Você está na página 1de 351

CCNA Exploration - Acessando a WAN

1 Introduo a WANs
1.0 Introduo do captulo
1.0.1 Introduo do captulo Pgina 1: Quando uma empresa comea a incluir filiais, servios de comrcio eletrnico ou operaes globais, uma nica rede LAN (rede local) deixa de ser suficiente para atender a seus requisitos de negcios. O acesso rede remota (WAN) se tornou essencial para as grandes empresas atuais. H vrias tecnologias WAN para atender s diferentes necessidades de negcios e muitas formas de escalar a rede. Adicionar acesso WAN apresenta outras consideraes, como segurana de rede e gerenciamento de endereo. Dessa forma, projetar uma WAN e escolher os servios corretos de rede no so questes simples. Neste captulo, voc comear a explorar algumas das opes disponveis para projetar WANs empresariais, as tecnologias disponveis para implement-las e a terminologia utilizada para abord-las. Voc obter informaes sobre como selecionar tecnologias WAN apropriadas, servios e dispositivos para atender aos requisitos de negcios de uma empresa em expanso. As atividades e os laboratrios confirmam e reforam sua aprendizagem. Concluindo este captulo, voc poder identificar e descrever as tecnologias WAN apropriadas para habilitar servios WAN integrados em uma rede corporativa em vrios locais. Exibir meio visual

1.1 Prestando servios integrados empresa


1.1.1 Apresentando redes remotas (WANs) Pgina 1: O que uma WAN? WAN uma rede de comunicao de dados que funciona alm do escopo geogrfico de uma rede local. As WANs so diferentes das redes locais em vrios aspectos. Enquanto uma rede local conecta computadores, perifricos e outros dispositivos em um nico prdio ou outra rea geogrfica menor, uma WAN permite a transmisso dos dados em distncias geogrficas maiores. Alm disso, uma empresa deve contratar um provedor de servio

WAN para utilizar os servios de rede dessa operadora. As redes locais costumam ser da companhia ou organizao que as utilizam. As WANs utilizam instalaes fornecidas por um provedor de servios ou operadora, como uma companhia telefnica ou empresa de cabeamento, para conectar os locais de uma organizao aos locais de outras organizaes, a servios externos e a usurios remotos. As WANs normalmente transportam vrios tipos de trfego, como voz, dados e vdeo. Aqui esto as trs principais caractersticas das WANs:

As WANs normalmente conectam dispositivos separados por uma rea geogrfica maior do que a que pode ser atendida por uma rede local. As WANs utilizam os servios das operadoras, como companhias telefnicas, empresas de TV a cabo, sistemas de satlites e provedores de rede. As WANs utilizam conexes seriais de vrios tipos para fornecer acesso largura de banda em grandes reas geogrficas.

Por que as WANs so necessrias? As tecnologias de rede local fornecem velocidade e economia na transmisso de dados em organizaes em reas geogrficas relativamente pequenas. No entanto, h outras necessidades de negcios que precisam de comunicao entre locais remotos, inclusive as seguintes: As pessoas no escritrio regional ou nas filiais de uma organizao precisam ser capazes de se comunicar e compartilhar dados com o local central. As organizaes normalmente desejam compartilhar informaes com outras organizaes em grandes distncias. Por exemplo, fabricantes de software sempre comunicam informaes sobre produtos e promoes aos distribuidores que vendem seus produtos para usurios finais. Os funcionrios que viajam a negcios sempre precisam acessar informaes presentes em suas redes corporativas.

Alm disso, os usurios de computadores domsticos precisam enviar e receber dados em distncias cada vez maiores. Aqui esto alguns exemplos: Agora comum em muitas residncias que os clientes se comuniquem com bancos, lojas e vrios fornecedores de mercadorias e servios via computadores. Os alunos realizam pesquisas relativas s aulas acessando ndices de bibliotecas e publicaes localizados em outras partes do pas, alm de outras partes do mundo.

Como obviamente no possvel conectar computadores em um pas ou em todo o mundo da mesma forma que os computadores so conectados em uma rede local com cabos, surgiram tecnologias diferentes para atender a essa necessidade. Cada vez mais, a Internet est sendo utilizada como uma alternativa barata utilizao de uma WAN corporativa em alguns aplicativos. H novas tecnologias disponveis para as empresas fornecerem segurana e privacidade em suas comunicaes e transaes na Internet. As WANs utilizadas por elas mesmas, ou em conjunto na Internet, permitem a organizaes e indivduos atender a suas necessidades de comunicao remota. Exibir meio visual

1.1.2 A empresa em evoluo Pgina 1: Empresas e suas redes Na medida em que as empresas crescem, elas contratam mais funcionrios, abrem filiais e atingem mercados globais. Essas alteraes tambm influenciam seus requisitos de servios integrados e orientam seus requisitos de rede. Neste tpico, iremos explorar como as redes corporativas so alteradas para acomodar seus requisitos de negcios em alterao. Todo negcio nico e como uma organizao cresce depende de muitos fatores, como o tipo de produtos ou servios vendidos pela empresa, a filosofia de gerenciamento dos proprietrios e o clima econmico do pas no qual a empresa atua. Em momentos de crise econmica, muitas empresas se concentram em diminuir sua lucratividade, aumentando a eficincia de suas operaes existentes, a produtividade de funcionrios e diminuindo os custos operacionais. Estabelecer e gerenciar redes pode representar despesas significativas de instalao e funcionamento. Para justificar essa grande despesa, as empresas esperam que suas redes apresentem o desempenho ideal e sejam capazes de oferecer um conjunto cada vez maior de servios e aplicativos para suportar a produtividade e a lucratividade. Para ilustrar, vejamos um exemplo de uma empresa fictcia chamada Span Engineering e como seus requisitos de rede mudam na medida em que a empresa cresce de um pequeno negcio local para uma empresa global. Clique nas guias na figura para ver cada estgio de crescimento e a topologia de rede associada. Pequeno escritrio (rede local nica) A Span Engineering, uma empresa de consultoria ambiental, desenvolveu um processo especial de converso do lixo domstico em eletricidade e est desenvolvendo um

pequeno projeto piloto para uma prefeitura em sua regio. A empresa, que j est no setor h quatro anos, cresceu e incluiu 15 funcionrios: seis engenheiros, quatro designers de desenho auxiliado por computador (CAD), uma recepcionista, dois parceiros seniores e dois auxiliares administrativos. O gerenciamento da Span Engineering espera ter projetos em escala completa depois que o projeto piloto demonstrar a viabilidade de seu processo. At l, a empresa deve gerenciar seus custos com cuidado. Para seu pequeno escritrio, a Span Engineering utiliza uma nica rede local para compartilhar informaes entre computadores e dividir perifricos, como uma impressora, uma plotadora em larga escala (para imprimir desenhos de engenharia) e um aparelho de fax. Recentemente, eles atualizaram sua rede local para fornecer um servio barato de Voice over IP (VoIP, Voz sobre IP) e economizar os custos de linhas telefnicas separadas para seus funcionrios. A conexo com a Internet feita por meio de um servio de banda larga comum chamado linha digital do assinante (DSL), fornecido por sua operadora de telefonia local. Com to poucos funcionrios, largura de banda no um problema significativo. A empresa no pode pagar uma equipe de suporte interna de tecnologia da informao (TI) e utiliza servios de suporte contratados da mesma operadora. A empresa tambm utiliza um servio de hospedagem, em vez de comprar e operar seu prprio FTP e seus servidores de e-mail. A figura mostra um exemplo de um pequeno escritrio e sua rede. Campus (vrias redes locais) Cinco anos depois, e a Span Engineering j cresceu rapidamente. Como os proprietrios esperavam, a empresa foi contratada para projetar e implementar uma instalao de reciclagem de lixo completa logo depois da implementao bem-sucedida do primeiro plano piloto. Desde ento, outros projetos tambm foram ganhos em prefeituras vizinhas e em outras regies do pas. Para lidar com a carga de trabalho adicional, a empresa contratou mais pessoas e alugou mais salas. Agora ela uma empresa de pequeno a mdio porte com cerca de cem funcionrios. Muitos projetos esto sendo desenvolvidos simultaneamente e cada um exige um gerente de projeto e uma equipe de suporte. A empresa se organizou em departamentos funcionais, com cada um tendo sua prpria equipe organizacional. Para atender s necessidades crescentes, a empresa se mudou para vrios andares de um edifcio comercial maior. Na medida em que a empresa se expandiu, a rede tambm cresceu. Em vez de uma nica rede local pequena, a rede agora consiste em vrias sub-redes, cada uma destinada a um departamento diferente. Por exemplo, toda a equipe de engenharia est em uma rede local, e a equipe de marketing est em outra. Essas vrias redes locais so unidas

para criar uma rede de empresa completa, ou campus, que ocupa vrios andares do prdio. Agora a empresa tem um pessoal de TI interno para suporte e manuteno da rede. A rede inclui servidores de email, transferncia de dados e armazenamento de arquivos, ferramentas de produtividade baseadas na Web e aplicativos, bem como a intranet corporativa para fornecer documentos internos e informaes aos funcionrios. Alm disso, a empresa tem uma extranet que fornece informaes de projeto apenas para clientes designados. Filial (WAN) Passados mais cinco anos, a Span Engineering foi to bem-sucedida em seu processo patenteado que a demanda por seus servios cresceu enormemente, e novos projetos agora esto sendo feitos em outras cidades. Para gerenciar esses projetos, a empresa abriu pequenas filiais prximas dos locais dos projetos. Essa situao apresenta novos desafios equipe de TI. Para gerenciar a distribuio de informaes e servios em toda a empresa, a Span Engineering agora conta com uma central de dados, que mantm os vrios bancos de dados e servidores corporativos. Para assegurar que todas as partes da empresa sejam capazes de acessar os mesmos servios e aplicativos, independentemente de onde estejam localizados os escritrios, agora a empresa precisa implementar uma WAN. Para suas filiais nas cidades prximas, a empresa optou por utilizar linhas dedicadas privadas por meio da sua operadora local. No entanto, para esses escritrios localizados em outros pases, a Internet agora uma opo de conexo WAN atraente. Embora conectar os escritrios por meio da Internet seja econmico, isso suscita problemas de segurana e privacidade que a equipe de TI deve resolver. Distribuio (global) A Span Engineering agora j est no setor h 20 anos e chegou a milhares de funcionrios distribudos em escritrios ao redor do mundo. O custo da rede e de seus servios relacionados agora uma despesa significativa. Agora a empresa est procurando fornecer a seus funcionrios os melhores servios de rede ao menor custo. Os servios de rede otimizados permitiriam a cada funcionrio trabalhar com mais eficincia. Para aumentar a lucratividade, a Span Engineering precisa reduzir suas despesas operacionais. Ela realocou algumas de suas filiais para reas mais baratas. A empresa tambm est incentivando que os funcionrios trabalhem remotamente e criem equipes virtuais. Aplicativos baseados na Web, inclusive conferncia na Web, e-learning e ferramentas colaborativas on-line, esto sendo utilizados para aumentar a produtividade e reduzir custos. Redes virtuais privadas (VPNs) ponto-a-ponto e de acesso remoto permitem empresa utilizar a Internet para se conectar de maneira fcil e com

segurana a funcionrios e instalaes em todo o mundo. Para atender a esses requisitos, a rede deve fornecer os servios convergidos necessrios e proteger a conectividade WAN de Internet com filiais e indivduos. Como vimos nesse exemplo, os requisitos de rede de uma empresa podem mudar drasticamente na medida em que a empresa cresce. Distribuir funcionrios economiza custos de muitas formas, mas aumenta a demanda na rede. Uma rede deve no apenas atender s necessidades operacionais do dia-a-dia da empresa, mas tambm precisa ser capaz de se adaptar e crescer na medida em que a empresa muda. Os programadores de rede e os administradores superam esses desafios escolhendo cuidadosamente as tecnologias de rede, os protocolos e os provedores de servio e otimizando suas redes com muitas das tcnicas que ensinamos nesta srie de cursos. O prximo tpico descreve um modelo de rede para projetar redes capazes de acomodar as mudanas contnuas nas necessidades das empresas atuais em evoluo. Exibir meio visual

1.1.3 O modelo de rede em evoluo Pgina 1: O modelo de design hierrquico O modelo de rede hierrquico uma ferramenta til de alto nvel para projetar uma infra-estrutura de rede confivel. Ele fornece uma exibio modular de uma rede, o que facilita o projeto e a criao de uma rede escalvel. O modelo de rede hierrquico Como voc deve se lembrar do CCNA Exploration: Comutao de Rede Local e Wireless, o modelo de rede hierrquico divide uma rede em trs camadas:

Camada de acesso concede acesso ao usurio a dispositivos de rede. Em um campus de rede, a camada de acesso costuma incorporar dispositivos de rede local comutados com portas que fornecem conectividade a estaes de trabalho e servidores. No ambiente WAN, ele pode fornecer a funcionrios remotos ou sites remotos o acesso rede corporativa em toda a tecnologia WAN. Camada de distribuio agrega os wiring closets, utilizando switches para dividir os grupos de trabalho em segmentos e isolar problemas de rede em um ambiente de campus. Da mesma forma, a camada de distribuio agrega conexes WAN na borda do campus e fornece conectividade baseada na poltica. Camada do ncleo (tambm conhecida como o backbone) um backbone de alta velocidade projetado para comutar pacotes o mais rpido possvel. Como o ncleo essencial para conectividade, ele deve fornecer um alto nvel de disponibilidade e se adaptar a alteraes muito rapidamente. Ele tambm fornece escalabilidade e convergncia rpida.

Clique no boto Exemplo de topologia na figura. A figura representa o modelo de rede hierrquico em ambientes de campus. O modelo de rede hierrquico fornece uma estrutura modular que garante flexibilidade no projeto de rede e facilita a implementao e a soluo de problemas na infra-estrutura. No entanto, importante compreender que a infra-estrutura de rede s a base de uma arquitetura mais ampla. As tecnologias de networking avanaram consideravelmente nos ltimos anos, o que resulta em redes cada vez mais inteligentes. Os elementos de rede atuais tm mais caractersticas de trfego, podendo ser configurados para fornecer servios especializados com base em coisas como os tipos de dados transportados, a prioridade dos dados e at mesmo as necessidades de segurana. Embora grande parte desses servios de infra-estrutura estejam fora do escopo desse curso, importante compreender que eles influenciam o projeto da rede. No prximo tpico, iremos explorar a arquitetura corporativa Cisco, que expande o modelo hierrquico, utilizando a inteligncia de rede para abordar a infra-estrutura de rede. Exibir meio visual

Pgina 2: A arquitetura corporativa Conforme descrito anteriormente, empresas diferentes precisam de tipos de redes distintos, dependendo da forma como a empresa organizada e suas metas de negcios. Infelizmente, muito comum que as redes cresam de maneira desordenada na medida em que novos componentes so adicionados em resposta a necessidades imediatas. Com o passar do tempo, essas redes se tornam muito complexas e caras de gerenciar. Como a rede uma mistura de tecnologias mais novas e mais antigas, ela pode ser difcil de suportar e manter. Quedas e um mau desempenho so uma fonte constante de problemas para administradores de rede. Para ajudar a impedir essa situao, a Cisco desenvolveu uma arquitetura recomendada chamada Cisco Enterprise Architecture (Arquitetura corporativa Cisco) com solues para diferentes estgios de crescimento de uma empresa. Essa arquitetura foi projetada para fornecer a projetistas de rede um roteiro para a expanso da rede medida que a empresa passa por estgios diferentes. Seguindo o roteiro sugerido, os gerentes de TI podem planejar atualizaes de rede futuras que iro se integrar plenamente rede existente e suportar a necessidade cada vez maior de servios. Estes so alguns exemplos dos mdulos dentro da arquitetura relevantes para o cenrio da Span Engineering descrito anteriormente: Arquitetura de campus corporativa

Arquitetura de filial corporativa Arquitetura da central de dados corporativa Arquitetura de funcionrio remoto corporativa

Exibir meio visual

Pgina 3: Mdulos na arquitetura corporativa A arquitetura corporativa Cisco consiste em mdulos que representam vises focadas em cada local da rede. Cada mdulo tem uma infra-estrutura de rede distinta com servios e aplicativos de rede que se estendem pelos mdulos. A Arquitetura corporativa Cisco inclui os mdulos a seguir. Passe o mouse sobre cada mdulo na figura. Arquitetura de campus corporativa Uma rede de campus um edifcio ou um grupo de edifcios conectados a uma rede corporativa que consiste em muitas redes locais. Um campus costuma ser limitado a uma rea geogrfica fixa, mas pode abranger vrios edifcios vizinhos, por exemplo, um complexo industrial ou um ambiente de parque comercial. No exemplo da Span Engineering, o campus abrangia vrios andares do mesmo prdio. A arquitetura de campus corporativo descreve os mtodos recomendados para criar uma rede escalvel, ao mesmo tempo em que atende s necessidades de operaes comerciais ao estilo do campus. A arquitetura modular, podendo ser facilmente expandida para incluir edifcios ou andares de campus adicionais na medida em que a empresa cresce. Arquitetura de borda corporativa Este mdulo oferece conectividade a servios de voz, de vdeo e de dados fora da empresa. Este mdulo permite empresa utilizar a Internet e os recursos de parceiros, alm de fornecer recursos para seus clientes. Este mdulo normalmente funciona como uma ligao entre o mdulo de campus e os demais mdulos na arquitetura corporativa. A arquitetura WAN corporativa e da rede de rea metropolitana (MAN) cujas tecnologias sero abordadas posteriormente neste curso, sendo consideradas parte deste mdulo. Arquitetura de filial corporativa

Este mdulo permite s empresas estenderem os aplicativos e os servios encontrados no campus a milhares de locais remotos e usurios ou a um grupo pequeno de filiais. Grande parte deste curso se concentra nas tecnologias mais implementadas neste mdulo. Arquitetura da central de dados corporativa As centrais de dados so responsveis por gerenciar e manter os muitos sistemas de dados vitais para operaes comerciais modernas. Funcionrios, parceiros e clientes dependem de dados e recursos na central de dados para criar, colaborar e interagir de maneira eficiente. Na ltima dcada, o crescimento das tecnologias baseadas na Web e da Internet tornou a central de dados mais importante do que nunca, aumentando a produtividade, melhorando processos da empresa e agilizando alteraes. Arquitetura de funcionrio remoto corporativa Muitas empresas atuais oferecem um ambiente de trabalho flexvel a seus funcionrios, o que os permite trabalharem remotamente em seus escritrios em casa. Trabalhar remotamente aproveitar os recursos de rede corporativa em casa. O mdulo de funcionrio remoto recomenda que as conexes domsticas que utilizam servios de banda larga, como modem a cabo ou DSL se conectem Internet e dela rede corporativa. Como a Internet apresenta riscos segurana significativos para a empresa, medidas especiais devem ser tomadas para garantir a segurana e a privacidade da comunicao do funcionrio remoto. Clique no boto Exemplo de topologia na figura. A figura mostra um exemplo de como esses mdulos de arquitetura corporativa podem ser utilizados para criar uma topologia de rede de negcios. Exibir meio visual

Pgina 4: Exibir meio visual

1.2 Conceitos de tecnologia WAN


1.2.1 Viso geral da tecnologia WAN Pgina 1: As WANs e o modelo OSI Conforme descrito em relao ao modelo de referncia OSI, as operaes WAN se concentram principalmente nas camadas 1 e 2. Os padres de acesso WAN costumam

descrever os mtodos de entrega da camada fsica e os requisitos da camada de enlace de dados, incluindo endereo fsico, controle de fluxo e encapsulamento. Os padres de acesso WAN so definidos e gerenciados por vrias autoridades reconhecidas, inclusive a Organizao internacional para padronizao (ISO, International Organization for Standardization), a Associao da indstria de telecomunicaes (TIA, Telecommunicatuions Industry Association) e a Associao das indstrias de eletrnica (EIA, Electronic Industries Association). Os protocolos da camada fsica (Camada 1 OSI) descrevem como fornecer conexes eltrica, mecnica, operacional e funcional com os servios de uma operadora de comunicao. Os protocolos da camada de enlace de dados (Camada 2 OSI) definem como os dados so encapsulados para transmisso em um local remoto e os mecanismos para transferir os quadros resultantes. Vrias tecnologias diferentes so utilizadas, como Frame Relay e ATM. Alguns desses protocolos utilizam o mesmo mecanismo de quadros bsico, Controle de enlace de dados de alto nvel (HDLC, High-Level Data Link Control) um padro ISO, ou um de seus subconjuntos ou variantes. Exibir meio visual

1.2.2 Conceitos da camada fsica WAN Pgina 1: Terminologia da camada fsica WAN Uma diferena primria entre uma WAN e uma rede local que uma companhia ou organizao deve assinar uma provedor de servios WAN externo para utilizar servios de rede WAN. Uma WAN utiliza enlaces de dados fornecidos por servios de conexo para acessar a Internet e conectar os locais de uma organizao aos locais de outras organizaes, a servios externos e a usurios remotos. A camada fsica de acesso WAN descreve a conexo fsica entre a rede corporativa e a rede da operadora. A figura ilustra a terminologia normalmente utilizada para descrever conexes WAN fsicas, inclusive:

Equipamento local do cliente (CPE, Customer Premises Equipment) os dispositivos e a fiao interna localizados no local do assinante e conectados ao canal de telecomunicao de uma operadora. O assinante tem o CPE ou aluga o CPE da operadora. Nesse contexto, um assinante uma empresa que solicita servios WAN de um provedor de servios ou operadora. Equipamento de comunicao de dados (DCE, Data Communications Equipment) tambm chamado de equipamento terminal de circuito de dados, o DCE consiste em dispositivos que colocam dados no loop local. O DCE fornece principalmente uma interface para conectar assinantes a um link de comunicao na nuvem WAN. Equipamento de terminal de dados (DTE, Data Terminal Equipment ) os dispositivos de cliente que transmitem os dados de uma rede do cliente ou

computador host para transmisso pela WAN. O DTE se conecta ao loop local por meio do DCE.

Ponto de demarcao um ponto estabelecido em um edifcio ou complexo para separar o equipamento do cliente do equipamento da operadora. Fisicamente, o ponto de demarcao a caixa de juno do cabeamento, localizado no local do cliente, que conecta a fiao CPE ao loop local. Ele costuma ser colocado tendo em vista um acesso facilitado por um tcnico. O ponto de demarcao o local onde a responsabilidade da conexo passa do usurio para a operadora. Isso muito importante porque quando surgem problemas, necessrio determinar se o usurio ou a operadora responsvel por solucionar problemas ou repar-los. Loop local o cabo telefnico de cobre ou fibra que conecta o CPE no local do assinante ao CO da operadora. s vezes, o loop local tambm chamado de "ltima-milha". Central da operadora (CO, Central Office) uma instalao ou prdio da operadora local onde os cabos telefnicos locais so vinculados a linhas de comunicao de longa distncia, totalmente digitais de fibra ptica por meio de um sistema de switches e outro equipamento.

Exibir meio visual

Pgina 2: Dispositivos WAN As WANs utilizam vrios tipos de dispositivos que so especficos de ambientes WAN, incluindo:

Modem modula um sinal de operadora analgico para codificar informaes digitais e demodula o sinal para decodificar as informaes transmitidas. Um modem de banda de voz converte os sinais digitais produzidos por um computador em freqncias de voz que podem ser transmitidas pelas linhas analgicas da rede telefnica pblica. Na outra extremidade da conexo, outro modem converte os sons novamente em um sinal digital de entrada para um computador ou conexo de rede. Modems mais rpidos, como modems a cabo e modems DSL, transmitem utilizando freqncias de banda larga mais altas. CSU/DSU linhas digitais, como linhas de operadora T1 ou T3, exigem uma unidade do servio de canal (CSU, channel service unit) e uma unidade de servio de dados (DSU, data service unit). As duas costumam ser integradas em um nico equipamento, chamado CSU/DSU. A CSU fornece uma terminao para o sinal digital e assegura a integridade da conexo por meio da correo de erros e da monitorao da linha. A DSU converte os quadros de linha da operadora T em quadros que a rede local pode interpretar e vice-versa. Servidor de acesso concentra comunicao do usurios de discagens feitas e recebidas. Um servidor de acesso pode ter uma mistura de interfaces analgicas e digitais e suportar centenas de usurios simultneos. Switch WAN um dispositivo inter-rede com vrias portas utilizado em redes de operadora. Esses dispositivos costumam comutar o trfego, como Frame

Relay, ATM ou X.25 e operam na camada de enlace de dados do modelo de referncia OSI. Os switches da rede de telefonia pblica comutada (PSTN, Public Switched Telephone Network) tambm podem ser utilizados dentro da nuvem das conexes de circuito comutado como rede digital de servios integrados (ISDN, Integrated Services Digital Network) ou discagem analgica.

Roteador fornece portas de interface de acesso de redes interconectadas e WAN utilizadas na conexo com a rede da operadora. Essas interfaces podem ser conexes seriais ou outras interfaces WAN. Com alguns tipos de interfaces WAN, um dispositivo externo, como DSU/CSU ou modem (analgico, a cabo ou DSL) obrigatrio para conectar o roteador ao ponto de presena (POP, point of presence) local da operadora. Roteador central um roteador que reside no meio ou no backbone da WAN, e no em sua periferia. Para cumprir essa funo, um roteador deve ser capaz de suportar vrias interfaces de telecomunicao da maior velocidade em utilizao no ncleo WAN, devendo ser capaz de encaminhar pacotes IP em total velocidade em todas essas interfaces. O roteador tambm deve suportar os protocolos de roteamento utilizados no ncleo.

Exibir meio visual

Pgina 3: Padres da camada fsica WAN Os protocolos da camada fsica WAN descrevem como fornecer conexes eltrica, mecnica, operacional e funcional para servios WAN. A camada fsica WAN tambm descreve a interface entre o DTE e o DCE. A interface DTE/DCE utiliza vrios protocolos da camada fsica, incluindo:

EIA/TIA-232 este protocolo permite sinalizar velocidades de at 64 kb/s em um conector D de 25 pinos em curtas distncias. Ele era conhecido como RS232. A especificao ITU-T V.24 efetivamente a mesma. EIA/TIA-449/530 este protocolo uma verso mais rpida (at 2 Mb/s) do EIA/TIA-232. Ele utiliza um conector D de 36 pinos, sendo capaz de extenses maiores de cabo. H vrias verses. Este padro tambm conhecido como RS422 e RS-423. EIA/TIA-612/613 este padro descreve o protocolo Interface serial de alta velocidade (HSSI, High-Speed Serial Interface), que fornece acesso a servios de at 52 Mb/s em um conector D de 60 pinos. V.35 este o padro ITU-T para comunicao sncrona entre um dispositivo de acesso rede e uma rede de pacote. Originalmente especificado para suportar taxas de dados de 48 kb/s, ele agora suporta velocidades de at 2,048 Mb/s utilizando um conector retangular de 34 pinos. X.21 este protocolo um padro ITU-T para comunicao digital sncrona. Ele utiliza um conector D de 15 pinos.

Esses protocolos estabelecem os cdigos e os parmetros eltricos utilizados pelos dispositivos para se comunicar. Escolher um protocolo amplamente determinado pelo mtodo do provedor de servios de instalaes. Clique no boto Conectores de cabo WAN na figura para ver os tipos de conectores de cabo associados a cada protocolo da camada fsica. Exibir meio visual

1.2.3 Conceitos da camada de enlace de dados WAN Pgina 1: Protocolos de enlace de dados Alm dos dispositivos da camada fsica, as WANs exigem protocolos da camada de enlace de dados para estabelecer o link na linha de comunicao do dispositivo de envio para o de recebimento. Este tpico descreve os protocolos de enlace de dados comuns utilizados nas redes empresariais atuais para implementar conexes WAN. Protocolos da camada de enlace de dados definem como os dados so encapsulados para transmisso em sites remotos e os mecanismos para transferir os quadros resultantes. Vrias tecnologias diferentes so utilizadas, como ISDN, Frame Relay ou ATM. Muitos desses protocolos utilizam o mesmo mecanismo de quadros bsico, HDLC, um padro ISO, ou um de seus subconjuntos ou variantes. A ATM diferente das demais, porque utiliza clulas pequenas de 53 bytes (48 bytes para dados), diferentemente das demais tecnologias de pacote comutado, que utilizam pacotes de tamanho varivel. Os protocolos de enlace de dados WAN mais comuns so:

HDLC PPP Frame Relay ATM

ISDN e X.25 so protocolos de enlace de dados mais antigos e menos utilizados atualmente. No entanto, ISDN continua sendo abordado neste curso por conta da sua utilizao ao suportar rede VoIP com links PRI. X.25 mencionado para ajudar a explicar a relevncia de Frame Relay. Alm disso, X.25 continua sendo utilizado nos pases em desenvolvimento nos quais as redes de dados do pacote (PDN) so utilizadas para transmitir transaes de cartes de crdito e de dbito dos comerciantes. Nota: outro protocolo DLL o protocolo de Comutao de rtulo de multiprotocolo (MPLS, Multiprotocol Label Switching). O MPLS est sendo cada vez mais implantado por provedores de servio para fornecer uma soluo econmica para conexo por

circuitos comutados, bem como trfego da rede com pacotes comutados. Ele pode funcionar em qualquer infra-estrutura existente, como IP, Frame Relay, ATM ou Ethernet. Ele fica entre as camadas 2 e 3, sendo chamado, s vezes, de protocolo da Camada 2.5. No entanto, o MPLS est alm do escopo deste curso, embora seja abordado em CCNP: Implementing Secure Converged Wide-area Networks. Exibir meio visual

Pgina 2: Encapsulamento WAN Os dados da camada de rede so passados para a camada de enlace de dados para entrega em um link fsico, normalmente ponto-a-ponto em uma conexo WAN. A camada de enlace de dados cria um quadro em torno dos dados da camada de rede para que as verificaes necessrias e os controles possam ser aplicados. Cada tipo de conexo WAN utiliza um protocolo da Camada 2 para encapsular um pacote enquanto cruza o link de WAN. Para assegurar que o protocolo de encapsulamento correto seja utilizado, o tipo de encapsulamento da Camada 2 utilizado para cada interface serial do roteador deve ser configurado. A opo dos protocolos de encapsulamento depende da tecnologia WAN e do equipamento. HDLC foi inicialmente proposto em 1979 e, por essa razo, a maior parte dos protocolos de quadros desenvolvidos depois se baseia nele. Clique no boto Reproduzir na figura para exibir como os protocolos de enlace de dados WAN encapsulam trfego. Exibir meio visual

Pgina 3: Formatos de encapsulamento de quadro WAN Examinar a poro do cabealho de um quadro HDLC ir ajudar a identificar campos comuns utilizados por muitos protocolos de encapsulamento WAN. O quadro sempre comea e termina com um campo de flag de 8 bits. O padro de bits 01111110. O campo de endereo no necessrio para links de WAN, que quase sempre so ponto-aponto. O campo de endereo continua presente, podendo ter 1 ou 2 bytes. O campo de controle depende do protocolo, mas normalmente indica se o contedo dos dados de informaes de controle ou dados da camada de rede. O campo de controle costuma ter 1 byte. Juntos, os campos de endereo e de controle so chamados de cabealho do quadro. Os dados encapsulados seguem o campo de controle. Dessa forma, uma seqncia de verificao de quadro (FCS, frame check sequence) utiliza o mecanismo de verificao de redundncia cclica (CRC, cyclic redundancy check) para estabelecer um campo de 2 ou 4 bytes.

Vrios protocolos de enlace de dados so utilizados, inclusive subconjuntos e verses prprias do HDLC. PPP e a verso Cisco do HDLC tm um campo extra no cabealho para identificar o protocolo da camada de rede dos dados encapsulados. Exibir meio visual

1.2.4 Conceitos de comutao WAN Pgina 1: Comutao de circuito Uma rede de circuito comutado estabelece um circuito (ou canal) dedicado entre ns e terminais antes da comunicao dos usurios. Como um exemplo, quando um assinante faz uma chamada telefnica, o nmero discado utilizado para definir switches nas trocas na rota da chamada para que haja um circuito contnuo do chamador para a parte chamada. Por conta do funcionamento da comutao utilizada para estabelecer o circuito, o sistema telefnico chamado de rede de circuito comutado. Se os telefones forem substitudos por modems, o circuito comutado poder transportar dados do computador. O caminho interno usado pelo circuito entre as trocas compartilhado por vrias conversas. A multiplexao por diviso de tempo (TDM, time-division multiplexing) d a cada conversa uma parte da conexo por vez. A TDM assegura que uma conexo de capacidade fixa seja disponibilizada ao assinante. Se o circuito transporta dados do computador, a utilizao dessa capacidade fixa talvez no seja eficiente. Por exemplo, se o circuito for utilizado para acessar a Internet, haver uma intensa atividade do circuito durante a transferncia de uma pgina da Web. Isso pode ser seguido de nenhuma atividade enquanto o usurio l a pgina e, em seguida, outra intensa atividade enquanto a prxima pgina transferida. Essa variao de utilizao entre nenhum e mximo tpica do trfego da rede de computadores. Como o assinante s utiliza a alocao da capacidade fixa, os circuitos comutados costumam ser uma forma cara de migrar dados. PSTN e ISDN so dois tipos de tecnologia de circuito comutado que podem ser utilizados para implementar uma WAN em uma configurao corporativa. Clique no boto Reproduzir na figura para ver como funciona a comutao de circuitos. Exibir meio visual

Pgina 2:

Comutao de pacotes Comparando-se com a comutao de circuitos, a comutao de pacotes divide os dados do trfego em pacotes roteados em uma rede compartilhada. As redes de comutao de pacotes no exigem o estabelecimento de um circuito, permitindo a comunicao de muitos pares de ns no mesmo canal. Os switches em uma rede comutada por pacote (PSN) determinam que link o pacote deve ser enviado em seguida a partir das informaes de endereamento em cada pacote. H duas abordagens para essa determinao de link, sem conexo ou orientada por conexo. Sistemas sem conexo, como a Internet, transportam informaes de endereamento completas em cada pacote. Cada switch deve avaliar o endereo para determinar aonde enviar o pacote. Sistemas orientados a conexes predeterminam a rota para um pacote, e cada pacote s precisa transportar um identificador. No caso do Frame Relay, eles so chamados de Identificadores de conexo de enlace de dados (DLCIs, Data Link Connection Identifier). O switch determina a rota adiante, observando o identificador em tabelas mantidas na memria. O conjunto de entradas nas tabelas identifica uma rota ou circuito especfico no sistema. Se esse circuito s existir fisicamente enquanto um pacote o percorrer, ele ser chamado de circuito virtual (VC).

Como os links internos entre os switches so compartilhados entre muitos usurios, os custos da comutao de pacotes so menores que os da comutao de circuitos. Atrasos (latncia) e variao do atraso (atraso do sincronismo) so maiores na comutao de pacotes do que em redes de circuito comutado. Isso porque os links so compartilhados, e os pacotes devem ser integralmente recebidos em um switch antes de avanar. Apesar da latncia e do atraso do sincronismo inerentes em redes compartilhadas, a tecnologia moderna permite um transporte satisfatrio da comunicao de voz e at mesmo de vdeo nessas redes. Clique no boto Reproduzir na figura para ver um exemplo de comutao de pacotes. O servidor A est enviando dados para o servidor B. medida que o pacote atravessa a rede do fornecedor, ele chega ao segundo switch do provedor. O pacote adicionado fila e encaminhado depois que os demais pacotes na fila so encaminhados. O pacote acaba chegando ao servidor B. Circuitos virtuais As redes comutadas por pacotes podem estabelecer rotas pelos switches para conexes fim-a-fim especficas. Essas rotas so chamadas de circuitos virtuais. VC um circuito lgico criado dentro de uma rede compartilhada entre dois dispositivos de rede. H dois tipos de VCs:

Circuito virtual permanente (PVC) um circuito virtual estabelecido permanentemente que consiste em um modo: transferncia de dados. Os PVCs so utilizados em situaes nas quais a transferncia de dados entre dispositivos constante. Os PVCs diminuem a utilizao da largura de banda associada ao estabelecimento e ao encerramento de VCs, mas aumentam os custos por conta da constante disponibilidade do circuito virtual. Os PVCs costumam ser configurados pela operadora quando h uma ordem de servio. Circuito virtual comutado (SVC) um VC estabelecido dinamicamente sob demanda e encerrado quando a transmisso concluda. A comunicao em um SVC consiste em trs fases: estabelecimento de circuito, transferncia de dados e encerramento de circuito. A fase de estabelecimento envolve a criao do VC entre os dispositivos de origem e de destino. A transferncia de dados envolve a transmisso de dados entre os dispositivos pelo VC, e a fase de encerramento do circuito envolve a separao do VC entre os dispositivos de origem e de destino. Os SVCs so utilizados em situaes nas quais a transmisso de dados entre dispositivos intermitente, principalmente para economizar. Os SVCs liberam o circuito quando a transmisso concluda, o que resulta em encargos de conexo inferiores aos incorridos por PVCs, que mantm a disponibilidade constante do circuito virtual.

Conexo a uma rede comutada por pacotes Para se conectar a uma rede comutada por pacotes, um assinante precisa de um loop local com o local mais prximo onde o provedor disponibiliza o servio. Isso chamado de ponto de presena (POP) do servio. Essa normalmente uma linha alugada dedicada. Essa linha muito mais curta que uma linha alugada diretamente conectada aos locais do assinante, e normalmente transporta vrios VCs. Como provvel que nem todos os VCs exijam demanda mxima simultaneamente, a capacidade da linha alugada pode ser menor que a soma dos VCs individuais. Entre os exemplos de conexes comutadas por pacotes ou clulas: X.25 Frame Relay ATM

Exibir meio visual

Pgina 3: Exibir meio visual

1.3 Opes de conexo WAN


1.3.1 Opes de conexo de link WAN Pgina 1:

H muitas opes para implementar solues WAN disponveis no momento. Elas diferem quanto tecnologia, velocidade e ao custo. A familiaridade com essas tecnologias uma parte importante do projeto de rede e da avaliao. As conexes WAN podem estar em uma infra-estrutura privada ou pblica, como a Internet. Opes de conexo WAN privada Entre as conexes WAN privadas esto as opes do link de comunicao dedicado e comutado. Links de comunicao dedicados Quando conexes dedicadas permanentes forem obrigatrias, as linhas ponto-a-ponto sero utilizadas com vrios recursos limitados exclusivamente pelas instalaes fsicas subjacentes e pela propenso dos usurios em pagar por essas linhas dedicadas. Um link ponto-a-ponto fornece um caminho de comunicao WAN preestabelecido do local do cliente por meio da rede do provedor para um destino remoto. As linhas ponto-a-ponto costumam ser alugadas de uma operadora, e tambm so chamadas de linhas alugadas. Links de comunicao comutados Os links de comunicao comutados podem ser comutados por circuitos ou pacotes.

Links de comunicao comutados por circuito a comutao de circuitos estabelece dinamicamente uma conexo virtual dedicada para voz ou dados entre um remetente e um destinatrio. Para que a comunicao possa comear, necessrio estabelecer a conexo por meio da rede da operadora. Os exemplos de links de comunicao comutados por circuito so de acesso analgico (PSTN) e ISDN. Links de comunicao comutados por pacotes muitos usurios WAN no utilizam de maneira eficiente da largura de banda fixa disponvel com circuitos dedicados, comutados ou permanentes porque o fluxo de dados flutua. Os provedores de comunicao tm redes de dados disponveis para atender esses usurios de maneira mais apropriada. Em redes comutadas por pacotes, os dados so transmitidos em quadros marcados, clulas ou pacotes. Entre os links de comunicao comutados por pacotes esto Frame Relay, ATM, X.25 e Metro Ethernet.

