Configuragées avangadas de switches Prof. Jodo Francisco de Oliveira Antunes Descrigao ‘Aumento da banda disponivel para os links de tronco, a seguranga e a analise de falhas aplicadas a switches e roteadores, Propésito Aplicar técnicas para aumentar a performance dos links de tronco, a aplicagao de mecanismos de seguranga e a andlise de falhas so competéncias fundamentais no dia a dia de um analista de redes. Preparagio Antes de ini eu estudo, 6 portant ter sofware Packet rer versio 81.0 ou super Objetivos Médulo1 Agregacao de links Configurar agregagao de portas (EtherChannel) nas portas de um switch,Médulo 2 Switch Port Analyzer (SPAN) Configurar o espelhamento de portas SPAN (Switched Port Analyzer) em um switch, Médulo 8 Port-security Aplicar seguranga de portas (Port security) nas portas de um switch, Médulo 4 Solucio de problemas Aplicar técnicas de andlise de falhas em switches. ti Introducio Quando um engenheiro de redes trabalha em uma arquitetura multicamadas baseada em VLANs, seu intuito precipuo é o de prover redundancia e largura de banda suficiente para os links de tronco, Como esses requisites constituem um aspecto critico dda operagdo, ocorte por vezes a necessidade de troca do switch por um de maior capacidade. A possibilidade de agregar vérias Portas fisicas em um canal l6gico (EtherChannel) traz uma nova perspectiva para os administradores de rede possibilitando a escalada da rede e sobrevida das instalacées. Por outro lado, a preocupagao com a seguranga fisica e légica da rede é cada vez maior. Nesse contexto, as portas do switch podem ser robustecidas com mecanismos como o port security que protege a rede contra a conexéo indevida de equipamentos © 0 SPAN (Switched Port Analyzer), que possibilta inspecionar 0 tréfego da rede. Essas sao funcionalidades que todos os ‘administradores de redes precisam dominar. ‘A disponibilidade de uma rede passa também pela capacidade de identificar, analisar e corrigir falhas. Dominar essas ‘competéncias é de fundamental importancia para a geréncia de um ambiente de rede. Conhecer técnicas de “troubleshooting” Cconstitui um diferencial importante e permite a solugao répida de incidentes e problemas aumentando a disponibilidade da rede.1- Agregacao de links Ao final deste modulo, vocé sera capaz de configurar agregacao de portas (EtherChannel) nas portas de um switch. Agregacao de portas Redundancia e largura de banda sao preocupagdes constantes em uma rede hierdrquica. Ha cenérios onde necessitamos adicionar mais de uma porta a um link de tronco sem que esta seja bloqueada pelo STP (Spanning Tree Protocol). Essa tecnologia se chama EtherChannel, que permite que varios links fisicos sejam agregados em um nico link 6gico, funcionando ‘como se fosse uma dnica interface, porém, com a largura de banda equivalente ao somatério dos links. A seguir, a imagem apresenta 0 conceito do EtherChannel Swi erchanna ‘Nela, podemos ver um EtherChannel ETCH_1 composto pelos links fisicos LF1 e LF2, Nessa configuragao, as duas interfaces fisicas do switch operam como se fossem uma $6, no sendo bloqueadas pelo protocolo STP.Uma vez que o EtherChannel tenha sido estabelecido, agées de configuragio podem ser feitas diretamente no canal, sendo dlifundidas para as interfaces fisicas. Além de redundancia, esse tipo de configuragao oferece balanceamento de carga. Caso um, link fisico do canal seja perdido, néo ha reconfiguragao da topologia, pois o link légico continua ative, mesmo com redugéo da banda, Protocolos de negociacéo automatica Existem dois protocolos que possibilitam que portas com caracteristicas semelhantes em switches conectados diretamente formem um canal légico por meio de negociagao dinamica entre eles. Sao eles: + Port Aggregation Protocol (PAgP) ‘+ Link Aggregation Control Protocol (LACP). © canal légico também pode ser estabelecido de forma estética por configuracao do administrador. Port Aggregation Protocol (PAgP) Port Aggregation Protocol (PAgP) é um protocolo proprietario da Cisco. Quando configurado nas portas dos switches, esse protocolo auxilia na criago automatica de links EtherChannel por meio de pacotes PAgP que so enviados entre as portas para negociar a formagao de um canal. Quando 0 PAgP identifica links correspondentes, ele os agrupa formando um EtherChannel {ue é, entdo, adicionado ao spanning tree como uma dnica porta. Comentario ‘Alem de atuar no estabelecimento do canal, PAgP também atua no seu gerenciamento, Pacotes PAgP séo enviados a cada 30 segundos para verfcar seu funcionamento e gerencir as adigées e falhas do lnk entre dois switches. ele que essegura que «quando um EtherChannel é crado, todas as portas tenham suas configuragées fltas deforma consistente, como mesma velocidade, modo duplex (Ha ou Full Duplex) e VLANs. (0 PAgP negocia o EtherChannel, detectando a configuragao efetuada de cada lado do link. Os modos para PAgP so apresentados a seguir on v Forga a interface a estabelecer o canal de forma estatica (incondicional). As interfaces configuradas no mod ligado néo trocam pacotes PAgP. PAGP desirable (desejével) vColoca uma interface em um estado de negociacao ativo, A interface inicia negociagbes com outras interfaces enviando pacotes PAgP. PAgP auto v Coloca uma interface em um estado de negociagao passiva, A interface apenas responde aos pacotes PAgP que recebe, ‘mas nunea inicia a negaciagao. ‘Os modos devem ser compativeis em ambos os lados, uma vez que quando a interface & configurada no modo On, 0 protocolo de negociagdo ser desligado e o EtherChannel s6 seré estabelecido se as interfaces do outro lado também estiverem configuradas no modo On, Da mesma forma, se as interfaces de ambos os lados estiverem no modo PAgP auto, o canal também no seré estabelecido, pois os dois ledos estardo no modo de negociagéo passivo aguardando um pacote que nunca ser enviado. Link Aggregation Control Protocol (LACP) Link Aggregation Control Protocol (LACP) é um protocolo especificado pelo IEEE 802.3ad (atualmente IEEE 802.1AX), que possibilta a negociagao de canais légicos, compativel com o PAgP da Cisco, fornecendo os mesmos beneficios de negociagao. (Os modos para LACP so apresentados a seguir. on v Forga a interface a estabelecer o canal de forma estatica (incondicional). As interfaces configuradas no modo ligado no trocam pacotes LACP. PAgP ativo v Coloca uma interface em um estado de negociacao ativo. A interface inicia negociages com outras interfaces enviando pacotes LACP. PAgP passivo v Coloca uma interface em um estado de negociacao passiva. A interface apenas responde aos pacotes LACP que recebe, ‘mas nunca inicia a negocagao.Como o protocolo LACP & um padrao IEEE, favorece a criago de EtherChannels em ambientes de vérios fornecedores. Nos dispositives Cisco, ambos 0s protocolos so suportados. Assim como ocorre com o PAgP, os mados devem ser compativeis nos dois lados para que se forme o link de EtherChannel Configurando agregaco de links Configuracao do Port Aggregation Protocol (PAgP) Para que o PAgP possa ser configurado, alguns