSec (IP Security Architecture). A IPSec fornece
funções de segurança de base para a Internet, bem como blocos de construção flexíveis a partir dos quais
pode criar redes privadas virtuais sólidas e seguras.
416
PPP – POINT TO POINT PROTOCOL
Um dos tipos mais comuns de conexão WAN é a ponto a ponto. As conexões ponto a
ponto são utilizadas em redes locais com WANs de operadora e na conexão de
segmentos de rede local dentro de uma rede empresarial. Uma conexão ponto a
ponto entre rede local e WAN também é conhecida como uma conexão serial
ou conexão de linha alugada, porque as linhas são alugadas de uma operadora
(normalmente uma companhia telefônica) e de uso dedicado pela empresa locadora
das linhas. As empresas pagam por uma conexão contínua entre dois locais remotos, e
a linha permanece sempre ativa e disponível.
Compreender como funcionam os links de comunicação ponton an ponto para

fornecer acesso a uma WAN é importante para que se obtenha uma compreensão
geral de como funcionam as WANs. O Protocolo ponto a ponto (PPP, Point to Point
Protocol) fornece conexões de rede local para WAN com vários protocolos que
lidam com TCP/IP, Intercâmbio de pacotes de redes interconectadas (IPX, Internetwork
Packet Exchange) e AppleTalk simultaneamente.
Ele pode ser usado em linhas de par trançado, de fibra óptica e na transmissão via
satélite. O PPP fornece transporte em links ATM, Frame Relay, ISDN e ópticos. Em
redes modernas, a segurança é uma grande preocupação. O PPP permite autenticar
conexões usando o Protocolo de autenticação de senha (PAP, Password Authentication
Protocol ) ou o mais eficiente Protocolo avançado de autenticação de reconhecimento
(CHAP, Challenge Handshake Authentication Protocol).
417
Padrões de comunicação serial
Todas as comunicações de longa distância e a maioria das redes de computadores usa
conexões seriais, porque o custo do cabo e as dificuldades de sincronização tornam as
conexões paralelas impraticáveis. A vantagem mais significativa é uma fiação mais
simples. Além disso, os cabos seriais podem ser mais longos que os cabos paralelos,
porque há muito menos interação (linha cruzada) entre os condutores no cabo. Neste
material, restringiremos nossa consideração quanto à comunicação serial à conexão de
redes locais com WANs.
418
Os dados são encapsulados pelo protocolo de comunicação utilizado pelo roteador de
envio. O quadro encapsulado é enviado por um meio físico para a WAN. Há várias formas
de atravessar a WAN, mas o roteador de recepção usa o mesmo protocolo de
comunicação para desencapsular o quadro quando ele chega.
Há muitos padrões de comunicação serial diferentes, cada um usando um método de

sinalização diferente. Existem três padrões de comunicação serial importantes que
afetam as conexões entre rede local e WAN:
RS-232 – grande parte das portas seriais em computadores pessoais é compatível com
os padrões RS-‐‐232C ou RS-‐‐422 e RS-‐‐423. São usados conectores de 9 e de 25 pinos.
Uma porta serial é uma interface de finalidade geral que pode ser usada por
praticamente qualquer tipo de dispositivo, inclusive modems, mouses e impressoras.
Muitos dispositivos de rede utilizam conectores RJ-‐‐45 que também são compatíveis
com o padrão RS-‐‐232. A figura mostra dois exemplos de conector RS-‐‐232.
V.35 – normalmente utilizado na comunicação entre

modem e multiplexador, este padrão ITU para alta
velocidade e troca de dados síncrona, integra a largura
de banda de vários circuitos telefônicos. Nos EUA, V.35 é
o padrão de interface utilizado pela maioria dos
roteadores e DSUs que se conectam a operadoras de T1.
Os cabos V.35 são conjuntos seriais de alta velocidade projetados para suportar taxas
de dados maiores e conectividade entre DTEs e DCEs em linhas digitais. Há mais sobre
DTEs e DCEs posteriormente nesta seção.
419
HSSI – Uma High-‐‐Speed Serial Interface (HSSI) suporta taxas
de transmissão de até 52 Mb/s. Os engenheiros usam HSSI
para conectar roteadores em redes locais a WANs em linhas
de alta velocidade, como linhas T3. Eles também usam HSSI
para fornecer conectividade de alta velocidade entre redes locais, usando Token Ring
ou Ethernet. HSSI é uma interface DTE/DCE desenvolvida pela Cisco.
Systems e pela T3plus Networking para atender à necessidade da comunicação de alta

velocidade em links de WAN.
Além, de métodos de sinalização diferentes, cada um desses padrões usa tipos