Opes de conexo WAN pblica As conexes pblicas utilizam a infra-estrutura de Internet global. At recentemente, a Internet no era uma opo de rede vivel para muitas empresas por causa dos riscos

segurana significativos e da falta de garantia de desempenho apropriado em uma conexo com a Internet fim-a-fim. No entanto, com o desenvolvimento da tecnologia VPN, a Internet agora uma opo barata e segura para conexo de trabalhadores remotos e escritrios remotos em que garantias de desempenho no sejam crticas. Os links de conexo WAN da Internet so com servios de banda larga, como DSL, modem a cabo e sem fio com banda larga, sendo integrados tecnologia VPN para fornecer privacidade na Internet. Exibir meio visual

1.3.2 Opes de link de conexo dedicado Pgina 1: Linhas alugadas Quando uma conexo dedicada permanente obrigatria, um link ponto-a-ponto utilizado para fornecer um caminho de comunicao WAN preestabelecido do local do cliente por meio da rede do provedor para um destino remoto. As linhas ponto-a-ponto costumam ser alugadas de uma operadora, e so chamadas de linhas alugadas. Este tpico descreve como as empresas utilizam linhas alugadas para fornecer uma conexo WAN dedicada. Clique no boto Tipos de linha e largura de banda na figura para exibir uma lista dos tipos de linha alugada e seus recursos de taxa de bits. As linhas alugadas esto disponveis em capacidades diferentes, sendo geralmente cobradas com base na largura de banda obrigatria e a distncia entre os dois pontos conectados. Os links ponto-a-ponto costumam ser mais caros que servios compartilhados, como Frame Relay. O custo das solues em linha alugada podem ser significativos quando utilizadas para conectar vrios locais em distncias cada vez maiores. No entanto, h momentos em que os benefcios superam o custo da linha alugada. A capacidade dedicada remove latncia ou atraso do sincronismo entre as extremidades. A disponibilidade constante essencial para alguns aplicativos, como VoIP ou vdeo sobre IP. Uma porta serial de roteador obrigatria para cada conexo de linha alugada. Uma CSU/DSU e o circuito real da operadora tambm so obrigatrios. As linhas alugadas fornecem capacidade dedicada permanente, sendo utilizadas amplamente na criao de WANs. Elas foram a conexo tradicional escolhida, mas h muitas desvantagens. As linhas alugadas tm uma capacidade fixa, mas o trfego WAN costuma ser varivel, o que deixa uma parte da capacidade inutilizada. Alm disso, cada extremidade precisa de uma interface fsica separada no roteador, o que aumenta os

custos de equipamento. Qualquer alterao feita na linha alugada normalmente exige uma visita ao local pela operadora. Exibir meio visual

Pgina 2: Exibir meio visual

1.3.3 Opes de conexo comutada por circuitos Pgina 1: Discagem analgica Quando transferncias de dados intermitentes, de baixos volumes de dados, so necessrias e as linhas telefnicas discadas analgicas fornecem baixa capacidade e conexo comutada dedicada. Este tpico descreve as vantagens e as desvantagens de utilizar opes de conexo dialup e identifica os tipos de cenrios de negcios que aproveitam esse tipo de opo. A telefonia tradicional utiliza um cabo de cobre, chamado de loop local, para conectar o monofone telefnico no local do assinante ao CO. O sinal no loop local durante uma chamada um sinal eletrnico varivel contnuo que uma traduo da voz de assinante, analgica. Os loops locais tradicionais podem transportar dados de computador binrios por meio da rede telefnica de voz utilizando um modem. O modem modula os dados binrios em um sinal analgico na origem e demodula o sinal analgico para os dados binrios no destino. As caractersticas fsicas do loop local e sua conexo com a PSTN limitam a taxa do sinal a menos de 56 kb/s. Para pequenos negcios, essas conexes de dialup de velocidade relativamente baixa so apropriadas troca de dados sobre vendas, preos, relatrios de rotina e email. Utilizar dialup automtico durante a noite ou nos finais de semana para grandes transferncias de arquivos e backup de dados pode aproveitar tarifas menores fora do pico (tarifas de linha). As tarifas se baseiam na distncia entre as extremidades, a hora do dia e a durao da chamada. As vantagens do modem e das linhas analgicas so a simplicidade, a disponibilidade e o baixo custo de implementao. As desvantagens so taxas de dados menores e um tempo de conexo relativamente longo. O circuito dedicado tem pouco atraso ou atraso do sincronismo para trfego ponto-a-ponto, mas o trfego de voz ou de vdeo no funciona corretamente nessas taxas de bits. Exibir meio visual

Pgina 2: Rede digital de servios integrados A rede digital de servios integrados (ISDN, Integrated Services Digital Network) uma tecnologia comutada por circuitos que permite ao loop local de uma PSTN transmitir sinais digitais, o que resulta em uma conexo comutada de maior capacidade. A ISDN altera a conexo interna da PSTN de transportar sinais analgicos para sinais digitais de multiplexao por diviso de tempo (TDM). A TDM permite que dois ou mais sinais ou fluxos de bits sejam transferidos como subcanais em um canal de comunicao. Os sinais aparentam transferir simultaneamente, mas esto fisicamente se alternando no canal. Um bloco de dados do subcanal 1 transmitido durante o slot de tempo 1, subcanal 2, durante o slot de tempo 2 e assim por diante. Um quadro TDM consiste em um slot de tempo por subcanal. A TDM descrita com mais detalhes no Captulo 2, PPP. A ISDN transforma o loop local em uma conexo digital TDM. Essa alterao permite ao loop local transportar sinais digitais que resultam em conexes comutadas de maior capacidade. A conexo utiliza canais de portadora de 64 kb/s (B) para transmitir voz ou dados e uma sinalizao, canal delta (D) para configurao de chamada e outras finalidades. Existem dois tipos de interfaces ISDN:

Interface de taxa bsica (BRI, Basic Rate Interface) ISDN se destina a empresas domsticas ou pequenas, alm de fornecer dois canais B de 64 kb/s e um canal D de 16 kb/s. O canal D BRI foi projetado para controlar e costuma ser mal utilizado, porque tem apenas dois canais B para controlar. Portanto, alguns provedores permitem ao canal D transportar dados em taxas de bits menores, como uma conexo X.25 a 9,6 kb/s. Interface de taxa primria (PRI, Primary Rate Interface ) ISDN tambm est disponvel para instalaes maiores. PRI fornece 23 canais B com 64 kb/s e um canal D com 64 kb/s na Amrica do Norte, para uma taxa total de bits de at 1,544 Mb/s. Isso inclui uma sobrecarga para sincronizao. Na Europa, na Austrlia e em outras partes do mundo, a ISDN PRI fornece 30 canais B e um canal D, para um total de bits de at 2,048 Mb/s, incluindo as sobrecarga com sincronizao. Na Amrica do Norte, PRI corresponde a uma conexo T1. A taxa da PRI internacional corresponde a uma conexo E1 ou J1.

Para WANs pequenas, a BRI ISDN pode fornecer um mecanismo de conexo ideal. BRI tem um tempo de configurao da chamada de menos de um segundo, e o canal B de 64 kb/s fornece maior capacidade que um link de modem analgico. Se for necessria maior capacidade, um segundo canal B poder ser ativado para fornecer um total de 128 kb/s. Embora inapropriado para vdeo, ela permite vrias conversas de voz simultneas, alm do trfego de dados.

Outra aplicao comum da ISDN para fornecer capacidade adicional conforme necessrio em uma conexo utilizando linha alugada. A linha alugada dimensionada para transportar cargas de trfego comuns, enquanto a ISDN adicionada durante perodos de demanda de pico. A ISDN tambm ser utilizada como backup se houver falha na linha alugada. As tarifas ISDN se baseiam em um canal B, sendo semelhantes s conexes de voz analgicas. Com PRI ISDN, vrios canais B podem ser conectados entre duas extremidades. Isso permite a videoconferncia e conexes de dados com maior largura de banda sem nenhuma latncia ou atraso do sincronismo. No entanto, vrias conexes podem ser muito caras em longas distncias. Nota: Muito embora a ISDN continue sendo uma tecnologia importante para redes de operadoras de telefonia, ela est perdendo popularidade como uma opo de conexo com a Internet com a apresentao de servios DSL de alta velocidade e outros de banda larga. Exibir meio visual

Pgina 3: Exibir meio visual

1.3.4 Opes de conexo comutada por pacotes Pgina 1: Tecnologias WAN comuns de comutao de pacotes A maioria das tecnologias de comutao de pacotes comuns utilizada nas redes WAN empresariais atualmente inclui Frame Relay, ATM e antigos X.25. Clique no boto X.25 na figura. X.25 X.25 um protocolo da camada de rede antigo que fornece aos assinantes um endereo de rede. Os circuitos virtuais podem ser estabelecidos por meio da rede com pacotes de solicitao de chamada para o endereo de destino. O SVC resultante identificado por um nmero de canal. Os pacotes de dados marcados com o nmero de canal so entregues no endereo correspondente. Vrios canais podem estar ativos em uma nica conexo. Aplicaes X.25 tpicas so leitores de cartes em ponto de venda. Esses leitores utilizam o X.25 em modo dialup para validar transaes em um computador central.

Para essas aplicaes, a pouca largura de banda e a latncia alta no so uma preocupao, e o baixo custo torna o X.25 acessvel. As velocidades de link X.25 variam de 2400 b/s a 2 Mb/s. No entanto, as redes pblicas costumam apresentar uma capacidade inferior com velocidades que raramente excedem 64 kb/s. Agora as redes X.25 enfrentam um drstico declnio, sendo substitudas por tecnologias de Camada 2 mais novas, como Frame Relay, ATM e ADSL. No entanto, elas continuam sendo utilizadas em muitas partes do mundo em desenvolvimento, onde h acesso limitado a tecnologias mais novas. Clique no boto Frame Relay na figura. Frame Relay Embora o layout de rede seja aparentemente semelhante ao do X.25, o Frame Relay diferente do X.25 em vrias formas. Mais importante, esse um protocolo muito mais simples que funciona na camada de enlace de dados, e no na camada de rede. O Frame Relay no implementa nenhum controle de erro ou de fluxo. O tratamento simplificado de quadros leva latncia reduzida, e as medidas tomadas para evitar o acmulo de quadros em switches intermedirios ajudam a reduzir o atraso do sincronismo. O Frame Relay oferece taxas de dados de at 4 Mb/s, com alguns fornecedores oferecendo taxas ainda mais altas. Os VCs Frame Relay so identificados exclusivamente por uma DLCI, que assegura uma comunicao bidirecional de um dispositivo DTE com outro. A maioria das conexes Frame Relay de PVCs, e no de SVCs. O Frame Relay fornece conectividade permanente, compartilhada, de largura de banda mdia que transporta trfego de voz e de dados. O Frame Relay ideal para conectar redes locais de empresas. O roteador na rede local s precisa de uma interface nica, mesmo quando vrios VCs so usados. A linha alugada por um breve perodo para a borda da rede Frame Relay permite uma conexo econmica entre redes locais muito espalhadas. O Frame Relay ser descrito com mais detalhes no Captulo 3, "Frame Relay". Clique no boto ATM na figura. ATM A tecnologia modo de transferncia assncrona (ATM, Asynchronous Transfer Mode) capaz de transferir voz, vdeo e dados por meio de redes privadas e pblicas. Ele

criado a partir de uma arquitetura baseada em clulas, e no em uma arquitetura baseada em quadros. As clulas ATM sempre tm um tamanho fixo de 53 bytes. A clula ATM contm um cabealho ATM de 5 bytes seguido de 48 bytes de payload ATM. As clulas de tamanho fixo, menores, so mais apropriadas ao transporte de trfego de voz e vdeo porque esse trfego no tolerante a atrasos. O trfego de vdeo e de voz no precisa aguardar a transmisso de um pacote de dados maior. A clula ATM de 53 bytes menos eficiente que os quadros maiores e pacotes do Frame Relay e do X.25. Alm disso, a clula ATM tem pelo menos 5 bytes de sobrecarga para payload de 48 bytes. Quando a clula transporta pacotes da camada de rede segmentados, a sobrecarga maior porque o switch ATM deve ser capaz de remontar os pacotes no destino. Uma linha ATM tpica precisa de praticamente 20 por cento mais largura de banda do que Frame Relay para transportar o mesmo volume de dados da camada de rede. A ATM foi projetada para ser extremamente escalvel, podendo suportar velocidades de link de T1/E1 a OC-12 (622 Mb/s) e superior. A ATM oferece PVCs e SVCs, muito embora PVCs sejam mais comuns com WANs. E, assim como acontece com outras tecnologias compartilhadas, o ATM permite que vrios VCs em uma nica conexo de linha alugada com a borda da rede. Exibir meio visual

Pgina 2: Exibir meio visual

1.3.5 Opes de conexo com a Internet Pgina 1: Servios de banda larga As opes de conexo de banda larga costumam ser utilizadas para conectar funcionrios remotos a um local corporativo pela Internet. Entre essas opes esto cabo, DSL e sem fio. Clique no boto DSL na figura. DSL A tecnologia DSL uma tecnologia de conexo sempre ativada que utiliza linhas telefnicas de par tranado existentes para transportar dados em banda larga e fornece

servios IP aos assinantes. Um modem DSL converte um sinal Ethernet do dispositivo do usurio em um sinal DSL, transmitido para o escritrio central. Vrias linhas de assinante DSL so multiplexadas em um nico link de alta capacidade utilizando um multiplexador de acesso linha digital do assinante (DSLAM) no local do fornecedor. Os DSLAMs incorporam a tecnologia TDM para agregar muitas linhas de assinante em um nico meio, geralmente uma conexo T3 (DS3). As tecnologias DSL atuais utilizam tcnicas sofisticadas de codificao e modulao para obter taxas de dados de at 8,192 Mb/s. H uma ampla variedade de tipos DSL, padres e novos padres. DSL agora uma opo popular para departamentos de TI de empresas no suporte a funcionrios remotos. Em geral, um assinante no pode optar por se conectar a uma rede corporativa diretamente, mas deve primeiro se conectar a um ISP e, em seguida, uma conexo IP estabelecida por meio da Internet com a empresa. H riscos de segurana inerentes a esse processo, embora possam ser minimizados com medidas de segurana. Clique no boto Modem a cabo na figura. Modem a cabo O cabo coaxial amplamente utilizado em reas urbanas para distribuir sinais de televiso. O acesso rede est disponvel em algumas redes de TV a cabo. Ele permite uma largura de banda maior que o loop local telefnico convencional. Os modems a cabo fornecem uma conexo permanente, alm de uma instalao simples. Um assinante conecta um computador ou roteador de rede local ao modem a cabo, que traduz os sinais digitais nas freqncias de banda larga utilizadas na transmisso em uma rede de TV a cabo. O escritrio de TV a cabo local, chamado de headend de cabo, contm o sistema de computadores e os bancos de dados necessrios para fornecer acesso Internet. O componente mais importante localizado no headend o sistema terminal de modem a cabo (CMTS), que envia e recebe sinais de modem a cabo digital em uma rede a cabo, sendo necessrio para fornecer servios de Internet aos assinantes a cabo. Os assinantes de modem a cabo devem utilizar um ISP associado operadora. Todos os assinantes locais tm a mesma largura de banda a cabo. Na medida em que mais usurios assinam o servio, a largura de banda disponvel pode ficar abaixo da taxa esperada. Clique no boto Banda larga sem fio na figura. Banda larga sem fio

A tecnologia sem fio utiliza o espectro de rdio no licenciado para enviar e receber dados. O espectro no licenciado acessvel a qualquer um que tenha um roteador para rede sem fio e uma tecnologia sem fio no dispositivo utilizado. At recentemente, uma limitao do acesso wireless era a necessidade de estar no intervalo de transmisso local (normalmente, menos de 100 ps 30 metros) de um roteador sem fio ou um modem para rede sem fio com uma conexo com fio com a Internet. Os novos desenvolvimentos a seguir na tecnologia sem fio de banda larga esto mudando essa situao:

WiFi municipal muitas cidades comearam a configurar redes sem fio municipais. Algumas dessas redes fornecem acesso Internet de alta velocidade gratuitamente ou por um preo consideravelmente menor do que o de outros servios de banda larga. Outras se destinam utilizao apenas na cidade, permitindo polcia e aos bombeiros, alm de outros funcionrios do municpio, fazer determinados aspectos dos seus trabalhos remotamente. Para se conectar a um WiFi municipal, um assinante normalmente precisa de um modem sem fio com um rdio mais potente e uma antena mais direcional do que a dos adaptadores sem fio convencionais. A maioria dos provedores de servio fornece o equipamento necessrio gratuitamente ou a uma taxa, muito semelhante forma como fazem com modems DSL ou a cabo. WiMAX Interoperabilidade Mundial para Acesso Microondas (WiMAX, Worldwide Interoperability for Microwave Acess) uma nova tecnologia que comeou a ser utilizada recentemente. Ela descrita no padro IEEE 802.16. WiMAX fornece servio de banda larga de alta velocidade com acesso wireless e oferece ampla cobertura como uma rede telefnica celular, e no por meio de pequenos hotspots WiFi. O WiMAX funciona de maneira semelhante ao WiFi, mas em velocidades mais altas, em distncias maiores e para um maior nmero de usurios. Ele utiliza uma rede de torres WiMAX semelhantes a torres de telefonia celular. Para acessar uma rede WiMAX, os assinantes devem assinar um ISP com uma torre WiMAX num raio de 10 milhas (16 km) do local. Eles tambm precisam de um computador compatvel com WiMAX e de um cdigo de criptografia especial para obter acesso estao base. Internet via satlite normalmente utilizada por usurios em zonas rurais onde cabo e DSL no esto disponveis. Um satlite fornece comunicao de dados bidirecional (upload e download). A velocidade de upload cerca de um dcimo da velocidade de download de 500 kb/s. Cabo e DSL tm velocidades de download maiores, mas os sistemas via satlite so cerca de 10 vezes mais rpidos do que um modem analgico. Para acessar servios de Internet via satlite, os assinantes precisam de uma antena de satlite, dois modems (uplink e downlink) e cabos coaxiais entre a antena e o modem.

Os servios de banda larga DSL, a cabo e sem fio so descritos com mais detalhes no Captulo 6, "Servios de funcionrio remoto". Exibir meio visual

Pgina 2:

Tecnologia de VPN H riscos de segurana quando um funcionrio remoto ou escritrio remoto utiliza servios de banda larga para acessar a WAN corporativa pela Internet. Para resolver problemas de segurana, os servios de banda larga fornecem recursos para utilizar conexes de rede virtual privada (VPN) com um servidor VPN, normalmente localizado no local corporativo. Uma VPN uma conexo criptografada entre redes privadas em uma rede pblica, como a Internet. Em vez de utilizar uma conexo da Camada 2 dedicada, como uma linha alugada, uma VPN utiliza conexes virtuais chamadas de tneis VPN, roteados pela Internet da rede privada corporativa para o local remoto ou o host do funcionrio. Benefcios da VPN Entre os benefcios VPN esto:

Economia as VPNs permitem s organizaes utilizar a Internet global para conectar escritrios remotos e usurios remotos ao local corporativo principal, o que elimina links de WAN dedicados caros e conjuntos de modems. Segurana as VPNs fornecem o nvel mais alto de segurana, utilizando protocolos avanados de criptografia e autenticao que protegem dados do acesso no autorizado. Escalabilidade como as VPNs utilizam a infra-estrutura de Internet dentro de ISPs e dispositivos, fcil adicionar novos usurios. As corporaes podem adicionar uma grande quantidade de capacidade sem adicionar uma infraestrutura significativa. Compatibilidade com tecnologia de banda larga como a tecnologia VPN suportada por provedores de servio de banda larga, como DSL e cabo, os funcionrios mveis e remotos podem usufruir seu servio na Internet de alta velocidade domstico para acessar suas redes corporativas. As conexes de banda larga de alta velocidade, comerciais, tambm podem fornecer uma soluo econmica para conectar mais escritrios.

Tipos de acesso VPN Existem dois tipos de acesso VPN:

VPNs ponto-a-ponto VPNs ponto-a-ponto conectam todas as redes, por exemplo, elas conectam a rede de uma filial rede da sede de uma empresa, como mostrado na figura. Todo site equipado com um gateway VPN, como um roteador, firewall, concentrador VPN ou mecanismo de segurana. Na figura, uma filial remota utiliza uma VPN ponto-a-ponto para se conectar matriz corporativa.

VPNs de acesso remoto VPNs de acesso remoto permitem a hosts individuais, como funcionrios remotos, usurios mveis e clientes de extranet acessar a rede de uma empresa com segurana pela Internet. Cada host normalmente tem um software cliente VPN carregado ou utiliza um cliente baseado na Web.

Clique no boto VPN de acesso remoto ou no boto VPN ponto-a-ponto na figura para ver um exemplo de cada tipo de conexo VPN. Exibir meio visual

Pgina 3: Ethernet metropolitana A Metro Ethernet uma tecnologia de rede em rpida evoluo que amplia a Ethernet at redes pblicas mantidas por empresas de telecomunicao. Os switches Ethernet compatveis com IP permitem aos provedores de servio oferecer servios convergidos de voz, de dados e de vdeo corporativos, como telefonia IP, streaming de vdeo, digitalizao e armazenamento de dados. Estendendo a Ethernet at a rea metropolitana, as empresas podem fornecer a seus escritrios remotos acesso confivel a aplicativos e dados na rede local da sede corporativa. Entre os benefcios da Metro Ethernet esto:

Despesas e administrao reduzidos a Ethernet metropolitana fornece uma rede da Camada 2 comutada, de grande largura de banda, compatvel com o gerenciamento de dados, voz e vdeo na mesma infra-estrutura. Essa caracterstica aumenta a largura de banda e elimina converses caras em ATM e Frame Relay. A tecnologia permite s empresas conectar vrios locais sem custo em uma rea metropolitana e Internet. Integrao simplificada com redes existentes a Ethernet metropolitana se conecta facilmente a redes locais Ethernet, o que reduz custos e tempo de instalao. Produtividade comercial melhorada a Ethernet metropolitana permite s empresas usufruir aplicativos IP que melhoram a produtividade difceis de implementar em redes TDM ou Frame Relay, como uma comunicao IP hospedada, VoIP e streaming, alm da transmisso de vdeo.

Exibir meio visual

Pgina 4: Escolhendo uma conexo de link WAN

Agora que observamos vrias opes de conexo WAN, como voc escolhe a melhor tecnologia para atender aos requisitos de uma empresa especfica? A figura compara as vantagens e as desvantagens das opes de conexo WAN que abordamos neste captulo. Essas informaes so um bom comeo. Alm disso, para ajudar no processo de tomada de decises, aqui esto algumas perguntas que voc deve se fazer ao escolher uma opo de conexo WAN. Qual a finalidade da WAN? Voc deseja conectar filiais locais na mesma rea da cidade, conectar filiais remotas, se conectar a uma nica filial, se conectar a clientes, se conectar a parceiros de negcios ou algumas combinaes dessas opes? Se a WAN for para fornecer clientes autorizados ou parceiros de negcios com acesso limitado intranet corporativa, qual ser a melhor opo? Qual o escopo geogrfico? Ele local, regional, global, privativo (filial nica), de filiais mltiplas, mltiplo (distribudo)? Dependendo do intervalo, algumas opes de conexo WAN podem ser melhores que outras. Quais so os requisitos de trfego? Entre os requisitos de trfego a serem considerados esto: O tipo de trfego (somente dados, VoIP, vdeo, arquivos grandes, arquivos de streaming) determina os requisitos de qualidade e desempenho. Por exemplo, se voc estiver enviando muito trfego de voz ou de fluxo de vdeo, a ATM poder ser a melhor opo. Os volumes de trfego que dependem do tipo (voz, vdeo ou dados) de cada destino determinam a capacidade da largura de banda obrigatria para a conexo WAN com o ISP. Os requisitos de qualidade podem limitar suas opes. Se o seu trfego for muito sensvel latncia e ao atraso do sincronismo, voc poder eliminar opes de conexo WAN que no forneam a qualidade obrigatria. Os requisitos de segurana (integridade de dados, confidencialidade e segurana) so fatores importantes caso o trfego seja altamente confidencial ou fornea servios essenciais, como atendimento de emergncias.

E se a WAN utilizar uma infra-estrutura privada ou pblica? Uma infra-estrutura privada oferece a melhor segurana e confidencialidade, e a infraestrutura de Internet pblica oferece a maior flexibilidade e as menores despesas. A sua opo depende da finalidade da WAN, dos tipos de trfego transportado e do oramento

operacional disponvel. Por exemplo, caso a finalidade seja atender a uma filial prxima com servios seguros de alta velocidade, uma conexo privada dedicada ou comutada talvez seja a ideal. Caso a finalidade seja conectar muitos escritrios remotos, uma WAN pblica que utiliza a Internet talvez seja a melhor opo. Para operaes distribudas, uma combinao de opes talvez seja a soluo. Para uma WAN privada, ela deve ser dedicada ou comutada? As transaes em tempo real de alto volume tm requisitos especiais que poderiam favorecer uma linha dedicada, como trfego que flui entre a central de dados e a matriz corporativa. Se voc estiver se conectando a uma filial nica local, ser possvel utilizar uma linha alugada dedicada. No entanto, essa opo seria muito cara para uma conexo WAN de vrios escritrios. Nesse caso, uma conexo comutada pode ser melhor. Para uma WAN pblica, de que tipo de acesso VPN voc precisa? Caso a finalidade da WAN seja se conectar a um escritrio remoto, uma VPN ponto-aponto talvez seja a melhor opo. Para conectar funcionrios remotos ou clientes, as VPNs de acesso remoto so uma opo melhor. Caso a WAN esteja fornecendo uma combinao de escritrios remotos, funcionrios remotos e clientes autorizados, como uma empresa global com operaes distribudas, uma integrao de opes VPN talvez seja obrigatria. Quais so as opes de conexo disponveis localmente? Em algumas reas, nem todas as opes de conexo WAN esto disponveis. Nesse caso, o seu processo de seleo simplificado, muito embora a WAN resultante possa fornecer um desempenho abaixo do ideal. Por exemplo, em uma rea rural ou remota, a nica opo talvez seja o acesso Internet de banda larga via satlite. Qual o custo das opes de conexo disponveis? Dependendo da opo escolhida, a WAN pode ser uma despesa permanente significativa. O custo de uma opo especfica deve ser ponderado segundo a qualidade com que ele atende a outros requisitos. Por exemplo, uma linha alugada dedicada a opo mais cara, mas a despesa pode se justificar caso seja essencial assegurar uma transmisso segura de grandes volumes de dados em tempo real. Para aplicaes com menos demanda, uma conexo com a Internet ou comutada mais barata pode ser mais apropriada. Como voc pode ver, h muitos fatores importantes a serem considerados durante a escolha de uma conexo WAN apropriada. Seguindo as diretrizes descritas acima, bem como as descritas pela Arquitetura corporativa Cisco, agora voc deve ser capaz de escolher uma conexo WAN apropriada para atender aos requisitos de cenrios de negcios diferentes.

Exibir meio visual

Pgina 5: Exibir meio visual

1.4 Laboratrios do captulo


1.4.1 Reviso avanada Pgina 1: Neste laboratrio, voc ir revisar os conceitos bsicos de roteamento e de comutao. Tente fazer o mximo possvel sozinho. Consulte o material anterior quando voc no conseguir continuar sozinho. Nota: Configurar trs protocolos de roteamento separados RIP, OSPF e EIGRP para rotear a mesma rede no efetivamente uma prtica recomendada. Essa deve ser considerada uma prtica no recomendada, no sendo algo que deveria ser feito em uma rede de produo. Isso feito aqui para que voc possa examinar os principais protocolos de roteamento antes de continuar, alm de ver uma ilustrao drstica do conceito de distncia administrativa. Exibir meio visual

1.5 Resumo do captulo


1.5.1 Resumo do captulo Pgina 1: WAN uma rede de comunicao de dados que funciona alm do escopo geogrfico de uma rede local. Na medida em que as empresas crescem, adicionar mais funcionrios, abrir filiais e expandir at mercados globais, os requisitos de servios integrados mudam. Esses requisitos de negcios orientam seus requisitos de rede. A Arquitetura corporativa Cisco se expande at o modelo de design hierrquico, dividindo ainda mais a rede corporativa em reas fsica, lgica e funcional. A implementao de uma Arquitetura corporativa Cisco fornece uma rede segura, robusta, com grande disponibilidade que facilita a implantao de redes convergentes. As WANs funcionam de acordo com o modelo de referncia OSI, principalmente nas camadas 1 e 2.

Os dispositivos que colocam dados no loop local so chamados de equipamento terminal de circuito de dados, ou equipamento de comunicao de dados (DCE). Os dispositivos de cliente que transmitem os dados para o DCE so chamados de equipamento de terminal de dados (DTE). O DCE fornece principalmente uma interface para o DTE no link de comunicao na nuvem WAN. O ponto de demarcao fsico o local onde a responsabilidade da conexo passa da empresa para a operadora. Protocolos da camada de enlace de dados definem como os dados so encapsulados para transmisso em sites remotos e os mecanismos para transferir os quadros resultantes. Uma rede de circuito comutado estabelece um circuito (ou canal) dedicado entre ns e terminais antes da comunicao dos usurios. Uma rede comutada por pacotes divide os dados do trfego em pacotes roteados em uma rede compartilhada. As redes de comutao de pacotes no exigem o estabelecimento de um circuito, e elas permitem a comunicao de muitos pares de ns no mesmo canal. Um link ponto-a-ponto fornece um caminho de comunicao WAN preestabelecido do local do cliente por meio da rede do provedor para um destino remoto. Os links ponto-aponto utilizam linhas alugadas para fornecer uma conexo dedicada. Entre as opes WAN de comutao de circuitos esto dialup analgico e ISDN. Entre as opes WAN de comutao de pacotes esto X.25, Frame Relay e ATM. A ATM transmite dados em clulas de 53 bytes, e no em quadros. A ATM mais apropriada ao trfego de vdeo. Entre as opes de conexo WAN com a Internet esto servios de banda larga, como DSL, modem a cabo, sem fio de banda larga ou Metro Ethernet. A tecnologia VPN permite s empresas fornecer acesso seguro ao funcionrio remoto pela Internet em servios de banda larga. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Esta atividade abrange muitas das habilidades que voc adquiriu nos trs primeiros cursos do Exploration. Entre as habilidades esto criar uma rede, aplicar um esquema de

endereamento, configurar roteamento, VLANs, STP e VTP, alm de testar a conectividade. Voc deve revisar essas habilidades antes de continuar. Alm disso, essa atividade uma oportunidade de revisar os fundamentos do programa Packet Tracer. O Packet Tracer integrado ao longo deste curso. Voc deve saber como navegar no ambiente do Packet Tracer para concluir este curso. Use os tutoriais se voc precisar de uma reviso dos princpios bsicos do Packet Tracer. Os tutoriais esto localizados no menu Ajuda do Packet Tracer. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

1.6 Teste do captulo


1.6.1 Teste do captulo Pgina 1: Exibir meio visual

2 PPP
2.0 Introduo do captulo
2.0.1 Introduo do captulo Pgina 1: Este captulo inicia a explorao das tecnologias WAN, apresentando a comunicao ponto-a-ponto e o (PPP). Um dos tipos mais comuns de conexo WAN a ponto-a-ponto. As conexes ponto-aponto so utilizadas em redes locais com WANs de operadora e na conexo de segmentos de rede local dentro de uma rede empresarial. Uma conexo ponto-a-ponto entre rede local e WAN tambm conhecida como uma conexo serial ou conexo de linha alugada, porque as linhas so alugadas de uma operadora (normalmente uma companhia telefnica) e de uso dedicado ao uso pela empresa locadora das linhas. As empresas pagam por uma conexo contnua entre dois locais remotos, e a linha permanece sempre ativa e disponvel. Compreender como funcionam os links de comunicao ponto-a-ponto para fornecer acesso a uma WAN importante para que se obtenha uma compreenso geral de como funcionam as WANs. O Protocolo ponto a ponto (PPP, Point-to-Point Protocol) fornece conexes de rede local para WAN com vrios protocolos que lidam com TCP/IP, Intercmbio de pacotes

de redes interconectadas (IPX, Internetwork Packet Exchange) e AppleTalk simultaneamente. Ele pode ser usado em linhas de par tranado, de fibra ptica e na transmisso via satlite. O PPP fornece transporte em links ATM, Frame Relay, ISDN e pticos. Em redes modernas, a segurana uma grande preocupao. O PPP permite autenticar conexes usando o Protocolo de autenticao de senha (PAP, Password Authentication Protocol ) ou o mais eficiente Protocolo avanado de autenticao de reconhecimento (CHAP, Challenge Handshake Authentication Protocol). Eles sero apresentados na quarta seo. Neste captulo, voc aprender os principais conceitos da comunicao serial e como configurar e solucionar problemas de uma conexo serial PPP em um roteador Cisco. Exibir meio visual

2.1 Links ponto-a-ponto seriais


2.1.1 Apresentando a comunicao serial Pgina 1: Como funciona a comunicao serial? Voc sabe que a maioria dos PCs tm portas seriais e paralelas. Voc tambm sabe que a eletricidade s pode se mover em uma velocidade. Uma forma de acelerar o deslocamento de bits em um fio compactar os dados para que menos bits sejam necessrios e, assim, exigir menos tempo no fio ou transmitir os bits simultaneamente. Os computadores usam um nmero relativamente pequeno de conexes paralelas entre componentes internos, mas usam um barramento serial para converter sinais em grande parte das comunicaes externas. Comparemos as comunicaes serial e paralela. Clique no boto Serial e paralela para ver a animao. Com uma conexo serial, as informaes so enviadas pelo fio, um bit de dados por vez. O conector serial de 9 pinos na maioria dos PCs usa dois fios, um em cada sentido, para a comunicao de dados, alm de fios adicionais para controlar o fluxo de informaes. Em qualquer sentido, os dados continuam passando por um nico fio. Uma conexo paralela envia os bits por mais fios simultaneamente. No caso da porta paralela de 25 pinos do seu PC, h oito fios que transportam dados para transportar 8 bits simultaneamente. Como h oito fios para transportar os dados, o link paralelo, em teoria, transfere dados oito vezes mais rapidamente do que uma conexo serial. Dessa forma, com base nessa teoria, uma conexo paralelo envia um byte no momento em que uma conexo serial envia um bit.

Essa explicao suscita algumas questes. O que significa, em teoria, mais rpido? Se o paralelo for mais rpido que a serial, ele ser mais apropriado conexo com uma WAN? Na verdade, esses links seriais costumam ser ajustados em uma velocidade consideravelmente maior que os links paralelos, e eles conseguem uma taxa de dados maior, por conta de dois fatores que afetam a comunicao paralela: diferena de clock e interferncia de linha cruzada. Clique no boto Diferena de clock na figura. Em uma conexo paralela, errado supor que os 8 bits que saem do remetente juntos cheguem ao destinatrio juntos. Na verdade, alguns dos bits chegam l mais tarde que outros. Isso conhecido como diferena de clock. Uma diferena de clock excedente no comum. A extremidade receptora deve sincronizar-se com o transmissor e aguardar a chegada de todos os bits. Os processos de leitura, gravao, travamento, espera pelo sinal do clock e transmisso dos 8 bits agregam tempo transmisso. Em uma comunicao paralela, a trava um sistema de armazenamento de dados utilizado para guardar informaes em sistemas lgicos seqenciais. Quanto mais fios voc utilizar e quanto mais longe chegar a conexo, mais problemas haver, alm da presena do atraso. A necessidade de clocking coloca a transmisso paralela bem abaixo da expectativas tericas. E isto no ocorre com links seriais, porque a maioria deles no precisa de clocking. As conexes seriais exigem menos fios e cabos. Elas ocupam menos espao e podem ser mais bem isoladas da interferncia entre fios e cabos. Clique no boto Interferncia na figura. Os fios paralelos so agrupados fisicamente em um cabo paralelo, e os sinais podem ficar uns sobre os outros. A possibilidade de linha cruzada nos fios exige mais processamento, especialmente em freqncias mais altas. Os barramentos seriais em computadores e roteadores, compensam a linha cruzada antes da transmisso dos bits. Como os cabos seriais tm menos fios, h menos linha cruzada, e os dispositivos de rede transmitem uma comunicao serial em freqncias mais altas, mais eficientemente. Na maior parte dos casos, a implementao da comunicao serial consideravelmente mais barata. A comunicao serial usa menos fios, cabos mais baratos e menos pinos conectores. Exibir meio visual

Pgina 2: Padres de comunicao serial

Todas as comunicaes de longa distncia e a maioria das redes de computadores usa conexes seriais, porque o custo do cabo e as dificuldades de sincronizao tornam as conexes paralelas impraticveis. A vantagem mais significativa uma fiao mais simples. Alm disso, os cabos seriais podem ser mais longos que os cabos paralelos, porque h muito menos interao (linha cruzada) entre os condutores no cabo. Neste captulo, restringiremos nossa considerao quanto comunicao serial conexo de redes locais com WANs. A figura uma representao simples de uma comunicao serial. Os dados so encapsulados pelo protocolo de comunicao utilizado pelo roteador de envio. O quadro encapsulado enviado por um meio fsico para a WAN. H vrias formas de atravessar a WAN, mas o roteador de recepo usa o mesmo protocolo de comunicao para desencapsular o quadro quando ele chega. H muitos padres de comunicao serial diferentes, cada um usando um mtodo de sinalizao diferente. Existem trs padres de comunicao serial importantes que afetam as conexes entre rede local e WAN:

RS-232 grande parte das portas seriais em computadores pessoais compatvel com os padres RS-232C ou RS-422 e RS-423. So usados conectores de 9 e de 25 pinos. Uma porta serial uma interface de finalidade geral que pode ser usada por praticamente qualquer tipo de dispositivo, inclusive modems, mouses e impressoras. Muitos dispositivos de rede utilizam conectores RJ-45 que tambm so compatveis com o padro RS-232. A figura mostra um exemplo de um conector RS-232. V.35 normalmente utilizado na comunicao entre modem e multiplexador, este padro ITU para alta velocidade e troca de dados sncrona, integra a largura de banda de vrios circuitos telefnicos. Nos EUA, V.35 o padro de interface utilizado pela maioria dos roteadores e DSUs que se conectam a operadoras de T1. Os cabos V.35 so conjuntos seriais de alta velocidade projetados para suportar taxas de dados maiores e conectividade entre DTEs e DCEs em linhas digitais. H mais sobre DTEs e DCEs posteriormente nesta seo. HSSI Uma High-Speed Serial Interface (HSSI) suporta taxas de transmisso de at 52 Mb/s. Os engenheiros usam HSSI para conectar roteadores em redes locais a WANs em linhas de alta velocidade, como linhas T3. Eles tambm usam HSSI para fornecer conectividade de alta velocidade entre redes locais, usando Token Ring ou Ethernet. HSSI uma interface DTE/DCE desenvolvida pela Cisco Systems e pela T3plus Networking para atender necessidade da comunicao de alta velocidade em links de WAN.

Clique no boto RS-232 na figura. Alm, de mtodos de sinalizao diferentes, cada um desses padres usa tipos diferentes de cabos e conectores. Cada padro desempenha uma funo diferente em uma topologia entre rede local e WAN. Embora este curso no examine os detalhes dos esquemas de pinagem V.35 e HSSI, uma rpida observao do conector RS-232 de 9 pinos usado para conectar um PC a um modem ajuda a ilustrar o conceito. Um tpico posterior observa os cabos V.35 e HSSI.

Pino 1 Deteco de operadora de dados (DCD, Data Carrier Detect) indica que a operadora dos dados de transmisso est ativada. Pino 2 o pino de recepo (RXD) transporta dados do dispositivo serial para o computador. Pino 3 o pino de transmisso (TxD) transporta dados do computador para o dispositivo serial. Pino 4 Terminal de dados pronto (DTR, Data Terminal Ready ) indica para o modem que o computador est pronto para transmisso. Pino 5 terra. Pino 6 Conjunto de dados pronto (DSR, Data Set Ready) semelhante a DTR. Ele indica que o Dataset est ativado. Pino 7 o pino RTS precisa de folga para enviar dados a um modem. Pino 8 o dispositivo serial utiliza o pino Clear to Send (CTS) para confirmar o sinal RTS do computador. Na maioria das situaes, RTS e CTS esto sempre ativos em toda a sesso de comunicao. Pino 9 um modem de resposta automtica utiliza o Ring Indicator (RI) para sinalizar o recebimento de um sinal de toque telefnico.

Os pinos DCD e RI s esto disponveis em conexes com um modem. Essas duas linhas so utilizadas raramente porque grande parte dos modems transmite informaes de status para um PC quando um sinal de operadora detectado (quando uma conexo estabelecida com outro modem) ou quando o modem recebe um sinal de toque da linha telefnica. Exibir meio visual

2.1.2 TDM Pgina 1: Multiplexao por diviso de tempo A Bell Laboratories inventou a multiplexao por diviso de tempo (TDM, time division multiplexing) para maximizar a quantidade de trfego de voz transmitido por um meio. Antes da multiplexao, cada chamada telefnica precisava de um link fsico prprio. Essa era uma soluo cara e no escalvel. TDM divide a largura de banda de um nico link em canais separados ou slots de tempo. TDM transmite dois ou mais canais pelo mesmo link, alocando um intervalo diferente (slot de tempo) para a transmisso de cada canal. Na verdade, os canais revezam a utilizao do link. TDM um conceito da camada fsica. Ele no tem nada a ver com o futuro das informaes multiplexadas no canal de sada do comando. TDM independente do protocolo de Camada 2 que possa ser utilizado pelos canais de input.

TDM pode ser explicada por uma analogia com o trfego de uma rodovia. Para transportar o trfego de quatro estradas para outra cidade, voc pode enviar todo ele em uma s pista caso as estradas que se ligam ela estejam igualmente em boas condies e o trfego esteja sincronizado. Dessa forma, se cada uma das quatro estradas colocar um carro na rodovia principal a cada quatro segundos, ela receber um carro a cada segundo. Desde que a velocidade de todos os carros esteja sincronizada, no haver coliso. No destino, acontece o inverso, e os carros saem da rodovia e entram nas estradas locais pelo mesmo mecanismo sncrono. Este o princpio utilizado na TDM sncrona durante o envio de dados por um link. A TDM aumenta a capacidade do link de transmisso, dividindo o tempo em intervalos menores para que o link transporte os bits de vrias origens de input, o que aumenta efetivamente o nmero de bits transmitidos por segundo. Com TDM, o transmissor e o receptor sabem exatamente o sinal enviado. Em nosso exemplo, um multiplexador (MUX) no transmissor aceita trs sinais distintos. O MUX divide todo sinal em segmentos. O MUX coloca cada segmento em um nico canal, inserindo cada segmento em um slot de tempo. Um MUX na extremidade de recepo reagrupa o fluxo TDM em trs fluxos de dados distintos com base exclusivamente no timing de chegada de cada bit. Uma tcnica chamada entrelaamento de bits controla o nmero e a seqncia dos bits de cada transmisso especfica para que eles possam ser reagrupados de maneira rpida e eficiente em sua forma original durante o recebimento. O entrelaamento de bits realiza as mesmas funes, mas como h oito bits em cada byte, o processo precisa de um slot de tempo maior. Exibir meio visual

Pgina 2: Multiplexao estatstica por diviso de tempo Em outra analogia, compare TDM com um trem de 32 vages. Cada vago de uma empresa de frete diferente, e diariamente o trem sai com os 32 vages em carreira. Se uma das empresas tiver carga a ser enviada, o vago ser carregado. Se a empresa no tiver nada para enviar, o vago permanecer vazio, mas continuar no trem. Enviar contineres vazios no muito eficiente. A TDM apresenta essa deficincia quando o trfego intermitente, porque o slot de tempo continua alocado, mesmo quando o canal no tem nenhum dado a ser transmitido. A Multiplexao estatstica por diviso de tempo (STDM, Statistical time-division multiplexing) foi desenvolvida para superar essa deficincia. A STDM utiliza um slot de tempo varivel, o que permite aos canais competir por qualquer espao livre. Ele emprega uma memria de buffer que armazena temporariamente os dados durante perodos de pico do trfego. A STDM no desperdia tempo de linha de alta velocidade com canais inativos que utilizam esse esquema. A STDM exige que cada transmisso transporte informaes de identificao (um identificador de canal).

