Escolar Documentos
Profissional Documentos
Cultura Documentos
CCNA
GUIA PREPARATÓRIO
PARA O EXAME 200 301
ALEXANDRE VIEIRA DE OLIVEIRA
CCIE #24499
JEFFERSON LISBOA MELO
Copyright©2021 – Todos os direitos reservados a:
Alexandre Vieira de Oliveira e Jefferson Lisboa Melo
De acordo com a Lei 9.610/1998 que consolida a legislação de direitos autorais no Brasil esta obra
tem direitos autorais reservados à editora.
Nenhuma parte desta obra poderá ser reproduzida ou transmitida por qualquer forma e/ou quaisquer
meios (eletrônicos ou mecânico, incluindo fotocópias e gravação) ou arquivada em qualquer sistema
ou banco de dados sem permissão escrita dos autores.
Editor: Carlos Sá
Agradecimentos
Agradeço a Deus, minha esposa Erika, nossos pais, irmãos, sobrinhos,
toda nossa família. O apoio e força deles são essenciais para que eu possa
seguir escrevendo e trabalhando.
Ao amigo de longa data neste e em outros projetos: Jefferson Melo, mais
uma vez obrigado pela parceria de sempre e estimada contribuição para
composição deste trabalho.
Também aos alunos, amigos e leitores que nos acompanham nessa e em
outras publicações, nosso editor Carlos Sá que sempre têm acolhido nossos
projetos com paciência.
Dedicatória
Dedico esta obra à minha esposa Erika que buscou incentivar a
completude deste livro e tem estado ao meu lado garantindo que eu
mantenha o foco, persistência e perseverança para trazer o meu melhor em
cada linha que compõe esta obra.
Jefferson Lisboa Melo
Agradecimentos
Agradeço a Deus, minha esposa Christiane e aos meus amigos
acadêmicos e profissionais que colaboraram para a construção do meu
conhecimento. O apoio e força deles são essenciais para que eu possa seguir
escrevendo e trabalhando.
Ao Alexandre Oliveira que participa do projeto CCNA e de outros livros
a mais de 10 anos em uma parceria de sucesso. Ao Carlos Sá que é nosso
parceiro na edição dos livros desde o início.
Dedicatória
Dedico esta obra à minha esposa Christiane pelo apoio, paciência,
companheirismo e por compartilhar os momentos bons e difíceis.
01 - Introdução às Certificações Cisco
CCNA – Implementing and Administering Cisco Solutions (200-301) e o que muda nesta edição
do livro
Como autores, nosso grande desafio é criar um material que permita o profissional atingir o objetivo da certificação, mas também ter um livro de
consulta que o auxilie no dia a dia, quando estiver atuando efetivamente com equipamentos Cisco. Desde a primeira edição, com o exame CCNA 640-
802, buscamos ampliar o conteúdo exigido pela Cisco na prova de certificação com conceitos e práticas que agregam conhecimento até mesmo para
aqueles que não prestarão o exame, embora fosse recomendado fazê-lo.
As tecnologias de redes de computadores evoluíram muito; conceitos como VoIP, Automação, Cloud, IPv6 e Wi-Fi eram completamente
desconhecidos pouco tempo atrás. Dessa forma, a Cisco tem procurado continuamente atualizar o portfólio de certificações e isso também tem ocorrido
com a carreira CCNA, que agora se chama Implementando e Administrando Soluções Cisco.
Alguns protocolos, que outrora eram abordados nos antigos exames, foram descontinuados por não serem mais usados nos sistemas atuais. O exame
anterior 200-125 focava nos tópicos relativos a Routing and Switching e seus protocolos, dava uma visão geral e uma aplicabilidade imediata dos
conceitos utilizados, mas o recém-lançado 200-301 ajusta o conteúdo sobre infraestrutura de roteadores e switches para deixá-lo ainda mais aderente à
Conectividade com foco em Serviços que correm sobre a rede, sua operação, gerenciamento, segurança e a automação.
O candidato à certificação deve conhecer as seguintes áreas, conforme descreve a própria Cisco em seu site no syllabus da prova, que é o conjunto de
temas abordados no exame:
1. Fundamentos de Rede.
2. Acesso à Rede.
3. Conectividade IP.
4. Serviços IP.
5. Fundamentos de Segurança.
6. Automação e Programação.
Essas áreas são cobradas no exame e muitas vezes combinadas na mesma questão. Por isso, o candidato deve estar bastante atento e deve compreender
tais assuntos de uma maneira estruturada e organizada, de modo que possa ser aplicado na prática.
Esta nova edição do livro, agora voltada ao novo exame 200-301, traz um conteúdo aderente a essa atualização do syllabus e suas áreas cobertas. A
estrutura de capítulos, no entanto, segue uma ordem lógica para o aprendizado em redes e conectividade, iniciando pelos fundamentos de redes e vai
ampliando até os tópicos mais avançados. É uma sequência que montamos com base nos feedbacks dos leitores, de nossa experiência com ensino,
atuação no mercado de redes e telecomunicações e pesquisas sobre o tema.
Toda busca na Internet sobre essa versão do CCNA leva a artigos ou sites que trazem informações sobre a prova e materiais de preparação e algumas
formas de aprendizado podem ser utilizadas, como um treinamento a distância, muito comum hoje em dia, treinamentos em empresas sérias e
especializadas e materiais para autoestudo de referência no mercado, como este livro. O importante é o candidato buscar as formas que o auxiliem na
compreensão do que será exigido no exame.
As versões anteriores do exame permitiam segmentar o estudo em certificações introdutórias que, somadas, levavam igualmente ao título CCNA. Isso
mudou para a atual versão 200-301, com a Cisco reforçando o conceito “um curso, um exame”, simplificando a carreira como veremos mais adiante.
Portanto, este livro se mantém como um guia preparatório imprescindível para alcançar esse objetivo, além de ser o material de consulta permanente dos
profissionais de redes.
Como é a Prova?
O assunto central do nosso livro é a prova da certificação Cisco CCNA exame 200-301. Esta prova trouxe uma série de mudanças importantes em
relação às anteriores. Ela agora tem uma duração de até 120 minutos (2 horas) para responder de 100 a 120 questões, um considerável aumento em
relação às 55 a 60 questões de antigamente. O conjunto de questões tem múltiplos formatos:
Simulações de Configuração.
As questões geralmente são bem objetivas, com cenários propostos. Normalmente não são longos, mas buscam testar o conhecimento do candidato no
conjunto de temas essenciais. Mesmo com duas horas é importante administrar o tempo, pois cada questão não deve ser respondida em mais de um
minuto, em média. Pode parecer assustador, mas se você se deparar com uma questão complexa, que demande tempo, esteja certo de que aparecerão
também questões bem objetivas que não levarão mais do que trinta segundos para serem respondidas.
As questões vêm em forma de estudos de caso, onde é apresentado um cenário e, a partir de um conjunto de dados, o candidato deve eleger a melhor
opção que atende o que é requisitado. Não espere por perguntas do tipo “o que significa a sigla WAN?”. Elas até podem existir, mas o que realmente se
cobra é a capacidade de o candidato saber o que fazer quando um problema acontece em uma rede e como resolvê-lo, apresentando as soluções mais
apropriadas.
A recomendação é que os assuntos estejam bem estudados para que se guarde tempo para as questões mais complexas e simulações presentes no
exame. Outra recomendação é que não se gaste mais do que dez minutos para essas simulações, por isso administrar o tempo e estar bastante ‘afiado’
nos estudos é essencial e permite ganhar tempo em questões simples.
Uma das características desta prova, que causa certo calafrio no candidato, é o fato de não ser permitido voltar à questão anterior, ou seja, se você
respondeu e clicou no botão Next (Próximo), não haverá a possibilidade de revisá-la, como acontece em outros exames na área de tecnologia. Essa
característica pode mudar e permitir o retorno às questões anteriores, mas é melhor considerar que não será possível e responder com exatidão. Por isso é
necessária uma atenção redobrada neste aspecto e, em último caso, “chutar” uma opção qualquer antes de avançar, caso você não saiba a resposta, e
jamais deixar alguma em branco e perder preciosos pontos.
Existem também questões em que mais de uma alternativa está correta. Na maioria das vezes ele termina o enunciado da pergunta dizendo: “Escolha
duas”. Com isso melhora a chance de acerto, pois você poderá trabalhar na eliminação das erradas, caso esteja em dúvida.
Verifique no site da Cisco uma demonstração dos tipos de questões adotadas no exame. Esse tutorial auxilia o candidato a se
familiarizar com a plataforma do exame, inclusive dando a possibilidade de experimentar e clicar nas opções apresentadas:
https://learningnetwork.cisco.com/s/certification-exam-tutorials
Nível Professional
Após se qualificar com o nível Associate, o profissional poderá dar
continuidade aos estudos e subir um degrau na pirâmide. As carreiras de
nível Professional são bastante diferentes das carreiras do Associate,
primeiro porque o profissional precisa fazer duas provas para se certificar.
Segundo porque as provas são mais direcionadas ao conteúdo. Nesse nível,
há distintas divisões que permitem focar em assuntos diferentes e levar a
níveis Expert relacionados, se desejável. Não há pré-requisitos para alcançar
nenhuma certificação. O candidato pode ir direto ao nível Expert, ou
Professional sem passar pelo Associate. No entanto, é coerente seguir uma
sequência pois o conhecimento se acumula e vai apoiando-o em atingir níveis
mais altos ao longo dos estudos. Salvo condição em que o profissional seja
muito experimentado em redes e deseje ir logo para o topo, o que é mais
difícil de ocorrer.
Nível Expert
Depois de avançar por um longo caminho técnico, o candidato finalmente
chega ao nível Expert, que é muito conhecido devido ao nível de dificuldade.
De fato, como circula entre os profissionais da área, essa certificação é “a
que separa os meninos dos homens”. É o “doutorado” em Redes, um título
que o coloca entre os mais raros profissionais do mercado, como
detalharemos a seguir.
A prova é dividida em duas fases, uma teórica e outra prática. A segunda
fase é bastante complexa: o profissional faz a implementação prática de uma
rede e ainda deve solucionar problemas dentro do ambiente que ele montou.
A prova tem 8 horas de duração e só pode ser feita nas instalações da Cisco
Systems.
Customer Success, Collaboration, Data Center, Internet of Things (Internet das Coisas), DevNet, CyberOps, Network Programmability,
Security, Service Provider. É recomendado a consulta ao site Cisco.com para verificar quais as carreiras e provas disponíveis para esse
nível, já que varia bastante de acordo com a evolução e as tendências tecnológicas.
Ao se registrar, o candidato tem um número identificador que será registrado, no caso da Cisco, no portfólio de certificações obtidas.
É muito importante manter guardado o cadastro, tanto do usuário quanto da senha, para que sempre se possa vincular o identificador
às certificações obtidas ao longo da carreira profissional.
Após o cadastro, o usuário tem a opção de agendar uma prova, localizar o centro de exames mais próximo e efetuar o pagamento diretamente
pelo site, através de um sistema seguro. O pagamento é feito através de cartões de crédito internacionais. Uma vez agendado e pago, o exame
pode ser livremente reagendado, caso o candidato não tenha estudado em tempo, desde que respeitado o prazo, normalmente até 24 horas antes do
horário marcado anteriormente.
Quando o candidato não aparece no dia e hora marcados, também chamado “no-show”, perde direito ao exame, sendo necessária uma nova
compra, sem direito ao reembolso do exame perdido. A Figura 1.6 mostra a página inicial da Pearson/Vue e a Figura 1.7 apresenta a tela após
optar por Cisco Systems na busca de organizações (testing organizations). Aqui é que o candidato cria suas credenciais para iniciar nas carreiras
Cisco e onde agendará todos os exames que for realizar deste fabricante. A Cisco, em conjunto com a Pearson/Vue, também oferece certificações
via OnVue, sistema de provas que podem ser feitas sem sair de casa, com supervisores (proctors) online que monitoram você durante o exame. É
uma opção para quem está longe de um centro de testes presencial. Vale conferir as condições e pré-requisitos de equipamento e ambiente.
Figura 1.6 – Página inicial Pearson Vue (www.pearsonvue.com), com destaque para Take a Test ou busca por Cisco.
O valor do exame deve ser consultado no momento de selecionar o exame, através da Pearson/Vue. Em 2021 custava US$ 300,00 dólares
americanos.
Figura 1.7 – Tela inicial da organização Cisco Systems para cadastro inicial ou agendamentos.
Pomodoro (Focus To-Do): outro app para smartphone que gera timers
(contagem regressiva) de tarefas, blocos de tempo, inclusive com
intervalos de descanso. Ajuda a organizar a agenda de modo que você
aloque sempre o mesmo horário para estudo, o que é recomendável.
Introdução
É de suma importância para você, leitor, ter o real entendimento sobre as
redes de computadores em um breve histórico. Podemos resumi-lo em
algumas palavras, mas o que se espera é que você termine de ler este
capítulo e tenha, não só uma visão geral sobre redes, mas também um
aprofundamento em algumas áreas específicas para o teste do CCNA 200-
301.
No início as redes tinham a finalidade de conectar computadores para
compartilhar informações, dados e recursos. Sem sombra de dúvidas, este
princípio inicial das redes foi tímido para o que temos hoje. Mas isto é
absolutamente normal, até mesmo porque nem os grandes precursores das
redes de computadores imaginavam que ela chegaria aonde chegou.
O que é muito interessante nesta história toda é que bem antes das redes
se tornarem de fato um componente de interconexão para troca de
informações, os grandes computadores de 1950 eram máquinas que já
pregavam uma ideia de conectividade, porém ainda não se tinha o conceito
de redes, como conhecemos hoje.
Entre 1950 e 1970 várias descobertas e inovações foram feitas neste vasto
campo que é a informática, os mainframes dominavam o mercado
corporativo, mas com o passar do tempo o sistema de compartilhamento do
tempo usado entre eles já não era autossuficiente para as necessidades que o
mercado impunha. Foi assim que a tecnologia SNA (Systems Network
Architecture) surgiu para ligação destes mainframes.
Mas aí vieram as LANs (Local Area Network) que tinham como carro-
chefe os PC (Personal Computer), que eram a revolução da época. Isso era
fantástico, pois se deixava de ter agora um processamento centralizado em
um único elemento e passava-se a utilizar um modelo onde cada nó da rede
era de fato um dispositivo ativo, com seus reais recursos de hardware,
trabalhando em conjunto para garantir o funcionamento adequado de toda a
rede. Neste momento, se faz necessário salientar que a ideia inicial de
compartilhamento de recursos realmente aconteceu neste tipo de rede, até
mesmo porque os recursos estavam distribuídos e aí teria mais sentido a
necessidade de compartilhamento.
Podemos categorizar a rede local (LAN) como uma rede que conecta seus
equipamentos em uma área relativamente próxima (não geograficamente
dispersa), com enlaces de alta velocidade. Quando falamos alta velocidade,
nos referimos às conexões em uma base mínima de 10 Megabits por
segundo (10 Mbps). Claro, atualmente dentro das residências temos
conexões de 100Mbps e além. No 4G/5G do celular, muito mais. Aqui fala-
se apenas de definições básicas, até porque é muito difícil uma
categorização fechada do que é uma LAN, pois a evolução dos
equipamentos de conectividade derrubou muitos limites e superam dia a dia
a velocidade de transmissão conceitual. Porém, podemos considerar como
definição de regra geral.
Depois houve a necessidade de interconectar os computadores
geograficamente dispersos. Surgiu então a WAN (Wide Area Network), que
seria uma rede com finalidade de conectar computadores dispersos em uma
grande área de alcance. Embora essas definições sejam regras gerais, o
importante é entender o conceito que rege cada uma delas. Atualmente, as
LANs podem inclusive ser metropolitanas, ou seja, interligando bairros ou
até cidades, como se cada localidade fosse parte do mesmo contexto físico
(ou rede local). Por outro lado, as WANs eram definidas por enlaces de
baixa velocidade, o que já não se aplica mais, tendo em vista que temos
redes da ordem de Gigabits interligando países ou até mesmo empresas
privadas individuais.
Além da categorização acima, ao longo deste livro será possível perceber
outras fontes de diferenciação, como, por exemplo, os protocolos de
comunicação (nas camadas de enlace, por exemplo).
É importante mencionar também que, dentro desse modelo, temos outras
redes que são caracterizadas pelo seu alcance ou aplicabilidade. Na
verdade, são extensões dos conceitos de LAN, aplicados em cenários
distintos que o mercado reconhece como um padrão:
Alguns autores ainda definem esses tipos de redes com outras aplicações,
como por exemplo SAN, cujo “S” pode referenciar a Server ou até Small
Area Network. No entanto, independentemente de como se defina, é valido
lembrar que todas partiram de um princípio comum (LAN e WAN),
adaptados apenas para aplicações ou protocolos específicos; o importante é
ter essas duas bem entendidas e que o conceito geral é levar dados de um
ponto ou dispositivo a outro.
Modelo OSI
O exame do CCNA, apesar de atualizado para as novas tecnologias, ainda
possui referência ao modelo de camadas, tanto TCP/IP, quanto o OSI. Este
último, apesar de ser relativamente antigo, esclarece bastante como
funciona a estrutura de redes e, por esse motivo, temos mantido a
explicação detalhada para que sirva também ao profissional da área de
Redes como referência, independentemente de aplicar-se ou não à prova, e
que serve de alicerce didático para tudo que virá nos próximos capítulos.
No início, as redes eram ilhas, onde só havia a comunicação dentro de
uma mesma plataforma. Redes proprietárias necessitavam de que toda
infraestrutura pertencesse a um só fabricante, como placas de rede, cabos,
conectores etc. Com isso você não podia ter uma opção de escolha na
compra dos equipamentos necessários para implementação da rede e tinha
que obter o pacote fechado, a solução completa.
No final dos anos 70, a ISO (International Organization for
Standardization) concluiu um trabalho árduo, de vários anos de pesquisa, a
fim de descrever como estas redes poderiam, de forma padronizada,
comunicar-se umas com as outras. Assim, foi publicado um modelo de
referência com intuito de descrever a forma em que estes dados seriam
tramitados. O trabalho ficou a contento e passou a se chamar de
“International Standard #7498”, que em seguida foi redigido pela ITU
(International Telecommunication Union) e batizado como ITU-T X.200.
Mas o nome com o qual ficou conhecido internacionalmente foi: Modelo de
Referência OSI (Open Systems Interconnect).
Figura 2.1 – As sete camadas do modelo OSI.
Ao contrário do que muitos pensam, o modelo
OSI não é um protocolo, nem um conjunto deles.
Na realidade ele é um conjunto de normas para
permitir que fabricantes diferentes possam criar
produtos interoperáveis que “conversam” entre si.
A arquitetura do modelo OSI está dividida em
sete camadas, com suas funções extremamente
bem definidas. Na Figura 2.1 você tem uma
ilustração dessa hierarquia.
As camadas são numeradas de baixo para cima,
partindo da camada 1, Física, até a camada 7,
Aplicação. As camadas do modelo OSI podem ser
mapeadas ainda em três classes de funções,
apresentadas na Figura 2.2.
Cada camada tem a capacidade de se comunicar
com a mesma camada no computador de destino,
ou seja, não é possível para a camada 2 ler dados
que foram gerados na camada 3. Isto origina uma
comunicação virtual entre as camadas em hosts
diferentes. As camadas precisam apenas ser
capazes de comunicar com as camadas
imediatamente superior e inferior.
Camada de Aplicação
A camada de Aplicação é de onde os dados em
um host de origem começam a ser formados. Esta
camada é responsável pela comunicação direta
entre o usuário do computador e a rede. Nesta
camada é comum termos tarefas rotineiras da rede
como, por exemplo, aplicações que usam correio
eletrônico (protocolo SMTP) e serviços de Web
Browser (HTTP). São também exemplos:
Camada de Apresentação
A camada de Apresentação é responsável por
apresentar dados para a camada de Aplicação,
através de uma semântica inteligível. Sua função
é a de realizar modificações adequadas nos dados
e estas modificações devem ser realizadas antes
do envio para a camada de sessão. Podemos citar
como exemplo de uma transformação que pode
ocorrer em um determinado dado: a criptografia
ou até mesmo a compressão.
Com isso em mente podemos concluir que o
nível de apresentação precisa ser conhecedor de
padrões de sintaxe do ambiente local e do
ambiente remoto. Na maioria das vezes esta
camada é denominada de “camada tradutora”, isto
porque ela é responsável por traduzir dados de um
formato para outro, como por exemplo:
mainframes usam um esquema de codificação
chamado EBCDIC (Extended Binary Coded
Decimal Interchange Code), enquanto os
computadores pessoais usam ASCII (American
Standard Code for Information Interchange);
quando há uma transferência de dados entre estes
sistemas, a camada de apresentação se
responsabiliza por traduzir esta codificação.
O padrão de sintaxe de dados ASN.1 (Abstract
Syntax Representation, Revision #1) é usado pela
camada de apresentação. Com este tipo de
padronização é possível representar uma grande
variedade de sistemas de arquitetura
computacional.
Esta camada caracteriza-se também por dizer
como os dados devem ser formatados; desta
forma, tarefas de compressão, descompressão,
criptografia e descriptografia são feitas também
por ela.
A camada de Apresentação está relacionada a
algumas operações multimídias, como
apresentação de imagens do tipo:
Camada de Sessão
A camada de Sessão tem um papel fundamental
no mecanismo de comunicação entre dois hosts
em uma rede. Esta camada oferece o suporte
necessário para estruturar os circuitos que são
disponibilizados pelo nível de transporte.
Podemos então dizer que a camada de sessão
oferece serviços de gerenciamento de atividades e
controle de diálogo.
Ela é responsável pelo controle de diálogo entre
os hosts e este diálogo, por sua vez, é uma forma
de comunicação para troca de dados. Com isso, a
camada de Sessão se torna responsável por:
Estabelecer a conexão: O host de origem
requisita que uma conexão seja aberta; neste
momento há uma troca de regras de
comunicação que, entre outras coisas, inclui
o protocolo a ser usado.
Camada de Transporte
A camada de Transporte é responsável por garantir a comunicação
fim a fim e também por segmentar e reagrupar segmentos de dados.
Esta camada divide as mensagens em fragmentos que se encaixam na
tecnologia física de rede, a qual está sendo usada, ou seja, pacotes
Ethernet são bem maiores que células ATM e com isso a fragmentação
e o reagrupamento podem variar de acordo com a tecnologia usada,
como é mostrado na Figura 2.4.
Controle de erro.
Controle de Fluxo.
Sequenciamento.
Aceitação.
Retransmissão.
Camada de Rede
Trata-se de uma camada que oferece serviços de
datagrama que por sua vez não é orientado a
conexão e com isso não garante a entrega do
pacote. Esta garantia deve ser dada pelo protocolo
da camada superior (Transporte). A camada de
Rede é responsável pelo roteamento de pacotes,
ou seja, a capacidade de poder utilizar múltiplos
caminhos em uma rede de longa distância. O
equipamento mais relevante que opera nesta
camada é o roteador que pode determinar os
caminhos mais otimizados em dado momento.
Veja na Figura 2.5 um exemplo de como a
comunicação entre hosts de redes remotas
acontece no nível da camada de Rede.
Este formato topológico de rede é chamado de
“internetworking”. Para que os dados possam ser
entregues nesta inter-rede, cada porção da rede
precisa ser identificada por um endereço. É neste
âmbito que entra o IP, para endereçar hosts de um
trecho da topologia.
Quando a camada de Rede recebe a mensagem
da camada superior, ela adiciona um cabeçalho
que contém, entre outras coisas, os endereços de
origem e destino. A passagem de dados entre
redes é feita usando a técnica de roteamento. Na
Figura 2.5 é possível distinguir entre o host final
(neste caso, um computador) e um roteador.
O roteador é responsável por interligar redes,
cujo endereçamento IP (que será visto mais a
frente) não esteja na mesma faixa. Ou seja, ele
trabalha na camada 3 (Rede) e promove o
roteamento entre uma rede A e uma rede C, onde
os hosts não conseguem falar diretamente entre si.
Portanto, uma máquina que esteja com IP da
Rede-A não consegue falar com outra na Rede-C.
Para que essa “conversa” seja possível, deve
haver um, dispositivo que as interligue: o
roteador.
Figura 2.6 – Uma tabela de roteamento usada para encaminhar pacotes para a rede
correta.
Camada de Enlace
A camada de Enlace tem como função principal garantir que uma
mensagem possa ser entregue para um dispositivo assegurando um
correto encapsulamento destas informações de acordo com o meio ao
qual está ligado, ou seja, há uma preocupação desta camada em
adequar a informação à semântica da tecnologia em uso. Além disso,
ela tem como intuito traduzir mensagens da camada de rede em bits
para repassá-las à camada Física. Dentro das características desta
camada, podemos acrescentar a capacidade de reconhecimento e limite
dos quadros. O formato da mensagem neste caso é chamado de Quadro
ou Frame de dados. Na Figura 2.7 é mostrado o formato de um frame
de dados nesta camada.
Camada Física
Chegamos à primeira camada na ordem do
modelo OSI, mas a última para um host que
transmite dados, ou seja, uma vez que a formação
do pacote se inicia na camada sete (Aplicação), a
camada Física é responsável por quebrar os dados
em bits para transmiti-los no meio físico. A
camada Física especifica como os sinais elétricos
e o mecanismo de transmissão ocorrem; ela é
responsável por detectar a interface entre os dois
componentes abaixo:
Introdução
Além do Modelo OSI, outro Modelo de Arquitetura muito difundido é o
Modelo DoD, ou Arquitetura TCP (este último é mais comum na literatura).
De fato, o DoD ou Department of Defense (Departamento de Defesa dos
EUA) foi o responsável pela criação da arquitetura de protocolos TCP/IP, o
mais conhecido e cobrado no exame CCNA 200-301.
O DoD iniciou a pesquisa sobre protocolos de rede com o foco na
tecnologia de comutação de pacotes, porém os estudos e pesquisas que
originaram o nascimento do TCP/IP iniciaram-se por volta de 1969. Na
época, a grande preocupação do DoD era criar um modelo de comunicação
que continuasse operando nas situações mais adversas possíveis como, por
exemplo, uma Guerra Nuclear (o mundo vivenciava a Guerra Fria à época).
Dessa forma, os principais objetivos destas pesquisas eram:
Não há como negar que o modelo TCP/IP foi uma versão condensada do
modelo OSI. As sete camadas se tornaram quatro, conforme mostra a
Figura 3.1.
Uma recomendação que fazemos é o uso de aplicativos de captura de
pacotes, como o Wireshark (gratuito), com os quais é possível verificar
como se comportam os pacotes e como eles passam por cada camada e as
informações trazidas em cada uma delas. Assim, os tópicos seguintes
poderão ser melhor absorvidos, já que o bom profissional de redes deve
conhecer bem essa estrutura, sem contar sua relevância para o exame
CCNA.
Camada de Aplicação
Como pode ser visto na Figura 3.1, a camada de Aplicação do
TCP/IP absorve funcionalidades das três últimas camadas do modelo
OSI (5, 6 e 7); nela se encontram serviços como aplicações de
mensagens (correio), transferência de arquivos, serviços de
gerenciamento de rede, emulação de terminal, entre outros, vide Figura
3.2.
Figura 3.2 – Camada de Aplicação do TCP/IP e seus principais protocolos.
Camada de Transporte
Também conhecida como camada fim a fim, tem funções
extremamente semelhantes à camada de Transporte do modelo OSI. É
aqui onde é feita toda garantia de entrega e toda parte de
confiabilidade na transmissão de dados.
Camada de Internet
A camada de Internet tem funções semelhantes às funções da
camada de rede do modelo OSI. Nesta camada é onde trabalha
especificamente o protocolo IP, que acumula funções de roteamento de
pacotes entre múltiplas redes.
Camada de Rede
O nome parece ser dúbio e você pode até lembrar da camada de rede
do modelo OSI, mas cuidado, não é a mesma coisa. Como você pôde
ver na Figura 3.1, esta camada é mapeada nas duas primeiras do
modelo OSI, ou seja, as funções de identificação do meio, interfaces
físicas e controle de acesso ao meio estão definidas nesta camada.
Telnet.
Relatórios de desempenho.
Protocolos da Camada de
Transporte
A camada de Transporte no modelo TCP/IP
talvez seja uma das mais bem definidas. A
camada de transporte do modelo OSI tem uma
função extremamente semelhante, ou seja,
informar para as camadas superiores que lhe
entreguem os dados livre de informações, que ele
iniciará o processo e garantirá a entrega. As
funcionalidades dessa camada incluem:
protocolo confiável.
orientado a conexão.
teste de erro.
reenvio de segmentos.
A comunicação feita nesta camada independe
da estrutura de rede. Leia o passo-a-passo da
comunicação abaixo e acompanhe na Figura 3.11:
1. O TCP do host de origem pega grandes
blocos de informações das aplicações (Stream
de Dados).
2. Ele quebra em segmentos e numera as
sequências de segmento de forma que o
protocolo TCP de destino possa colocar os
segmentos na ordem correta para que a
aplicação possa entender as informações.
3. A camada internet fragmenta os segmentos e
prepara os datagramas conforme a tecnologia
de rede utilizada.
4. Os datagramas são fragmentados em bits e
transmitidos pela rede.
5. A camada de rede do host de destino recebe
os bits e reconstrói o datagrama.
6. A camada internet reconstrói o segmento a
partir dos datagramas vindos da camada de
rede.
7. O TCP desfragmenta os segmentos e
reconstrói as streams de dados para elevá-los à
camada de Aplicação.
Figura 3.11 – Processo de envio de dados.
Especificamente nas camadas de Transporte
existe uma garantia de que o stream de dados
chegue livre de erro. Desta forma, antes de passar
adiante, testa-se a conexão em um processo
conhecido como Three Way Handshake (aperto
de mão triplo ou em três vias) composto por três
trocas de informações:
Roteamento.
Endereçamento Lógico.
Fornecer às camadas superiores uma interface de rede única.
IP (Protocolo de Internet)
A camada de Internet é praticamente focada no
protocolo IP (Internet Protocol), apesar de
existirem outros protocolos também trabalhando
nesse nível, mas cujas funções são mais para dar
suporte ao protocolo IP. Ele tem as seguintes
funções:
Endereçamento.
Fragmentação e reagrupamento de
datagramas.
O Pacote IP no Roteador
O pacote IP quando chega no roteador recebe um tratamento um
tanto quanto diferenciado. Esta personalização que o roteador faz no
pacote tem como intuito garantir que a entrega deste pacote, no
próximo salto (next hop), seja feita de forma segura e ordenada. Desta
forma, quando o pacote chega ao roteador, ele faz os seguintes
procedimentos:
Introdução
A Ethernet caracteriza-se por ser um padrão que define interfaces,
cabeamentos, protocolos de comunicação e tudo mais necessário para se
criar uma rede LAN Ethernet. Esta rede se tornou um padrão definido e
adotado pelo IEEE (Institute of Electrical and Electronics Engineers) com o
nome (ou código) 802.3 seguido de letras para cada tipo de conexão física.
IEEE 802.3.
Cabeamento de Rede
Para que seja possível entender os tipos de cabeamentos usados para
ligar dispositivos Cisco, é necessário entender a implementação LAN
Ethernet na camada Física.
A primeira implementação Ethernet do conector AUI foi chamada de
DIX, devido ao grupo que o desenvolveu, um consórcio das empresas
Digital, Intel e Xerox. Este conector definia uma transmissão de 10
Mbps em um cabo coaxial, o qual chamamos de 10Base5, conforme
você leu na sessão anterior.
Quando estiver projetando sua LAN, é importante entender os
diferentes tipos de meios físicos Ethernet disponíveis. Com certeza
será bem mais produtivo rodar suas aplicações de rede em uma
infraestrutura que use rede Gigabit Ethernet, mas infelizmente nem
sempre podemos implantar tal tipo de rede. Por este motivo um breve
conhecimento sobre as formas de ligação é algo indispensável.
Dentro deste âmbito de cabeamento é importante mencionar a
existência de normas que compõem um modelo de cabeamento
estruturado. Seu principal fator motivacional é manter o meio físico
independente do padrão de rede utilizado e possibilitar movimentação
de equipamentos com facilidade, em caso de mudança de layout.
Através do uso de cabeamento estruturado é possível também
convergir os diversos tipos de cabos existentes na rede.
Podemos citar também as principais normas que regem o modelo de
cabeamento estruturado existente no mercado:
Fibra Óptica
A fibra óptica é um dos meios de transmissão mais modernos e
revolucionários da atualidade, tornando-se, assim, bastante utilizado
em sistemas de telecomunicações e redes de computadores. As fibras
são filamentos muito finos de vidro e são organizadas em feixes
chamados de cabos ópticos, usados para transmitir sinais de luz que
podem viajar por grandes distâncias. De fato, o vidro não absorve a luz
do núcleo, porém a maioria dos sinais luminosos tende a se degradar
devido às impurezas existentes no material e das ondas de transmissão
da luz.
Camada de Distribuição.
Camada de Acesso.
Cada camada tem suas devidas
responsabilidades. Porém, lembre-se de que estas
três camadas são lógicas e não necessariamente
têm dispositivos físicos atrelados a ela. Lembra-se
do OSI? Pois é, ele é outro modelo hierárquico
onde as sete camadas descrevem as funções, mas
não necessariamente os protocolos. Com isso em
mente, vejamos então cada camada.
Segurança.
Em um ambiente menor, a camada de
distribuição pode ser um ponto de redistribuição
entre os domínios de roteamento ou a demarcação
entre os protocolos de roteamento estático e
dinâmico. A definição desta camada pode ser
resumida dizendo-se que: a camada de
distribuição fornece conectividade baseada em
políticas.
No exemplo das provedoras de
telecomunicações, nesta camada poderá haver
controles de priorização de pacotes dentro das
redes de distribuição, como a leitura de
marcadores de qualidade de serviço (QoS), por
exemplo.
Camada de Acesso
A camada de acesso é o ponto em que o usuário
local pode acessar a rede. Esta camada também
pode estar implementando listas de acesso ou
filtros para otimizar a necessidade particular de
um usuário. Em um ambiente grande, esta camada
funciona como:
Filtragem de MAC.
Microssegmentação.
Em um ambiente menor, a camada de acesso
pode estabelecer acesso remoto a outros locais da
empresa, usando tecnologias WAN como VPN,
ADSL, etc. As camadas de redes são definidas
para ajudar o projeto de rede e para representar as
funcionalidades distintas da rede.
Em suma, a forma com que as camadas são
implementadas depende da necessidade do
projeto de rede, porém, para que a rede funcione
de forma otimizada, a hierarquia tem que
continuar existindo.
No mesmo exemplo das provedoras de
telecomunicações, aqui é possível identificar
também os pacotes de entrada e saída com
priorização em qualidade de serviço (QoS),
protocolos permitidos, interconexão com
protocolos de roteamento com clientes finais,
listas de acesso e outros controles de proteção da
rede backbone da provedora.
Figura 4.20 – Tipos de topologias de rede: 1-estrela, 2-partial mesh, 3-full mesh, 4-
híbrida.
Em soluções SDN (Software-Defined Network), que veremos no
capítulo sobre Automação mais adiante, é comum usar esse arranjo 2-
Tier para estrutura de switches, cuja denominação comum é
Spine/Leaf Architecture. Essa arquitetura de dois níveis tem a mesma
distribuição de tarefas, ou seja, na camada Spine (espinha ou
backbone) é onde roda o maior fluxo de tráfego e direciona para os
switches menores, na camada Leaf (folha). A troca de tráfego entre os
switches Leaf sempre se dá via um Spine, nunca diretamente. Como na
Figura 4.19, switches Leaf não se conectam diretamente, mas sim com
todos os Spine que fazem a distribuição. A arquitetura Spine/Leaf
também pode ser encontrada como Rede Clos (Clos Network), em
homenagem a um dos criadores.
Análise de Cenários
Após termos visto todo este aparato de tecnologias, onde uma gama
delas se refere à LAN, temos que ter a sensibilidade adequada de saber
quais os cenários de uso e o que estes cenários esperam de uma
infraestrutura bem planejada. Neste momento vale salientar que, no
mundo atual, um dos elementos mais importantes de qualquer solução
de infraestrutura é a interoperabilidade; além disso, é preciso também
delimitar bem o que o cliente precisa e, então, podemos indagar uma
série de fatores como:
Convergência de tecnologias,
Migração de tecnologia.
