CERTIFICAÇÃO

CCNA
GUIA PREPARATÓRIO
PARA O EXAME 200 301
ALEXANDRE VIEIRA DE OLIVEIRA
CCIE #24499
JEFFERSON LISBOA MELO
Copyright©2021 – Todos os direitos reservados a:
Alexandre Vieira de Oliveira e Jefferson Lisboa Melo
De acordo com a Lei 9.610/1998 que consolida a legislação de direitos autorais no Brasil esta obra
tem direitos autorais reservados à editora.
Nenhuma parte desta obra poderá ser reproduzida ou transmitida por qualquer forma e/ou quaisquer
meios (eletrônicos ou mecânico, incluindo fotocópias e gravação) ou arquivada em qualquer sistema
ou banco de dados sem permissão escrita dos autores.
Editor: Carlos Sá

Projeto gráfico: SF Editorial

Ilustrações de Miolo: Eduardo Alves Moura
Capa: FK Estudio.com
Os conceitos emitidos neste livro são de inteira responsabilidade dos Autores.
Apesar de toda a atenção, erros de digitação e/ou de impressão não são descartados. Em caso de
alguma dúvida, entre em contato conosco pelo e-mail contato@academiati.com.br para que possamos
ajudá-lo.
Os Autores, Alexandre Vieira de Oliveira e Jefferson Lisboa Melo, excluem-se de quaisquer
responsabilidades por eventuais perdas ou danos a pessoas ou bens por uso deste livro.
 Sumário
Alexandre Vieira de Oliveira
Jefferson Lisboa Melo
01 - Introdução às Certificações Cisco
02 - Conceitos de Redes de Computadores
03 - Arquitetura TCP/IP
04 - Fundamentos de Redes e Ethernet
05 - Redes Locais Ethernet (Ethernet LAN)
06 - Conceito e Operação de LANs Virtuais (VLAN)
07 - Endereçamento IPv4
08 - Endereçamento IPv6
09 - Gerenciamento de Comandos Usando o IOS Cisco
10 - Conceitos e Implementação de Redes WAN
11 - Roteamento IP
12 - Protocolos de Roteamento Dinâmico OSPF e BGP
13 - Tópicos Avançados em Switching
14 - Listas de Controle de Acesso IP – ACL
15 - Serviços IP
16 - Serviços de Alta Disponibilidade
17 - Segurança da Infraestrutura de Rede
18 - Qualidade de Serviço – Quality of Service (QoS)
19 - Automação e Programação para Redes
20 - Redes Wireless LAN
Nossas Redes Sociais
Bibliografia
Apêndice A
Apêndice B
 Alexandre Vieira de Oliveira

Agradecimentos
Agradeço a Deus, minha esposa Erika, nossos pais, irmãos, sobrinhos,
toda nossa família. O apoio e força deles são essenciais para que eu possa
seguir escrevendo e trabalhando.
Ao amigo de longa data neste e em outros projetos: Jefferson Melo, mais
uma vez obrigado pela parceria de sempre e estimada contribuição para
composição deste trabalho.
Também aos alunos, amigos e leitores que nos acompanham nessa e em
outras publicações, nosso editor Carlos Sá que sempre têm acolhido nossos
projetos com paciência.

Dedicatória
Dedico esta obra à minha esposa Erika que buscou incentivar a
completude deste livro e tem estado ao meu lado garantindo que eu
mantenha o foco, persistência e perseverança para trazer o meu melhor em
cada linha que compõe esta obra.
 Jefferson Lisboa Melo

Agradecimentos
Agradeço a Deus, minha esposa Christiane e aos meus amigos
acadêmicos e profissionais que colaboraram para a construção do meu
conhecimento. O apoio e força deles são essenciais para que eu possa seguir
escrevendo e trabalhando.
Ao Alexandre Oliveira que participa do projeto CCNA e de outros livros
a mais de 10 anos em uma parceria de sucesso. Ao Carlos Sá que é nosso
parceiro na edição dos livros desde o início.

Dedicatória
Dedico esta obra à minha esposa Christiane pelo apoio, paciência,
companheirismo e por compartilhar os momentos bons e difíceis.
 01 - Introdução às Certificações Cisco

Introdução – Edição Comemorativa de 10 anos

Há 10 anos iniciamos uma jornada épica. Não esperávamos que, um dia, iríamos escrever um livro, nem que ele teria a longevidade que teve. Nosso
maior motivador era: criar um conteúdo diferenciado, atualizado e com uma linguagem leve, que permitisse o leitor passear pelo mundo Cisco de
certificações, mais especificamente o CCNA.
Nosso amigo Yuri Diógenes acatou a ideia e foi um grande contribuidor, fornecendo a base do antigo livro CCNA que ele escrevera anos antes e,
então, nasceu o livro preparatório para o exame 640-802. Levava o mesmo título que o atual e foi evoluindo na medida em que a Cisco modificava os
códigos e ampliava o exame. Foram três edições antes desta, todas com muito sucesso.
Nosso propósito, desde o primeiro livro, bem como todos os outros que escrevemos, como os preparatórios para certificações ITIL 2017, Prince2
Foundation e, mais recentemente, o Gerenciamento Ágil de Projetos, foi de trazer conteúdos que fizessem sentido para as pessoas se tornarem
protagonistas de suas carreiras.
Uma rápida pesquisa nos principais portais de carreiras vai te mostrar uma série de certificações técnicas importantes e que podem impulsionar a
carreira do profissional de TI. A Cisco é uma delas e o CCNA é uma das mais relevantes para o que inicia no mundo de redes ou quer consolidar seu
conhecimento.
Entretanto, se certificar começa com o primeiro passo: decidir tomar as rédeas de sua carreira. Sei que você pode pensar neste momento “mas como
assim, eu não sou o dono da minha vida ou da minha carreira?” Se você começou a ler este livro, se interessou pelo tema ou pretende aprimorar os
conhecimentos e, quem sabe, se certificar, sim, você é o dono.
Porém, muitos não pensam assim e deixam que as organizações, ou chefes, ou o mercado comande o que a pessoa deve ou não fazer. Ficar passivo
esperando algo acontecer, ou que lhe entreguem algum conteúdo que lhe faça sentido (ou não) para que você comece a estudar, pode tardar tanto que a
pessoa pode passar uma vida inteira sem ter estudado e ter ficado na mesmice de sua profissão.
O primeiro passo é esse, caro leitor, e você o deu a partir do momento que escolheu ESTUDAR. Nós vamos levá-lo à sua jornada épica pessoal, que é
compreender esse mundo de redes Cisco ou aperfeiçoá-lo, caso você o conheça e queria aprender mais, ou consolidar aquilo que você sabe através de
uma certificação.
Não será fácil. Apresentamos um material de mais de 400 páginas, 20 capítulos, centenas de imagens e exemplos de textos, comandos e siglas de
tecnologias para assimilar. Vai exigir disciplina, vai exigir dedicação e horas vagas ocupadas com estudos, práticas, exercícios e busca por informações
complementares que podem estar além deste livro.
A certificação para o Cisco CCIE, por exemplo, é a mais alta patente em redes, mas em nosso entendimento, não é a mais difícil. Muitos se espantam
quando dizemos isso, já que o exame prático dela exige oito horas em frente a uma rede complexa para provisionamento do zero e diagnóstico.
Para nós o CCNA é a mais difícil, por alguns motivos: geralmente é a primeira certificação que as pessoas fazem em redes. Desse modo, a
inexperiência com um exame desse tipo, feito em um centro de treinamento especializado, a preparação, o formato da prova, tudo é novo. O CCNA
exige dezenas de tecnologias diferentes, enquanto o CCIE é específico em uma área. Para alcançar o CCIE, muitos passaram por diversas provas e estão
cientes como é o ambiente de exames, diferente do CCNA que não teve pré-requisito.
Mas se é assim, por que não vamos direto para o Cisco CCIE? Embora isso seja possível, do ponto de vista de critérios Cisco para certificação, não é
um caminho recomendado. Ninguém projeta um prédio sem um Engenheiro, que passou por anos em uma faculdade se preparando. Astronautas não
entram em um foguete espacial para missões no espaço sem que tenham tido anos de preparo e estudo. O CCIE é a consolidação de uma carreira em
Redes, mas o CCNA é o começo de tudo, é onde você vai escolher em que se aprofundar, o que você pretende seguir dentro do mundo Cisco a partir do
que ele apresenta, justamente por ser multidisciplinar. Se o CCIE é seu doutorado, o CCNA será sua graduação. E com uma ótima base, você poderá
trilhar uma carreira brilhante em Tecnologia da Informação.
Como dissemos, não vai ser fácil. O que diferencia os bem-sucedidos dos demais é a determinação, disciplina, foco e resiliência em seguir estudando.
Encorajamos você, leitor, a virar protagonista em sua vida, em sua carreira e buscar sempre ser diferenciado. Não pare no primeiro tropeço, não
desanime se algum tópico lhe parecer difícil, se algum conceito não fizer sentido. Não pare se alguém lhe disser “para que se certificar, bobagem isso!”
ou “não gaste dinheiro com isso, o retorno não vem”, ou pior “está cheio de profissional certificado ganhando pouco”. Além de serem inverdades, ideias
invejosas ou de fracassados, seu pensamento deve ser: se certificar para ser um profissional melhor.
Ainda assim pode passar na sua cabeça: “meu empregador/chefe/cliente não reconhece esse meu esforço”. Não importa, o importante é você estudar
por VOCÊ, para você ser o melhor. Toda consequência virá com o tempo. Comece a incomodar as pessoas da seguinte forma: entregue de tempos em
tempos uma cópia de um certificado que você alcançou. Vá estudando, se certificando e “incomodando” as pessoas (no bom sentido) com vários
certificados. Inevitavelmente o resultado vem.
Para isso, portanto, é preciso repetir uma coisa: comece com o primeiro passo. Estamos certos de que você vai conseguir e estamos à disposição para
ajudá-lo através de nossas redes sociais. Será um prazer ouvi-lo e saber os logros que essa leitura trouxe em sua vida.
Há 10 anos começamos a nossa trilha como escritores, desenvolvendo o primeiro CCNA. Agora é sua vez, mas de escrever uma nova história na
carreira em TI. Boa jornada!

Por que ser um Profissional Certificado?

Diversos profissionais se questionam sobre qual a melhor estratégia de carreira a seguir, ou seja, se optam por uma pós-graduação ou por uma
certificação técnica. Na verdade, o ideal é cada um buscar aquilo com que tem maior afinidade e, a partir daí, ver qual a melhor opção, com o retorno no
tempo esperado, diante da perspectiva profissional desejada.
Por outro lado, para entendermos o que é ser certificado em alguma tecnologia, entendamos primeiro um conceito básico: o que é certificação.
Conforme a definição do dicionário Houaiss, é a “afirmação de certeza ou verdade de; atestado; prova”. Em linhas gerais, é um documento que
comprova ou atesta que o profissional conhece a tecnologia estudada. Esse credenciamento é feito pelo fabricante ou pelo provedor da certificação e,
sendo este reconhecido no mercado, faz com que o título tenha um peso considerável.
Um bom motivo para se buscar uma certificação é que, com ela, o profissional tenha sustentação para inspirar a confiança do gerente contratante, sua
equipe ou dele próprio. Outra consideração importante é a velocidade da evolução tecnológica, a qual demanda uma rápida atualização que pode ser
obtida através das certificações. Seria bastante complicado se tivéssemos sempre que voltar à faculdade para obter a atualização sobre as novas técnicas
exigidas pelo mercado. O tempo e o custo seriam maiores e é bem possível que, ao término do curso, a tecnologia tenha se alterado de maneira
substancial.
Em momento algum se retiram os méritos do ensino fundamental e acadêmico de um profissional; pelo contrário, a formação superior foi e sempre
será o maior alicerce para uma formação técnica de alto nível. Mas, diferentemente de outras áreas, a tecnologia da informação sofre atualizações em
uma maior velocidade e as tendências de hoje podem ser superadas por outras tecnologias mais promissoras. Para o empresário, o profissional
certificado é muito mais que um candidato com mais um diploma de uma empresa; para ele, que é o maior interessado na contratação de mão de obra
qualificada, o profissional certificado é uma garantia mínima de que aquele candidato conhece as tecnologias do fabricante que se está adotando como
plataforma principal da sua empresa.
Alguns podem dizer também que o profissional certificado vale mais que um graduado. Percebem-se de fato exemplos nesse sentido, onde o
contratante prefere e paga mais por um “certificado” do que por um “graduado”. No entanto, esses exemplos são casos muito pontuais, até porque não
estão alinhados com as tendências do mercado, que pede profissionais versáteis, que tenham a capacidade de atuar em diversas áreas e que tenham um
conjunto mínimo de requisitos, como uma boa graduação e conhecimentos de outros idiomas. A graduação e demais níveis acadêmicos que uma
universidade oferece permitem que o profissional tenha um conjunto de ferramentas e técnicas fundamentais, criando um alicerce firme para o raciocínio
lógico e analítico.
O certificado, além de um filtro, é um elemento que possibilita a diferenciação do profissional. Se pensarmos em quando um estudante termina a
faculdade, perceberemos que ele se lança ao mercado com a mesma formação de outros tantos que, como ele, concluíram o mesmo curso. As empresas
optarão pelos profissionais diferenciados, que se sobressaiam na massa de formandos do mesmo nível. Acerca dessa tendência, muitos já buscam a
certificação com esse propósito de avanço na carreira e pesquisas salariais têm apontado isso.
Pesquisas do Escritório de Estatísticas do Trabalho (BLS) nos Estados Unidos indicam que as carreiras em TI estão crescendo mais que de outras áreas
e que a média salarial por lá, desse setor, é maior que as demais. A Global Knowledge publicou em 2020 um relatório indicando que 10% dos
profissionais em TI tiveram aumento salarial devido às certificações técnicas. No mesmo relatório ainda constam que 12% atribuem o aumento ao
desenvolvimento de novas habilidades de valor agregado e 37% ao desempenho na atividade desempenhada, algo que pode ser alcançado também
através do aprimoramento através das certificações.
Além de todos estes aspectos acerca do tema certificação, há ainda um aspecto muito simples: estudar para se certificar traz conhecimentos sobre uma
tecnologia e, como dizia o filósofo inglês Francis Bacon, “conhecimento é poder”, quanto mais poder melhor, mesmo que este seja cultural. Então, por
que não se certificar? Porque você jamais sairá perdendo se tornando um profissional certificado. No mínimo ganhará um reconhecimento pelas horas de
estudo e trabalho por ter conseguido alcançar este objetivo. E é nítido que o profissional que se certifica está comprometido com o desenvolvimento e
aprimoramento contínuo.

Por que Cisco?

É muito comum escutarmos os questionamentos das pessoas sobre as certificações da Cisco. Muitos perguntam: por que deveria obter uma certificação
da Cisco Systems, se existem outros fabricantes no mercado? De fato, podemos afirmar com toda certeza que as certificações Cisco estão entre as mais
valorizadas do mercado de TI. Mas por quê?
Simplesmente porque a Internet gira em torno da Cisco, ou seja, mais da metade do tráfego da Internet passa por equipamentos com sua marca. O
crescimento acelerado da Internet e a dependência da nossa atual sociedade pela tecnologia fazem com que a Cisco Systems se consolide como líder
global do mercado de Internetworking e conectividade, com mais de 50% da fatia de mercado.
Dessa forma, o conhecimento da tecnologia dos equipamentos Cisco cria muitas oportunidades de trabalho. Existem milhares de vagas e poucas
pessoas com conhecimentos e certificadas na área. Existem outros fabricantes no mercado, porém os produtos da Cisco são reconhecidos entre os
profissionais da área pela qualidade e inovação.
A certificação CCNA (Cisco Certified Network Associate) é a porta de entrada para a carreira em redes, sendo a segunda certificação mais realizada
pelos profissionais no mundo todo, apenas ficando atrás da certificação ITIL, cujo livro preparatório escrito por nós também está disponível no mercado.
Os conceitos abordados e cobrados no exame vão além do conhecimento sobre o sistema IOS e hardware Cisco, dando uma visão geral e bastante
completa sobre os conceitos de redes, roteamento e outras habilidades que nem sempre são abordadas em outras certificações.

CCNA – Implementing and Administering Cisco Solutions (200-301) e o que muda nesta edição
do livro
Como autores, nosso grande desafio é criar um material que permita o profissional atingir o objetivo da certificação, mas também ter um livro de
consulta que o auxilie no dia a dia, quando estiver atuando efetivamente com equipamentos Cisco. Desde a primeira edição, com o exame CCNA 640-
802, buscamos ampliar o conteúdo exigido pela Cisco na prova de certificação com conceitos e práticas que agregam conhecimento até mesmo para
aqueles que não prestarão o exame, embora fosse recomendado fazê-lo.
As tecnologias de redes de computadores evoluíram muito; conceitos como VoIP, Automação, Cloud, IPv6 e Wi-Fi eram completamente
desconhecidos pouco tempo atrás. Dessa forma, a Cisco tem procurado continuamente atualizar o portfólio de certificações e isso também tem ocorrido
com a carreira CCNA, que agora se chama Implementando e Administrando Soluções Cisco.
Alguns protocolos, que outrora eram abordados nos antigos exames, foram descontinuados por não serem mais usados nos sistemas atuais. O exame
anterior 200-125 focava nos tópicos relativos a Routing and Switching e seus protocolos, dava uma visão geral e uma aplicabilidade imediata dos
conceitos utilizados, mas o recém-lançado 200-301 ajusta o conteúdo sobre infraestrutura de roteadores e switches para deixá-lo ainda mais aderente à
Conectividade com foco em Serviços que correm sobre a rede, sua operação, gerenciamento, segurança e a automação.
O candidato à certificação deve conhecer as seguintes áreas, conforme descreve a própria Cisco em seu site no syllabus da prova, que é o conjunto de
temas abordados no exame:
1. Fundamentos de Rede.
2. Acesso à Rede.
3. Conectividade IP.
4. Serviços IP.
5. Fundamentos de Segurança.
6. Automação e Programação.
Essas áreas são cobradas no exame e muitas vezes combinadas na mesma questão. Por isso, o candidato deve estar bastante atento e deve compreender
tais assuntos de uma maneira estruturada e organizada, de modo que possa ser aplicado na prática.
Esta nova edição do livro, agora voltada ao novo exame 200-301, traz um conteúdo aderente a essa atualização do syllabus e suas áreas cobertas. A
estrutura de capítulos, no entanto, segue uma ordem lógica para o aprendizado em redes e conectividade, iniciando pelos fundamentos de redes e vai
ampliando até os tópicos mais avançados. É uma sequência que montamos com base nos feedbacks dos leitores, de nossa experiência com ensino,
atuação no mercado de redes e telecomunicações e pesquisas sobre o tema.
Toda busca na Internet sobre essa versão do CCNA leva a artigos ou sites que trazem informações sobre a prova e materiais de preparação e algumas
formas de aprendizado podem ser utilizadas, como um treinamento a distância, muito comum hoje em dia, treinamentos em empresas sérias e
especializadas e materiais para autoestudo de referência no mercado, como este livro. O importante é o candidato buscar as formas que o auxiliem na
compreensão do que será exigido no exame.
As versões anteriores do exame permitiam segmentar o estudo em certificações introdutórias que, somadas, levavam igualmente ao título CCNA. Isso
mudou para a atual versão 200-301, com a Cisco reforçando o conceito “um curso, um exame”, simplificando a carreira como veremos mais adiante.
Portanto, este livro se mantém como um guia preparatório imprescindível para alcançar esse objetivo, além de ser o material de consulta permanente dos
profissionais de redes.

Como é a Prova?
O assunto central do nosso livro é a prova da certificação Cisco CCNA exame 200-301. Esta prova trouxe uma série de mudanças importantes em
relação às anteriores. Ela agora tem uma duração de até 120 minutos (2 horas) para responder de 100 a 120 questões, um considerável aumento em
relação às 55 a 60 questões de antigamente. O conjunto de questões tem múltiplos formatos:

Múltipla escolha com apenas uma correta.

Múltipla escolha com mais de uma correta.

Questões Drag and Drop (arraste e solte).

Questões Fill-in-the-blanks (preencher lacunas).

Testlet com cenários para múltiplas questões sobre o mesmo.

Cenários que perguntam saídas (outputs) de comandos.

Simulações de Configuração.

As questões geralmente são bem objetivas, com cenários propostos. Normalmente não são longos, mas buscam testar o conhecimento do candidato no
conjunto de temas essenciais. Mesmo com duas horas é importante administrar o tempo, pois cada questão não deve ser respondida em mais de um
minuto, em média. Pode parecer assustador, mas se você se deparar com uma questão complexa, que demande tempo, esteja certo de que aparecerão
também questões bem objetivas que não levarão mais do que trinta segundos para serem respondidas.
As questões vêm em forma de estudos de caso, onde é apresentado um cenário e, a partir de um conjunto de dados, o candidato deve eleger a melhor
opção que atende o que é requisitado. Não espere por perguntas do tipo “o que significa a sigla WAN?”. Elas até podem existir, mas o que realmente se
cobra é a capacidade de o candidato saber o que fazer quando um problema acontece em uma rede e como resolvê-lo, apresentando as soluções mais
apropriadas.
A recomendação é que os assuntos estejam bem estudados para que se guarde tempo para as questões mais complexas e simulações presentes no
exame. Outra recomendação é que não se gaste mais do que dez minutos para essas simulações, por isso administrar o tempo e estar bastante ‘afiado’
nos estudos é essencial e permite ganhar tempo em questões simples.
Uma das características desta prova, que causa certo calafrio no candidato, é o fato de não ser permitido voltar à questão anterior, ou seja, se você
respondeu e clicou no botão Next (Próximo), não haverá a possibilidade de revisá-la, como acontece em outros exames na área de tecnologia. Essa
característica pode mudar e permitir o retorno às questões anteriores, mas é melhor considerar que não será possível e responder com exatidão. Por isso é
necessária uma atenção redobrada neste aspecto e, em último caso, “chutar” uma opção qualquer antes de avançar, caso você não saiba a resposta, e
jamais deixar alguma em branco e perder preciosos pontos.
Existem também questões em que mais de uma alternativa está correta. Na maioria das vezes ele termina o enunciado da pergunta dizendo: “Escolha
duas”. Com isso melhora a chance de acerto, pois você poderá trabalhar na eliminação das erradas, caso esteja em dúvida.

Figura 1.1 – Exemplo de uma questão em que é necessário digitar o comando.

A Cisco, preocupada em formar profissionais cada vez mais qualificados, adota questões práticas no exame, com simulações de configuração
que possibilitam a entrada de comandos e a execução de tarefas apresentadas em um cenário. Estas questões envolvem situações em que você
deverá clicar em um determinado roteador para acessar sua console, através do Putty, por exemplo. Ao chegar nele, você deverá digitar o
comando de acordo com a tarefa que foi requisitada, como na Figura 1.1.
No cenário da Figura 1.2 temos uma rede com os devidos números de interfaces. A tarefa seria configurar a interface Ethernet do roteador
LAB_A. Quando você clicar no Host D, aparecerá a interface do terminal ou console, possibilitando a entrada dos comandos necessários para
completar o que é solicitado.
Figura 1.2 – Exemplo de um cenário para configuração de uma interface Ethernet de um roteador, com acesso feito através do host
D.
Os Testlets, como definidos anteriormente, são questões que envolvem cenários e questões sobre eles. Normalmente possuem de três a cinco
questões (podendo variar), todas envolvidas com o mesmo contexto, sendo essas do tipo múltipla escolha com uma correta ou com múltiplas
corretas, como na Figura 1.3:

Figura 1.3 – Exemplo de Testlet com cenário para 4 questões.

Fonte: https://learningnetwork.cisco.com/s/certification-exam-tutorials.

Verifique no site da Cisco uma demonstração dos tipos de questões adotadas no exame. Esse tutorial auxilia o candidato a se
familiarizar com a plataforma do exame, inclusive dando a possibilidade de experimentar e clicar nas opções apresentadas:
https://learningnetwork.cisco.com/s/certification-exam-tutorials

As Carreiras de Certificações da Cisco

A Cisco revisou todo o conjunto de certificações em 2020 e trouxe mudanças radicais em como elas estão interligadas. A segmentação ainda se
dá pelo nível de prova que se faz, como apresentado na Figura 1.4:
Figura 1.4 – Níveis de Certificação Cisco.

São quatro níveis principais quando se trata da carreira de redes (network)

e projetos (design). Adicionalmente, existe a carreira de especialista
(specialist) que capacita o profissional em tecnologias ou sistemas
específicos, a qual será detalhada adiante, mas que não está dentro da
pirâmide. Cada nível vai aprofundando em determinadas tecnologias, mas
não são mais requisitos para o nível acima, como antigamente. As
certificações CCIE e CCDE são os níveis mais altos em redes e projetos
respectivamente e a antiga CCAr (Architecture) foi descontinuada.
A tabela abaixo resume todas as carreiras da Cisco disponíveis até a data
de fechamento dessa edição. Eles frequentemente revisam essas carreiras e,
de acordo com a demanda do mercado ou tendências tecnológicas, realizam
mudanças incluindo ou retirando algumas.

Nível Entry (Inicial)

É o nível mais básico, de entrada (entry), das certificações da Cisco e não
representa um pré-requisito para o Nível Associate. Quem opta por obter esse
nível de certificação tem o objetivo de se iniciar nas tecnologias de
conectividade e redes, cobrindo os fundamentos destas. Dessa forma,
geralmente aconselhamos os alunos e profissionais a considerar diretamente
o nível superior se já tiverem algum conhecimento básico sobre os principais
conceitos. É composto pela certificação CCT:
Cisco Certified Technicians (CCT)
Os profissionais que possuem esse nível de certificação são preparados
para interagir com os Centros de Assistência Técnica da Cisco (TACs), sendo
capazes de identificar interfaces e dispositivos de hardware Cisco. O escopo
dessa certificação limita-se aos conhecimentos técnicos mais básicos de
operação de redes, não habilitando o profissional em conhecimentos
específicos sobre protocolos de roteamento e implementação de redes. De
forma geral, possui um foco mais voltado para hardware de redes.
As certificações CCT estão disponíveis nas seguintes carreiras:

CCT Collaboration: 100-890 Supporting Cisco Collaboration System

Devices (CLTECH).

CCT Data Center: 010-151 Supporting Cisco Data Center System

Devices (DCTECH).

CCT Routing & Switching: 100-490 Supporting Cisco Routing &

Switching Network Devices (RSTECH).

Renovação: Esse nível de certificação tem validade de três anos e pode

ser renovado refazendo a mesma prova. No caso do CCT renova-se
fazendo a mesma ou fazendo a prova de um nível superior.

Nível Associate (Associado)

Como mencionamos, a Cisco revolucionou o conjunto de certificações
disponíveis e como as carreiras se desenham. As divisões anteriores de
CCNA com vários “sabores” (wireless, cloud, industrial, etc.) não vingaram
e eles voltaram ao modelo original com apenas uma prova, porém mais
longa, com mais questões e um grupo de tecnologias mais abrangentes para
ser a base de qualquer outra certificação do fabricante, no entanto sem ser
obrigatória para níveis superiores. Também agregaram duas outras
certificações Associate, mas que não são relacionadas ao CCNA, pois têm
foco distinto a ser visto adiante.
 Todas as certificações passaram a ter validade de três anos e podem
ser renovadas através da aprovação em qualquer prova de mesmo
nível ou de nível superior, seja da carreira Associate, Professional ou
Expert, ou ainda realizando créditos educacionais autorizados, que
são cursos online ou presenciais Cisco.
Cisco Certified Network Associate (CCNA)
Esta é a prova de que este livro trata. Podemos considerar o CCNA como a
base para todas as certificações da Cisco, embora não seja mais pré-requisito
para as carreiras superiores. Essa certificação é considerada uma das mais
difíceis no segmento de redes, devido à grande quantidade de assuntos e
informações que precisam ser estudadas. Assim, o objetivo deste livro é
detalhar os pormenores sobre essa certificação e auxiliá-lo no conteúdo
completo para obter sucesso no exame oficial.

200-301: Implementing and Administering Cisco Solutions (CCNA).

Cisco Certified DevNet Associate
Essa certificação engloba conhecimentos em desenvolvimento e
programação de automação para redes baseadas em equipamentos Cisco. Ela
aborda as APIs, desenvolvimento de plataformas Cisco, desenvolvimento de
aplicações e segurança e automação da infraestrutura. É uma tendência de
mercado a automação e a SDN (software-defined network) que são redes
definidas por software para implantação, configuração e monitoramento.
Assim, a DevNet Associate vem trazer opção no mercado de certificações
para habilitar profissionais que possam desenvolver sobre plataformas Cisco.

200-901: Developing Applications and Automating Workflows using

Cisco Platforms (DEVASC).
Cisco Certified CyberOps Associate
Com ênfase em segurança da informação, outro tema em contínua
expansão e demanda no mercado de redes, essa certificação visa dar ao
candidato os conceitos de segurança de redes, monitoramento da segurança,
análise de vulnerabilidades e intrusão, políticas e procedimentos de
segurança. Aborda também temas de firewalls, antivírus e detecções de
ataques, bem como avaliação de risco.

200-201: Understanding Cisco Cybersecurity Operations Fundamentals

(CBROPS).

Nível Professional
Após se qualificar com o nível Associate, o profissional poderá dar
continuidade aos estudos e subir um degrau na pirâmide. As carreiras de
nível Professional são bastante diferentes das carreiras do Associate,
primeiro porque o profissional precisa fazer duas provas para se certificar.
Segundo porque as provas são mais direcionadas ao conteúdo. Nesse nível,
há distintas divisões que permitem focar em assuntos diferentes e levar a
níveis Expert relacionados, se desejável. Não há pré-requisitos para alcançar
nenhuma certificação. O candidato pode ir direto ao nível Expert, ou
Professional sem passar pelo Associate. No entanto, é coerente seguir uma
sequência pois o conhecimento se acumula e vai apoiando-o em atingir níveis
mais altos ao longo dos estudos. Salvo condição em que o profissional seja
muito experimentado em redes e deseje ir logo para o topo, o que é mais
difícil de ocorrer.

A certificação tem validade de 03 (três) anos e pode ser renovada

através da aprovação em qualquer prova de Nível Professional, um
exame teórico ou prático do Nível Expert ou créditos de educação.
Vale conferir as políticas para cada nível em:
https://www.cisco.com/c/en/us/training-events/training-
certifications/
recertification-policy.html#~requirements

Cisco Certified Network Professional (CCNP) Enterprise

Essa é a certificação de nível Professional que permite o candidato atuar na
resolução de problemas para ambientes LAN e WAN, e também instalação,
configuração, técnicas de incremento da largura de banda, melhoria de
desempenho, melhoria de segurança, entre outras funções de redes
corporativas.
Para o nível CCNP deve-se ter aprovação em um exame Core obrigatório e
outro elegível, a escolher, que permitirá o enfoque em determinada
tecnologia. O exame Core é:

350-401: Implementing Cisco Enterprise Network Core Technologies

(ENCOR).
Já os elegíveis são (deve-se escolher um):

300-410: Implementing Cisco Enterprise Advanced Routing and

Services (ENARSI).

300-415: Implementing Cisco SD-WAN Solutions (SDWAN300).

300-420: Designing Cisco Enterprise Networks (ENSLD).

300-425: Designing Cisco Enterprise Wireless Networks (ENWLSD).

300-430: Implementing Cisco Enterprise Wireless Networks

(ENWLSI).

300-435: Implementing Automation for Cisco Enterprise Solutions

(ENAUI).
O interessante desse novo arcabouço de certificações Cisco é que os
caminhos foram bastante encurtados, como já mencionamos. A evidência
dessa mudança é que o exame 350-401, além de ser obrigatório para o CCNP
Enterprise, já habilita o candidato para a certificação CCIE Enterprise
Infrastructure e CCIE Enterprise Wireless. Isso mesmo, esse exame agora é o
CCIE teórico, pré-requisito ao CCIE Lab, que é a prova prática final. Vamos
detalhar mais adiante.
CCNP Collaboration
Profissionais de rede que precisam avançar nos conhecimentos e
habilidades de colaboração e comunicação unificada, esse é o nível adequado
para se aprofundar no desenho, implementação e manutenção desses
serviços. O CCNP Collaboration requer a prova Core e uma Elegível:

350-801: CLCOR Implementing and Operating Cisco Collaboration

Core Technologies (CLCOR).
Elegíveis (um destes):

300-810: Implementing Cisco Collaboration Applications (CLICA).

300-815: Implementing Cisco Advanced Call Control and Mobility

Services (CLACCM).

300-820: Implementing Cisco Collaboration Cloud and Edge Solutions

(CLCEI).

300-825: Implementing Cisco Collaboration Conferencing (CLCNF).

300-835: Implementing Automation for Cisco Collaboration Solutions

(CLAUI).
CCNP Datacenter
O CCNP Datacenter envolve os conceitos de designer, implementação,
configuração, troubleshooting e gerenciamento para datacenters com
equipamentos Cisco. Essa certificação habilita os profissionais da área a
trabalharem com equipamentos de porte que são utilizados em datacenters,
além da integração com as redes SAN (Storage Area Network). É preciso
fazer os seguintes exames:

350-601 DCCOR: Implementing and Operating Cisco Data Center

Core Technologies (DCCOR).
Elegíveis (um destes):

300-610: Designing Cisco Data Center Infrastructure (DCID).

300-615: Troubleshooting Cisco Data Center Infrastructure (DCIT).

 300-620: Implementing Cisco Application Centric Infrastructure
(DCACI).

300-625: Configuring Cisco MDS 9000 Series Switches (DCMDS).

300-635: Implementing Automation for Cisco Data Center Solutions

(DCAUI).
CCNP Security
Devido ao grande investimento feito anualmente pelas empresas em
Segurança de TI, a Cisco possui a carreira Professional voltada à Segurança
(Security). Esta carreira tem como finalidade homologar os conhecimentos
do candidato na área de segurança da informação com foco na infraestrutura
de segurança. Na mesma linha da carreira CCNP, há o exame Core:

350-701: Implementing and Operating Cisco Security Core

Technologies (SCOR).
E os elegíveis (um destes):

300-710: Securing Networks with Cisco Firepower Next Generation

Firewall (SSNGFW) & Securing Networks with Cisco Firepower Next-
Generation IPS (SSFIPS).

300-715: Implementing and Configuring Cisco Identity Services Engine

(SISE).

300-720: Securing Email with Cisco Email Security Appliance (SESA).

300-725: Securing the Web with Cisco Web Security Appliance

(SWSA).

300-730: Implementing Secure Solutions with Virtual Private Networks

(SVPN).

300-735: Implementing Automation for Cisco Security Solutions

(SAUI).
CCNP Service Provider
Pensando na migração que está havendo dos profissionais de TI para a área
de telecomunicações, assim como a grande massa de produtos Cisco voltados
a esse setor, foi criada uma certificação que pudesse suprir esta necessidade.
A certificação CCNP Service Provider fornece subsídios para que o
profissional conceba soluções fim a fim usando produtos Cisco. Nesta
carreira é necessário que o candidato tenha entendimento detalhado sobre
uma gama de tecnologias de telecomunicação, que inclui entre outros temas:
roteamento IP, multicast IP, IPVPNs, MPLS, BGP, entre outros.
Exame Core:

350-501: Implementing and Operating Cisco Service Provider Network

Core Technologies (SPCOR).
Elegíveis (um destes):

300-510: Implementing Cisco Service Provider Advanced Routing

Solutions (SPRI).

300-515: Implementing Cisco Service Provider VPN Services (SPVI).

300-535: Implementing Automation for Cisco Service Provider

Solutions (SPAUI).
Cisco Certified CyberOps Professional
Essa certificação em nível professional é uma das novidades da Cisco para
esse novo grupo de carreiras. Diferentemente do CCNP Security, o CyberOps
Professional tem foco mais em serviços, habilita o profissional numa função
de Analista de Segurança da Informação com olhar mais estratégico das
soluções Cisco voltadas à segurança em nuvem, defesa ativa, resposta a
incidentes e intrusão, análise forense e contenção de ciberataques.
Igualmente, adota o esquema de duas provas, sendo uma Core:

350-201: Performing CyberOps Using Cisco Security Technologies

(CBRCOR).
 e a elegível (por hora apenas uma opção):

300-215: Conducting Forensic Analysis and Incident Response Using

Cisco Technologies for CyberOps (CBRFIR).
Cisco Certified DevNet Professional
Outra certificação novidade é a DevNet Professional. Explicamos a
equivalente em DevNet Associate anteriormente e no nível Professional há
um aprofundamento daqueles conhecimentos com um conjunto de provas
eletivas que mergulham em cada especialização. O profissional é levado a
desenvolver e manter aplicações baseadas nas plataformas Cisco para
melhorar a segurança e, através de APIs, criar soluções de automação. O
interessante desta certificação é que ela ainda reconhece o candidato a cada
eletiva que ele realiza, dando um título de Especialista, embora para a
DevNet Professional apenas a Core e uma Eletiva são exigidas.
Considerando que há eletivas para Internet das Coisas (IoT), conferências
Webex, soluções para Datacenter ou Colaboração, o desenvolvedor ficará
tentado a realizar mais de uma a fim de ampliar o escopo de atuação.

350-901: Developing Applications Using Cisco Core Platforms and

APIs (DEVCOR).
Elegíveis (uma destas):

300-435: Implementing Automation for Cisco Enterprise Solutions

(ENAUI).

300-835: Implementing Automation for Cisco Collaboration Solutions

(CLAUI).

300-635: Implementing Automation for Cisco Data Center Solutions

(DCAUI).

300-535: Implementing Automation for Cisco Service Provider

Solutions (SPAUI).

300-735: Implementing Automation for Cisco Security Solutions

 (SAUI).

300-910: Implementing DevOps Solutions and Practices using Cisco

Platforms (DEVOPS).

300-915: Developing Solutions using Cisco IoT and Edge Platforms

(DEVIOT).

300-920: Developing Applications for Cisco Webex and Webex

Devices (DEVWBX).

Nível Expert
Depois de avançar por um longo caminho técnico, o candidato finalmente
chega ao nível Expert, que é muito conhecido devido ao nível de dificuldade.
De fato, como circula entre os profissionais da área, essa certificação é “a
que separa os meninos dos homens”. É o “doutorado” em Redes, um título
que o coloca entre os mais raros profissionais do mercado, como
detalharemos a seguir.
A prova é dividida em duas fases, uma teórica e outra prática. A segunda
fase é bastante complexa: o profissional faz a implementação prática de uma
rede e ainda deve solucionar problemas dentro do ambiente que ele montou.
A prova tem 8 horas de duração e só pode ser feita nas instalações da Cisco
Systems.

A certificação tem validade de três anos e pode ser renovada ao

passar na prova teórica da carreira Expert, passar em outra prova
prática de laboratório, passar em três provas elegíveis da carreira
professional, ou passar em uma prova Core e uma elegível qualquer,
mas que se for da mesma linha poderá obter outro título CCNP
(recomendável), além de participar do programa oficial de
treinamentos, que concede os créditos educacionais. Qualquer uma
dessas opções renovará o CCIE.
Cisco Certified Internetwork Expert (CCIE)
 A certificação CCIE é uma certificação bem conhecida e muito respeitada.
Ela existe desde 1993 e caracteriza-se por ser muito difícil. Foi a primeira
certificação da Cisco, antes mesmo do CCNA, por incrível que pareça.
Há pouquíssimas localidades em todo o mundo que dispõem dos
laboratórios necessários para o exame prático, de maneira que, além de
difícil, também seja muito concorrido e custoso. Pode-se ficar até um ano
esperando uma vaga para o exame, mas felizmente as novas carreiras Cisco
aumentaram a validade do exame teórico para três anos. Mas isso não alivia a
situação, pois devido ao grau de dificuldade, diz-se que o índice de
aprovação na primeira tentativa é de apenas 10%, embora a Cisco não revele
essa informação.
E como se não bastassem as dificuldades, há alguns anos a Cisco removeu
os laboratórios do Brasil e agora só é possível realizar a prova no exterior, ou
em alguns poucos momentos em que eles trazem um Lab móvel para cá, que
acaba sendo concorrido. Acabou fazendo com que tivéssemos uma redução
no número de CCIEs novos no país, infelizmente.
O norte-americano Scott Morris, muito conhecido no segmento de
certificações e detentor de quatro títulos CCIE, comentou em seu artigo pela
CertCities.com sobre uma pesquisa indicando a vontade dos profissionais de
tecnologia de redes em obter a certificação CCIE. O resultado apontava que a
maioria preferia alcançar o nível CCIE a ser eleito presidente do país. Apesar
de ser uma pesquisa um tanto bizarra, o próprio Morris questionou seus
colegas e, de cinco pessoas, apenas uma desejava o cargo na Casa Branca.
No Brasil, pouco mais de 300 pessoas possuem esse título. Essas
estatísticas já não figuram mais no site da Cisco, mas fontes não-oficiais
indicam alguns dados demográficos da carreira CCIE, como o
www.cciehof.com, que é o Hall da Fama de CCIEs. Uma rápida pesquisa nos
sites de busca pode dar um panorama destes números. De qualquer forma,
ainda que não-oficial, esses dados ilustram o grau de dificuldade dessa
carreira, mas obviamente não a torna inalcançável. Aqui, o leitor tem em
mãos uma fonte importante de estudos que, iniciando com o CCNA, deve
também levá-lo a atingir esse objetivo. Este livro tem também o grande
diferencial de contar com um CCIE como coautor, o que sustenta e
credibiliza ainda mais o conteúdo aqui desenvolvido e vos escreve com a
propriedade de quem chegou lá e sabe o caminho para tal.
A carreira CCIE é formada por seis áreas técnicas de atuação, conforme
mostra a Figura 1.5. Basicamente, cada uma aprofunda o conhecimento do
respectivo nível Professional e o preparo do candidato normalmente não é
baseado em um livro específico. O candidato deve buscar a bibliografia mais
ampla recomendada pela Cisco em seu site, antes de iniciar a preparação.

Figura 1.5 – Áreas técnicas do CCIE.

É válido mencionar também que a certificação CCIE não obriga você a ter um certificado de um nível inferior. Parte da justificativa se dá pelo
fato de a Cisco ter lançado essa carreira como sua primeira certificação técnica, como mencionado anteriormente. Além disso, como a prova
requer duas etapas, prova teórica e prova prática, subentende-se que, ao passar por cada uma delas, o candidato pode demonstrar o conhecimento e
a experiência fortemente exigidos em ambas as fases.
Relembrando, o novo conjunto de certificações Professional possui suas respectivas provas Core. Esse exame já é considerado o exame teórico
obrigatório para o CCNP que somado ao exame eletivo ou área de concentração, certifica com esse título. O CCIE considera o exame Core do
CCNP como o exame teórico exigido, ou seja, quem é aprovado tem a opção de realizar uma outra teórica eletiva da carreira ou realizar o lab
prático do CCIE dentro do prazo de validade da prova, três anos. Isso permite o candidato ter dois caminhos: certificar-se CCNP e aproveitar o
prazo para ir em seguida ao CCIE prático. Vai da estratégia de cada um.
Nossa recomendação ao caro leitor é justamente buscar cada etapa da carreira de certificações desejada e ir se aprofundando passo a passo,
tirando o CCNA, CCNP e depois o CCIE. O conjunto de conhecimentos adquiridos ao longo do tempo certamente contribuirá para alcançar o
objetivo final. Reiteramos: a certificação CCIE não é impossível, o que vale é seguir estudando.
Cisco Certified Design Expert (CCDE)
Essa certificação está no mesmo nível que o CCIE, porém é direcionada apenas para profissionais de design e projetos de redes. Espera-se que
esse profissional conheça profundamente os princípios de infraestrutura de redes e possua uma experiência de no mínimo sete anos na área. Essa
certificação consiste em uma prova teórica e uma prova prática, nos moldes do CCIE. A prova teórica terá mudanças em novembro de 2021,
quando entrará um novo exame:

352-001: CCDE Written (até ١º/nov/2021)

400-007: CCDE Written (de 2/nov/2021 em diante)

Nível Specialist (Especialista)

Além das certificações e carreiras citadas, a Cisco tem um programa de especialização em diversas áreas, com títulos diferentes. Estas provas
têm como finalidade complementar os conhecimentos adquiridos no decorrer de toda a certificação padrão, formando assim um profissional com
um excelente embasamento teórico e especializado em uma determinada área. Para as provas de especialização não há pré-requisitos e toda prova
de nível Professional concede um título de Especialista, como reconhecimento ao esforço nessa aprovação. A estratégia em buscar alguma
especialização desse nível está em agregar um conhecimento complementar ou já obter benefícios de ter uma certificação preliminar enquanto não
conclui determinada carreira. Caso o leitor, ao término deste livro, obtenha o CCNA (estamos convictos que você conseguirá), a especialização
trará conhecimentos adicionais, seja para atender uma necessidade pontual do empregador ou do cliente.
 A certificação tem validade de três anos e pode ser renovada refazendo as provas específicas para o nível Specialist ou obtendo-se
aprovação em qualquer prova teórica do nível Professional.
As áreas que possuem especializações atualmente são as seguintes:

Customer Success, Collaboration, Data Center, Internet of Things (Internet das Coisas), DevNet, CyberOps, Network Programmability,
Security, Service Provider. É recomendado a consulta ao site Cisco.com para verificar quais as carreiras e provas disponíveis para esse
nível, já que varia bastante de acordo com a evolução e as tendências tecnológicas.

Onde Fazer a Prova

Todas as provas da Cisco são oferecidas no mundo inteiro através dos centros autorizados Pearson/Vue. Esses centros são credenciados por
oferecerem a infraestrutura necessária, segurança e confidencialidade dos exames e, muitas vezes, contam com treinamentos especializados,
englobando diversas certificações de diversos fabricantes.
A Pearson/Vue (ou só Vue) possui centros em diversas cidades no Brasil e, tanto em sua página da Internet, quanto em alguns centros, as provas
podem ser agendadas e pagas. O método mais simples é via Internet, através do endereço www.pearsonvue.com. O candidato deve se registrar
para obter uma conta que será vinculada por toda a carreira de certificações Cisco.

Ao se registrar, o candidato tem um número identificador que será registrado, no caso da Cisco, no portfólio de certificações obtidas.
É muito importante manter guardado o cadastro, tanto do usuário quanto da senha, para que sempre se possa vincular o identificador
às certificações obtidas ao longo da carreira profissional.
Após o cadastro, o usuário tem a opção de agendar uma prova, localizar o centro de exames mais próximo e efetuar o pagamento diretamente
pelo site, através de um sistema seguro. O pagamento é feito através de cartões de crédito internacionais. Uma vez agendado e pago, o exame
pode ser livremente reagendado, caso o candidato não tenha estudado em tempo, desde que respeitado o prazo, normalmente até 24 horas antes do
horário marcado anteriormente.
Quando o candidato não aparece no dia e hora marcados, também chamado “no-show”, perde direito ao exame, sendo necessária uma nova
compra, sem direito ao reembolso do exame perdido. A Figura 1.6 mostra a página inicial da Pearson/Vue e a Figura 1.7 apresenta a tela após
optar por Cisco Systems na busca de organizações (testing organizations). Aqui é que o candidato cria suas credenciais para iniciar nas carreiras
Cisco e onde agendará todos os exames que for realizar deste fabricante. A Cisco, em conjunto com a Pearson/Vue, também oferece certificações
via OnVue, sistema de provas que podem ser feitas sem sair de casa, com supervisores (proctors) online que monitoram você durante o exame. É
uma opção para quem está longe de um centro de testes presencial. Vale conferir as condições e pré-requisitos de equipamento e ambiente.

Figura 1.6 – Página inicial Pearson Vue (www.pearsonvue.com), com destaque para Take a Test ou busca por Cisco.
O valor do exame deve ser consultado no momento de selecionar o exame, através da Pearson/Vue. Em 2021 custava US$ 300,00 dólares
americanos.
Figura 1.7 – Tela inicial da organização Cisco Systems para cadastro inicial ou agendamentos.

Como se Preparar para o Exame e Como este Livro

Está Dividido
No Apêndice-A colocamos o Syllabus completo do exame com a
referência de capítulos onde você pode obter o conhecimento de cada tema
cobrado. A Cisco, embora indique esses temas, muitos materiais
preparatórios não colocam os capítulos na sequência exata, até porque há
temas que são abordados em tecnologias introdutórias, outros terão mais
sentido quando surgir assuntos específicos.
Como dissemos, este livro cobre o todo o CCNA e possui uma estrutura
didática organizada por assuntos sequenciados que fazem mais sentido para o
ensino de redes. Adicionalmente, deixamos alguns poucos tópicos extras das
provas passadas que foram descontinuados pela Cisco para o CCNA, mas
que fazem total sentido para o profissional de Redes. Isso será esclarecido
quando um tópico extra surgir.
Podemos dividir o livro em 4 categorias de objetivos para orientar o
leitor: certificação, noções de redes, roteadores e switches. A ideia é
permitir que você se oriente pensando em qual objetivo deseja:

Certificação: obter a certificação CCNA, seja pela primeira vez ou

renovando uma antiga.

Noções de Redes: para o profissional de TI ou de outras áreas que

queiram começar em Redes, ou apenas ter noções a fim de preparação
para algum concurso público ou área que exija noções de redes e suas
tecnologias.
 Roteadores e Roteamento: para o profissional que queira se
aprofundar ou conhecer mais sobre roteamento especificamente, tanto
em IPv4 quanto IPv6, sem switching.

Switches e Switching: para o professional que queira se aprofundar ou

conhecer mais sobre switching especificamente, sem necessidade de
roteamento, focado em equipamentos de Camada 2.
A tabela a seguir relaciona as categorias de objetivos com os capítulos do
livro, de modo que o leitor possa, então, eleger a ordem ou amplitude da
leitura:
NOÇÕE
OBJETIVO CERTIFICAÇÃ S ROTEADORES/ROTEAMENT SWITCHES/SWITCHIN
S O DE O G
REDES
Estudar Todos 1, 2, 3, 1, 2, 3, 4, 7, 8, 9, 10, 11, 12, 14, 1, 2, 3, 4, 5, 6, 9, 13, 17
capítulos # 4, 5, 7, 18
8, 10,
15, 16,
17, 20
Claro que encorajamos todos a lerem o livro por completo, com intuito de
obter esse diferencial na carreira, certificando-se. No entanto, sabemos como
os dias de hoje são turbulentos e, de repente, alguma necessidade pontual
precisa ser atendida em curto prazo. Como o estudo para certificação é o
mais exigente, ou seja, demanda mais densidade no estudo, retenção de
temas e conceitos e na hora da prova não há como consultar livros, vamos
comentar mais sobre formas de se preparar para ela.

Como Estudar para a Certificação?

Cada um tem seu método para estudar um conteúdo. Ler um livro técnico,
ou guia preparatório para uma certificação, é diferente de um Romance,
Autoajuda, Poesias etc. Cada um tem particularidades que exigem atenção do
leitor. No caso de um livro técnico como este, é preciso tomar muitas notas,
praticar em simuladores/emuladores (falaremos ao longo do livro), criar seu
mapa mental de temas, bem como de siglas ou acrônimos relevantes, como
nomes de protocolos (TCP = Transmission Control Protocol, por exemplo).
Aliás, essa é uma preocupação que tivemos ao longo de todo o livro: você
verá as traduções desses acrônimos, mas muitas vezes manteremos sua
versão original em inglês. Até a data de fechamento do livro, o CCNA ainda
não era oferecido em português, logo, é importante manter os nomes
originais a fim de guiar o leitor, caso apareçam no exame, mas as traduções
permitem compreender a ideia deles.
Inglês tampouco deve ser sua barreira para realizar uma prova de
certificação. O CCNA é intuitivo em várias questões, o inglês técnico é
conhecido pela maioria dos profissionais, até porque, sem você se dar conta,
já aprendeu como se fala “janelas” naquele idioma: “Windows”. A própria
profissão em TI exige uma certa base, pois praticamente tudo se escreve em
inglês: comandos, nomes de tecnologias, protocolos, entidades, organizações.
Então não há como fugir. Barreira, portanto, está fora de seu vocabulário,
pois você está empenhado em estudar e crescer profissionalmente.
Assim, é válido organizar seus estudos também com: terminologias em
inglês, expressões comuns das provas, siglas e significados. Faça uma tabela,
seja em um editor de planilhas eletrônicas (Excel, Calc, Google Sheets) que
permita correlacionar o nome, a sigla, o que é e pra que serve. Será um bom
mapa de temas que pode lhe auxiliar.
Faça a leitura deste livro ao menos três vezes, na íntegra. Depois de
terminar a primeira leitura, muita coisa ficou pra trás, afinal, mencionamos o
vasto conteúdo que o livro possui para atender à exigência da certificação.
Portanto, reler é imprescindível para retenção.
Estudar requer disciplina e, junto dela, todo um “aparato” que deve protegê-
la, como um bom ambiente, iluminação, espaço, silêncio e a regra de ouro:
deixar o material sempre pronto para retomar os estudos. Seu cérebro vai
tentar te sabotar, ou seja, vai colocar empecilhos para iniciar ou retomá- los.
Caso você deixe o material no jeito, à vista, você visualmente verá que tem
uma obrigação consigo mesmo.
Haverá, também, sempre “atrativos” sabotadores como: me leve à escola,
venha me buscar, preciso ir ao mercado, está passando um filme legal,
começou uma nova série no streaming, um novo jogo de vídeo-game, e por aí
vai. Embora algumas obrigações familiares sejam importantes, o estudo deve
ser coordenado com todos, do contrário, sempre haverá um motivo para
interrompê-lo. Alinhe as tarefas familiares com todos e deixe-os cientes do
seu plano de estudos. O combinado não sai caro.
Outras distrações no ambiente de estudo: celular, e-mails, redes sociais.
Uma pesquisa da Deloitte e outra publicada no portal Exame indicam que as
pessoas olham e desbloqueiam o celular mais de 70 vezes ao dia. Contenha-
se para evitar isso no momento do estudo, preferencialmente deixando o
aparelho longe, em modo avião ou desligado.
O tempo de estudo certamente vai variar de pessoa para pessoa. Há quem
fique horas a fio estudando, outros não conseguem se concentrar por mais de
uma ou duas horas. O importante é administrar o ritmo, isto é, garantir que
sempre haja um momento para estudar. O recomendável é estudar ao menos
uma hora por dia, todos os dias. Além de promover um hábito, você mantém
bom ritmo e retenção, pois todos os dias estará em contato com o assunto.
Vai render mais que estudar uma vez por semana, num bloco de quatro a oito
horas direto, pois isto gerará um cansaço que prejudicará a compreensão no
final do período. E dias depois a memória “descarta” informações, algo
cientificamente comprovado.
Uma pausa para descansar é ótimo. Mas um estudo da Universidade da
California Irvine afirma que interrupções não programadas são prejudiciais,
pois para retomar o foco, após a quebra de concentração, uma pessoa leva
pouco mais de 23 minutos! Se você alocou uma hora por dia e no meio for
interrompido, poderá ser tarde para voltar a render.
Algumas ferramentas para apoiar seus estudos:

Freemind: software de mapa mental gratuito que permite criar árvores

de conteúdos correlacionados.

Flash cards: há apps gratuitos para smartphones ou PC que permitem

criar flash cards, que são como cartas de baralho virtuais, que um lado
mostra um conceito ou pergunta, e do outro a resposta. Assim você
“sorteia” diariamente algumas e vai resgatando anotações ou trechos do
material a fim de reter mais e se testar. É um recurso que você vai
preenchendo e depois vai usando ao longo do estudo. Parte da prova
tem a ver com decorar alguns conceitos, então vale usar algo do tipo.
Um exemplo é o AnkiApp Flashcards e seus derivados.

Pomodoro (Focus To-Do): outro app para smartphone que gera timers
(contagem regressiva) de tarefas, blocos de tempo, inclusive com
intervalos de descanso. Ajuda a organizar a agenda de modo que você
aloque sempre o mesmo horário para estudo, o que é recomendável.

Caderno, lápis e caneta: mesmo em tempos de alta tecnologia, o bom

 e velho lápis e papel segue sendo essencial. Separe esse material
exclusivamente para seu estudo, deixando-os na mesa de estudos à
mostra.
O celular poderá ficar próximo, com o uso desses apps. Neste caso, é
recomendável deixar em modo avião/offline, para evitar e-mails, ligações ou
mensagens.
Como dissemos, as técnicas de estudo variam, mas vale você adequar e
administrar sua rotina de modo a andar um passo todo dia. Não é à toa que
dizem “devagar se vai ao longe”. Se você se programar ler 10 páginas por
dia, em menos de dois meses terá completado nosso livro.
E a coisa mais importante de tudo: divirta-se! Claro, estudar também
pode e DEVE ser divertido. Afinal, é algo que é para você, conhecimento
que vai enriquecer você (em vários aspectos). Então tem que ser prazeroso,
com objetivo e propósito. Algo que vai mudar sua vida, da sua família e
outros ao seu redor. Curta cada página, ótima leitura e vamos aos estudos.
 02 - Conceitos de Redes de
Computadores

Introdução
É de suma importância para você, leitor, ter o real entendimento sobre as
redes de computadores em um breve histórico. Podemos resumi-lo em
algumas palavras, mas o que se espera é que você termine de ler este
capítulo e tenha, não só uma visão geral sobre redes, mas também um
aprofundamento em algumas áreas específicas para o teste do CCNA 200-
301.
No início as redes tinham a finalidade de conectar computadores para
compartilhar informações, dados e recursos. Sem sombra de dúvidas, este
princípio inicial das redes foi tímido para o que temos hoje. Mas isto é
absolutamente normal, até mesmo porque nem os grandes precursores das
redes de computadores imaginavam que ela chegaria aonde chegou.
O que é muito interessante nesta história toda é que bem antes das redes
se tornarem de fato um componente de interconexão para troca de
informações, os grandes computadores de 1950 eram máquinas que já
pregavam uma ideia de conectividade, porém ainda não se tinha o conceito
de redes, como conhecemos hoje.
Entre 1950 e 1970 várias descobertas e inovações foram feitas neste vasto
campo que é a informática, os mainframes dominavam o mercado
corporativo, mas com o passar do tempo o sistema de compartilhamento do
tempo usado entre eles já não era autossuficiente para as necessidades que o
mercado impunha. Foi assim que a tecnologia SNA (Systems Network
Architecture) surgiu para ligação destes mainframes.
Mas aí vieram as LANs (Local Area Network) que tinham como carro-
chefe os PC (Personal Computer), que eram a revolução da época. Isso era
fantástico, pois se deixava de ter agora um processamento centralizado em
um único elemento e passava-se a utilizar um modelo onde cada nó da rede
era de fato um dispositivo ativo, com seus reais recursos de hardware,
trabalhando em conjunto para garantir o funcionamento adequado de toda a
rede. Neste momento, se faz necessário salientar que a ideia inicial de
compartilhamento de recursos realmente aconteceu neste tipo de rede, até
mesmo porque os recursos estavam distribuídos e aí teria mais sentido a
necessidade de compartilhamento.
Podemos categorizar a rede local (LAN) como uma rede que conecta seus
equipamentos em uma área relativamente próxima (não geograficamente
dispersa), com enlaces de alta velocidade. Quando falamos alta velocidade,
nos referimos às conexões em uma base mínima de 10 Megabits por
segundo (10 Mbps). Claro, atualmente dentro das residências temos
conexões de 100Mbps e além. No 4G/5G do celular, muito mais. Aqui fala-
se apenas de definições básicas, até porque é muito difícil uma
categorização fechada do que é uma LAN, pois a evolução dos
equipamentos de conectividade derrubou muitos limites e superam dia a dia
a velocidade de transmissão conceitual. Porém, podemos considerar como
definição de regra geral.
Depois houve a necessidade de interconectar os computadores
geograficamente dispersos. Surgiu então a WAN (Wide Area Network), que
seria uma rede com finalidade de conectar computadores dispersos em uma
grande área de alcance. Embora essas definições sejam regras gerais, o
importante é entender o conceito que rege cada uma delas. Atualmente, as
LANs podem inclusive ser metropolitanas, ou seja, interligando bairros ou
até cidades, como se cada localidade fosse parte do mesmo contexto físico
(ou rede local). Por outro lado, as WANs eram definidas por enlaces de
baixa velocidade, o que já não se aplica mais, tendo em vista que temos
redes da ordem de Gigabits interligando países ou até mesmo empresas
privadas individuais.
Além da categorização acima, ao longo deste livro será possível perceber
outras fontes de diferenciação, como, por exemplo, os protocolos de
comunicação (nas camadas de enlace, por exemplo).
É importante mencionar também que, dentro desse modelo, temos outras
redes que são caracterizadas pelo seu alcance ou aplicabilidade. Na
verdade, são extensões dos conceitos de LAN, aplicados em cenários
distintos que o mercado reconhece como um padrão:

CAN (Campus Area Network): Refere-se a redes Campus, usadas

para fins acadêmicos, dentro de uma instituição de ensino (uma
grande universidade, por exemplo).

PAN (Personal Area Network): Redes de uso pessoal, que têm um

alcance limitado, seja pela tecnologia ou pela intensidade do sinal
(bluetooth, infravermelho).

SAN (Storage Area Network): Redes que interligam sistemas de

armazenamento de dados em massa, ou Storage.

MAN (Metropolitan Area Network): As redes metropolitanas

basicamente são caracterizadas pela extensão regional, normalmente
dentro de uma cidade, utilizando o padrão Ethernet (mais conhecido
como MetroEthernet), provendo alta capacidade e transparência na
interligação de redes LAN, por ser de camada 2.

Enterprise Network: redes corporativas que, em geral, são criadas

para comunicação de escritórios e funcionários de uma empresa ou
organização tem essa definição.

SOHO (Small Office/Home Office): são redes menores, em geral

domésticas, mas com intuito de trabalho ou negócios.

Alguns autores ainda definem esses tipos de redes com outras aplicações,
como por exemplo SAN, cujo “S” pode referenciar a Server ou até Small
Area Network. No entanto, independentemente de como se defina, é valido
lembrar que todas partiram de um princípio comum (LAN e WAN),
adaptados apenas para aplicações ou protocolos específicos; o importante é
ter essas duas bem entendidas e que o conceito geral é levar dados de um
ponto ou dispositivo a outro.
Modelo OSI
O exame do CCNA, apesar de atualizado para as novas tecnologias, ainda
possui referência ao modelo de camadas, tanto TCP/IP, quanto o OSI. Este
último, apesar de ser relativamente antigo, esclarece bastante como
funciona a estrutura de redes e, por esse motivo, temos mantido a
explicação detalhada para que sirva também ao profissional da área de
Redes como referência, independentemente de aplicar-se ou não à prova, e
que serve de alicerce didático para tudo que virá nos próximos capítulos.
No início, as redes eram ilhas, onde só havia a comunicação dentro de
uma mesma plataforma. Redes proprietárias necessitavam de que toda
infraestrutura pertencesse a um só fabricante, como placas de rede, cabos,
conectores etc. Com isso você não podia ter uma opção de escolha na
compra dos equipamentos necessários para implementação da rede e tinha
que obter o pacote fechado, a solução completa.
No final dos anos 70, a ISO (International Organization for
Standardization) concluiu um trabalho árduo, de vários anos de pesquisa, a
fim de descrever como estas redes poderiam, de forma padronizada,
comunicar-se umas com as outras. Assim, foi publicado um modelo de
referência com intuito de descrever a forma em que estes dados seriam
tramitados. O trabalho ficou a contento e passou a se chamar de
“International Standard #7498”, que em seguida foi redigido pela ITU
(International Telecommunication Union) e batizado como ITU-T X.200.
Mas o nome com o qual ficou conhecido internacionalmente foi: Modelo de
Referência OSI (Open Systems Interconnect).
Figura 2.1 – As sete camadas do modelo OSI.
Ao contrário do que muitos pensam, o modelo
OSI não é um protocolo, nem um conjunto deles.
Na realidade ele é um conjunto de normas para
permitir que fabricantes diferentes possam criar
produtos interoperáveis que “conversam” entre si.
A arquitetura do modelo OSI está dividida em
sete camadas, com suas funções extremamente
bem definidas. Na Figura 2.1 você tem uma
ilustração dessa hierarquia.
As camadas são numeradas de baixo para cima,
partindo da camada 1, Física, até a camada 7,
Aplicação. As camadas do modelo OSI podem ser
mapeadas ainda em três classes de funções,
apresentadas na Figura 2.2.
 Cada camada tem a capacidade de se comunicar
com a mesma camada no computador de destino,
ou seja, não é possível para a camada 2 ler dados
que foram gerados na camada 3. Isto origina uma
comunicação virtual entre as camadas em hosts
diferentes. As camadas precisam apenas ser
capazes de comunicar com as camadas
imediatamente superior e inferior.

Figura 2.2 – As sete camadas, mapeadas em três funções

globais.
Uma analogia interessante, para ajudar a fixar o
conceito, é o processo de comunicação via cartas.
Quando enviamos uma carta a alguém,
simplesmente esperamos que esta chegue a seu
destino. Como usuários, temos apenas que
entregar a carta em uma agência dos Correios
com um conjunto mínimo de informações, como
seu endereço e o do destinatário. A agência por
sua vez pega sua carta e coloca em uma caixa,
destinada à cidade de destino. Esta caixa, junto
com outras, entra em um carro que as leva até a
agência central. Chegando lá, cada caixa é
retirada, separada por bairros e colocada nas
sacolas de cada carteiro, para levar até a casa do
destinatário.
A identificação em cada nível é distinta, ou
seja, você coloca a cidade de destino, a agência de
sua cidade informa o código da agência central. O
carro é o meio físico que transporta as cartas de
uma cidade a outra. Perceba que, para o
motorista, não importa o que há ali dentro, mas
sim a sua responsabilidade de chegar até onde lhe
foi designado. O processo reverso acontece
quando, da central, a correspondência vai até o
destinatário. Nas pontas, efetivamente quem
conhece a mensagem são aqueles que escreveram
e leram o texto. Os carteiros só tratam do correio
no nível de endereço e as agências, no nível de
CEP.
 Para que possamos entender como a
comunicação de dados ocorre entre dois hosts,
devemos entender como funciona cada camada.
Entender as funções de cada camada é de suma
importância para o exame, tendo em vista que
muitas questões irão abordar esse assunto através
de cenários que implicitamente estejam
relacionados ao modelo OSI.

Camada de Aplicação
A camada de Aplicação é de onde os dados em
um host de origem começam a ser formados. Esta
camada é responsável pela comunicação direta
entre o usuário do computador e a rede. Nesta
camada é comum termos tarefas rotineiras da rede
como, por exemplo, aplicações que usam correio
eletrônico (protocolo SMTP) e serviços de Web
Browser (HTTP). São também exemplos:

Acesso remoto a arquivos: Aplicações

locais podem ter acesso a arquivos remotos.

Serviços de transação financeira:

Aplicações que coletam e trocam
 informações com parceiros em rede.

Serviços de diretório: A rede pode oferecer

um diretório de recurso de rede que inclui
nomes lógicos para um nó de rede, entre
outros.
A camada de Aplicação, por ser a janela final
com o usuário, é de suma importância para a
correta funcionalidade do processo como um
todo. Isso porque, na perspectiva do usuário, o
acesso a um compartilhamento na rede, uma
página na Internet etc., é feito através de uma
aplicação.
Dar suporte para um bom funcionamento da
aplicação é, sem sombra de dúvidas, um dos
maiores motivos para que empresários invistam
em infraestrutura. De nada adiantaria termos todo
um aparato de interligação de dispositivos se a
aplicação não está funcionando bem no cenário
proposto.

Camada de Apresentação
A camada de Apresentação é responsável por
apresentar dados para a camada de Aplicação,
através de uma semântica inteligível. Sua função
é a de realizar modificações adequadas nos dados
e estas modificações devem ser realizadas antes
do envio para a camada de sessão. Podemos citar
como exemplo de uma transformação que pode
ocorrer em um determinado dado: a criptografia
ou até mesmo a compressão.
Com isso em mente podemos concluir que o
nível de apresentação precisa ser conhecedor de
padrões de sintaxe do ambiente local e do
ambiente remoto. Na maioria das vezes esta
camada é denominada de “camada tradutora”, isto
porque ela é responsável por traduzir dados de um
formato para outro, como por exemplo:
mainframes usam um esquema de codificação
chamado EBCDIC (Extended Binary Coded
Decimal Interchange Code), enquanto os
computadores pessoais usam ASCII (American
Standard Code for Information Interchange);
quando há uma transferência de dados entre estes
sistemas, a camada de apresentação se
responsabiliza por traduzir esta codificação.
O padrão de sintaxe de dados ASN.1 (Abstract
Syntax Representation, Revision #1) é usado pela
camada de apresentação. Com este tipo de
padronização é possível representar uma grande
variedade de sistemas de arquitetura
computacional.
Esta camada caracteriza-se também por dizer
como os dados devem ser formatados; desta
forma, tarefas de compressão, descompressão,
criptografia e descriptografia são feitas também
por ela.
A camada de Apresentação está relacionada a
algumas operações multimídias, como
apresentação de imagens do tipo:

TIFF (Tagged Image File Format): Padrão

gráfico para imagens de alta resolução do
tipo CMYK (Ciano Magenta Yellow and
Green).

JPEG (Join Photographic Experts

Group): Um padrão de imagens de alta
resolução e tamanho físico de arquivo
reduzido.

PICT: Formato usado pelo Macintosh ou

 Power PC para construção de imagens.
Padrões de arquivos de áudio e vídeo
também são considerados.

MIDI (Musical Instrument Digital

Interface): Padrão usado para músicas
digitalizadas .mid.

MPEG (Moving Picture Experts Groups):

Padrão para vídeos comprimidos.

Camada de Sessão
A camada de Sessão tem um papel fundamental
no mecanismo de comunicação entre dois hosts
em uma rede. Esta camada oferece o suporte
necessário para estruturar os circuitos que são
disponibilizados pelo nível de transporte.
Podemos então dizer que a camada de sessão
oferece serviços de gerenciamento de atividades e
controle de diálogo.
Ela é responsável pelo controle de diálogo entre
os hosts e este diálogo, por sua vez, é uma forma
de comunicação para troca de dados. Com isso, a
camada de Sessão se torna responsável por:
 Estabelecer a conexão: O host de origem
requisita que uma conexão seja aberta; neste
momento há uma troca de regras de
comunicação que, entre outras coisas, inclui
o protocolo a ser usado.

Transferência de dados: Usando o canal

aberto entre os dois hosts, a troca de dados é
iniciada.

Finalização da sessão: Quando todos os

dados já foram transmitidos, é iniciado o
fechamento da conexão.
Neste âmbito de comunicação, a forma com que
elas podem ser feitas varia em três modos
diferentes, como mostra a Figura 2.3:

Simplex: Um host transmite de forma

exclusiva enquanto o outro recebe também
de forma exclusiva.

Half Duplex: Somente um host pode enviar

por vez.
 Full Duplex: Todos os hosts podem
transmitir e receber simultaneamente. Neste
modo é necessário um controle de fluxo de
forma que seja assegurado que nenhum host
vai transmitir mais rápido do que outro pode
receber.

Figura 2.3 – Modos de diálogo.

É importante salientar que a utilização desses métodos deve ser
acordada entre os dispositivos, ou seja, caso uma estação esteja
utilizando Full Duplex, o elemento intermediário de comunicação
(switch, por exemplo) entre a estação de origem e a de destino deverá
também trabalhar no modo Full Duplex. O padrão para a maioria dos
dispositivos é usar um método de autodetecção (Auto), que tenta
equalizar o método em comum acordo, porém é normal termos
problemas de transmissões devido à discordância na hora de negociar
o método de transferência. Por este motivo, a própria Cisco recomenda
que, quando o DTE for um servidor, por exemplo, seja regulado
manualmente o método de transmissão entre ele e o switch para que
não se tenha maiores problemas no desempenho do dispositivo. Esse é
um defeito muito comum nas redes de transmissão e quando um
usuário ou cliente reclama de desempenho ou perdas de pacotes,
recomenda-se observar a negociação da porta como primeira etapa de
investigação.
Podemos resumir estes três métodos através de analogias: a via de
entrada de um Shopping Center, na qual os carros só podem entrar por
ali, em um único sentido ou Simplex. Uma ponte estreita, aonde só se
pode ir ou vir em um sentido por vez ou Half-Duplex. Uma
autoestrada, com vias múltiplas trafegando simultaneamente nos dois
sentidos ou Full-Duplex.
De acordo com a documentação Cisco, os exemplos abaixo se
enquadram na camada de Sessão:

NFS (Network File System): Desenvolvido pela Sun

Microsystems e usado juntamente com o TCP/IP no UNIX,
permite acesso a recursos remotos.

SQL (Structured Query Language): Desenvolvido pela IBM

com intuito de fornecer ao usuário uma forma simplificada de
consultar dados locais ou remotos.

RPC (Remote Procedure Call): Desenvolvido pela Sun

Microsystems, trata-se de uma ferramenta de redirecionamento
de chamadas para procedimentos que originalmente estão em
hosts remotos. Várias plataformas de Sistemas Operacionais
utilizam o RPC como um serviço de rede mandatório para o
bom funcionamento do ambiente, como é o caso do Windows.

X Window: Usado por terminais para comunicação com hosts

Unix remoto. E outros.

Camada de Transporte
A camada de Transporte é responsável por garantir a comunicação
fim a fim e também por segmentar e reagrupar segmentos de dados.
Esta camada divide as mensagens em fragmentos que se encaixam na
tecnologia física de rede, a qual está sendo usada, ou seja, pacotes
Ethernet são bem maiores que células ATM e com isso a fragmentação
e o reagrupamento podem variar de acordo com a tecnologia usada,
como é mostrado na Figura 2.4.

Figura 2.4 – Fragmentação dos dados.

Quando os dados são divididos em múltiplos
fragmentos, a possibilidade de alguns segmentos
não serem recebidos no host de destino aumenta
sensivelmente; com isso é necessário que exista
um mecanismo que retransmita os dados perdidos
durante o processo de transferência de dados.
O controle de fluxo é uma característica da
camada de transporte que oferece uma
confiabilidade mais apurada na transferência de
dados. Com esta característica fica assegurado
que não haja um transbordamento de dados entre
dois hosts, ou seja, um enviar mais do que o outro
possa receber. A seguir temos um resumo de
algumas características da camada de transporte:
 Confiável com garantia de entrega.

Controle de erro.

Controle de Fluxo.

Sequenciamento.

Aceitação.

Estabelecimento e finalização de conexão.

Retransmissão.

Camada de Rede
Trata-se de uma camada que oferece serviços de
datagrama que por sua vez não é orientado a
conexão e com isso não garante a entrega do
pacote. Esta garantia deve ser dada pelo protocolo
da camada superior (Transporte). A camada de
Rede é responsável pelo roteamento de pacotes,
ou seja, a capacidade de poder utilizar múltiplos
caminhos em uma rede de longa distância. O
equipamento mais relevante que opera nesta
camada é o roteador que pode determinar os
caminhos mais otimizados em dado momento.
Veja na Figura 2.5 um exemplo de como a
comunicação entre hosts de redes remotas
acontece no nível da camada de Rede.
Este formato topológico de rede é chamado de
“internetworking”. Para que os dados possam ser
entregues nesta inter-rede, cada porção da rede
precisa ser identificada por um endereço. É neste
âmbito que entra o IP, para endereçar hosts de um
trecho da topologia.
Quando a camada de Rede recebe a mensagem
da camada superior, ela adiciona um cabeçalho
que contém, entre outras coisas, os endereços de
origem e destino. A passagem de dados entre
redes é feita usando a técnica de roteamento. Na
Figura 2.5 é possível distinguir entre o host final
(neste caso, um computador) e um roteador.
O roteador é responsável por interligar redes,
cujo endereçamento IP (que será visto mais a
frente) não esteja na mesma faixa. Ou seja, ele
trabalha na camada 3 (Rede) e promove o
roteamento entre uma rede A e uma rede C, onde
os hosts não conseguem falar diretamente entre si.
Portanto, uma máquina que esteja com IP da
Rede-A não consegue falar com outra na Rede-C.
Para que essa “conversa” seja possível, deve
haver um, dispositivo que as interligue: o
roteador.

Figura 2.5 – Processo de transmissão de mensagens.

Para que esses dados possam transitar entre as
redes, os roteadores precisam ser capazes de
encaminhar a informação para a localização
correta com base na tabela de roteamento. Veja na
Figura 2.6 um exemplo fictício de uma tabela de
roteamento em uma inter-rede, com as redes
locais e remotas, que tomam interfaces de destino
para alcançá-las.
 Podemos resumir as funções da camada de
Rede como:

Não orientada a conexão.

Sem garantia de entrega.

Endereçamento lógico do pacote.

Escolha do melhor caminho (roteamento)

entre dois hosts.

Figura 2.6 – Uma tabela de roteamento usada para encaminhar pacotes para a rede
correta.

Camada de Enlace
A camada de Enlace tem como função principal garantir que uma
mensagem possa ser entregue para um dispositivo assegurando um
correto encapsulamento destas informações de acordo com o meio ao
qual está ligado, ou seja, há uma preocupação desta camada em
adequar a informação à semântica da tecnologia em uso. Além disso,
ela tem como intuito traduzir mensagens da camada de rede em bits
para repassá-las à camada Física. Dentro das características desta
camada, podemos acrescentar a capacidade de reconhecimento e limite
dos quadros. O formato da mensagem neste caso é chamado de Quadro
ou Frame de dados. Na Figura 2.7 é mostrado o formato de um frame
de dados nesta camada.

Figura 2.7 – Formato genérico de um frame.

Veja abaixo uma descrição de cada parte do
frame:

Indicador de início / Preâmbulo: Trata-se

de um bit de paridade que determina o início
do frame e funções de sincronismo.

Endereço de Destino: O endereço físico ou

MAC da placa de rede de destino.

Endereço de Origem: O endereço físico ou

MAC da placa de rede de origem.

Controle: Informações de controle que

 variam de acordo com o protocolo.

Dados: Este campo contém as informações

propriamente ditas a serem transmitidas.

Controle de Erro ou CRC: Campo que tem

como propósito armazenar um valor
calculado na origem antes de fechar o frame.
Este valor é calculado na origem e quando
for lido no destino é mandatário que o valor
seja o mesmo, pois caso contrário o frame é
descartado e é requisitada a retransmissão. O
CRC é um componente importantíssimo para
a correta integridade na comunicação e envio
dos dados.
A camada de Enlace passou por uma
remodelagem feita pelo IEEE (Institute of
Electrical and Electronics Engineers) para uma
melhor modularização das suas funcionalidades.
Com isso ela foi subdividida em:

Subcamada de Controle de Link Lógico

(LLC) 802.2: Responsável pela identificação
dos protocolos da camada de rede e
 encapsulamento dos mesmos, além de ter
funções de gerenciamento da comunicação
entre os dispositivos, ver Figura 2.8.

Subcamada de Controle de Acesso ao

Meio (MAC) 802.3: Esta subcamada define
como os frames são colocados no meio
físico. Vale salientar o papel fundamental que
esta subcamada exerce em uma rede. É
através desta subcamada que são feitos o
controle e gerenciamento do modo em que os
dados devem ser inseridos no meio. Podemos
utilizar como exemplo as redes Ethernet, que
usam um método de acesso ao meio chamado
CSMA/CD.
Iremos falar mais sobre o padrão IEEE 802 ao
longo deste e dos próximos capítulos.
São exemplos de equipamentos de
conectividade que trabalham nesta camada:
switches e bridges. Ambos fazem uma filtragem
através do endereço MAC do host. Estes
equipamentos serão abordados mais a fundo nos
capítulos seguintes deste livro.
Figura 2.8 – Divisão da camada de enlace.

Camada Física
Chegamos à primeira camada na ordem do
modelo OSI, mas a última para um host que
transmite dados, ou seja, uma vez que a formação
do pacote se inicia na camada sete (Aplicação), a
camada Física é responsável por quebrar os dados
em bits para transmiti-los no meio físico. A
camada Física especifica como os sinais elétricos
e o mecanismo de transmissão ocorrem; ela é
responsável por detectar a interface entre os dois
componentes abaixo:

DTE (Data Terminal Equipment): É

composto pela origem dos dados a serem
transmitidos em uma extremidade e pelo
depósito que recebe os dados transmitidos na
outra extremidade.
 DCE (Data Communications Equipment):
Refere-se ao equipamento de conversão entre
o DTE e o canal de transmissão.
Esta camada oferece diversos serviços e, dentre
eles, podemos citar o sequenciamento, que é
responsável por manter a ordem dos bits durante
uma transmissão, e a notificação de falhas, que
oferece suporte para funções de gerenciamento.
Tanto o Hub quanto o Repetidor são ótimos
exemplos de equipamentos que trabalham na
camada Física, pois eles apenas repassam o sinal
elétrico, não tendo nenhuma “inteligência” para
fazer filtragem no nível de enlace, através de
endereço MAC.
São exemplos de padrões da camada física:

EIA/TIA-232, EIA/TIA-449, V.24, V.35,

X.21, HSSI (High Speed Serial Interface),
RJ-45, Ethernet (IEEE 802.3).
Estes padrões definem, entre outras coisas,
características elétricas (tensão), mecânicas,
dimensões (altura/largura) dos conectores, assim
como definição da pinagem utilizada.
É importante reforçar o entendimento desses
conceitos, pois na atividade profissional em redes,
você poderá se deparar com alguns dos problemas
que podem estar relacionados com alguma
restrição em determinada camada.
Equipamentos como Firewall, por exemplo,
podem fazer controles em nível de portas TCP
(camada 4, Transporte) ou até mesmo na camada
de aplicação (camada 7). O processo de
verificação dos pacotes e segmentos que chegam
ao equipamento consiste, basicamente, na leitura
dos cabeçalhos da camada correspondente.
Vejamos a Figura 2.9 como um resumo do
processo de passagem de informações entre as
camadas.

Figura 2.9 – Forma de encapsulamento em camadas.

No exemplo da figura é possível ver como a informação é seguida de
um host de origem para um host de destino. No OSI se usa o conceito
de PDU (Protocol Data Unit) que descreve a combinação das
informações de controle da camada de onde o dado vem e para onde
vai. Note que é adicionado um cabeçalho ao PDU inerente à respectiva
camada.
O processo de encapsulamento ocorre quando uma camada recebe o
dado de outra; com isso dizemos que a camada de rede encapsula os
dados vindos da camada de transporte.
O receptor dos dados passa para a pilha de protocolos superiores. O
processo de remover os cabeçalhos em cada camada é chamado de
desencapsulamento. Com isso concluímos que a comunicação virtual
entre camadas do mesmo nível é ponto a ponto.
Assim como outros padrões de comunicação, as redes locais são
gerenciadas quando se diz respeito a estabelecimento de regras pelo
IEEE 802 Standards Committee. Este comitê é dividido em grupos de
pesquisa aos quais são delegadas funções de melhoria da tecnologia.
Na tabela você pode ver alguns grupos existentes, também disponível
em https://www.ieee802.org/:
GRUP FUNÇÃO
O
802.1 Coordenação da interface entre os níveis 1 e 2 do modelo
OSI
802.3 Método de acesso ao meio (CSMA/CD para redes Ethernet)
802.3u Fast Ethernet - (100Mbps)
802.3z Gigabit Ethernet (1000Mbps ou 1Gbps)
802.3a 10-Gigabit Ethernet (10Gbps)
e
802.11 Redes Sem Fio (Wireless LAN ou WLAN)
802.15 Wireless PAN
 03 - Arquitetura TCP/IP

Introdução
Além do Modelo OSI, outro Modelo de Arquitetura muito difundido é o
Modelo DoD, ou Arquitetura TCP (este último é mais comum na literatura).
De fato, o DoD ou Department of Defense (Departamento de Defesa dos
EUA) foi o responsável pela criação da arquitetura de protocolos TCP/IP, o
mais conhecido e cobrado no exame CCNA 200-301.
O DoD iniciou a pesquisa sobre protocolos de rede com o foco na
tecnologia de comutação de pacotes, porém os estudos e pesquisas que
originaram o nascimento do TCP/IP iniciaram-se por volta de 1969. Na
época, a grande preocupação do DoD era criar um modelo de comunicação
que continuasse operando nas situações mais adversas possíveis como, por
exemplo, uma Guerra Nuclear (o mundo vivenciava a Guerra Fria à época).
Dessa forma, os principais objetivos destas pesquisas eram:

Protocolo comum: era uma premissa do projeto que a suíte de

protocolos pudesse ser especificada para todos os tipos de rede.

Interoperabilidade: independente do fabricante do equipamento de

rede o protocolo tinha que suportar esta interoperabilidade.

Comunicação Robusta: o protocolo tinha que ser escalonável,

suportar o crescimento das redes, ser confiável e ter alta
performance.

Fácil configuração: era necessário que o protocolo fosse capaz de

ter uma dinâmica ao ponto de se adicionar ou remover os
computadores da rede sem impactar no funcionamento dela.

Não há como negar que o modelo TCP/IP foi uma versão condensada do
modelo OSI. As sete camadas se tornaram quatro, conforme mostra a
Figura 3.1.
Uma recomendação que fazemos é o uso de aplicativos de captura de
pacotes, como o Wireshark (gratuito), com os quais é possível verificar
como se comportam os pacotes e como eles passam por cada camada e as
informações trazidas em cada uma delas. Assim, os tópicos seguintes
poderão ser melhor absorvidos, já que o bom profissional de redes deve
conhecer bem essa estrutura, sem contar sua relevância para o exame
CCNA.

Figura 3.1 – Comparação entre o modelo OSI e o TCP/IP.

Camada de Aplicação
Como pode ser visto na Figura 3.1, a camada de Aplicação do
TCP/IP absorve funcionalidades das três últimas camadas do modelo
OSI (5, 6 e 7); nela se encontram serviços como aplicações de
mensagens (correio), transferência de arquivos, serviços de
gerenciamento de rede, emulação de terminal, entre outros, vide Figura
3.2.
Figura 3.2 – Camada de Aplicação do TCP/IP e seus principais protocolos.

Camada de Transporte
Também conhecida como camada fim a fim, tem funções
extremamente semelhantes à camada de Transporte do modelo OSI. É
aqui onde é feita toda garantia de entrega e toda parte de
confiabilidade na transmissão de dados.

Figura 3.3 – Protocolos da camada de transporte.

Camada de Internet
A camada de Internet tem funções semelhantes às funções da
camada de rede do modelo OSI. Nesta camada é onde trabalha
especificamente o protocolo IP, que acumula funções de roteamento de
pacotes entre múltiplas redes.

Figura 3.4 – Componentes da camada Internet.

Camada de Rede
O nome parece ser dúbio e você pode até lembrar da camada de rede
do modelo OSI, mas cuidado, não é a mesma coisa. Como você pôde
ver na Figura 3.1, esta camada é mapeada nas duas primeiras do
modelo OSI, ou seja, as funções de identificação do meio, interfaces
físicas e controle de acesso ao meio estão definidas nesta camada.

Figura 3.5 – Tecnologias de rede identificadas pela camada.

Protocolos da Camada de Aplicação

Agora que você já se situou quanto às funções de cada camada,
veremos minuciosamente as funções e os protocolos que trabalham em
cada camada iniciando por aqueles de Aplicação da arquitetura
TCP/IP. Dentre eles, iremos falar sobre:

FTP (File Transfer Protocol).

TFTP (Trivial File Transfer Protocol).

Telnet.

SSH (Secure Shell).

SMTP (Simple Mail Transport Protocol).

POP (Post Office Protocol).

SNMP (Single Network Management Protocol).

DHCP (Dynamic Host Configuration Protocol).

NFS (Network File Systems).

DNS (Domain Name System).

FTP (Protocolo de Transferência de
Arquivos)
Na função de protocolo, o FTP usa TCP, logo a comunicação entre
os hosts (iremos usar este termo para qualquer componente que use
TCP/IP) é feita de forma confiável. Na Figura 3.6 mostramos um
exemplo básico do uso do FTP.

Figura 3.6 – Troca de arquivos com FTP.

Acompanhando os passos da figura, o cliente que iniciou a sessão
precisa ter um software FTP (facilmente encontrado na Internet). O
servidor então aceita a comunicação e requisita as credenciais de
acesso. É necessário que seja feita uma autenticação e que se informe o
usuário e a senha. Esta autenticação é enviada de forma insegura, pois
vai como um texto simples (Clear Text) sem nenhum tipo de
encriptação. O servidor aceita a requisição e a sessão está estabelecida
para que a transferência de arquivos aconteça.
Usando um analisador de protocolos, capturamos os pacotes de uma
comunicação entre o cliente e o servidor. Note na Figura 3.7 que no
final da captura você tem as informações que são inerentes ao FTP.
Perceba que o usuário que efetuou o logon no servidor FTP foi o
Anonymous.
Figura 3.7 – Cabeçalhos TCP e FTP.

TFTP (Protocolo Trivial para Transferência

de Arquivos)
Na prática você vai utilizar o FTP em situações em que a quantidade
de dados a ser transferida é grande e existe uma necessidade de que
seja garantida a transferência de pacotes. Mas para garantir esta
confiabilidade, o FTP se torna mais lento. Geralmente esta garantia
dada pelo FTP é usada em redes não-confiáveis (WANs); para redes
locais é pouco provável que exista a necessidade de confirmação de
entrega.
Assim, o TFTP vem para suprir essa necessidade, ou seja, poder
transferir arquivos de forma mais rápida sem garantir a entrega, pois
ele usa UDP (protocolo baseado em datagrama da camada de
Transporte e que não trabalha com garantia de entrega, que veremos
mais à frente neste capítulo).
Esse protocolo é muito usado pelos profissionais de redes, pois é
utilizado para salvar as configurações do roteador.

Telnet (Terminal de Rede)

Telnet é um protocolo que vem lhe auxiliar bastante na configuração
de roteadores. Sua principal função é tornar possível acesso remoto ao
terminal através de acesso via rede. Em uma sessão Telnet o host
cliente ganha acesso ao servidor e com isso pode fazer tarefas como se
estivesse na frente da máquina, porém toda a interface é no modo
texto. Para fazer esta tarefa de permitir o acesso remoto via uma sessão
Telnet, é necessário que o servidor suporte este protocolo. As versões
atuais dos Sistemas Operacionais da Microsoft e Linux fornecem
suporte nativo a esse protocolo.
Figura 3.8 – Sessão Telnet.
Um exemplo é você estar em sua casa e fazer uma conexão via
Telnet no roteador da sua empresa. Para isso você precisa do endereço
IP do roteador da outra ponta e possuir privilégios de acesso.
Mesmo que o roteador já tenha sido configurado via console é
possível habilitar o acesso via Telnet. Como existe risco de perda de
comunicação quando se faz o acesso remoto, é aconselhado que, em
algumas situações, o profissional esteja fisicamente no local para fazer
acesso via console do equipamento.

SSH (Interface Segura)

O Secure Shell (SSH) funciona como o Telnet, porém seu conteúdo é
criptografado antes de ser enviado. Possui uma aplicação chamada de
Tunnelling que permite o redirecionamento de pacotes de dados. À
medida que os administradores de rede se preocupam mais com
segurança, o Telnet tem sido aos poucos substituído pelo SSH.

SMTP (Protocolo Simples de Transferência

de Correio)
O correio eletrônico é bem difundido e conhecido, principalmente
pelo advento da Internet, mas para que isto funcione é necessário um
protocolo que manipule esta troca de mensagens. O SMTP é o
protocolo para transferência de mensagens de correio entre hosts
TCP/IP, sendo o responsável pelo envio das mensagens.
Em um sistema SMTP, quando uma mensagem é enviada para um
destinatário, ela pode passar por vários pontos antes de chegar ao
destino. Um dos componentes mais importantes em um sistema de
mensagem é o MTA (Message Transfer Agent). Ele é responsável pelo
fornecimento de acesso entre sistemas de correio distintos.

POP (Protocolo de Agência de Correio)

Para recuperar as mensagens de correio eletrônico existe esse
protocolo que trabalha em conjunto com o SMTP. O protocolo Post
Office Protocol (POP) recebe este nome por agir como uma agência de
correios mesmo, que guarda as mensagens dos usuários em caixas
postais e aguarda que estes venham buscar suas mensagens.
O POP, também conhecido como POP3, é similar ao IMAP (Internet
Message Access Protocol) cuja função também é gerenciar mensagens
de correio eletrônico. A diferença desse último é que ele permite
múltiplos usuários a se conectarem à caixa e também estabelece uma
conexão permanente à ela, diferentemente do POP que entra, baixa as
mensagens e se desconecta.

SNMP (Protocolo Simples de Gerenciamento

de Rede)
Em grandes redes de computadores é importante que exista uma
forma de controlar o estado atual dos principais componentes que
formam a infraestrutura da rede. Desta forma o protocolo de gerência
de redes SNMP tem como intuito coletar, analisar e reportar dados
sobre o estado atual e a performance de componentes. Ele fornece
todas as informações para que o administrador possa gerenciar a rede.
O gerenciamento de rede pode ser dividido em cinco categorias:

Gerenciamento de conta: agrupa informações de todos os

usuários que estão utilizando serviços de rede.

Gerenciamento de falhas: inclui as informações, diagnóstico,

solução e monitoração de itens que estão apresentando
problemas.

Gerenciamento de configuração: monitora as informações de

 hardware e software da rede.

Segurança: controle de acesso, autorização e criptografia.

Desempenho: monitora o tráfego da rede.

Entre os dados coletados pelo SNMP podemos citar:

Alertas sobre componentes.

Relatórios de desempenho.

Estação de gerenciamento da rede (SNMP Manager):

funciona como um repositório central para coleção e análise de
dados da rede.

Agentes: tem um software que funciona como um agente

informando para a gerência de rede sobre eventos que estejam
ocorrendo.
Estes agentes são configurados para enviar alertas (também
conhecidos como Trap) para a gerência quando um determinado objeto
do sistema ultrapassar uma determinada métrica. Quando um elemento
deste chega à linear estabelecida é enviado um Trap para a estação de
gerência.
Como profissional de redes é importante conhecer as
funcionalidades que o SNMP provê, pois há diversas plataformas de
gerenciamento que se baseiam nesse protocolo para gestão completa
dos recursos e da saúde da rede que vai desde a criação de inventários,
para listar os equipamentos ativos, até a mensuração do volume de
tráfego e avaliação do crescimento da rede, facilitando a diagnose, em
caso de problemas, e expansão futura para acomodar novos serviços e
aplicações.

DHCP (Protocolo de Configuração Dinâmica

de Host)
 Em redes pequenas é possível a configuração manual do
endereçamento da rede, mas partindo do pressuposto que o ambiente
de redes tem crescido nos últimos anos, ficou complicado fazê-lo dessa
forma para cinco mil hosts, por exemplo. De fato, muitas empresas
atualmente possuem o ambiente de rede com uma quantidade de hosts
nessa ordem de grandeza, daí é que aparecem as vantagens de
implementar o serviço DHCP.
O servidor DHCP mantém um pool de endereços IP, os quais
poderão ser “alugados” por clientes da rede. Dessa forma, o DHCP
fornece, além do endereço IP, a máscara de sub-rede, default-gateway,
DNS e o domínio na rede. Ele faz isso por associar um endereço MAC
na rede a um endereço IP por um período que é chamado de TTL (time
to live).
Todo esse processo ocorre de forma automática por esse protocolo,
pois quando um novo host entra na rede ele faz uma solicitação ao
Servidor DHCP e recebe as informações de endereçamento. O tempo
de concessão do endereço varia de acordo com o sistema operacional,
mas sempre pode ser customizado de acordo com os requisitos da rede.
Como o pacote inicial de procura por um endereço IP é baseado em
broadcast, segmentos de rede que estejam separados por um roteador
não conseguem obter endereçamento. Por este motivo é que os
roteadores Cisco podem agir como Relay Agent (conforme determina
a RFC 1542), que “autoriza” o pacote de broadcast específico de
DHCP a atravessá-los. Veja na Figura 3.9 como ocorre o primeiro
processo de aluguel de IP.

Figura 3.9 – Processo para obtenção temporária (“aluguel”) de IP.

Este processo todo gera quatro pacotes que podemos visualizar com
o analisador de protocolos, conforme Figura 3.10:
Figura 3.10 – Pacotes DHCP.
É importante salientar que este processo de
quatro pacotes ocorre em broadcast, mas a
renovação de IP é pacote direcionado, pois o
cliente já sabe quem é o servidor.