Exibir meio visual

Pgina 3: Exemplos de TDM ISDN e SONET Um exemplo de uma tecnologia que utiliza a TDM sncrona a ISDN. A ISDN basic rate (BRI) tem trs canais que consistem em dois canais B de 64 kb/s (B1 e B2) e um canal D de 16 kb/s. A TDM tem nove slots de tempo, repetidos na seqncia mostrada na figura. Em uma escala maior, o setor de telecomunicao utiliza o padro SONET ou SDH no transporte ptico dos dados TDM. O SONET, utilizado na Amrica do Norte, e o SDH, utilizado nos demais lugares, so dois padres muito semelhantes que especificam parmetros de interface, taxas, formatos de quadros, mtodos de multiplexao e gerenciamento de TDM sncrono por fibra. Clique no boto SONET na figura. A figura exibe um exemplo de TDM estatstica. SONET/SDH usa n fluxos de bits, multiplexa e modula o sinal de maneira ptica, envia utilizando um dispositivo emissor de luz em fibra com uma taxa de bits igual a (taxa de bits recebidos) x n. Dessa forma, o trfego recebido no multiplexador SONET de quatro locais a 2,5 Gb/s sai como um nico fluxo a 4 x 2,5 Gb/s ou 10 Gb/s. Esse princpio est ilustrado na figura, que mostra um aumento na taxa de bits de quatro vezes o slot de tempo. Clique no boto DS0 na figura. A unidade original utilizada em chamadas telefnicas de multiplexao de 64 kb/s, o que representa uma chamada telefnica. Isso conhecido como DS-0 ou DS0 (nvel de sinal digital igual a zero). Na Amrica do Norte, 24 unidades DS0 so multiplexadas utilizando-se a TDM em um sinal da taxa de bits maior com uma velocidade agregada de 1,544 Mb/s para a transmisso em linhas T1. Fora da Amrica do Norte, 32 unidades DS0 so multiplexadas para a transmisso E1 a 2,048 Mb/s. A hierarquia em nvel de sinal para chamadas telefnicas de multiplexao mostrada na tabela. Como adendo, embora seja comum a referncia a uma transmisso a 1,544 Mb/s como T1, mais correto se referir a ela como DS1. Clique no boto Hierarquia de operadora-T na figura. A operadora T se refere ao grupo de DS0s. Por exemplo, um T1 = 24 DS0s, um T1C = 48 DS0s (ou 2 T1s) e assim por diante. A figura mostra uma hierarquia de infraestrutura de operadora T. A hierarquia de operadora E semelhante.

Exibir meio visual

2.1.3 Ponto de demarcao Pgina 1: Ponto de demarcao Antes da desregulamentao na Amrica do Norte e nos demais pases, as companhias telefnicas eram proprietrias do loop local, inclusive da fiao e do equipamento local dos clientes. A desregulamentao forou as companhias telefnicas a desmembrar sua infra-estrutura de loop local para permitir que outros fornecedores cedessem equipamentos e servios. Isso levou a uma necessidade de delinear a parte da rede de propriedade da companhia telefnica e a parte de propriedade do cliente. Esse ponto de delineao o de demarcao, ou demarc. A demarcao indica o ponto em que a sua rede mantm interface com a rede de propriedade de outra organizao. Na terminologia telefnica, essa a interface entre o equipamento local do cliente (CPE) e o equipamento da operadora do servio de rede. A demarcao o ponto da rede em que cessa a responsabilidade da operadora. O exemplo apresenta um cenrio ISDN. Nos Estados Unidos, uma operadora fornece o loop local no equipamento do cliente, e o cliente fornece o equipamento ativo, como a unidade de servio do canal/dados (CSU/DSU) em que se encerra o loop local. Esse encerramento costuma ocorrer em um armrio de telecomunicao, sendo o cliente o responsvel por manter, trocar ou reparar o equipamento. Em outros pases, a unidade de terminao de rede (NTU) fornecida e gerenciada pela operadora. Isso permite operadora gerenciar ativamente e solucionar problemas do loop local com o ponto de demarcao aps a NTU. O cliente conecta um dispositivo CPE, como um roteador ou dispositivo de acesso Frame Relay (FRAD), NTU utilizando uma interface serial V.35 ou RS-232. Exibir meio visual

2.1.4 DTE e DCE Pgina 1: DTE-DCE Do ponto de vista da conexo com a WAN, uma conexo serial tem um dispositivo DTE em uma extremidade da conexo e um dispositivo DCE na outra. A conexo entre os dois dispositivos DCE a rede de transmisso da operadora WAN. Neste caso: O CPE, que costuma ser um roteador, o DTE. O DTE tambm pode ser um terminal, computador, impressora ou aparelho de fax, caso eles sejam conectados diretamente rede da operadora.

O DCE, normalmente um modem ou CSU/DSU, o dispositivo utilizado para converter os dados do usurio do DTE em uma forma aceitvel para o link de transmisso da operadora WAN. Esse sinal recebido no DCE remoto, que decodifica o sinal novamente em uma seqncia de bits. Em seguida, o DCE remoto sinaliza essa seqncia para o DTE remoto.

A Associao das indstrias de eletrnica (EIA, Electronics Industry Association ) e o International Telecommunication Union Telecommunications Standardization Sector (ITU-T) tm participado ativamente do desenvolvimento de padres que permitem a comunicao entre os DTEs e os DCEs. A EIA se refere ao DCE como equipamento de comunicao de dados, e o ITU-T se refere ao DCE como equipamento terminal de circuito. Exibir meio visual

Pgina 2: Padres de cabo Originalmente, o conceito de DCEs e DTEs se baseava em dois tipos de equipamento: terminal que gerava ou recebia dados e de comunicao, que apenas retransmitia dados. No desenvolvimento do padro RS-232, havia razes pelas quais os conectores RS-232 de 25 pinos nesses dois tipos de equipamento precisavam de fiaes diferentes. Essas razes no so mais significativas, mas ainda temos dois tipos diferentes de cabos: um para conectar um DTE a um DCE e outro para conectar dois DTEs diretamente. A interface DTE/DCE de um determinado padro define as seguintes especificaes: Mecnica/fsica nmero de pinos e tipo de conector eltrica define nveis de tenso para 0 e 1 Funcional especifica as funes desempenhadas, atribuindo-se significados a cada uma das linhas de sinalizao na interface Procedimento especifica a seqncia de eventos para transmitir dados

Clique no boto Modem nulo na figura. O padro RS-232 original s definia a conexo de DTEs com DCEs, que eram modems. No entanto, se voc quiser conectar dois DTEs, como dois computadores ou dois roteadores no laboratrio, um cabo especial chamado modem nulo eliminar a necessidade de um DCE. Em outras palavras, os dois dispositivos podem ser conectados sem um modem. Um modem nulo um mtodo de comunicao para conectar diretamente dois DTEs, como um computador, terminal ou impressora, utilizando-se um cabo serial RS-232. Com uma conexo de modem nulo, as linhas de transmisso (Tx) e de recepo (Rx) em links cruzados so mostradas na figura. Os dispositivos Cisco suportam padres EIA/TIA-232, EIA/TIA-449, V.35, X.21 e EIA/TIA-530.

Clique no boto DB-60 na figura. O cabo da conexo DTE com DCE um cabo de transio serial blindado. A extremidade de roteador do cabo de transio serial blindado pode ser um conector DB60, conectado porta DB-60 em uma placa de interface WAN serial. A outra extremidade do cabo de transio serial est disponvel com um conector apropriado para o padro a ser utilizado. O provedor WAN ou a CSU/DSU normalmente indica esse tipo de cabo. Clique no boto Smart Serial na figura. Para suportar densidades de porta maiores em um form factor, a Cisco apresentou um cabo Smart Serial. A extremidade da interface do roteador do cabo Smart Serial um conector de 26 pinos muito mais compacto do que o conector DB-60. Clique no boto Roteador-a-roteador na figura. Ao utilizar um modem nulo, lembre-se de que a conexo sncrona exige um sinal de clock. Um dispositivo externo pode gerar o sinal, ou um dos DTEs pode gerar o sinal de clock. Quando um DTE e um DCE forem conectados, a porta serial em um roteador ser a extremidade DTE da conexo por padro, e o sinal de clock ser normalmente fornecido por uma CSU/DSU ou um dispositivo DCE. No entanto, ao utilizar um cabo de modem nulo em uma conexo roteador-a-roteador, uma das interfaces seriais deve ser configurada como a extremidade DCE para fornecer o sinal de clock conexo. Exibir meio visual

Pgina 3: Converso de serial em paralelo Os termos DTE e DCE esto relacionados quanto parte de uma rede observada. RS232C o padro recomendado (RS) que descreve a interface fsica e o protocolo para comunicao de dados seriais com velocidade relativamente baixa entre computadores e dispositivos relacionados. A EIA definiu originalmente o RS-232C para dispositivos de teleimpressora. O DTE a interface RS-232C utilizada por um computador para trocar dados com um modem ou outro dispositivo serial. O DCE a interface RS-232C utilizada por um modem ou outro dispositivo serial na troca de dados com o computador. Por exemplo, o seu PC normalmente utiliza uma interface RS-232C para comunicar e trocar dados com dispositivos seriais conectados, como um modem. O seu PC tambm tem um chip Receptor/transmissor assncrono universal (UART, Universal Asynchronous Receiver/Transmitter) na placa-me. Como os dados no seu PC fluem pelos circuitos paralelos, o chip UART converte os grupos de bits paralelos em um fluxo serial de bits. Para funcionar mais rapidamente, um chip UART tem buffers para

que os dados provenientes do barramento do sistema sejam armazenados em cache durante o processamento dos dados que saem pela porta serial. O UART o agente DTE do seu PC e se comunica com o modem ou outro dispositivo serial, que, de acordo com o padro RS-232C, tem uma interface complementar chamada de interface DCE. Exibir meio visual

2.1.5 Encapsulamento HDLC Pgina 1: Protocolos de encapsulamento WAN Em cada conexo WAN, os dados so encapsulados em quadros antes de cruzar o link de WAN. Para assegurar que o protocolo correto seja utilizado, voc precisa configurar o tipo de encapsulamento da Camada 2 apropriado. A opo do protocolo depende da tecnologia WAN e do equipamento de comunicao. Os protocolos WAN mais comuns e onde eles so utilizados so mostrados na figura, alm de breves descries:

HDLC o tipo de encapsulamento padro em conexes ponto-a-ponto, links dedicados e conexes de circuito comutado quando o link utilizado dois dispositivos Cisco. HDLC agora a base para PPP sncrono utilizado por muitos servidores para se conectar a uma WAN, mais normalmente a Internet. PPP fornece conexes roteador-a-roteador e host-a-rede em circuitos sncronos e assncronos. O PPP funciona com vrios protocolos da camada de rede, como IP e IPX. O PPP tambm tem mecanismos de segurana internos, como PAP e CHAP. Grande parte deste captulo aborda o PPP. Protocolo de internet de linha serial (SLIP, Serial Line Internet Protocol) um protocolo padro para conexes seriais ponto-a-ponto que utiliza TCP/IP. O SLIP foi amplamente desbancado por PPP. X.25/Procedimento de acesso ao link, balanceado (LAPB, Link Access Procedure, Balanced) o padro ITU-T que define como a conexo entre um DTE e um DCE mantida para acesso ao terminal remoto e uma comunicao do computador em redes de dados pblicas. X.25 especifica LAPB, um protocolo DLL (camada de enlace). X.25 um antecessor do Frame Relay. Frame Relay protocolo DLL, padro, comutado, que lida com vrios circuitos virtuais. Frame Relay um protocolo da gerao seguinte do X.25. Frame Relay elimina alguns dos processos mais demorados (como correo de erro e controle de fluxo) empregados no X.25. O prximo captulo se destina ao Frame Relay. ATM o padro internacional de retransmisso de clula no qual os dispositivos enviam vrios tipos de servio (como voz, vdeo ou dados) em clulas de tamanho fixo (53 bytes). As clulas de tamanho fixo permitem que o processamento ocorra no hardware, o que reduz atrasos de trnsito. O ATM usufrui meio de transmisso de alta velocidade, como E3, SONET e T3.

Exibir meio visual

Pgina 2: Encapsulamento HDLC HDLC um protocolo orientado para bit da camada de enlace sncrono desenvolvido pela Organizao internacional para padronizao (ISO, International Organization for Standardization). O padro atual do HDLC ISO 13239. O HDLC foi desenvolvido a partir do padro Controle de enlace de dados sncrono (SDLC, Synchronous Data Link Control) proposto nos anos 70. O HDLC fornece servios orientados conexo e sem conexo. O HDLC utiliza transmisso serial sncrona para fornecer uma comunicao sem erros entre dois pontos. O HDLC define uma estrutura de quadros da Camada 2 que permite o controle de fluxo e o controle de erros por meio da utilizao de confirmaes. Cada quadro tem o mesmo formato, independentemente do quadro ser de dados ou de controle. Quando quiser transmitir quadros por links sncronos ou assncronos, voc dever se lembrar de que esses links no tm nenhum mecanismo para marcar o incio ou o trmino dos quadros. O HDLC utiliza um delimitador de quadros, ou flag, para marcar o incio e o trmino de cada quadro. A Cisco desenvolveu uma extenso para o protocolo HDLC a fim de resolver a impossibilidade de fornecer suporte a vrios protocolos. Embora o Cisco HDLC (tambm conhecido como cHDLC) seja prprio, a Cisco permitiu sua implementao por muitos outros fornecedores de equipamentos. Os quadros Cisco HDLC contm um campo para identificar o protocolo de rede encapsulado. A figura compara o HDLC com o Cisco HDLC. Clique no boto Tipos de quadro HDLC na figura. O HDLC define trs tipos de quadros, cada um com um formato de campo de controle diferente. As seguintes descries resumem os campos ilustrados na figura. Flag o campo de flag inicia e encerra a verificao de erros. O quadro sempre comea e termina com um campo de flag de 8 bits. O de bits 01111110. Como existe uma probabilidade de que esse padro ocorra nos dados reais, como o sistema HDLC de envio sempre insere um bit 0 aps cada cinco 1s no campo de dados, na prtica, a seqncia do flag s pode ocorrer no encerramento do quadro. O sistema de recepo remove os bits inseridos. Quando os quadros so transmitidos de maneira consecutiva, o flag final do primeiro quadro utilizado como o flag inicial do prximo quadro. Endereo o campo de endereo contm o endereo HDLC da estao secundria. Esse endereo pode ser um especfico, um de grupos ou um endereo de broadcast. Um

endereo primrio uma origem ou um destino de comunicao, que elimina a necessidade de incluir o endereo do primrio. Controle o campo de controle utiliza trs formatos diferentes, dependendo do tipo de quadro HDLC utilizado:

Quadro de informaes (I): os quadros I transportam informaes de camada superior e algumas informaes de controle. Esse quadro envia e recebe nmeros de sequncia, e o bit poll final (P/F) executa o controle de fluxo e de erro. O nmero de seqncia de envio consulta o nmero do quadro a ser enviado em seguida. O nmero de seqncia de recebimento fornece o nmero do quadro a ser recebido em seguida. O remetente e o receptor mantm nmeros de seqncia de envio e de recebimento. Uma estao primria utiliza o bit P/F para informar secundria se exige ou no uma resposta imediata. Uma estao secundria utiliza o bit P/F para informar primria se o quadro atual o ltimo em sua resposta atual. Quadro de supervisor (S): os quadros S fornecem informaes de controle. Um quadro S pode solicitar e suspender a transmisso, o relatrio de status e a confirmao de recebimento dos quadros I. Os quadros S no tm um campo de informaes. Quadro sem nmero (U): os quadros U suportam finalidades de suporte, no estando em seqncia. Um quadro U pode ser utilizado para inicializar secundrios. Dependendo da funo do quadro U, seu campo de controle tem 1 ou 2 bytes. Alguns quadros U no tm um campo de informaes.

Protocolo (utilizado apenas no Cisco HDLC) esse campo especifica o tipo de protocolo encapsulado dentro do quadro (por exemplo, 0x0800 para IP). Dados o campo de dados contm uma unidade de informaes sobre o caminho (PIU) ou informaes de identificao de troca (XID). Seqncia de verificao de quadros (FCS) o FCS precede o delimitador de flag final, sendo normalmente um lembrete de clculo da verificao de redundncia cclica (CRC). O clculo de CRC refeito no receptor. Se o resultado for diferente do valor no quadro original, haver a pressuposio de um erro. Exibir meio visual

2.1.6 Configurando o encapsulamento HDLC Pgina 1: Configurando o encapsulamento HDLC Cisco HDLC o mtodo de encapsulamento padro utilizado por dispositivos Cisco em linhas seriais sncronas.

Voc utiliza o Cisco HDLC como um protocolo ponto-a-ponto em linhas alugadas entre dois dispositivos Cisco. Se voc estiver se conectando a um dispositivo que no seja Cisco, utilize PPP sncrono. Se o mtodo de encapsulamento padro tiver sido alterado, utilize o comando encapsulation hdlc no modo privilegiado para reabilitar o HDLC. H duas etapas para habilitar o encapsulamento HDLC: Etapa 1. Entrar no modo de configurao da interface serial. Etapa 2. Digitar o comando encapsulation hdlc para especificar o protocolo de encapsulamento na interface. Exibir meio visual

2.1.7 Identificao e soluo de problemas de uma interface serial Pgina 1: A sada do comando show interfaces serial exibe informaes especficas para interfaces seriais. Quando o HDLC configurado, o "HDLC de encapsulamento" deve se refletir na sada do comando, conforme realado na figura. Clique no boto Estados possveis na figura. O comando show interface serial retorna um dos cinco estados possveis. Voc pode identificar qualquer um dos cinco estados de problema possveis na linha de status da interface: Clique no boto Status na figura. Serial x is down, line protocol is down Serial x is up, line protocol is down Serial x is up, line protocol is up (looped) Serial x is up, line protocol is down (disabled) Serial x is administratively down, line protocol is down

Clique no boto Controladores na figura. O comando show controllers outra ferramenta de diagnstico importante durante a soluo de problemas de linhas seriais. A sada do comando indica o estado dos canais

de interface e se um cabo est conectado interface. Na figura, a interface serial 0/0 tem um cabo DCE V.35 conectado. A sintaxe de comando varia de acordo com a plataforma. Os roteadores da srie Cisco 7000 utilizam uma placa controladora cBus para a conexo de links seriais. Com esses roteadores, utilize o comando show controllers cbus. Se a sada do comando da interface eltrica for mostrada como UNKNOWN, e no V.35, EIA/TIA-449 ou algum outro tipo de interface eltrica, o possvel problema ser um cabo conectado incorretamente. Tambm possvel que haja um problema com a fiao interna da placa. Se a interface eltrica for desconhecida, a tela correspondente do comando show interfaces serial <x> mostrar que a interface e o protocolo de linha esto desativados. Exibir meio visual

Pgina 2: Nesta atividade, voc ir praticar a soluo de problemas em interfaces seriais. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

Pgina 3: Exibir meio visual

2.2 Conceitos de PPP


2.2.1 Apresentando o PPP Pgina 1: O que PPP? Lembre-se de que o HDLC o mtodo de encapsulamento serial padro quando voc conecta dois roteadores Cisco. Com um tipo de campo de protocolo adicionado, a verso Cisco do HDLC prpria. Por isso, o Cisco HDLC s pode funcionar com outros dispositivos Cisco. No entanto, ao precisar se conectar a um roteador que no seja Cisco, voc deve utilizar o encapsulamento PPP. O encapsulamento PPP foi projetado cuidadosamente para manter a compatibilidade com o hardware de suporte mais utilizado. O PPP encapsula quadros de dados para transmisso em links fsicos da Camada 2. O PPP estabelece uma conexo direta

utilizando cabos seriais, linhas telefnicas, linhas de tronco, telefones celulares, links de rdio especiais ou links de fibra ptica. H muitas vantagens em utilizar PPP, inclusive o fato de no ser propriedade de ningum. Alm disso, ele inclui muitos recursos no disponveis no HDLC:

O recurso de gerenciamento de qualidade do link monitora a qualidade do link. Se forem detectados muitos erros, o PPP desativar o link. O PPP suporta a autenticao PAP e CHAP. Este recurso ser explicado e praticado em uma seo posterior.

PPP contm trs componentes principais:


O protocolo HDLC para encapsulamento de datagramas em links ponto-a-ponto. Protocolo de controle do link extensvel (LCP, Link Control Protocol) para estabelecer, configurar e testar a conexo do link de dados. Famlia de Protocolos de controle de rede (NCP, Network Control Protocol) para estabelecer e configurar protocolos da camada de rede diferentes. O PPP permite a utilizao simultnea de vrios protocolos da camada de rede. Alguns dos NCPs mais comuns so o Protocolo de controle de protocolo da internet, Protocolo de controle Appletalk, Protocolo de controle Novell IPX, Protocolo de controle Cisco Systems, Protocolo de controle SNA e Protocolo de controle de compresso.

Exibir meio visual

2.2.2 Arquitetura de camadas PPP Pgina 1: Arquitetura PPP Uma arquitetura de camadas um modelo lgico, design ou plano que auxilia na comunicao entre camadas de interconexo. A figura mapeia a arquitetura de camadas do PPP em relao ao modelo Open System Interconnection (OSI). PPP e OSI tm a mesma camada fsica, mas PPP distribui as funes de LCP e NCP de maneira diferente. Na camada fsica, voc pode configurar o PPP em vrias interfaces, incluindo: Serial assncrona Serial sncrona HSSI ISDN

O PPP funciona em qualquer interface DTE/DCE (RS-232-C, RS-422, RS-423 ou V.35). O nico requisito absoluto imposto pelo PPP um circuito bidirecional, dedicado ou comutado, capaz de funcionar em modos seriais de bits assncronos ou sncronos, transparentes para quadros de camada de enlace PPP. O PPP no impe nenhuma restrio quanto taxa de transmisso que no seja a imposta pela interface DTE/DCE em particular sendo utilizada. Grande parte do trabalho feito pelo PPP acontece nas camadas de enlace e de rede pelo LCP e pelos NCPs. O LCP configura a conexo PPP e seus parmetros, os NCPs lidam com configuraes de protocolo da camada superior e o LCP encerra a conexo PPP. Exibir meio visual

Pgina 2: Arquitetura PPP camada Link Control Protocol O LCP a parte funcional real do PPP. O LCP fica acima da camada fsica e tem uma funo de estabelecer, configurar e testar a conexo de enlace. O LCP estabelece o link ponto-a-ponto. O LCP tambm negocia e configura opes de controle no vnculo WAN, que so tratadas pelo NCPs. O LCP fornece a configurao automtica das interfaces em cada extremidade, incluindo: Lidar com limites variveis de tamanho de pacote Detectar erros mais comuns de configurao incorreta Encerrar o link Determinar quando um link est funcionando corretamente ou quando h falha

O PPP tambm utiliza o LCP para determinar automaticamente os formatos de encapsulamento (autenticao, compresso, deteco de erros) assim que o link estabelecido. Exibir meio visual

Pgina 3: Arquitetura PPP Camada de protocolo de controle de rede Os links ponto-a-ponto tendem a piorar muitos problemas com a famlia atual de protocolos de rede. Por exemplo, a atribuio e o gerenciamento de endereos IP, que so problemticos at mesmo em ambientes de rede local, so especialmente difceis em links ponto-a-ponto de circuito comutado (como servidores de modem dialup). O PPP resolve esses problemas que utilizam NCPs.

O PPP permite a vrios protocolos da camada de rede funcionar no mesmo link de comunicao. Para todos os protocolo da camada de rede utilizados, o PPP utiliza um NCP em separado. Por exemplo, IP utiliza o Protocolo de controle IP (IPCP, IP Control Protocol), e o IPX utiliza o Protocolo de controle Novell IPX (IPXCP, IPX Control Protocol). Clique no boto Camada de rede na figura. Os NCPs incluem campos funcionais que contm cdigos padronizados (os nmeros de campo do protocolo PPP mostrados na figura) para indicar o protocolo da camada de rede encapsulado pelo PPP. Cada NCP gerencia as necessidades especficas exigidas por seus respectivos protocolos da camada de rede. Os vrios componentes NCP encapsulam e negociam opes para vrios protocolos da camada de rede. A utilizao de NCPs para configurar os vrios protocolos da camada de rede ser explicada e praticada posteriormente neste captulo. Exibir meio visual

2.2.3 Estrutura de quadros de PPP Pgina 1: Estrutura de quadros de PPP Um quadro PPP tem seis campos conforme mostrados na figura. Passe o seu mouse sobre cada campo para obter uma explicao do que cada um contm. O LCP pode negociar modificaes na estrutura do quadro PPP padro. Exibir meio visual

2.2.4 Estabelecendo uma sesso PPP Pgina 1: Estabelecendo uma sesso PPP A figura mostra as trs fases do estabelecimento de uma sesso PPP:

Fase 1: estabelecimento do link e negociao da configurao antes do PPP trocar diagramas da camada de rede (por exemplo, IP), o LCP deve abrir primeiro a conexo e negociar as opes de configurao. Essa fase concluda

quando o roteador de recebimento envia um quadro de confirmao da configurao de volta para o roteador que inicia a conexo.

Fase 2: determinao da qualidade do link (opcional) o LCP testa o link para determinar se a qualidade do link suficiente para carregar protocolos da camada de rede. O LCP pode atrasar a transmisso das informaes do protocolo da camada de rede at a concluso dessa fase. Fase 3: negociao da configurao do protocolo da camada de rede depois que o LCP conclui a fase de determinao da qualidade do link, o NCP apropriado pode configurar separadamente os protocolos da camada de rede, carreg-los e desativ-los a qualquer momento. Se o LCP fechar o link, ele informar os protocolos da camada de rede para que eles possam executar a ao apropriada.

O link continua configurado para comunicao at que os quadros LCP ou NCP explcitos fechem o link ou at que ocorra algum evento externo (por exemplo, um temporizador de inatividade expira ou um usurio intervm). O LCP pode encerrar o link a qualquer momento. Isso costuma ser feito quando um dos roteadores solicita o encerramento, mas pode acontecer por conta de um evento fsico, como a perda de uma operadora ou a expirao de um temporizador de perodo inativo. Exibir meio visual

2.2.5 Estabelecendo um link com LCP Pgina 1: Funcionamento LCP O funcionamento LCP inclui provises para o estabelecimento, a manuteno e o encerramento do link. O funcionamento LCP utiliza trs classes de quadros LCP para realizar o trabalho de cada uma das fases LCP:

Quadros de estabelecimento de link estabelecem e configuram um link (Configure-Request, Configure-Ack, Configure-Nak e Configure-Reject) Quadros de manuteno de link gerenciam e depuram um link (Code-Reject, Protocol-Reject, Echo-Request, Echo-Reply e Discard-Request) Quadros de encerramento de link encerram um link (Terminate-Request e Terminate-Ack)

A primeira fase do funcionamento LCP o estabelecimento do link. Essa fase deve ser concluda com xito, antes de troca de qualquer pacote da camada de rede. Durante o estabelecimento do link, o LCP abre a conexo e negocia os parmetros da configurao. Clique no boto Negociao de link na figura.

O processo de estabelecimento do link comea com o dispositivo iniciador enviando um quadro Configure-Request para o destinatrio. O quadro Configure-Request inclui um nmero varivel de opes de configurao necessrias configurao no link. Em outras palavras, o iniciador enviou uma "lista de desejos" para o destinatrio. A lista de desejos do iniciador inclui opes para como ele deseja que o link seja criado, inclusive protocolo ou parmetros de autenticao. O destinatrio processa a lista de desejos e, se aceitvel, responde com uma mensagem Configure-Ack. Depois de receber a mensagem Configure-Ack, o processo passa ao estgio de autenticao. Se as opes no forem aceitveis ou no forem reconhecidas, o destinatrio enviar um Configure-Nak ou Configure-Reject. Se uma Configure-Ack for recebida, o funcionamento do link ser passado ao NCP. Se uma mensagem Configure-Nak ou Configure-Reject for enviada para o solicitante, o link no ser estabelecido. Se houver falha na negociao, o iniciador precisar reiniciar o processo com novas opes. Durante a manuteno do link, o LCP pode utilizar mensagens para fornecer comentrios e testar o link. Code-Reject e Protocol-Reject esses tipos de quadro fornecem comentrios quando um dispositivo recebe um quadro invlido devido a um cdigo LCP no reconhecido (tipo de quadro LCP) ou um identificador de protocolo invlido. Por exemplo, se um pacote que no pode ser interpretado for recebido no mesmo nvel, o pacote Code-Reject ser enviado em resposta. Echo-Request, Echo-Reply e Discard-Request esses quadros podem ser utilizados para testar o link.

Depois da transferncia de dados na camada de rede, o LCP encerra o link. Na figura, observe que o NCP s finaliza a camada de rede e o link NCP. O link continua aberto at que o LCP seja encerrado. Se o LCP encerrar o link antes do NCP, a sesso NCP tambm ser encerrada. O PPP pode encerrar o link a qualquer momento. Isso pode acontecer por conta da perda da operadora, da falha na autenticao, da falha na qualidade do link, da expirao de um temporizador de perodo inativo ou do fechamento administrativo do link. O LCP fecha o link, trocando pacotes Terminate. O dispositivo que inicia o desligamento envia uma mensagem Terminate-Request. O outro dispositivo responde com um TerminateAck. Uma solicitao de encerramento indica que o dispositivo de envio precisa fechar o link. Quando o link for fechado, o PPP informar os protocolos da camada de rede para que eles possam executar a ao apropriada. Exibir meio visual

Pgina 2: Pacote LCP

A figura mostra os campos de um pacote LCP. Passe o mouse sobre cada campo e leia a descrio. Cada pacote LCP uma mensagem LCP nica que consiste em um campo de cdigo LCP que identifica o tipo de pacote LCP, um campo identificador para que as solicitaes e as respostas sejam correspondentes e um campo de tamanho que indica o tamanho do pacote LCP e os dados especficos do tipo. Clique no boto Cdigos LCP na figura. Cada pacote LCP tem uma funo especfica na troca de informaes sobre a configurao que depende do tipo de pacote. O campo de cdigo do pacote LCP identifica o tipo de pacote de acordo com a tabela. Exibir meio visual

Pgina 3: Opes de configurao PPP O PPP pode ser configurado para suportar vrias funes, inclusive: Autenticao que utiliza PAP ou CHAP Compresso que utiliza Stacker ou Predictor Vrios links que integram dois ou mais canais para aumentar a largura de banda WAN

Essas opes sero abordadas com mais detalhes na prxima seo. Clique no boto Campo de opo LCP na figura. Para negociar a utilizao dessas opes PPP, os quadros de estabelecimento do link LCP contm informaes de opo no campo de dados do quadro LCP. Se uma opo de configurao no for includa em um quadro LCP, o valor padro dessa opo de configurao ser assumido. Essa fase concluda quando um quadro de confirmao da configurao foi enviado e recebido. Exibir meio visual

2.2.6 Explicao do NCP Pgina 1: Processo NCP Depois que o link for iniciado, o LCP passar o controle para o NCP apropriado. Embora inicialmente projetado para datagramas IP, o PPP pode transportar dados de muitos tipos de protocolos da camada de rede, utilizando uma abordagem modular em sua implementao. Ele tambm pode transportar dois ou mais protocolos da Camada 3 simultaneamente. O modelo modular permite ao LCP configurar o link e apresentar os detalhes de um protocolo de rede a um NCP especfico. Cada protocolo de rede tem um NCP correspondente. Cada NCP tem uma RFC correspondente. H NCPs para IP, IPX, AppleTalk e muitos outros. NCPs utilizam o mesmo formato de pacote dos LCPs. Depois que o LCP configurou e autenticou o link bsico, o NCP apropriado ser requisitado para concluir a configurao especfica do protocolo da camada de rede utilizado. Quando o NCP configurar o protocolo da camada de rede com xito, o protocolo de rede estar no estado aberto no link TCP estabelecido. Nesse momento, o PPP pode transportar os pacotes do protocolo da camada de rede correspondentes. Exemplo de IPCP Como um exemplo de como funciona a camada NCP, IP, que o protocolo da Camada 3 mais comum, utilizado. Depois que LCP estabelece o link, os roteadores trocam mensagens IPCP, negociando opes especficas do protocolo. O IPCP responsvel por configurar, habilitar e desabilitar os mdulos IP em ambas as extremidades do link. O IPCP negocia duas opes:

Compresso permite aos dispositivos negociar um algoritmo para comprimir os cabealhos TCP e IP e economizar largura de banda. A compresso de cabealho TCP/IP Van Jacobson reduz o tamanho dos cabealhos TCP/IP para menos de 3 bytes. Essa pode ser uma melhoria significativa em linhas seriais lentas, especialmente no trfego interativo. Endereo IP permite ao dispositivo de incio especificar um endereo IP para utilizar IP de roteamento no link PPP ou solicitar um endereo IPP para o destinatrio. Os links de rede dialup utilizam mais a opo de endereo IP.

Quando o processo NCP estiver concludo, o link entrar no estado aberto e o LCP reassumir. O trfego de link consiste em todas as combinaes possveis de pacotes de protocolos LCP, NCP e da camada de rede. Dessa forma, a figura mostra como as mensagens LCP podem ser utilizadas por um dispositivo para gerenciar ou depurar o link. Exibir meio visual

Pgina 2: Exibir meio visual

2.3 Configurando PPP


2.3.1 Opes de configurao PPP Pgina 1: Opes de configurao PPP Na seo anterior, voc foi apresentado a opes LCP que podem ser configuradas para atender a requisitos de conexo WAN especficos. PPP pode incluir as seguintes opes de LCP:

Autenticao os roteadores de mesmo nvel trocam mensagens de autenticao. As duas opes de autenticao so o Protocolo de autenticao de senha (PAP, Password Authentication Protocol) e o Protocolo avanado de autenticao de reconhecimento (CHAP, Challenge Handshake Authentication Protocol). A autenticao ser explicada na prxima seo. Compresso aumenta a produtividade efetiva em conexes PPP, reduzindo a quantidade de dados no quadro que devem percorrer o link. O protocolo descompacta o quadro em seu destino. Os dois protocolos de compresso disponveis em roteadores Cisco so Stacker e Predictor. Deteco de erros identifica condies de falha. As opes Qualidade e Magic Number ajudam a assegurar um enlace de dados confivel, sem loops. O campo Magic Number ajuda a detectar links que estejam em uma condio de loopback. At que a opo de configurao do magic number seja negociada com xito, este deve ser transmitido como zero. Os nmeros mgicos (magic numbers) so gerados aleatoriamente ao final de cada conexo. Vrios links o Cisco IOS Release 11.1 e posteriores suportam PPP de vrios links. Essa alternativa fornece balanceamento de carga nas interfaces de roteador utilizadas pelo PPP. O PPP multilink (tambm conhecido como MP, MPPP, MLP ou multilink) fornece um mtodo para espalhar o trfego em vrios links de WAN fsicos ao mesmo tempo em que fornece a fragmentao e a remontagem de pacotes, o seqenciamento apropriado, a interoperabilidade com vrios fornecedores e o balanceamento de carga no trfego de entrada e de sada. O multilink PPP no abordado neste curso. Retorno PPP para aperfeioar a segurana, o Cisco IOS Release 11.1 e posteriores oferecem PPP callback. Com essa opo LCP, um roteador Cisco pode funcionar como um cliente ou um servidor de retorno. O cliente faz a chamada inicial, solicita que o servidor a retorne e encerra sua chamada inicial. O roteador de retorno responde a chamada inicial e faz a chamada de retorno para o cliente com base em suas instrues de configurao. O comando ppp callback [accept | request].

Quando as opes so configuradas, um valor de campo correspondente inserido no campo de opo LCP. Exibir meio visual

2.3.2 Comandos de configurao PPP Pgina 1: Comandos de configurao PPP Antes de voc efetivamente configurar o PPP em uma interface serial, observaremos os comandos e suas sintaxes conforme mostrado na figura. Esta srie de exemplos mostra como configurar o PPP e algumas das opes. Exemplo 1: habilitando o PPP em uma interface Para definir o PPP como o mtodo de encapsulamento utilizado por uma interface serial ou ISDN, utilize o comando de configurao da interface encapsulation ppp. O seguinte exemplo habilita o encapsulamento PPP na interface serial 0/0/0: R3#configure terminal R3(config)#interface serial 0/0/0 R3(config-if)#encapsulation ppp O comando encapsulation ppp no tem nenhum argumento, mas voc deve primeiro configurar o roteador com um protocolo de roteamento IP para utilizar o encapsulamento PPP. Voc deve se lembrar de que, se no configurar o PPP em um roteador Cisco, o encapsulamento padro das interfaces seriais HDLC. Exemplo 2: compresso Voc pode configurar a compresso de software ponto-a-ponto em interfaces seriais depois de habilitar o encapsulamento PPP. Como essa opo requisita um processo de compresso de software, ela pode afetar o desempenho do sistema. Se o trfego j consistir em arquivos compactados (.zip, .tar ou .mpeg, por exemple), no utilize essa opo. A figura mostra a sintaxe do comando compress. Para configurar a compresso em PPP, digite os seguintes comandos:

R3(config)#interface serial 0/0/0 R3(config-if)#encapsulation ppp R3(config-if)#compress [predictor | stac] Exemplo 3: monitoramento de qualidade do link Lembre-se da nossa discusso das fases LCP e de que ele fornece uma fase de determinao da qualidade do link opcional. Nessa fase, o LCP testa o link para determinar se sua qualidade suficiente para utilizar protocolos da Camada 3. O comando ppp quality percentual assegura que o link atende ao requisito de qualidade determinado por voc; do contrrio, o link fechado. Os percentuais so calculados nos sentidos de entrada e de sada. A qualidade de sada calculada comparando-se o nmero total de pacotes e bytes enviados com o nmero total de pacotes e bytes recebidos pelo n de destino. A qualidade de entrada calculada comparando-se o nmero total de pacotes e bytes recebidos com o nmero total de pacotes e bytes enviados pelo n de destino. Se o percentual de qualidade do link no for mantido, o link ser considerado de m qualidade, sendo desativado. O Link Quality Monitoring (LQM) implementa um retardo para que o link no fique sendo ativado e desativado. Essa configurao de exemplo monitora os dados ignorados no link e evita o loop de quadros: R3(config)#interface serial 0/0/0 R3(config-if)#encapsulation ppp R3(config-if)#ppp quality 80 Utilize o comando no ppp quality para desabilitar LQM. Exemplo 4: balanceamento de carga nos links O PPP multilink (tambm conhecido como MP, MPPP, MLP ou Multilink) fornece um mtodo para espalhar o trfego em vrios links de WAN fsicos ao mesmo tempo em que fornece a fragmentao e a remontagem de pacotes, o seqenciamento apropriado, a interoperabilidade com vrios fornecedores e o balanceamento de carga no trfego de entrada e de sada.

O MPPP permite que os pacotes sejam fragmentados e envia esses fragmentos simultaneamente em vrios links ponto-a-ponto para o mesmo endereo remoto. Os vrios links fsicos surgem em resposta a um limite de carga definido pelo usurio. O MPPP pode medir a carga quanto ao trfego de entrada ou de sada, mas no quanto carga combinada de ambos os trfegos. Os seguintes comandos realizam o balanceamento de carga em vrios links: Router(config)#interface serial 0/0/0 Router(config-if)#encapsulation ppp Router(config-if)#ppp multilink O comando multilink no tem nenhum argumento. Para desabilitar vrios links PPP, utilize o comando no ppp multilink. Exibir meio visual

2.3.3 Verificando uma config. de encapsulamento PPP serial Pgina 1: Verificando uma configurao de encapsulamento PPP Utilize o comando show interfaces serial para verificar a configurao apropriada do encapsulamento HDLC ou PPP. A sada do comando na figura mostra uma configurao PPP. Quando voc configura o HDLC, a sada do comando show interfaces serial deve mostrar "encapsulation HDLC". Ao configurar o PPP, voc pode verificar seus estados LCP e NCP. Clique no boto Comandos na figura. A figura resume comandos utilizados durante a verificao do PPP. Exibir meio visual

2.3.4 Identificao e soluo de problemas do encapsulamento PPP Pgina 1:

Identificando e solucionando problemas da configurao de encapsulamento serial Agora voc sabe que o comando debug utilizado para solucionar problemas, sendo acessado no modo exec privilegiado da interface da linha de comando. Debug exibe informaes sobre vrias operaes do roteador e o trfego relacionado gerado ou recebido pelo roteador, bem como qualquer mensagem de erro. Essa uma ferramenta muito til e informativa, mas voc deve sempre se lembrar de que o Cisco IOS trata a depurao como uma tarefa de alta prioridade. Isso pode consumir um volume significativo de recursos, e o roteador forado a processar a comutao dos pacotes depurados . Debug no deve ser utilizado como uma ferramenta de monitoramento ele foi projetado para ser utilizado por um curto perodo para soluo de problemas. Ao solucionar problemas de uma conexo serial, voc utiliza a mesma abordagem utilizada em outras tarefas de configurao. Utilize o comando debug ppp para exibir informaes sobre o funcionamento do PPP. A figura mostra a sintaxe do comando. A forma no desse comando desabilita a sada do comando de depurao. Exibir meio visual

Pgina 2: Sada do comando debug ppp packet Um bom comando a ser utilizado durante a soluo de problemas do encapsulamento de interface serial o comando debug ppp packet. O exemplo na figura a sada do comando debug ppp packet conforme visto no lado Link Quality Monitor (LQM) da conexo. Esse exemplo mostra trocas de pacotes segundo o funcionamento do PPP normal. Essa apenas uma lista parcial, mas suficiente para apront-lo para o laboratrio prtico. Observe cada linha na sada do comando e compare-a com o significado do campo. Utilize o seguinte para orientar sua anlise da sada do comando.