requisitos devem ser estabelecidos primeiramente, ‘+ Todas as interfaces devem suportar EtherChannel sem a necessidade de que sejam fisicamente contiguas nem do mesmo médulo. ‘+ Todas as interfaces devem estar configuradas para operar na mesma velocidade e no mesmo modo duplex (Half ou Full Duplex). + Todas as interfaces do EtherChannel devem ser atribuidas & mesma VLAN ou configuradas como um tronco. ‘+ O intervalo de VLANs permitidas deve ser o mesmo em todas as interfaces que formam um EtherChannel Como exemplo, imagine o cenério apresentado na imagem a seguir. Cendto de VLAN com agregarao de ports. Nele vemos trés VLANs 20, 30 e 40 implementadas em dois switches SWA e SWB, com um EtherChannel entre eles utilizando as interfaces GigabitEthernet 0/1 e 0/2 de cada switch. Uma vez que todos os requisitos preliminares tenham sido atendidos, a ‘configuragao do EtherChannel pode ser realizada com as seguintes etapas Etapa 1 Selecione as interfaces que iréo compor o grupo EtherChannel executando o comando interface range < Range de Interfaces > no modo de configuragao global. Isso permite configurar varias interfaces simultaneamente, Assim, para nosso exemplo, 0 ccomando seria: TERMINAL oOEtapa 2 rie a interface de canal com o channel-group < num_canal > mode < modo > no modo de configuragao de interface, Observe que © tipo de protocolo a ser utlizado seré definido pelo modo selecionado, sendo: ‘+ active / passive para LACP + auto / desirable para PAgP. + on para criar o canal manualmente Que para nosso exemplo seria TERMINAL 0Etapa 3 Em seguida, as configuragées devem ser feitas na interface do canal usando 0 comando interface port-channel < num_canal > Cuja implementagde para nosso caso ficaria: TERMINAL Observagdo: a interface port-channel pode ser configurada no modo access, trunk (mais comum) ou em uma porta roteada Para verifcar se o port-channel fl configurado com sucesso, podemos utilizar os seguintes comandos apresentados a seguir com suas respectivas saidas: Show interfaces port-channel Exibe o status geral da interface do canal, No exemplo a seguir 0 port-channel 1 esté atvo TERMINAL QO 0Show etherchannel summary Apresenta as informages do canal port-channel 1, indicando o protocolo utiizado (LACP), as portas que compéem o canal Gig0/1 e Gig0/2 e seus status (P) -n port-channel TERMINAL Show etherchannel port-channel Exibe as informacdes sobre cada um dos port-channel existentes. No exemplo, a interface Port Channel 1 consiste em duas interfaces fisicas, Gig0/1 e Gig0/2, uilizando LACP no modo Active TERMINAL, 0 0Show interfaces etherchannel Fornece informagées sobre a fungdo da interface no EtherChannel. A interface GO/1, no exemplo, pertence ao port-channel 1, esté ativa (UP) e utilizando o protocelo LACP no modo Active (G0/1 SA) TERMINAL eG Configurando agregacdo de links Neste video, apresentaremos a configuragao da topologia que permite o uso de agregagao de links. Para assistir a um video BD, sobreoassunto, acessea || versao online deste contedido, 0Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questo 1 \Vocé esté configurando um link EtherChannel,utilizando PAgP. entre duas portas fisicas em um switch. Qual instrugao descreve o resultado quando uma das portas fisicas falha? AO canal continua transmitindo dados com largura de banda reduzida. 8 Aligagao entre os switches falhac 0 protocolo STP ira determinar uma nova rota DO canal para de transmitir dados até que seja reiniciado. E __Umannova porta seré adicionada automaticamente ao canal Parabéns! A alternativa A est correta. Um EtherChannel 6 uma conexao l6gica, assim, @ perda de um link fisico no canal néo altera a topologia e, logo, nao é ecessério um novo calculo de Spanning Tree. Quando uma das portas fisicas do EtherChannel falha, o link EtherChanne! permanece funcional, embora sua taxa de transferéncia diminua devido a um link perdido. Questo 2 Vocé esta configurando um link EtherChannel,utlizando LACP. 0 port-channel do switch para esse canal esta configurado no modo Passivo (passive). Qual modo vocé deve configurar 0 port-channel desse switch para que o EtherChannel seja estabelecido? A Auto B Passive © Active D Desirable. © Manual Parabéns! A alternativa C est correta. No LACP, 0 comando channel-group mode passive habilita o port-channel a estabelecer o Etherchannel somente se a porta receber um pacote LACP de outro dispositivo. Logo, o switch que vocé esta configurando deve ser configurado com o comando channel-group mode active.2 - Switch Port Analyzer (SPAN) Ao final deste médulo, vocé sera capaz de configurar o espelhamento de portas SPAN (Switched Port Analyzer) em um switch. Espelhamento de portas ‘Muitas vezes.em uma rede, necessitamos utilizar um analisador de protocolos ou agregar tecnologias de seguranga como IDS/PS, Para isso, necessitamos cepturar os pacotes que trafegam na rede. Porém, a andlise dos dados nem sempre é possivel, pois 08 switches isolam 0 tréfego, encaminhando os pacotes para uma porta especifica associada ao MAC de destino, Existem dois métodos comumente utilizados para capturaro tréfego e enviselo para esses dispositivos: TAPs de rede e espelhamento de portas. Test Access Point (TAPs) de rede Um TAP (Test Access Point) de rede & um dispositivo de divisdo passiva (camada fisica) que faz uma cépia exata de todo o tréfego que fui entre dois pontos da rede, encaminhando todo o tréfego, incluindo erros de camada fisica, para o analisador ou IDS. A imagem, a seguir, presenta uma topologia de anélise de tréfego utilizando TAP.Topeogi de nde de tego utizande TAP Nela, podemos observar que o trafego que flul entre o roteador de borda e o firewall é duplicado pelo TAP e encaminhado ao dispositive de andlise. Outra caracteristica marcante do TAP é que, em caso de perda de energia ou falha, 0 tréfego normal nao é afetado, Espelhamento de porta — SPAN ‘Switches por sua vez so projetados para segmentar 0 tréfego, encaminhando os frames diretamente para as portas associadas ‘20 MAC de destino, imitando assim a quantidade de tréfego visivel para dispositivos de monitoramento de rede, Nesse contexto, ‘© espelhamento de portas deve ser utilizado, Ele permite que switch copie (espelhe) os quadros de uma ou mais portas para uma porta SPAN (Switch Port Analyzer) conectada a um dispositive de andlise. A imagem, a seguir, presenta uma topologia de ‘anélise de tréfego utilizando SPAN. Topoloia deans de trfeg ulzando SPAN, Nela, as portas de entrada e saida do fluxo (Fa0/'1 e Fa0/2) de dados sao origem para o espelhamento (SPAN) e a porta ‘conectad ao analisador (60/1) & o destino. A associagdo entre uma ou mais portas de origem e uma ou mais portas de destino, dependendo do switch, 6 chamada de sesso SPAN. Analogamente, uma VLAN pode ser especificada, na qual todas as portas na VLAN se tomam origens de tréfego SPAN, sendo que uma sessdo SPAN pode ter portas ou VLANs como origens, mas nunca as duas. Configuracio de SPAN Configurando SPAN em um switchPara nossa topologia proposta, a configurago do SPAN consiste do