NFS (Sistema de Arquivos de

Rede)
O NFS fornece ao TCP/IP capacidades
equivalentes aos produtos Microsoft no âmbito de
compartilhamento de arquivos. O NFS foi criado
pela Sun Microsystems e é amplamente utilizado
por outros sistemas operacionais baseados em
Unix (como o Solaris e Linux).
Um servidor NFS pode exportar uma parte da
árvore de diretórios para ser usada pelos clientes
NFS. Os clientes, por sua vez, poderão montar o
diretório exportado para uso, assim como clientes
Windows podem mapear uma unidade
compartilhada em um servidor Windows Server.
DNS (Sistema de Nomes de
Domínios)
DNS é um sistema que tem como principal
finalidade resolver nomes de Host (mapeamento
de endereços IP para nomes), principalmente no
âmbito de Internet, onde ele resolve nomes como
www.cisco.com para o endereço IP de origem.
Tecnicamente não seria necessário usar DNS,
porém seria muito complicado para todos
decorarem o endereço IP de onde se quer acessar.
Nesse caso, ao invés de lembrar esse nome, você
deveria lembrar o endereço 72.247.96.170.
Podemos comparar o sistema utilizado pelo
DNS com uma agenda telefônica, pois seria muito
difícil memorizar todos os números telefônicos de
seus amigos e conhecidos. Porém se você utiliza
uma agenda telefônica cada vez que você precisa
ligar para alguém é só consultar pelo nome e você
achará o número correspondente. De fato, é muito
mais fácil lembrar nomes do que sequência de
números. O DNS é uma “agenda” acessível a
todos usuários da Internet, uma vez que você
insere o nome do site (domínio) que você deseja
acessar e ele resolve o nome e acessa o número
(endereço IP) correspondente.
O DNS é organizado em um banco de dados
hierárquico chamado “espaço de nome de
domínio” (Domain Name Space). Cada host em
um espaço de nome de domínio é único no que é
chamado de Domínio Completamente Expressado
(FQDN – Fully Qualified Domain Name).
Podemos citar como exemplo de um FQDN o site
de suporte da Microsoft, que é
support.microsoft.com.

Protocolos da Camada de
Transporte
A camada de Transporte no modelo TCP/IP
talvez seja uma das mais bem definidas. A
camada de transporte do modelo OSI tem uma
função extremamente semelhante, ou seja,
informar para as camadas superiores que lhe
entreguem os dados livre de informações, que ele
iniciará o processo e garantirá a entrega. As
funcionalidades dessa camada incluem:

Fornecer aos processos das camadas

superiores uma interface de rede
 conveniente.

Entrega fim a fim entre hosts.

Os dois protocolos desta camada são:

TCP (Transmission Control Protocol).

UDP (User Datagram Protocol).

TCP (Protocolo de Controle de

Transmissão)
Este protocolo foi especificado na RFC 793 e
possui as seguintes características:

protocolo confiável.

orientado a conexão.

com garantia de entrega.

teste de erro.

reenvio de segmentos.
 A comunicação feita nesta camada independe
da estrutura de rede. Leia o passo-a-passo da
comunicação abaixo e acompanhe na Figura 3.11:
1. O TCP do host de origem pega grandes
blocos de informações das aplicações (Stream
de Dados).
2. Ele quebra em segmentos e numera as
sequências de segmento de forma que o
protocolo TCP de destino possa colocar os
segmentos na ordem correta para que a
aplicação possa entender as informações.
3. A camada internet fragmenta os segmentos e
prepara os datagramas conforme a tecnologia
de rede utilizada.
4. Os datagramas são fragmentados em bits e
transmitidos pela rede.
5. A camada de rede do host de destino recebe
os bits e reconstrói o datagrama.
6. A camada internet reconstrói o segmento a
partir dos datagramas vindos da camada de
rede.
7. O TCP desfragmenta os segmentos e
reconstrói as streams de dados para elevá-los à
camada de Aplicação.
Figura 3.11 – Processo de envio de dados.
Especificamente nas camadas de Transporte
existe uma garantia de que o stream de dados
chegue livre de erro. Desta forma, antes de passar
adiante, testa-se a conexão em um processo
conhecido como Three Way Handshake (aperto
de mão triplo ou em três vias) composto por três
trocas de informações:

SYN (Requisição de Sincronização):

cliente e servidor.

ACK / SYN (Aceitação e Confirmação de

sincronização): servidor e cliente.
 ACK (Aceitação por parte do cliente):
cliente e servidor.
Agora que já ficaram acertadas as premissas da
transmissão como, por exemplo, o tamanho da
janela de envio e recebimento, já é possível
iniciar a transmissão de dados.
Envio de Dados
Para assegurar que os dados sejam enviados e
recebidos com sucesso, o TCP utiliza um
processo chamado Sliding Window (Janela
Deslizante). Nesse processo, cada host de uma
rede mantém duas janelas, uma de envio e outra
de recebimento. O tamanho da janela indica o
total de dados que podem ser armazenados no
computador durante a transmissão.
A Figura 3.12 mostra um resumo de como
acontece o processo de deslizamento de janela em
um ambiente onde o tamanho da janela é de 3
kBytes e cada segmento é de 1 kByte. Desta
forma serão enviados 3 kBytes seguidos.
Figura 3.12 – Processo de Deslizamento da Janela TCP.
Quando o TCP recebe o dado de um arquivo, o
dado é colocado na janela de Envio. Desta forma,
o TCP adiciona um cabeçalho com um número de
sequência para o pacote e entrega para a camada
IP que transmite o pacote para o host de destino.
Quando cada host envia os dados, então é
configurado um temporizador na origem, que tem
como finalidade disparar quando este tempo
expirar e fazer a retransmissão do pacote. A
retransmissão acontecerá quando não houver o
recebimento do ACK. Quando ele entra neste
estado de espera pelo ACK, dizemos que ele está
no estado de WACK (aguardando ACK). Para que
seja possível o reenvio dos pacotes que não
receberam o ACK, cada segmento é mantido na
janela de origem.
 Quando os pacotes chegam na janela de destino
eles são colocados em ordem (graças ao número
de sequência). Neste momento, se chegarem dois
segmentos sequenciais dos dados, o ACK deles é
enviado para a origem. A janela de origem será
deslizada em duas posições.
Com este formato de transmissão de dados a
performance pode ser melhorada através da
diminuição de tempo em que o sistema originador
espera por ACK (confirmação). Isto está
totalmente ligado ao tamanho da janela. Uma
janela muito pequena pode causar demoras
significantes na espera de ACK. Em
contrapartida, janelas grandes podem degradar a
performance da rede, principalmente em links
WAN.
Desta forma todo o processo de comunicação se
desenrola para que se tenha a garantia real da
entrega do pacote.
Formato do Segmento TCP
Como já sabemos, as camadas superiores
enviam stream de dados para os protocolos da
camada de transporte. A camada de Transporte
prepara e envia para a camada de Internet (ou
Rede no modelo OSI) e assim por diante. Para
sabermos como estas informações são enviadas, é
importante que fique bem claro qual o formato de
um segmento TCP.

Figura 3.13 – Componentes do cabeçalho TCP.

Com a finalidade de ser bem prático, capturamos um pacote com
software analisador de protocolos (como o Wireshark) no momento em
que o computador está acessando recursos da rede e se autenticando
com o protocolo LDAP. Observe a Figura 3.14 e veja o que significam
as informações deste segmento:

Figura 3.14 – Informações de um cabeçalho TCP capturadas com analisador de

protocolos.

Source Port (Porta de Origem): é o número da porta em que o

host de origem está enviando os dados. O conceito de porta será
visto ainda neste capítulo.

Destination Port (Porta de Destino): o número da porta em

que a aplicação está requisitando no host de destino.

Sequence Number (Número Sequencial): trata-se de um

processo chamado “sequência”, onde este campo é para
identificar em que parte se encontra este pedaço de segmento.
Com isso é possível colocar o dado de volta na ordem correta,
tendo em vista que ele, quando chega no destino, está totalmente
desordenado.

Acknowledgment number (Número da aceitação): define

qual octeto TCP é esperado como próximo.

Data Offset ou HLEN (tamanho do cabeçalho): padrão que

define o número de 32 bits para o tamanho do cabeçalho.

Reserved (Reservado): sempre será zero. Tem uso reservado

para o futuro.

Flags ou Control Bits (Bits de controle): são funções de

controle usadas para iniciar ou terminar uma sessão, que
possuem 6 bits: URG, ACK, PSH, RST, SYN e FIN, ilustrados
na Figura 3.15.

URG: quando configurado para (1), este campo fica

habilitado. Se estiver (0) será ignorado.

ACK: quando configurado para (1) este campo será uma

aceitação.

PSH: inicia uma função chamada Push quando

configurado para (1).

RST: força um reinício da conexão.

SYN: sincroniza números de sequência para conexão

(como vimos anteriormente); se o bit estiver configurado
para (1), como é o caso do exemplo da figura, é que está
sendo requisitada uma abertura de conexão.
 FIN: Não existem mais dados e se está finalizando a
conexão.

Window (Janela): tamanho da janela do host que está

enviando.

Checksum (checagem de erro): trata-se do CRC do TCP. Ele é

adicionado porque o TCP não confia nas camadas inferiores e
precisa ter certeza da integridade do segmento. Dessa forma, ele
possui uma checagem de erros própria.

Urgent Pointer (ponteiro de urgência): identifica o número de

sequência do octeto seguinte ao dado de urgência.

Options (Opções): as opções são disponíveis para uma

variedade de funções incluindo: final de lista de opções,
tamanho máximo do segmento TCP e tamanho máximo da
opção de dados do segmento.

Data (Dados): dados da camada superior.

Figura 3.15 – Funções de controle TCP.

O TCP acaba se tornando mais pesado por ter
todo esse mecanismo de garantia de entrega, com
a checagem do ACK e o processo de
comunicação orientada à conexão, testando o
meio antes de transferir. Isso faz com que a
transmissão se torne mais lenta para alguns tipos
de meios, principalmente para alguns links WAN.
Em geral, mantém-se o uso do TCP quando se
quer garantia da entrega dos dados, mas existem
alguns casos em que esta garantia não é
necessária, então é preferível usar o protocolo
UDP.

UDP (Protocolo de Datagrama

de Usuário)
Quando se utiliza aplicações onde a garantia de
entrega não é requerida deve-se usar o UDP. Este
protocolo foi especificado na RFC 768 e possui as
seguintes características:

datagrama não orientado a conexão.

não possui controle de erros e garantia de

entrega (apesar de trabalhar na camada de
Transporte).
 Porém possui a vantagem de ser um protocolo
simples e rápido. Atualmente muitas aplicações
de vídeo e VoIP (voz sobre IP) requerem esse
protocolo.
Vejamos um exemplo prático de que há
momento em que não há nada melhor do que usar
este protocolo. Recorda-se do serviço de
gerenciamento de rede, o SNMP? Pois bem, como
havíamos falado anteriormente, sua função é
saber como anda cada componente ativo de rede,
através de comandos GET e ouvindo os TRAPS
dos clientes. Agora imagine uma rede grande
usando esse protocolo e se ele fosse baseado em
TCP. Seria um congestionamento enorme de tanta
informação só para estabelecimento de sessões,
confirmações e demais partes do processo de
comunicação com o TCP. Por este motivo ele usa
UDP, especificamente nas portas 161 e 162. A
mesma coisa acontece com outros serviços que
precisam de agilidade, tornando-se dispensável a
garantia dada pelo TCP. São exemplos de
protocolos/serviços que usam UDP: DNS, TFTP e
NFS.
O UDP recebe das camadas superiores blocos
de informações em vez de stream de dados (como
o TCP), e os quebra em segmentos. UDP não usa
ACK, pois não garante entrega e também é
considerado um protocolo não orientado à
conexão, pois não há teste do meio antes da
transmissão.
Formato do Cabeçalho UDP
O cabeçalho UDP é bem diferente do TCP,
conforme Figura 3.16:

Figura 3.16 – Cabeçalho UDP.

Podemos caracterizar o UDP em alguns aspectos-chave:

Não estabelecimento de conexão: não usa o processo Three

Way Handshake que é utilizado no TCP.

Não mantém o estado da conexão: não faz controle de

congestionamento e não usa ACK.

Menor cabeçalho: apenas 8 bytes, enquanto o TCP é 20 bytes.

Para exemplificar a utilização do UDP, capturamos um pacote

de uma consulta DNS. Observe na Figura 3.17 que não existem:
Sequence Number, ACK e Window Size, exclusivos do TCP.
Figura 3.17 – Uma consulta DNS usa protocolo UDP.
Veja o significado de cada componente:

Source Port (Porta de Origem): é o número da porta em que o

host de origem está enviando os dados.

Destination Port (Porta de Destino): o número da porta em

que a aplicação está requisitando no host de destino.

Total Lenght (Comprimento total): tamanho do segmento

UDP, incluindo o cabeçalho e os dados.

UDP Checksum ou CRC: Checagem de erro do cabeçalho e

dos dados UDP.

Data: Dados da camada superior.

Agora, para que você possa ter um parâmetro entre os dois
protocolos, observe a tabela a seguir:
TCP UDP

Orientado a conexão Não orientado a conexão

Garante a entrega fim a fim
Sequenciado
Usado para transmissão de grande
quantidade de dados
Confiável
Estabelece Circuito Virtual
Latência Alta (cabeçalho maior)
Não garante a entrega
Não sequenciado
Usado para transmissão de pequena
quantidade de dados
Não confiável
Não estabelece Circuito Virtual
Latência Baixa (cabeçalho menor)
Portas Lógicas para Aplicações
O mecanismo de portas lógicas utilizado no TCP/IP permite que o
computador suporte múltiplas sessões de comunicação com outros
computadores ou softwares. Uma porta direciona a requisição para um
serviço específico da rede. A IANA (Internet Assigned Numbers
Authority) é a responsável por esta atribuição.
Tanto o TCP quanto o UDP precisam usar portas para se comunicar
com as camadas superiores. Os números das portas permitem manter
diferentes formas de conversação através da rede de forma simultânea.
As primeiras 1024 portas são chamadas de Well-Know Ports (Portas
conhecidas), pois estão definidas na RFC 1700. A captura mostrada na
Figura 3.18 apresenta um detalhe do segmento TCP com as portas de
origem (Src port) e destino (Dst Port).

Figura 3.18 – Exemplo de uma requisição via HTTP

no navegador web (TCP porta 80).
Circuitos virtuais que não usem uma aplicação com uma porta dentre
as conhecidas são randomicamente escolhidos dentro de um intervalo.
Porém, outras aplicações fazem uso das portas de números acima de
1024 e que podem chegar até 65536.
Os números de portas têm como finalidade identificar o host de
origem e de destino em um segmento TCP. Veja no exemplo a seguir
uma sessão TCP sendo aberta e verifique o número da porta. Vejamos
exemplos das principais portas conhecidas, que valem a pena saber e
que eventualmente podem ser requeridas no exame CCNA:
PORT PROTOCOL DESCRIÇÃ
A O O
20 TCP FTP-data
21 TCP FTP
22 TCP SSH
 22 UDP SSH
23 TCP Telnet
25 TCP SMTP
42 TCP nameserver
42 UDP nameserver
53 TCP domain
53 UDP domain
69 UDP TFTP
80 TCP HTTP
80 UDP HTTP
88 TCP kerberos
101 TCP hostname
143 TCP IMAP
161 TCP SNMP
161 UDP SNMP
162 UDP Snmptrap
170 TCP print-srv
179 TCP BGP
179 UDP BGP
389 TCP Ldap
443 TCP HTTPS
8080 UDP http
8080 TCP http

Obs.: A relação completa das portas pode ser encontrada no

endereço: http://www.iana.org/assignments/port-numbers

Protocolos da Camada de Internet

Agora que já sabemos como funciona o TCP, é perceptível que ele
não tem algumas funções que existem na pilha TCP/IP. Desta forma
fica evidente que a existência da camada de Internet se dá
principalmente pelos fatores abaixo:

Roteamento.

Endereçamento Lógico.
 Fornecer às camadas superiores uma interface de rede única.

Figura 3.19 – Protocolos da camada de Internet.

Quanto ao roteamento fica claro, até mesmo
porque já estudamos as funções da camada de
rede do modelo OSI e, dentre outras coisas, o que
ela fornece é o roteamento de pacotes. Bem,
através do IP é possível implementá-lo na pilha
TCP/IP. O endereçamento é importante para
identificar os hosts de origem e destino, o que
acontece através do endereço IP. Quanto a
fornecer uma interface de rede única às camadas
superiores, trata-se do fato de os protocolos das
camadas superiores ficarem abstraídos de qual
interface de rede estão sendo transmitidos os
dados. Isto fica a cargo da camada de Internet,
pois ela é quem poderá se comunicar direto com a
camada de rede e saber em que meio físico está
acontecendo a transmissão.
Na camada de Internet existem diversos
protocolos que asseguram tarefas diferentes e
garantem a harmonia dentro dela. Veja na Figura
3.19 esses protocolos que iremos abordar
detalhadamente na sequência.

IP (Protocolo de Internet)
A camada de Internet é praticamente focada no
protocolo IP (Internet Protocol), apesar de
existirem outros protocolos também trabalhando
nesse nível, mas cujas funções são mais para dar
suporte ao protocolo IP. Ele tem as seguintes
funções:

Endereçamento.

Fragmentação e reagrupamento de
datagramas.

Entrega de datagramas na inter-rede.

Todo host em uma rede TCP/IP recebe um
endereço lógico de 32 bits chamado IP. Porém é
importante deixar claro que o IP é uma camada
lógica e a comunicação entre dois hosts precisa
ser efetuada através de um endereço físico ou
MAC. É preciso que se descubra o endereço
MAC do computador de destino para, somente
depois, enviar o pacote endereçado para um
endereço IP. As especificações completas do
protocolo IP estão na RFC 791. Vejamos de forma
resumida como acontece a comunicação passando
pela camada de Internet:
1. O IP recebe os segmentos vindos da camada
de transporte e os fragmenta em datagramas ou
pacotes.
2. O IP do host de destino reagrupa estes
datagramas de volta em segmentos e passa para
a camada de transporte.
Vejamos agora o formato de um datagrama IP e
o que representa cada parte do seu cabeçalho.
Com isso você poderá ter uma ideia mais
detalhada do seu funcionamento.
Começando a definição pelo campo Versão.
Através deste campo de 4 bits é possível checar a
versão abordada nesse estudo; no caso temos a
versão 4, também conhecida como IPv4. A outra
geração de endereçamento IP, também conhecida
como IPv6, já está em uso na Internet (maiores
informações poderão ser encontradas no capítulo
sobre IPv6).
Figura 3.20 – Cabeçalho IP.
O campo de Comprimento do Cabeçalho
(Header Length) tem como finalidade mostrar o
tamanho do cabeçalho IP. Este campo pode variar
apesar de teoricamente ser sempre o mesmo. A
grande questão é que o cabeçalho IP não
necessariamente terá sempre o mesmo tamanho,
pois existem opções que podem ser incluídas
juntamente com IP e isto aumenta o tamanho do
cabeçalho.
No campo Tipo de Serviço (ToS – Type of
Service) observamos a preocupação do protocolo
com a qualidade do serviço (QoS). Com este
campo é possível especificar como o pacote
deverá ser manuseado e com isso poder inserir
características de priorização de acordo com a
informação constante no pacote. Internamente
este campo ainda é dividido em duas partes. São
elas:
 Precedência: trata da priorização do pacote.

ToS: trata da forma com que será tratado o

serviço no âmbito de tempo de resposta,
confiabilidade e custo.
Para mais informações sobre estes campos, ver
as RFCs 1340 e 1349.
Para totalizar o tamanho do pacote temos o
campo Comprimento Total (Total Length)
incluindo o cabeçalho. Em seguida temos o
campo de Identificação (Identifier), que é
usado para identificar um fragmento IP caso seja
necessária a sua fragmentação. Os pacotes
precisam ser fragmentados em alguns tipos de
cenários, onde seu tamanho original excedeu o
MTU do meio ao qual ele está passando.
O Campo Flags tem como principal finalidade
sinalizar como deve ser o tratamento a ser dado
ao pacote; ele é formado por 3 bits, onde o
primeiro não é usado, o segundo é o campo DF
(Don’t Fragment) e o terceiro é o campo MF
(More Fragments). O Bit DF estando como 1
indica que o roteador não deverá fragmentar o
pacote. Caso o pacote esteja fragmentado, será
necessário que o bit MF fique como 1 também
para indicar que existem mais fragmentos. Porém
o último fragmento fica ajustado como 0. Em
seguida temos o Campo Fragment Offset, que é
um campo de 13 bits. Através deste campo é
possível fazer o reagrupamento dos fragmentos.
O datagrama IP precisa ser tratado de forma a
não gerar loops na rede e uma das preocupações é
que o pacote seja eliminado da rede caso ele não
encontre o host de destino. Para este propósito
existe o campo TTL ou Tempo de Vida (Time to
Live).
O campo Protocolo (Protocol) existe para
permitir que seja identificado o protocolo que está
sendo utilizado para a comunicação entre os dois
hosts. Podemos exemplificar alguns dos valores
que podem aparecer neste campo:
NÚMER PROTOCOL
O O
1 ICMP
2 IGMP
4 IP
 6 TCP
17 UDP
41 IPv6
47 GRE
88 EIGRP
89 OSPF
Apesar de os outros protocolos de nível 4 terem
seus mecanismos de checagem contra erros, o IP
conta com seu próprio CRC, que é calculado no
campo Checksum. Os endereços IP de origem e
destino são descritos nos seus respectivos
campos.
Por último temos as Opções (Options) que
podem incluir maiores informações ao cabeçalho
e os Dados propriamente ditos.
Agora, para que você acompanhe na prática,
veja o exemplo de um cabeçalho IP. Este pacote
foi capturado no momento em que uma estação
Windows efetuava o mapeamento de uma unidade
em um servidor Windows Server.
Figura 3.21 – Cabeçalho IP no analisador de protocolos.
É importante frisar que alguns tipos de analisadores de protocolo,
diferente do Microsoft Network Monitor, mostram o campo Protocol
pelo código de identificação. Para a camada de Internet, o protocolo da
camada de transporte usado é mapeado em:

Porta 6 (hex) para TCP.

Porta 17 (hex) para UDP.

No caso do Network Monitor ou do Wireshark eles já convertem e
mostram o campo com o nome do protocolo.

ICMP (Protocolo de Controle de

Mensagens na Internet)
O protocolo ICMP (Internet Control Message Protocol) é o
protocolo padrão para fornecimento de mensagens IP. Estas mensagens
são basicamente para saber o estado atual de um host dentro da inter-
rede.
Podemos citar como exemplo desta mensagem o anúncio feito
periodicamente por um roteador para outros no intuito de informar
mudanças da sua tabela de endereços. Porém o exemplo mais típico de
ver o funcionamento do ICMP é com o comando “ping”. Através deste
utilitário TCP/IP você testa a comunicação com um outro host, o seu
funcionamento consiste no envio de pacotes para o equipamento de
destino e na “escuta” das respostas. No exemplo da Figura 3.22,
efetuamos um ping para o host 200.201.0.45; veja as informações do
cabeçalho IP.
Figura 3.22 – Aparecimento do ICMP no cabeçalho IP.
Note que no campo protocolo é indicado o uso do ICMP. Porém este
ainda não é o cabeçalho ICMP. Geralmente no cabeçalho ICMP vem
uma informação relacionada à mensagem de retorno. Veja abaixo as
principais mensagens que podem vir:

Destination Unreachable (Destino Inalcançável): mensagem

retornada quando um host, uma rede, uma porta ou um
protocolo não puderam ser alcançados.

Time Exceeded (Tempo Excedeu): esta mensagem notifica à

origem que o datagrama não foi entregue devido ao tempo de
vida (TTL) ter expirado.

Parameter Problem (Problema de Parâmetro): esta

mensagem reporta um problema de parâmetro e a detecção de
um erro em virtude disso.

Source Quench (Saturação da Origem): mensagem

geralmente enviada por roteadores de destino ou hosts que são
forçados a descartar datagramas devido a limitações de
disponibilidade do buffer ou quando por alguma outra razão o
datagrama não pôde ser processado.

Redirect (Redirecionar): mensagem enviada para o host

quando um roteador recebe um datagrama que pode ser roteado
por outro gateway. Esta mensagem tem como intuito avisar à
 origem de que é mais eficiente enviar este datagrama por um
outro caminho.

Echo Request e Echo Reply: informa a troca de informações

entre hosts. O Echo Request é gerado pelo host de origem e o
Echo Reply é a resposta gerada pelo host de destino.

Information Request e Information Reply: mensagem usada

para permitir que o host possa descobrir em que rede ele está
ligado.

Figura 3.23 – Cabeçalho ICMP.

Veja na Figura 3.23 o cabeçalho ICMP
informando uma mensagem do tipo Echo Reply,
que foi justamente a resposta para o ping efetuado
e mostrado na Figura 3.22.
Destas mensagens de erro é importante ressaltar
mensagens do tipo “Redirect”. Como é dito na
definição, a função do “Redirect” é otimizar o
roteamento, porém poderá haver um efeito
colateral não esperado no caso de queda do
caminho primário. Os roteadores entendem que,
se o caminho principal cair, eles devem ir por
outro caminho, mas estações de trabalho podem
sofrer com o Redirect. Vejamos o cenário a seguir
para compreender o conceito a partir de uma
situação verídica:
Estávamos fazendo um teste de validação do
ambiente, procurando ver a parte de
disponibilidade caso o roteador principal ficasse
“offline”. Então efetuamos um “ping” para o
servidor da filial remota e o caminho que o pacote
percorreu foi o esperado, passando pelo roteador
primário. Quando desligamos este roteador e
digitamos novamente o ping para o servidor
remoto, esperávamos que a resposta fosse a
mesma, pois o roteador secundário teria rota para
o destino. Porém para nossa surpresa isto não
aconteceu, e ficamos recebendo “Time Out” na
tela.
Após muitas tentativas, resolvemos usar um
analisador de protocolos para capturar o pacote,
então vimos que a estação recebia um “Redirect”
do seu Default Gateway e, com isso, assumia que
o caminho ia sempre pelo roteador primário. OK,
até aí tudo bem, isso realmente é a função do
“Redirect”; o que não sabíamos é que o Windows
cria uma rota estática em sua tabela quando
recebe um “Redirect”. Resultado: com esta rota
estática criada na estação, o pacote não era mais
enviado para o default gateway e ficava tentando
sempre o roteador primário.

Figura 3.24 – Cenário de redundância ao centro administrativo da empresa.

Para resolver o problema, foi necessário desabilitar o “Redirect” no
roteador para que ele não mais enviasse isso para o cliente. A
Microsoft disponibiliza em seu site a solução para este problema,
porém fazer isso nas 1500 estações do cliente era inviável e, por isso,
foi melhor desativar este parâmetro.

Protocolo ARP (Protocolo de Resolução de

Endereço)
O protocolo ARP tem como principal finalidade permitir a resolução
de endereço físico a partir de um endereço lógico. A melhor forma de
entender o funcionamento ARP é ver como ele trabalha. Veja na figura
3.25 todo o processo detalhado.
Figura 3.25 – Processo de resolução ARP.

1. O usuário digitou o comando ping

192.168.1.161.
2. É verificado se este IP é do segmento local ou
remoto.
Se for remoto envia para o default gateway
(roteador).
Se for local procura no cache ARP.
3. O Cache ARP é consultado para saber se
existe um mapeamento do endereço IP
192.168.1.161 para o endereço MAC.
Se existir envia um pacote direcionado.
Se não existir formula um pacote “Broadcast
ARP Request”.
4. Um pacote de Broadcast ARP é formulado e
enviado para todo o segmento. Neste pacote é
 informado o endereço IP e perguntado quem é o
dono deste IP, e quem pode responder
informando o MAC. Como você pôde ver na
Figura 3.25 todas as máquinas do segmento
recebem o broadcast, mas apenas uma vai
responder.
5. O host dono do IP adiciona o endereço MAC
do host que enviou o pacote no seu cache.
6. É então formulado um pacote chamado ARP
Reply e nele colocadas as informações
requisitadas. Este pacote é enviado de forma
direcionada, pois o host já sabe tanto o IP,
quanto o MAC de destino.
7. O host que originou o processo coloca o
MAC do host que respondeu no cache.
8. Agora é formulado um pacote direcionado e a
transmissão de dados pode ocorrer.
Veja agora estes pacotes capturados com o
analisador:
Figura 3.26 – ARP Request.
A única ressalva a este processo é quando um host não é local.
Quando isso acontece o pacote é enviado para o roteador que trata de
procurar o destino de acordo com a sua tabela de roteamento. Mas a
pergunta é: e o ARP que fica no cache da estação é o do destino ou é o
do roteador? É o do roteador, pois, a partir do momento em que o
roteador pega este pacote, é ele quem vai trabalhar com todas as
informações; então no cache da estação que originou os pacotes estará
o endereço MAC do roteador. As Figuras 3.26 e 3.27 ilustram os
pacotes capturados com a requisição e resposta do ARP para um IP
“x” hipotético.

Figura 3.27 – ARP Reply.

RARP (Protocolo de Resolução

de Endereços Reverso)
A princípio pode parecer esquisito, mas há um protocolo chamado
ARP Reverso ou Reverse Address Resolution Protocol. Você já deve
estar se questionando: mas ele sabe o MAC e não sabe o IP?
Exatamente! Isto acontece quando temos estações diskless (estações
sem disco) e não há como ela armazenar seu próprio IP e, então, ele
pergunta qual o seu endereço IP e informa neste pacote o seu endereço
MAC durante a inicialização.
O RARP trabalha de maneira similar ao DHCP na distribuição do
endereço IP às estações sem disco, por exemplo. O serviço é através de
um servidor RARP que deve estar presente em cada segmento da rede,
caso esta seja muito extensa.
Obviamente, se os clientes que fazem uso desse serviço dispuserem
da opção DHCP, é mais recomendado usar este último pela facilidade
de administração e da possibilidade de centralização do serviço de
distribuição. Veja o processo na Figura 3.28 a seguir:

Figura 3.28 – Processo RARP.

O Pacote IP no Roteador
O pacote IP quando chega no roteador recebe um tratamento um
tanto quanto diferenciado. Esta personalização que o roteador faz no
pacote tem como intuito garantir que a entrega deste pacote, no
próximo salto (next hop), seja feita de forma segura e ordenada. Desta
forma, quando o pacote chega ao roteador, ele faz os seguintes
procedimentos:

O TTL (Time to Live) do IP é reduzido em um valor ou até mais

e isto vai depender do tempo em que o pacote permanecerá no
roteador. No caso de congestionamento, ele pode ficar por mais
tempo e com isso ser reduzido mais ainda. Caso o pacote chegue
ao roteador com um TTL próximo de zero, há risco de ele parar
ali e não chegar ao destino, fazendo com que o roteador retorne
uma mensagem de Request Time Out para o originador do
pacote.

O roteador vai verificar a Unidade Máxima de Transferência -

MTU (Maximum Transference Unit) - que está configurada nele
e comparar com o pacote recebido. Caso o pacote seja grande,
ele vai quebrá-lo em vários outros e em cada um vai adicionar
um Flag que indica o fragmento de pacote que vem em seguida
(o primeiro pacote não tem Flag), o Fragment ID, que indica
como todos os fragmentos de pacotes devem ser reagrupados, e
 o Fragment Offset, que indica para o host de destino como ele
deve fazer para reagrupar estes pacotes.
Será calculado um novo CRC para o pacote.
Em seguida é feito um ARP para o próximo salto e, por fim, o pacote
é encaminhado para o destino.
 04 - Fundamentos de Redes e
Ethernet

Introdução
A Ethernet caracteriza-se por ser um padrão que define interfaces,
cabeamentos, protocolos de comunicação e tudo mais necessário para se
criar uma rede LAN Ethernet. Esta rede se tornou um padrão definido e
adotado pelo IEEE (Institute of Electrical and Electronics Engineers) com o
nome (ou código) 802.3 seguido de letras para cada tipo de conexão física.

Figura 4.1 – Apenas um computador acessa o meio, enquanto

os demais aguardam.
A rede Ethernet usa um método de acesso ao
meio baseado em contenção e disputa. Este
método baseia-se no princípio de que apenas um
dispositivo de rede pode usar o meio por vez; com
isso, os pontos de rede disputam pelo acesso ao
meio. Este método é conhecido como CSMA/CD
(Carrier Sense Multiple Access with Collision
Detect). As implementações mais atuais da
Ethernet, como a Fast Ethernet e a Gigabit
Ethernet, também usam o mesmo método de
acesso ao meio no nível de enlace. Diante disso,
muitos pensam que existem inúmeros tipos de
redes Ethernet. No entanto, trata-se de apenas
uma, sob a perspectiva de método de acesso. Com
o CSMA/CD, o IEEE apenas desenvolveu
diversas redes tipo-Ethernet, que usam a mesma
estrutura, dentro do pacote IEEE 802.3.
Veja um exemplo baseado na rede da Figura
4.1:
1. O Host “A” verifica que o meio está ocioso e
acessa para iniciar a transmissão para o Host
“D”.
2. Durante este processo as outras máquinas da
rede se “contêm” em não enviar dados ao meio
físico, pois o cabo está ocupado.
3. O Host “B”, ao verificar o cabo livre, vai
tentar acessá-lo; neste mesmo tempo o Host
“C” tenta também acessar.
4. A “colisão” é detectada e ambos os Hosts não
conseguem transmitir, o que faz com que eles
tenham que aguardar para enviar o sinal.
 5. O algoritmo que prevê a colisão é iniciado
para garantir que ela não ocorra entre estes
hosts novamente e que um deles possa fazer a
transmissão com êxito.
Você pode obter informações detalhadas sobre
este método de acesso no site do IEEE. Acesse:
https://standards.ieee.org/project/802_3.html
Com o método de acesso ao meio e as
diferentes formas que os equipamentos de
conectividade têm para filtrar o tráfego na rede, as
formas de transmissão de sinais no meio ficaram
divididas em:

Domínio de Colisão: aplica-se este conceito

quando temos uma rede cuja segmentação é
feita no nível de enlace. Por exemplo, com
uma bridge que liga dois segmentos, temos
dois domínios de colisão. Com o uso do hub
(que não filtra endereço MAC), temos apenas
um domínio de colisão.

Domínio de Broadcast: este método já se

aplica baseado na camada de rede, onde
 acontecem os roteamentos. Com isso só
haverá mais de um domínio de broadcast se
houver um roteador na rede. Por exemplo,
um roteador de três portas tem três domínios
de broadcast. Já uma bridge de quatro
segmentos é apenas um domínio de
broadcast. O domínio de broadcast também
acumula o domínio de colisão, ou seja, em
um roteador de três portas, temos também
três domínios de colisão.

Figura 4.2 – Domínio de colisão x domínio de broadcast.

É importante ressaltar essa diferenciação e destacar que:

Quando temos um hub, todos os computadores nele conectados

pertencem ao mesmo domínio de colisão e de broadcast.

Quando temos um switch, todos os computadores estão em

domínios de colisão separados (separação por porta), ou seja,
cada interface do switch corresponde a um único domínio de
 colisão, pois esse dispositivo identifica endereços da camada de
enlace (MAC). Contudo, todos os equipamentos ali conectados
pertencem a um único domínio de broadcast (switch não
identifica endereços de camada de rede).

Quando temos um roteador, essa segmentação é total por porta,

ou seja, como dito anteriormente, cada porta representa um
domínio único de colisão e broadcast.

Redes Ethernet e a Camada de Enlace

Como vimos, a camada de Enlace é dividida em duas subcamadas e
a camada de acesso ao meio é responsável por dizer como será
acessado o meio físico para transmissão de dados. O endereçamento
Ethernet usado nesta camada é chamado de endereço de hardware,
endereço físico ou endereço MAC. Este endereço deve ser único no
segmento de rede, ou seja, não poderá haver dois hosts usando o
mesmo endereço MAC; caso exista, teremos um conflito de endereços
físicos, o que é grave na rede.
O endereço MAC (também chamado, em alguns casos, de BIA –
Burned-In Address) fica localizado na placa de rede e já vem interno
de fábrica. Trata-se de um endereço de 48 bits que é escrito em um
formato que assegure que este endereço seja único no mundo todo.
Veja na Figura 4.3 como é feita esta divisão:

Figura 4.3 – Endereço MAC.

O IEEE é responsável por atribuir um identificador único (OUI –
Organizationally Unique Identifier) de 24 bits; os outros 24 bits são
usados pela empresa que fabrica a placa.
A camada de enlace na Ethernet também é responsável por receber
os dados da camada de Rede e prepará-los para transmissão na rede
local usando a camada Física. O tipo de frame Ethernet vai variar de
acordo com o meio físico que está sendo transmitido; com isso existem
diferentes tipos de frames, como podemos ver na Figura 4.4.

Figura 4.4 – Existe uma grande semelhança entre a maioria dos

frames.
Alguns campos do frame são exatamente iguais
à especificação genérica do frame de Enlace, por
isso você reconhecerá alguns, conforme foi visto
anteriormente:

Preâmbulo: responsável pelo sincronismo e

delimitação do início do frame, no caso do
Ethernet II; já no 802.3 ele tem apenas a
função de sincronismo.

DIF (Delimitador de Início do Frame):

mais conhecido pela sua sigla em inglês, que
é SFD (Start of Frame Delimiter), este
elemento de apenas 1 byte está presente
separadamente no frame 802.3 e sua função é
exatamente o que o seu nome se propõe a
dizer, ou seja, delimitação do início do frame.
Endereço de Destino: o endereço físico ou
MAC da placa de rede de destino, com
campo de 48 bits. Se o endereço de destino
for direcionado (unicast) neste campo haverá
o endereço MAC do computador de destino.
Caso seja uma difusão para toda a rede
(broadcast) o endereço físico que aparecerá
será FF:FF:FF:FF:FF:FF, pois a
sinalização é em Hexadecimal.

Endereço de Origem: o endereço físico ou

MAC da placa de rede de origem. Também é
um endereço MAC de 48 bits. Neste campo
não é possível haver endereços de broadcast
ou multicast (difusão para um grupo de
computadores).

Tipo: responsável pela especificação dos

protocolos de nível mais alto após o
processamento de enlace ter sido
completado. Este campo só está presente no
Ethernet II.

Comprimento: responsável por contabilizar

 o número de bytes do campo seguinte, que é
o de Dados. Este campo está presente apenas
no frame 802.3.

Dados: este campo contém as informações

propriamente ditas a serem transmitidas. O
campo pode variar entre 46 e 1500 bytes.
Apesar de este campo ter um tamanho
variável que inicia com 46 bytes, o tamanho
mínimo para transmissão é de 64 bytes; caso
sua informação tenha menos que isso, será
incluído um complemento para preencher o
intervalo necessário.

Sequência de checagem de frame (FCS):

campo que tem como propósito armazenar o
CRC.
Para que você possa ver na prática os pacotes
transmitidos na rede, os exemplos abaixo são
frames capturados entre duas estações usando o
programa de captura Wireshark. Vejamos as
informações existentes em um frame Ethernet na
Figura 4.5:
Figura 4.5 – Detalhe das partes do frame.
A tecnologia Ethernet tem diversas variações
quanto ao encapsulamento do frame. Isso é de
fundamental importância, pois dois DTEs que
desejam conversar precisam imediatamente que,
no nível de Enlace, seja acordada a semântica de
delimitação dos campos e, com isso, formação
correta do frame. Diferentes empresas podem
fazer personalizações no frame, mas essa ação é
transparente para a maioria dos administradores
de rede, pois não há necessidade de configurar
nada no sistema operacional. É possível que
alguns sistemas operacionais tenham problemas
de incompatibilidade entre versões dos próprios
produtos, devido à mudança no formato de
encapsulamento dos dados no nível de Enlace.
Vejamos, então, os tipos de frames Ethernet
comumente utilizados no mercado:

Ethernet II (Padrão DIX – Digital Intel e

Xerox).
 Ethernet 802.3 (Padrão Novell).

IEEE 802.3.

IEEE 802.3 SNAP.

O SNAP é um tipo de frame utilizado por
algumas plataformas específicas. A Cisco, por
exemplo, usa o frame SNAP para encapsular o
protocolo proprietário dela para gerenciamento de
dispositivos, o CDP (Cisco Discovery Protocol).
O SNAP também é usado para otimizar a
comunicação entre a subcamada MAC e as
camadas superiores; para isso, a subcamada LLC
(802.2) faz uso do SSAP (Source Service Access
Point) e do DSAP (Destination Service Access
Point).
Podemos, então, resumir a transmissão do
frame entre dois dispositivos nos seguintes
passos:
1. O Preâmbulo e o Delimitador de início são
inseridos nos seus respectivos campos.
2. Os endereços de Origem e Destino são
 inseridos nos seus respectivos campos.
3. Os bytes de dados do LLC são contabilizados
e o número de bytes é inserido no campo
Comprimento.
4. Os bytes de dados do LLC são inseridos no
campo de Dados; se os bytes de dados forem
menores que 46 bytes, um complemento é
adicionado para preencher o campo.
5. O CRC é gerado e adicionado no final do
frame.
Após o frame ser encapsulado, ele será
encaminhado para o meio físico, porém a forma
com que ele será transmitido depende da forma
com que está operando o meio, no caso em Half
ou Full Duplex.
É importante ressaltar que os dispositivos
Ethernet precisam permitir um período mínimo de
ociosidade entre as transmissões. Este período
mínimo é chamado de Interframe Gap (IFG) ou
Interpacket Gap (IPG), e sua função é fornecer
um breve tempo de recuperação entre os frames,
permitindo que os dispositivos se preparem para a
recepção do próximo frame. Este período de
silêncio compreende 12 bytes para redes Ethernet
de 10 Mbps e 1.2 bytes para redes Fast Ethernet
100 Mbps.

Redes Ethernet e a Camada

Física
Considere a rede da Figura 4.6:

Figura 4.6 – Rede estrela.

Quando um dispositivo de rede vai transmitir,
ele verifica o meio físico para saber se está ocioso
para tal. Neste momento, os outros dispositivos
não podem enviar sinal, pois o meio está
ocupado. Vimos que o controle de acesso é feito
pelo protocolo CSMA/CD. Mas além desta
característica, que foi concebida para as redes
Ethernet, é certo dizer que a topologia padrão
usada na Ethernet é barramento. Isto significa
dizer que o dispositivo transmite o sinal que será
propagado por toda a rede.
Para esta transmissão de sinal, a Ethernet usa
tecnologia de Banda Base, que é padrão para
redes de computadores. Vejamos os principais
padrões IEEE 802.3.
10Base2
Antes de iniciar o contexto sobre redes
10Base2, veja qual o significado desta
nomenclatura na Figura 4.7:

Figura 4.7 – Convenção de nomes usada pelo IEEE.

Neste tipo de rede 10Base2 não existe a figura do Hub ou MAU
(Medium Attachment Unit). Na realidade as funções do MAU são
implementadas dentro da própria placa de rede do computador. A
conexão física entre os dispositivos é feita usando os seguintes
componentes:
COMPONENT DESCRIÇÃO
E
Cabo Coaxial fino ou Thinnet
Conectores BNC – BNC T –
Terminador
A largura de banda oferecida por esta rede é de 10 Mbps e a
distância total do cabo antes de sofrer atenuação é de 185 metros. Os
cabos devem ter a impedância de 50 Ohms, assim como os conectores.
Lembre-se que a atenuação é um fenômeno físico que se dá devido à
perda de energia, devido ao calor ou radiação, ou em um cabo devido à
absorção material ao longo do comprimento. Com isso o sinal
enfraquece e não tem força para chegar ao destino final.
10Base5
Este tipo de rede é muito parecido com a 10Base2, diferenciando-se
apenas pelas conexões físicas. Veja a Figura 4.8.
COMPONENT DESCRIÇÃO
E
Cabo Coaxial grosso ou Thicknet
Conectores AUI de 15 pinos – MAU ou conector
vampiro
As estações de rede são ligadas ao cabo através do MAU que fica
conectado ao cabo coaxial. As placas de rede desta topologia
geralmente têm uma entrada AUI para conexão com o cabo.

Figura 4.8 – Exemplo das conexões na rede 10Base5.

Outra diferença desta rede para a outra é a
distância; esta poderá enviar dados até 500m
antes de sofrer atenuação. Por esta capacidade,
esta rede foi utilizada durante muito tempo como
backbone de LAN.
A especificação 10Base5 é a que originou a
rede Ethernet.
10BaseT
As redes 10BaseT foram um avanço,
principalmente se levarmos em conta que agora
existe independência entre as estações, pois se um
cabo partir, não mais compromete toda a rede.
Veja na Figura 4.9:

Figura 4.9 – Rede 10BaseT.

COMPONENT DESCRIÇÃO
E
Cabo Par trançado sem blindagem UTP ou com blindagem
STP.
Conectores RJ-45
MAU Hub
A distância que esta rede oferece antes de sofrer atenuação é de
100m. Veja a seguir alguns outros padrões oriundos da especificação
original do IEEE:
PADRÃO CABO CONECTOR VELOCIDADE DISTÂNCIA
(Mbps) (M)
10BaseFL Fibra AUI 10 2000
óptica
100BaseT Par RJ-45 100 100
trançado
100BaseTX Par RJ-45 MII 100 100
trançado
100BaseFX Fibra ST ou SC 100 ~400
* óptica
1000BaseT* Par RJ-45 1000 100
* trançado
1000BaseT Par RJ-45 1000 100
X trançado
1000BaseS Fibra SX, fibra multimodo 805nm 1000 550
X óptica
1000BaseL Fibra LX, fibra multi ou 1000 300
X óptica monomodo 1310nm (multimodo)
5000
(monomodo)

10GBaseT Par RJ-45 100 100

trançado**
*
10GBaseLR Fibra LC, fibra monomodo 10000 10000
óptica 1310nm

* Para comunicações half-duplex a distância é de 400m, mas para full-duplex a

distância é de 2000m.
** Publicado pela TIA/EIA-568-B.2 em maio de 2001.
*** Utilizando cabos categoria 6/6A STP ou 7 UTP ou STP.

As redes FastEthernet foram adotadas em junho de 1995 pelo comitê

do IEEE 802; já a rede Gigabit Ethernet foi adotada em junho de 1998.
Para aumentar a velocidade de 100 Mbps usada no FastEthernet para 1
Gbps diversas modificações tiveram que ser feitas na interface física.
Foi verificado e decidido que as redes Gigabit Ethernet teriam que ser
semelhantes às redes Ethernet na camada de enlace para cima. Com
isso a implementação da subcamada MAC para Gigabit Ethernet é a
mesma usada nas redes Ethernet padrão, assim como a implementação
da subcamada LLC. As mudanças para resolver o aumento da
velocidade foram resolvidas mesclando duas tecnologias: IEEE 802.3
e ANSI X3T11 Fiber Channel.
As redes Gigabit Ethernet suportam transmissão sobre três tipos de
cabo de fibra óptica e cabo de cobre de par trançado blindado.
Atualmente, as redes Gigabit estão mais populares, inclusive não mais
restritas a servidores de rede, mas também disponíveis em
computadores pessoais e notebooks.
 As redes 10 Gigabit Ethernet (em algumas bibliografias, TenGigabit)
são encontradas em grandes redes de clientes, provedores ou
backbones, geralmente com a utilização de fibras ópticas. São redes
que, dependendo das interfaces e tipos de fibra, podem alcançar
dezenas de quilômetros.

Cabeamento de Rede
Para que seja possível entender os tipos de cabeamentos usados para
ligar dispositivos Cisco, é necessário entender a implementação LAN
Ethernet na camada Física.
A primeira implementação Ethernet do conector AUI foi chamada de
DIX, devido ao grupo que o desenvolveu, um consórcio das empresas
Digital, Intel e Xerox. Este conector definia uma transmissão de 10
Mbps em um cabo coaxial, o qual chamamos de 10Base5, conforme
você leu na sessão anterior.
Quando estiver projetando sua LAN, é importante entender os
diferentes tipos de meios físicos Ethernet disponíveis. Com certeza
será bem mais produtivo rodar suas aplicações de rede em uma
infraestrutura que use rede Gigabit Ethernet, mas infelizmente nem
sempre podemos implantar tal tipo de rede. Por este motivo um breve
conhecimento sobre as formas de ligação é algo indispensável.
Dentro deste âmbito de cabeamento é importante mencionar a
existência de normas que compõem um modelo de cabeamento
estruturado. Seu principal fator motivacional é manter o meio físico
independente do padrão de rede utilizado e possibilitar movimentação
de equipamentos com facilidade, em caso de mudança de layout.
Através do uso de cabeamento estruturado é possível também
convergir os diversos tipos de cabos existentes na rede.
Podemos citar também as principais normas que regem o modelo de
cabeamento estruturado existente no mercado:

EIA/TIA-568 “Commercial Building Telecommunications

Wiring Standard” (US).

ISO/OSI (Open Systems Interconnection).

 IBCS - Integrated Building Cabling System (Europa).
Em suma, as normas definem cinco partes macro para a
padronização das diversas áreas envolvidas no cabeamento
estruturado:

Equipamentos: locais de armazenamento.

Cabeamento vertical: cabos que ligam a sala dos equipamentos

até os painéis de distribuição.

Cabeamento horizontal: cabos que ligam os painéis de

distribuição até os postos de trabalho.

Postos ou Área de trabalho: tomada fixa que atende um

computador ou telefone.
Na Figura 4.10 podemos perceber vários aspectos acerca do
cabeamento estruturado. Entre elas é que na área de trabalho não há
apenas uma estação, mas também um telefone que utiliza a mesma
infraestrutura de cabeamento, dando aí um leque de imensas
oportunidades e flexibilidade para a infraestrutura da empresa.
Analisando o cenário do cabeamento horizontal, podemos dizer que na
maioria das vezes ele é dimensionado para transmissões de
100Mbps/1Gbps com cabo de cobre UTP (iremos falar um pouco mais
sobre este cabo ainda neste capítulo); já o cabeamento vertical, ou
backbone, tende a ser de fibra e com taxas de transmissões de 1 ou
10Gbps. Claro, estamos falando aqui de um cenário corporativo que
está cada vez mais comum na prática de mercado, ou seja, a adoção
deste modelo de velocidades não é uma regra. Vejamos a definição de
alguns elementos citados na Figura 4.10:
Figura 4.10 – Exemplo de uma rede estruturada.

Patch Cord: pequeno segmento de cabo que faz a ligação de

um patch panel a outro, um hub ao patch panel ou ainda uma
tomada a uma estação de trabalho.

Patch Panel: é o componente do cabeamento estruturado que

permite a alternância entre o serviço disponibilizado para o
cabeamento horizontal / backbone.

Tomada: ponto fêmea para entrada de conexão entre o

segmento de cabo que vem do painel de distribuição com o que
vai daí até a estação.
Há muito que se falar sobre cabeamento estruturado, porém a ideia
aqui é apenas sensibilizá-lo quanto à existência de um padrão e uma
visão geral sobre os seus componentes, até mesmo porque não é o foco
da prova cobrar um maior detalhamento.
Conexões UTP
No cabeamento UTP (unshielded twisted pair) o conector padrão é o
RJ-45. Trata-se de um conector bem simples, onde os oito fios
existentes no cabo UTP são inseridos na jaqueta do conector que tem
oito pinos. Confira na tabela e acompanhe na Figura 4.11.
COR DO FIO PA T568 T568
R A B
Branco/Azul 1 5 5
 Azul 1 4 4
Branco/Laranj 2 3 1
a
Laranja 2 6 2
Branco/Verde 3 1 3
Verde 3 2 6
Branco/Marron 4 7 7
Marron 4 8 8

Figura 4.11 – Conector RJ-45 e sua pinagem.

Conforme mostra a tabela, os cabos seguem
dois padrões de pinagem. O TIA/EIA 568A, onde
o par 3 consiste de dois pinos 1 e 2. No TIA/EIA
568B, o par 3 consiste dos pinos 3 e 6. O padrão
TIA/EIA 568A é comumente usado em
aplicações de voz analógica usando duas linhas,
enquanto o TIA/EIA 568B é a especificação de
pinagem mais comum usada para aplicações de
dados.
Apesar de o desempenho ser idêntico, fique
atento para não misturar os dois esquemas de
cabeamento TIA/EIA 568A com TIA/EIA 568B
na mesma infraestrutura de cabos, pois as
tomadas não funcionarão.
A pinagem do cabeamento simples, ou ligação
direta (straight-through), pode ser usada nas
seguintes situações:

Conexão do roteador com o hub.

Conexão do servidor com o hub ou switch.

Conexão de uma estação com um hub.

Figura 4.12 – Exemplos da utilização da conexão direta.

Uma outra implementação de cabeamento UTP,
chamada Crossover, é necessária quando se está
ligando uma estação de rede a um roteador
diretamente ou quando se conecta:
 Um hub a um switch.

Um hub a outro hub.

Uma porta de uplink entre switches.

Um computador diretamente com outro (PC-

PC).
Para identificar um cabo Crossover, segure as
duas extremidades do cabo, como mostra a Figura
4.13, e coloque uma ao lado da outra; desta forma
você poderá ver os fios coloridos. O pino 1 do
conector A e o pino 3 do conector B devem ser da
mesma cor. O pino 2 do conector A e o pino 6 do
conector B também devem ser da mesma cor. A
diferença do cabo direto (straight-through), como
apontado, é que nos dois lados a sequência é
idêntica.
Figura 4.13 – Verificação do cabo Crossover.
Os cabos UTP são divididos em categorias. Estas categorias definem
a largura de banda disponível para transmissão de dados. Essas
categorias foram definidas pelo EIA/TIA 568. São elas:
VELOCIDADE (MBPS)
CATEGORI
A

CATEGORI VELOCIDADE (MBPS)

A
3 10
4 16
5 100
5e 1000
6 1000
6a 10000
7* 10000 (*) ainda não definida e reconhecida pela
ANSI/TIA/EIA
Figura 4.14 – Transmissão de sinais no padrão 1000Base-T.
Uma pequena observação a fazer perante as categorias 5 e 6 é
relacionada ao fato de as duas terem a mesma velocidade; aí surge a
pergunta: qual a diferença entre estes dois tipos? Bem, o propósito da
especificação TIA/EIA-854, que é chamada de 1000Base-TX
(categoria 6), diferencia-se da especificação original do 1000BaseT
para fornecer menor complexidade e menor custo à especificação
física do Ethernet e, com isso, poder facilmente ser implementada por
vários tipos de fabricantes, em contraste com a alta complexidade e
dispendioso valor necessário para implementação do padrão 5e.
A categoria 6a já é adotada pela Cisco na implantação de redes 10
Gigabit em cabos de cobre. Algumas famílias de seus produtos de
Switching já contam com essa facilidade.

Fibra Óptica
A fibra óptica é um dos meios de transmissão mais modernos e
revolucionários da atualidade, tornando-se, assim, bastante utilizado
em sistemas de telecomunicações e redes de computadores. As fibras
são filamentos muito finos de vidro e são organizadas em feixes
chamados de cabos ópticos, usados para transmitir sinais de luz que
podem viajar por grandes distâncias. De fato, o vidro não absorve a luz
do núcleo, porém a maioria dos sinais luminosos tende a se degradar
devido às impurezas existentes no material e das ondas de transmissão
da luz.

Figura 4.15 – O processo básico chamado de reflexão da luz acontece no transcorrer

da luz pelas paredes de vidro.
As fibras ópticas podem vir em dois modos:

Monomodo: único modo de propagação, ou seja, os feixes de

luz percorrem um só caminho.
 Multimodo: vários modos de propagação, com os raios
podendo percorrer diversos caminhos.
Façamos então um resumo básico destes dois tipos de fibra na tabela
a seguir:
TIPO VANTAGENS DESVANTAGENS
Monomod Maiores distâncias. Difícil alinhamento no caso de
o Taxas de transmissão mais emendas.
altas. Alto custo.
Multimod Mais flexível e fácil de alinhar. Distâncias menores.
o Baixo custo. Taxas de transmissão mais baixas.

Figura 4.16 – Tipos de fibra.

Redes Sem Fio (Wireless LAN)

As redes sem fio (wireless network, ou redes
Wi-Fi) geralmente são implementadas de duas
formas diferentes, podendo ser baseadas em uma
LAN ou em um link entre dois prédios. A
interação entre a rede com fios e a sem fio está
ainda mais em evidência nos dias de hoje. Através
deste tipo de tecnologia é possível interligar a
atual infraestrutura de rede cabeada com ligações
a pontos sem fio. Este tópico será mais abordado
no capítulo 20, exclusivo sobre o tema, ficando
aqui uma introdução com referência ao tema
Fundamentos de Redes.
Para que a implementação das redes sem fio
seja possível, é necessário que exista um
equipamento chamado Ponto de Acesso (Access
Point) que, ligado ao hub ou switch, recebe as
requisições dos clientes. Estes clientes, por suas
vezes, precisam ter uma placa WLAN (Wireless
LAN) para poder se comunicar ao ponto de
acesso.
Um dos grandes desafios das redes sem fio foi
manter a interoperabilidade entre os diversos
fabricantes de hardware e software. Para permitir
que exista uma interoperabilidade, o IEEE criou o
padrão 802.11, que foi homologado como padrão
em julho de 1997. Neste padrão, as tecnologias de
transferência DSSS (Direct Sequence Spread
Spectrum) e FHSS (Frequency Hopping Spread
Spectrum) foram definidas. A tecnologia DSSS
varia de uma taxa de transmissão entre 2 e 11
Mbps, enquanto a tecnologia FHSS varia de 1 a 2
Mbps.
 Este intervalo de velocidade de transmissão
pode variar devido a uma série de fatores. A
distância é o principal deles. Em alguns casos a
distância entre o Ponto de Acesso e o cliente pode
ser de até 150 metros.
Atualmente as velocidades das redes sem fio já
ultrapassam 100Mbps e o IEEE definiu os
padrões 802.11 nas versões “a”, “b”, “g”, “n”.
Outras versões mais rápidas seguem em
desenvolvimento, como a 802.11ac (desde 2013)
e “ax”, mais recente.
No quesito segurança, as redes WLAN já
evoluíram bastante, trazendo uma série de
melhorias para tornar a comunicação mais
confiável, com uso de protocolos e criptografias
mais robustas, impedindo acesso aos dados
transmitidos.
Você certamente já usou ou usa uma rede
wireless no trabalho ou em casa. Para cada
ambiente, há pequenas distinções sobre como a
rede é montada e os componentes utilizados para
permitir a conectividade.
Figura 4.17 – Exemplo de uma rede Wireless LAN.

Redes Domésticas ou de Pequena Escala

Usualmente em redes domésticas ou em
pequenas empresas ou escritórios a rede é
estabelecida a partir de um roteador sem fio
fornecido pela provedora de acesso à Internet.
Esse equipamento contempla algumas funções
embutidas facilmente identificadas:

Modem (Cable Modem): recebe o sinal,

geralmente por cabo, da provedora
(NET/Claro , Vivo Speedy/Fibra, OI Velox,
entre outros) e habilita a conexão com a
Internet.
 Roteador: interliga a conexão WAN
(Internet) com a LAN (usuários), fazendo o
roteamento de pacotes IP.

Switch: permite conexão de múltiplas portas

LAN com fio, através de cabos UTP.

Access Point (AP) ou Ponto de Acesso: faz

a interligação dos dispositivos sem fio com a
rede cabeada.
Nessas redes, o AP é quem define todos os
parâmetros da rede sem fio e atua de maneira
autônoma, controlando e autenticando
dispositivos, segurança, o nome da rede SSID
(Service Set IDentifier) etc. Em um único
dispositivo você configura e estabelece facilmente
a rede sem fio de pequeno alcance e já sai usando.
Redes Corporativas e Controladores
Wireless
As redes domésticas, explicado no tópico
anterior, têm um alcance limitado ao raio de ação
do roteador sem fio, logo, ao sair daquele
ambiente a conexão cai e você deverá se conectar
em outra rede, se quiser ter acesso à Internet, ou
voltar à sua rede se quiser ter acesso a seus
dispositivos novamente.
Em redes corporativas (enterprise), o ambiente
é mais amplo e pode se estender por vários
andares ou salas de um edifício. Deste modo,
seria complicado ter um Access Point para cada
100 ou 150 metros com SSIDs distintos, exigindo
conexão, cadastro e autenticação repetidas vezes
em cada um de seus dispositivos (computadores,
smartphones, etc).
Assim, criou-se o conceito de Controladores
Wireless (Wireless LAN Controllers - WLC), que
permite que o usuário circule por qualquer área,
um refeitório, sala de reunião, escritório etc.,
usando seu computador sem a necessidade de
novo processo de localização de rede e nova
autenticação.
O Controlador Wireless é um equipamento
centralizado, conectado à rede com fio que define
todos os parâmetros da rede sem fio, como SSID,
autenticação, entre outros. Já os usuários se
conectam através de dispositivos AP
simplificados (Lightweight Access Point ou
LWAP), que têm a função de apenas encaminhar
os pacotes da rede com fio para a rede sem fio.
Os LWAPs podem ser entendidos como simples
antenas da rede wireless e quando um usuário se
conecta a eles, há uma comunicação inicial com o
Controlador Wireless para autenticação e
autorização, para então iniciar a conexão com o
restante da rede. Eles usam um protocolo
denominado Control And Provisioning of
Wireless Access Points, ou CAPWAP para se
comunicarem com o WLC.
Como a “inteligência” da rede está no
Controlador e todo o tráfego dos dispositivos sem
fio passam por ele, então, o usuário poderá
transitar por qualquer área da empresa sem que
haja queda de conexão, simplesmente transitando
entre um AP e outro. Uma analogia para melhor
entender o conceito é pensar em como funciona
seu celular. Onde quer que você esteja, você
segue com sinal e com o mesmo número, fazendo
e recebendo ligações. Como o Controlador
Wireless em uma empresa, basta espalhar os
LWAPs por várias salas e andares, que seu sinal
seguirá ativo e a conexão fluindo normalmente,
sem queda.

Modelo Hierárquico da Cisco

O modelo de hierarquia em três camadas (3-
Tier) usado pela Cisco tem como principal intuito
mostrar as funcionalidades dos equipamentos de
redes, modulados conforme a necessidade. Para
entender a importância destas camadas, use como
parâmetro o modelo OSI, cuja cada camada tem
uma função e, com o uso destas camadas, as
tarefas são simplificadas. O modelo hierárquico
de inter-redes também usa este conceito, onde
cada nível tem funções específicas, o que ajudará
o profissional de redes a escolher o melhor
sistema a ser utilizado.
A modularidade em um projeto de redes
permite que você projete elementos que podem
ser replicados conforme o crescimento da rede,
deixando-a escalável e com alta disponibilidade,
embora os custos possam aumentar. Esta
modularidade permite a prevenção de problemas
criando sistemas de tolerância a falhas. Um
projeto hierárquico de redes inclui as seguintes
camadas:
 Camada de Backbone ou Núcleo (Core).

Camada de Distribuição.

Camada de Acesso.
Cada camada tem suas devidas
responsabilidades. Porém, lembre-se de que estas
três camadas são lógicas e não necessariamente
têm dispositivos físicos atrelados a ela. Lembra-se
do OSI? Pois é, ele é outro modelo hierárquico
onde as sete camadas descrevem as funções, mas
não necessariamente os protocolos. Com isso em
mente, vejamos então cada camada.

Figura 4.18 – Modelo hierárquico – 3 camadas (3-Tier).

Camada de Núcleo
Como o nome mesmo diz, esta camada é o
núcleo da rede. Como você viu na Figura 4.18,
ela é o topo da hierarquia, responsável por
transportar grandes quantidades de dados e por
gerenciar a maior parte do tráfego. O principal
intuito desta camada é comutar o tráfego da
maneira mais rápida possível. Essa camada
também se caracteriza por não fazer nenhum tipo
de manipulação no pacote (controle de lista,
filtragem, etc.).
Em provedoras de telecomunicações as
camadas Core fazem o transporte de dados em
larga escala, por exemplo, interconectando
roteadores Core de suas redes, quando presente
em diversas regiões, através de links de alta
capacidade (múltiplos de 10 ou 100Gbps). Nessa
camada, apenas o tráfego é levado de um lado a
outro, sem filtros ou controles adicionais, por
exemplo, excetuando regras de roteamento.
Camada de Distribuição
A camada de distribuição da rede é um ponto de
demarcação entre a camada de acesso e o núcleo.
O propósito desta camada é fornecer definições
de limite e fazer manipulações no pacote. Em um
ambiente grande (um campus de uma
universidade, por exemplo), a camada de
distribuição é responsável por diversas funções.
Veja o exemplo de algumas:

Endereço de agregação de rede.

Acesso departamental ou a grupos de

trabalho.

Definições de broadcast e multicast.

Roteamento entre VLANs (LANs virtuais).

Segurança.
Em um ambiente menor, a camada de
distribuição pode ser um ponto de redistribuição
entre os domínios de roteamento ou a demarcação
entre os protocolos de roteamento estático e
dinâmico. A definição desta camada pode ser
resumida dizendo-se que: a camada de
distribuição fornece conectividade baseada em
políticas.
No exemplo das provedoras de
telecomunicações, nesta camada poderá haver
controles de priorização de pacotes dentro das
redes de distribuição, como a leitura de
marcadores de qualidade de serviço (QoS), por
exemplo.
Camada de Acesso
A camada de acesso é o ponto em que o usuário
local pode acessar a rede. Esta camada também
pode estar implementando listas de acesso ou
filtros para otimizar a necessidade particular de
um usuário. Em um ambiente grande, esta camada
funciona como:

Largura de banda compartilhada.

Filtragem de MAC.

Filtragem da camada MAC.

Microssegmentação.
Em um ambiente menor, a camada de acesso
pode estabelecer acesso remoto a outros locais da
empresa, usando tecnologias WAN como VPN,
ADSL, etc. As camadas de redes são definidas
para ajudar o projeto de rede e para representar as
funcionalidades distintas da rede.
Em suma, a forma com que as camadas são
implementadas depende da necessidade do
projeto de rede, porém, para que a rede funcione
de forma otimizada, a hierarquia tem que
continuar existindo.
No mesmo exemplo das provedoras de
telecomunicações, aqui é possível identificar
também os pacotes de entrada e saída com
priorização em qualidade de serviço (QoS),
protocolos permitidos, interconexão com
protocolos de roteamento com clientes finais,
listas de acesso e outros controles de proteção da
rede backbone da provedora.

Modelo de dois níveis – núcleo

fechado (collapsed core)
Em alguns cenários de rede é possível suprimir
a camada núcleo simplificando a estrutura e
delegando algumas das funções à camada de
distribuição. Denomina-se esse esquema como
Dois Níveis ou 2-Tier, ou sem núcleo (collapsed
core). Em redes Campus (Campus LAN), há um
nível que será responsável para dar acesso aos
usuários (camada de acesso) e outro nível para
fazer a interligação em malha cheia ou parcial dos
switches concentradores (camada de distribuição).
As definições de cada nível seguem a mesma
descrição mencionada anteriormente, bem como
suas funções.
A diferença nesse modelo é a dispensa da
camada superior, o que deixa a rede menos
complexa, conforme Figura 4.19.

Figura 4.19 – Modelo de dois níveis (2-Tier / collapsed core)

Nesse modelo de dois níveis, é possível
encontrar topologias distintas que permitem a
organização da rede e provê redundância para
situações de falha, que devem ser consideradas
pelo engenheiro de redes. Das topologias usuais
temos:

Rede Estrela (star): na qual um nó

centraliza vários pontos de acesso a usuários,
por exemplo, um switch que conecta 24
usuários. Sendo ele o ponto central, as
derivações fazem com que o desenho se
pareça uma estrela.

Malha completa (full mesh): todos os

switches de uma determinada camada,
distribuição geralmente, possui interligação
em pares uns com os outros. Em uma rede
com 4 switches, teríamos 6 links conectado
todos com todos. A quantidade de links é
determinada pela fórmula n(n-1)/2, onde “n”
é o número de nós da rede. No exemplo, 4*
(4-1)/2=6.

Malha parcial (partial mesh): similar à full

mesh, porém nem todos estão conectados
 entre si.

Híbrida (hybrid): uma mistura de todas, em

um desenho maior de rede e mais complexo.
Nas provedoras de telecomunicações é usual ter
uma rede mais simplificada também, com redes
hibridas ou partial-mesh, interconectando
hierarquias maiores entre si e deixando os
roteadores das camadas de Acesso com ligações
apenas ao Core, mas não entre si.

Figura 4.20 – Tipos de topologias de rede: 1-estrela, 2-partial mesh, 3-full mesh, 4-
híbrida.
Em soluções SDN (Software-Defined Network), que veremos no
capítulo sobre Automação mais adiante, é comum usar esse arranjo 2-
Tier para estrutura de switches, cuja denominação comum é
Spine/Leaf Architecture. Essa arquitetura de dois níveis tem a mesma
distribuição de tarefas, ou seja, na camada Spine (espinha ou
backbone) é onde roda o maior fluxo de tráfego e direciona para os
switches menores, na camada Leaf (folha). A troca de tráfego entre os
switches Leaf sempre se dá via um Spine, nunca diretamente. Como na
Figura 4.19, switches Leaf não se conectam diretamente, mas sim com
todos os Spine que fazem a distribuição. A arquitetura Spine/Leaf
também pode ser encontrada como Rede Clos (Clos Network), em
homenagem a um dos criadores.

Redes LAN SOHO (Small Office/Home

Office)
As redes SOHO são redes LAN baseadas em Ethernet com uso mais
reduzido, em uma residência ou pequeno escritório. A característica
básica desse tipo de rede LAN é a presença de um switch para
concentrar as conexões Ethernet, seja via cabo, ou até mesmo via
Wireless, com função de roteamento ou não.
Atualmente, os provedores de internet residencial ou corporativa de
menor porte (pequenos negócios) já fornecem equipamentos
compactos com múltiplas funções: switch para conexão via cabo com
4 ou 8 portas, conexão via wireless, conexão ao cabo WAN da
provedora, roteador e algumas funções de firewall.
Se você tem ou conhece quem tenha um cable modem, que é o
dispositivo que a provedora fornece, notará que ele tem essas
funcionalidades e conexões, o que torna sua rede residencial numa
rede LAN SOHO.

PoE – Power over Ethernet

A estrutura de rede convencional depende do cabeamento UTP ou
STP para conexão dos dispositivos de redes e computadores e também
depende da infraestrutura de rede elétrica do edifício a fim de
energizá-los com tensão 127/220V. Os projetistas de infraestrutura
devem pensar nas duas arquiteturas, seja para transmissão de dados,
seja para alimentação de cada equipamento de rede. Em geral, os
custos são ampliados pela utilização de cabos e tomadas para cada fim,
isto é, rede de dados ou energia elétrica.
Com intuito de otimizar a estrutura de cabos, reduzir custos, bem
como organizar a arquitetura de rede em geral, foi concebida a
tecnologia Power over Ethernet ou Energia Elétrica pela rede Ethernet.
O PoE permite que um dispositivo ligado ou powered device (PD)
receba energia através do mesmo cabo de rede quando conectado a um
switch com essa funcionalidade, o PSE (power sourcing equipment ou
equipamento de fornecimento de energia).
Esse PSE é um switch especial que fornece energia aos PDs. Os PDs
podem ser telefones IPs que possuem apenas um cabo de rede e não há
cabos ou conexões adicionais para ligar na energia ou fonte de
alimentação. Deste modo, um conjunto de salas de escritório podem
ter telefones IPs apenas conectados à rede de dados, sem necessidade
que haja tomadas por perto para que tenham alimentação elétrica para
funcionar.
O PoE é um conceito que a Cisco trabalha desde 2000, mas ao longo
dos anos, o IEEE criou os padrões gerais para esse tipo de tecnologia,
como o PoE 802.3af, PoE+ 802.3at, UPoE e UPoE+ ambos como
802.3bt. As distinções ficam a cargo da potência elétrica suportada em
uma porta PoE.
Como descrito, o PoE permite levar energia através do cabo de rede.
Sua utilização permite conectar AP (pontos de acesso) wireless,
câmeras IP, telefones IP e outros dispositivos voltados à internet das
coisas (IoT).
Na Figura 4.21 temos um exemplo de telefones IP e um access point
wireless conectados a um switch com portas PoE. Obviamente, apenas
o switch está conectado à tomada elétrica para alimentar a si mesmo e,
através das portas PoE, alimentar os demais dispositivos. O mesmo
cabo de rede leva energia e conectividade de dados, simplificando a
infraestrutura de cabeamento. O desenho da rede e a capacidade de
alimentação dos dispositivos devem ser dimensionadas corretamente,
para que a capacidade de fornecimento de energia pelo switch seja
suficiente. Com UPoE+ 802.3bt (Universal Power over Ethernet),
padrão mais recente do IEEE, o PSE pode fornecer de 60 a 100 watts.
Figura 4.21 – Rede LAN com PoE (power over ethernet).

Análise de Cenários
Após termos visto todo este aparato de tecnologias, onde uma gama
delas se refere à LAN, temos que ter a sensibilidade adequada de saber
quais os cenários de uso e o que estes cenários esperam de uma
infraestrutura bem planejada. Neste momento vale salientar que, no
mundo atual, um dos elementos mais importantes de qualquer solução
de infraestrutura é a interoperabilidade; além disso, é preciso também
delimitar bem o que o cliente precisa e, então, podemos indagar uma
série de fatores como:

Convergência de tecnologias,

Coexistência entre tecnologias,

Migração de tecnologia.
Mas nem sempre o que o cliente precisa é, também, a premissa dele;
na realidade a premissa é um elemento que não pode faltar durante a
implantação do projeto e, com isso, podemos citar algumas
comumente utilizadas:

Desempenho,

Redução do custo,
 Integração,

Qualidade do serviço.
Por fim, podemos dividir os cenários conforme o resumo da tabela
abaixo:
TIPO DE DESCRIÇÃO PREMISSAS
CENÁRI
O
Pequeno Tipicamente é composto de um prédio e a redundância •Ethernet
Porte não é uma premissa. O custo passa a ser um dos Compartilhada
grandes fatores. ;
• Suporte às
aplicações.
Médio Consiste de um grande prédio ou diversos prédios, • Segurança.
Porte projetados para alta disponibilidade, performance e • Aumento da
gerenciabilidade. Este tipo de campus é também largura de
chamado de collapsed backbone. banda
disponível;
• Migração do
meio
compartilhado.
Grande Tipicamente conecta múltiplos prédios através de um • Intranets
Porte backbone de alta velocidade localizado no campus corporativas;
principal. • Alta
disponibilidade
de banda para
as aplicações.
A adequação da rede a um modelo hierárquico, também categorizado
com a descrição do seu porte, facilita bastante a correta implantação e
manutenção da infraestrutura. Este tipo de categorização facilita o
entendimento das origens do tráfego, assim como da flexibilidade para
controlar este tráfego.
Em linhas gerais, podemos dizer que o fluxo de tráfego pode ser
influenciado por algum ou vários motivos relacionados a seguir,

Adição de mais usuários nos segmentos existentes,

Aumento da centralização dos recursos,

 Meio físico inadequado,

Ativos de rede inadequados,

Negociação errônea,

Consolidação das Redes.

Assim, cabe sempre ao Analista ou Projetista de Redes compreender
a estrutura, os modelos e o uso a fim de preparar um desenho que
permita escalabilidade e interoperabilidade.
 05 - Redes Locais Ethernet
(Ethernet LAN)

Introdução
Todos sabemos as deficiências e limitações que existem quando se
trabalha em uma rede onde existem hubs. Como o hub compartilha o meio e
funciona apenas como um repetidor de sinais, torna-se notável que a adição
de mais computadores ao hub irá diminuir o desempenho da rede como um
todo. No segundo capítulo foi mostrado de qual camada do modelo OSI o
hub faz parte, lembra-se? Está na camada 1, Física. O hub não tem
inteligência suficiente para diferenciar entre endereço de origem e de
destino dentro de um frame e todos os computadores que estão conectados
ao hub recebem este sinal. Hoje em dia é fácil chegar à conclusão de que o
hub é um problema para a atual demanda de rede. É um meio baseado em
difusão que pode facilmente tornar-se o “gargalo” de toda a sua
infraestrutura.
No princípio, o hub era algo que melhorava o ambiente de rede, quando
comparado com a topologia barramento, que usava um meio único
compartilhado. Todavia, ainda não era a forma mais otimizada de
transmissão para grandes redes. Vieram então as bridges, que se propunham
a segmentar a rede, criando uma divisão no nível de enlace, na qual cada
segmento tinha seu conjunto de máquinas.
Porém esse método ainda pecava na comunicação dentro do segmento e
se era possível implementar a tecnologia de bridge por segmento, por que
não implementar por porta? Veio então o switch, um equipamento
extremamente necessário nas implementações de rede nos dias de hoje. No
início era comum implementar redes onde havia switches interligando hubs,
uma espécie de segmentação no nível de enlace. Atualmente os hubs são
raros de serem encontrados em uso nas redes ou até mesmo para venda, por
conta do melhor desempenho que o switch proporciona.
Na Figura 5.1 temos novamente aquela topologia simples de rede, sendo a
primeira com um hub e a segunda com um switch. As topologias físicas são
idênticas, mas as funcionalidades são extremamente diferentes, pelos
conceitos apresentados aqui: desempenho.

Figura 5.1 – Topologias físicas com hub e switch são idênticas.

No primeiro caso, quando a máquina A se
comunica com o servidor, ao mandar uma
mensagem para o meio físico, esta percorre todo o
barramento, acessando cada uma das máquinas,
além do destinatário. Obviamente, essas
mensagens são descartadas, caso o destino não
seja o servidor, isto é, quando a máquina B recebe
os dados de A, ela os descarta, pois o destino é
outro.
No segundo caso, o processo de comunicação é
direto, saindo de A e indo direto ao servidor, sem
passar pelos outros dois hosts, sem congestionar o
meio enviando mensagens desnecessárias. Isso
acontece pela característica dos switches, que
trabalham na camada de Enlace, o que permite a
leitura do endereço físico do destino. Assim o
tráfego é direcionado ao destino correto, unica e
exclusivamente.
Com todos estes aspectos, não é difícil
convencer um cliente a obter um switch, ou até
mesmo a trocar todos os seus hubs por switches,
se é que ainda haja quem os tenha em uso. Basta
lhe mostrar um pouco como cada um funciona,
bastando dizer que um hub com 24 portas de 100
Mbps compartilha esta velocidade proporcional
para cada porta, ou seja, cada porta poderá
trabalhar com até 4 Mbps aproximadamente, se
todas estiverem em uso.
Já com o switch, cada porta vai trabalhar a 100
Mbps dedicados e não vai gerar tráfego
desnecessário para todas as portas. A origem se
comunica com o destino diretamente através de
um circuito fechado ponto a ponto. A Figura 5.2
apresenta uma analogia de funcionamento dos
dois exemplos anteriores.
Uma outra vantagem do switch é que ele
permite a comunicação múltipla entre os
computadores conectados, ao contrário do hub,
que transmite um por vez. Voltando à nossa rede
da Figura 5.1, significa dizer que, enquanto o host
A envia dados ao servidor diretamente, o host B
pode falar com o host C também de maneira
direta, sem congestionar o meio e sem aguardar
que A conclua sua transmissão.

Figura 5.2 – Analogia às formas de trabalho do hub e do switch.

Segurança também é um ponto importante que
se ganha com o uso de switches. Em uma rede
baseada em hub todos os dados estão disponíveis
para todas as estações conectadas ao segmento.
Qualquer pessoa com acesso ao hub e com um
software analisador de protocolos, como o
Wireshark (gratuito), poderia monitorar e capturar
dados que estivessem trafegando no meio. Isto
não é possível com uma LAN baseada em switch,
porque a origem envia dados para o destino de
forma direcionada (unicast), fazendo com que
esse tráfego não se torne disponível para os outros
computadores ligados no mesmo switch.
Os switches também podem ser descritos de
acordo com sua capacidade de atuar em distintas
camadas. São elas:

Switch de Camada 2,

Switch de Camada 3,

Switch Multicamadas.
Os dois primeiros são comumente utilizados em
uma rede LAN convencional. O Switch de
Camada 3 significa que o switch possui um
módulo de roteamento embutido, dando-lhe
características de um roteador, que lê pacotes na
camada 3 com endereços IP.
Já o Switch Multicamadas (ou MLS –
Multilayer Switching) é aquele que possui
recursos que vão além da camada 2, com
capacidade de ler pacotes de camada 3 (como o
IP, por exemplo) e protocolos da camada 4 ou
superior. Alguns fabricantes apresentam
equipamentos multiuso que trazem recursos de
camada 7, ou seja, capazes de fazerem controle de
conteúdo, filtros, firewall etc. O switch da série
MDS 9000 da Cisco é um exemplo de
equipamento modular com suporte a protocolos
de diversas camadas.

Switch Camada 2
No modelo OSI, a camada 2 é responsável pela
formação dos quadros ou frames. Esses quadros
são os que contêm o endereço físico MAC. A
segmentação acontece no nível de enlace (camada
2) através da detecção do endereço MAC e
encaminhamento para a porta de destino. Os
switches ou as switches (há textos que colocam o
artigo feminino para a palavra switch) aprendem
os endereços MAC à medida que são trocadas
informações entre os computadores da rede
O switch usa um chip chamado de ASIC
(Application-Specific Integrated Circuit) para
construir e manter a tabela de filtros; este chip
permite uma melhor otimização nas tarefas de
encaminhamento e leitura do frame.
Como a semelhança entre o switch e a bridge é
totalmente perceptível, para o público leigo é
comum dizer que um switch é uma bridge
multiportas, porém esta afirmação é totalmente
errônea, e no decorrer desta explanação iremos
identificar os motivos. Por não terem a
capacidade de olhar informações da camada de
rede (camada 3) do modelo OSI, os switches nível
2 são mais rápidos; apenas informações
pertinentes ao nível 2 (ou também camada 2) são
tratadas, como o endereçamento MAC, na origem
e no destino.
Porém nem tudo é perfeito e o switch nível 2 se
depara com os mesmos problemas que ocorriam
no cenário de bridges. Lembre-se que a bridge
quebrava a rede em segmentos de colisão ou
domínios de colisão, porém a rede como um todo
continuava sendo um único e grande domínio de
broadcast. Os switches de nível 2 também têm
essa mesma característica, ou seja, não dividem a
rede em domínio de broadcast.
Você deve pensar que bridge e switch são
equipamentos tão próximos na funcionalidade que
tanto faz usar um quanto outro, mas, como já foi
dito, o switch realiza a tarefa da bridge em várias
portas; além disso, ainda existem os pontos-chave
abaixo que devem ser considerados:

As bridges geralmente são implementadas

via software enquanto os switches são
baseados em hardware, pois usam um chip
baseado em ASICs para auxiliar nas decisões
de filtragem.

Uma bridge só pode ter uma instância

Spanning Tree por bridge, enquanto os
switches podem ter mais de uma (Spanning
Tree é um protocolo de gerenciamento de
link que fornece redundância nos caminhos
enquanto previne loops indesejáveis na rede.
Iremos detalhar mais adiante, no Capítulo
13).
Figura 5.3 – Switch nível 2 no modelo de camadas OSI.
Os switches têm funções bem demarcadas,
porém podemos caracterizá-los em três partes
detalhadas adiante:

Leitura de Endereço: os switches aprendem

os endereços MAC de acordo com a
comunicação existente na rede e, com isso,
monta uma tabela, a qual vai crescendo na
medida que os computadores trocam
informações entre si.

Decisões de Encaminhamento e Filtragem:

os switches filtram o frame recebido pelo
endereço MAC, não permitindo que o frame
seja enviado para todos os computadores.
 Prevenção de Loop: se na rede existir uma
ligação entre múltiplos switches, seja para
oferecer redundância, ou expandir a rede, é
possível que venham a existir loops. Para
prevenir isso, todo switch usa o protocolo
STP (Spanning Tree Protocol) ou
equivalentes.
Reiterando o conceito de broadcast, trata-se do
envio de informações de nível 3 (Rede) a todos os
dispositivos de um mesmo segmento físico. O
hub, além de ter todas suas portas como parte do
mesmo domínio de broadcast, elas também fazem
parte de um único domínio de colisão. Domínio
de colisão, por analogia, acontece pelos múltiplos
acessos ao meio físico, onde os hosts tentam
enviar dados no momento em que o meio está
ocupado. Utilizando um switch, isso não
acontece, pois os dados são enviados porta a
porta, ou seja, o domínio de colisão é separado
por porta, como ilustrado na Figura 5.4:
Figura 5.4 – Separação de domínios de colisão no switch.

Funções do Switch Nível 2 – Leitura de Endereços

Como foi dito, switch de nível 2 é caracterizado pela leitura do
endereço físico (MAC Address). Porém, quando o switch é iniciado, a
tabela de endereçamentos MAC está vazia. Esta tabela chama-se CAM
Table (Content Address Memory) e fica temporariamente armazenada
em memória RAM, ou seja, é volátil (se perde ao desligar o
equipamento). Quando um nó de rede transmite um sinal, este frame é
recebido pelo switch através da porta à qual está conectado e, então, o
switch captura o endereço de origem e coloca em sua tabela,
vinculando este MAC à porta. Conforme outros computadores iniciam
transmissões de dados, essa tabela vai sendo preenchida e, no caso de
haver dois endereços MAC na tabela, já é possível fazer uma
transmissão ponto a ponto entre os dois nós de rede:
Switch# show mac address-table
Mac Address Table

Vlan Mac Address Type Ports

1 0026.51a7.8482 DYNAMIC Gi0/1

1 0064.400b.270f DYNAMIC Gi0/2
1 0019.07ab.9880 DYNAMIC Gi0/3
Funções do Switch Nível 2 – Decisões de Encaminhamento e
Filtragem
Essa tabela de endereço, que é montada sob demanda, também é
utilizada para que o switch possa tomar decisões de encaminhamento e
filtragem dos frames. Quando o frame passa por uma porta do switch,
o endereço MAC de destino é comparado com a base de dados de
Encaminhamento e Filtragem de MAC. Desta forma, se o endereço de
destino está nessa base de dados, o frame é enviado apenas à devida
porta listada. Além de prevenir o congestionamento da rede, traz uma
melhoria na largura de banda disponível. Caso o endereço de destino
contido no frame Ethernet não esteja nesta tabela, o frame será
transmitido a todas as outras portas, exceto à porta que o originou.
Além deste cenário, no qual o endereço não constante na tabela é
enviado para toda a rede, temos ainda o caso de frames broadcast e
multicast, que são enviados para mais de uma porta.
O IEEE define três tipos de categorias para endereços MAC
Ethernet:

Endereços Unicast: endereço MAC (físico) que identifica uma

interface de rede LAN.

Endereços de Broadcast: endereço específico que determina

que todos os hosts do segmento LAN devem receber a
informação e processá-la. O endereço físico de destino
broadcast deve ser FFFF.FFFF.FFFF.

Endereços de Multicast: estes endereços possibilitam a

comunicação de um grupo determinado (configurável) de
dispositivos em uma LAN.
Funções do Switch Nível 2 – Prevenção de Loop
Para alguns cenários de implementação de switch, é uma ótima
prática usar links redundantes entre eles, o que garante uma maior
disponibilidade de acesso.
Figura 5.5 – Cenário de múltiplos caminhos
para garantir alta disponibilidade.
No entanto, ao passo que múltiplos links são usados em alguns
casos, eles também podem causar alguns erros que podem ser muito
prejudiciais à sua rede. Vejamos alguns deles:

Difusão de Broadcast: também conhecido como “tempestade

de broadcast” (broadcast storm). Se nenhum tipo de prevenção
de loop existir na rede, um broadcast pode tomar uma dimensão
de tráfego que vai decrementar sensivelmente o desempenho
geral. Considerando que o switch tem uma tabela de endereços,
uma vez que outro switch se conecta a ele, o primeiro divulga
seus endereços ao segundo. Este por sua vez, após atualizar sua
tabela, envia ao primeiro uma nova atualização. Esse ciclo
(loop) permanece de maneira infinita, até o congestionamento
da rede, que normalmente acontece em questão de segundos.

Múltiplas cópias de Frames: como o frame pode ir por vários

caminhos para chegar ao destino, uma cópia de múltiplos
frames, ao chegar no switch, vai causar um resultado
inesperado, pois a consulta na tabela de endereços MAC ficará
confusa na hora de escolher para onde encaminhar o frame.

Múltiplos Loops: um frame loop pode acontecer dentro de um

outro loop, pois não haverá como a switch fazer suas tarefas de
comutação dos frames.
O Switch em Ação
Para resumir o funcionamento de um switch de nível 2 com base nas
suas funções mostradas anteriormente, partiremos do momento em que
é iniciado na rede.

Figura 5.6 – Fluxo inicial de um switch.

A partir da inicialização do switch, a tabela CAM está vazia e
continuará assim até que exista a total convergência dos dispositivos.
Você deve estar pensando: “Se a tabela está vazia, então como ele vai
direcionar o frame para o computador de destino?” Nesta condição
inicial, por falta de opção, ele vai fluir o frame para todos os
segmentos e todas as portas, conforme Figura 5.6.

Figura 5.7 – Funcionamento normal do switch com a tabela CAM completa.

A partir deste momento foi armazenado o endereço de origem na
tabela. O destino será armazenado logo em seguida, quando o
computador de destino responder à requisição feita. Com isso podemos
concluir que o estado inicial de um switch pode levar a uma impressão
errônea do funcionamento dela. Para o usuário final, o início do
funcionamento é o mesmo que antes, quando no lugar do switch havia
um hub. Com o decorrer do tempo toda a tabela será montada e não
mais haverá esse problema, a não ser que o switch seja reiniciado; aí
não tem jeito, a tabela é zerada. Agora que a tabela está construída por
inteiro, fica fácil ver o funcionamento real do switch. Veja as etapas
conforme Figura 5.7:
1. O host de origem, cujo endereço MAC é 02004C4F4F50, envia
uma informação para o host de destino, cujo endereço MAC é
003008D4F3F4.
2. O switch intercepta o curso do frame e consulta a tabela para
verificar qual o destino para este frame.
3. Verifica-se que o endereço consta na tabela e redireciona-se o
frame para o host de destino, na porta correspondente.
Se no passo 2 o switch verificar que o endereço de destino não está
na tabela, o frame será repassado para todas as portas. Adicionalmente,
vale informar que o tempo de montagem da tabela é questão de fração
de segundo, ou seja, praticamente transparente para o usuário.

Expandindo a Rede com Switches

Para ver como funciona a interligação entre switches, vamos
conceber um cenário onde exista a necessidade de interligar vários
segmentos de rede. No cenário a seguir temos uma empresa de
consultoria em contabilidade que ocupa três andares de um edifício,
como mostra a Figura 5.8:
Figura 5.8 – Rede com switches interligados.
Observe que existem dois switches no segundo
andar justamente para oferecer um nível adicional
de redundância, pois os frames poderão passar
pelo Switch A ou pelo B e conseguirão chegar ao
seu destinatário.
No exemplo da Figura 5.8, o cliente 02 inicia
uma comunicação com o cliente 07 e quando o
frame chega no Switch A, é consultada a tabela
de MACs. Para que esse frame chegue ao destino,
existem dois caminhos:
1. Do Switch A, ele pode descer diretamente
 para o cliente 07 através do caminho físico (e
hubs) inferior, ou.
2. Pode subir e ir ao Switch B através do
caminho físico (e hubs) superior, que depois
envia para o cliente 07.
Se a segunda opção for escolhida, a mesma
coisa acontecerá no Switch B, ou seja, ele vai
verificar que para chegar ao destino é possível ir
por dois caminhos. Neste impasse é que se origina
o loop e a rede pode até ficar inoperante. Para
prevenir isto, os switches têm um mecanismo que
impede o loop.
Quando a tabela de um switch fica com estes
dois caminhos e tomando decisões erradas, é
chamada de “Trashing the MAC Table” ou Tabela
MAC com Lixo. O protocolo Spanning Tree é
usado para prevenir este tipo de inconsistência.
Este cenário traz hubs como elementos de
acesso de maneira ilustrativa, para auxiliar na
compreensão dos conceitos de rede. Embora seja
um cenário possível, uma estrutura de rede, na
prática, só utiliza switches devido aos benefícios
aqui apresentados e ao baixo custo destes
equipamentos. Como foi dito, torna-se cada vez
mais difícil encontrar hubs para comercialização
pelo motivo de não oferecer o desempenho e a
escalabilidade desejada para as estruturas de rede
e o site da própria Cisco não os oferece mais.

Modos de Switching
Já vimos como acontece toda a tramitação de
frames em um switch, porém é importante frisar
que o tempo de resposta dele depende do modo
em que esteja operando. Estes modos são
basicamente os seguintes:

Store and Forward (Armazenar e

Encaminhar): neste modo o frame de dados
é recebido por completo no buffer do switch,
a checagem de consistência é executada
(Frame Check Sequence ou FCS) e o
endereço de destino é localizado na tabela de
filtragem de endereços MAC.

Cut-through (Pegar um atalho): este modo

é otimizado, pois o switch espera que seja
recebido apenas o endereço MAC de destino
para iniciar a localização do endereço na
 tabela. Como o quadro Ethernet tem o campo
do endereço MAC no início, esse modo já
toma a vantagem de direcionar para o
destinatário, embora não seja feita a
verificação de erros.

Fragment Free (Livre de Fragmento):

verificou-se que a possibilidade de haver
erros em um frame geralmente acontecia nos
primeiros 64 bytes; este método verifica
exatamente estes primeiros 64 bytes do frame
antes de encaminhá-lo. Estando correto, o
switch já inicia o encaminhamento sem a
verificação do FCS, em um tempo
ligeiramente maior que no processo Cut-
through, mas ainda mais rápido que o Store
and Forward.

Figura 5.9 – Métodos de encaminhamento do frame.

Pela descrição mostrada na Figura 5.9, cada método fica mais óbvio
e o Store and Forward é o que tem maior tempo de espera ou a também
chamada “maior latência”, pois ele copia todo o frame para o buffer. A
maioria dos Switches Cisco usa este método por se tratar do mais
seguro (sem erros). Para este método, quanto maior o Frame, maior o
tempo de espera.
Tendo conhecimentos do modo de trabalho dos switches e suas
principais características você passa a ter subsídios suficientes para um
bom aproveitamento no exame. Os detalhes de switch camada 3 não
são cobrados.
 06 - Conceito e Operação de
LANs Virtuais (VLAN)

Introdução
No capítulo anterior vimos quão importante é a implementação de
switches em uma rede local (LAN). Nem sempre é necessário ter um
roteador em uma rede, mas é necessário ter desempenho e segmentação, e
os switches podem ajudar bastante nesse sentido.
Agora iremos ver como fazer melhor uso de switches no intuito de
segmentar uma rede em blocos, melhor dizendo, LANs Virtuais ou
simplesmente VLANs.
O funcionamento normal de um switch de nível 2 coloca cada segmento
(porta) com seu próprio domínio de colisão e todos os segmentos (portas)
em um único domínio de broadcast, como você pode ver na Figura 6.1.

Figura 6.1 – Esquema básico de rede com Switch.

Em uma rede com este formato existem algumas deficiências que
podem ser consideradas críticas para alguns ambientes, principalmente
quando se trata de segurança. Um dos principais motivos é o fato de
todas as máquinas poderem ter acesso a todos os dispositivos que estão
distribuídos pela rede. Adicionalmente, os dispositivos podem ouvir
broadcast e responder a eles, pois, como foi mostrado antes, todos os
segmentos estão em um único domínio de broadcast. Através do uso
de VLAN, é possível criar segmentos logicamente separados que irão
filtrar este tipo de tráfego. Podemos citar outras características:

Controle sobre o Broadcast: fornece isolamento completo

entre VLANs. Uma VLAN é um domínio de segmentação ou
“bridge domain” e todo tráfego, seja ele broadcast ou multicast,
é feito internamente.

Desempenho: este agrupamento lógico de usuários permite, por

exemplo, que desenhistas que trabalham com softwares pesados,
como aplicações CAD, sejam agrupados em uma VLAN
separada das outras com intuito de segmentar o tráfego. O
broadcast é mantido dentro daquela VLAN específica,
desonerando a carga da CPU do switch.

Figura 6.2 – Diferença entre a segmentação física da rede e a segmentação com

VLAN.

Melhor gerência da rede: o agrupamento lógico de usuários

não está vinculado à localização física ou geográfica. Tornando-
se assim desnecessário que se passem cabos para interligar
máquinas que tenham que pertencer ao mesmo segmento. Isso
torna a adição/remoção de máquinas na rede mais flexível.
 Além disso, também diminui o investimento.
Uma LAN Virtual é um recurso que permite o estabelecimento de
uma rede topologicamente hierárquica. A divisão ocorre de forma
lógica, porém, para os olhos do usuário, há uma divisão física. É
importante salientar que nem toda rede que usa switch terá
mandatoriamente a implementação de VLAN. Entretanto, quando se
implementa VLAN na rede, é possível criar grupos de broadcast e
controlar melhor o tráfego, sendo uma boa prática no planejamento e
operação da LAN.

Figura 6.3 – Grupo de computadores em VLANs diferentes.