Mas nem sempre o que o cliente precisa é, também, a premissa dele;
na realidade a premissa é um elemento que não pode faltar durante a
implantação do projeto e, com isso, podemos citar algumas
comumente utilizadas:
Desempenho,
Redução do custo,
Integração,
Qualidade do serviço.
Por fim, podemos dividir os cenários conforme o resumo da tabela
abaixo:
TIPO DE DESCRIÇÃO PREMISSAS
CENÁRI
O
Pequeno Tipicamente é composto de um prédio e a redundância •Ethernet
Porte não é uma premissa. O custo passa a ser um dos Compartilhada
grandes fatores. ;
• Suporte às
aplicações.
Médio Consiste de um grande prédio ou diversos prédios, • Segurança.
Porte projetados para alta disponibilidade, performance e • Aumento da
gerenciabilidade. Este tipo de campus é também largura de
chamado de collapsed backbone. banda
disponível;
• Migração do
meio
compartilhado.
Grande Tipicamente conecta múltiplos prédios através de um • Intranets
Porte backbone de alta velocidade localizado no campus corporativas;
principal. • Alta
disponibilidade
de banda para
as aplicações.
A adequação da rede a um modelo hierárquico, também categorizado
com a descrição do seu porte, facilita bastante a correta implantação e
manutenção da infraestrutura. Este tipo de categorização facilita o
entendimento das origens do tráfego, assim como da flexibilidade para
controlar este tráfego.
Em linhas gerais, podemos dizer que o fluxo de tráfego pode ser
influenciado por algum ou vários motivos relacionados a seguir,
Negociação errônea,
Introdução
Todos sabemos as deficiências e limitações que existem quando se
trabalha em uma rede onde existem hubs. Como o hub compartilha o meio e
funciona apenas como um repetidor de sinais, torna-se notável que a adição
de mais computadores ao hub irá diminuir o desempenho da rede como um
todo. No segundo capítulo foi mostrado de qual camada do modelo OSI o
hub faz parte, lembra-se? Está na camada 1, Física. O hub não tem
inteligência suficiente para diferenciar entre endereço de origem e de
destino dentro de um frame e todos os computadores que estão conectados
ao hub recebem este sinal. Hoje em dia é fácil chegar à conclusão de que o
hub é um problema para a atual demanda de rede. É um meio baseado em
difusão que pode facilmente tornar-se o “gargalo” de toda a sua
infraestrutura.
No princípio, o hub era algo que melhorava o ambiente de rede, quando
comparado com a topologia barramento, que usava um meio único
compartilhado. Todavia, ainda não era a forma mais otimizada de
transmissão para grandes redes. Vieram então as bridges, que se propunham
a segmentar a rede, criando uma divisão no nível de enlace, na qual cada
segmento tinha seu conjunto de máquinas.
Porém esse método ainda pecava na comunicação dentro do segmento e
se era possível implementar a tecnologia de bridge por segmento, por que
não implementar por porta? Veio então o switch, um equipamento
extremamente necessário nas implementações de rede nos dias de hoje. No
início era comum implementar redes onde havia switches interligando hubs,
uma espécie de segmentação no nível de enlace. Atualmente os hubs são
raros de serem encontrados em uso nas redes ou até mesmo para venda, por
conta do melhor desempenho que o switch proporciona.
Na Figura 5.1 temos novamente aquela topologia simples de rede, sendo a
primeira com um hub e a segunda com um switch. As topologias físicas são
idênticas, mas as funcionalidades são extremamente diferentes, pelos
conceitos apresentados aqui: desempenho.
Switch de Camada 2,
Switch de Camada 3,
Switch Multicamadas.
Os dois primeiros são comumente utilizados em
uma rede LAN convencional. O Switch de
Camada 3 significa que o switch possui um
módulo de roteamento embutido, dando-lhe
características de um roteador, que lê pacotes na
camada 3 com endereços IP.
Já o Switch Multicamadas (ou MLS –
Multilayer Switching) é aquele que possui
recursos que vão além da camada 2, com
capacidade de ler pacotes de camada 3 (como o
IP, por exemplo) e protocolos da camada 4 ou
superior. Alguns fabricantes apresentam
equipamentos multiuso que trazem recursos de
camada 7, ou seja, capazes de fazerem controle de
conteúdo, filtros, firewall etc. O switch da série
MDS 9000 da Cisco é um exemplo de
equipamento modular com suporte a protocolos
de diversas camadas.
Switch Camada 2
No modelo OSI, a camada 2 é responsável pela
formação dos quadros ou frames. Esses quadros
são os que contêm o endereço físico MAC. A
segmentação acontece no nível de enlace (camada
2) através da detecção do endereço MAC e
encaminhamento para a porta de destino. Os
switches ou as switches (há textos que colocam o
artigo feminino para a palavra switch) aprendem
os endereços MAC à medida que são trocadas
informações entre os computadores da rede
O switch usa um chip chamado de ASIC
(Application-Specific Integrated Circuit) para
construir e manter a tabela de filtros; este chip
permite uma melhor otimização nas tarefas de
encaminhamento e leitura do frame.
Como a semelhança entre o switch e a bridge é
totalmente perceptível, para o público leigo é
comum dizer que um switch é uma bridge
multiportas, porém esta afirmação é totalmente
errônea, e no decorrer desta explanação iremos
identificar os motivos. Por não terem a
capacidade de olhar informações da camada de
rede (camada 3) do modelo OSI, os switches nível
2 são mais rápidos; apenas informações
pertinentes ao nível 2 (ou também camada 2) são
tratadas, como o endereçamento MAC, na origem
e no destino.
Porém nem tudo é perfeito e o switch nível 2 se
depara com os mesmos problemas que ocorriam
no cenário de bridges. Lembre-se que a bridge
quebrava a rede em segmentos de colisão ou
domínios de colisão, porém a rede como um todo
continuava sendo um único e grande domínio de
broadcast. Os switches de nível 2 também têm
essa mesma característica, ou seja, não dividem a
rede em domínio de broadcast.
Você deve pensar que bridge e switch são
equipamentos tão próximos na funcionalidade que
tanto faz usar um quanto outro, mas, como já foi
dito, o switch realiza a tarefa da bridge em várias
portas; além disso, ainda existem os pontos-chave
abaixo que devem ser considerados:
Modos de Switching
Já vimos como acontece toda a tramitação de
frames em um switch, porém é importante frisar
que o tempo de resposta dele depende do modo
em que esteja operando. Estes modos são
basicamente os seguintes:
Introdução
No capítulo anterior vimos quão importante é a implementação de
switches em uma rede local (LAN). Nem sempre é necessário ter um
roteador em uma rede, mas é necessário ter desempenho e segmentação, e
os switches podem ajudar bastante nesse sentido.
Agora iremos ver como fazer melhor uso de switches no intuito de
segmentar uma rede em blocos, melhor dizendo, LANs Virtuais ou
simplesmente VLANs.
O funcionamento normal de um switch de nível 2 coloca cada segmento
(porta) com seu próprio domínio de colisão e todos os segmentos (portas)
em um único domínio de broadcast, como você pode ver na Figura 6.1.
Identificando o Frame
Como foi falado anteriormente, os switches precisam identificar os
frames que passam pelas suas portas, ou seja, uma forma de trilhar o
que os usuários estão tramitando no segmento e nas VLANs.
Figura 6.5 – Formato do cabeçalho Ethernet padrão 802.3 ao se adicionar um tag.
A identificação do frame ou Frame ID é atribuída de forma única.
Este tipo de implementação é também chamado de VLAN ID ou ID
Color. O VLAN ID permite que o switch possa tomar decisões
inteligentes baseadas em informações que estão embutidas no frame.
Esta característica de adicionar informações no cabeçalho do frame
também é chamada de VLAN Tagging.
O VLAN Tagging foi concebido pensando na escalabilidade e é
usado quando frames Ethernet atravessam um link do tipo Trunk. O
marcador (tag) da VLAN é removido antes de sair do link trunk. O
processo de passagem do frame por cada switch pode ser das formas
abaixo:
Se o frame passar por uma porta que leva para um outro link do
tipo trunk o frame será encaminhado para a porta de saída do
link trunk.
Após o frame passar e sair do link, fica a cargo do switch remover o
identificador de VLAN (VLAN ID) para que o dispositivo final receba
o frame sem ter que entender a identificação de VLAN. É necessário
remover este TAG, pois a estação final não está preparada para receber
frames acima do tamanho normal do Ethernet; caso a estação receba
este tipo de frame, ela deverá descartá-lo, pois será considerado um
frame gigante. Esse comportamento se resume em dizer que apenas
dispositivos com suporte a VLAN identificam tais frames. Por outro
lado, atualmente existem equipamentos com placas de rede que
suportam VLAN tagging, isto é, que conseguem ler as marcações de
VLAN; isto pode ser aplicado a servidores, melhorando ainda mais a
escalabilidade da rede.
Figura 6.6 – Identificação do Frame entre VLANs.
Vale ressaltar que existem determinados tipos de ataques de rede em
que a estação poderá emular uma porta trunk de switch e receber
informações sobre VLAN; é o chamado “VLAN Hopping Attack”.
Com tais placas que suportam tagging, isso se torna mais evidente e
requer soluções de segurança que contornem isso. Uma boa prática é
aplicar segurança de portas em switch (port-security) onde apenas o
MAC autorizado faz conexão com a rede, evitando o Hopping Atack.
Para maiores informações sobre este ou outros tipos de ataques,
verifique no site: https://www.sans.org/reading-room/
Padrões de Identificação
Existem várias formas de identificar um frame quando ele está
passando por um link do tipo trunk. Vejamos a seguir as mais usadas.
Inter-Switch Link (ISL)
Este método proprietário é usado para trocar informações de VLAN
e só pode ser usado entre dispositivos Cisco (roteadores e switches).
Qualquer link do tipo Fast ou Gigabit Ethernet que esteja configurado
como trunk usa o método ISL. Embora seja um método bastante
eficiente, criado bem antes do padrão IEEE, é possível que algumas
versões do IOS ou switches não tenham essa funcionalidade e, por essa
razão, a Cisco tem oferecido maior suporte ao padrão 802.1q.
Cada frame ISL consiste em um cabeçalho ISL de 26 bytes de
comprimento e 4 bytes de CRC para assegurar a entrega do frame. As
informações de VLAN estão contidas no cabeçalho do frame. Pelo fato
de termos um encapsulamento sobre o frame Ethernet original, o ISL é
considerado um processo externo, ou seja, o frame original mantém-se
intacto. Após o encapsulamento o frame ficará com cerca de 1522
bytes, 4 bytes maior que o frame Ethernet padrão.
802.1q
É o protocolo padrão para interconexão de múltiplos switches e
roteadores, além de definir a topologia de VLANs. O processo básico
para interconexão e definição de topologias de VLAN é o mesmo.
Envolve os passos de habilitar o protocolo na interface, definir o
formato de encapsulamento IEEE 802.1q e personalizar o protocolo de
acordo com os requisitos do ambiente.
O fator motivacional para criação e homologação do 802.1q foi
devido ao crescimento das redes e da necessidade de criar em um só
switch métodos que permitissem quebrá-lo em diversos domínios de
broadcast, permitindo que em uma porta fosse possível “carregar”
informações sobre múltiplas VLANs. A porta do switch que precisar
ser configurada para o padrão 802.1q será considerada porta do tipo
Trunk, como vimos anteriormente. É o método mais recomendado para
redes de computadores heterogêneas, sobretudo pelo motivo de
expansão, que pode fazer com que a rede passe a ter switches de
diversos fabricantes.
O padrão 802.1q modifica o frame Ethernet padrão acrescentando
alguns campos conforme mostra a Figura 6.7:
Configuração de VLANs
Durante a criação de VLANs é importante lembrar que o intervalo
normalmente permitido para esta criação é entre 1 e 1005. Neste
intervalo já existem criadas as VLANs 1 e a faixa 1002-1005.
Podemos ir até 4094 com as VLANs estendidas (extended VLAN). As
configurações destas VLANs criadas automaticamente podem ser
vistas através do comando show vlan executado no modo privilegiado.
Se você não estiver familiarizado com sintaxe de comandos e demais
termos da interface, não se preocupe, mais adiante abordaremos em
detalhes e você poderá voltar a este capítulo para reforço.
As VLANs de 1002 a 1005 são reservadas para redes Token Ring e
FDDI e não podem ser apagadas, bem como a VLAN 1, nativa,
atribuída a todas as portas inicialmente. Vejamos abaixo o exemplo da
criação de VLANs:
Switch# configure terminal
Switch(config)# vlan 30
Switch(config-vlan)# name ADM30
Switch(config-vlan)# end
Switch(config-if)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
dot1q-tunnel Set trunking mode to TUNNEL unconditionally
dynamic Set trunking mode to dynamically negotiate access or
trunk mode
private-vlan Set private-vlan mode
trunk Set trunking mode to TRUNK unconditionally
Introdução
Um dos tópicos bastante exigidos no exame CCNA é o cálculo de
endereçamento IP, que requer do candidato conhecimento sobre este
protocolo e, também, como dimensionar redes com o uso otimizado de
endereços em redes distribuídas física ou geograficamente.
Um host (seja ele um computador ou um equipamento de rede) é
identificado em uma rede baseada em TCP/IP através do uso do seu
endereço IP (Internet Protocol). Este endereço é um número lógico que
deve ser único e exclusivo no segmento no qual se encontra o host. Ao
passo que temos o endereço de enlace, que é o MAC do host, o endereço IP
é um número lógico de camada 3 (Rede).
Introduzida em 1983, a norma IPv4 implementou um padrão de
numeração composto por 32 bits, divididos em quatro blocos de 8 bits
separados por pontos ou 4 blocos em decimal, possibilitando 232
(4.294.967.296) combinações possíveis de endereços. Esses endereços são
controlados por uma organização central chamada IANA (Internet Assigned
Numbers Authority – www.iana.org) que distribui, para cada região, seus
respectivos blocos. No Brasil, os blocos mais conhecidos são 200/8, 201/8,
189/8, 177/8 e alguns outros (mais adiante, veremos o que significa essa
representação com barras). Existem várias formas de se identificar um host
em uma rede; dependendo do método que esteja em uso, a forma com que
se vai fazer o acesso é diferente. Vejamos as formas utilizadas pelo TCP/IP:
MÉTODO DE EXEMPLO
CAMADA ENDEREÇAMENTO
TCP/IP
Transporte Acesso via número da Porta TCP 23 (Telnet)
Internet Acesso via IP 192.168.1.200
Acesso à Rede Acesso via Endereço MAC 00-E0-18-DC-C0-
C3
Cada endereço IP é composto por duas partes, identificando não somente
o host, mas também a rede lógica na qual o host está. É uma forma de poder
se localizar facilmente um elemento de rede baseado apenas neste número.
Essa estrutura de blocos, rede e host, pode ser ilustrada com o esquema a
seguir, apresentado de maneira simplificada na Figura 7.1:
Conversão Decimal/Binária/Decimal
Existem várias formas de converter de binário para decimal e vice-
versa. Iremos sugerir uma, porém, se você já tiver um método que
esteja mais acostumado a usar, fique à vontade, o importante é buscar
aquele que seja o mais conveniente e mais rápido, para que, no
momento do exame, as questões de endereçamento não lhe tomem
mais do que vinte segundos. Acredite, é possível!
Números binários são formados por zeros e uns (0 e 1) que, juntos,
vão compondo um número diferente a cada combinação. Vejamos,
assim, a conversão de decimal para binário, no caso do número 200.
Figura 7.3 – Conversão de Decimal para Binário.
Como você pode notar, é simples, basta dividir o número por dois,
anotar o resto e depois pegar e agrupá-los de trás pra frente ou de
baixo para cima, como na Figura 7.3. Portanto, a representação binária
do decimal 200 é:
11001000
C 192.168.0.0 - 192.168/1
192.168.255.255 6
O objetivo desses blocos privados é possibilitar a configuração de
redes LAN que não estejam diretamente ligadas à Internet, que é uma
rede pública. Em linhas gerais, todo endereço que esteja nessa faixa
privada NÃO é roteado para a Internet, isto é, um host com esse
endereço deve ser usado em redes internas e para a Internet deveria
utilizar o recurso de tradução (NAT – Network Address Translation),
por exemplo.
Host-X: IP 120.100.0.20
O endereço do Host-X é um endereço classe A, cuja rede é 120.0.0.0
e o host é (120).100.0.20.
Com a divisão em sub-redes (ou também ‘subredes’ descrito ao
longo do livro), podemos fazer uso de um recurso para apontar que o
endereço do host seja apenas o “.20”. Para isso, devemos utilizar as
Máscaras de sub-rede.
Este elemento é fundamental, pois é através dele que se identifica
que porção é host e que porção é rede.
Cada classe de endereçamento vista anteriormente tem uma máscara
de sub-rede atribuída (implicitamente). Veja na tabela abaixo cada uma
destas máscaras.
Class Máscara Conotação Binária CIDR
e Decimal *
A 255.0.0.0 11111111.00000000.00000000.0000000 /8
0
B 255.255.0.0 11111111.11111111.00000000.00000000 /16
C 255.255.255.0 11111111.11111111.11111111.00000000 /24
*CIDR (Classless Interdomain Routing) é um método de otimização de
endereçamento IP que iremos ver mais na frente neste capítulo.
Se a quantidade de hosts não é tão grande, podemos fazer uso de
uma rede classe A, com a extensão do prefixo para uma máscara maior
ou, em outras palavras, sair de um /8 (que significa os 8 bits na porção
de rede, padrão da classe A) para um /24, exemplo:
120.100.0.20/24
Rede: 120.100.0.0
Host: 20
IP: 172.16.0.123
Másc: 255.255.255.0
Esta representação indica que os três primeiros octetos representam a
rede, onde o host 123 está inserido. Para termos outro na mesma rede,
esses três octetos devem ser iguais, mudando apenas o endereço de
host, para qualquer número entre 1 e 254, exceto o 123, já usado pelo
host acima.
Mais um exemplo. Tomemos o endereço IP e sua máscara:
IP: 10.200.30.60
Másc: 255.255.255.192
Como saber efetivamente o que teremos como rede e host? Voltemos
à aritmética binária, que de fato está por trás de toda essa lógica
apresentada. Primeiro, devemos converter o IP e a máscara para
número binário. A máscara possui uma sequência de 1 informando que
o respectivo bit na posição deve ser repetido. Essa indicação
representará a rede, até a marcação da linha (ou o último número 1).
00001010.11001000.00011110.0
IP 111100
0
Másc 11111111.11111111.11111111.1
000000
. 1
00001010.11001000.00011110.0 00000
Rede 0 0
Tudo que for 1 na máscara indica que o que tiver no IP é parte de
rede, ou seja, os 26 primeiros bits. Enquanto tivermos 1 na máscara,
significa que sua respectiva posição no IP será mantida, representando
a rede, logo, o restante (0) para hosts.
Convertendo os primeiros 26 bits para decimal, teremos a seguinte
rede:
10.200.30.0
Note que, no quadro acima, a porção de host fica toda em zero, o que
significa a representação “esta rede”.
Outra forma de memorizarmos esse processo de verificação de
máscara, rede e hosts é a aritmética binária com o conceito “AND”
(E). Esse conceito, como já mencionamos, permite que façamos uma
“multiplicação”. Assim, tomamos o valor binário da máscara e
multiplicamos bit a bit com o IP. Onde tivermos 1, em suma, se repete
e os multiplicados por zero resultam em zero.
Mais exemplos:
IP: 120.32.202.200
Másc: 255.255.248.0
IP 01111000.00100000.1100 010.1100100
1 0
Másc 11111111.11111111.1111 000.0000000
. 1 0
Rede 01111000.00100000.1100 000.0000000
1 0
O prefixo da rede resultante, em decimal, é:
120.32.200.0
Nos dois quadros acima, veja a quantidade de bits que temos para
hosts. Tomamos sempre os zeros representados na máscara, logo temos
seis no primeiro exemplo e onze no segundo exemplo. A partir desse
dado, podemos tirar a quantidade de hosts que teremos em nossa rede:
00 000000 0
01 000000 64
10 000000 128
11 000000 192
OBS.: A linha indica onde a máscara separa o que é rede e o que é
host no octeto em questão.
Assim, teremos as seguintes possibilidades de redes, com os IPs
indicados:
Rede 0: 10.200.30.0
Máscara de sub-rede
Endereço de Rede
Endereço de Broadcast
Para a máscara, temos o número de bits 27:
11111111.11111111.11111111.11100000 ou
255.255.255.224
Máscara: 255.255.255.224
Rede: 172.16.8.96
Broadcast: 172.16.8.127
Outro exemplo: 190.30.2.78 /29
Máscara: 255.255.255.248
(11111111.11111111.11111111.11111000)
Broadcast: 190.30.2.79
Mais um: 200.188.9.199 /26
Máscara: 255.255.255.192
(11111111.11111111.11111111.11000000)
Broadcast: 200.188.9.255
Atenção para o seguinte exemplo: 131.200.88.12 /20
Máscara: 255.255.240.0
(11111111.11111111.11110000.00000000)
Broadcast: 131.200.95.255
O que aconteceu neste último? Simples, o octeto significativo ou
curinga é o terceiro. Logo toda análise deve considerá-lo e, também, os
bits de hosts, que neste caso são ao todo 12 (zeros).
O primeiro host está mais à direita, no último octeto e o broadcast
tem toda porção de hosts em 1, sempre considerando os 12 bits.
Em resumo, basta acompanhar o seguinte artifício: uma vez
identificada a máscara e observado qual o decimal que o último bit
dela representa, já saberemos tudo. A rede vem dos múltiplos (o IP
deve estar dentro), a faixa é o que compreende a rede e a próxima rede,
ou seja, o que está dentro. O broadcast é a última combinação dentro
da rede, sendo que a próxima combinação já é a rede seguinte
propriamente dita.
Ainda difícil? Como falamos, vale praticar e praticar, de modo que
isso seja automático e rápido. No exame do CCNA, esses “cálculos”
não devem tomar mais do que vinte segundos, mas só com a prática é
que se atinge essa marca.
Regras Importantes:
REGRA DESCRIÇÃO EXEMPLO
Todos os bits 0 Este endereço é entendido por 0.0.0.0
roteadores
Cisco, servidores e PCs como
sendo rota padrão
Todos os bits 1 Interpreta-se como sendo de 255.255.255.255
endereço de broadcast
Todos os bits 0 no Interpretado como este segmento 131.107.2.0/24
endereço de host de rede 192.161.1.0/24
Todos os bits 1 no Interpretado como broadcast para o 131.107.2.255/24
endereço de host segmento de rede 191.161.1.255/24
Sumarização
Agora que já sabemos como são feitos os cálculos para
endereçamento de rede, fica mais fácil poder fazer otimizações com o
uso de máscara de sub-rede adequada para cada cenário. Observe a
topologia da Figura 7.7.
O roteador “A” precisa chegar nas seis localidades, portanto é
necessário alcançar as redes LAN: 192.168.8.0, 192.168.9.0,
192.168.10.0, 192.168.11.0, 192.168.12.0 e 192.168.13.0. Para isso,
ele teria que criar uma tabela de roteamento semelhante à mostrada a
seguir.
Figura 7.7 – Um cenário de rede LAN/WAN.
REDE MÁSCARA MANDAR
DESTINO PARA
192.168.8.0 255.255.255. 10.1.1.2
0
192.168.9.0 255.255.255. 10.1.1.2
0
192.168.10.0 255.255.255. 10.1.1.2
0
192.168.11.0 255.255.255. 10.1.1.2
0
192.168.12.0 255.255.255. 10.1.1.2
0
192.168.13.0 255.255.255. 10.1.1.2
0
Note que este tipo de implementação é totalmente sem otimização e
poderíamos sumarizar estas rotas em uma só. Para fazer isso, devemos
entender que esta técnica utiliza o CIDR (Classless Interdomain
Routing), que é definido nas RFCs 1518 e 1519, apresentado na seção
anterior.
Então, vejamos como deve ser feita esta sumarização para
transformar estas seis rotas em uma só. Então acompanhe os passos:
Introdução
Vimos no capítulo 7 a estrutura de endereçamento de rede ainda adotada,
o IP versão 4 (IPv4), que consiste em 32 bits divididos em 4 blocos de oito
bits cada, formando octetos. Esse padrão está presente nas redes
domésticas, comerciais e na Internet, mas há algum tempo começou a
conviver com o novo padrão IP versão 6 ou IPv6.
Em meados de 1990 a preocupação com o limite de endereçamento veio à
tona, considerando que o IPv4 possibilita “apenas” 4,29 bilhões de
endereços e que estes endereços não seriam suficientes para acompanhar o
crescimento da Internet. Atualmente a IANA, órgão internacional que
administra os blocos de endereçamento IP, possui pouquíssimos blocos
IPv4 válidos disponíveis para uso. A LACNIC, equivalente latino-
americana da IANA e que controla os blocos IP na região, anunciou em
agosto de 2020 o esgotamento dos endereços IPv4, contando apenas com
blocos recuperados ou devolvidos. Tendo em conta que os avanços
tecnológicos trazem conectividade em rede para dispositivos comuns, como
geladeiras, televisores, etc., ficou mais nítida a possibilidade de
esgotamento dos endereços. Para sanar essa questão, em 1999 iniciou-se a
implementação do protocolo IPv6, tendo a RFC 2460
(http://www.ietf.org/rfc/rfc2460.txt) de 1998 como especificadora.
O IPv6 é um grande avanço para a estrutura de endereçamento, com um
protocolo mais simplificado e que traz as seguintes características, além do
aumento do antigo espaço de 32 bits para 128 bits:
IPv6 completo:
2010:0DBA:0000:0000:ACCE:0000:0000:0C14
Prefixos IPv6
No capítulo 7, quando apresentamos o endereçamento IPv4, víamos
a indicação de máscara para determinar o que era prefixo de rede e o
que era host. Em IPv6 temos um conceito similar que traz a
representação com “/” e um número para indicar quantos bits temos
para o prefixo:
Exemplo 1: 2A10:0DBA:1234:6789:ACCE:4321:1000:0C14
/64
O indicador /64 significa que dos 128 bits que compõem o IPv6, 64
são destinados ao prefixo de rede, ficando o restante em zero,
destinado a hosts. Logo com esse exemplo temos, após abreviado, o
seguinte prefixo:
2A10:0DBA:1234:6789:: /64
Exemplo 2: 3001:EF00:AA00:4311:0000:0223:ABCD:0009
/56
Se fizermos uma divisão simples de 56 por 4, teremos exatamente
14. Logo, tomamos de uma maneira rápida os 14 primeiros caracteres
hexadecimais para representar o prefixo e, novamente, o restante em
zero (hosts):
3001:EF00:AA00:4300:0000:0000:0000:0000/56
******ebook converter
DEMO
Watermarks*******
IPv6 em Roteadores Cisco
Antes de seguir com esse tópico, apresentamos ao leitor duas
recomendações: seguir a leitura até o final deste capítulo, mas depois
retornar a este tópico após a leitura do capítulo 9, ou primeiro ler o
capítulo 9, depois retornar a partir deste ponto. Naquele capítulo
mostramos como configurar equipamentos Cisco, sintaxe de
comandos, conexão via telnet ou console, etc. Assim, os comandos e
exemplos mencionados a seguir poderão ser melhor aproveitados.
Os equipamentos roteadores da Cisco trazem o roteamento de
protocolo IPv4 ativado por padrão, o que não acontece para o IPv6,
que deve ser feito através de configuração exclusiva. Para ativá-lo,
basta entrar com o comando ipv6 unicast-routing no modo de
configuração global do roteador:
Roteador(config)# ipv6 unicast-routing
******ebook converter
DEMO
Watermarks*******
Roteador# ping ipv6 2001::12A
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001::12A, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
0/2/4 ms
******ebook converter
DEMO
Watermarks*******
O endereço completo IPv6 resultante ficará com o prefixo da
rede mais o EUI-64 acima, ainda invertendo o 7º (sétimo) bit
que é “0” para “1” binário que modifica o segundo hexadecimal.
******ebook converter
DEMO
Watermarks*******
O resultado final ficará o EUI-64: 0202:BAFF:FE4C:D68C.
Com um prefixo de rede também com 64 bits, podemos ter um
endereço IPv6 completo assim:
2001:0DB8:0001:0001:0202:BAFF:FE4C:D68C
******ebook converter
DEMO
Watermarks*******
Fazendo uma decomposição de cada etapa para chegar no IPv6 final,
sugerimos a seguinte tabela:
MAC completo CA00.2348.0008
MAC dividido ao meio CA00:23 48:0008
Insere FFFE CA00:23 FF:FE 48:0008
Tome os dois hexa iniciais CA 00:23 FF:FE 48:0008
Converta-os em binário 1100 1010 00:23 FF:FE 48:0008
Inverta o sétimo bit 1100 1000 00:23 FF:FE 48:0008
Volte-os para hexa C8 00:23 FF:FE 48:0008
Remonte o IPv6 (EUI-64) da interface C800:23FF:FE48:0008
Junte com o prefixo de rede para o IPv6 2001:DB8:3C4D:1:C800:23FF:FE48:000
completo 8
Parece complicado, mas não é, e reforçamos: pratique, pratique,
pratique!
******ebook converter
DEMO
Watermarks*******
As configurações mostram a criação do túnel
que funciona no modo ipv6ip, com a interface
IPv4 local como origem (deve estar pré-
configurada) e a remota como destino (ponto a
ponto) e o endereço do túnel em si. Uma vez
estabelecido o túnel, cada roteador encaminha os
pacotes diretamente via “encapsulamento”,
independente dos equipamentos que existam no
meio (nuvem IPv4).
A estrutura de túneis IPv6-IPv4 pode ainda ter
diversas configurações, das quais destacamos:
******ebook converter
DEMO
Watermarks*******
Tunnel Addressing Protocol): também se
refere à configuração automática do túnel,
porém normalmente usada dentro de uma
organização e que não haja o uso do NAT
convencional IPv4.
******ebook converter
DEMO
Watermarks*******
09 - Gerenciamento de
Comandos Usando o IOS Cisco
Introdução
Neste capítulo fazemos uma pequena pausa nos conceitos teóricos e
vamos à prática. Todo o conhecimento visto e os que virão nos capítulos
seguintes requerem o uso de comandos e parâmetros para funcionar. Esta
parte do livro é uma das maiores, pois mostra como podemos preparar o
equipamento para executar as funções necessárias para o funcionamento de
uma rede. Então mãos à obra!
Um roteador ou um switch, antes de ser um dispositivo de rede, deve ser
encarado como um dispositivo que é composto por hardware e software. O
hardware é muito semelhante a um computador, pois tem placa-mãe,
memória, processador, interfaces etc. No caso de software, ele é um pouco
mais limitado, com um sistema operacional mais enxuto, que não permite
instalação de aplicativos, como Windows ou Linux.
De forma simples, roteador é responsável por interligar redes, cujo
endereçamento IP não esteja no mesmo prefixo/máscara. Ou seja, ele
trabalha na camada 3 (Rede) e promove o roteamento entre uma rede A e
uma rede B, onde os hosts não conseguem falar diretamente entre si. Uma
máquina que esteja com IP 10.1.1.25/24 não consegue falar com outra no
10.2.2.7/24. Para que essa “conversa” seja possível, deve haver um
dispositivo que as interligue: o roteador. Essa interligação é através de
conexões físicas e comandos.
Para que o roteador (ou switch) interprete os comandos e realize as
operações básicas e avançadas, tanto de roteamento, quanto de switching, é
necessário que exista um sistema que faça este controle; este sistema é o
Cisco IOS (Internetwork Operating System). O IOS da Cisco – não
confundir com o iOS (com “i” minúsculo), sistema operacional de
dispositivos móveis da Apple, como iPhone ou iPad – é um software que
******ebook converter
DEMO
Watermarks*******
contém instruções a serem interpretadas pelo roteador. O IOS age como um
gerenciador que controla as atividades internas do roteador, mas seu
conteúdo não pode ser modificado pelo cliente que o adquire, como os
sistemas operacionais usuais de computadores. Na realidade, o cliente
apenas passa parâmetros de configuração para personalizá-lo de acordo com
suas necessidades.
Os sistemas operacionais de computadores são formados de diversos
arquivos, como arquivos .SYS, .EXE, .DLL etc. No caso do IOS isso não
acontece, ou seja, ele é um único arquivo. Dependendo da versão, a imagem
de um software IOS pode variar entre 5 MB e 50 MB de tamanho físico, ou
até maior dependendo das características e serviços desejados. Outros
dispositivos de conectividade menos sofisticados da Cisco usam outra
forma de gerenciamento no lugar do IOS; no caso do hub é utilizado um
software embarcado (instalado na fábrica) chamado Firmware.
No aspecto de hardware, o roteador tem quatro tipos principais de
memória. A principal, muito semelhante à usada em um microcomputador,
é a RAM ou DRAM, ou memória de acesso randômico. Esta memória é
bem conhecida dos usuários pelo fato de ser usada para execução de
aplicativos. Todo o seu conteúdo é perdido caso você não salve as
configurações em memória auxiliar. A outra memória é a ROM, memória
somente leitura, que também existe em um PC. Nela há uma “miniversão”
de IOS responsável por fazer a carga inicial do IOS e procurar pela versão
completa do mesmo. Esta memória é fundamental, pois muitos
procedimentos podem ser realizados usando um modo de configuração que
é fornecido pela ROM. Em alguns sistemas, a ROM pode ser chamada de
NVRAM, memória não volátil, mas que permite alteração. Analogamente,
podemos ver a ROM como a BIOS de um computador convencional.
******ebook converter
DEMO
Watermarks*******
Figura 9.1 - Resumo das memórias em equipamentos
roteadores e switches Cisco.
Em um computador temos o disco rígido,
disquete e outros tipos de armazenamento; em um
roteador a memória usada para armazenar o IOS
completo é a Flash, muito semelhante aos chips
de armazenamento de pendrives USB. A memória
Flash está disponível em formatos distintos, sendo
a CompactFlash a mais comum para roteadores da
série 2900, cobrada no exame CCNA. As
configurações do roteador também ficam
armazenadas nesta memória.
Dos tipos de memórias presentes em um
equipamento Cisco, veja um resumo delas na
Figura 9.1.
Para acessar o IOS e iniciar a configuração de
um roteador é necessário usar a porta de console
do equipamento. Para isso, você usará um cabo de
console, geralmente fornecido com o
equipamento, para conectar-se à porta serial do
seu microcomputador. Para fazer isso será
necessário um conector adaptador de console, no
caso de DB-9 para RJ-45, como mostra a Figura
9.2.
******ebook converter
DEMO
Watermarks*******
Figura 9.2 – Cabo e conector necessários para configuração via
porta de console e porta serial do computador.
O cabo, embora parecido com um cabo de rede,
tem a “pinagem” específica para uso em console e
não deve ser conectado à porta de rede Ethernet
do computador, com risco de danificá-la. Caso
seu PC não tenha uma porta serial, o que está em
desuso principalmente em notebooks, há opção de
conexão via USB com cabo Cisco apropriado,
que conecta à porta USB do computador até uma
porta console USB-mini do equipamento e
instalação de driver recomendado pelo fabricante.
Verifique também opções de cabos serial-USB
que permitem essa conversão física para acessar
equipamentos Cisco via USB.
A configuração lógica pode ser feita via Putty
(no Windows), com o kermit no LINUX, ou
programa equivalente em outros sistemas
******ebook converter
DEMO
Watermarks*******
operacionais.
Como dissemos, o hardware Cisco é bastante
simples, sendo formado basicamente por chassi,
portas de expansão, cartões de expansão e
interfaces. A variação ocorre pelo volume de
tráfego suportado, quantidade de interfaces ou
slots de expansão e funcionalidades integradas.