diferentes de cabos e conectores. Cada padrão desempenha uma função diferente em
uma topologia entre rede local e WAN. Embora este curso não examine os detalhes
dos esquemas de pinagem V.35 e HSSI, uma rápida observação do conector RSn 232 de
9 pinos usado para conectar um PC a um modem ajuda a ilustrar o conceito.
O que é PPP?
Lembren se de que o HDLC é o método de encapsulamento serial padrão quando

você conecta dois roteadores Cisco. Com um tipo de campo de protocolo
adicionado, a versão Cisco do HDLC é própria. Por isso, o Cisco HDLC só pode
funcionar com outros dispositivos Cisco. No entanto, ao precisar se conectar a um
roteador que não seja Cisco, você deve utilizar o encapsulamento PPP.
O encapsulamento PPP foi projetado cuidadosamente para manter a compatibilidade

com o hardware de suporte mais utilizado. O PPP encapsula quadros de dados para
transmissão em links físicos da Camada 2. O PPP estabelece uma conexão direta
utilizando cabos seriais, linhas telefônicas, linhas de tronco, telefones celulares, links
de rádio especiais ou links de fibra óptica. Há muitas vantagens em utilizar PPP,
inclusive o fato de não ser propriedade de ninguém. Além disso, ele inclui muitos
recursos não disponíveis no HDLC:
 O recurso de gerenciamento de qualidade do link monitora a qualidade. Se

forem detectados muitos erros, o PPP desativará o link.
420
 O PPP suporta a autenticação PAP e CHAP. Este recurso será explicado e
praticado em uma seção posterior.
PPP contém três componentes principais:
 O protocolo HDLC para encapsulamento de datagramas em links ponto-‐‐a-‐‐

ponto.
 Protocolo de controle do link extensível (LCP, Link Control Protocol) para
estabelecer, configurar e testar a conexão do link de dados.
 Família de Protocolos de controle de rede (NCP, Network Control Protocol) para
estabelecer e configurar protocolos da camada de rede diferentes. O PPP
permite a utilização simultânea de vários protocolos da camada de rede. Alguns
dos NCPs mais comuns são o Protocolo de controle de protocolo da internet,
Protocolo de controle Appletalk, Protocolo de controle Novell IPX, Protocolo de
controle Cisco Systems, Protocolo de controle SNA e Protocolo de controle de
compressão.
ARQUITETURA PPP
Uma arquitetura de camadas é um modelo lógico, design ou plano que auxilia na
comunicação entre camadas de interconexão. A figura mapeia a arquitetura de
camadas do PPP em relação ao modelo Open System Interconnection (OSI). PPP e OSI
têm a mesma camada física, mas PPP distribui as funções de LCP e NCP de maneira
diferente.
Na camada física, você pode configurar o PPP em várias interfaces, incluindo:
 Serial assíncrona
 Serial síncrona
 HSSI
 ISDN
O PPP funciona em qualquer interface DTE/DCE (RS-‐‐232-‐‐C, RS-‐‐422, RS-‐‐423 ou V.35). O
único requisito absoluto imposto pelo PPP é um circuito bidirecional, dedicado ou
comutado, capaz de funcionar em modos seriais de bits assíncronos ou síncronos,
transparentes para quadros de camada de enlace PPP. O PPP não impõe nenhuma
421
restrição quanto à taxa de transmissão que não seja a imposta pela interface DTE/DCE
em particular sendo utilizada.
Grande parte do trabalho feito pelo PPP acontece nas camadas de enlace e de rede pelo
LCP e pelos NCPs. O LCP configura a conexão PPP e seus parâmetros, os NCPs lidam com
configurações de protocolo da camada superior e o LCP encerra a conexão PPP.
O LCP é a parte funcional real do PPP. O LCP fica acima da camada física e tem uma
função de estabelecer, configurar e testar a conexão de enlace. O LCP estabelece o link
ponto-‐‐a-‐‐ponto. O LCP também negocia e configura opções de controle no vínculo
WAN, que são tratadas pelo NCPs.
O LCP fornece a configuração automática das interfaces em cada extremidade,

incluindo:
 Lidar com limites variáveis de tamanho de pacote

 Detectar erros mais comuns de configuração incorreta
 Encerrar o link
 Determinar quando um link está funcionando corretamente ou quando há falha
O PPP também utiliza o LCP para determinar automaticamente os formatos de
encapsulamento (autenticação, compressão, detecção de erros) assim que o link é
estabelecido.
Os links ponto-‐‐a-‐‐ponto tendem a piorar muitos problemas com a família atual de