No exemplo da Figura 6.3, cada grupo de computadores está
logicamente separado do outro e eles não conseguirão trocar dados
entre si. Contudo, é possível fazer com que, mesmo estando em
VLANs diferentes, os computadores possam se comunicar. Para tal,
deve haver um dispositivo de nível 3 para fazer esta comunicação entre
VLANs, ou seja, um roteador ou switch de camada 3, como na
topologia da Figura 6.2.
O switch, por padrão, já possui uma VLAN atribuída e ela associa
todas as portas com sua tag. É a VLAN 1 ou Native VLAN (nativa),
definida pelo padrão 802.1Q. Um termo que também define essa
VLAN1 é VLAN Padrão (default VLAN), ambos se referindo à tag 1
na configuração básica com:
switchport access vlan 1
Portas de VLAN
Um dos principais componentes na configuração das VLANs são as
portas, afinal é através delas que as estações tornar-se-ão membros de
uma ou outra VLAN. Dentro deste contexto, é importante frisar quais
os modos em que uma porta poderá ser definida. Podemos ter os
modos:

Acesso Estático: onde é configurado manualmente com qual

VLAN aquela porta vai trabalhar.

Trunk 802.1q: neste modo a porta será membro de todas as

VLANs como padrão, pois é uma porta que suporta uplinks
entre switches e que precisa passar informações sobre múltiplas
VLANs usando o padrão do IEEE 802.1q.

Acesso Dinâmico: este tipo de acesso é atribuído via VMPS

(VLAN Membership Policy Server), que funciona como um
“servidor” que atribui portas às VLANs dos switches clientes.
Para isso é preciso ter equipamentos que suportem essa
funcionalidade.

VLAN de Voz: trata-se de uma porta que, ao invés de ser ligada

a um computador, será ligada a um telefone IP da Cisco. Esse
modo já ajusta a porta do switch com algumas configurações
específicas para VoIP, ativando o CDP, QoS e outros serviços.
Uma das capacidades da VLAN é poder se expandir entre switches
tornando a escalabilidade da rede mais segura. Os switches exercem
um papel fundamental em uma rede que utiliza VLAN, pois é através
dele que os diferentes tipos de frames são identificados e direcionados
para a porta apropriada. Através da identificação destes frames é
verificado à qual VLAN o frame pertence. Existem dois tipos
diferentes de ligações ou links em um ambiente com switch:
 Ligação de Acesso (Access Links): qualquer dispositivo que
esteja atrelado a um link de acesso não será considerado
membro da VLAN. Este dispositivo apenas assume que é parte
do domínio de broadcast, sem nenhum entendimento sobre a
rede física. O switch retira qualquer informação de VLAN do
frame antes de enviar para o dispositivo de link de acesso. Os
dispositivos vinculados a estes links não podem se comunicar
com membros de outras VLANs diretamente, a não ser que o
frame seja encaminhado para um roteador ou que o switch seja
de nível 3, conforme dissemos.

Ligação Troncal (Trunk Links): este tipo de link é usado para

transportar VLANs entre dispositivos. Ele é suportado em Fast,
1 Gigabit ou 10 Gigabit Ethernet. Para que o frame possa se
identificar informando à qual VLAN pertence, é possível
especificar duas técnicas suportadas pela Cisco. São elas: ISL e
802.1q, detalhadas mais adiante neste capítulo.

Figura 6.4 – Tipos de ligações com switches.

Identificando o Frame
Como foi falado anteriormente, os switches precisam identificar os
frames que passam pelas suas portas, ou seja, uma forma de trilhar o
que os usuários estão tramitando no segmento e nas VLANs.
Figura 6.5 – Formato do cabeçalho Ethernet padrão 802.3 ao se adicionar um tag.
A identificação do frame ou Frame ID é atribuída de forma única.
Este tipo de implementação é também chamado de VLAN ID ou ID
Color. O VLAN ID permite que o switch possa tomar decisões
inteligentes baseadas em informações que estão embutidas no frame.
Esta característica de adicionar informações no cabeçalho do frame
também é chamada de VLAN Tagging.
O VLAN Tagging foi concebido pensando na escalabilidade e é
usado quando frames Ethernet atravessam um link do tipo Trunk. O
marcador (tag) da VLAN é removido antes de sair do link trunk. O
processo de passagem do frame por cada switch pode ser das formas
abaixo:

Cada switch em que o frame passa precisa identificar a VLAN

ID do frame para determinar o que fazer com ele baseado na
tabela de filtro.

Se o frame passar por uma porta que leva para um outro link do
tipo trunk o frame será encaminhado para a porta de saída do
link trunk.
Após o frame passar e sair do link, fica a cargo do switch remover o
identificador de VLAN (VLAN ID) para que o dispositivo final receba
o frame sem ter que entender a identificação de VLAN. É necessário
remover este TAG, pois a estação final não está preparada para receber
frames acima do tamanho normal do Ethernet; caso a estação receba
este tipo de frame, ela deverá descartá-lo, pois será considerado um
frame gigante. Esse comportamento se resume em dizer que apenas
dispositivos com suporte a VLAN identificam tais frames. Por outro
lado, atualmente existem equipamentos com placas de rede que
suportam VLAN tagging, isto é, que conseguem ler as marcações de
VLAN; isto pode ser aplicado a servidores, melhorando ainda mais a
escalabilidade da rede.
Figura 6.6 – Identificação do Frame entre VLANs.
Vale ressaltar que existem determinados tipos de ataques de rede em
que a estação poderá emular uma porta trunk de switch e receber
informações sobre VLAN; é o chamado “VLAN Hopping Attack”.
Com tais placas que suportam tagging, isso se torna mais evidente e
requer soluções de segurança que contornem isso. Uma boa prática é
aplicar segurança de portas em switch (port-security) onde apenas o
MAC autorizado faz conexão com a rede, evitando o Hopping Atack.
Para maiores informações sobre este ou outros tipos de ataques,
verifique no site: https://www.sans.org/reading-room/

Padrões de Identificação
Existem várias formas de identificar um frame quando ele está
passando por um link do tipo trunk. Vejamos a seguir as mais usadas.
Inter-Switch Link (ISL)
Este método proprietário é usado para trocar informações de VLAN
e só pode ser usado entre dispositivos Cisco (roteadores e switches).
Qualquer link do tipo Fast ou Gigabit Ethernet que esteja configurado
como trunk usa o método ISL. Embora seja um método bastante
eficiente, criado bem antes do padrão IEEE, é possível que algumas
versões do IOS ou switches não tenham essa funcionalidade e, por essa
razão, a Cisco tem oferecido maior suporte ao padrão 802.1q.
Cada frame ISL consiste em um cabeçalho ISL de 26 bytes de
comprimento e 4 bytes de CRC para assegurar a entrega do frame. As
informações de VLAN estão contidas no cabeçalho do frame. Pelo fato
de termos um encapsulamento sobre o frame Ethernet original, o ISL é
considerado um processo externo, ou seja, o frame original mantém-se
intacto. Após o encapsulamento o frame ficará com cerca de 1522
bytes, 4 bytes maior que o frame Ethernet padrão.
802.1q
É o protocolo padrão para interconexão de múltiplos switches e
roteadores, além de definir a topologia de VLANs. O processo básico
para interconexão e definição de topologias de VLAN é o mesmo.
Envolve os passos de habilitar o protocolo na interface, definir o
formato de encapsulamento IEEE 802.1q e personalizar o protocolo de
acordo com os requisitos do ambiente.
O fator motivacional para criação e homologação do 802.1q foi
devido ao crescimento das redes e da necessidade de criar em um só
switch métodos que permitissem quebrá-lo em diversos domínios de
broadcast, permitindo que em uma porta fosse possível “carregar”
informações sobre múltiplas VLANs. A porta do switch que precisar
ser configurada para o padrão 802.1q será considerada porta do tipo
Trunk, como vimos anteriormente. É o método mais recomendado para
redes de computadores heterogêneas, sobretudo pelo motivo de
expansão, que pode fazer com que a rede passe a ter switches de
diversos fabricantes.
O padrão 802.1q modifica o frame Ethernet padrão acrescentando
alguns campos conforme mostra a Figura 6.7:

Figura 6.7 – Frame com o 802.1q.

Vejamos qual a função dos campos acrescentados:

TPID (Tag Protocol ID): indicação do tipo de tag em uso.

 P (Priority): nível de prioridade de 0 a 7.

CFI (Canonical Format Indicator): indica se o MAC em uso é

canônico; no caso do Ethernet este valor é 0.

VID (VLAN ID): indica a que VLAN o frame pertence.

Configuração de VLANs
Durante a criação de VLANs é importante lembrar que o intervalo
normalmente permitido para esta criação é entre 1 e 1005. Neste
intervalo já existem criadas as VLANs 1 e a faixa 1002-1005.
Podemos ir até 4094 com as VLANs estendidas (extended VLAN). As
configurações destas VLANs criadas automaticamente podem ser
vistas através do comando show vlan executado no modo privilegiado.
Se você não estiver familiarizado com sintaxe de comandos e demais
termos da interface, não se preocupe, mais adiante abordaremos em
detalhes e você poderá voltar a este capítulo para reforço.
As VLANs de 1002 a 1005 são reservadas para redes Token Ring e
FDDI e não podem ser apagadas, bem como a VLAN 1, nativa,
atribuída a todas as portas inicialmente. Vejamos abaixo o exemplo da
criação de VLANs:
Switch# configure terminal
Switch(config)# vlan 30
Switch(config-vlan)# name ADM30
Switch(config-vlan)# end

Na segunda linha é digitado o número da VLAN que se está criando,

ou modificando, e a atribuição de nome para a VLAN, no terceiro
passo, é opcional. Para excluir esta VLAN basta usar o comando “no”
na frente do comando vlan.

Após a criação da VLAN podemos fazer o vínculo da porta com a

devida VLAN. Vejamos como fazer:
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
 Switch(config)# interface fastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 30
Switch(config-if)# end
Switch#

Agora que já temos a criação da VLAN e a atribuição da porta de

VLAN mapeadas, podemos visualizar as configurações através dos
comandos a seguir:
COMANDO FUNÇÃO
Switch# show vlan [vlan- Mostra o estado atual de todas as VLANs ou somente da
id] especificada no parâmetro
Switch# show interfaces Mostra características da interface de VLAN
vlan [vlan-id]
Switch# show vlan Mostra parâmetro para todas as VLANs
Também é possível criar VLANs de maneira simplificada ou curta,
fazendo a atribuição direta da porta a uma VLAN desejada, mesmo
que ela não tenha sido criada. Se ela não foi configurada previamente,
o sistema a cria automaticamente. Observe:
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int eth0/3
Switch(config-if)#switchport access vlan 45
% Access VLAN does not exist. Creating vlan 45
Switch#show vlan
VLAN Name Status Ports

1 default active Et0/0, Et0/1, Et0/2

45 VLAN0045 active Et0/3
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

Ao ingressar na interface eth0/3 e associá-la na VLAN 45, o switch

responde “creating vlan 45”, pois esta não existia. Ao verificar o
resultado como comando show vlan, é possível localizar a nova
VLAN criada e a porta associada.

Configuração de Portas TRUNK

O termo trunk vem de troncal, tronco ou backbone. Essa interface
permite, como já visto, a passagem de múltiplas VLANs. É a interface
que interliga um switch a outro, ou um switch ao roteador.
Para configurar uma interface do switch no modo trunk, temos uma
sintaxe bem simples. Primeiro, devemos definir o tipo (ISL, dot1Q ou
negociável). O modo negociável é o DTP (Dynamic Trunking
Protocol) que permite eleger ISL ou dot1Q automaticamente.

Switch(config-if)#switchport trunk encapsulation ?

dot1q Interface uses only 802.1q trunking encapsulation when
trunking
isl Interface uses only ISL trunking encapsulation when
trunking
negotiate Device will negotiate trunking encapsulation with
peer on interface

Depois, devemos configurar o modo da porta:

Switch(config-if)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
dot1q-tunnel Set trunking mode to TUNNEL unconditionally
dynamic Set trunking mode to dynamically negotiate access or
trunk mode
private-vlan Set private-vlan mode
trunk Set trunking mode to TRUNK unconditionally

Para trunk, devemos selecionar switchport mode trunk, fixando-a

nesse estado.
É possível também deixar a interface no modo de espera, isto é,
aguardando a negociação do switch vizinho para se tornar (ou não) um
trunk:

Switch(config-if)#switchport mode dynamic ?

auto Set trunking mode dynamic negotiation parameter to AUTO
desirable Set trunking mode dynamic negotiation parameter to
DESIRABLE

No modo Auto, a porta fica aguardando a negociação, mas não a

inicia com o switch vizinho. No modo Desirable, ela inicia a
negociação e provoca uma porta em Auto para que negocie e se torne
um trunk.
Para validar as configurações, usamos:
Switch# show int trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 1-4094

A interface aparece como trunk com protocolo 802.1q (dot1q) e em

seguida as VLANs permitidas pelo trunk, no caso, todas.
Para restringir quais VLANs podem passar, podemos configurar
individualmente ou com uma faixa englobando várias:
Switch(config-if)#switchport trunk allowed vlan
900,1234,1300-1399
Switch(config-if)#do show run int fa0/1
!
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 900,1234,1300-1399
switchport mode trunk
end

No exemplo criamos duas entradas para as VLANs 900 e a 1234

individualmente e uma faixa, partindo da 1300 até a 1399. Qualquer
outra VLAN será impedida de passar pelo trunk.
Caso você necessite agregar uma nova VLAN a essa troncal, basta
colocar a mesma sintaxe com o comando ADD antes do número.
Lembre-se de usar esse parâmetro, ou você excluirá todas as
configurações anteriores e permitirá apenas a nova VLAN, causando
interrupção do tráfego para as VLANs já configuradas.
Switch(config-if)#switchport trunk allowed vlan add 1401
Switch(config-if)#do sh run int fa0/1
!
interface FastEthernet0/1
switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 900,1234,1300-1399,1401
switchport mode trunk
end

Observação: em algumas versões do IOS o comando “add” vem

depois do número da VLAN. Em caso de dúvidas, usar sempre a ajuda
“?” na própria linha, antes de executar a configuração.
07 - Endereçamento IPv4

Introdução
Um dos tópicos bastante exigidos no exame CCNA é o cálculo de
endereçamento IP, que requer do candidato conhecimento sobre este
protocolo e, também, como dimensionar redes com o uso otimizado de
endereços em redes distribuídas física ou geograficamente.
Um host (seja ele um computador ou um equipamento de rede) é
identificado em uma rede baseada em TCP/IP através do uso do seu
endereço IP (Internet Protocol). Este endereço é um número lógico que
deve ser único e exclusivo no segmento no qual se encontra o host. Ao
passo que temos o endereço de enlace, que é o MAC do host, o endereço IP
é um número lógico de camada 3 (Rede).
Introduzida em 1983, a norma IPv4 implementou um padrão de
numeração composto por 32 bits, divididos em quatro blocos de 8 bits
separados por pontos ou 4 blocos em decimal, possibilitando 232
(4.294.967.296) combinações possíveis de endereços. Esses endereços são
controlados por uma organização central chamada IANA (Internet Assigned
Numbers Authority – www.iana.org) que distribui, para cada região, seus
respectivos blocos. No Brasil, os blocos mais conhecidos são 200/8, 201/8,
189/8, 177/8 e alguns outros (mais adiante, veremos o que significa essa
representação com barras). Existem várias formas de se identificar um host
em uma rede; dependendo do método que esteja em uso, a forma com que
se vai fazer o acesso é diferente. Vejamos as formas utilizadas pelo TCP/IP:
MÉTODO DE EXEMPLO
CAMADA ENDEREÇAMENTO
TCP/IP
Transporte Acesso via número da Porta TCP 23 (Telnet)
Internet Acesso via IP 192.168.1.200
Acesso à Rede Acesso via Endereço MAC 00-E0-18-DC-C0-
C3
Cada endereço IP é composto por duas partes, identificando não somente
o host, mas também a rede lógica na qual o host está. É uma forma de poder
se localizar facilmente um elemento de rede baseado apenas neste número.
Essa estrutura de blocos, rede e host, pode ser ilustrada com o esquema a
seguir, apresentado de maneira simplificada na Figura 7.1:

Figura 7.1 – Rede simples com esquema de endereço rede-host.

Nesse esquema simplificado, temos quatro hosts, sendo três estações
e um servidor. Considerando o primeiro bloco o endereço de rede e o
segundo bloco (após o ponto) o endereço do host, temos em um
mesmo segmento físico duas redes lógicas distintas, a rede 4 e a rede
5. Para que todos se comuniquem, devem estar na mesma rede. Se
mudarmos o servidor e a estação da rede 4 para a rede 5,
conseguiremos a comunicação de todos? Das estações, não haveria
problema, mas o servidor, por ter endereço 4.1, ao modificar para a
rede 5, ficaria 5.1, que já está atribuído a um host. Logo, para o
servidor, dois ajustes deverão ser feitos, na rede e no host, por
exemplo, usando o 5.3.
Voltando ao endereço IP convencional, os 32 bits que compõem o
endereço IP são divididos em quatro partes chamadas de octetos. Estes
4 octetos (cada um composto de 8 bits), ou 4 bytes, são obrigatórios
durante o cadastro do número em um host. A representação do
endereço, como dito anteriormente, é feita com a separação dos octetos
com pontos, normalmente apresentada em sua forma decimal, que na
verdade representam (convertidos) a respectiva porção binária, como
apresentado na Figura 7.2.
Esses octetos são formados por oito bits que devem ser
representados por 1 (um) ou 0 (zero), que depois são convertidos em
decimal, para facilitar a compreensão. É muito importante se lembrar
dessa característica, pois tudo que falarmos sobre endereçamento IP,
estaremos o tempo todo nos referindo a números decimais e suas
representações binárias e vice-versa.

Figura 7.2 – Porção rede e porção host do endereço IP.

Como cada bit pode ser apresentado como 1 ou 0, dentro de um
octeto teremos, então, uma variação de 00000000 até 11111111, o que
é equivalente a 256 combinações, indo do decimal 0 (inclusive) até o
decimal 255.
O endereço IP da Figura 7.2 pode, então, ser representado com seu
respectivo binário, ficando:
11000000.10101000.00000010.01100100

Para uma melhor compreensão das formas de cálculo de endereço IP,

é importante conhecer bem a lógica binária e a aritmética necessária
para conversão. Reiterando, esse conceito é essencial para o exame do
CCNA, pois há diversas questões que não somente requerem cálculos,
como o conhecimento dos padrões utilizados para endereçamento.
Assim, a recomendação que fazemos é: praticar, praticar, praticar.

Conversão Decimal/Binária/Decimal
Existem várias formas de converter de binário para decimal e vice-
versa. Iremos sugerir uma, porém, se você já tiver um método que
esteja mais acostumado a usar, fique à vontade, o importante é buscar
aquele que seja o mais conveniente e mais rápido, para que, no
momento do exame, as questões de endereçamento não lhe tomem
mais do que vinte segundos. Acredite, é possível!
Números binários são formados por zeros e uns (0 e 1) que, juntos,
vão compondo um número diferente a cada combinação. Vejamos,
assim, a conversão de decimal para binário, no caso do número 200.
Figura 7.3 – Conversão de Decimal para Binário.
Como você pode notar, é simples, basta dividir o número por dois,
anotar o resto e depois pegar e agrupá-los de trás pra frente ou de
baixo para cima, como na Figura 7.3. Portanto, a representação binária
do decimal 200 é:
11001000

Agora de binário para decimal, precisamos utilizar uma tabela de

conversão, que coloca cada bit em sua posição binária equivalente.
Para isso iremos usar o número binário anterior, que resulta no valor
decimal 200:
+signi -
f signif
27 2 2 2 2 2 2 20
6 5 4 3 2 1
128 6 3 1 8 4 2 1
4 2 6
1 1 0 0 1 0 0 0
Colocamos aqui cada bit em sua respectiva posição. Veja que temos
o número menos significativo à direita (2 0) e o mais significativo à
esquerda (27). Essas potências são a representação decimal de cada
posição do número binário. Para fins de memorização podemos
considerar a potência (7 até 0) ou o decimal (128 a 1).
Convertendo, portanto, o binário 11001000 em decimal, somamos
todos aqueles decimais representativos que têm o bit 1 abaixo. Deste
modo, teremos a seguinte equação:
128+64+8 = 200

Implicitamente, o que acontece aqui é a seguinte fórmula:

(1 x 128) + (1 x 64) + (0 x 32) + (0 x 16) + (1 x 8) + (0 x
4) + (0 x 2) + (0 x 1) = 200

Esse cálculo provém do conceito “AND” (E) da aritmética binária,

que nada mais é do que uma multiplicação simplificada. Como
sabemos que todo número multiplicado por zero resulta em zero, logo,
simplificamos a regra dizendo que apenas aqueles que têm o bit 1
serão somados.
Façamos outro exemplo, tanto na conversão decimal->binário,
quanto o inverso. Vale o leitor pegar outros números como exemplos
para praticar. Como estamos falando de endereçamento IP,
recomendamos apenas números decimais de 0 a 255.
Número decimal 143:
143/2 = 71 (resto 1)
71/2 = 35 (resto 1)
35/2 = 17 (resto 1)
17/2 = 8 (resto 1)
8/2 = 4 (resto 0)
4/2 = 2 (resto 0)
2/2 = 1 (resto 0)

Pegando o último resultado 1 e todos os restos, indo de baixo para

cima, teremos o binário:
10001111

A prova real pode ser feita com o caminho inverso, utilizando a

tabela de conversão já apresentada:
12 6 3 1 8 4 2 1
8 4 2 6
1 0 0 0 11 11
Some todos os decimais que têm um número 1 correspondente logo
abaixo e você verá que resulta em 143.
Caso o número seja pequeno, deve-se completar com zeros na parte
mais significativa. Não altera o valor, mas preenche as lacunas do
endereço IP que deve manter a estrutura de 8 bits. Utilizemos como
exemplo o número 38:
38/2 = 19 (resto 0)
19/2 = 9 (resto 1)
9/2 = 4 (resto 1)
4/2 = 2 (resto 0)
2/2 = 1 (resto 0)

O resultado aqui dá um número binário 100110, de apenas seis bits.

Como dissemos, o número binário se compõe da direita para a
esquerda, tendo o zero na extremidade direita como o primeiro dígito.
Portanto, devemos preencher a tabela de conversão da direita para a
esquerda. Perceba que os números maiores ficarão vazios:
12 6 3 1 8 4 2 1
8 4 2 6
1 0 01 10
Para efeitos de endereçamento IP, devemos ter 8 bits (octeto). Para
isso, devemos preencher o que falta com zeros (que “curiosamente”
também é sinônimo de “vazio”):
12 6 3 1 8 4 2 1
8 4 2 6
0 0 1 0 01 10
A representação binária do número decimal 38, com oito bits, ficará:
00100110

Endereçamento de Rede IPv4

Uma vez entendida a lógica binária, agora temos que adaptá-la para
o mundo IP, que consiste nos 32 bits para construção de um endereço
lógico de um host ou elemento de rede, como já dito, e que será
repetido aqui diversas vezes para fixação.
Como citado anteriormente, os 32 bits são divididos em 4 blocos de
8 bits separados por um ponto. Estes blocos são denominados octetos,
portanto o endereço IP consiste em quatro octetos. Logo, cada bloco é
representado em sua forma mais conhecida com 4 números decimais.
Tomando novamente como exemplo o endereço 192.168.2.100,
teremos que analisar cada bloco individualmente para chegar ao
binário correspondente.
Basicamente o que deve ser feito é a conversão dos quatro octetos
individualmente. Utilizando o método apresentado, teremos o seguinte
correspondente binário para esse endereço:
11000000.10101000.00000010.01100100

A comunidade Internet, preocupando-se com a atribuição correta e

otimizada dos endereços IP, criou classes de endereçamento que são
utilizadas de acordo com a demanda do requisitante, para suportar
diferentes tamanhos de redes. Na RFC 1166, de 1990, existe a
definição destas classes de endereçamento e podemos ter as seguintes
distinções entre estas classes (classful addressing), conforme Figura
7.4:

Figura 7.4 – Classes de endereços IP.

Os bits apresentados mais à esquerda são bits fixos ou reservados. O
primeiro octeto, e somente ele, é quem define a classe correspondente
de um endereço IP. Para fins de endereçamento, devemos sempre ter
em mente essa figura, pois ela apresenta como devemos começar o
primeiro octeto de cada classe correspondente e quais classes utilizar
para equipamentos de rede (A, B ou C), sendo que as outras duas (D e
E) têm uso específico ou reservado.
Como temos alguns bits reservados, os intervalos correspondentes
para cada classe são:
Classe A: 0 – 127*
Classe B: 128 – 191
Classe C: 192 – 223
Classe D: 224 – 239
Classe E: 240 –
255**
* É importante salientar que algumas literaturas afirmam que a classe A começa com
1 e vai até o 126. Não deixa de estar correto, pois o 0 é reservado para endereço de
rede e o 127 para loopback. Mas na RFC 1166 se considera o 0 e o 127 como
pertencentes à classe A.
** O número 255 é usado para broadcast, e desta forma também é correto afirmar
que o último classe E válido é 254.
Para uma cópia completa da RFC 1166 ver em:
 https://www.rfc-editor.org/rfc/rfc1166.html

A principal finalidade de criar um padrão de endereçamento é

realmente poder organizar a forma com que os endereços serão
distribuídos e, com isso, poder entregar de forma coerente um
intervalo de endereço que possa de fato satisfazer a necessidade do
requisitante.
Para achar o quanto cada classe pode oferecer basta utilizar a
conotação binária. Comecemos pela classe A. No formato binário
temos a seguinte representação (note que a classe A deve iniciar com
0):
01111111.00000000.00000000.00000000

Para achar a quantidade de hosts utilize a fórmula: 2 – 2, onde “n”

n

neste caso representa o número de hosts (Bits 0)

224 – 2 = 16.777.214

Para achar a quantidade de redes, utilize a mesma fórmula, porém

lembrando que “n” agora representa o número de redes (Bit 1):
27 – 2 = 126

Note que, apesar de termos 8 bits no primeiro octeto, representamos

o “n” com 7; isto se dá devido à exclusão do bit reservado, conforme
citado anteriormente.
No caso da Classe B iremos usar o mesmo método. Vejamos ele em
binário:
10111111.11111111.00000000.00000000

Quantidade de Host: 2 – 2 = 65.534

16

Quantidade de Redes: 2 – 2 = 16.382

14

Note que no caso das redes de uma classe B também se aplica a

regra da tabela, ou seja, excluir os dois primeiros bits do primeiro
octeto.
Por último temos a classe C. Representando-a de forma binária
temos:
 11011111.11111111.11111111.00000000
Quantidade de Hosts: 2 – 2 = 254
8

Quantidade de Redes: 2 – 2 = 2.097.150

21

Figura 7.5 – Universo das classes A, B e C.

Das fórmulas apresentadas acima, observe que todas possuem um “-
2”. Isso se dá por conta do que foi exposto anteriormente: 0 e 255
correspondem à primeira e última combinação, isto é, são reservados
para rede e broadcast respectivamente.
Sabe-se a partir de agora que todos estes intervalos são passíveis de
estarem publicados na Internet, correto? Errado! Como ficaria o
endereçamento das redes internas (LAN ou intranets) já que todas as
faixas de endereços estão em uso? Justamente para evitar este tipo de
problema é que foram estabelecidas faixas de exclusão em cada classe
de endereços; com isso é possível implementar Intranets com
endereços IP sem se preocupar com conflitos. São os chamados
endereços privados.
A RFC 1918 de fevereiro de 1996 (https://www.rfc-
editor.org/rfc/rfc1918.html) estabeleceu as seguintes faixas de exclusão
de cada classe:
CLASS INTERVALO PREFIX
E O

A 10.0.0.0 - 10.255.255.255 10/8

B 172.16.0.0 - 172.31.255.255 172.16/12

C 192.168.0.0 - 192.168/1
192.168.255.255 6
 O objetivo desses blocos privados é possibilitar a configuração de
redes LAN que não estejam diretamente ligadas à Internet, que é uma
rede pública. Em linhas gerais, todo endereço que esteja nessa faixa
privada NÃO é roteado para a Internet, isto é, um host com esse
endereço deve ser usado em redes internas e para a Internet deveria
utilizar o recurso de tradução (NAT – Network Address Translation),
por exemplo.

Uso de Sub-redes (Subnet)

Como visto na seção anterior, o endereçamento IP nas respectivas
classes já aponta uma determinada quantidade de máquinas (hosts), o
que pode levar a desperdícios devido à grande quantidade representada
em cada classe. Seria um tanto difícil imaginar uma rede com 65000
hosts.
Deste modo, a RFC 950 (1985) definiu um padrão para subdivisão
dos prefixos maiores (definidos pelas classes) em blocos menores,
possibilitando um uso mais eficiente dos endereços.
Como apresentado, uma rede classe A impõe que o primeiro octeto
defina a rede e os outros três a porção de hosts. Tomemos um exemplo:

Host-X: IP 120.100.0.20
O endereço do Host-X é um endereço classe A, cuja rede é 120.0.0.0
e o host é (120).100.0.20.
Com a divisão em sub-redes (ou também ‘subredes’ descrito ao
longo do livro), podemos fazer uso de um recurso para apontar que o
endereço do host seja apenas o “.20”. Para isso, devemos utilizar as
Máscaras de sub-rede.
Este elemento é fundamental, pois é através dele que se identifica
que porção é host e que porção é rede.
Cada classe de endereçamento vista anteriormente tem uma máscara
de sub-rede atribuída (implicitamente). Veja na tabela abaixo cada uma
destas máscaras.
 Class Máscara Conotação Binária CIDR
e Decimal *
A 255.0.0.0 11111111.00000000.00000000.0000000 /8
0
B 255.255.0.0 11111111.11111111.00000000.00000000 /16
C 255.255.255.0 11111111.11111111.11111111.00000000 /24
*CIDR (Classless Interdomain Routing) é um método de otimização de
endereçamento IP que iremos ver mais na frente neste capítulo.
Se a quantidade de hosts não é tão grande, podemos fazer uso de
uma rede classe A, com a extensão do prefixo para uma máscara maior
ou, em outras palavras, sair de um /8 (que significa os 8 bits na porção
de rede, padrão da classe A) para um /24, exemplo:
120.100.0.20/24

Essa representação resulta em:

Rede: 120.100.0.0

Host: 20

Número máximo de hosts: 254

O que foi feito de diferente? Simples, basta observar que, no
primeiro exemplo, não foi especificada a máscara (notação “/x”) e no
segundo temos o /24. No primeiro caso, uma vez que não se denota a
máscara, entende-se que se trata de uma rede classe A pura, com a
máscara padrão /8.
Vejamos mais outro exemplo:
10.200.1.2/16

Temos novamente um endereço “tipo classe A” com a máscara de

sub-rede estendendo o prefixo para um /16. Logo a porção de rede, que
a identifica, é: 10.200.0.0 e os outros dois últimos octetos tratam dos
hosts.
E se precisarmos de um esquema de endereçamento com menos
hosts por rede, uma vez que 254 pode ainda ser muito, como no caso
de uma pequena empresa? Para isso, temos outro recurso, a utilização
de máscaras de sub-rede variáveis, ou VLSM.

VLSM (Variable Length Subnet Mask)

VLSM é a sigla para Máscara de Sub-rede de Comprimento
Variável. Esse recurso de subdivisão, definido pela RFC 1009 (1987),
possibilita o ajuste da máscara para qualquer tamanho de rede e
quantidade de hosts.
Esse ajuste seria como se tivéssemos uma “régua com ajustador
deslizante de redes”, como na Figura 7.6:

Figura 7.6 – “Ajuste” da máscara de sub-redes.

O funcionamento de nosso “mecanismo” é o seguinte:
1. Arrastando o cursor (ou barra) da máscara para a esquerda,
aumentamos o número de hosts e diminuímos o número de redes.
2. Arrastando o cursor da máscara para a direita, diminuímos o
número de hosts e aumentamos o número de redes.
Máscara de sub-rede é o recurso que define a porção rede e a porção
host de um endereço IP. Ela permite a distinção de qual parte se refere
cada conjunto de bits. Como apresentado anteriormente, na máscara de
sub-rede tudo que se refere à rede tem os bits ‘ligados’ ou “1” e tudo
que se refere aos hosts tem os bits desligados ou “0”.
A máscara se inicia a partir do primeiro octeto ligado, ou com todos
seus bits em 1:
1111111.00000000.00000000.00000000

A máscara acima corresponde ao decimal:

255.0.0.0

Esta representação indica que os primeiros oito bits representam a

porção de rede do endereço IP e os restantes correspondem ao
endereço do host. O recurso de máscara de sub-rede possibilita
aumentar a quantidade de 1’s no sentido da direita, ajustando a rede
para uma quantidade de hosts sem desperdício.
Para não causar confusão, relembremos um detalhe explicado
anteriormente. Do endereço IP abaixo, o que realmente indica a rede e
o que indica o host?
172.16.0.123

Se nada for especificado com relação à máscara, temos esse

endereço com a máscara básica, ou seja, classe B, que tem a porção de
rede representada por 172.16 e o host representado por 0.123. Para
termos outro host na mesma rede, capaz de conversar com esse IP,
deveríamos colocar a porção de rede igual, ou seja, 172.16 também.
Mudaríamos apenas a porção de host, para que não haja conflito, por
exemplo, 2.124. Esse exemplo nos faz relembrar o que foi ilustrado na
Figura 7.1.
No entanto, se representarmos o endereço IP com sua máscara
variável, teremos o seguinte:

IP: 172.16.0.123

Másc: 255.255.255.0
Esta representação indica que os três primeiros octetos representam a
rede, onde o host 123 está inserido. Para termos outro na mesma rede,
esses três octetos devem ser iguais, mudando apenas o endereço de
host, para qualquer número entre 1 e 254, exceto o 123, já usado pelo
host acima.
Mais um exemplo. Tomemos o endereço IP e sua máscara:

IP: 10.200.30.60

Másc: 255.255.255.192
Como saber efetivamente o que teremos como rede e host? Voltemos
à aritmética binária, que de fato está por trás de toda essa lógica
apresentada. Primeiro, devemos converter o IP e a máscara para
número binário. A máscara possui uma sequência de 1 informando que
o respectivo bit na posição deve ser repetido. Essa indicação
representará a rede, até a marcação da linha (ou o último número 1).
00001010.11001000.00011110.0
IP 111100
0
Másc 11111111.11111111.11111111.1
000000
. 1
00001010.11001000.00011110.0 00000
Rede 0 0
Tudo que for 1 na máscara indica que o que tiver no IP é parte de
rede, ou seja, os 26 primeiros bits. Enquanto tivermos 1 na máscara,
significa que sua respectiva posição no IP será mantida, representando
a rede, logo, o restante (0) para hosts.
Convertendo os primeiros 26 bits para decimal, teremos a seguinte
rede:
10.200.30.0

Note que, no quadro acima, a porção de host fica toda em zero, o que
significa a representação “esta rede”.
Outra forma de memorizarmos esse processo de verificação de
máscara, rede e hosts é a aritmética binária com o conceito “AND”
(E). Esse conceito, como já mencionamos, permite que façamos uma
“multiplicação”. Assim, tomamos o valor binário da máscara e
multiplicamos bit a bit com o IP. Onde tivermos 1, em suma, se repete
e os multiplicados por zero resultam em zero.
Mais exemplos:

IP: 120.32.202.200

Másc: 255.255.248.0
IP 01111000.00100000.1100 010.1100100
1 0
Másc 11111111.11111111.1111 000.0000000
. 1 0
 Rede 01111000.00100000.1100 000.0000000
1 0
O prefixo da rede resultante, em decimal, é:
120.32.200.0

Nos dois quadros acima, veja a quantidade de bits que temos para
hosts. Tomamos sempre os zeros representados na máscara, logo temos
seis no primeiro exemplo e onze no segundo exemplo. A partir desse
dado, podemos tirar a quantidade de hosts que teremos em nossa rede:

QuantidadeHosts = 2n – 2 (sendo “n” igual ao número de zeros).

Logo, teremos 26-2=62 e 211-2=2046, respectivamente.

E como saber onde começa e onde termina cada uma dessas redes?
Iniciemos com nosso primeiro exemplo: IP 10.200.30.60, máscara
255.255.255.192.
A rede foi identificada como 10.200.30.0, mas onde ela termina?
Olhando no quadro novamente, podemos apontar alguns detalhes:
IP 00001010.11001000.00011110.0 11110
0 0
Másc 11111111.11111111.11111111.1 00000
. 1 0
Rede 00001010.11001000.00011110.0 00000
0 0
Como o octeto curinga ou significativo da máscara está no último,
ou seja, terminou em 192 tomando 2 bits para rede, teremos então as
seguintes possibilidades binárias:
EQUIVALENTE
ÚLTIMO OCTETO DECIMAL
(BINÁRIO)

00 000000 0
01 000000 64
10 000000 128
11 000000 192
OBS.: A linha indica onde a máscara separa o que é rede e o que é
host no octeto em questão.
Assim, teremos as seguintes possibilidades de redes, com os IPs
indicados:

Rede 0: 10.200.30.0

Rede 64: 10.200.30.64

Rede 128: 10.200.30.128

Rede 192: 10.200.30.192

Máscara para todas essas redes: 255.255.255.192

Ao todo aqui temos 4 sub-redes distintas. Tínhamos um prefixo
originalmente classe A, mas, com a máscara de sub-rede, criamos uma
subdivisão do prefixo, fazendo uma extensão da máscara padrão (de
classe A) para uma máscara estendida ou variável, reduzindo a
quantidade de hosts. Pela quantidade de zeros, teremos 62 hosts para
cada rede.
O que foi feito? Analisando o último octeto, como no quadro acima,
para encontrar o respectivo decimal. Para isso, lembre-se sempre de
utilizar os oito bits, pois, apesar da máscara dizer que dois bits são de
rede, o octeto deve ser convertido integralmente.
Assim, a sub-rede 0 começa no 0 e termina no 63, que é o último. A
próxima rede, a 64, começa em 64 e vai até 127 e assim por diante. Em
resumo temos o seguinte quadro:
ÚLTIMO OCTETO
REDE REDE PRIMEIRO ÚLTIMO BROADCAS
(DECIMAL) (BINÁRIO) HOST HOST T
0 00 000000 00000001 00111110 00111111
64 01 000000 01000001 01111110 01111111
128 10 000000 10000001 10111110 10111111
192 11 000000 11000001 11111110 11111111
 Como os três primeiros octetos são 255 na máscara, simplesmente
repetimos o prefixo indicado pelo IP, logo, fazendo toda a conversão
da tabela acima para decimal, teremos:
PREFIXO RED PRIMEIRO ÚLTIMO BROADCAS
(RAIZ) E HOST HOST T
10.200.30. 0 1 62 63
10.200.30. 64 65 126 127
10.200.30. 128 129 190 191
10.200.30. 192 193 254 255

Métodos Rápidos Para Endereçamento IP

A partir deste ponto já imaginamos que o caro leitor possa ter
algumas dúvidas com relação às redes e máscaras. Portanto, vejamos
alguns métodos simplificadores que certamente irão auxiliar no
entendimento e agilidade na composição do endereçamento IP.
Passo 1: Entender as possibilidades de máscara.
Uma vez que a máscara de sub-rede tem cada octeto preenchido com
1 sempre vindo da esquerda para a direita, sem pular, então temos as
seguintes possibilidades (em cada octeto da máscara, repito):
BINÁRI DECIMA
O L
0000000 0
0
1000000 128
0
11000000 192
11100000 224
11110000 240
11111000 248
11111100 252
11111110 254
11111111 255
Na máscara, cada octeto terá um número igual a algum desses,
iniciando-se por:
255.0.0.0
255.128.0.0
255.192.0.0

...e assim por diante.

Quando o segundo octeto estiver preenchido por completo (pensando
nele em binário), seguimos no terceiro:
255.255.0.0
255.255.128.0
255.255.192.0

...e assim por diante, novamente até o máximo (255).

Preenchido o terceiro, vamos para o quarto na mesma lógica.
Esse “fenômeno” acontece pela simples composição do número
binário, convertido em decimal. Em caso de dúvidas, retome a seção
que menciona a aritmética binária e faça a respectiva conversão dos
números do quadro anterior.
Passo 2: Se o octeto da máscara for diferente de 0 ou 255, analise
com cuidado.
Quando temos um endereço IP, cuja máscara tem algum número
diferente de 0 ou 255, isto é, qualquer outro do quadro do Passo 1,
devemos fazer uma análise do que é rede e do que é host, de um modo
mais aprofundado. Se a máscara tiver apenas 255 e 0, fica fácil, pois a
parte que tem o 255 é rede e a parte que tem 0 é host, direto. Exemplo:

IP: 192.168.10.130 Máscara: 255.255.255.0

Como já apresentado, a rede será 192.168.10.0 e o último octeto
representará os hosts, estes indo de 1 a 254 (uma vez que já dissemos
que o 0 e o 255 são reservados).
Se modificarmos a máscara acima para 255.255.252.0 teremos que
analisar melhor, pois o terceiro octeto é o octeto curinga, que teve
alguns de seus oito bits divididos, parte para rede e parte para host.
Passo 3: Ver a posição do último bit da máscara.
Quando tivermos um endereço IP e sua máscara respectiva, podemos
verificar onde pára o último bit da máscara, ou seja, em qual posição
representativa está, segundo a tabela de conversão binário-decimal.
Exemplo: temos o mesmo IP 192.168.10.130, cuja máscara é:
255.255.252.0.
Sabendo que o octeto curinga é o terceiro, vejamos como ele fica em
binário e qual o último bit relativo à rede (bit em 1):
12 6 3 1 8 4 2 1
8 4 2 6
1 1 1 1 11 00
O último bit é o representativo do número 4. Isto significa que
teremos as redes variando de 4 em 4, ou seja, 0, 4, 8, 12, 16, 20, etc.
Deste modo, o IP 192.168.10.130, com essa máscara, pertence à rede
192.168.8.0. Esta rede vai de 192.168.8.1 a 192.168.11.254, sendo o
último 192.168.11.255 reservado como broadcast dessa rede.

A regra é simples: onde parar o bit 1, o bloco de rede será um

múltiplo daquele número, sempre iniciando do 0.

Exemplo 1: se parar no bit correspondente ao número 32, o

universo de redes será de 32 em 32. Iniciando em 0, teremos as
redes: 0, 32, 64, 96, 128, 160, 192 e 224.

Exemplo 2: se parar no bit correspondente ao número 8, o

universo de redes será de 8 em 8. Iniciando em 0, teremos as
redes: 0, 8, 16, 24 e assim por diante.
Passo 4: Conceito CIDR
CIDR é a sigla para Classless Interdomain Routing ou Roteamento
Interdomínios Sem-classe. Basicamente é um método que os
provedores utilizam para atribuir endereços, usando a notação com “/”
(barra). Essa barra, seguida de um número, indica a quantidade de bits
de rede que a máscara possui, ou seja, quantos 1 estão nos bits da
máscara. Exemplos:
/12 = 11111111.11110000.00000000.00000000 ou 255.240.0.0
/18 = 11111111.11111111.11000000.00000000 ou 255.255.192.0
/22 = 11111111.11111111.11111100.00000000 ou 255.255.252.0
/25 = 11111111.11111111.11111111.10000000 ou 255.255.255.128
/29 = 11111111.11111111.11111111.11111000 ou 255.255.255.248

Após esses quatro passos, vejamos alguns exemplos rápidos:

IP: 172.16.8.121 /27

Precisaremos identificar os seguintes dados:

Máscara de sub-rede

Endereço de Rede

Faixa de endereços válidos para hosts

Endereço de Broadcast
Para a máscara, temos o número de bits 27:
11111111.11111111.11111111.11100000 ou
255.255.255.224

(note que o último octeto é o curinga)

Para a rede basta identificar na máscara qual a posição do último bit
1:
11111111.11111111.11111111.11 100000
No último octeto, é o terceiro bit, correspondente à posição do
número 32 da tabela binário-decimal. Assim as possibilidades de redes
vão de 32 em 32. Como temos o IP final 121, basta ver qual a rede da
qual esse endereço faz parte:
 Rede: 172.16.8.96 ou em binário 01100000 (último octeto)
A faixa de endereços é obtida com o primeiro bit (da direita) na
porção de hosts em 1 (porção de hosts é aquela que só tem zeros):
01100001 até 01111110 (último octeto)
172.16.8.97 até 172.16.8.126

Para o endereço de broadcast, preenche-se toda a porção de hosts

com 1:
01111111 = 127

Assim, resumindo, teremos todos os dados:

Máscara: 255.255.255.224

Rede: 172.16.8.96

Faixa: 172.16.8.97 até 172.16.8.126

Broadcast: 172.16.8.127
Outro exemplo: 190.30.2.78 /29

Máscara: 255.255.255.248
(11111111.11111111.11111111.11111000)

Rede: 190.30.2.72 (múltiplos de 8, bit da máscara nessa

posição)

Faixa: 190.30.2.73 até 190.30.2.78

Broadcast: 190.30.2.79
Mais um: 200.188.9.199 /26
 Máscara: 255.255.255.192
(11111111.11111111.11111111.11000000)

Rede: 200.188.9.192 (múltiplos de 64)

Faixa: 200.188.9.193 até 200.188.9.254

Broadcast: 200.188.9.255
Atenção para o seguinte exemplo: 131.200.88.12 /20

Máscara: 255.255.240.0
(11111111.11111111.11110000.00000000)

Rede: 131.200.80.0 (múltiplos de 16, porém agora no terceiro

octeto)

Faixa: 131.200.80.1 até 131.200.95.254

Broadcast: 131.200.95.255
O que aconteceu neste último? Simples, o octeto significativo ou
curinga é o terceiro. Logo toda análise deve considerá-lo e, também, os
bits de hosts, que neste caso são ao todo 12 (zeros).
O primeiro host está mais à direita, no último octeto e o broadcast
tem toda porção de hosts em 1, sempre considerando os 12 bits.
Em resumo, basta acompanhar o seguinte artifício: uma vez
identificada a máscara e observado qual o decimal que o último bit
dela representa, já saberemos tudo. A rede vem dos múltiplos (o IP
deve estar dentro), a faixa é o que compreende a rede e a próxima rede,
ou seja, o que está dentro. O broadcast é a última combinação dentro
da rede, sendo que a próxima combinação já é a rede seguinte
propriamente dita.
Ainda difícil? Como falamos, vale praticar e praticar, de modo que
isso seja automático e rápido. No exame do CCNA, esses “cálculos”
não devem tomar mais do que vinte segundos, mas só com a prática é
que se atinge essa marca.
Regras Importantes:
REGRA DESCRIÇÃO EXEMPLO
Todos os bits 0 Este endereço é entendido por 0.0.0.0
roteadores
Cisco, servidores e PCs como
sendo rota padrão
Todos os bits 1 Interpreta-se como sendo de 255.255.255.255
endereço de broadcast
Todos os bits 0 no Interpretado como este segmento 131.107.2.0/24
endereço de host de rede 192.161.1.0/24
Todos os bits 1 no Interpretado como broadcast para o 131.107.2.255/24
endereço de host segmento de rede 191.161.1.255/24

Sumarização
Agora que já sabemos como são feitos os cálculos para
endereçamento de rede, fica mais fácil poder fazer otimizações com o
uso de máscara de sub-rede adequada para cada cenário. Observe a
topologia da Figura 7.7.
O roteador “A” precisa chegar nas seis localidades, portanto é
necessário alcançar as redes LAN: 192.168.8.0, 192.168.9.0,
192.168.10.0, 192.168.11.0, 192.168.12.0 e 192.168.13.0. Para isso,
ele teria que criar uma tabela de roteamento semelhante à mostrada a
seguir.
Figura 7.7 – Um cenário de rede LAN/WAN.
REDE MÁSCARA MANDAR
DESTINO PARA
192.168.8.0 255.255.255. 10.1.1.2
0
192.168.9.0 255.255.255. 10.1.1.2
0
192.168.10.0 255.255.255. 10.1.1.2
0
192.168.11.0 255.255.255. 10.1.1.2
0
192.168.12.0 255.255.255. 10.1.1.2
0
192.168.13.0 255.255.255. 10.1.1.2
0
Note que este tipo de implementação é totalmente sem otimização e
poderíamos sumarizar estas rotas em uma só. Para fazer isso, devemos
entender que esta técnica utiliza o CIDR (Classless Interdomain
Routing), que é definido nas RFCs 1518 e 1519, apresentado na seção
anterior.
Então, vejamos como deve ser feita esta sumarização para
transformar estas seis rotas em uma só. Então acompanhe os passos:

Pega-se o valor 6 (o número de rotas) e converte-se em binário

= 110.
 Esse resultado em binário utiliza um total de 3 bits.

Consideraremos, portanto, 3 bits de hosts (0s) e os 5 bits

restantes de rede (1s) para construir a máscara. Lembrando que
se preenche da esquerda para a direita. Assim teríamos
11111000 que é o decimal 248.

Daí, posicionamos o decimal dentro do octeto em questão, o

curinga, que estamos tentando sumarizar (ou agrupar).
Pronto! Com isso, a rota na tabela de roteamento teria apenas a
seguinte entrada:
REDE MÁSCARA MANDAR
DESTINO PARA
192.168.8.0 255.255.248. 10.1.1.2
0
Como o intervalo é de 8 posições, temos as rotas da rede 192.168.8.0
até a rede 192.168.15.0. Assim, ficamos inclusive com duas sub-redes
livres para usos futuros (no caso 192.168.14.0 e 192.168.15.0). Este
tipo de implementação também é chamado, por algumas literaturas, de
Supernet.
Quando se usa roteamento dinâmico, é importante verificar se este
tipo de protocolo de roteamento suporta CIDR, pois caso contrário
toda inclusão será em vão.
Outra simplificação pode ser feita com o que já estudamos até então.
Quantas redes precisaremos otimizar? Sendo seis, teremos que pegar
uma máscara que permita blocos de 8 em 8, no mínimo, uma vez que
algo menor que isso só poderia ser de 4 em 4 (atenha-se a aritmética
binária). Para termos uma divisão de 8 em 8, precisaremos que a
máscara pare nessa posição, do bit 8. Isso se dá com 11111000, ou
seja, o quinto bit é o da posição 8 (da tabela de conversão).
Convertendo esse octeto em decimal, temos justamente o 248! Como
as redes de destino têm seu prefixo variando no terceiro octeto, logo,
basta colocar este número no terceiro octeto da máscara:
255.255.248.0.
08 - Endereçamento IPv6

Introdução
Vimos no capítulo 7 a estrutura de endereçamento de rede ainda adotada,
o IP versão 4 (IPv4), que consiste em 32 bits divididos em 4 blocos de oito
bits cada, formando octetos. Esse padrão está presente nas redes
domésticas, comerciais e na Internet, mas há algum tempo começou a
conviver com o novo padrão IP versão 6 ou IPv6.
Em meados de 1990 a preocupação com o limite de endereçamento veio à
tona, considerando que o IPv4 possibilita “apenas” 4,29 bilhões de
endereços e que estes endereços não seriam suficientes para acompanhar o
crescimento da Internet. Atualmente a IANA, órgão internacional que
administra os blocos de endereçamento IP, possui pouquíssimos blocos
IPv4 válidos disponíveis para uso. A LACNIC, equivalente latino-
americana da IANA e que controla os blocos IP na região, anunciou em
agosto de 2020 o esgotamento dos endereços IPv4, contando apenas com
blocos recuperados ou devolvidos. Tendo em conta que os avanços
tecnológicos trazem conectividade em rede para dispositivos comuns, como
geladeiras, televisores, etc., ficou mais nítida a possibilidade de
esgotamento dos endereços. Para sanar essa questão, em 1999 iniciou-se a
implementação do protocolo IPv6, tendo a RFC 2460
(http://www.ietf.org/rfc/rfc2460.txt) de 1998 como especificadora.
O IPv6 é um grande avanço para a estrutura de endereçamento, com um
protocolo mais simplificado e que traz as seguintes características, além do
aumento do antigo espaço de 32 bits para 128 bits:

Simplificação do cabeçalho: alguns parâmetros do IPv4 foram

retirados para reduzir o processamento de informações que nem
sempre eram utilizados.

Suporte melhorado para extensão ou opções do protocolo: as

 mudanças do cabeçalho permitem a inclusão futura de novas opções,
além de proporcionar melhor desempenho no processamento de
pacotes.

Capacidade de identificação de fluxo: recurso adicionado para

possibilitar o sequenciamento ou identificação de fluxos que
demandem algum tipo de controle, como tráfego em tempo real de
voz e/ou vídeo.

Recursos de autenticação e privacidade: o protocolo traz

nativamente recursos opcionais de segurança, integridade e
confidencialidade de dados.

O IPv6 também dispensa o uso de NAT/PAT. O recurso de NAT retardou

a implementação do novo protocolo justamente por auxiliar na otimização
de endereços válidos (públicos) e possibilitar o acesso de endereços
privados à Internet. Agora com o IPv6, cada computador poderá ter seu
próprio IP válido sem causar a preocupação de esgotamento.
Uma aplicação para o endereçamento IPv6 é permitir a conectividade de
qualquer equipamento a uma rede ou à Internet. Como veremos adiante,
existe um número gigantesco de combinações que permite milhares de IPs
para cada pessoa. Isso facilita o avanço das tecnologias voltadas à IoT –
Internet of Things ou Internet das Coisas. Sua TV já deve ter um IP para
acessar conteúdos de streaming, mas até a sua torradeira, microondas, ou
um simples secador de cabelos poderá ter um endereço de rede conectado à
sua rede doméstica ou à Internet. A IoT já é uma realidade em sistemas de
automação residencial, por exemplo, com assistentes virtuais controlando
iluminação, aquecimento, ventilação, vigilância e outras amenidades.

Estrutura de Endereçamento IPv6

O IPv6, como dito, possui 128 bits representados em numeração
hexadecimal, divididos em 8 blocos de 16 bits cada. Para entendermos o
IPv6, vejamos primeiramente o que é um número hexadecimal.
Um número hexadecimal tem base 16, contado de 0 a F (números e
letras), sendo diferente do padrão decimal conhecido, que é base 10 (0 a 9).
Para efetuarmos uma “conversão” simples, vejamos na Figura 8.1 como
referenciar cada algarismo hexadecimal:

Figura 8.1 – Representação Decimal-Hexadecimal.

A contagem em hexadecimal, como falamos, segue a partir do 0 até
o F, quando então colocamos uma nova “coluna” para o dígito mais
significativo (esquerda) e reiniciamos a contagem da unidade (direita):
10, 11, 12..., 1A, 1B, 1C..., 20, 21..., 2A..., 2E, 2F e assim por diante.
Deste modo, o formato do endereço IPv6 com seus 8 blocos de 16
bits fica assim:
X:X:X:X:X:X:X:X

Cada “X” representa o conjunto de 16 bits, que em hexadecimal

significa a quantidade de 4 dígitos de 0 a F, ou melhor escrevendo, de
0000 a FFFF. Cada bloco tem a separação pelo símbolo “:” (dois
pontos), diferente do IPv4 que é separado por pontos.
Relação Binário-Hexadecimal

BINÁRIO => HEXADECIMAL

0000 = 0001 = 1001 = 1010 = 1100 = 1111 =

0 1 9 A C F
Observando novamente a Figura 8.1, temos um hexadecimal
composto por 16 combinações. Voltando à lógica binária, como
poderíamos obter 16 combinações possíveis? Simples, com 4 bits
temos justamente esta quantidade (2x2x2x2 ou 24 = 16). Essa conta
nos serve para saber que um número hexadecimal é composto por
quatro bits. Por esse motivo cada bloco do IPv6 possui 4
hexadecimais, ou seja, 16 bits, sendo 4 bits para cada dígito
hexadecimal. Na tabela anterior há alguns exemplos da conversão
binário-hexadecimal.
Vejamos um exemplo de endereço IPv6:
2230:00DE:0000:0000:1234:5678:ABCD:0001

A representação é um tanto longa, justamente pelos 32 caracteres

hexadecimais. Entretanto, seria ainda pior escrever os 128 bits de um
endereço IPv6, considerando a facilidade que temos com o IPv4. Para
resolver essa questão, foram convencionadas algumas representações
do endereço de uma maneira mais curta:

Omitir os zeros posicionados à esquerda

Representar zeros contínuos com duplo dois pontos “::”

Com essa convenção, podemos reescrever nosso exemplo anterior de
duas formas:
2230:de:0:0:1234:5678:abcd:1
2230:de::1234:5678:abcd:1

Observe alguns detalhes desse formato. Primeiramente temos todos

os caracteres alfabéticos em minúsculo. Sim, isso é possível, pois não
se faz distinção entre maiúsculo e minúsculo. Na primeira linha
retiramos todos os zeros à esquerda, reduzindo alguns blocos a apenas
um dígito. Na segunda linha retiramos os zeros contínuos (blocos
inteiros em zero) e substituímos por um duplo “::”. Tanto faz a
maneira de representar o endereço IPv6, seja da maneira completa,
com todos os caracteres ou de maneira simplificada, como nos
exemplos anteriores.
Vale apontar, ainda, algumas considerações sobre essas “reduções”:
1. Quando fazemos um cálculo matemático qualquer, sabemos que
030, por exemplo, é igual a 30. Há um zero à direita que deve
permanecer (senão vira 3), mas o da esquerda podemos suprimir. O
mesmo vale no IPv6. Por isso que o bloco “2230” permaneceu com
zero, senão viraria o número 223 que é totalmente diferente. Por
outro lado, o bloco 00DE ficou apenas “DE”, pois os zeros à
esquerda não farão diferença no número, como no caso do exemplo
“030 = 30”.
2. Somente é permitido reduzir os zeros contínuos com duplo dois
pontos (“::”) UMA SÓ VEZ. Logo, se tivermos uma dupla cadeia
de zeros, não contínuas, teremos que escolher apenas uma para
redução. E pode ser usado tanto no início quanto no final do
 endereço. Vejamos um exemplo:

IPv6 completo:
2010:0DBA:0000:0000:ACCE:0000:0000:0C14

IPv6 reduzido (opção 1): 2010:DBA::ACCE:0:0:C14

IPv6 reduzido (opção 2): 2010:DBA:0:0:ACCE::C14

Portanto, se no exame CCNA ou em qualquer outro você vir a
representação do IPv6 com “::” por mais de uma vez em um endereço,
está errado. Logo não é a alternativa correta:

IPv6 incorreto: 2010:DBA::ACCE::C14

A explicação para se usar apenas uma vez é simples. Sabendo que o
IPv6 é composto por oito blocos hexadecimais e vendo o último
exemplo (o incorreto), entendemos que, dos quatro blocos existentes,
outros quatro formados por zeros foram omitidos. Mas onde estariam
eles? Poderia ser três de um lado e um sozinho do outro, ou vice-versa,
ou dois de cada lado do bloco “ACCE”. Enfim, para não causar
confusão, devemos reduzir um bloco de zeros contíguos com “::”
apenas uma única vez, como dissemos.

Prefixos IPv6
No capítulo 7, quando apresentamos o endereçamento IPv4, víamos
a indicação de máscara para determinar o que era prefixo de rede e o
que era host. Em IPv6 temos um conceito similar que traz a
representação com “/” e um número para indicar quantos bits temos
para o prefixo:

Exemplo 1: 2A10:0DBA:1234:6789:ACCE:4321:1000:0C14
/64
O indicador /64 significa que dos 128 bits que compõem o IPv6, 64
são destinados ao prefixo de rede, ficando o restante em zero,
destinado a hosts. Logo com esse exemplo temos, após abreviado, o
seguinte prefixo:
2A10:0DBA:1234:6789:: /64

Como cada bloco de quatro dígitos hexadecimais é composto por 16

bits, a conta fica mais fácil quando o prefixo é múltiplo deste número.
Não sendo um múltiplo de 16, temos que considerar a contagem bit a
bit e parar naquele respectivo. O restante segue para hosts. No
exemplo anterior, se o prefixo tiver máscara /44, teremos:
2A10:0DBA:1230:: /44

Note no terceiro bloco que após o número 3 vem um zero (bloco

:1230). Esse zero é proveniente dos bits em zero destinados aos hosts,
pois o prefixo vai até o caractere 3. Para melhorar o entendimento,
considere a regra do hexadecimal-binário, onde cada caractere em
hexa corresponde a quatro bits. Logo, fica mais fácil de “calcular” com
múltiplos de 4 ao invés de 16. Se 44 é equivalente a 11x4, logo,
teremos 11 caracteres hexadecimais no prefixo. O restante ficará em
zero (hosts). Mais um caso:

Exemplo 2: 3001:EF00:AA00:4311:0000:0223:ABCD:0009
/56
Se fizermos uma divisão simples de 56 por 4, teremos exatamente
14. Logo, tomamos de uma maneira rápida os 14 primeiros caracteres
hexadecimais para representar o prefixo e, novamente, o restante em
zero (hosts):
3001:EF00:AA00:4300:0000:0000:0000:0000/56

Rede resulta em: 3001:EF00:AA00:4300:: /56

Reforçamos o cuidado ao ler esses endereços IPv6. Considere a rede
acima:
3001:EF00:AA00:4300:0000:0000:0000:0000 /56

Resumir o bloco de zeros com “::” não considera os zeros do quarto

bloco “4300”. Se escrevêssemos erroneamente 3001:EF00:AA00:43::
/56, estaríamos dizendo que a rede, na verdade, é
3001:EF00:AA00:0043:0000:0000:0000:0000 /56, o que não procede.
Muita atenção com isso no exame CCNA, pois a prova pode colocar
“pegadinhas” que induzem ao erro.

Tipos de Endereços IPv6

Algumas definições importantes introduzidas no IPv6 são os tipos de
endereços, que também existiam no IPv4, mas aqui são utilizados de
uma maneira mais ampla, isto é, são conceitos aplicados na prática.
O IPv6 possui apenas três tipos definidos:

Unicast: identifica uma interface, sendo que o pacote destinado

a ela é recebido por esta e ninguém mais. É a comunicação um-
para-um apenas.

Anycast: identifica um conjunto de interfaces, tendo os pacotes

emitidos entregues a uma única interface do conjunto localizada
mais próxima do emissor. É a comunicação um-para-um dentre
muitos.

Multicast: também identificando um conjunto, tendo os pacotes

entregues agora a todo o grupo e não somente ao mais próximo.
É a comunicação um-para-muitos.
Deu para perceber que, diferentemente do IPv4, não temos o
endereço de broadcast, pois essa comunicação foi atribuída a grupos
específicos de multicast.
Vale mencionar também que, além desses tipos, temos o endereço de
loopback, que no IPv4 é o 127.0.0.1. Em IPv6 o conceito permanece,
com a diferença de ser formado por 127 bits em 0 e o 1, resultando no
endereço ::1.
Unicast
Vimos na definição que a comunicação unicast é direcionada um a
um, ou seja, é equivalente à comunicação entre dispositivos, como
tínhamos no IPv4. Dentro da definição unicast temos ainda três
classes principais:

Global unicast: equivalente aos endereços públicos do IPv4, ou

seja, aqueles que são roteáveis na Internet. Esses endereços são
controlados pela ICANN (Internet Corporation for Assigned
Names and Numbers), órgão que regula a distribuição de
endereços em todo o mundo. A faixa de distribuição
compreende o prefixo 2000::/3, isto é, permite 245 ou mais de
35 trilhões de endereços. Só para se ter uma ideia da proporção,
somos aproximadamente 7,4 bilhões de habitantes no planeta e
o IPv4 traz um total de 4,2 bilhões de endereços. O bloco global
unicast do IPv6 possibilita quase 5000 vezes mais endereços
que o número de habitantes no planeta. Em outras palavras,
você sozinho poderia ter quase 5000 endereços IPv6 para
configurar onde quiser. Haja dispositivos! Esse bloco
corresponde a apenas 13% do total de endereços que o IPv6
provê, indicando que, se precisarmos de alguns mais, teremos
ainda alguma “sobra” para distribuir.

Unique Local unicast: equivalente aos endereços da RFC1918

do IPv4, que define endereços privados para uso nas
organizações e não devem ser roteados na Internet. A faixa
compreende o prefixo FC00::/7, que permite dois grandes
blocos, o FC00::/8 e o FD00::/8, sendo o primeiro atribuído por
um órgão central (ainda não definido pelo padrão) e o segundo
definido localmente. De qualquer forma a quantidade de
endereços aqui possibilita uma quantidade inimaginável do
ponto de vista de esgotamento, bem como nos endereços
públicos. Os endereços “unique local” permitem 2,2 trilhões de
combinações.

Link Local unicast: utilizados apenas no enlace onde a

interface está conectada e é atribuído automaticamente, sempre
 utilizando a faixa FE80::/64, suficiente para proporcionar uma
comunicação local sem a necessidade de roteamento, uma vez
que os roteadores não encaminham pacotes que tenham esse
endereço na origem ou destino.
Anycast
Os endereços anycast simplesmente são compostos como os do tipo
unicast, com a diferença de ser usado o mesmo endereço em mais de
uma interface. Entretanto basta que as interfaces sejam configuradas,
para que saibam que estão com um endereço Anycast.
Multicast
Como definimos, o multicast permite a comunicação de um para
muitos e permite um agrupamento de hosts de maneira que todo pacote
destinado ao grupo seja recebido e processado por cada membro
participante.
Os endereços multicast nunca podem ser usados como endereço de
origem de um pacote. O bloco definido aqui é o FF00::/8. Vimos
anteriormente que o IPv6 não possui o conceito de broadcast, pois
essa função de transmitir a todos os nós da rede IPv6, sem exceção, foi
atribuída ao multicast, porém com um endereço específico reservado a
esse fim. Vejamos este e outros endereços multicast destinados a
aplicações especiais:

FF02::1 – todos os nós IPv6 do enlace (equivalente ao

broadcast do IPv4).

FF02::2 – todos os roteadores IPv6 do enlace.

FF02::5 e FF02::6 – mensagens OSPFv3.

FF02::9 – mensagens do RIPv2.

FF02::A – mensagens do EIGRP IPv6.

******ebook converter
DEMO
Watermarks*******
 IPv6 em Roteadores Cisco
Antes de seguir com esse tópico, apresentamos ao leitor duas
recomendações: seguir a leitura até o final deste capítulo, mas depois
retornar a este tópico após a leitura do capítulo 9, ou primeiro ler o
capítulo 9, depois retornar a partir deste ponto. Naquele capítulo
mostramos como configurar equipamentos Cisco, sintaxe de
comandos, conexão via telnet ou console, etc. Assim, os comandos e
exemplos mencionados a seguir poderão ser melhor aproveitados.
Os equipamentos roteadores da Cisco trazem o roteamento de
protocolo IPv4 ativado por padrão, o que não acontece para o IPv6,
que deve ser feito através de configuração exclusiva. Para ativá-lo,
basta entrar com o comando ipv6 unicast-routing no modo de
configuração global do roteador:
Roteador(config)# ipv6 unicast-routing

Também os equipamentos não trazem o protocolo ativado na

interface, o que deve ser feito através de comando específico em cada
uma:
Roteador(config-if)#ipv6 address ?
WORD General prefix name
X:X:X:X::X IPv6 link-local address
X:X:X:X::X/<0-128> IPv6 prefix
autoconfig Obtain address using autoconfiguration
Roteador(config-if)#ipv6 address 2001::12A/64

Para visualizar o que fora configurado basta entrarmos com o

comando “show ipv6 interface brief”, que temos o resumo de todas as
interfaces em IPv6 e seus estados (up/down):
Roteador#sh ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::C002:16FF:FEE4:0
2001::12A
FastEthernet0/1 [administratively down/down]
Serial1/0 [administratively down/down]
Serial1/1 [administratively down/down]
Serial1/2 [administratively down/down]
Serial1/3 [administratively down/down]

E ainda testamos com o comando ping especial:

******ebook converter
DEMO
Watermarks*******
 Roteador# ping ipv6 2001::12A
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001::12A, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
0/2/4 ms

Modified EUI-64 (EUI-64 Modificado)

O IPv6 também permite autoconfiguração, onde um dispositivo
atribui a si mesmo um endereço de rede, de maneira a possibilitar a
comunicação interna. Mais uma vez o IPv6 se mostra útil em redes que
não tenham suporte especializado ou que não requeiram aplicações
complexas ou roteamento.
O princípio de autoconfiguração é simples, bastando apenas o
protocolo identificar o endereço MAC (físico) da interface do
dispositivo (que já é um endereço em hexadecimal) e agregar alguns
bits extras, inserindo o hexa FFFE (também conhecido por 0xFFFE)
no meio. Esse conjunto, na porção de host, é conhecido pelo
identificador EUI-64.
Basicamente funciona assim:
1. O IPv6 toma os 48 bits que formam o endereço MAC.
2. Como faltam 16 bits para completar a segunda metade do IPv6 (já
que a primeira irá ser se referir ao prefixo de rede), agrega-se o hexa
FFFE no meio.
3. Para identificar que o endereço é único e global (Global Unique),
inverte-se o 7º (sétimo) bit (da esquerda para a direita em binário), se
for 0 (binário) vira 1 ou vice-versa.
Vejamos um exemplo passo a passo:

Tomemos o MAC de uma interface FastEthernet0/0 qualquer:

00-02-BA-4C-D6-8C

Agrega-se o bloco FFFE no meio, mantendo a estrutura

hexadecimal do IPv6 e, assim, temos: 0202:BAFF:FE4C:D68C

******ebook converter
DEMO
Watermarks*******
 O endereço completo IPv6 resultante ficará com o prefixo da
rede mais o EUI-64 acima, ainda invertendo o 7º (sétimo) bit
que é “0” para “1” binário que modifica o segundo hexadecimal.

O hexadecimal 0 não é igual ao binário 0. Como falamos na conversão binário-

hexadecimal, o binário 0000 é que resulta no hexadecimal 0. Veja esse detalhamento a
seguir.

Olhemos o passo a passo do que ocorreu aqui. Não é complexo, mas

vale se habituar com esse raciocínio – e praticar bastante!
MAC original da interface física: 0002-BA-4C-D6-8C.

Dividir o MAC exatamente no meio e inserindo FFFE já no

formato IPv6 com “:” como separador:
0002:BAFF:FE4C:D68C.

Inverter o 7º bit da esquerda para a direita. Aqui façamos um

“zoom” no processo de conversão.
Lembre-se que cada caractere em hexadecimal significa 4 (quatro)
bits. Assim, os dois primeiros números hexa do endereço acima são
0002:BAFF:FE4C:D68C. Apesar de serem dois zeros, isso é
hexadecimal, reiteramos o cuidado para não confundir!
Cada caractere em hexa será convertido em binário, ficando: 0000
0000, ou seja, aqueles dois zeros em hexa significam 8 zeros em
binário, quatro representando cada um.
Conte até 7 para chegar no sétimo bit, da esqueda para a direita e
inverta-o, isto é, estando em 1 vira 0, estando em 0 fica 1, que é nosso
caso, ficará: 0000 0010.
Reverta os dois grupos de quatro bits para números hexadecimais e
ficará assim: 0000(bin)=0(hex) e 0010(bin)=2(hex), ou seja, 02(hex).

******ebook converter
DEMO
Watermarks*******
 O resultado final ficará o EUI-64: 0202:BAFF:FE4C:D68C.
Com um prefixo de rede também com 64 bits, podemos ter um
endereço IPv6 completo assim:
2001:0DB8:0001:0001:0202:BAFF:FE4C:D68C

Outro exemplo para esclarecer melhor: vejamos a interface a seguir e

suas configurações:
Roteador# sh run int fa0/0
!
interface FastEthernet0/0
description LAN
no ip address
duplex auto
speed auto
ipv6 address 2001:DB8:3C4D:1::/64 eui-64
end
Roteador# sh int fa0/0
FastEthernet0/0 is up, line protocol is up
Hardware is i82543 (Livengood), address is ca00.2348.0008
(bia ca00.2348.0008)
Roteador# sh ipv6 int fa0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::C800:23FF:FE48:8
No Virtual link-local address(es):
Description: TO-CPE1
Global unicast address(es):
2001:DB8:3C4D:1:C800:23FF:FE48:8, subnet is
2001:DB8:3C4D:1::/64 [EUI]
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF48:8
Observem que a interface física tem o endereço MAC
ca00.2348.0008, facilmente identificado através do comando show
interface fa0/0 (apresentado com suas abreviações aceitáveis, a ver no
capítulo 9). A saída deste comando não apresenta o endereço IPv6,
mas sim o IPv4 que, se não estiver definido, não apresenta nada.
Entretanto, através dele tomamos o endereço MAC da interface física
FastEthernet0/0 que irá compor o IPv6 com o parâmetro EUI-64.
Ao executar o comando show ipv6 interface fa0/0, observamos o
endereço IPv6 dessa interface já agregando o FFFE entre o endereço
MAC, com o sétimo bit invertido.

******ebook converter
DEMO
Watermarks*******
 Fazendo uma decomposição de cada etapa para chegar no IPv6 final,
sugerimos a seguinte tabela:
MAC completo CA00.2348.0008
MAC dividido ao meio CA00:23 48:0008
Insere FFFE CA00:23 FF:FE 48:0008
Tome os dois hexa iniciais CA 00:23 FF:FE 48:0008
Converta-os em binário 1100 1010 00:23 FF:FE 48:0008
Inverta o sétimo bit 1100 1000 00:23 FF:FE 48:0008
Volte-os para hexa C8 00:23 FF:FE 48:0008
Remonte o IPv6 (EUI-64) da interface C800:23FF:FE48:0008
Junte com o prefixo de rede para o IPv6 2001:DB8:3C4D:1:C800:23FF:FE48:000
completo 8
Parece complicado, mas não é, e reforçamos: pratique, pratique,
pratique!

Integração e Transição IPv4-IPv6

O IPv6 é um protocolo bastante interessante e representa o futuro
das redes e da Internet global. Contudo, devemos nos lembrar de que
até então as redes possuem endereçamento IPv4 e uma mudança súbita
é praticamente impensável. Deste modo, mecanismos de transição
entre o IPv4 e IPv6 são necessários para uma migração gradual, até
que todos estejam prontos para a desativação do antigo protocolo. Das
estratégias existentes, temos as seguintes:

Dual Stack (Pilha Dupla): compreende simplesmente o uso de

endereçamento duplo IPv4 e IPv6 na mesma interface. Assim o
host pode tanto se comunicar em um ou em outro protocolo. A
maioria dos sistemas operacionais atuais já contam com suporte
ao IPv6 nativamente e o Windows 8 e 10, por exemplo, já o
ativa por padrão. Se você tiver um sistema desse instalado, basta
digitar ipconfig ou ipconfig /all na janela de comando (prompt),
como podemos ver na Figura 8.2. No macOS (Apple) ou Linux,
o equivalente para visualização é ifconfig <interface>. Em um
roteador, além do “ipv6 address”, basta configurar o endereço
******ebook converter
DEMO
Watermarks*******
 IPv4 com o comando normal “ip address”, como podemos ver
nas configurações seguintes.

Figura 8.2 – Microsoft Windows com o IPv6 ativado por padrão.

Roteador# show running-config interface
fastEthernet 0/0
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
ipv6 address 2001:DB8:3C4D:1::/64 eui-64
end

Tunelamento (6to4 Tunneling): permite que

redes IPv6 se comuniquem mesmo quando
tenham que passar por redes IPv4
intermediárias. Considerando que em alguns
casos não temos o controle destas redes
intermediárias, como uma rede de um
provedor, temos que adotar o tunelamento
6to4 para permitir que redes não diretamente
conectadas possam se comunicar.
O conceito aqui passa pela configuração de uma
******ebook converter
DEMO
Watermarks*******
 interface túnel dentro do roteador com interfaces
Dual Stack. Esse túnel, do tipo IPv6, permite esse
tunelamento agregando o cabeçalho IPv4 e
fazendo toda a rede intermediária pensar que se
tratam de dados IPv4 em trânsito. A Figura 8.3
apresenta uma topologia com essa
implementação.
Roteador1# show run interface tunnel 0
!
interface Tunnel0
no ip address
ipv6 address 2001:ADB0::1/64
tunnel source 10.198.0.1
tunnel destination 10.208.0.1
tunnel mode ipv6ip
Roteador2# show run interface tunnel 0
!
interface Tunnel0
no ip address
ipv6 address 2001:ADB0::2/64
tunnel source 10.208.0.1
tunnel destination 10.198.0.1
tunnel mode ipv6ip

Figura 8.3 – Aplicação do tunelamento IPv6.

******ebook converter
DEMO
Watermarks*******
 As configurações mostram a criação do túnel
que funciona no modo ipv6ip, com a interface
IPv4 local como origem (deve estar pré-
configurada) e a remota como destino (ponto a
ponto) e o endereço do túnel em si. Uma vez
estabelecido o túnel, cada roteador encaminha os
pacotes diretamente via “encapsulamento”,
independente dos equipamentos que existam no
meio (nuvem IPv4).
A estrutura de túneis IPv6-IPv4 pode ainda ter
diversas configurações, das quais destacamos:

Túnel manualmente configurado (em

inglês: MCT): configuração simplificada que
contempla as configurações básicas para um
túnel 6to4, determinando as interfaces IPv4 a
serem usadas, como vimos anteriormente.

Túnel 6to4 dinâmico: configuração

automática do túnel, com a seleção dos
endereços IPv4 de origem com base no IPv6
de destino.

Túnel ISATAP (Intra-site Automatic

******ebook converter
DEMO
Watermarks*******
 Tunnel Addressing Protocol): também se
refere à configuração automática do túnel,
porém normalmente usada dentro de uma
organização e que não haja o uso do NAT
convencional IPv4.

Túnel Teredo: configuração feita nos hosts

com duplo endereçamento (Dual Stack), que
estabelecem um túnel entre si. Essa
configuração compreende que todos os
elementos das redes intermediárias, inclusive
roteadores, sejam IPv4 nativos e não
possuem endereços IPv6.

NAT-PT (protocol translation): no início do

capítulo afirmamos que o NAT em IPv6 é um
conceito ultrapassado, não utilizado por
conta dos “incontáveis” endereços possíveis
nessa nova versão. Entretanto, falando de
transição, o NAT-PT é um recurso existente,
embora seja o último recomendado para uma
rede em fase de migração. Essa configuração,
diferentemente das duas anteriores (dual
stack e túnel), permite que um host
puramente IPv4 se comunique com um host
******ebook converter
DEMO
Watermarks*******
 IPv6. Isso se dá com a “tradução” de
protocolos, onde o cabeçalho de um é
retirado e o outro é colocado, similar ao que
é feito no conceito de NAT, mas com a
diferença de estarmos aqui tratando de
tradução de protocolos distintos e não uma
reconfiguração de endereços de origem ou
destino.
O NAT-PT também tem o conceito de NAT-PT
Estático, Dinâmico e o NAPT-PT, isto é, com
tradução de portas. O NAT-PT é um conceito a
ser conhecido, porém não é cobrado no exame do
CCNA com muita profundidade.

******ebook converter
DEMO
Watermarks*******
 09 - Gerenciamento de
Comandos Usando o IOS Cisco

Introdução
Neste capítulo fazemos uma pequena pausa nos conceitos teóricos e
vamos à prática. Todo o conhecimento visto e os que virão nos capítulos
seguintes requerem o uso de comandos e parâmetros para funcionar. Esta
parte do livro é uma das maiores, pois mostra como podemos preparar o
equipamento para executar as funções necessárias para o funcionamento de
uma rede. Então mãos à obra!
Um roteador ou um switch, antes de ser um dispositivo de rede, deve ser
encarado como um dispositivo que é composto por hardware e software. O
hardware é muito semelhante a um computador, pois tem placa-mãe,
memória, processador, interfaces etc. No caso de software, ele é um pouco
mais limitado, com um sistema operacional mais enxuto, que não permite
instalação de aplicativos, como Windows ou Linux.
De forma simples, roteador é responsável por interligar redes, cujo
endereçamento IP não esteja no mesmo prefixo/máscara. Ou seja, ele
trabalha na camada 3 (Rede) e promove o roteamento entre uma rede A e
uma rede B, onde os hosts não conseguem falar diretamente entre si. Uma
máquina que esteja com IP 10.1.1.25/24 não consegue falar com outra no
10.2.2.7/24. Para que essa “conversa” seja possível, deve haver um
dispositivo que as interligue: o roteador. Essa interligação é através de
conexões físicas e comandos.
Para que o roteador (ou switch) interprete os comandos e realize as
operações básicas e avançadas, tanto de roteamento, quanto de switching, é
necessário que exista um sistema que faça este controle; este sistema é o
Cisco IOS (Internetwork Operating System). O IOS da Cisco – não
confundir com o iOS (com “i” minúsculo), sistema operacional de
dispositivos móveis da Apple, como iPhone ou iPad – é um software que
******ebook converter
DEMO
Watermarks*******
contém instruções a serem interpretadas pelo roteador. O IOS age como um
gerenciador que controla as atividades internas do roteador, mas seu
conteúdo não pode ser modificado pelo cliente que o adquire, como os
sistemas operacionais usuais de computadores. Na realidade, o cliente
apenas passa parâmetros de configuração para personalizá-lo de acordo com
suas necessidades.
Os sistemas operacionais de computadores são formados de diversos
arquivos, como arquivos .SYS, .EXE, .DLL etc. No caso do IOS isso não
acontece, ou seja, ele é um único arquivo. Dependendo da versão, a imagem
de um software IOS pode variar entre 5 MB e 50 MB de tamanho físico, ou
até maior dependendo das características e serviços desejados. Outros
dispositivos de conectividade menos sofisticados da Cisco usam outra
forma de gerenciamento no lugar do IOS; no caso do hub é utilizado um
software embarcado (instalado na fábrica) chamado Firmware.
No aspecto de hardware, o roteador tem quatro tipos principais de
memória. A principal, muito semelhante à usada em um microcomputador,
é a RAM ou DRAM, ou memória de acesso randômico. Esta memória é
bem conhecida dos usuários pelo fato de ser usada para execução de
aplicativos. Todo o seu conteúdo é perdido caso você não salve as
configurações em memória auxiliar. A outra memória é a ROM, memória
somente leitura, que também existe em um PC. Nela há uma “miniversão”
de IOS responsável por fazer a carga inicial do IOS e procurar pela versão
completa do mesmo. Esta memória é fundamental, pois muitos
procedimentos podem ser realizados usando um modo de configuração que
é fornecido pela ROM. Em alguns sistemas, a ROM pode ser chamada de
NVRAM, memória não volátil, mas que permite alteração. Analogamente,
podemos ver a ROM como a BIOS de um computador convencional.

******ebook converter
DEMO
Watermarks*******
 Figura 9.1 - Resumo das memórias em equipamentos
roteadores e switches Cisco.
Em um computador temos o disco rígido,
disquete e outros tipos de armazenamento; em um
roteador a memória usada para armazenar o IOS
completo é a Flash, muito semelhante aos chips
de armazenamento de pendrives USB. A memória
Flash está disponível em formatos distintos, sendo
a CompactFlash a mais comum para roteadores da
série 2900, cobrada no exame CCNA. As
configurações do roteador também ficam
armazenadas nesta memória.
Dos tipos de memórias presentes em um
equipamento Cisco, veja um resumo delas na
Figura 9.1.
Para acessar o IOS e iniciar a configuração de
um roteador é necessário usar a porta de console
do equipamento. Para isso, você usará um cabo de
console, geralmente fornecido com o
equipamento, para conectar-se à porta serial do
seu microcomputador. Para fazer isso será
necessário um conector adaptador de console, no
caso de DB-9 para RJ-45, como mostra a Figura
9.2.

******ebook converter
DEMO
Watermarks*******
 Figura 9.2 – Cabo e conector necessários para configuração via
porta de console e porta serial do computador.
O cabo, embora parecido com um cabo de rede,
tem a “pinagem” específica para uso em console e
não deve ser conectado à porta de rede Ethernet
do computador, com risco de danificá-la. Caso
seu PC não tenha uma porta serial, o que está em
desuso principalmente em notebooks, há opção de
conexão via USB com cabo Cisco apropriado,
que conecta à porta USB do computador até uma
porta console USB-mini do equipamento e
instalação de driver recomendado pelo fabricante.
Verifique também opções de cabos serial-USB
que permitem essa conversão física para acessar
equipamentos Cisco via USB.
A configuração lógica pode ser feita via Putty
(no Windows), com o kermit no LINUX, ou
programa equivalente em outros sistemas
******ebook converter
DEMO
Watermarks*******
 operacionais.
Como dissemos, o hardware Cisco é bastante
simples, sendo formado basicamente por chassi,
portas de expansão, cartões de expansão e
interfaces. A variação ocorre pelo volume de
tráfego suportado, quantidade de interfaces ou
slots de expansão e funcionalidades integradas.
Em relação a esse último item, a Cisco baseou
seus produtos no conceito ISR – Integrated
Services Router ou Roteador de Serviços
Integrados que possibilita a conectividade
LAN/WAN, bem como o suporte a aplicações
específicas, como VPN, VoIP, etc. Na Figura 9.3
apresentamos a vista traseira do roteador 2901:

Figura 9.3 – Roteador Cisco 2901, parte traseira (interfaces e slots).

Temos nesta figura:
1 – Slots de interface WAN (posição 0 mais à direita)
2 – Porta USB serial (equivalente ao item 4 a seguir)
3 – Porta Auxiliar
4 – Porta Console RJ-45 (usado para acessar o equipamento e
configurá-lo)
5 – Porta Ethernet 10/100/1000 Mbps (Giga0/1)

******ebook converter
DEMO
Watermarks*******
 6 – Porta Ethernet 10/100/1000 Mbps (Giga0/0)
7 – Conector fio-terra
8 – Portas USB
9 – Slots para memória CompactFlash
Nessa listagem temos algumas interfaces com a nomenclatura ou
tipo seguida de números. A Cisco, bem como outros fabricantes,
enumera cada slot e suas interfaces, para melhor identificação. A porta
Ethernet do 2901 é uma interface gigabit, suportando as três
velocidades, 10, 100 e 1000Mbps. A primeira porta gigabit do chassi é
a porta 0 (zero) e a segunda, a porta 1. Como o chassi é numerado “slot
0”, as interfaces têm a sequência 0/0 e 0/1, sendo o primeiro o
identificador do slot. A convenção, portanto, fica “tipodainterface
0/slot/porta”.
Em alguns modelos, temos slots que não estão embutidos, isto é, são
slots de expansão que comportam placas e novas portas. Exemplos:
Serial 1/0/0, Serial 1/0/2, GigabitEthernet 2/0/0 etc.
Como veremos adiante, alguns sistemas apresentam as interfaces
com nomes reduzidos e, em alguns momentos, também utilizaremos
esse modo: Se1/0/0, Gi2/0/0, Fa3/0/1 (Fa = FastEthernet).
Para saber mais sobre o hardware Cisco 2900, verifique a URL:
http://www.cisco.com/en/US/docs/routers/access/2900/hardwa
re/installation/guide/Overview.html.
Recomendamos, também, visitar o site Cisco para outros modelos, como os atuais ISRs
da série 4000, frequentemente usados em redes corporativas:
https://www.cisco.com/c/en/us/products/routers/4000-
series-integrated-services-routers-isr/index.html

Operando Roteadores e Switches

Cisco
Seja um roteador da série 2800, 2900, ISR 4000 ou switches 9200
por exemplo, os comandos seguem a mesma lógica ou sintaxe, muitas
vezes similares na forma de operar, mas atrelados apenas à versão do
software IOS. Tais modelos diferem nas capacidades de
processamento, memória, aplicação e interfaces, mas seus softwares

******ebook converter
DEMO
Watermarks*******
 que determinarão as funcionalidades disponíveis e suportadas.

Figura 9.4 – Tela de configuração Putty do Windows.

Para nos conectar ao equipamento, iremos utilizar o Putty do
Windows, como já sugerido, configurado com os parâmetros ilustrados
na Figura 9.4 (9600, 8, 1, nenhum, nenhum), atrelados a uma interface
serial do computador, como a COM1, ou aquela que seu computador
disponibilizar. Há casos que requerem adaptadores USB/serial para
efetuar essa comunicação.

Inicialização
No momento em que o roteador ou switch é ligado pela primeira
vez, ele executa o POST (Power-on Self Test) que vai testar a
integridade dos dispositivos internos do roteador. Se todos estiverem
íntegros, ele vai fazer a carga do IOS através da memória Flash (se os
arquivos estiverem presentes). Neste momento será procurada uma
configuração válida, a qual chamamos de startup-config que, por
padrão, é armazenada na RAM não volátil ou NVRAM.
Observação: caso o arquivo do IOS não esteja na memória, o
roteador busca por um servidor TFTP e, caso não encontre, segue para
o modo ROMMON.
Se neste momento não for detectada uma configuração válida, o
roteador entrará no modo Setup. Este inicia um diálogo interativo
******ebook converter
DEMO
Watermarks*******
 chamado System Configuration Dialog que será mostrado na tela do
software que você estiver usando para acessar a console, no caso o
Putty. Este assistente vai fazer perguntas sobre configuração e sugerir
valores, quando cabível. Desta forma, no primeiro boot do roteador
você deverá:
1. Ligar o roteador/switch.
2. Verificar a versão do software instalado e outras opções.
3. Configurar parâmetros globais.
4. Configurar parâmetros de interface.
5. Armazenar as configurações no modo não volátil, ou Flash.
Estando, então, com o Putty devidamente configurado, ligue o
roteador. Logo será iniciado o processo de POST com informações do
hardware e em seguida a carga do IOS e interfaces. O resultado traz
informações relevantes similares à saída do comando show version:
Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version
15.1(3)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Mon 15-Nov-10 22:27 by prod_rel_team
ROM: System Bootstrap, Version 12.3(8r)T9, RELEASE SOFTWARE
(fc1)
Roteador uptime is 54 minutes
System returned to ROM by reload at 14:51:27 UTC Mon Aug 11
2016
System image file is “flash:c2801-ipbasek9-mz.151-3.T.bin”
Last reload type: Normal Reload
!
Cisco 2801 (revision 6.0) with 110592K/20480K bytes of
memory.
Processor board ID FTX1110W1YQ
2 FastEthernet interfaces
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)
License Info:
License UDI:

Device# PID SN

*0 CISCO2801 FTX1110W1YQ
Configuration register is 0x2102

******ebook converter
DEMO
Watermarks*******
 Note que a primeira parte da tela mostra informações gerais sobre o
fabricante. Observe que o roteador tem 128 MB de memória RAM ou
DRAM e 64 MB de Flash. Em seguida temos outras informações
gerais, que incluem a versão do software, no caso 15.1(3)T. Depois
temos as interfaces, neste caso, duas FastEthernet.
Ao iniciarmos o equipamento, pode-se efetuar a configuração
manual ou através do System Configuration Dialog:
— System Configuration Dialog —-
Would you like to enter the initial configuration dialog?
[yes/no]: y
At any point you may enter a question mark ‘?’ for help.
Use ctrl-c to abort configuration dialog at any prompt.

O System Configuration Dialog é um assistente que auxilia nas

configurações básicas do roteador, como endereços IP das interfaces,
protocolos de roteamento, senhas, comunidade SNMP e outros. Dessa
maneira, mesmo que através de interface texto, o usuário consegue
efetuar uma configuração simples, que permita uma comunicação e o
roteamento básico de redes. Embora o assistente ajude, à medida que
ficamos mais experientes, podemos ir direto para o prompt e iniciar as
configurações manualmente. Além de mais rápido, permitirá ajustes
avançados.
Todos os roteadores Cisco têm um software de registro de 16 bits
que é escrito em NVRAM. Como padrão, este registro de configuração
é ajustado para carregar o IOS através da memória flash e carregar o
arquivo de configuração (startup-config) da NVRAM. A configuração
padrão nos roteadores Cisco é 0x2102. Para verificar esta configuração
basta usar o comando show version.
Roteador#show version
...
Configuration register is 0x2102
Roteador#

Note que a última linha antes do prompt tem o registro de

configuração, que como padrão é 0x2102, que indica que o roteador
deverá tentar fazer a carga da imagem do IOS na memória Flash e em
seguida fazer a carga da configuração (startup configuration). O tipo
de registro pode afetar diretamente a forma com que o roteador perfaz

******ebook converter
DEMO
Watermarks*******
 a sequência de boot.
Para alterar este registro de configuração seria necessário utilizar o
comando config-register. Vejamos como seria a sequência de
comandos:
Roteador#
Roteador#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Roteador(config)#
Roteador(config)#config-register ?
<0x0-0xFFFFFFFF> Config register number
Roteador(config)#config-register 0x2102
Roteador(config)#

Sempre que necessário utilize o help através do sinal de interrogação

(?); ele lhe ajudará no entendimento dos parâmetros suportados pelo
comando.
Vejamos abaixo uma tabela de equivalência dos possíveis parâmetros
suportados:
HEXADECIMA DESCRIÇÃO
BIT L

00- 0x0000-0x000F Campo de boot

03 Campo
Significa
Usado para...
00
Modo de Boot via ROM
Efetuar o boot pelo modo “ROM monitor”.
01
Efetuar boot de imagem pela ROM
Efetuar o boot da imagem do IOS armazenado em ROM.
Padrão para 2101.
02-F
Especifica o arquivo de boot padrão
Qualquer valor de 2102 a 210F. Instrui o roteador a usar os
comandos de boot da NVRAM.

06 0x0040 Ignora o conteúdo de NVRAM

07 0x0080 Modo OEM habilitado
08 0x0100 Break desabilitado
10 0x0400 Broadcast IP com todos 0s

******ebook converter
DEMO
Watermarks*******
 5, 0x0800-0x1000 Velocidade de linha de console
11-
12
13 0x2000 Boot padrão para software de ROM se o boot de rede falhar
14 0x4000 Broadcast IP para números de rede
15 0x8000 Habilita mensagens de diagnóstico e ignora conteúdo NVM

Conhecendo os Comandos
A configuração de um roteador ou switch é organizada em Modos
que definem como e onde ela será feita. Vejamos os modos existentes:

User EXEC Mode (Modo usuário)

Privileged EXEC Mode (Modo privilegiado)

Global Configuration Mode (Modo de Configuração Global)

Interface Configuration Mode (Modo de Configuração da

Interface)

Setup Mode (Modo Setup)

Line Configuration Mode (Modo de Configuração de linha)

Figura 9.5 – Modos de Configuração e Prompts.