PPP sada do comando de depurao PPP. Serial2 nmero de interface associado a essas informaes de depurao. (o), O o pacote detectado um pacote de sada do comando. (i), I o pacote detectado um pacote de input. lcp_slqr() nome de procedimento; LQM em execuo, envio de um Link Quality Report (LQR). lcp_rlqr() nome de procedimento; LQM em execuo, recebimento de um LQR. input (C021) roteador recebeu um pacote do tipo de pacote especificado (em hexadecimal). Um valor de C025 indica o pacote do tipo LQM. state = OPEN estado PPP; o estado normal OPEN.

magic = D21B4 Nmero mgico do n indicado; quando no h uma sada do comando indicada, esse o Nmero mgico do n em que a depurao habilitada. O Nmero mgico real depende da deteco do pacote conforme a indicao I ou O. datagramsize = 52 tamanho do pacote incluindo cabealho. code = ECHOREQ(9) identifica o tipo de pacote recebido nas formas da cadeia de caracteres e hexadecimal. len = 48 tamanho do pacote sem cabealho. id = 3 nmero da ID por formato de pacote Link Control Protocol (LCP). pkt type 0xC025 tipo de pacote em hexadecimal; os tipos de pacote comuns so C025 para LQM e C021 para LCP. LCP ECHOREQ (9) solicitao de eco; valor entre parnteses a representao hexadecimal do tipo LCP. LCP ECHOREP (A) resposta de eco; valor entre parnteses a representao hexadecimal do tipo LCP.

Exibir meio visual

Pgina 3: Sada do comando debug ppp negotiation A figura mostra a sada do comando debug ppp negotiation em uma negociao normal, na qual ambos os lados aceitam parmetros NCP. Nesse caso, o tipo de protocolo IP proposto e confirmado. Usando a sada do comando uma ou duas linhas por vez: As duas primeiras linhas indicam que o roteador est tentando carregar o LCP e usaro as opes de negociao indicadas (Protocolo de qualidade e Nmero mgico). Os campos de valor so os valores das prprias opes. H converso de C025/3E8 em Quality Protocol LQM. 3E8 o perodo de relatrio (em centsimos de segundo). 3D56CAC o valor do Nmero mgico do roteador. ppp: sending CONFREQ, type = 4 (CI_QUALITYTYPE), value = C025/3E8 ppp: sending CONFREQ, type = 5 (CI_MAGICNUMBER), value = 3D56CAC As prximas duas linhas indicam que o outro lado negociou as opes 4 e 5 e que ele solicitou e confirmou ambas. Se a extremidade de resposta no suportar as opes, o n de resposta enviar um CONFREJ. Se a extremidade de resposta no aceitar o valor da opo, ela enviar um CONFNAK com o campo de valor modificado. ppp: received config for type = 4 (QUALITYTYPE) acked

ppp: received config for type = 5 (MAGICNUMBER) value = 3D567F8 acked (ok) As prximas trs linhas indicam que o roteador recebeu um CONFACK do lado de resposta e exibem os valores de opo aceitos. Utilize o campo rcvd id para verificar se CONFREQ e CONFACK tm o mesmo campo id. PPP Serial2: state = ACKSENT fsm_rconfack(C021): rcvd id 5 ppp: config ACK received, type = 4 (CI_QUALITYTYPE), value = C025 ppp: config ACK received, type = 5 (CI_MAGICNUMBER), value = 3D56CAC A prxima linha indica que o roteador tem roteamento IP habilitado nessa interface e que o IPCP NCP foi negociado com xito. ppp: ipcp_reqci: returning CONFACK (ok) Exibir meio visual

Pgina 4: Sada do comando debug ppp error Voc pode utilizar o comando debug ppp error para exibir os erros de protocolo e as estatsticas de erro associadas negociao e ao funcionamento da conexo PPP. Essas mensagens podem ser exibidas quando a opo Protocolo de qualidade est habilitada em uma interface com o PPP j em execuo. A figura mostra um exemplo. Observe cada linha na sada do comando e compare-a com o significado do campo. Utilize o seguinte para orientar sua anlise da sada do comando.

PPP sada do comando de depurao PPP. Serial3(i) nmero de interface associada a essas informaes de depurao; indica que esse um pacote de input. rlqr receive failure o destinatrio no aceita a solicitao para negociar a opo Protocolo de qualidade. myrcvdiffp = 159 nmero de pacotes recebidos durante o perodo especificado. peerxmitdiffp = 41091 nmero de pacotes enviados pelo n remoto nesse perodo. myrcvdiffo = 2183 nmero de octetos recebidos nesse perodo.

peerxmitdiffo = 1714439 nmero de octetos enviados pelo n remoto nesse perodo. threshold = 25 percentual de erro mximo aceitvel nessa interface. Voc calcula esse percentual utilizando o valor limite inserido no comando de configurao da interface ppp quality percentage. Um valor de 100 menos o nmero o percentual de erro mximo. Nesse caso, foi inserido um nmero 75. Isso significa que o roteador local deve manter um percentual sem erros mnimo de 75 por cento ou o link PPP ser fechado. OutLQRs = 1 nmero de seqncia LQR enviado no momento do roteador local. LastOutLQRs = 1 ltimo nmero de seqncia que o lado do n remoto foi visto no n local.

Exibir meio visual

Pgina 5: Nesta atividade, voc praticar a alterao do encapsulamento em interfaces seriais. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Exibir meio visual

2.4 Configurando PPP com autenticao


2.4.1 Protocolos de autenticao PPP Pgina 1: Protocolo de autenticao PAP O PPP define um LCP extensvel que permite a negociao de um protocolo de autenticao para autenticar seu tnel antes de permitir os protocolos da camada de rede transmitirem pelo link. A RFC 1334 define dois protocolos para autenticao, conforme mostrado na figura. PAP um processo bidirecional muito bsico. No h nenhuma criptografia; o nome de usurio e a senha so enviados em texto simples. Se isso for aceito, a conexo ser permitida. CHAP mais seguro que PAP. Ele envolve uma troca tridirecional de um segredo compartilhado. O processo ser descrito posteriormente nesta seo. A fase de autenticao de uma sesso PPP opcional. Se for utilizado, voc poder autenticar o tnel depois que o LCP estabelecer o link e escolher o protocolo de autenticao. Se ele for utilizado, a autenticao ocorrer antes da configurao do protocolo da camada de rede.

As opes de autenticao exigem que o lado da chamada do link insira informaes de autenticao. Isso ajuda a assegurar que o usurio tenha a permisso do administrador de rede para fazer a chamada. Os roteadores de mesmo nvel trocam mensagens de autenticao. Exibir meio visual

2.4.2 Protocolo de autenticao de senha (PAP) Pgina 1: Um dos muitos recursos do PPP que ele realiza a autenticao da Camada 2, alm das demais camadas de autenticao, criptografia, controle de acesso e procedimentos de segurana geral. Iniciando PAP O PAP fornece um nico mtodo para um n remoto a fim de estabelecer sua identidade utilizando um handshake bidirecional. PAP no interativo. Quando o comando ppp authentication pap utilizado, o nome de usurio e a senha so enviados como um pacote de dados LCP, em vez do servidor enviar um prompt de login e aguardar uma resposta. A figura mostra que o PPP conclui a fase de estabelecimento do link, o n remoto envia repetidamente um par nome de usurio/senha pelo link at que o n de envio confirme ou encerre a conexo. Clique no boto Concluindo PAP na figura. No n de recebimento, o nome de usurio/senha verificado por um servidor de autenticao que permite ou nega a conexo. Uma mensagem de aceitao ou de rejeio retorna ao solicitante. PAP no um protocolo de autenticao forte. Utilizando PAP, voc envia senhas pelo link em texto sem formatao, no havendo nenhuma proteo contra reproduo ou ataques de tentativa e erro repetidos. O n remoto est no controle da freqncia e do timing das tentativas de login. No entanto, h momentos em que a utilizao do PAP pode se justificar. Por exemplo, apesar de suas deficincias, o PAP pode ser utilizado nos seguintes ambientes: Uma grande base instalada de aplicativos clientes no compatveis com CHAP Incompatibilidades entre implementaes de fornecedores diferentes do CHAP Situaes em que uma senha em texto simples deve ser disponibilizada para simular um login no host remoto

Exibir meio visual

2.4.3 Protocolo avanado de autenticao de reconhecimento (CHAP) Pgina 1: Protocolo avanado de autenticao de reconhecimento (CHAP) Depois que a autenticao estabelecida com PAP, ela basicamente pra de funcionar. Isso deixa a rede vulnervel a ataques. Diferentemente do PAP, que s autentica uma vez, o CHAP realiza desafios peridicos para verificar se o n remoto ainda tem um valor de senha vlido. Depois que a fase de estabelecimento do link PPP concluda, o roteador local envia uma mensagem de desafio para o n remoto. Clique no boto Respondendo CHAP na figura. O n remoto responde com um valor calculado utilizando uma funo de hash unidirecional, que normalmente Message Digest 5 (MD5) com base na senha e na mensagem de desafio. Clique no boto Concluindo CHAP na figura. O roteador local verifica a resposta em relao ao seu prprio clculo do valor de hash esperado. Se os valores forem correspondentes, o n inicial confirmar a autenticao. Do contrrio, ele encerra a conexo imediatamente. O CHAP fornece proteo contra ataque de reproduo, utilizando um valor de desafio varivel exclusivo e imprevisvel. Como o desafio exclusivo e aleatrio, o valor de hash resultante tambm exclusivo e aleatrio. A utilizao de desafios repetidos limita o tempo de exposio a qualquer ataque. O roteador local ou um servidor de autenticao de terceiros est no controle da freqncia e do timing dos desafios. Exibir meio visual

2.4.4 Encapsulamento PPP e processo de autenticao Pgina 1: Encapsulamento PPP e processo de autenticao Voc pode utilizar um fluxograma para ajudar a compreender o processo de autenticao PPP durante a configurao do PPP. O fluxograma fornece um exemplo visual das decises lgicas tomadas pelo PPP.

Por exemplo, se uma solicitao PPP de entrada no exigir nenhuma autenticao, o PPP avanar ao prximo nvel. Se uma solicitao PPP de entrada exigir autenticao, ela poder ser autenticada utilizando-se o banco de dados local ou um servidor de segurana. Conforme ilustrado no fluxograma, a autenticao bem-sucedida avana ao prximo nvel, enquanto uma falha na autenticao ir desconectar e descartar a solicitao PPP de entrada. Clique no boto Exemplo de CHAP e clique no boto de execuo para obter um exemplo animado. Siga as etapas conforme a animao avana. O roteador R1 deseja estabelecer uma conexo PPP CHAP autenticada com o roteador R2. Etapa 1. R1 negocia inicialmente a conexo de link utilizando LCP com o roteador R2 e os dois sistemas concordam em utilizar a autenticao CHAP durante a negociao PPP LCP. Etapa 2. O roteador R2 gera uma ID e um nmero aleatrio, alm de envi-lo mais seu nome de usurio como um pacote de desafio CHAP para R1. Etapa 3. R1 ir utilizar o nome de usurio do desafiante (R2) e compar-lo com seu banco de dados local para localizar a senha associada. Dessa forma, R1 ir gerar um nmero de hash MD5 exclusivo utilizando o nome de usurio de R2, a ID, o nmero aleatrio e a senha secreta compartilhada. Etapa 4. Em seguida, o roteador R1 envia a ID de desafio, o valor de hash e seu nome de usurio (R1) para R2. Etapa 5. R2 gera seu prprio valor de hash utilizando a ID, a senha secreta compartilhada e o nmero aleatrio enviados originalmente para R1. Etapa 6. R2 compara seu valor de hash com o valor de hash enviado por R1. Se os valores forem os mesmos, R2 enviar um link estabelecendo resposta com R1. Se houver falha na autenticao, um pacote de falhas CHAP ser criado a partir dos seguintes componentes: 04 = tipo de mensagem de falha CHAP id = copiada do pacote de respostas "Authentication failure" ou alguma mensagem de texto assim, que deve ser uma explicao legvel pelo usurio

Observe que a senha secreta compartilhada deve ser idntica em R1 e R2.

Exibir meio visual

2.4.5 Configurando PPP com autenticao Pgina 1: O comando ppp authentication Para especificar a ordem na qual os protocolos CHAP ou PAP so solicitados na interface, utilize o comando de configurao da interface ppp authentication, conforme mostrado na figura. Utilize a forma no do comando para desabilitar essa autenticao. Depois que voc habilitar a autenticao CHAP ou PAP, ou ambas, o roteador local exigir ao dispositivo remoto provar sua identidade antes de permitir o fluxo do trfego de dados. Isso feito da seguinte forma:

A autenticao PAP exige que o dispositivo remoto envie um nome e uma senha a serem verificados em comparao com uma entrada correspondente no banco de dados de nome de usurio local ou no banco de dados TACACS/TACACS+ remoto. A autenticao CHAP envia um desafio para o dispositivo remoto. O dispositivo remoto deve criptografar o valor de desafio com uma senha secreta e retornar o valor criptografado e seu nome para o roteador local em uma mensagem de resposta. O roteador local utiliza o nome do dispositivo remoto para procurar o segredo apropriado no nome de usurio local ou no banco de dados TACACS/TACACS+. Ele utiliza o segredo pesquisado para criptografar o desafio original e verificar se os valores criptografados correspondem.

Nota: AAA/TACACS um servidor dedicado utilizado para autenticar usurios. AAA significa "autenticao, autorizao e auditoria". Os clientes TACACS enviam uma consulta a um servidor de autenticao TACACS. O servidor pode autenticar o usurio, autorizar o que o usurio pode fazer e controlar o que ele fez. Voc pode habilitar PAP ou CHAP ou ambos. Se ambos os mtodos forem habilitados, o primeiro mtodo especificado ser solicitado durante a negociao do link. Se o tnel sugerir a utilizao do segundo mtodo ou apenas recusar o primeiro, o segundo ser testado. Alguns dispositivos remotos suportam apenas CHAP e outros, apenas PAP. A ordem na qual voc especifica os mtodos se baseia nas suas preocupaes sobre a possibilidade do dispositivo remoto negociar corretamente o mtodo apropriado, bem como na sua preocupao sobre a segurana da linha de dados. Os nomes de usurio e senhas PAP so enviados como cadeias de caracteres em texto sem formatao, podendo ser interceptados e reutilizados. O CHAP eliminou a maioria das falhas de segurana conhecidas. Exibir meio visual

Pgina 2: Configurando a autenticao PPP O procedimento descrito no grfico descreve como configurar o encapsulamento PPP e os protocolos de autenticao PAP/CHAP. A configurao correta essencial, porque PAP e CHAP utilizam esses parmetros na autenticao. Clique no boto Exemplo de PAP na figura. A figura um exemplo de uma configurao de autenticao PAP bidirecional. Como ambos os roteadores autenticam e so autenticados, os comandos de autenticao PAP so espelhados. O nome de usurio e a senha PAP enviados pelo roteador devem corresponder aos especificados com o comando username name password password do outro roteador. O PAP fornece um nico mtodo para um n remoto a fim de estabelecer sua identidade utilizando um handshake bidirecional. Isso s feito no estabelecimento do link inicial. O nome de host em um roteador deve corresponder ao nome de usurio configurado pelo outro roteador. As senhas no precisam ser correspondentes. Clique no boto Exemplo de CHAP na figura. CHAP verifica periodicamente a identidade do n remoto utilizando um handshake triplo. O nome de host em um roteador deve corresponder ao nome de usurio configurado pelo outro roteador. As senhas tambm devem ser correspondentes. Isso ocorre no estabelecimento do link inicial, podendo ser repetido a qualquer momento aps esse estabelecimento. A figura um exemplo de uma configurao CHAP. Exibir meio visual

2.4.6 Identificao e soluo de problemas de uma configurao PPP com autenticao Pgina 1: Identificao e soluo de problemas de uma configurao PPP com autenticao Autenticao um recurso que precisa ser implementado corretamente, ou a segurana da sua conexo serial pode ficar comprometida. Sempre verifique a sua configurao com o comando show interfaces serial, da mesma forma que voc fez sem autenticao.

Jamais suponha que a configurao da sua autenticao esteja funcionando sem test-la. A depurao permite confirmar a sua configurao e corrigir todas as deficincias. O comando para depurar a autenticao PPP debug ppp authentication. A figura mostra uma sada do comando de exemplo do comando debug ppp authentication. Esta uma interpretao da sada do comando: A linha 1 informa que o roteador no consegue se autenticar na interface Serial0 porque o tnel no enviou um nome. A linha 2 informa que o roteador no pde validar a resposta CHAP porque USERNAME 'pioneer' no foi encontrado. A linha 3 informa que no foi encontrada nenhuma senha para 'pioneer'. Outras respostas possveis nessa linha, talvez no tenha recebido nenhum nome para autenticar, nome desconhecido, nenhum segredo para o nome indicado, uma resposta MD5 foi recebida ou haja falha na comparao com MD5. Na ltima linha, o cdigo = 4 significa que houve uma falha. Outros valores de cdigo so os seguintes: 1 = Desafio 2 = Resposta 3 = xito 4 = Falha

id = 3 o nmero da ID por formato de pacote LCP. len = 48 o tamanho do pacote sem o cabealho. Exibir meio visual

Pgina 2: O encapsulamento PPP permite dois tipos diferentes de autenticao: PAP (Protocolo de autenticao de senha) e CHAP (Protocolo avanado de autenticao de reconhecimento). PAP utiliza uma senha em texto simples, e CHAP invoca um hash unidirecional que fornece mais segurana que PAP. Nesta atividade, voc ir configurar PAP e CHAP e analisar a configurao de roteamento OSPF. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Exibir meio visual

2.5 Laboratrios do captulo


2.5.1 Configurao PPP bsica Pgina 1: Neste laboratrio, voc ir aprender a configurar o encapsulamento PPP em links seriais usando a rede mostrada no diagrama de topologia. Voc tambm aprender a restaurar links seriais aos seus encapsulamentos de HDLC padro. Preste ateno especial na sada do roteador quando voc divide intencionalmente o encapsulamento PPP. Isso o ajudar no laboratrio de soluo de problemas associado a este captulo. Por fim, voc ir configurar as autenticaes PPP PAP e PPP CHAP. Exibir meio visual

Pgina 2: Esta atividade uma variao do Laboratrio 2.5.1. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamento real. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do rastreador de pacote para obter mais detalhes. Exibir meio visual

2.5.2 Configurao avanada PPP Pgina 1: Neste laboratrio, voc ir aprender a configurar o encapsulamento PPP em links seriais usando a rede mostrada no diagrama de topologia. Voc tambm configurar a autenticao PPP CHAP. Se voc precisar de assistncia, consulte o laboratrio de configurao PPP bsico, mas tente fazer isso por conta prpria. Exibir meio visual

Pgina 2: Esta atividade uma variao do Laboratrio 2.5.2. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamento real.

So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do rastreador de pacote para obter mais detalhes. Exibir meio visual

2.5.3 Identificao e soluo de problemas de configurao PPP Pgina 1: Os roteadores da sua empresa foram configurados por um engenheiro de rede sem experincia. Vrios erros na configurao resultaram em problemas de conectividade. Seu chefe lhe pediu para solucionar problemas, corrigir os erros de configurao e documentar seu trabalho. Com seus conhecimentos de PPP e mtodos de teste padro, identifique e corrija os erros. Certifique-se de que todos os links seriais usem autenticao PPP CHAP e de que todas as redes sejam alcanveis. Exibir meio visual

Pgina 2: Esta atividade uma variao do Laboratrio 2.5.3. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamento real. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do rastreador de pacote para obter mais detalhes. Exibir meio visual

2.6 Resumo do captulo


2.6.1 Resumo do captulo Pgina 1: Ao concluir este captulo, voc pode descrever em termos prticos e conceituais por que a comunicao ponto-a-ponto serial utilizada para conectar a sua rede local WAN da sua operadora, e no utilizar a conexo paralela que pode parecer muito mais rpida. Voc pode explicar como a multiplexao permite uma comunicao eficiente e

maximiza a quantidade de dados que podem ser transmitidos por um link de comunicao. Voc aprendeu as funes dos componentes e dos protocolos principais da comunicao serial, alm de configurar uma interface serial com encapsulamento HDLC em um roteador Cisco. Isso proporcionou uma ampla base para um PPP, inclusive seus recursos, componentes e arquiteturas. Voc pode explicar como uma sesso PPP estabelecida utilizando as funes do LCP e dos NCPs. Voc aprendeu a sintaxe dos comandos de configurao e a utilizao de vrias opes obrigatrias para configurar uma conexo PPP, bem como utilizar PAP ou CHAP para assegurar uma conexo segura. As etapas obrigatrias para verificao e soluo de problemas foram descritas. Agora voc est pronto para confirmar o seu conhecimento no laboratrio no qual ir configurar o seu roteador para utilizar o PPP na conexo com uma WAN. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Nesta atividade, voc ir projetar um esquema de endereamento, configurar o roteamento e as VLANs, alm de configurar o PPP com CHAP. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

2.7 Teste do captulo


2.7.1 Teste do captulo Pgina 1: Exibir meio visual

3 Frame Relay
3.0 Introduo
3.0.1 Introduo Pgina 1:

Frame Relay um protocolo WAN de alto desempenho que funciona nas camadas fsica e de enlace do modelo OSI. Eric Scace, engenheiro da Sprint International, inventou o Frame Relay como uma verso mais simples do protocolo X.25 para ser usado em interfaces de Rede digital de servios integrados (ISDN, Integrated Services Digital Network). Atualmente, ele tambm usado em diversas outras interfaces de rede. Na primeira vez que a Sprint implementou o Frame Relay em sua rede pblica, eles usaram switches StrataCom. A aquisio da StrataCom pela Cisco em 1996 marcou sua entrada no mercado das operadoras. Os provedores de rede geralmente implementam o Frame Relay para redes de voz e dados como uma tcnica de encapsulamento. Ele usado entre redes locais em uma WAN. Cada usurio final obtm uma linha particular (ou linha alugada) para um n de Frame Relay. A rede Frame Relay gerencia a transmisso por um caminho alterado com frequncia e transparente para todos os usurios finais. O Frame Relay tornou-se um dos protocolos WAN mais usados, principalmente porque barato em comparao com as linhas dedicadas. Alm disso, configurar o equipamento do usurio em uma rede Frame Relay muito simples. As conexes Frame Relay so criadas configurando-se roteadores CPE ou outros dispositivos para que se comuniquem com um switch Frame Relay da operadora. A operadora configura o switch Frame Relay, o que ajuda a manter as tarefas de configurao do usurio final em um nvel mnimo. Este captulo descreve o Frame Relay e explica como configur-lo em um roteador Cisco. Exibir meio visual

3.1 Conceitos bsicos do Frame Relay


3.1.1 Apresentando o Frame Relay Pgina 1: Frame Relay: uma tecnologia WAN eficiente e flexvel O Frame Relay tornou-se a tecnologia WAN mais usada no mundo. Grandes empresas, governos, provedores de Internet e pequenas empresas usam o Frame Relay, principalmente por causa de seu preo e flexibilidade. Como as organizaes esto crescendo e dependem cada vez mais do transporte de dados confivel, as solues tradicionais de linha alugada so proibitivamente caras. O ritmo das alteraes tecnolgicas e as fuses e aquisies na indstria de rede exigem mais flexibilidade. O Frame Relay reduz os custos de rede usando menos equipamento, menos complexidade e uma implementao mais fcil. Alm disso, o Frame Relay fornece mais largura de banda, confiabilidade e flexibilidade do que as linhas alugadas ou

privadas. Com o aumento da globalizao e o crescimento de topologias mltiplas de filial, o Frame Relay oferece arquitetura de rede mais simples e custo de propriedade inferior. Usar o exemplo da rede de uma grande empresa ajuda a ilustrar os benefcios do uso do Frame Relay. No exemplo mostrado na figura, a Span Engineering possui cinco campus na Amrica do Norte. Como a maioria das organizaes, os requisitos de largura de banda da Span no se ajustam a uma soluo padro. O primeiro item a ser considerado o requisito de largura de banda de cada local. Trabalhando na sede, a conexo de Chicago a Nova York exige uma velocidade mxima de 256 kb/s. Trs outros locais precisam de uma velocidade mxima de 48 kb/s para conexo com a sede, enquanto a conexo entre as filiais de Nova York e de Dallas exige somente 12 kb/s. Antes do Frame Relay, a Span alugou linhas dedicadas. Clique no boto Linhas dedicadas na figura. Usando linhas alugadas, cada local da Span conectado por meio de um switch no escritrio central (CO, central office) da empresa de telefonia local atravs do loop local e, em seguida, atravs da rede inteira. Os escritrios de Chicago e de Nova York usam uma linha dedicada T1 (equivalente a 24 canais DS0) para conectar-se ao switch, enquanto outros escritrios usam conexes ISDN (56 kb/s). Como o escritrio de Dallas conecta-se ao de Nova York e ao de Chicago, possui duas linhas localmente alugadas. Os provedores de rede forneceram Span um DS0 entre os respectivos COs, exceto para o ponto maior que conecta Chicago a Nova York, que tem quatro DS0s. Os preos dos DS0s variam de acordo com a regio e normalmente so oferecidos por um preo fixo. Essas linhas so verdadeiramente dedicadas, pois o provedor de rede as reserva para a Span. No h nenhum compartilhamento. Alm disso, a Span est pagando pelo circuito fim-a-fim, independentemente da quantidade de largura de banda usada. Uma linha dedicada no fornece muita oportunidade prtica para uma conexo mltipla sem obter mais linhas do provedor de rede. No exemplo, quase toda a comunicao deve fluir pela sede corporativa simplesmente para reduzir o custo de linhas adicionais. Se voc analisar o que cada local exige em termos de largura de banda, notar uma falta de eficincia: Dos 24 canais DSO disponveis na conexo T1, o escritrio de Chicago usa somente sete. Algumas operadoras oferecem conexes T1 fracionrias em incrementos de 64 kb/s, mas isso requer um multiplexador especializado na extremidade do cliente para canalizar os sinais. Nesse caso, a Span optou pelo servio completo de T1. De maneira semelhante, o escritrio de Nova York usa somente cinco de seus 24 DSOs disponveis.

Como Dallas precisa conectar-se a Chicago e Nova York, h duas linhas que fazem a conexo com cada local atravs do CO.

O design de linha alugada tambm limita a flexibilidade. A menos que os circuitos j estejam instalados, a conexo de novos sites normalmente exigir novas instalaes de circuito e levar um tempo considervel para ser implementada. De um ponto de vista de confiabilidade de rede, imagine os custos adicionais e a complexidade de adicionar circuitos extras e redundantes. Clique no boto Frame Relay na figura. A rede Frame Relay da Span usa circuitos virtuais permanentes (PVCs). O PVC o caminho lgico entre um link de origem do Frame Relay, atravs da rede, e um link Frame Relay de finalizao para seu destino definitivo. Compare-o ao caminho fsico usado por uma conexo dedicada. Em uma rede com acesso Frame Relay, um PVC define exclusivamente o caminho entre dois pontos de extremidade. O conceito de circuitos virtuais ser discutido em mais detalhes posteriormente nesta seo. A soluo de Frame Relay da Span fornece economia e flexibilidade. Economia do Frame Relay O Frame Relay uma opo mais econmica por dois motivos. Primeiro, com linhas dedicadas, os clientes pagam por uma conexo fim-a-fim. Isso inclui o loop local e o link de rede. Com o Frame Relay, os clientes pagam somente pelo loop local e pela largura de banda que compram do provedor de rede. A distncia entre os ns no importante. Em um modelo de linha dedicada, os clientes usam essas linhas fornecidas em incrementos de 64 kb/s. Os clientes de Frame Relay podem definir suas necessidades de circuito virtual em uma granularidade muito maior, frequentemente em incrementos pequenos de at 4 kb/s. O segundo motivo pelo qual o Frame Relay econmico que ele compartilha largura de banda com uma base maior de clientes. Normalmente, um provedor de rede pode servir 40 ou mais de 56 kb/s aos clientes em um circuito de T1. Usar linhas dedicadas exigiria mais DSU/CSUs (um para cada linha), alm de roteamento e comutao mais complexos. Os provedores de rede economizam porque h menos equipamento para comprar e manter. A flexibilidade do Frame Relay Um circuito virtual fornece flexibilidade considervel no design de rede. Olhando para a figura, voc pode observar que todos os escritrios da Span conectam-se nuvem Frame Relay atravs de seus respectivos loops locais. O que acontece na nuvem no tem nenhuma importncia no momento. O que importa que quando um escritrio da Span deseja se comunicar com outro, basta conectar-se a um circuito virtual que conduz ao

outro escritrio. No Frame Relay, o fim de cada conexo tem um nmero para identific-la. Esse nmero chamado de Identificador de conexo de enlace de dados (DLCI, Data Link Connection Identifier). Qualquer estao pode conectar-se s demais. Para isso, basta informar o endereo dessa estao e o nmero de DLCI da linha que precisa usar. Em uma seo posterior, voc aprender que, quando o Frame Relay configurado, todos os dados de todos os DLCIs configurados fluem pela mesma porta do roteador. Tente imaginar a mesma flexibilidade usando linhas dedicadas. No apenas complicado, mas tambm exige muito mais equipamento. Clique no boto Custo na figura. A tabela mostra uma comparao representativa de custos para conexes comparveis ISDN e Frame Relay. Embora os custos iniciais do Frame Relay sejam mais altos do que os de ISDN, o custo mensal consideravelmente menor. O Frame Relay mais fcil de gerenciar e configurar do que ISDN. Alm disso, os clientes podem aumentar sua largura de banda de acordo com o aumento das suas necessidades no futuro. Os clientes de Frame Relay s pagam pela largura de banda de que precisam. Com o Frame Relay, no h cobranas por hora. J as chamadas de ISDN so medidas em metros e podem resultar em despesas mensais inesperadamente altas com a empresa de telefonia, se uma conexo em tempo integral for mantida. Os prximos tpicos ampliaro seus conhecimentos de Frame Relay definindo os principais conceitos apresentados no exemplo. Exibir meio visual

Pgina 2: WAN do Frame Relay No final dos anos 1970 e no incio dos anos 1990, a tecnologia WAN que unia locais remotos costumava usar o protocolo X.25. Agora considerado um protocolo legado, o X.25 era uma tecnologia de comutao de pacotes muito popular, pois fornecia uma conexo muito confivel sobre infraestruturas de cabeamento no confiveis. Ele fazia isso incluindo um controle de fluxo e de erros adicional. No entanto, esses recursos adicionais sobrecarregaram o protocolo. Sua principal aplicao era o processamento de autorizaes de carto de crdito e de bancos 24 horas. Este curso s menciona o X.25 apenas para fins histricos. Quando voc cria uma WAN, independentemente da tecnologia escolhida, h sempre no mnimo trs componentes bsicos, ou grupos de componentes, conectando dois locais. Cada local precisa de seu prprio equipamento (DTE) para acessar o CO da empresa de telefonia que atende rea (DCE). O terceiro componente fica no meio, unindo os dois pontos de acesso. Na figura, esta a parte fornecida pelo backbone do Frame Relay. O Frame Relay tem sobrecarga inferior do X.25, pois possui menos recursos. Por exemplo, o Frame Relay no fornece correo de erros. Alm disso, as instalaes

WAN modernas oferecem servios de conexo mais confiveis e um grau mais elevado de confiabilidade do que as instalaes mais antigas. Ao detectar erros, o n Frame Relay simplesmente descarta os pacotes sem notificao. Qualquer correo de erros necessria, como retransmisso de dados, deixada para os pontos de extremidade. Isso torna a propagao de cliente a cliente pela rede muito rpida. O Frame Relay gerencia volume e velocidade de forma eficiente combinando as funes necessrias das camadas de rede e de enlace em um nico protocolo simples. Como um protocolo de enlace de dados, o Frame Relay fornece acesso a uma rede, delimitando e entregando quadros na ordem correta e reconhece erros de transmisso atravs de uma Verificao de redundncia cclica padro. Como um protocolo de rede, o Frame Relay fornece vrias conexes lgicas sobre um nico circuito fsico e permite que a rede roteie dados nessas conexes para os destinos desejados. O Frame Relay funciona entre o dispositivo de um usurio final, como uma bridge de rede local ou um roteador, e uma rede. A prpria rede pode usar qualquer mtodo de transmisso que seja compatvel com a velocidade e a eficincia que os aplicativos para Frame Relay exigem. Algumas redes usam o prprio Frame Relay, mas outras usam comutao digital de circuitos ou sistemas de transmisso de clula ATM. A figura mostra um backbone de comutao de circuitos conforme indicado pelos switches de classe 4 ou 5. Os demais grficos desta seo mostram backbones Frame Relay de comutao de pacotes mais atuais. Exibir meio visual

Pgina 3: Operao do Frame Relay A conexo entre um dispositivo DTE e um dispositivo DCE consiste em um componente de camada fsica e um de camada de enlace: O componente fsico define as especificaes mecnica, eltrica, funcional e de procedimento para a conexo entre os dispositivos. Uma das especificaes de interface de camada fsica mais usadas a especificao RS-232. O componente da camada de enlace define o protocolo que estabelece a conexo entre o dispositivo DTE, como um roteador, e o dispositivo DCE, como um switch.

Quando as operadoras usam o Frame Relay para interconectar as redes locais, um roteador em cada rede local o DTE. Uma conexo serial, como uma linha alugada T1/E1, conecta o roteador ao switch Frame Relay da operadora no ponto de presena (POP, point-of-presence) mais prximo. O switch Frame Relay um dispositivo DCE. Os switches de rede movem quadros de um DTE atravs da rede e entregam quadros a outros DTEs por meio de DCEs. Equipamentos de computao que no estejam em uma rede local tambm podem enviar dados por uma rede Frame Relay. O equipamento de computao usa um dispositivo de acesso Frame Relay (FRAD) como o DTE. s vezes,

o FRAD chamado de codificador/decodificador Frame Relay. Ele tambm um dispositivo dedicado ou um roteador configurado para suportar o Frame Relay. Est localizado nos equipamentos do cliente e conecta-se a uma porta de switch da rede da operadora. A operadora, por sua vez, interconecta os switches Frame Relay. Exibir meio visual

3.1.2 Circuitos virtuais Pgina 1: Circuitos virtuais A conexo por uma rede Frame Relay entre dois DTEs chamada de circuito virtual (VC). Os circuitos so virtuais porque no h conexo eltrica direta fim-a-fim. A conexo lgica, e os dados se movem fim-a-fim, sem um circuito eltrico direto. Com os VCs, o Frame Relay compartilha a largura de banda entre vrios usurios. Alm disso, os sites podem comunicar-se entre si sem usar vrias linhas fsicas dedicadas. H duas maneiras de estabelecer VCs: SVCs, circuitos virtuais comutados, so estabelecidos dinamicamente enviando mensagens de sinalizao rede (CONFIGURAO DE CHAMADA, TRANSFERNCIA DE DADOS, INATIVO, ENCERRAMENTO DE CHAMADA). PVCs, circuitos virtuais permanentes, so pr-configurados pela operadora e, depois de configurados, funcionam somente nos modos TRANSFERNCIA DE DADOS e INATIVO. Algumas publicaes referem-se aos PVCs como VCs privados.

Clique no boto Reproduzir na figura. Na figura, h um VC entre os ns de envio e de recebimento. O VC segue o caminho A, B, C, e D. O Frame Relay cria um VC armazenando mapeamento de porta de entrada a porta de sada na memria de cada switch e, assim, vincula um switch ao outro at identificar um caminho contnuo de uma extremidade outra do circuito. Um VC pode percorrer qualquer nmero de dispositivos intermedirios (switches) localizados na rede Frame Relay. Neste momento, voc deve estar se perguntando: Como os vrios ns e switches so identificados? Clique no boto Importncia local na figura.

Os VCs fornecem um caminho de comunicao bidirecional de um dispositivo ao outro. Os VCs so identificados por DLCIs. Os valores de DLCI so atribudos normalmente pela operadora de Frame Relay (por exemplo, a empresa de telefonia). Os DLCIs do Frame Relay tm importncia local, o que significa que os prprios valores no so exclusivos na WAN Frame Relay. Um DLCI identifica um VC para o equipamento em um ponto de extremidade. Um DLCI no tem nenhuma importncia alm do nico link. Dois dispositivos conectados por um VC podem usar um valor de DLCI diferente para se referir mesma conexo. Os DLCIs de importncia local tornaram-se o principal mtodo de endereamento, pois o mesmo endereo pode ser usado em vrios locais diferentes e ainda assim referir-se a conexes diferentes. O endereamento local evita que um cliente fique sem DLCIs medida que a rede cresce. Clique no boto Identificando VCs e no boto Reproduzir na figura. Essa rede a mesma que foi apresentada na figura anterior. Porm, desta vez, medida que o quadro se move pela rede, o Frame Relay rotula cada VC com um DLCI. O DLCI armazenado no campo de endereo de todos os quadros transmitidos para informar rede como o quadro dever ser roteado. A operadora de Frame Relay atribui nmeros de DLCI. Geralmente, os DLCIs de 0 a 15 e de 1008 a 1023 so reservados para fins especiais. Portanto, as operadoras geralmente atribuem os DLCIs do intervalo de 16 a 1007. Neste exemplo, o quadro usa o DLCI 102. Ele deixa o roteador (R1) usando a porta 0 e o VC 102. No switch A, o quadro sai pela porta 1 usando o VC 432. Esse processo de mapeamento de portas de VC continuar pela WAN at que o quadro alcance seu destino no DLCI 201, conforme mostrado na figura. O DLCI armazenado no campo de endereo de todos os quadros transmitidos. Exibir meio visual

Pgina 2: Vrios VCs O Frame Relay estatisticamente multiplexado. Isso significa que, embora ele transmita apenas um quadro por vez, muitas conexes lgicas podem coexistir em uma nica linha fsica. O dispositivo de acesso Frame Relay (FRAD) ou o roteador conectado rede Frame Relay pode ter vrios VCs que o conecta a vrios pontos de extremidade. Vrios VCs em uma nica linha fsica so diferenciados porque cada VC tem seu prprio DLCI. Lembre-se de que a importncia do DLCI apenas local e pode ser diferente em cada extremidade de um VC. A figura mostra um exemplo de dois VCs em uma nica linha de acesso, cada um com seu prprio DLCI, conectados a um roteador (R1).

Esse recurso frequentemente reduz a complexidade do equipamento e da rede, necessria para conectar vrios dispositivos. Por esse motivo, ele representa uma alternativa muito econmica para uma malha (mesh) de linhas de acesso. Com essa configurao, cada ponto de extremidade precisa de apenas uma linha de acesso e uma interface. possvel economizar mais, pois a capacidade da linha de acesso baseada no requisito de largura de banda mdia dos VCs, e no no requisito de largura de banda mxima. Clique no boto DLCIs da Span na figura. Por exemplo, a Span Engineering est presente em cinco locais, com sede em Chicago. O escritrio de Chicago est conectado rede usando cinco VCs, e cada VC recebe um DLCI. Para visualizar os mapeamentos de DLCI, respectivos de Chicago, clique no local desejado na tabela. Custo Benefcio de vrios VCs Lembre-se do exemplo anterior de como a Span Engineering evoluiu de uma rede de linha dedicada para uma rede Frame Relay. Observe especificamente a tabela que compara o custo de uma nica conexo Frame Relay comparada a uma conexo ISDN de tamanho semelhante. Com o Frame Relay, os clientes pagam pela largura de banda que utilizam. De fato, eles pagam por uma porta de Frame Relay. Ao aumentar o nmero de portas, conforme descrito acima, eles pagam por mais largura de banda. Mas eles pagaro tambm por mais equipamento? A resposta "no", pois as portas so virtuais. No h nenhuma alterao na infraestrutura fsica. Compare este procedimento com uma compra de mais largura de banda usando linhas dedicadas. Exibir meio visual

3.1.3 Encapsulamento Frame Relay Pgina 1: O processo de encapsulamento do Frame Relay O Frame Relay recebe pacotes de dados de um protocolo de camada de rede, como IP ou IPX, os encapsula como parte de dados de um quadro Frame Relay e, ento, transmite o quadro camada fsica para ser enviado pelo cabo. Para entender como esse processo funciona, ser til entender como ele se relaciona com as camadas inferiores do modelo OSI. A figura mostra como o Frame Relay encapsula os dados para o transporte e os move at a camada fsica para entrega. Primeiro, o Frame Relay aceita um pacote de um protocolo da camada de rede, como o IP. Em seguida, ele o empacota com um campo de endereo que contm o DLCI e uma

soma de verificao. Campos de sinalizao so adicionados para indicar o incio e o final do quadro. Os campos de sinalizao marcam o incio e o final do quadro, e so sempre os mesmos. Os sinalizadores so representados como o nmero hexadecimal 7E ou como o nmero binrio 01111110. Depois que o pacote encapsulado, o Frame Relay transmite o quadro camada fsica para o transporte. Clique no boto Formato de quadro na figura. O roteador CPE encapsula cada pacote da Camada 3 dentro de um cabealho e um trailer Frame Relay antes de envi-lo pelo VC. O cabealho e o trailer so definidos pela especificao de servios de portador do Procedimento de acesso ao link para Frame Relay (LAPF, Link Access Procedure for Frame Relay), ITU Q.922-A. Especificamente, o cabealho Frame Relay (campo de endereo) contm o seguinte: DLCI - O DLCI de 10 bits a essncia do cabealho Frame Relay. Esse valor representa a conexo virtual entre o dispositivo DTE e o switch. Cada conexo virtual multiplexada no canal fsico representada por um DLCI exclusivo. A importncia dos valores de DLCI apenas local, o que significa que eles s so exclusivos para o canal fsico no qual residem. Portanto, os dispositivos em extremidades opostas de uma conexo podem usar valores de DLCI diferentes para referir-se mesma conexo virtual. Endereo Estendido (EA) - Se o valor do campo de EA for 1, o byte atual ser determinado para ser o ltimo octeto do DLCI. Embora todas as implementaes de Frame Relay atuais utilizem um DLCI de dois octetos, esse recurso permitir DLCIs mais longos no futuro. O oitavo bit de cada byte do campo de endereo indica o EA. C/R - Segue o DLCI mais significativo do campo de endereo. O bit de C/R geralmente no usado pelo Frame Relay. Controle de congestionamento - Contm 3 bits que controlam os mecanismos da notificao de congestionamento do Frame Relay. Os bits FECN, BECN e DE so os trs ltimos bits no campo de endereo. O controle de congestionamento ser discutido em um tpico posterior.

