Escolar Documentos
Profissional Documentos
Cultura Documentos
Neste capítulo iremos falar sobre os vários tipos de rede(VLAN e WAN) e de que forma
é que se comunicam entre elas próprias, falando também dos protocolos que usam.
Se queremos começar a abordar as VLANS é importante falar dos switches, visto que
são os dipositivos essenciais para a criação destas. Assim um switch é:
Switch -> dispositivo que reencaminha tramas entre nós, possuindo portas que segmentam a
rede internamente, sendo que cada porta corresponde a um domínio de colisão diferente, não
havendo assim colisões entre pacotes
Em baixo estão apresentados alguns dos comandos usados para configurar um switch.
1
Solução: SSH
➔ SSH – substitui o telnet, e oferece mais segurança, visto que este protocolo é
criptografa os dados trafegados entre computadores, dificultando assim a interceção
de pessoas mal-intencionadas
➔ Ataque ao DHCP – faz uso de um servidor DHCP intruso, que não está sobre o controle
administrativo dos responsáveis pela rede
Funcionamento:
Quando um dispositivo se conecta em uma rede e solicita uma configuração através
do protocolo DHCP, tanto o servidor legítimo como o intruso oferecerão um endereço
ip. Se a configuração oferecida pelo DHCP intruso for diferente do servidor legítimo,
os clientes que aceitarem aquela configuração podem ter problemas no acesso à rede
e a outros dispositivos. Além disto, se o DHCP intruso fornecer como gateway um
endereço de uma máquina controlada por um usuário malicioso, é possível que este
usuário tenha acesso aos dados enviados pelos clientes comprometendo a sua
privacidade
Solução: DHCP snooping -> filtra mensagens DHCP não confiáveis/inválidas, usando o
DHCP Snooping Binding Database, que funciona como uma firewall entre as portas
confiáveis(onde estão conectados os servidores DHCP) e não confiáveis.
Assim as portas confiáveis podem enviar solicitações DHCP e confirmações e as não
confiáveis só as podem enviar.
➔ Ataque ao CDP - gera-se dispositivos com nomes aleatórios e envia-se esses dados
para o endereço multicast do protocolo fazendo com que os dispositivos que
executam o CDP tenham os seus recursos de processamento e de memória
consumidos
Solução: Manter CDP desligado
➔ Ataque ao Telnet – pode ser de 2 tipos: ataque de força bruta e ataque DoS
▪ Ataque de força bruta – pode ser usado contra quaisquer dados
criptografados. Verifica sistemáticamente possíveis chaves e senhas
até serem encontradas as corretas
Defesa:
2
▪ armazenar senhas de forma segura
▪ senham não podem estar em texto puro
▪ usar senhas fortes
▪ alterar as senhas
▪ limitar quem se pode comunicar usando linhas
vty
▪ DoS – tentativa de fazer com que os computadores tenham
dificuldade ou sejam impedidos de realizar tarefas. Faz muitas
requisições à máquina, fazendo com que esta chegue ao ponto de não
conseguir dar conta delas
Defesa:
▪ usar filtros que identificam e bloqueiam
pacotes com endereços IP falsos
▪ Atualizar para a versão mais nova do software
CISCO IOS
De modo a testar o quão segura a rede se encontra são usadas algumas ferramentas de
segurança, tais como:
➔ Auditorias – permitem obter um conhecimento total do estado atual da rede,
identificando vulnerabilidades, mais especificamente revelam o tipo de informação
que um invasor pode obter observando o tráfego da rede, determinar a quantidades
ideal de endereços MAC falsificados a serem removidos e determinar o periodo de
expiração da tabela de endereços MAC
➔ Testes de penetração – método que avalia a segurança da rede, simulando um ataque
de fonte maliciosa, podendo ser identificadas deficiências na configuração dos seus
dispositivos de rede
3
Modelo de rede hierárquico
Uma rede empresarial deve ser projetada para atender as necessidades do negócio
bem como estar preparada para uma possível expansão.
Pensando nisso, tanto a parte física quanto lógica da rede pode ser projetada adotando-se um
modelo de rede hierárquico,criando-se uma rede segura, redundante e escalável.
Mas o que é e para que serve?
- VLANs;
- Segurança de Porta;
- Agregação de Links;
- Qualidade de Serviço;
Conceitos de comutação:
- Suporte de Camada 3;
4
- Gigabit Ethernet, 10 e 40 Gigabit Ethernet;
- Componente redundante;
- Políticas de Segurança;
- Agregação de Links;
- Qualidade de Serviço;
Conceitos de comutação:
- Suporte de Camada 3;
- 10 e 40 Gigabit Ethernet;
- Agregação de Link;
- Qualidade de Serviço.