Em relação a esse último item, a Cisco baseou
seus produtos no conceito ISR – Integrated
Services Router ou Roteador de Serviços
Integrados que possibilita a conectividade
LAN/WAN, bem como o suporte a aplicações
específicas, como VPN, VoIP, etc. Na Figura 9.3
apresentamos a vista traseira do roteador 2901:
******ebook converter
DEMO
Watermarks*******
6 – Porta Ethernet 10/100/1000 Mbps (Giga0/0)
7 – Conector fio-terra
8 – Portas USB
9 – Slots para memória CompactFlash
Nessa listagem temos algumas interfaces com a nomenclatura ou
tipo seguida de números. A Cisco, bem como outros fabricantes,
enumera cada slot e suas interfaces, para melhor identificação. A porta
Ethernet do 2901 é uma interface gigabit, suportando as três
velocidades, 10, 100 e 1000Mbps. A primeira porta gigabit do chassi é
a porta 0 (zero) e a segunda, a porta 1. Como o chassi é numerado “slot
0”, as interfaces têm a sequência 0/0 e 0/1, sendo o primeiro o
identificador do slot. A convenção, portanto, fica “tipodainterface
0/slot/porta”.
Em alguns modelos, temos slots que não estão embutidos, isto é, são
slots de expansão que comportam placas e novas portas. Exemplos:
Serial 1/0/0, Serial 1/0/2, GigabitEthernet 2/0/0 etc.
Como veremos adiante, alguns sistemas apresentam as interfaces
com nomes reduzidos e, em alguns momentos, também utilizaremos
esse modo: Se1/0/0, Gi2/0/0, Fa3/0/1 (Fa = FastEthernet).
Para saber mais sobre o hardware Cisco 2900, verifique a URL:
http://www.cisco.com/en/US/docs/routers/access/2900/hardwa
re/installation/guide/Overview.html.
Recomendamos, também, visitar o site Cisco para outros modelos, como os atuais ISRs
da série 4000, frequentemente usados em redes corporativas:
https://www.cisco.com/c/en/us/products/routers/4000-
series-integrated-services-routers-isr/index.html
******ebook converter
DEMO
Watermarks*******
que determinarão as funcionalidades disponíveis e suportadas.
Inicialização
No momento em que o roteador ou switch é ligado pela primeira
vez, ele executa o POST (Power-on Self Test) que vai testar a
integridade dos dispositivos internos do roteador. Se todos estiverem
íntegros, ele vai fazer a carga do IOS através da memória Flash (se os
arquivos estiverem presentes). Neste momento será procurada uma
configuração válida, a qual chamamos de startup-config que, por
padrão, é armazenada na RAM não volátil ou NVRAM.
Observação: caso o arquivo do IOS não esteja na memória, o
roteador busca por um servidor TFTP e, caso não encontre, segue para
o modo ROMMON.
Se neste momento não for detectada uma configuração válida, o
roteador entrará no modo Setup. Este inicia um diálogo interativo
******ebook converter
DEMO
Watermarks*******
chamado System Configuration Dialog que será mostrado na tela do
software que você estiver usando para acessar a console, no caso o
Putty. Este assistente vai fazer perguntas sobre configuração e sugerir
valores, quando cabível. Desta forma, no primeiro boot do roteador
você deverá:
1. Ligar o roteador/switch.
2. Verificar a versão do software instalado e outras opções.
3. Configurar parâmetros globais.
4. Configurar parâmetros de interface.
5. Armazenar as configurações no modo não volátil, ou Flash.
Estando, então, com o Putty devidamente configurado, ligue o
roteador. Logo será iniciado o processo de POST com informações do
hardware e em seguida a carga do IOS e interfaces. O resultado traz
informações relevantes similares à saída do comando show version:
Cisco IOS Software, 2801 Software (C2801-IPBASEK9-M), Version
15.1(3)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Mon 15-Nov-10 22:27 by prod_rel_team
ROM: System Bootstrap, Version 12.3(8r)T9, RELEASE SOFTWARE
(fc1)
Roteador uptime is 54 minutes
System returned to ROM by reload at 14:51:27 UTC Mon Aug 11
2016
System image file is “flash:c2801-ipbasek9-mz.151-3.T.bin”
Last reload type: Normal Reload
!
Cisco 2801 (revision 6.0) with 110592K/20480K bytes of
memory.
Processor board ID FTX1110W1YQ
2 FastEthernet interfaces
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)
License Info:
License UDI:
Device# PID SN
*0 CISCO2801 FTX1110W1YQ
Configuration register is 0x2102
******ebook converter
DEMO
Watermarks*******
Note que a primeira parte da tela mostra informações gerais sobre o
fabricante. Observe que o roteador tem 128 MB de memória RAM ou
DRAM e 64 MB de Flash. Em seguida temos outras informações
gerais, que incluem a versão do software, no caso 15.1(3)T. Depois
temos as interfaces, neste caso, duas FastEthernet.
Ao iniciarmos o equipamento, pode-se efetuar a configuração
manual ou através do System Configuration Dialog:
— System Configuration Dialog —-
Would you like to enter the initial configuration dialog?
[yes/no]: y
At any point you may enter a question mark ‘?’ for help.
Use ctrl-c to abort configuration dialog at any prompt.
******ebook converter
DEMO
Watermarks*******
a sequência de boot.
Para alterar este registro de configuração seria necessário utilizar o
comando config-register. Vejamos como seria a sequência de
comandos:
Roteador#
Roteador#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Roteador(config)#
Roteador(config)#config-register ?
<0x0-0xFFFFFFFF> Config register number
Roteador(config)#config-register 0x2102
Roteador(config)#
******ebook converter
DEMO
Watermarks*******
5, 0x0800-0x1000 Velocidade de linha de console
11-
12
13 0x2000 Boot padrão para software de ROM se o boot de rede falhar
14 0x4000 Broadcast IP para números de rede
15 0x8000 Habilita mensagens de diagnóstico e ignora conteúdo NVM
Conhecendo os Comandos
A configuração de um roteador ou switch é organizada em Modos
que definem como e onde ela será feita. Vejamos os modos existentes:
******ebook converter
DEMO
Watermarks*******
em um sistema operacional, como Windows ou Linux: há usuários que
são administradores ou superuser, usuários avançados e usuários
comuns, cujas diferenças estão no alcance dos comandos ou
capacidade de alterar o sistema, instalando aplicativo ou alterando
permissões de pastas. Dependendo do modo (ou no caso do sistema
operacional, tipo de usuário), você terá uma série de comandos e
funcionalidades disponíveis ou não. O conceito de modo no Cisco é
semelhante a este. Embora a Figura 9.5 ilustre alguns, não está
limitado a apenas esses, havendo outros mais que são sub-modos ou
modos de configuração específicos, de protocolos ou parâmetros que
demandem uma organização do conjunto de comandos.
Como mencionado anteriormente, outro jeito de iniciar a
configuração do zero é efetuar um boot no roteador e, quando o Setup
for acionado, responder “No” (Não) à pergunta que será feita logo no
início. Quando isto acontece, você entra no modo de usuário (User
EXEC Mode) e seu prompt ficará como mostra a seguir:
Roteador>
Este modo não permite fazer muita coisa: na realidade ele é usado
basicamente para fazer alguns testes e listar informações sobre o
roteador. Atenção, em alguns roteadores quando novos e retirados da
caixa, ao entrar no modo User, o prompt pode estar como Router>, que
na verdade é a palavra roteador em inglês. Para saber quais comandos
são suportados neste e em qualquer outro nível, você poderá pressionar
a tecla “?”, como mostra o exemplo abaixo:
Roteador> ?
Exec commands:
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
call Voice call
clear Reset functions
connect Open a terminal connection
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
exit Exit from the EXEC
help Description of the interactive help system
lat Open a lat connection
lock Lock the terminal
******ebook converter
DEMO
Watermarks*******
login Log in as a particular user
logout Exit from the EXEC
modemui Start a modem-like user interface
mrinfo Request neighbor and version information from a
multicast router
mstat Show statistics after multiple multicast traceroutes
mtrace Trace reverse multicast path from destination to
source
name-connection Name an existing network connection
pad Open a X.29 PAD connection
ping Send echo messages
ppp Start IETF Point-to-Point Protocol (PPP)
release Release a resource
renew Renew a resource
resume Resume an active network connection
rlogin Open an rlogin connection
set Set system parameter (not config)
show Show running system information
slip Start Serial-line IP (SLIP)
systat Display information about terminal lines
tclquit Quit Tool Command Language shell
telnet Open a telnet connection
terminal Set terminal line parameters
traceroute Trace route to destination
tunnel Open a tunnel connection
udptn Open an udptn connection
where List active connections
x28 Become an X.28 PAD
x3 Set X.3 parameters on PAD
******ebook converter
DEMO
Watermarks*******
Roteador#?
Exec commands:
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
access-template Create a temporary Access-List entry
archive manage archive files
cd Change current directory
clear Reset functions
clock Manage the system clock
configure Enter configuration mode
connect Open a terminal connection
copy Copy from one file to another
debug Debugging functions (see also ‘undebug’)
delete Delete a file
dir List files on a filesystem
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
erase Erase a filesystem
exit Exit from the EXEC
help Description of the interactive help system
isdn Make/disconnect an isdn data call on a BRI interface
lock Lock the terminal
login Log in as a particular user
logout Exit from the EXEC
more Display the contents of a file
name-connection Name an existing network connection
no Disable debugging functions
ping Send echo messages
ppp Start IETF Point-to-Point Protocol (PPP)
pwd Display current working directory
reload Halt and perform a cold restart
resume Resume an active network connection
rlogin Open an rlogin connection
rsh Execute a remote command
send Send a message to other tty lines
set Set system parameter (not config)
setup Run the SETUP command facility
show Show running system information
slip Start Serial-line IP (SLIP)
squeeze Squeeze a filesystem
start-chat Start a chat-script on a line
systat Display information about terminal lines
telnet Open a telnet connection
terminal Set terminal line parameters
test Test subsystems, memory, and interfaces
traceroute Trace route to destination
tunnel Open a tunnel connection
******ebook converter
DEMO
Watermarks*******
undebug Disable debugging functions (see also ‘debug’)
undelete Undelete a file
verify Verify a file
where List active connections
write Write running configuration to memory, network, or
terminal
Roteador#
******ebook converter
DEMO
Watermarks*******
mente para a prova.
Toda configuração aplicada na CLI pode ser desfeita através do
mesmo comando precedido por “no” (do inglês: não) que faz a
negação do comando aplicado. Os comandos que forem negados com a
palavra “no” são retirados e a configuração é desfeita, exemplo:
PE3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
PE3(config)#interface ethernet 3/3
PE3(config-if)# ip address 192.168.0.1 255.255.0.0
PE3(config-if)# no ip address 192.168.0.1 255.255.0.0
PE3(config-if)# ip address 192.168.0.1 255.255.255.0
******ebook converter
DEMO
Watermarks*******
sobrescrevê-lo com o parâmetro correto, estaremos, na verdade,
criando mais uma linha deixando dois parâmetros ao invés de um.
Sobre nosso exemplo anterior, consideremos que erramos o IP
172.16.2.1, o qual deveria ser 172.16.1.1. Ao entrar com o comando
igual, sem apagar o anterior, com a intenção de sobrescrevê-lo, veja o
que acontece:
CE-3(config-if)#ip address 172.16.1.1 255.255.255.128
secondary
CE-3(config-if)#do sh run int e0/3
!
interface Ethernet0/3
ip address 10.0.0.1 255.255.255.252 secondary
ip address 172.16.2.1 255.255.255.128 secondary
ip address 172.16.1.1 255.255.255.128 secondary
ip address 192.168.0.1 255.255.255.0
end
Inserimos uma quarta linha com o novo IP, sem apagar o anterior.
Essa é uma situação que sobrescrever não funciona. Deste modo,
devemos apagar o anterior e depois aplicar a correção. Portanto, na
dúvida, faça sempre a desconfiguração com o “no” para entrar com o
comando correto, em caso de erro.
Comandos e Ajustes do Boot do Sistema
Como falamos, o IOS é o sistema operacional que gerencia o
hardware Cisco. Dentro de um mesmo equipamento podemos ter
vários arquivos IOS guardados, porém apenas um será carregado, já
que não há como rodar dois sistemas operacionais em um mesmo
roteador simultaneamente, diferentemente do que ocorre com alguns
sistemas operacionais em modo virtualizado.
Para sabermos quais arquivos estão guardados na memória Flash,
basta dar o comando show flash: ou apenas dir, como no Windows.
Veja como fica o resultado:
Roteador#dir
Directory of flash:/
1 -rw- 33863788 Aug 11 2014 14:30:02 +00:00 c2801-ipbasek9-
mz. 151-3.T.bin
2 -rw- 1821 Mar 9 2007 04:50:24 +00:00 sdmconfig-2801.cfg
3 -rw- 4734464 Mar 9 2007 04:51:02 +00:00 sdm.tar
******ebook converter
DEMO
Watermarks*******
4 -rw- 833024 Mar 9 2007 04:51:26 +00:00 es.tar
5 -rw- 1052160 Mar 9 2007 04:51:50 +00:00 common.tar
6 -rw- 1038 Mar 9 2007 04:52:12 +00:00 home.shtml
7 -rw- 102400 Mar 9 2007 04:52:36 +00:00 home.tar
8 -rw- 491213 Mar 9 2007 04:52:58 +00:00 128MB.sdf
9 -rw- 1684577 Mar 9 2007 04:53:34 +00:00 securedesktop-ios-
3.1.1.27-k9.pkg
10 -rw- 398305 Mar 9 2007 04:54:02 +00:00 sslclient-win-1.1.
0.154.pkg
64012288 bytes total (20832256 bytes free)
******ebook converter
DEMO
Watermarks*******
À medida em que você coloca uma ou mais linhas indicando um
arquivo diferente na flash, o roteador entenderá a ordem que deve
carregá-los. Ao constatar que o primeiro tem algum problema ou está
corrompido, o roteador passará para o segundo da lista e tentará
carregá-lo e, se outra vez esse estiver com problemas, passará ao
próximo e assim por diante.
Se carregar o primeiro da lista corretamente, nada acontecerá em
relação aos demais, isto é, não serão carregados. A tomada de decisão
de ir ao próximo só ocorre em caso de falha do primeiro da lista e
assim sucessivamente.
Usando o comando show running-config, logo no início das
configurações aparece a sequência de boot. A seguir uma sequência
hipotética para três arquivos de IOS:
!
boot-start-marker
boot system flash c2801-ipbasek9-mz.151-3.T.bin
boot system flash c2801-ipbasek9-mz.150-0.bin
boot system flash c2801-ipbasek9-mz.151-1.bin
boot-end-marker
!
Licenciamento
As versões mais recentes do sistema IOS da Cisco está na versão
15.x. A anterior era da série 12.4 e saltou para a versão nova, que traz
um conceito ligeiramente diferente das suas predecessoras.
Na 12.4, os pacotes de software eram compilados para aplicações
específicas, partindo das mais básicas até as mais avançadas. Quando
se desejava ter novas funcionalidades, como BGP, MPLS, segurança,
VoIP, o administrador da rede deveria obter o pacote específico que
suportasse essas funções, tendo que instalar o novo sistema e, caso
necessário, alterar a ordem de inicialização para o pacote desejado
conforme descrevemos no tópico anterior.
Já na versão 15, o administrador instala apenas um arquivo e este
contempla todas as funcionalidades desejadas sem a necessidade de
instalação de novos arquivos. Mas como é isso? Simples assim e de
graça? Não é bem assim. A Cisco coloca o pacote de características
******ebook converter
DEMO
Watermarks*******
possíveis em um único arquivo IOS, porém requer um licenciamento
para cada funcionalidade que se deseje ativar, isto é, deve-se adquirir
uma licença para habilitar a de segurança, de VoIP, de roteamento
avançado, MPLS etc.
Tendo o arquivo, você até consegue testar algumas das
funcionalidades em um período de 60 dias. Essa utilização temporária
se denomina Right-to-Use (direito de uso), que permite validar o IOS
com as funções avançadas antes de adquirir uma licença definitiva.
Todavia, após o período de avaliação, as funcionalidades permanecem
ativas. Sim, a Cisco atualmente está confiando nos administradores de
rede para que possam honrar o licenciamento e espera que as licenças
sejam adquiridas para uso efetivo e legal das características avançadas
desejadas. Vale lembrar que a Cisco pode alterar as formas de
licenciamento no futuro, evitando práticas ilegais de uso do IOS.
Além de simplificar a administração, a Cisco, por sua vez, controla
melhor os softwares que são instalados nos roteadores e ainda ganha
com o licenciamento, embora, na opção antiga, também ganhava
quando se adquiria um pacote mais avançado.
A administração simplificada se dava pelo fato de que, na versão
antiga, cada hardware (série 2800, 1800, 1700, etc.) tinha várias
versões de IOS para cada aplicação. Com a versão 15, você só verifica
qual o hadware e toma apenas um arquivo, abrindo as funcionalidades
através de licenciamento.
Todo roteador vem com as funcionalidades IP Base ativadas, que
provê o básico para comunicação em rede. Além desse grupo padrão,
existem mais três pacotes avançados que podem ser ativados com o
licenciamento:
******ebook converter
DEMO
Watermarks*******
Para ativar essas funcionalidades, o licenciamento pede alguns dados
do roteador, como o UDI (unique device identifier – identificador
único do dispositivo) que é composto pelo ID do produto (modelo) e
seu número de série (serial number). Podemos obter essa informação
com o comando show license udi:
Roteador# show license udi
Device# PID SN UDI
******ebook converter
DEMO
Watermarks*******
LICENSE_LEVEL: Module name =
c2900 Next reboot level = datak9 and License = datak9
******ebook converter
DEMO
Watermarks*******
Roteador# conf t
******ebook converter
DEMO
Watermarks*******
a sintaxe do tipo: “<comando> ?”. Ao fazer isso, você solicita ajuda
sobre os parâmetros do comando. Veja o comando interface:
Roteador(config)# interface ?
Async Async interface
BRI ISDN Basic Rate Interface
BVI Bridge-Group Virtual Interface
Dialer Dialer interface
Ethernet IEEE 802.3
Group-Async Async Group interface
Lex Lex interface
Loopback Loopback interface
Multilink Multilink-group interface
Null Null interface
Port-channel Ethernet Channel of interfaces
Tunnel Tunnel interface
Virtual-Template Virtual Template interface
Virtual-TokenRing Virtual TokenRing
Vlan Catalyst Vlans
******ebook converter
DEMO
Watermarks*******
Roteador# de?
debug delete
ATM
******ebook converter
DEMO
Watermarks*******
Roteador-R1(config-if)# interface serial 0.1
Roteador-R1(config-subif)#
******ebook converter
DEMO
Watermarks*******
console Primary terminal line
vty Virtual terminal
******ebook converter
DEMO
Watermarks*******
console estiver ativa, qualquer pessoa poderá ver as configurações do
roteador e até fazer alterações. Se você estabelecer um tempo máximo
(timeout) para a sessão, a conexão via Putty será cortada. Veja como
fazer isso:
Roteador(config-line)#exec-timeout 0 60
Continuando os passos temos:
******ebook converter
DEMO
Watermarks*******
shutdown
!
!
interface Serial1/0
no ip address
shutdown
!
line con 0
password cisco123
login
line aux 0
password cisco
login
line vty 0 4
password ccna125
login
!
end
Note que a única senha que foi criptografada foi a secret, as demais
continuam sendo visíveis. Para corrigir isto basta ativar o serviço de
criptografia que vem desativado como padrão em algumas versões
mais antigas do IOS. Para isso use o comando abaixo:
Roteador(config)# service password-encryption
******ebook converter
DEMO
Watermarks*******
CLI. Veja a tabela abaixo:
COMBINAÇÃO DE FUNÇÃO
TECLAS
CTRL+A Põe o cursor no início da linha
CTRL+E Move o cursor para o final da linha
CTRL+F Move o cursor um caractere à frente
CTRL+D Deleta o caractere no ponto em que está o
cursor
CTRL+U Apaga a linha inteira
CTRL+W Apaga uma palavra
CTRL+P Mostra os últimos comandos usados
CTRL+N Mostra os comandos anteriores
ESC+F Move o cursor uma palavra à frente
TAB Completa um comando
Quando se trata de comandos para mostrar aqueles já executados,
você também poderá utilizar o comando show history. Este comando
tem como finalidade mostrar os últimos 10 comandos executados. Veja
o exemplo:
Roteador#show history
service password-encryption
interface serial 1
exit
interface serial 1
interface
interface serial 1
cong t
conf t
show history
Roteador#
******ebook converter
DEMO
Watermarks*******
Configurando o Relógio
Para acertar o relógio interno do roteador você deverá utilizar o
comando “clock set”. Através dele, será possível acertar data e hora.
Veja a sequência de comandos abaixo e note que os parâmetros são
extensos e o esquecimento de algum pode levar à não aplicação deles.
É importante frisar a importância dessa configuração, que possibilitará
o melhor diagnóstico em caso de problemas, por conta de termos
eventos registrados com a data e hora corretas.
Roteador#clock set ?
hh:mm:ss Current time
Roteador#clock set 15:10 ?
<1-31> Day of the month
MONTH Month of the year
Roteador#clock set 15:10 25 Jul 2021
******ebook converter
DEMO
Watermarks*******
MOTD Banner: Este banner é conhecido como “Mensagem do
Dia” (Message of the Day). Na realidade sua função é mostrar
uma mensagem mais extensa e aparecerá sempre que alguém
tentar se conectar via porta de console, porta auxiliar ou Telnet.
******ebook converter
DEMO
Watermarks*******
RT_CE(config)#banner exec
Enter TEXT message. End with the character ‘#’.
Voce esta prestes a entrar no modo privilegiado do roteador
Matriz – CE
#
RT_CE(config)#no banner exec
******ebook converter
DEMO
Watermarks*******
personalizadas. Muito cuidado com esse comando, pois se você não
tiver um backup das configurações, não há como restaurar o que foi
apagado!
Roteador# erase startup-config
Erasing the nvram filesystem will remove all configuration
files!
Continue? [confirm][enter]
[OK]
Erase of nvram: complete
Roteador#
*Jul 25 13:11:22.172: %SYS-7-NV_BLOCK_INIT: Initialized the
geometry of nvram
Roteador# sh startup-config
startup-config is not present
Roteador# reload
Proceed with reload? [confirm]System configuration has been
modified.
Save? [yes/no]: n
******ebook converter
DEMO
Watermarks*******
O acesso físico para configuração de um switch é também igual ao
do roteador. Precisamos de um cabo para ligar a porta de console na
entrada serial do computador para iniciar a configuração. Para o
acesso, é necessário configurar os mesmos parâmetros anteriormente
vistos para acessar o roteador.
Você poderá obter a documentação de siwtches no site da Cisco, no
endereço:
https://www.cisco.com/c/en/us/products/switches/campus-lan-
switches-access/index.html
******ebook converter
DEMO
Watermarks*******
elas são essenciais para a visualização e interpretação correta da porta
do switch.
No exemplo, temos a porta em down, com status mais adiante
indicando not-connected. A porta aparece como não-conectada por
problema de cabo ou se o equipamento conectado estiver desligado
(um switch ou computador que desative a porta de rede ao desligar).
Nas linhas seguintes temos o endereço físico da porta do switch e
mais abaixo a indicação do MTU, tamanho de quadro permitido.
Os switches, como mencionado, seguem a mesma estrutura de
comandos do roteador. Assim, com a mesma sintaxe já estudada neste
capítulo, podemos realizar as funções de:
Configurar o hostname.
******ebook converter
DEMO
Watermarks*******
1 0026.51de.4567 DYNAMIC Fa0/1
1 0064.40ab.1234 DYNAMIC Fa0/2
1 0019.07cb.8890 DYNAMIC Fa0/3
1 0026.51ae.1289 DYNAMIC Fa0/4
Configurando Interfaces
Os switches vêm prontos para uso e não requerem nenhum ajuste,
caso você deseje simplesmente conectar computadores e outros
dispositivos. Obviamente, é válido ajustar algumas preferências e
customizações que podem poupar trabalho e diminuir dores de cabeça
ao realizar diagnóstico de problemas que surjam.
As interfaces podem ter descrições que facilitam a identificação e
documentação da rede, ajuste de velocidade de porta
(10/100/1000Mbps), modo half ou full-duplex, modo de operação
acesso ou trunk, entre outros.
Vejamos a seguir algumas dessas configurações:
A interface FastEthernet0/1 de um switch Cisco 3560 está com a
configuração padrão. Na sequência, observe como a negociação, MTU
e duplex estão:
Switch# show run int fa0/1
!
interface FastEthernet0/1
end
Switch# show int fa0/1
******ebook converter
DEMO
Watermarks*******
FastEthernet0/1 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0018.7330.7e03 (bia
0018.7330.7e03)
MTU 1504 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:01, output 00:00:06, output hang never
Last clearing of “show interface” counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output
drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
7654 packets input, 604789 bytes, 0 no buffer
Received 6944 broadcasts (4103 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 4103 multicast, 0 pause input
0 input packets with dribble condition detected
1469 packets output, 155345 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
Cenário
Você foi contratado para prestar serviços de implantação de uma
rede em três localidades que necessitam se comunicar. Todos os
roteadores são novos, ainda esperando por uma configuração.
A empresa à qual você vai “prestar consultoria” é uma fornecedora
de castanha-de-caju, a “Castanhas Maravilha 125”, com matriz
localizada em Fortaleza-CE e filiais em São Paulo-SP e Rio de
Janeiro-RJ. O projeto inicial ficou com uma estrutura semelhante à da
Figura 9.7:
******ebook converter
DEMO
Watermarks*******
Configurando Interfaces
A configuração das interfaces, que na maioria das vezes são Ethernet
(Gigabit ou Fast) e Serial, é um passo importante, tanto para o exame,
quanto para a prática do dia a dia. Configurar as interfaces não é
apenas atribuir um endereço a ela; além disso, existem outros
parâmetros para um funcionamento adequado. Entre estas
configurações podemos ressaltar os seguintes parâmetros:
******ebook converter
DEMO
Watermarks*******
encontrarmos o último endereço aplicado a esse equipamento, a
depender da estratégia ou preferência do Analista de Redes. No caso,
faremos uso do primeiro:
RT_CE(config)#interface gigabitethernet 0/0
RT_CE(config-if)#ip address 192.168.20.1 255.255.255.0
RT_CE(config-if)#
******ebook converter
DEMO
Watermarks*******
mudança:
RT_CE(config-if)#no shutdown
RT_CE(config-if)#
*Mar 1 00:44:49.823: %LINK-3-UPDOWN: Interface
GigabitEthernet0/0, changed state to up
*Mar 1 00:44:50.823: %LINEPROTO-5-UPDOWN: Line protocol on
Interface GigabitEthernet0/0, changed state to up
******ebook converter
DEMO
Watermarks*******
interface Serial0/0
no ip address
shutdown
<restante omitido>
******ebook converter
DEMO
Watermarks*******
RT_CE(config)#interface serial 0/0
RT_CE(config-if)# clock rate 2000000
RT_CE(config-if)#
Frame Relay
X.25-based encapsulations
Se você observar no desenho do cenário (Figura 9.7) pode-se ter
vários tipos de encapsulamento nas seriais da rede. Na porta do
roteador que sai de Fortaleza e vai para o Rio de Janeiro é usado PPP, e
para São Paulo é usado a rede da provedora, que pode ser PPP nas
interfaces e enlace montado sobre a nuvem MPLS, por exemplo.
Agora, fica faltando apenas a configuração IP da porta. Como
atribuir IP é algo que já foi mencionado no exemplo da LAN, veja
apenas os passos desta atribuição na interface serial.
RT_CE(config)#interface serial 0/0
RT_CE(config-if)#ip address 172.16.0.9 255.255.255.252
RT_CE(config-if)#
******ebook converter
DEMO
Watermarks*******
configuração do roteador. Porém, algumas informações que são de
suma importância para resolução de problemas não estão disponíveis
como resultado deste comando.
Desta forma, para se ter um melhor detalhamento das configurações
específicas de uma interface é necessário utilizar o comando “show
interface”. O exemplo a seguir mostra o resultado em uma interface
serial síncrona.
RT_CE# show interface serial 0/0
Serial0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.9/30
MTU 1500 bytes, BW 2048 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open, loopback not set
Keepalive set (10 sec)
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of “show interface” counters 7w5d
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output
drops: 0
Queueing strategy: weighted fair [suspended, using FIFO]
FIFO output queue 0/40, 52 drops
5 minute input rate 3000 bits/sec, 3 packets/sec
5 minute output rate 2000 bits/sec, 3 packets/sec
10495414 packets input, 1510616085 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
3 input errors, 3 CRC, 1 frame, 1 overrun, 0 ignored, 3 abort
11225830 packets output, 3923534294 bytes, 0 underruns
0 output errors, 0 collisions, 42 interface resets
0 output buffer failures, 0 output buffers swapped out
940 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
******ebook converter
DEMO
Watermarks*******
CAMPO DESCRIÇÃO
Hardware is... Especifica o tipo de hardware usado na interface.
Internet address Mostra o endereço IP e a máscara de sub-rede utilizados na
is interface.
MTU Unidade máxima de transmissão na interface.
BW 2048 Kbit Indica o valor da largura de banda especificada por você através
do comando bandwidth.
DLY Atraso (Delay) da interface em microssegundos.
Rely Confiabilidade da interface, onde 255/255 corresponde a 100%.
Calculado através da média exponencial sobre 5 minutos.
Load Carga da interface, onde 255/255 é que está completamente
saturado. Calculado através da média exponencial sobre 5
minutos.
Encapsulation Método de encapsulamento atribuído à interface; neste caso foi
usado o padrão HDLC.
Loopback Indica se o loopback está configurado ou não.
Keepalive Indica se o keepalive está configurado ou não.
Last input Número de horas, minutos e segundos desde que o último
pacote foi recebido com sucesso pela interface.
Last output Número de horas, minutos e segundos desde que o último
pacote foi transmitido com sucesso pela interface.
Output hang Número de horas, minutos e segundos (pode aparecer como
“never”) desde que a interface foi reiniciada devido a uma
transmissão muito longa.
Five minute Média do número de bits e pacotes transmitidos / recebidos por
input rate segundo nos últimos 5 minutos (configurável até 30 segundos).
Five minute
output rate
Packets input Número total de pacotes livres de erros recebidos pelo sistema.
No buffers Número de pacotes recebidos e descartados devido à falta de
espaço disponível no buffer.
Received ... Número total de pacotes do tipo broadcast ou multicast recebidos
broadcasts pela interface.
Runts Número de pacotes recebidos e descartados devido a serem
menor que o tamanho mínimo de pacote.
Giants Número de pacotes recebidos e descartados devido a serem
maiores que o tamanho máximo de pacote aceito.
******ebook converter
DEMO
Watermarks*******
CAMPO DESCRIÇÃO
CRC Checagem de redundância cíclica, gerado pela estação de
origem ou por um outro dispositivo com intuito de assegurar que
o pacote não foi adulterado durante a transmissão.
Ignored Número de pacotes recebidos e ignorados pela interface.
Broadcasts e ruídos são agravantes que podem aumentar
consideravelmente este contador.
Abort Sequência ilegal de bits na interface serial. Este contador indica
que há um problema no clock entre a interface serial e o
equipamento de link de dados.
Packets output Número total de mensagens transmitidas pelo sistema.
Output errors Soma de todos os erros que causaram o final da transmissão de
um datagrama saindo da interface.
Collisions Número de mensagens retransmitidas devido a colisões
Ethernet.
Interface resets Número de vezes que a interface foi completamente reiniciada.
Restarts Número de vezes em que a controladora foi reiniciada devido a
erros.
Carrier Número de vezes em que o sinal da portadora foi detectado na
transitions interface serial, alterando assim seu estado.
******ebook converter
DEMO
Watermarks*******
Desde Fortaleza, é possível chegar em 172.16.0.10 que é o IP do
roteador do Rio de Janeiro. Faça o mesmo no sentido inverso.
O comando ping pode ainda ser usado com parâmetros adicionais,
como quantidade de pacotes enviados, tamanho e interface de origem:
RT_CE#ping 172.16.0.10 repeat 50 size 1000
Type escape sequence to abort.
Sending 50, 1000-byte ICMP Echos to 172.16.0.10, timeout is 2
seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (50/50), round-trip min/avg/max =
36/61/112 ms
******ebook converter
DEMO
Watermarks*******
C 172.16.0.9/32 is directly connected, Serial1/0
L 172.16.0.10/32 is directly connected, Serial1/0
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, FastEthernet0/0
L 192.168.0.1/32 is directly connected, FastEthernet0/0
******ebook converter
DEMO
Watermarks*******
2 1821 Jan 7 2008 20:12:12 -03:00 sdmconfig-18xx.cfg
3 861696 Jan 7 2008 20:12:36 -03:00 es.tar
4 1164288 Jan 7 2008 20:13:02 -03:00 common.tar
5 1038 Jan 7 2008 20:13:28 -03:00 home.shtml
6 113152 Jan 7 2008 20:13:50 -03:00 home.tar
13000704 bytes available (18915328 bytes used)
RTESTE# dir
Directory of flash:/
1 -rw- 16757540 Jan 7 2008 19:55:26 -03:00 c1841-ipbasek9-
mz.151-2.T.bin
2 -rw- 1821 Jan 7 2008 20:12:12 -03:00 sdmconfig-18xx.cfg
3 -rw- 861696 Jan 7 2008 20:12:36 -03:00 es.tar
4 -rw- 1164288 Jan 7 2008 20:13:02 -03:00 common.tar
5 -rw- 1038 Jan 7 2008 20:13:28 -03:00 home.shtml
6 -rw- 113152 Jan 7 2008 20:13:50 -03:00 home.tar
31916032 bytes total (13000704 bytes free)
******ebook converter
DEMO
Watermarks*******
flash PARA tftp”. Usando o nosso amigo Help “?”, temos o seguinte:
RTESTE# copy ?
<resultado parcialmente omitido>
flash: Copy from flash: file system
ftp: Copy from ftp: file system
http: Copy from http: file system
nvram: Copy from nvram: file system
running-config Copy from current system configuration
startup-config Copy from startup configuration
tftp: Copy from tftp: file system
Veja que na linha que segue temos a palavra FROM (DE), indicando
a origem. Aplicando o mesmo comando após definir a origem,
veremos TO (PARA):
RTESTE# copy flash: ?
archive: Copy to archive: file system
flash: Copy to flash: file system
tftp: Copy to ftp: file system
<resultado parcialmente omitido>
Restaurando as Configurações
Para restaurar a configuração, é necessário digitar o mesmo
comando, porém colocando o tftp antes, ou seja, indicando-o como
origem. Veja:
RTESTE#copy tftp flash
Backup da Configuração
Você já sabe que as configurações que são feitas no roteador (ou
switch) são consideradas alterações correntes e é necessário salvá-las
usando o comando copy running-config startup-config ou apenas
******ebook converter
DEMO
Watermarks*******
write. Porém, pode ser necessário copiar esta configuração para um
servidor tftp com a finalidade de ter uma cópia atualizada de toda a
configuração do roteador.
Lembrando que, para ver as configurações atuais, você digita o
comando show running-config. Mas quanto espaço será ocupado em
seu servidor TFTP? Bem, para saber disso você deverá utilizar o
comando show startup-config. Antes de iniciar a cópia de backup,
verifique a versão que está atualmente rodando com a versão mostrada
no resultado do comando show startup-config, pois elas devem ser a
mesma. Após conferir esta versão, veja a sequência de comandos:
RTESTE#copy running-config tftp
Address or name of remote host []? 192.168.0.5
Destination filename [running-config]?
!!
492 bytes copied in 1.748 secs (492 bytes/sec)
RTESTE#
******ebook converter
DEMO
Watermarks*******
centralização do serviço, porém é importante que você veja como
construir esta tabela estática, para casos em que sua rede não tenha um.
******ebook converter
DEMO
Watermarks*******
FQDN (Fully Qualified Domain Name) como, por exemplo,
seudominio.com.br.
Vejamos os comandos:
RT_CE(config)#ip domain-lookup
RT_CE(config)#ip name-server 192.168.1.200
RT_CE(config)#ip domain-name dominio.com.br
Emuladores e Simuladores
As certificações Cisco têm afastado alguns estudantes ou candidatos
devido à dificuldade de acesso a equipamentos para práticas de
laboratório. Quando se trabalha em uma empresa que já possui
roteadores ou switches (integradores, provedores ou representantes
Cisco), fica mais fácil montar estruturas para exercitar comandos e
praticar o que é sugerido nos cenários de estudo.