Para tornar mais claro o conceito de modo de configuração, pense

******ebook converter
DEMO
Watermarks*******
 em um sistema operacional, como Windows ou Linux: há usuários que
são administradores ou superuser, usuários avançados e usuários
comuns, cujas diferenças estão no alcance dos comandos ou
capacidade de alterar o sistema, instalando aplicativo ou alterando
permissões de pastas. Dependendo do modo (ou no caso do sistema
operacional, tipo de usuário), você terá uma série de comandos e
funcionalidades disponíveis ou não. O conceito de modo no Cisco é
semelhante a este. Embora a Figura 9.5 ilustre alguns, não está
limitado a apenas esses, havendo outros mais que são sub-modos ou
modos de configuração específicos, de protocolos ou parâmetros que
demandem uma organização do conjunto de comandos.
Como mencionado anteriormente, outro jeito de iniciar a
configuração do zero é efetuar um boot no roteador e, quando o Setup
for acionado, responder “No” (Não) à pergunta que será feita logo no
início. Quando isto acontece, você entra no modo de usuário (User
EXEC Mode) e seu prompt ficará como mostra a seguir:
Roteador>

Este modo não permite fazer muita coisa: na realidade ele é usado
basicamente para fazer alguns testes e listar informações sobre o
roteador. Atenção, em alguns roteadores quando novos e retirados da
caixa, ao entrar no modo User, o prompt pode estar como Router>, que
na verdade é a palavra roteador em inglês. Para saber quais comandos
são suportados neste e em qualquer outro nível, você poderá pressionar
a tecla “?”, como mostra o exemplo abaixo:
Roteador> ?
Exec commands:
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
call Voice call
clear Reset functions
connect Open a terminal connection
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
exit Exit from the EXEC
help Description of the interactive help system
lat Open a lat connection
lock Lock the terminal

******ebook converter
DEMO
Watermarks*******
 login Log in as a particular user
logout Exit from the EXEC
modemui Start a modem-like user interface
mrinfo Request neighbor and version information from a
multicast router
mstat Show statistics after multiple multicast traceroutes
mtrace Trace reverse multicast path from destination to
source
name-connection Name an existing network connection
pad Open a X.29 PAD connection
ping Send echo messages
ppp Start IETF Point-to-Point Protocol (PPP)
release Release a resource
renew Renew a resource
resume Resume an active network connection
rlogin Open an rlogin connection
set Set system parameter (not config)
show Show running system information
slip Start Serial-line IP (SLIP)
systat Display information about terminal lines
tclquit Quit Tool Command Language shell
telnet Open a telnet connection
terminal Set terminal line parameters
traceroute Trace route to destination
tunnel Open a tunnel connection
udptn Open an udptn connection
where List active connections
x28 Become an X.28 PAD
x3 Set X.3 parameters on PAD

A lista de comandos pode variar de acordo com o equipamento ou

versão de IOS, mas a forma de exibir a Ajuda é sempre a mesma. Para
iniciar a configuração do roteador Cisco (e repetimos que vale o
mesmo para switches em todos os exemplos) é preciso digitar o
comando enable e, através dele, você entrará no modo privilegiado
(Privileged EXEC mode).
Roteador> enable
Roteador#

Note que o prompt mudou para nome do roteador (Roteador ou

Router por padrão) seguido do símbolo #, que indica que você já está
em outro modo. Neste você também poderá pedir ajuda usando a
interrogação. Veja que a lista de comandos é maior (também variável
de acordo com as versões):

******ebook converter
DEMO
Watermarks*******
 Roteador#?
Exec commands:
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
access-template Create a temporary Access-List entry
archive manage archive files
cd Change current directory
clear Reset functions
clock Manage the system clock
configure Enter configuration mode
connect Open a terminal connection
copy Copy from one file to another
debug Debugging functions (see also ‘undebug’)
delete Delete a file
dir List files on a filesystem
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
erase Erase a filesystem
exit Exit from the EXEC
help Description of the interactive help system
isdn Make/disconnect an isdn data call on a BRI interface
lock Lock the terminal
login Log in as a particular user
logout Exit from the EXEC
more Display the contents of a file
name-connection Name an existing network connection
no Disable debugging functions
ping Send echo messages
ppp Start IETF Point-to-Point Protocol (PPP)
pwd Display current working directory
reload Halt and perform a cold restart
resume Resume an active network connection
rlogin Open an rlogin connection
rsh Execute a remote command
send Send a message to other tty lines
set Set system parameter (not config)
setup Run the SETUP command facility
show Show running system information
slip Start Serial-line IP (SLIP)
squeeze Squeeze a filesystem
start-chat Start a chat-script on a line
systat Display information about terminal lines
telnet Open a telnet connection
terminal Set terminal line parameters
test Test subsystems, memory, and interfaces
traceroute Trace route to destination
tunnel Open a tunnel connection

******ebook converter
DEMO
Watermarks*******
 undebug Disable debugging functions (see also ‘debug’)
undelete Undelete a file
verify Verify a file
where List active connections
write Write running configuration to memory, network, or
terminal
Roteador#

Para sair do modo privilegiado e voltar para o modo usuário digite

“disable”, como mostrado abaixo:
Roteador#disable
Roteador>
Para sair do roteador e fechar esta sessão digite “logout”.
Roteador>logout

A CLI (Command Line Interface) dos roteadores Cisco tem uma

grande vantagem quando se trata de digitação de comandos. Você
poderá digitar as primeiras letras de um comando e já pressionar
ENTER para que ele identifique e interprete o comando. Para alguns
comandos, basta digitar duas letras, mas para outros é necessário
digitar mais. Isto varia, pois como existem diversos comandos cujas
primeiras letras são idênticas, ele não saberá que comando deverá
interpretar. Veja abaixo um exemplo dos comandos enable e disable.
Roteador>en
Roteador#disa
Roteador>

Note que no caso do “disable” foi necessário digitar as quatro

primeiras letras, isso porque existe um comando chamado
“disconnect” no modo privilegiado; se você digitar até os três
primeiros caracteres, vai gerar um conflito e o equipamento não saberá
qual deve executar. No caso do “enable”, usou-se apenas duas letras
(“en”), pois já é o bastante para distingui-lo dos demais comandos.
Para otimizar seu trabalho também é possível digitar os primeiros
caracteres, pressionar a tecla TAB e será preenchido o comando
completo para que você veja qual comando foi digitado. Lembre-se,
sempre que surgir uma dúvida na sintaxe ou nomes de comandos,
utilize o sinal “?”. Entretanto, vale observar que nem sempre os
simuladores no exame CCNA possibilitam essa consulta, mas vale
tentar. A recomendação é que você tenha o comando completo em

******ebook converter
DEMO
Watermarks*******
 mente para a prova.
Toda configuração aplicada na CLI pode ser desfeita através do
mesmo comando precedido por “no” (do inglês: não) que faz a
negação do comando aplicado. Os comandos que forem negados com a
palavra “no” são retirados e a configuração é desfeita, exemplo:
PE3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
PE3(config)#interface ethernet 3/3
PE3(config-if)# ip address 192.168.0.1 255.255.0.0
PE3(config-if)# no ip address 192.168.0.1 255.255.0.0
PE3(config-if)# ip address 192.168.0.1 255.255.255.0

Aqui realizamos uma configuração de IPv4 na interface Ethernet3/3

e colocamos uma máscara que precisou ser corrigida. A alteração
poderia ser feita de duas formas: da forma apresentada, com o mesmo
comando precedido pela palavra “no”; ou sobrescrevendo o comando
repetindo-o com a máscara correta. Neste último caso, o IOS permite
que o comando seja repetido sem que o incorreto seja desfeito,
colocando o IP correto no lugar.
Mas, se a ideia for colocar múltiplos IPs em uma interface, é
possível através do comando secondary. Veja como fica em outro
roteador da rede:
CE-3(config-if)#ip address 192.168.0.1 255.255.255.0
CE-3(config-if)#ip address 10.0.0.1 255.255.255.252 secondary
CE-3(config-if)#ip address 172.16.2.1 255.255.255.128
secondary
CE-3#sh run int e0/3
!
interface Ethernet0/3
ip address 10.0.0.1 255.255.255.252 secondary
ip address 172.16.2.1 255.255.255.128 secondary
ip address 192.168.0.1 255.255.255.0

Embora a sintaxe apresente apenas “secondary”, você pode colocar

tantos “secondary” quanto necessários, não limitados ao segundo,
como indicaria a tradução do termo.
Atenção, pois não são todos os comandos que podemos
simplesmente sobrescrevê-los com a sintaxe correta. Haverá situações
em que, ao entrarmos com um novo comando na intenção de

******ebook converter
DEMO
Watermarks*******
 sobrescrevê-lo com o parâmetro correto, estaremos, na verdade,
criando mais uma linha deixando dois parâmetros ao invés de um.
Sobre nosso exemplo anterior, consideremos que erramos o IP
172.16.2.1, o qual deveria ser 172.16.1.1. Ao entrar com o comando
igual, sem apagar o anterior, com a intenção de sobrescrevê-lo, veja o
que acontece:
CE-3(config-if)#ip address 172.16.1.1 255.255.255.128
secondary
CE-3(config-if)#do sh run int e0/3
!
interface Ethernet0/3
ip address 10.0.0.1 255.255.255.252 secondary
ip address 172.16.2.1 255.255.255.128 secondary
ip address 172.16.1.1 255.255.255.128 secondary
ip address 192.168.0.1 255.255.255.0
end

Inserimos uma quarta linha com o novo IP, sem apagar o anterior.
Essa é uma situação que sobrescrever não funciona. Deste modo,
devemos apagar o anterior e depois aplicar a correção. Portanto, na
dúvida, faça sempre a desconfiguração com o “no” para entrar com o
comando correto, em caso de erro.
Comandos e Ajustes do Boot do Sistema
Como falamos, o IOS é o sistema operacional que gerencia o
hardware Cisco. Dentro de um mesmo equipamento podemos ter
vários arquivos IOS guardados, porém apenas um será carregado, já
que não há como rodar dois sistemas operacionais em um mesmo
roteador simultaneamente, diferentemente do que ocorre com alguns
sistemas operacionais em modo virtualizado.
Para sabermos quais arquivos estão guardados na memória Flash,
basta dar o comando show flash: ou apenas dir, como no Windows.
Veja como fica o resultado:
Roteador#dir
Directory of flash:/
1 -rw- 33863788 Aug 11 2014 14:30:02 +00:00 c2801-ipbasek9-
mz. 151-3.T.bin
2 -rw- 1821 Mar 9 2007 04:50:24 +00:00 sdmconfig-2801.cfg
3 -rw- 4734464 Mar 9 2007 04:51:02 +00:00 sdm.tar

******ebook converter
DEMO
Watermarks*******
 4 -rw- 833024 Mar 9 2007 04:51:26 +00:00 es.tar
5 -rw- 1052160 Mar 9 2007 04:51:50 +00:00 common.tar
6 -rw- 1038 Mar 9 2007 04:52:12 +00:00 home.shtml
7 -rw- 102400 Mar 9 2007 04:52:36 +00:00 home.tar
8 -rw- 491213 Mar 9 2007 04:52:58 +00:00 128MB.sdf
9 -rw- 1684577 Mar 9 2007 04:53:34 +00:00 securedesktop-ios-
3.1.1.27-k9.pkg
10 -rw- 398305 Mar 9 2007 04:54:02 +00:00 sslclient-win-1.1.
0.154.pkg
64012288 bytes total (20832256 bytes free)

Quando o roteador inicia, ele vai tomar o primeiro IOS disponível na

Flash, se houver mais de um. Sendo apenas um, ele entende que o
sistema a ser carregado é aquele. Entretanto, podemos colocar mais de
uma versão para testar suas funcionalidades até definir a utilização em
definitivo, por exemplo.
Considerando que a memória Flash tem espaço disponível – vale
lembrar que ela é como um HD, com espaço limitado – basta gravar
um ou mais arquivos de diferentes versões do IOS e, em seguida,
alterar a ordem que queremos que sejam carregados.
O comando que realiza essa operação é o boot system no modo de
configuração global.
Roteador(config)#boot system ?
WORD TFTP filename or URL
flash Boot from flash memory
ftp Boot from a server via ftp
mop Boot from a Decnet MOP server
rcp Boot from a server via rcp
tftp Boot from a tftp server

Existem algumas opções complementares sobre as quais não

entraremos em detalhes. Para ciência, informamos que é possível
deixar um IOS em um servidor TFTP e carregá-lo remotamente a cada
reinicialização. É uma opção viável como contingência em caso de
falha, mas não é recomendado como uso corrente nas reinicializações
do sistema.
Para alterar a ordem dos arquivos a serem carregados, use o
comando a seguir:
Roteador(config)#boot system flash nome_do_arquivo.bin

******ebook converter
DEMO
Watermarks*******
 À medida em que você coloca uma ou mais linhas indicando um
arquivo diferente na flash, o roteador entenderá a ordem que deve
carregá-los. Ao constatar que o primeiro tem algum problema ou está
corrompido, o roteador passará para o segundo da lista e tentará
carregá-lo e, se outra vez esse estiver com problemas, passará ao
próximo e assim por diante.
Se carregar o primeiro da lista corretamente, nada acontecerá em
relação aos demais, isto é, não serão carregados. A tomada de decisão
de ir ao próximo só ocorre em caso de falha do primeiro da lista e
assim sucessivamente.
Usando o comando show running-config, logo no início das
configurações aparece a sequência de boot. A seguir uma sequência
hipotética para três arquivos de IOS:
!
boot-start-marker
boot system flash c2801-ipbasek9-mz.151-3.T.bin
boot system flash c2801-ipbasek9-mz.150-0.bin
boot system flash c2801-ipbasek9-mz.151-1.bin
boot-end-marker
!

Licenciamento
As versões mais recentes do sistema IOS da Cisco está na versão
15.x. A anterior era da série 12.4 e saltou para a versão nova, que traz
um conceito ligeiramente diferente das suas predecessoras.
Na 12.4, os pacotes de software eram compilados para aplicações
específicas, partindo das mais básicas até as mais avançadas. Quando
se desejava ter novas funcionalidades, como BGP, MPLS, segurança,
VoIP, o administrador da rede deveria obter o pacote específico que
suportasse essas funções, tendo que instalar o novo sistema e, caso
necessário, alterar a ordem de inicialização para o pacote desejado
conforme descrevemos no tópico anterior.
Já na versão 15, o administrador instala apenas um arquivo e este
contempla todas as funcionalidades desejadas sem a necessidade de
instalação de novos arquivos. Mas como é isso? Simples assim e de
graça? Não é bem assim. A Cisco coloca o pacote de características

******ebook converter
DEMO
Watermarks*******
 possíveis em um único arquivo IOS, porém requer um licenciamento
para cada funcionalidade que se deseje ativar, isto é, deve-se adquirir
uma licença para habilitar a de segurança, de VoIP, de roteamento
avançado, MPLS etc.
Tendo o arquivo, você até consegue testar algumas das
funcionalidades em um período de 60 dias. Essa utilização temporária
se denomina Right-to-Use (direito de uso), que permite validar o IOS
com as funções avançadas antes de adquirir uma licença definitiva.
Todavia, após o período de avaliação, as funcionalidades permanecem
ativas. Sim, a Cisco atualmente está confiando nos administradores de
rede para que possam honrar o licenciamento e espera que as licenças
sejam adquiridas para uso efetivo e legal das características avançadas
desejadas. Vale lembrar que a Cisco pode alterar as formas de
licenciamento no futuro, evitando práticas ilegais de uso do IOS.
Além de simplificar a administração, a Cisco, por sua vez, controla
melhor os softwares que são instalados nos roteadores e ainda ganha
com o licenciamento, embora, na opção antiga, também ganhava
quando se adquiria um pacote mais avançado.
A administração simplificada se dava pelo fato de que, na versão
antiga, cada hardware (série 2800, 1800, 1700, etc.) tinha várias
versões de IOS para cada aplicação. Com a versão 15, você só verifica
qual o hadware e toma apenas um arquivo, abrindo as funcionalidades
através de licenciamento.
Todo roteador vem com as funcionalidades IP Base ativadas, que
provê o básico para comunicação em rede. Além desse grupo padrão,
existem mais três pacotes avançados que podem ser ativados com o
licenciamento:

Data (Dados): MPLS, ATM, suporte multiprotocolos.

Unified Communications (Comunicações Unificadas): VoIP e

telefonia IP.

Security (Segurança): IPS, IPsec, IOS Firewall, 3DES, VPN.

******ebook converter
DEMO
Watermarks*******
 Para ativar essas funcionalidades, o licenciamento pede alguns dados
do roteador, como o UDI (unique device identifier – identificador
único do dispositivo) que é composto pelo ID do produto (modelo) e
seu número de série (serial number). Podemos obter essa informação
com o comando show license udi:
Roteador# show license udi
Device# PID SN UDI

*0 CISCO2901/K9 FTX1234Y00A CISCO2901/K9:FTX1234Y00A

Para instalar novas licenças, há duas possibilidades: o sistema CLM

(Cisco License Manager) ou modo manual.
O CLM é um aplicativo que é instalado em um servidor, seja
Windows ou Linux, que baixa os arquivos da Cisco e distribui para os
roteadores da rede.
Caso opte pelo modo manual, o administrador pode obter o PAK
(product authorization key) que é um “recibo de compra” que contém
um número identificado que a Cisco compara com sua base de dados
garantindo que é um identificador válido e não usado. Através do
portal de licenciamento da Cisco (www.cisco.com/go/license), você se
registra, caso não tenha um usuário no site, e associa o PAK ao UDI
para receber um arquivo de licença a ser carregado no roteador para
uso definitivo e legal das funcionalidades desejadas (Data, UC,
Security).
Para realizar a instalação manualmente no roteador, com o arquivo
de licença já gravado na flash, basta usar o comando license install
flash: <nome_do_arquivo> :
Roteador# license install
flash:FTX1234Y00A_201407250364456789.lic
Installing...Feature:datak9...Successful:Supported
1/1 licenses were successfully installed
0/1 licenses were existing licenses
0/1 licenses were failed to install
Jul 25 15:55:00.286: %LICENSE-6-INSTALL: Feature datak9 1.0
was installed in this
device. UDI=CISCO2901/K9:FTX1234Y00A; StoreIndex=1:Primary
License Storage
Jul 25 15:56:01.556: %IOS_LICENSE_IMAGE_APPLICATION-6-

******ebook converter
DEMO
Watermarks*******
 LICENSE_LEVEL: Module name =
c2900 Next reboot level = datak9 and License = datak9

Para ativar as funcionalidades sem o uso do PAK, isto é, no modo

“trial” para avaliação no período de 60 dias, basta usar o comando
license boot module no modo de configuração global:
Roteador(config)# license boot module c2900 technology-
package data

Para mostrar, use o commando show license.

Ambas as instalações requerem que o roteador seja reiniciado para
valer as novas funcionalidades. Para desinstalar, é só negar o comando
e apontar o termo disable ao final:
Roteador# license clear <nome_da_licenca>
Roteador(config)#no license boot module c2900 technology-
package data disable

Fazendo Alterações Globais

No modo de configuração Global os comandos e as configurações
irão afetar o sistema como um todo. Para entrar neste modo de
configuração é preciso já estar dentro do modo privilegiado. Você tem
duas formas de ativar o modo de configuração. São elas:
1. Usando o comando configure e interagindo com a pergunta,
conforme mostra abaixo:
Roteador#configure

Configuring from terminal, memory, or network [terminal]?

Pressione ENTER para entrar no modo Terminal
2. Digitando o comando configure com o parâmetro terminal. Veja:
Roteador#configure terminal
Enter configuration commands, one per line. End with CNTL/Z
Roteador(config)#

Conforme mencionado, se digitarmos a versão “abreviada” dos

comandos também teremos o mesmo resultado. Nos exemplos
anteriores poderíamos alcançar o modo de configuração global
digitando das seguintes maneiras:
Roteador# configure t
Roteador# config terminal
Roteador# conf terminal

******ebook converter
DEMO
Watermarks*******
 Roteador# conf t

Este último é o mais usual, justamente pelo fato de termos que

digitar menos para alcançar o mesmo resultado. Ao longo do tempo,
será possível se familiarizar com as formas que mais lhe auxiliem,
tanto em agilidade, quanto em memorização. Caso os exemplos aqui
utilizem comandos abreviados, basta usar a tecla TAB (ao acessar um
roteador) para que o comando se complete e você possa tirar a dúvida
de qual se trata.
Quando seu prompt ficar Roteador(config)# indica que você entrou
no modo de configuração. Este modo é chamado de running-config
(configuração corrente), pois serão exibidas as configurações
atualmente ajustadas no roteador. Para visualizar as informações
armazenadas em NVRAM é necessário entrar no modo startup-config
(configuração de inicialização) através do comando “config memory”.
Por que existem essas duas formas? A Running-config está na
memória RAM, em execução, e a Startup-config será aquela utilizada
no momento em que se inicia o roteador. Se aplicarmos comandos e
não salvarmos, eles valerão enquanto o equipamento não for
reiniciado, isto é, quando a RAM for apagada.
Como você pode ver na mensagem exibida após digitar o comando
“config terminal”, é possível voltar um nível. No caso atual, voltar
para o modo privilegiado, basta pressionar CTRL+Z.
Roteador#config terminal
Enter configuration commands, one per line. End with CNTL/Z
Roteador(config)# <...pressionando CTRL+Z...>
Roteador#

Obtendo Informações dos Comandos

Agora que você está no modo de configuração de terminal, é
possível visualizar informações sobre outras configurações do
roteador. Comece visualizando as informações das interfaces; para
isso, siga os passos abaixo:
1. Você já sabe que para exibir informações de ajuda basta usar o
comando “?”. Agora, se você já sabe o comando e quer saber quais
parâmetros existem disponíveis para este comando, então você usa

******ebook converter
DEMO
Watermarks*******
 a sintaxe do tipo: “<comando> ?”. Ao fazer isso, você solicita ajuda
sobre os parâmetros do comando. Veja o comando interface:
Roteador(config)# interface ?
Async Async interface
BRI ISDN Basic Rate Interface
BVI Bridge-Group Virtual Interface
Dialer Dialer interface
Ethernet IEEE 802.3
Group-Async Async Group interface
Lex Lex interface
Loopback Loopback interface
Multilink Multilink-group interface
Null Null interface
Port-channel Ethernet Channel of interfaces
Tunnel Tunnel interface
Virtual-Template Virtual Template interface
Virtual-TokenRing Virtual TokenRing
Vlan Catalyst Vlans

2. Vistas as opções de ajuda, agora você deverá verificar quantas

interfaces ethernet você tem; para isso digite o comando abaixo:
Roteador(config)#interface ethernet ?
<0-0> Ethernet interface number

3. Agora digite o número da interface. Neste caso 0 (ou 0/0

dependendo do modelo):
Roteador(config)#interface ethernet 0

4. Verifique que o prompt de comando mudou para Roteador(config-

if)#, o que indica que você está no modo de configuração de uma
interface. Para voltar para o modo de configuração global, digite
exit.
Roteador(config-if)#exit
Roteador(config)#

Qualquer que seja o comando ou o nível em que você esteja dentro

das configurações, é possível realizar a mesma operação para
identificar quais parâmetros e a sintaxe aceita através da ajuda “?”.
Também é possível iniciar a ajuda com alguma letra, caso você se
lembre de parte do comando, ou sua letra inicial:
Roteador# d?
dcm debug delete dir
disable disconnect do-exec

******ebook converter
DEMO
Watermarks*******
 Roteador# de?
debug delete

À medida que você vai apontando mais letras, as opções vão

diminuindo, até chegar no comando desejado.
Trabalhando com Subinterfaces
As subinterfaces ou interfaces virtuais são consideradas pelo
roteador como uma interface física, isto é, contemplando praticamente
todos os comandos da interface principal. Esta característica é
suportada em diversas tecnologias:

Seriais com encapsulamento Frame Relay, PPP, HDLC etc.

ATM

Ethernet (Fast, Giga, 10Giga etc.), mais comuns.

Estas subinterfaces aparecem como se fossem interfaces físicas
distintas. Um exemplo claro disso é em uma rede Frame Relay, que
fornece múltiplos links ponto a ponto chamados Circuitos Virtuais
Permanentes ou PVCs (Permanent Virtual Circuits). Estes PVCs
podem ser agrupados por subinterface como se fossem interfaces
fisicamente distintas. Em uma rede TCP/IP cada subinterface poderá
ter sua própria sub-rede, conforme mostra a Figura 9.6:

Figura 9.6 – Subinterfaces.

Veja exemplos de configuração de subinterface:
1. A interface serial 0/0 está sendo configurada para encapsular
Frame Relay. A subinterface que iremos chamar de 0/0.1 indica que
ela é a subinterface 1 da interface serial 0. Veja:
Roteador-R1(config)# interface serial 0
Roteador-R1(config-if)# encapsulation frame-relay

******ebook converter
DEMO
Watermarks*******
 Roteador-R1(config-if)# interface serial 0.1
Roteador-R1(config-subif)#

Note que o prompt mudou para Roteador-R1(config-subif)#,

indicando que você está no modo de configuração de subinterface.
2. Para Ethernet, a lógica é a mesma. Ao entrar com o número
desejado da subinterface, ela é criada automaticamente e logo
adentramos no prompt correspondente:
Roteador(config)#int gigabitEthernet 1/0.20
Roteador(config-subif)#

Protegendo seu Roteador

Para atribuir a senha para acesso ao modo privilegiado você terá que
entrar no modo de configuração global. Após entrar, você deverá usar
um dos dois comandos abaixo (usando a palavra “cisco” como senha
de exemplo):
Roteador(config)#enable secret cisco
ou
Roteador(config)#enable password cisco

A diferença entre estes dois tipos de senha é que o enable secret

salva a senha criptografada, não reversível e sem permitir a
visualização da mesma quando o comando de mostrar configuração
corrente for acionado. No caso do enable password é apenas a
habilitação de uma senha de acesso para o modo privilegiado, sem
segurança.
Se você tentar utilizar a mesma senha que usou no enable secret, será
exibida, por motivos de segurança, uma advertência recomendando
que seja usada outra credencial para isso.
Para habilitar a senha de acesso ao modo usuário você deverá utilizar
o comando line. Desta forma, estando no modo de configuração
global, siga os passos abaixo:
1. Digite o comando line com o parâmetro “?” para ver as opções
disponíveis:
Roteador(config)#line ?
<0-6> First line number
aux Auxiliary line

******ebook converter
DEMO
Watermarks*******
 console Primary terminal line
vty Virtual terminal

2. Note que as opções de configuração de senhas disponíveis são

três, a ser escolhida uma:

Aux: permite a configuração da senha no modo usuário para

acesso via porta auxiliar. Esta porta não pode ser usada como
uma segunda console.

Console: permite a configuração da senha no modo usuário

para acesso via porta de console.

VTY: permite a configuração da senha no modo usuário para

acesso remoto via Telnet. Caso você necessite acessar seu
roteador via rede local com esse protocolo de terminal remoto,
é imprescindível configurar esta senha, caso contrário, todo
gerenciamento deverá ser feito via console, fisicamente
conectado ao equipamento.
3. Para a configuração da porta Auxiliar, seguem os comandos:
Roteador(config)#line aux 0
Roteador(config-line)#password cisco
Roteador(config-line)#login

4. A configuração da porta de Console é semelhante:

Roteador(config)#line console 0
Roteador(config-line)#login
Roteador(config-line)#password cisco123

Tanto no comando “line aux” quanto no “line console”, você usou o

parâmetro 0 pois só havia uma porta auxiliar e de console neste
roteador.
Quando você está configurando o roteador via uma porta de console,
é possível você configurar um tempo determinado para que a conexão
entre o roteador e o computador seja suspensa. Isso acontece até
mesmo por medidas de segurança. Imagine você configurando seu
roteador, daí sai para tomar um café e demora um pouco. Se sua

******ebook converter
DEMO
Watermarks*******
 console estiver ativa, qualquer pessoa poderá ver as configurações do
roteador e até fazer alterações. Se você estabelecer um tempo máximo
(timeout) para a sessão, a conexão via Putty será cortada. Veja como
fazer isso:
Roteador(config-line)#exec-timeout 0 60
Continuando os passos temos:

5. Para configurar a senha de Telnet você deverá usar os comandos a

seguir:
Roteador(config-line)#line vty 0 4
Roteador(config-line)#login
Roteador(config-line)#password ccna125

Os parâmetros 0 4 do comando line vty correspondem à quantidade

de sessões telnet que você poderá ter aberta. No caso do Cisco IOS
padrão, este número é de cinco sessões simultâneas. Porém, se você
não configurar, não será possível esse acesso.
Agora que você já está com as senhas devidamente configuradas, é
possível ver todas as configurações através do comando “show
running” ou simplesmente “show run”. Este comando deve ser
utilizado no modo privilegiado, ou seja, no prompt raiz #, como mostra
o exemplo:
Roteador# show running-config
Building configuration...
Current configuration:
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Roteador
!
enable secret 4 $1$rFbN$7.HwsmJoLvS/zzeYD
enable password ciscoccna
!
!
interface FastEthernet0
no ip address
shutdown
!
interface Serial0/0
no ip address

******ebook converter
DEMO
Watermarks*******
 shutdown
!
!
interface Serial1/0
no ip address
shutdown
!
line con 0
password cisco123
login
line aux 0
password cisco
login
line vty 0 4
password ccna125
login
!
end

Note que a única senha que foi criptografada foi a secret, as demais
continuam sendo visíveis. Para corrigir isto basta ativar o serviço de
criptografia que vem desativado como padrão em algumas versões
mais antigas do IOS. Para isso use o comando abaixo:
Roteador(config)# service password-encryption

Embora comandos do modo privilegiado [#] devam ser executados

no prompt respectivo, aqui fica uma dica: caso você queira verificar as
configurações (com o comando show <...>) ou executar qualquer outro
comando do modo sem estar nele, basta utilizar o parâmetro “do”
(fazer, executar) antes da sintaxe normal. Alguns exemplos onde
usamos o show running-config em distintos níveis da configuração:
Roteador(config)# do show run
Roteador(config-if)# do show run
Roteador(config-router)# do show run

Pode ser usado qualquer outro comando que se necessite visualizar,

como show ip route, show clock, show ip interfaces etc., precedido do
comando “do”.

Outros Comandos Básicos

Antes de você iniciar os estudos sobre mais comandos, vejamos aqui
algumas combinações de teclas que irão lhe ajudar na navegação pela

******ebook converter
DEMO
Watermarks*******
 CLI. Veja a tabela abaixo:
COMBINAÇÃO DE FUNÇÃO
TECLAS
CTRL+A Põe o cursor no início da linha
CTRL+E Move o cursor para o final da linha
CTRL+F Move o cursor um caractere à frente
CTRL+D Deleta o caractere no ponto em que está o
cursor
CTRL+U Apaga a linha inteira
CTRL+W Apaga uma palavra
CTRL+P Mostra os últimos comandos usados
CTRL+N Mostra os comandos anteriores
ESC+F Move o cursor uma palavra à frente
TAB Completa um comando
Quando se trata de comandos para mostrar aqueles já executados,
você também poderá utilizar o comando show history. Este comando
tem como finalidade mostrar os últimos 10 comandos executados. Veja
o exemplo:
Roteador#show history
service password-encryption
interface serial 1
exit
interface serial 1
interface
interface serial 1
cong t
conf t
show history
Roteador#

Como você pode ver, é possível exibir os últimos comandos listados.

O padrão é de 10 comandos no buffer, porém este valor pode ser
alterado usando o comando “terminal history size”. O comando deve
ser executado no modo privilegiado.
Roteador#terminal history size 20

O comando acima está alterando o valor para os 20 últimos

comandos executados.

******ebook converter
DEMO
Watermarks*******
 Configurando o Relógio
Para acertar o relógio interno do roteador você deverá utilizar o
comando “clock set”. Através dele, será possível acertar data e hora.
Veja a sequência de comandos abaixo e note que os parâmetros são
extensos e o esquecimento de algum pode levar à não aplicação deles.
É importante frisar a importância dessa configuração, que possibilitará
o melhor diagnóstico em caso de problemas, por conta de termos
eventos registrados com a data e hora corretas.
Roteador#clock set ?
hh:mm:ss Current time
Roteador#clock set 15:10 ?
<1-31> Day of the month
MONTH Month of the year
Roteador#clock set 15:10 25 Jul 2021

Configurando o Nome do Roteador

Como você deve ter notado no decorrer deste e outros capítulos, o
nome do roteador que aparece no prompt é sempre Roteador (ou
Router), seguido de outro caractere. Com intuito de deixar mais
descritivo qual o roteador que você está usando, principalmente
quando se está gerenciando vários equipamentos através de sessões
Telnet, isso pode ser alterado. Veja como:
Roteador#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Roteador(config)#hostname RT_CE
RT_CE(config)#

Note que primeiramente você entrou no modo de configuração

global e somente depois foi possível alterar o nome do host do
roteador.
RT_CE será o nome do roteador que será parte do nosso cenário,
ainda neste capítulo, que servirá como base de exemplo.
Configurando Banner
O Banner ou letreiro é uma mensagem exibida nos equipamentos
Cisco quando os mesmos estão sendo acessados e prontos para o
logon. Existem diversos tipos de banners. São eles:

******ebook converter
DEMO
Watermarks*******
 MOTD Banner: Este banner é conhecido como “Mensagem do
Dia” (Message of the Day). Na realidade sua função é mostrar
uma mensagem mais extensa e aparecerá sempre que alguém
tentar se conectar via porta de console, porta auxiliar ou Telnet.

Login Banner: Esta é uma segunda mensagem que é mostrada

logo em seguida da MOTD Banner, mas antes de ser mostrado o
Prompt.

Exec Banner: Este comando permite especificar uma

mensagem que será mostrada quando um processo EXEC for
criado, por exemplo, uma ativação feita em uma linha VTY.

Incoming Banner: Este tipo de banner é mais generalista e na

realidade ele mostrará uma mensagem em todos os terminais
conectados.
Bem, depois de termos falado sobre cada um deles, vejamos como
configurar esses letreiros.
RT_CE>enable
RT_CE#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RT_CE(config)#banner motd #
Enter TEXT message. End with the character ‘#’.
Voce esta no roteador central da Matriz – CE
#
RT_CE(config)#
Vejamos agora quando esta mensagem aparecerá (efetuando novo
logon):
Press RETURN to get started.
Voce está no roteador central da Matriz – CE
RT_CE>

As sintaxes para os outros comandos de banner são basicamente as

mesmas, o que muda é apenas onde a mensagem vai aparecer. Porém é
importante frisar que é possível a remoção destes banners usando o
comando “no” antes do comando padrão. Veja o exemplo:
RT_CE>en
RT_CE#conf t
Enter configuration commands, one per line. End with CNTL/Z.

******ebook converter
DEMO
Watermarks*******
 RT_CE(config)#banner exec
Enter TEXT message. End with the character ‘#’.
Voce esta prestes a entrar no modo privilegiado do roteador
Matriz – CE
#
RT_CE(config)#no banner exec

Salvando e Apagando as Configurações

Depois de diversas configurações aplicadas, o roteador as aceita e
executa em tempo real. Isso se dá porque as configurações, uma vez
inseridas, entram em execução na memória RAM onde está a running-
config. Se o roteador for reiniciado, a RAM é apagada, bem como a
running-config. Se você aplicou uma série de comandos e não salvou,
perderá todo o trabalho. Analogamente, podemos pensar em um editor
de texto. Você escreve tudo e, até que se salve, o texto estará na
memória RAM.
Para não corrermos esse risco de perda, deve-se salvar as
configurações, no caso do roteador, na memória NVRAM ou Flash.
Para isso, utilizamos o comando write ou copy running-config
startup-config, respectivamente, nos exemplos a seguir:
Roteador# write
Building configuration...
[OK]
Roteador#
Ou ainda:
Roteador# copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
Roteador#

O segundo exemplo apresenta a sintaxe com menos caracteres,

resumida. Ambos possibilitam a gravação das configurações correntes
na memória não volátil ou Flash. Deste modo, ao reiniciarmos o
roteador, tudo que foi aplicado antes de ser salvo será carregado.
Se quisermos zerar o roteador, deixando-o no modo Setup (sem
nenhuma configuração), podemos apagar a Flash como comando
erase. Esse comando faz com que o roteador volte ao estado original
de fábrica, sem nome, IP ou quaisquer outras configurações

******ebook converter
DEMO
Watermarks*******
 personalizadas. Muito cuidado com esse comando, pois se você não
tiver um backup das configurações, não há como restaurar o que foi
apagado!
Roteador# erase startup-config
Erasing the nvram filesystem will remove all configuration
files!
Continue? [confirm][enter]
[OK]
Erase of nvram: complete
Roteador#
*Jul 25 13:11:22.172: %SYS-7-NV_BLOCK_INIT: Initialized the
geometry of nvram
Roteador# sh startup-config
startup-config is not present
Roteador# reload
Proceed with reload? [confirm]System configuration has been
modified.
Save? [yes/no]: n

Note que, ao aplicar o comando, o roteador pede a confirmação do

usuário. Ao apertar Enter, tudo será apagado e o roteador emite um
aviso (observe que, tendo a hora ajustada, o log registra corretamente).
Se efetuarmos um reload (reinicialização) sem salvar, o roteador
retornará no modo assistente (Setup Mode).

Operação de Switches Cisco

No exame CCNA o modelo de switch cobrado é o da família 2960,
todo baseado em IOS.
Configurar um switch é idêntico ao que foi apresentado para
roteadores, podendo ter algumas pequenas variações de sintaxe ou
pertinentes a elementos de camada 2. Apesar de apresentarmos em um
tópico separado, é bom lembrar que alguns roteadores suportam
módulos de switch que, ao serem instalados, possibilitam os mesmos
comandos desse equipamento. Switches que possuem características
de camada 3 (Layer 3 Switch) também trazem comandos de
roteamento. Isso se dá justamente pelo que foi exposto no parágrafo
anterior: ambos usam o IOS, o qual traz a mesma estrutura e comandos
suportados.

******ebook converter
DEMO
Watermarks*******
 O acesso físico para configuração de um switch é também igual ao
do roteador. Precisamos de um cabo para ligar a porta de console na
entrada serial do computador para iniciar a configuração. Para o
acesso, é necessário configurar os mesmos parâmetros anteriormente
vistos para acessar o roteador.
Você poderá obter a documentação de siwtches no site da Cisco, no
endereço:
https://www.cisco.com/c/en/us/products/switches/campus-lan-
switches-access/index.html

Uma outra forma de fazer o acesso a um switch é através do browser.

O Express Setup ou Configuração Expressa permite o usuário conectar
um cabo Ethernet em uma das portas do switch que, de fábrica,
fornece um IP através do protocolo DHCP. Daí, basta usar um
navegador e digitar o endereço do equipamento, 10.0.0.1.
Adicionalmente, podemos usar também o aplicativo SDM (Cisco
Security Device Manager) ou o CDM (Cisco Device Manager). No site
da Cisco, você pode encontrar a documentação desses programas; aqui
daremos mais enfoque na configuração via linha de comando (CLI),
exigida no exame.
No modo CLI, você vai sentir muita facilidade nos switches da série
2900, pois usam a base de comandos do IOS que foram vistas durante
a configuração do roteador. Vejamos, por exemplo, como exibir
informações sobre uma determinada interface:
Switch# show interfaces fastethernet 0/24
FastEthernet0/24 is down, line protocol is down (notconnect)
Hardware is Fast Ethernet, address is 000c.ce4e.abcd (bia
000c.ce4e.abcd)
MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto-speed
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:15:31, output hang never
Last clearing of “show interface” counters never

Fique atento às primeiras três linhas resultantes do comando, pois

******ebook converter
DEMO
Watermarks*******
 elas são essenciais para a visualização e interpretação correta da porta
do switch.
No exemplo, temos a porta em down, com status mais adiante
indicando not-connected. A porta aparece como não-conectada por
problema de cabo ou se o equipamento conectado estiver desligado
(um switch ou computador que desative a porta de rede ao desligar).
Nas linhas seguintes temos o endereço físico da porta do switch e
mais abaixo a indicação do MTU, tamanho de quadro permitido.
Os switches, como mencionado, seguem a mesma estrutura de
comandos do roteador. Assim, com a mesma sintaxe já estudada neste
capítulo, podemos realizar as funções de:

Configurar o hostname.

Aplicar senhas de enable.

Aplicar senhas para acesso local (console) e remoto (SSH,

telnet).

Criar roteamento estático e/ou dinâmico (se for switch camada

3) entre outras.

Visualizando a Tabela de Endereços

Já vimos que os switches nível 2, como é o caso do 2960, aprendem
os endereços MAC das estações de trabalho conectadas às suas portas.
Logo, você poderá visualizar quais são as entradas atualmente
existentes nesta tabela usando o comando show mac address-table:
Switch#show mac address-table
Mac Address Table
—————————————————————-
Vlan Mac Address Type Ports
—--— ------————— --———— --——-
All 0180.c222.000e STATIC CPU
All 0180.c222.000f STATIC CPU
All 0180.c222.0010 STATIC CPU
All ffff.ffff.ffff STATIC CPU

******ebook converter
DEMO
Watermarks*******
 1 0026.51de.4567 DYNAMIC Fa0/1
1 0064.40ab.1234 DYNAMIC Fa0/2
1 0019.07cb.8890 DYNAMIC Fa0/3
1 0026.51ae.1289 DYNAMIC Fa0/4

É possível encontrar algumas versões de IOS ou modelos de switch

cuja sintaxe seja sutilmente diferente, show mac-address-table. Em
caso de dúvidas, utilize sempre a opção de ajuda (show ?).
Alguns parâmetros do controle de endereços MAC podem ser
ajustados com os comandos a seguir:
COMANDO DESCRIÇÃO
Switch(config)#mac Configura o tempo que as entradas dinâmicas ficam
address-table aging-time na tabela
Switch(config)#mac address- Inclui uma entrada estática na tabela MAC
table static
Switch(config)#mac Ativa a característica de envio de notificação para
address-table notification um NMS via SNMP

Configurando Interfaces
Os switches vêm prontos para uso e não requerem nenhum ajuste,
caso você deseje simplesmente conectar computadores e outros
dispositivos. Obviamente, é válido ajustar algumas preferências e
customizações que podem poupar trabalho e diminuir dores de cabeça
ao realizar diagnóstico de problemas que surjam.
As interfaces podem ter descrições que facilitam a identificação e
documentação da rede, ajuste de velocidade de porta
(10/100/1000Mbps), modo half ou full-duplex, modo de operação
acesso ou trunk, entre outros.
Vejamos a seguir algumas dessas configurações:
A interface FastEthernet0/1 de um switch Cisco 3560 está com a
configuração padrão. Na sequência, observe como a negociação, MTU
e duplex estão:
Switch# show run int fa0/1
!
interface FastEthernet0/1
end
Switch# show int fa0/1

******ebook converter
DEMO
Watermarks*******
 FastEthernet0/1 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0018.7330.7e03 (bia
0018.7330.7e03)
MTU 1504 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:01, output 00:00:06, output hang never
Last clearing of “show interface” counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output
drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
7654 packets input, 604789 bytes, 0 no buffer
Received 6944 broadcasts (4103 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 4103 multicast, 0 pause input
0 input packets with dribble condition detected
1469 packets output, 155345 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out

Vamos configurar alguns parâmetros na porta 0/1, deixando-a com

full-duplex e velocidade em 100Mbps, e uma descrição:
Switch#conf t
Switch(config)#int fa0/1
Switch(config-if)#speed 100
Switch(config-if)#duplex full
Switch(config-if)#description LAN de TESTE CCNA
Switch# show run int fa0/1
!
interface FastEthernet0/1
speed 100
duplex full
description LAN de TESTE CCNA
end

Exemplo Prático – Operação de

******ebook converter
DEMO
Watermarks*******
 Roteadores
A partir de agora iremos trabalhar de forma prática, iniciando a
configuração de um ambiente funcional de uma rede. Nada melhor que
um estudo de caso para auxiliar na memorização de comandos e
apresentar outras maneiras de se chegar a resultados semelhantes.
Apresentaremos um cenário hipotético que pode ser executado em
laboratório ou simulado com o aplicativo Packet Tracer ou
GNS3/Dynamips (explicado mais adiante neste capítulo).

Cenário
Você foi contratado para prestar serviços de implantação de uma
rede em três localidades que necessitam se comunicar. Todos os
roteadores são novos, ainda esperando por uma configuração.
A empresa à qual você vai “prestar consultoria” é uma fornecedora
de castanha-de-caju, a “Castanhas Maravilha 125”, com matriz
localizada em Fortaleza-CE e filiais em São Paulo-SP e Rio de
Janeiro-RJ. O projeto inicial ficou com uma estrutura semelhante à da
Figura 9.7:

Figura 9.7 – Desenho inicial da rede.

Observe que já há toda uma estrutura lógica desenhada, inclusive
com definição de endereçamento IP. Sua função será apenas configurar
os recursos para que as redes possam se comunicar.

******ebook converter
DEMO
Watermarks*******
 Configurando Interfaces
A configuração das interfaces, que na maioria das vezes são Ethernet
(Gigabit ou Fast) e Serial, é um passo importante, tanto para o exame,
quanto para a prática do dia a dia. Configurar as interfaces não é
apenas atribuir um endereço a ela; além disso, existem outros
parâmetros para um funcionamento adequado. Entre estas
configurações podemos ressaltar os seguintes parâmetros:

Endereçamento referente à camada de rede (IPv4/v6)

Tipo de meio de acesso (GigabitEthernet, FastEthernet, PPP,

etc.)

Largura de banda (10/100/1000 Mbps, 512 Kbps, 2 Mbps)

Quando se trata de porta LAN, a maioria dos roteadores vem com
portas FastEthernet ou GigabitEthernet e a sua configuração é simples,
pois se trata de poucos comandos. No nosso cenário, o que poderá ser
“mais complexo” é a parte WAN.
Configurando a Porta LAN
No cenário, é necessário atribuir um IP aos roteadores que estão nas
três cidades; comecemos então pelo RT_CE, que está em Fortaleza.
RT_CE>enable
RT_CE#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RT_CE(config)#interface gigabitethernet 0/0
RT_CE(config-if)#

Com estes comandos entramos no modo de configuração da

interface específica. Agora iremos atribuir o endereço IP para a porta
LAN, conforme indicado pela Figura 9.7. No diagrama, temos a rede
192.168.20.0/24 para esse segmento, logo poderemos utilizar do final
1 até o 254 (como visto no Capítulo 7, sobre IPv4). É de praxe
utilizarmos sempre o endereço inicial para o roteador, como endereço
de gateway padrão (default gateway). É possível, também,

******ebook converter
DEMO
Watermarks*******
 encontrarmos o último endereço aplicado a esse equipamento, a
depender da estratégia ou preferência do Analista de Redes. No caso,
faremos uso do primeiro:
RT_CE(config)#interface gigabitethernet 0/0
RT_CE(config-if)#ip address 192.168.20.1 255.255.255.0
RT_CE(config-if)#

A sintaxe exige sempre o IP seguido da máscara. Se neste ponto

você tiver digitado o IP errado ou a máscara errada, é possível corrigir.
Para fazer isso, como já apresentado, basta colocar o comando “no” na
frente do comando de atribuição de IP. Veja:
RT_CE(config-if)#no ip address 192.168.8.1 255.255.255.0

Se o erro for de inconsistência, ou seja, você digitar a máscara errada

ou o IP com mais octetos do que o normal, o roteador já apresenta uma
mensagem de aviso.
Mas ainda não está acabado; quando listamos a configuração usando
o comando show running, algumas linhas indicam que a interface está
desabilitada (shutdown). Esse modo é o padrão em algumas
plataformas. Enquanto ela estiver assim, não poderá ter comunicação e
aquela “luzinha” piscante da interface fica apagada. Veja na Figura 9.8
outro exemplo de configuração com as interfaces em shutdown.

Figura 9.8 – Exemplo no qual as interfaces aparecem desabilitadas.

Veja como habilitar a interface e como o roteador notifica essa

******ebook converter
DEMO
Watermarks*******
 mudança:
RT_CE(config-if)#no shutdown
RT_CE(config-if)#
*Mar 1 00:44:49.823: %LINK-3-UPDOWN: Interface
GigabitEthernet0/0, changed state to up
*Mar 1 00:44:50.823: %LINEPROTO-5-UPDOWN: Line protocol on
Interface GigabitEthernet0/0, changed state to up

Assim como em sistemas operacionais de servidores, nos quais é

possível atribuir mais de um endereço IP por placa de rede, nos
roteadores Cisco vimos que também é possível atribuir um endereço IP
secundário à interface. Em um cenário de migração de endereços IP é
de suma importância saber como aplicar múltiplos endereços na
interface. Para implementar isso use o comando abaixo:
RT_CE(config-if)# ip address 192.168.20.254 255.255.255.0
secondary

A sintaxe apresenta o parâmetro secondary logo após a máscara.

Lembre-se que secundário não significa que não possamos usar mais
de dois. Podemos configurar tantos endereços IP quanto quisermos e
todos terão o parâmetro secondary.
Após esta modificação, é importante salvar, pois a configuração
atual está na memória volátil, como dissemos na sessão anterior e, caso
falte energia, sua configuração será perdida.
Neste momento, a configuração que estava em RAM foi gravada em
NVRAM. Use o comando “show running” para ver as configurações
atuais do roteador RT_CE:
RT_CE#show run
Building configuration...
Current configuration:
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RT_CE
!
interface GigabitEthernet0/0
ip address 192.168.20.1 255.255.255.0
ip address 192.168.20.254 255.255.255.0 secondary
!

******ebook converter
DEMO
Watermarks*******
 interface Serial0/0
no ip address
shutdown
<restante omitido>

Daqui em diante basta seguir com as configurações das demais

interfaces dos outros roteadores.
Configurando a Porta WAN
Agora que as portas LAN dos roteadores estão configuradas, já é
possível configurar as portas WAN, ou portas seriais. Essa porta tem
alguns parâmetros que, na maioria das vezes, não precisam ser
configurados na porta LAN e um exemplo disso é a velocidade. Na
maioria das vezes a porta Ethernet é “auto sense”, ou seja, detecta a
velocidade e se ajusta a ela, como portas 10/100/1000 Mbps. De
qualquer modo, recomenda-se especificar nas portas LAN o tipo de
duplexação (half ou full duplex) e a velocidade da porta (speed 10, 100
ou 1000).
Com o avanço da tecnologia de acesso, é muito comum encontrar
provedores que forneçam acesso WAN via portas Ethernet, sejam
ópticas (fibra) ou elétricas (cabo de rede ou coaxial), com muito mais
velocidade que as seriais convencionais. Mas em regiões onde não há
essa disponibilidade, as velocidades WAN mais baixas via portas
seriais são mais usadas, por isso a razão deste tópico.
Entre outras configurações, o Cartão de Acesso Serial SAC (Serial
Access Card) geralmente é conectado a um modem, um dispositivo
CSU/DSU que fornece o clock (relógio ou sinalização) para a linha. O
padrão é que o dispositivo DCE gere o clock para o DTE. Por padrão,
os roteadores Cisco agem como dispositivos DTE, ou seja, usam o
clock externo, geralmente provido pela operadora de
telecomunicações. Na Figura 9.9 temos a ilustração da estrutura de
comunicações convencional. Em uma topologia, na qual uma das
pontas forneça o clock, é possível ajustar a configuração para que o
equipamento possa agir como um dispositivo DCE. Para configurar
uma interface serial como DCE, utiliza-se o comando clock rate.
Através dele, você poderá passar como parâmetro a taxa de clock do
link WAN.

******ebook converter
DEMO
Watermarks*******
 RT_CE(config)#interface serial 0/0
RT_CE(config-if)# clock rate 2000000
RT_CE(config-if)#

Muito cuidado na hora de usar este comando, pois ele é baseado na

velocidade de bits por segundo; no caso de uma interface 64 kbps,
coloca-se 64000. Se tivermos um link de 2 Mbps, teremos que colocar
2000000 ou no padrão 2048000 (contagem 8 bits = 1 byte).
Outro parâmetro a ser configurado em uma interface serial é a
largura de banda; neste caso usa-se o comando bandwidth. Esta
largura de banda pode variar de acordo com o modelo do roteador. A
largura de banda padrão suportada pelos roteadores Cisco é de
geralmente 1,544 Mbps (Linha T1) ou 2,048 Mbps (Linha E1, padrão
no Brasil).
Esse parâmetro é apenas informativo, isto é, não limita a banda
como um “traffic shape” ou “rate limit”. Protocolos de roteamento
como OSPF, EIGRP e outros fazem uso dele para determinar a melhor
rota para enviar um pacote. Veja como atribuir este parâmetro:
RT_CE(config-if)#bandwidth 2048

Diferente do comando clock rate, este comando é medido em kbps.

No caso do exemplo acima, uma largura de banda de 2048 kbps.

Figura 9.9 – Diagrama de infraestrutura de rede.

Nem todos os parâmetros estão nesta interface, faltando ainda o tipo
de encapsulamento e o endereço IP. Por padrão, linhas seriais
síncronas usam o método de encapsulamento HDLC (High-Level Data
Link Control), que fornece frames síncronos e funções de detecção de
erro sem necessidade de retransmissão. Geralmente as interfaces
******ebook converter
DEMO
Watermarks*******
 seriais suportam os seguintes tipos de encapsulamento, dependendo da
versão do IOS:

Asynchronous Transfer Mode-Data Exchange Interface (ATM-

DXI)

High-Level Data Link Control (HDLC)

Frame Relay

Point-to-Point Protocol (PPP)

Synchronous Data Link Control (SDLC)

Switched Multimegabit Data Services (SMDS)

Cisco Serial Tunnel (STUN)

X.25-based encapsulations
Se você observar no desenho do cenário (Figura 9.7) pode-se ter
vários tipos de encapsulamento nas seriais da rede. Na porta do
roteador que sai de Fortaleza e vai para o Rio de Janeiro é usado PPP, e
para São Paulo é usado a rede da provedora, que pode ser PPP nas
interfaces e enlace montado sobre a nuvem MPLS, por exemplo.
Agora, fica faltando apenas a configuração IP da porta. Como
atribuir IP é algo que já foi mencionado no exemplo da LAN, veja
apenas os passos desta atribuição na interface serial.
RT_CE(config)#interface serial 0/0
RT_CE(config-if)#ip address 172.16.0.9 255.255.255.252
RT_CE(config-if)#

Conferindo o Estado da Interface

Vimos anteriormente que, através do comando “show running-
config” ou simplesmente “sh run”, é possível ter uma ideia geral da

******ebook converter
DEMO
Watermarks*******
 configuração do roteador. Porém, algumas informações que são de
suma importância para resolução de problemas não estão disponíveis
como resultado deste comando.
Desta forma, para se ter um melhor detalhamento das configurações
específicas de uma interface é necessário utilizar o comando “show
interface”. O exemplo a seguir mostra o resultado em uma interface
serial síncrona.
RT_CE# show interface serial 0/0
Serial0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.9/30
MTU 1500 bytes, BW 2048 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open, loopback not set
Keepalive set (10 sec)
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of “show interface” counters 7w5d
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output
drops: 0
Queueing strategy: weighted fair [suspended, using FIFO]
FIFO output queue 0/40, 52 drops
5 minute input rate 3000 bits/sec, 3 packets/sec
5 minute output rate 2000 bits/sec, 3 packets/sec
10495414 packets input, 1510616085 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
3 input errors, 3 CRC, 1 frame, 1 overrun, 0 ignored, 3 abort
11225830 packets output, 3923534294 bytes, 0 underruns
0 output errors, 0 collisions, 42 interface resets
0 output buffer failures, 0 output buffers swapped out
940 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up

Vejamos mais detalhadamente o que significam os principais

contadores deste comando:
CAMPO DESCRIÇÃO
Serial ... is {up | Indica se a interface de hardware está atualmente ativa (quando
down}...is a portadora é detectada) e/ou se a interface foi desabilitada pelo
administratively administrador.
down
line protocol is Usado para indicar se o processo de software responsável por
{up | down} manusear a linha está utilizável, ou se foi desativado pelo
administrador.

******ebook converter
DEMO
Watermarks*******
 CAMPO DESCRIÇÃO
Hardware is... Especifica o tipo de hardware usado na interface.
Internet address Mostra o endereço IP e a máscara de sub-rede utilizados na
is interface.
MTU Unidade máxima de transmissão na interface.
BW 2048 Kbit Indica o valor da largura de banda especificada por você através
do comando bandwidth.
DLY Atraso (Delay) da interface em microssegundos.
Rely Confiabilidade da interface, onde 255/255 corresponde a 100%.
Calculado através da média exponencial sobre 5 minutos.
Load Carga da interface, onde 255/255 é que está completamente
saturado. Calculado através da média exponencial sobre 5
minutos.
Encapsulation Método de encapsulamento atribuído à interface; neste caso foi
usado o padrão HDLC.
Loopback Indica se o loopback está configurado ou não.
Keepalive Indica se o keepalive está configurado ou não.
Last input Número de horas, minutos e segundos desde que o último
pacote foi recebido com sucesso pela interface.
Last output Número de horas, minutos e segundos desde que o último
pacote foi transmitido com sucesso pela interface.
Output hang Número de horas, minutos e segundos (pode aparecer como
“never”) desde que a interface foi reiniciada devido a uma
transmissão muito longa.
Five minute Média do número de bits e pacotes transmitidos / recebidos por
input rate segundo nos últimos 5 minutos (configurável até 30 segundos).
Five minute
output rate

Packets input Número total de pacotes livres de erros recebidos pelo sistema.
No buffers Número de pacotes recebidos e descartados devido à falta de
espaço disponível no buffer.
Received ... Número total de pacotes do tipo broadcast ou multicast recebidos
broadcasts pela interface.
Runts Número de pacotes recebidos e descartados devido a serem
menor que o tamanho mínimo de pacote.
Giants Número de pacotes recebidos e descartados devido a serem
maiores que o tamanho máximo de pacote aceito.

******ebook converter
DEMO
Watermarks*******
 CAMPO DESCRIÇÃO
CRC Checagem de redundância cíclica, gerado pela estação de
origem ou por um outro dispositivo com intuito de assegurar que
o pacote não foi adulterado durante a transmissão.
Ignored Número de pacotes recebidos e ignorados pela interface.
Broadcasts e ruídos são agravantes que podem aumentar
consideravelmente este contador.
Abort Sequência ilegal de bits na interface serial. Este contador indica
que há um problema no clock entre a interface serial e o
equipamento de link de dados.
Packets output Número total de mensagens transmitidas pelo sistema.
Output errors Soma de todos os erros que causaram o final da transmissão de
um datagrama saindo da interface.
Collisions Número de mensagens retransmitidas devido a colisões
Ethernet.
Interface resets Número de vezes que a interface foi completamente reiniciada.
Restarts Número de vezes em que a controladora foi reiniciada devido a
erros.
Carrier Número de vezes em que o sinal da portadora foi detectado na
transitions interface serial, alterando assim seu estado.

Validando a Conectividade Entre os

Roteadores
Uma vez configuradas todas as interfaces, é possível realizar
roteamento estático para as redes LAN de cada localidade. Também é
possível implementar roteamento dinâmico para a rede toda, seja com
OSPF, RIP ou EIGRP.
À parte a configuração de roteamento, após as interfaces terem seus
respectivos IPs, basta realizar “ping” a cada host vizinho, validando
que ele está ativo e respondendo:
RT_CE#ping 172.16.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.10, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
36/54/60 ms

******ebook converter
DEMO
Watermarks*******
 Desde Fortaleza, é possível chegar em 172.16.0.10 que é o IP do
roteador do Rio de Janeiro. Faça o mesmo no sentido inverso.
O comando ping pode ainda ser usado com parâmetros adicionais,
como quantidade de pacotes enviados, tamanho e interface de origem:
RT_CE#ping 172.16.0.10 repeat 50 size 1000
Type escape sequence to abort.
Sending 50, 1000-byte ICMP Echos to 172.16.0.10, timeout is 2
seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (50/50), round-trip min/avg/max =
36/61/112 ms

No primeiro exemplo, usamos o padrão do comando para enviar 5

pacotes de 100 bytes. No segundo, colocamos uma repetição de 50
pacotes de 1000 bytes. Se quiser apenas especificar a quantidade ou só
o tamanho, basta deixar o parâmetro repeat ou size respectivamente,
com o valor numérico desejado.
Para indicar a interface de origem, basta especificar o comando
source:
RT_CE#ping 172.16.0.10 source gi0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.10, timeout is 2
seconds:
Packet sent with a source address of 192.168.20.1
.....
Success rate is 0 percent (0/5)

Nesse exemplo, o destino está inalcançável. Por quê? Aqui cabem

duas possibilidades: o pacote chegou, mas o destino não conhece o
caminho para a rede de origem (192.168.20.1) ou não temos a rota
para o destino 172.16.0.10. Essa última possibilidade não é verdadeira,
porque se trata da rede diretamente conectada, na qual o RT_CE faz
parte também (enlace serial).
Então, nos resta conferir o roteamento no roteador do Rio, para saber
se ele conhece a rede de origem, que é a LAN de Fortaleza: comando
show ip route:
RT_RJ#sh ip route
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 172.16.0.8/30 is directly connected, Serial1/0

******ebook converter
DEMO
Watermarks*******
 C 172.16.0.9/32 is directly connected, Serial1/0
L 172.16.0.10/32 is directly connected, Serial1/0
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, FastEthernet0/0
L 192.168.0.1/32 is directly connected, FastEthernet0/0

Observe que não há uma rota para a rede 192.168.20.0/24 (LAN

Fortaleza) no roteador RT_RJ do Rio. Coloquemos uma rota estática
em RT_RJ e vejamos novamente o resultado do ping a partir de
RT_CE:
RT_RJ#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RT_RJ(config)# ip route 192.168.20.0 255.255.255.0 172.16.0.9
name Fortaleza
RT_RJ(config)#^Z
RT_RJ#
RT_RJ#show ip route
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 172.16.0.8/30 is directly connected, Serial1/0
C 172.16.0.9/32 is directly connected, Serial1/0
L 172.16.0.10/32 is directly connected, Serial1/0
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, FastEthernet0/0
L 192.168.0.1/32 is directly connected, FastEthernet0/0
S 192.168.20.0/24 [1/0] via 172.16.0.9
RT_RJ#
RT_CE# ping 172.16.0.10 source gi0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.10, timeout is 2
seconds:
Packet sent with a source address of 192.168.20.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
44/56/60 ms

O pacote ICMP foi e voltou corretamente, pois agora o roteamento

está configurado, pelo menos em um dos sentidos, do Rio para
Fortaleza. Assim, fizemos o primeiro diagnóstico de conectividade e
de roteamento em nosso cenário. Basta agora completar todas as
configurações de interfaces e o roteamento para cada rede LAN nos
dois sentidos, para que o pacote possa tomar o caminho de ida e volta
corretamente.
Adicionalmente, verifique os caminhos tomados pelo tráfego com o
******ebook converter
DEMO
Watermarks*******
 comando traceroute <IP_de_destino>. Este comando apresenta o
caminho tomado em cada salto que o tráfego passa, isto é, cada
roteador pelo qual ele transita até o destino final. O limite é de no
máximo 30 (trinta) saltos.
Faça um teste a partir de seu computador pessoal para um site
qualquer na Internet. Você verá todos os elementos pelos quais os
pacotes transitam até o destino. A ressalva fica para o comando que
seu computador aceita. No MS Windows, o comando é tracert
<IP/site_de_destino>.
O comando também permite o uso de interfaces de origem como
parâmetro adicional:
RT_CE#traceroute 192.168.0.1 source gi0/0
Type escape sequence to abort.
Tracing the route to 192.168.0.1
VRF info: (vrf in name/id, vrf out name/id)
1 172.16.0.10 36 msec 60 msec 56 msec
RT_CE#

Efetuando Backup/Restore das

Configurações
Após tantos comandos de configuração é importante salvar estas
mudanças. Já vimos como salvar, mas nem sempre apenas salvar nos
garante uma segurança de que os dados estejam seguros. Para manter
as configurações do seu roteador seguras, é importante sempre
armazenar uma cópia de backup e, para isso, é importante entender
como funcionam os procedimentos de cópia do IOS e de restauração
desta cópia. Como padrão, a memória flash de um roteador é usada
para armazenar o IOS da Cisco. Para este exemplo sairemos do
roteador usado no cenário e iremos para um roteador de teste.
Antes de iniciar qualquer procedimento, é necessário que você veja a
versão existente que está armazenada em memória flash. Usando o
comando “show flash” você verá esta configuração.
RTESTE# sh flash
-#- --length-- -----date/time ------------ path
1 16757540 Jan 7 2008 19:55:26 -03:00 c1841-ipbasek9-mz.151-
2.T.bin

******ebook converter
DEMO
Watermarks*******
 2 1821 Jan 7 2008 20:12:12 -03:00 sdmconfig-18xx.cfg
3 861696 Jan 7 2008 20:12:36 -03:00 es.tar
4 1164288 Jan 7 2008 20:13:02 -03:00 common.tar
5 1038 Jan 7 2008 20:13:28 -03:00 home.shtml
6 113152 Jan 7 2008 20:13:50 -03:00 home.tar
13000704 bytes available (18915328 bytes used)
RTESTE# dir
Directory of flash:/
1 -rw- 16757540 Jan 7 2008 19:55:26 -03:00 c1841-ipbasek9-
mz.151-2.T.bin
2 -rw- 1821 Jan 7 2008 20:12:12 -03:00 sdmconfig-18xx.cfg
3 -rw- 861696 Jan 7 2008 20:12:36 -03:00 es.tar
4 -rw- 1164288 Jan 7 2008 20:13:02 -03:00 common.tar
5 -rw- 1038 Jan 7 2008 20:13:28 -03:00 home.shtml
6 -rw- 113152 Jan 7 2008 20:13:50 -03:00 home.tar
31916032 bytes total (13000704 bytes free)

O resultado deste comando mostra os arquivos que estão na memória

flash. Outra forma de obter o mesmo resultado, em algumas versões
mais recentes do IOS, podemos encontrar o comando “dir”, como no
Windows, para listar o conteúdo do diretório dentro da Flash.
Antes de iniciar o backup, verifique se você tem na sua rede, ou em
outra a qual você tenha acesso, um servidor TFTP. O ideal é que, antes
de copiar o arquivo para este servidor, você tente efetuar um ping para
testar a conexão. Verificada a conexão com o servidor, vejamos os
comandos usados para backup:
RTESTE#copy flash tftp
Source filename []? c1841-ipbasek9-mz.151-2.T.bin
Address or name of remote host []? 192.168.0.5
Destination filename [c1841-ipbasek9-mz.151-2.T.bin]?
.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16757540 bytes copied in 52.700 secs (151193 bytes/sec)

Lembre-se que o TFTP usa protocolo UDP como transporte e, desta

forma, se o servidor TFTP estiver em um link WAN de baixa
velocidade, você poderá ter problemas no envio do arquivo.
Estes comandos de backup basicamente seguem a lógica de qualquer
sistema operacional no quesito envio e recepção de arquivos,
executando uma cópia origem-destino. Assim, ao utilizarmos o
comando copy flash tftp estamos dizendo ao roteador: “copie DE

******ebook converter
DEMO
Watermarks*******
 flash PARA tftp”. Usando o nosso amigo Help “?”, temos o seguinte:
RTESTE# copy ?
<resultado parcialmente omitido>
flash: Copy from flash: file system
ftp: Copy from ftp: file system
http: Copy from http: file system
nvram: Copy from nvram: file system
running-config Copy from current system configuration
startup-config Copy from startup configuration
tftp: Copy from tftp: file system

Veja que na linha que segue temos a palavra FROM (DE), indicando
a origem. Aplicando o mesmo comando após definir a origem,
veremos TO (PARA):
RTESTE# copy flash: ?
archive: Copy to archive: file system
flash: Copy to flash: file system
tftp: Copy to ftp: file system
<resultado parcialmente omitido>

Restaurando as Configurações
Para restaurar a configuração, é necessário digitar o mesmo
comando, porém colocando o tftp antes, ou seja, indicando-o como
origem. Veja:
RTESTE#copy tftp flash

A interação que você terá com a console será de informar o endereço

IP do servidor tftp e o nome do arquivo a ser restaurado. Após
restaurar o arquivo o roteador será reiniciado. Por isso agende um
horário adequado para fazer esta atividade.
Para fazer este backup, utilize um software de TFTP Server no
servidor de arquivos. Existem vários gratuitos com essa finalidade e
podem ser facilmente localizado através de uma rápida busca na
Internet.

Backup da Configuração
Você já sabe que as configurações que são feitas no roteador (ou
switch) são consideradas alterações correntes e é necessário salvá-las
usando o comando copy running-config startup-config ou apenas

******ebook converter
DEMO
Watermarks*******
 write. Porém, pode ser necessário copiar esta configuração para um
servidor tftp com a finalidade de ter uma cópia atualizada de toda a
configuração do roteador.
Lembrando que, para ver as configurações atuais, você digita o
comando show running-config. Mas quanto espaço será ocupado em
seu servidor TFTP? Bem, para saber disso você deverá utilizar o
comando show startup-config. Antes de iniciar a cópia de backup,
verifique a versão que está atualmente rodando com a versão mostrada
no resultado do comando show startup-config, pois elas devem ser a
mesma. Após conferir esta versão, veja a sequência de comandos:
RTESTE#copy running-config tftp
Address or name of remote host []? 192.168.0.5
Destination filename [running-config]?
!!
492 bytes copied in 1.748 secs (492 bytes/sec)
RTESTE#

Este comando copia a versão atualmente rodando para um servidor

TFTP. Serão requisitados o IP do servidor e o nome do arquivo de
destino. Para voltar à configuração, use o comando copy tftp running-
config.
Para apagar a configuração existente em NVRAM (RAM não
volátil) você deverá utilizar o comando erase startup-config no modo
privilegiado.

Resolvendo Nomes de Host

Outra funcionalidade importante é a resolução de nomes no roteador,
a qual permite você relacionar o nome de um host com seu IP de
maneira que, ao invés de usar números, você o acesse pelo nome,
facilitando o gerenciamento e organização da rede.
Existem duas formas de se fazer resolução de nomes: uma é
construindo uma tabela estática de nomes no próprio roteador e outra é
utilizar um servidor DNS, para que o roteador envie solicitações de
resolução de nomes e o servidor responda.
Fica um tanto claro que o método mais aconselhável é utilizar
resolução de nomes baseada em servidor DNS, pela característica de

******ebook converter
DEMO
Watermarks*******
 centralização do serviço, porém é importante que você veja como
construir esta tabela estática, para casos em que sua rede não tenha um.

Figura 9.10 – Métodos de resolução de nomes.

Para fazer a construção da tabela estática você deverá usar os
comandos a seguir:
RT_CE(config)#ip host RT_Matriz 192.168.1.1
RT_CE(config)#ip host SW_1900 192.168.1.254

Note que no mapeamento estático primeiramente é passado o nome

do host e em seguida o IP dele. Para visualizar sua tabela basta usar o
comando show hosts.
A outra forma é configurar o roteador para usar DNS, mas para fazer
isso é necessário ficar atento a algumas observações:

O primeiro comando que deve ser usado é o ip domain lookup,

que já vem ativado como padrão e só deve ser usado de novo se
tiver sido desabilitado previamente pelo comando no ip domain
lookup.

O comando seguinte é o ip name server, que permite

especificar o endereço IP do servidor DNS. É possível entrar
com endereço IP de até 6 servidores.

Por último deve ser usado o comando domain-name. Este é um

comando opcional que adiciona um sufixo para formação do

******ebook converter
DEMO
Watermarks*******
 FQDN (Fully Qualified Domain Name) como, por exemplo,
seudominio.com.br.
Vejamos os comandos:
RT_CE(config)#ip domain-lookup
RT_CE(config)#ip name-server 192.168.1.200
RT_CE(config)#ip domain-name dominio.com.br

Emuladores e Simuladores
As certificações Cisco têm afastado alguns estudantes ou candidatos
devido à dificuldade de acesso a equipamentos para práticas de
laboratório. Quando se trabalha em uma empresa que já possui
roteadores ou switches (integradores, provedores ou representantes
Cisco), fica mais fácil montar estruturas para exercitar comandos e
praticar o que é sugerido nos cenários de estudo.
E se você não trabalha com roteadores e está lendo este livro
justamente para entrar nesse mercado promissor? A comunidade de
tecnologia resolveu esse problema criando aplicativos para emulação
de roteadores que possibilitam a prática de maneira real, com todos os
recursos de uma rede verdadeira.
Portanto, incentivamos a continuar com seus estudos, pois, perto ou
longe dos equipamentos físicos, você ainda pode ser um profissional
certificado e com sólidos conhecimentos em redes!
Você já deve ter ouvido falar no Packet Tracer da Cisco, que é um
simulador de rede, contendo equipamentos que possibilitam a prática
com topologias bastante interessantes. Esse aplicativo é uma das
opções para quem não tem contato (ainda) com roteadores reais,
entretanto só está disponível gratuitamente para os estudantes do
programa Networking Academy (ou Net Academy), da Cisco. Embora
seja uma boa opção para aprendizado, o Packet Tracer tem uma série
de limitações, suportando apenas uma parte dos recursos de roteadores
e switches. Se você avançar nos estudos, vai perceber que alguns
protocolos essenciais (usados em redes de provedores) não estão
presentes, entre eles o MPLS e IS-IS.
Outro aplicativo para estudos, esse sim recomendado para quem
******ebook converter
DEMO
Watermarks*******
 deseja extrair o máximo de um roteador, é o GNS3/Dynamips
(www.gns3.com). Esse sistema atua como um emulador de roteador,
rodando o próprio IOS que, dependendo da versão, traz absolutamente
todos os recursos de um roteador ou switch. Diferente de um
simulador, que apenas imita o comportamento do roteador, o emulador
realiza tarefas reais e precisas do equipamento, porém em uma
plataforma diferente, como um PC com Windows. A grande vantagem
do GNS3 é que está disponível gratuitamente na Internet, tendo sido
desenvolvido justamente para aqueles que pretendem estudar para
certificações Cisco e suporta diversos outros fabricantes, pois evoluiu
para a virtualização de diversos outros dispositivos de redes, incluindo
firewalls.
Como alternativa ao GNS3, há também o EVE-NG
(https://www.eve-ng.net/) que proporciona a montagem de um
ambiente virtual emulado, que também permite montagem de redes
simples ou complexas de diversos fabricantes e que pode ser
hospedado na nuvem (sistemas Cloud). A diferença é se tratar de um
software um pouco mais complexo que o GNS para a preparação
inicial, mas tudo bem documentado no site do desenvolvedor.

Figura 9.11 – Tela de instalação do GNS3. Pode variar de

acordo com as versões. Fonte: www.gns3.com
Todavia, para as atividades dos laboratórios

******ebook converter
DEMO
Watermarks*******
 propostos, vamos apresentar um pouco mais sobre
o GNS3, por ser o mais amigável para o leitor,
leigo ou não, e gratuito. Ele contém uma interface
gráfica intuitiva com os ícones dos equipamentos
a serem emulados, permitindo você ver a
topologia, as interfaces de conexão e nomes dos
equipamentos.
Para instalação, basta baixar o programa no site
do GNS3 e seguir os passos indicados, isto é, os
conhecidos “next-next” sem mistério. A
documentação do software também é bem
detalhada e pode apoiar no processo, em caso de
dúvidas. Durante a instalação, há opção de
agregar outros componentes de acordo com a
versão disponível, como mostra a Figura 9.11. Em
seguida, aparece um assistente para configurações
básicas do programa, que pode ser deixado para
depois.
Como dissemos, o aplicativo emula os
equipamentos, mas para isso é necessário ter um
arquivo do IOS, por exemplo, que é o sistema
operacional do roteador. O IOS é fornecido com
equipamentos ou sob contrato com a Cisco.
Embora seja um software pago, licenciado,

******ebook converter
DEMO
Watermarks*******
 muitos defendem a cópia para fins educacionais,
para uso no GNS3.
Aqui fica a ressalva para que você não infrinja
os direitos de software proprietário, não fazendo o
uso comercial do sistema. Também vale informar
que o GNS3 emulando o IOS não tem o mesmo
poder de processamento que um roteador
efetivamente; logo, um computador com o
aplicativo jamais poderia substituir o
equipamento em uma estrutura de rede, o que
reforça o uso do GNS3 para fins educacionais.
Com o IOS carregado dentro do GNS3, você
poderá montar qualquer topologia e testar todas as
funcionalidades que um roteador oferece,
verificando protocolos de roteamento, testes de
conectividade, tipos de interface etc. Na Figura
9.12 vemos a interface do programa com uma
topologia simples, ligando dois roteadores via
interface Serial e a janela de console do R1.

******ebook converter
DEMO
Watermarks*******
 Figura 9.12 – GNS3 com topologia e console de acesso.
Atenção para uma dica! Quando o GNS3 inicia um roteador (basta
você clicar com o botão direito em um deles e escolher a opção
“Start”), você vai perceber que o processamento do seu computador
atinge valores próximos a 100%. Para reduzir o processamento ao
mínimo, com o botão direto no roteador, escolha a opção “Idle PC”.
Assim, quando você clicar OK na opção que aparecer, o
processamento vai a praticamente zero! Reiteramos sempre consultar a
documentação do desenvolvedor desses aplicativos, pois assim você
terá a informação atualizada sobre como utilizá-lo e acompanhará a
evolução das versões.

Laboratório
Apesar de termos ilustrado as alternativas para compor um
laboratório virtual (emulado), nada como optar pelos equipamentos
reais para conhecer o hardware em si. Embora seja a opção mais
indicada, a desvantagem é que você não poderá montar uma topologia
tão grande quanto no GNS3, a não ser que você ou sua empresa tenha
muitos roteadores disponíveis para testes. Por isso fazemos a indicação
de softwares emuladores.

******ebook converter
DEMO
Watermarks*******
 Figura 9.13 – Layout do Laboratório.
Sendo assim, apresentaremos uma sessão de
laboratório que você poderá executar tanto com
roteadores reais ou no GNS3/EVE-ng. Como a
finalidade deste laboratório é testar os comandos
utilizados no decorrer do capítulo, é possível
realizar um aprendizado conjunto com até 10
alunos divididos em duplas compartilhando um
roteador, deixando um para o professor que
estiver orientando. Com o GNS3, você atua
sozinho em toda a estrutura, se quiser. A Figura
9.13 apresenta as informações e layout para o
laboratório.

******ebook converter
DEMO
Watermarks*******
 No desenho, sugerimos uma configuração de
interface Ethernet (Fast ou Giga, dependendo do
modelo de roteador), as conexões entre os
roteadores, estações e switches e uma divisão por
grupos ou duplas. O professor/instrutor tem um
conjunto dedicado para organizar as atividades.
Lembramos que este cenário pode ser composto
por equipamentos reais, devidamente ajustado
conforme modelos disponíveis, ou com o GNS3,
fazendo ajustes quando necessário. A
representação gráfica é o padrão utilizado por
qualquer software de desenho de rede, incluindo o
próprio GNS3.
Vejamos então as tarefas a serem realizadas em
nosso cenário (ou em outra topologia desejada):
1. Configuração do Hostname

Entre na Console do roteador via Putty (ou

outro aplicativo para acesso terminal).

Entre no modo Privilegiado.

Entre no modo de Configuração Global.

******ebook converter
DEMO
Watermarks*******
 Coloque o nome do host como: RT_Ex, no
qual x é o número da sua equipe (ver Figura
9.13).
2. Configuração do Banner

Configure um banner de mensagem do Dia

para
*** CCNA LAB – Roteador da
EquipeX
** Escola - <nome>
3. Configuração da Interface LAN

Configure o Endereço IP da porta Ethernet

para o número que está na figura do Layout
do Laboratório e usando a máscara de sub-
rede /24.

Ative a Porta.

Salve sua Configuração.

Minimize o Putty.
4. Testes de Configuração
******ebook converter
DEMO
Watermarks*******
 Entre no prompt de comando do Windows e
tente efetuar um ping para a Porta LAN do
roteador (use o IP atribuído por você no
exercício 3).

Cada componente da equipe deve tentar

efetuar o acesso ao roteador via telnet.
O Telnet foi efetuado com sucesso? Se não, por
quê?
5. Configuração das Senhas

Configure a senha da Porta de Console para

‘conspass’ (sem aspas).

Configure a senha de Telnet para permitir 5

sessões para ‘telpass’ (sem aspas).

Digite o comando para mostrar a

configuração atual:
Você foi capaz de ler as senhas de Console e
de Telnet? Se sim por quê?

******ebook converter
DEMO
Watermarks*******
 Configure a senha do Modo Privilegiado
para ‘privpass’ usando criptografia somente
neste modo.

Digite o comando para mostrar a

configuração atual:
Você foi capaz de ler a senha de modo
privilegiado? Por quê?

Habilite o serviço de criptografia de senhas.

Digite o comando para mostrar a

configuração atual e verifique se todas as
senhas estão criptografadas.
6. Teste de Configuração 2

Cada componente da equipe deve tentar

efetuar o acesso ao roteador via telnet.

Entre no modo privilegiado e digite o

comando show users para verificar quantos
usuários existem atualmente acessando seu

******ebook converter
DEMO
Watermarks*******
 roteador.

Efetue o ping para o endereço IP da estação

do seu parceiro.

Feche sua Sessão Telnet.

A tarefa a seguir deverá ser executada por
apenas uma estação da equipe.
7. Configuração da Interface WAN

Entre novamente no roteador via Putty.

Entre no modo privilegiado.

Entre no modo de Configuração Global.

Entre na interface Serial 0 (0/0 ou

equivalente) e configure o Endereço IP da
WAN conforme mostra a tabela abaixo:
EQUIP ENDEREÇO MÁSCARA
E IP
Instruto 10.10.10.1 255.255.255.
r 0
1 10.10.10.2 255.255.255.

******ebook converter
DEMO
Watermarks*******
 0
2 10.20.20.1 255.255.255.
0
3 10.20.20.2 255.255.255.
0
4 10.40.40.1 255.255.255.
0
5 10.40.40.2 255.255.255.
0

Ative a Porta.
Somente as equipes 2 e 4:

Configure a largura de banda (clock rate)

para 64 kbps.

Configure o comando bandwidth para 64

kbps.

Teste o comando ping no endereço ip da

WAN do roteador da outra equipe que está
ligada ao seu roteador (ver tabela).

Teste o comando ping no endereço ip da

******ebook converter
DEMO
Watermarks*******
 interface LAN do roteador da outra equipe.
O resultado do comando ping foi o esperado?
Por quê?

Salve sua Configuração.

8. Configuração do Nome de Host estático.

Crie duas entradas na sua tabela de hosts

mapeando o nome do seu roteador e o nome
do roteador da outra equipe para os seus
devidos IPs.

Crie também duas entradas estáticas que

equivalem ao nome/IP das estações da sua
equipe.
9. Backup das Configurações.

Faça um backup das configurações do seu

roteador para o seu computador (servidor
TFTP).

******ebook converter
DEMO
Watermarks*******
 10 - Conceitos e Implementação
de Redes WAN

Introdução
Sempre que nos referimos a WAN (Wide Area Network), estamos falando
das tecnologias e protocolos que trabalham na camada 1 e 2 (Física e
Enlace) do Modelo OSI onde, assim como nas LANs, acontece a definição
da conexão física, transmissão e sinalização. Há algum tempo, a
diferenciação entre LAN e WAN se dava por capacidade de banda e
distância, mas atualmente temos Internet residencial com acesso de
múltiplos 100Mbps, o que era inimaginável anos atrás. Hoje, o consenso de
definição é que as WANs passam, necessariamente, pela infraestrutura de
uma operadora de telecomunicações, ou seja, da qual você não tem
propriedade ou gestão, sendo paga através de contrato de prestação de
serviço. A LAN, por outro lado, é de propriedade da residência ou empresa.
Uma vez adquiridos todos os equipamentos (roteadores, switches,
servidores), eles são da empresa e o administrador de rede os conecta,
configura e administra como preferir.
Em uma rede WAN existem diversos componentes e a forma mais
tradicional de exemplificar uma conexão WAN é através dos componentes
DCE e DTE, como vimos no Capítulo 9. Cada localidade de uma rede tem
um dispositivo DCE que conecta a uma linha, esse dispositivo pode ser um
modem ligado a um outro modem na provedora ou equipamento de
concentração de canais de acesso.
Dentro deste cenário temos, também, o CPE (Customer Premises
Equipment), que se refere ao equipamento que conecta sua rede com a linha
de comunicação. Podemos dizer que este equipamento é alugado pela
prestadora de serviços de telecomunicações que permitirá sua rede entrar
em um link de dados WAN. Um CPE geralmente tem próximo a ele um
Demarc (Demarcation Point), que é um ponto de entrada, geralmente uma
conexão RJ-45, que também fica a cargo do prestador de serviços. Porém

******ebook converter
DEMO
Watermarks*******
no jargão de Telecom, o CPE na grande maioria das vezes é o roteador –
que também atua como DTE – e o modem é o CSU/DSU (Channel Service
Unit/Data Service Unit).
Para fazer a ligação do Demarc com o escritório central entra em cena o
Local Loop. Este Local Loop seria o link entre sua rede e o escritório
central (CO – Central Office) ou ponto de presença (POP – Point of
Presence) da provedora.

Figura 10.1 – Ambiente típico de uma WAN.

Para perfazer essas conexões, existem praticamente três tipos de
conexão WAN. Porém existem alguns fatores que irão contribuir para
que você escolha um tipo ou outro. Entre estes fatores, podemos citar:

Velocidade: a que velocidade você quer que seus dados

trafeguem de uma ponta para outra.

Confiabilidade: a pergunta base é se poderá haver perda de

dados no caminho entre origem e destino. Respondendo esta
pergunta você estará indo para uma alternativa mais confiável
ou menos confiável.

Custo: essa é a parte que pesa! Quanto você poderá investir

neste projeto de conectividade e em quanto estará orçado para a
parte de links WAN.

******ebook converter
DEMO
Watermarks*******
 Antes de entrarmos com mais detalhes nas tecnologias emergentes
do mercado, vejamos uma breve explicação sobre os tipos de
comutação comumente utilizados em redes WAN.

Técnicas de Comutação (Formas de

Conexão WAN)
Para descrevermos quais são estas técnicas, é importante comentar
que a função de comutação em uma rede de comunicação consiste na
alocação de recursos da rede (meios de transmissão, repetidores, entre
outros) para transmissão pelos diversos dispositivos conectados, ou a
forma de conexão. Pois, em uma rede (LAN, MAN, WAN) sempre
existem recursos compartilhados como, por exemplo, o
compartilhamento de enlace. Dessa forma, podemos enfatizar que as
principais formas de comutação são as seguintes:

Comutação de Circuitos.

Comutação de Mensagens.

Comutação de Pacotes.

Comutação de Circuitos
Um circuito é um caminho elétrico e um canal é a porção de um
circuito utilizado para transmissão de voz ou sinais de dados. A
comutação de circuito é utilizada para comutação de voz e suporta
serviços de dados, já as redes de comutação de circuitos são
tipicamente proprietárias das operadoras telefônicas e operam de
forma muito semelhante às chamadas telefônicas convencionais. Há
também tecnologias exclusivas para transmissão de dados em que se
usa o conceito de comutação de circuito, como DWDM ou SDH.
A comutação de circuito é uma técnica na qual um circuito dedicado
é alocado para a comunicação entre duas estações, sendo a
comunicação constituída por três fases características:

******ebook converter
DEMO
Watermarks*******
 1. Estabelecimento do circuito físico: nesta fase, a rede, mediante o
endereço de destino, une sucessivos circuitos desde o nó de origem
até chegar ao nó de destino.
2. Transferência de dados: depois de estabelecido o circuito físico
através da rede, os dois nós podem se comunicar como se existisse
uma linha dedicada a unir os dois.
3. Terminação do circuito: por ordem de um dos nós, o circuito é
desativado e os recursos alocados na rede são desocupados.

Figura 10.2 – As três fases da comutação de circuitos.

Note que a forma de funcionamento é análoga à forma de
comunicação de um telefone, no qual você disca para o destino, a
comunicação é estabelecida, você fala com a outra pessoa e em
seguida desliga. São exemplos de tecnologias que utilizam este tipo de
conexão:

ISDN.

PABX.

Linhas de discagem simples (Dial-Up).

Asynchronous Transfer Mode (ATM).

SDH, PDH, DWDM, que estabelecem circuitos virtuais (VC) ou

canais dedicados.

Comutação de Mensagens
A técnica de comutação de mensagens foi a antecessora da
comutação de pacotes. Nessa forma de comutação, as mensagens são
enviadas individualmente pela rede de nó em nó. A mensagem é

******ebook converter
DEMO
Watermarks*******
 armazenada e transmitida em cada nó (store-and-foward), o que requer
um endereçamento e não necessita de estabelecimento de um caminho
dedicado entre as duas estações.
Após o recebimento da mensagem, é feita uma busca por erros e,
posteriormente, ocorre a retransmissão. Um exemplo de comutação de
mensagens é o funcionamento do telegrama. Como essa forma de
comutação praticamente não existe mais, não nos aprofundaremos
nesse assunto.

Comutação de Pacotes
As redes de comutação de pacotes pegam os dados dos usuários e
quebram em pequenos segmentos chamados pacotes, adicionam as
informações de controle e, por fim, transmitem através da rede. Os
recursos da rede são compartilhados e utilizados por demanda e a
capacidade do meio de transmissão é sempre dinamicamente alocada.
Dessa forma, não é necessário o estabelecimento de um circuito
dedicado entre as duas estações (como ocorre na comutação de
circuitos).
Este tipo de conexão surgiu em meados dos anos 1960 quando o
Departamento de Defesa dos Estados Unidos (DoD) estava
preocupado com a manutenção da comunicação no caso de haver uma
guerra nuclear na época da Guerra Fria, pois eles achavam que os
atuais sistemas de comunicação não iriam sobreviver. A intenção era
fazer uma comunicação através de um meio físico não confiável.
Então, foi concebida uma ideia de se utilizar pacotes digitalizados ao
invés de streams de dados contínuos, com endereçamento desses
pacotes e a possibilidade de os pacotes pertencerem à mesma
conversação, porém tomando caminhos e destinos diferentes. Assim,
as redes de comutação de pacotes permitem compartilhar a largura de
banda com outras empresas. Alguns exemplos de tecnologias que
usam este tipo de conexão:

HDLC.

******ebook converter
DEMO
Watermarks*******
 Frame-Relay.

Ethernet.

Figura 10.3 – Comutação de Pacotes.

Na comutação de pacotes são impostas restrições quanto à
quantidade de informação a enviar de cada vez; a esses blocos de
informação chamamos pacotes, ou especificamente na camada de
ligação lógica, a designação de “frames” ou quadros. Geralmente os
frames possuem tamanho que variam até um número máximo
suportado.
O compartilhamento da largura de banda com outros usuários
possibilita uma grande redução de custos em relação a outros tipos de
conexão.
De posse dos conceitos básicos de WAN e das técnicas de
comutação, podemos entender melhor o funcionamento dos protocolos
que trabalham na Camada 2 do Modelo OSI, comumente chamados de
protocolos de WAN.

Protocolos de WAN
O conhecimento sobre os protocolos de WAN é fundamental para
fazer o diagnóstico na rede, além de ser muito exigido na prova do
CCNA. Da lista de protocolos a serem vistos neste capítulo, temos:

HDLC.

PPP.

DSL.

******ebook converter
DEMO
Watermarks*******
 Cable.

VPN.

Metro Ethernet.

VSAT.

Celular 3G, 4G, 5G.

MPLS.

Protocolo HDLC (Controle de Link de Dados

de Alto Nível)
O HDLC é um protocolo desenvolvido pela International
Organization for Standardization (ISO) e é usado como padrão pela
Cisco nas interfaces seriais, ou seja, se você não configurar nada de
encapsulamento na serial ele utilizará o HDLC (no caso de
equipamentos Cisco). Ele é uma evolução do protocolo SDLC e possui
as seguintes características:

protocolo orientado a conexão.

não utiliza nenhum método de autenticação.

não possui controle de fluxo.

protocolo orientado a bit.

modo de operação síncrona.

suporta configurações ponto a ponto e multiponto.

******ebook converter
DEMO
Watermarks*******
 modo de operação em linhas privadas dedicadas.
O HDLC na verdade é um protocolo aberto, o que permite a
personalização de informações por parte do fabricante. Dessa forma, a
Cisco desenvolveu um HDLC próprio que possui um campo a mais no
cabeçalho e utiliza essa versão como padrão para seus equipamentos.
Em uma rede Cisco, se os equipamentos de ambos os lados utilizarem
o Cisco IOS, será usado o HDLC (padrão Cisco). Porém, para se
trabalhar com dispositivos que não utilizam o sistema operacional
Cisco IOS, deve-se utilizar o protocolo PPP.
Na implementação do HDLC, basta entrar com o comando de
encapsulamento (encapsulation) para esse protocolo dentro da
interface serial desejada. Visualizando a interface serial com o show
interfaces, você poderá conferir o protocolo. Ao ver as configurações
da interface com show run int serial0/0 percebe-se que o comando
não está lá com HDLC explicitamente declarado, porque é o protocolo
padrão. A configuração aparece somente quando se configura outro
protocolo.
Roteador(config-if)#encapsulation ?
atm-dxi ATM-DXI encapsulation
bstun Block Serial tunneling (BSTUN)
frame-relay Frame Relay networks
hdlc Serial HDLC synchronous
lapb LAPB (X.25 Level 2)
ppp Point-to-Point protocol
Roteador(config-if)#do show int s0/0
Serial0/0 is up, line protocol is up
Hardware is M4T
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, crc 16, loopback not set
Keepalive set (10 sec)
Restart-Delay is 0 secs
<restante omitido>
R3#sh run int serial0/0
!
interface Serial0/0
no ip address
serial restart-delay 0
end

******ebook converter
DEMO
Watermarks*******
 PPP (Protocolo Ponto a Ponto)
O Point-to-Point Protocol (PPP) foi originado através do
encapsulamento IP para transporte sobre um link ponto a ponto. Uma
das características deste protocolo é que ele pode ser usado em meios
físicos síncronos (ISDN) ou assíncronos (antiga Linha discada – Dial-
up). O PPP é um protocolo que está descrito em diversas RFCs.
Vejamos na tabela quais são elas:
RF TÍTULO DO DOCUMENTO
C
154 PPP in HDLC Framing
9
155 The PPP Internetwork Packet Exchange Control Protocol
2 (IPXCP)
133 PPP Authentication Protocols
4
133 The PPP Internet Protocol Control Protocol (IPCP)
2
O Protocolo PPP possui as seguintes características:

Configuração de link.

Teste de qualidade do Link.

Detecção de erros.

Possibilita atribuição dinâmica de endereços IP.

Controle de configuração de enlace de dados.

Negociação de endereços da camada de rede e as negociações

de compactação de dados.
A arquitetura do protocolo PPP é formada por três componentes
principais. São eles: HDLC, LCP e NCP.

******ebook converter
DEMO
Watermarks*******
 Figura 10.4 – Arquitetura PPP.

Principais Componentes do PPP

O funcionamento do PPP envolve o trabalho em conjunto de vários
protocolos que são conhecidos como componentes, vistos a seguir.
HDLC (Controle de Link de Dados de Alto Nível)
O PPP usa uma variante do HDLC como método de encapsulamento
dos datagramas sobre um link serial. O PPP cria frames que
contenham datagramas separados de acordo com o protocolo (IP, IPX
etc.). Vejamos como fica um cabeçalho e um trailer PPP na Figura
10.5.

Flag: Configurado como padrão para 0x7E para delimitar o

início e o fim do frame PPP.

Endereço: No ambiente HDLC, este campo é usado para

endereçar o frame para o nó de destino. Em um link ponto a
ponto, o nó de destino não precisa ser endereçado, porém, para o
PPP, o campo endereço é configurado para 0xFF (endereço de
broadcast). Se ambos os pares de uma rede PPP concordarem
em fazer o controle de endereçamento e a compressão do campo

******ebook converter
DEMO
Watermarks*******
 de controle durante a negociação LCP, então o campo endereço
não precisa ser configurado.

Controle: Em um ambiente HDLC o campo controle é usado

pela camada de enlace de dados para fazer o sequenciamento e a
aceitação dos frames. O PPP, por sua vez, não fornece
confiabilidade na transferência de dados. Desta forma, se ambos
os pares PPP concordarem em fazer o controle de
endereçamento e a compressão do campo de controle durante a
negociação LCP, então o campo de controle não é incluído.

Identificador (ID) do Protocolo: Este campo de 2 bytes

identifica o protocolo que o PPP está usando.

Controle de Erro (FCS): Trata-se de 16 bits usados para

checagem de erro (checksum) nos frames PPP.

Figura 10.5 – Cabeçalho PPP.

O tamanho máximo de um frame PPP, também chamado de MRU
(Maximum Receive Unit), é determinado durante a negociação de um
link lógico. O tamanho padrão da MRU é de 1500 bytes.
Como podem existir diversos tipos de protocolos por vez no campo
ID do protocolo, é importante mostrar quais são os valores padrão para
cada tipo:
PROTOCOLO VALOR PADRÃO / VALOR
COMPRIMIDO
Internet Protocol 0x00-21 / 0x21
(IP)
AppleTalk 0x00-29 / 0x29
IPX 0x00-2B / 0x2B
Multilink 0x00-3D / 0x3D
NetBEUI 0x00-3F / 0x3F

******ebook converter
DEMO
Watermarks*******
 LCP (Protocolo de Controle de Link)
O LCP (Link Control Protocol) é responsável pelo controle de fluxo
e pelo controle de conexão, ou seja, é ele quem estabelece, utiliza e
termina a conexão do PPP. O LCP está especificado na RFC 1661.
Através dele, os parâmetros de negociação PPP são dinamicamente
configurados. Entre as opções comuns do LCP temos: PPP MRU,
protocolo de autenticação, compressão do campo de cabeçalho PPP e
Discagem de Retorno. O LCP usa o identificador de protocolo 0xC0-
21.
A fase de teste de qualidade do link é opcional e verifica a qualidade
do meio para saber se é possível levantar os protocolos de rede.
Somente terminada essa fase é que a etapa seguinte poderá se iniciar
para negociação dos protocolos de rede.

Figura 10.6 – Fases do LCP.

Autenticação PPP
Uma das características do PPP é justamente fornecer um nível
adicional de segurança devido à autenticação. Uma das funções do
LCP que vimos é a de autenticação que, por sua vez, é o primeiro
passo no estabelecimento de uma conexão PPP.