seguinte: + 0 comando monitor session number source [interface interface | vian vien], executado no modo de configuragao global, cria uma sessdo SPAN e estabelece a origer, assim, o comando para definir como origem SPAN a interface Fa0/2.conectada a0 servidor seria: (config)# monitor session 1 source interface FastEthernet 0/2 + 0 comando monitor session number destination interface interface | vlan vlan, também executado no modo de configuragio no modo de configuragao da interface. O valor padrao para esse parmetro é 1 eo ntimero maximo de enderegos MAC é 8192. Enderegos MAG © switch pode ser configurado manualmente com os enderegos MAC de origem por meio do comand: switchport port-security ‘mae-address < mac-address > executado no modo de configuragao da interface, ou pode ser configurado para aprender dinarnicamente os enderegos MAC de origem até o valor maximo de enderecos configurado para a porta e armazené-ios na configurago em execugao utlizando 0 comando: switchport port-security mac-address sticky também no modo de configuragéo da interface Atencio! 0 comando switchport port-security por padrao configura 0 switch para apr 0s enderegos MAC de origem até o limite de orrente do swi rein aprenderd no) enderegos estabelecido, mas néo os registra na ¢ h. Logo, se este enderecos Vencimento (Aging) E possivel definir um prazo de validade para os enderegos MAC registrados na tabela de enderecos de origem (enderegos ‘seguros) definido tanto estética como dinamicamente pelo comando: ewitehport port-security aging (static | time < time > | tipo {absolute | inactivity)). Os pardmetros para esse comando so descritos a seguir: static v Habilita o vencimento para enderegos MAC configurados estaticamente nessa porta, time < time > ¥Especifica o tempo em minutos (0 a 1440) para o vencimento dos enderegos MAC configurados nessa porta, Tempo 0 indica que o vencimento esta desativado para essa porta, type absolute v Define que todos os enderecos MAC configurados nessa porta expiram apés o tempo especificado e sao removidos da lista de enderegos seguros. type inactivity v Define que os enderecos MAC configurados nessa porta expiram somente se nao houver tréfego de dados desses MACs pelo periodo especificado, Por exemplo, tomando como base 0 cendrio da imagem “cenério de VLAN com agregagaio de portas”, para especificar para a Interface Fa0/1 um nimero maximo de 2 MAC, sendo o MAC 000A.4101.2298 (Estacao de trabalho RH2) estabelecido estaticamente e o outro endereco MAC possivel aprendido dinarnicamente e armazenado na configurago corrente, com vencimento de 12 horas, caso nao haja tréfego proveniente do mesmo, devemos utilizar os seguintes comandos. TERMINAL o Para verificar as configuragdes de seguranca da porta do Fa0/1, executamos o comando show port-security interface, cuja saida apresentamos a seguir. TERMINAL oOObserve os pardmetros aplicados e atente para o fato de que a saida Maximum MAC Addresses nos informa que o numero maximo de MACs permitidos é dois, sendo que um jé esté configurado (MAC do PC RH2), restando apenas 1 MAC para completar, Modos de violacdo do port-security ‘Caso um endereco MAC de origem diferente daqueles especificados na tabela de enderegos seguros chegue a porta segura eo uma violagao na porta. 0 switch tomaré uma ago conforme o modo ‘nimero maximo permitido ja tiver sido aleangado, haver de violagao definido para a porta. Os modos de violagao so apresentados a seguir: shutdown (default) v A interface ¢ imediatamente desabilitada por erro, o LED da porta é desativado e uma mensagem é enviada ao syslog € 0 contador de violagao é incrementado. Para reabilitar a porta, o administrador deve inserir os comandos shutdown eno shutdown. restrict v A porta descarta pacotes com enderegos de origern MAC desconhecidos até que sejam removidos enderecos da tabela ‘ou 0 valor maximo seja aumentado. Uma mensagem é enviada ao syslog eo contador de violagao é incrementado. protect v‘Apporta descarta pacotes com enderegos de origem MAC desconhecidos até que sejam removidos enderegos da tabela ‘ou 0 valor maximo seja aumentado, porém nenhuma mensagem é enviada ao syslog e 0 contador de vialagao néo é Incrementado. Para configurar o modo de violagéo em uma porta, execute o comando switchport port-securty violation { protect | restrict | shutdown} no modo de configuragao da interface, Por exemplo, para configurar a interface Fa0/1 do SWA do cenério proposto na imagem “cenétio de VLAN com agregago de portas", execute o seguinte comando: TERMINAL oO Em seguida, execute o comando show port-security interface para verificar as configuragées de seguranga da interface, cuja saida apresentamos a seguir TERMINAL OoObserve que 0 modo de violagdo mudou de Shutdown para Restrict. Nessa condigéo, caso haja ume violagéo, @ porta descarta pacotes com enderegos de origern MAC desconhecidos até que sejam removidos enderecos da tabela ou o valor maximo seja ‘aumentado. Uma mensagem é enviada ao syslog e o contador de violacao ¢ incrementado. Além do status de seguranca de uma porta especifica, podemos verificar o status global de seguranca das portas com 0 ‘comando show port-security, cuja saida para o switch SWA do nosso cenério apresentamos a seguir. TERMINAL oO Podemos verificar as portas configuradas com port-security, seus contadores e as ages do modo de violagao para cada uma delas. ‘Também podemos ver todos os enderegos MAC seguros configurados manualmente ou aprendidos dinamicamente em todas as, interfaces de switch por meio da execugao do comando show port-security address no modo EXEC privilegiado, cuja safda apresentamos a seguir. TERMINAL oOAu poems veriicar os enderegas MAC conguades ou apendos, lém de quainerfacee VLAN esthasscido eC Configurando port-security Neste video, a partir de uma topologia que permita o emprego do recurso port-security, apresentaremos a configuragao dos ‘equipamentos. Para assistr a um video B sobreoassunto,acessea |} vversdo online deste cantetdo. | |[°—Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questo 1 Qual seria o melhor plano de mitigagao para evitar um ataque DoS pelo estouro da tabela de enderegos MAC de um switch? D Desabiltar o DTP. Desabilitar o STP. Habilitar o port-security Desabilitar as portas fisicas ndo utilizadas do switch, Desabilitar as SVIs ndo utilizadas das VLANs. Parabéns! A alternativa C esta correta. Como o port-security limita os enderegos MAC de origem que podem acessar uma determinada porta, essa a forma mais efetiva de mitigar essa ameaga pelo estouro da tabela de enderegos MAC. Questo 2 Vocé esti configurando a seguranca da porta em um switch Cisco. A politica de seguranga da empresa determina que, quando ocorter uma violagdo, os pacotes com enderegos de origem desconhecidos devem ser descartados, porém, rnenhuma notificagao deve ser enviada. Qual modo de violagdo deve ser configurado nas interfaces?A off B Restrict © Protect > Shutdown Disable Parabéns! A alternativa C esta correta. Em um switch Cisco, uma interface pode ser configurada para um dos trés modos de violagdo, protect, restrict e shutdown, "No modo protect, os pacotes com enderegos de origem desconhecidos so descartados até que sejam removidos cenderegos da tabela ou 0 valor méximo seja aumentado, porém nenhuma mensagem é enviada ao syslog e 0 contador de Violagio ndo ¢ incrementado, No modo restrict, os pacotes com enderegos de origem desconhecides so descartados até ue sejam removidos enderecos da tabela ou 0 valor maximo seja aumentado, porém uma mensagem é enviada ao syslog e © contador de violagdo ¢ incrementado. J& no modo shutdown, a interface ¢ imediatamente desablitada por erro © 0 LED da porta édesligado. 