E se você não trabalha com roteadores e está lendo este livro
justamente para entrar nesse mercado promissor? A comunidade de
tecnologia resolveu esse problema criando aplicativos para emulação
de roteadores que possibilitam a prática de maneira real, com todos os
recursos de uma rede verdadeira.
Portanto, incentivamos a continuar com seus estudos, pois, perto ou
longe dos equipamentos físicos, você ainda pode ser um profissional
certificado e com sólidos conhecimentos em redes!
Você já deve ter ouvido falar no Packet Tracer da Cisco, que é um
simulador de rede, contendo equipamentos que possibilitam a prática
com topologias bastante interessantes. Esse aplicativo é uma das
opções para quem não tem contato (ainda) com roteadores reais,
entretanto só está disponível gratuitamente para os estudantes do
programa Networking Academy (ou Net Academy), da Cisco. Embora
seja uma boa opção para aprendizado, o Packet Tracer tem uma série
de limitações, suportando apenas uma parte dos recursos de roteadores
e switches. Se você avançar nos estudos, vai perceber que alguns
protocolos essenciais (usados em redes de provedores) não estão
presentes, entre eles o MPLS e IS-IS.
Outro aplicativo para estudos, esse sim recomendado para quem
******ebook converter
DEMO
Watermarks*******
deseja extrair o máximo de um roteador, é o GNS3/Dynamips
(www.gns3.com). Esse sistema atua como um emulador de roteador,
rodando o próprio IOS que, dependendo da versão, traz absolutamente
todos os recursos de um roteador ou switch. Diferente de um
simulador, que apenas imita o comportamento do roteador, o emulador
realiza tarefas reais e precisas do equipamento, porém em uma
plataforma diferente, como um PC com Windows. A grande vantagem
do GNS3 é que está disponível gratuitamente na Internet, tendo sido
desenvolvido justamente para aqueles que pretendem estudar para
certificações Cisco e suporta diversos outros fabricantes, pois evoluiu
para a virtualização de diversos outros dispositivos de redes, incluindo
firewalls.
Como alternativa ao GNS3, há também o EVE-NG
(https://www.eve-ng.net/) que proporciona a montagem de um
ambiente virtual emulado, que também permite montagem de redes
simples ou complexas de diversos fabricantes e que pode ser
hospedado na nuvem (sistemas Cloud). A diferença é se tratar de um
software um pouco mais complexo que o GNS para a preparação
inicial, mas tudo bem documentado no site do desenvolvedor.
******ebook converter
DEMO
Watermarks*******
propostos, vamos apresentar um pouco mais sobre
o GNS3, por ser o mais amigável para o leitor,
leigo ou não, e gratuito. Ele contém uma interface
gráfica intuitiva com os ícones dos equipamentos
a serem emulados, permitindo você ver a
topologia, as interfaces de conexão e nomes dos
equipamentos.
Para instalação, basta baixar o programa no site
do GNS3 e seguir os passos indicados, isto é, os
conhecidos “next-next” sem mistério. A
documentação do software também é bem
detalhada e pode apoiar no processo, em caso de
dúvidas. Durante a instalação, há opção de
agregar outros componentes de acordo com a
versão disponível, como mostra a Figura 9.11. Em
seguida, aparece um assistente para configurações
básicas do programa, que pode ser deixado para
depois.
Como dissemos, o aplicativo emula os
equipamentos, mas para isso é necessário ter um
arquivo do IOS, por exemplo, que é o sistema
operacional do roteador. O IOS é fornecido com
equipamentos ou sob contrato com a Cisco.
Embora seja um software pago, licenciado,
******ebook converter
DEMO
Watermarks*******
muitos defendem a cópia para fins educacionais,
para uso no GNS3.
Aqui fica a ressalva para que você não infrinja
os direitos de software proprietário, não fazendo o
uso comercial do sistema. Também vale informar
que o GNS3 emulando o IOS não tem o mesmo
poder de processamento que um roteador
efetivamente; logo, um computador com o
aplicativo jamais poderia substituir o
equipamento em uma estrutura de rede, o que
reforça o uso do GNS3 para fins educacionais.
Com o IOS carregado dentro do GNS3, você
poderá montar qualquer topologia e testar todas as
funcionalidades que um roteador oferece,
verificando protocolos de roteamento, testes de
conectividade, tipos de interface etc. Na Figura
9.12 vemos a interface do programa com uma
topologia simples, ligando dois roteadores via
interface Serial e a janela de console do R1.
******ebook converter
DEMO
Watermarks*******
Figura 9.12 – GNS3 com topologia e console de acesso.
Atenção para uma dica! Quando o GNS3 inicia um roteador (basta
você clicar com o botão direito em um deles e escolher a opção
“Start”), você vai perceber que o processamento do seu computador
atinge valores próximos a 100%. Para reduzir o processamento ao
mínimo, com o botão direto no roteador, escolha a opção “Idle PC”.
Assim, quando você clicar OK na opção que aparecer, o
processamento vai a praticamente zero! Reiteramos sempre consultar a
documentação do desenvolvedor desses aplicativos, pois assim você
terá a informação atualizada sobre como utilizá-lo e acompanhará a
evolução das versões.
Laboratório
Apesar de termos ilustrado as alternativas para compor um
laboratório virtual (emulado), nada como optar pelos equipamentos
reais para conhecer o hardware em si. Embora seja a opção mais
indicada, a desvantagem é que você não poderá montar uma topologia
tão grande quanto no GNS3, a não ser que você ou sua empresa tenha
muitos roteadores disponíveis para testes. Por isso fazemos a indicação
de softwares emuladores.
******ebook converter
DEMO
Watermarks*******
Figura 9.13 – Layout do Laboratório.
Sendo assim, apresentaremos uma sessão de
laboratório que você poderá executar tanto com
roteadores reais ou no GNS3/EVE-ng. Como a
finalidade deste laboratório é testar os comandos
utilizados no decorrer do capítulo, é possível
realizar um aprendizado conjunto com até 10
alunos divididos em duplas compartilhando um
roteador, deixando um para o professor que
estiver orientando. Com o GNS3, você atua
sozinho em toda a estrutura, se quiser. A Figura
9.13 apresenta as informações e layout para o
laboratório.
******ebook converter
DEMO
Watermarks*******
No desenho, sugerimos uma configuração de
interface Ethernet (Fast ou Giga, dependendo do
modelo de roteador), as conexões entre os
roteadores, estações e switches e uma divisão por
grupos ou duplas. O professor/instrutor tem um
conjunto dedicado para organizar as atividades.
Lembramos que este cenário pode ser composto
por equipamentos reais, devidamente ajustado
conforme modelos disponíveis, ou com o GNS3,
fazendo ajustes quando necessário. A
representação gráfica é o padrão utilizado por
qualquer software de desenho de rede, incluindo o
próprio GNS3.
Vejamos então as tarefas a serem realizadas em
nosso cenário (ou em outra topologia desejada):
1. Configuração do Hostname
******ebook converter
DEMO
Watermarks*******
Coloque o nome do host como: RT_Ex, no
qual x é o número da sua equipe (ver Figura
9.13).
2. Configuração do Banner
Ative a Porta.
Minimize o Putty.
4. Testes de Configuração
******ebook converter
DEMO
Watermarks*******
Entre no prompt de comando do Windows e
tente efetuar um ping para a Porta LAN do
roteador (use o IP atribuído por você no
exercício 3).
******ebook converter
DEMO
Watermarks*******
Configure a senha do Modo Privilegiado
para ‘privpass’ usando criptografia somente
neste modo.
******ebook converter
DEMO
Watermarks*******
roteador.
******ebook converter
DEMO
Watermarks*******
0
2 10.20.20.1 255.255.255.
0
3 10.20.20.2 255.255.255.
0
4 10.40.40.1 255.255.255.
0
5 10.40.40.2 255.255.255.
0
Ative a Porta.
Somente as equipes 2 e 4:
******ebook converter
DEMO
Watermarks*******
interface LAN do roteador da outra equipe.
O resultado do comando ping foi o esperado?
Por quê?
******ebook converter
DEMO
Watermarks*******
10 - Conceitos e Implementação
de Redes WAN
Introdução
Sempre que nos referimos a WAN (Wide Area Network), estamos falando
das tecnologias e protocolos que trabalham na camada 1 e 2 (Física e
Enlace) do Modelo OSI onde, assim como nas LANs, acontece a definição
da conexão física, transmissão e sinalização. Há algum tempo, a
diferenciação entre LAN e WAN se dava por capacidade de banda e
distância, mas atualmente temos Internet residencial com acesso de
múltiplos 100Mbps, o que era inimaginável anos atrás. Hoje, o consenso de
definição é que as WANs passam, necessariamente, pela infraestrutura de
uma operadora de telecomunicações, ou seja, da qual você não tem
propriedade ou gestão, sendo paga através de contrato de prestação de
serviço. A LAN, por outro lado, é de propriedade da residência ou empresa.
Uma vez adquiridos todos os equipamentos (roteadores, switches,
servidores), eles são da empresa e o administrador de rede os conecta,
configura e administra como preferir.
Em uma rede WAN existem diversos componentes e a forma mais
tradicional de exemplificar uma conexão WAN é através dos componentes
DCE e DTE, como vimos no Capítulo 9. Cada localidade de uma rede tem
um dispositivo DCE que conecta a uma linha, esse dispositivo pode ser um
modem ligado a um outro modem na provedora ou equipamento de
concentração de canais de acesso.
Dentro deste cenário temos, também, o CPE (Customer Premises
Equipment), que se refere ao equipamento que conecta sua rede com a linha
de comunicação. Podemos dizer que este equipamento é alugado pela
prestadora de serviços de telecomunicações que permitirá sua rede entrar
em um link de dados WAN. Um CPE geralmente tem próximo a ele um
Demarc (Demarcation Point), que é um ponto de entrada, geralmente uma
conexão RJ-45, que também fica a cargo do prestador de serviços. Porém
******ebook converter
DEMO
Watermarks*******
no jargão de Telecom, o CPE na grande maioria das vezes é o roteador –
que também atua como DTE – e o modem é o CSU/DSU (Channel Service
Unit/Data Service Unit).
Para fazer a ligação do Demarc com o escritório central entra em cena o
Local Loop. Este Local Loop seria o link entre sua rede e o escritório
central (CO – Central Office) ou ponto de presença (POP – Point of
Presence) da provedora.
******ebook converter
DEMO
Watermarks*******
Antes de entrarmos com mais detalhes nas tecnologias emergentes
do mercado, vejamos uma breve explicação sobre os tipos de
comutação comumente utilizados em redes WAN.
Comutação de Circuitos.
Comutação de Mensagens.
Comutação de Pacotes.
Comutação de Circuitos
Um circuito é um caminho elétrico e um canal é a porção de um
circuito utilizado para transmissão de voz ou sinais de dados. A
comutação de circuito é utilizada para comutação de voz e suporta
serviços de dados, já as redes de comutação de circuitos são
tipicamente proprietárias das operadoras telefônicas e operam de
forma muito semelhante às chamadas telefônicas convencionais. Há
também tecnologias exclusivas para transmissão de dados em que se
usa o conceito de comutação de circuito, como DWDM ou SDH.
A comutação de circuito é uma técnica na qual um circuito dedicado
é alocado para a comunicação entre duas estações, sendo a
comunicação constituída por três fases características:
******ebook converter
DEMO
Watermarks*******
1. Estabelecimento do circuito físico: nesta fase, a rede, mediante o
endereço de destino, une sucessivos circuitos desde o nó de origem
até chegar ao nó de destino.
2. Transferência de dados: depois de estabelecido o circuito físico
através da rede, os dois nós podem se comunicar como se existisse
uma linha dedicada a unir os dois.
3. Terminação do circuito: por ordem de um dos nós, o circuito é
desativado e os recursos alocados na rede são desocupados.
ISDN.
PABX.
Comutação de Mensagens
A técnica de comutação de mensagens foi a antecessora da
comutação de pacotes. Nessa forma de comutação, as mensagens são
enviadas individualmente pela rede de nó em nó. A mensagem é
******ebook converter
DEMO
Watermarks*******
armazenada e transmitida em cada nó (store-and-foward), o que requer
um endereçamento e não necessita de estabelecimento de um caminho
dedicado entre as duas estações.
Após o recebimento da mensagem, é feita uma busca por erros e,
posteriormente, ocorre a retransmissão. Um exemplo de comutação de
mensagens é o funcionamento do telegrama. Como essa forma de
comutação praticamente não existe mais, não nos aprofundaremos
nesse assunto.
Comutação de Pacotes
As redes de comutação de pacotes pegam os dados dos usuários e
quebram em pequenos segmentos chamados pacotes, adicionam as
informações de controle e, por fim, transmitem através da rede. Os
recursos da rede são compartilhados e utilizados por demanda e a
capacidade do meio de transmissão é sempre dinamicamente alocada.
Dessa forma, não é necessário o estabelecimento de um circuito
dedicado entre as duas estações (como ocorre na comutação de
circuitos).
Este tipo de conexão surgiu em meados dos anos 1960 quando o
Departamento de Defesa dos Estados Unidos (DoD) estava
preocupado com a manutenção da comunicação no caso de haver uma
guerra nuclear na época da Guerra Fria, pois eles achavam que os
atuais sistemas de comunicação não iriam sobreviver. A intenção era
fazer uma comunicação através de um meio físico não confiável.
Então, foi concebida uma ideia de se utilizar pacotes digitalizados ao
invés de streams de dados contínuos, com endereçamento desses
pacotes e a possibilidade de os pacotes pertencerem à mesma
conversação, porém tomando caminhos e destinos diferentes. Assim,
as redes de comutação de pacotes permitem compartilhar a largura de
banda com outras empresas. Alguns exemplos de tecnologias que
usam este tipo de conexão:
HDLC.
******ebook converter
DEMO
Watermarks*******
Frame-Relay.
Ethernet.
Protocolos de WAN
O conhecimento sobre os protocolos de WAN é fundamental para
fazer o diagnóstico na rede, além de ser muito exigido na prova do
CCNA. Da lista de protocolos a serem vistos neste capítulo, temos:
HDLC.
PPP.
DSL.
******ebook converter
DEMO
Watermarks*******
Cable.
VPN.
Metro Ethernet.
VSAT.
MPLS.
******ebook converter
DEMO
Watermarks*******
modo de operação em linhas privadas dedicadas.
O HDLC na verdade é um protocolo aberto, o que permite a
personalização de informações por parte do fabricante. Dessa forma, a
Cisco desenvolveu um HDLC próprio que possui um campo a mais no
cabeçalho e utiliza essa versão como padrão para seus equipamentos.
Em uma rede Cisco, se os equipamentos de ambos os lados utilizarem
o Cisco IOS, será usado o HDLC (padrão Cisco). Porém, para se
trabalhar com dispositivos que não utilizam o sistema operacional
Cisco IOS, deve-se utilizar o protocolo PPP.
Na implementação do HDLC, basta entrar com o comando de
encapsulamento (encapsulation) para esse protocolo dentro da
interface serial desejada. Visualizando a interface serial com o show
interfaces, você poderá conferir o protocolo. Ao ver as configurações
da interface com show run int serial0/0 percebe-se que o comando
não está lá com HDLC explicitamente declarado, porque é o protocolo
padrão. A configuração aparece somente quando se configura outro
protocolo.
Roteador(config-if)#encapsulation ?
atm-dxi ATM-DXI encapsulation
bstun Block Serial tunneling (BSTUN)
frame-relay Frame Relay networks
hdlc Serial HDLC synchronous
lapb LAPB (X.25 Level 2)
ppp Point-to-Point protocol
Roteador(config-if)#do show int s0/0
Serial0/0 is up, line protocol is up
Hardware is M4T
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, crc 16, loopback not set
Keepalive set (10 sec)
Restart-Delay is 0 secs
<restante omitido>
R3#sh run int serial0/0
!
interface Serial0/0
no ip address
serial restart-delay 0
end
******ebook converter
DEMO
Watermarks*******
PPP (Protocolo Ponto a Ponto)
O Point-to-Point Protocol (PPP) foi originado através do
encapsulamento IP para transporte sobre um link ponto a ponto. Uma
das características deste protocolo é que ele pode ser usado em meios
físicos síncronos (ISDN) ou assíncronos (antiga Linha discada – Dial-
up). O PPP é um protocolo que está descrito em diversas RFCs.
Vejamos na tabela quais são elas:
RF TÍTULO DO DOCUMENTO
C
154 PPP in HDLC Framing
9
155 The PPP Internetwork Packet Exchange Control Protocol
2 (IPXCP)
133 PPP Authentication Protocols
4
133 The PPP Internet Protocol Control Protocol (IPCP)
2
O Protocolo PPP possui as seguintes características:
Configuração de link.
Detecção de erros.
******ebook converter
DEMO
Watermarks*******
Figura 10.4 – Arquitetura PPP.
******ebook converter
DEMO
Watermarks*******
de controle durante a negociação LCP, então o campo endereço
não precisa ser configurado.
******ebook converter
DEMO
Watermarks*******
LCP (Protocolo de Controle de Link)
O LCP (Link Control Protocol) é responsável pelo controle de fluxo
e pelo controle de conexão, ou seja, é ele quem estabelece, utiliza e
termina a conexão do PPP. O LCP está especificado na RFC 1661.
Através dele, os parâmetros de negociação PPP são dinamicamente
configurados. Entre as opções comuns do LCP temos: PPP MRU,
protocolo de autenticação, compressão do campo de cabeçalho PPP e
Discagem de Retorno. O LCP usa o identificador de protocolo 0xC0-
21.
A fase de teste de qualidade do link é opcional e verifica a qualidade
do meio para saber se é possível levantar os protocolos de rede.
Somente terminada essa fase é que a etapa seguinte poderá se iniciar
para negociação dos protocolos de rede.
******ebook converter
DEMO
Watermarks*******
Figura 10.7 – Seleção de Autenticação.
Existem dois métodos de autenticação que podem ser usados em
links PPP, um é o PAP e o outro é o CHAP. O PAP (Password
Authentication Protocol) é um método simples e menos seguro que o
outro suportado pelo PPP. Nesse método de autenticação existe uma
fase de negociação na qual o roteador remoto tenta se conectar com o
local e, então, o local pede a autenticação de acesso. O IOS da Cisco
confere as credenciais fornecidas (usuário/senha) e envia uma
aceitação ao pedido. A grande desvantagem nesse método é que o
usuário e senha são passados em texto simples, sem nenhum uso de
criptografia. O roteador remoto tem que estar configurado com as
mesmas credenciais (usuário/senha) para poder estabelecer a conexão.
A autenticação CHAP (Challenge Handshake Authentication
Protocol) é mais segura que a PAP, não só pela forma de ela trabalhar,
mas também por enviar verificações periódicas durante a sessão com o
roteador ao qual estabeleceu a conexão, de forma a certificar-se de que
ele continua se comunicando com o mesmo roteador. Para
exemplificar como trabalha o CHAP, vejamos o cenário da Figura
10.8.
Após o estabelecimento da conexão PPP, o roteador da matriz envia
uma mensagem de desafio (Challenge) para o roteador da filial. O
roteador da filial responde com valores variáveis. O roteador da matriz
verifica a resposta comparando com seus valores calculados. Se o
valor coincidir, então o roteador da matriz aceita a autenticação.
******ebook converter
DEMO
Watermarks*******
Figura 10.8 – Autenticação CHAP.
Chamada de Retorno – Callback
A característica de chamada de retorno ou simplesmente call-back,
como é conhecido, tem grande serventia em corporações que precisam
implementar mecanismos que garantam que o cliente não pague pela
ligação. Algumas empresas querem que seus clientes possam fazer
acesso aos recursos de infraestrutura de discagem, porém com
tarifação reversa, a cargo da empresa.
******ebook converter
DEMO
Watermarks*******
Esta característica está descrita na RFC 1570. Para maiores informações acesse em:
https://www.rfc-editor.org/rfc/rfc1570.txt
******ebook converter
DEMO
Watermarks*******
atm-dxi ATM-DXI encapsulation
bstun Block Serial tunneling (BSTUN)
frame-relay Frame Relay networks
hdlc Serial HDLC synchronous
lapb LAPB (X.25 Level 2)
ppp Point-to-Point protocol
Roteador(config)#do sh int se0/0
Serial0/0 is up, line protocol is up
Hardware is M4T
Internet address is 10.0.45.5/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: IPCP, CDPCP, crc 16, loopback not set
Keepalive set (10 sec)
Restart-Delay is 0 secs
Last input 00:00:11, output 00:00:01, output hang never
Last clearing of “show interface” counters 00:05:56
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output
drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 1158 kilobits/sec
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
57 packets input, 2845 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
88 packets output, 2982 bytes, 0 underruns
0 output errors, 0 collisions, 6 interface resets
0 output buffer failures, 0 output buffers swapped out
6 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up
Roteador(config)#do sh run int se0/0
!
interface Serial0/0
ip address 10.0.45.5 255.255.255.0
encapsulation ppp
serial restart-delay 0
end
******ebook converter
DEMO
Watermarks*******
um tem o hostname configurado respectivamente com Roteador e
Roteador-2. É importante configurar o hostname, porque fará parte da
negociação do CHAP para autenticação.
No Roteador-2 configuramos um usuário com a credencial do
primeiro, mas ambos com as mesmas senhas. Vejamos passo a passo:
Roteador-2(config)#username Roteador password 5enh4
******ebook converter
DEMO
Watermarks*******
Roteador-2#
*Sep 1 20:47:18.099: Se1/0 CHAP: O CHALLENGE id 1 len 31 from
“Roteador-2”
*Sep 1 20:47:18.131: Se1/0 CHAP: I CHALLENGE id 72 len 29
from “Roteador”
*Sep 1 20:47:18.131: Se1/0 PPP: Sent CHAP SENDAUTH Request
*Sep 1 20:47:18.143: Se1/0 CHAP: I RESPONSE id 1 len 29 from
“Roteador”
*Sep 1 20:47:18.171: Se1/0 PPP: Received SENDAUTH Response
PASS
*Sep 1 20:47:18.175: Se1/0 CHAP: Using hostname from
configured hostname
*Sep 1 20:47:18.179: Se1/0 CHAP: Using password from AAA
*Sep 1 20:47:18.179: Se1/0 CHAP: O RESPONSE id 72 len 31 from
“Roteador-2”
*Sep 1 20:47:18.187: Se1/0 PPP: Sent CHAP LOGIN Request
*Sep 1 20:47:18.195: Se1/0 PPP: Received LOGIN Response PASS
*Sep 1 20:47:18.227: Se1/0 CHAP: I SUCCESS id 72 len 4
*Sep 1 20:47:18.287: Se1/0 CHAP: O SUCCESS id 1 len 4
Veja agora um ponto curioso do comportamento do PPP, que pode
cair no exame do CCNA. Devido às características do PPP, ele negocia
com o vizinho e coloca o IP do neighbor como IP diretamente
conectado. No exemplo a seguir, alteramos o IP de um dos roteadores
e ainda assim podemos fazer ping com sucesso!
Roteador# sh run int se0/0
!
interface Serial0/0
ip address 10.45.0.5 255.255.255.0
encapsulation ppp
serial restart-delay 0
ppp authentication chap
end
Roteador-2# sh run int se1/0
!
interface Serial1/0
ip address 10.0.45.4 255.255.255.0
encapsulation ppp
serial restart-delay 0
ppp authentication chap
end
******ebook converter
DEMO
Watermarks*******
Mas veja como fica a tabela de roteamento no primeiro roteador:
Roteador#sh ip route
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.0.45.4/32 is directly connected, Serial0/0
C 10.45.0.0/24 is directly connected, Serial0/0
Roteador#ping 10.0.45.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.45.4, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
44/50/56 ms
******ebook converter
DEMO
Watermarks*******
*Mar 1 23:42:44.164: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Serial1/2, changed state to up
******ebook converter
DEMO
Watermarks*******
A configuração no roteador cliente fica:
interface Dialer10
mtu 1492
ip address negotiated
encapsulation ppp
dialer pool 1
ppp chap hostname ISP
ppp chap password 0 CCN4
interface FastEthernet0/1
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
******ebook converter
DEMO
Watermarks*******
Mesmo que inicialmente você configure apenas uma serial como
parte do grupo Multilink, a interface lógica vai funcionar. Isso
significa que é possível ter uma MLPPP com 2Mbps apenas, mas já
deixando o ambiente preparado para expandir à medida em que se
insiram novas seriais, bastando apenas associá-las ao grupo existente.
Ao finalizar a configuração das interfaces nos roteadores, observa-se
que as seriais ficam UP, mas sem IP e a Multilink UP com o IP
atrelado:
R2(config-if)# do sh ip int br
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.0.0.2 YES NVRAM up up
Serial2/0 unassigned YES NVRAM up up
Serial2/1 unassigned YES NVRAM up up
Multilink10 172.16.10.2 YES manual up up
Tecnologia xDSL
A tecnologia que se popularizou no mercado de acesso à Internet,
por parte de usuários domésticos, pequenas e médias empresas, é
oriunda das velhas estruturas de telefonia pública ou POTS (Plain Old
Telephone Service) e foi justamente isso que tornou esta tecnologia
acessível e amplamente usada, pois de curto prazo era possível
fornecer serviço de banda larga a Internet utilizando a infraestrutura
que as operadoras de Telefonia já possuíam.
Mas antes de falarmos sobre xDSL, devemos entender como
funciona o básico de um sistema de telefonia fixa. Quando você faz
uma chamada, é feito um envio de sinal através do cabo de cobre que
sai da residência, passa pelos postes e vai até a central da operadora
para encaminhamento ao destinatário. Este sinal leva a sua voz no seu
telefone de origem para o telefone de destino. Quando este ambiente
foi construído, não havia tanta tecnologia disponível; além disso, a
tecnologia da época era proporcionalmente mais cara que a de hoje.
Havia diversos problemas na infraestrutura que fizeram com que o
atual modelo implementado na época ficasse restrito a limitações de
frequência, o que tornou a infraestrutura ótima apenas para
transmissão de voz. Porém, foi verificado que este espectro de
frequência não utilizado pela infraestrutura POTS estava lá disponível
******ebook converter
DEMO
Watermarks*******
e faltava apenas uma tecnologia que tirasse proveito desta
característica para transmitir dados com uma maior velocidade.
O alcance geográfico e a distância das centrais que suportam
serviços DSL são elementos fundamentais para o ótimo funcionamento
da tecnologia, isso devido às limitações existentes nela própria, e
inclusive um limite de distância para fornecimento do serviço entre a
central e o ponto de entrada, que seria de 5460 metros.
O modelo de infraestrutura POTS existente torna os padrões de
velocidade do DSL variantes de acordo com a direção e, dessa forma,
temos como velocidade máxima de downstream (provedor para
cliente) no valor de 8 Mbps e a velocidade upstream (cliente para
provedor) variando entre 64 e 640 Kbps.
******ebook converter
DEMO
Watermarks*******
de 100Mbps e a distância até 100 km. Este sistema permite que os
provedores de serviço de assinatura de TV a cabo possam compartilhar
seus CMTS para diversos CMs (Cable Modem). Não é possível dois
CMs conversarem diretamente entre si. Quando isso é necessário, o
CMTS faz o encaminhamento da solicitação. Essa tecnologia possui
mais escalabilidade que o ADSL e é amplamente utilizada em diversos
países. Como exemplo de acesso Cable Modem no Brasil podemos
mencionar o Net Claro.
******ebook converter
DEMO
Watermarks*******
Figura 10.12 – Exemplos de aplicação de redes VPN.
Das vantagens que podemos destacar para o uso da VPN, listamos:
******ebook converter
DEMO
Watermarks*******
tecnologia que se use.
******ebook converter
DEMO
Watermarks*******
Coisas (IoT) dada a velocidade de transmissão e ampla
capacidade de conectividade de dispositivos. Enquanto o 4G
tem banda média de uns 20Mbps no Brasil, o 5G permitirá
transmissão acima de 1Gbps e testes de alguns fabricantes
indicaram transmissão à incríveis 10Gbps. Qualquer que seja a
tecnologia sem-fio 3/4/5G, todas dependem de antenas para
conexão do dispositivo até a operadora, isto é, a cobertura está
sujeita à presença de torres com antenas espalhadas por uma
região.
******ebook converter
DEMO
Watermarks*******
O tipo de conector WAN dependerá do serviço fornecido ou dos
requisitos do dispositivo final. Os roteadores Cisco utilizam um
conector proprietário de 60 pinos, que podem ser comprados da
própria Cisco, ou adquiridos com um revendedor autorizado.
Alguns roteadores Cisco vêm apenas com uma porta WAN, mas boa
parte vem com slot de expansão, o que permite a ligação de outras
portas. Veja, na Figura 10.13, o exemplo do roteador Cisco da série
ISR 4000.
Figura 10.13 – Vista traseira de um roteador Cisco ISR 4461 com suas diversas
interfaces e slots de expansão.
A interface WAN especificada pelo EIA é a RS-232, que é um
padrão para interface física, a qual define toda conexão mecânica e
elétrica para transmissão serial de dados. O conector usado nesta
interface é o DB-25. Outra interface que está em uso, principalmente
em redes de alta velocidade, é a V.35.
******ebook converter
DEMO
Watermarks*******
Já a interface V.35 foi criada pela ITU-TSS (International
Telecommunication Union / Telecommunication Standardization
Sector), que na realidade criou todo o padrão V.x. O padrão V.35 foi
concebido para redes de pacotes com velocidades de 1200bps a
4Mbps.
******ebook converter
DEMO
Watermarks*******
11 - Roteamento IP
Introdução
Podemos definir roteamento como um sistema que tem como finalidade
encaminhar dados de uma localização para outra. O tráfego gerado em um
ambiente de rede precisa ser levado de uma origem para um destino e, em
alguns casos, esta origem e destino não estão diretamente ligados ou
conectados ao mesmo barramento físico e necessita de um elemento
intermediário na rede que encaminhe os dados física e logicamente entre os
segmentos.
Existem dois processos básicos em uma comunicação: um é o roteamento
e o outro é a comutação (switching). A diferença entre estes dois modos de
encaminhamento é que o roteamento, para acontecer, precisa ter uma visão
topológica da rede para traçar a rota usando múltiplos caminhos. Já a
comutação precisa apenas se preocupar em encaminhar quadros de entrada
por uma interface de saída. Esta última está em um nível hierárquico menor,
ou seja, em uma camada abaixo do modo de roteamento, ou camada 2, já
visto nos capítulos sobre Ethernet e LAN.
Porém o roteador não é uma caixa mágica que, ao ser colocada na rede,
vai resolver todos os problemas de encaminhamento de pacotes entre as
redes. Para que o roteador seja um elemento que intervenha nesta
comunicação, é necessário que sejam considerados três fatores básicos,
ilustrados na Figura 11.1:
******ebook converter
DEMO
Watermarks*******
É necessário que se tenha configurado nesta tabela para qual
interface o pacote deve ser encaminhado para que ele possa chegar
ao destino.
******ebook converter
DEMO
Watermarks*******
protocolos de roteamento podemos mencionar:
A Tabela de Roteamento
A tabela de roteamento é um elemento cada dia mais presente na
nossa realidade. Até mesmo estações de trabalho têm sua própria
tabela de roteamento. Podemos ver esta tabela de roteamento inclusive
em uma estação com o Windows instalado. Para isto, basta que seja
executado o comando route print ou netstat -rn no prompt de
comando. No macOS ou Linux, o comando para mostrar a tabela de
roteamento também é netstat -rn. O resultado no Windows será
semelhante ao mostrado na Figura 11.2.
******ebook converter
DEMO
Watermarks*******
Figura 11.2 – Resultado parcial do comando “route print” no Windows.
Como você pode notar, as informações necessárias para que a
operação de roteamento ocorra estão todas incluídas nesta tabela de
roteamento. Basta ver cada entrada (linha) da tabela e você terá os
elementos que auxiliam no encaminhamento do pacote entre origem e
destino.
Assim como as estações de trabalho, os roteadores também têm essa
tabela de roteamento. Vejamos o resultado do comando show ip route
em um roteador Cisco.
Roteador# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M -
mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter
area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type
2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * -
candidate default
U - per-user static route, o - ODR
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
10.1.0.0/24 is subnetted, 2 subnets
B 10.1.10.0 [20/0] via 172.16.11.2, 00:11:54, Serial1
172.16.0.0/24 is subnetted, 3 subnets
C 172.16.15.0 is directly connected, Ethernet0
C 172.16.111.0 is directly connected, Loopback0
C 172.16.11.0 is directly connected, Serial0
S* 0.0.0.0/0 is directly connected, Serial0
******ebook converter
DEMO
Watermarks*******
route print do Microsoft Windows. Vejamos, então, quais
componentes são estes e quais são exclusivos de um roteador:
COMPONENT DESCRIÇÃO
E DA TABELA
B Como o roteador aprendeu esta rota, neste caso via protocolo BGP
(Note que para cada protocolo de roteamento existe um código
correspondente)
10.1.10.0 Rede de destino
[20 Distância administrativa
/0] Métrica
via 172.16.11.2 Próximo salto lógico ou simplesmente próximo roteador
00:11:54 Tempo em que foi feita a entrada na tabela (hora:minuto:segundo)
Serial1 Interface da qual o roteador aprendeu a rota e da qual o pacote irá
sair
Nesta tabela todas as informações são importantes, porém uma em particular merece maior
atenção: trata-se da distância administrativa.
Distância Administrativa
Como já falamos, o processo de roteamento é responsável por
selecionar o melhor caminho para um determinado destino. Pode haver
situações em que existam múltiplos caminhos para o mesmo destino. A
métrica é usada pelos protocolos de roteamento para formar um valor a
ser usado como parâmetro de escolha de um melhor caminho para se
chegar a um destino, sendo menor a métrica, melhor a rota. As
características das métricas serão detalhadas nesse capítulo.
Porém, mesmo havendo a métrica para fazer esta diferenciação, é
possível que tenhamos um cenário de empate entre dois caminhos e
para resolver isso entra em cena a distância administrativa. Ela é usada
para diferenciar os tipos de rotas existentes na tabela; com isso, se dois
protocolos de roteamento formarem suas métricas e a mesma der
empate, a distância administrativa de menor valor terá prioridade na
escolha.
Desta forma, de acordo com o tipo de entrada na tabela, ou melhor, a
especificação do tipo (se estático ou dinâmico, se OSPF, BGP, etc.),
será atribuído um valor à rota. O processo de roteamento está
previamente configurado para utilizar o menor valor quando compara
este parâmetro entre as rotas. Logicamente, o valor da distância
******ebook converter
DEMO
Watermarks*******
administrativa é uma variável do tipo inteiro, que pode estar dentro do
intervalo de 0 a 255. Vejamos exatamente qual a distância
administrativa dos principais protocolos de roteamento dentro do IOS
Cisco (outros fabricantes podem dar valores distintos):
TIPO DE ROTA VALOR
ATRIBUÍDO
Interface diretamente 0
conectada
Rota estática 1
Sumário do EIGRP 5
BGP Externo 20
EIGRP Interno 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
EGP 140
EIGRP Externo 170
BGP Interno 200
Rota desconhecida 255
A Figura 11.3 apresenta um exemplo desse processo de tomada de
decisão do melhor caminho para um destino, que aqui chamamos de
Rede F. O roteador enxerga caminhos possíveis para a Rede F e entre
dois caminhos de menor número de saltos, no desempate, elege aquele
com menor distância administrativa.
******ebook converter
DEMO
Watermarks*******
Figura 11.3 – Processo de escolha do melhor caminho.
Como vimos, é possível visualizar as informações de roteamento
através do comando show ip route. Porém, se as informações contidas
na tabela por algum motivo parecerem desatualizadas, você poderá
limpar estas configurações usando o comando clear ip route. Este
comando pode ser executado com o parâmetro * para excluir todas as
rotas ou especificando a rede que se deseja que seja excluída da
configuração.
Métricas de Roteamento
O processo de roteamento, além de encaminhar os pacotes entre
redes, é responsável também por manter a topologia da rede livre de
qualquer tipo de “loop” e de escolher a melhor rota para o destino.