Switches usados nesta camada: Catalyst 2960, Catalyst 3560, Catalyst 3750
Para se projetar uma boa rede hierárquica, é necessário seguir os seguintes príncipios:
5
conceito de redundância, que consiste em duplicar as conexões de rede entre
dispositivos ou duplicar os próprios. Desta maneira, caso haja uma falha em um dos
dispositivos ou cabos, os links redundantes passam a operar no lugar dos dispositivos
que falharam.
Uma rede convergente utiliza uma única infraestrutura de tecnologia para utilização de
serviços que antes necessitavam de equipamentos independentes. Existe conectividade de
multi-plataformas em 1 único equipamento.
Ex: VOIP
VLANS
Todos os switches de uma rede pertencem ao mesmo domínio de broadcast. Acontece que se
estivermos a falar de uma rede com vários switches, existe um grande número de broadcasts,
afetando o desempenho da rede. A solução estaria em separar os domínios de broadcast. Para
isso temos 2 formas:
➔ usando um router (visto que não encaminha broadcasts) e um switch para cada
departamento criado, havendo um domínio para cada um
Problema: Não ofereçe segurança, flexibilidade e escabilidade
Assim a solução passa por:
➔ Criar uma VLAN
6
Mas o que é uma VLAN?
As VLANS podem ter classificações com base na sua “construção”, podendo ser End-to-
End ou Local VLANs.
Devido as isto, usa-se as Local VLANS. São mais fáceis de se implementar e são baseadas na
localização geográfica usando um modelo de rede hierárquico.
Portas switch
São interfaces apenas da camada 2 associadas a uma camada física, sendo usadas para
gerenciar a interface física e os protocolos associados à camada 2. Podem pertencer a 1 ou
mais VLANS.
Uma porta pode ser configurada para suportar uma das seguintes formas de
configuração:
➔ VLANS Estáticas – configurada pelo admin que atribui as portas do switchde forma
manual a cada uma das VLANS, entrando os quadros de forma automática. É fácil de
configurar e de monitorizar, e para além disso é seguro, funcionam bem em redes
onde os movimentos das máquinas são controlados e geridos. Existe um software
robusto de gestão de VLANs para configurar as portas. Não é desejado a sobrecarga
adicional requerida para mandar tabelas de MACs e tabelas com filtros.
➔ VLANS Dinâmicas – definidas pelo software de gestão de acordo com uma base de
dados de utilizadores. Quando um user se liga ao switch, é adicionada dinamicamente
a uma vlan. Essa atribuição pode ser feita com base no end. físico, em protocolos ou
7
aplicações. A gestão é mais simples, mas a configuração é mais complexa. No entanto
apresenta um benefício: quando um host se move na rede, o switch atribui
dinamicamente a nova porta à VLAN correta para esse host
➔ VLAN Voz
As VLANS podem ser classificadas com base no intervalo a que pertencem, isto é:
➔ VLANS de intervalo normal (que compreende a VLAN 1 e a VLAN 1005)- são usadas em
redes de pequeno a médio porte. As VLANS com os id’s de 1002 a 1005 são reservadas
para VLANS Token Ring e FDDI, não podendo ser eliminadas. As suas configurações são
gravadas no banco de dados vlan.dat, que está localizado na memória flash do switch.
Dentro deste intervalo é possível usar o protocolo VTP, que é uma mais valia na
configuração de VLANS entre switches
➔ VLANS de intervalo estendido(que compreende a VLAN 1006 a 4094) - são usadas
numa infra-estrutura que necessita de uma maior número de clientes, mas suportam
menos recursos de VLANS. Ao contrário das VLANS de intervalo normal, as
configurações deste intervalo de VLANs são gravadas no arquivo de configuração de
execução. Aqui não é possível usar o protocolo VTP, pois não aprende as VLANS
As VLANS também podem ser classificadas quanto ao tipo:
➔ VLAN Dados – transportam apenas o tráfego gerado pelo usuário
➔ VLAN Padrão – já vem por defeito no switch, sendo essa a VLAN 1. Não pode ser
desligada, nem apagada
➔ VLAN Nativa – ela existe quando há um encapsulamento do tipo 802.IQ, e permite a
passagem de quadros com tags e sem tags, sendo este tipo de VLANS compatíveis com
hubs
➔ VLAN Gerenciamento – switch apresenta um endereço ip e máscara e pode ser
gerenciado por Telnet, SSH, HTTP ou SNMP
➔ VLAN Voz – usa-se a VLAN 150 pois prioriza o tráfego de voz, sendo que um telefone se
encontra conectado a uma das portas do switch
Sempre que hosts em uma VLAN precisem de comunicar com hosts de outras VLANs o
tráfego deve ser roteado entre eles. Para isso é necessário usar o inter-VLAN routing, que faz
uso de um router.