4 - Solucdo de problemasAo final deste médulo, vocé sera capaz de aplicar técnicas de anilise de falhas em. switches, Troubleshooting Resolver problemas na rede, também conhecido como Troubleshooting, nao é magica, nem sorte, Além de experiéncta, 6 necesséria uma boa documentagéo, um bom conjunto de ferramentas e uma metodologia de andlise e solugio de problemas para garantir uma boa disponibilidade e confiabilidade da rede, Documentacio da rede (gerenciamento da configuracao) ‘A documentago da rede faz parte do gerenciamento da cofiguragsoe é um dos processosfundamentais da gerécia de rede ‘segundo a ISO e também na abordagem do Information Technology Infrastructure Library -ITIL®. Um bom conjunte basico da documentagao da rede inclu + Diagramas de topologia fisica e l6gica de rede, ‘+ Um inventério dos dispositivos de rede que registra todas as informagées pertinentes a eles. + registro da linha debase do desempenho da rede Diagrama de topologia fisica ‘A topologie da rede fisica mostra o layout fisico dos dispositivos conectados, conforme apresentado na imagem a seguir Diagrams de topologies,Nela, podemos ver identificados como os dispositivos estdo fisicamente conectados e sua localizago ne infraestrutura do lugar, ‘sendo que as informagdes normalmente apresentadas na topologia fisica ineluem pelo menos: + Nome do dispositive, + Localizagao do dispositivo (enderego, andar, nimero da sala, localizacao do rack). + Interface e portas usadas. + Tipo de cabo Diagrama de topologia logica A topologie de rede légica ilustra como os dispositivos so conectados logicamente a rede e normalmente dizem respeito @ como os dados sao transferidos pela rede, seus fluxos conexGes, conforme apresentado na imagem a seguit. Diagram de tosclonia gion Nela, podemos ver que sao utilizadas figuras para representar componentes de rede, como roteadores, switches, servidores & hosts ¢ as conexées légicas entre eles. As principais informagdes apresentadas em uma topologia légica podem incluir o seguinte: + Nome do dispositive + Enderecos IP + Identiicadores de interface + Velocidades dos links, modos duplex. + VLANs, troncos, EtherChannels ete. + Gateway padrao e rotas. Inventario Para que possamos solucionar problemas de forma efetiva, é fundamental ter informagées sobre os dispositives da rede, incluindo hardware e software, © a base para isso é um bom inventario, E por meio dele que vamos conhecer todos 08 itens, suas cconfiguragSes e caracteristicas, sendo que cada dispositivo terd o seu préprio conjunto de dados. Sistemas modernos de gestéo da infraestrutura de TI possuem uma Base de Dados de Configuragao (CMDB, em inglés). Porém, até uma simples tabela poderesolver essa questo. Na tabela 2 seguir, hd um exemplo de informagdes que podem ser registradas switches, para solugao de problemas de redes. Dispositivo Modelo Localizagao S. Eqtos Catalyst switch SWL3 Cisco Principal 3550 bs Rack! Porta Descrigéo ‘Acesso/Tronco VLAN EtherChannel 20, 6ort Link sw2 Troneo - 30.40,50 20, an Link sw3 Tronco - 30.40,50 20, ean Link RS Tronco - 30.40,50 bela: Tabla de nfrmacbesDispastive-Sutch ogo Francisco Antunes, Linha de base (Baseline) ‘As tedes S30 como as estradas, é através delas que a informagdo trafega. Assim como as estradas, ela pode apresentar so Lic los 125 JH VLAN Nativa 99 99 99 problemas que podem ocasionar redugdo no fluxo de dados ou mesmo perda total ou parcial da informacao. Algumas aplicagbes so sensivels ao erro e outras ao tempo (jitter ou variagao de atraso),0 objetivo do monitoramento de rede é observar 0 desempenho da rede. £ por meio da anélise dos dados que podemos avaliar a qualidade de nossa rede, resolver problemas e prever melhorias. Mas, para que possamos fazer essa anzlise, 6 preciso um padrdo de comparacao, uma linha de base predefinida, que deve ser usada para estabelecer o desempenho normal em ccondig6es normals. Alguns aspectos do funcionamento da rede que podem ser observados pela linha de base sao: + Qual o desempenho geral da rede em operacao normal? + Se ocorrem e onde ocorrem erros? + Onde e em que horarios 0 tréfego da rede é mais intenso e onde a rede é menos utlizada? + Quais dispositivos devem ser monitorados e qua limites de alerta devern ser definidos? Estabelecer a baseline inical permite que se determine a diferenca entre este ¢ 0 comportamento corrente, conforme a rede cresce ou os padres de tréfego mudam, caso contréro, néo existira nenhuma base para medir os niveis de tréfego de rede e de congestionamento. Além disso, também pode revelar areas na rede que so subutllizadas, as mals congestionadas, direcionando os esforcos de redesenho da rede, com base em observacGes de qualidade e capacidade. Para determiner a linha de base de desempenho da rede, devemos proceder & coleta de dados de desempenho das portas © dispositivos que so essenciais para a operagdo da rede. Porém, antes de efetivamente coletar os dados, alguns aspectos, devem ser observados: Identificar quais dados serao coletados {A definigao de quais dados coletar é muito important pois a selecdo de muitas varidveis pode acarretar um volume de dados {que tornaré a andlise inicial dos dados invidvel. Por isso, recomenda-se comegar com poucas varlévels e acrescentar mais ao longo do tempo. Um bom conjunto de varidveis inicials pode incluir a utilizagdo das interfaces, meméria e CPU, Identificar que dispositivos e portas serao selecionados Use a topologia da rede para identificar os dispositivos e portas onde os dados devem ser coletados. A imagem a seguir apresenta algumas portas de interesse assinaladas, com base na topolagia légica proposta na imagem “Topologia de andlise de trafego utilizando TAP" Dispostives ports de teense para cota de dado,Dispositivos e portas de interesse incluem: + Links de Tronco; + EtherChannels; + Servidores; ¢ + Interfaces externas (WAN/Intemet) Determinar a duraco da linha de base © periodo de tempo que as informagdes sero coletadas deve ser longo o suficiente para tragar uma imagem do funcionamento ‘normal’ da rede, e também para determinar tendéncias do tréfego de rede. Dessa forma, além da monitoragao didria do tréfego, ‘so aconselhaveis vis6es mais longas como semanal ou mensal, conforme mostrado na imagem a seguir Grifico Didtio (em intervalos de 5 Minutos) Média) Input srszataer(oun) 2ezaimeroox) z0astoe 20%) cette “SL 2Mote (83%) DeLtaoe Oe) S60 NB (01%) Drago da baseline