******ebook converter
DEMO
Watermarks*******
 Figura 10.7 – Seleção de Autenticação.
Existem dois métodos de autenticação que podem ser usados em
links PPP, um é o PAP e o outro é o CHAP. O PAP (Password
Authentication Protocol) é um método simples e menos seguro que o
outro suportado pelo PPP. Nesse método de autenticação existe uma
fase de negociação na qual o roteador remoto tenta se conectar com o
local e, então, o local pede a autenticação de acesso. O IOS da Cisco
confere as credenciais fornecidas (usuário/senha) e envia uma
aceitação ao pedido. A grande desvantagem nesse método é que o
usuário e senha são passados em texto simples, sem nenhum uso de
criptografia. O roteador remoto tem que estar configurado com as
mesmas credenciais (usuário/senha) para poder estabelecer a conexão.
A autenticação CHAP (Challenge Handshake Authentication
Protocol) é mais segura que a PAP, não só pela forma de ela trabalhar,
mas também por enviar verificações periódicas durante a sessão com o
roteador ao qual estabeleceu a conexão, de forma a certificar-se de que
ele continua se comunicando com o mesmo roteador. Para
exemplificar como trabalha o CHAP, vejamos o cenário da Figura
10.8.
Após o estabelecimento da conexão PPP, o roteador da matriz envia
uma mensagem de desafio (Challenge) para o roteador da filial. O
roteador da filial responde com valores variáveis. O roteador da matriz
verifica a resposta comparando com seus valores calculados. Se o
valor coincidir, então o roteador da matriz aceita a autenticação.

******ebook converter
DEMO
Watermarks*******
 Figura 10.8 – Autenticação CHAP.
Chamada de Retorno – Callback
A característica de chamada de retorno ou simplesmente call-back,
como é conhecido, tem grande serventia em corporações que precisam
implementar mecanismos que garantam que o cliente não pague pela
ligação. Algumas empresas querem que seus clientes possam fazer
acesso aos recursos de infraestrutura de discagem, porém com
tarifação reversa, a cargo da empresa.

Figura 10.9 – Processo básico de Callback.

Na prática a ideia é simples, o cliente disca para um servidor de
acesso remoto, também conhecido como RAS (Remote Access
Server), o mesmo autentica esse usuário (usando o processo normal
que vimos anteriormente) e, depois, caso ele esteja configurado para
fazer “callback”, ele fará a ligação para o telefone do cliente.

******ebook converter
DEMO
Watermarks*******
 Esta característica está descrita na RFC 1570. Para maiores informações acesse em:
https://www.rfc-editor.org/rfc/rfc1570.txt

NCP (Protocolo de Controle de Rede)

O NCP (Network Control Protocol) é o método de estabelecimento e
uso de diferentes protocolos da camada de rede. Uma vez configurados
os protocolos da camada de rede, os datagramas de cada protocolo
podem ser enviados pelo link PPP. Um exemplo claro disso é no caso
de você ter dois protocolos roteados como o IP e o IPX configurados
na mesma interface PPP. Os dois poderão trabalhar sem que
necessitem de uma configuração adicional, pois ambos são mapeados
dinamicamente.
Uma sessão PPP possui quatro fases:

Estabelecimento do link: são enviados quadros LCP para a

configuração e estabelecimento do link de dados.

Determinação da qualidade do link: são feitos testes para

definir se a qualidade existente permite a ativação dos
protocolos da camada de rede (fase opcional).

Configuração dos protocolos da camada de rede: são

enviados quadros NCP para a configuração e para que os
pacotes da camada de rede possam ser enviados.

Encerramento do link: os quadros NCP ou LCP fecham o link

e ele é encerrado.
Implementando o PPP
Assim como qualquer protocolo WAN, ao entrar na interface serial
temos as opções de encapsulamento, que também apresenta o PPP e
outros mais, dependendo da versão do IOS:
Roteador(config-if)# encapsulation ?

******ebook converter
DEMO
Watermarks*******
 atm-dxi ATM-DXI encapsulation
bstun Block Serial tunneling (BSTUN)
frame-relay Frame Relay networks
hdlc Serial HDLC synchronous
lapb LAPB (X.25 Level 2)
ppp Point-to-Point protocol
Roteador(config)#do sh int se0/0
Serial0/0 is up, line protocol is up
Hardware is M4T
Internet address is 10.0.45.5/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: IPCP, CDPCP, crc 16, loopback not set
Keepalive set (10 sec)
Restart-Delay is 0 secs
Last input 00:00:11, output 00:00:01, output hang never
Last clearing of “show interface” counters 00:05:56
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output
drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 1158 kilobits/sec
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
57 packets input, 2845 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
88 packets output, 2982 bytes, 0 underruns
0 output errors, 0 collisions, 6 interface resets
0 output buffer failures, 0 output buffers swapped out
6 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up
Roteador(config)#do sh run int se0/0
!
interface Serial0/0
ip address 10.0.45.5 255.255.255.0
encapsulation ppp
serial restart-delay 0
end

Essa configuração apresentada não indica autenticação. Para aplicar

a negociação segura de um enlace PPP, façamos antes a configuração
de um usuário e senha para, em seguida, aplicá-lo no PPP.
Temos dois roteadores ligados lado a lado por um enlace serial. Cada

******ebook converter
DEMO
Watermarks*******
 um tem o hostname configurado respectivamente com Roteador e
Roteador-2. É importante configurar o hostname, porque fará parte da
negociação do CHAP para autenticação.
No Roteador-2 configuramos um usuário com a credencial do
primeiro, mas ambos com as mesmas senhas. Vejamos passo a passo:
Roteador-2(config)#username Roteador password 5enh4

No primeiro roteador (de nome Roteador), faremos o mesmo, mas

com uma credencial para o segundo. Observe o prompt # que estamos:
Roteador(config)#username Roteador-2 password 5enh4

Um tem a credencial para o outro (vizinho) se conectar. Ambos,

como dissemos, têm que ter a mesma senha. Para ativar a autenticação,
uma linha simples de configuração dentro da interface serial de cada
roteador:
Roteador(config)#int se0/0
Roteador(config-if)#ppp authentication chap
Roteador-2(config)#int se1/0
Roteador-2(config-if)#ppp authentication chap

De imediato ambas sobem com a negociação realizada. Quando

quisermos diagnosticar erros de autenticação ou outros problemas,
podemos usar o comando debug para indicar os erros e sucesso na
negociação do protocolo. A seguir, apresentamos como ativar o debug
e exemplos de falha e sucesso de autenticação, respectivamente:
Roteador-2#debug ppp authentication
Roteador-2#
*Sep 1 20:42:11.699: Se1/0 PPP: Using default call direction
*Sep 1 20:42:11.703: Se1/0 PPP: Treating connection as a
dedicated line
*Sep 1 20:42:11.707: Se1/0 PPP: Session handle[1B000043]
Session id[66]
*Sep 1 20:42:11.767: Se1/0 CHAP: O CHALLENGE id 1 len 31 from
“Roteador-2”
*Sep 1 20:42:11.771: Se1/0 CHAP: I CHALLENGE id 20 len 29
from “Roteador”
*Sep 1 20:42:11.779: Se1/0 PPP: Sent CHAP SENDAUTH Request
*Sep 1 20:42:11.795: Se1/0 PPP: Received SENDAUTH Response
FAIL
*Sep 1 20:42:11.799: Se1/0 CHAP: Unable to authenticate for
peer
*Sep 1 20:42:11.803: Se1/0 PPP: Sending AAA radius abort

******ebook converter
DEMO
Watermarks*******
 Roteador-2#
*Sep 1 20:47:18.099: Se1/0 CHAP: O CHALLENGE id 1 len 31 from
“Roteador-2”
*Sep 1 20:47:18.131: Se1/0 CHAP: I CHALLENGE id 72 len 29
from “Roteador”
*Sep 1 20:47:18.131: Se1/0 PPP: Sent CHAP SENDAUTH Request
*Sep 1 20:47:18.143: Se1/0 CHAP: I RESPONSE id 1 len 29 from
“Roteador”
*Sep 1 20:47:18.171: Se1/0 PPP: Received SENDAUTH Response
PASS
*Sep 1 20:47:18.175: Se1/0 CHAP: Using hostname from
configured hostname
*Sep 1 20:47:18.179: Se1/0 CHAP: Using password from AAA
*Sep 1 20:47:18.179: Se1/0 CHAP: O RESPONSE id 72 len 31 from
“Roteador-2”
*Sep 1 20:47:18.187: Se1/0 PPP: Sent CHAP LOGIN Request
*Sep 1 20:47:18.195: Se1/0 PPP: Received LOGIN Response PASS
*Sep 1 20:47:18.227: Se1/0 CHAP: I SUCCESS id 72 len 4
*Sep 1 20:47:18.287: Se1/0 CHAP: O SUCCESS id 1 len 4
Veja agora um ponto curioso do comportamento do PPP, que pode
cair no exame do CCNA. Devido às características do PPP, ele negocia
com o vizinho e coloca o IP do neighbor como IP diretamente
conectado. No exemplo a seguir, alteramos o IP de um dos roteadores
e ainda assim podemos fazer ping com sucesso!
Roteador# sh run int se0/0
!
interface Serial0/0
ip address 10.45.0.5 255.255.255.0
encapsulation ppp
serial restart-delay 0
ppp authentication chap
end
Roteador-2# sh run int se1/0
!
interface Serial1/0
ip address 10.0.45.4 255.255.255.0
encapsulation ppp
serial restart-delay 0
ppp authentication chap
end

Note que “erramos” de propósito o prefixo de rede. Após ter

estudado endereçamento IP, sabemos agora que, do jeito que está, não
funcionará, pois cada um tem um IP em uma rede (prefixo) diferente.

******ebook converter
DEMO
Watermarks*******
 Mas veja como fica a tabela de roteamento no primeiro roteador:
Roteador#sh ip route
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.0.45.4/32 is directly connected, Serial0/0
C 10.45.0.0/24 is directly connected, Serial0/0
Roteador#ping 10.0.45.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.45.4, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
44/50/56 ms

O ping funciona contra o IP vizinho, mas não significa que os

protocolos de roteamento, bem como o tráfego passante pela interface,
vão funcionar. Assim, tenha cuidado ao realizar diagnósticos com
protocolo PPP.
Para implementar a autenticação PAP, vamos tomar por base um
esquema de dois roteadores conectados um ao outro diretamente,
através de suas interfaces seriais. O roteador R2 se conecta ao roteador
R3, ou seja: R2-----R3. Vamos configurar a autenticação com os
seguintes passos:
Criar um usuário em cada roteador, com as credenciais do vizinho.
Isto deve ser feito no modo de configuração Global:
R2(config)# username R3 password senha3
R3(config)# username R2 password senha2

Note que as senhas também são distintas, diferentemente do CHAP

que coincidem.
Configurar a autenticação PAP em cada interface serial:
R2(config)#int se2/1
R2(config-if)# ppp authentication pap
R3(config)#int se1/2
R3(config-if)# ppp authentication pap

Ainda dentro das interfaces seriais, configurar o parâmetro pap sent-

username:
R2(config-if)#ppp pap sent-username R2 password senha2
R3(config-if)#ppp pap sent-username R3 pass senha3
R3(config-if)#

******ebook converter
DEMO
Watermarks*******
 *Mar 1 23:42:44.164: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Serial1/2, changed state to up

Logo que se conclui a configuração das duas interfaces, o protocolo

sobe e é possível estabelecer comunicação entre os dois roteadores.
Diferentemente do CHAP, o PAP estabelece a troca de mensagens de
autenticação ao enviar as credenciais esperadas por seu vizinho. Note
que em R2 o usuário enviado (sent-username) é aquele que está criado
na base de usuários de R3. Quando R2 envia as credenciais, elas
devem coincidir com o que está configurado na lista de usuários
criados em R3 e vice-versa. Em outras palavras, para R2 se conectar a
R3, o primeiro deve ter um usuário cadastrado no segundo.
Implementando o PPPoE
PPPoE (Point-to-Point Protocol over Ethernet) é uma variação do
protocolo que tem a finalidade de conectar usuários de uma rede
Ethernet à Internet. Seu uso é típico nas conexões à Internet através de
uma linha ADSL, na qual o protocolo estabelece a sessão e realiza a
autenticação com o provedor de acesso. Nesse processo ele confere o
usuário e senha. Ele também aloca um endereço IP dinamicamente,
mas o libera quando a conexão termina, possibilitando o uso desse
endereço a outrem.
Para o PPPoE, geralmente se entrega uma porta Ethernet ao usuário
e, através de uma linha telefônica, transporta os pacotes com o
protocolo WAN PPP. A conexão entre o computador do usuário e o
modem ADSL continua sendo Ethernet, mas para a conexão até o
provedor, na parte WAN, fica o protocolo PPP que permite
autenticação para controle e eventual tarifação do usuário.
A diferença de configuração é que devemos usar dois tipos de
configuração de interface que serão relacionadas para possibilitar o
PPPoE.
Primeiramente, devemos criar uma interface lógica chamada Dialer
(discador). Essa interface é quem vai gerar um túnel PPP e terá esse
encapsulamento. A ele atribuímos um número, como um identificador,
e indicamos o nome de usuário e senha a ser negociada com o
provedor, semelhante ao que se faz com o CHAP.

******ebook converter
DEMO
Watermarks*******
 A configuração no roteador cliente fica:
interface Dialer10
mtu 1492
ip address negotiated
encapsulation ppp
dialer pool 1
ppp chap hostname ISP
ppp chap password 0 CCN4
interface FastEthernet0/1
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1

Note que criamos uma interface Dialer com um número

identificador qualquer (Dialer10), pois estamos falando de uma
interface lógica. Aplicamos o encapsulamento PPP nessa interface e as
configurações de usuário e senha, conforme recomendação do
provedor. Observe, também, que o MTU foi ajustado para um valor
menor que 1500, pois deve-se considerar os cabeçalhos do PPPoE. O
comando importante está na definição do Pool, que deve coincidir com
o Pool aplicado na interface Ethernet física existente. Aqui pode ser
um número dentro de uma ampla faixa de possibilidades, mas depois
deve ser apontado da mesma maneira na Ethernet.
Passando pela configuração da interface FastEthernet0/1, a exigência
é que não haja IP configurado e que ela seja uma interface Cliente do
Pool criado no Dialer. No exemplo, demos o número 1 ao Pool dentro
do Dialer. Logo, na FastEth0/1 chamaremos o mesmo número com o
comando pppoe-client dial-pool-number <número>.
Implementando o Multilink PPP
O Multilink PPP ou MLPPP permite um roteador utilizar várias
portas de comunicação PPP (conexões físicas), agregando como se
fosse uma única porta (conexão lógica) com largura de banda maior,
por exemplo, o assinante que possui 2 links de 2Mbps cada e ativa o
PPP Multilink pode utilizar os 2 links físicos simultaneamente
perfazendo uma única conexão lógica de 4Mbps.
Essa funcionalidade realiza uma divisão bem equilibrada dos frames
******ebook converter
DEMO
Watermarks*******
 em camada 2, ou seja, se houver três links de 2Mbps cada, compondo
um único canal lógico de 6Mbps, cada um dos links individuais
receberão em torno de 33% dos frames. Em caso de falha de um deles,
a vantagem do MLPPP é manter o canal lógico ativo, mesmo com
capacidade reduzida, mas funcionando perfeitamente até que aquele
seja reparado.
Para configurar o MLPPP, devemos criar uma interface lógica
Multilink <númID> em cada roteador, associá-la ao grupo multilink
geralmente de mesmo número (ID) e associar cada uma das seriais que
farão parte também com o número do grupo. Vejamos as configurações
a seguir, quando fazemos a criação da interface multilink 10 (o número
pode ser qualquer um, desde que se siga a lógica ao longo das demais
interfaces).
R2(config)#interface multilink 10
R2(config-if)#ppp multilink group 10
R2(config-if)#do sh run int multilink 10
!
interface Multilink10
no ip address
ppp multilink
ppp multilink group 10
end

Observe que ela é criada e associamos ao grupo 10 também. Esse

dado se repetirá para as interfaces físicas associadas. A configuração
de endereço IP vai dentro da Multilink apenas. No nosso exemplo,
ainda não o fizemos.
Depois, cada interface serial deve ter o encapsulation ppp, depois o
ppp multilink. Em seguida, vamos associar as interfaces seriais ao
grupo 10 com o comando ppp multilink group 10:
R2(config)#int serial2/0
R2(config-if)#ppp multilink group 10
R2(config-if)#do sh run int se2/0
!
interface Serial2/0
no ip address
encapsulation ppp
ppp multilink
ppp multilink group 10
end

******ebook converter
DEMO
Watermarks*******
 Mesmo que inicialmente você configure apenas uma serial como
parte do grupo Multilink, a interface lógica vai funcionar. Isso
significa que é possível ter uma MLPPP com 2Mbps apenas, mas já
deixando o ambiente preparado para expandir à medida em que se
insiram novas seriais, bastando apenas associá-las ao grupo existente.
Ao finalizar a configuração das interfaces nos roteadores, observa-se
que as seriais ficam UP, mas sem IP e a Multilink UP com o IP
atrelado:
R2(config-if)# do sh ip int br
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.0.0.2 YES NVRAM up up
Serial2/0 unassigned YES NVRAM up up
Serial2/1 unassigned YES NVRAM up up
Multilink10 172.16.10.2 YES manual up up

Tecnologia xDSL
A tecnologia que se popularizou no mercado de acesso à Internet,
por parte de usuários domésticos, pequenas e médias empresas, é
oriunda das velhas estruturas de telefonia pública ou POTS (Plain Old
Telephone Service) e foi justamente isso que tornou esta tecnologia
acessível e amplamente usada, pois de curto prazo era possível
fornecer serviço de banda larga a Internet utilizando a infraestrutura
que as operadoras de Telefonia já possuíam.
Mas antes de falarmos sobre xDSL, devemos entender como
funciona o básico de um sistema de telefonia fixa. Quando você faz
uma chamada, é feito um envio de sinal através do cabo de cobre que
sai da residência, passa pelos postes e vai até a central da operadora
para encaminhamento ao destinatário. Este sinal leva a sua voz no seu
telefone de origem para o telefone de destino. Quando este ambiente
foi construído, não havia tanta tecnologia disponível; além disso, a
tecnologia da época era proporcionalmente mais cara que a de hoje.
Havia diversos problemas na infraestrutura que fizeram com que o
atual modelo implementado na época ficasse restrito a limitações de
frequência, o que tornou a infraestrutura ótima apenas para
transmissão de voz. Porém, foi verificado que este espectro de
frequência não utilizado pela infraestrutura POTS estava lá disponível

******ebook converter
DEMO
Watermarks*******
 e faltava apenas uma tecnologia que tirasse proveito desta
característica para transmitir dados com uma maior velocidade.
O alcance geográfico e a distância das centrais que suportam
serviços DSL são elementos fundamentais para o ótimo funcionamento
da tecnologia, isso devido às limitações existentes nela própria, e
inclusive um limite de distância para fornecimento do serviço entre a
central e o ponto de entrada, que seria de 5460 metros.
O modelo de infraestrutura POTS existente torna os padrões de
velocidade do DSL variantes de acordo com a direção e, dessa forma,
temos como velocidade máxima de downstream (provedor para
cliente) no valor de 8 Mbps e a velocidade upstream (cliente para
provedor) variando entre 64 e 640 Kbps.

Figura 10.10 – Elementos da tecnologia ADSL.

A tecnologia xDSL tem diversos tipos. Entre eles podemos citar:

VDSL (Very high bit-rate DSL).

SDSL (Symmetric DSL).

RADSL (Rate-adaptive DSL).

ADSL (Asymmetric DSL).

Dentre todas as variações da tecnologia xDSL podemos afirmar que
******ebook converter
DEMO
Watermarks*******
 a mais popular é a ADSL. Dessa forma, daremos um maior
detalhamento sobre essa tecnologia.
ADSL
A tecnologia ADSL ainda é utilizada no Brasil para acesso banda
larga à Internet, mas tende a cair ao passo em que as fibras estejam
mais acessíveis nas residências. Devido ao fato de usar o mesmo fio do
telefone, o ADSL torna-se muito prático para usuários finais, que
acessam a Internet de casa.
Um circuito ADSL conecta o modem que está na casa do usuário
(lembrando que este modem é especial, ou seja, um modem ADSL)
com a linha telefônica através do cabo de par trançado. Com esta
ligação, são criados três canais de informações. São eles:

Canal de Downstream de alta velocidade.

Canal Duplex de média velocidade.

Canal de serviços de telefonia.

O canal de serviços de telefonia é independente do modem, o que
garante que os serviços básicos irão funcionar mesmo que o modem
ADSL pare de funcionar.

Tecnologia Cable Modem

Outra opção para acesso à Internet nos dias de hoje é o uso do cabo
da sua prestadora de TV por assinatura para a transmissão de dados. O
canal da TV por assinatura tem um pequeno espectro de largura de
banda, ao passo que o cabo coaxial que conduz o sinal tem centenas de
Mega-Hertz, e a TV só usa uma fatia de 6 MHz. O restante pode,
então, ser usado para transmissão de dados. Para tirar proveito disso, é
necessário um Cable Modem no lado do cliente e, no lado do provedor,
é preciso um CMTS – Cable Modem Termination System.
A velocidade da tecnologia do Cable Modem pode atingir múltiplos

******ebook converter
DEMO
Watermarks*******
 de 100Mbps e a distância até 100 km. Este sistema permite que os
provedores de serviço de assinatura de TV a cabo possam compartilhar
seus CMTS para diversos CMs (Cable Modem). Não é possível dois
CMs conversarem diretamente entre si. Quando isso é necessário, o
CMTS faz o encaminhamento da solicitação. Essa tecnologia possui
mais escalabilidade que o ADSL e é amplamente utilizada em diversos
países. Como exemplo de acesso Cable Modem no Brasil podemos
mencionar o Net Claro.

Figura 10.11 – Esquema de ligação do Cable Modem.

Tecnologia VPN – Virtual Private Networks

Podemos entender VPN como o uso de redes privativas na Internet.
Como isso? Uma vez que estamos conectados à Internet, temos
acessibilidade a diversas redes. O uso da VPN se dá principalmente
quando uma empresa quer que seus funcionários trabalhem de forma
remota, sem estarem conectados diretamente à LAN, porém como se
estivessem nela, fazendo uso de todos os recursos como servidores, e-
mail, intranet e até impressoras.
Na Figura 10.12 temos uma topologia típica de uma VPN,
exemplificando duas localidades com um túnel VPN entre os
roteadores e outra com um cliente remoto VPN acessando a rede da
empresa.

******ebook converter
DEMO
Watermarks*******
 Figura 10.12 – Exemplos de aplicação de redes VPN.
Das vantagens que podemos destacar para o uso da VPN, listamos:

Custo: considerando que qualquer acesso à Internet permite

estabelecer uma VPN contra o servidor central da empresa, fica
mais econômico seu uso do que contratar um enlace dedicado
para cada localidade, a menos que o volume de usuários seja
grande.

Segurança: como usamos um acesso qualquer à Internet, como

ADLS, cabo, 4G/5G ou outros, poderíamos pensar que a rede
não é protegida, diferentemente se estivéssemos em uma LAN.
Entretanto, o uso de VPNs se dá com protocolos seguros e
criptografia, o que torna praticamente impossível algum dado
vazar na Internet. A VPN pode ser criada através de aplicativos
cliente (VPN client) que acessam um servidor de acesso remoto
com segurança.

Escalabilidade: à medida que surgem novos usuários ou

localidades, é possível conectá-los à rede corporativa através da
VPN sem a necessidade de esperar links dedicados ou ajustar a
estrutura de roteamento ou implementações mais complexas.
Basta o novo usuário ter as credenciais para o uso da VPN que
ele já terá acesso aos recursos da rede central.

Compatibilidade: a VPN se estabelece, como dissemos, através

de qualquer conexão banda-larga para Internet. É possível
estabelecer a sessão independentemente do provedor, ou

******ebook converter
DEMO
Watermarks*******
 tecnologia que se use.

Outras Tecnologias WAN Importantes

Apesar das tecnologias previamente estudadas serem as mais
comumente usadas, também devemos destacar algumas outras que
surgem e estão cada vez mais em evidência nos provedores de
telecomunicações no Brasil, muitas devido ao baixo custo e rápida
configuração e expansão. O exame CCNA não cobra explicitamente a
configuração delas, mas requer o conhecimento sobre cada conceito.

Metro Ethernet: as redes Metro Ethernet são consideradas rede

MAN (Metropolitan Area Network) que conectam clientes com
a rede do provedor através dos padrões Ethernet (já estudados).
Constituída por redes de fibras, os edifícios são abordados com
switches Layer 2 ou 3 que permitem a conexão através de portas
Fast ou GigabitEthernet, sendo bastante escaláveis e de baixo
custo.

VSAT: a sigla refere-se à Very Small Aperture Terminal, ideal

para uso em áreas de grandes dimensões. Redes de caixas
automáticos, por exemplo, estão por toda parte. Ter uma linha
dedicada é muito custoso e a solução VSAT permite o uso da
transmissão bidirecional de dados via satélite, bastando cada
localidade ter uma estação remota que tenha visada ao satélite
de um provedor específico com essa tecnologia.

Celular 3G/4G/5G: tablets e smartphones atuais trazem suporte

à conexão de dados via rede das operadoras. No Brasil, o 4G já
está bastante difundido, embora as redes 3G ainda sejam usadas.
Essas redes permitem a conexão direta à Internet e, com
modems específicos (usualmente conhecidos como modem
3/4G - USB), é possível habilitar um computador ou um
roteador para conectá-lo à Internet. A grande promessa para os
próximos anos é o 5G, que trará uma largura de banda que se
estima até permitir veículos autônomos e difusão da Internet das

******ebook converter
DEMO
Watermarks*******
 Coisas (IoT) dada a velocidade de transmissão e ampla
capacidade de conectividade de dispositivos. Enquanto o 4G
tem banda média de uns 20Mbps no Brasil, o 5G permitirá
transmissão acima de 1Gbps e testes de alguns fabricantes
indicaram transmissão à incríveis 10Gbps. Qualquer que seja a
tecnologia sem-fio 3/4/5G, todas dependem de antenas para
conexão do dispositivo até a operadora, isto é, a cobertura está
sujeita à presença de torres com antenas espalhadas por uma
região.

MPLS: MultiProtocol Label Switching é o mecanismo que

permite estabelecer redes de comutação de circuitos em cima de
uma rede de comutação de pacotes. Os pacotes são
“carimbados” com uma etiqueta adicional (label) que é usado
para identificá-lo e separá-lo dos demais dentro da rede do
provedor. Essas etiquetas são como endereços de camada 3 e a
MPLS se baseia somente neles. Os grandes provedores se
baseiam nessa tecnologia para transmissão de dados dentro de
suas redes Core, já que ela permite uma transferência mais
rápida devido à simplificação do endereçamento em uma
hierarquia superior com os labels.

Conectores WAN Seriais

Uma vez visto a parte lógica e protocolos WAN, vejamos
rapidamente como é a parte física desse segmento de rede. Além dos
tipos de conexões em fibra vistas no capítulo 4, as redes WAN podem
usar transmissões seriais, que por sua vez são formadas pelo envio de 1
bit por vez sobre um único canal. São distintas da transmissão paralela
(das usadas em conexões com impressoras), que pode passar até 8 bits
por vez. Os links seriais são descritos em Frequência ou ciclos por
segundo (hertz). O total de dados que pode ser transmitido dentro
destas frequências é chamado de largura de banda. A largura de banda
é o total de dados em bits por segundo (bps) que um canal serial pode
transmitir.

******ebook converter
DEMO
Watermarks*******
 O tipo de conector WAN dependerá do serviço fornecido ou dos
requisitos do dispositivo final. Os roteadores Cisco utilizam um
conector proprietário de 60 pinos, que podem ser comprados da
própria Cisco, ou adquiridos com um revendedor autorizado.
Alguns roteadores Cisco vêm apenas com uma porta WAN, mas boa
parte vem com slot de expansão, o que permite a ligação de outras
portas. Veja, na Figura 10.13, o exemplo do roteador Cisco da série
ISR 4000.

Figura 10.13 – Vista traseira de um roteador Cisco ISR 4461 com suas diversas
interfaces e slots de expansão.
A interface WAN especificada pelo EIA é a RS-232, que é um
padrão para interface física, a qual define toda conexão mecânica e
elétrica para transmissão serial de dados. O conector usado nesta
interface é o DB-25. Outra interface que está em uso, principalmente
em redes de alta velocidade, é a V.35.

Figura 10.14 – Exemplo de um adaptador RS-232.

Na porta serial RS-232, um pino é usado para transmitir dados e
outro para receber dados. Os pinos remanescentes são usados para
estabelecer e manter a comunicação entre dois dispositivos seriais,
tanto no DB-25 (database 25) quanto no DB-9. O tipo de cabo usado
precisa ser configurado de forma que cada fio possa transmitir e
receber os tipos de informações que estão preparados para receber.

******ebook converter
DEMO
Watermarks*******
 Já a interface V.35 foi criada pela ITU-TSS (International
Telecommunication Union / Telecommunication Standardization
Sector), que na realidade criou todo o padrão V.x. O padrão V.35 foi
concebido para redes de pacotes com velocidades de 1200bps a
4Mbps.

Figura 10.15 – Ligação comum entre roteador e modem.

Note que o roteador, considerado como padrão um dispositivo DTE,
tem um conector V.35 macho, ao passo que o modem vem com uma
interface V.35 fêmea.
A visão geral de interfaces não se limita aos tipos aqui apresentados.
A cada mudança tecnológica e à medida que as redes vão se
atualizando, outras conexões e tipos físicos aparecem e os fabricantes
correm para adaptar seus produtos, vide exemplo da facilidade de se
ter fibra óptica nas residências hoje em dia. Mas certamente o caro
leitor deverá se deparar com redes legadas ao longo da carreira e,
portanto, se lembrará das informações apresentadas por este livro.

******ebook converter
DEMO
Watermarks*******
 11 - Roteamento IP

Introdução
Podemos definir roteamento como um sistema que tem como finalidade
encaminhar dados de uma localização para outra. O tráfego gerado em um
ambiente de rede precisa ser levado de uma origem para um destino e, em
alguns casos, esta origem e destino não estão diretamente ligados ou
conectados ao mesmo barramento físico e necessita de um elemento
intermediário na rede que encaminhe os dados física e logicamente entre os
segmentos.
Existem dois processos básicos em uma comunicação: um é o roteamento
e o outro é a comutação (switching). A diferença entre estes dois modos de
encaminhamento é que o roteamento, para acontecer, precisa ter uma visão
topológica da rede para traçar a rota usando múltiplos caminhos. Já a
comutação precisa apenas se preocupar em encaminhar quadros de entrada
por uma interface de saída. Esta última está em um nível hierárquico menor,
ou seja, em uma camada abaixo do modo de roteamento, ou camada 2, já
visto nos capítulos sobre Ethernet e LAN.
Porém o roteador não é uma caixa mágica que, ao ser colocada na rede,
vai resolver todos os problemas de encaminhamento de pacotes entre as
redes. Para que o roteador seja um elemento que intervenha nesta
comunicação, é necessário que sejam considerados três fatores básicos,
ilustrados na Figura 11.1:

O protocolo usado para comunicação entre origem e destino precisa

ser conhecido para o roteador.

De acordo com o protocolo usado, é necessário que exista uma tabela

de roteamento para se ter o mapeamento de onde o pacote vem e para
onde ele vai.

******ebook converter
DEMO
Watermarks*******
 É necessário que se tenha configurado nesta tabela para qual
interface o pacote deve ser encaminhado para que ele possa chegar
ao destino.

Figura 11.1 – Fatores básicos para roteamento.

Como já foi dito, o roteador é um equipamento que trabalha na
camada 3 do modelo OSI e, dessa forma, ele entende toda a topologia
lógica da rede. Nesta camada serão adicionados os endereços lógicos
(endereçamento IP) de origem e destino; esta porção do pacote é usada
pelo roteador para saber para onde encaminhá-lo. Um conceito muito
importante e que causa confusão entre os estudantes é a diferença entre
protocolo de roteamento e protocolo roteado.

Protocolo de Roteamento x Protocolo

Roteado
Podemos definir um protocolo roteado como um protocolo de rede
que fornece informações da camada de rede, de modo que possibilite a
um pacote o encaminhamento de um host para outro, com base no
endereçamento dessa camada (camada 3 do Modelo OSI). Esses
protocolos são responsáveis por definir os formatos dos campos dentro
de um pacote. O Internet Protocol (IP) propriamente dito é o exemplo
de protocolo roteado mais usado atualmente.
Já os protocolos de roteamento auxiliam um protocolo roteado
fornecendo mecanismos que possibilitam o compartilhamento das
informações de rotas. Esses protocolos de roteamento permitem aos
roteadores se comunicarem com outros roteadores para atualizar e
manter as tabelas de rotas de maneira automática. Como exemplos de

******ebook converter
DEMO
Watermarks*******
 protocolos de roteamento podemos mencionar:

EIGRP (Enhanced Interior Gateway Routing Protocol).

OSPF (Open Shortest Path First).

BGP (Border Gateway Protocol).

O nosso estudo terá como base OSPF, principalmente, e BGP,
embora haja outros disponíveis e frequentemente usados em
provedores de comunicação. O BGP, especificamente, não faz parte
do exame CCNA atual, mas é abordado nos demais níveis de
certificação Cisco, como no Professional ou Expert. Adicionalmente, o
BGP é o protocolo da Internet e nós, como autores, entendemos a
importância de manter em nosso material esses conceitos, dada sua
relevância para o profissional de Redes, ainda que seja uma pequena
parcela do vasto conteúdo que existe sobre BGP.
Para compreender os protocolos de roteamento, é fundamental
detalhar o conceito de tabelas de roteamento.

A Tabela de Roteamento
A tabela de roteamento é um elemento cada dia mais presente na
nossa realidade. Até mesmo estações de trabalho têm sua própria
tabela de roteamento. Podemos ver esta tabela de roteamento inclusive
em uma estação com o Windows instalado. Para isto, basta que seja
executado o comando route print ou netstat -rn no prompt de
comando. No macOS ou Linux, o comando para mostrar a tabela de
roteamento também é netstat -rn. O resultado no Windows será
semelhante ao mostrado na Figura 11.2.

******ebook converter
DEMO
Watermarks*******
 Figura 11.2 – Resultado parcial do comando “route print” no Windows.
Como você pode notar, as informações necessárias para que a
operação de roteamento ocorra estão todas incluídas nesta tabela de
roteamento. Basta ver cada entrada (linha) da tabela e você terá os
elementos que auxiliam no encaminhamento do pacote entre origem e
destino.
Assim como as estações de trabalho, os roteadores também têm essa
tabela de roteamento. Vejamos o resultado do comando show ip route
em um roteador Cisco.
Roteador# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M -
mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter
area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type
2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * -
candidate default
U - per-user static route, o - ODR
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
10.1.0.0/24 is subnetted, 2 subnets
B 10.1.10.0 [20/0] via 172.16.11.2, 00:11:54, Serial1
172.16.0.0/24 is subnetted, 3 subnets
C 172.16.15.0 is directly connected, Ethernet0
C 172.16.111.0 is directly connected, Loopback0
C 172.16.11.0 is directly connected, Serial0
S* 0.0.0.0/0 is directly connected, Serial0

Observe atentamente a parte final do resultado do comando. Aqui

temos a tabela de roteamento com alguns elementos que podem ser
equiparados aos componentes existentes no resultado do comando

******ebook converter
DEMO
Watermarks*******
 route print do Microsoft Windows. Vejamos, então, quais
componentes são estes e quais são exclusivos de um roteador:
COMPONENT DESCRIÇÃO
E DA TABELA
B Como o roteador aprendeu esta rota, neste caso via protocolo BGP
(Note que para cada protocolo de roteamento existe um código
correspondente)
10.1.10.0 Rede de destino
[20 Distância administrativa
/0] Métrica
via 172.16.11.2 Próximo salto lógico ou simplesmente próximo roteador
00:11:54 Tempo em que foi feita a entrada na tabela (hora:minuto:segundo)
Serial1 Interface da qual o roteador aprendeu a rota e da qual o pacote irá
sair
Nesta tabela todas as informações são importantes, porém uma em particular merece maior
atenção: trata-se da distância administrativa.

Distância Administrativa
Como já falamos, o processo de roteamento é responsável por
selecionar o melhor caminho para um determinado destino. Pode haver
situações em que existam múltiplos caminhos para o mesmo destino. A
métrica é usada pelos protocolos de roteamento para formar um valor a
ser usado como parâmetro de escolha de um melhor caminho para se
chegar a um destino, sendo menor a métrica, melhor a rota. As
características das métricas serão detalhadas nesse capítulo.
Porém, mesmo havendo a métrica para fazer esta diferenciação, é
possível que tenhamos um cenário de empate entre dois caminhos e
para resolver isso entra em cena a distância administrativa. Ela é usada
para diferenciar os tipos de rotas existentes na tabela; com isso, se dois
protocolos de roteamento formarem suas métricas e a mesma der
empate, a distância administrativa de menor valor terá prioridade na
escolha.
Desta forma, de acordo com o tipo de entrada na tabela, ou melhor, a
especificação do tipo (se estático ou dinâmico, se OSPF, BGP, etc.),
será atribuído um valor à rota. O processo de roteamento está
previamente configurado para utilizar o menor valor quando compara
este parâmetro entre as rotas. Logicamente, o valor da distância

******ebook converter
DEMO
Watermarks*******
 administrativa é uma variável do tipo inteiro, que pode estar dentro do
intervalo de 0 a 255. Vejamos exatamente qual a distância
administrativa dos principais protocolos de roteamento dentro do IOS
Cisco (outros fabricantes podem dar valores distintos):
TIPO DE ROTA VALOR
ATRIBUÍDO
Interface diretamente 0
conectada
Rota estática 1
Sumário do EIGRP 5
BGP Externo 20
EIGRP Interno 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
EGP 140
EIGRP Externo 170
BGP Interno 200
Rota desconhecida 255
A Figura 11.3 apresenta um exemplo desse processo de tomada de
decisão do melhor caminho para um destino, que aqui chamamos de
Rede F. O roteador enxerga caminhos possíveis para a Rede F e entre
dois caminhos de menor número de saltos, no desempate, elege aquele
com menor distância administrativa.

******ebook converter
DEMO
Watermarks*******
 Figura 11.3 – Processo de escolha do melhor caminho.
Como vimos, é possível visualizar as informações de roteamento
através do comando show ip route. Porém, se as informações contidas
na tabela por algum motivo parecerem desatualizadas, você poderá
limpar estas configurações usando o comando clear ip route. Este
comando pode ser executado com o parâmetro * para excluir todas as
rotas ou especificando a rede que se deseja que seja excluída da
configuração.

Métricas de Roteamento
O processo de roteamento, além de encaminhar os pacotes entre
redes, é responsável também por manter a topologia da rede livre de
qualquer tipo de “loop” e de escolher a melhor rota para o destino.
Vimos que a distância administrativa é um fator importante na escolha
deste destino, mas não é só ela que faz esta tarefa. Além da métrica,
existem outros fatores que podem trabalhar em conjunto com ela para
que o roteador possa determinar o melhor caminho:

Contagem de saltos (Hop Count): por quantos roteadores o

pacote passa antes de chegar ao destino.

Largura de Banda (Bandwidth): baseado na largura de banda

do link, ou seja, a maior largura de banda entre dois pontos será
escolhida como o melhor caminho.

Carga (Load): às vezes um caminho é mais próximo na

contagem de saltos, e até tem uma maior largura de banda,
porém a carga existente neste link faz com que ele não seja
otimizado para uso na comunicação entre dois pontos. O
caminho com menor carga será escolhido como preferencial.
Isto é muito simples ao fazer analogia com o trânsito de veículos
entre dois locais. Às vezes, o percurso entre duas localidades
por uma via expressa movimentada é mais demorado do que
outra via de percurso mais longo, mas com pouco trânsito. A via
expressa é mais curta, mas quando está congestionada acaba
sendo a pior escolha, por isso a recomendação pode ser um

******ebook converter
DEMO
Watermarks*******
 caminho mais longo, mas de velocidade constante. Pense nisso
antes de traçar seu caminho para o trabalho, por exemplo.

Figura 11.4 – Métrica total.

Confiabilidade (Reliability): este método

baseia-se na confiabilidade do link, ou seja, o
seu histórico de disponibilidade. Se este é um
caminho confiável, que está em boas
condições de fluxo, sem erros ou quedas,
então ele será escolhido como preferencial.

Custo (Cost): o administrador, por sua vez,

tem como forçar a ida do pacote por um
caminho específico. Para isso, basta que ele
configure um custo menor na rota que deseja
usar como preferencial.

Tempo de Demora (Delay): o tempo que o

******ebook converter
DEMO
Watermarks*******
 pacote leva para se mover entre a origem e o
destino.

Métrica composta: usa os diversos

parâmetros citados acima para formar uma
métrica ideal.
A métrica final é baseada no total de métricas
que são definidas em cada roteador por onde o
pacote passa para chegar ao destino. O menor
total para chegar ao destino é usado para
encaminhar o pacote, conforme exemplo da
Figura 11.4.

Tipos de Roteamento
Os tipos de roteamento podem ser
categorizados como:

Roteamento Estático.

Roteamento Dinâmico.
Roteamento Estático
No roteamento estático existe uma entrada na
tabela inserida manualmente, sendo o método
******ebook converter
DEMO
Watermarks*******
 preferencial para um ambiente estável, no qual há
poucas modificações na tabela de roteamento.
Neste tipo de roteamento, a utilização da CPU do
processador é pequena, devido ao fato de não ser
necessário fazer muitos cálculos para se chegar a
um destino ou para atualizar esta tabela, pois se
trata de uma configuração manual. Dessa forma,
somente as rotas desejáveis serão aprendidas
pelos roteadores, o que torna o ambiente mais
seguro. Porém, a manutenção desta tabela para
grandes redes fica efetivamente inviável, se
considerarmos um grande volume de rotas a
serem controladas e configuradas a cada mudança
exigida.
Outro aspecto relevante é que o roteamento
estático pode ser implementado em qualquer tipo
de roteador; isso é importante frisar, já que alguns
protocolos de roteamento dinâmico não são
suportados por determinados modelos de
roteadores.
Cenário de Roteamento Estático
A Figura 11.5 apresenta um cenário com cinco
roteadores, modelos Cisco 2811, que permite
ilustrar melhor o tópico de roteamento estático.

******ebook converter
DEMO
Watermarks*******
 Embora preferível a implementação de
roteamento dinâmico, que será apresentado logo
na sequência, o roteamento estático às vezes se
faz mais necessário, quando se exige forçar uma
rota com métrica melhor. Na linha de
preferências, a rota estática é a segunda, depois da
rota diretamente conectada, como vimos há
pouco. Ainda que seja possível ajustar as métricas
a partir de Route-Maps, recurso muito usado no
ajuste fino em roteamento dinâmico, o esforço
administrativo é menor se programamos uma rota
estática, bastando uma linha de comando.
Contudo, se houver muita customização ou a rede
for muito ampla, essa alternativa não é
recomendada e, assim, o roteamento dinâmico é
inevitável.

Figura 11.5 – Cenário de implementação.

******ebook converter
DEMO
Watermarks*******
 Note que cada roteador já está com seus devidos endereços de rede
(IP) em cada uma das suas interfaces (que dependendo do modelo
pode ser Serial0/0 ou Serial0/0/0 e assim por diante). Só isso já faz
com que os roteadores tenham a capacidade de ter suas devidas rotas,
que são as chamadas rotas diretamente conectadas, cujo próximo salto,
neste caso, são os próprios IPs das interfaces locais. Estas rotas são
visíveis quando a porta do roteador percebe o link ativo, ou seja, se
você cadastrar os endereços, porém não colocar o cabo na interface do
roteador e ele não detectar a portadora, as rotas não estarão visíveis.
Vejamos, no caso do roteador B, quais seriam as rotas existentes:
MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
REDE
A SAÍDA SALTO A
192.168.3. /24 Ethernet 0 192.168.3.1 0
0
10.10.10.0 /24 Serial 0/2 10.10.10.2 0
10.20.20.0 /24 Serial 2/1 10.20.20.1 0
10.30.30.0 /24 Serial 1/1 10.30.30.1 0
Mesmo não tendo preenchido nenhuma informação sobre roteamento, o roteador já cadastra
as rotas diretamente conectadas, ou seja, as rotas que levam para suas interfaces. Vejamos
agora como fica no roteador C:

REDE MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC

A SAÍDA SALTO A
192.168.4. /24 Ethernet 0 192.168.3.1 0
0
10.30.30.0 /24 Serial 0/2 10.30.30.2 0
10.50.50.0 /24 Serial 1/2 10.50.50.2 0
Para treinar, faça a tabela com as rotas para as interfaces diretamente
conectadas dos roteadores A, D e E.
Agora que já temos os roteadores com os devidos endereços
preenchidos, veremos como fazer o cadastro de roteamento estático.
Comecemos pelo roteador C. Antes de fazer qualquer intervenção via
linha de comando, é importante ter em mente exatamente o que se
precisa fazer, e neste caso é preciso responder aos seguintes
questionamentos:

Para onde se deseja ir? O pacote precisa chegar aonde?

******ebook converter
DEMO
Watermarks*******
 Para ir a este local, qual o caminho mais próximo?

Indo por este caminho, qual será meu primeiro salto para chegar
até o destino?
São questionamentos simples, seguindo o raciocínio de uma pessoa
que deseja ir a um lugar e está traçando uma rota para chegar nele.
Então vamos tentar responder estes questionamentos para o roteador
C, como ponto de origem, partindo do pressuposto de que o destino
desejado será o roteador A:

Para onde se deseja ir? O pacote precisa chegar aonde?

R: O pacote precisa chegar na LAN do roteador A, ou seja, na
rede 192.168.5.0/24.

Para ir para este local, qual o caminho mais próximo?

R: Indo diretamente para o roteador B.

Indo por este caminho, qual será meu primeiro salto para
chegar até o destino?
R: A WAN do Roteador B, que está ligada com o roteador C.
Feitos os questionamentos para compor a primeira entrada na tabela
de roteamento do roteador C, vejamos como fica então:
REDE MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
A SAÍDA SALTO A
192.168.4. /24 Ethernet 0 192.168.4.1 0
0
10.30.30.0 /24 Serial 0/2 10.30.30.2 0
10.50.50.0 /24 Serial 1/2 10.50.50.2 0
192.168.5. /24 Serial 0/2 10.30.30.1 1
0
Para a rede 10.30.30.0/24 o próximo salto é na verdade a própria
interface local (10.30.30.2), como comentamos. Já na última linha,
observe que foi incluída uma entrada para a rede 192.168.5.0/24 com
próximo salto via IP 10.30.30.1, no roteador B. E essa rota tem uma

******ebook converter
DEMO
Watermarks*******
 métrica diferente; isto acontece porque foi uma entrada estática e
manual adicionada à tabela. Automaticamente a métrica é configurada
como 1, como visto no início deste capítulo. Agora vamos cadastrar
todas as outras rotas para se chegar aos devidos destinos e vejamos
como ficará a tabela do roteador C:
REDE MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
A SAÍDA SALTO A
192.168.4. /24 Ethernet 0 192.168.4.1 0
0
10.30.30.0 /24 Serial 0/2 10.30.30.2 0
10.50.50.0 /24 Serial 1/2 10.50.50.2 0
192.168.3. /24 Serial 0/2 10.30.30.1 1
0
192.168.5. /24 Serial 0/2 10.30.30.1 1
0
192.168.2. /24 Serial 1/2 10.50.50.1 1
0
192.168.1. /24 Serial 1/2 10.50.50.1 1
0
Neste momento é importante ficar atento ao seguinte fator: para se
chegar ao roteador D, estando no roteador C, temos dois caminhos.
Como estamos tratando de um roteamento estático, ficou a nosso
critério encaminhar o pacote para o roteador E para depois chegar ao
D; tínhamos outra opção que era encaminhar para o roteador B, para
ele encaminhar para o D.
Caso estivéssemos utilizando um protocolo de roteamento dinâmico,
ele iria levar em consideração uma série de fatores antes de dizer qual
o melhor caminho.
Porém, o que podemos fazer para criar uma redundância contra
falhas no ambiente é cadastrar uma outra rota para o mesmo destino
com uma métrica maior, de valor 2 por exemplo. Com isso, essa rota
só será utilizada caso a rota primária, de valor 1, esteja indisponível.
Vejamos como fica a tabela de C após a inclusão desta rota alternativa:
REDE MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
A SAÍDA SALTO A
192.168.4. /24 Ethernet 0 192.168.4.1 0
0

******ebook converter
DEMO
Watermarks*******
 10.30.30.0 /24 Serial 0/2 10.30.30.2 0
10.50.50.0 /24 Serial 1/2 10.50.50.2 0
192.168.3. /24 Serial 0/2 10.30.30.1 1
0
192.168.5. /24 Serial 0/2 10.30.30.1 1
0
192.168.2. /24 Serial 1/2 10.50.50.1 1
0
192.168.1. /24 Serial 1/2 10.50.50.1 1
0
192.168.1. /24 Serial 0/2 10.30.30.1 2
0
Para praticar, crie as tabelas dos roteadores B, D e E. Para o roteador
A será mais simples, pois devido a ele ter apenas uma interface de
saída, basta termos uma rota, além das criadas automaticamente, que
seria a última linha da tabela seguinte:
REDE MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
A SAÍDA SALTO A
192.168.5. /24 Ethernet 0 192.168.5.1 0
0
10.10.10.0 /24 Serial 0/1 10.10.10.1 0
0.0.0.0 /0 Serial 0/1 10.10.10.2 1
Esta entrada 0.0.0.0/0 é a chamada rota ou gateway padrão (rota
default ou default gateway), que deve ser usada sempre em cenário
onde o roteador não tem opção de entrega para múltiplos caminhos;
note que o único caminho de saída para qualquer rede será sempre
através do roteador B.
Implementando Roteamento Estático
Para fazer a implementação do roteamento estático basta usar o
comando ip route. Vejamos como ficaria a configuração da rota
default no roteador A:
RoteadorA> enable
RoteadorA#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RoteadorA(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.2

A sintaxe completa do comando é ip route <prefixo_destino>

<máscara_completa_do_destino> <próximo_salto>. Outro
exemplo: configurar o Roteador C para alcançar a rede 192.168.5.0/24:
******ebook converter
DEMO
Watermarks*******
 RoteadorC> enable
RoteadorC#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RoteadorC(config)# ip route 192.168.5.0 255.255.255.0
10.30.30.1

É possível também indicar uma interface como next-hop ou

modificar a distância administrativa de uma rota a fim de torná-la um
caminho pior que outro. Por padrão, as rotas estáticas têm distância
administrativa igual a 1, como vimos anteriormente. No caso de
mesma rota com caminhos diferentes, podemos atribuir pesos,
forçando o roteador tomar um caminho específico. Esse modo é
conhecido como floating static route. Vejamos as duas
implementações:
RoteadorC(config)# ip route 192.168.5.0 255.255.255.0
Serial1/2
RoteadorC(config)# ip route 192.168.5.0 255.255.255.0
10.30.30.1 150

Na primeira linha temos uma rota estática apontando a serial1/2

como interface de saída. Na segunda linha, temos a rota estática
floating com distância administrativa forçada de 150. Podemos usar
uma ou outra ou até ambas, se o intuito for criar um caminho backup
(segunda linha de comando) para quando o caminho principal
(indicado na primeira linha) estiver indisponível. Isso também vale
para IPv6, cujas sintaxes de roteamento estático virão a seguir.
Podemos verificar como ficaram as rotas através do já conhecido
comando show ip route.
RoteadorA# show ip route
Gateway of last resort is 10.10.10.2 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 10.10.10.2
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
S 10.0.12.0/24 [1/0] via 172.16.12.2
C 10.10.10.0/24 is directly connected, FastEthernet0/1
L 10.10.10.1/32 is directly connected, FastEthernet0/1
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.16.12.0/24 is directly connected, FastEthernet0/0
L 172.16.12.1/32 is directly connected, FastEthernet0/0

Embora não fizemos uma tabela de IPv6, o roteamento estático

utiliza uma sintaxe similar, adequada a esse protocolo:
Roteador(config)#ipv6 route 2001:abc:de::/64 2001:ADB0::2

******ebook converter
DEMO
Watermarks*******
 Assim como em IPv4, podemos criar uma rota IPv6 apontando para
a interface, ao invés do endereço como next-hop:
Roteador(config)#ipv6 route 2001:abc:de::/64 FastEthernet0/0

E como o IPv6 tem o conceito de Link Local, também podemos

referenciá-lo em uma rota estática:
Roteador(config)#ipv6 route 2001:abc:de::/64 FastEthernet0/0
2001:DB8:3C4D:1:A8BB:CCFF:FE00:601

Neste último exemplo, declara-se a interface de saída e o IPv6 Link

Local do vizinho. Por fim, para criar uma rota default em IPv6, temos:
Roteador(config)#ipv6 route ::/0 2001:ADB0::2

Igualmente, é possível usar um Link Local ou interface de saída

como next-hop. Para verificar as rotas presentes na tabela IPv6, você já
deve supor o comando: show ipv6 route. Isso mesmo, basta declarar o
protocolo ipv6 no comando.
É importante frisar que, em uma rede, as rotas devem ser
configuradas em todos os elementos de rede que pertencem ao
caminho até o destino. Também, devem ser configuradas as rotas de
retorno, isto é, configurar as rotas a partir do roteador de destino para
a rede de origem. O pacote tem que ir e voltar. Se todas as redes
desconhecidas para determinado roteador não estiverem configuradas
fim a fim, o pacote pode se “perder”, ou seja, não alcançará a rede
desejada. No nosso cenário recém apresentado, todas as redes têm que
ter rotas em todos os roteadores, a menos que alguma rede deva ficar
inalcançável por alguma decisão administrativa, o que não é usual
ocorrer. Justamente por essa complexidade de configuração e
manutenção é que se opta pelo Roteamento Dinâmico em redes mais
complexas, como veremos a seguir.
Roteamento Dinâmico
O roteamento dinâmico usa um protocolo que é responsável pelo
preenchimento e manutenção da tabela de roteamento. O processo de
inserção de rotas nessa tabela funciona através da comunicação com
outros roteadores e escolha dos possíveis caminhos para se chegar a
um determinado destino.
Este processo é o inverso do estático em todos os aspectos, até

******ebook converter
DEMO
Watermarks*******
 mesmo quando se fala em ciclos de CPU usados durante o cálculo do
roteamento que, neste caso, é mais intenso. No processo de escolha
dos caminhos, o roteador vai verificar primeiramente a menor
distância administrativa que, como vimos, vai variar de acordo com o
protocolo de roteamento; se este valor for igual nas rotas para o
destino, então a métrica será consultada para determinar o melhor
caminho. Caso a métrica também seja a mesma, o roteador vai utilizar
os dois caminhos através de um processo chamado “balanceamento de
carga”. Este balanceamento de carga pode ser feito com até seis
caminhos. Dessa forma, são alcançadas outras redes por meio da troca
de informações com outros roteadores, definindo como encaminhar os
pacotes de uma rede para outra.
Existem dois tipos macro de protocolos dinâmicos de roteamento
usados nas redes, que são:

Protocolo de Gateway Interno ou IGP (Interior Gateway

Protocol).

Protocolo de Gateway Externo ou EGP (Exterior Gateway

Protocol).
A definição e o método de utilização de cada um deles são muito
simples. O IGP é usado para comunicação entre roteadores do mesmo
sistema autônomo. Por sua vez, o EGP é usado para comunicação entre
sistemas autônomos diferentes.

******ebook converter
DEMO
Watermarks*******
 Figura 11.6 – IGP x EGP.
Sistemas Autônomos (AS)
Podemos definir sistema autônomo ou AS (Autonomous System)
como uma coleção de redes dentro de um mesmo domínio
administrativo em comum que está debaixo da mesma política de rede
e com as mesmas características de roteamento. Se analisarmos dessa
forma, podemos entender que a Internet é um conjunto de vários
sistemas autônomos.
Algoritmos de Roteamento
Podemos definir algoritmo como uma instrução detalhada para
executar uma operação. Em redes de computadores, um algoritmo de
roteamento pode ser entendido como uma instrução para a operação do
protocolo de roteamento. Dessa forma, o algoritmo é responsável por
decidir em qual linha de saída o protocolo será transmitido.
Os protocolos de roteamento utilizam basicamente três tipos
distintos de algoritmos de roteamento, que são:

Vetor de Distância: utilizado pelo RIPv1, RIPv2, RIPng e

IGRP.

Estado de Link: utilizado pelo OSPFv2 e OSPFv3.

Híbrido Balanceado: utilizado pelo IS-IS, EIGRP e EIGRPv6.

Os algoritmos trabalham com o conceito de classes de roteamento,
que são chamadas de Classe Cheia (classful) e Sem Classe (classless) e
são muito importantes para compreender o funcionamento dos
algoritmos. Dessa forma, explicaremos o conceito das classes e
posteriormente detalharemos os tipos de algoritmos.
Roteamento com Classe (Classful Routing)
Alguns protocolos de roteamento baseados no algoritmo de vetor de
distância têm um problema relacionado à máscara de sub-rede.
Sabemos que existem máscaras de sub-rede de classe cheia (também
conhecido como endereços “com classe”, conforme vimos no capítulo

******ebook converter
DEMO
Watermarks*******
 sobre IPv4), exemplo: 255.255.255.0, classe C, e temos endereços com
a máscara quebrada ou variável (VLSM), que seria um Sem Classe
(ex.: 255.255.248.0). Note que no primeiro exemplo o terceiro octeto
está completo, e no segundo exemplo sobram alguns endereços, o que
se entende por “máscara quebrada”. Alguns destes protocolos que
usam o vetor de distância não conseguem repassar informações
relacionadas à máscara de sub-rede durante a rotina periódica de
atualização das rotas.
Com esta deficiência caímos no problema que reflete em ter que
utilizar a mesma máscara em todos os segmentos da rede. Como a
máscara não é enviada, é necessário que o protocolo de roteamento use
a padronização de classes A, B e C.
Desta forma quando um roteador, que está rodando um protocolo
como o RIPv1, recebe uma atualização de roteamento, ele vai cumprir
a seguinte lógica:
Se (identificador de rede da informação de roteamento
recebida) = (identificador de rede da interface a qual recebeu
a informação)
Então
Aplique a mesma máscara usada na interface recebida
Se não
Aplique a máscara baseada na classe do endereço recebido
Fim
Fim

O recurso de sumarização não está disponível para protocolos de roteamento classe

cheia, dado que a máscara em si já aponta o prefixo mais resumido, isto é, se for de
classe B, fica com /16 e nada menos.

******ebook converter
DEMO
Watermarks*******
 Figura 11.7 – Processo de identificação da máscara em uma rede classe cheia.
Baseado no que vimos, na Figura 11.8 resumimos as características
deste tipo de roteamento com os seguintes pontos-chave:

Há desperdício de endereços IP.

Falta de escalabilidade.

Tabelas de roteamento maior.

Figura 11.8 – Uso do roteamento com classe cheia (classfull

routing).
Portanto, remete-se aos primórdios cujo uso de
máscaras com classe cheia era um problema
inerente para a usabilidade dos endereços IP.
Roteamento Sem Classe (Classless
Routing)
O roteamento Sem Classe (conhecido como
Classless Routing) é considerado a melhor forma
de se trabalhar nos dias de hoje, quando falamos
em roteamento. Neste modelo, a troca de
informações inclui a máscara de sub-rede. Com
isso, tudo que era desvantagem na classe cheia
******ebook converter
DEMO
Watermarks*******
 passa a ser vantagem aqui, inclusive com suporte
à sumarização que, por sua vez, diminui o
tamanho da tabela de roteamento, possibilita
escalabilidade da rede e otimiza o uso da CPU do
roteador.
Este tipo de classe de roteamento tem uma ideia
lógica a qual se aplica à realidade prática das
redes, ou seja, nem todas as redes têm a mesma
máscara. Com o uso dessas máscaras diferentes,
temos a máscara de sub-rede de tamanho variado
ou VLSM (Variable-Lenght Subnet Masking) já
estudado.
Esta funcionalidade é típica de protocolos
baseados em estado do link e híbrido balanceado,
como OSPF, BGP e EIGRP. Apesar de o RIPv2 e
RIPng serem protocolos baseado em vetor de
distância, eles suportam o formato Sem Classe.
Esta é uma funcionalidade que o RIPv1 não
suporta. Vejamos outros ganhos deste tipo de
roteamento:

Menor uso da largura de banda.

As atualizações só são enviadas quando há

******ebook converter
DEMO
Watermarks*******
 mudanças na rede.

Maior escalabilidade.

Convergência mais rápida.

Melhor utilização dos recursos do roteador.

Agora com o entendimento dos conceitos de
Classe Cheia e Sem Classe, podemos detalhar os
três tipos de algoritmos de roteamento nos tópicos
seguintes.
Algoritmo Baseado em Vetor de Distância
(Distance Vector)
Os protocolos que utilizam algoritmos baseados
em vetor de distância são geralmente utilizados
em pequenas e médias implementações de rede.
Devido às limitações decorrentes do uso de classe
cheia, estes protocolos podem ser considerados
não escalonáveis, com exceção do RIPv2 e RIPng
que podem fazer uso das funcionalidades do
roteamento de Sem Classe.
Mesmo a rede estando estável, os protocolos
baseados em vetor de distância enviam
******ebook converter
DEMO
Watermarks*******
 atualizações periódicas e contínuas para todas as
interfaces ativas na rede por meio de broadcast,
sendo que nestas atualizações toda a tabela de
roteamento é enviada e não somente a mudança
específica na tabela.
Esta atualização periódica acontece quando um
determinado tempo específico expira. Neste
processo, após um roteador receber estas
atualizações de tabela de roteamento, ele atualiza
as entradas da sua própria tabela e em seguida
envia a tabela com as novas modificações.
Métrica para Vetor de Distância
O algoritmo por trás do vetor de distância
utilizado pelo RIP é denominado Bellman Ford,
responsável, entre outras, coisas pelo cálculo da
métrica. Esta métrica é baseada na quantidade de
roteadores por onde o pacote vai passar;
chamamos isso de número de saltos (hops).
Levar em consideração somente o número de
saltos não é uma métrica que reflete a realidade
do acesso à rede de destino. Isso se dá porque em
determinadas situações a largura de banda é algo
que influencia muito o acesso, entretanto
protocolos baseados em vetor de distância não
******ebook converter
DEMO
Watermarks*******
 consideram a largura de banda como um
parâmetro para elaboração da métrica, o que pode
causar um grande problema de tráfego na rede.
Loops de Roteamento
Em TI usa-se a expressão loop para definir
quando um determinado aplicativo entrou em um
ciclo sem fim, onde ele sempre volta a um
determinado lugar e recomeça daquele mesmo
ponto. De certa forma, o loop é uma confusão que
pode trazer muitos transtornos. Em uma rede
utiliza-se a expressão “loop de roteamento”
quando as rotas entram em um ciclo sem fim, o
que causa uma confusão generalizada na rede.
Imagine uma rede com 5 roteadores, em que as
informações são enviadas pelo Roteador-1
passando por todos até chegar no Roteador-5,
posteriormente ela volta ao Roteador-1, que faz o
ciclo novamente, e continua fazendo em
sequência. O problema pode se agravar ainda
mais, dependendo da complexidade do ambiente e
do tamanho da rede.
Esse é um dos grandes problemas do Vetor de
Distância, pois ele faz a propagação de todas as
alterações ocorridas na rede por meio de

******ebook converter
DEMO
Watermarks*******
 broadcast periódico. Ou seja, ele avisa a todas as
máquinas da rede sobre as mudanças em
intervalos de tempo, o que consome
excessivamente largura de banda e utiliza um
nível muito alto de processamento dos roteadores.
Se adicionarmos uma convergência demorada
nesse cenário, como ocorre com o protocolo RIP,
temos os ingredientes necessários que podem
ocasionar um loop de roteamento.
Dessa forma, são utilizados alguns mecanismos
para mitigar o problema, que são:

Maximum Hop Count: Essa técnica

consiste em definir uma contagem máxima
de saltos para que o pacote não fique
contando até o infinito. Dessa forma, a
técnica evita os loops de roteamento ao
definir o número máximo de saltos que o
pacote poderá percorrer. Como exemplo,
pode-se mencionar o RIP que utiliza a
contagem de saltos até 15. Se a contagem
exceder a isso, no caso 16 ou mais, o
roteador entende que é inalcançável,
limitando o percurso desse pacote.

******ebook converter
DEMO
Watermarks*******
 Split Horizon: Basicamente consiste numa
regra em que o Roteador nunca envia de
volta a informação na direção em que ele
recebeu a atualização. Na prática, não
permite que o Roteador-2 envie atualização
da tabela de roteamento que foi recebida do
Roteador-1 de volta para o próprio Roteador-
1.

Route Poisoning: O Route Poisoning

(envenenamento de rotas) é uma técnica do
Vetor de Distância que trabalha como uma
proteção. Ou seja, quando ocorre um alerta
de que uma rota não é mais válida, a rota é
anunciada com uma métrica infinita,
significando que a rota é ruim, ou a rota está
“envenenada”. Por exemplo, no RIP, uma
métrica de 16 é usada para significar que é
infinita. O route poisoning é utilizado junto
com hold-downs.

Hold-down: O Hold-down é um
temporizador que estipula um tempo durante
o qual o roteador não aceita atualizações de
******ebook converter
DEMO
Watermarks*******
 seus vizinhos sobre uma métrica. Porém,
durante esse processo o roteador continua a
anunciar esta rota para os vizinhos.
Algoritmo Baseado em Estado do Link (Link
State)
Os protocolos baseados em estado do link são,
ao contrário dos baseados em vetor de distância,
extremamente escalonáveis. Para começar a lista
de vantagens, temos de imediato o fato de não
enviar atualizações periódicas para os vizinhos.
Este processo de roteamento envia uma
mensagem imediatamente ao identificar um
problema, sem ter que esperar que um
determinado tempo expire. Isto é chamado de
atualização incremental e contém somente
informações relevantes daquela alteração
ocorrida. Por sua vez, o roteador que a recebe
permanece em estado de escuta caso as mudanças
sugeridas já existam nele.
As atualizações só são enviadas quando ocorre
uma mudança na rede; então, são enviadas
Publicações do Estado do Link ou LSA (Link
State Advertisements) com as devidas mudanças.

******ebook converter
DEMO
Watermarks*******
 Cada dispositivo que recebe uma LSA efetua
uma cópia dela, faz a devida atualização
topológica da rede no seu banco de dados e
encaminha esta LSA para todos os seus vizinhos
através de pacotes multicast, como ilustrado na
Figura 11.9.
Como você pôde notar, os processos de
atualização dos protocolos baseados em estado do
link são bem menos onerosos para a rede como
um todo, em comparação ao vetor de distância. A
grande chave para o funcionamento ideal deste
tipo de implementação está no fato de que todos
os roteadores têm uma cópia da imagem da rede
guardada em um banco de dados no roteador.
Então, para cada roteador é fácil identificar onde
houve a modificação para atualizar somente
aquela entrada, baseado no LSA recebido.

******ebook converter
DEMO
Watermarks*******
 Figura 11.9 – Processo de envio da LSA.
A terminologia “Estado do Link” é devida ao
fato de que enviar informações sobre o link é
muito mais eficiente do que enviar informações
sobre rotas, tendo em vista que um link pode
afetar diversas rotas. Como todos os roteadores
têm uma cópia da imagem da rede, fica a cargo de
cada roteador analisar a modificação no link e
fazer os novos cálculos de rota. Porém fica fácil
identificar que neste caso o processador do
roteador será intensamente utilizado, mas em
compensação não haverá tanto uso da largura de
banda para fazer atualizações.
Métrica para Estado do Link
A métrica utilizada pelos protocolos baseados
em estado do link pode variar de acordo com o
protocolo ou até mesmo com implementações de
fabricantes. Por exemplo, a implementação do
OSPF na Cisco utiliza como métrica a largura de
banda e o tempo de espera como parâmetros para
compor o custo, que é o termo usado para
discriminar o tipo de métrica utilizado,
diferentemente dos protocolos baseados em vetor
de distância que utilizam a quantidade de saltos
(hops).
******ebook converter
DEMO
Watermarks*******
 Um maior detalhamento e exemplo desse
algoritmo será feito no tópico de OSPF, que é
exigido na prova do CCNA.
Algoritmo Híbrido Balanceado
Os algoritmos de roteamento classificados
nessa categoria possuem características de ambos
os algoritmos estudados anteriormente (Vetor de
Distância e Estado de Link). De fato, nesse
algoritmo é utilizado o vetor de distância com as
métricas para a escolha do melhor caminho, mas
com a diferença de utilizar alterações na topologia
para as atualizações de roteamento.
Ele também possui uma convergência rápida
que é uma característica do algoritmo de Estado
de Link, mas com a vantagem de utilizar menos
recursos de memória, processamento e largura de
banda.
Como exemplos de protocolos de roteamento
com algoritmo híbrido balanceado podemos citar
o EIGRP e o IS-IS.
Métrica para Híbrido Balanceado
O fato de ser um algoritmo híbrido faz com que
a métrica utilizada por esses protocolos possua
******ebook converter
DEMO
Watermarks*******
 diversas variações de acordo com o protocolo e
suas implementações. Se fizermos uma
comparação entre o IS-IS que é um protocolo não
proprietário e o EIGRP, que é um protocolo
proprietário da Cisco, iremos encontrar muitas
diferenças, principalmente na métrica, que no IS-
IS é pelo custo enquanto a do EIGRP é composta.

Convergência
As principais tarefas atribuídas ao processo de
roteamento são manter a rede totalmente livre de
possíveis loops e manter um único caminho para
possíveis destinos de uma rede lógica. Com a
utilização dos protocolos de roteamento, os
administradores têm uma carga menor na
manutenção destas tabelas de roteamento, já que
as tabelas são sincronizadas pelo protocolo em
uso. Quando estas tabelas estão devidamente
sincronizadas com rotas para todos os destinos
alcançáveis da rede, dizemos que a tabela foi
convergida.
Convergência é a atividade associada com o
processo de sincronização das tabelas após uma
mudança na rede ou, de forma mais prática,

******ebook converter
DEMO
Watermarks*******
 quando todos os roteadores possuem
conhecimento dos demais e as tabelas de
roteamento corretas. Anteriormente falamos que
quando ocorre modificação na rede é necessário
que o protocolo de roteamento em uso faça a
propagação destas modificações para seus
vizinhos. Desta forma, dependendo do protocolo
de roteamento, o tempo de convergência será
menor ou maior.
Para que o tempo de convergência seja
otimizado, é necessário analisar a forma com que
o protocolo de roteamento trata a detecção do link
com falha. Se fizermos uma analogia ao modelo
de referência OSI, teremos a conclusão de que
existem dois métodos de detecção de erro.
O primeiro seria quando a placa de rede falha,
assim teríamos um método baseado nas camadas
física e de enlace do modelo OSI. Neste método,
é necessário que sejam enviados três sinais
consecutivos de detecção do estado de vida do
componente (keepalive) e, caso não se receba
nenhuma mensagem de resposta, será considerado
que o link “caiu” (down). O segundo método é
baseado nas camadas 3 e 4 do modelo OSI;

******ebook converter
DEMO
Watermarks*******
 quando uma falha ocorre neste nível e três falhas
consecutivas de mensagem do tipo “Hello” são
detectadas, será considerado que o link “caiu”
(down). Veja ambos na Figura 11.10.
Existe mais um agravante no tempo de
convergência que é comum para todos os
protocolos de roteamento. Na realidade, este fator
é configurável de acordo com o protocolo de
roteamento, mas fato é que a rede não pode
convergir mais rápido que a duração do Tempo de
Espera de Queda ou Hold-Down Timer.
Este parâmetro é de simples explicação e
conceituação. Imagine uma grande rede com
diversos links WAN e LAN com diversas larguras
de banda, etc. Esse tipo de ambiente é muito
propício a falhas no link e que estas falhas
também sejam passageiras, pequenas quedas de
poucos segundos. Imagine propagar modificações
na rede a cada falha que ocorra a cada “n”
segundos. Seria um caos para o tráfego na rede,
pois ficaria propagando atualizações durante a
maior parte do tempo e teríamos um
congestionamento.

******ebook converter
DEMO
Watermarks*******
 Figura 11.10 – Possíveis detecções de falha.
Para evitar este tipo de problema que o hold-down timer foi criado e
podemos citar como exemplo o protocolo RIP que tem o tempo de
espera de queda em 180 segundos. Alguns protocolos ainda permitem
a customização (parametrização) do hold-down timer, isto é, ajustar o
tempo para cima ou para baixo do padrão do protocolo. Assim,
recomendamos considerar o tempo padrão e a sintaxe de cada
protocolo para tais mudanças.

Roteamento Entre VLANs

No capítulo 6 sobre switches e VLANs, foi mencionado a
segmentação da rede em domínios lógicos totalmente separados, o que
permitia compor LANs virtuais que não se comunicam entre si, a não
ser que haja o recurso de roteamento. Volte um pouco naquele capítulo
e observe novamente a topologia da Figura 6.2. Nela temos algumas
VLANs concentradas em um roteador. Como cada switch participa do
grupo de VLANs, elas precisam ser interligadas caso haja necessidade
de fluxo de tráfego entre elas.
Como visto, a ideia central das VLANs é segmentar o tráfego
deixando cada uma em um domínio de broadcast separado,
melhorando o desempenho da rede.
O administrador de rede segmenta os grupos de máquinas em cada
VLAN, mas há aplicações gerais que devem estar acessíveis a todas
elas, independente de qual VLAN pertença. Assim como naquela
Figura 6.2, o administrador une a estrutura através de roteador,
configurando uma interface ou subinterface do roteador em uma
VLAN específica e a interliga com as demais através de roteamento
camada 3 (IP).
Tomemos como exemplo os seguintes dados de endereçamento IP:

******ebook converter
DEMO
Watermarks*******
 VLAN 1: 10.10.1.0/24.

VLAN 2: 10.10.2.0/24.

VLAN 3: 10.10.3.0/24.
Cada subinterface do roteador terá um IP atrelado a cada segmento.
No roteador faremos a configuração da seguinte forma:
Roteador-2(config)#int fa1/0.1
Roteador-2(config-subif)#encapsulation dot1Q 1
Roteador-2(config-subif)#ip add 10.10.1.1 255.255.255.0
Roteador-2(config-subif)#exit
Roteador-2(config)#int fa1/0.2
Roteador-2(config-subif)#encapsulation dot1Q 2
Roteador-2(config-subif)#ip add 10.10.2.1 255.255.255.0
Roteador-2(config-subif)#int fa1/0.3
Roteador-2(config-subif)#encapsulation dot1Q 3
Roteador-2(config-subif)#ip add 10.10.3.1 255.255.255.0
Roteador-2#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES NVRAM up up
FastEthernet1/0 unassigned YES NVRAM up up
FastEthernet1/0.1 10.10.1.1 YES NVRAM up up
FastEthernet1/0.2 10.10.2.1 YES NVRAM up up
FastEthernet1/0.3 10.10.3.1 YES NVRAM up up

Observe que criamos três subinterfaces e aplicamos o comando

encapsulation dot1q X, onde “X” é o número da VLAN que
queremos associar. As subinterfaces têm o mesmo número das
VLANs, mas isso é mera coincidência que facilita a administração.
Nada impede que você crie a subinterface FastEthernet1/0.100 para a
VLAN 20, desde que dentro dela haja o comando de encapsulamento
correto para essa VLAN. Claro que as boas práticas de administração
de rede pedem que os números coincidam para que a gestão seja mais
simples e visual.
Esse roteamento usando apenas uma interface física com
subinterfaces é o que chamamos de Router On A Stick (ROAS).
Note, também, que criamos uma subinterface para a VLAN 1.
Entretanto, como visto anteriormente, essa VLAN é a padrão (default),
com fins de gerenciamento. Se colocarmos o IP direto na interface
******ebook converter
DEMO
Watermarks*******
 física, isto é, atribuído dentro da FastEthernet1/0, estaríamos dizendo
ao roteador que os pacotes não vêm marcados com a tag de VLAN.
Logo, corresponde automaticamente à VLAN 1.
Assim, tanto faz criar uma subinterface Fast1/0.1 ou simplesmente
colocar o IP na porta física 1/0, no nosso exemplo.
Outra observação é a forma de entrar em cada interface ou
subinterface. Logo após criar a subinterface 1/0.1, demos o comando
EXIT para voltar ao modo de configuração global para iniciar a
configuração da 1/0.2. Depois que criamos a segunda, entramos direto
com o comando:
Roteador-2(config-subif)#int fa1/0.3

Note que estamos dentro da sessão “subif”, indo direto para a outra
interface fa1/0.3. Isso é totalmente possível no IOS de switch ou
roteador e economiza tempo. Deve-se, apenas, ter cuidado para não se
perder quando estiver criando várias subinterfaces.
Com todas as interfaces criadas, o gateway padrão de cada uma das
redes (VLAN 1, 2 e 3) será a interface do roteador. Ele fará, portanto, a
interligação e roteamento das redes de cada segmento, permitindo a
comunicação entre eles.

IVR (inter-VLAN Routing)

O tópico anterior explicou como realizar o roteamento usando um
equipamento camada 3 externo, no caso, um roteador. Entretanto, caso
haja disponibilidade de um switch com recursos camada 3 nele mesmo
(switch layer 3), é possível realizar todas as tarefas de trunking,
VLANs e roteamento em uma única caixa. É o que chamamos de IVR
ou roteamento entre VLAN dentro do próprio switch camada 3.
Para esse processo, basta criarmos as interfaces SVI (switched
virtual interface) que são interfaces virtuais de switches. Elas
possibilitam a configuração de IP e, a partir do processador de
roteamento incluso dentro do switch camada 3, toda a tarefa de
interligar os segmentos VLANs distintos acontece sem o uso de
equipamento externo.
Para essa tarefa, fazemos da seguinte forma:
Switch(config)# interface vlan 3

******ebook converter
DEMO
Watermarks*******
 Switch(config-if)# ip address 10.10.3.1 255.255.255.0
Simples assim e mais nada. Ao ver a listagem de interfaces,
podemos conferir:
Switch#sh ip interface brief
Interface IP-Address OK? Method Status Protocol
Vlan3 10.10.3.1 YES manual up up
Switch#show int vlan 3
Vlan3 is up, line protocol is up
Hardware is EtherSVI, address is 0018.7330.7e41 (bia
0018.7330.7e41)
Internet address is 10.10.3.1/24
<restante omitido>

Ao observar o detalhe da interface VLAN, podemos conferir o tipo

SVI. Da mesma forma que explicamos para roteadores externos, o
gateway padrão das máquinas daquele segmento será o IP da interface
VLAN correspondente.

******ebook converter
DEMO
Watermarks*******
 12 - Protocolos de Roteamento
Dinâmico OSPF e BGP

Introdução
No Capítulo 11 vimos o conceito de roteamento e as diferenças e
vantagens entre roteamento estático e dinâmico, além de alguns parâmetros
existentes de maneira geral. Durante este capítulo faremos uma análise do
OSPF e BGP, tanto em IPv4, quanto em IPv6.
O que falaremos aqui sobre OSPF valerá também para seu respectivo em
IPv6, o OSPFv3, e quando necessário, apresentaremos as diferenças de
sintaxe para melhor identificação. Para o BGP, não há separação, pois ele
suporta nativamente ambos IPv4 e IPv6, com apenas alguns comandos
adicionais para estabelecer a sessão com os roteadores vizinhos.
O exame CCNA em vigor manteve apenas o OSPF como protocolo de
roteamento a ser estudado. Contudo, o BGP, por sua importância na
Internet, será mantido em nosso livro a fim de ampliar o escopo de atuação
profissional do leitor, que vai muito além da certificação. Como dissemos, é
um conteúdo válido a ser mencionado e igualmente encorajamos o
aprofundamento nesse protocolo.

OSPF (Open Shortest Path First)

O OSPF é um protocolo de roteamento interno que compartilha as
informações de roteamento dentro de um único sistema autônomo (AS). O
protocolo é baseado no algoritmo estado do link, fornecendo uma visão
geral da topologia e definido pela RFC 2328.
As principais vantagens desse protocolo são:

Consumo de poucos recursos da rede: o OSPF é leve para a rede,

pois não faz anúncios periódicos, atualizando apenas quando ocorre

******ebook converter
DEMO
Watermarks*******
 uma alteração na topologia.

Protocolo aberto: o fato de ser um protocolo aberto permite a

utilização em uma rede com diferentes fabricantes, o que é uma
grande vantagem se comparado ao EIGRP, que é proprietário da
Cisco.

Rápida convergência: o protocolo fornece uma convergência rápida

porque as atualizações são propagadas instantaneamente, ao invés de
periodicamente, o que permite maior controle e visibilidade sobe as
atualizações de roteamento.

Escalabilidade: o OSPF pode ser utilizado em grandes redes

possibilitando uma maior flexibilidade. Para isso, utiliza os conceitos
de Sistemas Autônomos (AS) e de áreas.

Suporte a VLSM: permite redes sem classe (classless) e possibilita

suporte ao VLSM, sendo muito útil para alocação de endereços IP.

Contagem de Saltos Infinita: o OSPF não possui limite para

contagem de saltos, o que é uma grande vantagem se comparado ao
limite de 15 do RIP e aos poucos mais de 200 do EIGRP.

Autenticação de Roteamento: o OSPF possibilita autenticação de

roteamento, utilizando diferentes métodos de autenticação de senha,
fundamental para segurança da rede.

Propagação via Multicast: o OSPF faz a propagação por multicast,

ou seja, apenas para o grupo de roteadores da rede que utilizam o
protocolo OSPF, e não igual ao RIP que divulga para todos na rede
via broadcast.

Impedimento de Loops: devido à rápida propagação de informações

na rede, o OSPF evita os loops de roteamento, sendo nativo do
protocolo e sem a necessidade da utilização de uma técnica para isso.

******ebook converter
DEMO
Watermarks*******
 Custo: utiliza uma métrica com base no custo, que é mais
inteligente. Com essa métrica, o custo é o inverso da largura de
banda disponível, ou seja, quanto maior a largura de banda, menor o
custo e vice-versa.

Load Balancing: o protocolo suporta balanceamento pelos links.

As principais desvantagens do OSPF são:

Alto consumo de CPU: o algoritmo SPF é mais pesado para o

roteador, pois consome mais CPU. O OSPF é leve para a rede em
relação ao tráfego gerado, mas onera o roteador em si. Esse alto
consumo se deve à necessidade de memória do equipamento para
montar a topologia e tabela de roteamento, além da lista com os
vizinhos (adjacência).

Complexidade: o protocolo é mais difícil para configurar e para

fazer o diagnóstico de problemas, se comparado com alguns outros.

Terminologia OSPF
Uma rede com uso do OSPF possui diversas terminologias que são
fortemente cobradas no exame CCNA e em outras carreiras Cisco. Vejamos
o que significam os principais componentes do protocolo:

Adjacência (Adjacency): é a expressão utilizada quando os

roteadores que utilizam OSPF na rede estabelecem o processo de
comunicação entre si.

Área: compõe um grupo de roteadores que possuem o mesmo ID de

área e compartilham a mesma tabela de topologia. Isso é definido
pela interface, quando está sendo aplicada a configuração no
equipamento.

Área 0: área considerada o backbone da topologia OSPF.

******ebook converter
DEMO
Watermarks*******
 Árvore SPF (SPF Tree): árvore da rede OSPF criada após a
execução do algoritmo SPF. O algoritmo refaz todos os caminhos da
rede, deixando apenas os mais curtos, todos livres de loop e o
roteador na raiz da rede, tudo feito com base na métrica de custo.
Apenas os roteadores que estão na mesma área compõem a árvore
SPF.

ID do Roteador (Router ID ou RID): é um endereço de 32 bits

utilizado para identificar um roteador na rede.

Link State Advertisement (LSA): é um pacote de dados OSPF

contendo informações de roteamento e do estado do link de
determinado roteador. Existem diferentes tipos de LSAs.

Link State Database: base de dados (ou mapa com a topologia) com
tudo que envolve o link state, como roteadores, estado, links e redes.
É criada com base nas informações de LSA dos roteadores na área.

Link State Request (LSR): solicitação de informações de estado de

link que o roteador faz no caso de as informações recebidas do LSA
não estarem completas.

Link State Update (LSU): a resposta do LSR, com as atualizações

solicitadas.

Roteador Designado ou DR (Designated Router): roteador eleito

para gerenciar a troca de informações e atualizações topológicas da
rede.

Roteador Designado de Backup ou BDR (Backup Designated

Router): trabalha sob demanda ficando na escuta e atuando
diretamente em caso de falha do DR.

Mensagem Hello (Hello message): é usada para eleger o DR/BDR,

formar a tabela de vizinhos e permitir atualizações periódicas, veja

******ebook converter
DEMO
Watermarks*******
 detalhe na Figura 12.2.

Prioridade (Priority): define a prioridade alterando roteadores DR /

BDR manualmente pelo uso do comando ip ospf priority na
interface.

Shortest Path First (SPF): é o algoritmo do protocolo OSPF

também conhecido como Dijkstra, que é o nome do seu criador.

Tabela de Topologia (Topology table): topologia com todos os links

da rede.

Tabela de Vizinhos (Neighbor table): tabela contendo todos os

vizinhos da rede, que é montada com as informações do pacote
Hello.

Vizinhos (Neighbors): são considerados vizinhos os roteadores que

estiverem usando o protocolo OSPF e compartilhando entre si a
mesma área através de uma das interfaces do roteador.

Figura 12.1 – Componentes do OSPF.

Os roteadores OSPF têm um RID de 32 bits que é determinado de
acordo com o maior endereço IP das suas interfaces ou manualmente

******ebook converter
DEMO
Watermarks*******
 configurado, no formato decimal com pontos, similar ao IPv4. Se o
RID não for inserido por comando, o roteador assumirá a interface
loopbak de maior IP ou, na ausência desta, o maior IP de interface
disponível. A mensagem de Hello possui este e outros dados na
composição do pacote. Ele usa o endereço multicast 224.0.0.5 para se
comunicar com outros roteadores com OSPF.

Figura 12.2 – Formato do Pacote Hello.

Áreas e Tipos de Roteadores OSPF

Uma área OSPF consiste em um número de redes e roteadores que
estão agrupados logicamente. Essas áreas são usadas para estabelecer
estruturas hierárquicas e são atribuídas na configuração do protocolo, e
podem ser definidas por localização, região ou razões administrativas.
Usualmente, o OSPF fica dentro do backbone de uma empresa para
interconexão de suas redes internas (AS interno) e quando houver
necessidade de conexão com outros AS’, usa-se o BGP, que veremos
mais adiante.
Cada Sistema Autônomo (AS) OSPF consiste em, no mínimo, uma
área, a qual é chamada de backbone, mas podem haver várias áreas
conforme as definições do AS. É importante mencionar que dentro de
cada área todos os roteadores conhecem a mesma topologia da rede
interna.
Porém, os roteadores que estão dentro dessa área não possuem
conhecimento da topologia das redes externas à sua área, eles
conhecem apenas as rotas destinadas a essas redes. Ou seja, o conceito
de área limita o tamanho da base de dados de topologia que é mantida
pelos roteadores, sendo a definição das áreas um aspecto fundamental
para a definição de topologia da rede.
Na Figura 12.3 temos diversos tipos de áreas OSPF. Vejamos qual a
função de cada uma delas e suas definições:
******ebook converter
DEMO
Watermarks*******
 Interno ou Roteadores Intra-Area (IARs): roteadores situados
dentro da mesma área.

Backbone: também chamada de área 0, possui todas as

características de uma área normal, mas é responsável por
distribuir as informações de encaminhamento entre as áreas
conectadas a ela, sendo que todas as outras áreas devem estar
conectadas à área 0.

AS Boundary Routers (ASBR): uma interface faz conexão

com uma AS externa.

Area Border Routers (ABR): são roteadores que conectam

duas ou mais áreas e possuem pelo menos uma interface no
backbone (área 0).

Figura 12.3 – Tipos de áreas OSPF.

Processo de Eleição DR/BDR

Como mencionamos, o DR – Designated Router – é o roteador eleito
para gerenciar a troca de informações e atualizações topológicas da

******ebook converter
DEMO
Watermarks*******
 rede e o BDR – Backup Designated Router – é o seu sucessor no caso
de uma falha. Mas como ocorre o processo de eleição?
Os roteadores são eleitos automaticamente, sendo que o processo de
eleição é feito com base na prioridade (priority) de cada roteador.
Dessa forma, o roteador que tiver a maior prioridade é escolhido como
DR e o que possuir a segunda maior prioridade é escolhido como
BDR. Existem situações em que os roteadores da rede possuem os
mesmos valores de prioridade. Nesses casos é utilizado o Router ID
(RID) de maior valor (o número de IP mais alto) como critério para
definição.
Porém, existe a possibilidade de se configurar manualmente a
prioridade dos roteadores, o que deve ser feito diretamente na interface
do equipamento:
Roteador#configure terminal.
Roteador(config)#interface f0/0.
Roteador(config-if)#ip ospf priority 2.
As prioridades configuráveis são:
PRIORIDADE STATUS
(PRIORITY)
0 DR OTHER
1 Padrão
2 Eleição do
DR
Note que a prioridade 2 é a mais alta e define o roteador como DR, a
prioridade 1 é a padrão para todos os roteadores da rede e a prioridade
0 pode ser configurada manualmente e exclui o roteador de uma
possível eleição, atribuindo o status de DR Other.

Estabelecimento de Adjacências
Um dos principais processos do OSPF é o de compartilhamento das
informações. As informações link state são trocadas somente entre
roteadores adjacentes, pois eles precisam ter a mesma base de dados de
topologia e necessitam estar sincronizados. Dessa forma, o
estabelecimento de adjacências é fundamental para o funcionamento
da rede OSPF. Para que esse estabelecimento ocorra, o processo
******ebook converter
DEMO
Watermarks*******
 envolve as seguintes fases ou estados:

Down: Nenhuma informação foi recebida ainda proveniente de

algum roteador no segmento.

Init: Quando um roteador recebe os pacotes Hello de um

vizinho através da interface esse estado é alterado para Init,
sendo feita a preparação para a comunicação bidirecional.

2-way ou Two-way: Nesse estado é estabelecida a comunicação

bidirecional e os roteadores se reconhecem como vizinhos e o
estado é alterado de Init para Two-way. Nesse momento é
definida a eleição do DR e do BDR.

Exstart: É negociada a sequência dos pacotes na troca de

informações. Essa sequência deve garantir que os roteadores
sempre recebam informações mais recentes. Um roteador será o
primário que consultará o secundário para obter informações.

Exchange: O roteador primário inicia o compartilhamento das

informações do estado do Link (tipo de link, Router ID e custo)
com o secundário.

Loading: É finalizada a troca de informações e criada uma lista

de retransmissão de estado de link para as informações
incompletas ou desatualizadas.

Full: Os roteadores vizinhos são adjacentes e o processo está

concluído. Roteadores adjacentes compartilham o mesmo banco
de dados de estado do link.

Sincronismo
Um roteador que detecta a mudança na sua tabela anuncia via
endereço multicast (224.0.0.6) para o DR/BDR. O DR, então, propaga

******ebook converter
DEMO
Watermarks*******
 as informações para todos os outros via multicast (224.0.0.5), por meio
de pacotes chamados LSU (Link State Update). Após a atualização, é
enviado um LSAck para o DR confirmando o recebimento. Por fim, é
executado internamente o algoritmo SPF para cálculo dos novos
caminhos. Veja um exemplo na Figura 12.4:

Figura 12.4 – Atualização das rotas.

Tipos de LSA (Link-state Advertisement)

O conhecimento sobre os tipos de LSA, bem como o que significa
cada um deles, também é bastante cobrado no exame CCNA. Assim,
para melhor entendimento sobre cada um deles, apresentamos os cinco
LSAs que a Cisco usa:

LSA Tipo 1 (Type 1 LSA): é o LSA do roteador (router LSA) o

qual contém o ID do roteador (RID), interfaces, informação
sobre IPs e estados das interfaces. Essa informação é enviada a
cada roteador da área à qual ele pertence. Se estiver em
múltiplas áreas, enviará diferentes LSAs tipo 1 para cada router
de cada área.

LSA tipo 2 (Type 2 LSA): é o LSA da rede o qual contém a

******ebook converter
DEMO
Watermarks*******
 descrição da mesma e o estado dos roteadores que fazem parte,
passando essa informação a todos pertencentes à mesma. Essa
informação sobre a rede é enviada pelo DR, que tem o papel de
representar os roteadores da rede. Esse LSA fica contido dentro
da área, isto é, apenas a informação dos roteadores da rede de
uma determinada área é propagada a seus membros, contendo a
informação sobre o DR e o BDR.

LSA tipo 3 (Type 3 LSA): é o summary link advertisement,

gerado pelos roteadores de borda (ABR), que informa as sub-
redes de uma área externa na qual elas se encontram. São
divulgadas as sub-redes, máscara e ID do ABR.

LSA tipo 4 (Type 4 LSA): semelhante aos LSAs tipo 3, o tipo 4

repassa as informações de sub-redes e como chegar até o ASBR
(borda do sistema autônomo).

LSA tipo 5 (Type 5 LSA): é o LSA para anúncios externos ao

AS, enviado pelo ASBR com cada rede externa ao sistema
autônomo (AS).

Configuração do OSPF
O protocolo OSPF pode ser utilizado para multiáreas ou para uma
área. Primeiramente, vamos fazer a configuração para uma única área:
Roteador#configure terminal
Roteador(config)#router ospf ?
<1-65535>

Depois de inseridas essas linhas de comando, o protocolo OSPF nos

dá a opção de definirmos um valor entre 1 e 65535 que irá identificar o
processo OSPF. Esse valor é definido conforme seu critério e não
implicará nada no restante da configuração. Dessa forma, iremos aqui
utilizar o processo número 1.
Roteador(config)#router ospf 1
Roteador(config-router)#network 192.168.1.0 0.0.0.255 area ?
<0-4294967295> OSPF área ID as a decimal value
A.B.C.D. OSPF área ID in IP address format

******ebook converter
DEMO
Watermarks*******
 Roteador(config-router)#network 192.168.1.0 0.0.0.255 area 0

Agora configuramos o endereço IP junto com o wildcard mask

(0.0.0.255) e definimos a área 0 (que pode ser um valor numérico ou
endereço IP) na configuração. Esse passo é fundamental, pois o
endereço de rede e wildcard mask faz a identificação da interface em
que o processo OSPF irá operar. Para mais detalhes das máscaras
wildcard, confira o capítulo 14 de Access Lists.
Um recurso interessante (mas opcional) que pode ser implementado
em redes OSPF é o da interface loopback, que não é física e sim
virtual. Isso faz com que o roteador utilize como RID o IP da interface.
A vantagem é que, pelo fato de ser virtual, ela sempre fica ativa e o
RID nunca é alterado. No exemplo, o RID do roteador será o 2.2.2.2,
que é o endereço da interface loopback0. Veja a sequência de
comandos que configura uma loopback 0, cria o ospf 1 com a rede da
interface que estabelecerá a vizinhança e, por fim, o show ip ospf para
visualizar que o router ID assumiu o IP da loopback.
Roteador(config)#interface loopback0
Roteador(config-if)#ip address 2.2.2.2 255.255.255.255
Roteador(config)#router ospf 1
Roteador(config-router)#network 192.168.1.0 0.0.0.255 area 0
Roteador#sh ip ospf
Routing Process “ospf 1” with ID 2.2.2.2
Start time: 14w5d, Time elapsed: 00:01:12.285

Para configuração do OSPF em multiárea, não há quase nada de

diferente. A única modificação, se é que podemos chamar assim, é
atrelar outras interfaces com o comando network em uma área
diferente, o que torna o roteador automaticamente um ABR. Veja
como fica a configuração de um roteador com duas interfaces, cada
uma em distintas áreas:
router ospf 1
router-id 1.1.1.1
network 10.10.10.0 0.0.0.255 area 10
network 172.16.12.0 0.0.0.255 area 0

Observe que foi aplicado o comando network para ativar o OSPF

para aquela rede e na sequência a área, uma para cada. Isso já torna o
roteador em questão um ABR (“It is na área border router”), o que
pode ser comprovado pela saída parcial do comando show ip ospf:
******ebook converter
DEMO
Watermarks*******
 Roteador# sh ip ospf
Routing Process “ospf 1” with ID 1.1.1.1
Start time: 00:02:26.556, Time elapsed: 00:12:50.920
Supports only single TOS(TOS0) routes
Supports opaque LSA
Supports Link-local Signaling (LLS)
Supports area transit capability
Supports NSSA (compatible with RFC 3101)
Event-log enabled, Maximum number of events: 1000, Mode:
cyclic
It is an area border router
!<resultado omitido parcialmente>
Number of areas in this router is 2. 2 normal 0 stub 0 nssa

Configuração do OSPFv3
Antes de configurarmos o OSPFv3, é importante destacar algumas
considerações sobre este protocolo, que é muito semelhante ao
OSPFv2 (ou simplesmente OSPF), visto há pouco, no quesito
configurações e funcionamento.
Tudo que se refere a métricas, algoritmo SPF, vizinhança com os
“neighbors”, troca de LSA para definir topologia, custos de interface,
entre outros conceitos, vale para ambos os protocolos OSPFv2 e
OSPFv3.
O OSPFv3 tem a sintaxe similar à versão anterior, com uma
ressalva: ele requer a configuração de um router-ID, que usa o mesmo
formato de um endereço IPv4, sendo mandatória a aplicação do
comando router-id se o roteador for puramente IPv6, sem qualquer
outro tipo de endereço IP nas interfaces. Para IPv4, usamos router
ospf <id_do_processo>, para configurar o OSPFv2. Em IPv6 usa-se
ipv6 router ospf <id_do_processo> para configurar o OSPFv3:
Roteador(config)#ipv6 router ospf 100
Roteador(config-rtr)#router-id 1.1.1.1

Se você não configurar o router-id e não houver qualquer interface

no roteador que tenha um endereço IPv4, o protocolo não funcionará.
Se existir alguma interface com endereço IPv4, esse comando pode ser
suprimido, pois o protocolo entenderá que, na falta desse, ele poderá
tomar o endereço IPv4 existente como seu router-id. Se houver mais de
um, ele pegará o IPv4 de número mais alto.