Assim sendo, e se o router o permitir, podemos configurar a sua interface como uma
trunk line, isto é,faz-se uso de apenas uma interface ligada ao router e ao switch, que permite
a passagem das várias vlans configuradas, não sendo necessário uma interface para cada uma
delas. Para isso, é necessário utilizar subinterfaces, que agem como as interfaces tradicionais
mas de forma virtual, estando conectadas a apenas uma interface física. Essas interfaces são
configuradas no software do router e exigem um ip e endereço de máscara. Cada uma dessas
8
subinterfaces deve estar associada a uma determinada VLAN. Este tipo de configuração tem o
nome de router-on-a-stick. Aqui, as ligações lógicas conservam as portas físicas. Como a
interface do router vai funcionar como um trunk, todos os quadros(à exceção das VLANS
nativas) vão ser encapsulados no protocolo 802.IQ.
Trunk
Já foi muito falado nas VLANS o trunk. Mas afinal o que é isso?
O trunk funciona como um link ponto-a-ponto entre 2 dispositivos de rede, que faz
tráfego/transporta mais que uma VLAN.
Facilita bastante a conexão visto que não é preciso implementar uma interface para
cada VLAN. 1 cabo já deixa navegar quantas vlans o utilizador quiser.
Visto que só iremos falar d frame tagging, aqui existem 2 protocolos que manuseiam
os quadros:
➔ ISL: Todo tráfego que passa por uma porta trunk ISL (Inter-Switch Link) deve ser
encapsulado em um frame ISL. Se um frame não encapsulado chega a uma porta trunk
9
ISL ele é descartado. O ISL é um padrão criado pela Cisco, mas não são todos os
switches Cisco que suportam ISL. É um protocolo antiquado e pouco usado.
➔ 802.1Q: As portas trunk 802.1Q (padrão do IEEE) aceitam tráfego com e sem tag. Caso
um frame seja tagueado ele será encaminhado para a VLAN referida. Se um pacote
chegar sem tag à porta trunk ele será encaminhado para a VLAN default (por padrão é
a VLAN 1, mas pode ser definida pelo usuário).
O 802.1Q é o padrão de IEEE para etiquetar quadros em um tronco e apoia até 4096
VLAN. No 802.1Q, o dispositivo do entroncamento introduz uma etiqueta 4-byte no quadro e
nos recalculares originais a sequência de verificação de frame (FCS) antes que o dispositivo
envie o quadro sobre o enlace de tronco. Na extremidade de recepção, o rótulo é removido e
o quadro é encaminhado ao VLAN atribuído. o 802.1Q não etiqueta quadros no VLAN nativo.
Etiqueta todos os quadros restantes que são transmitidos e recebidos no tronco. Quando é
configurado um tronco 802.1Q, deve certificar-se de que se configura o mesmo VLAN nativo
em ambos os lados do tronco.
O IEEE 802.1Q usa um mecanismo de rotulação interno que introduz um campo no
quadro de Ethernet original próprio da etiqueta 4-byte entre o endereço de origem e o
tipo/campos de comprimento. Porque o quadro é alterado, os recalculares do dispositivo do
entroncamento o FCS no quadro alterado.
Alterações do quadro:
10
Outra explicação que pode ajudar na compreensão do Trunk…
Havendo uma ou mais VLAN que se estendem por vários comutadores surge outra
questão: com cada porta atribuída a uma e uma só VLAN, para manter o seu funcionamento
inalterado (podem trocar-se tramas entre quaisquer portas de uma mesma VLAN mas não
entre portas de VLAN diferentes) seria necessário ter várias ligações físicas (i.e., vários cabos
de rede) a interligar cada par de comutadores, um por VLAN. Quer o consumo excessivo de
portas a que conduz, quer a necessidade de instalar cablagem adicional, tornariam esta
solução indesejável, pelo que foi desenvolvida uma alternativa.
De modo a poder fazer com apenas um cabo a interligação entre comutadores com VLAN,
estes permitem configurar cada porta num de dois modos: acesso ou trunk. Enquanto uma
porta de acesso está atribuída a uma única VLAN, nas portas de trunking circulam tramas de
diferentes VLAN.