A camada fsica geralmente EIA/TIA -232, 449 ou 530, V.35 ou X.21. O quadro Frame Relay um subconjunto do tipo de quadro HDLC. Portanto, ele delimitado com campos de sinalizao. O sinalizador de 1 byte usa o padro de bits 01111110. O FCS determina se qualquer erro no campo de endereo da Camada 2 ocorreu durante a transmisso. O FCS calculado antes da transmisso pelo n de envio, e o resultado inserido no campo FCS. Na extremidade a frente, um segundo valor de FCS calculado e comparado ao FCS no quadro. Se os resultados forem os mesmos, o quadro ser processado. Se houver diferenas, o quadro ser descartado. O Frame Relay no notifica a origem quando um quadro descartado. O controle de erros deixado para as camadas superiores do modelo OSI. Exibir meio visual

3.1.4 Topologias Frame Relay

Pgina 1: Quando mais de dois locais forem conectados, voc dever considerar a topologia das conexes entre eles. Uma topologia o mapa ou o layout visual da rede Frame Relay. necessrio considerar a topologia de vrias perspectivas para entender a rede e o equipamento usado para cri-la. Topologias completas para projeto, implementao, operao e manuteno incluem mapas de viso geral, mapas de conexo lgica, mapas funcionais e mapas de endereos que mostram o equipamento em detalhes e os links de canal. As redes Frame Relay econmicas vinculam dezenas ou at mesmo centenas de locais. Considerando que uma rede corporativa pode abranger qualquer nmero de operadoras e incluir redes de negcios adquiridos com projeto bsico diferente, documentar topologias pode ser um processo muito complicado. No entanto, cada rede ou segmento de rede pode ser exibido como um dos trs seguintes tipos de topologia: estrela, malha completa (Full mesh) ou malha parcial (Partial Mesh). Topologia em estrela (Hub-and-spoke) A topologia WAN mais simples a estrela, conforme mostrado na figura. Nessa topologia, a Span Engineering tem um local central em Chicago que atua como um hub e hospeda os principais servios. A Span cresceu e recentemente e abriu um escritrio em San Jose. O uso do Frame Relay facilitou relativamente essa expanso. As conexes com cada um dos cinco locais remotos atuam como spokes. Em uma topologia estrela, o local do hub geralmente escolhido pelo menor custo da linha alugada. Ao implementar uma topologia estrela com Frame Relay, cada local remoto tem um link de acesso nuvem Frame Relay com um nico VC. Clique no boto Estrela de Frame Relay na figura. Esta a topologia estrela no contexto de uma nuvem Frame Relay. O hub em Chicago tem um link de acesso com vrios VCs, um para cada local remoto. As linhas que saem da nuvem representam as conexes da operadora de Frame Relay e terminam no equipamento do cliente. A velocidade dessas linhas normalmente varia de 56.000 bp/s para E-1 (2.048 Mb/s) e mais rpida. Um ou mais nmeros de DLCI so atribudos a cada ponto de extremidade da linha. Como os custos do Frame Relay no esto relacionados distncia, o hub no precisa estar no centro geogrfico da rede. Exibir meio visual

Pgina 2: Topologia de malha completa

Esta figura representa uma topologia de malha completa que usa linhas dedicadas. Uma topologia de malha completa adequada a situaes nas quais os servios a serem acessados esto geograficamente dispersos e h necessidade de acesso altamente confivel a eles. Uma topologia de malha completa conecta todos os locais entre si. O uso de interconexes de linha alugada, interfaces seriais adicionais e linhas aumentam os custos. Neste exemplo, so necessrias 10 linhas dedicadas para interconectar cada site em uma topologia de malha completa. Clique em Malha completa de Frame Relay na figura. Usando o Frame Relay, um programador de rede pode criar vrias conexes simplesmente configurando VCs adicionais em cada link existente. Essa melhoria de software aumenta a topologia estrela para uma topologia de malha completa sem a despesa de hardware adicional ou de linhas dedicadas. Como os VCs usam multiplexao estatstica, vrios VCs em um link de acesso geralmente fazem melhor uso do Frame Relay do que VCs separados. A figura mostra como a Span usou quatro VCs em cada link para dimensionar sua rede sem adicionar novo hardware. As operadoras cobraro pela largura de banda adicional, mas essa soluo geralmente mais econmica do que o uso de linhas dedicadas. Topologia de malha parcial Para grandes redes, uma topologia de malha completa raramente est disponvel, pois o nmero de links necessrios aumenta drasticamente. O problema no est no custo do hardware, e sim no limite terico de menos de 1.000 VCs por link. Na prtica, o limite menor do que esse. Por esse motivo, geralmente as redes maiores so configuradas em uma topologia de malha parcial. Com a malha parcial, h mais interconexes do que o necessrio para uma disposio em estrela e menos do que o necessrio para uma malha completa. O padro real depende dos requisitos de fluxo de dados. Exibir meio visual

3.1.5 Mapeamento de endereo Frame Relay Pgina 1: Para que um roteador Cisco possa transmitir dados por Frame Relay, ele precisa saber qual DLCI local mapeia para o endereo da Camada 3 do destino remoto. Os roteadores Cisco suportam todos os protocolos da camada de rede sobre Frame Relay, como IP, IPX e AppleTalk. Esse mapeamento endereo-para-DLCI pode ser realizado por mapeamento esttico ou dinmico. ARP inverso

O Protocolo de resoluo de endereo (ARP, Address Resolution Protocol) inverso, tambm chamado de ARP inverso, obtm endereos da Camada 3 de outras estaes de endereos da Camada 2, como o DLCI em redes Frame Relay. Ele usado principalmente em redes Frame Relay e ATM, nas quais os endereos da Camada 2 de VCs so ocasionalmente obtidos da sinalizao da Camada 2, e os endereos correspondentes da Camada 3 devem estar disponveis para que esses VCs possam ser usados. Enquanto o ARP determina os endereos da Camada 3 para os endereos da Camada 2, o ARP inverso faz o oposto. Mapeamento dinmico O mapeamento de endereo dinmico depende do ARP inverso para determinar um prximo salto rede endereo de protocolo para um valor de DLCI local. O roteador de Frame Relay envia solicitaes ARP inverso em seu PVC para descobrir o endereo de protocolo do dispositivo remoto conectado rede Frame Relay. O roteador usa as respostas para preencher uma tabela de mapeamento de endereo-para-DLCI no roteador de Frame Relay ou no servidor de acesso. O roteador cria e mantm essa tabela de mapeamento, que contm todas as solicitaes ARP inverso determinadas, incluindo entradas de mapeamento dinmicas e estticas. A figura mostra a sada do comando show frame-relay map. Voc pode observar que a interface est ativada e que o endereo IP de destino 10.1.1.2. O DLCI identifica a conexo lgica que est sendo usada para alcanar essa interface. Esse valor exibido de trs maneiras: seu valor decimal (102), seu valor hexadecimal (0 x 66), e seu valor como apareceria no cabo (0 x 1860). Essa entrada esttica, e no dinmica. O link est usando encapsulamento Cisco, em vez de encapsulamento IETF. Em roteadores Cisco, o ARP inverso habilitado por padro para todos os protocolos habilitados na interface fsica. Pacotes de ARP inverso no so enviados para protocolos que no esto habilitados na interface. Clique no boto Mapeamento esttico na figura. O usurio pode optar por sobrescrever o mapeamento de ARP inverso dinmico fornecendo um mapeamento esttico manual para o endereo de protocolo de prximo salto a um DLCI local. Um mapa esttico funciona de maneira semelhante ao ARP inverso dinmico associando um endereo de protocolo de prximo salto especificado a um DLCI local do Frame Relay. No possvel usar o ARP inverso e uma instruo de mapa para o mesmo DLCI e protocolo. Um exemplo do uso do mapeamento de endereo esttico uma situao na qual o roteador que est do outro lado da rede Frame Relay no suporta ARP inverso dinmico para um protocolo de rede especfico. Para fornecer acessibilidade, necessrio um mapeamento esttico para completar o endereo remoto da camada de rede para a resoluo de DLCI local.

Outro exemplo est em uma rede Frame Relay hub-and-spoke. Use o mapeamento de endereo esttico nos roteadores spoke para fornecer acessibilidade spoke-to-spoke. Como os roteadores spoke no tm conectividade direta entre si, o ARP inverso dinmico no funcionaria entre eles. O ARP inverso dinmico depende da presena de uma conexo ponto-a-ponto direta entre as duas extremidades. Nesse caso, o ARP inverso dinmico s funciona entre hub-and-spoke, e os spokes exigem mapeamento esttico para fornecer acessibilidade entre si. Configurando o mapeamento esttico O estabelecimento do mapeamento esttico depende das suas necessidades de rede. Veja a seguir os vrios comandos a serem usados: Para mapear um endereo de protocolo de prximo salto para o endereo de destino do DLCI, use este comando: frame-relay map protocol protocol-address dlci [broadcast] [ietf] [cisco]. Use a palavra-chave ietf ao conectar-se a um roteador que no seja Cisco. Voc pode simplificar muito a configurao do protocolo OSPF adicionando a palavrachave opcional broadcast ao executar essa tarefa. A figura mostra um exemplo de mapeamento esttico em um roteador Cisco. Nesse exemplo, o mapeamento de endereo esttico executado na interface serial 0/0/0 e o encapsulamento Frame Relay usado no DLCI 102 CISCO. Conforme visualizado nas etapas de configurao, o mapeamento esttico do endereo que utiliza o comando frame-relay map permite que os usurios selecionem o tipo de encapsulamento Frame Relay usado por VC. A configurao do mapeamento esttico ser discutida em mais detalhes na prxima seo. Exibir meio visual

Pgina 2: Interface de gerenciamento local (LMI) Uma reviso do histrico de rede o ajudar a entender a funo desempenhada pela Interface de gerenciamento local (LMI, Local Management Interface). O projeto de Frame Relay proporciona transferncia de dados comutada por pacote com atrasos mnimos fim-a-fim. O projeto original omite qualquer coisa que possa contribuir para atrasos. Quando os fornecedores implementaram o Frame Relay como uma tecnologia separada, e no como um componente de ISDN, decidiram que era necessrio que os DTEs adquirissem informaes dinamicamente sobre o status da rede. No entanto, o projeto

original no inclua esse recurso. Um consrcio entre a Cisco, a Digital Equipment Corporation (DEC), a Northern Telecom e a StrataCom estendeu o protocolo Frame Relay para fornecer recursos adicionais a ambientes complexos de rede. Essas extenses so chamadas coletivamente de LMI. Basicamente, a LMI um mecanismo de keepalive que fornece informaes de status sobre conexes Frame Relay entre o roteador (DTE) e o switch Frame Relay (DCE). A cada 10 segundos, aproximadamente, o dispositivo final sonda a rede, solicitando uma resposta de sequncia dumb ou informaes de status do canal. Se a rede no responder com as informaes solicitadas, o dispositivo do usurio poder considerar que a conexo est inativa. Quando a rede responder com FULL STATUS, ela incluir informaes de status sobre DLCIs alocados para essa linha. O dispositivo final pode usar essas informaes para determinar se as conexes lgicas podem transmitir dados. A figura mostra a sada do comando show frame-relay lmi. A sada do comando mostra o tipo de LMI usado pela interface Frame Relay e os contadores da sequncia de trocas de status de LMI, incluindo erros como timeouts de LMI. fcil confundir a LMI e o encapsulamento. LMI uma definio das mensagens usadas entre o DTE (R1) e o DCE (o switch Frame Relay de propriedade da operadora). O encapsulamento define os cabealhos usados por um DTE para comunicar informaes ao DTE na outra extremidade de um VC. O switch e seu roteador conectado se importam em usar a mesma LMI. O switch no se importa com o encapsulamento. Os roteadores ponto de extremidade (DTEs) se importam com o encapsulamento. Extenses de LMI Alm das funes de protocolo do Frame Relay para transferncia de dados, a especificao Frame Relay inclui extenses opcionais de LMI que so extremamente teis em um ambiente de rede. Algumas das extenses incluem:

Mensagens de status de VC - Fornee informaes sobre a integridade do PVC comunicando e sincronizando entre dispositivos, informando periodicamente a existncia de novos PVCs e a excluso de PVCs j existentes. As mensagens de status de VC impedem que os dados sejam enviados a buracos negros (PVCs que j no existem). Multicast - Permite que um remetente transmita um nico quadro que entregue a vrios receptores. O multicast suporta a entrega eficiente de mensagens de protocolo de roteamento e procedimentos de resoluo de endereo que costumam ser enviados simultaneamente a muitos destinos. Endereamento global - Confere aos identificadores de conexo importncia global, e no local, permitindo que eles sejam usados para identificar uma interface especfica para a rede Frame Relay. O endereamento global faz com que a rede Frame Relay seja semelhante a uma rede local em termos de endereamento, e os ARPs se comportam exatamente como se estivessem em uma rede local.

Controle de fluxo simples - Fornece um mecanismo de controle de fluxo XON/XOFF que se aplica interface Frame Relay inteira. Ele se destina aos dispositivos cujas camadas superiores no podem usar os bits de notificao de congestionamento e precisam de um pouco de controle de fluxo.

Clique no boto Identificadores de LMI na figura. O campo de DLCI de 10 bits suporta identificadores de VC de 1.024: 0 por 1023. As extenses de LMI reservam alguns desses identificadores, o que reduz o nmero de VCs permitidos. As mensagens LMI so trocadas entre o DTE e o DCE usando esses DLCIs reservados. H vrios tipos de LMI, e elas so incompatveis entre si. O tipo de LMI configurado no roteador deve corresponder ao tipo usado pela operadora. Trs tipos de LMIs so suportados pelos roteadores Cisco:

Cisco - Extenso de LMI original Ansi - Correspondente ao padro ANSI T1.617 Annex D q933a - Correspondente ao padro ITU Q933 Annex A

Comeando pelo software IOS Cisco verso 11.2, o recurso de autodeteco de LMI padro detecta o tipo de LMI suportado pelo switch Frame Relay diretamente conectado. Com base nas mensagens de status LMI que recebe do switch Frame Relay, o roteador configura automaticamente sua interface com o tipo de LMI suportado reconhecido pelo switch Frame Relay. Se for necessrio definir o tipo de LMI, use o comando de configurao de interface frame-relay lmi-type [cisco | ansi | q933a] Se voc configurar o tipo de LMI, o recurso de autodeteco ser desabilitado. Ao configurar manualmente o tipo de LMI, necessrio configurar o intervalo de keepalive na interface Frame Relay para evitar que as trocas de status entre o roteador e o switch expirem. As mensagens de troca de status LMI determinam o status da conexo do PVC. Por exemplo, uma grande falta de correspondncia no intervalo de keepalive do roteador e do switch pode fazer o switch declarar o roteador como inativo. Por padro, o intervalo de keepalive de 10 segundos em interfaces seriais Cisco. Voc pode alterar o intervalo de keepalive com o comando de configurao de interface keepalive. A definio do tipo de LMI e a configurao do keepalive sero praticadas em uma atividade posterior. Exibir meio visual

Pgina 3: Formato do quadro LMI As mensagens de LMI so transportadas em uma variante de quadros LAPF. O campo de endereo transporta um do DLCIs reservados. Depois do campo de DLCI esto os campos de controle, do discriminador de protocolo e de referncia de chamada, que no so alterados. O quarto campo indica o tipo mensagem LMI. As mensagens de status ajudam a verificar a integridade dos links lgicos e fsicos. Essas informaes so essenciais em um ambiente de roteamento, pois os protocolos de roteamento tomam decises com base na integridade dos links. Exibir meio visual

Pgina 4: Usando LMI e ARP inverso para mapear endereos As mensagens de status LMI, combinadas com as mensagens de ARP inverso, permitem que um roteador associe endereos da camada de rede e da camada de enlace. Clique no boto LMI 1 para assistir ao vdeo que mostra como o processo LMI iniciado. Nesse exemplo, quando R1 conecta-se rede Frame Relay, ele envia uma mensagem de consulta de status LMI rede. A rede responde com uma mensagem de status LMI que contm detalhes de todos os VCs configurados no link de acesso. Periodicamente, o roteador repete a consulta de status, mas as respostas subsequentes incluem somente as alteraes de status. Depois de um nmero definido dessas respostas abreviadas, a rede envia uma mensagem de status completa. Clique no boto LMI 2 para ver o prximo estgio. Se o roteador precisar mapear os VCs para endereos da camada de rede, ele enviar uma mensagem de ARP inverso em cada VC. A mensagem de ARP inverso inclui o endereo da camada de rede do roteador para que o DTE remoto, ou roteador, tambm possa executar o mapeamento. A resposta do ARP inverso permite que o roteador faa as entradas de mapeamento necessrias em sua tabela de mapas de endereo-para-DLCI. Se vrios protocolos da camada de rede forem suportados no link, sero enviadas mensagens de ARP inverso a cada um deles. Exibir meio visual

Pgina 5: Exibir meio visual

3.2 Configurando Frame Relay


3.2.1 Configurando Frame Relay bsico Pgina 1: Tarefas de configurao do Frame Relay O Frame Relay configurado em um roteador Cisco na interface de linha de comando do Cisco IOS (CLI). Esta seo descreve as etapas necessrias para habilitar o Frame Relay na sua rede, bem como algumas das etapas opcionais que voc pode usar para aprimorar ou personalizar sua configurao. A figura mostra o modelo de configurao bsico usado para essa discusso. Posteriormente nesta seo, sero adicionados outros hardwares ao diagrama para ajudar a explicar tarefas de configurao mais complexas. Nesta seo, voc configurar os roteadores Cisco como dispositivos de acesso Frame Relay, ou DTEs, conectados diretamente a um switch Frame Relay dedicado, ou DCE. A figura mostra uma configurao tpica de Frame Relay e lista as etapas a serem seguidas. Essas etapas so explicadas e praticadas neste captulo. Exibir meio visual

Pgina 2: Habilitar o encapsulamento Frame Relay Esta primeira figura mostra como o Frame Relay foi configurado nas interfaces seriais. Isso envolve a atribuio de um endereo IP, a definio do tipo de encapsulamento e a alocao de largura de banda. A figura mostra roteadores em cada extremidade do link Frame Relay com os scripts de configurao para os roteadores R1 e R2. Etapa 1. Definindo o endereo IP na interface Em um roteador Cisco, o Frame Relay geralmente suportado em interfaces seriais sncronas. Use o comando ip address para definir o endereo IP da interface. Voc pode observar que R1 recebeu o endereo IP 10.1.1.1/24 e R2 o endereo IP 10.1.1.2/24. Etapa 2. Configurando o encapsulamento

O comando de configurao de interface encapsulation frame-relay habilita o encapsulamento Frame Relay e permite o processamento do Frame Relay na interface suportada. H duas opes de encapsulamento. Elas sero descritas a seguir. Etapa 3. Definindo a largura de banda Use o comando bandwidth para definir a largura de banda da interface serial. Especifique a largura de banda em kb/s. Esse comando notifica o protocolo de roteamento que a largura de banda configurada estaticamente no link. Os protocolos de roteamento EIGRP e OSPF usam o valor de largura de banda para calcular e determinar a mtrica do link. Etapa 4. Definindo o tipo de LMI (opcional) Essa etapa opcional, pois os roteadores Cisco detectam automaticamente o tipo de LMI. Lembre-se de que os roteadores Cisco suportam trs tipos de LMI: Cisco, ANSI Annex D e Q933-A Annex A. Alm disso, o tipo de LMI padro para os roteadores Cisco cisco. Opes de encapsulamento Lembre-se de que o tipo de encapsulamento padro em uma interface serial em um roteador Cisco a verso do HDLC de propriedade da Cisco. Para alterar o encapsulamento de HDLC para Frame Relay, use o comando encapsulation framerelay [cisco | ietf]. O comando noencapsulation frame-relay remove o encapsulamento Frame Relay da interface e a retorna ao encapsulamento HDLC padro. O encapsulamento Frame Relay padro habilitado em interfaces suportadas Cisco. Use essa opo ao conecta-se a outro roteador Cisco. Muitos dispositivos que no so Cisco tambm suportam esse tipo de encapsulamento. Ele usa um cabealho de 4 bytes, com 2 bytes para identificar o DLCI e 2 bytes para identificar o tipo de pacote. O tipo de encapsulamento IETF segue os padres RFC 1490 e RFC 2427. Use essa opo ao conectar-se a um roteador que no seja Cisco. Clique no boto Verificando a configurao na figura. A sada do comando show interfaces serial verifica a configurao. Exibir meio visual

3.2.2 Configurando mapas Frame Relay estticos

Pgina 1: Configurando um mapa Frame Relay esttico Os roteadores Cisco suportam todos os protocolos da camada de rede sobre Frame Relay, como IP, IPX e AppleTalk, e o mapeamento endereo-para-DLCI pode ser realizado por mapeamento de endereo dinmico ou esttico. O mapeamento dinmico executado pelo recurso ARP inverso. Como o ARP inverso habilitado por padro, no necessrio nenhum comando adicional para configurar o mapeamento dinmico em uma interface. O mapeamento esttico configurado manualmente em um roteador. O estabelecimento do mapeamento esttico depende das suas necessidades de rede. Para mapear entre um endereo de protocolo de prximo salto e um endereo de destino de DLCI, utilize o comando frame-relay map protocol protocol-address dlci [broadcast]. Usando a palavra-chave broadcast Frame Relay, ATM e X.25 so redes ponto-a-multiponto (NBMA, nonbroadcast multiaccess). Redes NBMA s permitem transferncia de dados de um computador para outro sobre um VC ou em um dispositivo de comutao. Redes NBMA no suportam trfego multicast ou broadcast. Portanto, um nico pacote no pode alcanar todos os destinos. Para isso, necessrio transmitir para replicar os pacotes manualmente a todos os destinos. Alguns protocolos de roteamento podem exigir opes de configurao adicionais. Por exemplo, RIP, EIGRP e OSPF exigem configuraes adicionais para que sejam suportados em redes NBMA. Como a NBMA no suporta o trfego de broadcast, a palavra-chave broadcast uma maneira simplificada de encaminhar atualizaes de roteamento. A palavra-chave broadcast permite broadcasts e multicasts no PVC e, em vigor, transforma o broadcast em unicast para que o outro n obtenha as atualizaes de roteamento. Na configurao de exemplo, R1 usa o comando frame-relay map para mapear o VC para R2. Clique no boto Parmetros na figura. A figura mostra como usar as palavras-chave ao configurar mapas de endereo esttico. Clique no boto Verificar na figura.

Para verificar o mapeamento Frame Relay, use o comando show frame-relay map. Exibir meio visual

Pgina 2: Nesta atividade, voc configurar dois mapas estticos Frame Relay em cada roteador para alcanar mais dois roteadores. Embora o tipo LMI seja enviado automaticamente nos roteadores, voc atribuir estaticamente o tipo com a configurao manual da LMI. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

3.3 Conceitos avanados do Frame Relay


3.3.1 Identificando e solucionando problemas de acessibilidade Pgina 1: Split Horizon Por padro, uma rede Frame Relay fornece conectividade NBMA entre sites remotos. Nuvens NBMA geralmente usam uma topologia hub-and-spoke. Infelizmente, uma operao bsica de roteamento baseada no princpio de split horizon pode causar problemas de acessibilidade em uma rede NBMA Frame Relay. Lembre-se de que o split horizon uma tcnica usada para evitar loop de roteamento em redes que usam protocolos de roteamento de vetor distncia. As atualizaes de split horizon reduzem loops de roteamento evitando que uma atualizao de roteamento recebida em uma interface seja encaminhada pela mesma interface. A figura mostra R2, um roteador spoke, enviando uma atualizao de roteamento em broadcast a R1, o roteador hub. Roteadores que suportam vrias conexes em uma nica interface fsica tm muitos PVCs que finalizam em uma nica interface. R1 deve replicar pacotes de broadcast, como broadcasts de atualizao de roteamento, em cada PVC para os roteadores remotos. Os pacotes de broadcast replicados podem consumir largura de banda e causar latncia significativa para o trfego de usurio. A quantidade de trfego de broadcast e o nmero de VCs que finalizam em cada roteador deve ser avaliada durante a fase de projeto de uma rede Frame Relay. O trfego de sobrecarga, como atualizaes de

roteamento, pode afetar a entrega de dados essenciais de usurio, principalmente quando o caminho de entrega contm links de baixa largura de banda (56 kb/s). Clique no boto Problema de Split Horizon na figura. R1 tem vrios PVCs em uma nica interface fsica. Portanto, a regra de split horizon impede que R1 faa o encaminhamento dessa atualizao de roteamento pela mesma interface fsica a outros roteadores spoke remotos (R3). Desabilitar o split horizon pode parecer uma soluo simples porque permite que as atualizaes de roteamento sejam encaminhadas pela mesma interface fsica da qual vieram. No entanto, somente o IP permite desabilitar o split horizon; IPX e AppleTalk no. Alm disso, desabilitar o split horizon aumenta a chance de loops de roteamento em qualquer rede. O split horizon pode ser desabilitado para interfaces fsicas com um nico PVC. A outra soluo bvia para solucionar o problema de split horizon usar uma topologia completamente em malha. No entanto, ela cara, pois so necessrios mais PVCs. A melhor soluo usar subinterfaces. Isso ser explicado no prximo tpico. Exibir meio visual

Pgina 2: Subinterfaces Frame Relay O Frame Relay pode dividir uma interface fsica em vrias interfaces virtuais chamadas subinterfaces. Uma subinterface simplesmente uma interface lgica associada diretamente a uma interface fsica. Portanto, uma subinterface Frame Relay pode ser configurada para cada um dos PVCs que entram em uma interface serial fsica. Para habilitar o encaminhamento de atualizaes de roteamento em broadcast em uma rede Frame Relay, voc pode configurar o roteador com subinterfaces logicamente atribudas. Uma rede parcialmente em malha pode ser dividida em vrias redes menores, completamente em malha, ponto-a-ponto. Cada sub-rede ponto-a-ponto pode receber um endereo de rede exclusivo, que permite que pacotes recebidos em uma interface fsica sejam enviados pela mesma interface, pois os pacotes so encaminhados em VCs em subinterfaces diferentes. As subinterfaces Frame Relay podem ser configuradas nos modos ponto-a-ponto ou multiponto: Ponto-a-ponto - Uma nica subinterface ponto-a-ponto estabelece uma conexo de PVC com outra subinterface ou interface fsica em um roteador remoto. Nesse caso, cada par de roteadores ponto-a-ponto est em sua prpria sub-rede, e

cada subinterface ponto-a-ponto tem um nico DLCI. Em um ambiente ponto-aponto, cada subinterface est atuando como uma interface ponto-a-ponto. Normalmente, h uma sub-rede separada para cada VC ponto-a-ponto. Portanto, o trfego de atualizao de roteamento no est sujeito regra de split horizon. Multiponto Uma nica subinterface multiponto estabelece vrias conexes de PVC com vrias subinterfaces ou interfaces fsicas em roteadores remotos. Todas as interfaces participantes esto na mesma sub-rede. A subinterface atua como uma interface Frame Relay NBMA. Portanto, o trfego de atualizao de roteamento est sujeito regra de split horizon. Normalmente, todos os VCs multiponto pertencem mesma sub-rede.

A figura ilustra dois tipos de subinterfaces suportadas por roteadores Cisco. Em ambientes de roteamento de split horizon, as atualizaes de roteamento recebidas em uma subinterface podem ser enviadas por outra subinterface. Em uma configurao de subinterface, cada VC pode ser configurado como uma conexo ponto-a-ponto. Isso permite que cada subinterface atue de maneira semelhante a uma linha alugada. Usando uma subinterface Frame Relay ponto-a-ponto, cada par de roteadores ponto-a-ponto est em sua prpria sub-rede. O comando encapsulation frame-relay atribudo interface fsica. Todos os outros itens de configurao, como o endereo da camada de rede e os DLCIs, so atribudos subinterface. Voc pode usar configuraes multiponto para preservar endereos. Isso poder ser especialmente til se o Mascaramento de sub-rede de tamanho varivel (VLSM, Variable Length Subnet Masking) no estiver sendo usada. No entanto, configuraes multiponto podem no funcionar corretamente segundo o trfego de broadcast e as consideraes de split horizon. A opo de subinterface ponto-a-ponto foi criada para evitar esses problemas. Passe o mouse sobre a subinterface ponto-a-ponto e a subinterface multiponto na figura para obter descries resumidas. A configurao de subinterfaces ser explicada e praticada na prxima seo. Exibir meio visual

3.3.2 Pagando pelo Frame Relay Pgina 1: Terminologia essencial As operadoras criam redes Frame Relay usando switches muito grandes e muito avanados, mas como cliente, seus dispositivos s visualizam a interface do switch do

provedor de servios. Geralmente, os clientes no so expostos aos mecanismos internos da rede, que pode ser criada em tecnologias de alta velocidade, como T1, T3, SONET ou ATM. Ento, do ponto de vista de um cliente, o Frame Relay uma interface e um ou mais PVCs. Os clientes simplesmente contratam servios Frame Relay de uma operadora. No entanto, antes de decidir como pagar pelos servios Frame Relay, h alguns termos e conceitos essenciais a serem aprendidos, conforme ilustrado na figura:

Taxa de acesso ou velocidade da porta - Do ponto de vista de um cliente, a operadora fornece uma conexo serial ou um link de acesso rede Frame Relay em uma linha alugada. A velocidade da linha a velocidade de acesso ou a velocidade da porta. A taxa de acesso a taxa na qual seus circuitos de acesso se unem rede Frame Relay. Geralmente, elas so de 56 kb/s, T1 (1.536 Mb/s) ou T1 Fracionrio (um mltiplo de 56 kb/s ou de 64 kb/s). As velocidades de porta so sincronizadas no switch Frame Relay. No possvel enviar dados a uma velocidade mais alta do que a velocidade da porta. Taxa de informaes garantida (CIR) - Os clientes negociam CIRs com as operadoras para cada PVC. A CIR a quantidade de dados que a rede recebe do circuito de acesso. A operadora garante que o cliente pode enviar dados na CIR. Todos os quadros recebidos em ou abaixo da CIR so aceitos.

Uma grande vantagem do Frame Relay que a capacidade de rede que no estiver sendo usada ser disponibilizada ou compartilhada com todos os clientes, geralmente sem nenhum custo adicional. Isso permite que os clientes "estourem" suas CIRs como um bnus. O burst explicado no prximo tpico. Clique no boto Exemplo na figura. Neste exemplo, alm de todos os custos de CPE, o cliente paga por trs componentes de custo de Frame Relay: Velocidade de acesso ou da porta: o custo da linha de acesso do DTE para o DCE (cliente para operadora). Essa linha carregada com base na velocidade de porta que foi negociada e instalada. PVC: esse componente de custo baseado nos PVCs. Quando um PVC estabelecido, o custo adicional para aumentar a CIR tipicamente pequeno e pode ser feito em incrementos pequenos (4 kb/s). CIR: geralmente os clientes escolhem uma CIR inferior velocidade da porta ou taxa de acesso. Isso permite tirar proveito dos bursts.

No exemplo, o cliente est pagando pelo seguinte: Uma linha de acesso com uma taxa de 64 kb/s que conecta seu DCE ao DCE da operadora pela porta serial S0/0/0.

Duas portas virtuais, uma a 32 kb/s e a outra a 16 kb/s. Uma CIR de 48 kb/s por toda a rede Frame Relay. Geralmente, essa carga fixa e no conectada distncia.

Oversubscription Algumas vezes, as operadoras vendem mais capacidade do que realmente tm, supondo que nem todos os clientes exigiro suas capacidades conferidas o tempo todo. Essa oversubscription anloga a linhas areas que vendem mais assentos do que realmente tm na expectativa de que alguns dos clientes que possuem reserva no viajaro. Por causa da oversubscription, haver casos em que a soma de CIRs de vrios PVCs para um determinado local ser mais alta do que a taxa da porta ou do canal de acesso. Isso pode causar problemas de trfego, como congestionamentos e trfego descartado. Exibir meio visual

Pgina 2: Burst Uma grande vantagem do Frame Relay que a capacidade de rede que no estiver sendo usada ser disponibilizada ou compartilhada com todos os clientes, geralmente sem nenhum custo adicional. Usando o exemplo anterior, a figura mostra uma taxa de acesso na porta serial S0/0/0 do roteador R1 a 64 kb/s. Essa taxa mais alta do que as CIRs combinadas dos dois PVCs. Em circunstncias normais, o dois PVCs no devem transmitir mais de 32 kb/s e 16 kb/s, respectivamente. Desde que a quantidade de dados que o dois PVCs esto enviando no exceda sua CIR, os dados devem atravessar a rede. Como os circuitos fsicos da rede Frame Relay so compartilhados entre os assinantes, frequentemente haver largura de banda disponvel em excesso. O Frame Relay pode permitir que os clientes acessem dinamicamente essa largura de banda adicional e "estourar" suas CIRs gratuitamente. O burst permite que os dispositivos que precisam temporariamente de largura de banda adicional a empreste sem nenhum custo adicional de outros dispositivos que no a esto utilizando. Por exemplo, se o PVC 102 estiver transferindo um arquivo grande, ele poder usar o 16 kb/s que no est sendo usado pelo PVC 103. Mesmo que um dispositivo estoure at o limite da taxa de acesso, os dados podero atravessar a rede. A durao de uma transmisso de burst deve ser curta: menos de trs ou quatro segundos. Vrios termos so usados para descrever taxas de burst, inclusive a Taxa de informaes de burst comprometida (CBIR) e o tamanho do excesso de burst (BE).

A CBIR uma taxa negociada acima da CIR, que o cliente pode usar para transmisso para burst rpido. Ela permite que o trfego estoure para velocidades mais altas, conforme a largura de banda de rede disponvel permite. No entanto, ele no pode exceder a velocidade da porta do link. Mesmo que um dispositivo estoure at o limite da CBIR, os dados podero atravessar a rede. A durao de uma transmisso de burst deve ser curta: menos de trs ou quatro segundos. Se os bursts longos persistirem, uma CIR mais alta dever ser adquirida. Por exemplo, o DLCI 102 tem uma CIR de 32 kb/s com uma CBIR adicional de 16 kb/s para um total de at 48 kb/s. Os quadros enviados nesse nvel so marcados como Discard Eligible (DE) em seus cabealhos, indicando que eles podem ser descartados se houver congestionamento ou se no houver capacidade suficiente na rede. Os quadros da CIR negociada no so qualificados para descarte (DE = 0). Os quadros acima da CIR tm o bit DE definido como 1, marcando-os como qualificados para serem descartados, caso a rede fique congestionada. BE o termo usado para descrever a largura de banda disponvel acima da CBIR at a taxa de acesso do link. Ao contrrio da CBIR, ele no negociado. Os quadros podem ser transmitidos nesse nvel, mas provavelmente sero descartados. Clique no boto Burst na figura. A figura ilustra a relao entre os vrios termos de burst. Exibir meio visual

3.3.3 Controle de fluxo do Frame Relay Pgina 1: O Frame Relay reduz a sobrecarga na rede implementando mecanismos simples de notificao de congestionamento em vez de controle de fluxo explcito por VC. Esses mecanismos de notificao de congestionamento so a Notificao explcita de congestionamento frente (FECN) e a Notificao de congestionamento explcito reverso (BECN). Para ajudar a entender os mecanismos, o grfico que mostra a estrutura do quadro Frame Relay apresentado para reviso. FECN e BECN so controladas por um nico bit contido no cabealho do quadro. Elas permitem que o roteador saiba que h congestionamento e que o roteador deve parar a transmisso at que a condio seja invertida. BECN uma notificao direta. FECN uma notificao indireta. O cabealho do quadro tambm contm um bit DE, que identifica o trfego menos importante que pode ser descartado durante perodos de congestionamento. Os dispositivos DTE podem definir o valor do bit DE como 1 para indicar que o quadro tem importncia inferior de outros quadros. Quando a rede fica congestionada, os dispositivos DCE descartam os quadros com bit DE definido como 1 antes de descartar

os demais quadros. Isso reduz a probabilidade de descarte de dados essenciais durante perodos de congestionamento. Em perodos de congestionamento, o switch Frame Relay do provedor aplica as seguintes regras lgicas a cada quadro recebido, dependendo da CIR ter sido excedida ou no: Se o quadro recebido no exceder a CIR, ele ser transmitido. Se um quadro recebido exceder a CIR, ele ser marcado como DE. Se um quadro recebido exceder a CIR, alm do BE, ele ser descartado.

Clique no boto Fila na figura e em Reproduzir na animao. Os quadros que chegam a um switch so enfileirados ou armazenados em buffer antes de serem encaminhados. Como em qualquer sistema de fila, possvel que haja uma formao excessiva de quadros em um switch. Isso causa atrasos. Os atrasos levam a novas transmisses desnecessrias que ocorrem quando protocolos de nveis mais altos no recebem nenhuma confirmao dentro de um perodo definido. Em casos severos, isso pode causar uma queda sria na produtividade da rede. Para evitar esse problema, o Frame Relay incorpora um recurso de controle de fluxo. A figura mostra um switch com um enfileiramento. Para reduzir o fluxo de quadros para a fila, o switch notifica os DTEs sobre o problema usando os bits de Notificao de congestionamento explcito no campo de endereo do quadro.

O bit FECN, indicado pelo "F" na figura, definido em todos os quadros que o switch upstream recebe no link congestionado. O bit BECN, indicado pelo "B" na figura, definido em todos os quadros que o switch posiciona no link congestionado para o switch downstream.

Os DTEs que recebem quadros com os bits ECN definidos devem tentar reduzir o fluxo de quadros at que o congestionamento acabe. Se o congestionamento ocorrer em um tronco interno, os DTEs podero receber notificao, embora no sejam a causa do congestionamento. Exibir meio visual

Pgina 2: Exibir meio visual

3.4 Configurando o Frame Relay avanado

3.4.1 Configurando as subinterfaces Frame Relay Pgina 1: Lembre-se de que usar as subinterfaces Frame Relay assegura que uma nica interface fsica seja tratada como vrias interfaces virtuais para superar regras de split horizon. Os pacotes recebidos em uma interface virtual podem ser encaminhados outra, mesmo que elas estejam configuradas na mesma interface fsica. As subinterfaces resolvem as limitaes das redes Frame Relay fornecendo um modo de subdividir uma rede Frame Relay parcialmente em malha em vrias sub-redes menores, em malha completa (ou ponto-a-ponto). Cada sub-rede recebe seu prprio nmero de rede e aparece para os protocolos como se fosse alcanvel atravs de uma interface separada. As subinterfaces ponto-a-ponto podem ser no numeradas para uso com IP, reduzindo a sobrecarga de endereamento que poderia ocorrer. Para criar uma subinterface, use o comando interface serial. Especifique o nmero da porta, seguido de um ponto (.) e o nmero da subinterface. Para facilitar a soluo de problemas, use o DLCI como o nmero da subinterface. Voc tambm deve especificar se a interface ponto-a-ponto ou multiponto usando as palavras-chave multipoint ou point-to-point, pois no h um padro. Essas palavras-chave so definidas na figura. O comando a seguir cria uma subinterface ponto-a-ponto para o PVC 103 em R3: R1(config-if)#interface serial 0/0/0.103 point-to-point. Clique no boto DLCI na figura. Se a subinterface for configurada como ponto-a-ponto, o DLCI local da subinterface tambm dever ser configurado para diferenci-la da interface fsica. O DLCI tambm necessrio s subinterfaces multiponto para as quais o ARP inverso habilitado. Ele no necessrio para subinterfaces multiponto configuradas com mapas estticos. A operadora de Frame Relay atribui os nmeros de DLCI. Esses nmeros variam de 16 a 991, e normalmente sua importncia somente local. O intervalo varia, dependendo da LMI usada. O comando frame-relay interface-dlci configura o DLCI local na subinterface. Por exemplo: R1(config-subif)#frame-relay interface-dlci 103. Nota: infelizmente, a alterao de uma configurao de subinterface Frame Relay existente pode no produzir o resultado esperado. Nessas situaes, pode ser necessrio salvar a configurao e reiniciar o roteador. Exibir meio visual

Pgina 2: Exemplo de configurao de subinterfaces Na figura, R1 tem duas subinterfaces ponto-a-ponto. A subinterface s0/0.0.102 conectada a R2 e a subinterface s0/0/0.103 conectada a R3. Cada subinterface est em uma sub-rede diferente. Para configurar subinterfaces em uma interface fsica, so necessrias as seguintes etapas: Etapa 1. Remova todos os endereos de camada de rede atribudos interface fsica. Se a interface fsica tiver um endereo, os quadros no sero recebidos pelas subinterfaces locais. Etapa 2. Configure o encapsulamento Frame Relay na interface fsica usando o comando encapsulation frame-relay. Etapa 3. Para cada um dos PVCs definidos, crie uma subinterface lgica. Especifique o nmero da porta, seguido de um ponto (.) e o nmero da subinterface. Para facilitar a soluo de problemas, recomendvel que o nmero da subinterface corresponda ao nmero do DLCI. Etapa 4. Configure um endereo IP para a interface e defina a largura de banda. Nesse momento, ns configuraremos o DLCI. Lembre-se de que a operadora de Frame Relay atribui os nmeros de DLCI. Etapa 5. Configure o DLCI local na subinterface usando o comando frame-relay interface-dlci. Exibir meio visual

3.4.2 Verificando a operao do Frame Relay Pgina 1: O Frame Relay geralmente um servio muito confivel. No entanto, h momentos em que o desempenho da rede menor do que o esperado. Nesses casos, necessrio solucionar os problemas. Por exemplo, os usurios podem relatar conexes lentas e intermitentes pelo circuito. Os circuitos podem parar de funcionar. Independentemente do motivo, quedas na rede so muito dispendiosas em termos de produtividade perdida. Uma prtica recomendada verificar sua configurao antes que os problemas apaream.