protocolos de rede. Por exemplo, a atribuição e o gerenciamento de endereços IP, que
são problemáticos até mesmo em ambientes de rede local, são especialmente difíceis
em links ponto-‐‐a-‐‐ponto de circuito comutado (como servidores de modem dialup). O
PPP resolve esses problemas que utilizam NCPs.
O PPP permite a vários protocolos da camada de rede funcionar no mesmo link de

comunicação. Para todos os protocolo da camada de rede utilizados, o PPP utiliza um
NCP em separado. Por exemplo, IP utiliza o Protocolo de controle IP (IPCP, IP Control
422
Protocol), e o IPX utiliza o Protocolo de controle Novell IPX (IPXCP, IPX Control
Protocol).
Estabelecendo uma sessão PPP
As três fases do estabelecimento de uma sessão PPP:
Fase 1: estabelecimento do link e negociação da configuração – antes do PPP trocar

diagramas da camada de rede (por exemplo, IP), o LCP deve abrir primeiro a conexão e
negociar as opções de configuração. Essa fase é concluída quando o roteador de
recebimento envia um quadro de confirmação da configuração de volta para
o roteador que inicia a conexão.
Fase 2: determinação da qualidade do link (opcional) – o LCP testa o link para

determinar se a qualidade do link é suficiente para carregar protocolos da camada de
rede. O LCP pode atrasar a transmissão das informações do protocolo da camada de
rede até a conclusão dessa fase.
Fase 3: negociação da configuração do protocolo da camada de rede –depois que o

LCP conclui a fase de determinação da qualidade do link, o NCP apropriado pode
configurar separadamente os protocolos da camada de rede, carregán los e desativán
los a qualquer momento. Se o LCP fechar o link, ele informará os protocolos da camada
de rede para que eles possam executar a ação apropriada.
O link continua configurado para comunicação até que os quadros LCP ou NCP
explícitos fechem o link ou até que ocorra algum evento externo (por exemplo, um
temporizador de inatividade expira ou um usuário intervém). O LCP pode encerrar o
link a qualquer momento. Isso costuma ser feito quando um dos roteadores solicita o
encerramento, mas pode acontecer por conta de um evento físico, como a perda de
uma operadora ou a expiração de um temporizador de período inativo.
423
COMANDOS DE CONFIGURAÇÃO PPP
Antes de você efetivamente configurar o PPP em uma interface serial, observaremos os
comandos e suas sintaxes. Esta série de exemplos mostra como configurar o PPP e
algumas das opções.
Exemplo 1: habilitando o PPP em uma interface
Para definir o PPP como o método de encapsulamento utilizado por uma interface
serial ou ISDN, utilize o comando de configuração da interface encapsulation ppp. O
seguinte exemplo habilita o encapsulamento PPP na interface serial 0/0/0:
R3#configure terminal
R3(config)#interface serial 0/0/0
R3(configp if)#encapsulation ppp
O comando encapsulation ppp não tem nenhum argumento, mas você deve primeiro
configurar o roteador com um protocolo de roteamento IP para utilizar o
encapsulamento PPP. Você deve se lembrar de que, se não configurar o PPP em um
roteador Cisco, o encapsulamento padrão das interfaces seriais é HDLC.
Exemplo 2: compressão
Você pode configurar a compressão de software ponton an ponto em interfaces seriais

depois de habilitar o encapsulamento PPP. Como essa opção requisita um processo de
compressão de software, ela pode afetar o desempenho do sistema. Se
o tráfego já consistir em arquivos compactados (.zip, .tar ou .mpeg, por exemple), não
utilize essa opção. Para configurar a compressão em PPP, digite os seguintes comandos:
R3(configp if)#compress [predictor | stac]
424
Exemplo 3: monitoramento de qualidade do link
O LCP fornece uma fase de determinação da qualidade do link opcional. Nessa fase, o
LCP testa o link para determinar se sua qualidade é suficiente para utilizar protocolos
da Camada 3. O comando ppp quality percentual assegura que o link atende ao
requisito de qualidade determinado por você; do contrário, o link é fechado.
Os percentuais são calculados nos sentidos de entrada e de saída. A qualidade de saída é

calculada comparandon se o número total de pacotes e bytes enviados com o número
total de pacotes e bytes recebidos pelo nó de destino. A qualidade de entrada é
calculada comparandon se o número total de pacotes e bytes recebidos com o número
total de pacotes e bytes enviados pelo nó de destino.
Se o percentual de qualidade do link não for mantido, o link será considerado de má