Para que um comutador, quando recebe uma trama numa porta em modo trunk, possa
saber a que VLAN pertence, as tramas enviadas em ligações em modo trunk precisam de
transportar no cabeçalho uma etiqueta (VLAN tag) indicando a VLAN a que pertence.
Infelizmente, não existe nenhum campo no cabeçalho das tramas ethernet normais onde a
VLAN tag possa ser transportada, pelo que é necessário utilizar nas portas em modo trunk um
encapsulamento diferente. O encapsulamento standard para tramas enviadas por portas em
modo trunk está definido na norma 802.1Q. Existem encapsulamentos alternativos, como o
Cisco Inter-Switch Link (ISL), mas por ser proprietários não são adequados para redes com
equipamento de múltiplas marcas.
Configuração
➔ Criar as VLANS
➔ Atribuir portas de switch estaticamente
➔ Verificar configuração da VLAN
➔ Habilitar o trunk nas conexões entres switches
➔ Verificar a configuração do trunk
Alguns comandos
11
Benefícios das VLANs
Protocolo STP
Quando se usam múltiplos switches é frequente usar links alternativos/redundantes entre eles
de modo a que a rede esteja sempre operacional/disponível, mesmo que um dispositivo ou
cabo falhe. Porém, esta redundância pode fazer com que os quadros entrem em loop, devido
ao facto de existirem 2 caminhos para o mesmo dispositivos, causando assim problemas na
rede.
➔ Broadcast storms – ocorre quando uma mensagem gera um nova mensagem, como se
fosse um efeito de bloco de neve. Isto acontece também devido ao facto dos quadros
Ethernet não possuirem um campo TTL semelhante ao IP, ou seja os quadro andam
indefinadamente na rede
➔ Cópias múltiplas do quadro
➔ Instabilidade na tabela de endereços MAC
Para solucionar isto, criou-se o STP. Este protocolo bloqueia as portas de caminhos
redundantes de um switch, de modo a não enviar informações duplicadas.
Ou seja…
O protocolo STP garante que exista apenas um caminho lógico entre 2 destinos de rede,
havendo bloqueio de caminhos redundantes que podem causas loops. Uma porta ao estar
bloqueada, não permite a circulação de tráfego. No caso de ocorrer falhas nas ligações, o STP
desbloqueia a porta redundante para permitir o tráfego da rede.
O STP faz uso do protocolo STA para determinar as portas a serem bloqueadas.
12
Para se definir a root bridge os switches que pertencem ao mesmo domínio de broadcast
trocam BPDUs (que são PDU’s entre switches). Esses BPDU’s contêm o seu bridge ID(BID) e o
root ID a cada 2 segundos. Á medida que o switch vai recebendo esses BPDU’s é verificado se o
root bridge recebido é menor do que o seu. Se o seu root ID for menor, atualiza do root ID e
envia novas BPDU’s com o novo root ID. O switch que tiver root ID mais baixo, é
automaticamente considerado o switch de referência! (ver BID e root ID)
De seguida, o STA calcula o caminho mais curto/melhor caminho até ao root bridge (só se faz
foward de dados quando esta operação). Esse custo é determinado com base no custo das
portas associadas.
➔ Root Port
A porta do switch mais próxima do root bridge é considerada a root port. Caso 2 ou mais
portas estejam à mesma distância do switch root bridge analisa-se a o ID mais baixo entre as
portas. O que tiver o ID mais baixo fica como Root Port. Só é permitido uma root port em cada
switch. Depois, os endereços MAC dos quadros recebidos começam a preencher a tabela de
endereços MAC
➔ Designated Ports
As portas por onde passam o tráfego, sem serem as root ports, são designadas de designated
ports. No root bridge as suas portas são DP. As DP’s também só podem existir uma por switch.
Também neste caso, os endereços MAC recebidos preenchem a tabela MAC.
➔ Non-Designated Ports
Estas portas encontram-se bloqueadas, não tendo tráfego a passar por elas. Assim sendo, não
preenche a tabela MAC.
Caso isto aconteca, os switches comparam o seu ID com o ID dos vizinhos. Aquele que tiver o
ID mais baixo, coloca a porta como DP. O outro coloca como Non-deisgnated. Se sobrarem 2
ou mais portas com o mesmo vizinho, o switch com o ID mais elevado verifica quais as
prioridades das portas do vizinho. Coloca como Root Port ou DP a porta ligada à porta de
menor prioridade do vizinho(ver).