Vimos que a distância administrativa é um fator importante na escolha
deste destino, mas não é só ela que faz esta tarefa. Além da métrica,
existem outros fatores que podem trabalhar em conjunto com ela para
que o roteador possa determinar o melhor caminho:
******ebook converter
DEMO
Watermarks*******
caminho mais longo, mas de velocidade constante. Pense nisso
antes de traçar seu caminho para o trabalho, por exemplo.
Tipos de Roteamento
Os tipos de roteamento podem ser
categorizados como:
Roteamento Estático.
Roteamento Dinâmico.
Roteamento Estático
No roteamento estático existe uma entrada na
tabela inserida manualmente, sendo o método
******ebook converter
DEMO
Watermarks*******
preferencial para um ambiente estável, no qual há
poucas modificações na tabela de roteamento.
Neste tipo de roteamento, a utilização da CPU do
processador é pequena, devido ao fato de não ser
necessário fazer muitos cálculos para se chegar a
um destino ou para atualizar esta tabela, pois se
trata de uma configuração manual. Dessa forma,
somente as rotas desejáveis serão aprendidas
pelos roteadores, o que torna o ambiente mais
seguro. Porém, a manutenção desta tabela para
grandes redes fica efetivamente inviável, se
considerarmos um grande volume de rotas a
serem controladas e configuradas a cada mudança
exigida.
Outro aspecto relevante é que o roteamento
estático pode ser implementado em qualquer tipo
de roteador; isso é importante frisar, já que alguns
protocolos de roteamento dinâmico não são
suportados por determinados modelos de
roteadores.
Cenário de Roteamento Estático
A Figura 11.5 apresenta um cenário com cinco
roteadores, modelos Cisco 2811, que permite
ilustrar melhor o tópico de roteamento estático.
******ebook converter
DEMO
Watermarks*******
Embora preferível a implementação de
roteamento dinâmico, que será apresentado logo
na sequência, o roteamento estático às vezes se
faz mais necessário, quando se exige forçar uma
rota com métrica melhor. Na linha de
preferências, a rota estática é a segunda, depois da
rota diretamente conectada, como vimos há
pouco. Ainda que seja possível ajustar as métricas
a partir de Route-Maps, recurso muito usado no
ajuste fino em roteamento dinâmico, o esforço
administrativo é menor se programamos uma rota
estática, bastando uma linha de comando.
Contudo, se houver muita customização ou a rede
for muito ampla, essa alternativa não é
recomendada e, assim, o roteamento dinâmico é
inevitável.
******ebook converter
DEMO
Watermarks*******
Note que cada roteador já está com seus devidos endereços de rede
(IP) em cada uma das suas interfaces (que dependendo do modelo
pode ser Serial0/0 ou Serial0/0/0 e assim por diante). Só isso já faz
com que os roteadores tenham a capacidade de ter suas devidas rotas,
que são as chamadas rotas diretamente conectadas, cujo próximo salto,
neste caso, são os próprios IPs das interfaces locais. Estas rotas são
visíveis quando a porta do roteador percebe o link ativo, ou seja, se
você cadastrar os endereços, porém não colocar o cabo na interface do
roteador e ele não detectar a portadora, as rotas não estarão visíveis.
Vejamos, no caso do roteador B, quais seriam as rotas existentes:
MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
REDE
A SAÍDA SALTO A
192.168.3. /24 Ethernet 0 192.168.3.1 0
0
10.10.10.0 /24 Serial 0/2 10.10.10.2 0
10.20.20.0 /24 Serial 2/1 10.20.20.1 0
10.30.30.0 /24 Serial 1/1 10.30.30.1 0
Mesmo não tendo preenchido nenhuma informação sobre roteamento, o roteador já cadastra
as rotas diretamente conectadas, ou seja, as rotas que levam para suas interfaces. Vejamos
agora como fica no roteador C:
******ebook converter
DEMO
Watermarks*******
Para ir a este local, qual o caminho mais próximo?
Indo por este caminho, qual será meu primeiro salto para chegar
até o destino?
São questionamentos simples, seguindo o raciocínio de uma pessoa
que deseja ir a um lugar e está traçando uma rota para chegar nele.
Então vamos tentar responder estes questionamentos para o roteador
C, como ponto de origem, partindo do pressuposto de que o destino
desejado será o roteador A:
Indo por este caminho, qual será meu primeiro salto para
chegar até o destino?
R: A WAN do Roteador B, que está ligada com o roteador C.
Feitos os questionamentos para compor a primeira entrada na tabela
de roteamento do roteador C, vejamos como fica então:
REDE MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
A SAÍDA SALTO A
192.168.4. /24 Ethernet 0 192.168.4.1 0
0
10.30.30.0 /24 Serial 0/2 10.30.30.2 0
10.50.50.0 /24 Serial 1/2 10.50.50.2 0
192.168.5. /24 Serial 0/2 10.30.30.1 1
0
Para a rede 10.30.30.0/24 o próximo salto é na verdade a própria
interface local (10.30.30.2), como comentamos. Já na última linha,
observe que foi incluída uma entrada para a rede 192.168.5.0/24 com
próximo salto via IP 10.30.30.1, no roteador B. E essa rota tem uma
******ebook converter
DEMO
Watermarks*******
métrica diferente; isto acontece porque foi uma entrada estática e
manual adicionada à tabela. Automaticamente a métrica é configurada
como 1, como visto no início deste capítulo. Agora vamos cadastrar
todas as outras rotas para se chegar aos devidos destinos e vejamos
como ficará a tabela do roteador C:
REDE MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
A SAÍDA SALTO A
192.168.4. /24 Ethernet 0 192.168.4.1 0
0
10.30.30.0 /24 Serial 0/2 10.30.30.2 0
10.50.50.0 /24 Serial 1/2 10.50.50.2 0
192.168.3. /24 Serial 0/2 10.30.30.1 1
0
192.168.5. /24 Serial 0/2 10.30.30.1 1
0
192.168.2. /24 Serial 1/2 10.50.50.1 1
0
192.168.1. /24 Serial 1/2 10.50.50.1 1
0
Neste momento é importante ficar atento ao seguinte fator: para se
chegar ao roteador D, estando no roteador C, temos dois caminhos.
Como estamos tratando de um roteamento estático, ficou a nosso
critério encaminhar o pacote para o roteador E para depois chegar ao
D; tínhamos outra opção que era encaminhar para o roteador B, para
ele encaminhar para o D.
Caso estivéssemos utilizando um protocolo de roteamento dinâmico,
ele iria levar em consideração uma série de fatores antes de dizer qual
o melhor caminho.
Porém, o que podemos fazer para criar uma redundância contra
falhas no ambiente é cadastrar uma outra rota para o mesmo destino
com uma métrica maior, de valor 2 por exemplo. Com isso, essa rota
só será utilizada caso a rota primária, de valor 1, esteja indisponível.
Vejamos como fica a tabela de C após a inclusão desta rota alternativa:
REDE MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
A SAÍDA SALTO A
192.168.4. /24 Ethernet 0 192.168.4.1 0
0
******ebook converter
DEMO
Watermarks*******
10.30.30.0 /24 Serial 0/2 10.30.30.2 0
10.50.50.0 /24 Serial 1/2 10.50.50.2 0
192.168.3. /24 Serial 0/2 10.30.30.1 1
0
192.168.5. /24 Serial 0/2 10.30.30.1 1
0
192.168.2. /24 Serial 1/2 10.50.50.1 1
0
192.168.1. /24 Serial 1/2 10.50.50.1 1
0
192.168.1. /24 Serial 0/2 10.30.30.1 2
0
Para praticar, crie as tabelas dos roteadores B, D e E. Para o roteador
A será mais simples, pois devido a ele ter apenas uma interface de
saída, basta termos uma rota, além das criadas automaticamente, que
seria a última linha da tabela seguinte:
REDE MÁSCAR INTERFACE DE PRÓXIMO MÉTRIC
A SAÍDA SALTO A
192.168.5. /24 Ethernet 0 192.168.5.1 0
0
10.10.10.0 /24 Serial 0/1 10.10.10.1 0
0.0.0.0 /0 Serial 0/1 10.10.10.2 1
Esta entrada 0.0.0.0/0 é a chamada rota ou gateway padrão (rota
default ou default gateway), que deve ser usada sempre em cenário
onde o roteador não tem opção de entrega para múltiplos caminhos;
note que o único caminho de saída para qualquer rede será sempre
através do roteador B.
Implementando Roteamento Estático
Para fazer a implementação do roteamento estático basta usar o
comando ip route. Vejamos como ficaria a configuração da rota
default no roteador A:
RoteadorA> enable
RoteadorA#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RoteadorA(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.2
******ebook converter
DEMO
Watermarks*******
Assim como em IPv4, podemos criar uma rota IPv6 apontando para
a interface, ao invés do endereço como next-hop:
Roteador(config)#ipv6 route 2001:abc:de::/64 FastEthernet0/0
******ebook converter
DEMO
Watermarks*******
mesmo quando se fala em ciclos de CPU usados durante o cálculo do
roteamento que, neste caso, é mais intenso. No processo de escolha
dos caminhos, o roteador vai verificar primeiramente a menor
distância administrativa que, como vimos, vai variar de acordo com o
protocolo de roteamento; se este valor for igual nas rotas para o
destino, então a métrica será consultada para determinar o melhor
caminho. Caso a métrica também seja a mesma, o roteador vai utilizar
os dois caminhos através de um processo chamado “balanceamento de
carga”. Este balanceamento de carga pode ser feito com até seis
caminhos. Dessa forma, são alcançadas outras redes por meio da troca
de informações com outros roteadores, definindo como encaminhar os
pacotes de uma rede para outra.
Existem dois tipos macro de protocolos dinâmicos de roteamento
usados nas redes, que são:
******ebook converter
DEMO
Watermarks*******
Figura 11.6 – IGP x EGP.
Sistemas Autônomos (AS)
Podemos definir sistema autônomo ou AS (Autonomous System)
como uma coleção de redes dentro de um mesmo domínio
administrativo em comum que está debaixo da mesma política de rede
e com as mesmas características de roteamento. Se analisarmos dessa
forma, podemos entender que a Internet é um conjunto de vários
sistemas autônomos.
Algoritmos de Roteamento
Podemos definir algoritmo como uma instrução detalhada para
executar uma operação. Em redes de computadores, um algoritmo de
roteamento pode ser entendido como uma instrução para a operação do
protocolo de roteamento. Dessa forma, o algoritmo é responsável por
decidir em qual linha de saída o protocolo será transmitido.
Os protocolos de roteamento utilizam basicamente três tipos
distintos de algoritmos de roteamento, que são:
******ebook converter
DEMO
Watermarks*******
sobre IPv4), exemplo: 255.255.255.0, classe C, e temos endereços com
a máscara quebrada ou variável (VLSM), que seria um Sem Classe
(ex.: 255.255.248.0). Note que no primeiro exemplo o terceiro octeto
está completo, e no segundo exemplo sobram alguns endereços, o que
se entende por “máscara quebrada”. Alguns destes protocolos que
usam o vetor de distância não conseguem repassar informações
relacionadas à máscara de sub-rede durante a rotina periódica de
atualização das rotas.
Com esta deficiência caímos no problema que reflete em ter que
utilizar a mesma máscara em todos os segmentos da rede. Como a
máscara não é enviada, é necessário que o protocolo de roteamento use
a padronização de classes A, B e C.
Desta forma quando um roteador, que está rodando um protocolo
como o RIPv1, recebe uma atualização de roteamento, ele vai cumprir
a seguinte lógica:
Se (identificador de rede da informação de roteamento
recebida) = (identificador de rede da interface a qual recebeu
a informação)
Então
Aplique a mesma máscara usada na interface recebida
Se não
Aplique a máscara baseada na classe do endereço recebido
Fim
Fim
******ebook converter
DEMO
Watermarks*******
Figura 11.7 – Processo de identificação da máscara em uma rede classe cheia.
Baseado no que vimos, na Figura 11.8 resumimos as características
deste tipo de roteamento com os seguintes pontos-chave:
Falta de escalabilidade.
Maior escalabilidade.
******ebook converter
DEMO
Watermarks*******
broadcast periódico. Ou seja, ele avisa a todas as
máquinas da rede sobre as mudanças em
intervalos de tempo, o que consome
excessivamente largura de banda e utiliza um
nível muito alto de processamento dos roteadores.
Se adicionarmos uma convergência demorada
nesse cenário, como ocorre com o protocolo RIP,
temos os ingredientes necessários que podem
ocasionar um loop de roteamento.
Dessa forma, são utilizados alguns mecanismos
para mitigar o problema, que são:
******ebook converter
DEMO
Watermarks*******
Split Horizon: Basicamente consiste numa
regra em que o Roteador nunca envia de
volta a informação na direção em que ele
recebeu a atualização. Na prática, não
permite que o Roteador-2 envie atualização
da tabela de roteamento que foi recebida do
Roteador-1 de volta para o próprio Roteador-
1.
Hold-down: O Hold-down é um
temporizador que estipula um tempo durante
o qual o roteador não aceita atualizações de
******ebook converter
DEMO
Watermarks*******
seus vizinhos sobre uma métrica. Porém,
durante esse processo o roteador continua a
anunciar esta rota para os vizinhos.
Algoritmo Baseado em Estado do Link (Link
State)
Os protocolos baseados em estado do link são,
ao contrário dos baseados em vetor de distância,
extremamente escalonáveis. Para começar a lista
de vantagens, temos de imediato o fato de não
enviar atualizações periódicas para os vizinhos.
Este processo de roteamento envia uma
mensagem imediatamente ao identificar um
problema, sem ter que esperar que um
determinado tempo expire. Isto é chamado de
atualização incremental e contém somente
informações relevantes daquela alteração
ocorrida. Por sua vez, o roteador que a recebe
permanece em estado de escuta caso as mudanças
sugeridas já existam nele.
As atualizações só são enviadas quando ocorre
uma mudança na rede; então, são enviadas
Publicações do Estado do Link ou LSA (Link
State Advertisements) com as devidas mudanças.
******ebook converter
DEMO
Watermarks*******
Cada dispositivo que recebe uma LSA efetua
uma cópia dela, faz a devida atualização
topológica da rede no seu banco de dados e
encaminha esta LSA para todos os seus vizinhos
através de pacotes multicast, como ilustrado na
Figura 11.9.
Como você pôde notar, os processos de
atualização dos protocolos baseados em estado do
link são bem menos onerosos para a rede como
um todo, em comparação ao vetor de distância. A
grande chave para o funcionamento ideal deste
tipo de implementação está no fato de que todos
os roteadores têm uma cópia da imagem da rede
guardada em um banco de dados no roteador.
Então, para cada roteador é fácil identificar onde
houve a modificação para atualizar somente
aquela entrada, baseado no LSA recebido.
******ebook converter
DEMO
Watermarks*******
Figura 11.9 – Processo de envio da LSA.
A terminologia “Estado do Link” é devida ao
fato de que enviar informações sobre o link é
muito mais eficiente do que enviar informações
sobre rotas, tendo em vista que um link pode
afetar diversas rotas. Como todos os roteadores
têm uma cópia da imagem da rede, fica a cargo de
cada roteador analisar a modificação no link e
fazer os novos cálculos de rota. Porém fica fácil
identificar que neste caso o processador do
roteador será intensamente utilizado, mas em
compensação não haverá tanto uso da largura de
banda para fazer atualizações.
Métrica para Estado do Link
A métrica utilizada pelos protocolos baseados
em estado do link pode variar de acordo com o
protocolo ou até mesmo com implementações de
fabricantes. Por exemplo, a implementação do
OSPF na Cisco utiliza como métrica a largura de
banda e o tempo de espera como parâmetros para
compor o custo, que é o termo usado para
discriminar o tipo de métrica utilizado,
diferentemente dos protocolos baseados em vetor
de distância que utilizam a quantidade de saltos
(hops).
******ebook converter
DEMO
Watermarks*******
Um maior detalhamento e exemplo desse
algoritmo será feito no tópico de OSPF, que é
exigido na prova do CCNA.
Algoritmo Híbrido Balanceado
Os algoritmos de roteamento classificados
nessa categoria possuem características de ambos
os algoritmos estudados anteriormente (Vetor de
Distância e Estado de Link). De fato, nesse
algoritmo é utilizado o vetor de distância com as
métricas para a escolha do melhor caminho, mas
com a diferença de utilizar alterações na topologia
para as atualizações de roteamento.
Ele também possui uma convergência rápida
que é uma característica do algoritmo de Estado
de Link, mas com a vantagem de utilizar menos
recursos de memória, processamento e largura de
banda.
Como exemplos de protocolos de roteamento
com algoritmo híbrido balanceado podemos citar
o EIGRP e o IS-IS.
Métrica para Híbrido Balanceado
O fato de ser um algoritmo híbrido faz com que
a métrica utilizada por esses protocolos possua
******ebook converter
DEMO
Watermarks*******
diversas variações de acordo com o protocolo e
suas implementações. Se fizermos uma
comparação entre o IS-IS que é um protocolo não
proprietário e o EIGRP, que é um protocolo
proprietário da Cisco, iremos encontrar muitas
diferenças, principalmente na métrica, que no IS-
IS é pelo custo enquanto a do EIGRP é composta.
Convergência
As principais tarefas atribuídas ao processo de
roteamento são manter a rede totalmente livre de
possíveis loops e manter um único caminho para
possíveis destinos de uma rede lógica. Com a
utilização dos protocolos de roteamento, os
administradores têm uma carga menor na
manutenção destas tabelas de roteamento, já que
as tabelas são sincronizadas pelo protocolo em
uso. Quando estas tabelas estão devidamente
sincronizadas com rotas para todos os destinos
alcançáveis da rede, dizemos que a tabela foi
convergida.
Convergência é a atividade associada com o
processo de sincronização das tabelas após uma
mudança na rede ou, de forma mais prática,
******ebook converter
DEMO
Watermarks*******
quando todos os roteadores possuem
conhecimento dos demais e as tabelas de
roteamento corretas. Anteriormente falamos que
quando ocorre modificação na rede é necessário
que o protocolo de roteamento em uso faça a
propagação destas modificações para seus
vizinhos. Desta forma, dependendo do protocolo
de roteamento, o tempo de convergência será
menor ou maior.
Para que o tempo de convergência seja
otimizado, é necessário analisar a forma com que
o protocolo de roteamento trata a detecção do link
com falha. Se fizermos uma analogia ao modelo
de referência OSI, teremos a conclusão de que
existem dois métodos de detecção de erro.
O primeiro seria quando a placa de rede falha,
assim teríamos um método baseado nas camadas
física e de enlace do modelo OSI. Neste método,
é necessário que sejam enviados três sinais
consecutivos de detecção do estado de vida do
componente (keepalive) e, caso não se receba
nenhuma mensagem de resposta, será considerado
que o link “caiu” (down). O segundo método é
baseado nas camadas 3 e 4 do modelo OSI;
******ebook converter
DEMO
Watermarks*******
quando uma falha ocorre neste nível e três falhas
consecutivas de mensagem do tipo “Hello” são
detectadas, será considerado que o link “caiu”
(down). Veja ambos na Figura 11.10.
Existe mais um agravante no tempo de
convergência que é comum para todos os
protocolos de roteamento. Na realidade, este fator
é configurável de acordo com o protocolo de
roteamento, mas fato é que a rede não pode
convergir mais rápido que a duração do Tempo de
Espera de Queda ou Hold-Down Timer.
Este parâmetro é de simples explicação e
conceituação. Imagine uma grande rede com
diversos links WAN e LAN com diversas larguras
de banda, etc. Esse tipo de ambiente é muito
propício a falhas no link e que estas falhas
também sejam passageiras, pequenas quedas de
poucos segundos. Imagine propagar modificações
na rede a cada falha que ocorra a cada “n”
segundos. Seria um caos para o tráfego na rede,
pois ficaria propagando atualizações durante a
maior parte do tempo e teríamos um
congestionamento.
******ebook converter
DEMO
Watermarks*******
Figura 11.10 – Possíveis detecções de falha.
Para evitar este tipo de problema que o hold-down timer foi criado e
podemos citar como exemplo o protocolo RIP que tem o tempo de
espera de queda em 180 segundos. Alguns protocolos ainda permitem
a customização (parametrização) do hold-down timer, isto é, ajustar o
tempo para cima ou para baixo do padrão do protocolo. Assim,
recomendamos considerar o tempo padrão e a sintaxe de cada
protocolo para tais mudanças.
******ebook converter
DEMO
Watermarks*******
VLAN 1: 10.10.1.0/24.
VLAN 2: 10.10.2.0/24.
VLAN 3: 10.10.3.0/24.
Cada subinterface do roteador terá um IP atrelado a cada segmento.
No roteador faremos a configuração da seguinte forma:
Roteador-2(config)#int fa1/0.1
Roteador-2(config-subif)#encapsulation dot1Q 1
Roteador-2(config-subif)#ip add 10.10.1.1 255.255.255.0
Roteador-2(config-subif)#exit
Roteador-2(config)#int fa1/0.2
Roteador-2(config-subif)#encapsulation dot1Q 2
Roteador-2(config-subif)#ip add 10.10.2.1 255.255.255.0
Roteador-2(config-subif)#int fa1/0.3
Roteador-2(config-subif)#encapsulation dot1Q 3
Roteador-2(config-subif)#ip add 10.10.3.1 255.255.255.0
Roteador-2#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES NVRAM up up
FastEthernet1/0 unassigned YES NVRAM up up
FastEthernet1/0.1 10.10.1.1 YES NVRAM up up
FastEthernet1/0.2 10.10.2.1 YES NVRAM up up
FastEthernet1/0.3 10.10.3.1 YES NVRAM up up
Note que estamos dentro da sessão “subif”, indo direto para a outra
interface fa1/0.3. Isso é totalmente possível no IOS de switch ou
roteador e economiza tempo. Deve-se, apenas, ter cuidado para não se
perder quando estiver criando várias subinterfaces.
Com todas as interfaces criadas, o gateway padrão de cada uma das
redes (VLAN 1, 2 e 3) será a interface do roteador. Ele fará, portanto, a
interligação e roteamento das redes de cada segmento, permitindo a
comunicação entre eles.
******ebook converter
DEMO
Watermarks*******
Switch(config-if)# ip address 10.10.3.1 255.255.255.0
Simples assim e mais nada. Ao ver a listagem de interfaces,
podemos conferir:
Switch#sh ip interface brief
Interface IP-Address OK? Method Status Protocol
Vlan3 10.10.3.1 YES manual up up
Switch#show int vlan 3
Vlan3 is up, line protocol is up
Hardware is EtherSVI, address is 0018.7330.7e41 (bia
0018.7330.7e41)
Internet address is 10.10.3.1/24
<restante omitido>
******ebook converter
DEMO
Watermarks*******
12 - Protocolos de Roteamento
Dinâmico OSPF e BGP
Introdução
No Capítulo 11 vimos o conceito de roteamento e as diferenças e
vantagens entre roteamento estático e dinâmico, além de alguns parâmetros
existentes de maneira geral. Durante este capítulo faremos uma análise do
OSPF e BGP, tanto em IPv4, quanto em IPv6.
O que falaremos aqui sobre OSPF valerá também para seu respectivo em
IPv6, o OSPFv3, e quando necessário, apresentaremos as diferenças de
sintaxe para melhor identificação. Para o BGP, não há separação, pois ele
suporta nativamente ambos IPv4 e IPv6, com apenas alguns comandos
adicionais para estabelecer a sessão com os roteadores vizinhos.
O exame CCNA em vigor manteve apenas o OSPF como protocolo de
roteamento a ser estudado. Contudo, o BGP, por sua importância na
Internet, será mantido em nosso livro a fim de ampliar o escopo de atuação
profissional do leitor, que vai muito além da certificação. Como dissemos, é
um conteúdo válido a ser mencionado e igualmente encorajamos o
aprofundamento nesse protocolo.
******ebook converter
DEMO
Watermarks*******
uma alteração na topologia.
******ebook converter
DEMO
Watermarks*******
Custo: utiliza uma métrica com base no custo, que é mais
inteligente. Com essa métrica, o custo é o inverso da largura de
banda disponível, ou seja, quanto maior a largura de banda, menor o
custo e vice-versa.
Terminologia OSPF
Uma rede com uso do OSPF possui diversas terminologias que são
fortemente cobradas no exame CCNA e em outras carreiras Cisco. Vejamos
o que significam os principais componentes do protocolo:
******ebook converter
DEMO
Watermarks*******
Árvore SPF (SPF Tree): árvore da rede OSPF criada após a
execução do algoritmo SPF. O algoritmo refaz todos os caminhos da
rede, deixando apenas os mais curtos, todos livres de loop e o
roteador na raiz da rede, tudo feito com base na métrica de custo.
Apenas os roteadores que estão na mesma área compõem a árvore
SPF.
Link State Database: base de dados (ou mapa com a topologia) com
tudo que envolve o link state, como roteadores, estado, links e redes.
É criada com base nas informações de LSA dos roteadores na área.
******ebook converter
DEMO
Watermarks*******
detalhe na Figura 12.2.
******ebook converter
DEMO
Watermarks*******
configurado, no formato decimal com pontos, similar ao IPv4. Se o
RID não for inserido por comando, o roteador assumirá a interface
loopbak de maior IP ou, na ausência desta, o maior IP de interface
disponível. A mensagem de Hello possui este e outros dados na
composição do pacote. Ele usa o endereço multicast 224.0.0.5 para se
comunicar com outros roteadores com OSPF.
******ebook converter
DEMO
Watermarks*******
rede e o BDR – Backup Designated Router – é o seu sucessor no caso
de uma falha. Mas como ocorre o processo de eleição?
Os roteadores são eleitos automaticamente, sendo que o processo de
eleição é feito com base na prioridade (priority) de cada roteador.
Dessa forma, o roteador que tiver a maior prioridade é escolhido como
DR e o que possuir a segunda maior prioridade é escolhido como
BDR. Existem situações em que os roteadores da rede possuem os
mesmos valores de prioridade. Nesses casos é utilizado o Router ID
(RID) de maior valor (o número de IP mais alto) como critério para
definição.
Porém, existe a possibilidade de se configurar manualmente a
prioridade dos roteadores, o que deve ser feito diretamente na interface
do equipamento:
Roteador#configure terminal.
Roteador(config)#interface f0/0.
Roteador(config-if)#ip ospf priority 2.
As prioridades configuráveis são:
PRIORIDADE STATUS
(PRIORITY)
0 DR OTHER
1 Padrão
2 Eleição do
DR
Note que a prioridade 2 é a mais alta e define o roteador como DR, a
prioridade 1 é a padrão para todos os roteadores da rede e a prioridade
0 pode ser configurada manualmente e exclui o roteador de uma
possível eleição, atribuindo o status de DR Other.
Estabelecimento de Adjacências
Um dos principais processos do OSPF é o de compartilhamento das
informações. As informações link state são trocadas somente entre
roteadores adjacentes, pois eles precisam ter a mesma base de dados de
topologia e necessitam estar sincronizados. Dessa forma, o
estabelecimento de adjacências é fundamental para o funcionamento
da rede OSPF. Para que esse estabelecimento ocorra, o processo
******ebook converter
DEMO
Watermarks*******
envolve as seguintes fases ou estados:
Sincronismo
Um roteador que detecta a mudança na sua tabela anuncia via
endereço multicast (224.0.0.6) para o DR/BDR. O DR, então, propaga
******ebook converter
DEMO
Watermarks*******
as informações para todos os outros via multicast (224.0.0.5), por meio
de pacotes chamados LSU (Link State Update). Após a atualização, é
enviado um LSAck para o DR confirmando o recebimento. Por fim, é
executado internamente o algoritmo SPF para cálculo dos novos
caminhos. Veja um exemplo na Figura 12.4:
******ebook converter
DEMO
Watermarks*******
descrição da mesma e o estado dos roteadores que fazem parte,
passando essa informação a todos pertencentes à mesma. Essa
informação sobre a rede é enviada pelo DR, que tem o papel de
representar os roteadores da rede. Esse LSA fica contido dentro
da área, isto é, apenas a informação dos roteadores da rede de
uma determinada área é propagada a seus membros, contendo a
informação sobre o DR e o BDR.
Configuração do OSPF
O protocolo OSPF pode ser utilizado para multiáreas ou para uma
área. Primeiramente, vamos fazer a configuração para uma única área:
Roteador#configure terminal
Roteador(config)#router ospf ?
<1-65535>
******ebook converter
DEMO
Watermarks*******
Roteador(config-router)#network 192.168.1.0 0.0.0.255 area 0
Configuração do OSPFv3
Antes de configurarmos o OSPFv3, é importante destacar algumas
considerações sobre este protocolo, que é muito semelhante ao
OSPFv2 (ou simplesmente OSPF), visto há pouco, no quesito
configurações e funcionamento.
Tudo que se refere a métricas, algoritmo SPF, vizinhança com os
“neighbors”, troca de LSA para definir topologia, custos de interface,
entre outros conceitos, vale para ambos os protocolos OSPFv2 e
OSPFv3.
O OSPFv3 tem a sintaxe similar à versão anterior, com uma
ressalva: ele requer a configuração de um router-ID, que usa o mesmo
formato de um endereço IPv4, sendo mandatória a aplicação do
comando router-id se o roteador for puramente IPv6, sem qualquer
outro tipo de endereço IP nas interfaces. Para IPv4, usamos router
ospf <id_do_processo>, para configurar o OSPFv2. Em IPv6 usa-se
ipv6 router ospf <id_do_processo> para configurar o OSPFv3:
Roteador(config)#ipv6 router ospf 100
Roteador(config-rtr)#router-id 1.1.1.1
******ebook converter
DEMO
Watermarks*******
Ao configurar o OSPFv3 sem que haja qualquer IPv4 em uma
interface ou sem o router-id especificado, gera-se uma mensagem de
erro:
%OSPFv3-4-NORTRID: OSPFv3 process 100 could not pick a
router-id, please configure manually
******ebook converter
DEMO
Watermarks*******
aplicado em cada uma. Entretanto, cada interface ativa para o OSPFv3
tentará estabelecer uma vizinhança a partir dela também, enviando e
aceitando LSAs. Para apenas anunciar as redes das interfaces sem que
elas tentem estabelecer uma vizinhança OSPF, basta usar o comando
passive interface <interface> dentro da instância OSPF. Geralmente,
aplica-se esse comando para interfaces loopback, que queremos apenas
anunciar seus prefixos, mas pode ser feito com qualquer outra. Esse
procedimento também vale para IPv4 no OSPFv2.
Roteador-2(config)#ipv6 router ospf 100
Roteador-2(config-rtr)#passive-interface Loopback 100
Convergência do OSPF
Conforme mencionamos, o OSPF trabalha com atualizações
incrementais, ou seja, só as envia quando ocorre alguma alteração de
topologia na rede. As notificações são feitas por meio de multicast e
não broadcast, o que resulta em uma rápida convergência. Isso evita
saturar a rede, embora onere o processamento do roteador. Também,
evitam-se os loops de roteamento, o que mantém o ambiente mais
estável e seguro.
O processo de convergência costuma ocorrer de forma rápida,
******ebook converter
DEMO
Watermarks*******
geralmente em 50 segundos.
******ebook converter
DEMO
Watermarks*******
Roteador(config-router)#network 192.168.1.0 0.0.0.63 area 1
Roteador(config-router)#network 192.168.1.64 0.0.0.63 area 1
Roteador(config-router)#network 10.1.1.0 0.0.0.255 area 0
Roteador(config-router)#area 1 range 192.168.1.0
255.255.255.128
Dentro da instância router ospf 1 temos três redes, sendo duas delas
na mesma área 1, com prefixos semelhantes, mas com a primeira rede
iniciando em 0 (prefixo de rede) e indo até 63 (broadcast), e a segunda
em 64 até 127. Na sumarização de IPv4 vimos que podemos agregar
duas redes /26 em uma só rede /25. Isso simplificará a tabela de
roteamento anunciada, mas quando o tráfego chegar nesse roteador, ele
saberá decompor o destino para o bloco /26 específico, seja da rede 0
ou da rede 64.
O comando de sumarização dentro do OSPF é: area
<numero_da_area_dos_prefixos> range <rede_sumarizada>
<mascara>. No exemplo ficou: area 1 range 192.168.1.0
255.255.255.128. Como indicado, esse prefixo /25 engloba os dois /26
previamente declarados a fim de enviar apenas um bloco para a tabela
de roteamento.
A configuração de sumarização do protocolo OSPF poderá ser
verificada pelo comando show ip ospf summary-address.
******ebook converter
DEMO
Watermarks*******
RIP V1 RIP V2 EIGRP OSPF IS-IS
CARACTERÍSTICA
Comandos de Verificação
Apresentamos uma tabela com alguns comandos importantes para
verificação e diagnósticos em OSPF:
COMANDO FUNÇÃO
show ip mostra todos os parâmetros dos protocolos de roteamento e valores
protocols do timer
show ip route mostra a tabela de roteamento IP
show ip route mostra as rotas da tabela de roteamento aprendidas pelo OSPF
ospf
show ip ospf mostra a configuração dos roteadores OSPF
show ip ospf mostra as informações de interface e área, ID dos roteadores e
interface vizinhos
show ip ospf mostra as informações (ID, endereço, estado e interface) dos
neighbor vizinhos OSPF
******ebook converter
DEMO
Watermarks*******
debug ip ospf fornece maiores detalhes para o diagnóstico de problemas,
adj identificando as adjacências com os vizinhos
debug ip ospf Emite log para cada pacote OSPF
events
debug ip ospf Emite logs descrevendo o conteúdo de todos os pacotes OSPF
packet
******ebook converter
DEMO
Watermarks*******
*>i10.100.0.0/16 172.16.14.105 1388 91351 0 10
*>i10.101.0.0/16 172.16.14.105 1388 91351 0 10 20 25
*>i10.103.0.0/16 172.16.14.101 1388 173 173 10 20 25
*>i10.104.0.0/16 172.16.14.101 1388 173 173 10 20 25
*>i10.100.0.0/16 172.16.14.106 2219 20889 0 53285 33299
Configurando eBGP
Para configurar uma sessão eBGP entre um roteador da empresa e
um provedor de serviços, são necessários poucos comandos, bastando
ter o IP do neighbor ou peer e o ASN (número do AS). Vejamos um
******ebook converter
DEMO
Watermarks*******
exemplo dos comandos para a topologia da Figura 12.5:
RT01(config)#router bgp 100
RT01(config-router)#neighbor 10.10.12.2 remote-as 22
RTISP02(config)#router bgp 22
RTISP02(config-router)#neighbor 10.10.12.1 remote-as 100
RTISP02(config-router)#
*Jul 25 01:08:52.738: %BGP-5-ADJCHANGE: neighbor 10.10.12.1
Up
******ebook converter
DEMO
Watermarks*******
State/PfxRcd
10.10.12.2 4 22 6 5 2 0 0 00:01:08 1
******ebook converter
DEMO
Watermarks*******
*Jul 21 01:36:08.147: %BGP-5-ADJCHANGE: neighbor 10.10.12.2
Down Admin. shutdown
*Jul 21 01:36:08.147: %BGP_SESSION-5-ADJCHANGE: neighbor
10.10.12.2 IPv4 Unicast topology base removed from session
Admin. shutdown
RT01#show ip bgp summary
BGP router identifier 10.10.12.1, local AS number 100
BGP table version is 3, main routing table version 3
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down
State/PfxRcd
10.10.12.2 4 22 0 0 1 0 0 00:00:10 Idle (Admin)
Para anunciar uma rota via BGP, basta agregar o comando network
<prefixo> mask <mascara_de_rede> dentro da instância router bgp.
Uma vez configurada, poderá ser conferida no roteador vizinho se está
sendo recebida:
RTISP02(config)#router bgp 22
RTISP02(config-router)#neighbor 10.10.12.1 remote-as 100
RTISP02(config-router)#network 10.2.2.0 mask 255.255.255.0
RT01#sh ip route
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
B 10.2.2.0/24 [20/0] via 10.10.12.2, 00:00:09
C 10.10.12.0/24 is directly connected, Ethernet0/0
L 10.10.12.1/32 is directly connected, Ethernet0/0
RT01#sh ip bgp
BGP table version is 4, local router ID is 10.10.12.1
Status codes: s suppressed, d damped, h history, * valid, >
best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-
Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.2.2.0/24 10.10.12.2 0 0 22 i
******ebook converter
DEMO
Watermarks*******
13 - Tópicos Avançados em
Switching
Introdução
O que vimos nos capítulos 5 e 6 refere-se ao modo convencional de
operação de uma rede com switches de camada 2 (Switch Layer 2).