para wifego de rede Grafico Mensal (em Intervalos de 2 horas) Média) Input 25:5¥ais (20%) 340TH (00%) 194.5 KOE (0.0%) output 1665 Mome(S6.7%) 1803°9enks (2.2%) | 3072Be (0%) erage da basoine para wifego de rede Grafico Semanal (em intervalos de 30 Minutos) Média) Input 224M (22%) 932sbH (OOH) 33241 OOK) itpat sesso (67%) 2s630r (O26) INOMBKS LEH) Decago da basa para rego redsGrafico Anual (em intervalos de 24 horas) Média) Imput 389.8 (19.08) 25691 (0.0%) 314.5 mB (0.0%) output 1665 Mons (6.7%) 923.2005 (18H) 3038.6 HDEE (3%) uagso da baseline para wiego rede Existem ferramentas de monitoramento de rede como o NetFlow da Cisco ou baseadas nos protocolos SNMP, proprietarias ou de cédigo aberto que ajudam muito e, em alguns casos, sdo essenciais nesse processo. Porém, comandos de documentago de rede simples podem ser muito titeis que incluem comandos como ping, traceroute e telnet, assim como show. Veja, a seguir ‘alguns, comandos mais comuns do Cisco 10S usados para coleta de dados, Show version Exibe informagdes de tempo de atividade e versio do software e hardware do dispositivo, Show [ip | ipv6] interface [brief] Exibe todas as opgées de configuracao definidas em uma interface. Use [brief] para exibir somente se a interface etd ativa ou nao Up/Down ¢ 0 enderego IP de cada interface. Show interfaces [tipo num] Exibe saida detalhada para cada interface, Para exibir a saida detalhada para apenas uma tinica interface, inclua 0 tipo de interface e niimero no comando (por exemplo, Gigabit Ethernet 0/0/0). Show [ip | ipv6] route [static | eigrp | ospf] Exibe a listagem de contetido da tabela de roteamento do dispositivo. Acrescentar static, eigrp ou ospf para exibir apenas esse tipo de rota. Show cdp neighbors detailExibe informagSes detaihadas sobre os dispositivos vizinhos diretamente conectados. Show arp e show ipv6 neighbors Exibe 0 contetido da tabela ARP (\Pv4) e da tabela de vizinhanca (IPv6). Show rumning-config Exibe a configuragao atual do dispositivo. Show vlan Exibe o status das VLANs em um switch, Show port Exibe o status das portas em um switch, Show tech-support Coletar informagdes sobre o dispositive para fins de solucdo de problemas. Ele executa varios comandos show ‘0s dados podem ser fornecidos para o suporte técnico ao relatar um problema, Metodologia de solugao de problemas ‘Um problema nao se resolvera sozinho nem por magica, é preciso que se tenfia uma abordagem para atacérlo, que deve ser guiada por métodos estruturados.Isso requer procedimentos de solugao de problemas bem definidos e documentados para minimizar 0 tempo perdido associado a solugio de problemas erraticos de acertos e falhas, isto é, uma metodologia para efetuar o diagnéstico determinar a sua solugao. Esse processo é normalmente conhecido pelo termo "troubleshooting". Existem varias, metodologias para solucdo de problemas que podem ser aplicadas em quase todas as reas do conhecimento humano, Quando estamos solucionando um ambiente de rede, uma abordagem sistémica pode apresentar um melhor resultado. Definit (08 sintomas especificos, identificar todos os aspectos potencials que possam estar causando os sintomas e eliminar sistematicamente cada uma das hipéteses em potencial (do mais provavel ao menos provavel) até os sintomas desaparecerem. ‘A imagem, a seguir, apresenta detalhadamente o fluxograma do processo de solucdo de problemas, que pode ser adaptada para solugéo de qualquer problema especifico em Tl Furograma para solo de problemas. ‘A seguir, desctevemos breveriente cada uma dessas etapas, Definir o problema Faca uma descrigio clara do problema, para uma andlise adequada, procure identificar os sintomas gerais. Eles podem aparecer de varias formas diferentes, incluindo alertas do sistema de gerenciamento de rede, mensagens do console e reclamages de usuarios ete. Coletar informagdes Retina as informagSes que vocé precisa para ajudar a isolar poss{veis causas, entreviste os ususrios afetados, administradores de rede, gerentes e outras pessoas que considere importantes nessa questo, os alvos (ou seja, hosts, dispositives) a serem investigados devem ser determinados e 0 acesso aos mesmos deve ser obtido, procure identificar se houve alguma mudanga efetuada na rede ou em servigos. Mudancas mal planejadas so estatisticamente grandes responsavels por problemas. Analisar informacées ‘Ao analisar informacées, determine possiveis causas que possam resultar nos sintomas observados. Por exemplo, um determinado servigo pode nao estar respondendo a solicitages dos clientes (sintoma). Possiveis causas podem incluir um host configurado incorretamente, placas de interface ruins, um cabo desconectado ou partido ou falta de configuragao de umroteador. Faga essa andlise usando a documentagao de rede e as linhas de base, procure utilizar também busca de bases de ‘conhecimento organizacionais, pesquisa na Intemet e conversa com outros técnicos, Eliminar possiveis causas Quando para os sintomas observados existirem varias causas possiveis, procure entdo reduzir a lista eliminando progressivamente possiveis causas procurando por aquelas mais provaveis. A experiéncia de solugao de problemas é extremamente valiosa para eliminar rapidamente as causas e identificar @ causa mais provavel, Dependendo dos dados, voce pode, por exemplo, no caso de um servigo que nao responde, mas cujo host responde a0 comando PING, eliminar o rompimento de um cabo como uma causa. Propor hipéteses Formule possiveis hipéteses com base na anélise das informagoes e possiveis causas do problema da sua lista, para que voce possa se concentrar nas hipéteses a respeito das causas mais provaveis. Em todas as oportunidades, tente restringir 0 numero de possiveis causas para que vocé possa criar um plano de agai eficiente, Testar as hipéteses ‘Antes de testar as hipéteses, avalie o que sua agao pode causar em outros sistemas com base na gravidade, urgéncia eo impacto. As vezes, é possivel criar uma solugdo alternativa até que o problema seja definitivamente resolvido. Em seguida, execute cada etapa com culdado, testando cada hipétese planejada, anotando 0 resultado, e verificando se o sintoma desaparece. Faca testes complementares para ter certeza de que isolou uma nica causa para o problema. Crie um plano de relorne para reverter rapidamente a solugao em caso de falha, Se o problema nao tiver sido resolvido, vocé deve elaborar novas hipéteses e definir um novo plano de ago. Obtenha novas informagées mais detalhadas e reinicie o proceso até que o problema seja resolvido, Documentar o problema Caso o problema tenha sido resolvido, documente a solugao no catélogo de problemas, efetue atualizagao de possiveis, mudangas de configuragéo no banco de dados de configuragao CMDB e encerre o problema, Ferramentas de solucio de problemasFerrementas so fundamentais para qualquer profisso. O que seria um mecéinico sem suas chaves, ou um eletricista sem seus instrumentos? Na solugao de problemas de redes nao é diferente. Para coletar, diagnosticar e resolver problemas, necessitamos