******ebook converter
DEMO
Watermarks*******
 Ao configurar o OSPFv3 sem que haja qualquer IPv4 em uma
interface ou sem o router-id especificado, gera-se uma mensagem de
erro:
%OSPFv3-4-NORTRID: OSPFv3 process 100 could not pick a
router-id, please configure manually

Em redes que terão ambas as versões de IP, não haveria problema em

definir um router-id porque já existiria um endereço disponível para o
protocolo OSPFv3. Em processos de migração para redes puramente
IPv6, vale definir um router-id desde o início no planejamento da rede.
Assim, evita-se que o protocolo fique “perdido” se não houver um ID,
ou que escolha o IPv4 mais alto disponível.
Esclarecido isso, estabelece-se a vizinhança e definem-se as redes a
serem divulgadas através de um comando de interface. Diferentemente
do OSPFv2, que podemos configurar o parâmetro “network” dentro do
protocolo, as redes e interfaces que estabelecerão vizinhança no
OSPFv3 são apontadas em comandos dentro das interfaces:
Roteador(config)#interface fastEthernet 0/0
Roteador(config-if)# ipv6 ospf 100 area 0

Usa-se a sintaxe: ipv6 ospf <id_do_processo> área <id_da_area>

A rede IPv6 da interface Fast0/0 será anunciada para o vizinho

OSPFv3 e todos os pacotes LSA sairão por essa mesma interface, para
o controle e atualizações da base de dados do protocolo. A mensagem
a seguir aponta que o OSPFv3 estabeleceu vizinhança e passou a
informar as rotas disponíveis:
%OSPFv3-5-ADJCHG: Process 100, Nbr 1.1.1.1 on FastEthernet0/0
from LOADING to FULL, Loading Done

Verificamos as rotas com o comando show ipv6 route ou mais

especificamente show ipv6 route ospf:
Roteador-2#show ipv6 route ospf
<legenda omitida>
O 2001:DB8:200:1111::1/128 [110/1]
via FE80::C800:21FF:FEF4:8, FastEthernet0/0

Em um roteador em que temos mais de uma interface IPv6 e cujas

subnets queremos anunciar, o comando de interface deverá ser

******ebook converter
DEMO
Watermarks*******
 aplicado em cada uma. Entretanto, cada interface ativa para o OSPFv3
tentará estabelecer uma vizinhança a partir dela também, enviando e
aceitando LSAs. Para apenas anunciar as redes das interfaces sem que
elas tentem estabelecer uma vizinhança OSPF, basta usar o comando
passive interface <interface> dentro da instância OSPF. Geralmente,
aplica-se esse comando para interfaces loopback, que queremos apenas
anunciar seus prefixos, mas pode ser feito com qualquer outra. Esse
procedimento também vale para IPv4 no OSPFv2.
Roteador-2(config)#ipv6 router ospf 100
Roteador-2(config-rtr)#passive-interface Loopback 100

O resultado da configuração (show run) OSPFv3 em um dado

roteador fica assim:
interface Loopback100
no ip address
ipv6 address 2001:DB8:200:2222::2/128
ipv6 ospf 100 area 0
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
ipv6 address 2001:DB8:200:120::2/64
ipv6 ospf 100 area 0
!
!
ipv6 router ospf 100
router-id 2.2.2.2
log-adjacency-changes
passive-interface Loopback100

Convergência do OSPF
Conforme mencionamos, o OSPF trabalha com atualizações
incrementais, ou seja, só as envia quando ocorre alguma alteração de
topologia na rede. As notificações são feitas por meio de multicast e
não broadcast, o que resulta em uma rápida convergência. Isso evita
saturar a rede, embora onere o processamento do roteador. Também,
evitam-se os loops de roteamento, o que mantém o ambiente mais
estável e seguro.
O processo de convergência costuma ocorrer de forma rápida,

******ebook converter
DEMO
Watermarks*******
 geralmente em 50 segundos.

Problemas Recorrentes em Redes OSPF

Como uma das características do Link State é ser mais complexo que
os outros algoritmos, alguns problemas se tornam recorrentes e, em
alguns casos, difíceis de diagnosticar. Dessa forma, é importante
mencionar:

Distância Administrativa: o OSPF possui uma distância

administrativa alta (110), portanto outros protocolos da rede
com menor distância administrativa terão a prioridade;

Wildcard mask: o OSPF não utiliza o formato padrão de

máscara de sub-rede que utilizamos em outros protocolos, o que
pode ser esquecido no momento da configuração.

Timers OSPF: os timers Hello (valor 10) e Dead (valor 40)

devem ser verificados, pois valores diferentes podem causar
inconsistências na rede para roteadores vizinhos.

Número da Área: as interfaces que estão na mesma área devem

ter o mesmo número de área atribuída.

Sumarização de Rotas com OSPF

A sumarização de rotas foi estudada no capítulo sobre IPv4. De
posse desse conhecimento, iremos ver agora os comandos de
sumarização com a utilização do protocolo OSPF estudado neste
capítulo. É importante mencionar que a propagação de rotas da
sumarização manual possui prioridade sobre a propagação de rotas da
sumarização automática.
O protocolo OSPF não possui a sumarização automática por padrão,
por isso deverá ser feita a seguinte configuração:
Roteador# configure terminal
Roteador(config)# router ospf 1

******ebook converter
DEMO
Watermarks*******
 Roteador(config-router)#network
Roteador(config-router)#network
Roteador(config-router)#network
Roteador(config-router)#area 1
255.255.255.128
192.168.1.0 0.0.0.63 area 1
192.168.1.64 0.0.0.63 area 1
10.1.1.0 0.0.0.255 area 0
range 192.168.1.0

Dentro da instância router ospf 1 temos três redes, sendo duas delas
na mesma área 1, com prefixos semelhantes, mas com a primeira rede
iniciando em 0 (prefixo de rede) e indo até 63 (broadcast), e a segunda
em 64 até 127. Na sumarização de IPv4 vimos que podemos agregar
duas redes /26 em uma só rede /25. Isso simplificará a tabela de
roteamento anunciada, mas quando o tráfego chegar nesse roteador, ele
saberá decompor o destino para o bloco /26 específico, seja da rede 0
ou da rede 64.
O comando de sumarização dentro do OSPF é: area
<numero_da_area_dos_prefixos> range <rede_sumarizada>
<mascara>. No exemplo ficou: area 1 range 192.168.1.0
255.255.255.128. Como indicado, esse prefixo /25 engloba os dois /26
previamente declarados a fim de enviar apenas um bloco para a tabela
de roteamento.
A configuração de sumarização do protocolo OSPF poderá ser
verificada pelo comando show ip ospf summary-address.

Características dos Protocolos de

Roteamento
Na tabela a seguir apresentamos um resumo das principais
características dos protocolos de roteamento. Mesmo sabendo que
apenas o OSPF é cobrado no exame, é importante ilustrar os principais
aspectos de cada protocolo a fim de orientar o caro leitor na hora de
eleger opções para implementação em redes.
RIP V1 RIP V2 EIGRP OSPF IS-IS
CARACTERÍSTICA

Limite para contagem de 15 15 255 Sem Sem

saltos Limite Limite
Escalabilidade Pequena Pequena Grande Grande Grande
Suporte VLSM (Classless) Não Sim Sim Sim Sim

******ebook converter
DEMO
Watermarks*******
 RIP V1 RIP V2 EIGRP OSPF IS-IS
CARACTERÍSTICA

Nome do Algoritmo de Bellmand Bellmand DUAL Dijkstra Dijkstra

roteamento -Ford -Ford
Tipo do Algoritmo de Vetor de Vetor de Híbrido Estado Híbrido
roteamento Distância Distância Balanceado do Link Balancead
(*) o
Balanceamento de Carga Sim Sim Sim Sim Sim
com custos iguais
Balanceamento de Carga Sim
com custos desiguais
Métrica Saltos Saltos Composta Custo Custo
Suporta Autossumarização Não Sim Sim Não Não
Suporta Sumarização Não Sim Sim Sim Sim
Manual
Protocolo Proprietário Não Não Sim Não Não
Suporta Autenticação Não Sim Sim Sim Sim
Convergência Lenta Lenta Muito Rápida Rápida
Rápida
Tipo de Propagação Broadcas Multicast Multicast Multica Multicast
t st
Suporte a redes Não Sim Sim Sim Sim
descontíguas

Comandos de Verificação
Apresentamos uma tabela com alguns comandos importantes para
verificação e diagnósticos em OSPF:
COMANDO FUNÇÃO
show ip mostra todos os parâmetros dos protocolos de roteamento e valores
protocols do timer
show ip route mostra a tabela de roteamento IP
show ip route mostra as rotas da tabela de roteamento aprendidas pelo OSPF
ospf
show ip ospf mostra a configuração dos roteadores OSPF
show ip ospf mostra as informações de interface e área, ID dos roteadores e
interface vizinhos
show ip ospf mostra as informações (ID, endereço, estado e interface) dos
neighbor vizinhos OSPF

******ebook converter
DEMO
Watermarks*******
 debug ip ospf fornece maiores detalhes para o diagnóstico de problemas,
adj identificando as adjacências com os vizinhos
debug ip ospf Emite log para cada pacote OSPF
events
debug ip ospf Emite logs descrevendo o conteúdo de todos os pacotes OSPF
packet

BGP (Border Gateway Protocol)

O BGP não consta mais no exame CCNA atual, mas é cobrado nas
carreiras Cisco mais avançadas. Ainda assim, mantivemos a visão
geral deste importante protocolo da Internet a fim de cobrir uma parte
de seu funcionamento e características. A abrangência aqui está mais
relacionada com a conexão de uma localidade com o provedor de
serviços Internet.
Os protocolos OSPFv2 e OSPv3 apresentados são mais usados nas
redes locais ou redes internas, também conhecido como IGP. Já o BGP
é o típico protocolo externo, ou EGP. Ele é o protocolo usado na
Internet e a tabela total de rotas IPv4 do mundo todo ultrapassa meio
milhão de prefixos.
Prefixos IP são anunciados na internet sempre atrelados a um
sistema autônomo (Autonomous System – AS), replicados a cada
roteador agregando-se essa informação. O prefixo originado em um
AS (exemplo AS10), é repassado ao vizinho (BGP peer ou BGP
neighbor), e este por sua vez encaminha adiante agregando os AS’ de
passagem. O caminho até determinado destino pode ser observado
com AS10 ---> AS20 ---> AS25, por exemplo, à medida que vai
passando pelos peers (roteadores dos provedores). Essa junção resulta
no que chamamos de AS-Path.
Vejamos exemplo de uma tabela de roteamento BGP:
Router# show ip bgp all
Network Next Hop Metric LocPrf Weight Path
*> 10.1.1.0/24 0.0.0.0 0 32768 ?
*> 10.13.13.0/24 0.0.0.0 0 32768 ?
*> 10.15.15.0/24 0.0.0.0 0 32768 ?
*>i10.18.18.0/24 172.16.14.105 1388 91351 0 10
*>i10.100.0.0/16 172.16.14.107 262 272 0 1 2 3 i

******ebook converter
DEMO
Watermarks*******
 *>i10.100.0.0/16 172.16.14.105 1388 91351 0 10
*>i10.101.0.0/16 172.16.14.105 1388 91351 0 10 20 25
*>i10.103.0.0/16 172.16.14.101 1388 173 173 10 20 25
*>i10.104.0.0/16 172.16.14.101 1388 173 173 10 20 25
*>i10.100.0.0/16 172.16.14.106 2219 20889 0 53285 33299

O BGP se divide com as nomenclaturas iBGP (internal) e eBGP

(external). Enquanto iBGP é a transmissão de prefixos dentro do
próprio AS ou dentro da rede do provedor (ISP) entre seus roteadores
internos, o eBGP refere-se à transmissão de prefixos entre ISPs ou
entre distintos AS.
Quando uma empresa se conecta a um provedor, ela pode adotar
topologias protegidas ou não, dependendo dos requisitos de projeto ou
necessidades de uso. Das possibilidades temos:

Single Homed: único link, com um único provedor.

Dual Homed: dois links com o mesmo provedor.

Single Multihomed: dois links, sendo um para cada provedor.

Dual Multihomed: quatro links, sendo dois para cada provedor.

A primeira (Single Homed) com eBGP é a solução mais frágil do
ponto de vista de disponibilidade, pois não há redundância, contudo, é
a mais simples de gerenciar. Nesse caso, se houver queda do link, a
conexão com o provedor cai, logo, caem todas as rotas para a rede
externa. Nos demais casos, estabelecem-se sessões BGP com mais de
um link, ou mais de um provedor. As diferenças estarão no objetivo,
ou seja, para proteger em caso de quedas, ter balanceamento de rotas
ou ter opções de entrada e saída de dados com base em determinada
engenharia de tráfego.

Configurando eBGP
Para configurar uma sessão eBGP entre um roteador da empresa e
um provedor de serviços, são necessários poucos comandos, bastando
ter o IP do neighbor ou peer e o ASN (número do AS). Vejamos um

******ebook converter
DEMO
Watermarks*******
 exemplo dos comandos para a topologia da Figura 12.5:
RT01(config)#router bgp 100
RT01(config-router)#neighbor 10.10.12.2 remote-as 22
RTISP02(config)#router bgp 22
RTISP02(config-router)#neighbor 10.10.12.1 remote-as 100
RTISP02(config-router)#
*Jul 25 01:08:52.738: %BGP-5-ADJCHANGE: neighbor 10.10.12.1
Up

Figura 12.5 – Rede Single Homed com BGP (eBGP).

Note que no roteador da empresa, representado por RT01, aplicamos

o comando router bgp 100. A sintaxe é router bgp
<número_do_seu_AS> que ativa a entrada das configurações no
modo router do prompt. Em seguida, aplicamos o comando neighbor
<IP_do_roteadorvizinho> remote-as <número_do_AS_
vizinho>. A sessão é estabelecida e aparece mensagem informando o
IP e o AS da ponta remota. No caso do eBGP, veja que os AS são
diferentes. Se fossemos ativar uma sessão iBGP, basta fazer o mesmo
procedimento, porém será estabelecido com os mesmos AS nas duas
pontas, já que são roteadores pertencentes à mesma rede.
Para verificar a sessão estabelecida, temos o comando show ip bgp
summary:
RT01#sh ip bgp summary
BGP router identifier 10.10.12.1, local AS number 100
BGP table version is 2, main routing table version 2
1 network entries using 140 bytes of memory
1 path entries using 80 bytes of memory
1/1 BGP path/bestpath attribute entries using 144 bytes of
memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 388 total bytes of memory
BGP activity 1/0 prefixes, 1/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down

******ebook converter
DEMO
Watermarks*******
 State/PfxRcd
10.10.12.2 4 22 6 5 2 0 0 00:01:08 1

A saída do comando permite ver quanto tempo a sessão está

estabelecida, quantos prefixos recebidos, contra qual neighbor e o IP,
além de outras informações. O BGP, quando está funcionando
corretamente, assume o estado Estabelecido (Established). Uma
confusão que as pessoas fazem é achar que o estado Ativo (Active) é o
desejado, mas na verdade a sessão não se estabeleceu e não haverá
divulgação de prefixos até se tornar Estabelecida. Os estados BGP são:

Idle: o neighbor está desativado ou esperando a próxima

tentativa de restabelecer a sessão.

Connect: houve tentativa de conexão TCP (para o BGP, na

porta 179).

Active: a conexão TCP foi completada, mas não houve troca de

mensagens BGP, logo segue sem prefixos.

OpenSent: inicia-se a troca de mensagens para estabelecer a

sessão.

OpenConfirm: o roteador local recebeu a mensagem de

confirmação (resposta), mas pode ainda ser rejeitada.

Established: ambos são neighbors/peers e podem trocar

mensagens e prefixos BGP.
Para desativar uma sessão, pode-se realizar um shutdown contra o
neighbor, colocando shutdown logo após o IP do peer. O estado passa
a ser IDLE (admin), pois foi colocado em shutdown:
RT01(config)#router bgp 100
RT01(config-router)#neighbor 10.10.12.2 shutdown
RT01(config-router)#
*Jul 21 01:36:08.142: %BGP-5-NBR_RESET: Neighbor 10.10.12.2
reset (Admin. shutdown)

******ebook converter
DEMO
Watermarks*******
 *Jul 21 01:36:08.147: %BGP-5-ADJCHANGE: neighbor 10.10.12.2
Down Admin. shutdown
*Jul 21 01:36:08.147: %BGP_SESSION-5-ADJCHANGE: neighbor
10.10.12.2 IPv4 Unicast topology base removed from session
Admin. shutdown
RT01#show ip bgp summary
BGP router identifier 10.10.12.1, local AS number 100
BGP table version is 3, main routing table version 3
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down
State/PfxRcd
10.10.12.2 4 22 0 0 1 0 0 00:00:10 Idle (Admin)

Para anunciar uma rota via BGP, basta agregar o comando network
<prefixo> mask <mascara_de_rede> dentro da instância router bgp.
Uma vez configurada, poderá ser conferida no roteador vizinho se está
sendo recebida:
RTISP02(config)#router bgp 22
RTISP02(config-router)#neighbor 10.10.12.1 remote-as 100
RTISP02(config-router)#network 10.2.2.0 mask 255.255.255.0
RT01#sh ip route
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
B 10.2.2.0/24 [20/0] via 10.10.12.2, 00:00:09
C 10.10.12.0/24 is directly connected, Ethernet0/0
L 10.10.12.1/32 is directly connected, Ethernet0/0
RT01#sh ip bgp
BGP table version is 4, local router ID is 10.10.12.1
Status codes: s suppressed, d damped, h history, * valid, >
best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-
Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.2.2.0/24 10.10.12.2 0 0 22 i

Observe, por fim, que as rotas podem ser conferidas com o

tradicional show ip route ou com show ip bgp.

******ebook converter
DEMO
Watermarks*******
 13 - Tópicos Avançados em
Switching

Introdução
O que vimos nos capítulos 5 e 6 refere-se ao modo convencional de
operação de uma rede com switches de camada 2 (Switch Layer 2).
Entretanto, à medida que as redes se tornavam essenciais em uma
organização, veio também a necessidade de ter escalabilidade, garantia de
banda e proteção contra falhas com o uso de links redundantes.
Os links redundantes permitem a continuidade da rede quando ocorre uma
falha física, deixando uma das vias desligada para o uso contingenciado,
por exemplo. Quando múltiplos links estão ativos, os switches necessitam
de mecanismos que evitam problemas de camada 2, como a ocorrência de
loops lógicos.
Neste capítulo, veremos tópicos avançados na operação de switches e
alguns dos mecanismos de prevenção de loop, como STP, RSTP, PVST+,
RPVST+, e agregação de links para ampliação da banda, chamada de
Etherchannel. Embora o exame CCNA exija conhecimento do RPVST+,
como ele é a evolução dos demais, é preciso, primeiro, entender cada um
em sequência para melhor compreensão dos conceitos e funcionamento da
prevenção de loops em geral.

Spanning-Tree Protocol (STP)

O protocolo Spanning-Tree (chamaremos de STP) é autoconfigurado em
switches nível 2 Cisco e é responsável pela remoção de loops na rede
mantendo a redundância de caminhos.
O STP foi desenvolvido originalmente pela DEC (Digital Equipment
Corporation) em meados dos anos 1980, futuramente renomeada como
Compaq, atual HP. O protocolo tinha o conceito de identificar o melhor
arranjo que detectava e prevenia loops. Mais tarde este protocolo foi

******ebook converter
DEMO
Watermarks*******
padronizado pelo IEEE, através do padrão 802.1d. Porém, os dois
protocolos não são compatíveis. Todos os switches Cisco usam o padrão
IEEE 802.1d para STP.
Podemos afirmar que o protocolo STP fornece as seguintes
funcionalidades:

Detecção e eliminação de loops.

Habilidade de detectar automaticamente uma falha nos caminhos

ativos e utilizar os caminhos alternativos que estavam
temporariamente desabilitados.

Para que estas funções sejam atendidas a contento, existem parâmetros

importantes que influenciam em como o STP vai dividir a rede. São eles:

Bridge Protocol Data Unit ou BPDU: o BPDU é um frame de

multicast que as bridges (switches) periodicamente geram para
compartilhar informações da topologia e para eleger a chamada
“Root Bridge” ou Bridge Raiz, que vai construir o STP, impedir os
loops e ativar os links quando necessário.

Bridge Identifiers (Bridge ID ou BID): cada bridge tem um

identificador de 64 bits (8 bytes) único que é usado quando é feito
um multicast BPDU para identificá-la durante a propagação. A
composição desse identificador é feita a partir do campo prioridade
(2 bytes) e do endereço físico (MAC) do switch (6 bytes). Deste
modo, assegura-se um identificador na rede que seja único e
exclusivo.

Path Cost: o menor custo é usado quando existem múltiplos

caminhos para o Root Bridge (Bridge Raiz). Podem haver vários
switches e o caminho, atrelado também aos custos das portas, seguirá
com o menor custo até a Raiz.

Port Cost: cada porta tem um custo relacionado com o tamanho de

******ebook converter
DEMO
Watermarks*******
 banda. Múltiplos links existem para um determinado switch. Adota-
se aquele cuja porta tem menor custo.

Processo de Eleição da Bridge Raiz

A regra geral do processo de eleição é bem simples: o dispositivo, no caso
o switch, com MENOR Bridge ID é eleito como bridge raiz. Partindo do
pressuposto de que todos os switches estejam utilizando a prioridade
padrão, que é 32768 (e vai de 0 a 61440), será necessário um determinado
critério de desempate. Isto acontecerá verificando-se o menor endereço
MAC.
Em cenários onde se tem um ambiente no qual se torna necessário um
maior controle, é interessante alterar a prioridade manualmente para que o
processo de eleição possa acontecer sem ter que usar o critério de
desempate. É importante frisar o papel fundamental da Bridge ID em uma
rede, pois é através dela que todos os cálculos do STP serão realizados.
Como já foi mencionado, os switches que utilizam o STP trocam
informações através do BPDU. O identificador de cada bridge é enviado
para outro dispositivo que usa o BPDU, como na Figura 13.1.

Figura 13.1 – Switches trocando informações (BPDUs) entre si.

Um frame BPDU contém vários campos, como mostrado na Figura
13.2, cujos termos em inglês colocaremos em parênteses para facilitar

******ebook converter
DEMO
Watermarks*******
 o aprendizado para o exame:

Identificador do Protocolo (Protocol Identifier): contém o

valor zero.

Versão (Version): contém o valor zero.

Tipo de Mensagem (Message Type): Contém o valor zero.

Flags: este campo pode conter um dos seguintes eventos:

alterações na topologia ou aceitação (ACK) na modificação da
topologia.

Identificador Raiz (Root Identifier): define a bridge de mais

alto nível no STP.

Custo do Caminho Raiz (Root Path Cost): define o custo

acumulado.

Identificador da Bridge (Bridge Identifier): é o identificador

gerado pelo BPDU para a bridge e é usado pelo algoritmo para
construir o Spanning-Tree.

Identificador da Porta (Port Identifier): define de que porta a

mensagem BPDU sai da bridge. Isto é usado por outras bridges
para detectar e remover loops na rede.

Idade da Mensagem (Message Age): define o tempo final em

que a bridge raiz publica o BPDU, baseado no estado atual de
configuração da rede.

Idade Máxima (Maximum Age): define a idade em que o

protocolo vai remover a informação do banco de dados e iniciar
a alteração na topologia através da re-execução do algoritmo
Spanning Tree. Este parâmetro é importante, pois permite que as
bridges rodem o algoritmo de modo uniforme e em paralelo.

******ebook converter
DEMO
Watermarks*******
 Tempo de Alô (Hello Time): intervalo em que a bridge publica
o BPDU.

Demora de Encaminhamento (Forwarding Delay): tempo em

que a porta vai permanecer em um determinado estado. Este
estado será visto ainda neste capítulo.

Figura 13.2 – Frame BPDU.

Bom, agora que já conhecemos a estrutura do BPDU, podemos dizer
que a primeira tarefa do STP é eleger a bridge raiz. Como as bridges
compartilham os BPDUs, será descoberta qual a estrutura atual da
topologia, incluindo todos os Bridge IDs.
Como foi explicado anteriormente, o padrão define que todas as
bridges tenham a mesma configuração de prioridade, o que faz com
que a bridge com menor endereço MAC seja a escolhida.

Figura 13.3 – Cenário onde o switch do núcleo (core) deve ter sua prioridade
aumentada.
E é por este motivo que você pode dar um grau de desempenho
melhor à rede, alterando a prioridade do switch central, ou
simplesmente o mais robusto da rede, para que ele possa ganhar esta
eleição e se tornar a raiz, como na Figura 13.3.

Prioridade da Porta

******ebook converter
DEMO
Watermarks*******
 Um ponto que é considerado durante a escolha do melhor caminho
para se colocar a porta no estado de encaminhamento é a prioridade da
porta. A prioridade padrão é 128 e pode ser reduzida (mínimo 0) ou
aumentada até 255.

Custo da Porta
O custo STP é o valor acumulado do total do custo do caminho,
baseado na largura de banda do link. Para as redes Ethernet,
geralmente se tem valores para os custos comumente atribuídos. Veja
na Figura 13.4 estes valores.

Figura 13.4 – Valores para os custos.

Esses são exemplos de custos padrões, porém é possível alterar tais
valores e forçar um determinado caminho a se tornar melhor, com
valor configurado até 65.535.

Estados das Portas

Cada vez que ocorre uma mudança de topologia na rede, é
necessário que se rode novamente o algoritmo STP. Desta forma, cada
switch roda em paralelo o STP e constrói sua própria tabela. Assim, as
portas de switches podem se encontrar em um dos quatro diferentes
estados. São eles:

Blocking (Bloqueado): neste estado STP, a porta somente vai

ouvir os BPDUs de outros switches, porém ela não vai
encaminhar nenhum frame de dados. Por padrão, todas as portas
do switch estão neste estado quando ligadas ou quando um
dispositivo for conectado à porta.

******ebook converter
DEMO
Watermarks*******
 Listening (Escutando): após o estado de Bloqueado, a porta vai
entrar no estado de Escuta, porém esta escuta é em relação aos
frames BPDUs. Estes frames serão escutados para que se
possam detectar caminhos disponíveis para a bridge raiz. Em
resumo, os BPDUs são lidos para assegurar que nenhum loop
ocorrerá na rede antes da passagem dos frames de dados.

Learning (Aprendendo): neste estado serão aprendidos os

endereços MAC para que se construa a tabela de filtros, mas
ainda não se encaminham frames.

Forwarding (Encaminhando): finalmente a porta entrou em

estado de encaminhamento, onde ela estará disponível para
entregar os frames de dados normalmente.
Em um switch raiz existirão portas do tipo Blocking e outras do tipo
Forwarding, cujo a de menor custo será usada para bloquear. Isso
garante que um caminho alternativo não faça com que a rede entre em
loop. Porém, você deve estar pensando: e onde entra a redundância se
um caminho está desabilitado? Aí é que entra a tecnologia do STP. Na
realidade, quando o estado da rede é alterado, por exemplo quando um
link caiu ou por algum motivo está fora, daí a porta bloqueada tem a
capacidade de alterar seu estado para suprir aquela falha, isto é, indo
de Bloqueada para Encaminhando.
A convergência ocorre quando os switches estão mudando para o
estado de Forwarding ou de Blocking. Neste período de tempo nenhum
dado é tramitado na rede. O algoritmo implementado no STP para
calcular este tempo é baseado em Timers. Estes timers podem ser
configurados quando necessário. Desta forma, para que todo o ciclo de
mudança de estado ocorra, leva geralmente 50 segundos distribuídos
conforme mostra a Figura 13.5:

******ebook converter
DEMO
Watermarks*******
 Figura 13.5 – Passagem de estados e os tempos (timers).

O Protocolo STP em Ação

Uma vez visto como o STP está estruturado, seus estados e
parâmetros de customização, vejamos um cenário onde ele atua e a
forma em que a topologia se modifica.
Na Figura 13.6 temos uma topologia de rede com três switches. Essa
topologia possibilita múltiplos caminhos para cada host. No exemplo,
quando o host A quiser se comunicar com o host C, ele poderia tomar
a rota 1 e rota 2, ou a rota 3 direto. Essas possibilidades, pelos
conceitos até então estudados, fariam com que a topologia ficasse em
loop.

Figura 13.6 – Spanning-tree bloqueia uma porta, evitando o loop.

Contudo, aqui o STP entra em ação fazendo com que a topologia
deixe de ter os caminhos alternativos (em loop), bloqueando
(Blocking) uma das portas do switch 3 e desativando a rota 2. Esse
bloqueio, como também explicado, não significa que a topologia fique
fragilizada, pelo contrário, caso a rota 1 ou a rota 3 apresente alguma
falha, a rota 2 é reativada automaticamente com a alteração da porta do
switch 3 para o estado de Encaminhando (Forwarding).
O processo para que isso aconteça vem dos seguintes passos, que
serão detalhados em sequência:

Selecionar a bridge raiz (Root Bridge).

******ebook converter
DEMO
Watermarks*******
 Identificar a porta raiz (Root Port).

Identificar a porta designada (Designated Port).

Bloquear as portas que não sejam Raiz ou Designadas.

Selecionar a Bridge Raiz (Root Bridge)
Colocando em termos práticos aquilo que foi exposto anteriormente,
quando os switches estão ligados entre si formando uma topologia que
possibilita o loop, cada uma das portas de intercomunicação tem um
papel chave no STP. Sabendo que cada switch tem seu ID (Bridge ID
ou BID), com a troca de BPDUs determinar-se-á qual deles será o root
(raiz). Aquele com o menor BID será o root.
Na Figura 13.6, as prioridades são iguais e o menor endereço físico
faz com que o BID seja menor, tornando o switch 1 (SW1) o Root
desta topologia. Caso os switches tivessem prioridade diferente
prevaleceria este parâmetro, independentemente do endereço MAC.
O processo se inicia com todos os switches chamando a
responsabilidade de “root” para si, cada um enviando o BPDU com
seu BID. À medida que cada candidato recebe BPDUs de outros que
indiquem BIDs menores, eles deixam de “reivindicar o posto” e
passam a informar o BID recebido (menor) como preferencial. Tão
logo todos tenham identificado quem tem o menor BID, este passa a
ser o Root. Democrático e sem discussões!
Identificar a Porta Raiz (Root Port)
Uma vez identificado o Root Bridge, aqueles que não são root
(nonroot) tratam de identificar a porta raiz ou Root Port. Esse conceito
possibilita agregar as interfaces que fazem parte da topologia STP. Em
resumo, uma porta raiz é aquela que tem o menor custo para alcançar a
Root Bridge ou, simplificando, que está diretamente conectada a ela. O
custo, como informado, é um parâmetro que pode ser alterado de
maneira a ajustar o STP conforme a necessidade ou estratégia do
Administrador de Rede.
Na mesma figura, o Switch 1 é o Root, logo, as portas dos outros
switches que estão ligadas a ele são as Root Ports (RP), ou seja, a

******ebook converter
DEMO
Watermarks*******
 Gi0/2 (no SW2) e Gi0/1 (no SW3).
Identificar a Porta Designada (Designated Port)
A etapa final para a topologia STP é a identificação das portas
designadas. Estas possuem esse nome por serem responsáveis por
conduzir o tráfego em direção ao Root Bridge com um caminho menor
ou, em outras palavras, com menor custo em um segmento LAN.
Considerando os custos dos links (ver Figura 13.4), cada switch
nonroot (que não é o raiz) passa os pacotes BPDU com a informação
de custos em direção ao Root. Caso o custo seja igual, teremos
critérios de desempate, que no caso será o Bridge ID (BID). No
cenário, o switch nonroot que tem o menor BID é o switch 2, logo sua
interface Gi0/1 será a Designated Port (DP).
Certo, mas e daí? Temos tudo identificado, portas e switches, mas
ainda temos um loop na rede. O que vem depois? Perceba que de fato
todo o processo serve para montar a topologia STP e identificar quem
é quem dentro dela. No entanto, faltou uma porta a ter algum papel
nessa história toda. A porta Gi0/2 do SW3 não foi identificada como
Designated, tampouco como Root, portanto seu papel “nulo” a leva a
ser colocada no estado Blocking, onde o tráfego não passa. Isso faz
com que o loop deixe de existir e apenas exista um único caminho para
a circulação dos dados na rede.
Lembre-se, mesmo estando em Blocking, ela “escuta” os BPDUs e,
quando houver um anúncio de uma falha na rede, esta porta entrará no
estado Forwarding, reativando o caminho alternativo.

Dicas Importantes Sobre o STP

Aqui seguem algumas dicas sobre o STP, considerando alguns dos
fatores que determinam uma topologia sem loops.
a) Etapas de Operação:

Eleger a bridge raiz (Root Bridge): Usar o menor Bridge ID.

Identificar a Root Port: Menor custo para o Root Bridge ou a

porta diretamente conectada ao Root Bridge. Em caso de

******ebook converter
DEMO
Watermarks*******
 empate, usar critérios de desempate.

Identificar as Designated Ports: Menor custo para o Root

Bridge. Em caso de empate, usar critérios de desempate.

Bloquear as portas de loop: Bloquear as portas que não são

Designated ou Root.
b) Critérios de desempate:

Eleger a bridge raiz (Root Bridge): Usar o menor Bridge ID.

Menor Bridge ID.

Menor custo para o Root Bridge.

Menor Bridge ID de quem envia.

Menor Port ID de quem envia.

c) Bridge priority (prioridade): se for 0 (zero), esta sempre será o
Root.
d) A topologia lógica ou ativa não ficará igual à topologia física,
ou seja, considerando a Figura 13.6, que está armada fisicamente como
um triângulo fechado, ao final do processo será um triângulo aberto,
uma vez que a porta do SW3 estará bloqueada, impedindo a passagem
de tráfego por ali.
e) Portas do switch/bridge raiz (Root Bridge): todas as portas do
Root são consideradas, por padrão, Designated Ports (DP).

Tópicos Avançados Sobre Spanning-

Tree
A Cisco tem algumas técnicas proprietárias que podem ser um
diferencial no momento da escolha do fornecedor de switches.
Vejamos algumas destas principais tecnologias:

******ebook converter
DEMO
Watermarks*******
 Porta Rápida (PortFast): A tecnologia de Porta Rápida ou Port
Fast é uma técnica criada para otimizar a operação das portas
dos switches que estão conectadas aos sistemas finais, como
estações de trabalho. Esta tecnologia faz uma pequena alteração
no processo STP. Basicamente, quando sabemos que uma porta
só terá computadores conectados, mas jamais outro switch ou
bridge, a técnica PortFast permite que se aprenda o MAC do
host e já inicie o encaminhamento de pacotes (Forwarding).
Com o STP ativo, sem o parâmetro PortFast, ter-se-ia que
aguardar todos os ‘timers’ até que a porta estivesse pronta para
tráfego de dados. Abaixo, o comando que ativa o recurso dentro
de uma interface:
Switch-1(config-if)# spanning-tree portfast

Adicionalmente, caso haja dúvida se alguma porta terá um switch

conectado, ao invés de usuários finais, recomenda-se aplicar o
comando BPDU Guard, evitando que a porta PortFast venha a receber
BPDUs e seja bloqueada com status Err-Disable caso receba pacotes
desse tipo. A seguir, os comandos para ativar tanto globalmente,
quanto em uma interface desejada, respectivamente:
Switch-1(config)# spanning-tree portfast bpduguard default

ou
Switch-1(config)# int Gi0/1
Switch-1(config-if)# spanning-tree bpduguard enable

Ligação Rápida (UpLink Fast): Mais uma tecnologia da Cisco

usada para permitir que switches de distribuição possam
convergir em cerca de três ou dois segundos. O comando é
aplicado globalmente no switch, englobando todas as portas.
Aquelas que têm a função de UpLink, isto é, interconexão entre
switches de nível hierárquico superior, são colocadas em
Blocking, enquanto apenas uma se encarrega do tráfego
(processo de se evitar o loop). Quando há uma falha, o switch já
tem computado o melhor caminho para o Root, ou seja, a porta
que será a próxima a assumir o tráfego. Deste modo, os tempos
de convergência ficam menores. É importante enfatizar que esse

******ebook converter
DEMO
Watermarks*******
 recurso deve ser usado em switches mais próximos das estações
e não naqueles que são elementos do núcleo da rede (core).
Comando:
Switch-1(config)# spanning-tree uplinkfast

Backbone Rápido (Backbone Fast): Pode reduzir o tempo de

parada em switches concentradores, alterando de 50 segundos
para 30s. Esse recurso tem como objetivo possibilitar a
identificação de quedas na comunicação com o Root
Switch/Bridge. Através da troca de informações (protocolo RLQ
– Root Link Query) entre todos, monitora-se o estado do link
com o Root e em caso de falhas, possibilita a rápida
convergência. Esse recurso é ativado globalmente no switch e
deve estar presente em todos os switches da rede, para que o
protocolo RLQ possa ser usado. Comando:
Switch-1(config)# spanning-tree backbonefast

Figura 13.7 – Esquema de ativação das características de

acordo com o modelo hierárquico da Cisco.

Rapid STP (802.1w)

O IEEE homologou o padrão 802.1w RSTP ou
******ebook converter
DEMO
Watermarks*******
 Rapid Spanning Tree Protocol para melhor
otimização da convergência do STP que, como
vimos, pode levar cerca de 50 segundos. Contudo,
esse tempo aparentemente pequeno ainda pode
comprometer determinadas aplicações sensíveis
que não suportam quedas tão longas, ainda que
sejam por motivos de convergência de rede. Esse
método preserva o cálculo de prioridades
existentes no 802.1d convencional, mas permite
uma convergência muito mais rápida, como o
próprio nome atesta. As portas raiz e designada
continuam da mesma forma, porém dois novos
papéis foram adicionados às portas do RSTP. São
elas:

Portas Alternativas (Alternate Ports):

Porta bloqueada que recebe BPDUs de portas
de outras bridges.

Portas de Backup (Backup Ports): Porta

bloqueada que recebe BPDUs de portas da
mesma bridge.
Assim, a grande novidade do 802.1w é a rápida
convergência para o estado de encaminhamento.
******ebook converter
DEMO
Watermarks*******
 Na realidade, foi feita uma utilização dos padrões
proprietários citados no tópico anterior (como o
PortFast) e homologado como padrão de
mercado. O modelo anterior aguardava uma
convergência de toda a rede antes de colocar a
porta no estado de Forwarding; agora, a transição
é feita usando duas variáveis: uma é o conceito de
Edge Port ou porta de acesso e a outra é o tipo de
link.
Adicionalmente, o RSTP modifica o estado das
portas, fazendo com que seu papel esteja
relacionado com o que se faz com o tráfego. As
portas do RSTP podem estar no estado de:

Descartando (Discarding): tráfego é

descartado e nenhum MAC é aprendido.
Basicamente, é um estado que combina, em
um só, os três estados do STP normal:
Blocking, Disabled e Listening.

Aprendendo (Learning): descarta os

frames, mas aprende MACs.

Encaminhando (Forwarding): mesmo

******ebook converter
DEMO
Watermarks*******
 papel do STP, enviando e recebendo dados,
bem como aprendendo endereços MAC.
Com toda essa implementação, o RSTP permite
a convergência em menos de 10 segundos
(comparados aos 50s do STP convencional),
ainda podendo chegar a valores próximos a 2
segundos.
Nas portas de acesso (Edge Port), é possível
garantir que a transição seja feita sem maiores
necessidades de controle, já que a ligação é feita
para uma estação final e esta não pode gerar loop.
O tipo de link é outra variável importante, pois
uma porta operando em Full Duplex é
considerada do tipo ponto a ponto (point-to-
point), ou seja, é um link onde deverá haver o
controle de loop e a checagem da topologia
durante a transição. Podemos exemplificar um
cenário de convergência do RSTP 802.1w através
da Figura 13.8.

******ebook converter
DEMO
Watermarks*******
 Figura 13.8 – Cenário de Convergência RSTP-802.1w.

Per-VLAN Spanning-Tree+ (PVST+)

Esse protocolo é uma ampliação do uso do STP convencional
(802.1d), visto anteriormente, aplicado às VLANs. Todo o processo de
eleição, identificação de switches, seus papéis e portas (raiz,
designadas) é o mesmo, porém aplicado individualmente a VLAN.
A cada estrutura de VLANs teremos uma bridge-raiz e tudo que se
aplica ao STP. Se temos 10 VLANs em uma rede com vários switches,
é possível ter 10 instâncias independentes de PVST+.
A consideração a ser feita neste caso é que os switches terão
incremento de uso de CPU para efetuar cálculos de PVST+ para cada
instância.
O PVST+ (simplesmente PVST ou até PVSTP) pode ser considerado
uma evolução do STP convencional do IEEE, isto é, tem o mesmo
conceito do STP antigo, mas ampliado com novas funcionalidades,
uma delas o PortFast.
Adicionalmente, o PVST+ vem ativado por padrão nos switches
Cisco. Lembre-se que o switch vem de fábrica com todas as portas
associadas a uma VLAN, a VLAN 1, que é a default. Assim, se temos
todo o switch vinculado a VLAN 1 e o STP está ativado nele, o
protocolo só poderia ser o PVST+. Questão de lógica.

******ebook converter
DEMO
Watermarks*******
 Rapid Per-VLAN Spanning-Tree+ (Rapid
PVST+)
Se temos um Rapid STP, por que não criar um Rapid PVST+ com o
mesmo conceito, mas aplicado às VLANs?
É justamente isso que o Rapid PVST+ faz. O que vimos sobre as
melhorias do STP aplicadas em instâncias de VLANs, o mesmo vale
na versão otimizada para melhorar os tempos de convergência no
mesmo cenário. É a implementação do ١٠٨.٢w dentro dos segmentos
VLAN.
A questão será sempre o uso de recursos do switch, como memória e
processamento. Mas os ganhos com essas funções permitem uma rede
de operação rápida e robusta.

Implementação do RPVST+
Agora que conhecemos melhor cada um desses protocolos, vamos
apresentar alguns comandos para configuração na rede com switches.
Aqui especificamente será mostrado o RPVST+ que é cobrado no
exame CCNA.
Switch(config)#spanning-tree mode ?
mst Multiple spanning tree mode
pvst Per-Vlan spanning tree mode
rapid-pvst Per-Vlan rapid spanning tree mode

Sem realizar qualquer ajuste no RPVST+, vejamos os parâmetros de

BID, Root ID, prioridade, custo:
Switch# sh spanning-tree vlan 1
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000f.f72c.c600
Cost 38
Port 8 (FastEthernet0/6)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 0018.7330.7e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15 sec
Interface Role Sts Cost Prio.Nbr Type

******ebook converter
DEMO
Watermarks*******
 Fa0/6 Root LIS 19 128.8 P2p
Fa0/7 Altn BLK 19 128.9 P2p
Fa0/8 Altn BLK 19 128.10 P2p
Fa0/11 Desg LIS 19 128.13 P2p

Para alterar a prioridade em um segundo switch, faremos:

Switch-2(config)#spanning-tree vlan 1 priority ?
<0-61440> bridge priority in increments of 4096
Switch-2(config)#spanning-tree vlan 1 priority 12288

Note que a ajuda indica que devemos usar múltiplos de 4096.

Usamos o valor multiplicado por 3, que resulta em 12288.
Switch-2(config)#do sh spann vlan 1
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 12289
Address 001c.5823.6480
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 12289 (priority 12288 sys-id-ext 1)
Address 001c.5823.6480
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15 sec

Durante o capítulo vimos que o bridge ID é composto pela

prioridade e o MAC do switch. O root (bridge raiz) da rede será aquele
com menor BID. O que fizemos foi baixar a prioridade para tornar o
Switch-2 o root.
Olhe com atenção no resultado do comando show spanning-tree
vlan 1 do exemplo anterior. Aparece o Root ID Priority e Bridge ID
Priority com o valor de 12289. Isso se dá porque o RPVST está
fazendo a composição da prioridade configurada (12288) somado com
o número da VLAN (1), que resulta em 12289. Se fossemos aplicar a
VLAN 10, a soma daria 12298. Veja:
Switch#sh spanning-tree vl 10
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 12298
Address 001c.5823.6480
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 12298 (priority 12288 sys-id-ext 10)
Address 001c.5823.6480

******ebook converter
DEMO
Watermarks*******
 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15 sec

Para alterar o custo de uma porta, tirando-a dos custos padrão, basta
entrar na interface desejada. O custo padrão de uma FastEthernet
(100Mbps) é 19. Alterando para 10, fica:
Switch(config)#int fa0/1
Switch(config-if)#spanning-tree vlan 1 cost 10

Ajustando-se a prioridade dos switches da rede, podemos interferir

na eleição do root, determinando aquele que melhor nos convém. O
administrador da rede pode ainda determinar que, independentemente
dos demais switches na rede, um deles seja o root. Também é possível
eleger o “vice”, ou seja, o root secundário que assume em caso de
falha do primário.
Isso evita ter que configurar todos os switches da rede com suas
respectivas prioridades. Como consequência, também evita que novos
switches que tenham prioridades menores ingressem na rede como
root. Vejamos os comandos para fazê-lo:
Switch#sh spanning-tree vlan 1 root
Root Hello Max Fwd
Vlan Root ID Cost Time Age Dly Root Port

VLAN0001 12289 001c.5823.6480 0 2 20 15

Switch#
Switch#conf t
Switch(config)#spanning-tree vlan 1 root ?
primary Configure this switch as primary root for this
spanning tree
secondary Configure switch as secondary root

Como complemento às configurações do RPVST, o BPDU Guard e

PortFast estão no nível de interface ou ajustados no modo de
configuração global para todo o switch:
Switch(config)#int range fa0/8-9
Switch(config-if-range)#spanning-tree bpduguard ?
disable Disable BPDU guard for this interface
enable Enable BPDU guard for this interface
Switch(config-if-range)#spanning-tree portfast ?
disable Disable portfast for this interface
trunk Enable portfast on the interface even in trunk mode
<cr>

******ebook converter
DEMO
Watermarks*******
 Switch(config)#spanning-tree portfast ?
bpdufilter Enable portfast bpdu filter on this switch
bpduguard Enable portfast bpdu guard on this switch
default Enable portfast by default on all access ports
Switch(config)#spanning-tree portfast bpduguard ?
default Enable bpdu guard by default on all portfast ports

Ao habilitar PortFast e BPDU Guard em todo o switch, caso

necessário, basta entrar em cada interface desejada para desativá-los
com o comando disable, como apresentado há pouco.

EtherChannel – Links Agregados

Em topologias como as das figuras apresentadas ao longo deste
capítulo apresentamos esquemas com múltiplos caminhos que os hosts
podem tomar. Essas interligações podem ser feitas com portas
FastEthernet (100Mbps) ou GigabitEthernet (1Gbps), por exemplo.
Quanto mais largura de banda for requerida, o administrador de rede
deverá pensar em expansão e aumentar o tamanho das troncais de
interligação entre switches.
Se ele tiver um switch que contenha apenas portas Fast, certamente
terá que trocar por outro que venha com portas Giga, se quiser
aumentar o tráfego para mais de 100Mbps, ou lançar mão do recurso
de links agregados, conhecidos como Port-channel ou no termo
proprietário Cisco: EtherChannel.
Agregar portas com o recurso EtherChannel permite tomar duas ou
mais portas Fast ou Giga para formar uma troncal lógica de maior
capacidade, multiplicada pela quantidade de interfaces físicas
agregadas.
Entre dois switches podemos pegar 3 portas FastEthernet e criar uma
porta lógica de 300 Mbps com o EtherChannel. A expansão da rede se
dá com economia até que se tenha um com portas de maior
capacidade. O mesmo vale para portas GigabitEthernet. Tomando 3
portas, como no exemplo anterior, criamos uma troncal lógica de 3
Gbps.
O protocolo proprietário Cisco que possibilita essa agregação de
links é chamado PAgP – Port Aggregation Protocol. Há também o
protocolo aberto, que permite fazer o mesmo com switches de
******ebook converter
DEMO
Watermarks*******
 múltiplos fabricantes. É o protocolo LACP – Link Aggregation
Control Protocol. A diferença entre eles é que, no primeiro, podem ser
agregadas de duas a oito portas. Já o segundo suporta até 16 portas no
canal, mas apenas oito estarão ativas com tráfego e outras oito em
espera, que serão ativadas quando houver falha em alguma dessas.

Figura 13.9 - Portas agregadas – EtherChannel.

Para uso de portas agregadas, é necessário que

todas tenham as mesmas configurações como
velocidade, duplex, VLAN, modo (access ou
trunk) e custo da porta (STP).
Vejamos como configurar uma porta agregada:
Switch(config)#int range fa0/1 - 3
Switch(config-if-range)#description TRUNK
AGREGADA
Switch(config-if-range)#switchport trunk
encapsulation dot1q
Switch(config-if-range)#switchport mode trunk
Switch(config-if-range)#channel-group 10 mode
active
Switch(config-if-range)#exit
Switch(config)#int port-channel 10
Switch(config-if)#switchport trunk
encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed

******ebook converter
DEMO
Watermarks*******
 vlan 2,3

Iniciamos com um comando diferente dessa

vez, entrando com uma faixa (range) de
interfaces, para aplicar as configurações para
todas de uma só vez. No caso, selecionamos a
FastEthernet0/1 até a 0/3. Em uma única
operação, configuramos as três.
Aplicamos uma descrição, encapsulamento e
modo trunk e, por fim, associamos à porta
agregada 10 com o comando channel-group 10
mode active.
O parâmetro active indica o tipo de protocolo a
ser usado. Usando a ajuda, podemos conferir os
demais:
Switch(config-if)#channel-group 10 mode ?
active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is
detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is
detected

Observe que active ou passive proporcionam o

uso do LACP. A diferença entre eles é que o
active (ativo) inicia a negociação com o vizinho
(outro switch) para estabelecer um link LACP
******ebook converter
DEMO
Watermarks*******
 agregado com as portas conectadas. Já o passive
(passivo) fica aguardando o início da negociação
para criar um port-channel.
Para o protocolo PAgP (proprietário Cisco), as
opções são auto e desirable. Se não desejar
nenhum dos protocolos, a porta agregada é
configurada manualmente, dos dois lados.
Ao final da configuração, entramos na interface
port-channel 10 e estabelecemos o protocolo
dot1q para trunk também. Opcionalmente,
colocamos as VLANs permitidas para trafegar
por ela.
Vejamos com o show run o resultado completo:
<config inicial omitida>
!
interface Port-channel1
no switchport
ip address 10.1.1.1 255.255.255.0
!
interface Port-channel10
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3
switchport mode trunk
!
interface FastEthernet0/1
description TRUNK AGREGADA
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3

******ebook converter
DEMO
Watermarks*******
 switchport mode trunk
channel-group 10 mode active
!
interface FastEthernet0/2
description TRUNK AGREGADA
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3
switchport mode trunk
channel-group 10 mode active
!
interface FastEthernet0/3
description TRUNK AGREGADA
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3
switchport mode trunk
channel-group 10 mode active
!
<restante omitido>

Conforme descrito, o príncipio de uso do

EtherChannel é ampliar a capacidade de banda
com portas agregadas. No entanto, o switch ainda
tem um mecanismo de tomada de decisão para
envio dos pacotes às portas físicas do conjunto,
ou seja, elas estarão agregadas, mas o frame sairá
por uma delas. A esse processo chamamos de
distribuição de carga (load distribution), ativado
com o comando port-channel load-balance
<método>. Das opções, temos para camadas 2, 3
e 4:

******ebook converter
DEMO
Watermarks*******
 src-mac: avalia apenas endereço MAC de
origem (camada 2)

dst-mac: avalia apenas endereço MAC de

destino (camada 2)

src-dst-mac: avalia ambos os endereços

MAC de origem e destino (camada 2)

src-ip: avalia IP de origem (camada 3)

dst-ip: avalia IP de destino (camada 3)

src-dst-ip: avalia ambos os endereços IP de

origem e destino (camada 3)

src-port: avalia a porta TCP ou UDP de

origem (camada 4)

dst-port: avalia a porta TCP ou UDP de

destino (camada 4)

src-dst-port: avalia ambas as portas de

origem ou destino em TCP ou UDP (camada

******ebook converter
DEMO
Watermarks*******
 4)
Ao colocarmos o comando port-channel load-
balance src-mac, por exemplo, o switch vai
verificar o frame e considerar o MAC de origem
e enviará a uma porta física. Quando uma
aplicação iniciar a transmissão, o fluxo de dados
que se estabelecer vai tomar um caminho físico,
ou seja, uma das portas físicas do Port-channel.
Enquanto essa transmissão ocorrer partindo do
mesmo MAC, o método de balanceamento vai
mandar para uma interface apenas. Outros fluxos
com MACs de origem diferentes tomarão outras
portas do agregado.
Switch(config)# port-channel load-balance
src-mac

Se trocarmos para src-dst-mac, será

considerado tanto origem, quanto destino. O
mesmo vale para os demais métodos listados.
A seguir, alguns comandos para visualização do
estado do etherchannel, das portas participantes e
protocolo:

show etherchannel.

******ebook converter
DEMO
Watermarks*******
 show etherchannel <numero> port-channel.

show etherchannel summary.

Switch#show etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+------------

10 Po10(SD) LACP Fa0/1(I) Fa0/2(I) Fa0/3(I)

******ebook converter
DEMO
Watermarks*******
14 - Listas de Controle de Acesso
IP – ACL

Introdução
Na atual realidade da informática e da interligação de redes, ter um
controle sobre o tráfego da rede ou de um de seus componentes é algo que
está se tornando padrão. Hoje todos querem ter um firewall na rede, mas
quando não têm orçamento disponível para isso, implementam soluções de
softwares livres (Freeware ou Open-Source) ou aproveitam características
de outros equipamentos para fechar as portas lógicas que possam permitir o
acesso não autorizado aos recursos da rede.
A lista de controle de acesso (Access Control List ou ACL) dos
roteadores Cisco é usada essencialmente para controlar o tráfego através de
uma lista de condições que precisam ser atendidas. O roteador poderá
encaminhar ou bloquear pacotes de acordo com as premissas especificadas,
semelhante às regras de firewalls. Esse tipo de implementação não visa
substituir um firewall dedicado, mas agrega um nível adicional de
segurança na implementação da sua rede. As condições incluem:

Endereço de Origem.

Endereço de Destino.

O protocolo usado.

Outras opções que são inerentes ao protocolo usado.

Outras condições de uso da lista de acesso são para protocolos de

roteamento no controle de prefixos permitidos ou negados, na propagação

******ebook converter
DEMO
Watermarks*******
de rotas e seleção, ou critério de tráfego para QoS (Qualidade de Serviço)
através de classificação de prioridade de pacotes.
Aqui, iremos abordar a lista de acesso do protocolo IP para filtragem de
pacotes, que é a temática cobrada no exame CCNA.
Na Figura 14.1 há um exemplo de rede que contempla esse tipo de
controle. Em um roteador há um bloqueio para a porta TCP 110 (POP3) e
uma permissão para as portas TCP 80 (HTTP), tipicamente usado para
permitir apenas o tráfego de acesso às páginas Web armazenadas nesse
servidor e negar acesso a e-mails.

Figura 14.1 – Exemplo de uma implementação com filtro de acesso.

O processo resumido para aplicar uma lista de acesso consiste nos
seguintes procedimentos:
1. Criar a restrição permitindo ou bloqueando o acesso.
2. Aplicar a interface (Ethernet ou Serial ou no conjunto LAN ou
WAN).
3. Informar a direção: entrando (inbound) ou saindo (outbound).
Dentro da implementação da lista de acesso é importante entender
perfeitamente as diretrizes que estas restrições seguem para que sejam
efetivamente aplicadas nas devidas interfaces. Vejamos algumas
considerações importantes:

******ebook converter
DEMO
Watermarks*******
 Só é possível aplicar apenas uma lista de acesso por interface e
em cada sentido (in/out), mas dentro dela pode haver filtros
diversos, seja por protocolo ou prefixo IP.

O pacote sempre é comparado com cada linha da lista de acesso

na sequência (primeiro: linha 1, depois: linha 2 e assim por
diante).

Pelo motivo anterior é que se recomenda que as regras mais

restritivas estejam no topo da lista.

A comparação linha a linha acontece até que a linha da lista de

acesso se iguale ao tipo de acesso. Depois de verificado que o
pacote “confere” (dá match) com a linha, as outras linhas da
lista não são usadas.

Ao implementar a lista de acesso, existe um bloqueio implícito

(implicit deny) no final. Desta forma se o pacote não satisfizer
nenhum item da lista de acesso, ele será bloqueado
automaticamente.

Entenda que a lista de acesso usa o roteador como um

dispositivo intermediário na transmissão do pacote e isto
significa que a lista de acesso verifica o tráfego que passa pelo
roteador e não o tráfego originado pelo roteador.

Coloque a lista de acesso padrão (standard) sempre próxima ao

destino.

Coloque a lista de acesso estendida (extended) sempre próxima

à origem.
Para reforçar esse check-list, vejamos o exemplo através de
analogias nos cenários da Figura 14.2. Os cenários contemplam um
controle de acesso simplista, onde um porteiro deve controlar o fluxo

******ebook converter
DEMO
Watermarks*******
 de pessoas que podem ou não entrar na Sala 113.

Figura 14.2 – Um porteiro com uma lista de acesso de várias salas, mas checando o
acesso no início do corredor.
Veja que, neste primeiro caso, o porteiro tem uma lista de acesso
onde só é testado um parâmetro, que é o de origem, ou seja, ele apenas
quer saber se a pessoa que está entrando satisfaz ou não um conjunto
de condições, porém ele não quer saber para onde esta pessoa vai.
Com isso ele acaba bloqueando mais gente do que precisa. Isto ratifica
a afirmação que diz: “coloque a lista de acesso padrão sempre próxima
ao destino”. Desta forma o correto seria colocar o porteiro apenas na
porta de entrada da sala (a 113) que requer este conjunto de condições
para entrar, neste caso, o destino. Veja o correto na Figura 14.3.

Figura 14.3 – Agora o porteiro ficou na porta da sala que requer estes critérios para

******ebook converter
DEMO
Watermarks*******
 entrar. Com isso a entrada para as outras salas está liberada.
Isto está totalmente relacionado à lista de acesso padrão, pois como
ela não testa o destino, ela acaba bloqueando toda a origem.
Por essa razão, quando se deseja testar mais parâmetros, é
imprescindível usar lista de acesso estendida. Veja a seguir, na Figura
14.4, a diferença de funcionamento no exemplo do porteiro. Note que
agora são questionados a origem (relativo à pessoa) e o destino (a sala
113):

Figura 14.4 – O porteiro agora pergunta diversas coisas antes de deixar ou recusar a
entrada.
Antes de iniciar a implementação da lista de acesso, vejamos na
tabela seguinte um resumo das implementações sobre ACLs IP:
INTERVALO
PROTOCOL DE LISTAS DE
DESCRIÇÃO
O ACESSO
DISPONÍVEL
ACL Padrão 1-99 e 1300- Usa somente o endereço IP de origem do pacote
1999 para filtrar a rede.
ACL 100 – 199 e Este tipo de filtro verifica tanto o endereço IP de
Estendida 2000-2699 origem quanto de destino, verifica o tipo de
protocolo (camada de rede) e o número da porta
(camada de transporte).

Lista de Acesso IP Padrão

Conforme a tabela anterior, a Lista de Acesso IP Padrão (Standard IP
Access List) tem como finalidade fazer filtros através do uso do
endereço IP de origem em um datagrama IP. Vejamos exemplos desta
implementação:

******ebook converter
DEMO
Watermarks*******
 Roteador(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list

Observe que o resultado do comando mostra uma série de possíveis

intervalos de acordo com o protocolo, variando conforme a versão do
IOS. Vejamos uma segunda parte deste comando:
Roteador(config)# access-list 30 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment

Estes são os três parâmetros suportados na lista de acesso. Permit ou

Deny para respectivamente permitir ou negar as condições e Remark
que basicamente adiciona um comentário à ACL, de maneira a melhor
identificar ou documentá-la.
Como foi digitado o valor 30, isto indica que o modo usado é ACL
Padrão. Agora é só definir qual o tipo de entrada na lista, se é deny
(bloquear) ou permit (permitir). Quando se está criando a restrição
você poderá adicionar:

O endereço IP de um host específico.

O nome do host.

Qualquer host.

Um intervalo de rede.
******ebook converter
DEMO
Watermarks*******
 Vejamos um exemplo de um bloqueio de um host específico:
Roteador(config)# access-list 30 deny host 192.168.1.200

Este comando estabelece claramente que os pacotes vindos do host

com endereço 192.168.1.200 serão descartados. Este comando também
poderia ser digitado da seguinte forma:
Roteador(config)#access-list 30 deny 192.168.1.200

Neste caso, se você omitir o parâmetro host, o roteador vai

interpretar que você quer bloquear pacotes vindos deste host.
Otimizando
Você viu que é possível adicionar restrições específicas para cada
máquina em uma lista de acesso, porém como fazer isso para um
conjunto de hosts? Aí entra o conhecimento de TCP/IP e cálculo
binário que vimos no sobre endereçamento IPv4.
Para identificar um intervalo de endereços, o roteador usa uma
máscara ou caractere coringa (wildcard mask) ou máscara inversa,
como também é conhecido este tipo de implementação. Lembrando-se
dos conceitos de máscara de sub-rede podemos dizer que ela informa
ao roteador quais bits do endereço IP pertencem ao número de rede e
quais pertencem ao endereço de host. Em uma máscara de sub-rede os
bits configurados para “1” correspondem aos bits de rede. No caractere
coringa, é justamente o contrário. Vejamos um exemplo:
O endereço 192.168.2.200 máscara 255.255.255.0 identifica como
endereço de rede os três primeiros octetos 192.168.2, e o último octeto,
que na máscara aparece com os bits configurados para “0”, representa
o endereço de host, que neste caso é 200.
No caractere coringa ou máscara inversa é um pouco diferente; veja
como ficaria uma restrição de acesso indicando para a rede
192.168.2.0:
access-list 30 deny 192.168.2.0 0.0.0.255

Note que, para indicar o intervalo das 254 máquinas deste segmento
de rede, a máscara foi invertida. O último octeto indica que todas as
máquinas do segmento entram no filtro.

******ebook converter
DEMO
Watermarks*******
 Até então é bem simples, porém e se você tiver que especificar uma
faixa de endereços de uma sub-rede VLSM? Simplificando, digamos
que você tenha uma rede com o endereço 10.85.8.0 e máscara
255.255.248.0 e queira restringir pacotes vindos dos segmentos 8 ao
15 (10.85.8.0 a 10.85.15.0). Sabemos que o intervalo que esta rede
proporciona é de 7 dígitos, ou seja, a primeira rede é de 0 – 7, a
segunda é de 8 – 15, a terceira de 16 – 23 e assim por diante.
Muito bem, como faríamos agora? Bem, o endereço na lista de
acesso ficaria:
10.85.8.0 0.0.7.255

Fácil? Imaginamos que sim, pois, partindo do pressuposto de que

você entendeu bem o Capítulo 7, sobre cálculo binário e IPv4, esse
conceito aqui é apenas uma inversão de posições. O cálculo para
chegar a este valor é o mesmo. Agora vejamos como implementar
através de comando esta variável:
Roteador(config)# access-list 30 deny 10.85.8.0 0.0.7.255

Uma simplificação interessante é a conta de subtração, na qual

tiramos a máscara da rede a ser controlada da máscara cheia
255.255.255.255. Exemplo:
Máscara cheia: 255.255.255.255
Máscara da rede: 255.255.248.0 (-)
Resultado: 0.0.7.255

O que fizemos foi subtrair cada octeto separadamente. Primeiro e

segundo: 255-255=0. No terceiro octeto, fazemos 255 – 248 = 7. No
quarto, 255-0=255. Portanto, temos o resultado apontado.
Vejamos mais um exemplo. Digamos que você queira restringir
pacotes vindos do terceiro intervalo de redes da rede 192.168.0.0
máscara 255.255.240.0.
Para isso teríamos que fazer todo o processo para achar o intervalo
das redes, que seria:
1. Converter a máscara em binário. Teríamos:
11111111.11111111.11110000.00000000

2. Através dos bits “0” do terceiro octeto achar o valor em decimal

******ebook converter
DEMO
Watermarks*******
 que representará o intervalo. Teríamos:
0000 -> 1111 = 15

3. Sabendo o intervalo das redes, poderíamos ver qual o terceiro

intervalo:
0 – 15, 16 – 31, 32 – 47....

4. Teríamos então a base do comando:

192.168.32.0 0.0.15.255

5. Por fim teríamos o comando propriamente dito:

Roteador(config)#access-list 30 deny 192.168.32.0 0.0.15.255

Resumindo os cinco passos acima, tomemos a seguinte subtração:

255.255.255.255
- 255.255.240.0
= 0.0.15.255

Pratique com mais exemplos e você logo ficará craque! Lembre-se,

no exame esses cálculos devem sair de cabeça muito rápido para
ganhar tempo para questões mais complexas.
Da mesma forma que podemos restringir ou permitir acesso para um
intervalo de endereços, também podemos fazer o mesmo para uma
rede inteira (ou qualquer endereço: “any”). Assim teríamos os
comandos abaixo, que no final será a mesma coisa:
Roteador(config)#access-list 30 permit any
Roteador(config)#access-list 30 permit 0.0.0.0
255.255.255.255

A primeira declara apenas “any” – qualquer endereço. A segunda diz

o mesmo, mas no formato de IP e máscara. Logo, basta escolher uma
opção.
Reiterando uma observação importante: lembre-se sempre que ao
final de uma ACL há sempre uma linha de negação implícita. Essa
linha corresponde à declaração “deny ip any any”. Portanto, sempre
que você criar ACLs com objetivo de negar tráfegos específicos, para
permitir o restante, a boa prática recomenda sempre colocar a
declaração “permit ip any any” ao final, para que o tráfego não
condizente com os filtros não seja prejudicado. Em suma, observe
sempre a lógica de sua ACL, por exemplo, se negar algumas coisas,

******ebook converter
DEMO
Watermarks*******
 permita o resto. Se permitir algumas, negue o resto (já implícito).

Lista de Acesso Estendida

Como foi visto no início do capítulo, as listas com intervalo entre
100 e 199 e entre 2000 e 2699 são usadas pela ACL estendida
(Extended Access List). Vejamos as etapas de implementação passo a
passo.
Primeiramente, as listas estendidas permitem que você escolha os
endereços IP de origem, de destino, além de poder escolher, também, o
protocolo e a porta. Vejamos quais os comandos disponíveis quando
for acionado o comando de ajuda (?):
Roteador(config)#access-list 101 ?
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITs or DENYs
permit Specify packets to forward
remark Access list entry comment

No caso da lista estendida o primeiro passo é escolher a ação, que no

exemplo será “deny”. Depois é escolher que protocolo será usado.
Você poderá escolher uma porta específica em seguida. Veja como:
Roteador(config)# access-list 101 deny ?
<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco’s EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco’s GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
IP Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pcp Payload Compression Protocol
tcp Transmission Control Protocol
udp User Datagram Protocol

Note que vários protocolos são apresentados. Neste caso você está
querendo impedir o acesso através de uma aplicação TCP/IP. Neste
exemplo, temos que mapear a aplicação TCP através da porta. Veja:
Roteador(config)#access-list 101 deny tcp ?
A.B.C.D Source address

******ebook converter
DEMO
Watermarks*******
 any Any source host
host A single source host

Agora você deverá especificar qual o endereço de origem que será

restrito. Que poderá ser de um só host ou de vários. Aqui também
entram as variáveis de máscaras coringa, wildcard mask:
Roteador(config)# access-list 101 deny tcp 192.168.40.0
0.0.0.255 ?
A.B.C.D Destination address
any Any destination host
eq Match only packets on a given port number
gt Match only packets with a greater port number
host A single destination host
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers

Após digitar o endereço de origem, a ajuda “?” traz opções de

destino. Digita-se, então, para onde deve ser a restrição:
Roteador(config)# access-list 101 deny tcp 192.168.40.0
0.0.0.255 host 172.16.0.2 ?
ack Match on the ACK bit
eq Match only packets on a given port number
established Match established connections
fin Match on the FIN bit
fragments Check fragments
gt Match only packets with a greater port number
log Log matches against this entry
log-input Log matches against this entry, including input
interface
lt Match only packets with a lower port number
neq Match only packets not on a given port number
precedence Match packets with given precedence value
l psh Match on the PSH bit
range Match only packets in the range of port numbers
rst Match on the RST bit
syn Match on the SYN bit
time-range Specify a time-range
tos Match packets with given TOS value
urg Match on the URG bit
<cr>

Agora que já foi especificado para qual host seria a restrição, é

importante especificar qual a porta que será restrita:
Roteador(config)# access-list 101 deny tcp 192.168.40.0
0.0.0.255 host 172.16.0.2 eq ?

******ebook converter
DEMO
Watermarks*******
 <0-65535> Port number
bgp Border Gateway Protocol (179)
chargen Character generator (19)
cmd Remote commands (rcmd, 514)
daytime Daytime (13)
discard Discard (9)
domain Domain Name Service (53)
echo Echo (7)
exec Exec (rsh, 512)
finger Finger (79)
ftp File Transfer Protocol (21)
ftp-data FTP data connections (used infrequently, 20)
gopher Gopher (70)
hostname NIC hostname server (101)
ident Ident Protocol (113)
irc Internet Relay Chat (194)
klogin Kerberos login (543)
kshell Kerberos shell (544)
login Login (rlogin, 513)
lpd Printer service (515)
nntp Network News Transport Protocol (119)
pim-auto-rp PIM Auto-RP (496)
pop2 Post Office Protocol v2 (109)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
sunrpc Sun Remote Procedure Call (111)
syslog Syslog (514)
tacacs TAC Access Control System (49)
talk Talk (517)
telnet Telnet (23)
time Time (37)
uucp Unix-to-Unix Copy Program (540)
whois Nicname (43)
www World Wide Web (HTTP, 80)

Vemos que aparece uma série de portas. A restrição neste caso será
feita na porta de FTP. Teremos então o comando abaixo:
Roteador(config)# access-list 101 deny tcp 192.168.40.0
0.0.0.255 host eq 21 ?
ack Match on the ACK bit
eq Match only packets on a given port number
established Match established connections
fin Match on the FIN bit
gt Match only packets with a greater port number
log Log matches against this entry
log-input Log matches against this entry, including input
interface

******ebook converter
DEMO
Watermarks*******
 lt Match only packets with a lower port number
neq Match only packets not on a given port number
precedence Match packets with given precedence value
psh Match on the PSH bit
range Match only packets in the range of port numbers
rst Match on the RST bit
syn Match on the SYN bit
time-range Specify a time-range
tos Match packets with given TOS value
urg Match on the URG bit
<cr>

Por fim, usaremos o parâmetro Log, que enviará uma mensagem

para console quando a lista de acesso for acionada. Ficaríamos, por
fim, com o comando abaixo:
Roteador(config)# access-list 101 deny tcp 192.168.40.0
0.0.0.255 host 172.16.0.2 eq 21 log

Agora que a lista de acesso está criada, basta aplicá-la à interface

desejada. Neste caso usando o comando “ip access-group”. Veja como
ficaria:
Roteador(config)#interface Fast0/0
Roteador(config-if)# ip access-group 101 in

A implementação de listas de acesso (ACL – Access Control List)

em roteadores não supre a necessidade de se ter um firewall na rede,
mas já serve como um primeiro nível de proteção. A Cisco tem um
equipamento chamado Cisco ASA (Adaptive Security Appliances) que
permite a implementação de DMZs e outros tipos de recursos mais
pertinentes à tecnologia de firewall.

Aplicando a Lista de Acesso

O exemplo a seguir mostra uma rede de uma empresa formada por
uma matriz e duas filiais. A necessidade desta empresa é bloquear todo
acesso vindo da rede da filial 2 para o servidor WEB. Vejamos como
ficaria então a lista de acesso:

******ebook converter
DEMO
Watermarks*******
 Figura 14.5 – Cenário de implementação.
RT_Matriz#configure terminal
RT_Matriz(config)# access-list 110 deny tcp 192.168.3.0
0.0.0.255 host 192.168.1.10 eq 80
RT_Matriz(config)# access-list 110 permit ip any any

Com a primeira linha já se tem o resultado desejado, mas é preciso

aplicar o comando “permit” no final; caso contrário haverá um
bloqueio implícito (deny). Para isso, devemos adicionar uma segunda
linha logo em seguida, permitindo tudo (origem-destino). Na Figura
14.6 temos o resumo de cada parte da sintaxe de criação de uma ACL
estendida.

Figura 14.6 – Relembrando as partes de uma lista de acesso.

Agora podemos vincular este comando à interface serial 0 do
roteador da Matriz:
RT_Matriz(config)# interface serial0
RT_Matriz(config-if)# ip access-group 110 in

******ebook converter
DEMO
Watermarks*******
 Monitorando as Listas de Acesso
Uma forma de acompanhar o crescimento e como estão configuradas
as listas de acesso é através de uma série de comandos de visualização.
Vejamos os principais:
COMANDO FUNÇÃO
show Mostra todas as listas de acesso e como estão configuradas. Porém
access-list não mostra a qual interface está aplicada.
show Mostra apenas a lista de acesso 101 ou número que se especificar.
access-list
101
show ip Mostra apenas as listas de acesso de IP aplicadas ao roteador.
access-list
show Mostra as listas de acesso e em que interface está aplicada.
running-
config
show ip Mostra que as interfaces IP têm lista de acesso.
interface
Veja o exemplo do comando show access-list:
Roteador# show access-list
Standard IP access list 1
permit any, wildcard bits
Standard IP access list 101
deny tcp, wildcard bits 192.168.40.0

Outra forma de monitoramento da lista de acesso é através do log. O

log de acessos permite que você receba mensagens via console para os
pacotes que coincidirem com as entradas na ACL. Os pacotes
subsequentes serão coletados em intervalos de 5 minutos. O nível de
mensagens armazenadas é controlado pelo comando logging console.
O log de mensagens inclui informações como:

Número da Lista de Acesso.

Se o pacote foi permitido ou bloqueado.

O endereço IP de origem do pacote.

******ebook converter
DEMO
Watermarks*******
 Através da execução do comando show running, vejamos um
exemplo de configuração deste recurso:
interface ethernet 0
ip address 10.10.10.10 255.0.0.0
ip access-group 1 in
ip access-group 2 out
!
access-list 1 permit 50.60.0.0 0.0.255.255 log
access-list 1 deny 70.90.0.0 0.0.255.255 log
!
access-list 2 permit 10.20.30.40 log
access-list 2 deny 10.20.0.0 0.0.255.255 log

O parâmetro log no final do comando indica que esta lista está sendo
monitorada. Estando com esta configuração aplicada, suponhamos que
a interface tenha recebido 10 pacotes do endereço 50.60.70.70 e 14
pacotes do endereço 10.20.23.21; o log aparecerá como mostra abaixo:
list 1 permit 50.60.70.70 1 packets
list 2 deny 10.20.23.21 1 packet

Na segunda coleta, após cinco minutos, aparecerão os pacotes

complementares da seguinte forma:
list 1 permit 50.60.70.70 9 packets
list 2 deny 10.20.23.21 13 packets

Listas de Acesso Nomeadas

As duas possibilidades de ACL vistas até então permitem controle
sobre o tráfego de maneira robusta com a vantagem de aumentar a
segurança da rede. Entretanto, à medida que essas regras vão
crescendo devemos tomar certos cuidados no correto gerenciamento
desse recurso. As ACLs, quando aplicadas em uma interface, devem
abrir cada pacote e analisá-lo para verificar suas informações e a
compatibilidade com as regras de controle desejadas. Essa operação
onera o processamento do roteador que, ao ser responsável por uma
grande quantidade de tráfego, pode ficar lento, prejudicando seu
desempenho.
Deste modo, uma boa estratégia é aplicar ACLs em roteadores da
Camada de Acesso (conceito definido nos primeiros capítulos que
abordam o Modelo Hierárquico da Cisco), ou implementar algumas

******ebook converter
DEMO
Watermarks*******
 regras na Camada de Distribuição e quase nenhuma na Camada
Núcleo ou “Core”.
Outra estratégia de um correto gerenciamento das ACLs é usar as
listas Nomeadas (Named Access Lists). Por sua característica intuitiva,
as ACLs Nomeadas permitem o uso de nomes ao invés de números em
sua identificação. Se o roteador tiver muitas regras, os nomes
permitem uma melhor gestão de suas funcionalidades em comparação
aos números.
Apresentamos anteriormente o recurso “remark” para se colocar um
descritivo que pode auxiliar o administrador, mas quando se usa esse
parâmetro, todo o sistema ainda fará referência ao número da lista, seja
estendida ou padrão.
Com a lista Nomeada, podemos usar o nome dentro de uma
interface, facilitando a associação. Vejamos como isso é possível,
analisando a sintaxe do comando:
Roteador(config)# ip access-list ?
extended Extended Access List
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List

Iniciamos a configuração com o comando IP na frente, indicando

uma lista Nomeada. Veja que, nas opções seguintes, há a possibilidade
de escolhermos uma ACL estendida ou padrão.
Depois, diferentemente da sintaxe apresentada, logo após
colocarmos o nome da lista (no exemplo: Web) e teclar Enter,
entraremos no modo de configuração da lista:
Roteador(config)# ip access-list extended Web ?
<cr>
Roteador(config-ext-nacl)# ?
Ext Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITs or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
no Negate a command or set its defaults

******ebook converter
DEMO
Watermarks*******
 permit Specify packets to forward
remark Access list entry comment

Aqui é possível ver outra vantagem da ACL Nomeada: é possível

adicionar ou remover as linhas (permitir e negar) de maneira
individual. Por mais que pareça óbvio, depois de você criar uma ACL
convencional (com números) da maneira apresentada nos tópicos
anteriores, caso alguma linha esteja incorreta e seja necessário ajustar
algum parâmetro, como endereço IP de um host, você deve refazê-la
inteira, por completo.
Vejamos um exemplo comparativo. Tomemos a mesma ACL criada
no tópico anterior (Monitorando Listas de Acesso):
access-list 1 permit 50.60.0.0 0.0.255.255 log
access-list 1 deny 70.90.0.0 0.0.255.255 log

Essa ACL 1 (standard) tem duas linhas, mas caso você precise
alterar a máscara de rede de uma delas, terá que recriar todas as linhas
referenciadas pela access-list 1.
no access-list 1 deny 70.90.0.0 0.0.255.255 log

Mesmo aplicando o comando como indicado “no access-list...”, o

que em tese retiraria apenas essa linha, na verdade retira toda a ACL 1.
Logo, se você entrou com dezenas de linhas, terá que reaplicar todas,
uma a uma. Por isso que a recomendação é trabalhar com um bloco de
notas, fazendo as alterações e depois colando no roteador, de modo a
garantir que não se percam.
Trabalhoso? Não se você utilizar as ACLs Nomeadas. Elas, sim,
permitem o ajuste individual de cada linha, sem perder o que já está
configurado. Observemos que, logo após criarmos a lista estendida de
nome Web, por exemplo, o prompt se altera, indicando que estamos
dentro da configuração da ACL nomeada (nacl):
Roteador(config)# ip access-list extended Web
Roteador(config-ext-nacl)#

Agora, toda declaração de permitir ou negar será colocada

individualmente:
Roteador(config-ext-nacl)# permit tcp 172.16.0.0 0.0.0.255
any eq www
Roteador(config-ext-nacl)# permit tcp 172.16.0.0 0.0.0.255

******ebook converter
DEMO
Watermarks*******
 any eq 80

Diferentemente do que vimos até então, veja que somente a

declaração de permitir está sendo inserida, sendo que antes
colocávamos o comando “access-list 101...”. Após colocar mais alguns
parâmetros, vejamos como ficam as configurações aplicadas com o
comando “show running”:
ip access-list extended Web
permit tcp 172.16.0.0 0.0.0.255 any eq www
permit tcp 172.32.0.0 0.0.0.255 any eq ftp
deny ip any any

Se compararmos com as ACLs padrão e estendidas vistas nas

sessões anteriores, vemos que o resultado é um pouco diferente e mais
intuitivo.
Como dissemos, se você errar algum parâmetro na primeira linha,
como a máscara ou IP, bastaria entrar novamente na lista, remover a
linha incorreta e reaplicá-la com os dados corretos. Entretanto,
vejamos a forma correta de fazê-lo, para que o resultado seja de fato o
esperado.
Primeiramente, vale relembrar que as ACLs analisam cada
declaração em sequência, percorrendo todas as linhas até que uma
coincida com o pacote recebido. Isso é uma regra, a “lei universal das
ACLs”!
Tomemos nossa ACL chamada Web, já criada, e vamos alterar a
primeira linha declarada, modificando a máscara coringa. Para isso,
devemos apagar a declaração existente:
Roteador(config)# ip access-list extended Web
Roteador(config-ext-nacl)# no permit tcp 172.16.0.0 0.0.0.255
any eq www

Em seguida, reescreveremos com a máscara correta:

Roteador(config-ext-nacl)# permit tcp 172.16.0.0 0.0.255.255
any eq www

Se simplesmente aplicarmos essa nova linha, veja o que teremos

como resultado:
ip access-list extended Web
permit tcp 172.32.0.0 0.0.0.255 any eq ftp

******ebook converter
DEMO
Watermarks*******
 deny ip any any
permit tcp 172.16.0.0 0.0.255.255 any eq www

Isso ocorre porque o roteador sempre lê em sequência e, também,

aplica as configurações de maneira sequenciada. Esse resultado altera
toda a lógica que programamos para a ACL e, desse modo, a
declaração deny sempre valeria antes da próxima, por ser mais
genérica (ou menos específica).
Para aproveitarmos as vantagens da ACL Nomeada, devemos tomar
o cuidado ao declarar a correta posição da nova linha. Como nós
retiramos a primeira e gostaríamos, obviamente, de colocá-la na
mesma posição, o que devemos fazer é informar isso no momento de
reaplicar a correção:
Roteador(config-ext-nacl)# 1 permit tcp 172.16.0.0
0.0.255.255 any eq www

Basta colocar o número de sequência (neste caso o 1) da declaração,

que ela é aplicada na ordem desejada:
ip access-list extended Web
permit tcp 172.16.0.0 0.0.255.255 any eq www
permit tcp 172.32.0.0 0.0.0.255 any eq ftp
deny ip any any

Se depois quisermos alterar a segunda linha, fazemos o mesmo

processo, iniciando com o número 2 e assim por diante. Muito prático!
Vejamos agora uma curiosidade muito interessante para as ACLs
normais (não Nomeadas), que deixamos para o final. Com as versões
mais recentes do sistema IOS, a Cisco implementou as funcionalidades
de listas de acesso nomeadas para todo o sistema de ACLs, isto é,
estendendo as vantagens de remover e reaplicar cada declaração
individual, sem perder as outras. O “truque” é usar o mesmo
procedimento para ACLs convencionais, sobretudo no sequenciamento
das linhas. Vejamos então como fazer.
Consideremos a ACL 101 (estendida). Após a criação de duas
declarações, teremos o seguinte resultado:
access-list 101 permit tcp any eq www any eq www
access-list 101 permit tcp any any eq ftp

Se quisermos alterar a primeira, basta usar o mesmo procedimento

******ebook converter
DEMO
Watermarks*******
 para listas Nomeadas, caso contrário, podemos remover as duas linhas
com um único comando, o que não é desejado.
Roteador(config)# ip access-list extended 101
Roteador(config-ext-nacl)# no permit tcp any eq www any eq
www
Roteador(config-ext-nacl)# 1 permit tcp any any eq www

E o resultado ficará:
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq ftp

O que fizemos foi criar a ACL do jeito convencional e modificá-la

como se fosse uma lista Nomeada. Essa funcionalidade auxilia, e
muito, a operação de listas de acesso de qualquer tipo.
Por fim, lembre-se: nenhuma ACL tem efeito se não for aplicada a
uma interface, política de QoS, protoloco de roteamento etc.

******ebook converter
DEMO
Watermarks*******
 15 - Serviços IP

Introdução
O exame CCNA também exige do candidato conhecimentos sobre outros
serviços ou funcionalidades IP nos roteadores, além das operações básicas
de roteamento, switching, VLANs, etc., vistos nos capítulos anteriores.
Neste capítulo veremos o NAT, DHCP, SNMP e implementação do NTP,
serviços essenciais que são comumente usados nas redes atuais.

NAT (Network Address Translation)

O crescimento da Internet fez com que a quantidade de endereços IP
ficasse escassa e, por isso, foi criado o endereçamento CIDR, tratado ao
longo deste livro. No entanto, era um problema que, em um determinado
momento, viria à tona novamente. Esse crescimento continuou e, assim,
novas tecnologias precisaram ser criadas para suportar a demanda de novas
empresas que desejavam entrar no mundo virtual. A tecnologia NAT
(Network Address Translation) permite que seja feita uma tradução de
endereço IP válido para não válido e vice-versa; além disso, outras
características estão agregadas ao NAT, como é o caso da possibilidade de
vários hosts de uma Intranet saírem para a Internet com apenas um único
endereço IP válido. Relembrando, o conceito de endereço válido refere-se
aos IPs públicos atribuídos pelos órgãos controladores da Internet que são
únicos e reconhecidos pela Internet, diferentemente dos endereços de
Intranet ou privados que, como visto no capítulo sobre IPv4, fazem parte da
RFC 1918 e se destinam ao uso interno nas redes locais (LAN).
Esse conjunto agregado de características tornou o NAT uma tecnologia
amplamente aceitável pela maioria das plataformas. Existem várias RFCs
que comentam sobre o NAT. Vejamos abaixo quais:
RF TÍTULO URL
C
163 The IP Network Address Translator (NAT) www.rfc-editor.org/in-
1 notes/rfc1631.txt

******ebook converter
DEMO
Watermarks*******
302 Traditional IP Network Address Translator (Traditional www.rfc-editor.org/in-
2 NAT) notes/rfc3022.txt
266 IP Network Address Translator Considerations www.rfc-editor.org/in-
3 notes/rfc2663.txt
276 Network Address Translation - (NAT) Terminology and www.rfc-editor.org/in-
6 Protocol Translation (NAT-PT) notes/rfc2766.txt
299 Architectural Implications of NAT www.rfc-editor.org/in-
3 notes/rfc2993.txt
323 Network Address Translator (NAT) -Friendly Application www.rfc-editor.org/in-
5 Design Guidelines notes/rfc3235.txt
Como dito anteriormente, há vários cenários em que o NAT se encaixa.
Para que você entenda melhor a tecnologia, vamos verificar um cenário
comumente utilizado.

Figura 15.1 – Uso de um único endereço IP para permitir o acesso de múltiplos hosts
da rede interna à Internet.
Neste cenário vamos explicar cada etapa numerada:
1. A estação, cujo endereço IP é 10.0.1.5, está fazendo acesso ao site
www.seusite.com. Partindo do pressuposto que a resolução de nome
DNS já foi feita, ele deverá encaminhar a requisição para o
“Default Gateway” (gateway padrão), pois o endereço do site não é
do mesmo segmento de rede que o dele.
2. O roteador, por sua vez, receberá a requisição e vai armazenar em
uma tabela as informações semelhantes às mostradas abaixo:
END. DE PORTA ENDEREÇO PORTA DE ENDEREÇO PORTA DE
ORIGEM DE DE DESTINO DESTINO TRADUZIDO ORIGEM
ORIGEM TRADUZIDA
10.0.1.5 49180 69.192.16.17 80 200.198.130. 2056
0 2
3. A requisição é encaminhada através de um novo pacote cujo

******ebook converter
DEMO
Watermarks*******
 endereço de origem foi trocado e armazenado na tabela acima
mostrada.
4. A resposta que vem do servidor Web seusite.com terá como
destino o endereço válido do roteador na porta que foi traduzida
(2056).
5. O roteador recebe a resposta, verifica na tabela o mapeamento e
encaminha para o host de solicitante, cujo endereço IP é 10.0.1.5.
Neste momento ele mostra que o endereço de origem é o da sua
interface Ethernet, ou seja, 10.0.1.1.
Antes que você pense na obviedade disso, lembre-se que, no
conceito de protocolos, temos sempre o endereço de origem e destino.
Esses dados são fixos e percorrem todo o trajeto, mesmo quando temos
redes distintas, ligadas por roteadores. Entretanto, o NAT é um recurso
que oculta o IP de origem colocando outro, de maneira que um IP
válido conheça uma origem válida, ou então teríamos o pacote indo,
porém, não voltando. Esse é o papel fundamental do NAT.
O NAT é um recurso alternativo ao esgotamento de endereços e por
esta razão o endereçamento IPv6 foi desenvolvido possibilitando a
expansão da quantidade de endereços para um valor praticamente
inesgotável.

O NAT da Cisco
A Cisco trabalha com várias nomenclaturas para definição do NAT
em sua estrutura. Esta terminologia pode não ser a mesma em outros
fabricantes. Desta forma, o que iremos mostrar a seguir é um padrão
Cisco para definição do funcionamento do NAT. Fique atento às
definições das nomenclaturas utilizadas na Figura 15.2 a seguir:

Inside Local: Endereço IP atribuído a um host ao entrar na rede

interna.

Inside Global: Endereço IP válido da interface externa que

poderá representar mais de um host durante o acesso a uma rede
externa.

******ebook converter
DEMO
Watermarks*******
 Outside Local: Endereço IP do host externo quando aparece na
rede interna, ou seja, após a tradução do endereço externo para o
interno.

Figura 15.2 – Terminologias Cisco para o recurso NAT.

Outside Global: Endereço do host interno

quando aparece na rede externa, ou seja, após
a tradução de interno para externo.
Em suma podemos dizer que todos os
endereços “Locais” são pertencentes à rede
interna e todos os endereços “Globais” são
pertencentes à rede externa.
Tipos de NAT
Conforme falamos anteriormente, o NAT pode

******ebook converter
DEMO
Watermarks*******
 ser usado em vários cenários, inclusive citamos
um de exemplo. A Cisco define algumas
nomenclaturas específicas para os diferentes tipos
de NAT suportados. Vejamos quais são eles:

Estático: Mapeamento 1 para 1, um IP não

válido para um válido (lembre-se que o
termo “válido” também se refere a “público”,
roteável na Internet).

Dinâmico: Mapeamento de um IP não válido

para um válido dentro de um conjunto de
válidos.

Overloading: Vários IPs não válidos saindo

por apenas um válido, mudando apenas a
porta de saída. Este tipo também é conhecido
como PAT, Port Address Translation.

Overlapping: Usado em caso de

interoperabilidade entre redes que utilizam a
mesma faixa de endereçamento.
O exemplo que vimos na Figura 15.1 é
justamente o NAT Overloading, onde várias
******ebook converter
DEMO
Watermarks*******
 máquinas internas saem para a Internet com um
único IP válido. Vejamos outros exemplos através
da Figura 15.3.

Figura 15.3 – Exemplo dos diferentes tipos de NAT.

Nesse desenho temos três cenários:

Cenário 1: nesse cenário, que começa sua

numeração com 1.1 e assim por diante, tem
como finalidade mostrar um mapeamento
estático, onde se está publicando o servidor
Web, que originalmente está na rede interna,
para aparecer na rede externa com um

******ebook converter
DEMO
Watermarks*******
 endereço válido. Esta aplicação é similar
àquelas configurações de “servidor virtual”
disponível na maioria dos roteadores sem-fio
que permite você acessar um computador em
sua rede doméstica estando fora dela,
geralmente para fins de jogos on-line.

Cenário 2: esse cenário começa com 2.1 e

pode representar tanto um NAT tipo
Dinâmico, pois esta estação interna poderia
sair usando um IP válido de um conjunto de
válidos, ou poderia também representar o
Overloading, onde se tem apenas um IP
válido e vários hosts internos saem por ele.
Como dissemos, é a aplicação mais comum
nas redes atuais e permitiu que não
esgotássemos os IPs válidos tão cedo.

Cenário 3: por último o cenário 3, que

começa pelo 3.1, mostra o NAT Overlapping,
onde duas empresas precisam manter
conectividade e acessibilidade aos recursos,
porém usam a mesma faixa de
endereçamento IP, ou seja, aqui ambas
possuem suas redes internas com o prefixo
******ebook converter
DEMO
Watermarks*******
 172.16.1.0/24.
Implementação
Para esse exemplo iremos utilizar um cenário
bem prático, onde temos um roteador que tem 3
interfaces das quais uma vai para a rede interna,
outra para uma DMZ e uma interface serial que
vai para a Internet. Veja a Figura 15.4 que mostra
como é esta implementação.

Figura 15.4 – Cenário para implementação do NAT Overloading (ou PAT).

Vejamos como fica a configuração do roteador:
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
ip nat inside
interface Serial0/0
ip address 200.199.19.1 255.255.255.0
ip nat outside
ip nat pool internet 200.199.19.1 200.199.19.1 prefix 24
ip nat inside source list 10 pool internet overload
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 permit 192.168.2.0 0.0.0.255

******ebook converter
DEMO
Watermarks*******
 Dividir a configuração em blocos facilitará o entendimento de cada
parte da implementação. No primeiro bloco temos a definição do
endereço IP da interface FastEthernet 0/0 como sendo interno; para
isso usamos o comando ip nat inside. A mesma coisa acontece no
segundo bloco, onde temos a definição da DMZ. A DMZ (ou zona
desmilitarizada) é uma rede “neutra” não pertencente à rede interna e
tampouco à externa, possibilitando a publicação de servidores que
serão de acesso público, mas protegido através de um firewall ou, no
nosso caso, por um roteador.
No terceiro bloco temos a definição da interface externa, que no caso
é a Serial 0/0; note que neste caso o comando usado foi o ip nat
outside.
Na primeira linha do quarto bloco temos a definição de um pool (ou
grupo de endereços válidos) chamado “internet” cujo intervalo é de
apenas um endereço, ou seja, o próprio endereço da interface serial e
usando o prefixo /24 que corresponde à máscara classe C de 24 bits.
Com isso já possibilitamos o chamado overloading, pois todos os
endereços irão sair para a Internet com apenas um endereço válido. Na
segunda linha temos, portanto, a definição de quem poderá acessar a
rede externa. Note que temos neste caso um apontador para uma lista
de acesso 10, indicando que a origem do acesso da rede interna (ip nat
inside source) deverá corresponder à lista de acesso 10 (access-list 10)
e o pool de saída a ser usado é o Internet (pool internet), e por fim
indica que o tipo de NAT é overload.
Como temos um apontador para uma lista precisamos ter então uma
ACL para fazer este controle e aí está ela no último bloco. Note que o
acesso permitido está indo para a rede interna e para a DMZ.
Vale informar que a lista 10 é uma ACL padrão, autorizando toda
uma rede. Como vimos no capítulo 14, esse controle pode ser
customizado de acordo com o projeto do administrador da rede, ou
seja, especificando uma rede, um host ou origem e destinos específicos
que deverão passar pelo recurso de NAT.
Outros Comandos
Vejamos outros comandos utilizados pelo NAT:
DESCRIÇÃO

******ebook converter
DEMO
Watermarks*******
 COMANDO

ip nat inside source static Faz o mapeamento um para um, de um endereço

10.10.10.20 200.253.244.254 local para um endereço válido
ip nat translation udp-timeout 200 Configura o timeout do UDP para 200 segundos
ip nat translation tcp-timeout Configura o timeout do TCP para 1000 segundos
1000
clear ip nat translation * Limpa os mapeamentos (traduções) NAT
show ip nat translations Mostra as traduções ativas no roteador
Dos comandos apresentados, repetimos o comando chave já visto,
que associa a ACL ao pool de endereços e depois ativa o
‘overloading’:
ip nat inside source list 10 pool internet overload

Explicando em detalhes, a lista pode ter qualquer número ou nome

(Named Access List) e o pool pode ter um nome qualquer. Aqui
utilizamos o nome “internet”. Para o PAT, não se esqueça do parâmetro
“overload” no final.