Neste tpico, voc visualizar um procedimento de verificao para garantir que tudo esteja funcionando corretamente antes de voc iniciar sua configurao em uma rede ativa. Verificar as interfaces Frame Relay Depois de configurar um PVC Frame Relay e ao solucionar um problema, verifique se o Frame Relay est funcionando corretamente nessa interface usando o comando show interfaces. Lembre-se de que, com o Frame Relay, o roteador geralmente considerado um dispositivo DTE. No entanto, um roteador Cisco pode ser configurado como um switch Frame Relay. Em tais casos, o roteador torna-se um dispositivo DCE quando configurado como um switch Frame Relay. O comando show interfaces mostra como o encapsulamento est configurado, alm de informaes de status teis da Camada 1 e da Camada 2, incluindo: Tipo de LMI DLCI LMI Tipo de DTE/DCE de Frame Relay

A primeira etapa sempre confirmar se as interfaces esto configuradas corretamente. A figura mostra um exemplo de sada do comando show interfaces. Entre outras coisas, voc pode visualizar detalhes sobre o encapsulamento, o DLCI na interface serial Frame Relay e o DLCI usado para a LMI. Voc deve confirmar se esses valores so os esperados. Caso contrrio, poder ser necessrio fazer alteraes. Clique no boto LMI na figura para verificar o seu desempenho. A prxima etapa analisar algumas estatsticas de LMI usando o comando show frame-relay lmi. Na sada do comando, procure todos os itens "Invalid" diferentes de zero. Isso ajuda a isolar o problema como um problema de comunicao Frame Relay entre o switch da operadora e o seu roteador. A figura exibe um exemplo de sada do comando que mostra o nmero de mensagens de status trocadas entre o roteador local e o switch Frame Relay local. Agora analise as estatsticas da interface. Clique no boto Status de PVC na figura para verificar.

Use o comando show frame-relay pvc [interface interface] [dlci] para exibir as estatsticas de PVC e de trfego. Esse comando tambm til para exibir o nmero de pacotes BECN e FECN recebidos pelo roteador. O status do PVC pode ser ativo, inativo ou deletado. O comando show frame-relay pvc exibe o status de todos os PVCs configurados no roteador. Voc tambm pode especificar um PVC em particular. Clique em Status do PVC na figura para ver um exemplo da sada do comando show frame-relay pvc 102. Depois que tiver coletado todas as estatsticas, use o comando clear counters para reiniciar os contadores de estatsticas. Aguarde de 5 a 10 minutos depois de limpar os contadores para emitir o comando show novamente. Observe todos os erros adicionais. Se voc precisar entrar em contato com a operadora, essas estatsticas o ajudaro a solucionar os problemas. A tarefa final confirmar se o comando frame-relay inverse-arp determinou um endereo IP remoto a um DLCI local. Use o comando show frame-relay map para exibir as entradas de mapa atuais e as informaes sobre as conexes. Clique no boto ARP inverso na figura. A sada do comando mostra as seguintes informaes: 10.140.1.1 o endereo IP do roteador remoto, dinamicamente aprendido pelo processo de ARP inverso. 100 o valor decimal do DLCI local. 0 x 64 a converso hexadecimal do nmero de DLCI, 0 x 64 = 100 decimal. 0 x 1840 o valor como apareceria no cabo devido maneira como os bits de DLCI so difundidos no campo de endereo do quadro Frame Relay. Broadcast/multicast esto habilitados no PVC. O status do PVC ativo.

Para limpar mapas Frame Relay dinamicamente criados usando o ARP inverso, use o comando clear frame-relay-inarp. Clique no boto Limpar mapas para visualizar um exemplo dessa etapa. Exibir meio visual

3.4.3 Identificao e soluo de problemas de configurao do Frame Relay Pgina 1:

Se o procedimento de verificao indicar que a sua configurao Frame Relay no est funcionando corretamente, voc precisar solucionar esses problemas. Use o comando debug frame-relay lmi para determinar se o roteador e o switch Frame Relay esto enviando e recebendo pacotes LMI corretamente. Veja a figura e examine a sada do comando de uma troca LMI. "out" uma mensagem de status LMI enviada pelo roteador. "in" uma mensagem recebida do switch Frame Relay. Uma mensagem completa de status LMI "tipo 0" (no mostrada na figura). Uma troca LMI um "tipo 1". "dlci 100, status 0x2" significa que o status do DLCI 100 ativo (no mostrado na figura).

Quando feita uma solicitao ARP inverso, o roteador atualiza sua tabela de mapas com trs possveis estados de conexo LMI. Esses estados so: estado ativo, estado inativo e estado deletado Estados ATIVOS indicam um circuito fim-a-fim (DTE para DTE) bemsucedido. O estado INATIVO indica uma conexo bem-sucedida com o switch (DTE para DCE) sem um DTE detectado na outra extremidade do PVC. Isso pode ocorrer devido a uma configurao residual ou incorreta no switch. O estado DELETADO indica que o DTE est configurado para um DLCI que o switch no reconhece como vlido para essa interface.

Os possveis valores do campo de status so: 0 x 0 - O switch tem o DLCI programado. Porm, por alguma razo, ele no utilizvel. Pode ser que a outra extremidade do PVC esteja inativa. 0 x 2 - O switch Frame Relay tem o DLCI e tudo funciona. 0 x 4 - O switch Frame Relay no tem o DLCI programado para o roteador, mas ele foi programado em algum momento no passado. Outros motivos podem ser: os DLCIs foram invertidos no roteador, ou o PVC foi excludo pela operadora na nuvem Frame Relay.

Exibir meio visual

Pgina 2: Exibir meio visual

3.5 Laboratrios do captulo


3.5.1 Frame Relay bsico Pgina 1: Neste laboratrio, voc ir aprender a configurar o encapsulamento Frame Relay em links seriais usando a rede mostrada no diagrama de topologia. Voc tambm aprender a configurar um roteador como um switch frame relay. H padres Cisco e padres abertos que se aplicam ao Frame Relay. Voc aprender ambos. Preste ateno especial na seo de laboratrio em que voc divide intencionalmente as configuraes de Frame Relay. Isso o ajudar no laboratrio de soluo de problemas associado a este captulo. Exibir meio visual

3.5.2 Configurao avanada de Frame Relay Pgina 1: Neste laboratrio, voc ir configurar o Frame Relay usando a rede mostrada no diagrama de topologia. Se voc precisar de assistncia, consulte o laboratrio de Frame Relay bsico. No entanto, tente fazer o mximo possvel. Exibir meio visual

3.5.3 Identificao e soluo de problemas de Frame Relay Pgina 1: Neste laboratrio, voc ir praticar a soluo de problemas em um ambiente de Frame Relay configurado incorretamente. Carregue ou pea ao instrutor para carregar as configuraes abaixo em seus roteadores. Localize e repare todos os erros nas configuraes e estabelea a conectividade fim-a-fim. Sua configurao final deve corresponder ao diagrama de topologia e tabela de endereamento. Exibir meio visual

3.6 Resumo
3.6.1 Resumo do captulo Pgina 1: O Frame Relay fornece mais largura de banda, confiabilidade e flexibilidade do que as linhas alugadas ou particulares. O Frame Relay reduziu os custos de rede usando menos equipamento, menos complexidade e fornecendo uma implementao mais fcil. Por esses motivos, o Frame Relay se tornou a tecnologia WAN mais usada no mundo. Uma conexo Frame Relay entre um dispositivo DTE na extremidade da rede local e um dispositivo DCE na extremidade da operadora possui um componente de camada de enlace e um componente de camada fsica. O Frame Relay recebe pacotes de dados e os

encapsula em um quadro Frame Relay. Em seguida, ele transmite o quadro camada fsica para ser enviado pelo cabo. A conexo pela rede da operadora um VC identificado por um DLCI. Vrios VCs podem ser multiplexados com um FRAD. As redes Frame Relay geralmente usam uma topologia de malha parcial otimizada para os requisitos de fluxo de dados da base de clientes da operadora. O Frame Relay usa o ARP inverso para mapear DCLIs para os endereos IP de locais remotos. O mapeamento de endereo dinmico depende do ARP inverso para determinar um endereo de protocolo de rede de prximo salto para um valor de DLCI local. O roteador de Frame Relay envia solicitaes ARP inverso em seu PVC para descobrir o endereo de protocolo do dispositivo remoto conectado rede Frame Relay. Os roteadores DTE do Frame Relay usam a LMI para fornecer informaes de status sobre sua conexo com o switch DCE. As extenses de LMI fornecem informaes de rede adicionais. As duas primeiras tarefas da configurao do Frame Relay em um roteador Cisco so: habilitar o encapsulamento de Frame Relay na interface e, em seguida, configurar o mapeamento esttico ou dinmico. Depois disso, h vrias tarefas opcionais que podem ser concludas conforme for necessrio, incluindo configurao da LMI, dos VCs, modelagem de trfego e personalizao do Frame Relay na sua rede. Monitorar a manuteno das conexes Frame Relay a tarefa final. A configurao do Frame Relay deve considerar o problema de split horizon que ocorre quando vrios VCs convergem em uma nica interface fsica. O Frame Relay pode dividir uma interface fsica em vrias interfaces virtuais chamadas subinterfaces. A configurao da subinterface tambm foi explicada e praticada. A configurao do Frame Relay afetada pela maneira como as operadoras cobram pelas conexes usando unidades de taxas de acesso e taxas de informaes garantidas (CIR). Uma vantagem desses esquemas de cobrana que a capacidade de rede que no estiver sendo usada ser disponibilizada ou compartilhada com todos os clientes, geralmente sem nenhum custo adicional. Isso permite que os usurios estourem o trfego por perodos curtos. A configurao do controle de fluxo em uma rede Frame Relay tambm afetada pelos esquemas de cobrana das operadoras. Voc pode configurar as filas e modelar o trfego de acordo com a CIR. Os DTEs podem ser configurados para controlar o congestionamento na rede adicionando bits BECN e FECN aos endereos de quadro. Os DTEs tambm podem ser configurados para definir um bit qualificado para descarte, que indica que o quadro pode ser descartado antes de outros quadros, se houver congestionamento. Os quadros enviados que excederem a CIR so marcados como "qualificado para descarte" (DE), o que significa que eles podero ser descartados se houver congestionamento na rede Frame Relay. Finalmente, depois de configurar o Frame Relay, voc aprendeu a verificar e solucionar os problemas das conexes. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Esta atividade permite praticar uma variedade de habilidades, incluindo a configurao do Frame Relay, o PPP com o CHAP, o roteamento padro e esttico, o VTP e a VLAN. Como h aproximadamente 150 componentes classificados nesta atividade, talvez voc no veja o aumento no percentual de concluso sempre que configura um comando classificado. Voc pode clicar em Verificar resultados e em Itens de avaliao para verificar se inseriu corretamente um comando classificado. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

3.7 Teste do captulo


3.7.1 Teste do captulo Pgina 1: Exibir meio visual

4 Segurana de rede
4.0 Introduo do captulo
4.0.1 Introduo do captulo Pgina 1: A segurana foi colocada frente do gerenciamento de rede e da implementao. O desafio geral da segurana encontrar um equilbrio entre dois requisitos importantes: a necessidade de abrir redes para dar suporte a cada vez mais oportunidades de negcios e a necessidade de proteger informaes privadas, pessoais e comerciais estratgicas. A aplicao de uma poltica de segurana efetiva o passo mais importante que uma organizao pode dar para proteger sua rede. Ela fornece diretrizes sobre as atividades a serem realizadas e os recursos utilizados para proteger a rede de uma organizao.

A segurana da Camada 2 no abordada neste captulo. Para obter informaes sobre as medidas de segurana da Camada 2, consulte o curso CCNA Exploration: Comutao de rede local e rede sem fio. Exibir meio visual

4.1 Introduo segurana de rede


4.1.1 Por que a segurana de rede importante? Pgina 1: Por que a segurana de rede importante? As redes de computadores cresceram em tamanho e importncia muito rapidamente. Se a segurana da rede for comprometida, talvez haja consequncias srias, como a perda de privacidade, o roubo de informaes e at mesmo a responsabilizao legal. Para tornar a situao ainda mais desafiadora, os tipos de ameaas em potencial segurana de rede esto sempre evoluindo. Na medida em que o comrcio eletrnico e os aplicativos da Internet continuam crescendo, encontrar o equilbrio entre o isolamento e a abertura essencial. Alm disso, o crescimento do comrcio mvel e das redes sem fio exige que as solues em segurana sejam totalmente integradas, mais transparentes e flexveis. Neste captulo, voc far um tour por todo o mundo da segurana de rede. Voc obter informaes sobre tipos diferentes de ameaas, sobre o desenvolvimento de polticas de segurana organizacionais, as tcnicas de atenuao e as ferramentas do software IOS Cisco para ajudar na proteo de redes. O captulo termina com uma anlise do gerenciamento de imagens do software IOS Cisco. Embora aparentemente esse no seja um problema de segurana, as imagens e as configuraes do software IOS Cisco podem ser excludas. Dispositivos comprometidos dessa forma oferecem riscos segurana. Exibir meio visual

Pgina 2: A crescente ameaa segurana Com o passar dos anos, as ferramentas e os mtodos de ataque rede evoluram. Conforme mostrado na figura, em 1985 um atacante precisava contar com computador, programao e conhecimento de rede sofisticados para utilizar ferramentas rudimentares e ataques bsicos. Com o passar do tempo, os mtodos e as ferramentas dos atacantesatacantes melhoraram, e eles j no precisavam do mesmo nvel sofisticado de conhecimento. Isso reduziu efetivamente os requisitos iniciais para os atacantes. Pessoas que antes no participariam de crimes digitais agora podem fazer isso.

Como os tipos de ameaas, ataques e exploraes evoluram, vrios termos foram criados para descrever os indivduos envolvidos. Alguns dos termos mais comuns so os seguintes:

White hat um indivduo que procura vulnerabilidades em sistemas ou redes e, em seguida, informa essas vulnerabilidade aos proprietrios do sistema para que que elas possam ser corrigidas. Eles so totalmente contrrios violao de sistemas de computadores. Um white hat normalmente se concentra na proteo de sistemas de TI, enquanto um black hat (o oposto) gostaria de invadi-los. Hacker termo geral historicamente utilizado para descrever um especialista em programao de computador. Mais recentemente, esse termo passou a ser mais utilizado de modo negativo para descrever um indivduo que tenta obter acesso no autorizado a recursos de rede com m inteno. Black hat outro termo para indivduos que utilizam seu conhecimento de sistemas de computadores para invadir sistemas ou redes para os quais no tm autorizao, normalmente tendo em vista ganhos pessoais ou financeiros. Cracker um exemplo de black hat. Cracker termo mais preciso para descrever algum que tenta obter acesso no autorizado a recursos de rede com m inteno. Phreaker indivduo que manipula a rede telefnica para que ela execute uma funo no permitida. Uma meta comum do phreaking invadir a rede telefnica, normalmente por meio de um telefone pblico, fazer chamadas de longa distncia gratuitamente. Spammer indivduo que envia grandes quantidades de mensagens de email no solicitadas. Os spammers normalmente utilizam vrus para assumir o controle de computadores domsticos e os utilizam para enviar mensagens em massa. Phisher utiliza email ou outros meios para levar outras pessoas a fornecer informaes confidenciais, como nmeros de carto de crdito ou senhas. Um phisher se mascara como uma parte confivel que teria uma necessidade legtima pelas informaes confidenciais.

Pense como um atacante A meta do atacanteatacante comprometer uma rede-alvo ou um aplicativo em execuo em uma rede. Muitos atacantes utilizam esse processo em sete etapas para obter informaes e realizar um ataque. Etapa 1. Executar a anlise de presena (reconhecimento). A pgina Web de uma empresa pode levar a informaes, como os endereos IP de servidores. Com eles, um atacante pode criar uma imagem do perfil de segurana ou do "mapa" da empresa. Etapa 2. Enumerar informaes. Um atacante pode expandir o mapa, monitorando o trfego da rede com um sniffer de pacotes, como o Wireshark, que acaba localizando informaes como os nmeros de verso dos servidores FTP e dos servidores de email.

Uma referncia cruzada com bancos de dados de vulnerabilidades expe os aplicativos da empresa a exploraes em potencial. Etapa 3. Manipular usurios para obter acesso. s vezes, os funcionrios escolhem senhas que so facilmente descobertas. Em outros casos, os funcionrios podem ser induzidos por atacantes talentosos a fornecer informaes confidenciais relacionadas ao acesso. Etapa 4. Escalonar privilgios. Depois de obter acesso bsico, os atacantes utilizam suas habilidades para aumentar seus privilgios de rede. Etapa 5. Obter senhas e segredos adicionais. Com maiores privilgios de acesso, os atacantes utilizam seus talentos para obter acesso a informaes confidenciais, mais bem guardadas. Etapa 6. Instalar backdoors. Os backdoors proporcionam ao atacante uma forma de entrar no sistema sem ser detectado. O backdoor mais comum uma porta de escuta TCP ou UDP aberta. Etapa 7. Otimizar o sistema comprometido. Depois que um sistema comprometido, um atacante o utiliza para preparar ataques a outros hosts na rede. Exibir meio visual

Pgina 3: Tipos de crimes digitais Como as medidas de segurana melhoraram com o passar dos anos, a frequncia de alguns dos tipos mais comuns de ataques diminuiu, embora novos tenham surgido. A concepo de solues em segurana de rede comea com uma avaliao do escopo completo do crime digital. Estas so as aes mais comuns de crimes digitais relatados que tm implicaes na segurana de rede:

Violao interna ao acesso da rede Vrus Roubo de dispositivo mvel Phishing no qual uma organizao representada de maneira fraudulenta como o remetente Uso indevido de mensagens instantneas Negao de servio Acesso no autorizado a informaes Bots dentro da organizao

Roubo de dados do cliente ou do funcionrio Violao da rede sem fio Invaso ao sistema Fraude financeira Deteco de senha Key logging Desfigurao de site Uso indevido de um aplicativo pblico da Web Roubo de informaes proprietrias Explorao do servidor DNS de uma organizao Fraude em telecomunicao Sabotagem

Nota: em determinados pases, algumas dessas atividades talvez no sejam crime, mas, ainda assim, constituem um problema. Exibir meio visual

Pgina 4: Redes abertas x fechadas O desafio geral da segurana para administradores de rede equilibrar duas necessidades importantes: manter redes abertas para dar suporte a cada vez mais requisitos de negcios e proteger informaes privadas, pessoais e comerciais estratgicas. Os modelos de segurana de rede seguem uma escala progressiva da permisso a qualquer servio, a menos que ele seja expressamente negado, at a negao, por padro, de servios, a menos que eles sejam considerados necessrios. No caso da rede aberta, os riscos segurana so evidentes. No caso da rede fechada, as regras para o que permitido so definidas na forma de uma poltica por um indivduo ou grupo na organizao. Uma alterao feita na poltica de acesso pode ser to simples quanto pedir a um administrador de rede que habilite um servio. Dependendo da empresa, para que o administrador tenha permisso para habilitar o servio, uma alterao pode exigir uma emenda poltica de segurana corporativa. Por exemplo, uma poltica de segurana pode desaprovar o uso dos servios de mensagens instantneas (IM), mas a demanda por parte dos funcionrios pode levar a empresa a alterar a poltica. Uma alternativa extrema para o gerenciamento da segurana fechar totalmente uma rede ao mundo externo. Uma rede fechada s fornece conectividade a partes e sites reconhecidamente confiveis. Uma rede fechada no permite uma conexo a redes

pblicas. Como no h nenhuma conectividade externa, as redes projetadas dessa forma so consideradas protegidas de ataques externos. No entanto, ainda existem ameaas internas. Uma rede fechada faz pouco para impedir ataques de dentro da empresa. Exibir meio visual

Pgina 5: Desenvolvendo uma poltica de segurana O primeiro passo que qualquer organizao deve dar para proteger seus dados e ela prpria de uma responsabilizao desenvolver uma poltica de segurana. Poltica um conjunto de princpios que orientam processos de tomada de decises e permitem aos lderes de uma organizao delegar autoridade com confiana. A RFC2196 afirma que "poltica de segurana uma declarao formal das regras que as pessoas que recebem acesso tecnologia e aos ativos de informaes de uma organizao devem seguir". Uma poltica de segurana pode ser to simples quanto uma poltica de uso aceitvel resumida para recursos de rede, ou pode ter vrias centenas de pginas e detalhar todos os elementos de conectividade e as polticas associadas. Uma poltica de segurana atinge estas metas: Informa usurios, equipe e gerentes de seus requisitos obrigatrios para proteger a tecnologia e os ativos de informaes Especifica os mecanismos por meio dos quais esses requisitos podem ser atendidos Fornece uma linha de base para adquirir, configurar e auditar sistemas de computadores e redes em conformidade com a poltica

A organizao de uma poltica de segurana poder ser um desafio, se realizada sem orientao. Por isso, a Organizao Internacional para Padronizao (ISO) e a Comisso de eletrotcnica internacional (IEC) publicaram um documento padro sobre a segurana chamado ISO/IEC 27002. Esse documento se refere especificamente tecnologia da informao e descreve um cdigo de conduta para o gerenciamento de segurana das informaes. O ISO/IEC 27002 deve ser uma base comum e uma diretriz prtica para o desenvolvimento de padres de segurana organizacionais e de prticas efetivas para o gerenciamento da segurana. O documento consiste em 12 sees: Avaliao de risco Poltica de segurana Organizao da segurana das informaes Gerenciamento de ativos Segurana de recursos humanos

Segurana fsica e ambiental Gerenciamento da comunicao e das operaes Controle de acesso Aquisio, desenvolvimento e manuteno dos sistemas de informaes Gerenciamento de incidentes de segurana das informaes Gerenciamento da continuidade dos negcios Conformidade

Este captulo aborda a seo da poltica de segurana. Para obter mais informaes sobre todas as sees, visite http://en.wikipedia.org/wiki/ISO/IEC_27002. O desenvolvimento do documento da poltica de segurana de rede abordado nos tpicos 4.1.5 "O ciclo de segurana de rede" e 4.1.6 "A poltica de segurana da empresa". Exibir meio visual

4.1.2 Ameaas comuns segurana Pgina 1: Vulnerabilidades Durante a abordagem da segurana de rede, trs fatores comuns so vulnerabilidade, ameaa e ataque. Vulnerabilidade o nvel de fragilidade inerente a todas as redes e dispositivos. Isso inclui roteadores, switches, desktops, servidores e at mesmo dispositivos de segurana. Ameaas so as pessoas interessadas e qualificadas para usufruir de todas as fraquezas relacionadas segurana. Esses indivduos devem continuar procurando novas proezas e vulnerabilidades. As ameaas utilizam vrias ferramentas, scripts e programas para iniciar ataques contra redes e dispositivos de rede. Normalmente, os dispositivos de rede sob ataque so as extremidades, como servidores e desktops. H trs vulnerabilidades principais: Vulnerabilidades tecnolgicas Falhas na configurao Falhas na poltica de segurana

Clique no boto Tecnologia na figura.

O computador e as tecnologias de rede tm vulnerabilidades intrnsecas na segurana. Entre elas esto o protocolo TCP/IP, o sistema operacional e as vulnerabilidades no equipamento de rede. Clique no boto Configurao na figura. Os administradores ou os engenheiros de rede precisam saber quais so as falhas na configurao e configurar corretamente os dispositivos de computao e de rede para compens-las. Clique no boto Poltica na figura. Haver riscos segurana de rede se os usurios no seguirem a poltica de segurana. Algumas falhas comuns na poltica de segurana e como essas falhas so exploradas esto listadas na figura. Exibir meio visual

Pgina 2: Ameaas infraestrutura fsica Ao pensar em segurana de rede, ou mesmo em segurana de computador, voc talvez imagine atacantes explorando vulnerabilidades do software. Uma classe de ameaa menos conhecida, mas no menos importante, a segurana fsica dos dispositivos. Um atacante poder negar o uso dos recursos de rede se esses recursos puderem ser comprometidos fisicamente. As quatro classes de ameaas fsicas so:

Ameaas ao hardware dano fsico em servidores, roteadores, switches, instalao de cabeamento e estaes de trabalho Ameaas ao ambiente temperaturas extremas (muito quente ou muito frio) ou umidade extrema (muito molhado ou muito seco) Ameaas eltricas picos de tenso, tenso de alimentao insuficiente (quedas de energia), energia no condicionada (rudo) e perda de energia total Ameaas manuteno mau processamento dos principais componentes eltricos (descarga eletrosttica), falta de peas crticas sobressalentes,cabeamento ruim e sem rotulao

Alguns desses problemas devem ser resolvidos com uma poltica organizacional. Alguns deles esto sujeitos a uma boa liderana e ao bom gerenciamento na

organizao. As consequncias da falta de sorte podero se dar em uma rede, se a segurana fsica no estiver suficientemente preparada. Aqui esto algumas formas de atenuar ameaas fsicas: Atenuao da ameaa ao hardware Atenuao da ameaa ao ambiente Atenuao da ameaa eltrica Atenuao da ameaa mecnica

Clique no boto Hardware na figura. Atenuao da ameaa ao hardware Tranque o wiring closet e s permita o acesso para o pessoal autorizado. Impea o acesso por qualquer placa mvel no teto, no cho, pela janela, pela tubulao ou ponto de entrada que no seja o ponto de acesso protegido. Use o controle de acesso eletrnico e registre todas as tentativas de entrada. Monitore as instalaes com cmeras de segurana. Clique no boto Ambiental na figura. Atenuao da ameaa ao ambiente Crie um ambiente de operao apropriado por meio do controle de temperatura, de umidade, do fluxo de ar, de alarmes remotos do ambiente, alm da gravao e da monitorao. Clique no boto Eltrico na figura. Atenuao da ameaa eltrica Limite os problemas eltricos de alimentao, instalando sistemas de no-break e geradores, seguindo um plano de manuteno preventiva, instalando fontes de alimentao redundantes e utilizando alarmes remotos e monitorao. Clique no boto Manuteno na figura. Atenuao da ameaa de manuteno

Atenuao da ameaa de manuteno use cabos limpos, rotule os cabos e os componentes essenciais, use procedimentos para descarga eletrosttica, guarde peas sobressalentes essenciais e controle o acesso a portas de console. Exibir meio visual

Pgina 3: Ameaas a redes No incio deste captulo, foram listados os crimes digitais mais comuns com implicaes na segurana de rede. Esses crimes podem ser agrupados em quatro classes principais de ameaas a redes: Ameaas no estruturadas As ameaas no estruturadas consistem, em sua maioria, em indivduos inexperientes utilizando ferramentas facilmente disponveis para hackers, como scripts de shell e crackers de senha. Mesmo ameaas no estruturadas executadas apenas com a inteno de testar as habilidades de um atacante podem causar srios danos a uma rede. Por exemplo, se o site de uma empresa for hackeado, a reputao dessa empresa poder ser abalada. Mesmo que o site seja separado das informaes privadas que ficam protegidas por um firewall, o pblico no tomar conhecimento disso. O que o pblico v que o site talvez no seja um ambiente seguro para se fazer negcios. Ameaas estruturadas As ameaas estruturadas vm de indivduos ou grupos muito motivados e tecnicamente competentes. Essas pessoas conhecem as vulnerabilidade do sistema e utilizam tcnicas sofisticadas de hackers para invadir negcios sem que haja suspeitas. Elas invadem os computadores de empresas e governos para cometer fraudes, destruir ou alterar registros, ou simplesmente bagunar. Esses grupos normalmente esto envolvidos em grandes fraudes e casos de roubos informados a agncias de represso ao crime. Sua tcnica to complexa e sofisticada que apenas investigadores especialmente treinados compreendem o que est acontecendo. Em 1995, Kevin Mitnick foi condenado por acessar computadores interestaduais nos Estados Unidos para fins criminais. Ele invadiu o banco de dados do Departamento de Trnsito da Califrnia, assumiu o controle dos hubs de comutao telefnicos de Nova York e da Califrnia e roubou nmeros de cartes de crdito. Ele inspirou o filme "Jogos de Guerra" de 1983. Ameaas externas

As ameaas externas podem decorrer de indivduos ou organizaes trabalhando fora de uma empresa sem acesso autorizado aos sistemas de computadores ou rede. Eles fazem seu trabalho em uma rede principalmente pela Internet ou servidores de acesso dial-up. As ameaas externas podem variar em termos de gravidade, dependendo da experincia do atacante: amador (no estruturada) ou especialista (estruturada). Ameaas internas As ameaas internas ocorrem quando algum tem acesso autorizado rede com uma conta ou acesso fsico. Assim como acontece com ameaas externas, a gravidade de uma ameaa interna depende da experincia do atacante. Exibir meio visual

Pgina 4: Engenharia social A invaso mais fcil no envolve nenhuma habilidade com computador. Se um intruso conseguir levar um membro de uma organizao a fornecer informaes importantes, como o local de arquivos ou senhas, o processo de invaso ser muito mais facilitado. Esse tipo de ataque chamado de engenharia social e atinge vulnerabilidades pessoais que podem ser detectadas por atacantes talentosos. Ela pode incluir sensibilizaes ao ego de um funcionrio ou pode ser uma pessoa disfarada, ou com documento falsificado, que leva uma pessoa a fornecer informaes confidenciais. O phishing um tipo de ataque de engenharia social que envolve o uso do email ou de outros tipos de mensagens em uma tentativa de levar outras pessoas a fornecer informaes confidenciais, como nmeros de carto de crdito ou senhas. O phisher se mascara como uma parte confivel aparentemente com uma necessidade legtima quanto s informaes confidenciais. Normalmente, as fraudes de phishing envolvem o envio de spams que aparentam ser de instituies bancrias ou sites de leiles conhecidos. A figura mostra a rplica de um email assim. A empresa real utilizada como isca neste exemplo foi alterada. Estes emails contm hiperlinks que aparentam ser legtimos, mas que, na verdade, levam os usurios a um site falso configurado pelo phisher para capturar suas informaes. O site aparenta pertencer parte falsificada no email. Quando o usurio insere as informaes, elas so registradas para uso do phisher. Os ataques de phishing podem ser evitados instruindo-se usurios e implementando-se diretrizes para relatrios quando eles receberem emails suspeitos. Os administradores tambm podem bloquear o acesso a determinados sites e configurar filtros que bloqueiem emails suspeitos. Exibir meio visual

4.1.3 Tipos de ataques a redes Pgina 1: Tipos de ataques a redes H quatro classes principais de ataques. Reconhecimento Reconhecimento a deteco no autorizada e o mapeamento de sistemas, servios ou vulnerabilidade. Ele tambm conhecido como coleta de informaes e, na maioria dos casos, antecede outro tipo de ataque. O reconhecimento semelhante a um ladro que investiga a vizinhana em busca de casas vulnerveis invaso, como uma residncia desocupada, portas fceis de abrir ou janelas abertas. Acesso Acesso ao sistema a possibilidade de um intruso obter acesso a um dispositivo no qual ele no tem uma conta ou uma senha. A entrada ou o acesso a sistemas normalmente envolvem a execuo de uma invaso, um script ou uma ferramenta que explore uma vulnerabilidade conhecida do sistema ou do aplicativo que est sendo atacado. Negao de servios A negao de servio (DOS) acontece quando um atacante desabilita ou danifica redes, sistemas ou servios com a inteno de negar servios a determinados usurios. Os ataques DoS envolvem a falha do sistema ou a reduo de sua velocidade at o ponto em que fique inutilizvel. Mas o DoS tambm pode ser to simples quanto excluir ou danificar informaes. Na maioria dos casos, a execuo do ataque envolve a simples execuo de uma invaso ou script. Por essas razes, os ataques DoS so os mais temidos. Worms, vrus e cavalos-de-Troia Um software malicioso pode ser inserido em um host para danificar ou corromper um sistema, se replicar, ou negar acesso a redes, sistemas ou servios. Os nomes comuns desse tipo de software so worms, vrus e cavalos-de-Troia. Exibir meio visual

Pgina 2:

Ataques de reconhecimento Os ataques de reconhecimento podem consistir em:

Consultas de informaes de Internet Varreduras de ping Verificaes de porta Sniffers de pacote

Os atacantes externos podem utilizar ferramentas da Internet, como os utilitrios nslookup e whois, para determinar facilmente o espao do endereo IP atribudo a uma determinada corporao ou entidade. Depois que o espao do endereo IP determinado, um atacante pode executar ping publicamente nos endereos IP disponveis para identificar os endereos ativos. Para ajudar a automatizar essa etapa, um atacante pode utilizar uma ferramenta de varredura de ping, como fping ou gping, que executa ping sistematicamente em todos os endereos de rede em um determinado intervalo ou sub-rede. Isso semelhante a consultar uma seo de uma agenda telefnica e ligar para todos os nmeros para saber quem atender. Quando os endereos IP ativos so identificados, o intruso utiliza um scanner de porta para determinar quais servios de rede ou portas esto ativos nos endereos IP ativos. Scanner de porta um software, como Nmap ou Superscan, projetado para pesquisar portas abertas em um host de rede. O scanner de porta consulta as portas para determinar o tipo de aplicativo e a verso, bem como o tipo e a verso do sistema operacional (OS) em execuo no host de destino. Com base nessas informaes, o intruso pode determinar se existe uma vulnerabilidade que possa ser explorada. Conforme mostrado na figura, uma ferramenta de explorao de rede, como Nmap, pode ser utilizada para realizar a deteco de host, a verificao de porta e as deteces de verso e do OS. Muitas dessas ferramentas esto disponveis e so fceis de utilizar. Os atacantes internos podem tentar "interceptar" o trfego da rede. Deteco de rede e deteco de pacotes so termos comuns para interceptao. As informaes coletadas com a interceptao podem ser utilizadas para realizar outros ataques rede. Dois usos comuns da interceptao so estes:

Coleta de informaes os intrusos na rede conseguem identificar nomes de usurio, senhas ou informaes transportadas em um pacote. Roubo de informaes o roubo pode ocorrer medida que os dados so transmitidos pela rede interna ou externa. O intruso na rede tambm pode roubar dados de computadores em rede, obtendo acesso no autorizado. Entre os exemplos esto a invaso ou a interceptao em instituies financeiras e a obteno de nmeros de carto de crdito.

Um exemplo de dados suscetveis interceptao o SNMP verso 1 das strings comunitrias, enviadas em texto no criptografado. SNMP um protocolo de gerenciamento que fornece um meio para que dispositivos de rede coletem informaes sobre seu status e as enviem para um administrador. Um intruso pode interceptar consultas SNMP e coletar dados importantes sobre a configurao do equipamento de rede. Outro exemplo a captura de nomes de usurio e senhas na medida em que eles atravessam uma rede. Um mtodo comum para interceptar a comunicao capturar o TCP/IP ou outros pacotes de protocolo e decodificar o contedo utilizando um analisador de protocolo ou utilitrio semelhante. Um exemplo desse programa o Wireshark, que voc tem utilizado muito ao longo de todos os cursos do Exploration. Depois de serem capturados, os pacotes podem ser examinados em busca de informaes vulnerveis. Trs dos mtodos mais efetivos para contra-atacar a interceptao so os seguintes: Utilizar redes comutadas, e no hubs, para que o trfego no seja encaminhado para todas as extremidades ou hosts de rede. Utilizar uma criptografia que atenda s necessidades de segurana dos dados da organizao sem que haja a imposio de uma carga excessiva sobre os recursos ou os usurios do sistema. Implementar e aplicar uma diretiva de poltica que proba a utilizao de protocolos com suscetibilidades conhecidas interceptao. Por exemplo, como o SNMP verso 3 pode criptografar community strings, uma empresa pode proibir a utilizao do SNMP verso 1, mas permitir o SNMP verso 3.

A criptografia fornece proteo para dados suscetveis a ataques de interceptao, crackers de senha ou manipulao. Praticamente toda empresa tem transaes que poderiam ter consequncias negativas se fossem exibidas por um interceptador. A criptografia assegura que, quando dados confidenciais passarem por um meio suscetvel interceptao, eles no podero ser alterados ou observados. A descriptografia necessria quando os dados alcanam o host de destino. Um mtodo de criptografia chamado de criptografia apenas de payload. Este mtodo criptografa a seo de payload (seo de dados) depois de um protocolo (UDP) ou cabealho TCP. Isso permite a roteadores e switches com IOS Cisco ler as informaes da camada de rede e encaminhar o trfego como qualquer outro pacote IP. A criptografia apenas de payload permite comutao de fluxo e a todos os recursos da lista de acesso funcionar com o trfego criptografado assim como funcionariam com o trfego de texto sem formatao, o que preserva qualidade de servio (QoS) desejada para todos os dados. Exibir meio visual

Pgina 3: Ataques de acesso

Os ataques de acesso exploram vulnerabilidades conhecidas em servios de autenticao, FTP e da Web para obter acesso a contas da Web, bancos de dados e outras informaes confidenciais. Ataques de senha Os ataques de senha podem ser implementados utilizando-se um sniffer de pacotes para obter contas de usurio e senhas transmitidas como texto no criptografado. Os ataques de senha normalmente se referem a tentativas repetidas de login em um recurso compartilhado, como um servidor ou roteador, para identificar uma conta de usurio, senha ou ambos. Essas tentativas repetidas so chamadas de ataques de dicionrio ou ataques de fora bruta. Para realizar um ataque de dicionrio, os atacantes podem utilizar ferramentas como L0phtCrack ou Cain. Esses programas tentam fazer o login repetidamente como um usurio utilizando palavras derivadas de um dicionrio. Os ataques de dicionrio normalmente so bem-sucedidos porque os usurios tm uma tendncia de escolher senhas simples, que tenham palavras curtas, nicas ou que sejam variaes simples fceis de adivinhar, como adicionar o nmero 1 a uma palavra. Outro mtodo de ataque de senha utiliza tabelas de arco-ris. Tabela de arco-ris uma srie de senhas pr-computadas criada compilando-se cadeias de possveis senhas de texto sem formatao. Cada cadeia desenvolvida comeando-se por um "chute" escolhido aleatoriamente da senha de texto sem formatao e aplicando-se variaes a ela sucessivamente. O software de ataque aplicar as senhas na tabela de arco-ris at determinar a senha. Para realizar um ataque de tabela de arco-ris, os atacantes podem utilizar uma ferramenta como L0phtCrack. Uma ferramenta de ataque de fora bruta mais sofisticada porque pesquisa exaustivamente utilizando combinaes de conjuntos de caracteres para computar todas as possveis palavras-chave formadas por esses caracteres. A desvantagem que se precisa de mais tempo para realizar esse tipo de ataque. As ferramentas de ataque de fora bruta se notabilizaram por determinar senhas simples em menos de um minuto. Senhas maiores, mais complexas, podem demorar dias ou semanas para serem determinadas. Os ataques de senha podem ser atenuados, instruindo-se os usurios a utilizar senhas complexas e especificando-se tamanhos mnimos de senha. Os ataques de fora bruta podem ser atenuados, restringindo-se o nmero de tentativas de login malsucedidas. No entanto, um ataque de fora bruta tambm pode ser realizado off-line. Por exemplo, se detectasse uma senha criptografada, interceptando ou acessando um arquivo de configurao, um atacante poderia tentar determinar a senha sem efetivamente estar conectado ao host. Explorao de confiana

A meta de um ataque de explorao de confiana comprometer um host confivel, utilizando-o para preparar ataques em outros hosts de uma rede. Se um host da rede de uma empresa for protegido por um firewall (host interno), mas puder ser acessado por um host confivel fora do firewall (host externo), o host interno poder ser atacado por meio do host externo confivel. Os meios utilizados por atacantes para obter acesso ao host externo confivel, bem como os detalhes da explorao de confiana, no so abordados neste captulo. Para obter informaes sobre a explorao de confiana, consulte o curso Networking Academy Network Security. Os ataques baseados na explorao de confiana podem ser atenuados por meio de restries rgidas quanto aos nveis de confiana em uma rede, por exemplo, VLANs privadas podem ser implantadas em segmentos de servio pblico nos quais h vrios servidores pblicos disponveis. Sistemas fora de um firewall jamais devem ser totalmente confiveis por sistemas dentro de um firewall. Essa confiana deve ser limitada a protocolos especficos, devendo ser autenticada por algo que no seja um endereo IP, sempre que possvel. Redirecionamento de porta Um ataque de redirecionamento de porta um tipo de ataque de explorao de confiana que utiliza um host comprometido para transmitir trfego por meio de um firewall que, do contrrio, estaria bloqueado. Considere um firewall com trs interfaces e um host em cada uma delas. O host externo pode alcanar o host no segmento de servios pblicos, mas no o host interno. Esse segmento acessvel publicamente normalmente chamado de zona desmilitarizada. O host no segmento de servios pblicos pode alcanar o host tanto externo quanto interno. Se pudessem comprometer o host do segmento de servios pblicos, os atacantes conseguiriam instalar um software para redirecionar o trfego do host externo diretamente para o host interno. Embora nenhuma comunicao viole as regras implementadas no firewall, o host externo agora tem conectividade com o host interno por meio do processo de redirecionamento de porta no host de servios pblicos. Um exemplo de um utilitrio que pode fornecer esse tipo de acesso o netcat. O redirecionamento de porta pode ser atenuado principalmente por meio do uso de modelos confiveis prprios, especficos da rede (conforme mencionado anteriormente). Quando um sistema est sob ataque, um sistema de deteco de invaso baseado em host pode ajudar a detectar um atacante e impedir a instalao desses utilitrios em um host. Ataque de interceptao

Um ataque de interceptao (MITM) realizado por atacantes que conseguem se posicionar entre dois hosts legtimos. O atacante pode permitir a ocorrncia das transaes normais entre os hosts e s manipular periodicamente a conversa entre os dois. H muitas formas com as quais um atacante consegue ficar entre dois hosts. Os detalhes desses mtodos esto alm do escopo deste curso, mas uma descrio resumida de um mtodo popular, o proxy transparente, ajuda a ilustrar a natureza dos ataques MITM. Em um ataque de proxy transparente, um atacante pode capturar uma vtima com um email de phishing ou desfigurando um site. Dessa forma, a URL de um site legtimo recebe a URL adicional dos atacantes (antecedido). Por exemplo, http:www.legitimate.com se torna http:www.attacker.com/http://www.legitimate.com. 1. Quando uma vtima solicita uma pgina Web, o host da vtima faz a solicitao ao host do atacante. 2. O host do atacante recebe a solicitao e busca a pgina real no site legtimo. 3. O atacante pode alterar a pgina Web legtima e desfigurar qualquer dado desejado. 4. O atacante encaminha a pgina solicitada vtima. Outras classificaes de ataques MITM so potencialmente ainda mais perigosas. Se conseguirem ficar em uma posio estratgica, os atacantes podero roubar informaes, sequestrar uma sesso em andamento para obter acesso a recursos de rede privada, realizar ataques DoS, danificar dados transmitidos ou introduzir novas informaes em sesses de rede. A atenuao de ataques MITM de WAN obtida utilizando-se tneis VPN, que permitem ao atacante ver apenas o texto criptografado, indecifrvel. Os ataques MITM de rede local utilizam ferramentas como ettercap e envenenamento ARP. Grande parte da atenuao de ataques MITM de rede local normalmente pode ser feita configurandose a segurana de porta nos switches de rede local. Exibir meio visual

Pgina 4: Ataques DoS Os ataques DoS so a forma mais conhecida de ataque e est entre os mais difceis de eliminar. Mesmo na comunidade de atacantes, os ataques DoS so considerados triviais e ruins porque no exigem muito esforo para que sejam executados. Mas por conta da

facilidade em sua implementao e dos danos potencialmente significativos, os ataques DoS merecem ateno especial dos administradores de segurana. Os ataques DoS assumem muitas formas. Eles acabam impedindo as pessoas autorizadas de utilizar um servio, consumindo recursos do sistema. Estes so alguns exemplos das ameaas DoS mais comuns: Clique no boto Ping da morte na figura. O ataque de ping da morte ganhou popularidade ainda nos anos 90. Ele usufrua as vulnerabilidades nos sistemas operacionais mais antigos. Esse ataque modificava a poro IP de um cabealho do pacote de ping para indicar que havia mais dados no pacote do que existia efetivamente. Um ping normalmente tem 64 ou 84 bytes, enquanto um ping da morte pode ter at 65.536 bytes. Enviar um ping desse tamanho pode travar um computador alvo mais antigo. A maioria das redes no mais suscetvel a esse tipo de ataque. Clique no boto Envio SYN na figura. Um ataque de envio SYN explora o handshake tridirecional TCP. Isso envolve o envio de vrias solicitaes SYN (mais de 1.000) para um servidor de destino. O servidor responde com a resposta SYN-ACK habitual, mas o host mal-intencionado nunca responde com o ACK final para concluir o handshake. Isso trava o servidor at que ele acaba ficando sem recursos e no consegue responder a uma solicitao vlida de host. Entre outros tipos de ataques DOS esto:

Bombardeamentos de email os programas enviam emails em massa para indivduos, listas ou domnios, monopolizando os servios de email. Applets mal-intencionados esses ataques so programas Java, JavaScript ou ActiveX que causam a destruio ou o travamento dos recursos do computador.