Após esta explicações concluimos que neste tipo de operação existe apenas uma root bridge
por rede, uma root port por non-root bridge(DP), um designated port por segmento, e as non-
deisgnated ports não são usadas
13
Estado das portas STP
➔ Desativada
➔ Bloqueada /Blocking– recebe apenas os BPDU’s
➔ Escuta/Listening – processa BPDU’s e espera por possíveis informações que podem
fazer a porta a voltar ao estado de bloqueada
➔ Aprendizado/Learning – porta está a montar tabela MAC dos quadros recebidos
➔ Encaminhando/Fowarding – a porta envia e recebe dados
Re-cálculo do Spanning-Tree
Depois que a topologia STP é montada, ela não muda a menos que a topologia da rede
mude, ou seja, um enlace caia, um switch trave, entre outras razões. O SR envia Hello BPDUs a
cada 2 segundos, por padrão. Cada switch repassa este Hello, adicionando seu custo ao custo
para alcançar o SR. Cada switch sempre “escuta” as mensagens do SR como um meio de saber
se seu caminho até o Raiz está funcionando, visto que as mensagens de configuração seguem
o mesmo caminho dos quadros de dados. Quando um switch pára de receber estas
mensagens, algum caminho falhou, então ele reage e inicia o processo de mudança de
topologia do Spanning Tree.
Este protocolo é semelhante ao STP mas contem melhorias. É mais rápido na convergênciada
rede quando há uma mudança na rede, fazendo com que uma porta passe para o estado
forward rapidamente. O papel das portas e o seu estado é clarificado. Após a convergência,
este protocolo permite que cada switch gere os seus próprios BPDU’s em vez de esperarem
pelos da root bridge.
VTP
O VTP é um protocolo que permite que um administrador de rede configure um switch de
forma a que ele propaue as configurações das VLANS para outros switches na rede. Este
protocolo já foi referido em cima, sendo que só pode ser usado em VLANS de intervalos
normais. Para VLANS de intervalo estendido, não é suportado o VTP.
Este protocolo veio evitar o cruzamento de VLANS com configurações inconsistentes ou com
configurações erradas.
14
➔ Configuração dinâmica de trunks, quando são adicionadas novas VLANS
Componentes VTP
Para os switches usarem o VTP precisam de estar dentro de um domínio que utiliza mensagens
VTP advertisements para partilhar os detalhes de configuração das VLANS. O limite desse
domínio pode ser definido por um switch de camada 3 ou por um router.
Passam o nome da VLAN, o seu nome, o seu tipo(nativa, etc) e informações relativas a isso, e o
seu estado.
➔ VTP Server – anuncia as informações das VLANS aos switches que têm o vtp ligado no
mesmo domínio. É no server que se pode criar, apagar ou alterar VLANS. A informação
destas fica guardada na NVRAM.
➔ VTP Client – funcionam como os VTP servers mas não podem criar, alterar ou apagar
VLANS. É necessário indicar ao switch que ele é cliente. A informação das VLANS é
guardada na RAM
➔ VTP transparent – reenviam os VTP advertisements para outros switches mas não
participam no VTP. As suas VLANS são apenas locais e são criadas, apagadas e
alteradas no próprio switch
➔ VTP Proning - aumenta a largura de banda disponível através da restrição do tráfego
“flooded” apenas aos trunks necessários para chegarem ao seu destino; Sem VTP
proning os switches fazem o ”flood” do tráfego broadcast, multicast e
unicastdesconhecido em todo o domínio.
Concluindo….
Um switch pode participar num VTP quando:
➔ Tem o VTP ativo
➔ Tem que fazer parte de um dominio
➔ Tem de haver um switch em modo servidor, e outros em modo cliente
Um switch que esteja em modo VTP contem um número de revisão. Mas o que é isso?
15
➔ Versões incompatíveis
➔ Problemas de senha do VTP
➔ Nome de modo VTP incorreto
➔ Definir todos os switches como clientes
WAN
Sabemos que as redes podem estar sempre em crescimento. As VLANS são uma boa
solução para locais com localizações geográficas próximas, mas e se for necessário deslocar
parte de uma empresa para um local muito distante da filial principal? Pois, acontece que
neste tipo de casos as VLANS não se podem usar. Assim sendo, uma solução para este
problema seria a WAN.
A WAN é uma rede de comunicação de dados que funciona além dos limites
geográficos de uma rede local. Para se poder usar esta tecnologia é necessário um provedor de
serviço. Faz uso de ligações em série de vários tipos para forncecer acesso à largura de banda
em grandes áreas geográficas.