qualidade, sendo desativado. O Link Quality Monitoring (LQM) implementa um retardo
para que o link não fique sendo ativado e desativado. Essa configuração de exemplo
monitora os dados ignorados no link e evita o loop de quadros:
R3(configp if)#ppp quality 80
Utilize o comando no ppp quality para desabilitar LQM.
Verificando uma configuração de encapsulamento PPP
425
Utilize o comando show interfaces serial para verificar a configuração apropriada do
encapsulamento HDLC ou PPP. A saída do comando na figura mostra uma configuração
PPP.
Quando você configura o HDLC, a saída do comando show interfaces serial deve
mostrar "encapsulation HDLC". Ao configurar o PPP, você pode verificar seus estados
LCP e NCP.
AUTENTICAÇÃO PPP
O PPP define um LCP extensível que permite a negociação de um protocolo de
autenticação para autenticar seu túnel antes de permitir os protocolos da camada de
rede transmitirem pelo link. A RFC 1334 define dois protocolos para autenticação.
A fase de autenticação de uma sessão PPP é opcional. Se for utilizado, você poderá
autenticar o túnel depois que o LCP estabelecer o link e escolher o protocolo de
autenticação. Se ele for utilizado, a autenticação ocorrerá antes da configuração do
protocolo da camada de rede.
Protocolo de autenticação PAP

PAP é um processo bidirecional muito básico. Não há nenhuma criptografia; o nome de
usuário e a senha são enviados em texto simples. Se isso for aceito, a conexão será
permitida.
O PAP fornece um único método para um nó remoto a fim de estabelecer sua

identidade utilizando um handshake bidirecional. PAP não é interativo. Quando o
comando ppp authentication pap é utilizado, o nome de usuário e a senha são
enviados como um pacote de dados LCP, ao invés do servidor enviar um prompt de
login e aguardar uma resposta
No nó de recebimento, o nome de usuário/senha é verificado por um servidor de

autenticação que permite ou nega a conexão. Uma mensagem de aceitação ou de
rejeição retorna ao solicitante.
426
PAP não é um protocolo de autenticação forte. Utilizando PAP, você envia senhas pelo
link em texto sem formatação, não havendo nenhuma proteção contra reprodução ou
ataques de tentativa e erro repetidos. O nó remoto está no controle da freqüência e do
timing das tentativas de login.
No entanto, há momentos em que a utilização do PAP pode se justificar. Por exemplo,

apesar de suas deficiências, o PAP pode ser utilizado nos seguintes ambientes:
 Uma grande base instalada de aplicativos clientes não compatíveis com CHAP
 Incompatibilidades entre implementações de fornecedores diferentes do CHAP
 Situações em que uma senha em texto simples deve ser disponibilizada para
simular um login no host remoto
Protocolo avançado de autenticação de reconhecimento (CHAP)
Depois que a autenticação é estabelecida com PAP, ela basicamente pára de funcionar.
Isso deixa a rede vulnerável a ataques. Diferentemente do PAP, que só autentica uma
vez, o CHAP realiza desafios periódicos para verificar se o nó remoto ainda tem um valor
de senha válido.
Depois que a fase de estabelecimento do link PPP é concluída, o roteador local envia
uma mensagem de desafio para o nó remoto.
S0/0/1
S0/0/0
427
Na situação de configuração acima, repare que as senhas nos dois lados são as mesmas.
Isso é necessário para o funcionamento da autenticação no PPP.
Outro ponto, é que o username criado de um lado precisa ser exatamente igual ao sent-
‐‐username no lado oposto. Neste caso, não existe a necessidade de um roteador enviar
exatamente o seu hostname para o vizinho. Qualquer parâmetro pode ser enviado,
desde que este mesmo nome esteja criado como usuário no outro roteador.
Agora, observe a autenticação no CHAP:
S0/0/1
S0/0/0
No caso do CHAP, os roteadores enviam seus próprios hostnames ao vizinho. Por este
motivo cada um precisa ter um usuário criado que corresponda a este nome enviado.
O CHAP, por ser criptografado, não tem suporte em todas as plataformas de

equipamentos. Muitos equipamentos ainda em uso atualmente, não possuem conjunto
de hardware suficiente para receber atualização de IOS que suporte sistemas de
criptografia.
Para encerrarmos o assunto sobre o PPP, tenha em mente que uma grande preocupação
da Cisco é que os profissionais certificados possuam habilidade na interligação de seus
equipamentos com os de outros fabricantes, evitando contratempos que poderiam
refletir negativamente na imagem dos produtos dela. Por este motivo o foco no PPP vem
sendo renovado a cada versão do CCNA.
428

Apostila CCNA 200 301 v1 PDF

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila CCNA 200 301 v1 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

CCNA R&S

A partir do início dos anos 80, um conjunto de circunstâncias, posteriormente

Esses novos computadores eram bem menores do que os mainframes e traziam

Rapidamente se espalharam e assumiram porções significativas das atividades

A comunicação entre os computadores PC passou a ser então objeto de estudo e

A falta de possibilidade de integração entre componentes de diversos fabricantes na

E os fabricantes das soluções para redes de PC´s também se preocupavam com o

O modelo proposto rapidamente se tornou a maior referência em produção de

Tornoun s bastante claro para o mundo tecnológico que o fim das

Observe o nome de cada uma das camadas na próxima figura.