Entretanto, à medida que as redes se tornavam essenciais em uma
organização, veio também a necessidade de ter escalabilidade, garantia de
banda e proteção contra falhas com o uso de links redundantes.
Os links redundantes permitem a continuidade da rede quando ocorre uma
falha física, deixando uma das vias desligada para o uso contingenciado,
por exemplo. Quando múltiplos links estão ativos, os switches necessitam
de mecanismos que evitam problemas de camada 2, como a ocorrência de
loops lógicos.
Neste capítulo, veremos tópicos avançados na operação de switches e
alguns dos mecanismos de prevenção de loop, como STP, RSTP, PVST+,
RPVST+, e agregação de links para ampliação da banda, chamada de
Etherchannel. Embora o exame CCNA exija conhecimento do RPVST+,
como ele é a evolução dos demais, é preciso, primeiro, entender cada um
em sequência para melhor compreensão dos conceitos e funcionamento da
prevenção de loops em geral.
******ebook converter
DEMO
Watermarks*******
padronizado pelo IEEE, através do padrão 802.1d. Porém, os dois
protocolos não são compatíveis. Todos os switches Cisco usam o padrão
IEEE 802.1d para STP.
Podemos afirmar que o protocolo STP fornece as seguintes
funcionalidades:
******ebook converter
DEMO
Watermarks*******
banda. Múltiplos links existem para um determinado switch. Adota-
se aquele cuja porta tem menor custo.
******ebook converter
DEMO
Watermarks*******
o aprendizado para o exame:
******ebook converter
DEMO
Watermarks*******
Tempo de Alô (Hello Time): intervalo em que a bridge publica
o BPDU.
Figura 13.3 – Cenário onde o switch do núcleo (core) deve ter sua prioridade
aumentada.
E é por este motivo que você pode dar um grau de desempenho
melhor à rede, alterando a prioridade do switch central, ou
simplesmente o mais robusto da rede, para que ele possa ganhar esta
eleição e se tornar a raiz, como na Figura 13.3.
Prioridade da Porta
******ebook converter
DEMO
Watermarks*******
Um ponto que é considerado durante a escolha do melhor caminho
para se colocar a porta no estado de encaminhamento é a prioridade da
porta. A prioridade padrão é 128 e pode ser reduzida (mínimo 0) ou
aumentada até 255.
Custo da Porta
O custo STP é o valor acumulado do total do custo do caminho,
baseado na largura de banda do link. Para as redes Ethernet,
geralmente se tem valores para os custos comumente atribuídos. Veja
na Figura 13.4 estes valores.
******ebook converter
DEMO
Watermarks*******
Listening (Escutando): após o estado de Bloqueado, a porta vai
entrar no estado de Escuta, porém esta escuta é em relação aos
frames BPDUs. Estes frames serão escutados para que se
possam detectar caminhos disponíveis para a bridge raiz. Em
resumo, os BPDUs são lidos para assegurar que nenhum loop
ocorrerá na rede antes da passagem dos frames de dados.
******ebook converter
DEMO
Watermarks*******
Figura 13.5 – Passagem de estados e os tempos (timers).
******ebook converter
DEMO
Watermarks*******
Identificar a porta raiz (Root Port).
******ebook converter
DEMO
Watermarks*******
Gi0/2 (no SW2) e Gi0/1 (no SW3).
Identificar a Porta Designada (Designated Port)
A etapa final para a topologia STP é a identificação das portas
designadas. Estas possuem esse nome por serem responsáveis por
conduzir o tráfego em direção ao Root Bridge com um caminho menor
ou, em outras palavras, com menor custo em um segmento LAN.
Considerando os custos dos links (ver Figura 13.4), cada switch
nonroot (que não é o raiz) passa os pacotes BPDU com a informação
de custos em direção ao Root. Caso o custo seja igual, teremos
critérios de desempate, que no caso será o Bridge ID (BID). No
cenário, o switch nonroot que tem o menor BID é o switch 2, logo sua
interface Gi0/1 será a Designated Port (DP).
Certo, mas e daí? Temos tudo identificado, portas e switches, mas
ainda temos um loop na rede. O que vem depois? Perceba que de fato
todo o processo serve para montar a topologia STP e identificar quem
é quem dentro dela. No entanto, faltou uma porta a ter algum papel
nessa história toda. A porta Gi0/2 do SW3 não foi identificada como
Designated, tampouco como Root, portanto seu papel “nulo” a leva a
ser colocada no estado Blocking, onde o tráfego não passa. Isso faz
com que o loop deixe de existir e apenas exista um único caminho para
a circulação dos dados na rede.
Lembre-se, mesmo estando em Blocking, ela “escuta” os BPDUs e,
quando houver um anúncio de uma falha na rede, esta porta entrará no
estado Forwarding, reativando o caminho alternativo.
******ebook converter
DEMO
Watermarks*******
empate, usar critérios de desempate.
******ebook converter
DEMO
Watermarks*******
Porta Rápida (PortFast): A tecnologia de Porta Rápida ou Port
Fast é uma técnica criada para otimizar a operação das portas
dos switches que estão conectadas aos sistemas finais, como
estações de trabalho. Esta tecnologia faz uma pequena alteração
no processo STP. Basicamente, quando sabemos que uma porta
só terá computadores conectados, mas jamais outro switch ou
bridge, a técnica PortFast permite que se aprenda o MAC do
host e já inicie o encaminhamento de pacotes (Forwarding).
Com o STP ativo, sem o parâmetro PortFast, ter-se-ia que
aguardar todos os ‘timers’ até que a porta estivesse pronta para
tráfego de dados. Abaixo, o comando que ativa o recurso dentro
de uma interface:
Switch-1(config-if)# spanning-tree portfast
ou
Switch-1(config)# int Gi0/1
Switch-1(config-if)# spanning-tree bpduguard enable
******ebook converter
DEMO
Watermarks*******
recurso deve ser usado em switches mais próximos das estações
e não naqueles que são elementos do núcleo da rede (core).
Comando:
Switch-1(config)# spanning-tree uplinkfast
******ebook converter
DEMO
Watermarks*******
papel do STP, enviando e recebendo dados,
bem como aprendendo endereços MAC.
Com toda essa implementação, o RSTP permite
a convergência em menos de 10 segundos
(comparados aos 50s do STP convencional),
ainda podendo chegar a valores próximos a 2
segundos.
Nas portas de acesso (Edge Port), é possível
garantir que a transição seja feita sem maiores
necessidades de controle, já que a ligação é feita
para uma estação final e esta não pode gerar loop.
O tipo de link é outra variável importante, pois
uma porta operando em Full Duplex é
considerada do tipo ponto a ponto (point-to-
point), ou seja, é um link onde deverá haver o
controle de loop e a checagem da topologia
durante a transição. Podemos exemplificar um
cenário de convergência do RSTP 802.1w através
da Figura 13.8.
******ebook converter
DEMO
Watermarks*******
Figura 13.8 – Cenário de Convergência RSTP-802.1w.
******ebook converter
DEMO
Watermarks*******
Rapid Per-VLAN Spanning-Tree+ (Rapid
PVST+)
Se temos um Rapid STP, por que não criar um Rapid PVST+ com o
mesmo conceito, mas aplicado às VLANs?
É justamente isso que o Rapid PVST+ faz. O que vimos sobre as
melhorias do STP aplicadas em instâncias de VLANs, o mesmo vale
na versão otimizada para melhorar os tempos de convergência no
mesmo cenário. É a implementação do ١٠٨.٢w dentro dos segmentos
VLAN.
A questão será sempre o uso de recursos do switch, como memória e
processamento. Mas os ganhos com essas funções permitem uma rede
de operação rápida e robusta.
Implementação do RPVST+
Agora que conhecemos melhor cada um desses protocolos, vamos
apresentar alguns comandos para configuração na rede com switches.
Aqui especificamente será mostrado o RPVST+ que é cobrado no
exame CCNA.
Switch(config)#spanning-tree mode ?
mst Multiple spanning tree mode
pvst Per-Vlan spanning tree mode
rapid-pvst Per-Vlan rapid spanning tree mode
******ebook converter
DEMO
Watermarks*******
Fa0/6 Root LIS 19 128.8 P2p
Fa0/7 Altn BLK 19 128.9 P2p
Fa0/8 Altn BLK 19 128.10 P2p
Fa0/11 Desg LIS 19 128.13 P2p
******ebook converter
DEMO
Watermarks*******
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15 sec
Para alterar o custo de uma porta, tirando-a dos custos padrão, basta
entrar na interface desejada. O custo padrão de uma FastEthernet
(100Mbps) é 19. Alterando para 10, fica:
Switch(config)#int fa0/1
Switch(config-if)#spanning-tree vlan 1 cost 10
******ebook converter
DEMO
Watermarks*******
Switch(config)#spanning-tree portfast ?
bpdufilter Enable portfast bpdu filter on this switch
bpduguard Enable portfast bpdu guard on this switch
default Enable portfast by default on all access ports
Switch(config)#spanning-tree portfast bpduguard ?
default Enable bpdu guard by default on all portfast ports
******ebook converter
DEMO
Watermarks*******
vlan 2,3
******ebook converter
DEMO
Watermarks*******
switchport mode trunk
channel-group 10 mode active
!
interface FastEthernet0/2
description TRUNK AGREGADA
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3
switchport mode trunk
channel-group 10 mode active
!
interface FastEthernet0/3
description TRUNK AGREGADA
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3
switchport mode trunk
channel-group 10 mode active
!
<restante omitido>
******ebook converter
DEMO
Watermarks*******
src-mac: avalia apenas endereço MAC de
origem (camada 2)
******ebook converter
DEMO
Watermarks*******
4)
Ao colocarmos o comando port-channel load-
balance src-mac, por exemplo, o switch vai
verificar o frame e considerar o MAC de origem
e enviará a uma porta física. Quando uma
aplicação iniciar a transmissão, o fluxo de dados
que se estabelecer vai tomar um caminho físico,
ou seja, uma das portas físicas do Port-channel.
Enquanto essa transmissão ocorrer partindo do
mesmo MAC, o método de balanceamento vai
mandar para uma interface apenas. Outros fluxos
com MACs de origem diferentes tomarão outras
portas do agregado.
Switch(config)# port-channel load-balance
src-mac
show etherchannel.
******ebook converter
DEMO
Watermarks*******
show etherchannel <numero> port-channel.
******ebook converter
DEMO
Watermarks*******
14 - Listas de Controle de Acesso
IP – ACL
Introdução
Na atual realidade da informática e da interligação de redes, ter um
controle sobre o tráfego da rede ou de um de seus componentes é algo que
está se tornando padrão. Hoje todos querem ter um firewall na rede, mas
quando não têm orçamento disponível para isso, implementam soluções de
softwares livres (Freeware ou Open-Source) ou aproveitam características
de outros equipamentos para fechar as portas lógicas que possam permitir o
acesso não autorizado aos recursos da rede.
A lista de controle de acesso (Access Control List ou ACL) dos
roteadores Cisco é usada essencialmente para controlar o tráfego através de
uma lista de condições que precisam ser atendidas. O roteador poderá
encaminhar ou bloquear pacotes de acordo com as premissas especificadas,
semelhante às regras de firewalls. Esse tipo de implementação não visa
substituir um firewall dedicado, mas agrega um nível adicional de
segurança na implementação da sua rede. As condições incluem:
Endereço de Origem.
Endereço de Destino.
O protocolo usado.
******ebook converter
DEMO
Watermarks*******
de rotas e seleção, ou critério de tráfego para QoS (Qualidade de Serviço)
através de classificação de prioridade de pacotes.
Aqui, iremos abordar a lista de acesso do protocolo IP para filtragem de
pacotes, que é a temática cobrada no exame CCNA.
Na Figura 14.1 há um exemplo de rede que contempla esse tipo de
controle. Em um roteador há um bloqueio para a porta TCP 110 (POP3) e
uma permissão para as portas TCP 80 (HTTP), tipicamente usado para
permitir apenas o tráfego de acesso às páginas Web armazenadas nesse
servidor e negar acesso a e-mails.
******ebook converter
DEMO
Watermarks*******
Só é possível aplicar apenas uma lista de acesso por interface e
em cada sentido (in/out), mas dentro dela pode haver filtros
diversos, seja por protocolo ou prefixo IP.
******ebook converter
DEMO
Watermarks*******
de pessoas que podem ou não entrar na Sala 113.
Figura 14.2 – Um porteiro com uma lista de acesso de várias salas, mas checando o
acesso no início do corredor.
Veja que, neste primeiro caso, o porteiro tem uma lista de acesso
onde só é testado um parâmetro, que é o de origem, ou seja, ele apenas
quer saber se a pessoa que está entrando satisfaz ou não um conjunto
de condições, porém ele não quer saber para onde esta pessoa vai.
Com isso ele acaba bloqueando mais gente do que precisa. Isto ratifica
a afirmação que diz: “coloque a lista de acesso padrão sempre próxima
ao destino”. Desta forma o correto seria colocar o porteiro apenas na
porta de entrada da sala (a 113) que requer este conjunto de condições
para entrar, neste caso, o destino. Veja o correto na Figura 14.3.
Figura 14.3 – Agora o porteiro ficou na porta da sala que requer estes critérios para
******ebook converter
DEMO
Watermarks*******
entrar. Com isso a entrada para as outras salas está liberada.
Isto está totalmente relacionado à lista de acesso padrão, pois como
ela não testa o destino, ela acaba bloqueando toda a origem.
Por essa razão, quando se deseja testar mais parâmetros, é
imprescindível usar lista de acesso estendida. Veja a seguir, na Figura
14.4, a diferença de funcionamento no exemplo do porteiro. Note que
agora são questionados a origem (relativo à pessoa) e o destino (a sala
113):
Figura 14.4 – O porteiro agora pergunta diversas coisas antes de deixar ou recusar a
entrada.
Antes de iniciar a implementação da lista de acesso, vejamos na
tabela seguinte um resumo das implementações sobre ACLs IP:
INTERVALO
PROTOCOL DE LISTAS DE
DESCRIÇÃO
O ACESSO
DISPONÍVEL
ACL Padrão 1-99 e 1300- Usa somente o endereço IP de origem do pacote
1999 para filtrar a rede.
ACL 100 – 199 e Este tipo de filtro verifica tanto o endereço IP de
Estendida 2000-2699 origem quanto de destino, verifica o tipo de
protocolo (camada de rede) e o número da porta
(camada de transporte).
******ebook converter
DEMO
Watermarks*******
Roteador(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list
O nome do host.
Qualquer host.
Um intervalo de rede.
******ebook converter
DEMO
Watermarks*******
Vejamos um exemplo de um bloqueio de um host específico:
Roteador(config)# access-list 30 deny host 192.168.1.200
Note que, para indicar o intervalo das 254 máquinas deste segmento
de rede, a máscara foi invertida. O último octeto indica que todas as
máquinas do segmento entram no filtro.
******ebook converter
DEMO
Watermarks*******
Até então é bem simples, porém e se você tiver que especificar uma
faixa de endereços de uma sub-rede VLSM? Simplificando, digamos
que você tenha uma rede com o endereço 10.85.8.0 e máscara
255.255.248.0 e queira restringir pacotes vindos dos segmentos 8 ao
15 (10.85.8.0 a 10.85.15.0). Sabemos que o intervalo que esta rede
proporciona é de 7 dígitos, ou seja, a primeira rede é de 0 – 7, a
segunda é de 8 – 15, a terceira de 16 – 23 e assim por diante.
Muito bem, como faríamos agora? Bem, o endereço na lista de
acesso ficaria:
10.85.8.0 0.0.7.255
******ebook converter
DEMO
Watermarks*******
que representará o intervalo. Teríamos:
0000 -> 1111 = 15
******ebook converter
DEMO
Watermarks*******
permita o resto. Se permitir algumas, negue o resto (já implícito).
Note que vários protocolos são apresentados. Neste caso você está
querendo impedir o acesso através de uma aplicação TCP/IP. Neste
exemplo, temos que mapear a aplicação TCP através da porta. Veja:
Roteador(config)#access-list 101 deny tcp ?
A.B.C.D Source address
******ebook converter
DEMO
Watermarks*******
any Any source host
host A single source host
******ebook converter
DEMO
Watermarks*******
<0-65535> Port number
bgp Border Gateway Protocol (179)
chargen Character generator (19)
cmd Remote commands (rcmd, 514)
daytime Daytime (13)
discard Discard (9)
domain Domain Name Service (53)
echo Echo (7)
exec Exec (rsh, 512)
finger Finger (79)
ftp File Transfer Protocol (21)
ftp-data FTP data connections (used infrequently, 20)
gopher Gopher (70)
hostname NIC hostname server (101)
ident Ident Protocol (113)
irc Internet Relay Chat (194)
klogin Kerberos login (543)
kshell Kerberos shell (544)
login Login (rlogin, 513)
lpd Printer service (515)
nntp Network News Transport Protocol (119)
pim-auto-rp PIM Auto-RP (496)
pop2 Post Office Protocol v2 (109)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
sunrpc Sun Remote Procedure Call (111)
syslog Syslog (514)
tacacs TAC Access Control System (49)
talk Talk (517)
telnet Telnet (23)
time Time (37)
uucp Unix-to-Unix Copy Program (540)
whois Nicname (43)
www World Wide Web (HTTP, 80)
Vemos que aparece uma série de portas. A restrição neste caso será
feita na porta de FTP. Teremos então o comando abaixo:
Roteador(config)# access-list 101 deny tcp 192.168.40.0
0.0.0.255 host eq 21 ?
ack Match on the ACK bit
eq Match only packets on a given port number
established Match established connections
fin Match on the FIN bit
gt Match only packets with a greater port number
log Log matches against this entry
log-input Log matches against this entry, including input
interface
******ebook converter
DEMO
Watermarks*******
lt Match only packets with a lower port number
neq Match only packets not on a given port number
precedence Match packets with given precedence value
psh Match on the PSH bit
range Match only packets in the range of port numbers
rst Match on the RST bit
syn Match on the SYN bit
time-range Specify a time-range
tos Match packets with given TOS value
urg Match on the URG bit
<cr>
******ebook converter
DEMO
Watermarks*******
Figura 14.5 – Cenário de implementação.
RT_Matriz#configure terminal
RT_Matriz(config)# access-list 110 deny tcp 192.168.3.0
0.0.0.255 host 192.168.1.10 eq 80
RT_Matriz(config)# access-list 110 permit ip any any
******ebook converter
DEMO
Watermarks*******
Monitorando as Listas de Acesso
Uma forma de acompanhar o crescimento e como estão configuradas
as listas de acesso é através de uma série de comandos de visualização.
Vejamos os principais:
COMANDO FUNÇÃO
show Mostra todas as listas de acesso e como estão configuradas. Porém
access-list não mostra a qual interface está aplicada.
show Mostra apenas a lista de acesso 101 ou número que se especificar.
access-list
101
show ip Mostra apenas as listas de acesso de IP aplicadas ao roteador.
access-list
show Mostra as listas de acesso e em que interface está aplicada.
running-
config
show ip Mostra que as interfaces IP têm lista de acesso.
interface
Veja o exemplo do comando show access-list:
Roteador# show access-list
Standard IP access list 1
permit any, wildcard bits
Standard IP access list 101
deny tcp, wildcard bits 192.168.40.0
******ebook converter
DEMO
Watermarks*******
Através da execução do comando show running, vejamos um
exemplo de configuração deste recurso:
interface ethernet 0
ip address 10.10.10.10 255.0.0.0
ip access-group 1 in
ip access-group 2 out
!
access-list 1 permit 50.60.0.0 0.0.255.255 log
access-list 1 deny 70.90.0.0 0.0.255.255 log
!
access-list 2 permit 10.20.30.40 log
access-list 2 deny 10.20.0.0 0.0.255.255 log
O parâmetro log no final do comando indica que esta lista está sendo
monitorada. Estando com esta configuração aplicada, suponhamos que
a interface tenha recebido 10 pacotes do endereço 50.60.70.70 e 14
pacotes do endereço 10.20.23.21; o log aparecerá como mostra abaixo:
list 1 permit 50.60.70.70 1 packets
list 2 deny 10.20.23.21 1 packet
******ebook converter
DEMO
Watermarks*******
regras na Camada de Distribuição e quase nenhuma na Camada
Núcleo ou “Core”.
Outra estratégia de um correto gerenciamento das ACLs é usar as
listas Nomeadas (Named Access Lists). Por sua característica intuitiva,
as ACLs Nomeadas permitem o uso de nomes ao invés de números em
sua identificação. Se o roteador tiver muitas regras, os nomes
permitem uma melhor gestão de suas funcionalidades em comparação
aos números.
Apresentamos anteriormente o recurso “remark” para se colocar um
descritivo que pode auxiliar o administrador, mas quando se usa esse
parâmetro, todo o sistema ainda fará referência ao número da lista, seja
estendida ou padrão.
Com a lista Nomeada, podemos usar o nome dentro de uma
interface, facilitando a associação. Vejamos como isso é possível,
analisando a sintaxe do comando:
Roteador(config)# ip access-list ?
extended Extended Access List
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
******ebook converter
DEMO
Watermarks*******
permit Specify packets to forward
remark Access list entry comment
Essa ACL 1 (standard) tem duas linhas, mas caso você precise
alterar a máscara de rede de uma delas, terá que recriar todas as linhas
referenciadas pela access-list 1.
no access-list 1 deny 70.90.0.0 0.0.255.255 log
******ebook converter
DEMO
Watermarks*******
any eq 80
******ebook converter
DEMO
Watermarks*******
deny ip any any
permit tcp 172.16.0.0 0.0.255.255 any eq www
******ebook converter
DEMO
Watermarks*******
para listas Nomeadas, caso contrário, podemos remover as duas linhas
com um único comando, o que não é desejado.
Roteador(config)# ip access-list extended 101
Roteador(config-ext-nacl)# no permit tcp any eq www any eq
www
Roteador(config-ext-nacl)# 1 permit tcp any any eq www
E o resultado ficará:
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq ftp
******ebook converter
DEMO
Watermarks*******
15 - Serviços IP
Introdução
O exame CCNA também exige do candidato conhecimentos sobre outros
serviços ou funcionalidades IP nos roteadores, além das operações básicas
de roteamento, switching, VLANs, etc., vistos nos capítulos anteriores.
Neste capítulo veremos o NAT, DHCP, SNMP e implementação do NTP,
serviços essenciais que são comumente usados nas redes atuais.
******ebook converter
DEMO
Watermarks*******
302 Traditional IP Network Address Translator (Traditional www.rfc-editor.org/in-
2 NAT) notes/rfc3022.txt
266 IP Network Address Translator Considerations www.rfc-editor.org/in-
3 notes/rfc2663.txt
276 Network Address Translation - (NAT) Terminology and www.rfc-editor.org/in-
6 Protocol Translation (NAT-PT) notes/rfc2766.txt
299 Architectural Implications of NAT www.rfc-editor.org/in-
3 notes/rfc2993.txt
323 Network Address Translator (NAT) -Friendly Application www.rfc-editor.org/in-
5 Design Guidelines notes/rfc3235.txt
Como dito anteriormente, há vários cenários em que o NAT se encaixa.
Para que você entenda melhor a tecnologia, vamos verificar um cenário
comumente utilizado.
Figura 15.1 – Uso de um único endereço IP para permitir o acesso de múltiplos hosts
da rede interna à Internet.
Neste cenário vamos explicar cada etapa numerada:
1. A estação, cujo endereço IP é 10.0.1.5, está fazendo acesso ao site
www.seusite.com. Partindo do pressuposto que a resolução de nome
DNS já foi feita, ele deverá encaminhar a requisição para o
“Default Gateway” (gateway padrão), pois o endereço do site não é
do mesmo segmento de rede que o dele.
2. O roteador, por sua vez, receberá a requisição e vai armazenar em
uma tabela as informações semelhantes às mostradas abaixo:
END. DE PORTA ENDEREÇO PORTA DE ENDEREÇO PORTA DE
ORIGEM DE DE DESTINO DESTINO TRADUZIDO ORIGEM
ORIGEM TRADUZIDA
10.0.1.5 49180 69.192.16.17 80 200.198.130. 2056
0 2
3. A requisição é encaminhada através de um novo pacote cujo
******ebook converter
DEMO
Watermarks*******
endereço de origem foi trocado e armazenado na tabela acima
mostrada.
4. A resposta que vem do servidor Web seusite.com terá como
destino o endereço válido do roteador na porta que foi traduzida
(2056).
5. O roteador recebe a resposta, verifica na tabela o mapeamento e
encaminha para o host de solicitante, cujo endereço IP é 10.0.1.5.
Neste momento ele mostra que o endereço de origem é o da sua
interface Ethernet, ou seja, 10.0.1.1.
Antes que você pense na obviedade disso, lembre-se que, no
conceito de protocolos, temos sempre o endereço de origem e destino.
Esses dados são fixos e percorrem todo o trajeto, mesmo quando temos
redes distintas, ligadas por roteadores. Entretanto, o NAT é um recurso
que oculta o IP de origem colocando outro, de maneira que um IP
válido conheça uma origem válida, ou então teríamos o pacote indo,
porém, não voltando. Esse é o papel fundamental do NAT.
O NAT é um recurso alternativo ao esgotamento de endereços e por
esta razão o endereçamento IPv6 foi desenvolvido possibilitando a
expansão da quantidade de endereços para um valor praticamente
inesgotável.
O NAT da Cisco
A Cisco trabalha com várias nomenclaturas para definição do NAT
em sua estrutura. Esta terminologia pode não ser a mesma em outros
fabricantes. Desta forma, o que iremos mostrar a seguir é um padrão
Cisco para definição do funcionamento do NAT. Fique atento às
definições das nomenclaturas utilizadas na Figura 15.2 a seguir:
******ebook converter
DEMO
Watermarks*******
Outside Local: Endereço IP do host externo quando aparece na
rede interna, ou seja, após a tradução do endereço externo para o
interno.
******ebook converter
DEMO
Watermarks*******
ser usado em vários cenários, inclusive citamos
um de exemplo. A Cisco define algumas
nomenclaturas específicas para os diferentes tipos
de NAT suportados. Vejamos quais são eles:
******ebook converter
DEMO
Watermarks*******
endereço válido. Esta aplicação é similar
àquelas configurações de “servidor virtual”
disponível na maioria dos roteadores sem-fio
que permite você acessar um computador em
sua rede doméstica estando fora dela,
geralmente para fins de jogos on-line.
******ebook converter
DEMO
Watermarks*******
Dividir a configuração em blocos facilitará o entendimento de cada
parte da implementação. No primeiro bloco temos a definição do
endereço IP da interface FastEthernet 0/0 como sendo interno; para
isso usamos o comando ip nat inside. A mesma coisa acontece no
segundo bloco, onde temos a definição da DMZ. A DMZ (ou zona
desmilitarizada) é uma rede “neutra” não pertencente à rede interna e
tampouco à externa, possibilitando a publicação de servidores que
serão de acesso público, mas protegido através de um firewall ou, no
nosso caso, por um roteador.
No terceiro bloco temos a definição da interface externa, que no caso
é a Serial 0/0; note que neste caso o comando usado foi o ip nat
outside.
Na primeira linha do quarto bloco temos a definição de um pool (ou
grupo de endereços válidos) chamado “internet” cujo intervalo é de
apenas um endereço, ou seja, o próprio endereço da interface serial e
usando o prefixo /24 que corresponde à máscara classe C de 24 bits.
Com isso já possibilitamos o chamado overloading, pois todos os
endereços irão sair para a Internet com apenas um endereço válido. Na
segunda linha temos, portanto, a definição de quem poderá acessar a
rede externa. Note que temos neste caso um apontador para uma lista
de acesso 10, indicando que a origem do acesso da rede interna (ip nat
inside source) deverá corresponder à lista de acesso 10 (access-list 10)
e o pool de saída a ser usado é o Internet (pool internet), e por fim
indica que o tipo de NAT é overload.
Como temos um apontador para uma lista precisamos ter então uma
ACL para fazer este controle e aí está ela no último bloco. Note que o
acesso permitido está indo para a rede interna e para a DMZ.
Vale informar que a lista 10 é uma ACL padrão, autorizando toda
uma rede. Como vimos no capítulo 14, esse controle pode ser
customizado de acordo com o projeto do administrador da rede, ou
seja, especificando uma rede, um host ou origem e destinos específicos
que deverão passar pelo recurso de NAT.
Outros Comandos
Vejamos outros comandos utilizados pelo NAT:
DESCRIÇÃO
******ebook converter
DEMO
Watermarks*******
COMANDO
******ebook converter
DEMO
Watermarks*******
!
ip dhcp pool FILIAL01
default-router 172.16.0.1
dns-server 10.0.0.1
netbios-name-server 10.0.1.20
lease 2 12 30
!
<partes omitidas>
******ebook converter
DEMO
Watermarks*******
Embora o exame CCNA não exija configuração do SNMP, apenas
conceitos, aqui apresentaremos este protocolo e alguns comandos, a
fim de preparar o leitor para o mercado de trabalho em redes.
Das possibilidades suportadas pelo IOS Cisco, temos o SNMPv2c e
SNMPv3. A diferença está na autenticação oferecida pelo segundo.
Ambos são bem simples e permitem, inclusive, indicar uma lista de
acesso (ACL) para aceitar solicitações apenas de hosts ou redes
específicas.
Roteador(config)# snmp-server community @cademiaT1 ?
<1-99> Std IP accesslist allowing access with this community
string
<1300-1999> Expanded IP accesslist allowing access with this
community
string
WORD Access-list name
ipv6 Specify IPv6 Named Access-List
ro Read-only access with this community string
rw Read-write access with this community string
view Restrict this community to a named MIB view
******ebook converter
DEMO
Watermarks*******
noauth group using the noAuthNoPriv Security Level
priv group using SNMPv3 authPriv security level
******ebook converter
DEMO
Watermarks*******
MONTH Month of the year
Roteador#clock set 16:47:00 25 Jul 2021
******ebook converter
DEMO
Watermarks*******
modelo e versão de IOS.
O CDP também é usado para identificação de portas de voz e dados
pelos telefones IP da Cisco. Para verificar os dados de um
equipamento vizinho com o CDP, temos os comandos show cdp
<variável>:
RT01#show cdp ?
entry Information for specific neighbor entry
interface CDP interface status and configuration
neighbors CDP neighbor entries
tlv CDP optional TLVs
tlv-list Information about specific tlv list
traffic CDP statistics
| Output modifiers
<cr>
RT01#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source
Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID
Switch Eth 0/0 179 R S I Linux Uni Eth 0/1
Total cdp entries displayed : 1
******ebook converter
DEMO
Watermarks*******
Cisco. A vantagem do LLDP é integrar equipamentos de vários
fabricantes e ter uma melhor gestão da rede.
Para ativá-lo, deve-se configurar o lldp run no comando global do
equipamento ou ativar o modo transmitir (lldp transmit) e receber
(lldp receive) em cada interface. Quando se usa lldp run, habilita-se o
protocolo em todo o equipamento, tanto no lado transmitir, quanto no
receber. Caso alguma interface não deva ter o lldp ativo após a
configuração do lldp run, deve-se negar o comando individualmente
nela:
RT01(config)# lldp run
RT01(config)# int e0/0
RT01(config-if)# no lldp transmit
RT01(config-if)# no lldp receive
******ebook converter
DEMO
Watermarks*******
Depois, para visualizar os logs do sistema, basta entrar com show
logging. Segue um resultado de exemplo:
*Sep 14 13:31:45.781: %SYS-5-CONFIG_I: Configured from
console by console
*Sep 14 13:43:58.174: %OSPF-5-ADJCHG: Process 1, Nbr
10.208.0.33 on Ethernet0/0 from FULL to DOWN, Neighbor Down:
Interface down or detached
*Sep 14 13:44:28.324: %OSPF-5-ADJCHG: Process 1, Nbr
10.208.0.33 on Ethernet0/0 from LOADING to FULL, Loading Done
*Sep 14 13:50:45.010: %SYS-5-CONFIG_I: Configured from
console by console
*Sep 14 14:29:15.215: %LINK-3-UPDOWN: Interface Ethernet0/1,
changed state to up
*Sep 14 14:29:16.220: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Ethernet0/1, changed state to up
Com show flash: você vê o conteúdo. Com dir flash: você também
vê o tamanho dos arquivos e permissões.
Para garantir que o arquivo recebido é o correto, o site Cisco informa
um hash MD5 que garante autenticidade e evita que você rode um
arquivo .bin que não é um IOS real (talvez um arquivo corrompido ou
que se passa por um .bin).
******ebook converter
DEMO
Watermarks*******
Para comparar o hash do arquivo recebido ou presente na Flash, com
o hash indicado pela Cisco, basta testar com o comando a seguir e
compará-lo com o do site. Se coincidente, o arquivo é o correto:
Roteador# verify /md5 flash:<nome_do_arquivo_IOS.bin>
******ebook converter
DEMO
Watermarks*******
16 - Serviços de Alta
Disponibilidade
Introdução
As redes corporativas atuais são a base dos negócios das empresas e não
podem sofrer interrupções que prejudiquem suas operações. Um bom
projeto de rede contempla provedores, distintos, múltiplos switches em
anel, servidores agrupados em clusters que permitem alta disponibilidade de
conectividade e serviços.
Para proporcionar alta disponibilidade também nos enlaces WAN ou entre
redes que são interligadas por roteadores, os administradores necessitam
configurar protocolos que lidem com as mudanças da rede dinamicamente e
de maneira transparente aos demais dispositivos e usuários. Também pode-
se fazer uso da computação em nuvem (Cloud), para dar maior robustez à
rede, provendo serviços escaláveis.
Para isso, veremos neste capítulo os protocolos que realizam funções de
balanceamento de carga ou chaveamento automático para um roteador
backup, chamados protocolos de Redundância de Primeiro Salto (First Hop
Redundancy Protocol – FHRP). Dentre eles, veremos:
******ebook converter
DEMO
Watermarks*******
Posteriormente, neste mesmo capítulo, apresentamos o conceito da
computação em nuvem (Cloud Computing) que permitirá o entendimento
dos serviços escaláveis em rede.
******ebook converter
DEMO
Watermarks*******
alocando 50% das estações de usuários a cada roteador, em um cenário
com dois gateways (roteadores).
Com o HSRP, por exemplo, as estações verão apenas um endereço
IP como gateway, que será publicado por ambos os roteadores (active
e standby) de maneira lógica, virtual.
A Figura 16.1 mostra o cenário com a topologia física mais comum
para todos os protocolos FHRP.
Observe na figura que temos dois cenários com conexões físicas. No
primeiro, há dois roteadores, interligados e conectados cada um em
switch distinto. Na parte WAN, conectados a um provedor de serviços.
No segundo, a rede se concentra em um switch que, por sua vez, tem
conexão com os dois roteadores.
Em qualquer um deles, haveria o problema descrito anteriormente,
onde cada estação da rede deveria ter dois gateways configurados,
cujos sistemas operacionais normalmente não aceitam. Ao ativar os
protocolos de redundância, existirá um “roteador virtual” entre os
roteadores, no qual as estações enviarão seus pacotes.
No HSRP, o processo funciona da seguinte forma:
******ebook converter
DEMO
Watermarks*******
passando a divulgar o MAC virtual ao(s) switch(es), que
passarão a ver esse endereço físico por uma nova porta.
O pré-requisito aqui é que os roteadores que fazem parte do conjunto
HSRP devem estar acessíveis um ao outro, ou seja, deve haver uma
interligação entre eles via uma porta Ethernet (Fast ou Giga), ou
através de switch. Com isso, será possível que eles troquem
informações do HSRP.
Configuração do HSRP
Vejamos agora o processo de configuração do HSRP. Inicialmente, é
preciso definir os endereços IP dos dois roteadores, usando o cenário
da Figura 16.1, e um IP para o roteador virtual, que será o gateway da
rede.