Lado do Cliente
Lado da Operadora
16
caixa de junção do cabeamento, localizado no local do cliente, que conecta o CPE ao
loop local. São colocados num stitío de fácil acesso pelo técnico. Este ponto passa a
responsabilidade de conexão do usuário para a operadora. Isto é importante, porque
quando existem problemas é necessário saber se o problema é do user ou da
operadora,e quem os deve reparar
➔ Loop Local – cabo telefónico de cobre ou fibra que conecta o CPE do assinante ao
CO(central da operadora)
➔ Central da Operadora – instalação da operadora local onde os cabos telefónicos locais
são vinculados a linhas de comunicação de longa distância, por meio de um sistema de
switches ou de outro equipamento
17
➔ Router Central – router que reside no meio ou no backbone da WAN e não na
periferia. Para cumprir essa função, um router deve ser capaz de suportar várias
interfaces de telecomunicação da maior velocidade em utilização do núcleo WAN,
devendo ser capaz de encaminhar pacotes IP em total velocidade em todas essas
interfaces. O router deve ser capaz de suportar os protocolos de roteamento utilizados
no núcleo
Para interligar um router CISCO a uma rede WAN é necessário conhecer o tipo de
conectores/protocolos que se deve usar no cabo de interligação do router ao CSU/DSU.
18
Paralelo – envia dados em que todos os bits de um símbolo são enviados juntos, mas na
realidade não chegam ao destinatário junto, alguns bits chegam mais tarde que outros. Isto é
conhecido como a diferença de clock. Neste tipo de comunicação a extremidade recetora
deve sincronizar-se com o transmissor e aguardar a chegada de todos os bits. Isto é chamado
de trava visto que este tipo de sistema permite armazenar dados utilizados para guardar
informações em sistemas lógicos sequenciais. Quantos mais fios se usarem e quanto mais
longe chegar a conexão, mais problemas haverá incluindo a presença de atraso. A necessidade
de clocking coloca a transmissão paralela abaixo das expectativas teóricas. Pode ser usada em
distâncias curtas(ex:dentro das máquinas)
Série – envia bits de cada vez, de forma sequencial. A maioria dos links seriais não precisa de
clocking. Este tipo de conexões exigem menos fios e cabos, ocupando menos espaço e podem
ser mais bem isoladas das interferências entre cabos e fios. Este tipo de comunicação é usada
em grandes distâncias
19
O HDLC define uma estrutura de quadros que permite o controle de fluxo e o controle de erros
por meio de utilização de confirmações. Cada quadro tem o mesmo formato,
independentemente do quadro ser de dados ou de controle. O HDLC utiliza um delimitador de
quadros ou flag, para marcar o início e o fim de cada quadro. A Cisco desenvolveu uma
extensão para este protocolo a fim de resolver a impossibilidade de fornecer suporte a vários
protocolos (cHDLC).
O PPP pode usar midia fisica sincrona ou assíncrona como as que utilizam serviço
telefónico básico em conexões de acesso via modem.
20
O PPP oferece opções de serviço LCP, sendo principalmente utilizado para negociação e
verificação de quadros durante a implementação de controles ponto-a-ponto específicos
por um utilizador.
Com funções de nível superior, PPP transporta pacotes de vários protocolos da camada de
Rede em NCPs. Há campos funcionais que contêm códigos padronizados para indicar o tipo
de protocolo da camada de rede encapsulado pelo PPP.
21
Autenticação PPP
➔ PAP – não é um protocolo de autenticação forte. Envia senhas pelo link em texto sem
formatação, não havendo nenhuma proteção contra reprodução ou ataques de
tentativa e erros repetidos. O nó remoto está no controle da frequência e do timing
das tentativas de login. Esta forma de autenticação justifica-se quando uma grande
base instalada de aplicativos clientes não são compatíveis com CHAP, quando há
incompatibilidade entre implementações de fornecedores diferentes do CHAP, e
quando há situações em que uma senha em texto simples deve ser disponibilizada
para simular um login no host remoto.
➔ CHAP - realiza desafios periódicos para verificar se o nó remoto ainda tem valor de
senha válido(o PAP para de funcionar após autenticado). Fornece proteção contra
22
ataque de reprodução, utilizando um valor de desafio variável exclusivo e imprevisível.
Como o desafio é exclusivo e aleatório, o valor de hash resultante também é exclusivo
e aleatório. A utilização de desafios repetidos limita o tempo de exposição a qualquer
ataque. O router local ou servidor de autenticação de terceiros está no controlo da
frequência e do timing dos desafios.
SLIP – protocolo padrão para conexões seriais ponto-a-ponto que utiliza TCP/IP. Este
protocolo foi amplamente substituido pelo PPP
X.25 – padrão ITU-T que define como a conexão entre um DTE e um DCE é mantida para
acesso ao terminal remoto a uma comunicação do computador em redes de dados públicas.