delas, desde as mais simples as mais complexas. Nossas ferramentas so a extensio de nés mesmos e escolher boas ferramentas ¢ dar um grande passo para eficdcia e eficiéncia profissional. Aqui, vamos conhecer algumas dessas ferramentas, Sistemas de gerenciamento de rede Sistemas de gerenciamento de redes (NMS ~ Network Management System) so uma colegdo de ferramentas integradas, baseadas principalmente no protocolo SNMP, desenvolvidas com o objetivo de monitorar, analisar e prover mecanismos para a detecgdo e corregdo de problemas na rede de forma reativa ou proativa. Ha uma variedade de ferramentas tanto proprietérias como de cédigo aberto disponiveis, entre elas, podemos citar 0 Cacti, 0 Zabbix € o Nagios. Apresentam geralmente uma interface grafica que possibilita a execucao de forma amigavel das operages de gerenciamento, Por estarem associadas a sistemas de gerenciamento de banco de dados SGBD, permitem o armazenamento de dados, o que possibilita a apresentago na forma de gréficos da evolugo dos parametros da rede. Bases de conhecimento ‘As bases de conhecimento on-line tomaram-se fontes indispenséveis de informagao, elas podem ser mantidas pelos fabricantes ou pela comunidade de usudrios ou profissionais. Quando combinadas com os mecanismos de busca da Internet, temos acesso ‘a um vasto conjunto de informacGes baseadas na experiéncia de uma infinidade de profissionais. Analisadores de protocolo Analisadores de protocolo permitem investigar o contetido dos pacotes (PDUs) que trafegam pela rede, possibilitando analisar as virlas camadas de uma pilha de protocolos e apresentando essas informagées em um formato relativamente facil de usar. A imagem, a seguir, apresenta uma captura de tela do analisador de protocolo Wireshark. Nela, além da tela de captura, vemos a tela com os detalhes de um dos pacotes capturados, Tela de capa analisada de protocolo Wreshark Ferramentas simples de diagnéstico‘So ulilitérios dos sistemas operacionais que podem ser uliizados no diagnéstico de problemas de conectividade, roteamento e de atraso (retarde) ou de configuragéo da rede, mas também fornecem informagées como o estado de um link (Ativado ou Desativado ~ Up/Down); dentre elas, podemos destacar o PING e TRACEROUTE, entre outras. Ferramentas de Log Registros de log so uma ferramenta fundamental de coleta de informagao, andlise e resolugao de problemas. Em geral, todos 608 dispositivos de rede podem registrar informagdes referentes a alteracGes de configuragéo, violagSes, status € muitos outros tipos de eventos. Os dispositivos da Cisco podem enviar mensagens de log com base em varios eventos e podem ser enviadas tanto para o console, onde séo ativadas por padréo, como configuradas para serem enviadas ao terminal. Essas mensagens s6 podem ser visualizadas por alguém conectado ao console ou via terminal respectivamente. Além disso, podem ser armazenadas ‘em buffer na meméria (Buffered logging) do dispositivo ou através de Traps SNMP e Syslog. 0 Syslog 6 um padrio criado pela IETF através da RFC 5424 para a transmisséo de mensagens de log para o conjunto de protocolos DoD-TCP/IP. 0 padrao determina a existéncia de clientes e servidores Syslog que se comunicam através do protocolo UDP 514 ou TCP 6514 para implementacées utlizando TLS. ‘Cada mensagem tem um indicador de nivel de gravidade, sendo estes descritos na tabela a seguir, Os valores de gravidade devem estar no intervalo de 0 a 7, inclusive, onde os menores valores indica maior gravidade, Nivel Descrigio Emergéncia: o sistema o esté inutlizavel ; Alerta: ago deve ser ‘tomada imediatamente Critico: condigées 2 ic criticas 3 Erro: condigdes de erro 4 Aviso: condigées de 5 ‘Aviso: condigéo normal,RFC 5424, DATATRACKER, 2008, Descrigao mas significativa Informative: mensagens informativas Depuragao: mensagens no nivel de depuragao 0s roteadores e switches da Cisco podem encaminhar mensagens syslog para um servico externo residindo em servidores ou estagdes de trabalho, inclusive em sistemas baseados em Microsoft Windows e Linux. A capacidade de centralizar logs em um Servidor syslog & muito til na identificagao e solugao de problemas. Entretanto, isso pode acarretar em um volume de dados muito além da capacidade de armazenamento ¢ de dificil andlise. 0 comando logging trap < nivel_de_gravidade > limita as mensagens registradas no servidor syslog, registrando apenas as mensagens iguais ou numericamente inferiores ao nivel especificado, Os comandos a seguir configuram um 192.168.100.100 e nivel de gravidade 5. ‘TERMINAL ispositivo para enviar mensagens para um servidor syslog com enderego 0D Ferramentas de solucio de problemas de hardware Muitas vezes, necessitamos investigar problemas no hardware dos dispositivos ou até mesmo nos cabos, Para isso, precisamos de ferramentas apropriadas.Dentre elas, podemos listar os multimetros digitais usados para medir diretamente valores de tensdo, corrente e resisténcia, os testadores de cabo que sdo usados para detectar fios partidos, conexao cruzada, fora dos padrées de extensao e conexdes combinadas de forma inadequada. Outros mais complexos, como os TORS - reflectémetros de dominio do tempo ~ podem determinar a distancia para uma quebra no cabo. Esses dispositives enviam sinais ao longo do cabo e esperam até que eles sejam refletidos, determinando pelo tempo desde a saida até 0 retomo do sinal a distancia, A variagéio desses equipamentos para fibra ética so chamados de OTDRs ~ reflectémetros épticos no dominio do tempo. Problemas e causas comuns de problemas de rede Os sintomas de um problema sao como percebemos a existéncia do problema, Sintomas tipicos de problemas podem estar relacionados ao desempenho da rede, isto ¢, existe uma diferenga entre o comportamento esperado ~ linha de base € 0 ‘comportamento observado- ou um segmento da rede nao esta funcionando mesmo, ou, ainda, um determinado servigo aparece indisponivel ‘Assim como 0 funcionamento da rede, os problemas também podem ser organizados com base nos modelos OSI ou DoD- TCP/IP. A seguir, apresentamos uma relacao de problemas distribuidos por cada camada do modelo DoD-TCP/IP. Camada fisica Cabo rompido ou danificado, conector defeituoso ou mal instalado, descasamento de modo e/ou velocidade de ‘operagio, equipamento de interconexao (switches ou roteadores) defeituosos, placa de rede ou porta de equipamento de interconexao defeituose, interferéncia no cabo, saturago de banda em segmentos Ethernet compartilhados, tipo errado de cabo e violagao de regras de cabeamento Ethernet Camada de enlace Interface desabilitada, problema com arvore de cobertura, saturagao de recursos devido a excesso de quadros de difuséo, tempo de envelhecimento de tabelas de enderegos inadequado e validade da cache ARP inadequada. Camada de rede Tabela de rotas de hospedeiros incorretas, enderego IP de hospedeiro incorreto, hospedeiro com mascara de rede incorreta, cliente DNS mal configurado, servidor DHCP mal configurado, rotas estaticas mal configuradas,‘equipamento inserido em VLAN incorreta, VLANs