Ataques DDoS Os ataques de negao de servio distribudo (DDoS) foram projetados para saturar links de rede com dados ilegtimos. Esses dados podem sobrecarregar um link da Internet, o que causa o descarte de trfego legtimo. O DDoS utiliza mtodos de ataque semelhantes a ataques DoS padro, mas funciona em uma escala muito maior. Normalmente, centenas ou milhares de pontos de ataque tentam sobrecarregar um destino. Clique no boto DDoS na figura. Normalmente, h trs componentes em um ataque de DDoS.

H um cliente que normalmente a pessoa que inicia o ataque. Gerenciador um host comprometido no qual o programa atacante est em execuo e cada gerenciador capaz de controlar vrios agentes Agente um host comprometido no qual o programa atacante est em execuo, sendo o responsvel pela gerao de um fluxo de pacotes com destino vtima desejada

Entre os exemplos de ataques DDoS esto os seguintes: Ataque SMURF Tribe flood network (TFN) Stacheldraht MyDoom

Clique no boto Ataque Smurf na figura. O ataque Smurf utiliza mensagens de ping transmitidas falsificadas para inundar um sistema desejado. Ele comea com um atacante enviando um grande nmero de solicitaes de eco ICMP para o endereo de broadcast de rede utilizando endereos IP de origem falsificados vlidos. Um roteador poderia executar a funo de broadcast da Camadas 3 para a Camada 2, e a maioria dos hosts responder, cada um, com uma resposta de eco ICMP, multiplicando o trfego pelo nmero de hosts que respondem. Em uma rede de broadcast multiacesso, talvez haja centenas de mquinas respondendo a todos os pacotes de eco. Por exemplo, consideremos que a rede tenha 100 hosts e que o atacante tenha um link T1 de alto desempenho. O atacante envia um fluxo de 768 kb/s em solicitaes de eco ICMP com um endereo de origem falsificado da vtima para o endereo de broadcast de uma rede de destino (chamado de um site de reflexo). Esses pacotes de ping chegam ao site de reflexo na rede de broadcast de 100 hosts, e cada um deles pega e responde o pacote, o que cria 100 respostas de ping de sada. Um total de 76,8 megabits por segundo (Mb/s) de largura de banda utilizado de sada no site de reflexo depois que o trfego multiplicado. Em seguida, ele enviado para a vtima ou para a origem falsificada dos pacotes de origem. A desativao do recurso de broadcast direcionado na infraestrutura de rede impede a rede de ser utilizada como um site de reflexo. O recurso de broadcast direcionado desativado por padro no software IOS Cisco desde a verso 12.0. Os ataques DoS e DDoS podem ser atenuados, implementando-se a antifalsificao especial e as listas de controle de acesso anti-DoS. Os ISPs tambm podem implementar taxa de trfego, limitando a quantidade de trfego no essencial que atravessa segmentos de rede. Um exemplo comum limitar a quantidade de trfego ICMP permitido em uma rede, porque esse trfego s utilizado para fins de diagnstico.

Os detalhes da operao desses ataques esto alm do escopo deste curso. Para obter mais informaes, consulte o curso Networking Academy Network Security. Exibir meio visual

Pgina 5: Ataques de cdigo malicioso As principais vulnerabilidade para estaes de trabalho de usurio final so worms, vrus e ataques de cavalo-de-Troia. Um worm executa cdigo e instala cpias na memria do computador infectado, o que pode, por sua vez, infectar outros hosts. Vrus um software malicioso anexado a outro programa com a finalidade de executar uma determinada funo indesejvel em uma estao de trabalho. Um cavalo-de-Troia diferente de um worm ou vrus apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, uma ferramenta de ataque. Worms A anatomia de um ataque de worm a seguinte:

A vulnerabilidade de habilitao um worm se instala, explorando vulnerabilidades conhecidas em sistemas, como usurios finais ingnuos que abrem anexos de executveis no verificados em emails. Mecanismo de propagao depois de obter acesso a um host, um worm se copia para esse host e, em seguida, escolhe novos destinos. Payload depois que um host infectado por um worm, o atacante tem acesso ao host, normalmente como um usurio privilegiado. Os atacantes poderiam utilizar uma explorao local para escalonar seu nvel de privilgio at administrador.

Normalmente, worms so programas autossuficientes que atacam um sistema e tentam explorar uma vulnerabilidade especfica no destino. Assim que houver a explorao bem-sucedida da vulnerabilidade, o worm copia seu programa do host de ataque para o sistema recm-explorado para comear tudo novamente. Em janeiro de 2007, um worm infectou a conhecida comunidade MySpace. Usurios confiveis habilitaram a propagao do worm, que comeou a se replicar nos sites dos usurios com a desfigurao "w0rm.EricAndrew".

A atenuao de ataques de worm exige diligncia por parte da equipe administradora do sistema e de rede. A coordenao entre as equipes de administrao do sistema, de engenharia da rede e das operaes de segurana essencial na resposta efetiva a um incidente de worm. Estas so as etapas recomendadas para a atenuao de ataques de worm:

Conteno contenha a difuso do worm na rede e dentro dela. Isole as partes no infectadas da rede. Inoculao comece aplicando patches a todos os sistemas e, se possvel, verificando se h sistemas vulnerveis. Quarentena monitore todas as mquina infectadas dentro da rede. Desconecte, remova ou bloqueie mquinas infectadas na rede. Tratamento Limpe e aplique um patch a todos os sistemas infectados. Alguns worms podem exigir reinstalaes completas para limpar o sistema.

Vrus e cavalos-de-Troia Vrus um software malicioso anexado a outro programa para executar uma determinada funo indesejvel em uma estao de trabalho. Um exemplo um programa anexado ao command.com (o interpretador principal de sistemas Windows) e exclui determinados arquivos, alm de infectar todas as outras verses de command.com que conseguir localizar. Um cavalo-de-Troia diferente apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, uma ferramenta de ataque. Um exemplo de um cavalo-de-Troia um aplicativo que executa um simples jogo em uma estao de trabalho. Enquanto o usurio est ocupado com o jogo, o cavalo-de-Troia envia uma cpia para todos os endereos na agenda de endereos do usurio. Os outros usurios recebem o jogo e o executam, o que difunde o cavalo-de-Troia para os endereos em todas as agendas de endereos. Um vrus normalmente exige um mecanismo de entrega um vetor como um arquivo zip ou algum outro arquivo executvel anexado a um email, para transportar o cdigo do vrus de um sistema para outro. O principal elemento que distingue um worm de um vrus de computador essa interao humana necessria facilitao da difuso de um vrus. Esses tipos de aplicativos podem ser contidos por meio do uso efetivo de software antivrus no nvel do usurio e, possivelmente, no nvel da rede. Um software antivrus pode detectar a maioria dos vrus e muitos aplicativos de cavalo-de-Troia, alm de impedir sua difuso na rede. Manter-se atualizado em relao aos desenvolvimento mais recentes quanto a esses tipos de ataques tambm pode levar a uma postura mais efetiva relacionada a esses ataques. Na medida em que novos vrus ou aplicativos de cavalo-deTroia so liberados, as empresas precisam se manter atualizadas quanto s verses mais atuais do software antivrus.

Sub7, ou subseven, um cavalo-de-Troia comum que instala um programa backdoor em sistemas de usurios. Ele conhecido tanto por ataques no estruturados quanto estruturados. Por ser uma ameaa no estruturada, atacantes inexperientes podem utilizar o programa de forma que os cursores do mouse desapaream. Como uma ameaa estruturada, os crackers podem utiliz-lo para instalar keystroke loggers (programas que registram todas as teclas pressionadas pelo usurio) para capturar informaes confidenciais. Exibir meio visual

4.1.4 Tcnicas de atenuao gerais Pgina 1: Segurana baseada em host e em servidor Dispositivo fortalecido Quando um novo sistema operacional instalado em um computador, as configuraes de segurana so definidas de acordo com os valores padro. Na maioria dos casos, esse nvel de segurana inadequado. Existem alguns passos simples que devem ser dados e que se aplicam maioria dos sistemas operacionais: Nomes de usurio e senhas padro devem ser alterados imediatamente. O acesso a recursos do sistema deve ser restrito apenas aos indivduos com autorizao para utiliz-los. Qualquer servio e aplicativo desnecessrio deve ser desativado e desinstalado, quando possvel.

A seo 4.2, "Protegendo roteadores Cisco", descreve um dispositivo fortalecido com mais detalhes. essencial proteger hosts de rede, como PCs de estao de trabalho e servidores. Esses hosts precisam ser protegidos quando adicionados rede, devendo ser atualizados com patches de segurana assim que essas atualizaes forem disponibilizadas. Passos adicionais podem ser dados para proteger esses hosts. Antivrus, firewall e deteco de invaso so ferramentas importantes que podem ser utilizadas para proteger hosts de rede. Como muitos recursos de negcio podem estar em um nico servidor de arquivos, especialmente importante que os servidores sejam acessveis e estejam disponveis. Software antivrus

Instale um software antivrus de host para se proteger de vrus conhecidos. Um software antivrus pode detectar a maioria dos vrus e muitos aplicativos de cavalo-de-Troia, alm de impedir sua difuso na rede. O software antivrus faz isso de duas formas: Ele verifica arquivos, comparando seu contedo com vrus conhecidos de um dicionrio de vrus. As correspondncias so sinalizadas de maneira definida pelo usurio final. Ele monitora processos suspeitos em execuo em um host que possam indicar infeco. Essa monitorao pode incluir capturas de dados, monitorao de porta e outros mtodos.

O software antivrus comercial, em sua maioria, utiliza todas essas abordagens. Clique no boto Antivrus na figura. Atualize o software antivrus sempre. Firewall pessoal Computadores pessoais conectados Internet por meio de uma conexo dial-up, DSL ou modems a cabo so to vulnerveis quanto redes corporativas. Os firewalls pessoais residem no PC do usurio e tentam impedir ataques. Os firewalls pessoais no foram projetados para implementaes de rede local, como firewalls baseados em dispositivo ou servidor, e eles podem impedir o acesso rede se instalados com outros clientes de rede, servios, protocolos ou adaptadores. Clique no boto Firewalls pessoais na figura. Entre alguns dos fornecedores de firewall pessoal esto McAfee, Norton, Symantec e Zone Labs. Patches do sistema operacional A maneira mais efetiva de atenuar um worm e suas variantes baixando atualizaes de segurana do fornecedor do sistema operacional e aplicar o patch a todos os sistemas vulnerveis. Isso difcil com sistemas de usurio sem controle na rede local, e ainda mais problemtico caso esses sistemas estejam conectados remotamente rede por meio de uma rede virtual privada (VPN) ou servidor de acesso remoto (RAS). A administrao de vrios sistemas envolve a criao de uma imagem de software padro (sistema operacional e aplicativos aprovados com autorizao para serem utilizados em sistemas de clientes implantados) implantada em sistemas novos ou melhorados. Essas imagens talvez no contenham os patches mais recentes, e o processo de recriao

contnuo da imagem para integrar o patch mais recente pode se tornar rapidamente algo demorado administrativamente. Aplicar patches a todos os sistemas exige que esses sistemas estejam de alguma forma conectados rede, o que talvez no seja possvel. Uma soluo para o gerenciamento de patches de segurana crticos criar um servidor de patches central com o qual todos os sistemas devem se comunicar aps um determinado perodo. Qualquer patch no aplicado a um host baixado automaticamente no servidor de patches e instalado sem a interveno do usurio. Alm de executar atualizaes de segurana do fornecedor do OS, a determinao de quais dispositivos so explorveis pode ser simplificada pela utilizao de ferramentas de auditoria de segurana que procuram vulnerabilidades. Clique no boto Patches do OS na figura. Exibir meio visual

Pgina 2: Deteco de invaso e preveno Os sistemas de deteco de invaso detectam ataques a uma rede e enviam logs a uma console de gerenciamento. Os sistemas de preveno de invaso (IPSs) impedem ataques rede e devem fornecer os seguintes mecanismos de defesa ativos, alm da deteco:

Preveno impede a execuo do ataque detectado. Reao imuniza o sistema contra ataques futuros de uma origem maliciosa.

Qualquer tecnologia pode ser implementada em um nvel de rede ou de host, ou ambos, tendo em vista a mxima proteo. Sistemas de deteco de invaso baseados em host A invaso baseada em host costuma ser implementada como uma tecnologia interna ou passiva, dependendo do fornecedor. A tecnologia passiva, a primeira gerao da tecnologia, chamada de sistema de deteco de invaso baseado em host (HIDS). O HIDS envia logs a uma console de gerenciamento aps a ocorrncia do ataque e do dano. A tecnologia interna, chamada de sistema de preveno de invaso baseado em host (HIPS), na verdade, interrompe o ataque, impede o dano e bloqueia a propagao dos worms e dos vrus.

A deteco ativa pode ser definida para fechar a conexo de rede ou parar os servios afetados automaticamente. A ao corretiva pode ser feita imediatamente. A Cisco fornece o HIPS utilizando o software Cisco Security Agent. O software do HIPS deve ser instalado em cada host, no servidor ou no desktop, para monitorar a atividade realizada no host. Esse software chamado de software agente. O software agente executa a anlise da deteco de invaso e a preveno. O software agente tambm envia logs e alertas para um servidor centralizado de gerenciamento/poltica. A vantagem do HIPS que ele pode monitorar processos do sistema operacional e proteger recursos essenciais do sistema, inclusive arquivos que talvez s existam nesse determinado host. Isso significa que ele pode notificar os gerentes de rede quando algum processo externo tentar modificar um arquivo de sistema de forma que possa incluir um programa backdoor. A figura ilustra uma implantao de HIPS tpica. Os agentes so instalados em servidores publicamente acessveis, alm de servidores de aplicativos e de email corporativo. O agente informa eventos a um servidor de console central localizado dentro do firewall corporativo. Como alternativa, os agentes no host podem enviar logs como email para um administrador. Exibir meio visual

Pgina 3: Mecanismos de segurana comuns e aplicativos A segurana uma das principais consideraes durante o planejamento de uma rede. Antes, o dispositivo que vinha mente quando o assunto era segurana de rede era o firewall. Um firewall, por si s, deixou de ser apropriado proteo de uma rede. necessria uma abordagem integrada envolvendo firewall, preveno de invaso e VPN. Uma abordagem integrada em relao segurana, alm dos dispositivos necessrios para que ela acontea, segue estes componentes bsicos: Controle de ameaa controla o acesso rede, isola sistemas infetados, impede intruses e protege ativos, contra-atacando trfego malicioso, como worms e vrus. Os dispositivos que fornecem solues em controle de ameaa so: Mecanismos de segurana Cisco srie ASA 5500 Adaptive Roteadores de servios integrados (ISRs) Network Admission Control, controle de admisso de rede Cisco Security Agent for Desktops

Sistemas de preveno de invaso Cisco

Comunicaes seguras protege extremidades da rede com VPN. Os dispositivos que permitem a uma organizao implantar VPN so roteadores Cisco ISR com a soluo em VPN do IOS Cisco e os switches Cisco 5500 ASA e Cisco Catalyst 6500. Controle de admisso de rede (NAC) fornece um mtodo baseado em funes para impedir o acesso no autorizado a uma rede. A Cisco oferece um dispositivo NAC. Software IOS Cisco em roteadores de servios integrados (ISRs) Cisco A Cisco fornece muitas das medidas de segurana obrigatrias para os clientes dentro do software IOS Cisco. O software IOS Cisco fornece servios internos IOS Cisco Firewall, IPsec, SSL VPN e IP. Mecanismo de segurana Cisco srie ASA 5500 Adaptive Houve um momento em que o firewall PIX era o dispositivo que uma rede segura implantaria. O PIX evoluiu at chegar a uma plataforma que integra muitos recursos de segurana diferentes, chamada de Cisco Adaptive Security Appliance (ASA). O Cisco ASA integra firewall, segurana de voz, SSL e IPsec VPN, IP e servios de segurana de contedo em um nico dispositivo. Sensores Cisco IPS srie 4200 Para redes maiores, um sistema de preveno de invaso interno fornecido pelos sensores Cisco IP srie 4200. Esse sensor identifica, classifica e interrompe o trfego malicioso na rede. Dispositivo Cisco NAC O dispositivo Cisco NAC utiliza a infraestrutura de rede para aplicar a conformidade com a poltica de segurana em todos os dispositivos que procuram acessar recursos de computao em rede. Cisco Security Agent (CSA) O software Cisco Security Agent fornece recursos de proteo contra ameaas para sistemas de computao em servidor, desktop e ponto de servio (POS). O CSA defende esses sistemas contra ataques determinados, spyware, rootkits e ataques day-zero.

A cobertura aprofundada desses dispositivos est alm do escopo deste curso. Consulte os cursos CCNP: Implementao de redes remotas convergidas seguras e Segurana de rede 1 e 2 para obter mais informaes. Exibir meio visual

4.1.5 O ciclo de segurana de rede Pgina 1: A maior parte dos incidentes de segurana ocorre porque os administradores de sistema no implementam as contramedidas disponveis, e os atacantes ou os funcionrios insatisfeitos exploram a omisso. Por isso, o problema no apenas algum confirmar a existncia de uma vulnerabilidade tcnica e localizar uma contramedida que funcione. Tambm essencial verificar se a contramedida est implantada e funcionando corretamente. Para auxiliar na conformidade de uma poltica de segurana, o Ciclo de segurana, um processo contnuo se mostrou uma abordagem efetiva. O Ciclo de segurana incentiva novos testes e a reaplicao de medidas de segurana atualizadas regularmente. Para comear o processo do Ciclo de segurana, primeiro desenvolva uma poltica de segurana que permita a aplicao de medidas de segurana. A poltica de segurana inclui o seguinte: Identifica os objetivos de segurana da organizao. Documenta os recursos a serem protegidos. Identifica a infraestrutura de rede com mapas atuais e inventrios. Identifica os recursos essenciais que precisam ser protegidos, como pesquisa e desenvolvimento, finanas e recursos humanos. Isso se chama anlise de risco.

A poltica de segurana o ponto no qual as quatro etapas do Ciclo de segurana se baseiam. As etapas so proteger, monitorar, testar e melhorar. Etapa 1. Proteger Proteja a rede, aplicando a poltica de segurana e implementando as seguintes solues em segurana:

Proteo contra ameaas Inspeo stateful e filtragem de pacote filtre o trfego da rede para permitir somente trfego e servios vlidos.

Nota: a inspeo stateful se refere a um firewall que mantm informaes sobre o estado de uma conexo em uma tabela de estados de forma que ele possa reconhecer alteraes feitas na conexo que poderiam indicar que um atacante est tentando capturar uma sesso ou manipular uma conexo.

Sistemas de preveno de invaso implantados nos nveis de rede e de host para parar o trfego malicioso ativamente. Patches de vulnerabilidade aplique correes ou medidas para parar a explorao quanto a vulnerabilidades conhecidas. Desabilitar servios desnecessrios quanto menos servios habilitados, mais difcil ser para os atacantes obter acesso.

Conectividade segura

VPNs criptografe trfego da rede para impedir a divulgao indesejvel a indivduos sem autorizao ou maliciosos. Confiana e identidade implemente restries plenas quanto a nveis de confiana dentro de uma rede. Por exemplo, sistemas fora de um firewall jamais devem ser totalmente confiveis por sistemas dentro de um firewall. Autenticao s d acesso a usurios autorizados. Um exemplo disso a utilizao de senhas nicas. Aplicao da poltica assegure-se de que os usurios e os dispositivos finais estejam em conformidade com a poltica corporativa.

Etapa 2. Monitorar A monitorao de segurana envolve mtodos ativo e passivo de deteco das violaes segurana. O mtodo ativo mais utilizado auditar arquivos de log em nvel de host. A maioria dos sistemas operacionais inclui funcionalidade de auditoria. Os administradores de sistema devem habilitar o sistema de auditoria em todos os hosts na rede e devem parar para verificar e interpretar as entradas do arquivo de log. Entre os mtodos passivos esto a utilizao de dispositivos IDS para detectar invases automaticamente. Esse mtodo requer menos ateno por parte dos administradores de segurana da rede do que os mtodos ativos. Esses sistemas podem detectar violaes segurana em tempo real, podendo ser configurados para responder automaticamente antes que um intruso cause algum dano. Um benefcio a mais de monitorao da rede verificar se as medidas de segurana implementadas na etapa 1 do Ciclo de segurana foram configuradas e esto funcionando corretamente. Etapa 3. Testar

Na fase de testes do Ciclo de segurana, as medidas de segurana so testadas de maneira proativa. Especificamente, a funcionalidade das solues em segurana implementadas na etapa 1 e os mtodos de auditoria do sistema e de deteco de invaso implementados na etapa 2 so verificados. Ferramentas de avaliao de vulnerabilidade, como SATAN, Nessus ou Nmap, so teis para testar as medidas de segurana da rede periodicamente nos nveis de rede e de host. Etapa 4. Melhorar A fase de melhoria do Ciclo de segurana envolve a anlise dos dados coletados durante as fases de monitorao e testes. Essa anlise contribui com o desenvolvimento e a implementao de mecanismos de melhoria que aumentam a poltica de segurana e os resultados ao adicionar itens etapa 1. Para manter uma rede a mais segura possvel, o ciclo de segurana deve ser repetido continuamente, porque novas vulnerabilidades e riscos rede esto surgindo todos os dias. Com as informaes coletadas das fases de monitorao e de testes, os IDSs podem ser utilizados para implementar melhorias segurana. A poltica de segurana deve ser ajustada na medida em que novas vulnerabilidades e riscos segurana so detectados. Exibir meio visual

4.1.6 A poltica de segurana corporativa Pgina 1: O que uma poltica de segurana? Uma poltica de segurana um conjunto de diretrizes determinadas para proteger a rede de ataques, tanto dentro quanto fora de uma empresa. A formao de uma poltica comea com perguntas. Como a rede ajuda a organizao a atingir sua viso, misso e plano estratgico? Que implicaes os requisitos da empresa tm sobre a segurana da rede, e como esses requisitos se traduzem na aquisio de equipamento especializado e nas configuraes carregadas nos dispositivos? Uma poltica de segurana beneficia uma organizao das seguintes formas: Fornece um meio para auditar a segurana de rede existente e comparar os requisitos com o que est implantado. Planeje melhorias de segurana, inclusive equipamento, software e procedimentos. Define as funes e as responsabilidades dos executivos, administradores e usurios da empresa. Define qual comportamento e qual no permitido. Define um processo para tratar incidentes de segurana na rede.

Habilita a implementao de segurana global e a aplicao, funcionando como um padro entre sites. Cria uma base para ao legal se necessrio.

Uma poltica de segurana um documento vivo, o que significa que ele jamais concludo, sendo continuamente atualizado conforme os requisitos de tecnologia e de funcionrio mudam. Ele funciona como uma ponte entre os objetivos do gerenciamento e os requisitos de segurana especficos. Exibir meio visual

Pgina 2: Funes de uma poltica de segurana Uma poltica de segurana abrangente cumpre estas funes essenciais: Protege as pessoas e as informaes Estabelece as regras para o comportamento esperado por parte de usurios, administradores de sistema e equipes de gerenciamento e segurana Autoriza a equipe de segurana a monitorar, testar e investigar Define e autoriza as consequncias de violaes

A poltica de segurana para todos, inclusive funcionrios, contratados, fornecedores e clientes que tenham acesso rede. No entanto, a poltica de segurana deve tratar cada um desses grupos de maneira diferente. Cada grupo s deve ver a parte da poltica apropriada ao seu trabalho e a seu nvel de acesso rede. Por exemplo, uma explicao do porqu algo est sendo feito nem sempre necessria. Voc pode supor que a equipe tcnica j sabe por que um determinado requisito foi includo. No provvel que os gerentes se interessem pelos aspectos tcnicos de um requisito especfico; eles talvez s queiram uma viso geral ou o princpio que sustenta o requisito. No entanto, quando sabem por que um controle de segurana especfico foi includo, os usurios finais tendem mais a cumprir a poltica. Por isso, no provvel que um documento atenda s necessidades de todo o pblico-alvo de uma grande organizao. Exibir meio visual

Pgina 3: Componentes de uma poltica de segurana O SANS Institute (http://www.sans.org) fornece diretrizes desenvolvidas em acordo com vrios lderes do setor, inclusive a Cisco, para desenvolver polticas de segurana

abrangentes para grandes e pequenas organizaes. Nem todas as organizaes precisam de todas essas polticas. Estas so as polticas de segurana gerais que uma organizao pode invocar:

Declarao de autoridade e escopo define quem na organizao patrocina a poltica de segurana, quem responsvel por implement-la e quais reas so abrangidas pela poltica. Poltica de utilizao aceitvel (AUP) define a utilizao aceitvel do equipamento e dos servios de computao, alm das medidas de segurana do funcionrio apropriadas para proteger recursos corporativos e informaes proprietrias. Identificao e poltica de autenticao define quais tecnologias a empresa utiliza para assegurar que apenas pessoal autorizado tenha acesso a seus dados. Poltica de acesso Internet define o que a empresa ir ou no tolerar em relao utilizao da conectividade com a Internet por funcionrios e convidados. Poltica de acesso ao campus define a utilizao aceitvel dos recursos de tecnologia no campus por funcionrios e convidados. Poltica de acesso remoto define como os usurios remotos podem utilizar a infraestrutura de acesso remoto da empresa. Procedimento de tratamento de incidentes especifica quem responder a incidentes de segurana e como com eles sero tratados.

Alm dessas sees de poltica de segurana principais, entre algumas outras que podem ser necessrias em determinadas organizaes esto:

Poltica de solicitao de acesso conta formaliza a conta e o processo de solicitao de acesso dentro da organizao. Os usurios e os administradores de sistema que ignoram os processos padro para solicitaes de conta e acesso podem estar sujeitos ao legal dentro da organizao. Poltica de avaliao de aquisio define as responsabilidades referentes a aquisies corporativas e define os requisitos mnimos de uma avaliao de aquisio que o grupo de segurana das informaes deve realizar. Poltica de auditoria define polticas de auditoria para assegurar a integridade das informaes e dos recursos. Isso inclui um processo para investigar incidentes, assegurar a conformidade em relao s polticas de segurana e monitorar a atividade do usurio e do sistema Poltica de importncia das informaes define os requisitos para classificar e proteger informaes da maneira apropriada segundo o seu nvel de importncia. Poltica de senha define os padres para criar, proteger e alterar senhas fortes. Poltica de avaliao de risco define os requisitos e fornece a autoridade para a equipe de segurana da informao identificar, avaliar e solucionar riscos infraestrutura de informaes associada realizao do negcio.

Poltica de servidor Web global define os padres exigidos por todos os hosts da Web.

Com a ampla utilizao do email, uma organizao talvez tambm queira aplicar polticas relacionadas especificamente a email, como:

Poltica de email encaminhado automaticamente documenta a poltica que restringe o encaminhamento automtico de email para um destino externo sem aprovao prvia do gerente ou do diretor apropriado. Poltica de email define padres de contedo para impedir a maculao da imagem pblica da organizao. Poltica de spam define como o spam deve ser informado e tratado.

Entre as polticas de acesso remoto podem estar:


Poltica de acesso dial-up define o acesso dial-up apropriado e sua utilizao por pessoal autorizado. Poltica de acesso remoto define os padres para conexo com a rede da organizao de qualquer host ou rede externa com a organizao. Poltica de segurana VPN define os requisitos para conexes VPN com a rede da organizao.

preciso observar que os usurios que desafiem ou violem as regras de uma poltica de segurana podem estar sujeitos ao disciplinar, incluindo at mesmo demisso. Exibir meio visual

Pgina 4: Exibir meio visual

4.2 Protegendo roteadores Cisco


4.2.1 Problemas de segurana do roteador Pgina 1: A funo dos roteadores na segurana de rede Voc sabe que pode criar uma rede local, conectando dispositivos com switches de rede local da Camada 2. Dessa forma, voc pode utilizar um roteador para rotear trfego entre redes diferentes com base em endereos IP da Camada 3.

A segurana do roteador um elemento essencial em qualquer implantao de segurana. Os roteadores so alvos definitivos para os atacantes de rede. Se um atacante conseguir comprometer e acessar um roteador, isso poder ajud-lo. A compreenso das funes que os roteadores realizam na rede ajuda a entender suas vulnerabilidades. Os roteadores realizam as seguintes funes: Anunciam redes e filtram quem pode utiliz-las. Fornecem acesso a segmentos de rede e sub-redes.

Exibir meio visual

Pgina 2: Os roteadores so os alvos Como fornecem gateways para outras redes, os roteadores so alvos bvios, estando sujeitos a vrios ataques. Aqui esto alguns exemplos de vrios problemas de segurana:

O comprometimento do controle de acesso pode expor detalhes da configurao de rede, o que facilita ataques a outros componentes da rede. O comprometimento das tabelas de rotas pode afetar o desempenho, negar servios de comunicao da rede e expor dados confidenciais. A configurao incorreta de um filtro de trfego de roteador pode expor componentes internos da rede a verificaes e ataques, o que facilita para os atacantes evitar a deteco.

Como os atacantes podem comprometer roteadores de formas diferentes, no h nenhuma abordagem nica que os administradores de rede possam utilizar para combat-los. As formas de comprometimento dos roteadores so semelhantes aos tipos de ataques que voc aprendeu anteriormente neste captulo, inclusive ataques de explorao de confiana, falsificao IP, captura de sesso e ataques MITM. Nota: esta seo aborda como proteger roteadores. A maioria das prticas recomendadas discutidas tambm pode ser utilizada para proteger switches. No entanto, esta seo no aborda ameaas da Camada 2, como endereo MAC com ataques de inundao e STP, porque eles so abordados no CCNA Exploration: Comutao de rede local e rede sem fio. Exibir meio visual

Pgina 3: Protegendo a sua rede

Proteger os roteadores no permetro da rede uma etapa inicial importante na proteo da rede. Pense na segurana do roteador segundo estas categorias: Segurana fsica Atualizar o IOS do roteador sempre que isso for aconselhvel Fazer o backup da configurao e do IOS do roteador Reforar o roteador para eliminar o abuso potencial de portas e servios no utilizados

Para fornecer segurana fsica, coloque o roteador em um sala trancada, acessvel apenas a pessoal autorizado. Est sala tambm no deve apresentar qualquer interferncia eletrosttica ou magntica e ter controles de temperatura e umidade. Para reduzir a possibilidade de DoS devido a uma falta de energia, instale um UPS e mantenha componentes sobressalentes disposio. Os dispositivos fsicos utilizados na conexo com o roteador devem ser armazenados em uma instalao bloqueada ou devem permanecer em posse de um indivduo confivel para que no sejam comprometidos. Um dispositivo livremente disposio pode ter cavalos-de-Troia ou outro tipo de arquivo executvel armazenados. Provisione o roteador com a quantidade de memria mxima possvel. A disponibilidade de memria pode ajudar na proteo contra alguns ataques DoS, ao mesmo tempo em que d suporte a vrios servios de segurana. Os recursos de segurana em um sistema operacional evoluem com o passar do tempo. No entanto, a verso mais recente de um sistema operacional talvez no seja a mais estvel disponvel. Para obter o melhor desempenho em termos de segurana do seu sistema operacional, utilize o release estvel mais recente que atenda aos requisitos de recursos da sua rede. Sempre tenha uma cpia de backup de uma configurao e do IOS disponvel em caso de falha de um roteador. Mantenha uma cpia segura da imagem do sistema operacional do roteador e do arquivo de configurao do roteador em um servidor TFTP para fins de backup. Proteja o roteador para torn-lo o mais seguro possvel. Um roteador tem muitos servios habilitados por padro. Muitos desses servios so desnecessrios e talvez sejam utilizados por um atacante na coleta de informaes ou na explorao. Voc deve proteger a configurao do seu roteador, desabilitando servios desnecessrios. Exibir meio visual

4.2.2 Aplicando recursos de segurana do IOS Cisco a roteadores Pgina 1: Para configurar recursos de segurana em um roteador, voc precisa de um plano para todas as etapas de configurao da segurana do IOS Cisco. A figura mostra as etapas para proteger um roteador. As cinco primeiras etapas so abordadas neste captulo. Embora sejam discutidas no prximo captulo, as listas de controle de acesso (ACLs) formam uma tecnologia essencial, devendo ser configuradas para controlar e filtrar o trfego da rede. Exibir meio visual

4.2.3 Gerenciar a segurana do roteador Pgina 1: A segurana bsica do roteador consiste em configurar senhas. Uma senha forte o elemento mais importante no controle do acesso seguro a um roteador. Por essa razo, senhas fortes devem ser configuradas sempre. Entre as boas prticas de senha esto as seguintes:

No anote e deixe as senhas em locais bvios, como sua mesa ou em seu monitor. Evite palavras de dicionrios, nomes, nmeros de telefone e datas. A utilizao de palavras de dicionrios torna as senhas vulnerveis a ataques de dicionrio. Combine letras, nmeros e smbolos. Inclua pelo menos uma letra minscula, uma letra maiscula, um dgito e um caracter especial. Escreva incorretamente uma palavra em uma senha de maneira deliberada. Por exemplo, Smith pode ser escrito Smyth ou tambm incluir nmeros, como 5mYth. Outro exemplo pode ser Security escrito como 5ecur1ty. Crie senhas extensas. A prtica recomendada ter pelo menos oito caracteres. Voc pode aplicar o tamanho mnimo utilizando um recurso disponvel em roteadores Cisco, discutido posteriormente neste tpico. Altere as senhas com a maior frequncia possvel. Voc deve ter uma poltica que defina quando e com que frequncia as senhas devem ser alteradas. A alterao frequente de senhas tem duas vantagens. Essa prtica limita a chance de um hacker conseguir quebrar uma senha e limita a exposio depois que uma senha foi comprometida.

Nota: os espaos esquerda da senha so ignorados, mas todos os espaos aps o primeiro caractere, no.

Frases de acesso Um mtodo recomendado para a criao de senhas complexas fortes utilizar frases de acesso. Uma frase de acesso , basicamente, uma orao ou frase que funciona como uma senha mais segura. Tenha certeza de que a frase seja grande o suficiente para dificilmente ser adivinhada, mas fcil o bastante para ser lembrada e digitada com preciso. Utilize uma orao, uma citao de um livro ou uma letra de msica da qual voc consiga se lembrar facilmente como base para a sua senha ou frase de acesso. A figura fornece exemplos de frases de acesso. Exibir meio visual

Pgina 2: Por padro, o software IOS Cisco deixa senhas em texto sem formatao quando elas so digitadas em um roteador. Isso no seguro porque qualquer pessoa que esteja passando atrs de voc enquanto estiver observando a configurao de um roteador pode olhar por cima do seu ombro e ver a senha. A utilizao dos comandos enable password ou username username password password resultaria na exibio dessas palavras-chave durante a observao da configurao em execuo. Por exemplo: R1(config)# username Student password cisco123 R1(config)# do show run | include username username Student password 0 cisco123 R1(config)# O 0 exibido na configurao em execuo indica que a senha no est oculta. Por essa razo, todas as senhas devem ser criptografadas em um arquivo de configurao. O IOS Cisco fornece dois esquemas para proteo de senha: Criptografia simples chamada esquema tipo 7. Ela utiliza o algoritmo de criptografia definido pela Cisco e ocultar a senha utilizando um algoritmo de criptografia simples. Criptografia complexa chamada esquema tipo 5. Ela utiliza um hash MD5 mais seguro.

A criptografia tipo 7 pode ser utilizada pelos comandos enable password, username e line password que incluem vty, console e porta auxiliar. Ela no oferece muita proteo porque s oculta a senha que utiliza um algoritmo de criptografia simples. Embora no seja to segura quanto a criptografia tipo 5, ela ainda melhor que no ter criptografia. Para criptografar senhas utilizando a criptografia tipo 7, utilize o comando de configurao global service password-encryption conforme exibido na figura. Esse comando impede que senhas exibidas na tela sejam legveis. Por exemplo: R1(config)# service password-encryption R1(config)# do show run | include username username Student password 7 03075218050061 R1(config)# O 7 exibido na configurao em execuo indica que a senha est oculta. Na figura, voc pode ver que a senha da linha console agora est oculta. Clique no boto Configurar senha na figura. A Cisco recomenda que a criptografia Tipo 5 seja utilizada em lugar da Tipo 7 sempre que possvel. A criptografia MD5 um mtodo de criptografia forte. Ela deve ser utilizada sempre que possvel. Ela configurada, substituindo-se a palavra-chave password por secret. Por isso, para proteger o nvel EXEC privilegiado o mximo possvel, sempre configure o comando enable secret conforme mostrado na figura. Tambm tenha certeza de que a enable secret seja exclusiva e de que no corresponda a nenhuma outra senha de usurio. Um roteador sempre utilizar a enable secret sem detrimento da enable password. Por essa razo, o comando enable password jamais deve ser configurado, porque pode fornecer a senha de um sistema. Nota: se voc se esquecer da senha do modo EXEC privilegiado, ser preciso executar o procedimento de recuperao de senha. Esse procedimento ser abordado posteriormente neste captulo. Os nomes de usurio do banco de dados local tambm devem ser configurados utilizando-se o comando de configurao global username username secret password. Por exemplo: R1(config)# username Student secret cisco R1(config)# do show run | include username

username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/ R1(config)# Nota: alguns processos talvez no possam utilizar senhas criptografadas tipo 5. Por exemplo, PAP utiliza senhas de texto no criptografado, no podendo utilizar senhas criptografadas MD5. Clique no boto Tamanho da senha na figura. O software IOS Cisco release 12.3(1) e posteriores permitem aos administradores definir o tamanho mnimo em caracteres para todas as senhas do roteador utilizando o comando de configurao global security passwords min-length, conforme mostrado na figura. Esse comando fornece melhor acesso de segurana ao roteador, permitindo especificar um tamanho de senha mnimo, eliminando senhas comuns que prevaleam na maioria das redes, como "laboratrio" e "cisco". Esse comando afeta todas as novas senha de usurio, senhas de habilitar e segredos, alm de senhas da linha criadas depois que o comando foi executado. O comando no afeta senhas de roteador existentes. Exibir meio visual

4.2.4 Protegendo o acesso administrativo remoto a roteadores Pgina 1: Protegendo o acesso administrativo a roteadores Os administradores de rede podem se conectar local ou remotamente a um roteador ou switch. Por ser seguro, o acesso local pela porta console o modo preferencial para um administrador se conectar a um dispositivo. Na medida em que as empresas ficam maiores e o nmero de roteadores e switches na rede cresce, a carga de trabalho do administrador para se conectar localmente a todos os dispositivos pode se tornar excessiva. O acesso administrativo remoto mais prtico do que o acesso local para administradores que tenham muitos dispositivos para gerenciar. No entanto, se ele no for implementado com segurana, um atacante poder coletar informaes confidenciais importantes. Por exemplo, a implementao do acesso administrativo remoto utilizando Telnet pode ser muito insegura porque Telnet encaminha todo o trfego de rede em texto no criptografado. Um atacante poderia capturar o trfego da rede enquanto um administrador tivesse feito login remotamente em um roteador e detectar as senhas ou as informaes de configurao do roteador. Por isso, o acesso administrativo remoto deve ser configurado com precaues de segurana adicionais.