X.25 específica LAPB, um protocolo DLL. Este protocolo é um antecessor do Frame Relay.
Frame Relay – protocolo DDL, padrão, comutado que lida com vários circuitos virtuais. É
um protocolo de geração seguinte à do X.25. Este protocolo elimina alguns dos processos mais
demorados, a nível de correção e controlo de fluxo, empregados no X.25.
Quando se cria uma WAN, há sempre no mínimo três componentes básicos: cada local precisa
do seu próprio equipamento(DTE) para aceder o CO da empresa telefónica, que atende à área
(DCE)e o terceiro componente fica no meio, unindo os dois pontos de acesso, neste caso o
backbone do F.R.
A nível de custos…
Inicialmente os custos são mais altos mas o custo mensal é muito menor. O frame relay é mais
fácil de gerir e configurar do que o ISDN. Os clientes podem aumentar sua LB de acordo com o
23
aumento das suas necessidades. Os clientes Frame Rellay só pagam pela largura de banda que
necessitam. Não há cobranças por hora nem distância, ao contrário do ISDN.
➔ Tem sobrecarga inferior à do X.25 pois possui menos recursos, não fornece correção
de erros, porque as instalações WAN modernas oferecem serviços de conexão +
confiáveis e um grau + elevado de confiabilidade do que as instalações antigas. Ao
detetar erros, o nó Frame Relay simplesmente descarta os pacotes sem notificação.
Qualquer correção de erros necessária, como retransmissão de dados, é deixada para
os pontos de extremidade. Isso torna a propagação de cliente pela rede mais rápida.
➔ O F.R gere volume e velocidade de forma eficiente combinando as funções necessárias
das camadas de enlace e rede num único protocolo simples. Como protocolo de
enlace de dados fornece acesso a uma rede delimitando e entregando quadros na
ordem correta e reconhece erros de transmissão através de uma verificação de
redundância cíclica padrão. Como protocolo de rede fornece várias conexões lógicas
sobre um único circuito físico e permite que a rede roteie dados nessas conexões para
os destinos desejados.
➔ O F.R funciona entre o dispositivo de um usuário final como uma bridge de rede local
ou router e uma rede. A própria rede pode usar qualquer método de transmissão que
seja compatível com a velocidade e a eficiência que os aplicativos para F.R exigem.
Algumas redes usam o F.R mas outras usam comutação digital de circuitos ou sistemas
de transmissão de célula ATM.
Operação (FR)
Um circuito virtual é a ligação por uma rede F.R. entre 2 DTEs. São virtuais pq não há conexão
elétrica direta fim-a-fim. A conexão é lógica e os dados movem-se fim-a-fim sem um circuito
elétrico direto. Com os VCs a frame relay compartilha a largura de banda entre vários usuários
e os sites podem comunicar-se entre si sem usar várias linhas físicas dedicadas.
24
Identificação de Circuitos Virtuais(DLCIs)
DLCI (Data-Link Connection Identifier) – valor que identifica PVC ou SVC numa rede local. Os
DLCIs têm informação local e identifica um VC para o equipamento em um ponto de
extremidade.
Encapsulamento F.R
➔ DLCI – é a essência do cabeçalho F.R. Esse valor representa a conexão virtual entre o
dispositivo DTE e o switch. Cada conexão virtual multiplexada no canal físico é
representada por um DLCI exclusivo.
➔ Endereço Estendido(EA) – se o valor de EA for 1, o byte atual será determinado para
ser o último octeto do DLCI. Embora todas as implementações de F.R atuais usem um
DLCI de 2 octetos, esse recurso permitirá DLCIs mais longos no futuro. O oitavo bit de
cada byte do campo do endereço indica o EA
➔ C/R – segue o DLCI + significativo do campo de endereço. Este bit geralmente não é
usada em F.R
➔ Controlo de congestionamento – contem 3 bits que controlam os mecanismos de
notificação de congestionamento do F.R. Os bits FECN, BECN e DE são os 3 últimos bits
no campo do endereço
Topologia F.R
Cada rede ou segmento de rede pode ser exibido num dos 3 seguintes tipos de topologia:
25
altamente confiável a eles. Este tipo de topologia conecta todos os locais entre si. O
uso de interconexões de linha alugada, interfaces seriais adicionais e linhas aumentam
os custos. Usando o F.R um programador de rede pode criar várias conexões
simplesmente configurando VCs adicionais em cada linha existente. Essa melhoria de
software aumenta a topologia estrela para uma topologia em malha completa sem a
despesa dehardware adicional ou de linhas dedicadas. Comos os VCs usam
multiplexação estatística, vários VCs em um link de acesso geralmente fazem melhor
uso de F.R do que VCs separados. Para grandes redes uma topologia de malha
completa raramente está disponível, pois o nº de links necessários aumentam
drasticamente. O problema não está no custo de hardware mas sim no limite teórico
de menos de 1000 VCs por link.