nao esto configuradas e computadores nao conseguem trocar informagées sobre VLANs entre si. ‘Transporte Servico nao habilitado ou néo iniciado automaticamente, servigos alocados em portas néo padronizadas, portas cconfiguradas erradamente no cliente e firewall bloqueando as portas do servigo. Aplicagio 0 servigo de nomes nao esté habilitado; DNS: descasamento de registros A e PTR em arquivos de zonas; inconsisténcia entre registros dos servidores DNS primério e secundérios; 0 TTL default de uma zona DNS néo ‘esté configurado; DNS: TTL e outros campos do registro SOA com valores inadequados; falta “* apés nomes totalmente qualificados em registros DNS; filtro IP barrando tréfego DNS e servidor de correio eletrénico com repasse totalmente aberto Hé vérias abordagens estruturadas de solugao de problemas, cada uma delas tem suas vantagens e desvantagens, qual usar vai depender da situagao. A seguir, apresentamos algumas dessas abordagens. Bottom-up (de balxo para cima) Nessa abordagem, vooé comega testando as hipéteses relacionadas com a camada fisica da rede e sobe pelas camadas do modelo OSI até que a causa do problema seja identificada. Deve ser utiizada quando as hipéteses mais provaveis indicam problemas nas camadas inferiores do modelo OSI. Top-down (de cima para baixo) ‘Ao contrério da primeira, nessa abordagem, iniciamos testando as hipéteses relacionadas com as camadas superiores, Isto 6, 0s aplicativos cliente e servidores e descemos as camadas até que a causa do problema seja identificada. Dividir para conquistar Nessa abordagem, um problema grande pode ser dividido em problemas menores cujas hipéteses podem ser testadas ‘em conjunto, Por exemplo, um problema de desempenho de uma aplicagao pode ser dividido em problemas dedesempenho do servidor, da rede e do cliente, e cada um deles ser atacado de forma independente. Seguir 0 caminho (ou a tritha) Normalmente utilizado em problemas de conectividade, aqui mapela-se o caminho do tréfego entre origem e destino e identificando links e dispositivos, e aplica-se as hipéteses para cada elemento, desde a origem até o destino ou do destino até a origem, Identificagao e solugéo de problemas de conectividade fim a fim 0 diagnéstico e a solugao de problemas sao habilidades essenciais para os analistas de rede, que requerem, além de pritica, boas ferramentas. Experiéncia e uma abordagem estruturada ajudam a reduzir o tempo necessério. Mas, lembre-se de que no existe uma receita Unica a ser aplicada, Aqui, vamos utilizar algumas abordagens e ferramentas para diagnosticar e também, resolver problemas comuns de conectividade entre dois pontos da rede. Tome como base a topologia apresentada na imagem a seguir ‘Topoll pra sclucdo de problemas de conectvdade fm afin, 'Nela, podemos imaginar que o PC RH3 no consegue acessar 0 servidor SRV1. Para esse problema, vamos utilizar as abordagens Bottom-up associada a abordagem Seguir o caminho, pois vamos investigar o caminho do fluxo testando das camadas inferiores do modelo OSI. Inicialmente, necessitamos confirmar o sintoma de falta de conectividade e mapear o caminho entre a origem e o destino, Identificando o setor da rede a partir do qual a conectividade se interrompe. Para isso, podemos utlizar os comands ping € traceroute (tracert para Windows). Procure identificar se o problema ocorre apenas nessa maquina ou em outras méquinas da rede. Verifique também se outras méquinas de outras redes conseguem acessar 0 mesmo recurso e se o setor de interrupgao ‘o mesmo para todas as redes. Uma vez que o sintoma tenha sido confirmado pelo utilitrio ping e em fungao do setor da rede determinado pelo traceroute, podemos seguir os seguintes passos: Passo 1Determine a conectividade fisica no setor onde a conectividade esta interrompida, além de verificar cabos conectores com testadores e demais ferramentas de hardware, Em seguida, verifique os parametros de configuragao das interfaces dos dispositivos conectados ao meio fisico. O comando show interfaces (tipo num] apresenta saida detalhada para cada interface, ccuja safda para a interface Fa0/1 do switch SWL3 apresentamos a seguir: TERMINAL Oo Verifique se a interface esta ativa (Up), assim como 0 protocolo de linha (Up), isso indicara que a conectividadefisica foi estabelecida, Verfque também a configurago do modo duplex da interface (Half/Full duplex), interfaces pares como modos duplex diferentes apresentardo problemas de conectividade, Atente para erros de entrada e saida assim como as filas correspondentes, excesso de erros pode indicar problemas no cabeamento ou interferéncia, las muito grandes podem indicar problemas de performance. Por fim, podemos utilizar 0s comandos show processes e show memory para verificar a alta utiizago de CPU e meméria do dispositiv. Passo 2 Uma vez verificada a integridade da camada fisica, podemos analisar aspectos relacionados a camada de enlace do modelo OSI, verificando as configuragées de VLAN e tabelas ARP dos dispositivos. Nas estagées de trabalho Windows, podemos verificar a tabela ARP com o comando arp -a ¢ para a tabela vizinhanca IPv6 do Windows, o comando netsh interface ipv6 show neighbor atentando, principalmente, para a configuragao correta para o MAC do roteador padrdo, que no caso do IPv6 deve estar associado ao endereco IPv6 de link local da interface do roteador. A seguir, apresentamos a saida desses comandos para o PC RH TERMINAL Oo‘Atente para os enderecos do default gateway para [Pv4 e IPv6 estarem definidos em ambas as saldas respectivamente, No caso de switches, a tabela ARP e a tabela vizinhanga IPv6 podem ser obtidas pelos comands show mac address-table € show ipv6 neighbors, respectivamente apresentados a seguir, TERMINAL oO Outra possibilidade a ser investigada ¢ a configuragao das VLANs e as attibuigdes de porta. O comando show vlan eo comando show interfaces trunk podem ser usados para validar atribuicées de VLAN em um switch, TERMINAL oPasso 3 Se todos os parémetros de configuragao e estados relacionados &s VLANs, portas e enderegamento MAC estiverem corretamente configurados, devemos investigar as questées relacionadas @ camada 3, isto 6, relacionados ao enderegamento IP « tabelas de rota dos dispositives. Se um host no esté configurado corretamente com seu endereco IP, mascara de rede e default gateway, ou se os roteadores no caminho nao possuem as rotas estabelecidas corretamente, os pacotes IP néo poderdo trafegar da origem até o destino, indicando um problema de conectividade, Em uma estagdo de trabalho Windows, execute os ‘comandos ipconfig all e route print para verificar as configuracdes de enderecamento dessa estagao e sua tabela de rotas respectivamente. A seguir, apresentamos a saida do comando ipcentig /all executado no PC RH3, TERMINAL oO Para verificar as atribuigdes de endereco IPv4 e IPv6 para as interfaces de switch L3 ou de um roteador, podemos utilizar os ‘comandos show ip interface brief e show ipv6 interface brief, espectivamente. A saida desses comandos para o switch L3 ‘SWL3 é apresentada a seguir