DHCP (Dynamic Host Configuration

Protocol)
Ao longo do livro comentamos sobre o protocolo DHCP (Dynamic
Host Configuration Protocol) e neste tópico realizaremos a
configuração desse serviço para a rede.
Computadores em rede precisam estar configurados com endereços
IP para se comunicarem. Esse serviço permite distribuir
dinamicamente endereços IP de uma faixa que o administrador defina
e, à medida que cada equipamento ingressa na rede, ele aloca um
endereço específico, além de outros parâmetros necessários, como
servidores de nomes NETBIOS (Windows), DNS, default gateway,
etc.
Em sua residência, por exemplo, se você tem acesso à banda larga
certamente nunca realizou configurações no equipamento da
operadora. Ela fornece um roteador/cable modem (a depender de como
é o serviço) que, em geral, possui conexões via cabo e sem-fio
(wireless). Uma vez que seu celular, tablet, PC, TV ou qualquer outro
dispositivo queira se conectar à rede, basta ele identificar o SSID
******ebook converter
DEMO
Watermarks*******
 (veremos em detalhes esse termo no capítulo sobre Wireless) e pronto,
já está conectado e acessando a Internet. Parte do processo inclui obter
um endereço IP do DHCP que está configurado nesse roteador. Do
contrário, você teria que entrar em cada dispositivo e configurar um IP
e a rota default, além do DNS para navegação na Internet, o que fica
inviável, dado que é comum ter uns dez dispositivos ligados em rede
dentro de uma residência.
O DHCP pode estar, também, em um servidor Windows ou Linux,
mas tendo um roteador na rede, é dispensável o uso de um
equipamento à parte só para essa função. Caso a empresa tenha um
servidor central que já faça esse serviço, é possível configurar o
roteador de uma filial para que repasse essas notificações do protocolo
à localidade central. Vamos ver como configurar o DHCP para esses
cenários.
Iniciemos com a configuração do servidor DHCP no roteador de
uma Filial modelo:

A faixa de endereços IP da localidade é 172.16.0.0/24. Como

boas práticas, vamos deixar alguns IPs reservados para uso
futuro, por exemplo, para impressoras, servidores ou
dispositivos que tenham endereço fixo e não dinâmico (via
DHCP). Assim, devemos criar uma faixa de “exclusão” que, no
nosso caso, deixará fora da distribuição 10 endereços IP.

Vamos criar um pool de endereços chamado FILIAL01, indicar

o gateway padrão, um servidor DNS e NETBIOS, e o tempo
limite para garantia do IP ao host.
Roteador-Filial(config)#ip dhcp excluded-address 172.16.0.1
172.16.0.10
Roteador-Filial(config)#ip dhcp pool FILIAL01
Roteador-Filial(dhcp-config)#default-router 172.16.0.1
Roteador-Filial(dhcp-config)#dns-server 10.0.0.1
Roteador-Filial(dhcp-config)#netbios-name-server 10.0.1.20
Roteador-Filial(dhcp-config)#lease 2 12 30

O resultado, com show running, fica assim:

<partes omitidas>
ip dhcp excluded-address 172.16.0.1 172.16.0.10

******ebook converter
DEMO
Watermarks*******
 !
ip dhcp pool FILIAL01
default-router 172.16.0.1
dns-server 10.0.0.1
netbios-name-server 10.0.1.20
lease 2 12 30
!
<partes omitidas>

Todos esses parâmetros devem ser passados pelo administrador da

rede. Essas informações, bem como as redes dos respectivos servidores
apontados, devem ser conhecidas e roteadas, para que as máquinas
possam encontrá-los.
Se não quisermos configurar o DHCP no roteador dessa Filial
porque já existe esse serviço em outra localidade ou matriz, então
devemos configurar o roteador para permitir a passagem de requisições
DHCP vindas da central. Essas requisições se baseiam em broadcast e,
como já sabemos, o roteador delimita domínio de broadcast,
restringindo pacotes desse tipo.
Para que o roteador não descarte pacotes broadcast usados pelo
serviço DHCP, temos que configurar o DHCP Relay na interface LAN
que faz parte do mesmo segmento de rede das demais estações de
trabalho. Para isso, usa-se o comando ip helper-address:
Roteador-Filial(config)#int fa0/0
Roteador-Filial(config-if)#ip helper-address 198.168.0.12

Os comandos para visualização das configurações e estatísticas do

DHCP estão listados abaixo:
Roteador-Filial#sh ip dhcp ?
binding DHCP address bindings
conflict DHCP address conflicts
database DHCP database agents
import Show Imported Parameters
pool DHCP pools information
relay Miscellaneous DHCP relay information
server Miscellaneous DHCP server information

SNMP (Simple Network Management

Protocol)

******ebook converter
DEMO
Watermarks*******
 Embora o exame CCNA não exija configuração do SNMP, apenas
conceitos, aqui apresentaremos este protocolo e alguns comandos, a
fim de preparar o leitor para o mercado de trabalho em redes.
Das possibilidades suportadas pelo IOS Cisco, temos o SNMPv2c e
SNMPv3. A diferença está na autenticação oferecida pelo segundo.
Ambos são bem simples e permitem, inclusive, indicar uma lista de
acesso (ACL) para aceitar solicitações apenas de hosts ou redes
específicas.
Roteador(config)# snmp-server community @cademiaT1 ?
<1-99> Std IP accesslist allowing access with this community
string
<1300-1999> Expanded IP accesslist allowing access with this
community
string
WORD Access-list name
ipv6 Specify IPv6 Named Access-List
ro Read-only access with this community string
rw Read-write access with this community string
view Restrict this community to a named MIB view

A string @cademiaT1 é uma palavra que o administrador define. A

partir dela, podemos definir se será uma comunidade SNMP somente
leitura (ro), escrita (rw) ou definir, opcionalmente, uma ACL que
restrinja o acesso apenas para um determinado agente SNMP, como
um servidor de gerência, por exemplo.
No nosso exemplo, faremos assim:
Roteador(config)#snmp-server community @cademiaT1 ro
Roteador(config)#snmp-server location Sao Paulo
Roteador(config)#snmp-server contact Alexandre ou Jefferson

O parâmetro community (comunidade) é como uma senha, que o

sistema de gerência usa para acessar o roteador (ou switch) Cisco e
obter as informações do sistema via SNMPv1 ou v2c. Para a versão 3
do SNMP, o método de autenticação é distinto, mais robusto e seguro,
uma vantagem às versões anteriores.
Roteador(config)#snmp-server group Gerencia ?
v1 group using the v1 security model
v2c group using the v2c security model
v3 group using the User Security Model (SNMPv3)
Roteador(config)#snmp-server group Gerencia v3 ?
auth group using the authNoPriv Security Level

******ebook converter
DEMO
Watermarks*******
 noauth group using the noAuthNoPriv Security Level
priv group using SNMPv3 authPriv security level

Após configurado, o Agente SNMP passa a enviar traps ou

mensagens a um sistema de gerência, conhecido por NMS (Network
Management Station) ou SNMP manager. O protocolo SNMP está na
camada de aplicação e usa o UDP como transporte. Esse sistema pode
coletar mensagens SNMP de vários equipamentos (Agentes), inclusive
de outros fabricantes, já que o protocolo é padrão.
Cada Agente possui uma base de informações com todos os
parâmetros do dispositivo. A essa base denominamos MIB,
Management Information Base. Roteadores podem ter milhares de
variáveis MIB e elas definem as variáveis como object ID (OID),
cujos parâmetros do equipamento são listados.
Uma recomendação importante é fazer uso das ACLs para filtrar os
requisitantes de informações via SNMP, isto é, permitir apenas o IP do
NMS para coletar as informações. Mesmo que haja as autenticações do
protocolo, ainda assim é válido criar uma ACL permitindo apenas o IP
de origem do NMS, evitando que outros NMS’ possam tentar acessar
MIBs via SNMP.

NTP (Network Time Protocol)

O protocolo NTP permite sincronizar o relógio dos equipamentos de
rede, permitindo que eles estejam com o mesmo dia e horário a fim de
permitir o rastreamento de alertas e falhas.
Cada equipamento poderia ter um horário distinto do tempo real, se
configurado manualmente. O NTP mantém todos com uma única fonte
de relógio que pode, por fim, ser sincronizada com um relógio atômico
na Internet.
Para configurar manualmente, basta usar o comando clock set na
raiz modo privilegiado:
Roteador#show clock
*21:47:09.311 UTC Sun Aug 31 2014
Roteador#clock set ?
hh:mm:ss Current Time
Roteador#clock set 16:47:00 ?
<1-31> Day of the month

******ebook converter
DEMO
Watermarks*******
 MONTH Month of the year
Roteador#clock set 16:47:00 25 Jul 2021

Isso define a hora sem um servidor NTP. Para sincronia com um

servidor de horário, devemos configurar assim:
Roteador(config)#ntp server 10.0.1.254 version 4

Basta uma linha de comando indicando o IP do servidor NTP e

pronto. Caso você deseje configurar um roteador da rede para ser o
servidor NTP, basta fazer o comando:
Roteador(config)#ntp master ?
<1-15> Stratum number
<cr>

Depois, é só associar os clientes com o comando anterior:

ntp server <ip_do_master>.

Para verificar o funcionamento e estado do NTP, basta usar os

comandos com show:
Roteador# show ntp ?
associations NTP associations
information NTP Information
packets NTP Packet statistics
status NTP status

CDP (Cisco Discovery Protocol)

O protocolo CDP é uma funcionalidade Cisco que permite funções
interessantes ao administrador da rede. Ele permite a identificação de
vários parâmetros dos equipamentos e facilidades no inventário da
rede, sejam roteadores ou switches:

identificação do dispositivo: o hostname do equipamento.

endereços de rede e de enlace.

identificação da porta a qual se conecta o dispositivo vizinho.

funcionalidade do equipamento: roteador ou switch.

******ebook converter
DEMO
Watermarks*******
 modelo e versão de IOS.
O CDP também é usado para identificação de portas de voz e dados
pelos telefones IP da Cisco. Para verificar os dados de um
equipamento vizinho com o CDP, temos os comandos show cdp
<variável>:
RT01#show cdp ?
entry Information for specific neighbor entry
interface CDP interface status and configuration
neighbors CDP neighbor entries
tlv CDP optional TLVs
tlv-list Information about specific tlv list
traffic CDP statistics
| Output modifiers
<cr>
RT01#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source
Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID
Switch Eth 0/0 179 R S I Linux Uni Eth 0/1
Total cdp entries displayed : 1

Para ativar o CDP em uma interface, basta aplicar o comando cdp

enable. Em geral, nas versões recentes do IOS ele já vem ativo e o que
os administradores fazem é desativá-lo.
Se nada aparece explícito na configuração da interface, já está ativo
por padrão. Colocando o comando no cdp enable desativa o protocolo
e as mensagens CDP param de ser trocadas.
RT01#sh run int e0/0
!
interface Ethernet0/0
ip address 10.10.12.1 255.255.255.0
ipv6 address 2001:DB8:1:12::1/64
ipv6 rip 1 enable
no cdp enable
end

LLDP (Link Layer Discovery Protocol)

O LLDP é o protocol aberto IEEE padrão 802.1AB que tem as
mesmas funcionalidades do CDP, já que este último é proprietário

******ebook converter
DEMO
Watermarks*******
 Cisco. A vantagem do LLDP é integrar equipamentos de vários
fabricantes e ter uma melhor gestão da rede.
Para ativá-lo, deve-se configurar o lldp run no comando global do
equipamento ou ativar o modo transmitir (lldp transmit) e receber
(lldp receive) em cada interface. Quando se usa lldp run, habilita-se o
protocolo em todo o equipamento, tanto no lado transmitir, quanto no
receber. Caso alguma interface não deva ter o lldp ativo após a
configuração do lldp run, deve-se negar o comando individualmente
nela:
RT01(config)# lldp run
RT01(config)# int e0/0
RT01(config-if)# no lldp transmit
RT01(config-if)# no lldp receive

Caso não seja requerido rodar o LLDP em todo o equipamento, mas

apenas em algumas interfaces, daí recomenda-se aplicar
individualmente o lldp nos dois sentidos individualmente. Neste caso,
o exemplo anterior só teria os comandos dentro da interface e0/0, sem
configurar a primeira linha do lldp run.
O comando show lldp apresenta os detalhes dos equipamentos
vizinhos que estão trocando mensagens com esse protocolo.
RT01(config)# lldp ?
holdtime Specify the holdtime (in sec) to be sent in packets
reinit Delay (in sec) for LLDP initialization on any
interface
run Enable LLDP
timer Specify the rate at which LLDP packets are sent (in
sec)
tlv-select Selection of LLDP TLVs to send
RT01(config-if)# lldp ?
receive Enable LLDP reception on interface
tlv-select Selection of LLDP TLVs to send
transmit Enable LLDP transmission on interface
RT01# show lldp
Global LLDP Information:
Status: ACTIVE
LLDP advertisements are sent every 30 seconds
LLDP hold time advertised is 120 seconds
LLDP interface reinitialisation delay is 2 seconds

Syslog (System Message Logging)

******ebook converter
DEMO
Watermarks*******
 O sistema Cisco, através de seu IOS, envia rotineiramente
mensagens ao usuário que está diretamente conectado ao equipamento
com informações relevantes da operação ou resultado de comandos.
Se o estimado leitor acompanhou todas as lições até aqui com o uso
de emuladores ou equipamentos reais, deve ter percebido algumas
mensagens geradas pelo sistema. Se veio até este tópico sem realizar
ações sobre um roteador, apresentamos alguns exemplos de mensagens
mais comuns, como:

Sair do modo de configuração global:

Roteador(config)#exit
Roteador#
*Oct 9 00:43:41.536: %SYS-5-CONFIG_I: Configured from console
by console

Ativar, configurar (ou desativar) uma interface:

Roteador (config)#int loopback 1
*Oct 9 00:47:06.386: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Loopback1, changed state to up
Roteador(config-if)#

Essas mensagens aparecem ao usuário da console por padrão, já que

o IOS inicia com o comando logging console ativo. Para que se tenha
acesso aos alertas do sistema ao acessar remotamente via Telnet ou
SSH, é necessário ativar o comando logging monitor no modo global e
depois o terminal monitor no modo usuário:
Roteador(config)#logging monitor
Roteador#terminal monitor
Para desativar:
Roteador#terminal no monitor

Essas ações permitem acompanhar as mensagens enquanto

conectado ao equipamento. No entanto, caso haja necessidade de
armazenar para verificação futura ou até mesmo em um servidor
externo, é possível ajustar o Syslog com alguns comandos adicionais:
Roteador(config)#logging buffered
Roteador(config)#logging host ?
Hostname or A.B.C.D IP address of the syslog server
ipv6 Configure IPv6 syslog server

******ebook converter
DEMO
Watermarks*******
 Depois, para visualizar os logs do sistema, basta entrar com show
logging. Segue um resultado de exemplo:
*Sep 14 13:31:45.781: %SYS-5-CONFIG_I: Configured from
console by console
*Sep 14 13:43:58.174: %OSPF-5-ADJCHG: Process 1, Nbr
10.208.0.33 on Ethernet0/0 from FULL to DOWN, Neighbor Down:
Interface down or detached
*Sep 14 13:44:28.324: %OSPF-5-ADJCHG: Process 1, Nbr
10.208.0.33 on Ethernet0/0 from LOADING to FULL, Loading Done
*Sep 14 13:50:45.010: %SYS-5-CONFIG_I: Configured from
console by console
*Sep 14 14:29:15.215: %LINK-3-UPDOWN: Interface Ethernet0/1,
changed state to up
*Sep 14 14:29:16.220: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Ethernet0/1, changed state to up

Observe que os logs indicam data e hora e a ocorrência com alguns

códigos. Às vezes os códigos são autoexplicativos, para outros
recomenda-se uma pesquisa para entender efetivamente a que se
referem. No exemplo, alguns mais comuns, como interface UP,
configuração da console e logs OSPF.
Lembra do serviço NTP que falamos anteriormente? Serve para
sincronia e padronização da fonte de relógio, o que é muito útil para
rastrear eventos na rede com as mensagens do syslog. Com uma fonte
confiável, você poderá apurar com exatidão falhas ou alertas que
requeiram alguma ação ou diagnóstico.

Gerenciando imagens IOS Cisco com

FTP e TFTP
Ao longo deste livro foram apresentadas as definições e uso do
protocolo FTP (File Transfer Protocol) e TFTP (Trivial File Transfer
Protocol). Neste tópico, dentro de Serviços IP, mostraremos o uso
desses protocolos para gerenciamento das imagens ou arquivos do
sistema operacional IOS Cisco.
Como também vimos, o roteador ou switch Cisco possui um arquivo
IOS que contém as funcionalidades completas do equipamento. É
como o Windows ou MacOS do seu computador. Dentro da memória
Flash podem ficar armazenadas não só um, como vários arquivos de
******ebook converter
DEMO
Watermarks*******
 IOS a depender da capacidade em megabytes ou gigabytes, embora
apenas um vá rodar como sistema principal.
Os arquivos IOS podem ser obtidos diretamente da Cisco. Uma vez
feito download para um repositório ou local que o roteador possa
acessar, basta entrarmos com alguns comandos para transferência de
arquivos:
Roteador# copy tftp: flash:

A sintaxe é simples e indica “Copiar DE: PARA:”. Após a entrada

do comando, o roteador perguntará o IP do servidor TFTP, o nome do
arquivo de origem que se deseja copiar com extensão .bin para o IOS,
o nome do arquivo de destino que deveria ser igual e confirma:
Roteador# copy tftp: flash:
Address or name of remote host []? 192.168.25.7
Source filename []? c2900-universalk9-mz.bin
Destination filename [c2900-universalk9-mz.bin ]?
Accessing tftp://192.168.25.7/c2900-universalk9-mz.bin ...
Loading c2900-universalk9-mz.bin from 192.168.25.7 (via
GigabitEthernet0/0):
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 97802525 bytes]
97802525 bytes copied in 187.764 secs (395664 bytes/sec)
Roteador#

Para confirmar que o arquivo foi recebido e armazenado na Flash,

basta entrar o comando dir, assim como no Windows, ou especificar
qual armazenamento específico precisa ser listado:
Roteador# show flash:
Roteador# dir flash:

Com show flash: você vê o conteúdo. Com dir flash: você também
vê o tamanho dos arquivos e permissões.
Para garantir que o arquivo recebido é o correto, o site Cisco informa
um hash MD5 que garante autenticidade e evita que você rode um
arquivo .bin que não é um IOS real (talvez um arquivo corrompido ou
que se passa por um .bin).
******ebook converter
DEMO
Watermarks*******
 Para comparar o hash do arquivo recebido ou presente na Flash, com
o hash indicado pela Cisco, basta testar com o comando a seguir e
compará-lo com o do site. Se coincidente, o arquivo é o correto:
Roteador# verify /md5 flash:<nome_do_arquivo_IOS.bin>

Para usar o FTP no lugar do TFTP, a ideia é a mesma, mudando

apenas a sintaxe para ftp:
Roteador# copy ftp: flash:

Também, com FTP ainda é possível inserir o endereço completo do

recurso:
Roteador# copy ftp://192.168.25.7/c2900-universalk9-mz.bin
flash:

******ebook converter
DEMO
Watermarks*******
 16 - Serviços de Alta
Disponibilidade

Introdução
As redes corporativas atuais são a base dos negócios das empresas e não
podem sofrer interrupções que prejudiquem suas operações. Um bom
projeto de rede contempla provedores, distintos, múltiplos switches em
anel, servidores agrupados em clusters que permitem alta disponibilidade de
conectividade e serviços.
Para proporcionar alta disponibilidade também nos enlaces WAN ou entre
redes que são interligadas por roteadores, os administradores necessitam
configurar protocolos que lidem com as mudanças da rede dinamicamente e
de maneira transparente aos demais dispositivos e usuários. Também pode-
se fazer uso da computação em nuvem (Cloud), para dar maior robustez à
rede, provendo serviços escaláveis.
Para isso, veremos neste capítulo os protocolos que realizam funções de
balanceamento de carga ou chaveamento automático para um roteador
backup, chamados protocolos de Redundância de Primeiro Salto (First Hop
Redundancy Protocol – FHRP). Dentre eles, veremos:

HSRP (Hot Standby Router Protocol).

VRRP (Virtual Router Redundancy Protocol).

GLBP (Gateway Load Balancing Protocol).

Dada a importância prática do tema na garantia de disponibilidade das

redes, abordaremos os três protocolos, mas faz-se necessário comentar que
o HSRP é o mais cobrado no exame CCNA e que permite explicar o termo
FHRP como conceito geral de redundância de primeiro salto.

******ebook converter
DEMO
Watermarks*******
 Posteriormente, neste mesmo capítulo, apresentamos o conceito da
computação em nuvem (Cloud Computing) que permitirá o entendimento
dos serviços escaláveis em rede.

HSRP (Hot Standby Router Protocol)

First Hop (primeiro salto) é um termo para denominar o gateway padrão
da rede (default gateway), que é o parâmetro que todo computador tem em
suas configurações de endereçamento IP para chegar a uma rede
desconhecida. O gateway padrão já foi apresentado nos primeiros capítulos
deste livro.
O HSRP permite criar um arranjo que agrega dois ou mais roteadores em
modo Active (ativo) e Standby (espera), no qual o segundo assume as
funções de comunicação da rede quando houver falha do primeiro, sem
gerar impacto aos usuários, que verão apenas um gateway padrão.

Figura 16.1: Topologias físicas para os protocolos HSRP, VRRP e GLBP.

Sem os protocolos FHRP, os usuários teriam que se reconfigurar
para alcançar o IP do novo roteador que assume a rede, em caso de
falha do principal. Outra solução “caseira”, isto é, sem o uso das
funcionalidades de redundância, seria dividir a rede igualmente,

******ebook converter
DEMO
Watermarks*******
 alocando 50% das estações de usuários a cada roteador, em um cenário
com dois gateways (roteadores).
Com o HSRP, por exemplo, as estações verão apenas um endereço
IP como gateway, que será publicado por ambos os roteadores (active
e standby) de maneira lógica, virtual.
A Figura 16.1 mostra o cenário com a topologia física mais comum
para todos os protocolos FHRP.
Observe na figura que temos dois cenários com conexões físicas. No
primeiro, há dois roteadores, interligados e conectados cada um em
switch distinto. Na parte WAN, conectados a um provedor de serviços.
No segundo, a rede se concentra em um switch que, por sua vez, tem
conexão com os dois roteadores.
Em qualquer um deles, haveria o problema descrito anteriormente,
onde cada estação da rede deveria ter dois gateways configurados,
cujos sistemas operacionais normalmente não aceitam. Ao ativar os
protocolos de redundância, existirá um “roteador virtual” entre os
roteadores, no qual as estações enviarão seus pacotes.
No HSRP, o processo funciona da seguinte forma:

Os roteadores com o protocolo HSRP negociam para ver quem

assume como principal. Essa função pode ser determinada
também pelo administrador da rede.

Um roteador fica como primário (active) e responde por todos

os pacotes enviados ao IP virtual, que também tem um MAC
virtual.

Outro roteador (ou vários outros) ficam como passivo (standby)

e ficam atentos aos pacotes de comunicação de estado, “hello
packets”.

Quando ocorre a falha do primário, a comunicação entre eles é

interrompida (não chegam os pacotes hello) e o passivo assume,

******ebook converter
DEMO
Watermarks*******
 passando a divulgar o MAC virtual ao(s) switch(es), que
passarão a ver esse endereço físico por uma nova porta.
O pré-requisito aqui é que os roteadores que fazem parte do conjunto
HSRP devem estar acessíveis um ao outro, ou seja, deve haver uma
interligação entre eles via uma porta Ethernet (Fast ou Giga), ou
através de switch. Com isso, será possível que eles troquem
informações do HSRP.

Balanceamento com HSRP

Há uma possibilidade de balanceamento com o HSRP que é a
configuração de duas ou mais sessões HSRP, dividindo a rede em sub-
redes. Para isso, cada conjunto de máquinas deverá pertencer a uma
sub-rede distinta, por exemplo, 172.16.1.0/24 e 172.16.2.0/24.
O balanceamento ocorrerá com a configuração de duas sessões, uma
com Active e Standby para cada sub-rede, cruzando-as, ou seja, o
roteador 1 é Principal para a sub-rede 1 e Secundário para a sub-rede
2, e o roteador 2 é o oposto, Principal para sub-rede 2 e Secundário
para sub-rede 1. Essa configuração múltipla também tem o nome de
MHSRP (Multiple HSRP).

Configuração do HSRP
Vejamos agora o processo de configuração do HSRP. Inicialmente, é
preciso definir os endereços IP dos dois roteadores, usando o cenário
da Figura 16.1, e um IP para o roteador virtual, que será o gateway da
rede.
Usaremos:

Roteador 1: 172.16.1.1/24

Roteador 2: 172.16.1.2/24

IP virtual HSRP: 172.16.1.254/24

A configuração do Roteador 1 fica:

******ebook converter
DEMO
Watermarks*******
 Roteador-1(config)# int fa0/0
Roteador-1(config-if)#standby 1 ip 172.16.1.254
Roteador-1(config-if)#standby 1 priority 105
Roteador-1(config-if)#standby 1 preempt

O Roteador 2 fica:
Roteador-2(config)# int fa0/0
Roteador-2(config-if)#standby 1 ip 172.16.1.254

Analisando linha a linha temos a configuração realizada dentro da

interface FastEthernet 0/0 de cada roteador que estará conectado ao
switch da rede.
O número do grupo HSRP é 1, variando de 0 a 255, conforme
definição do administrador. Os membros participantes desse grupo
devem ter o mesmo número. Para o HSRP múltiplo (MHSRP), haverá
dois grupos configurados.
Em seguida, colocamos o parâmetro “priority” que é a prioridade a
ser configurada manualmente. A prioridade padrão do HSRP é 100.
Em caso de empate, isto é, ambos sem essa configuração assumindo a
prioridade 100, o critério para determinar o primário é o maior
endereço IP dentre as interfaces participantes do grupo. No exemplo,
aplicamos a prioridade 105. Essa configuração deve considerar os
valores de decréscimo da prioridade em caso de falha. Quando a
comunicação é interrompida, o roteador em Standby decrementa a
prioridade do principal em 10 por padrão, levando, no nosso caso, a
95. Assim, o Standby ficando com 100, ele se torna o Ativo e
responsável pelo tráfego da rede.
No Roteador 1 colocamos um parâmetro adicional, o “preempt”,
indicando que o primário será aquele com maior prioridade, como
preferencial. Ao retornar à rede, após resolução da falha, ele reassume
o papel de principal por ter maior prioridade.
O comando para visualização do estado do HSRP é show standby,
mostrado a seguir:
Roteador-1#show standby brief
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Fa0/0 1 105 P Active local 172.16.1.2 172.16.1.254

******ebook converter
DEMO
Watermarks*******
 Roteador-1#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:28:46
Virtual IP address is 172.16.1.254
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.328 secs
Preemption enabled
Active router is local
Standby router is 172.16.1.2, priority 100 (expires in 10.992
sec)
Priority 105 (configured 105)
Group name is “hsrp-Fa0/0-1” (default)

Quando ocorre uma falha, o roteador em Standby registra a

informação e assume como gateway da rede:
Roteador-2#
*Mar 1 00:39:38.659: %HSRP-5-STATECHANGE: FastEthernet0/0 Grp
1 state Standby -> Active

Observe como fica a configuração de múltiplos grupos HSRP

(MHSRP), para fazer o balanceamento de carga de duas redes (ou sub-
redes) e, mais adiante, a visualização dos grupos a partir de Roteador-
1:
Roteador-1#sh run int fa0/0
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0 secondary
ip address 172.16.1.1 255.255.255.0
standby 1 ip 172.16.1.254
standby 1 priority 105
standby 1 preempt
standby 2 ip 192.168.1.254
duplex auto
speed auto
end
Roteador-2# sh run int fa0/0
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0 secondary
ip address 172.16.1.2 255.255.255.0
duplex auto
speed auto

******ebook converter
DEMO
Watermarks*******
 standby 1 ip 172.16.1.254
standby 2 ip 192.168.1.254
standby 2 priority 105
standby 2 preempt
end
Roteador-1#sh standby br
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Fa0/0 1 105 P Active local 172.16.1.2 172.16.1.254
Fa0/0 2 100 Standby 172.16.1.2 local 192.168.1.254
Roteador-1#sh standby
FastEthernet0/0 - Group 1
State is Active
4 state changes, last state change 00:07:03
Virtual IP address is 172.16.1.254
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.104 secs
Preemption enabled
Active router is local
Standby router is 172.16.1.2, priority 100 (expires in 7.584
sec)
Priority 105 (configured 105)
Group name is “hsrp-Fa0/0-1” (default)
FastEthernet0/0 - Group 2
State is Standby
4 state changes, last state change 00:03:03
Virtual IP address is 192.168.1.254
Active virtual MAC address is 0000.0c07.ac02
Local virtual MAC address is 0000.0c07.ac02 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.112 secs
Preemption disabled
Active router is 172.16.1.2, priority 105 (expires in 8.400
sec)
Standby router is local
Priority 100 (default 100)
Group name is “hsrp-Fa0/0-2” (default)

A indicação do IP 172.16.1.2 se repete em ambos os grupos porque a

determinação de Active/Standby compara apenas os endereços
primários das interfaces (e não os marcados como secondary),
tomando o maior no critério de desempate, caso as prioridades sejam
iguais. No nosso caso, a prioridade foi forçada para cada grupo, logo

******ebook converter
DEMO
Watermarks*******
 os IPs não serão considerados.

Versões do HSRP
O protocolo ainda tem duas versões, o HSRPv1 e HSRPv2. A
vantagem principal de usar a versão 2 é o suporte a IPv6, amplamente
utilizado nas redes corporativas. Assim, se a LAN tiver IPv6 já vale
considerar a implementação do HSRPv2 que é muito simples. Basta
entrar com o comando específico dentro das interfaces que estão
configuradas com o protocolo e informar a versão. Veja a sintaxe:
standby version <1 ou 2>. Vejamos como ficaria a interface anterior
configurada para usar os pacotes HSRPv2:
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0 secondary
ip address 172.16.1.2 255.255.255.0
duplex auto
speed auto
standby 1 ip 172.16.1.254
standby 2 ip 192.168.1.254
standby 2 priority 105
standby 2 preempt
standby version 2
end

Independentemente da instância HSRP, todos os pacotes da interface

utilizarão a versão escolhida. Na configuração apresentada temos dois
grupos (isto é, um MHSRP) e ambos trocarão mensagens na versão
dois, pois a configuração é feita no nível da interface e não do grupo
HSRP, portanto não é possível ter o grupo 1 com a versão 1 e o grupo
2 com a versão 2 na mesma interface física.
Outra vantagem a destacar no uso da versão 2 é a velocidade de
convergência, que pode ser ajustada com timers do hello para valores
na ordem de milissegundos, bem abaixo da versão 1. Também é
possível criar até 4096 grupos, ao invés dos 256 possíveis da primeira
versão.

VRRP (Virtual Router Redundancy

Protocol)
******ebook converter
DEMO
Watermarks*******
 O VRRP é idêntico ao HSRP, porém ele é um protocolo aberto, não
proprietário. O HSRP é proprietário Cisco e só funcionará em
equipamentos desse fabricante. Já o VRRP permite interação de
redundância de roteadores de múltiplos fabricantes.
Do ponto de vista de configuração, ele segue o mesmo conceito.
Veja como ficam as configurações aplicadas e o resultado do VRRP:
Roteador-1#sh run int fa0/0
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
vrrp 1 ip 172.16.1.254
vrrp 1 priority 105
end
Roteador-2#sh run int fa0/0
!
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
vrrp 1 ip 172.16.1.254
end
Roteador-1#sh vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/0 1 105 3589 Y Master 172.16.1.1 172.16.1.254
Roteador-1#sh vrrp
FastEthernet0/0 - Group 1
State is Master
Virtual IP address is 172.16.1.254
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 105
Master Router is 172.16.1.1 (local), priority is 105
Master Advertisement interval is 1.000 sec
Master Down interval is 3.589 sec

Note que a diferença para o HSRP é a terminologia usada pelo

VRRP. Enquanto o primeiro usa Active/Standby, o segundo usa
Master/Backup, mas a lógica de configuração é muito similar.

GLBP (Gateway Load Balancing

Protocol)
Embora o HSRP pudesse realizar a tarefa de balanceamento, ele

******ebook converter
DEMO
Watermarks*******
 exigia a segmentação da rede em duas sub-redes distintas, o que não é
um cenário confortável ao administrador. Além de ter que realizar
atribuição de IPs via DHCP em segmentos distintos, gerenciar qual
máquina pertence a qual sub-rede etc., o balanceamento de carga pode
não ser preciso e resultar no uso desigual dos enlaces de comunicação.
Assim, a Cisco desenvolveu outro protocolo, o GLBP, que permite a
manutenção do endereçamento de rede e promove o balanceamento de
carga de maneira mais igualitária entre os roteadores dessa fabricante.
O processo é semelhante ao HSRP, porém a diferença se dá com a
resposta alternada de quem é o MAC responsável pelo default
gateway. No HSRP, apenas o Ativo respondia às requisições ARP para
o IP virtual, já no GLBP, ambos respondem.
Haverá um único grupo GLBP entre os roteadores, simplificando a
configuração e administração da rede:
Roteador-1(config-if)#do sh run int fa0/0
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
glbp 1 ip 172.16.1.254
glbp 1 priority 105
end
Roteador-2(config-if)#do sh run int fa0/0
!
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
glbp 1 ip 172.16.1.254
end
Roteador-1# sh glbp
FastEthernet0/0 - Group 1
State is Active
1 state change, last state change 00:12:27
Virtual IP address is 172.16.1.254
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.888 secs
Redirect time 600 sec, forwarder timeout 14400 sec
Preemption disabled
Active is local
Standby is 172.16.1.2, priority 100 (expires in 9.984 sec)
Priority 105 (configured)
Weighting 100 (default 100), thresholds: lower 1, upper 100
Load balancing: round-robin

******ebook converter
DEMO
Watermarks*******
 Group members:
ca03.18f0.0008 (172.16.1.1) local
cc04.0ba4.0000 (172.16.1.2)
There are 2 forwarders (1 active)
Forwarder 1
State is Active
1 state change, last state change 00:12:16
MAC address is 0007.b400.0101 (default)
Owner ID is ca03.18f0.0008
Redirection enabled
Preemption enabled, min delay 30 sec
Active is local, weighting 100
Forwarder 2
State is Listen
MAC address is 0007.b400.0102 (learnt)
Owner ID is cc04.0ba4.0000
Redirection enabled, 600.000 sec remaining (maximum 600 sec)
Time to live: 14400.000 sec (maximum 14400 sec)
Preemption enabled, min delay 30 sec
Active is 172.16.1.2 (primary), weighting 100 (expires in
11.360 sec)
Roteador-1(config-if)#do sh glbp br
Interface Grp Fwd Pri State Address Active router Standby
router
Fa0/0 1 - 105 Active 172.16.1.254 local 172.16.1.2
Fa0/0 1 1 - Active 0007.b400.0101 local -
Fa0/0 1 2 - Listen 0007.b400.0102 172.16.1.2 -

Bastaria apenas a linha glbp 1 ip <ip_gateway_virtual> para

configuração, mas ainda assim colocamos a prioridade apenas para
forçar o Roteador1 como o AVG (Active Virtual Gateway). O AVG
realiza a função de responder à rede qual o MAC que representa o IP
virtual. A cada pacote que requeira uma resposta ARP sobre qual
MAC responde ao IP do roteador virtual, o AVG informa ora o MAC
do Roteador1, ora o MAC do Roteador2. O GLBP controla isso e é
transparente para a rede e para os usuários.
Obviamente, caso falhe um dos roteadores, a rede segue operando,
porém com a carga concentrada em apenas um, caso o grupo seja
formado por apenas dois roteadores.

Resumo dos Protocolos FHRP

Vimos neste capítulo que existem 3 protocolos FHRP que podemos

******ebook converter
DEMO
Watermarks*******
 usar para redundância de gateways ou balanceamento de carga.
Assim, apresentamos algumas informações relevantes para o exame,
que devem ser memorizadas:

O endereço MAC padrão do HSRPv1 é 0000.0C07.ACxx, onde

xx é o número do grupo em hexadecimal.

O endereço MAC padrão do HSRPv2 é 0000.0C9F.Fxxx, onde

xxx é o número do grupo em hexadecimal.

Os primeiros seis dígitos hexadecimais são do fabricante e o

HSRP é reconhecido pelos quatro seguintes: 0000.0C (Cisco),
07.AC (HSRPv1), ou os três seguintes 9F.F (HSRPv2).

O HSRPv1 usa o IP 224.0.0.2, e o HSRPv2 usa o IP 224.0.0.102

para se comunicar com os membros do grupo.

O HSRP e GLBP são protocolos proprietários, enquanto o

VRRP é aberto.

A prioridade default é 100 para todos.

Em caso de falha, a prioridade é reduzida em 10 (padrão), ou

seja, estando em 105, ela cai para 95, fazendo com que o
roteador com prioridade 100 (ou qualquer outra acima de 95)
assuma.

Computação em Nuvem – Cloud

Computing
Embora a Cisco tenha colocado a computação em nuvem – cloud
computing – dentro dos tópicos cobrados no exame CCNA, a
exigência é apenas sobre algumas terminologias e funcionalidades
possíveis, mas muito aquém do universo que o tema representa. Nós

******ebook converter
DEMO
Watermarks*******
 encorajamos o leitor a se aprofundar mais no tema e, após certificar-se
no CCNA, procurar também certificações específicas em Cloud, pois é
uma tendência que veio para ficar.
A computação em nuvem é, basicamente, o fornecimento de serviços
de TI sob demanda, fazendo uso de virtualização que habilita as
funcionalidades de nuvem. Segundo a definição do NIST (National
Institute of Standards and Technology) dos Estados Unidos,
computação em nuvem provê:

serviços sob demanda (on-demand services), nos quais o

usuário inicia ou termina o consumo sem a interação do
provedor.

amplo acesso à rede, para que o usuário possa ter o serviço a

partir de qualquer dispositivo ou rede, até mesmo pela Internet.

conjunto de recursos, no qual os recursos são alocados

dinamicamente a cada nova requisição do usuário.

rápida elasticidade, isto é, a capacidade é escalável a medida

que haja demanda, com ampla funcionalidade e rapidez.

mensurabilidade, para que o serviço possa ser medido e o

consumo seja facilmente controlado para registro do usuário ou
para fins de tarifação.
Para entender melhor como isso tudo se dá, vamos verificar alguns
conceitos importantes que tornam possível a computação em nuvem.

Virtualização de Servidores
A esta altura do livro e de seus conhecimentos adquiridos em redes,
o conceito de servidor deve estar relativamente claro: um computador
com recursos de hardware mais robustos e sistema operacional
especial, diferenciado dos computadores pessoais (PC), desktop ou
notebooks.

******ebook converter
DEMO
Watermarks*******
 Entretanto, para criação de recursos em nuvem, que permitam aquela
elasticidade, recursos dinâmicos e escaláveis e com poder
computacional suficiente para atender ao crescimento de demanda, o
hardware também deve corresponder a altura e ter o mesmo tipo de
facilidade no que tange ao crescimento de suas capacidades.
Para isso, os fabricantes de servidores – o hardware físico em si –
estão apostando em equipamentos tipo rack, ou blades, que podem ser
ampliados à medida que se requeira. Provedores instalam racks em
datacenters e criam servidores virtuais que permitirão rodar um ou
mais sistemas operacionais simultaneamente, com a possibilidade de
compartilhamento de recursos como CPU, armazenamento, memória
RAM, rede, etc. A escalabilidade (ou elasticidade, segundo o NIST) é
quando novos blades servidores são inseridos no conjunto a fim de
expandir recursos como memória, CPU, por exemplo, à medida que a
demanda ou número de usuários/clientes cresça. Pode-se dizer que a
expansão é ilimitada, contanto que haja espaço físico para ir
acomodando a infraestrutura.
É bem conhecido de todos o termo “núcleo” (core) para
processadores. Um único chip CPU pode conter um ou mais núcleos.
Smartphones, hoje, já contam com CPUs de quatro ou até oito núcleos
que processam aplicativos simultaneamente de maneira compartilhada
e/ou distribuída.
Analogamente funcionam os servidores virtuais. Eles alocam os
múltiplos processadores ou núcleos, porções de memória, placas de
rede, armazenamento centralizado (storage) e demais recursos para
distintos e simultâneos sistemas operacionais ou aplicações
virtualizadas.
Um único servidor de grande capacidade pode conter vários sistemas
rodando, permitindo que o usuário tenha acesso a plataformas de
banco de dados, aplicações remotas, serviços web, e por aí vai.
O conceito de servidor virtual é a criação de uma “máquina virtual”
(virtual machine ou VM) com sistema operacional e aplicações
exclusivas rodando em um hardware que compartilha recursos com
outras máquinas virtuais. O servidor físico é denominado o host

******ebook converter
DEMO
Watermarks*******
 (hospedeiro) e nele roda um sistema que gerencia os recursos
(memória, CPU etc.) entre as máquinas virtuais (VMs), chamado
hypervisor ou host de virtualização.
Como exemplos de hypervisor, a Microsoft tem o HyperV, a Cisco
tem o XenServer e um dos mais conhecidos é o VMware vCenter.
O hypervisor permite a instalação de sistemas operacionais
completos chamados de virtualization guest, como Linux, Windows
ou Windows Server. Outro tipo de sistema a ser instalado em um host é
o virtual appliance, que são equipamentos virtualizados dos
fabricantes, como firewalls ou até roteadores. Para armazenamento, a
tecnologia de virtualização ainda permite discos compartilhados ou
virtuais (shared storage).
A virtualização também permite o uso compartilhado de placas de
rede (NIC) através de switches virtuais, isto é, o hardware tem duas ou
mais placas de rede que permitem conexão com a rede física cabeada,
mas que são vistas pelos sistemas operacionais como vNIC ou placas
de rede virtuais. A interligação entre elas é possível com o switch
virtual, cuja operação é similar aos switches físicos, inclusive com as
configurações convencionais. A Cisco também provê equipamentos
virtualizados nos moldes dos servidores virtuais, mas voltado à
infraestrutura de redes, e com o conhecimento provido por este livro
preparatório para CCNA, você poderá operar, inclusive, switches
virtuais desse fabricante.

Serviços em Nuvem – Cloud Services

Os serviços Cloud podem ser privados ou públicos. A diferença
básica está em quem detém a propriedade. No primeiro caso, uma
empresa virtualiza seus servidores e serviços para usuários internos,
como DHCP, DNS, Terminal Services, armazenamento, servidores de
impressão, entre outros. No segundo caso, um provedor disponibiliza
recursos online para que usuários quaisquer possam adquiri-los, como
no caso do Dropbox ou Sugarsync, para armazenamento, Amazon
AWS, UOL Host ou Locaweb para servidores web e e-mail, Google
Services (Drive, Photos, Docs...).

******ebook converter
DEMO
Watermarks*******
 Em todo caso, o usuário não adquire mais licenças, hardwares ou
softwares para que tenha que instalá-los e administrá-los. Ele adquire
SERVIÇOS. Por isso o conceito de Cloud vem atrelado ao conceito
“como serviço”, ou em diversas siglas em inglês “*-as-a-Service”, ou
*aaS, onde o asterisco pode ser substituído por Infraestrutura,
Software, Plataforma e outros mais.
Infraestrutura como Serviço (Infrastructure as a Service – IaaS)
Imagine que você queira um servidor para hospedar um sistema web
que desenvolveu, mas quer ter todo o controle dele, dos recursos e
especificidades que seu sistema requer, mas que uma hospedagem web
não te atende. O que lhe ocorre é adquirir um hardware robusto para
ser o servidor, mas depois você terá que deixá-lo em um datacenter,
contratar um link de um provedor e por aí vai. São muitos elementos
que pode tornar caro e complexo.
Com o IaaS, você pode adquirir, via Internet, uma máquina virtual
(VM) com a quantidade de memória, CPU e armazenamento que
desejar, como se fosse um servidor físico, e o melhor, na Internet
acessível a seus usuários. Basta instalar sua aplicação e já estará
disponível e funcionando. Precisou de mais espaço, mais memória ou
CPU? Simples, a expansão ocorre com alguns cliques e, claro, o
pagamento dos recursos adicionais que já ficam disponíveis. Quando
crescer o número de usuários, ou a demanda, você pode ir ampliando a
capacidade, sem qualquer dificuldade.
Software como Serviço (Software as a Service - SaaS)
O leitor certamente já faz uso desse tipo de serviço se tiver um
smartphone Android ou Apple iOS que requer conexões com Apple
iCloud ou Google Drive. Esses serviços, bem como Dropbox e
similares, são exemplos de softwares providos como serviços, também
escaláveis conforme a demanda por mais capacidade de
armazenamento cresce.
Por trás desses serviços, existem sistemas operacionais e hardwares
escaláveis para atender ao montante de usuários que cresce a cada dia.
Plataforma de Desenvolvimento como Serviço (Platform as a

******ebook converter
DEMO
Watermarks*******
 Service – PaaS)
Aqui o conceito é muito parecido com o IaaS, mas a diferença está
no provimento de aplicações de desenvolvimento de software (IDE)
que permite que programadores desenvolvam sistemas e aplicativos e
já os disponibilize para uso em nuvem.
É o tipo ideal de serviço para desenvolvimento de códigos de
software e implementação em tempo real. Tem grande utilidade em
projetos de software, nos quais os desenvolvedores podem estar
distribuídos geograficamente e desenvolvendo partes de softwares que
depois poderão ser testados de maneira coordenada.

Conectividade às Redes em Nuvem pela

WAN (Cloud Services Connection)
Depois das definições de serviços em nuvem e da estrutura de
servidores, é importante entender como as organizações podem se
conectar a elas de modo a escalar os serviços quando a demanda ou
necessidade aumenta.
As redes em nuvem podem ser privadas (Private Cloud) ou públicas
(Public Cloud). Na primeira, a empresa cria sua própria estrutura de
hardware, hypervisor e software para atender as necessidades dos
clientes internos. As conexões são diretamente na LAN e privadas,
com controle total pela equipe de TI interna.
No caso da segunda, Public Cloud, a empresa precisa conectar sua
rede a provedora de serviços em nuvem, como a Amazon AWS ou
Microsoft Azure, por exemplo. Essa conexão se dá via WAN, de cinco
formas:

Internet: forma ágil de instalação e de se conectar em uma

nuvem, mas a transmissão não é segura, nem suporta QoS
(qualidade de serviço). Requer planejamento de capacidade, já
que se deve dimensionar a banda necessária. Em caso de
migração de provedor de Cloud, esse meio facilita o processo.

******ebook converter
DEMO
Watermarks*******
 Internet VPN: usar VPN pela Internet para se conectar a um
provedor Cloud tem as mesmas características citadas no item
anterior, mas com a diferença de que os dados são transmitidos
de maneira segura. O túnel VPN é criptografado e isso garante
confidencialidade na transmissão.

MPLS VPN: as redes MPLS são redes WAN privativas que

estão debaixo de uma estrutura de provedora de
telecomunicações que, por sua vez, leva até a rede da provedora
de serviços em nuvem. A ligação é feita em canais exclusivos
via MPLS, que são redes seguras e dedicadas. No entanto, é
necessário saber se o provedor de WAN (telecomunicações) tem
conectividade ao provedor Cloud através de sua rede para,
então, estabelecer esse canal MPLS. A transmissão é privada,
suporta QoS e requer dimensionamento correto da banda na
contratação. Por essa razão, é mais complexa na instalação
inicial e dificulta a migração de provedor Cloud, se necessário.

WAN Ethernet: é similar à MPLS VPN em todos os quesitos. É

um link tipo LAN-to-LAN que usa meio WAN Ethernet de um
provedor para chegar até ao provedor em nuvem. Em áreas
metropolitanas, é possível encontrar redes MetroEthernet
baseadas em switches interligadas por fibra óptica dos
provedores. Com essas redes, a WAN baseada em Ethernet
permite ligar LANs de um lado a outro como se fosse o mesmo
ambiente físico, no mesmo local. Igualmente, para se conectar
aos serviços Cloud.

Intercloud Exchange: algumas dificuldades apresentadas nos

esquemas WAN anteriores é a possibilidade de migração para
outros provedores de Cloud, bem como a implementação de
acessos WAN seguros. Com a arquitetura Intercloud Exchange,
esses dois fatores importantes são resolvidos. O cliente se
conecta a um provedor de rede que, por sua vez, tem conexão
com múltiplos provedores de Cloud. Tanto para o lado cliente,

******ebook converter
DEMO
Watermarks*******
 quanto para o lado Cloud, esse provedor intermediário
estabelece conexões privadas, seja em MPLS, Ethernet ou VPN,
seguras. Assim, além de segurança, permite a migração
facilitada para provedores de Cloud quando necessário. A
ativação inicial é mais demorada, mas os benefícios posteriores
compensam, frente aos demais esquemas apresentados.

******ebook converter
DEMO
Watermarks*******
 17 - Segurança da Infraestrutura
de Rede

Introdução
Ao longo do livro estudamos diversas implementações de protocolos e
dispositivos de rede, mas até então não nos demos conta de como nos
proteger de possíveis ataques ou problemas que comprometam a segurança
da rede e seus usuários.
Para termos uma rede segura, primeiramente a organização deveria contar
com uma Política de Segurança com base nas normas específicas, com
apoio de toda a organização, vindo de cima para baixo, ou seja, tendo o
respaldo da direção da empresa.
Essa Política contém as diretrizes básicas sobre como a organização vê a
segurança e qual a conduta correta para se evitar incidentes ou problemas
que comprometam as informações. Isso vai desde uma política
organizacional, adotando práticas de segurança física e lógica, até uma
política de segurança em pessoas, que auxiliam no estabelecimento de
regras e normas internas voltadas ao usuário no que tange a treinamento e
procedimentos para evitar roubo, fraude ou uso indevido. Tais práticas são
orientadas pela norma NBR ISO/IEC 27002:2013.
Resolvidas essas questões, a área de Tecnologia da Informação da
empresa deverá adequar a estrutura da rede para atender os requisitos da
política organizacional. Assim, os técnicos poderão adotar as medidas mais
apropriadas.
Um plano de segurança de rede se inicia com a proteção física de todos os
dispositivos de rede contra o acesso não autorizado. Isto significa que não
basta termos ótimas políticas internas e aplicativos seguros se os
equipamentos de rede estão expostos pelos corredores, ou em salas abertas,
sem o devido controle, passíveis de serem desligados ou danificados.
Outra etapa é o treinamento de usuários através de programas de

******ebook converter
DEMO
Watermarks*******
capacitação em segurança da informação e as implicações para pessoa e
organização, em casos de violação. Essa conscientização é fundamental
porque pode comprometer todo um Plano de Segurança se for
negligenciada.
Como parte do plano, podemos atuar na proteção lógica, configurando os
equipamentos de maneira que não estejam vulneráveis. Para isso, podemos
considerar, como já afirmamos no Capítulo 14, os roteadores como o
primeiro nível de segurança de rede lógica, atuando na camada de rede e os
switches atuando na camada de Enlace.
O propósito desse capítulo é elucidar alguns pontos específicos sobre
melhoria de segurança nos dispositivos de rede, cobrados pelo exame
CCNA. Para informações mais específicas sobre Segurança de Redes em
geral, consulte nossas outras publicações.

Noções dos Incidentes de Segurança

De acordo com a norma 27002, a Segurança da Informação visa garantir
três elementos fundamentais:

Confidencialidade: tudo que é restrito ou de acesso a pessoas

autorizadas – confidencial.

Integridade: a informação é completa, inteira, sem modificações ou

partes faltantes ao longo da transmissão ou armazenagem.

Disponibilidade: a informação sempre disponível quando

necessária.

Se um desses três conceitos for violado, não teremos segurança ou ficará

evidente um incidente de segurança. Isto significa dizer que nada adianta ter
tudo protegido e confidencial, com todas as informações corretamente
armazenadas sem dados corrompidos, porém não acessíveis aos usuários.
Isso não é segurança, pois aconteceu um incidente que indisponibilizou os
dados ou nunca houve Segurança da Informação efetivamente
implementada.
O administrador de rede deve se preocupar com potenciais ameaças que

******ebook converter
DEMO
Watermarks*******
buscam usar ferramentas para explorar vulnerabilidades existentes nos
sistemas. Esses termos em destaque são conhecidos na literatura de
segurança como threats, exploits e vulnerability.
Uma pessoa mal-intencionada é uma ameaça. Quando ela faz uso de uma
ferramenta ou software que varre a rede por algum ponto falho, esta
ferramenta é um exploit. O exploit procura por vulnerabilidades
(vulnerabilities) na rede, como um roteador que permite conexão telnet com
senhas fracas, ou um switch que permite conexão de um PC não-autorizado.
Assim, temos a “receita” para criar um incidente de segurança.
As redes estão sujeitas à vários tipos de incidentes. A seguir,
apresentamos alguns mais conhecidos:

DoS (Denial of Service – Negação de Serviço): é o tipo de ataque

ou incidente mais comum e certamente você já escutou algo sobre
esse conceito. Ele não é caracterizado pela invasão a um sistema ou
roubo de dados dos usuários, mas sim por atrapalhar o tráfego de
informações da rede gerando múltiplos acessos “fantasmas” que
simulam a situação de inúmeros clientes acessando a rede ao mesmo
tempo. Esse “ataque” massivo (proveniente da rede interna ou
externa) faz com que se congestione a conexão à rede WAN,
deixando-a indisponível. Uma variação do DoS é o DDos
(Distributed Denial of Service), cuja origem vem de diversas fontes
(distribuído), como um vírus (ou malware) espalhado por dezenas ou
centenas de computadores que disparam ataques contra um só site.
Vejamos alguns tipos mais comuns de DoS:

TCP SYN Flood: inundação de entradas SYN do protocolo

TCP. Como vimos no capítulo 3, o TCP é um protocolo
orientado a conexão e que inicia uma sessão com um pacote do
tipo SYN. Esse tipo de ataque simula inúmeras tentativas de
conexão TCP SYN, deixando servidores indisponíveis. Outra
variante desse tipo é a inundação de outros tipos de pacotes
como ACK, UDP, ICMP, etc.

“Ping da Morte”: visa entupir um link com inúmeros pings e

******ebook converter
DEMO
Watermarks*******
 de tamanhos acima do tamanho máximo do TCP/IP (65536
bytes), geralmente com pacotes mal formados. O objetivo,
além de deixar o link indisponível, é fazer com que os hosts
atacados também travem.

Ataque de Falsificação (Spoofing): ataques spoofing modificam IPs

ou MACs de origem, por exemplo, a fim de se passarem por outros
endereços, distintos do seu próprio. O invasor modifica os campos de
cabeçalho dos frames ou pacotes a fim de trocar os endereços de
enlace ou de rede.

Ataques de Reconhecimento: ataque não nocivo (diretamente), pois

tem o objetivo de inicialmente levantar informações sobre a rede e
seus dispositivos (servidores, roteadores, sistemas operacionais, etc.).
Certamente é um problema, e sério, pois dá ao invasor informações
cruciais que certamente serão usadas posteriormente de uma forma
nociva.

Ataques de Invasão ou Acesso: esse é o tipo diretamente nocivo,

pois o invasor tenta obter dados do usuário ou da empresa, com
objetivos financeiros diretos (roubo de senhas, acesso a contas
bancárias, etc.) e, também, para obter alguma vantagem
concorrencial.

Analisador de protocolos (packet sniffer): estes aplicativos, como

o Wireshark, vistos ao longo de todo o livro servem para inúmeras
aplicações que nos auxiliam a diagnosticar problemas de redes.
Entretanto, se usados para o mal, podem capturar dados críticos ou
confidenciais da organização e, se operado remotamente, enviá-los
ao invasor. O uso desses aplicativos deve ser extremamente
controlado e, com uma boa política de antivírus e outras proteções,
ficará difícil ter um programa desses sendo operado remotamente.

Vírus: um tipo de programa não autorizado pelo usuário que objetiva

o roubo ou corrupção de dados, bem como operações não permitidas
em arquivos ou dispositivos de redes. Dos tipos de softwares
maliciosos, podemos destacar:

******ebook converter
DEMO
Watermarks*******
 Spyware: programa “espião” que, uma vez instalado, busca
pelo perfil de uso de Internet do usuário, dados confidenciais e
outras informações que são enviadas ao controlador (hacker)
remoto.

Worm: conceito cuja tradução é “verme”, se espalha pela rede

de maneira descontrolada causando danos à rede e/ou dados de
dispositivos.

Scanner: programa que tenta estabelecer conexões com os

diversos dispositivos na tentativa de indicar os possíveis
pontos vulneráveis. Basicamente ele varre a rede e faz um
levantamento do que existe e o que pode estar vulnerável.

Keylogger: programa que registra o que foi digitado no

teclado, com objetivo de capturar informações como senhas e
outros dados que foram inseridos pelo usuário.

Comportamento Errático do Usuário: entendamos essa definição

com dois exemplos simples: um usuário está descontente com a
empresa ou sabe que será demitido. Antes que aconteça, ele copia
dados confidenciais em um disco portátil (pen-drive) ou
simplesmente os apaga por má fé. Ou então, o usuário desconhece
como operar um sistema e comete erros que comprometem a
integridade dos dados, mas não age de má fé. Ambos são
prejudiciais, pois partem de erros humanos, seja com ou sem
intenção.

Engenharia Social: semelhante ao anterior, a engenharia social se

aproveita da vulnerabilidade humana, isto é, a possibilidade de
manipular psicologicamente um usuário a fim de realizar alguma
ação que permita abrir brechas em um serviço ou sistema. Por seu
comportamento errático, mas de boa-fé, o usuário é levado a confiar
em pessoas ou informações que não são confiáveis, mas que parecem
ser. Um exemplo é o SMS que criminosos enviam aos celulares se
passando por bancos, alegando que uma senha foi alterada ou

******ebook converter
DEMO
Watermarks*******
 depósito foi feito, e solicita que se clique em um link para confirmar
ou regularizar. O link não leva ao site do banco, mas sim a uma
página falsa que se passa por aquela do banco. Usualmente,
chamamos esse tipo de falha como “phishing”. Alguns outros
conceitos similares que foram derivados do phishing são:

Spear phishing: semelhante ao phishing, mas tem o alvo

grupos de pessoas de mesmo interesse ou que tenham algo em
comum, como trabalhar na mesma empresa.

Whaling: esse termo mira em “peixes grandes” (whale =

baleia em inglês), como empresas ou outras organizações.

Vishing: a ação sobre o usuário ocorre a partir de

comunicação de voz (voice), como chamadas telefônicas.

Smishing: a ação sobre o usuário ocorre a partir de mensagens

de texto SMS, como no exemplo dado.

Pharming: envolve a vítima e a leva para um site falso, porém

é mais avançado, já que altera resolução DNS do endereço
verdadeiro ou arquivos do computador de modo a forçar o
tráfego a um destino falso.

Watering hole: um pouco mais complexo também, identifica

sites de acesso frequente dos usuários e aplica na página do
site um malware ou similar apenas a eles.

Outros fatores também podem comprometer a segurança de uma rede e

devem chamar a atenção dos administradores, como notebooks ou
dispositivos portáteis não autorizados se conectando à LAN e acesso via
rede sem-fio não controlado.
Também, vale ressaltar a questão de senhas fortes e mecanismos de
acessos com criptografia, autenticação em dois-fatores, biometria ou
certificado digital que devem ser adotados por usuários e organizações.

******ebook converter
DEMO
Watermarks*******
Segurança no Nível de Rede
Para a segurança da rede e do próprio roteador, podemos fazer uso dos
seguintes recursos já disponíveis no IOS, entre outros:
1. ACL – Access Control List para acesso console e terminal
2. Segurança de senhas dos roteadores e switches
3. Autenticação de peer ou neighbor de roteamento
4. Controle de usuários por autenticação RADIUS e TACACS+
5. NAT – Network Address Translation (já estudado no Capítulo 15)
ACL
Como vimos no capítulo sobre ACLs, as listas de acesso permitem o
controle de tráfego entrante e sainte do roteador e nos permite verificar
endereços de origem e/ou destino, inclusive com portas de aplicações. Para
controlar o acesso Telnet em um roteador ou switch, de maneira que só o
computador do administrador ou hosts da rede interna tenham acesso, basta
efetuarmos o seguinte:

criar uma ACL que verifique o host de origem.

aplicar a ACL no acesso terminal VTY.

Roteador(config)# access-list 23 permit 10.10.10.0 0.0.0.7
Roteador(config)# line vty 0 4
Roteador(config-line)# access-class 23 in

Nos comandos acima, temos a lista 23 (standard) sendo criada, com a

permissão para um grupo de máquinas da rede 10.10.10.0 /29, depois
aplicando no terminal no sentido entrante (in).
Se quisermos melhorar a implementação, podemos criar uma lista de
acesso 123 (estendida), especificando a porta “telnet”:
Roteador(config)# access-list 123 permit tcp X.X.X.X eq telnet
Y.Y.Y.Y

Outras listas de acesso podem ser criadas para controlar acessos ou

tráfego indesejável na direção da WAN ou da LAN, conforme necessidades
das políticas de segurança.

******ebook converter
DEMO
Watermarks*******
Segurança de Senhas nos Roteadores e Switches
Um único comando já simplifica a vida do administrador no que tange à
segurança dos equipamentos de rede. Toda senha criada no roteador e no
switch para acesso local, console, privilegiado, telnet, etc. é passível de ser
descoberta se não forem codificadas ou “encriptadas”:
Roteador(config)# service password-encryption

Esse comando faz com que o roteador criptografe as senhas mais comuns,
não as deixando visível na configuração (show running). Vejamos como
fica sem e com o comando. A seguir, temos o “show run” (das partes que
nos interessam) do host Roteador que não tem o serviço de codificação
ativado:
Roteador# show running
!
no service password-encryption
!
hostname Roteador
!
enable password cisco123
!
username Admin password 0 netpass
!
line con 0
exec-timeout 0 0
password cisco
login
!
line vty 0 4
access-class 45 in
password telnetcisco
login
!
end

Observe que configuramos senhas distintas para a Console, Telnet (0-4),

modo privilegiado e para a conta do Admin. Todas as senhas estão abertas
pois temos o comando “no service password-encryption”; em outras
palavras, o serviço está desativado. Quando o ativamos, veja o que acontece
com as senhas:
Roteador#sh run
!
service password-encryption
!

******ebook converter
DEMO
Watermarks*******
 hostname Roteador
!
enable password 7 121A0C0411045D5679
!
username Admin password 7 130B12061B0D1739
!
line con 0
exec-timeout 0 0
password 7 070C285F4D06
login
!
line vty 0 4
access-class 45 in
password 7 051F03032F495A0A1016141D
login
!
end

Observe que agora todas as senhas estão codificadas dificultando a vida

de quem não tem a senha correta na cabeça (o local mais seguro para se
guardar).
Certamente o prezado leitor vai pensar: “e se eu tentar entrar com a senha
de enable codificada, já que essa eu vejo?”. Simples: se ao invés da senha
“cisco123” utilizássemos a senha 121A0C0411045D5679, certamente a
versão criptografada desta seria diferente. Isto significa que, ao entrar com a
senha 121A0C0411045D5679, na verdade ela será verificada com a sua
versão codificada para autorização. Como são diferentes, não bate e não
será possível o acesso. A senha correta, cisco123, é verificada com sua
versão codificada que, daí sim, é representada pelos caracteres acima.
Ressaltamos, também, que se tirarmos uma senha (exemplo: no enable
password) e depois a recriarmos com a mesma palavra-chave, a
codificação será diferente, ou seja, não adianta anotar esse código, pois não
servirá para ingresso no roteador ou switch.
As versões mais recentes do IOS são mais inteligentes no sentido de
garantir a segurança dos equipamentos, mantendo as senhas codificadas em
caso de desativação do serviço de encriptação. Se você entrar com o
comando “no”, as senhas que já foram codificadas assim permanecerão e só
as novas ficarão abertas. O importante de tudo isso é manter as senhas em
um repositório seguro, de modo a não comprometer a segurança dos
equipamentos ou da rede como um todo.

******ebook converter
DEMO
Watermarks*******
 Adicionalmente, as novas versões contam com encriptação mais
reforçada, já que o MD5 original já não é tão seguro como costumava ser.
As opções incluem o hash SHA-256, mais robusto e sua configuração é
feita da seguinte maneira: enable algorithm-type scrypt secret <senha>.
Confira os detalhes e opções do comando:
RT01(config)#enable ?
algorithm-type Algorithm to use for hashing the plaintext
‘enable’ secret
password Assign the privileged level password (MAX of 25
characters)
secret Assign the privileged level secret (MAX of 25 characters)
RT01(config)#enable algorithm-type ?
md5 Encode the password using the MD5 algorithm
scrypt Encode the password using the SCRYPT hashing algorithm
sha256 Encode the password using the PBKDF2 hashing algorithm
RT01(config)#enable algorithm-type scrypt ?
secret Assign the privileged level secret (MAX of 25 characters)
RT01(config)#enable algorithm-type scrypt secret ?
LINE The UNENCRYPTED (cleartext) ‘enable’ secret
level Set exec level password

O comando enable secret permite, então, eleger os tipos 5, 8 e 9 de

algoritmos de segurança, sendo eles respectivamente o MD5, PBKDF2
baseado no SHA-256, e SCRYPT, também baseado no SHA-256.
Com a combinação de ACLs, senhas e protocolos podemos ampliar a
segurança do equipamento através do uso de conexões seguras via SSH. Ao
invés de permitir que usuários (administradores de rede) se conectem
remotamente ao roteador via Telnet (inseguro), o SSH traz mais proteção e
pode, também, compor com uma ACL permitindo apenas um prefixo (rede
ou host) de origem:
RT01(config)#access-list 20 permit 10.0.25.0 0.0.0.255
RT01(config)#line vty 0 4
RT01(config-line)#transport input ssh
RT01(config-line)#access-class 20 in
RT01(config-line)#exit

Autenticação nos Peers de Roteamento

Dos protocolos de roteamento que vimos, todos possuem alguma forma
de autenticação contra seus peers ou neighbors, que são seus pares na troca
de tabelas. No BGP isso é feito dentro da instância router bgp <asn>,
apontando diretamente contra o neighbor. No OSPF aplicamos

******ebook converter
DEMO
Watermarks*******
configurações de autenticação do protocolo no nível da interface (antes do
IOS versão 12.0 também era feito na área).
Essa funcionalidade existe porque os protocolos de roteamento “confiam”
por padrão nos seus vizinhos que desejam trocar informações sobre rotas,
porém isso pode comprometer a funcionalidade e segurança da rede.
A estratégia recomendada é sempre manter uma autenticação entre os
pares que fazem o roteamento dinâmico, podendo essa ser melhorada com
ACLs que bloqueiem pacotes desses protocolos fora das interfaces
autorizadas. A seguir, um exemplo de configuração de autenticação no
OSPF, através de uma interface que participa da área do protocolo.
Roteador(config)# interface fastethernet1/0
Roteador(config-if)# ip ospf authentication-key ?
<0-7> Encryption type (0 for not yet encrypted, 7 for
proprietary)
WORD The OSPF password (key) (maximum 8 characters)

Vejamos o exemplo de configuração de peer BGP com senha:

Roteador (config)#router bgp 100
Roteador (config-router)#neighbor 10.10.12.2 password ?
<0-7> Encryption type (0 to disable encryption, 7 for
proprietary)
LINE The password

Para configurar, entramos na sessão BGP e atribuímos uma senha com

neighbor <IP_do_neighbor> password <senha_desejada>. Isso deve ser
feito nas duas pontas, a fim de que ambos usem a mesma senha e passem a
estabelecer a conexão com segurança reforçada.
Controle de Usuários por Autenticação Radius e Tacacs+
Todo equipamento de rede Cisco possibilita a autenticação local ou
remota, com a criação também local de usuários e senhas. Embora seja uma
funcionalidade bastante usada e aceitável para a garantia da segurança, a
administração dessas contas fica mais difícil em redes grandes e complexas.
O IOS permite que estabeleçamos um canal de autenticação com
servidores destinados a esse fim, como o TACACS+ (Terminal Access
Controller Access Control System) e RADIUS (Remote Authentication
Dial-in User Service). Esses sistemas permitem o controle centralizado das
contas e todo equipamento que necessite ser gerenciado vai buscar as
informações de autenticação em uma base de dados segura e controlada.

******ebook converter
DEMO
Watermarks*******
 Como não é o foco do exame CCNA, o site da Cisco tem as informações
de como estabelecer um serviço TACACS+ em um servidor e como
configurá-lo para receber requisições de autenticação de roteadores e
switches.

Segurança no Nível de Enlace

Hoje em dia ninguém está totalmente seguro e a primeira coisa que
devemos refletir quando falamos em segurança no nível de enlace é no
efeito dominó. Antes de entrarmos neste mérito, veja a figura abaixo que é
bem sugestiva e procure entender a dimensão do problema:

Figura 17.1 – Um ataque no nível 2 pode inviabilizar todas as operações da rede.

Note que um ataque no nível de enlace é extremamente
comprometedor para sua rede, pois toda a sua rede poderá sofrer com
ataques nos switches. Hoje já temos vários métodos para tentar
amenizar possíveis ataques nesses equipamentos, como por exemplo:

802.1x para Autenticação de Usuários: O padrão 802.1x do

IEEE é usado para requisição de controle de acesso ao
dispositivo e autenticação prévia antes de ganhar acessos aos
recursos da rede. Vários fabricantes, além da Cisco, já são
compatíveis com este novo padrão de mercado.

******ebook converter
DEMO
Watermarks*******
 Telnet Seguro (SSH) e SNMPv3: padrões de acesso remoto e
gerenciamento seguro de dispositivos de rede.

ACLs em Wire-Rate: restringe acesso a áreas sensíveis da

rede.

DHCP Interface Tracker: Permite a localização de usuários.

MAC Address Notification: Notifica administradores da

entrada de novos usuários na rede através da checagem do
endereço MAC.

Private VLAN: Segregação baseada em porta do switch.

RADIUS e TACACS+: Como vimos antes, permitem controle

centralizado.
A ideia geral sobre a importância de se prevenir contra ataques no
nível de enlace também faz parte do currículo de segurança exigido de
um Administrador de Redes. Adicionalmente, podemos destacar
alguns procedimentos básicos recomendados para proteção da rede em
camada 2:

Desativar negociação de portas trunk quando não necessárias,

isto é, evitar deixar no modo dynamic (auto/desirable), como
vimos no capítulo 6.

Ativar o recurso port-security mapeado por host.

Configurando Segurança da Portas – Port Security
Um recurso de que o administrador de rede pode fazer uso na
estrutura física com switches é o controle de dispositivos que podem se
conectar à rede. Como sabemos, o switch aprende dinamicamente os
endereços MAC das estações que se conectam em suas portas.

******ebook converter
DEMO
Watermarks*******
 Se soubermos qual dispositivo está conectado em determinada porta,
podemos restringir o uso da rede apenas a ele, isto é, bloqueando
qualquer outro MAC que venha a usar aquela porta. Isso evita que a
rede tenha usuários não autorizados tentando obter dados, ou que
venham fazer uso indevido ou até comprometer a funcionalidade e
desempenho da rede.
O recurso que nos permite controlar a segurança por porta chama-se
Port Security. É possível ajustá-lo de maneira independente para cada
porta do switch, ou seja, o que se aplica a uma não necessariamente se
aplica à outra.
Para iniciar a configuração, a porta deverá ser configurada em modo
acesso (switchport mode access) ou trunk:
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 10
Switch(config-if)#switchport port-security violation restrict

Da terceira linha em diante, aplicamos respectivamente os seguintes

parâmetros:

Habilitamos o port-security. Sem esse comando, qualquer

comando adicional não funcionará.

Se deixarmos assim, sem mais comandos, a porta se

comporta com a restrição padrão de apenas 1 MAC na
interface, sem distinção de qual é o endereço.

Informamos a quantidade de MACs aceitos na interface, sem

especificar quais.

Em alguns modelos de switch o limite é de 6144 MACs,

relativamente suficiente para implementações de redes
corporativas. Vale conferir com o switch que você tem
disponível.

******ebook converter
DEMO
Watermarks*******
 Por fim, determinamos a ação que o switch deve executar caso
haja uma violação. No exemplo, a porta restringe o tráfego da
origem não autorizada, mantendo os MACs previamente
aprendidos (os 10 primeiros).
Das possíveis violações, podemos configurar o seguinte:
Switch(config-if)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode

Protect: descarta o tráfego do host não autorizado.

Restrict: descarta o tráfego do host não autorizado e gera um

log no switch ou via SNMP.

Shutdown: descarta o tráfego do host não autorizado, gera um

log no switch ou via SNMP e coloca a porta em shutdown,
interrompendo todo o tráfego. A interface assume o status de
Err-Disable ou Secure-shutdown e somente retorna para o
estado ativo quando se acessa o switch e aplica o comando
shutdown e no shutdown:
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

O controle de MACs ainda pode ser estático, aplicando manualmente

uma lista de endereços autorizados, ou no modo de aprendizagem
(sticky), que guarda uma tabela na running-config com os endereços
aprendidos:
Switch(config-if)#switchport port-security mac-address ?
H.H.H 48 bit mac address
sticky Configure dynamic secure addresses as sticky

Para verificar o estado do port-security, usamos o comando show

port-security:
Switch#sh port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict

******ebook converter
DEMO
Watermarks*******
 Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 10
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

Em relação às portas não utilizadas no switch, é recomendado que se

coloque todas em shutdown, para evitar uso indevido e não autorizado
dos recursos da rede.
Segurança de Rede com 802.1x
As redes corporativas, em geral, possuem pontos extras além das
posições fixas que cada usuário utiliza, por exemplo, em salas de
reuniões ou em posições rotativas, ou pontos à espera de algum
usuário novo. São pontos disponíveis que qualquer usuário pode pegar
um cabo e se conectar, fazendo uso da rede e seus recursos.
Essa facilidade também pode acarretar riscos para a rede, já que um
usuário mal-intencionado pode obter dados ou disparar tráfego
malicioso a fim de congestionar ou gerar problemas ao sistema.
O port-security pode ser uma medida de contorno, mas também é
possível lançar mão do recurso de segurança com protocolo 802.1x,
que bloqueia a porta e permite o tráfego somente após autenticação em
servidor centralizado. Os sistemas operacionais atuais já contam com o
recurso 802.1x Supplicant, que é o cliente que permite acessar redes
com protocolo de segurança.
O processo basicamente consiste na conexão física com a rede, ou
seja, em uma porta do switch que depois encaminha a um servidor
AAA (triplo A, ou authentication, authorization, and accounting
server) e valida as credenciais do usuário para permitir a conexão e
tráfego de pacotes através do switch. Caso não haja validação das
credenciais do usuário, o tráfego não ocorre.
O switch deve ter a configuração para autenticação com um servidor
AAA, que por sua vez é instalado a partir do ACS (access control
server) da Cisco, por exemplo. Cada usuário que precise acessar a rede

******ebook converter
DEMO
Watermarks*******
 com switches configurados com 802.1x deve ter uma conta criada no
servidor AAA a fim de ser autorizado.
DHCP Snooping
O protocolo DHCP foi estudado ao longo do livro, mas vale um
resgate das principais características:

O servidor DHCP se baseia em broadcast.

Os pacotes DHCP são do tipo Discover, Offer, Request, Ack,

facilmente memorizáveis com a sigla D.O.R.A.

Os clientes DHCP fazem uso das mensagens Discover e

Request.

Servidores DHCP trocam mensagens de respostas Offer e Ack.

Quando uma máquina se conecta à rede com esse serviço ativo, ela
inicia a busca por um servidor que possa fornecer um IP e
configurações para acesso. Como é baseado em broadcast, ela envia
um pacote que qualquer outra estação “escuta”, mas somente o
servidor compreenderá e dará a resposta para iniciar a conversação.
Existem ataques que se aproveitam dessa facilidade e o invasor ativa
um servidor DHCP falso, que possa responder ao usuário e fornecer
configurações válidas, como endereço IP e outros. O servidor falso
passa a ser um host espião para todo tráfego daquela estação.
Para evitar que ocorra esse tipo de ataque, também conhecido como
“man-in-the-middle”, o switch Cisco conta com uma funcionalidade de
DHCP Snooping que cria zonas de portas confiáveis e não-confiáveis.
Quem faz parte das portas confiáveis: os servidores, roteadores,
outros switches e, claro, o servidor DHCP. As estações estarão na zona
não-confiável.
O funcionamento é bem simples: é sabido que os servidores trocam
mensagens do tipo Offer e Ack no protocolo DHCP; portanto, o switch

******ebook converter
DEMO
Watermarks*******
 filtra todo tipo de mensagem similar a essas duas em portas não-
confiáveis, pois somente o servidor deve enviá-las. Qualquer
computador que queira trocar mensagens exclusivas de servidores
DHCP (Offer/Ack) terá o pacote descartado pelo switch.

Segurança com Firewalls e IPS

Firewall é um dispositivo de rede dedicado à Segurança, mas que
também pode ter funcionalidades de roteamento, para encaminhar
pacotes de uma rede à outra. O Firewall tem a incumbência de olhar
pacote por pacote que passa por ele, já que deve ser instalado em linha
com o fluxo de dados, geralmente antes do roteador que interliga à
WAN.
Assim como roteadores olham pacotes IPs para associá-los às regras
de uma ACL, quando configurada, o Firewall executa a mesma
operação e pode ir a camadas superiores, vendo até camada 7,
Aplicação. Ele possui regras similares a uma ACL e ainda pode salvar
informações sobre determinados pacotes a fim de realizar filtros em
situações que demandem alguma tomada de decisão (encaminhar ou
descartar).
Dentre as capacidades que esse equipamento possui, podemos citar
as de verificação de sinalização de protocolos, como o TCP. Como
mencionamos, existem ataques do tipo SYN Flood que gera pacotes de
sincronização TCP a destinos que não deveriam ter solicitado ou não
fazem parte da rede. O Firewall pode detectar comportamento
anômalos e filtrá-los, evitando incidentes de Segurança.
Nas das configurações de um Firewall, pode-se determinar quais as
zonas seguras de tráfego, como a rede interna. Em geral, um host da
rede interna pode sair para Internet e acessar uma página. O host inicia
a conversa com o servidor web normalmente. No sentido oposto, se
um host está na Internet e tenta acessar outro na rede interna, o
Firewall impede que ele entre, por considerar uma zona insegura.
O IPS (Intrusion Prevention System) é outra solução de proteção
da rede. Ele atua de maneira similar ao Firewall, mas a diferença
reside no tipo e forma de regras que ele observa. No Firewall, o

******ebook converter
DEMO
Watermarks*******
 administrador configura um conjunto de regras ou filtros. No IPS, os
fabricantes fornecem assinaturas (file signature) ou perfis de tráfego
ou pacotes, que se assemelham a uma identidade. Essas assinaturas são
carregadas a uma base de dados de informações e à medida que novos
tipos de pacotes ofensores surjam, o IPS pode detectá-los e filtrá-los.
Essa assinatura é como um arquivo de informações sobre vírus que seu
software antivírus atualiza toda semana para proteger seu computador.
A detecção do IPS associa um pacote de dados com essa base e, ao
identificar informações (bits/bytes) que correspondem a um vírus,
worm ou que tenha características de ataques DoS ou DDoS, ele filtra
e interrompe a conexão, protegendo a rede.
Firewalls e IPS’ podem estar, ou não, no mesmo equipamento. Há
fabricantes que os oferecem de forma separada ou conjunta, em
soluções de menor ou maior porte. Os firewalls de próxima geração
(Next-Generation Firewalls) da Cisco são chamados de ASA
(Adaptive Security Appliance), que também podem rodar NGIPS, ou
IPS de próxima geração.

******ebook converter
DEMO
Watermarks*******
 18 - Qualidade de Serviço –
Quality of Service (QoS)

Introdução
Em todo tipo de serviço a qualidade é um dos aspectos essenciais e no
ambiente de redes não ocorre de forma diferente. Quality of Service ou
Qualidade de Serviço, comumente conhecido pela sua sigla QoS,
compreende as técnicas utilizadas pelos dispositivos de rede para fazer o
gerenciamento do fluxo que um pacote percorre enquanto trafega na rede.
O mecanismo de trabalho do QoS envolve o gerenciamento da largura de
banda, reserva de banda, priorização de tráfego, tipo de pacote, atraso do
pacote, controle de jitter (variação de atraso entre pacotes sucessivos no
mesmo fluxo), porcentagem de perda de pacotes e latência para garantir um
bom desempenho das aplicações.
Por meio do QoS pode-se equilibrar as compensações (tradeoffs) de quais
tipos de tráfego devem receber mais recursos de rede e em qual momento,
por conceder mais preferência a alguns pacotes e menos a outros, conforme
a configuração. O QoS também possibilita mensurar a qualidade dos
serviços oferecidos por uma rede de comunicações.
É certo que as larguras de banda têm maior capacidade e custos mais
acessíveis, levando o QoS ao potencial – teórico – desuso. No entanto, ele
se faz ainda mais presente nas redes porque a demanda das aplicações
aumentou, logo, ajustes finos na rede são requeridos para permitir a devida
priorização do que é importante para usar a rede WAN, por exemplo.
Para o CCNA é exigido que o candidato possua os conceitos básicos de
QoS, sem se preocupar com configuração. A parte mais avançada sobre
QoS faz parte do programa de estudos para o CCNP, por isso iremos
explorar os conceitos iniciais que serão abordados no exame.

QoS na prática

******ebook converter
DEMO
Watermarks*******
 Os roteadores de borda WAN fazem o papel de controle de entrada e
saída para um Sistema Autônomo (SA) e possuem interfaces LAN e WAN.
É fato que as interfaces LAN possuem uma velocidade muito maior que as
interfaces WAN, que fica mais lenta devido ao tráfego de pacotes IP. Nesse
contexto, qual deve ser a decisão do roteador? Enviar na ordem sequencial
em que os pacotes IP chegam? Priorizar os pacotes criando uma seleção por
tipo de tráfego? Descartar alguns pacotes quando a quantidade que está em
fila para sair do roteador se torna muito grande?
O QoS envolve as técnicas e ferramentas que os dispositivos (roteadores e
switches) de redes utilizam para fazer algum tipo de tratamento aos pacotes
IP à medida que chegam ao dispositivo. No exemplo citado anteriormente,
o roteador de borda WAN poderia separar alguns pacotes IP e deixá-los em
espera até que a interface WAN estivesse mais livre ou, também, pode
utilizar algoritmos de fila de espera para determinar quais pacotes devem
ser enviados e em qual sequência, priorizando os pacotes de serviços
considerados prioritários.
De forma geral, podemos descrever a atuação do QoS assim: o dispositivo
recebe os pacotes IP e faz uma classificação separando-os em classes,
depois descarta o tráfego fora do perfil a fim de manter a integridade da
rede, que ocorre no policiamento. O tráfego é, então, marcado para a rede
que, na sequência, prioriza, protege e isola os tipos de tráfego. Na etapa
final, ocorre a modelagem que controla os estouros (ou excessos) e modela
o tráfego para a rede. A Figura 18.1 demonstra todos os passos de atuação
do QoS que serão detalhados nesse capítulo.

******ebook converter
DEMO
Watermarks*******
 Figura 18.1 – Esquema de atuação do QoS.

QoS e gerenciamento de tráfego

na rede
A Cisco disponibiliza várias ferramentas de
QoS para os roteadores e switches que permitem
gerenciar quatro características do tráfego de
rede:

Largura de banda (bandwidth): envolve a

velocidade do link em bits por segundo (bps)
e a sua capacidade para envio também em
bits por segundo. Nesse contexto, o QoS
possui ferramentas para determinar o pacote
a ser enviado pelo link, suas mensagens e a
capacidade do tráfego.

Atraso (delay): pode ocorrer de forma

unidirecional ou bidirecional. A
unidirecional envolve o tempo entre o envio
de um pacote e o tempo em que ele chega ao
host de destino; o bidirecional envolve o
tempo de envio do pacote entre dois hosts e,

******ebook converter
DEMO
Watermarks*******
 posteriormente, o tempo de retorno.

Jitter: refere-se à variação no atraso

unidirecional entre pacotes sucessivos, o que
impacta na recepção do fluxo de pacotes.

Perda (loss): envolve a quantidade de

mensagens perdidas, que são mensuradas
pela porcentagem dos pacotes enviados. As
perdas podem ocorrer devido a problemas de
cabeamento (camada física) e enfileiramento
de mensagens, que resulta no descarte de
pacotes.

Abordagens do QoS
As principais abordagens para a utilização de
Quality of Service (QoS) nas organizações são:

Best Effort (BE): a abordagem do melhor

esforço possibilita provisionar largura de
banda excedente na rede, porque não utiliza
ferramentas ou configurações especiais de
QoS. A grande maioria dos dispositivos de
redes da Cisco utilizam uma abordagem de

******ebook converter
DEMO
Watermarks*******
 First In First Out (FiFo), ou o primeiro a
entrar é o primeiro a sair para as filas de
pacotes do Best Effort.

Integrated Services (IntServ): a abordagem

dos Serviços Integrados utiliza o protocolo
Resource Reservation Protocol (RSVP) para
reservar recursos em dispositivos no caminho
que irá transportar tráfego. Não é tão
utilizada, pois necessita de protocolos de
sinalização especiais e requer integrações
entre as redes.

Differentiated Services (DiffServ): a

abordagem dos serviços diferenciados é a
mais utilizada atualmente, ela inicia com
marcação e classificação de tráfego para
identificar e agrupar o tráfego de rede que
deve ser tratado de forma especial.

Classificação
Essa ferramenta classifica os pacotes com base
no conteúdo do cabeçalho para tomar uma
decisão de tráfego, sendo que, nesse aspecto, o

******ebook converter
DEMO
Watermarks*******
 QoS atua de forma muito parecida às ACLs, pois
ambas as ferramentas são habilitadas em uma
interface para uma direção e realizam
classificação e filtragem. O QoS pode examinar
vários cabeçalhos e fazer comparações para
classificar os pacotes, tanto na entrada, como na
saída da maioria das interfaces dos dispositivos de
rede.

Marcação
A marcação significa que a ferramenta QoS
altera um ou mais bits em campos de cabeçalho
do protocolo IP, atribuindo determinados valores.
Vários campos de cabeçalho foram projetados
com a finalidade de marcar os pacotes para o
QoS. Então, os dispositivos que processam o
pacote em sua trajetória podem usar uma lógica
de classificação muito mais simples.
O cabeçalho do protocolo IP inclui as
informações de todo o percurso percorrido pelo
protocolo, desde o ponto de partida até o host de
destino. Dessa forma, o host envia um quadro de
enlace de dados que encapsula o pacote IP, então
o roteador que encaminha o pacote IP descarta o

******ebook converter
DEMO
Watermarks*******
 antigo cabeçalho e adiciona um novo. Quando o
QoS marca o cabeçalho IP, a marcação pode
permanecer com os dados desde o início até o
host de destino.
Essa característica da marcação é importante
para assegurar a qualidade de serviço durante
todo o percurso do pacote IP. No planejamento do
plano de QoS para o ambiente de redes de uma
organização, é necessário definir um limite de
confiança. Esse limite é um local específico no
caminho de um pacote que viaja através da rede
em que os dispositivos podem confiar nas
marcações de QoS. É importante que esse
dispositivo seja gerenciado pela área de Redes da
organização.
Campos de Marcação
A marcação no cabeçalho do IPv4/IPv6
(camada 3) define um byte de Tipo de Serviço ou
Type of Service (ToS), os campos IP Precedence
(IPP) e Differentiated Services Code Point
(DSCP). O quadro Ethernet (camada 2) possui o
cabeçalho 802.1Q no qual podem ser feitas
marcações de Classe de Serviço (CoS) e Priority
Code Point (PCP). A tabela demonstra os campos
******ebook converter
DEMO
Watermarks*******
 de marcação:
CAMP CABEÇALH EXTENSÃO USO
O O (BITS)
DSCP IPv4, IPv6 6 Pacote fim a
fim
IPP IPv4, IPv6 3 Pacote fim a
fim
CoS 802.1Q 3 VLAN trunk
TID 802.11 3 Wi-Fi
EXP MPLS Label 3 MPLS WAN
Conforme mencionado, a abordagem DiffServ é
a mais utilizada atualmente. Dessa forma, serão
considerados os valores de marcação baseados na
abordagem DiffServ e DSCP para um maior
entendimento:

Expedited Forwarding (EF): essa marcação

geralmente é utilizada para pacotes de voz.
Os telefones IP da Cisco utilizam essa
marcação por padrão, bem como serviços
que trafegam voz sobre IP (VoIP) ou que são
muito sensíveis à latência.

Assured Forwarding (AF): essa marcação é

******ebook converter
DEMO
Watermarks*******
 utilizada para ferramentas de prevenção de
congestionamento. O AF define os nomes de
texto como AF DSCP específicos e os
valores equivalentes. São 12 valores DSCP
que permitem eleger quatro filas – queue –
(de 4 a 1, sendo 4 a melhor) e três níveis de
prioridade de descarte – drop priority – (de
1 a 3, sendo 1 o melhor). Assim, na melhor
combinação AFxy temos AF41 como a
melhor fila com melhor prioridade de
descarte e AF13 com ambos piores. Alguns
exemplos de aplicação do AF são: AF4x –
vídeo-conferência, AF3x – transmissão de
vídeo (streaming) e AF2x – dados que
requerem baixa latência com prioridade.

Class Selector (CS): como o próprio nome

diz, ele atua como um seletor de classe para
os valores de IPP restantes, com faixa que
vai de 0-7. Dados de uso geral podem estar
marcados com CSx.
Após a etapa da marcação, o QoS utiliza a
priorização. Assim, serão definidos os conceitos
básicos para priorização e, posteriormente, uma

******ebook converter
DEMO
Watermarks*******
 aplicação para voz, dados e vídeo.

Gerenciamento de
Congestionamento (Queueing)
Todos os dispositivos de rede trabalham com o
conceito de filas (queues) que funciona da
seguinte maneira: o dispositivo recebe a
mensagem, toma a decisão sobre o
encaminhamento e, posteriormente, faz o envio
da mensagem. Contudo, quando a interface de
saída se encontra ocupada, é criada uma fila de
saída para as mensagens.
Ao conjunto de ferramentas do QoS para o
gerenciamento de filas é atribuído o termo
gerenciamento de congestionamento, que mantém
os pacotes em filas enquanto esses aguardam o
momento em que deverão sair de uma interface.
Essa atividade pode ser bastante complexa ao se
trabalhar com vários serviços e fazer o
gerenciamento sobre quais deverão ter prioridade
e com várias filas. Nesse caso é necessário
trabalhar com um tipo de classificação para
definir quais pacotes deverão ir para quais filas,
que pode utilizar algum tipo de marcação ou um
******ebook converter
DEMO
Watermarks*******
 agendamento de envio para o momento em que a
interface estiver disponível.
Priorização
No contexto do QoS a priorização se refere à
atividade de dar prioridade a uma fila sobre outra,
de alguma forma. A priorização utiliza uma
ferramenta chamada de agendador (scheduler)
para executar a priorização.
Nessa etapa, o QoS utiliza um algoritmo
chamado de round robin que é utilizado por
roteadores e switches Cisco para agendamento. O
algoritmo organiza as filas e faz o revezamento
em ciclos entre elas. A sua função basicamente é
de tirar uma mensagem ou uma quantidade de
bytes de cada fila, levando mensagens suficientes
para totalizar esse número de bytes.
A programação de round robin também inclui o
conceito de ponderação – weighting –
(geralmente chamado de round robin ponderado –
weighted round-robin), cujo agendador tira um
número diferente de pacotes (ou bytes) de cada
fila, priorizando uma fila sobre outra. Pela
utilização de uma ferramenta chamada Class-
Based Weighted Fair Queueing (CBWFQ), que
******ebook converter
DEMO
Watermarks*******
 usa o round robin ponderado, os roteadores
podem garantir uma quantidade mínima de
largura de banda para cada classe. Dessa forma,
cada classe recebe pelo menos a quantidade de
largura de banda configurada durante os períodos
de congestionamento da rede.
Priorização para dados, voz e vídeo
As tecnologias evoluíram muito nos últimos
anos e, no passado, um profissional de Redes se
preocupava apenas com o tráfego de dados
comuns. Agora ele precisa se preocupar com
dados sensíveis, voz e vídeo. A utilização de
vídeo por IP é cada vez mais usual e fez com que
o tráfego das redes aumentasse muito. De fato,
muitas empresas já utilizam recursos de vídeo
conferência e serviços de streaming de vídeo, que
utilizam a rede IP, cresce a cada dia. Os recursos
de voz sobre IP (VoIP) possibilitaram a utilização
de ligações telefônicas pela internet, mas também
aumentaram o tráfego das redes de forma
significativa. Nesses casos, é muito apropriado o
uso do Low Latency Queuing (LLQ), que faz o
enfileiramento de baixa latência. Até mesmo os
serviços que utilizam dados tiveram um aumento

******ebook converter
DEMO
Watermarks*******
 efetivo em decorrência da utilização de mídias
sociais, jogos online e aplicações financeiras.
Com esse aumento de tráfego, é necessário
trabalhar com as filas para definir a forma e os
critérios de atuação das redes. Podemos nos
basear nas melhores práticas de mercado para
priorização utilizadas pelas empresas para o QoS,
que normalmente são:
1. Utilizar um método de enfileiramento round
robin para dados, voz e vídeo não-interativos.
2. No caso de possuir uma banda inferior ao
tráfego, é necessário definir uma classe de
dados que são críticos para o negócio, ou seja,
as aplicações mais e menos importantes.
3. Utilizar uma fila de prioridade com
agendamento LLQ para voz e vídeos
interativos, para conseguir baixo delay, jitter e
perda.
4. Voz deve ser atribuída em uma fila separada
de vídeo, de modo que a função de
policiamento se aplique separadamente à cada
um.
5. Atribuir largura de banda suficiente em cada
fila de prioridade para que o policiamento não
******ebook converter
DEMO
Watermarks*******
 descarte nenhuma mensagem das filas
prioritárias.
6. Usar as ferramentas de Controle de Admissão
de Chamada (CAC) para evitar a adição de voz
ou vídeo além do necessário à rede, o que
desencadeia a função de policiamento.

Policiamento e Modelagem
Duas ferramentas importantes de QoS são a
modelagem e policiamento, porém não estão
presentes em qualquer tipo de rede, pois são mais
utilizadas em roteadores de borda WAN em redes
corporativas. Ambas as ferramentas monitoram a
taxa de bits das mensagens que percorrem os
dispositivos de redes e tentam mantê-las abaixo
da velocidade configurada, mas com técnicas
diferentes. O policiamento descarta ou remarca os
pacotes, enquanto a modelagem os mantém em
filas para atrasá-los. Vejamos cada um a seguir.
Policiamento (Policing)
O policiamento se concentra na taxa de tráfego
para descartar os pacotes quando necessário. Ele
faz uma análise do tráfego e da taxa, gerencia a
capacidade total da largura de banda e, quando
******ebook converter
DEMO
Watermarks*******
 identifica que ultrapassou o limite contratado,
providencia o descarte ou remarcação dos
pacotes.
O policiamento é comumente utilizado na borda
entre duas redes para evitar o congestionamento
no serviço WAN. Dessa forma, o Provedor de
Serviços (Service Provider) deve policiar os
pacotes de entrada, definindo a taxa de
policiamento para coincidir com o CIR
(committed information rate – taxa de dados
comprometida) que cada cliente contrata para seu
respectivo link. Dessa forma, os demais clientes
da rede são protegidos dos que enviam muito
tráfego e podem utilizar a largura de banda que
contrataram.
Os principais recursos do policiamento são:

Medir a taxa de tráfego ao longo do tempo

para comparação com a taxa de policiamento
configurada.

Permitir grande tráfego de dados após um

período de inatividade.

******ebook converter
DEMO
Watermarks*******
 Pode ser habilitado em uma interface, em
qualquer direção, mas normalmente na
interface de entrada.