➢ Malha parcial(Partial mesh) – uma solução para as grandes redes seria configura-las
neste tipo de topologia. Com a malha parcial há mais interconexões do que o
necessário para uma disposição em estrela e menos do que o necessário para uma
malha completa. O padrão real depende dos requisitos.
Mapeamento físico
Para encaminhar pacotes o router precisa de converter o PI num endereço fisico(neste caso
DLCI). O mapeamento pode ser:
➔ Dinâmico – usa o RARP(Inverse ARP) que obtem endereços lógicos a partir dos físicos.
Neste caso permite detetar o end. de rede de um dispositivo associado a um circuito
virtual. Mas como funciona? O router F.R envia solicitações RARP em seu PVC para
descobrir o endereço de protocolo do dispositivo remoto conectado à rede F.R. O
router usa as respostas para preencher uma tabela de mapeamento de endereço-
para-DLCI no router de FR ou no servidor de acesso
➔ Estático – usado em situações a qual o router que está do outro lado da rede F.R não
suporta RARP dinâmico para um protocolo de rede específico
Mapeamento de endereços
Quando a rede responder com FULL STATUS, ela incluirá infos de status sobre DLCI’s
alocados para essa linha. O dispositivo final pode usar essas informações para determinar se as
conexões lógicas podem transmitir dados.
26
As mensagens de status *LMI combinadas com as mensagens RARP permitem que um
router associe endereços da camada de rede e da camada de enlace.
Se o router precisar de mapear os VCs para endereços de camada de rede ele enviará uma
mensagem de ARP inverso em cada VC. A mensagem RARP inclui o endereço da camada de
rede do router para que o DTE remoto ou router também possa executar o mapeamento. A
resposta RARP permite que o router faça as entradas de mapeamento necessárias em sua
tabela de mapas de endereço-para-DCLI. Se vários protocolos da camada de rede forem
suportadados no link, serão enviadas sms de RARP a cada um deles.
27
➔ Links de comunicação comutados
❖ Por circuto – esta comunicação estabelece dinamicamente uma conexão
virtual dedicada para voz ou dados entre um remetente e um destinatário.
Neste caso, antes de se iniciar a transferência de dados é necessário
estabelecer uma ligação ponto-a-ponto com um circuito. Quando a chamada é
terminada, a ligação é terminada também.
- simplicidade
- disponibilidade
- baixo custo de implementação
Desvantagens:
- taxas de dados menores a um tempo de conexão relativamente longo
28
- tráfego de voz ou vídeo não funciona bem nessas taxas de bit(<56 kb/s)
Desvantagens do X.25:
29
Contudo esta célula apresenta desvantagens visto que é menos
eficiente que em quadros maiores do Frame Relay ou do X.25, tem menos 5
bytes de sobrecarga para payload de 48 bytes. Quando a célula transporta
pacotes de camada de rede segmentados, a sobrecarga é maior porque o
switch ATM deve ser capaz de remontar os pacotes no destino. Uma linha ATM
típica precisa de 20% mais largura de banda do que o Frame Relay para
transportar o mesmo volume de dados. A ATM foi projetada para ser
extremamente escalável e poder suportar velocidades de link (622 mb/s) e
superior. A ATM oferece PVC’s e SVC’s sendo os PVC’S mais comuns com
WANS. O ATM permite vários VCs em uma única conexão de linha alugada.
30
compatível com WiMAX e de um código de criptografia especial para
obter acesso à estação base.
Existem dois tipos de acesso VPN: VPNs ponto-a-ponto, que conectam todas as redes e
que cada rede é equipada com um gateway VPN, e VPNs de acesso remoto, que permitem
a hosts individuais aceder à rede de uma empresa com segurança pela internet
31
digitalização e armazenamento de dados. As empresas podem
fornecer aos seus escritórios remotos acesso confiável a aplicativos e
dados na rede local da sede corporativa
Vantagens:
O que falta:
➔ ver passo a passo como funciona a comunicação entre VLANS(vai sair no teste) – ver
no packet tracer
➔ ver vtp- exemplo dos porwerpoints do vtp transparent
32
33