1) Aceleração do desenvolvimento das tecnologias de comunicação em redes – Isto

Atualmente, todo treinamento onde exista a necessidade de uma formação profissional

Semelhantemente, são citados também na camada de aplicação, softwares cuja

Nas comunicações que ocorrem entre os aplicativos, existem os controles relacionados

Podemos destacar os principais serviços prestados pela camada de sessão:

• Estabelecimento de sessão entre duas aplicações ;

Um exemplo de protocolo relacionado a esta camada chama-‐‐se RPC (Remote

Basicamente, é necessário destacar 2 modelos de comunicação relacionados a esta

a) Comunicação orientada à conexão (protocolo TCP) – Neste modelo, toda a troca

Estabelecimento de conexão entre os 2 pontos de comunicação –

Transferência de dados controlada pela conexão já existente:

Se transportarmos todo o processo descrito acima para uma continuidade do exemplo

Finalizando uma conexão entre os pontos A e B:

a) Comunicação não orientada à conexão (connectionless) UDP –

Neste formato de comunicação, as mensagens são enviadas entre os pontos A e

Handshake triplo TCP –

Handshake duplo UDP -‐‐

Ainda sobre a camada de transporte do modelo OSI, é importante salientar que

Durante os estabelecimento das sessões entre as aplicações, além dos endereços

As principais portas citadas na certificação CCNA são as seguintes:

FTP TELNET DNS HTTP SMTP SNMP HTTPS DHCP TFTP

Normalmente, a camada de rede tem um papel vital quando as informações precisam

A tabela de roteamento, posteriormente detalhada neste material, mostrará as redes

Alguns protocolos referidos na camada de rede são:

IP – internet protocol – protocolo que recebe os segmentos vindos da camada de

ICMP – Internet control message protocol – Protocolo ligado ao IP e com funções de

Você conseguiria destacar as diferenças entre o PING e o TRACEROUTE? (Ou tracert, no

Existem campos relacionados a QoS, endereços de origem e destino, verficação de erros,

A primeira subcamada, conhecida como protocolo IEEE 802.2 foi desenvolvida e

Um mecanismo de correção de erros existente no Frame Ethernet, atribui alguma

A topologia da rede também é um outro aspecto ligado à camada de enlace.

Algumas informações a respeito do endereçamento físico existente na camada de

 Sistema de endereçamento com base hexadecimal, utilizando simbolos

Cada caracter em hexadecimal, existente num endereço MAC possui 4 bits. Um

 A301.F06B.56C8 – Normalmente encontrado em dispositivos de rede, tais

Na camada de enlace, como dito anteriormente, estão expressas as informações sobre

Preâmbulo: Neste campo, sequências de “0” e “1” carregam informações sobre o

Type: Campo de 2 bytes onde são indicados, além da quantidade de dados

 Meio físico e conectores ligados

Nesse estágio do processo de comunicação, os dados do usuário terão sido

Resumidamente, As três funções fundamentais da Camada Física são:

Os elementos físicos são os dispositivos de hardware, meio físico e conectores que

Codificação é um método de converter um fluxo de bits de dados em um código

Além de criar códigos para os dados, os métodos de codificação na camada física

Em outras palavras, as ocorrências de um modelo, encontram seus equivalentes em

Veja uma relação nas figuras abaixo:

 As 3 camadas altas do modelo OSI se relacionam à camada de Aplicação do

Porção de Rede e Host

Trataremos a questão dos cálculos de endereços com mais detalhes à frente.

QUESTÃO IMPORTANTE – CONVERSÃO BINÁRIO PARA DECIMAL

Para entender a operação de um dispositvo na rede, precisamos ver os endereços e

2^7, 2^6, 2^5, 2^4, 2^3, 2^2, 2^1, 2^0

Fórmula para calcular sub--redes

Exemplo com 3 sub--redes

1) Determine o Número Total de Hosts

2)Determine a máscara para cada subá rede do projeto