TERMINAL oOJé para verificar as rotas, pademos utilizar os comandos show ip route e show ipv6 route para rotas IPv4 e IPv6 respectivamente, ccujas saidas para o switch L3 SWL3 apresentamos a seguit. TERMINAL oO Passo 4 ‘Se a camada de rede funciona conforme esperado, mas os sintomas ainda persister, devemos comegar a investigagéo das camadas superiores, comegando pela camada de transporte, Nessa camada, devemos verificar se os servicos estao disponiveis, nas portas esperadas. Uma ferramenta simples utilizada para testar a camada de transporte é 0 utiltrio telnet. Apesar do telnet utilizar a porta 23, ele também pode ser utlizado para testar outros servicos cujas mensagens so baseadas em texto, como, por ‘exemplo, a porta 80 (HTTP), como mostrado a seguir. TERMINAL oOAlém do teste de conexéo com o servigo utiizando as portas TCP ou UDP, podemos verficar se néo ha nenhuma regra de bloquelo em uma ACL (lista de acesso) de um roteador ou até mesmo um firewall. Para verificar @ existéncia de ACL, podemos utilizar 0s comandos show ip access-list e show ipv6 access-list respectivamente para |Pv4 e IPvé. Passo 5 Uma vez que a conexio com o servico pode ser testada, o préximo passo diz respeito & camada de aplicagéo, Nessa camada, ‘s0 muito comuns problemas relacionados a0 DNS. O DNS é um servigo baseado em um banco de dados distribuido cuja fungao ‘émapear nomes de dominio em enderecos IPv4 ou IPv6. Para verificar a configuragao de DNS em um host Windows, execute 0 comando ipconfig /all,cuja saida para o PC RH3 apresentamos a seguir. TERMINAL oO ‘Caso todos os itens de conectividade estejam configurados e testados corretamente, outros aspectos relacionados & aplicagéo em si, que esto fora do escopo deste médulo, devem ser verificados. Passo 6 ‘Apés a resolugao do problema, documente a solugdo alcangada no seu catélogo de problemas, registre os sintomas, os sinais, (08 testes realizados e os procedimentos de correcao. Assim, no futuro, voce mesmo ou outros analistas contardo com esse cconhecimento para ajudé-los na solugdo de problemas similares ou até mesmo novos problemas.eG Identificagao e solugaéo de problemas de conectividade fim a fim Neste video, apresentaremos a realizacao do diagnéstico de problemas fim a fim e sua solugéo. Para assistir a um video sobre o assunto, acesse a versao online deste contedido,Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questo 1 Os diagramas de topologia fazem parte de um bom conjunto basico da documentago da rede. Sobre eles, so apresentadas as afirmativas a seguir: 1.0s diagramas de topologia fsica mostram a ordem em que os hosts acessam a rede. 2, 0s diagramas de topologia fsica definem como hosts e dispositivos de rede se conectam & LAN. 3. Ele descreve se @ LAN é uma rede de transmissio ou passagem de token. 4.08 diagramas de topologialogica descrevem o esquema de enderegamento que é empregado na LAN. Assinale a poo que apresenta apenas afirmativas verdadeiras, A Apenas 1.62. B Apenas 223 © Apenas 3.04. D Apenas te © Apenas 264 Parabéns! A alternativa E esta correta. 0 diagrama de topologia fisica mostra o layout fisico dos dispositivos conectados, nele podemos ver identificados como os dispositives estéo fisicamente conectados e sua localizago na infraestrutura do lugar, J 0 diagrama de topologia légicailustra como os dispositivos sao conectados logicamente & rede e normalmente dizem respeito a como os dados so ‘ransferidos pela rede e seus fluxos, conexdes e enderegos, Questiio2 Vocé esta atendendo a um chamado para solucionar um problema de rede, No seu primeiro teste, pode executar ping com éxito entre os dois dispositives relacionadas. Porém, o Telnet na porta de destino entre os mesmos dois dispositivos ndo funciona, Em qual cammada do modelo DoD-TCP/IP vooé deve direcionar sua anélise? A Aeolicagao 8 Rede © Transporte D—— Acesso a rede © Fisica Parabéns! A alternativa C esta correta. acesso as portas dos servicos via Telnet ¢ feito através do socket (IP:Porta). 0 enderegamento de portas é uma funcionalidade da camada de transporte. Como o comando telnet nao foi bem sucedido, ¢ nessa camada que vooé deve concentrar seus esforgos para solucionar o problema, Consideracées finais Em uma arquitetura baseada em switches multicamadas com VLANs, alguns aspectos de configuragao mais avangados devem ser observados. Prover redundéncia e largura de banda para os links de tronco & um aspecto importante a se observar. Agregar varias portas fisicas em um canal l6gico ~ Etherchannel ~ permite escalar o trafego e proporcionar sobrevida as instalagGes. Outro aspecto muito importante diz respeito & seguranca. Proteger a camada de enlace de ataques de spoofing (falsificagéo) ¢ vital, Vimos, nesse contexto, mecanismos como o port security, que protege a rede contra a conexéo indevida de equipamentos,© 0 SPAN ~ Switched Port Analyzer, que possibilita inspecionar o tréfego da rede. Por fim, vimos 0s principais aspectos relacionados capacidade de identificar, analisar e corrigit falhas. A solugdo de problemas de redes é uma competéncia fundamental para os analistas de rede. Um bom conjunto de documentagéo e ferramentas associadas a uma metodologia de andlise e solugao de problemas com técnicas de “troubleshooting” permite a solugao répida de incidentes e problemas, aumentando a disponibilidade da rede. QO Podcast Para encerrar, ouga sobre os assuntos mais importantes para um analista e administrador de redes. Para ouvir dudio, acesse a versio online deste conte, Explore + Pesquise pelo livro Melhores Priticas para Geréncia de Redes de Computadores (2003), de Raquel Lopes, Jacques Sauvé e Pedro Nicollet, da editora Campus, disponivel gratuitamente na Internet, que aborda a metodologia para identificagao e solugao de problemas nas varias camadas do modelo OSI Pesquise a base de conhecimento da Cisco em portugués, em site préprio, Ela fomece ferramentas que podem ser usadas para diagnosticar e resolver problemas de hardware e software da Cisco. Referéncias CISCO SYSTEMS, Internetworking Troubleshooting Handbook, 2. ed. Chapter 1 - Troubleshooting Overview. Consultado na Internet em: 03 jun. 2022. CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 2 - Troubleshooting Tools, Consultado na Internet fem: 03 jun. 2022. CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 3 - Troubleshooting Hardware and Booting Problems. Consultado na Intemet em: 03 jun, 2022,CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 4 - Troubleshooting Ethernet. Consultado na Internet er: 03 jun. 2022. CISCO SYSTEMS. Internetworking Troubleshooting Handbook. 2. ed. Chapter 7 - Troubleshooting TCP/IP. Consultado na Internet ‘em: 03 jun, 2022. IETF, RFC 5424, The Syslog Protocol. Publicado em: mar. 2009. Consultado na Internet em: 08 jun. 2022. LOPES, R. Vet al. Melhores Priticas para Geréncia de Redes de Computadores. Rio de Janeiro: Campus, 2003. Material para download Clique no botao abatxo para fazer o download do contetido completo em formato PDF © que vocé achou do contetido? weeny © Relatar problema