Descarta o excesso de mensagens, mas pode

marcá-las novamente para que se torne
candidata a um descarte mais agressivo
posteriormente em sua trajetória.
Modelagem de Tráfego (Traffic Shaping)
O traffic shaping tem a função de atuar como
um modelador de tráfego em situações em que o
tráfego excede a taxa contratada (CIR) junto ao
provedor de serviços, assim ele diminui ou
modela o tráfego para que fique em conformidade
com a CIR. Para isso, são criadas filas de espera
das mensagens, as quais necessitam de
ferramentas para o gerenciamento de
congestionamento, onde o Round Robin e
CBWFQ são utilizados.
Os principais recursos da modelagem são:

medem a taxa de tráfego ao longo do tempo

para comparar com a taxa de modelagem

******ebook converter
DEMO
Watermarks*******
 configurada.

permitem o estouro (burst) após um período

de inatividade; o burst é uma rajada de
alguns Xbps para além da taxa contratada
(CIR).

devem ser habilitados em uma interface de

saída.

retardam os pacotes enfileirando-os e, ao

longo do tempo, liberando-os da fila
conforme a taxa de modelagem.

usam ferramentas de enfileiramento para

criar e agendar as filas de modelagem.

Ferramentas de prevenção de
congestionamento
O QoS possui ferramentas de prevenção de
congestionamentos (congestion avoidance) que
atuam descartando alguns pacotes utilizados em
conexões TCP. Eles são descartados antes do
preenchimento das filas, na expectativa de

******ebook converter
DEMO
Watermarks*******
 diminuir as conexões TCP. Deste modo, reduz-se
o congestionamento evitando que uma quantidade
maior de pacotes seja descartada. Assim, somente
alguns pacotes são descartados para poupar um
descarte em massa.
As ferramentas classificam as mensagens para
analisar os pacotes e aqueles com marcação são
descartados, enquanto outros não. A prevenção de
congestionamento inclui o monitoramento médio
das filas ao longo do tempo, para definir o que
deve ser descartado e qual respectivo impacto.
De acordo com o tamanho da fila, o
monitoramento acompanha o tráfego e ficando
abaixo dos níveis mínimos, nada é feito. Se ficar
em uma quantidade intermediária, apenas um
percentual pequeno é descartado. Na ocorrência
de atingir o nível máximo de fila, ocorre o
descarte total (full drop). Todo esse mecanismo
ainda se vale das marcações DSCP para tomada
de decisão. Pacotes com marcações menos
prioritárias tendem a ser os mais afetados pelo
descarte.

******ebook converter
DEMO
Watermarks*******
19 - Automação e Programação para
Redes

Introdução
A novidade para o novo exame CCNA é a parte de programação e automação da rede. Lá no
primeiro capítulo apresentamos as carreiras Cisco e uma delas se refere a DevOps, cujo tema deste
capítulo está alinhado.
O assunto de programação e automação demanda que o profissional ou candidato ao exame
compare o modelo convencional de redes e conectividade com as redes que usam controladores e
automação. Essas novas redes fazem parte do novo modelo operacional de redes conhecido por SDN
ou Software Defined Network. As SDNs usam controladores que permitem o uso de APIs
(application programming interfaces) para configurar e operar as redes de maneira automatizada.
Gerenciamento de mudanças na rede, bem como proteção das configurações realizadas são algumas
das vantagens do uso de SDNs.
Este capítulo é mais teórico e, justamente, o CCNA não exige configurações ou maiores detalhes
sobre o assunto, tanto que o blueprint da prova aponta apenas 10% sobre este conteúdo. Porém, cada
ponto conta e, ao ter os conceitos bem claros, você poderá aumentar o total de acertos. Obviamente,
encorajamos o leitor a se aprofundar nestes temas a partir da continuidade dos estudos via CCNP,
pois trata-se de tecnologias de vanguarda em Datacenters e redes em nuvem.

Automação e Programação para Redes

Se você tiver que configurar uma simples descrição de interface em um roteador da rede, você já
tem o comando na cabeça após ter estudado os capítulos anteriores. Você entra em uma sessão Telnet
ou SSH no equipamento, se autentica, entra no modo de configuração de interface e insere a nova
descrição. São poucos passos e, certamente, você termina a tarefa em menos de um minuto.
Agora imagine que a tarefa consista em trocar a descrição – por motivos de padronização da
empresa – de 150 interfaces loopback da rede toda ou da rede de um cliente. Qual seria o
procedimento? Simples, realizar os passos do parágrafo anterior 150 vezes.
E se pudéssemos criar um script a fim de automatizar esse processo que permitiria, inclusive,
controlar o que foi feito, bem como garantir que nenhum foi esquecido?
Esse é o objetivo maior da Automação, garantir que tarefas repetitivas possam ser programadas
para serem realizadas em determinado horário e com um conjunto de informações e dados que o
administrador estipula.
São inúmeras formas e ferramentas para realizar a automação em uma rede. O módulo netmiko
baseado na linguagem de programação Python, por exemplo, permite conectar a um roteador via SSH
e rodar linha de comandos, como a descrição de interfaces do cenário mencionado, a partir de um
script. Dessa forma, a configuração dos 150 equipamentos levaria poucos minutos.
As SDNs que definimos logo no início se baseiam em controladores que, por sua vez, habilitam
APIs que permitem a conexão com tais módulos de programação. Mas como essa interação se dá
com os equipamentos de rede na prática? Precisamos, antes, entender alguns de seus componentes
como Data Plane, Control Plane e Management Plane.

******ebook converter
DEMO
Watermarks*******
Data Plane
Se traduzíssemos, Data Plane seria plano de dados ou camada de dados, a depender do contexto.
Para nós, considerando tanto o exame CCNA, quanto o que você vai encontrar no dia a dia, vale mais
a pena mantê-lo no original: Data Plane. Isso vale para os demais.
Ele se refere às tarefas que um equipamento como roteador ou switch realiza com os Dados.
Quando os dados entram em um equipamento, ele toma a decisão de filtrar ou encaminhar para outra
porta e, consequentemente, outro roteador ou switch. Todo processamento do pacote, lógica de
roteamento e posterior encaminhamento é de responsabilidade do Data Plane. Nele também é
realizada as manipulações de cabeçalhos, como as realizadas no NAT. Em um switch, o control plane
confere os MACs com a tabela CAM e adiciona ou remove as marcações de trunk 802.1q, por
exemplo. Em suma, toda ação sobre o frame ou pacote fica a cargo do Data Plane.
Control Plane
O Control Plane pode ser visto como um nível acima do Data Plane, controlando-o. Ele é o “centro
nervoso” de um roteador, onde tudo é controlado. Todas as decisões tomadas, todos os protocolos
rodam nele. No Data Plane, um switch verifica o dado e confere com sua tabela CAM (de MACs) e
repassa a outra porta. Por outro lado, o Control Plane permite que o Spanning Tree (RPVST+ e
demais) rode e evite que o Data Plane pegue uma lista de MACs vinda de outro switch e repasse-a de
volta, causando uma Difusão de Broadcast ou loop.
Outros protocolos que estão sob o Control Plane são: OSPF, BGP, NDP, IPv4 ARP, VTP,
LLDP/CDP.
Management Plane
O Management Plane, como o nome diz, é responsável pelo gerenciamento das funções do
equipamento. Telnet e SSH são alguns protocolos mais comuns desse nível. Basicamente é o que
permite que realizemos tarefas de gerenciamento e configuração dos dispositivos de rede. Alguns
destes que possuem interface web para gerenciamento rodam HTTP que, também, se localiza no
Management Plane.

Arquitetura Definida por Software (Software-Defined

Architecture)
Um controlador (controller) é uma aplicação centralizada que realiza funções sobre o
equipamento e seu Control Plane. Tais funções variam, mas ele pode até mesmo substituir as funções
de Control Plane do equipamento centralizando tudo, ou seja, em uma rede com vários
equipamentos, o controlador passaria a realizar a tomada de decisão geral a partir das configurações
centralizadas do administrador.
Tomemos uma rede de 10 roteadores. Como vimos, cada equipamento tem seu Control Plane.
Através do Management Plane, o administrador realiza as tarefas de gerenciamento e configuração,
por exemplo, de roteamento OSPF. No entanto, o administrador deveria ir um a um para realizar tal
tarefa manualmente. Mas com tudo centralizado no controlador, as tarefas de configuração, a tomada
de decisão para criação de tabelas de roteamento OSPF e o direcionamento de pacotes ficariam em
um só lugar. Isso significa que o Control Plane individual de cada um dos 10 roteadores ficaria
“inativo”, já que o controlador permite centralizar aquela função.
Essa é uma tendência das redes modernas, que permite escalabilidade e controle na medida em que
crescem de tamanho. É um cenário similar às aplicações em nuvem, que são executadas em
servidores robustos com virtualização, cujo hardware é compartilhado e escalável.
Southbound Interface

******ebook converter
DEMO
Watermarks*******
 SBI ou Southbound Interface é a interface de software que “fica ao sul” de uma topologia ou
diagrama de rede, isto é, desenhada abaixo do controlador. Tem esse nome mais por sua posição
figurativa, mas o importante é guardar seu papel na arquitetura da rede.
Como o controlador passa a assumir funções do Control Plane, deve haver uma interface (aqui
frisamos como interface de software) que “converse” com o Data Plane. Entre eles se estabelece um
protocolo de comunicação que geralmente inclui as APIs, que são aplicações (programas) usadas
para trocar informações com outras aplicações.
Exemplos de SBIs são:

OpenFlow: API padrão de mercado, não proprietária, definida pela ONF – Open
Networking Foundation (opennetworking.org).

NETCONF: protocolo de gerenciamento de rede padronizado pelo IETF que permite

instalar, modificar e apagar configurações com linguagem XML.

OpFlex: proprietária da Cisco, essa SBI é usada pelo Cisco ACI (Application Centric
Infrastructure)

CLI (Telnet/SSH) e SNMP (em conjunto com o Cisco APIC-EM): interface para acesso
ao equipamento e gerenciamento de MIBs.

Northbound Interface
Se temos uma interface de software para baixo, sentido sul, temos também uma apontada para
cima, ao norte, a NBI ou Northbound Interface. Basicamente, o que a NBI permite é a conexão do
controlador para outras aplicações que enviarão comandos ou informações sobre a rede e seus
equipamentos, como endereços IP, a lista de portas físicas, estados dessas portas, etc. Essa conexão
também é através de APIs e permite a programação do controlador.
Quando um usuário escreve um script com comandos, ele toma uma API para interagir com o
controlador SDN. Essa API usa a NBI para alcançar o controlador. A Figura 19.1 resume a
arquitetura baseada em controlador e onde estão as principais interfaces de software:

Figura 19.1 – Arquitetura Software-Defined Network (SDN).

******ebook converter
DEMO
Watermarks*******
 Cisco ACI (Aplication Centric Infrastructure)
A Cisco adotou a topologia Spine/Leaf, do tipo Tier-2 que já estudamos, para compor a
estrutura adequada a Datacenters que demandam automação e virtualização. Bem como vimos
no capítulo sobre Cloud Computing, que falava sobre a virtualização de servidores, a
infraestrutura de rede também pode ser virtualizada e é aí que entra a infraestrutura centrada
em aplicações (ACI).
A fato de poder centralizar e automatizar a infraestrutura permite que a rede seja escalável,
ideal para suportar a demanda dos Datacenters. Essa é uma das principais vantagens sobre a
arquitetura de rede tradicional.

Underlay, Overlay e Fabric

Esses termos são apenas denominações de componentes que já conhecemos e estamos vendo
neste capítulo, mas certamente podem aparecer no exame CCNA.
Underlay refere-se à rede física e suas conexões, onde rodam protocolos de roteamento IGP,
realizam-se configurações nas interfaces etc. É a infraestrutura necessária para rodar o
Overlay.
Overlay é a camada superior, cujas conexões são lógicas, como tunelamento de tráfego
camada 2 dentro da camada 3. Redes MPLS ou DMVPN (Dynamic Multipoint VPN), bem
como protocolos de roteamento como BGP estão presentes nesse nível.
Por fim, Fabric refere-se aos equipamentos de rede que conhecemos: roteadores, switches,
firewalls etc.

Cisco DNA Center (Digital Network Architecture)

O Cisco DNA possibilita o gerenciamento centralizado das configurações dos equipamentos
de rede através de aplicações que residem no SDN Controller. Uma vez que se inserem
configurações no DNA, ele as replica para os dispositivos agilizando a tarefa de atuar em
muitos equipamentos de uma vez.
Outra função presente nessa solução é o apoio ao diagnóstico, já que o DNA coleta
informações da rede e faz uso de análises de dados que suportam o administrador na tomada
de decisão.
O DNA Center é o sucessor do APIC-EM (Application Policy Infrastructure Controller
Enterprise Module) para integrar redes legadas com as novas tecnologias SDN, permitindo que
os dois mundos convivam até que o hardware antigo seja descontinuado.
As caraterísticas relevantes do DNA são:

Varredura (Discovery): a partir do CDP/LLDP faz um levantamento de informações

da rede.

Hierarquia de Rede (Network Hierarchy): organiza a rede por localidades.

Modelos (Templates): aplicados à hierarquia de rede para enviar configurações

específicas aos equipamentos. O DNA tem a premissa que tudo será um comando.

******ebook converter
DEMO
Watermarks*******
 Topologia (Topology): com a listagem de equipamentos feita no Discovery, o DNA
constrói um diagrama de camada 3 com eles.

Atualização (Upgrades): permite padronizar os IOS dos equipamentos através da

distribuição centralizada das atualizações, inclusive com agendamento e pré-análise
dos recursos (memória, armazenamento, horário NTP etc.) de cada um.

Execução de Comandos (Command Runner): envia comandos a partir do DNA

Center para realizar tarefas ou coletar informações, como uma nova rota BGP
propagada que deveria estar na tabela de todos.

Reparo (Assurance): o DNA armazena logs da rede por até uma semana,
possibilitando o diagnóstico de falhas. Adicionalmente, ele informa possíveis falhas
encontradas e sugere correções nas configurações.

Traçar Caminhos (Path Trace): a ferramenta revela os caminhos reais da rede por
conhecer sua topologia física e lógica, além de mostrar ACLs presentes que
eventualmente direcionariam tráfego para outro lado desnecessariamente.

QoS (EasyQos): a partir de uma interface intuitiva, o administrador pode determinar

os tipos de aplicações relevantes ao negócio e definir as classificações necessárias. O
DNA se encarrega de aplicar os comandos e ativar as configurações para atender os
requisitos.

Automação da LAN (LAN Automation): facilita a inserção de novos equipamentos

na rede. Com o Cisco Plug and Play (PNP), o equipamento inicia, toma um IP da rede
e o DNA se encarrega de subir as configurações básicas e colocá-lo na topologia e
localidade.

Acesso Baseado em Software (SD-Access): característica que permite criar redes de

acesso setorizadas, ou seja, garantir que determinado setor não acesse recursos de
outro.

Restful API: baseado em HTTP, interage com o CRUD (Create, Read/Retrieve,

Update, Delete) que é uma base de dados de ações a serem executadas. O Restful API
é um recurso mais comum para acessar as APIs e obter os resultados necessários na
automação. Verbos HTTP (post, get, put, patch, delete) são associados com seus
respectivos do CRUD.

JSON (JavaScript Object Notation)

JSON é uma linguagem de modelagem de dados utilizada para levar dados de um sistema a
outro através de mensagens de dados estruturadas em texto. Um exemplo pode ser o servidor
Rest (ou REST – Representational State Transfer) coletando variáveis, depois entregando a
uma API e esta, por sua vez, converte em um modelo de dados JSON para que seja enviado
via rede. O cliente Rest recebe, interpreta, converte e envia o dado à aplicação em seu formato
nativo.

******ebook converter
DEMO
Watermarks*******
 O exame CCNA requer que o candidato, ao menos, interprete os dados JSON. É muito
simples ler sua codificação, por ser intuitiva. A sintaxe é composta por:

Pares de valores: tem o formato key:value com uma palavra-chave seguida por um
valor, separados por “:” (dois pontos). Exemplo:
{
“SW2”: [“FastEthernet1/0”, “FastEthernet1/1”],
“SW3”: [“FastEthernet2/0”, “FastEthernet2/1”]
}
Note que é fácil deduzir o que a string faz: listar interfaces de dois equipamentos, SW2 e
SW3.

Chave (key): texto dentro de par de aspas, indicando o nome cujo valor faz
referência.

Valor (value): elemento após os dois pontos que representa o valor da palavra-chave
e pode ser do tipo texto, numérico, matriz e objeto.

Múltiplos pares (multiple pairs): como no primeiro exemplo, vários pares key:value
separados por uma vírgula ao final de cada linha, exceto a última.

Matriz (array): conjunto de valores (não pares) dentro de um par de colchetes. Os

valores de texto ficam entre aspas e valores numéricos sem aspas.

Objeto (object): conjunto de pares key:value dentro de um par de chaves.

Assim como toda linguagem de programação, seja por strings, objetos ou em

desenvolvimento de páginas web por módulos ou blocos, é possível aninhar elementos a fim
de compor valores mais complexos ou amplos com o JSON. Assim, podemos ter os elementos
apresentados dentro de outros. Exemplo:
{
“marcas_carros”: {
“toyota”: “corolla”,
“nissan”: “frontier”,
“honda”: “accord”
},
“conferir_pecas”: [
“freio”,
“pneus”,
“oleo”
]
}

Note que o objeto maior inicia e termina com as chaves mais à esquerda. Em seguida temos
os pares key:value “marcas_carros” e um outro objeto formado por mais três pares key:value.
Por fim, novo par key:value “conferir_pecas” com uma matriz de valores não numéricos.

Fundamentos do Ansible, Puppet e Chef

Ansible, Puppet e Chef são empresas de software que desenvolvem ferramentas de
gerenciamento de configuração, cujos produtos levam o mesmo nome. Para o uso em

******ebook converter
DEMO
Watermarks*******
 gerenciamento de configurações em equipamentos de rede, o Ansible é o mais usado dos três e
ainda tem a facilidade de não requerer agente instalado no lado cliente e ser compatível com
uma gama de dispositivos Cisco. A tabela apresenta um comparativo dos três:
AÇÃO ANSIBLE PUPPET CHEF
Arquivo que lista as ações Playbook Manifest Recipe,
Runlist
Protocolo para acessar o dispositivo de SSH, HTTP HTTP
rede NETCONF (REST) (REST)
Exige agente (client) não sim sim
Modo push ou pull push pull pull
O Ansible (www.ansible.com) pode ser instalado em sistemas Linux, Windows ou MAC.
Como mostrado na tabela, não requer instalação nos equipamentos de rede, já que faz uso dos
mesmos protocolos de acesso de administrador da rede.
O modo “push” significa que o administrador deve configurar o arquivo de ações (playbook)
e todos os demais arquivos que o Ansible usa para realizar uma ação: inventário, modelos e
variáveis. É o modo ideal para automação de provisionamento.
Já o Puppet (www.puppet.com) pode ser instalado em um sistema Linux para criar o Puppet
Master. Diferentemente do Ansible, o Puppet requer um agente instalado no equipamento, mas
nem todos os dispositivos Cisco são compatíveis. Alternativamente, é possível criar um Proxy
de Agente externo para contornar essa limitação, cujo protocolo de comunicação com o
equipamento de rede se dá via SSH. Outra diferença é o modo pull de envio de dados, no qual
o agente (um roteador, por exemplo), puxa informação do servidor e este informa qual
configuração deve estar.
Por fim, o Chef (www.chef.io) é muito semelhante ao Puppet, mas com mais desvantagens
entre os três: pouco suporte a equipamentos Cisco para instalação de agentes e não conta com
um proxy externo para tal. O modo pull é idêntico ao Puppet, no qual o dispositivo requisita a
informação ou atualização do servidor.

******ebook converter
DEMO
Watermarks*******
 20 - Redes Wireless LAN

Introdução
Os dispositivos wireless (sem fio) inundaram o mercado. Hoje em dia
muitas pessoas utilizam vários dispositivos sem fio, como controles
remotos, tablets, smartphones, caixas de som etc. Essas tecnologias
chegaram e ganharam espaço em nossa vida diária, sendo que não
conseguimos mais nos ver sem a utilização desses equipamentos.
Como uma consequência natural disso, surgiu a necessidade de interligar
esses dispositivos em rede, mas, nesse caso, em redes sem fio. Para tanto,
foram criados roteadores wireless, access-points e protocolos para redes
sem fio.
Com a crescente utilização desses dispositivos, os conceitos fundamentais
de Wireless foram incorporados à prova para certificação CCNA. Os
conceitos aqui expostos são básicos, porém cobrem todo o conteúdo exigido
no exame e tem o objetivo de prepará-lo também para o mercado de
trabalho.

Comunicação Sem Fio

A transmissão sem fio ocorre via ondas de rádio frequência e, para que
isso ocorra, é necessário definir uma frequência, que são ondas
eletromagnéticas que passam por um determinado ponto em um segundo.
A definição da frequência reduz as chances de interferências na
comunicação, por isso os fabricantes e órgãos reguladores determinaram
frequências específicas em que esses dispositivos podem operar sem
interferência de outros equipamentos. É o que ocorre com as redes sem fio.

Bandas de Rádio Frequência (RF)

As redes sem fio utilizam basicamente frequências em Mega-Hertz
(MHz), que são milhões de ciclos por segundo, e Giga-Hertz (GHz), que
são bilhões de ciclos por segundo.

******ebook converter
DEMO
Watermarks*******
 Da mesma forma que o meio utilizado em uma rede Ethernet é o cabo
UTP, as Bandas de Rádio Frequência são necessárias para que a
comunicação sem fio ocorra.
Cada Banda RF possui uma quantidade de canais. As bandas são:

900MHz: utilizada por telefones sem fio antigos, em

descontinuação.

2.4GHz: utilizada por telefones sem fio, WLANs (802.11b,

802.11g), Bluetooth, micro-ondas e outros dispositivos.

5GHz: utilizada pelos novos modelos de telefones sem fio e por

dispositivos WLAN (por exemplo, 802.11a, 802.11n e outros
padrões).

No entanto, isso faz com que seja necessária a utilização de técnicas de

modulação.

Técnicas de Modulação Sem fio

Os dispositivos Wi-Fi utilizam diferentes técnicas para modular (alterar) a
frequência quando enviam os dados. Essas técnicas são:

Direct Sequence Spread Spectrum (DSSS): é uma técnica de

modulação utilizada por dispositivos que trabalham no padrão
802.11b para utilização na faixa de 2.4 GHz (faixa liberada onde
operam muitos aparelhos de telefone sem fio). Essa faixa possui 11
canais diferentes.

Orthogonal Frequency Division Multiplexing (OFDM): é uma

técnica de modulação que possui uma resistência maior contra
interferências. O OFDM é utilizado pelos padrões 802.11a e 802.11g,
porém não é suportado pelo padrão 802.11b.

Multiple Input Multiple Output (MIMO): é a técnica de

******ebook converter
DEMO
Watermarks*******
 modulação do padrão 802.11n, possui maior escalabilidade, porém
requer a utilização de múltiplas antenas.

Com o conhecimento básico de transmissão e modulação de

comunicações sem fio, podemos nos aprofundar em Wireless LAN e
iniciaremos com os principais dispositivos e, posteriormente, com os
conceitos sobre tipos de Redes WLAN.

Dispositivos utilizados em Wireless LAN (WLAN)

As redes wireless convencionais utilizam basicamente quatro
dispositivos, que são:

Placa de Rede Wireless: alguns computadores mais antigos

(principalmente desktops) não possuem placa de rede wireless nativa.
Dessa forma, os fabricantes de hardware passaram a fabricar placas
de redes que possibilitam o acesso sem fio aos computadores.
Geralmente essas placas são conectadas pela porta USB das
máquinas. Os computadores mais novos (principalmente notebooks)
já contam com placa de rede wireless.

Workgroup Bridge (WGB): é semelhante à placa de rede wireless

do item anterior, mas há opção de ser multiportas, isto é, possui
várias interfaces Ethernet UTP para receber conexões dos
equipamentos que não têm placa wireless. Ele concentra essas
conexões físicas e, por sua vez, se conecta a um Access Point
tornando todos os dispositivos clientes da rede Wi-Fi.

Access Point (AP): o AP ou Ponto de Acesso é um dispositivo em

uma rede sem fio que faz a conexão entre todos os dispositivos
móveis. Ele executa o papel de Switch em uma WLAN e trabalha na
camada de Enlace do modelo OSI. O AP é conectado à rede Ethernet
por meio de um cabo UTP diretamente em uma porta de um Switch.

Clientes Wireless: os clientes são as máquinas na rede que se

conectam ao Access Point (AP) por meio de uma placa de rede

******ebook converter
DEMO
Watermarks*******
 Wireless. Podemos citar como clientes os smartphones, tablets,
desktops, notebooks etc.

Roteador Wireless: é um dispositivo de rede que executa a função

de um roteador, mas sem a utilização de fios. O roteador deve possuir
conexão com a Internet por meio de cabos para que, posteriormente,
possa distribuir acessos sem fio em uma rede local. Normalmente, os
roteadores wireless englobam a função de roteador e AP.

Tipos de Redes Wireless

No início do livro nos aprofundamos nos conceitos de PAN, LAN, MAN
e WAN para redes Ethernet. No mundo wireless temos os seguintes
conceitos:

Wireless Personal Area Network (WPAN) – Rede Pessoal Sem

Fio: a WPAN é uma rede pessoal sem fio em que são conectados
vários dispositivos pessoais, geralmente com uma distância de até 10
metros. Esse conceito é interessante, pois muitas pessoas possuem
uma WPAN e não percebem.

Tecnologias: RFID, Bluetooth (IEEE 820.15).

Wireless Local Area Network (WLAN) – Rede Local Sem Fio: é

uma rede local wireless, geralmente possui um alcance até 100
metros. Esse o tipo de rede sem fio mais utilizado nas residências e
organizações e é chamado de Wi-Fi.

Tecnologias: Wi-Fi (IEEE 802.11).

Wireless Metropolitan Area Network (WMAN) – Rede

Metropolitana Sem Fio: possui o mesmo conceito das redes MAN,
ou seja, tem o objetivo de ter o alcance de uma região metropolitana
inteira, porém ela não possui fios.

******ebook converter
DEMO
Watermarks*******
 Tecnologias: GSM, 3/4/5G, IEEE 802.16e.

Wireless Wide Area Network (WWAN) – Rede de Longa

Distância Sem Fio: são as redes geograficamente distribuídas,
porém sem fios. As operadoras de telefonia celular utilizam a
WWAN com as suas diversas tecnologias para a prestação dos
serviços móveis, e são tidos como o backbone das redes.

Tecnologias: 3/4/5G, WiMax (IEEE 802.16), IEEE 802.20.

Padrões de Redes Wireless LAN (IEEE 802.11)

A IEEE definiu um padrão para redes locais wireless da mesma forma
como ocorre com o padrão 802.3, que é para Redes Ethernet. O padrão
oficial para redes locais wireless definido pela IEEE é o 802.11 e existem
vários padrões com base nesse que vão desde 802.11a até o 802.11z e que
variam conforme a frequência e funcionalidade.
O padrão IEEE 802.11, como mencionamos, é comumente chamado de
Wi-Fi e muito utilizado nos dias de hoje. Com o objetivo de simplificar,
segue um comparativo envolvendo os principais padrões do IEEE 802.11
que são utilizados no mercado e suas características:
PADRÃO FREQUÊNCI MODULAÇÃ MÁXIMA ALCANÇ
IEEE A O TAXA A
DE DADOS ATÉ (M)
802.11a 5GHz OFDM 54 Mbps 120
802.11b 2.4GHz DSSS 11 Mbps 140
802.11g 2.4GHz OFDM 54 Mbps 140
802.11n 2.4/5GHz MIMO-OFDM 600 Mbps 250
802.11ac 5GHz MIMO-OFDM 6,93Gbps 120
802.11ax 2,4/5GHz MIMO-OFDM ~10Gbps 120

Topologias Wireless LAN (WLAN)

De forma geral, existem duas topologias ou modos de operação de uma
rede WLAN. Essas topologias são:

******ebook converter
DEMO
Watermarks*******
 Ad hoc (do latim, para uma finalidade específica): nesse modo de
WLAN, dois dispositivos sem fio estabelecem uma comunicação
sem a necessidade de um Access Point (AP) como intermediário,
funcionando como uma rede ponto a ponto sem fio. Basicamente, é
uma solução simplificada que tem a finalidade de atender uma
necessidade específica. Essa forma de operação é chamada de
Independent Basic Service Set (IBSS).

Infraestrutura: nesse modo é necessário a utilização de um AP para

o estabelecimento da comunicação. Portanto, como o próprio nome
diz, requer uma infraestrutura específica para comunicação. O AP
precisa estar conectado à rede Ethernet por meio de um cabo UTP e
ele desempenha o papel de um switch, sendo responsável por receber
os quadros de um dispositivo conectado na rede e, depois,
encaminhar para o destinatário. Essa decisão de encaminhamento é
feita com base no endereço MAC das máquinas na WLAN. As
formas de operação do modo Infraestrutura são:

Basic Service Set (BSS): fornece o acesso a apenas um AP,

limitando a mobilidade do usuário na rede. Nesse modo de
infraestrutura, se uma rede possui vários APs, cada um deve
possuir um SSID próprio e os clientes devem ter autorização
de acesso para cada AP. O identificador no BSS é baseado no
MAC do AP e se torna um BSSID, que pode ser lido pelos
clientes wireless. Os frames que são trocados possuem essa
informação e permite identificar origem e destino dos quadros
entre AP e clientes.

Extended Service Set (ESS): opera com o conceito de

roaming da telefonia celular, ou seja, permite a mobilidade do
usuário da rede através de células distintas (no caso
comunicação com APs distintos) mantendo o mesmo endereço
IP dentro da rede. Assim, o ESS utiliza dois ou mais APs que
garantem a mobilidade do cliente pela rede. Nesse modo de
infraestrutura, todos os APs devem possuir o mesmo SSID a

******ebook converter
DEMO
Watermarks*******
 fim de que o usuário não perceba a alteração de célula dentro
da rede. Quando o usuário se movimenta pela rede, o seu
dispositivo identifica que o sinal de um AP está ficando fraco e
procura outro AP de outra célula para fazer a troca e obter um
sinal mais forte.

Segurança em Redes Wireless

Dentre todos os aspectos relativos a uma rede sem fio, podemos
considerar a segurança como o mais crítico. De fato, a segurança sempre foi
uma grande preocupação no ambiente de redes de computadores, e se isso
já é um problema em um ambiente em que se possui controle de acesso
físico, imagine a preocupação quando se fala em uma transmissão que
trafega pelo ar.
Essa preocupação se justifica pelo fato de qualquer pessoa, munida de um
notebook ou de um dispositivo móvel, poder acessar a rede e representar
um risco de segurança. Para a mitigação desse risco, podemos utilizar três
ferramentas em uma WLAN:

Criptografia: utiliza uma chave de segurança que pode ser estática

ou dinâmica, baseada em um algoritmo para criptografar o conteúdo
dos quadros na transmissão. O cliente da rede recebe os quadros e os
decodifica.

Sistemas de Prevenção de Intrusão: tem a função de proteger a

rede contra acessos não autorizados e ataques. Essas ferramentas são
conhecidas como IPS – Intrusion Prevention Systems. Um dos
exemplos de atuação dessa ferramenta é a identificação dos
chamados “rogue APs”, que são os clones de Access Points.

Autenticação: é responsável por permitir o acesso entre o cliente e o

Access Point (AP). Existem várias formas de fazer isso, detalhadas a
seguir.

******ebook converter
DEMO
Watermarks*******
Métodos de Autenticação em Wireless LAN
Como em qualquer tecnologia, as redes Wireless estão sofrendo
adaptações e melhorias com base nas lições aprendidas do que foi
implementado anteriormente. Os métodos de autenticação continuam em
uma constante evolução, conforme detalhamos abaixo:

Open (Aberta): autenticação aberta é aquela que usamos em uma

Wi-Fi pública, na qual você apenas consente com algum termo de
uso, ou nem isso, e já sai navegando. Ela é insegura e não conta com
formas de autorização de usuários.

Wired Equivalent Privacy (WEP): foi o primeiro método de

autenticação desenvolvido para WLAN e, por ser o primeiro,
apresenta várias vulnerabilidades. Ele utiliza o algoritmo de
criptografia RC4 e uma chave de segurança estática com 64 bits.
Devido suas deficiências, esse método de autenticação não é
recomendado para uso em empresas. Para minimizar os problemas
do WEP foram criadas algumas técnicas:

Filtro de endereços MAC: é feita a configuração no AP de

quais os endereços MAC serão autorizados a se comunicar
com ele, não permitindo o acesso de endereços MAC
desconhecidos.

Desabilitar Broadcast do SSID pelas ondas de rádio: sem

saber o SSID do AP, as máquinas desconhecidas não poderão
estabelecer uma comunicação com ele e, dessa forma, ficarão
sem acesso à WLAN. Nesse cenário, o SSID do AP deverá ser
configurado manualmente em cada máquina da rede.

Essas duas técnicas minimizam, mas não resolvem o problema, pois o

WEP continua sendo inseguro.

802.1x EAP: o 802.1x é um padrão baseado no protocolo Extensible

******ebook converter
DEMO
Watermarks*******
 Authentication Protocol (EAP), o qual trabalha na camada de enlace
do Modelo OSI e fornece autenticação dos clientes wireless na rede.
O EAP utiliza um controlador para a permissão de acessos e um
mecanismo de distribuição de chaves de segurança, além de permitir
certificados digitais. Funciona da mesma forma que o protocolo PPP,
utilizando os mesmos mecanismos para autenticação, mas permite a
alteração das chaves de segurança, tornando a rede mais segura. O
EAP tem alguns outros “sabores” que vão aumentando a segurança e
sanando deficiências de outros protocolos: LEAP (Lightweight
EAP), EAP-FAST (EAP Flexible Authentication by Secure
Tunneling), PEAP (Protected EAP), EAP-TLS (EAP Transport Layer
Security) menos usado por depender de conexão com autenticadores
via CA (Certificate Authority) para certificados digitais.

Wi-Fi Protected Access (WPA): foi desenvolvido pela Wi-Fi

Alliance e utiliza o protocolo Temporal Key Integrity Protocol
(TKIP), que foi desenvolvido pela Cisco, baseado no algoritmo de
criptografia RC4 e incorporou a autenticação 802.1x. A grande
vantagem do WPA sobre o WEP é que ele permite a troca de chaves
de segurança dinamicamente, enquanto o WEP possui chaves
estáticas.

WPA2/IEEE 802.11i: o WPA2 foi uma implementação do IEEE

802.11i desenvolvida pela Wi-Fi Alliance e ambos possuem,
basicamente, as mesmas características. Esse método utiliza o
algoritmo Advanced Encryption Standard (AES), que é mais seguro,
porém exige um maior processamento e o protocolo CBC-MAC
Protocol (CCMP). Dessa forma, ele utiliza duas técnicas de
criptografia (AES-CCMP) e fornece uma maior segurança entre o AP
e as máquinas da rede. Adicionalmente, ele utiliza uma chave de
segurança dinâmica de 128 bits, o que o torna muito mais seguro.

WPA3: mais recente que os demais, contam com segurança mais

robusta. Faz uso do AES com GCMP (Galois/Counter Mode
Protocol) com encriptação mais forte. Provê também segurança
adicional para quadros de gerenciamento 802.11 entre APs e clientes
com PMF (Protected Management Frames), o que auxilia na

******ebook converter
DEMO
Watermarks*******
 proteção anti-spoofing.

Os riscos referentes à segurança existem no mundo de rede cabeada

(Ethernet) e no mundo de redes sem fio (WLAN), porém nas redes sem fio
há, ainda, um grande problema invisível, que são as interferências.

Interferência em Wireless LAN (WLAN)

Pelo fato de operarem em uma tecnologia por ondas de rádio, as redes
wireless podem sofrer vários tipos de interferência proveniente de diversos
equipamentos. Esses tipos de interferências podem ser definidos como:

Interferência de Banda Estreita: Esse tipo de interferência não

ocupa a banda toda. Ela afeta o desempenho de uma WLAN fazendo
com que alguns usuários acessem em velocidades melhores do que
outros. Esse tipo de problema ocorre quando alguns equipamentos
estão operando na mesma frequência. Exemplos: telefone sem fio,
micro-ondas.

Interferência de Banda Larga: esse tipo de interferência ocupa

toda a banda que se está tentando usar da WLAN. Exemplo:
Bluetooth.

Interferência causada por barreiras físicas: as barreiras existentes

no caminho das ondas de rádio podem causar degradação do sinal,
limitando o seu alcance. Exemplos: armários de metal, paredes e teto.

Interferência causada devido às condições do clima: condições de

clima adversas podem causar degradação e acabar afetando uma
WLAN. Exemplos: vento forte ou nevoeiro intenso.

Agora que definimos todos os conceitos teóricos necessário, devemos

entender como funciona a implementação de uma WLAN.

Rede WLAN com Arquitetura Autônoma

Para implementar uma rede WLAN devemos seguir alguns passos que

******ebook converter
DEMO
Watermarks*******
envolvem a infraestrutura física, conectividade entre dispositivos cabeados
e sem fio e a configuração do AP e clientes em uma arquitetura autônoma,
ou seja, onde cada dispositivo é preparado individual e manualmente.
Infraestrutura para a Instalação
O primeiro passo é montar uma topologia da rede Ethernet para, então,
planejar como será a rede WLAN. Na maior parte dos cenários, o AP é
conectado a uma porta de um Switch da rede por meio de um cabo UTP.
Outro aspecto importante que deve ser levado em consideração é a
localização em que o AP será instalado. Pois, como mencionamos
anteriormente, existem vários aspectos que podem influenciar e gerar
interferências no sinal da rede.
Devido às barreiras físicas (armários, paredes etc.), geralmente os APs
são instalados em um local mais alto, de modo a minimizar isso. É
importante verificar se há aparelhos que possam interferir na rede Wi-Fi. Se
houver, talvez seja necessário alterar a frequência de funcionamento para
podermos iniciar a configuração do AP.
Configuração do Access Point (AP)
Antes de configurar o AP, é importante verificar o esquema lógico da
rede, isto é, qual o endereçamento da rede, utilização de DHCP, VLANs etc.
Em seguida, podemos iniciar a configuração do AP iniciando pelo SSID:

Service Set ID (SSID): o SSID é basicamente o nome da rede Wi-Fi

e representa um dos itens mais importantes da configuração do AP,
pois é o requisito mínimo para o funcionamento do equipamento e
consequentemente da WLAN.

A maior parte dos APs comercializados hoje (principalmente os de uso

doméstico que você certamente tem em casa) não necessita de
configurações adicionais para o funcionamento, pois eles possuem o
DHCP-client ativado por padrão e, depois de conectado à rede pelo cabo
UTP, recebem um endereço IP e passam a funcionar imediatamente.
No entanto, existem vários parâmetros a serem configurados de modo a
otimizar e aumentar o nível de segurança. Os outros parâmetros que podem
ser configurados são:
******ebook converter
DEMO
Watermarks*******
 Definição do padrão Wi-Fi: muitos equipamentos possuem opção
para definir o padrão 802.11b, g, n, etc. Sendo que alguns deles
permitem definir um padrão híbrido, chamado de Mixed que permite
o 802.11b junto com o 802.11g (que são os mais populares).

Definição da Frequência ou Canal (Wireless Channel): o AP

possui uma relação com os canais disponíveis, conforme o padrão da
WLAN escolhido. As bandas de frequências são divididas em canais.
No 5GHz todos os canais não se sobrepõem e são chamados de
nonoverlapping channels. Contudo, no 2,4GHz elas se sobrepõem,
e para evitar isso, recomenda-se usar os canais 1, 6 ou 11, apesar de
ser uma banda com 14 canais disponíveis.

Divulgação do SSID por Broadcast (Wireless SSID Broadcast):

se ele estiver habilitado, o AP irá divulgar a identificação da rede por
broadcast, o que deixa o AP e a rede exposta. Por outro lado, se ele
estiver desabilitado, não é possível identificar a rede Wi-Fi, sendo
necessária a configuração manual do SSID nos clientes.

Definição do método de autenticação: Deverá ser definido qual o

método de autenticação escolhido (WEP, WPA, WPA-2 ou 802.1x
EAP).

Filtro de endereços MAC: conforme mencionado, permite a

configuração manual no AP de quais os endereços MAC serão
autorizados a se comunicar com ele, não permitindo o acesso de
endereços MAC desconhecidos.

Configuração dos Clientes Wi-Fi

Qualquer dispositivo que possua uma antena ou placa de rede Wi-Fi para
acesso é um cliente na rede Wi-Fi. Por padrão, não é necessário fazer
nenhuma configuração no cliente, pois os Sistemas Operacionais possuem
suporte nativo para as redes Wi-Fi. Geralmente, a única informação
solicitada é a chave de segurança, no caso de redes que utilizem método de
autenticação como WEP e WPA.

******ebook converter
DEMO
Watermarks*******
 O endereçamento IP para o cliente é atribuído de forma automática pelo
AP, tornando-se algo transparente para o usuário.
A exceção ocorre em situações em que, por medidas de segurança, o
SSID Broadcast foi desabilitado. Nesse caso, o SSID do AP deverá ser
configurado manualmente no cliente.

Rede WLAN com Arquitetura de APs Baseados

em Nuvem (Cloud-based)
Diferentemente da arquitetura anterior, podemos nos valer das mesmas
facilidades que vimos no capítulo sobre SDN para gerenciar e implementar
redes sem fio.
A Cisco oferece a solução Meraki baseada em nuvem que permite
gerenciamento centralizado das redes wireless, cabeada e de segurança com
produtos compatíveis. Quando se ativa um novo elemento dessa solução,
basta registrá-lo na nuvem Meraki e a rede faz o resto automaticamente.
A rede wireless gerenciada pela nuvem permite monitoramento completo,
verificação de interferências de RF, fluxo de dados, uso da rede etc. Todas
as etapas vistas nos tópicos de arquitetura autônoma são realizadas a partir
do equipamento central e replicado à medida que entram novos APs na
rede.

Lightweight AP e Wireless LAN Controller

Lightweight Access Point (LAP) é um dispositivo do tipo Access Point
com funções reduzidas, como encriptação, gerenciamento de MAC e a
transmissão de rádio frequência (RF). Toda parte de inteligência fica a
cargo de outro equipamento: o Wireless LAN Controller (WLC).
Por que a distinção ou separação de funções entre dois dispositivos?
Recorda-se que há pouco falávamos da arquitetura autônoma, em que cada
elemento da rede precisa ser configurado e administrado um a um? Imagine
ter que modificar SSID da empresa em uma dezena de APs espalhados pelo
prédio?
Uma das alternativas para reduzir esse trabalho manual seria ter a solução
Meraki, em nuvem. Outra seria uma solução centralizada, mas sem estar em
nuvem, com equipamentos físicos ainda, mas com gerenciamento centrado

******ebook converter
DEMO
Watermarks*******
no WLC.
Essa arquitetura com o dispositivo central WLC executando as principais
tarefas de QoS, segurança, gerenciamento RF e autenticação, somada aos
Lightweight APs se chama Split-MAC.
Para trocar informações entre si em uma arquitetura Split-MAC, o WLC e
LAP utilizam o protocolo de tunelamento CAPWAP (Control and
Provisioning of Wireless Access Points – Controle e Provisionamento de
Access Points Sem fio). São estabelecidos dois túneis, para envio de
mensagens de controle e outro para os dados.
O WLC Controller em Detalhes
Gerenciar um WLC não difere da gestão de roteadores ou switches. O
exame CCNA requer que o candidato avalie configurações ou opções do
equipamento em uma interface Web (http), ou seja, sem exigir que se entre
com comandos via CLI (command line). Embora via Web seja mais
conveniente, claro que há opções via Telnet/SSH, SNMP ou TFTP que
podem ser habilitados para uso in-band, ou seja, dentro das VLANs
configuradas para gerência.
Também, parte-se da premissa de haver um equipamento pré-configurado,
já que ele precisa ter o setup inicial concluído com IP de gerência, etc. a fim
de permitir que se acesse a página de ajustes para iniciar outras ações sobre
o equipamento.
Um detalhe a destacar dos WLC são as nomenclaturas que a Cisco usa
para portas e interfaces. Quando falávamos de roteadores e switches ao
longo do livro, estávamos nos referindo às mesmas coisas: uma porta
Giga0/0 precisava de configurações de IP dentro do comando interface –>
Roteador1(config)# interface giga0/0.
No WLC há algumas distinções: as portas são as conexões físicas (ligar
um cabo do WLC a um switch ou AP) e interfaces são conexões lógicas,
definidas dentro do equipamento (VLANs, por exemplo).
Tipos de portas que temos no WLC:

Porta de serviço (service port): gerenciamento remoto do WLC,

geralmente conectada a um switch em modo access para operações

******ebook converter
DEMO
Watermarks*******
 recuperação, ou setup inicial.

Porta de sistema de distribuição (distribution system port):

conectada a um switch em porta trunk, ela é usada para o tráfego de
gerência e entre APs. Podem ser portas únicas ou com LAG (Link
Aggregation Group), que são as portas agregadas que fazem um link
ter múltiplos 100Mbps ou 1Gbps que já estudamos.

Porta console: semelhante à porta console do roteador, para conexão

de configurações iniciais via terminal (Putty, SecureCRT etc.), usada
quando se está diretamente conectado ao equipamento.

Porta de redundância (redundancy port): permite conexão com

outro WLC para arranjos de alta disponibilidade e redundância.

A configuração via web é bastante intuitiva, então não vamos nos alongar
em mostrar dezenas de telas de configuração, mas sim apontar alguns itens
de destaque para tomar atenção. Na Figura 20.1 temos uma interface típica
do WLC via web, extraída do site da Cisco:

Figura 20.1 – Interface de Gerenciamento do WLC via Web. Fonte: www.cisco.com.

Na parte superior temos as opções e na lateral esquerda, os menus
correspondentes àquela opção escolhida. No exemplo da Figura 20.1,
está marcada a opção de Management.
Uma das ações importantes é configurar um servidor Radius para
centralizar e gerenciar as autenticações de segurança para WPA2 e

******ebook converter
DEMO
Watermarks*******
 WPA3, por exemplo. Na figura 20.2 uma amostra da tela de
configuração dentro da opção Security. Novamente, são elementos
intuitivos a serem configurados.

Figura 20.2 – Gerenciamento de Segurança do WLC. Fonte:

www.cisco.com.
O que será configurado é um AAA
(Authentication, Authorization, and Accounting),
depois Radius, Authentication, novo (new), como
ilustrado. Em Seguida, aparecem opções de
endereçamento IP e o importante: marcar opções
de Network User e Management, permitindo a
autenticação dos usuários e administradores que
gerenciarão o WLC. Ao aplicar as configurações,
o equipamento as guarda na memória para entrar
em ação.
As opções para Segurança que o WLC
disponibiliza são:

******ebook converter
DEMO
Watermarks*******
 WPA+WPA2: para proteção de acesso Wi-Fi
com WPA ou WPA2

802.1x: usa a autenticação EAP com WEP

dinâmico

Static WEP: usa chave de segurança WEP

Static WEP + 802.1x: habilita autenticação

EAP ou WEP estático.

CKIP: Cisco Key Integrity Protocol, opção

proprietária Cisco.

Nenhum + EAP passthrough: não realiza

autenticação local e repassa a um
autenticador externo.
Na Figura 20.3 temos um destaque da tela de
configuração de Segurança de camada 2. À
medida que se escolhem as opções mostradas
acima, o assistente abre opções complementares
para ajustar:

******ebook converter
DEMO
Watermarks*******
 Figura 20.3 – Destaque da configuração de Segurança WLAN. Fonte:
www.cisco.com.
A Cisco possui vários instrutivos simples em seu site. Para ativar
WPA com PSK, por exemplo, eles orientam algumas etapas bem curtas
para configuração, cujo destaque trazemos na Figura 20.4:

Figura 20.4 – Destaque da configuração de Segurança com

WPA+PSK.
Fonte: www.cisco.com
Sugestão de configuração:
1- Escolher a opção WLANs no menu superior
para entrar na página de configuração.
2- Criar nova WLAN ou selecionar uma
existente
******ebook converter
DEMO
Watermarks*******
 3- Verificar se o Status está habilitado (enabled)
4- Ir para guia Segurança -> Layer 2 (camada 2)
5- Escolher WPA+WPA2 ou WPA2+WPA3 na
caixa de listagem
6- MAC Filtering é opcional.
7- Habilitar PSK
8- Depois, ir ao menu superior Security -> AAA
servers
9- Habilitar a opção Authentication Servers
10- Eleger o IP do servidor e o número da porta a
partir da lista
11- Na guia Avançado, marcar a opção Allow
AAA Override Enabled e aplicar todas as
configurações.
Obviamente que se fizéssemos todas essas e
outras configurações via comando (CLI), haveria
uma série de etapas para entrar com os mesmos
parâmetros que são feitos via Web. E é por essa
razão que a Cisco, para esses equipamentos,
orienta a configuração e gerenciamento via web,
como forma de agilizar a tarefa do Administrador
de Redes.
Algumas versões do software podem apresentar

******ebook converter
DEMO
Watermarks*******
 telas distintas, mas basicamente seguem o mesmo
roteiro. Nestes casos, é recomendado sempre
verificar a documentação do fabricante com
relação ao equipamento que será configurado,
assim, você poderá conferir as opções mais
recentes e disponíveis de acordo com cada versão.

******ebook converter
DEMO
Watermarks*******
 Nossas Redes Sociais
Siga-nos em nossas redes sociais. Não hesite em fazer comentários, críticas e sugestões, bem como
tirar suas dúvidas sobre o conteúdo do livro ou dicas de carreira em TI e certificações:

www.academiati.com.br

e-mail: livro@academiati.com.br

Facebook: @AcademiaTI

YouTube: Academia TI

https://t.me/AcademiaTI_oficial

******ebook converter
DEMO
Watermarks*******
 Bibliografia
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia
da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação.
Rio de Janeiro, 2005.
CERTIFICATION Magazine’s 2021 Annual Salary Survey. Certification Magazine, [S.l.].
Disponível em <http://certmag.com/2021-annual-salary-survey/> Acesso em: 25 jul. 2021.
GUPTA, Meeta; LASALLE, Paul; PARIHAR, Mridula; SCRIMGER, Rob. TCP/IP a Bíblia.
São Paulo: Elsevier, 2002
HABRAKEN, Joe. Absolute Beginner’s Guide to Networking. 4. ed. Indianápolis: Que, 2003.
HELD, Gilbert. Ethernet Networks: Design, Implementation, Operation and Management. 4. ed.
[S.l.]: John Wiley and Sons, 2003.
HILL, Brian. Cisco: the complete reference. San Francisco: McGraw Hill/Osborne, 2002.
HUCABY, David. CCNP BCMSN Official Exam Certification Guide. 4. ed. Indianápolis: Cisco
Press, 2007.
LAMMLE, Todd. Understanding Cisco Networking Technologies: exam 200-301 Vol 1.
Indianápolis: John Wiley & Sons, 2020.
SANTOS, Rodrigo R. et al. Curso IPv6 Básico. São Paulo: Núcleo de Informação e Coordenação
do ponto BR (NIC.br), 2010. Disponível em: <http://www.ipv6.br/IPV6/MenuIPv6CursoPresencial>.
Acesso em: 1º out. 2010.
SEIFERT, Rich; EDWARDS, Jim. The All-New Switch Book: The Complete Guide to LAN
Switching Technology. 2. ed. Indianápolis: Wiley Publishing, 2008.
SOYINKA, Wale. Wireless Network Administration - A Beginner’s Guide. San Francisco:
McGraw Hill, 2010.
SPURGEON, Charles E. Ethernet: The Definitive Guide. 1. ed. Sebastopol, Califórnia: O’Reilly
& Associates Inc, 2000.
TANENBAUM, Andrew S. Computer Networks. 4. ed. Upper Saddle River, Nova Jersey:
Prentice Hall, 2003.
TORRES, Gabriel. Redes de Computadores. Rio de Janeiro: Novaterra, 2009.
WENDELL, Odom. CCNA 200-301 Official Cert Guide Vol. 1. [S.l.]: Cisco Press, 2020.
. CCNA 200-301 Official Cert Guide Vol. 2. [S.l.]: Cisco Press, 2020.
; HEALY, Rus; MEHTA, Naren. CCIE Routing and Switching Exam Certification Guide. 3.
ed. Indianápolis: Cisco Press, 2007.

Internet
www.academiati.com.br

www.certmag.com

******ebook converter
DEMO
Watermarks*******
 www.cisco.com

www.eve-ng.net

www.gns3.com

www.ieee.org

www.ipv6.br

www.lacnic.net

www.nic.br

www.microsoft.com

www.registro.br

www.rfc-editor.org

www.putty.org

www.vue.com

******ebook converter
DEMO
Watermarks*******
 Apêndice A

Syllabus da Prova CCNA 200-301

No capítulo 1 comentamos sobre alguns pontos da prova e áreas de
conhecimento cobradas no exame CCNA. Neste Apêndice, listamos o
Syllabus na íntegra, que é o documento que descreve tudo que é cobrado na
prova a fim de que o candidato se prepare com conteúdo aderente a ele.
Nesta lista, associamos o conhecimento exigido oficialmente com o
capítulo correspondente para que você possa se orientar.
Na tabela há percentuais de cada grupo que podem aparecer em maior ou
menor proporção na hora da prova. Mesmo que determinada área seja de
10%, não significa que se deve ignorá-la. Ali, muitas vezes, pode lhe dar
alguns pontos extras com perguntas conceituais para responder rápido e
ganhar tempo para questões mais complexas.
A listagem não impõe a ordem de leitura, apenas endossa que tudo que
apresentamos ao longo do livro corresponde ao que é exigido. Isso lhe dá
tranquilidade em saber que está com a melhor preparação em mãos.
CAPÍTULO
S DO
ÁREAS E TÓPICOS DO EXAME CCNA LIVRO
1.0 Network Fundamentals (20%)
1.1 Explain the role and function of network components 2e4
1.1.a Routers 9
1.1.b L2 and L3 switches 5
1.1.c Next-generation firewalls and IPS 17
1.1.d Access points 4 e 20
1.1.e Controllers (Cisco DNA Center and WLC) 19 e 20
1.1.f Endpoints 19 e 20
1.1.g Servers 16
1.2 Describe characteristics of network topology architectures 4
1.2.a 2 tier 4
1.2.b 3 tier 4
1.2.c Spine-leaf 4

******ebook converter
DEMO
Watermarks*******
 CAPÍTULO
S DO
ÁREAS E TÓPICOS DO EXAME CCNA LIVRO
1.2.d WAN 10
1.2.e Small office/home office (SOHO) 4
1.2.f On-premises and cloud 16
1.3 Compare physical interface and cabling types 4
1.3.a Single-mode fiber, multimode fiber, copper 4
1.3.b Connections (Ethernet shared media and point-to-point) 4
1.3.c Concepts of PoE 4
1.4 Identify interface and cable issues (collisions, errors, mismatch duplex,
and/or speed) 9
1.5 Compare TCP to UDP 3
1.6 Configure and verify IPv4 addressing and subnetting 7
1.7 Describe the need for private IPv4 addressing 7
1.8 Configure and verify IPv6 addressing and prefix 8
1.9 Compare IPv6 address types 8
1.9.a Global unicast 8
1.9.b Unique local 8
1.9.c Link local 8
1.9.d Anycast 8
1.9.e Multicast 8
1.9.f Modified EUI 64 8
1.10 Verify IP parameters for Client OS (Windows, Mac OS, Linux) 9
1.11 Describe wireless principles 20
1.11.a Nonoverlapping Wi-Fi channels 20
1.11.b SSID 20
1.11.c RF 20
1.11.d Encryption 20
1.12 Explain virtualization fundamentals (virtual machines) 16
1.13 Describe switching concepts 5
1.13.a MAC learning and aging 5
1.13.b Frame switching 5
1.13.c Frame flooding 5
1.13.d MAC address table 5
2.0 Network Access (20%)
2.1 Configure and verify VLANs (normal range) spanning multiple switches 6
2.1.a Access ports (data and voice) 6
2.1.b Default VLAN 6

******ebook converter
DEMO
Watermarks*******
 CAPÍTULO
S DO
ÁREAS E TÓPICOS DO EXAME CCNA LIVRO
2.1.c Connectivity 6
2.2 Configure and verify interswitch connectivity 6
2.2.a Trunk ports 6
2.2.b 802.1Q 6
2.2.c Native VLAN 6
2.3 Configure and verify Layer 2 discovery protocols (Cisco Discovery
Protocol and LLDP) 15
2.4 Configure and verify (Layer 2/Layer 3) EtherChannel (LACP) 13
2.5 Describe the need for and basic operations of Rapid PVST+ Spanning
Tree Protocol and identify basic operations 13
2.5.a Root port, root bridge (primary/secondary), and other port names 13
2.5.b Port states (forwarding/blocking) 13
2.5.c PortFast benefits 13
2.6 Compare Cisco Wireless Architectures and AP modes 20
2.7 Describe physical infrastructure connections of WLAN components (AP,
WLC, access/trunk ports, and LAG) 20
2.8 Describe AP and WLC management access connections (Telnet, SSH,
HTTP, HTTPS, console, and TACACS+/RADIUS) 20
2.9 Configure the components of a wireless LAN access for client
connectivity using GUI only such as WLAN creation, security settings, QoS
profiles, and advanced WLAN settings 20
3.0 IP Connectivity (25%)
3.1 Interpret the components of routing table 11
3.1.a Routing protocol code 11
3.1.b Prefix 11
3.1.c Network mask 11
3.1.d Next hop 11
3.1.e Administrative distance 11
3.1.f Metric 11
3.1.g Gateway of last resort 11
3.2 Determine how a router makes a forwarding decision by default 11
3.2.a Longest match 11
3.2.b Administrative distance 11
3.2.c Routing protocol metric 11
3.3 Configure and verify IPv4 and IPv6 static routing 11
3.3.a Default route 11
3.3.b Network route 11
3.3.c Host route 11

******ebook converter
DEMO
Watermarks*******
 CAPÍTULO
S DO
ÁREAS E TÓPICOS DO EXAME CCNA LIVRO
3.3.d Floating static 11
3.4 Configure and verify single area OSPFv2 12
3.4.a Neighbor adjacencies 12
3.4.b Point-to-point 12
3.4.c Broadcast (DR/BDR selection) 12
3.4.d Router ID 12
3.5 Describe the purpose of first hop redundancy protocol 16
4.0 IP Services (10%)
4.1 Configure and verify inside source NAT using static and pools 15
4.2 Configure and verify NTP operating in a client and server mode 15
4.3 Explain the role of DHCP and DNS within the network 15
4.4 Explain the function of SNMP in network operations 15
4.5 Describe the use of syslog features including facilities and levels 15
4.6 Configure and verify DHCP client and relay 15
4.7 Explain the forwarding per-hop behavior (PHB) for QoS such as
classification, marking, queuing, congestion, policing, shaping 18
4.8 Configure network devices for remote access using SSH 9
4.9 Describe the capabilities and function of TFTP/FTP in the network 3
5.0 Security Fundamentals (15%)
5.1 Define key security concepts (threats, vulnerabilities, exploits, and
mitigation techniques) 17
5.2 Describe security program elements (user awareness, training, and
physical access control) 17
5.3 Configure device access control using local passwords 17
5.4 Describe security password policies elements, such as management,
complexity, and password alternatives (multifactor authentication, certificates,
and biometrics) 17
5.5 Describe remote access and site-to-site VPNs 10
5.6 Configure and verify access control lists 17
5.7 Configure Layer 2 security features (DHCP snooping, dynamic ARP
inspection, and port security) 17
5.8 Differentiate authentication, authorization, and accounting concepts 17
5.9 Describe wireless security protocols (WPA, WPA2, and WPA3) 17
5.10 Configure WLAN using WPA2 PSK using the GUI 17
6.0 Automation and Programmability (10%)

6.1 Explain how automation impacts network management 19

6.2 Compare traditional networks with controller-based networking 19

******ebook converter
DEMO
Watermarks*******
 CAPÍTULO
S DO
ÁREAS E TÓPICOS DO EXAME CCNA LIVRO
6.3 Describe controller-based and software defined architectures (overlay,
underlay, and fabric) 19
6.3.a Separation of control plane and data plane 19
6.3.b North-bound and south-bound APIs 19
6.4 Compare traditional campus device management with Cisco DNA Center
enabled device management 19
6.5 Describe characteristics of REST-based APIs (CRUD, HTTP verbs, and
data encoding) 19
6.6 Recognize the capabilities of configuration management mechanisms
Puppet, Chef, and Ansible 19
6.7 Interpret JSON encoded data 19

******ebook converter
DEMO
Watermarks*******
 Apêndice B

Glossário

ABNT (Associação Brasileira de Normas Técnicas): entidade

oficial responsável pela edição de normas técnicas no Brasil. É a
representante no país da International Organization for
Standardization (ISO).

Access Point (AP): Transmissor/receptor em redes locais (LANs)

sem fio (wireless) que fazem a conexão entre dispositivos sem fio e
redes cabeadas.

Acesso discado: Forma de conexão realizada por meio de linha

telefônica.

Acesso remoto: Conexão com uma rede à distância.

ACK: Instrução usado em protocolos para confirmação do

recebimento de um pacote de dados ou mensagem.

ACL (Access Control List): Lista de restrições configurável numa

rede de pacotes, para permitir/negar o acesso de algum usuário ou
grupo a determinado serviço.

ADSL (Asymmetric Digital Subscriber Line): Sistema de

transmissão para sinais em banda larga nos pares metálicos da rede
telefônica.

ANSI (American National Standards Institute): orgão de

padronização, membro do International Organization for
Standardization (ISO).

******ebook converter
DEMO
Watermarks*******
 ARP (Address Resolution Protocol): protocolo utilizado resolver o
problema do mapeamento de endereços lógicos em endereços físicos
quando do uso de IP sobre redes ethernet.

Arquitetura de rede: Estrutura de um sistema de comunicação que

inclui o hardware, o software, os protocolos e os modos de acesso e
controle.

ASIC (Application-Specific Integrated Circuit): chip dos

equipamentos de rede (switch ou roteador) responsável por construir
e manter a tabela de filtros; este chip permite uma melhor otimização
nas tarefas de encaminhamento e leitura do frame.

Assíncrono: Significa que os caracteres que formam os pacotes de

dados são enviados em intervalos irregulares.

Atenuação: perda de potência do sinal de comunicação.

ATM (Asyncronous Transfer Mode): Modo de Transferência

Assíncrono. É um protocolo de telecomunicações para aplicações de
dados, voz e imagem em alta velocidade.

AUI (Attachment Unit Interface): definido pela especificação

IEEE 802.1 como uma interface entre um MAU Ethernet e um DTE.
Basicamente, o modo como uma estação Ethernet conecta um
transceiver a um cabo grosso.

Autonomous System (AS): Sistema autônomo é a designação para

roteadores na Internet que possuem a mesma política e mesma
entidade administrativa.

Backbone: A parte de uma rede de comunicações projetada para

suportar tráfegos elevados, fornece conectividade entre LANS e
WANs.

******ebook converter
DEMO
Watermarks*******
 Backup: Equipamento reserva ou cópia de arquivo.

Banda: quantidade dos recursos de transmissão disponível para

utilização por um ou mais usuários desta rede.

Banda Larga: sistema que tem uma capacidade de transmissão de

dados de alta velocidade.

Bandwidth: é a largura de banda de uma rede.

BGP (Border Gateway Protocol): protocolo de roteamento que

trabalha entre Sistemas Autônomos (AS). Atualmente sendo
amplamente utilizada a versão 4.

Binário: Forma de representação que utiliza dois valores, elementos

ou unidades. Geralmente são utilizados os valores 1 e 0 para
representação destes valores.

Bit (BInary digiT): a menor unidade de informação que um

computador pode processar (usualmente indicado por 1 ou 0). Oito
bits equivalem a um byte.

Bits por segundo (bps): é utilizado como uma unidade de medida

que indica a velocidade de transferência de informações em uma
rede.

Blueprint ou Syllabus: que é o conjunto de temas abordados no

exame de certificação.

Bluetooth: padronização para conexão de dados sem fio em curta

distância entre dispositivos eletrônicos como computadores,
terminais celulares, impressora, etc.

Bridge: dispositivo de rede que conecta duas ou mais redes de

computadores transferindo dados entre ambas.

******ebook converter
DEMO
Watermarks*******
 Broadcast: mensagem é enviada para todos os computadores
conectados a uma rede.

Broadcast Domain (domínio de broadcast): estações terminais que

recebem pacotes de broadcast.

Broadcast Storm: difusão de broadcast ou tempestade de broadcast,

é um ciclo (loop) que permanece de maneira infinita, até o
congestionamento da rede. Evita-se com o uso do protocolo
Spanning-Tree.

Byte: possuem oito bits e são conhecidos como um caractere.

Cabeamento estruturado: padrão de cabeamento de prédios

comerciais para suportar todos os tipos de transmissão de
informação, incluído voz dados e imagens.

Cable Modem: tecnologia para comunicação de dados em alta

velocidade, utilizando a rede de cabos coaxiais das operadoras de TV
a cabo.

Cabo par trançado: termo utilizado para descrever o tradicional

cabo de cobre que é utilizado para comunicações de curta distância.

Cabo óptico: cabo que contém fibras ópticas. O número de fibras,

em geral pode chegar a centenas.

CAM (Content Address Memory) Table: tabela de endereçamentos

MAC dos switches. Ela fica temporariamente armazenada em
memória RAM, ou seja, é volátil e se perde ao desligar o
equipamento.

Campus network: uma rede que cobre uma única localização no

cliente, tal como um prédio, andar ou todas as edificações sobre uma
grande área comercial, educacional ou outros campus.

******ebook converter
DEMO
Watermarks*******
 CHAP (Challenge Handshake Authentication Protocol):
característica de segurança suportado em linhas com encapsulamento
PPP que previne acesso não autorizado.

Checksum: Um valor computado por uma função matemática

aplicado ao conteúdo do pacote. Este valor é enviado juntamente
com o pacote quando este é transmitido. O receptor computa um
novo checksum baseado nos dados recebidos e compara com o valor
enviado com o pacote. Se os dois forem iguais, então o pacote foi
recebido corretamente. Trata-se então de um método de verificação
de erros de transmissão.

CIDR (Classless Inter-Domain Routing): um protocolo que usa

técnicas de subnetting de comprimento variável para alocar
endereços de Internet. CIDR se mostrou necessário em função da
exaustão de endereços IP e o crescimento das tabelas de roteamento.

CIR (Committed Information Rate): Taxa de Informação

Comissionada ou Comprometida. Um termo usado em Frame Relay,
que define a taxa de informação que a rede é comprometida a
fornecer ao usuário. Também é citada em configurações e
documentações de QoS.

Colisão: efeito decorrido em função de dois ou mais dispositivos

pertencentes ao mesmo segmento tentarem transmitir
simultaneamente, em uma rede Ethernet.

Comutação: procedimento de estabelecimento de circuitos ou canais

com a finalidade de assegurar a comunicação entre dois pontos em
estruturas de rede.

Conectividade: O termo se refere ao ato de prover comunicação

para computadores e terminais.

Convergência: termo utilizado quando ocorre a comunicação entre

dispositivos.

******ebook converter
DEMO
Watermarks*******
 CPE (Customer Premisses Equipment): dispositivos terminais, tais
como terminais telefônicos ou equipamentos de comunicação de
dados, que se encontram nas instalações do cliente.

Crossover: interligação de dois computadores sem a necessidade de

um concentrador, através do cruzamento dos fios do cabo.

CRC (Cyclic Redundancy Check): Campo que tem como propósito

armazenar um valor calculado na origem antes de fechar o frame,
usado para controle de erro.

CRUD (Create, Read/Retrieve, Update, Delete): que é uma base

de dados de ações a serem executadas.

CSMA/CD (Carrier Sense Multiple Access with Collision

Detect): método que se baseia no princípio de que apenas um
dispositivo de rede poder usar o meio físico por vez.

Datacenter: local com infraestrutura adequada onde ficam alocados

dispositivos de rede, servidores e armazenamento de dados.

Datagrama: entidade independente de dados que carrega informação

suficiente para ser roteado da origem para o destino sem que haja
comutações confiáveis entre a origem e o destino e a rede de
transporte.

DCE (Data Communications Equipment): equipamentos que

habilitam um DTE comunicar-se com uma linha telefônica ou
circuito de dados. O DCE estabelece, mantém e termina a conexão
bem como realiza as conversões necessárias para a comunicação.

DE (Discard Eligibility): Bit presente no quadro destinado a indicar

pacotes que poderão ser descartados na ocorrência de
congestionamentos na rede Frame Relay a fim de manter a CIR.

******ebook converter
DEMO
Watermarks*******
 Delay: atraso em um sinal que está sendo transmitido.

Demultiplexador (Demux): realiza a operação inversa da

multiplexação, que consiste em separar os canais individuais que
foram reunidos pelo multiplexador em outra ponta.

DHCP (Dynamic Host Configuration Protocol): o DHCP distribui

endereços IP para os computadores na rede e limita o tempo durante
o qual um computador pode usar determinado endereço.

Dial-up: Termo em inglês para acesso discado.

DLCI (Data Link Connection Identifier): em uma rede Frame

Relay, o DLCI possui significado apenas local, ou seja, a cada nó que
a informação é passada na rede, recebe um DLCI.

DMZ (Demilitarized Zone): parte da rede que não pertence à rede

interna, totalmente protegida por um firewall, e nem à Internet. Na
DMZ da rede corporativa são colocados servidores acessíveis
externamente.

DNA (Digital Network Architecture) Center: o Cisco DNA Center

possibilita o gerenciamento centralizado das configurações dos
equipamentos de rede através de aplicações que residem no SDN
Controller.

DNS (Domain Name System): Sistema de Nomes de Domínio. Um

serviço TCP/IP que permite especificar um nome simbólico ao invés
de um endereço IP.

Domínio de Broadcast: Segmentação lógica de uma rede na qual

todas as estações recebem mensagens. Deve-se diminuir a existência
de grandes domínios de broadcast, pois este tipo de mensagem ocupa
a banda da rede e as estações, aumentando o congestionamento,
latência e outros parâmetros que degradam a rede.

******ebook converter
DEMO
Watermarks*******
 Domínio de Colisão: são os segmentos da rede ethernet onde possa
haver colisões.

Downstream: O mesmo que download, ou seja, o fluxo de dados

que são recebidos por um nó da rede.

DSL (Digital Subscriber Line): tecnologia concebida para

aplicações em redes telefônicas convencionais. ADSL e HDSL
fazem parte da família DSL.

DSU (Digital Service Unit): um dispositivo na rede, geralmente

representado por um modem, usado por um cliente para conectar
outro dispositivo, como um PABX, a uma facilidade da rede pública,
como um link E1.

DTE (Data Terminal Equipment): dispositivo que recebe ou

origina dados sobre uma rede. Tipicamente um computador ou um
terminal burro.

Duplex: concernente a comunicação em um canal que é bidirecional

e simultânea. Geralmente referido a full duplex.

E1: conhecido como “Link E-1”, consiste em um Sistema de

transmissão a 2.048 Mbps, comum na Europa e adotado no Brasil
com 32 canais digitais, cada um com uma velocidade de 64kbps,
sendo 30 canais de voz ou dados, um canal para sincronismo e um
canal para sinalização telefônica.

EAP (Extensible Authentication Protocol): protocolo que trabalha

na camada de enlace do Modelo OSI e fornece autenticação dos
clientes wireless na rede. Também fornece variações com maior nível
de segurança ou métodos de autenticação: LEAP (Lightweight EAP),
EAP-FAST (EAP Flexible Authentication by Secure Tunneling),
PEAP (Protected EAP), EAP-TLS (EAP Transport Layer Security).

EGP (Exterior Gateway Protocol): um protocolo de roteamento

******ebook converter
DEMO
Watermarks*******
 utilizado entre sistemas Autônomos (SA).

EIGRP: (Enhanced Interior Gateway Routing Protocol): protocolo

de roteamento proprietário da Cisco baseado no original IGRP. Com
relação ao IGRP, ele foi aperfeiçoado de modo a minimizar a
instabilidade no roteamento quando da ocorrência de mudanças na
topologia, bem como melhoramentos no uso da banda e do consumo
de energia do processador do roteador.

Encapsulamento: Técnica utilizada por protocolos em camadas, na

qual uma camada adiciona informação de cabeçalho à unidade de
dados do protocolo (PDU – Protocol Data Unit) de uma camada de
cima.

Endereço IP: Um número que identifica de modo único um host

conectado a uma rede TCP/IP. Também chamado de Internet Protocol
ou IP address.

Enlace: Também conhecido como Link, Circuito de comunicação ou

via de transmissão conectando dois pontos. O enlace refere-se à
camada 2 do modelo OSI.

Ethernet: Padrão para comunicação em redes locais que opera em

velocidade de até 10 megabits por segundo.

Fast Ethernet: uma versão melhorada da Ethernet que opera a 100

Mbps.

FHRP (First Hop Redundancy Protocol): protocolos que realizam

funções de balanceamento de carga ou chaveamento automático para
um roteador backup, chamados protocolos de Redundância de
Primeiro Salto. Os mais usados são: HSRP (Hot Standby Router
Protocol), VRRP (Virtual Router Redundancy Protocol), GLBP
(Gateway Load Balancing Protocol).

Fibra Óptica: utilizada para transmissão de informação, apresenta

******ebook converter
DEMO
Watermarks*******
 atenuação extremamente baixa possibilitando a transmissão de alta
capacidade.

Firewall: é utilizado para proteger um segmento de rede, seja interno

ou externo.

Flooding: transmissão de um frame para todos os dispositivos em

um segmento ou numa VLAN. Flooding é feito em broadcast,
multicast e frames cujo endereço do destino é desconhecido.

Frame: transmitido através de uma linha serial. O termo é derivado

de um protocolo orientado a caractere que adiciona caracteres
especiais de início e fim de frames na transmissão.

Frame Relay: técnica de comutação de pacotes baseada em um

conjunto de protocolos especificados pelo ITU-T. As redes Frame
Relay são as sucessoras naturais das redes X.25, tendo como as
principais vantagens o tamanho variável de pacotes, controle de
tráfego, evitando situações de congestionamento da rede e menor
tráfego, pois não existe controle de fluxo entre DTE e DCE.

FCS (Frame Check Sequence): checagem de consistência de

frames, é executada no modo de switching Store and Forward,
quando o switch verifica a sequência de frames.

FTP (File Transfer Protocol): permiti a transferência de arquivos

entre dois sistemas de uma rede e controlar o acesso a arquivos
remotos. É a forma mais utilizada para a transferência e modificação
dos arquivos de um website.

Full-Duplex: Transmissão que ocorre nos dois sentidos

simultaneamente.

Gateway: Link entre redes ou dispositivo utilizad0 como porta de

entrada em uma rede.

******ebook converter
DEMO
Watermarks*******
 GHz: Giga Hertz, unidade de medida de frequência (Hertz) acrescida
do fator de multiplicação Giga.

Gigabit Ethernet: tecnologia que adapta o modelo Ethernet para

transmissão de dados a 1Gbps ou seus múltiplos.

Half-Duplex: transmissão feita nos dois sentidos, mas não ao mesmo

tempo.

HDLC (High-level Data Link Control): protocolo controle de link

de dados de alto nível. O HDLC gerencia a transferência de
informações seriais síncronas de forma transparente sendo muito
utilizado em redes Frame Relay.

Hop: é cada salto em uma rede de dados.

HTTP (Hyper Text Transfer Protocol): É um protocolo do nível de

aplicação, amplamente utilizado para acesso à internet.

Hub: ponto de conexão para dispositivos em uma rede. Hubs são

comumente usados para conectar segmentos de uma LAN e contém
múltiplas portas. Os Hubs operam na camada 1 do Modelo OSI.

Hybrid Network: uma LAN consistindo em várias topologias e

métodos de acesso. Por exemplo, uma rede híbrida inclui ethernet e
Token Ring.

IANA (Internet Assigned Numbers Authority): é a organização

mundial que funciona como a máxima autoridade na atribuição dos
“endereços” na Internet. Entre os quais estão os números das portas e
os endereços IP.

ICMP (Internet Control Message Protocol): é um protocolo de

gerência de redes TCP/IP que usa datagramas para relatar erros,
estatísticas e eventos na transmissão entre o host e o gateway.

******ebook converter
DEMO
Watermarks*******
 IEEE (Institute of Electrical and Electronics Engineers):
pronunciado como “I – três – É”, é conhecida por desenvolver
padrões para a indústria eletrônica e de computadores. Ex: IEEE
802.3 e IEEE 802.11.

IEEE 802.3: especificação do IEEE que define o padrão Ethernet,

incluindo ambas as camadas física e de enlace do Modelo OSI.

IEEE 802.11: especificação do IEEE que define o padrão Wireless, e

possui várias variantes como 802.11a, 802.11b e 802.11g.

IETF (Internet Engineering Task Force): O principal órgão de

padronização para a Internet. O IETF é uma grande comunidade
aberta de projetistas de redes, operadores, fornecedores e
pesquisadores empenhados na evolução da arquitetura de Internet e
sua operação.

IGMP (Internet Group Management Protocol): é usado para

estabelecer os hosts membros em um grupo particular de multicast
em uma rede. Os mecanismos do protocolo permitem um host
informar seu roteador local, usando um relatório de membros do
Host, o qual ele quer receber mensagens endereçadas a um grupo de
multicast específico.

IGRP (Interior Gateway Routing Protocol): Protocolo de

roteamento criado no início dos anos 80 pela Cisco Systems, que foi
sucedido pelo EIGRP.

Interface FXO (Foreign Exchange Office): Interface que disca

números telefônicos, comportando-se como um telefone.

Interface FXS (Foreign Exchange Station): Interface que

comportando-se como a placa de um PABX.

IOS (Internetworking Operating System): Sistema operacional

proprietário da Cisco que é o sistema de roteadores e outros produtos

******ebook converter
DEMO
Watermarks*******
 de redes da Cisco, contendo uma interface de usuário baseado em
linha de comando (CLI). A versão do IOS define os recursos e
capacidades dos dispositivos de rede fornecidos pela Cisco.

IoT (Internet of Things): Internet das coisas, que se refere à

conexão de qualquer equipamento ou objeto em rede ou à Internet.

IP (Internet Protocol): é o protocolo mais utilizado na Internet, que

atribui um endereço único para cada máquina em uma rede.

IPSec: desenvolvida para prover serviços de segurança de alta

qualidade, baseados em criptografia, para o nível IP e/ou para as
camadas superiores. O conjunto de serviços oferecidos inclui
controle de acesso, integridade não orientada à conexão, autenticação
da origem dos dados e confidencialidade (criptografia).

IPv4 (Internet Protocol Version 4): A versão atual de IP em uso

pela Internet. O IPv4 usa endereços de 32 bits.

IPv6 (Internet Protocol version 6): também referido como IPng,

que é a abreviação de Internet Protocol next generation, uma nova
versão do IP correntemente em revisão pelo comitê de padronização
do IETF. Essa versão permitirá que a Internet cresça
ininterruptamente, por possuir um número muito maior de endereços
IPs.

ISO (Internacional Organization for Standardization): é uma

organização internacional composta de corpos de padrões nacionais
de mais de 75 países. A ISO definiu um número importante de
padrões computacionais, dentre estes, o Modelo OSI (Open Systems
Interconnection).

JSON (JavaScript Object Notation): é uma linguagem de

modelagem de dados utilizada para levar dados de um sistema a
outro através de mensagens de dados estruturadas em texto.

******ebook converter
DEMO
Watermarks*******
 Jitter: desvio no tempo ou na fase de um sinal de transmissão de
pacotes de dados. A variação no tempo de chegada de pacotes pode
prejudicar a qualidade da conversação numa rede convergente (se um
pacote não chega a tempo de se encaixar em seu lugar no fluxo de
dados, repete-se o pacote anterior).

kbps: Kilobits bits por segundo.

kHz: Unidade de medida de frequência (Hertz) acrescida do fator de

multiplicação K (kilo), correspondendo a 1000 vezes a grandeza
considerada.

LACP (Link Aggregation Control Protocol): protocolo aberto de

agregação de links que permite juntar múltiplas portas Ethernet para
criar um link de maior capacidade (soma das portas físicas).

LAN (Local Area Network): Rede Local que conecta vários

computadores e periféricos a curta distância.

Largura de banda: a faixa de frequências disponível para envio de

informação.

Latência: o tempo que um pacote leva para ir da origem para o

destino. A latência e largura de banda definem a velocidade e a
capacidade da rede.

Linha comutada: enlace de comunicação para o qual o caminho

físico pode variar a cada vez, como ocorre nas redes de telefonia
pública.

Linha dedicada: linha que fica permanentemente ligada entre dois

lugares. Linhas delicadas são encontradas frequentemente em
conexões de tamanho moderado a um provedor de acesso.

Link: conexão estabelecida entre dois pontos para comunicação.

******ebook converter
DEMO
Watermarks*******
 LLC (Logical Link Control): uma subcamada da camada 2 o qual
provê conexão entre o protocolo de camada 3, tais como o IP ou IPX
e o protocolo da camada 2.

Loopback: é um método de teste no qual os dados transmitidos são

retornados ao transmissor, com o intuito de se fazer uma análise da
continuidade da conexão.

MAC (Media Access Control): uma subcamada da camada 2 que

adapta com os recursos de um tipo particular de LAN, como
Ethernet.

MAC Address: um endereço de hardware que identifica unicamente

cada nó de uma rede.

MAN (Metropolitan Area Network): rede de Comunicação que

cobre uma área do tamanho de uma cidade ou bairro.

Mbps: Megabits por segundo, unidade para medir capacidade de

transmissão de dados.

MLS (Multilayer Switch): switch multicamadas, cujas

funcionalidades e recursos vão além da camada 2, Enlance.

Modelo OSI (Open Systems Interconnection): Modelo de

arquitetura de rede desenvolvido pelo ISO (International Standards
Organization) para o projeto de sistemas abertos de rede. Todas as
funções de comunicação são divididas em sete camadas
padronizadas: Física, Enlace de dados, Rede, Transporte, Sessão,
Apresentação e Aplicação.

Modem: equipamento que tem como objetivo enviar dados entre

dois pontos por intermédio de uma linha telefônica. Os dados são
recebidos no modem por meio de uma porta serial, sofrem uma
modulação (conversão do sinal digital para analógico) e os dados são
recuperados.

******ebook converter
DEMO
Watermarks*******
 Multicast: forma de envio de mensagens no qual um pacote é
entregue a um grupo pré-definido de destino.

Multilink PPP: uma variação do protocolo PPP que usa

multiplexação inversa de múltiplos circuitos WAN para obter uma
conexão virtual de largura de banda maior.

Multiplexação - transmissão de vários sinais, usando uma única

linha de comunicação ou canal.

Multiponto: circuito de comunicação que conecta várias localidades.

NAT (Network Address Translation): habilita uma LAN usar um

grupo de endereços IP para tráfego interno e um segundo grupo para
tráfego externo. O NAT possui dois objetivos básicos: fornece um
tipo de firewall ocultando endereços IP internos (pela utilização de
IPs inválidos para o mundo externo) e possibilitar o uso de mais
endereços IPs na rede local.

NGN (Next Generation Network): termo que define a arquitetura

de redes de próxima geração.

Nó: Computador ligado à rede, também chamado de host.

OSPF (Open Shortest Path First): desenvolvido pelo IETF como

substituto para o protocolo RIP. Caracteriza-se por ser um protocolo
aberto especificamente projetado para operar com redes grandes.

Pacote de Dados: termo usado para uma sequência de bits formada

por dados do usuário e precedidos de um cabeçalho de controle que
permite que o pacote seja encaminhado pela rede para seu destino.

Payload: a carga útil de um pacote de dados, desconsiderando-se

informações de roteamento e de cabeçalho.

******ebook converter
DEMO
Watermarks*******
 PDU (Protocol Data Unit): uma definição para uma unidade de
dados passados de uma camada de protocolo para outra.

Ping: aplicação utilizada para testar a conectividade em redes.

PoE (Power over Ethernet): permite que um dispositivo ligado ou

powered device (PD) receba energia através do mesmo cabo de rede
quando conectado a um switch com essa funcionalidade.

Porta: canal físico para entrada de dispositivos, ou lógico que define

a forma de comunicação de determinada aplicação.

POP (Post Office Protocol): um protocolo usado para entregar e-

mail de um servidor de e-mail, a versão atual é o POP3.

POTS (Plain Old Telephone System): termo utilizado para

caracterizar a rede telefônica tradicional em que o serviço de voz é
praticamente o único a ser prestado.

PPP (Point-to-Point Protocol): Protocolo de enlace (camada 2 do

modelo OSI). É um dos protocolos mais utilizados atualmente,
devido a sua simplicidade.

Protocolo de redes: conjunto de regras estabelecidas com o objetivo

de permitir a comunicação entre computadores, essas regras de
transmissão de dados, incluem inicialização, verificação, coleta de
dados, endereçamento e correção de erros.

Protocolo de Roteamento: regras estabelecidas para que se possa

realizar o encaminhamento correto das informações através de
caminhos definidos na rede.

Proxy: atua como um intermediário entre a estação de trabalho e a

Internet, garantindo maior segurança.

PVC (Permanent Virtual Circuit): trata-se de um circuito virtual

******ebook converter
DEMO
Watermarks*******
 que é permanentemente disponível. Os PVCs são o principal
mecanismo em uma rede Frame Relay.

QoS (Quality of Service): a qualidade de serviço define o que deve

ser priorizado em uma rede de dados. Dessa forma, costuma-se dizer
de aplicar QoS em uma rede, quando pretende-se priorizar serviços
específicos.

RARP (Reverse ARP): ARP reverso, protocolo utilizado para

obtenção de endereço IP a partir do MAC address.

Rede Ad-hoc: são redes no qual as estações se comunicam

diretamente umas com as outras, sem a necessidade de um ponto de
acesso. O termo é muito utilizado em redes Wi-Fi.

Repetidor: dispositivo que regenera os sinais na rede.

RFC (Request For Comments): são documentos produzidos pelo

IETF com o objetivo de documentar protocolos, procedimentos
operacionais e tecnologias na internet.

RIP (Routing Information Protocol): é um protocolo de

roteamento, tendo como principal benefício a facilidade de
configuração, porém possui uma série de limitações. Atualmente são
utilizados o RIPv2 e o RIPng, que suporta o IPv6.

RJ-11: conector de telefone ou modem com 6 pinos.

RJ-45: conector de rede ethernet com 8 pinos.

RMON (Remote Monitoring): uma ferramenta de gerência de redes

que permite informações de rede serem obtidas por uma estação,
fornecendo dados sobre o tráfego da camada de rede em adição a
camada física. Isto permite aos administradores analisar tráfego pelo
protocolo.

******ebook converter
DEMO
Watermarks*******
 Roteador: dispositivo de rede que trabalha na camada 3 do Modelo
OSI, que possui a função de processar e direcionar pacotes de dados
de uma rede para outra.

Roteamento: define o direcionamento de pacotes de dados, por meio

de seus endereços de uma rede para outra.

Route (rota): o caminho que o tráfego de rede leva da origem para o

destino.

SDH (Hierarquia Digital Síncrona): Arquitetura de multiplexação

onde cada canal multiplexado opera com relógio sincronizado com
os relógios dos outros canais.

SDLC (Synchronous Data Link Control): protocolo de

transmissão desenvolvido pela IBM nos anos 70 para substituir o
protocolo binário síncrono (BSC).

SDN (Software Defined Network): usam controladores que

permitem o uso de APIs (application programming interfaces) para
configurar e operar as redes de maneira automatizada.

Segmento: uma parte eletricamente contínua de uma LAN baseada

em barramento, tipicamente Ethernet. Segmentos podem ser unidos
usando repetidores, switches, bridges ou roteadores.

SHDSL (Symmetric High speed Digital Subscriber Line): pode

operar em várias faixas de transmissão, de 192 a 2,3 Mbps. Adequa-
se melhor a aplicações de dados somente que necessitam de altas
taxas.

SLIP (Serial Line Internet Protocol): é um protocolo de

transmissão de pacotes similar ao PPP, muito utilizado por quem se
conecta à Internet através de Modem.

SMTP (Simple Mail Transfer Protocol): protocolo utilizado para o

******ebook converter
DEMO
Watermarks*******
 envio de e-mail de um computador para outro através da Internet.

SNMP (Simple Network Management Protocol): protocolo de

gerenciamento de redes utilizado predominantemente no
gerenciamento de redes TCP/IP.

SOHO (Small Office/Home Office): são redes menores, em geral

domésticas, mas com intuito de trabalho ou negócios.

Spanning Tree Protocol ou STP: protocolo que opera em bridges e

switches, abre certos caminhos para criar uma topologia em árvore,
prevendo assim que pacotes fiquem em laços infinitos na rede.
Derivados do STP, temos: RSTP (Rapid STP), PVST+ (Per-VLAN
STP), RPVST+ (Rapid Per-VLAN STP).

Spread Spectrum: é uma técnica de transmissão de rádio com o

intuito de prevenir o problema de interferência intencional e
promover o sigilo na comunicação. Esta técnica é empregada em
sistemas CDMA, bem como transmissões wireless LAN.

SSH (Secure Shell): é um programa para se conectar em outro

computador em uma rede, executando comandos em uma máquina
remota que permite mover arquivos de uma máquina a outra. Provê
autenticação forte e comunicação segura sobre canais inseguros.

SSID (Service Set ID): é basicamente o nome da rede Wi-Fi e

representa um dos itens mais importantes da configuração do AP
(Access Point).

Store and Forward: um método de switching no qual a mensagem é

recebida inteiramente, armazenada em buffer (memória) e, então,
reenviada.

Subnet (Sub-rede): uma porção de uma rede no qual todas as

estações compartilham um endereço de subnet comum.

******ebook converter
DEMO
Watermarks*******
 Subnet Mask (Máscara de Sub-rede): Usado para determinar qual
subnet/network um determinado pacote IP pertence. Um endereço IP
contém 2 identificações, o de Network (rede) e o de Host (nó da rede
ou dispositivo conectado a ela). Então quando o pacote IP é recebido
pelo roteador ele determina a qual rede esse pacote pertence através
do subnet mask, também conhecido como Máscara de rede ou sub-
rede.

SVC (Switched Virtual Circuit): um circuito virtual temporário que

é estabelecido e usado durante o período em que dados estão sendo
transmitidos. Uma vez que a comunicação entre os dois hosts foi
completada, o SVC desaparece.

Switch: dispositivo que trabalha na camada 2 do Modelo OSI, tendo

várias funções na rede. Podem haver switches multicamadas, com
mais funções.

T1: Sistema de transmissão de 1.544 Kbps, comum nos EUA e

Japão, com 24 canais, cada um com uma velocidade de 64 Kbps.

Taxa de Dados: velocidade de transmissão de dados em uma rede.

TCP (Transmission Control Protocol): um dos mais importantes

protocolos da família TCP/IP. Fornece um serviço de entrega de
pacotes confiável e orientado por conexão.

TCP/IP (Transmission Control Protocol/Internet Protocol):

conjunto de protocolos de comunicação utilizado para troca de dados
entre computadores em ambientes de redes locais ou remotas. Em
uma rede TCP/IP cada equipamento deve ter um endereço único: o
endereço IP – capaz de identificá-lo na rede, e o endereço da rede a
qual o equipamento pertence.

Telnet: um serviço de rede destinado à execução remota de

comandos em redes TCP-IP.

******ebook converter
DEMO
Watermarks*******
 TFTP (Trivial File Transfer Protocol): uma derivação do File
Transfer Protocol (FTP). O TFTP utiliza o User Datagram Protocol
(UDP) e provê nenhuma característica de segurança.

Throughput: refere-se à performance da transmissão de dados,

sendo medido pela quantidade de bits transmitidos ou recebidos
durante um certo intervalo de tempo. É usualmente medido em bits
por segundo (bps) e seus múltiplos.

TKIP (Temporal Key Integrity Protocol): é um novo algoritmo de

segurança proposto pelo padrão IEEE 802.11i para WLANs em
substituição ao WEP.

Topologia: o desenho de uma rede, levando em consideração os

aspectos físicos e lógicos, podendo ser dividido em Topologia Física
e Topologia Lógica.

Tracert - Trace route ou rastreamento de rota. Permite verificar

por quais roteadores os pacotes de dados passam antes de chegar
a um endereço determinado.

Tráfego: quantidade de informações/pacotes que circulam em uma

rede.

Troubleshooting: é uma lista de procedimentos para identificar

potenciais problemas de rede e como solucioná-los; diagnóstico.

TTL (Time To Live): especifica por quantos roteadores um pacote

de dados pode passar até que seja descartado, evitando que pacotes
perdidos congestionem a rede. Quando um pacote é descartado, o
host emissor recebe a notificação do erro e retransmite o pacote.

Tunneling (Tunelamento): abertura de circuitos virtuais entre

usuários, utilizado no estabelecimento de redes privadas virtuais
(VPNs).

******ebook converter
DEMO
Watermarks*******
 UDP (User Datagram Protocol): é um protocolo da família TCP,
utilizado por algumas aplicações para transporte rápido de dados
entre hosts IP. O UDP não garante a entrega ou verifica o
sequenciamento para qualquer pacote.

Unicast: a informação é enviada para um único endereço. Um

unicast contém o endereço MAC específico dos dispositivos de
origem e destino.

UPS (Uninterruptable Power System): sistema Ininterrupto de

energia, outra denominação dada para o No-break. Caso a rede
elétrica esteja ativada, o UPS passa a fornecer a alimentação da rede
e, também, efetua o carregamento do banco de baterias.

UTP (Unshielded Twisted Pair): é um tipo popular de cabo que

consiste em dois fios não blindados trançados um em torno do outro.
A respeito do seu baixo custo, o cabo UTP é usado extensivamente
para LANs e conexões telefônicas.

V.35: padrão de interface de comunicação de dados serial largamente

utilizada em roteadores para a conexão física à rede WAN.

VCI (Virtual Channel Identifier): identificador em uma célula

ATM que distingue dados de um canal virtual de um dado para outro.

VLAN (Virtual LAN): uma rede local virtual, trabalha como se os

computadores estivessem conectados no mesmo cabo quando eles
devem na verdade estar conectados em diferentes segmentos de uma
LAN. VLANs são configurados tanto via hardware quanto software,
e uma das maiores vantagens da VLAN é quando um computador é
movido para outra localização, ele pode ficar sobre a mesma VLAN
sem nenhuma reconfiguração de hardware.

VLSM (Variable Length Subnet Masks): um recurso que permite

especificar diferentes máscaras de sub-rede para nós de rede
conectados à diferentes sub-redes. O objetivo é um melhor

******ebook converter
DEMO
Watermarks*******
 aproveitamento dos endereços IP disponíveis.

VPI (Virtual Path Identifier): o campo no cabeçalho da célula

ATM que rotula (identifica) um caminho virtual particular.

VPN (Virtual Private Network): uma Rede Privada Virtual é uma

rede construída sobre a infraestrutura de uma rede pública,
normalmente a Internet. Dessa forma, ao invés de se utilizar links
dedicados ou redes de pacotes para conectar redes remotas, utiliza-se
a infraestrutura da Internet, criando um túnel por onde trafegam os
dados.

VRF: tabela de encaminhamento por site usada em roteadores na

utilização de MPLS VPN.

WAN (Wide Area Network): rede de computadores localizados em

regiões fisicamente distantes. As WANs normalmente utilizam linhas
de transmissão de dados fornecidos por empresas operadoras de
telecomunicações.

WEP (Wired Equivalent Privacy): parte do padrão IEEE 802.11

responsável por assegurar segurança a redes Wi-Fi. Devido as
diversas fragilidades foi desenvolvido o padrão WPA.

Wi-Fi (Wireless Fidelity): nome dado para o padrão IEEE 802.11,

da mesma forma que o nome “Ethernet” é usado para identificar o
padrão IEEE 802.3.

Wimax: especificada pelo IEEE como padrão 802.16 para Wireless

MAN, para serem utilizadas em redes metropolitanas sem fio.

Wireless (sem fio): permite a transmissão de informação sem a

necessidade de uma conexão física por meio de fios ou cabos.

WLAN (Wireless LAN): redes locais sem fio.

******ebook converter
DEMO
Watermarks*******
 WPA (Wi-Fi Protected Access): Um incremento na segurança de
redes Wi-Fi nos padrões 802.11i, 802.1x e EAP, substituindo o WEP,
melhorando a atribuição de chaves dinâmicas, a força da encriptação,
a não repetição de chaves e o uso de funções hash nas mensagens
assegurando a integridade dos dados.

WPA2: É a evolução do WPA especificado pelo padrão IEEE

802.11i.

WPA3: mais recente que os demais, conta com segurança mais

robusta. Faz uso do AES com GCMP (Galois/Counter Mode
Protocol) com encriptação mais forte.

WPAN (Wireless Personal Area Networks): Redes pessoais sem

fio que compreendem uma área com raio até 10 metros.

******ebook converter
DEMO
Watermarks*******
******ebook converter
DEMO
Watermarks*******
******ebook converter
DEMO
Watermarks*******