Usaremos:
Roteador 1: 172.16.1.1/24
Roteador 2: 172.16.1.2/24
******ebook converter
DEMO
Watermarks*******
Roteador-1(config)# int fa0/0
Roteador-1(config-if)#standby 1 ip 172.16.1.254
Roteador-1(config-if)#standby 1 priority 105
Roteador-1(config-if)#standby 1 preempt
O Roteador 2 fica:
Roteador-2(config)# int fa0/0
Roteador-2(config-if)#standby 1 ip 172.16.1.254
******ebook converter
DEMO
Watermarks*******
Roteador-1#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:28:46
Virtual IP address is 172.16.1.254
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.328 secs
Preemption enabled
Active router is local
Standby router is 172.16.1.2, priority 100 (expires in 10.992
sec)
Priority 105 (configured 105)
Group name is “hsrp-Fa0/0-1” (default)
******ebook converter
DEMO
Watermarks*******
standby 1 ip 172.16.1.254
standby 2 ip 192.168.1.254
standby 2 priority 105
standby 2 preempt
end
Roteador-1#sh standby br
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Fa0/0 1 105 P Active local 172.16.1.2 172.16.1.254
Fa0/0 2 100 Standby 172.16.1.2 local 192.168.1.254
Roteador-1#sh standby
FastEthernet0/0 - Group 1
State is Active
4 state changes, last state change 00:07:03
Virtual IP address is 172.16.1.254
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.104 secs
Preemption enabled
Active router is local
Standby router is 172.16.1.2, priority 100 (expires in 7.584
sec)
Priority 105 (configured 105)
Group name is “hsrp-Fa0/0-1” (default)
FastEthernet0/0 - Group 2
State is Standby
4 state changes, last state change 00:03:03
Virtual IP address is 192.168.1.254
Active virtual MAC address is 0000.0c07.ac02
Local virtual MAC address is 0000.0c07.ac02 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.112 secs
Preemption disabled
Active router is 172.16.1.2, priority 105 (expires in 8.400
sec)
Standby router is local
Priority 100 (default 100)
Group name is “hsrp-Fa0/0-2” (default)
******ebook converter
DEMO
Watermarks*******
os IPs não serão considerados.
Versões do HSRP
O protocolo ainda tem duas versões, o HSRPv1 e HSRPv2. A
vantagem principal de usar a versão 2 é o suporte a IPv6, amplamente
utilizado nas redes corporativas. Assim, se a LAN tiver IPv6 já vale
considerar a implementação do HSRPv2 que é muito simples. Basta
entrar com o comando específico dentro das interfaces que estão
configuradas com o protocolo e informar a versão. Veja a sintaxe:
standby version <1 ou 2>. Vejamos como ficaria a interface anterior
configurada para usar os pacotes HSRPv2:
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0 secondary
ip address 172.16.1.2 255.255.255.0
duplex auto
speed auto
standby 1 ip 172.16.1.254
standby 2 ip 192.168.1.254
standby 2 priority 105
standby 2 preempt
standby version 2
end
******ebook converter
DEMO
Watermarks*******
exigia a segmentação da rede em duas sub-redes distintas, o que não é
um cenário confortável ao administrador. Além de ter que realizar
atribuição de IPs via DHCP em segmentos distintos, gerenciar qual
máquina pertence a qual sub-rede etc., o balanceamento de carga pode
não ser preciso e resultar no uso desigual dos enlaces de comunicação.
Assim, a Cisco desenvolveu outro protocolo, o GLBP, que permite a
manutenção do endereçamento de rede e promove o balanceamento de
carga de maneira mais igualitária entre os roteadores dessa fabricante.
O processo é semelhante ao HSRP, porém a diferença se dá com a
resposta alternada de quem é o MAC responsável pelo default
gateway. No HSRP, apenas o Ativo respondia às requisições ARP para
o IP virtual, já no GLBP, ambos respondem.
Haverá um único grupo GLBP entre os roteadores, simplificando a
configuração e administração da rede:
Roteador-1(config-if)#do sh run int fa0/0
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
glbp 1 ip 172.16.1.254
glbp 1 priority 105
end
Roteador-2(config-if)#do sh run int fa0/0
!
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
glbp 1 ip 172.16.1.254
end
Roteador-1# sh glbp
FastEthernet0/0 - Group 1
State is Active
1 state change, last state change 00:12:27
Virtual IP address is 172.16.1.254
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.888 secs
Redirect time 600 sec, forwarder timeout 14400 sec
Preemption disabled
Active is local
Standby is 172.16.1.2, priority 100 (expires in 9.984 sec)
Priority 105 (configured)
Weighting 100 (default 100), thresholds: lower 1, upper 100
Load balancing: round-robin
******ebook converter
DEMO
Watermarks*******
Group members:
ca03.18f0.0008 (172.16.1.1) local
cc04.0ba4.0000 (172.16.1.2)
There are 2 forwarders (1 active)
Forwarder 1
State is Active
1 state change, last state change 00:12:16
MAC address is 0007.b400.0101 (default)
Owner ID is ca03.18f0.0008
Redirection enabled
Preemption enabled, min delay 30 sec
Active is local, weighting 100
Forwarder 2
State is Listen
MAC address is 0007.b400.0102 (learnt)
Owner ID is cc04.0ba4.0000
Redirection enabled, 600.000 sec remaining (maximum 600 sec)
Time to live: 14400.000 sec (maximum 14400 sec)
Preemption enabled, min delay 30 sec
Active is 172.16.1.2 (primary), weighting 100 (expires in
11.360 sec)
Roteador-1(config-if)#do sh glbp br
Interface Grp Fwd Pri State Address Active router Standby
router
Fa0/0 1 - 105 Active 172.16.1.254 local 172.16.1.2
Fa0/0 1 1 - Active 0007.b400.0101 local -
Fa0/0 1 2 - Listen 0007.b400.0102 172.16.1.2 -
******ebook converter
DEMO
Watermarks*******
usar para redundância de gateways ou balanceamento de carga.
Assim, apresentamos algumas informações relevantes para o exame,
que devem ser memorizadas:
******ebook converter
DEMO
Watermarks*******
encorajamos o leitor a se aprofundar mais no tema e, após certificar-se
no CCNA, procurar também certificações específicas em Cloud, pois é
uma tendência que veio para ficar.
A computação em nuvem é, basicamente, o fornecimento de serviços
de TI sob demanda, fazendo uso de virtualização que habilita as
funcionalidades de nuvem. Segundo a definição do NIST (National
Institute of Standards and Technology) dos Estados Unidos,
computação em nuvem provê:
Virtualização de Servidores
A esta altura do livro e de seus conhecimentos adquiridos em redes,
o conceito de servidor deve estar relativamente claro: um computador
com recursos de hardware mais robustos e sistema operacional
especial, diferenciado dos computadores pessoais (PC), desktop ou
notebooks.
******ebook converter
DEMO
Watermarks*******
Entretanto, para criação de recursos em nuvem, que permitam aquela
elasticidade, recursos dinâmicos e escaláveis e com poder
computacional suficiente para atender ao crescimento de demanda, o
hardware também deve corresponder a altura e ter o mesmo tipo de
facilidade no que tange ao crescimento de suas capacidades.
Para isso, os fabricantes de servidores – o hardware físico em si –
estão apostando em equipamentos tipo rack, ou blades, que podem ser
ampliados à medida que se requeira. Provedores instalam racks em
datacenters e criam servidores virtuais que permitirão rodar um ou
mais sistemas operacionais simultaneamente, com a possibilidade de
compartilhamento de recursos como CPU, armazenamento, memória
RAM, rede, etc. A escalabilidade (ou elasticidade, segundo o NIST) é
quando novos blades servidores são inseridos no conjunto a fim de
expandir recursos como memória, CPU, por exemplo, à medida que a
demanda ou número de usuários/clientes cresça. Pode-se dizer que a
expansão é ilimitada, contanto que haja espaço físico para ir
acomodando a infraestrutura.
É bem conhecido de todos o termo “núcleo” (core) para
processadores. Um único chip CPU pode conter um ou mais núcleos.
Smartphones, hoje, já contam com CPUs de quatro ou até oito núcleos
que processam aplicativos simultaneamente de maneira compartilhada
e/ou distribuída.
Analogamente funcionam os servidores virtuais. Eles alocam os
múltiplos processadores ou núcleos, porções de memória, placas de
rede, armazenamento centralizado (storage) e demais recursos para
distintos e simultâneos sistemas operacionais ou aplicações
virtualizadas.
Um único servidor de grande capacidade pode conter vários sistemas
rodando, permitindo que o usuário tenha acesso a plataformas de
banco de dados, aplicações remotas, serviços web, e por aí vai.
O conceito de servidor virtual é a criação de uma “máquina virtual”
(virtual machine ou VM) com sistema operacional e aplicações
exclusivas rodando em um hardware que compartilha recursos com
outras máquinas virtuais. O servidor físico é denominado o host
******ebook converter
DEMO
Watermarks*******
(hospedeiro) e nele roda um sistema que gerencia os recursos
(memória, CPU etc.) entre as máquinas virtuais (VMs), chamado
hypervisor ou host de virtualização.
Como exemplos de hypervisor, a Microsoft tem o HyperV, a Cisco
tem o XenServer e um dos mais conhecidos é o VMware vCenter.
O hypervisor permite a instalação de sistemas operacionais
completos chamados de virtualization guest, como Linux, Windows
ou Windows Server. Outro tipo de sistema a ser instalado em um host é
o virtual appliance, que são equipamentos virtualizados dos
fabricantes, como firewalls ou até roteadores. Para armazenamento, a
tecnologia de virtualização ainda permite discos compartilhados ou
virtuais (shared storage).
A virtualização também permite o uso compartilhado de placas de
rede (NIC) através de switches virtuais, isto é, o hardware tem duas ou
mais placas de rede que permitem conexão com a rede física cabeada,
mas que são vistas pelos sistemas operacionais como vNIC ou placas
de rede virtuais. A interligação entre elas é possível com o switch
virtual, cuja operação é similar aos switches físicos, inclusive com as
configurações convencionais. A Cisco também provê equipamentos
virtualizados nos moldes dos servidores virtuais, mas voltado à
infraestrutura de redes, e com o conhecimento provido por este livro
preparatório para CCNA, você poderá operar, inclusive, switches
virtuais desse fabricante.
******ebook converter
DEMO
Watermarks*******
Em todo caso, o usuário não adquire mais licenças, hardwares ou
softwares para que tenha que instalá-los e administrá-los. Ele adquire
SERVIÇOS. Por isso o conceito de Cloud vem atrelado ao conceito
“como serviço”, ou em diversas siglas em inglês “*-as-a-Service”, ou
*aaS, onde o asterisco pode ser substituído por Infraestrutura,
Software, Plataforma e outros mais.
Infraestrutura como Serviço (Infrastructure as a Service – IaaS)
Imagine que você queira um servidor para hospedar um sistema web
que desenvolveu, mas quer ter todo o controle dele, dos recursos e
especificidades que seu sistema requer, mas que uma hospedagem web
não te atende. O que lhe ocorre é adquirir um hardware robusto para
ser o servidor, mas depois você terá que deixá-lo em um datacenter,
contratar um link de um provedor e por aí vai. São muitos elementos
que pode tornar caro e complexo.
Com o IaaS, você pode adquirir, via Internet, uma máquina virtual
(VM) com a quantidade de memória, CPU e armazenamento que
desejar, como se fosse um servidor físico, e o melhor, na Internet
acessível a seus usuários. Basta instalar sua aplicação e já estará
disponível e funcionando. Precisou de mais espaço, mais memória ou
CPU? Simples, a expansão ocorre com alguns cliques e, claro, o
pagamento dos recursos adicionais que já ficam disponíveis. Quando
crescer o número de usuários, ou a demanda, você pode ir ampliando a
capacidade, sem qualquer dificuldade.
Software como Serviço (Software as a Service - SaaS)
O leitor certamente já faz uso desse tipo de serviço se tiver um
smartphone Android ou Apple iOS que requer conexões com Apple
iCloud ou Google Drive. Esses serviços, bem como Dropbox e
similares, são exemplos de softwares providos como serviços, também
escaláveis conforme a demanda por mais capacidade de
armazenamento cresce.
Por trás desses serviços, existem sistemas operacionais e hardwares
escaláveis para atender ao montante de usuários que cresce a cada dia.
Plataforma de Desenvolvimento como Serviço (Platform as a
******ebook converter
DEMO
Watermarks*******
Service – PaaS)
Aqui o conceito é muito parecido com o IaaS, mas a diferença está
no provimento de aplicações de desenvolvimento de software (IDE)
que permite que programadores desenvolvam sistemas e aplicativos e
já os disponibilize para uso em nuvem.
É o tipo ideal de serviço para desenvolvimento de códigos de
software e implementação em tempo real. Tem grande utilidade em
projetos de software, nos quais os desenvolvedores podem estar
distribuídos geograficamente e desenvolvendo partes de softwares que
depois poderão ser testados de maneira coordenada.
******ebook converter
DEMO
Watermarks*******
Internet VPN: usar VPN pela Internet para se conectar a um
provedor Cloud tem as mesmas características citadas no item
anterior, mas com a diferença de que os dados são transmitidos
de maneira segura. O túnel VPN é criptografado e isso garante
confidencialidade na transmissão.
******ebook converter
DEMO
Watermarks*******
quanto para o lado Cloud, esse provedor intermediário
estabelece conexões privadas, seja em MPLS, Ethernet ou VPN,
seguras. Assim, além de segurança, permite a migração
facilitada para provedores de Cloud quando necessário. A
ativação inicial é mais demorada, mas os benefícios posteriores
compensam, frente aos demais esquemas apresentados.
******ebook converter
DEMO
Watermarks*******
17 - Segurança da Infraestrutura
de Rede
Introdução
Ao longo do livro estudamos diversas implementações de protocolos e
dispositivos de rede, mas até então não nos demos conta de como nos
proteger de possíveis ataques ou problemas que comprometam a segurança
da rede e seus usuários.
Para termos uma rede segura, primeiramente a organização deveria contar
com uma Política de Segurança com base nas normas específicas, com
apoio de toda a organização, vindo de cima para baixo, ou seja, tendo o
respaldo da direção da empresa.
Essa Política contém as diretrizes básicas sobre como a organização vê a
segurança e qual a conduta correta para se evitar incidentes ou problemas
que comprometam as informações. Isso vai desde uma política
organizacional, adotando práticas de segurança física e lógica, até uma
política de segurança em pessoas, que auxiliam no estabelecimento de
regras e normas internas voltadas ao usuário no que tange a treinamento e
procedimentos para evitar roubo, fraude ou uso indevido. Tais práticas são
orientadas pela norma NBR ISO/IEC 27002:2013.
Resolvidas essas questões, a área de Tecnologia da Informação da
empresa deverá adequar a estrutura da rede para atender os requisitos da
política organizacional. Assim, os técnicos poderão adotar as medidas mais
apropriadas.
Um plano de segurança de rede se inicia com a proteção física de todos os
dispositivos de rede contra o acesso não autorizado. Isto significa que não
basta termos ótimas políticas internas e aplicativos seguros se os
equipamentos de rede estão expostos pelos corredores, ou em salas abertas,
sem o devido controle, passíveis de serem desligados ou danificados.
Outra etapa é o treinamento de usuários através de programas de
******ebook converter
DEMO
Watermarks*******
capacitação em segurança da informação e as implicações para pessoa e
organização, em casos de violação. Essa conscientização é fundamental
porque pode comprometer todo um Plano de Segurança se for
negligenciada.
Como parte do plano, podemos atuar na proteção lógica, configurando os
equipamentos de maneira que não estejam vulneráveis. Para isso, podemos
considerar, como já afirmamos no Capítulo 14, os roteadores como o
primeiro nível de segurança de rede lógica, atuando na camada de rede e os
switches atuando na camada de Enlace.
O propósito desse capítulo é elucidar alguns pontos específicos sobre
melhoria de segurança nos dispositivos de rede, cobrados pelo exame
CCNA. Para informações mais específicas sobre Segurança de Redes em
geral, consulte nossas outras publicações.
******ebook converter
DEMO
Watermarks*******
buscam usar ferramentas para explorar vulnerabilidades existentes nos
sistemas. Esses termos em destaque são conhecidos na literatura de
segurança como threats, exploits e vulnerability.
Uma pessoa mal-intencionada é uma ameaça. Quando ela faz uso de uma
ferramenta ou software que varre a rede por algum ponto falho, esta
ferramenta é um exploit. O exploit procura por vulnerabilidades
(vulnerabilities) na rede, como um roteador que permite conexão telnet com
senhas fracas, ou um switch que permite conexão de um PC não-autorizado.
Assim, temos a “receita” para criar um incidente de segurança.
As redes estão sujeitas à vários tipos de incidentes. A seguir,
apresentamos alguns mais conhecidos:
******ebook converter
DEMO
Watermarks*******
de tamanhos acima do tamanho máximo do TCP/IP (65536
bytes), geralmente com pacotes mal formados. O objetivo,
além de deixar o link indisponível, é fazer com que os hosts
atacados também travem.
******ebook converter
DEMO
Watermarks*******
Spyware: programa “espião” que, uma vez instalado, busca
pelo perfil de uso de Internet do usuário, dados confidenciais e
outras informações que são enviadas ao controlador (hacker)
remoto.
******ebook converter
DEMO
Watermarks*******
depósito foi feito, e solicita que se clique em um link para confirmar
ou regularizar. O link não leva ao site do banco, mas sim a uma
página falsa que se passa por aquela do banco. Usualmente,
chamamos esse tipo de falha como “phishing”. Alguns outros
conceitos similares que foram derivados do phishing são:
******ebook converter
DEMO
Watermarks*******
Segurança no Nível de Rede
Para a segurança da rede e do próprio roteador, podemos fazer uso dos
seguintes recursos já disponíveis no IOS, entre outros:
1. ACL – Access Control List para acesso console e terminal
2. Segurança de senhas dos roteadores e switches
3. Autenticação de peer ou neighbor de roteamento
4. Controle de usuários por autenticação RADIUS e TACACS+
5. NAT – Network Address Translation (já estudado no Capítulo 15)
ACL
Como vimos no capítulo sobre ACLs, as listas de acesso permitem o
controle de tráfego entrante e sainte do roteador e nos permite verificar
endereços de origem e/ou destino, inclusive com portas de aplicações. Para
controlar o acesso Telnet em um roteador ou switch, de maneira que só o
computador do administrador ou hosts da rede interna tenham acesso, basta
efetuarmos o seguinte:
******ebook converter
DEMO
Watermarks*******
Segurança de Senhas nos Roteadores e Switches
Um único comando já simplifica a vida do administrador no que tange à
segurança dos equipamentos de rede. Toda senha criada no roteador e no
switch para acesso local, console, privilegiado, telnet, etc. é passível de ser
descoberta se não forem codificadas ou “encriptadas”:
Roteador(config)# service password-encryption
Esse comando faz com que o roteador criptografe as senhas mais comuns,
não as deixando visível na configuração (show running). Vejamos como
fica sem e com o comando. A seguir, temos o “show run” (das partes que
nos interessam) do host Roteador que não tem o serviço de codificação
ativado:
Roteador# show running
!
no service password-encryption
!
hostname Roteador
!
enable password cisco123
!
username Admin password 0 netpass
!
line con 0
exec-timeout 0 0
password cisco
login
!
line vty 0 4
access-class 45 in
password telnetcisco
login
!
end
******ebook converter
DEMO
Watermarks*******
hostname Roteador
!
enable password 7 121A0C0411045D5679
!
username Admin password 7 130B12061B0D1739
!
line con 0
exec-timeout 0 0
password 7 070C285F4D06
login
!
line vty 0 4
access-class 45 in
password 7 051F03032F495A0A1016141D
login
!
end
******ebook converter
DEMO
Watermarks*******
Adicionalmente, as novas versões contam com encriptação mais
reforçada, já que o MD5 original já não é tão seguro como costumava ser.
As opções incluem o hash SHA-256, mais robusto e sua configuração é
feita da seguinte maneira: enable algorithm-type scrypt secret <senha>.
Confira os detalhes e opções do comando:
RT01(config)#enable ?
algorithm-type Algorithm to use for hashing the plaintext
‘enable’ secret
password Assign the privileged level password (MAX of 25
characters)
secret Assign the privileged level secret (MAX of 25 characters)
RT01(config)#enable algorithm-type ?
md5 Encode the password using the MD5 algorithm
scrypt Encode the password using the SCRYPT hashing algorithm
sha256 Encode the password using the PBKDF2 hashing algorithm
RT01(config)#enable algorithm-type scrypt ?
secret Assign the privileged level secret (MAX of 25 characters)
RT01(config)#enable algorithm-type scrypt secret ?
LINE The UNENCRYPTED (cleartext) ‘enable’ secret
level Set exec level password
******ebook converter
DEMO
Watermarks*******
configurações de autenticação do protocolo no nível da interface (antes do
IOS versão 12.0 também era feito na área).
Essa funcionalidade existe porque os protocolos de roteamento “confiam”
por padrão nos seus vizinhos que desejam trocar informações sobre rotas,
porém isso pode comprometer a funcionalidade e segurança da rede.
A estratégia recomendada é sempre manter uma autenticação entre os
pares que fazem o roteamento dinâmico, podendo essa ser melhorada com
ACLs que bloqueiem pacotes desses protocolos fora das interfaces
autorizadas. A seguir, um exemplo de configuração de autenticação no
OSPF, através de uma interface que participa da área do protocolo.
Roteador(config)# interface fastethernet1/0
Roteador(config-if)# ip ospf authentication-key ?
<0-7> Encryption type (0 for not yet encrypted, 7 for
proprietary)
WORD The OSPF password (key) (maximum 8 characters)
******ebook converter
DEMO
Watermarks*******
Como não é o foco do exame CCNA, o site da Cisco tem as informações
de como estabelecer um serviço TACACS+ em um servidor e como
configurá-lo para receber requisições de autenticação de roteadores e
switches.
******ebook converter
DEMO
Watermarks*******
Telnet Seguro (SSH) e SNMPv3: padrões de acesso remoto e
gerenciamento seguro de dispositivos de rede.
******ebook converter
DEMO
Watermarks*******
Se soubermos qual dispositivo está conectado em determinada porta,
podemos restringir o uso da rede apenas a ele, isto é, bloqueando
qualquer outro MAC que venha a usar aquela porta. Isso evita que a
rede tenha usuários não autorizados tentando obter dados, ou que
venham fazer uso indevido ou até comprometer a funcionalidade e
desempenho da rede.
O recurso que nos permite controlar a segurança por porta chama-se
Port Security. É possível ajustá-lo de maneira independente para cada
porta do switch, ou seja, o que se aplica a uma não necessariamente se
aplica à outra.
Para iniciar a configuração, a porta deverá ser configurada em modo
acesso (switchport mode access) ou trunk:
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 10
Switch(config-if)#switchport port-security violation restrict
******ebook converter
DEMO
Watermarks*******
Por fim, determinamos a ação que o switch deve executar caso
haja uma violação. No exemplo, a porta restringe o tráfego da
origem não autorizada, mantendo os MACs previamente
aprendidos (os 10 primeiros).
Das possíveis violações, podemos configurar o seguinte:
Switch(config-if)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
******ebook converter
DEMO
Watermarks*******
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 10
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
******ebook converter
DEMO
Watermarks*******
com switches configurados com 802.1x deve ter uma conta criada no
servidor AAA a fim de ser autorizado.
DHCP Snooping
O protocolo DHCP foi estudado ao longo do livro, mas vale um
resgate das principais características:
******ebook converter
DEMO
Watermarks*******
filtra todo tipo de mensagem similar a essas duas em portas não-
confiáveis, pois somente o servidor deve enviá-las. Qualquer
computador que queira trocar mensagens exclusivas de servidores
DHCP (Offer/Ack) terá o pacote descartado pelo switch.
******ebook converter
DEMO
Watermarks*******
administrador configura um conjunto de regras ou filtros. No IPS, os
fabricantes fornecem assinaturas (file signature) ou perfis de tráfego
ou pacotes, que se assemelham a uma identidade. Essas assinaturas são
carregadas a uma base de dados de informações e à medida que novos
tipos de pacotes ofensores surjam, o IPS pode detectá-los e filtrá-los.
Essa assinatura é como um arquivo de informações sobre vírus que seu
software antivírus atualiza toda semana para proteger seu computador.
A detecção do IPS associa um pacote de dados com essa base e, ao
identificar informações (bits/bytes) que correspondem a um vírus,
worm ou que tenha características de ataques DoS ou DDoS, ele filtra
e interrompe a conexão, protegendo a rede.
Firewalls e IPS’ podem estar, ou não, no mesmo equipamento. Há
fabricantes que os oferecem de forma separada ou conjunta, em
soluções de menor ou maior porte. Os firewalls de próxima geração
(Next-Generation Firewalls) da Cisco são chamados de ASA
(Adaptive Security Appliance), que também podem rodar NGIPS, ou
IPS de próxima geração.
******ebook converter
DEMO
Watermarks*******
18 - Qualidade de Serviço –
Quality of Service (QoS)
Introdução
Em todo tipo de serviço a qualidade é um dos aspectos essenciais e no
ambiente de redes não ocorre de forma diferente. Quality of Service ou
Qualidade de Serviço, comumente conhecido pela sua sigla QoS,
compreende as técnicas utilizadas pelos dispositivos de rede para fazer o
gerenciamento do fluxo que um pacote percorre enquanto trafega na rede.
O mecanismo de trabalho do QoS envolve o gerenciamento da largura de
banda, reserva de banda, priorização de tráfego, tipo de pacote, atraso do
pacote, controle de jitter (variação de atraso entre pacotes sucessivos no
mesmo fluxo), porcentagem de perda de pacotes e latência para garantir um
bom desempenho das aplicações.
Por meio do QoS pode-se equilibrar as compensações (tradeoffs) de quais
tipos de tráfego devem receber mais recursos de rede e em qual momento,
por conceder mais preferência a alguns pacotes e menos a outros, conforme
a configuração. O QoS também possibilita mensurar a qualidade dos
serviços oferecidos por uma rede de comunicações.
É certo que as larguras de banda têm maior capacidade e custos mais
acessíveis, levando o QoS ao potencial – teórico – desuso. No entanto, ele
se faz ainda mais presente nas redes porque a demanda das aplicações
aumentou, logo, ajustes finos na rede são requeridos para permitir a devida
priorização do que é importante para usar a rede WAN, por exemplo.
Para o CCNA é exigido que o candidato possua os conceitos básicos de
QoS, sem se preocupar com configuração. A parte mais avançada sobre
QoS faz parte do programa de estudos para o CCNP, por isso iremos
explorar os conceitos iniciais que serão abordados no exame.
QoS na prática
******ebook converter
DEMO
Watermarks*******
Os roteadores de borda WAN fazem o papel de controle de entrada e
saída para um Sistema Autônomo (SA) e possuem interfaces LAN e WAN.
É fato que as interfaces LAN possuem uma velocidade muito maior que as
interfaces WAN, que fica mais lenta devido ao tráfego de pacotes IP. Nesse
contexto, qual deve ser a decisão do roteador? Enviar na ordem sequencial
em que os pacotes IP chegam? Priorizar os pacotes criando uma seleção por
tipo de tráfego? Descartar alguns pacotes quando a quantidade que está em
fila para sair do roteador se torna muito grande?
O QoS envolve as técnicas e ferramentas que os dispositivos (roteadores e
switches) de redes utilizam para fazer algum tipo de tratamento aos pacotes
IP à medida que chegam ao dispositivo. No exemplo citado anteriormente,
o roteador de borda WAN poderia separar alguns pacotes IP e deixá-los em
espera até que a interface WAN estivesse mais livre ou, também, pode
utilizar algoritmos de fila de espera para determinar quais pacotes devem
ser enviados e em qual sequência, priorizando os pacotes de serviços
considerados prioritários.
De forma geral, podemos descrever a atuação do QoS assim: o dispositivo
recebe os pacotes IP e faz uma classificação separando-os em classes,
depois descarta o tráfego fora do perfil a fim de manter a integridade da
rede, que ocorre no policiamento. O tráfego é, então, marcado para a rede
que, na sequência, prioriza, protege e isola os tipos de tráfego. Na etapa
final, ocorre a modelagem que controla os estouros (ou excessos) e modela
o tráfego para a rede. A Figura 18.1 demonstra todos os passos de atuação
do QoS que serão detalhados nesse capítulo.
******ebook converter
DEMO
Watermarks*******
Figura 18.1 – Esquema de atuação do QoS.
******ebook converter
DEMO
Watermarks*******
posteriormente, o tempo de retorno.
Abordagens do QoS
As principais abordagens para a utilização de
Quality of Service (QoS) nas organizações são:
******ebook converter
DEMO
Watermarks*******
First In First Out (FiFo), ou o primeiro a
entrar é o primeiro a sair para as filas de
pacotes do Best Effort.
Classificação
Essa ferramenta classifica os pacotes com base
no conteúdo do cabeçalho para tomar uma
decisão de tráfego, sendo que, nesse aspecto, o
******ebook converter
DEMO
Watermarks*******
QoS atua de forma muito parecida às ACLs, pois
ambas as ferramentas são habilitadas em uma
interface para uma direção e realizam
classificação e filtragem. O QoS pode examinar
vários cabeçalhos e fazer comparações para
classificar os pacotes, tanto na entrada, como na
saída da maioria das interfaces dos dispositivos de
rede.
Marcação
A marcação significa que a ferramenta QoS
altera um ou mais bits em campos de cabeçalho
do protocolo IP, atribuindo determinados valores.
Vários campos de cabeçalho foram projetados
com a finalidade de marcar os pacotes para o
QoS. Então, os dispositivos que processam o
pacote em sua trajetória podem usar uma lógica
de classificação muito mais simples.
O cabeçalho do protocolo IP inclui as
informações de todo o percurso percorrido pelo
protocolo, desde o ponto de partida até o host de
destino. Dessa forma, o host envia um quadro de
enlace de dados que encapsula o pacote IP, então
o roteador que encaminha o pacote IP descarta o
******ebook converter
DEMO
Watermarks*******
antigo cabeçalho e adiciona um novo. Quando o
QoS marca o cabeçalho IP, a marcação pode
permanecer com os dados desde o início até o
host de destino.
Essa característica da marcação é importante
para assegurar a qualidade de serviço durante
todo o percurso do pacote IP. No planejamento do
plano de QoS para o ambiente de redes de uma
organização, é necessário definir um limite de
confiança. Esse limite é um local específico no
caminho de um pacote que viaja através da rede
em que os dispositivos podem confiar nas
marcações de QoS. É importante que esse
dispositivo seja gerenciado pela área de Redes da
organização.
Campos de Marcação
A marcação no cabeçalho do IPv4/IPv6
(camada 3) define um byte de Tipo de Serviço ou
Type of Service (ToS), os campos IP Precedence
(IPP) e Differentiated Services Code Point
(DSCP). O quadro Ethernet (camada 2) possui o
cabeçalho 802.1Q no qual podem ser feitas
marcações de Classe de Serviço (CoS) e Priority
Code Point (PCP). A tabela demonstra os campos
******ebook converter
DEMO
Watermarks*******
de marcação:
CAMP CABEÇALH EXTENSÃO USO
O O (BITS)
DSCP IPv4, IPv6 6 Pacote fim a
fim
IPP IPv4, IPv6 3 Pacote fim a
fim
CoS 802.1Q 3 VLAN trunk
TID 802.11 3 Wi-Fi
EXP MPLS Label 3 MPLS WAN
Conforme mencionado, a abordagem DiffServ é
a mais utilizada atualmente. Dessa forma, serão
considerados os valores de marcação baseados na
abordagem DiffServ e DSCP para um maior
entendimento:
******ebook converter
DEMO
Watermarks*******
utilizada para ferramentas de prevenção de
congestionamento. O AF define os nomes de
texto como AF DSCP específicos e os
valores equivalentes. São 12 valores DSCP
que permitem eleger quatro filas – queue –
(de 4 a 1, sendo 4 a melhor) e três níveis de
prioridade de descarte – drop priority – (de
1 a 3, sendo 1 o melhor). Assim, na melhor
combinação AFxy temos AF41 como a
melhor fila com melhor prioridade de
descarte e AF13 com ambos piores. Alguns
exemplos de aplicação do AF são: AF4x –
vídeo-conferência, AF3x – transmissão de
vídeo (streaming) e AF2x – dados que
requerem baixa latência com prioridade.
******ebook converter
DEMO
Watermarks*******
aplicação para voz, dados e vídeo.
Gerenciamento de
Congestionamento (Queueing)
Todos os dispositivos de rede trabalham com o
conceito de filas (queues) que funciona da
seguinte maneira: o dispositivo recebe a
mensagem, toma a decisão sobre o
encaminhamento e, posteriormente, faz o envio
da mensagem. Contudo, quando a interface de
saída se encontra ocupada, é criada uma fila de
saída para as mensagens.
Ao conjunto de ferramentas do QoS para o
gerenciamento de filas é atribuído o termo
gerenciamento de congestionamento, que mantém
os pacotes em filas enquanto esses aguardam o
momento em que deverão sair de uma interface.
Essa atividade pode ser bastante complexa ao se
trabalhar com vários serviços e fazer o
gerenciamento sobre quais deverão ter prioridade
e com várias filas. Nesse caso é necessário
trabalhar com um tipo de classificação para
definir quais pacotes deverão ir para quais filas,
que pode utilizar algum tipo de marcação ou um
******ebook converter
DEMO
Watermarks*******
agendamento de envio para o momento em que a
interface estiver disponível.
Priorização
No contexto do QoS a priorização se refere à
atividade de dar prioridade a uma fila sobre outra,
de alguma forma. A priorização utiliza uma
ferramenta chamada de agendador (scheduler)
para executar a priorização.
Nessa etapa, o QoS utiliza um algoritmo
chamado de round robin que é utilizado por
roteadores e switches Cisco para agendamento. O
algoritmo organiza as filas e faz o revezamento
em ciclos entre elas. A sua função basicamente é
de tirar uma mensagem ou uma quantidade de
bytes de cada fila, levando mensagens suficientes
para totalizar esse número de bytes.
A programação de round robin também inclui o
conceito de ponderação – weighting –
(geralmente chamado de round robin ponderado –
weighted round-robin), cujo agendador tira um
número diferente de pacotes (ou bytes) de cada
fila, priorizando uma fila sobre outra. Pela
utilização de uma ferramenta chamada Class-
Based Weighted Fair Queueing (CBWFQ), que
******ebook converter
DEMO
Watermarks*******
usa o round robin ponderado, os roteadores
podem garantir uma quantidade mínima de
largura de banda para cada classe. Dessa forma,
cada classe recebe pelo menos a quantidade de
largura de banda configurada durante os períodos
de congestionamento da rede.
Priorização para dados, voz e vídeo
As tecnologias evoluíram muito nos últimos
anos e, no passado, um profissional de Redes se
preocupava apenas com o tráfego de dados
comuns. Agora ele precisa se preocupar com
dados sensíveis, voz e vídeo. A utilização de
vídeo por IP é cada vez mais usual e fez com que
o tráfego das redes aumentasse muito. De fato,
muitas empresas já utilizam recursos de vídeo
conferência e serviços de streaming de vídeo, que
utilizam a rede IP, cresce a cada dia. Os recursos
de voz sobre IP (VoIP) possibilitaram a utilização
de ligações telefônicas pela internet, mas também
aumentaram o tráfego das redes de forma
significativa. Nesses casos, é muito apropriado o
uso do Low Latency Queuing (LLQ), que faz o
enfileiramento de baixa latência. Até mesmo os
serviços que utilizam dados tiveram um aumento
******ebook converter
DEMO
Watermarks*******
efetivo em decorrência da utilização de mídias
sociais, jogos online e aplicações financeiras.
Com esse aumento de tráfego, é necessário
trabalhar com as filas para definir a forma e os
critérios de atuação das redes. Podemos nos
basear nas melhores práticas de mercado para
priorização utilizadas pelas empresas para o QoS,
que normalmente são:
1. Utilizar um método de enfileiramento round
robin para dados, voz e vídeo não-interativos.
2. No caso de possuir uma banda inferior ao
tráfego, é necessário definir uma classe de
dados que são críticos para o negócio, ou seja,
as aplicações mais e menos importantes.
3. Utilizar uma fila de prioridade com
agendamento LLQ para voz e vídeos
interativos, para conseguir baixo delay, jitter e
perda.
4. Voz deve ser atribuída em uma fila separada
de vídeo, de modo que a função de
policiamento se aplique separadamente à cada
um.
5. Atribuir largura de banda suficiente em cada
fila de prioridade para que o policiamento não
******ebook converter
DEMO
Watermarks*******
descarte nenhuma mensagem das filas
prioritárias.
6. Usar as ferramentas de Controle de Admissão
de Chamada (CAC) para evitar a adição de voz
ou vídeo além do necessário à rede, o que
desencadeia a função de policiamento.
Policiamento e Modelagem
Duas ferramentas importantes de QoS são a
modelagem e policiamento, porém não estão
presentes em qualquer tipo de rede, pois são mais
utilizadas em roteadores de borda WAN em redes
corporativas. Ambas as ferramentas monitoram a
taxa de bits das mensagens que percorrem os
dispositivos de redes e tentam mantê-las abaixo
da velocidade configurada, mas com técnicas
diferentes. O policiamento descarta ou remarca os
pacotes, enquanto a modelagem os mantém em
filas para atrasá-los. Vejamos cada um a seguir.
Policiamento (Policing)
O policiamento se concentra na taxa de tráfego
para descartar os pacotes quando necessário. Ele
faz uma análise do tráfego e da taxa, gerencia a
capacidade total da largura de banda e, quando
******ebook converter
DEMO
Watermarks*******
identifica que ultrapassou o limite contratado,
providencia o descarte ou remarcação dos
pacotes.
O policiamento é comumente utilizado na borda
entre duas redes para evitar o congestionamento
no serviço WAN. Dessa forma, o Provedor de
Serviços (Service Provider) deve policiar os
pacotes de entrada, definindo a taxa de
policiamento para coincidir com o CIR
(committed information rate – taxa de dados
comprometida) que cada cliente contrata para seu
respectivo link. Dessa forma, os demais clientes
da rede são protegidos dos que enviam muito
tráfego e podem utilizar a largura de banda que
contrataram.
Os principais recursos do policiamento são:
******ebook converter
DEMO
Watermarks*******
Pode ser habilitado em uma interface, em
qualquer direção, mas normalmente na
interface de entrada.
******ebook converter
DEMO
Watermarks*******
configurada.
Ferramentas de prevenção de
congestionamento
O QoS possui ferramentas de prevenção de
congestionamentos (congestion avoidance) que
atuam descartando alguns pacotes utilizados em
conexões TCP. Eles são descartados antes do
preenchimento das filas, na expectativa de
******ebook converter
DEMO
Watermarks*******
diminuir as conexões TCP. Deste modo, reduz-se
o congestionamento evitando que uma quantidade
maior de pacotes seja descartada. Assim, somente
alguns pacotes são descartados para poupar um
descarte em massa.
As ferramentas classificam as mensagens para
analisar os pacotes e aqueles com marcação são
descartados, enquanto outros não. A prevenção de
congestionamento inclui o monitoramento médio
das filas ao longo do tempo, para definir o que
deve ser descartado e qual respectivo impacto.
De acordo com o tamanho da fila, o
monitoramento acompanha o tráfego e ficando
abaixo dos níveis mínimos, nada é feito. Se ficar
em uma quantidade intermediária, apenas um
percentual pequeno é descartado. Na ocorrência
de atingir o nível máximo de fila, ocorre o
descarte total (full drop). Todo esse mecanismo
ainda se vale das marcações DSCP para tomada
de decisão. Pacotes com marcações menos
prioritárias tendem a ser os mais afetados pelo
descarte.
******ebook converter
DEMO
Watermarks*******
19 - Automação e Programação para
Redes
Introdução
A novidade para o novo exame CCNA é a parte de programação e automação da rede. Lá no
primeiro capítulo apresentamos as carreiras Cisco e uma delas se refere a DevOps, cujo tema deste
capítulo está alinhado.
O assunto de programação e automação demanda que o profissional ou candidato ao exame
compare o modelo convencional de redes e conectividade com as redes que usam controladores e
automação. Essas novas redes fazem parte do novo modelo operacional de redes conhecido por SDN
ou Software Defined Network. As SDNs usam controladores que permitem o uso de APIs
(application programming interfaces) para configurar e operar as redes de maneira automatizada.
Gerenciamento de mudanças na rede, bem como proteção das configurações realizadas são algumas
das vantagens do uso de SDNs.
Este capítulo é mais teórico e, justamente, o CCNA não exige configurações ou maiores detalhes
sobre o assunto, tanto que o blueprint da prova aponta apenas 10% sobre este conteúdo. Porém, cada
ponto conta e, ao ter os conceitos bem claros, você poderá aumentar o total de acertos. Obviamente,
encorajamos o leitor a se aprofundar nestes temas a partir da continuidade dos estudos via CCNP,
pois trata-se de tecnologias de vanguarda em Datacenters e redes em nuvem.
******ebook converter
DEMO
Watermarks*******
Data Plane
Se traduzíssemos, Data Plane seria plano de dados ou camada de dados, a depender do contexto.
Para nós, considerando tanto o exame CCNA, quanto o que você vai encontrar no dia a dia, vale mais
a pena mantê-lo no original: Data Plane. Isso vale para os demais.
Ele se refere às tarefas que um equipamento como roteador ou switch realiza com os Dados.
Quando os dados entram em um equipamento, ele toma a decisão de filtrar ou encaminhar para outra
porta e, consequentemente, outro roteador ou switch. Todo processamento do pacote, lógica de
roteamento e posterior encaminhamento é de responsabilidade do Data Plane. Nele também é
realizada as manipulações de cabeçalhos, como as realizadas no NAT. Em um switch, o control plane
confere os MACs com a tabela CAM e adiciona ou remove as marcações de trunk 802.1q, por
exemplo. Em suma, toda ação sobre o frame ou pacote fica a cargo do Data Plane.
Control Plane
O Control Plane pode ser visto como um nível acima do Data Plane, controlando-o. Ele é o “centro
nervoso” de um roteador, onde tudo é controlado. Todas as decisões tomadas, todos os protocolos
rodam nele. No Data Plane, um switch verifica o dado e confere com sua tabela CAM (de MACs) e
repassa a outra porta. Por outro lado, o Control Plane permite que o Spanning Tree (RPVST+ e
demais) rode e evite que o Data Plane pegue uma lista de MACs vinda de outro switch e repasse-a de
volta, causando uma Difusão de Broadcast ou loop.
Outros protocolos que estão sob o Control Plane são: OSPF, BGP, NDP, IPv4 ARP, VTP,
LLDP/CDP.
Management Plane
O Management Plane, como o nome diz, é responsável pelo gerenciamento das funções do
equipamento. Telnet e SSH são alguns protocolos mais comuns desse nível. Basicamente é o que
permite que realizemos tarefas de gerenciamento e configuração dos dispositivos de rede. Alguns
destes que possuem interface web para gerenciamento rodam HTTP que, também, se localiza no
Management Plane.
******ebook converter
DEMO
Watermarks*******
SBI ou Southbound Interface é a interface de software que “fica ao sul” de uma topologia ou
diagrama de rede, isto é, desenhada abaixo do controlador. Tem esse nome mais por sua posição
figurativa, mas o importante é guardar seu papel na arquitetura da rede.
Como o controlador passa a assumir funções do Control Plane, deve haver uma interface (aqui
frisamos como interface de software) que “converse” com o Data Plane. Entre eles se estabelece um
protocolo de comunicação que geralmente inclui as APIs, que são aplicações (programas) usadas
para trocar informações com outras aplicações.
Exemplos de SBIs são:
OpenFlow: API padrão de mercado, não proprietária, definida pela ONF – Open
Networking Foundation (opennetworking.org).
OpFlex: proprietária da Cisco, essa SBI é usada pelo Cisco ACI (Application Centric
Infrastructure)
CLI (Telnet/SSH) e SNMP (em conjunto com o Cisco APIC-EM): interface para acesso
ao equipamento e gerenciamento de MIBs.
Northbound Interface
Se temos uma interface de software para baixo, sentido sul, temos também uma apontada para
cima, ao norte, a NBI ou Northbound Interface. Basicamente, o que a NBI permite é a conexão do
controlador para outras aplicações que enviarão comandos ou informações sobre a rede e seus
equipamentos, como endereços IP, a lista de portas físicas, estados dessas portas, etc. Essa conexão
também é através de APIs e permite a programação do controlador.
Quando um usuário escreve um script com comandos, ele toma uma API para interagir com o
controlador SDN. Essa API usa a NBI para alcançar o controlador. A Figura 19.1 resume a
arquitetura baseada em controlador e onde estão as principais interfaces de software:
******ebook converter
DEMO
Watermarks*******
Cisco ACI (Aplication Centric Infrastructure)
A Cisco adotou a topologia Spine/Leaf, do tipo Tier-2 que já estudamos, para compor a
estrutura adequada a Datacenters que demandam automação e virtualização. Bem como vimos
no capítulo sobre Cloud Computing, que falava sobre a virtualização de servidores, a
infraestrutura de rede também pode ser virtualizada e é aí que entra a infraestrutura centrada
em aplicações (ACI).
A fato de poder centralizar e automatizar a infraestrutura permite que a rede seja escalável,
ideal para suportar a demanda dos Datacenters. Essa é uma das principais vantagens sobre a
arquitetura de rede tradicional.
******ebook converter
DEMO
Watermarks*******
Topologia (Topology): com a listagem de equipamentos feita no Discovery, o DNA
constrói um diagrama de camada 3 com eles.
Reparo (Assurance): o DNA armazena logs da rede por até uma semana,
possibilitando o diagnóstico de falhas. Adicionalmente, ele informa possíveis falhas
encontradas e sugere correções nas configurações.
Traçar Caminhos (Path Trace): a ferramenta revela os caminhos reais da rede por
conhecer sua topologia física e lógica, além de mostrar ACLs presentes que
eventualmente direcionariam tráfego para outro lado desnecessariamente.
******ebook converter
DEMO
Watermarks*******
O exame CCNA requer que o candidato, ao menos, interprete os dados JSON. É muito
simples ler sua codificação, por ser intuitiva. A sintaxe é composta por:
Pares de valores: tem o formato key:value com uma palavra-chave seguida por um
valor, separados por “:” (dois pontos). Exemplo:
{
“SW2”: [“FastEthernet1/0”, “FastEthernet1/1”],
“SW3”: [“FastEthernet2/0”, “FastEthernet2/1”]
}
Note que é fácil deduzir o que a string faz: listar interfaces de dois equipamentos, SW2 e
SW3.
Chave (key): texto dentro de par de aspas, indicando o nome cujo valor faz
referência.
Valor (value): elemento após os dois pontos que representa o valor da palavra-chave
e pode ser do tipo texto, numérico, matriz e objeto.
Múltiplos pares (multiple pairs): como no primeiro exemplo, vários pares key:value
separados por uma vírgula ao final de cada linha, exceto a última.
Note que o objeto maior inicia e termina com as chaves mais à esquerda. Em seguida temos
os pares key:value “marcas_carros” e um outro objeto formado por mais três pares key:value.
Por fim, novo par key:value “conferir_pecas” com uma matriz de valores não numéricos.
******ebook converter
DEMO
Watermarks*******
gerenciamento de configurações em equipamentos de rede, o Ansible é o mais usado dos três e
ainda tem a facilidade de não requerer agente instalado no lado cliente e ser compatível com
uma gama de dispositivos Cisco. A tabela apresenta um comparativo dos três:
AÇÃO ANSIBLE PUPPET CHEF
Arquivo que lista as ações Playbook Manifest Recipe,
Runlist
Protocolo para acessar o dispositivo de SSH, HTTP HTTP
rede NETCONF (REST) (REST)
Exige agente (client) não sim sim
Modo push ou pull push pull pull
O Ansible (www.ansible.com) pode ser instalado em sistemas Linux, Windows ou MAC.
Como mostrado na tabela, não requer instalação nos equipamentos de rede, já que faz uso dos
mesmos protocolos de acesso de administrador da rede.
O modo “push” significa que o administrador deve configurar o arquivo de ações (playbook)
e todos os demais arquivos que o Ansible usa para realizar uma ação: inventário, modelos e
variáveis. É o modo ideal para automação de provisionamento.
Já o Puppet (www.puppet.com) pode ser instalado em um sistema Linux para criar o Puppet
Master. Diferentemente do Ansible, o Puppet requer um agente instalado no equipamento, mas
nem todos os dispositivos Cisco são compatíveis. Alternativamente, é possível criar um Proxy
de Agente externo para contornar essa limitação, cujo protocolo de comunicação com o
equipamento de rede se dá via SSH. Outra diferença é o modo pull de envio de dados, no qual
o agente (um roteador, por exemplo), puxa informação do servidor e este informa qual
configuração deve estar.
Por fim, o Chef (www.chef.io) é muito semelhante ao Puppet, mas com mais desvantagens
entre os três: pouco suporte a equipamentos Cisco para instalação de agentes e não conta com
um proxy externo para tal. O modo pull é idêntico ao Puppet, no qual o dispositivo requisita a
informação ou atualização do servidor.
******ebook converter
DEMO
Watermarks*******
20 - Redes Wireless LAN
Introdução
Os dispositivos wireless (sem fio) inundaram o mercado. Hoje em dia
muitas pessoas utilizam vários dispositivos sem fio, como controles
remotos, tablets, smartphones, caixas de som etc. Essas tecnologias
chegaram e ganharam espaço em nossa vida diária, sendo que não
conseguimos mais nos ver sem a utilização desses equipamentos.
Como uma consequência natural disso, surgiu a necessidade de interligar
esses dispositivos em rede, mas, nesse caso, em redes sem fio. Para tanto,
foram criados roteadores wireless, access-points e protocolos para redes
sem fio.
Com a crescente utilização desses dispositivos, os conceitos fundamentais
de Wireless foram incorporados à prova para certificação CCNA. Os
conceitos aqui expostos são básicos, porém cobrem todo o conteúdo exigido
no exame e tem o objetivo de prepará-lo também para o mercado de
trabalho.
******ebook converter
DEMO
Watermarks*******
Da mesma forma que o meio utilizado em uma rede Ethernet é o cabo
UTP, as Bandas de Rádio Frequência são necessárias para que a
comunicação sem fio ocorra.
Cada Banda RF possui uma quantidade de canais. As bandas são:
******ebook converter
DEMO
Watermarks*******
modulação do padrão 802.11n, possui maior escalabilidade, porém
requer a utilização de múltiplas antenas.
******ebook converter
DEMO
Watermarks*******
Wireless. Podemos citar como clientes os smartphones, tablets,
desktops, notebooks etc.
******ebook converter
DEMO
Watermarks*******
Tecnologias: GSM, 3/4/5G, IEEE 802.16e.
******ebook converter
DEMO
Watermarks*******
Ad hoc (do latim, para uma finalidade específica): nesse modo de
WLAN, dois dispositivos sem fio estabelecem uma comunicação
sem a necessidade de um Access Point (AP) como intermediário,
funcionando como uma rede ponto a ponto sem fio. Basicamente, é
uma solução simplificada que tem a finalidade de atender uma
necessidade específica. Essa forma de operação é chamada de
Independent Basic Service Set (IBSS).
******ebook converter
DEMO
Watermarks*******
fim de que o usuário não perceba a alteração de célula dentro
da rede. Quando o usuário se movimenta pela rede, o seu
dispositivo identifica que o sinal de um AP está ficando fraco e
procura outro AP de outra célula para fazer a troca e obter um
sinal mais forte.
******ebook converter
DEMO
Watermarks*******
Métodos de Autenticação em Wireless LAN
Como em qualquer tecnologia, as redes Wireless estão sofrendo
adaptações e melhorias com base nas lições aprendidas do que foi
implementado anteriormente. Os métodos de autenticação continuam em
uma constante evolução, conforme detalhamos abaixo:
******ebook converter
DEMO
Watermarks*******
Authentication Protocol (EAP), o qual trabalha na camada de enlace
do Modelo OSI e fornece autenticação dos clientes wireless na rede.
O EAP utiliza um controlador para a permissão de acessos e um
mecanismo de distribuição de chaves de segurança, além de permitir
certificados digitais. Funciona da mesma forma que o protocolo PPP,
utilizando os mesmos mecanismos para autenticação, mas permite a
alteração das chaves de segurança, tornando a rede mais segura. O
EAP tem alguns outros “sabores” que vão aumentando a segurança e
sanando deficiências de outros protocolos: LEAP (Lightweight
EAP), EAP-FAST (EAP Flexible Authentication by Secure
Tunneling), PEAP (Protected EAP), EAP-TLS (EAP Transport Layer
Security) menos usado por depender de conexão com autenticadores
via CA (Certificate Authority) para certificados digitais.
******ebook converter
DEMO
Watermarks*******
proteção anti-spoofing.
******ebook converter
DEMO
Watermarks*******
envolvem a infraestrutura física, conectividade entre dispositivos cabeados
e sem fio e a configuração do AP e clientes em uma arquitetura autônoma,
ou seja, onde cada dispositivo é preparado individual e manualmente.
Infraestrutura para a Instalação
O primeiro passo é montar uma topologia da rede Ethernet para, então,
planejar como será a rede WLAN. Na maior parte dos cenários, o AP é
conectado a uma porta de um Switch da rede por meio de um cabo UTP.
Outro aspecto importante que deve ser levado em consideração é a
localização em que o AP será instalado. Pois, como mencionamos
anteriormente, existem vários aspectos que podem influenciar e gerar
interferências no sinal da rede.
Devido às barreiras físicas (armários, paredes etc.), geralmente os APs
são instalados em um local mais alto, de modo a minimizar isso. É
importante verificar se há aparelhos que possam interferir na rede Wi-Fi. Se
houver, talvez seja necessário alterar a frequência de funcionamento para
podermos iniciar a configuração do AP.
Configuração do Access Point (AP)
Antes de configurar o AP, é importante verificar o esquema lógico da
rede, isto é, qual o endereçamento da rede, utilização de DHCP, VLANs etc.
Em seguida, podemos iniciar a configuração do AP iniciando pelo SSID:
******ebook converter
DEMO
Watermarks*******
O endereçamento IP para o cliente é atribuído de forma automática pelo
AP, tornando-se algo transparente para o usuário.
A exceção ocorre em situações em que, por medidas de segurança, o
SSID Broadcast foi desabilitado. Nesse caso, o SSID do AP deverá ser
configurado manualmente no cliente.
******ebook converter
DEMO
Watermarks*******
no WLC.
Essa arquitetura com o dispositivo central WLC executando as principais
tarefas de QoS, segurança, gerenciamento RF e autenticação, somada aos
Lightweight APs se chama Split-MAC.
Para trocar informações entre si em uma arquitetura Split-MAC, o WLC e
LAP utilizam o protocolo de tunelamento CAPWAP (Control and
Provisioning of Wireless Access Points – Controle e Provisionamento de
Access Points Sem fio). São estabelecidos dois túneis, para envio de
mensagens de controle e outro para os dados.
O WLC Controller em Detalhes
Gerenciar um WLC não difere da gestão de roteadores ou switches. O
exame CCNA requer que o candidato avalie configurações ou opções do
equipamento em uma interface Web (http), ou seja, sem exigir que se entre
com comandos via CLI (command line). Embora via Web seja mais
conveniente, claro que há opções via Telnet/SSH, SNMP ou TFTP que
podem ser habilitados para uso in-band, ou seja, dentro das VLANs
configuradas para gerência.
Também, parte-se da premissa de haver um equipamento pré-configurado,
já que ele precisa ter o setup inicial concluído com IP de gerência, etc. a fim
de permitir que se acesse a página de ajustes para iniciar outras ações sobre
o equipamento.
Um detalhe a destacar dos WLC são as nomenclaturas que a Cisco usa
para portas e interfaces. Quando falávamos de roteadores e switches ao
longo do livro, estávamos nos referindo às mesmas coisas: uma porta
Giga0/0 precisava de configurações de IP dentro do comando interface –>
Roteador1(config)# interface giga0/0.
No WLC há algumas distinções: as portas são as conexões físicas (ligar
um cabo do WLC a um switch ou AP) e interfaces são conexões lógicas,
definidas dentro do equipamento (VLANs, por exemplo).
Tipos de portas que temos no WLC:
******ebook converter
DEMO
Watermarks*******
recuperação, ou setup inicial.
A configuração via web é bastante intuitiva, então não vamos nos alongar
em mostrar dezenas de telas de configuração, mas sim apontar alguns itens
de destaque para tomar atenção. Na Figura 20.1 temos uma interface típica
do WLC via web, extraída do site da Cisco:
******ebook converter
DEMO
Watermarks*******
WPA3, por exemplo. Na figura 20.2 uma amostra da tela de
configuração dentro da opção Security. Novamente, são elementos
intuitivos a serem configurados.
******ebook converter
DEMO
Watermarks*******
WPA+WPA2: para proteção de acesso Wi-Fi
com WPA ou WPA2
******ebook converter
DEMO
Watermarks*******
Figura 20.3 – Destaque da configuração de Segurança WLAN. Fonte:
www.cisco.com.
A Cisco possui vários instrutivos simples em seu site. Para ativar
WPA com PSK, por exemplo, eles orientam algumas etapas bem curtas
para configuração, cujo destaque trazemos na Figura 20.4:
******ebook converter
DEMO
Watermarks*******
telas distintas, mas basicamente seguem o mesmo
roteiro. Nestes casos, é recomendado sempre
verificar a documentação do fabricante com
relação ao equipamento que será configurado,
assim, você poderá conferir as opções mais
recentes e disponíveis de acordo com cada versão.
******ebook converter
DEMO
Watermarks*******
Nossas Redes Sociais
Siga-nos em nossas redes sociais. Não hesite em fazer comentários, críticas e sugestões, bem como
tirar suas dúvidas sobre o conteúdo do livro ou dicas de carreira em TI e certificações:
www.academiati.com.br
e-mail: livro@academiati.com.br
Facebook: @AcademiaTI
YouTube: Academia TI
https://t.me/AcademiaTI_oficial
******ebook converter
DEMO
Watermarks*******
Bibliografia
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia
da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação.
Rio de Janeiro, 2005.
CERTIFICATION Magazine’s 2021 Annual Salary Survey. Certification Magazine, [S.l.].
Disponível em <http://certmag.com/2021-annual-salary-survey/> Acesso em: 25 jul. 2021.
GUPTA, Meeta; LASALLE, Paul; PARIHAR, Mridula; SCRIMGER, Rob. TCP/IP a Bíblia.
São Paulo: Elsevier, 2002
HABRAKEN, Joe. Absolute Beginner’s Guide to Networking. 4. ed. Indianápolis: Que, 2003.
HELD, Gilbert. Ethernet Networks: Design, Implementation, Operation and Management. 4. ed.
[S.l.]: John Wiley and Sons, 2003.
HILL, Brian. Cisco: the complete reference. San Francisco: McGraw Hill/Osborne, 2002.
HUCABY, David. CCNP BCMSN Official Exam Certification Guide. 4. ed. Indianápolis: Cisco
Press, 2007.
LAMMLE, Todd. Understanding Cisco Networking Technologies: exam 200-301 Vol 1.
Indianápolis: John Wiley & Sons, 2020.
SANTOS, Rodrigo R. et al. Curso IPv6 Básico. São Paulo: Núcleo de Informação e Coordenação
do ponto BR (NIC.br), 2010. Disponível em: <http://www.ipv6.br/IPV6/MenuIPv6CursoPresencial>.
Acesso em: 1º out. 2010.
SEIFERT, Rich; EDWARDS, Jim. The All-New Switch Book: The Complete Guide to LAN
Switching Technology. 2. ed. Indianápolis: Wiley Publishing, 2008.
SOYINKA, Wale. Wireless Network Administration - A Beginner’s Guide. San Francisco:
McGraw Hill, 2010.
SPURGEON, Charles E. Ethernet: The Definitive Guide. 1. ed. Sebastopol, Califórnia: O’Reilly
& Associates Inc, 2000.
TANENBAUM, Andrew S. Computer Networks. 4. ed. Upper Saddle River, Nova Jersey:
Prentice Hall, 2003.
TORRES, Gabriel. Redes de Computadores. Rio de Janeiro: Novaterra, 2009.
WENDELL, Odom. CCNA 200-301 Official Cert Guide Vol. 1. [S.l.]: Cisco Press, 2020.
. CCNA 200-301 Official Cert Guide Vol. 2. [S.l.]: Cisco Press, 2020.
; HEALY, Rus; MEHTA, Naren. CCIE Routing and Switching Exam Certification Guide. 3.
ed. Indianápolis: Cisco Press, 2007.
Internet
www.academiati.com.br
www.certmag.com
******ebook converter
DEMO
Watermarks*******
www.cisco.com
www.eve-ng.net
www.gns3.com
www.ieee.org
www.ipv6.br
www.lacnic.net
www.nic.br
www.microsoft.com
www.registro.br
www.rfc-editor.org
www.putty.org
www.vue.com
******ebook converter
DEMO
Watermarks*******
Apêndice A
******ebook converter
DEMO
Watermarks*******
CAPÍTULO
S DO
ÁREAS E TÓPICOS DO EXAME CCNA LIVRO
1.2.d WAN 10
1.2.e Small office/home office (SOHO) 4
1.2.f On-premises and cloud 16
1.3 Compare physical interface and cabling types 4
1.3.a Single-mode fiber, multimode fiber, copper 4
1.3.b Connections (Ethernet shared media and point-to-point) 4
1.3.c Concepts of PoE 4
1.4 Identify interface and cable issues (collisions, errors, mismatch duplex,
and/or speed) 9
1.5 Compare TCP to UDP 3
1.6 Configure and verify IPv4 addressing and subnetting 7
1.7 Describe the need for private IPv4 addressing 7
1.8 Configure and verify IPv6 addressing and prefix 8
1.9 Compare IPv6 address types 8
1.9.a Global unicast 8
1.9.b Unique local 8
1.9.c Link local 8
1.9.d Anycast 8
1.9.e Multicast 8
1.9.f Modified EUI 64 8
1.10 Verify IP parameters for Client OS (Windows, Mac OS, Linux) 9
1.11 Describe wireless principles 20
1.11.a Nonoverlapping Wi-Fi channels 20
1.11.b SSID 20
1.11.c RF 20
1.11.d Encryption 20
1.12 Explain virtualization fundamentals (virtual machines) 16
1.13 Describe switching concepts 5
1.13.a MAC learning and aging 5
1.13.b Frame switching 5
1.13.c Frame flooding 5
1.13.d MAC address table 5
2.0 Network Access (20%)
2.1 Configure and verify VLANs (normal range) spanning multiple switches 6
2.1.a Access ports (data and voice) 6
2.1.b Default VLAN 6
******ebook converter
DEMO
Watermarks*******
CAPÍTULO
S DO
ÁREAS E TÓPICOS DO EXAME CCNA LIVRO
2.1.c Connectivity 6
2.2 Configure and verify interswitch connectivity 6
2.2.a Trunk ports 6
2.2.b 802.1Q 6
2.2.c Native VLAN 6
2.3 Configure and verify Layer 2 discovery protocols (Cisco Discovery
Protocol and LLDP) 15
2.4 Configure and verify (Layer 2/Layer 3) EtherChannel (LACP) 13
2.5 Describe the need for and basic operations of Rapid PVST+ Spanning
Tree Protocol and identify basic operations 13
2.5.a Root port, root bridge (primary/secondary), and other port names 13
2.5.b Port states (forwarding/blocking) 13
2.5.c PortFast benefits 13
2.6 Compare Cisco Wireless Architectures and AP modes 20
2.7 Describe physical infrastructure connections of WLAN components (AP,
WLC, access/trunk ports, and LAG) 20
2.8 Describe AP and WLC management access connections (Telnet, SSH,
HTTP, HTTPS, console, and TACACS+/RADIUS) 20
2.9 Configure the components of a wireless LAN access for client
connectivity using GUI only such as WLAN creation, security settings, QoS
profiles, and advanced WLAN settings 20
3.0 IP Connectivity (25%)
3.1 Interpret the components of routing table 11
3.1.a Routing protocol code 11
3.1.b Prefix 11
3.1.c Network mask 11
3.1.d Next hop 11
3.1.e Administrative distance 11
3.1.f Metric 11
3.1.g Gateway of last resort 11
3.2 Determine how a router makes a forwarding decision by default 11
3.2.a Longest match 11
3.2.b Administrative distance 11
3.2.c Routing protocol metric 11
3.3 Configure and verify IPv4 and IPv6 static routing 11
3.3.a Default route 11
3.3.b Network route 11
3.3.c Host route 11
******ebook converter
DEMO
Watermarks*******
CAPÍTULO
S DO
ÁREAS E TÓPICOS DO EXAME CCNA LIVRO
3.3.d Floating static 11
3.4 Configure and verify single area OSPFv2 12
3.4.a Neighbor adjacencies 12
3.4.b Point-to-point 12
3.4.c Broadcast (DR/BDR selection) 12
3.4.d Router ID 12
3.5 Describe the purpose of first hop redundancy protocol 16
4.0 IP Services (10%)
4.1 Configure and verify inside source NAT using static and pools 15
4.2 Configure and verify NTP operating in a client and server mode 15
4.3 Explain the role of DHCP and DNS within the network 15
4.4 Explain the function of SNMP in network operations 15
4.5 Describe the use of syslog features including facilities and levels 15
4.6 Configure and verify DHCP client and relay 15
4.7 Explain the forwarding per-hop behavior (PHB) for QoS such as
classification, marking, queuing, congestion, policing, shaping 18
4.8 Configure network devices for remote access using SSH 9
4.9 Describe the capabilities and function of TFTP/FTP in the network 3
5.0 Security Fundamentals (15%)
5.1 Define key security concepts (threats, vulnerabilities, exploits, and
mitigation techniques) 17
5.2 Describe security program elements (user awareness, training, and
physical access control) 17
5.3 Configure device access control using local passwords 17
5.4 Describe security password policies elements, such as management,
complexity, and password alternatives (multifactor authentication, certificates,
and biometrics) 17
5.5 Describe remote access and site-to-site VPNs 10
5.6 Configure and verify access control lists 17
5.7 Configure Layer 2 security features (DHCP snooping, dynamic ARP
inspection, and port security) 17
5.8 Differentiate authentication, authorization, and accounting concepts 17
5.9 Describe wireless security protocols (WPA, WPA2, and WPA3) 17
5.10 Configure WLAN using WPA2 PSK using the GUI 17
6.0 Automation and Programmability (10%)
******ebook converter
DEMO
Watermarks*******
CAPÍTULO
S DO
ÁREAS E TÓPICOS DO EXAME CCNA LIVRO
6.3 Describe controller-based and software defined architectures (overlay,
underlay, and fabric) 19
6.3.a Separation of control plane and data plane 19
6.3.b North-bound and south-bound APIs 19
6.4 Compare traditional campus device management with Cisco DNA Center
enabled device management 19
6.5 Describe characteristics of REST-based APIs (CRUD, HTTP verbs, and
data encoding) 19
6.6 Recognize the capabilities of configuration management mechanisms
Puppet, Chef, and Ansible 19
6.7 Interpret JSON encoded data 19
******ebook converter
DEMO
Watermarks*******
Apêndice B
Glossário
******ebook converter
DEMO
Watermarks*******
ARP (Address Resolution Protocol): protocolo utilizado resolver o
problema do mapeamento de endereços lógicos em endereços físicos
quando do uso de IP sobre redes ethernet.
******ebook converter
DEMO
Watermarks*******
Backup: Equipamento reserva ou cópia de arquivo.
******ebook converter
DEMO
Watermarks*******
Broadcast: mensagem é enviada para todos os computadores
conectados a uma rede.
******ebook converter
DEMO
Watermarks*******
CHAP (Challenge Handshake Authentication Protocol):
característica de segurança suportado em linhas com encapsulamento
PPP que previne acesso não autorizado.
******ebook converter
DEMO
Watermarks*******
CPE (Customer Premisses Equipment): dispositivos terminais, tais
como terminais telefônicos ou equipamentos de comunicação de
dados, que se encontram nas instalações do cliente.
******ebook converter
DEMO
Watermarks*******
Delay: atraso em um sinal que está sendo transmitido.
******ebook converter
DEMO
Watermarks*******
Domínio de Colisão: são os segmentos da rede ethernet onde possa
haver colisões.
******ebook converter
DEMO
Watermarks*******
utilizado entre sistemas Autônomos (SA).
******ebook converter
DEMO
Watermarks*******
atenuação extremamente baixa possibilitando a transmissão de alta
capacidade.
******ebook converter
DEMO
Watermarks*******
GHz: Giga Hertz, unidade de medida de frequência (Hertz) acrescida
do fator de multiplicação Giga.
******ebook converter
DEMO
Watermarks*******
IEEE (Institute of Electrical and Electronics Engineers):
pronunciado como “I – três – É”, é conhecida por desenvolver
padrões para a indústria eletrônica e de computadores. Ex: IEEE
802.3 e IEEE 802.11.
******ebook converter
DEMO
Watermarks*******
de redes da Cisco, contendo uma interface de usuário baseado em
linha de comando (CLI). A versão do IOS define os recursos e
capacidades dos dispositivos de rede fornecidos pela Cisco.
******ebook converter
DEMO
Watermarks*******
Jitter: desvio no tempo ou na fase de um sinal de transmissão de
pacotes de dados. A variação no tempo de chegada de pacotes pode
prejudicar a qualidade da conversação numa rede convergente (se um
pacote não chega a tempo de se encaixar em seu lugar no fluxo de
dados, repete-se o pacote anterior).
******ebook converter
DEMO
Watermarks*******
LLC (Logical Link Control): uma subcamada da camada 2 o qual
provê conexão entre o protocolo de camada 3, tais como o IP ou IPX
e o protocolo da camada 2.
******ebook converter
DEMO
Watermarks*******
Multicast: forma de envio de mensagens no qual um pacote é
entregue a um grupo pré-definido de destino.
******ebook converter
DEMO
Watermarks*******
PDU (Protocol Data Unit): uma definição para uma unidade de
dados passados de uma camada de protocolo para outra.
******ebook converter
DEMO
Watermarks*******
que é permanentemente disponível. Os PVCs são o principal
mecanismo em uma rede Frame Relay.
******ebook converter
DEMO
Watermarks*******
Roteador: dispositivo de rede que trabalha na camada 3 do Modelo
OSI, que possui a função de processar e direcionar pacotes de dados
de uma rede para outra.
******ebook converter
DEMO
Watermarks*******
envio de e-mail de um computador para outro através da Internet.
******ebook converter
DEMO
Watermarks*******
Subnet Mask (Máscara de Sub-rede): Usado para determinar qual
subnet/network um determinado pacote IP pertence. Um endereço IP
contém 2 identificações, o de Network (rede) e o de Host (nó da rede
ou dispositivo conectado a ela). Então quando o pacote IP é recebido
pelo roteador ele determina a qual rede esse pacote pertence através
do subnet mask, também conhecido como Máscara de rede ou sub-
rede.
******ebook converter
DEMO
Watermarks*******
TFTP (Trivial File Transfer Protocol): uma derivação do File
Transfer Protocol (FTP). O TFTP utiliza o User Datagram Protocol
(UDP) e provê nenhuma característica de segurança.
******ebook converter
DEMO
Watermarks*******
UDP (User Datagram Protocol): é um protocolo da família TCP,
utilizado por algumas aplicações para transporte rápido de dados
entre hosts IP. O UDP não garante a entrega ou verifica o
sequenciamento para qualquer pacote.
******ebook converter
DEMO
Watermarks*******
aproveitamento dos endereços IP disponíveis.
******ebook converter
DEMO
Watermarks*******
WPA (Wi-Fi Protected Access): Um incremento na segurança de
redes Wi-Fi nos padrões 802.11i, 802.1x e EAP, substituindo o WEP,
melhorando a atribuição de chaves dinâmicas, a força da encriptação,
a não repetição de chaves e o uso de funções hash nas mensagens
assegurando a integridade dos dados.
******ebook converter
DEMO
Watermarks*******
******ebook converter
DEMO
Watermarks*******
******ebook converter
DEMO
Watermarks*******