Para proteger o acesso administrativo a roteadores e switches, primeiro voc proteger as linhas administrativas (VTY, AUX) e, em seguida, configurar o dispositivo de rede para criptografar o trfego em um tnel SSH. Exibir meio visual

Pgina 2: Acesso administrativo remoto com Telnet e SSH Ter acesso remoto a dispositivos de rede essencial para gerenciar uma rede de maneira efetiva. O acesso remoto normalmente envolve a permisso de Telnet, Shell Seguro (SSH), HTTP, HTTP Seguro (HTTPS) ou conexes SNMP no roteador em um computador nas mesmas redes interconectadas do roteador. Se o acesso remoto for obrigatrio, as suas opes sero as seguintes: Estabelecer uma rede de gerenciamento dedicada. A rede de gerenciamento deve incluir apenas hosts de administrao identificados e conexes com dispositivos de infraestrutura. Isso poderia ser obtido utilizando-se uma VLAN de gerenciamento ou uma rede fsica adicional qual conectar os dispositivos. Criptografar todo o trfego entre o computador do administrador e o roteador. Em qualquer um dos casos, um filtro de pacote pode ser configurado para permitir apenas os hosts de administrao identificados e o protocolo para acessar o roteador. Por exemplo, s permita o endereo IP do host de administrao iniciar uma conexo SSH com os roteadores na rede.

O acesso remoto no se aplica apenas linha VTY do roteador, mas tambm s linhas TTY e porta auxiliar (AUX). As linhas TTY fornecem acesso assncrono a um roteador utilizando um modem. Embora sejam menos comuns do que j foram, elas ainda existem em algumas instalaes. Proteger essas portas at mesmo mais importante do que proteger portas de terminal locais. A melhor forma de proteger um sistema assegurar que sejam aplicados controles apropriados a todas as linhas, inclusive VTY, TTY e AUX. Os administradores devem ter certeza de que os logins em todas as linhas sejam controlados utilizando um mecanismo de autenticao, mesmo em mquinas teoricamente inacessveis em redes no confiveis. Isso especialmente importante para linhas VTY e linhas conectadas a modems ou outros dispositivos de acesso remoto. Os logins podem ser totalmente evitados em qualquer linha, configurando-se o roteador com os comandos login e no password. Essa a configurao padro para VTYs, mas no para TTYs e a porta AUX. Por isso, se essas linhas no forem obrigatrias, assegure-se de que elas sejam configuradas com a combinao de comandos login e no password.

Clique no boto Impedir logins para exibir um exemplo. Controlando VTYs Por padro, todas as linhas VTY so configuradas para aceitar qualquer tipo de conexo remota. Por razes de segurana, as linhas VTY devem ser configuradas para aceitar apenas as conexes com os protocolos efetivamente necessrios. Isso feito com o comando transport input. Por exemplo, uma VTY que s deve receber sesses Telnet seria configurada com transport input telnet e uma VTY que permitisse sesses Telnet e SSH teria transport input telnet ssh configurado. Clique no boto Acesso VTY na figura. O primeiro exemplo de configurao exibe como configurar a VTY para aceitar apenas as conexes Telnet e SSH, e o segundo exemplo exibe como configurar a VTY para aceitar apenas conexes SSH. Se a imagem do IOS Cisco em um roteador der suporte a SSH, ser altamente recomendvel habilitar apenas esse protocolo. Um dispositivo Cisco tem um nmero limitado de linhas VTY, normalmente cinco. Quando todas as VTYs estiverem em uso, mais nenhuma conexo remota adicional poder ser estabelecida. Isso cria a oportunidade para um ataque DoS. Se um atacante conseguir abrir sesses remotas em todas as VTYs do sistema, o administrador legtimo talvez no consiga fazer login. O atacante no precisa fazer login para conseguir isso. As sesses podem ser simplesmente abandonadas no prompt de login. Uma forma de reduzir essa exposio configurando a ltima linha VTY para aceitar conexes apenas de uma nica estao de trabalho administrativa especfica, enquanto as demais VTYs podem aceitar conexes de qualquer endereo em uma rede corporativa. Isso assegura que pelo menos uma linha VTY esteja disponvel para o administrador. Para implementar isso, as ACLs, com o comando ip access-class na ltima linha VTY, devem ser configuradas. Essa implementao abordada no Captulo 5. Outra ttica til configurar timeouts VTY utilizando o comando exec-timeout. Isso impede uma sesso ociosa de consumir a VTY indefinidamente. Embora sua efetividade contra ataques deliberados seja relativamente limitada, ela fornece alguma proteo contra sesses abandonadas ociosas acidentalmente. Da mesma forma, habilitar keepalives TCP em conexes de entrada utilizando o comando service tcp-keepalivesin pode ajudar na proteo contra ataques maliciosos e sesses abandonadas causadas por falhas em sistemas remotos. Clique no boto VTY protegido na figura.

A configurao exibe como definir o executive timeout como 3 minutos e habilitar keepalives TCP. Exibir meio visual

Pgina 3: Implementando SSH em acesso administrativo remoto seguro Tradicionalmente, o acesso administrativo remoto em roteadores era configurado utilizando-se Telnet na porta TCP 23. No entanto, o Telnet foi desenvolvido quando a segurana no era um problema. Por essa razo, todo o trfego Telnet encaminhado em texto claro. O SSH substituiu o Telnet como a prtica recomendada para fornecer administrao do roteador com conexes que do suporte privacidade forte e integridade da sesso. O SSH utiliza a porta TCP 22. Ele fornece funcionalidade semelhante de uma conexo Telnet de sada, exceto pela conexo ser criptografada. Com autenticao e criptografia, o SSH permite uma comunicao segura em uma rede no segura. Nem todas as imagens do IOS Cisco do suporte ao SSH. Somente imagens criptogrficas podem. Normalmente, essas imagens tm IDs de imagem k8 ou k9 em seus nomes. Os nomes de imagem so abordados na Seo 5. O recurso de acesso linha de terminal SSH permite aos administradores configurar roteadores com acesso seguro e executar as seguintes tarefas:

Conecte-se a um roteador que tenha vrias linhas de terminal conectadas a consoles ou portas seriais de outros roteadores, switches e dispositivos. Simplifique a conectividade com um roteador em qualquer lugar, conectando-se com segurana ao servidor de terminal em uma determinada linha. Permita que modems conectados a roteadores sejam utilizados em discagens com segurana. Exija autenticao em todas as linhas por meio de um nome de usurio e senha definidos localmente, ou um servidor de segurana, como um servidor TACACS+ ou RADIUS.

Os roteadores Cisco so capazes de agir como o cliente e o servidor SSH. Por padro, essas duas funes so habilitadas no roteador quando o SSH habilitado. Como cliente, um roteador pode executar SSH em outro roteador. Como servidor, um roteador pode aceitar conexes clientes SSH. Exibir meio visual

Pgina 4:

Configurando a segurana SSH Para habilitar o SSH no roteador, os seguintes parmetros devem ser configurados:

Hostname Nome de domnio Chaves assimtricas (Asymmetrical keys) Autenticao local (Local authentication)

Entre os parmetros de configurao opcionais esto: Timeouts Novas tentativas (Retries)

As seguintes etapas configuram o SSH em um roteador. Etapa 1: Definir parmetros do roteador Configure o hostname do roteador com o comando hostname hostname no modo de configurao global. Etapa 2: Definir o nome de domnio Deve haver um nome de domnio para habilitar o SSH. Neste exemplo, digite o comando ip domain-name no modo de configurao global. Etapa 3: Gerar chaves assimtricas Voc precisa criar uma chave que o roteador utilize para criptografar o seu trfego de gerenciamento SSH com o comando crypto key generate rsa no modo de configurao global. O roteador responde com uma mensagem que mostra a conveno de nomenclatura para as chaves. Escolha o tamanho do mdulo da chave no intervalo entre 360 e 2.048 para as suas Chaves de finalidade geral. Escolher um mdulo de chave maior que 512 pode demorar alguns minutos. Como prtica recomendada, a Cisco recomenda a utilizao de um tamanho de mdulo mnimo de 1.024. Voc deve saber que um mdulo maior demora mais para ser gerado e utilizado, embora oferea maior segurana. Voc pode obter mais informaes sobre o comando crypto key no curso Segurana de rede.

Etapa 4: Configurar autenticao local e vty Voc deve definir um usurio local e atribuir uma comunicao SSH a linhas vty conforme mostrado na figura. Etapa 5: Configurar timeouts SSH (opcional) Os timeouts fornecem segurana adicional conexo, encerrando conexes prolongadas, inativas. Utilize os comandos ip ssh time-out seconds e authenticationretries integer para habilitar timeouts e novas tentativas de autenticao. Defina o timeout SSH como 15 segundos e o nmero de novas tentativas como 2. Para se conectar a um roteador configurado com SSH, voc precisa utilizar um aplicativo cliente SSH, como PuTTY ou TeraTerm. Voc deve ter certeza para escolher a opo SSH e de que ela utiliza a porta TCP 22. Clique no boto Utilizar SSH na figura. Utilizando o TeraTerm para se conectar com segurana ao roteador R2 com SSH, depois que a conexo iniciada, R2 exibe um prompt do nome de usurio, seguido por um prompt de senha. Supondo que as credenciais corretas sejam fornecidas, o TeraTerm exibe o prompt do modo EXEC usurio do roteador R2. Exibir meio visual

Pgina 5: Exibir meio visual

4.2.5 Registrando a atividade do roteador em log Pgina 1: Os logs permitem verificar se um roteador est funcionando corretamente ou determinar se ele foi comprometido. Em alguns casos, um log pode mostrar os tipos de testes ou de ataques feitos contra o roteador ou rede protegida. A configurao do registro em log (syslog) no roteador deve ser feita cuidadosamente. Envie os logs do roteador para um host de log designado. O host de log deve ser conectado a uma rede confivel ou protegida ou interface de um roteador isolada e dedicada. Proteja o host de log, removendo todos os servios desnecessrios e contas. Roteadores oferecem suporte a nveis diferentes de registro em log. Os oito nveis vo de 0, emergncias que indicam que o sistema est instvel, a 7 para depurar mensagens que incluam todas as informaes sobre o roteador.

Os logs podem ser encaminhados para vrios locais, inclusive a memria do roteador ou um servidor de syslog dedicado. Um servidor de syslog fornece uma soluo melhor, porque todos os dispositivos de rede podem encaminhar seus logs para uma estao central na qual um administrador possa examin-los. Um exemplo de um aplicativo para servidores de syslog o Kiwi Syslog Daemon. Tambm considere o envio dos logs para um segundo dispositivo de armazenamento, por exemplo, uma mdia de gravao nica ou uma impressora dedicada, para lidar com cenrios de pior caso (por exemplo, um comprometimento do host de log). A coisa mais importante a ser lembrada sobre o registro em log que os logs devem ser examinados regularmente. Verificando os logs regularmente, voc pode ter a sensao do comportamento normal da sua rede. Uma slida compreenso da operao normal e de seu reflexo nos logs ajuda a identificar condies de ataque ou anormalias. Registros de data e hora precisos so importantes no registro em log. Registros de data e hora permitem rastrear ataques rede com mais credibilidade. Todos os roteadores so capazes de manter seu prprio horrio, mas isso normalmente no basta. Em vez de fazer isso, direcione o roteador para pelo menos dois servidores de horrio confiveis diferentes para assegurar a disponibilidade das informaes sobre isso. Um servidor Network Time Protocol (NTP) talvez precise ser configurado para fornecer uma origem de horrio sincronizado para todos os dispositivos. A configurao dessa opo est alm do escopo deste curso. Por exemplo: R2(config)#service timestamps ? debug Timestamp debug messages log Timestamp log messages <cr> R2(config)#service timestamps Posteriormente neste captulo voc obter informaes sobre o comando debug. A sada do comando debug tambm pode ser enviada para logs. Exibir meio visual

4.3 Servios de rede do roteador seguros


4.3.1 Servios e interfaces vulnerveis do roteador Pgina 1: Servios e interfaces vulnerveis do roteador Os roteadores Cisco do suporte a vrios servios de rede nas camadas 2, 3, 4 e 7, conforme a descrio na figura. Alguns desses servios so os protocolos da camada de

aplicativo que permitem aos usurios e aos processos do host se conectar ao roteador. Outros so configuraes e processos automticos que devem dar suporte a configuraes herdadas ou especializadas que ofeream riscos segurana. Alguns desses servios podem ser restringidos ou desabilitados para aumentar a segurana sem diminuir a utilizao operacional do roteador. A prtica de segurana geral para roteadores deve ser utilizada para dar suporte apenas ao trfego e aos protocolos de que uma rede precisa. A maioria dos servios listados nesta seo no obrigatria normalmente. A tabela na figura descreve os servios gerais vulnerveis de roteador e lista as prticas recomendadas associadas a esses servios. A desativao de um servio de rede no prprio roteador no o impede de dar suporte a uma rede na qual esse protocolo empregado. Por exemplo, uma rede pode exigir servios TFTP para fazer backup dos arquivos de configurao e das imagens do IOS. Esse servio costuma ser fornecido por um servidor TFTP dedicado. Em certas instncias, um roteador tambm poderia ser configurado como um servidor TFTP. No entanto, isso muito incomum. Por isso, na maioria dos casos, o servio TFTP no roteador deve ser desabilitado. Em muitos casos, o software IOS Cisco d suporte desativao completa de um servio ou restrio do acesso a determinados segmentos de rede ou a conjuntos de hosts. Se uma poro especfica de uma rede precisar de um servio, mas o resto no, os recursos de restrio devero ser empregados para limitar o escopo do servio. A desativao de um recurso de rede automtico normalmente impede um determinado tipo de trfego de rede de ser processado pelo roteador, ou o impede de atravessar o roteador. Por exemplo, o roteamento de origem IP um recurso IP pouco utilizado que pode ser utilizado em ataques rede. A menos que seja obrigatrio operao da rede, o roteamento de origem IP deve ser desabilitado. Nota: o CDP aproveitado em algumas implementaes de telefonia IP. Isso precisa ser considerado antes da ampla desabilitao do servio. Exibir meio visual

Pgina 2: H vrios comandos obrigatrios para desabilitar servios. A sada do comando show running-config na figura fornece uma configurao de exemplo de vrios servios que foram desabilitados. Os servios que normalmente devem ser desabilitados esto listados abaixo. So alguns deles:

Servios pequenos, como echo, discard e chargen utilize o comando no service tcp-small-servers ou no service udp-small-servers.

BOOTP utilize o comando no ip bootp server. Finger utilize o comando no service finger. HTTP utilize o comando no ip http server. SNMP utilize o comando no snmp-server.

Tambm importante desabilitar servios que permitam a determinados pacotes passar pelo roteador, enviar pacotes especiais ou serem utilizados na configurao do roteador remoto. Os comandos correspondentes para desabilitar esses servios so:

Protocolo de deteco da Cisco (CDP, Cisco Discovery Protocol) utilize o comando no cdp run. Configurao remota utilize o comando no service config. Roteamento de origem utilize o comando no ip source-route. Roteamento classless utilize o comando no ip classless.

As interfaces no roteador podem ficar mais seguras utilizando-se determinados comandos no modo de configurao de interface:

Interfaces no utilizadas utilize o comando shutdown. Negar ataques SMURF utilize o comando no ip directed-broadcast. Roteamento ad hoc utilize o comando no ip proxy-arp.

Exibir meio visual

Pgina 3: Vulnerabilidades SNMP, NTP e DNS A figura descreve trs servios de gerenciamento que tambm devem ser protegidos. Os mtodos para desabilitar ou ajustar as configuraes desses servios esto alm do escopo deste curso. Esses servios so abordados no curso CCNP: Implementao de redes remotas convergidas seguras. As descries e as diretrizes para proteger esses servios esto listadas abaixo. SNMP SNMP o protocolo IP para monitorao remota automatizada e administrao. H vrias verses do SNMP com propriedades de segurana diferentes. As verses do SNMP anteriores verso 3 transmitem informaes em texto no criptografado. Normalmente, o SNMP verso 3 deve ser utilizado. NTP

Os roteadores Cisco e os demais hosts utilizam o NTP para manter seus horrios e datas precisos. Se possvel, os administradores de rede devem configurar todos os roteadores como parte de uma hierarquia NTP, o que torna um roteador o temporizador mestre e fornece seu horrio para os demais roteadores na rede. Se uma hierarquia NTP no estiver disponvel na rede, voc dever desabilitar o NTP. A desabilitao do NTP em uma interface no impede as mensagens NTP de atravessar o roteador. Para rejeitar todas as mensagens NTP em uma determinada interface, utilize uma lista de acesso. DNS O software IOS Cisco d suporte procura de nomes de host com o Sistema de Nome de Domnio (DNS). O DNS fornece o mapeamento entre nomes, como central.mydomain.com para endereos IP, como 14.2.9.250. Infelizmente, o protocolo DNS bsico no oferece nenhuma autenticao ou garantia de integridade. Por padro, as consultas de nome so enviadas para o endereo de broadcast 255.255.255.255. Se um ou mais servidores de nomes estiverem disponveis na rede e for desejvel utilizar nomes em comandos do IOS Cisco, defina explicitamente os endereos do servidor de nome utilizando o comando de configurao global ip name-server addresses. Do contrrio, desative a resoluo de nome DNS com o comando no ip domain-lookup. Tambm uma ideia boa dar um nome ao roteador, utilizando o comando hostname. O nome dado ao roteador exibido no prompt. Exibir meio visual

4.3.2 Protegendo os protocolos de roteamento Pgina 1: Viso geral da autenticao do protocolo de roteamento Como administrador de rede, voc precisa saber que os seus roteadores correm o risco de serem atacados tanto quanto os seus sistemas de usurio final. Qualquer pessoa com um sniffer de pacotes, como o Wireshark, pode ler as informaes que se propagam entre os roteadores. Em geral, os sistemas de roteamento podem ser atacados de duas formas: Situao de interrupo de mesmo nvel Falsificao das informaes de roteamento

A situao de interrupo de mesmo nvel a menos crtica dos dois ataques porque os protocolos de roteamento se corrigem, o que faz a interrupo durar um pouco menos do que o prprio ataque. Uma classe mais sutil de ataque tem como alvo as informaes transportadas dentro do protocolo de roteamento. As informaes de roteamento falsificadas normalmente podem ser utilizadas para fazer os sistemas enganar (mentir) uns aos outros, causar um DoS ou fazer o trfego seguir um caminho que normalmente no seguiria. As consequncias da falsificao das informaes de roteamento so as seguintes: 1. Redirecionar o trfego para criar loops de roteamento, conforme o mostrado na figura 2. Redirecionar o trfego para que ele possa ser monitorado em um link inseguro 3. Redirecionar o trfego para descart-lo Uma maneira direta de atacar o sistema de roteamento atacar os roteadores que executem os protocolos de roteamento, obter acesso aos roteadores e inserir informaes falsas. Saiba que qualquer pessoa que esteja "escutando" pode capturar atualizaes de roteamento. Clique no boto Reproduzir na figura para exibir uma animao de um ataque de loop de roteamento. A animao mostra um exemplo de um ataque que cria um loop de roteamento. Um atacante conseguiu se conectar diretamente ao link entre os roteadores R2 e R3. O atacante injeta informaes de roteamento falsas destinadas exclusivamente ao roteador R1, o que indica que o R3 o destino preferido para a rota do host 192.168.10.10/32. Embora tenha uma entrada na tabela de roteamento para a rede 192.168.10.0/24 diretamente conectada, R1 adicionar a rota injetada sua tabela de roteamento por conta da mscara de sub-rede maior. Uma rota com uma mscara de sub-rede compatvel maior considerada superior a uma rota com uma mscara de sub-rede menor. Consequentemente, quando receber um pacote, um roteador escolher a mscara de sub-rede maior por ser uma rota mais precisa at o destino. Quando o PC3 enviar um pacote para o PC1 (192.168.10.10/24), R1 no encaminhar o pacote para o PC1. Em vez disso, ele rotear o pacote para o roteador R3, porque, at onde se sabe, o melhor caminho para 192.168.10.10/32 pelo R3. Quando obtiver o pacote, R3 ir olhar sua tabela de roteamento e encaminhar o pacote novamente para R1, o que cria o loop. A melhor maneira de proteger informaes de roteamento na rede autenticar pacotes de protocolo de roteamento utilizando o algoritmo MD5 (message digest 5). Um algoritmo como MD5 permite aos roteadores comparar assinaturas que devem ser todas iguais.

Clique no boto Proteger atualizao na figura. A figura mostra como cada roteador na cadeia de atualizao cria uma assinatura. Entre os trs componentes desse sistema esto: 1. Algoritmo de criptografia, que normalmente de conhecimento pblico 2. Chave utilizada no algoritmo de criptografia, que um segredo compartilhado pelos roteadores que autenticam seus pacotes 3. Contedo do prprio pacote Clique no boto Operao na figura. Clique em Reproduzir para exibir uma animao. Na animao, vemos como cada roteador autentica as informaes de roteamento. Geralmente, o originador das informaes de roteamento produz uma assinatura utilizando a chave e roteando dados a serem enviados como entradas para o algoritmo de criptografia. Em seguida, os roteadores que recebem esses dados de roteamento podem repetir o processo utilizando a mesma chave, os dados recebidos e os mesmos dados de roteamento. Se a assinatura que o receptor computa for igual assinatura do remetente, os dados e a chave devero ser iguais aos transmitidos pelo remetente, e a atualizao ser autenticada. RIPv2, EIGRP, OSPF, IS-IS e BGP, todos, do suporte a vrias formas de autenticao MD5. Exibir meio visual

Pgina 2: Configurando o RIPv2 com autenticao do protocolo de roteamento A topologia na figura est exibindo uma rede configurada com o protocolo de roteamento RIPv2. O RIPv2 d suporte autenticao do protocolo de roteamento. Para proteger atualizaes de roteamento, cada roteador deve ser configurado para dar suporte autenticao. As etapas para proteger atualizaes RIPv2 so as seguintes: Etapa 1. Impedir a propagao da atualizao de roteamento RIP Etapa 2. Impedir a recepo no autorizada de atualizaes RIP

Etapa 3. Verificar a operao do roteamento RIP Impedir a propagao da atualizao de roteamento RIP Voc precisa impedir um intruso com escuta na rede de receber atualizaes s quais no tem direito. Voc faz isso, forando todas as interfaces no roteador no modo passivo e carregando apenas as interfaces obrigatrias para o envio e o recebimento de atualizaes RIP. Uma interface no modo passivo recebe mas no envia atualizaes. Voc deve configurar interfaces no modo passivo em todos os roteadores na rede. Clique no boto Config e em Etapa 1. A figura mostra os comandos de configurao para controlar as interfaces que participaro das atualizaes de roteamento. As atualizaes de roteamento jamais devem ser anunciadas em interfaces que no estejam conectadas a outros roteadores. Por exemplo, as interfaces de rede local no roteador R1 no se conectam a outros roteadores e, por isso, no devem anunciar atualizaes de roteamento. Apenas a interface S0/0/0 no roteador R1 deve anunciar atualizaes de roteamento. Na sada do comando na tela, o comando passive-interface default desabilita anncios de roteamento em todas as interfaces. Isso tambm inclui a interface S0/0/0. O comando no passive-interface s0/0/0 permite interface S0/0/0 enviar e receber atualizaes RIP. Clique no boto Topologia e em Etapa 2. Impedir a recepo no autorizada de atualizaes RIP Na figura, o intruso impedido de interceptar atualizaes RIP porque a autenticao MD5 foi habilitada nos roteadores, R1, R2 e R3; os roteadores que esto participando das atualizaes RIP. Clique no boto Config e em Etapa 2. A sada do comando mostra os comandos para configurar a autenticao do protocolo de roteamento no roteador R1. Os roteadores R2 e R3 tambm precisam ser configurados com esses comandos nas interfaces apropriadas. O exemplo mostra comandos para criar uma cadeia de chaves chamada RIP_KEY. Embora vrias chaves possam ser consideradas, nosso exemplo mostra apenas uma. A Chave 1 configurada para conter uma string de chave chamada cisco. A string da chave semelhante a uma senha, e os roteadores que trocam chaves de autenticao devem ser configurados com a mesma string. A interface S0/0/0 configurada para dar

suporte autenticao MD5. A cadeia RIP_KEY e a atualizao de roteamento so processadas utilizando-se o algoritmo MD5 para produzir uma assinatura exclusiva. Quando R1 configurado, os demais roteadores recebero as atualizaes de roteamento com uma assinatura exclusiva e, consequentemente, no podero mais decifrar as atualizaes de R1. Essa condio permanecer at cada roteador na rede ser configurado com a autenticao do protocolo de roteamento. Clique no boto Topologia e em Etapa 3. Verificar a operao do roteamento RIP Depois de configurar todos os roteadores na rede, voc precisar verificar a operao do roteamento RIP. Clique no boto Config e em Etapa 3. Utilizando o comando show ip route, a sada do comando confirma se o roteador R1 se autenticou com os outros roteadores e conseguiu adquirir as rotas dos roteadores R2 e R3. Exibir meio visual

Pgina 3: Viso geral da autenticao do protocolo de roteamento para EIGRP e OSPF A autenticao do protocolo de roteamento tambm deve ser configurada para outros protocolos de roteamento como EIGRP e OSPF. Para obter detalhes sobre a autenticao do protocolo de roteamento para EIGRP e OSPF, consulte CCNP2: Implementao de redes remotas convergidas seguras. Clique no boto EIGRP na figura. EIGRP A figura mostra os comandos utilizados para configurar a autenticao do protocolo de roteamento no EIGRP no roteador R1. Esses comandos so bem parecidos com os que voc utilizou na autenticao RIPv2 MD5. As etapas para configurar a autenticao do protocolo de roteamento EIGRP no roteador R1 so as seguintes: Etapa 1. A rea realada superior mostra como criar uma cadeia de chaves a ser utilizada por todos os roteadores em sua rede. Esses comandos criam uma cadeia de

chaves chamada EIGRP_KEY e colocam seu terminal no modo de configurao da cadeia de chaves, um nmero de chave 1 e valor da string de chave cisco. Etapa 2. A rea realada inferior mostra como habilitar a autenticao MD5 em pacotes EIGRP que atravessam uma interface. Clique no boto OSPF na figura. OSPF A figura mostra os comandos utilizados para configurar a autenticao do protocolo de roteamento para o OSPF na interface S0/0/0 do roteador R1. O primeiro comando especifica a chave a ser utilizada na autenticao MD5. O prximo comando habilita a autenticao MD5. Exibir meio visual

Pgina 4: Esta atividade abrange a autenticao simples e a autenticao MD5 do OSPF (message digest 5). Voc pode habilitar a autenticao no OSPF para trocar as informaes sobre atualizao de roteamento de uma maneira segura. Com a autenticao simples, a senha enviada em texto no criptografado pela rede. A autenticao simples utilizada quando os dispositivos dentro de uma rea no conseguem dar suporte autenticao MD5, a mais segura. Com a autenticao usando MD5, a senha no enviada pela rede. MD5 considerado o modo de autenticao OSPF mais seguro. Quando configurar a autenticao, voc deve configurar uma rea inteira com o mesmo tipo de autenticao. Nesta atividade, voc ir configurar a autenticao simples entre R1 e R2 e a autenticao MD5 entre R2 e R3. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

4.3.3 Bloqueando seu roteador com Cisco Auto Secure Pgina 1: O Cisco AutoSecure utiliza um nico comando para desabilitar processos e servios no essenciais, o que elimina potenciais ameaas segurana. Voc pode configurar o AutoSecure no modo EXEC privilegiado utilizando o comando auto secure em um destes dois modos:

Modo interativo este modo solicita a voc opes para habilitar e desabilitar servios e outros recursos de segurana. Este o modo padro. Modo no interativo este modo executa o comando auto secure automaticamente com as configuraes padro recomendadas pela Cisco. Esse modo habilitado com a opo de comando no-interact.

Clique no boto Sada do roteador na figura. Executar o AutoSecure em um roteador Cisco A sada do comando na tela mostra uma sada parcial de uma configurao do Cisco AutoSecure. Para iniciar o processo de proteo de um roteador, emita o comando auto secure. O Cisco AutoSecure solicitar vrios itens, incluindo: Especificidades de interface Banners Senhas SSH Recursos de firewall do IOS

Nota: O Cisco Router and Security Device Manager (SDM) fornece um recurso semelhante ao do comando Cisco AutoSecure. Esse recurso descrito na seo "Utilizando o Cisco SDM". Exibir meio visual

4.4 Utilizando o Cisco SDM


4.4.1 Viso geral do Cisco SDM Pgina 1: O que o Cisco SDM? O Cisco Router e Security Device Manager (SDM) uma ferramenta de gerenciamento de dispositivos baseada na Web, fcil de utilizar, projetada para configurar recursos de segurana, de rede local e WAN em roteadores, baseados no software IOS Cisco. A figura mostra a tela principal do SDM. A interface ajuda os administradores de rede de pequenas a mdias empresas a executar operaes do dia-a-dia. Ela fornece assistentes inteligentes fceis de utilizar, automatiza o gerenciamento de segurana do roteador e ajuda por meio de ajuda e tutoriais online abrangentes.

O Cisco SDM d suporte a um amplo conjunto de releases do software IOS Cisco. Ele j vem pr-instalado por padro em todos os novos roteadores de servios integrados da Cisco. Se no estiver pr-instalado, voc ter que instal-lo. Os arquivos do SDM podem ser instalados no roteador, em um PC ou em ambos. Uma vantagem de instalar o SDM no PC que isso economiza memria do roteador, alm de permitir utilizar o SDM para gerenciar outros roteadores na rede. Se o Cisco SDM estiver pr-instalado no roteador, a Cisco recomendar utilizar o Cisco SDM para executar a configurao inicial. Exibir meio visual

Pgina 2: Recursos do Cisco SDM O Cisco SDM simplifica a configurao do roteador e da segurana por meio da utilizao de vrios assistentes inteligentes para habilitar a configurao eficiente dos parmetros da rede virtual privada (VPN) e do firewall do IOS Cisco. Esse recurso permite aos administradores implantar rpida e facilmente, alm de configurar e monitorar, roteadores de acesso Cisco. Os assistentes inteligentes do Cisco SDM orientam os usurios etapa a etapa pelo fluxo de trabalho da configurao de segurana, configurando sistematicamente as interfaces de rede local e WAN, firewall, IPS e VPNs. Os assistentes inteligentes do Cisco SDM podem detectar configuraes incorretas de maneira inteligente e propor correes, como permitir o trfego DHCP por um firewall caso a interface WAN seja endereada por DHCP. A ajuda online interna do Cisco SDM contm informaes em segundo plano apropriadas, alm de procedimentos etapa a etapa para ajudar os usurios a inserir os dados corretos no Cisco SDM. Exibir meio visual

4.4.2 Configurando o seu roteador para dar suporte ao Cisco SDM Pgina 1: O Cisco SDM deve ser instalado em todos os novos roteadores Cisco. Se voc tiver um roteador que j esteja sendo utilizado mas sem o Cisco SDM, voc poder instalar e execut-lo sem interromper o trfego da rede. Para instal-lo em um roteador operacional, voc deve verificar se algumas definies de configurao esto presentes no arquivo de configurao do roteador. A figura mostra uma topologia na qual o administrador do sistema instalar o Cisco SDM no roteador R1. Para configurar o Cisco SDM em um roteador que j esteja em utilizao, sem interromper o trfego da rede, siga estas etapas:

Etapa 1. Acessar a interface CLI do roteador utilizando Telnet ou a conexo de console Etapa 2: Habilitar os servidores HTTP e HTTPS no roteador Etapa 3. Criar uma conta de usurio definida com um nvel de privilgio 15 (habilitar privilgios). Etapa 4. Configurar SSH e Telnet para login local e nvel de privilgio15. Clique no boto Sada do roteador na figura. A sada do comando na tela mostra um exemplo da configurao necessria para assegurar que voc possa instalar e executar o Cisco SDM em um roteador de produo sem interromper o trfego da rede. Exibir meio visual

4.4.3 Iniciando o Cisco SDM Pgina 1: O Cisco SDM fica armazenado na memria flash do roteador. Ele tambm pode ser armazenado em um PC local. Para iniciar o Cisco SDM, utilize o protocolo HTTPS e coloque o endereo IP do roteador no navegador. A figura mostra o navegador com um endereo https://198.162.20.1 e a pgina iniciar do Cisco SDM. O prefixo http:// poder ser utilizado se o SSL no estiver disponvel. Quando a caixa de dilogo de nome de usurio e senha for exibida (no mostrada), digite um nome de usurio e uma senha para a conta privilegiada (nvel de privilgio 15) no roteador. Depois que a pgina inicial for exibida, um applet Java do Cisco SDM assinado ser exibido, devendo permanecer aberto enquanto o Cisco SDM estiver em execuo. Por ser um applet Java do Cisco SDM assinado, talvez voc seja solicitado a aceitar um certificado. O alerta de segurana do certificado exibido no canto direito inferior da figura. Nota: a sequncia de etapas do login pode variar, dependendo da execuo do Cisco SDM em um computador pessoal ou diretamente em um roteador Cisco ISR. Exibir meio visual

4.4.4 A interface do Cisco SDM Pgina 1: Viso geral da pgina inicial do Cisco SDM Depois que o Cisco SDM for iniciado e voc fizer login, a primeira pgina exibida ser a pgina de viso geral.

Essa pgina exibe o modelo do roteador, a memria total, as verses da memria flash, do IOS e do SDM, alm do hardware instalado e um resumo de alguns recursos de segurana, como o status do firewall e o nmero de conexes VPN ativas. Mais especificamente, ele fornece informaes bsicas sobre o hardware do roteador, o software e a configurao: Barra de menus a parte superior da tela tem uma barra de menus tpica com File, Edit, View, Tools e itens do menu Help. Tool abaixo da barra de menus, esto os assistentes SDM e os modos que voc pode escolher. Informaes do roteador o modo atual exibido no lado esquerdo sob a barra de ferramentas.

Nota: a barra de menus, a barra de ferramenta e o modo atual so sempre exibidos na parte superior de cada tela. As outras reas da tela so alteradas de acordo com o modo e a funo que voc est executando.

Viso geral da configurao resume os parmetros da configurao. Para exibir a configurao em execuo, clique no boto View Running-Config.

Exibir meio visual

Pgina 2: Sobre a rea do roteador Quando clicar nos botes na figura, voc poder ver os detalhes associados a cada um dos seguintes elementos da GUI (interface grfica do usurio): About Your Router (Sobre o seu roteador) a rea da homepage do Cisco SDM que mostra informaes bsicas sobre o hardware e o software do roteador e inclui os seguintes elementos:

Host Name (Nome do host) esta rea mostra o nome de host configurado para o roteador, que RouterX Hardware esta rea mostra o nmero do modelo do roteador, a quantidade disponvel e o total de RAM e a quantidade da memria flash disponvel. Software esta rea descreve as verses do software IOS Cisco e do Cisco SDM em execuo no roteador. A barra Feature Availability, localizada na parte inferior da guia About Your Router, mostra os recursos disponveis na imagem do IOS Cisco que o roteador est utilizando. Se o indicador ao lado de cada recurso estiver verde, ele estar

disponvel. Se estiver vermelho, ele no estar disponvel. As marca de seleo mostram que o recurso est configurado no roteador. Na figura, o Cisco SDM mostra que IP, firewall, VPN, IP e NAC esto disponveis, mas apenas o IP est configurado. Exibir meio visual

Pgina 3: rea de viso geral da configurao A figura mostra a rea de viso geral da configurao da homepage do Cisco SDM. Quando clicar nos botes na figura, voc poder ver os detalhes associados a cada um dos seguintes elementos da interface grfica do usurio:

Interfaces and Connections (Interfaces e conexes) esta rea exibe informaes relacionadas interface e conexo, inclusive o nmero de conexes ativadas e desativadas, o nmero total de interfaces de rede local e WAN presentes no roteador, e o nmero de interfaces de rede local e WAN configuradas atualmente no roteador. Ela tambm exibe informaes de DHCP. Firewall Policies (Polticas de firewall) esta rea exibe informaes relacionadas a firewall, inclusive se um firewall estiver ativado, o nmero de interfaces confiveis (dentro), no confiveis (fora) e DMZ. Ela tambm exibe o nome da interface qual um firewall foi aplicado, se a interface foi projetada como uma interface interna ou externa, e se a regra NAT foi aplicada a essa interface. VPN esta rea exibe informaes relacionadas VPN, inclusive o nmero de conexes VPN ativas, o nmero de conexes VPN ponto a ponto configuradas e o nmero de clientes VPN ativos. Routing (Roteamento) esta rea exibe o nmero de rotas estticas e quais protocolos de roteamento esto configurados.

Exibir meio visual

4.4.5 Assistentes do Cisco SDM Pgina 1: O Cisco SDM fornece vrios assistentes para ajudar a configurar um roteador Cisco ISR. Quando uma tarefa escolhida na rea de tarefas na interface grfica do usurio do Cisco SDM, o painel de tarefas permite escolher um assistente. A figura mostra vrias telas da interface grfica do usurio do Cisco SDM para o assistente NAT bsico. O NAT ser discutido posteriormente no curso Servios de endereamento IP. Consulte http://www.cisco.com/go/sdm para obter as informaes mais recentes sobre os assistentes do Cisco SDM e as interfaces de suporte. Exibir meio visual

4.4.6 Bloqueando um roteador com o Cisco SDM Pgina 1: O assistente de bloqueio em uma etapa do Cisco SDM implementa praticamente todas as configuraes de segurana oferecidas pelo Cisco AutoSecure. O assistente de bloqueio em uma etapa acessado pela interface grfica do usurio Configure, clicando-se na tarefa Security Audit. O assistente de bloqueio em uma etapa testa a configurao do seu roteador para problemas de segurana potenciais e faz automaticamente todas as alteraes na configurao necessrias para corrigir todos os problemas encontrados. No considere que a rede esteja segura s porque voc executou um bloqueio em uma etapa. Alm disso, nem todos os recursos do Cisco AutoSecure so implementados no Cisco SDM. Entre os recursos do AutoSecure so implementados de maneira diferente no Cisco SDM esto os seguintes:

Desabilita o SNMP e no configura o SNMP verso 3. Habilita e configura SSH em imagens do IOS Cisco criptografadas No habilite o Service Control Point ou desabilite outro acesso e servios de transferncia de arquivos como FTP.

Clique nos botes na figura para explorar as etapas do assistente de bloqueio em uma etapa Cisco. Exibir meio visual

4.5 Gerenciamento seguro do roteador


4.5.1 Mantendo imagens do software IOS Cisco Pgina 1: Periodicamente, o roteador exige que as atualizaes sejam carregadas no sistema operacional ou no arquivo de configurao. Essas atualizaes so necessrias para corrigir vulnerabilidades de segurana conhecidas, dar suporte a novos recursos que permitem polticas de segurana mais avanadas ou melhorar o desempenho. Nota: Nem sempre uma ideia boa atualizar para a verso mais recente do software IOS Cisco. Muitas vezes esse release no estvel. H determinadas diretrizes que voc deve seguir ao alterar o software IOS Cisco em um roteador. As alteraes so classificadas como atualizaes. Uma atualizao substitui um release por outro sem atualizar o conjunto de recursos. O software pode ser atualizado para corrigir um bug ou substituir um release para o qual no haja mais suporte. As atualizaes so gratuitas.

Uma atualizao substitui um release por outro que tenha um conjunto de recursos melhorado. O software pode ser melhorado para adicionar novos recursos ou tecnologias, ou substituir um release para o qual no haja mais suporte. As atualizaes no so gratuitas. Cisco.com oferece diretrizes para ajudar a determinar que mtodo se aplica. A Cisco recomenda seguir um processo de migrao de quatro fases para simplificar as operaes e o gerenciamento da rede. Ao seguir um processo que pode ser repetido, voc tambm pode aproveitar os custos reduzidos em operaes, gerenciamento e treinamento. As quatro fases so:

Planejar definir metas, identificar recursos, hardware e software da rede de perfil e criar uma programao preliminar a fim de migrar para novos releases. Projetar escolha novos releases do IOS Cisco e criar uma estratgia a fim de migrar para eles. Implementar programe e execute a migrao. Operar monitore o progresso da migrao e faa cpias de backup das imagens em execuo na sua rede.

H vrias ferramentas disponveis em Cisco.com para ajudar na migrao do software IOS Cisco. Voc pode utilizar as ferramentas para obter informaes sobre releases, conjuntos de recursos, plataformas e imagens. As seguintes ferramentas no exigem um login em Cisco.com:

Cisco IOS Reference Guide abrange os fundamentos da famlia de software IOS Cisco Documentos tcnicos do software IOS Cisco documentao de cada release do software IOS Cisco Cisco Feature Navigator localiza verses que do suporte a um conjunto de recursos de software e hardware e compara releases

As seguintes ferramentas exigem contas de login vlidas no Cisco.com:


Download do software downloads do software IOS Cisco Conjunto de ferramentas para bug procura correes de software conhecidas com base na verso do software, no conjunto de recursos e palavraschave Software Advisor compara releases, os recursos do software IOS Cisco e do OS Cisco Catalyst em busca de releases, alm de descobrir qual release do software d suporte a um determinado dispositivo de hardware IOS Cisco Upgrade Planner localiza releases por hardware, release e conjunto de recursos, alm de fazer o download de imagens do software IOS Cisco

Para obter uma listagem completa das ferramentas disponveis em Cisco.com, v para http://www.cisco.com/en/US/support/tsd_most_requested_tools.html. Exibir meio visual

4.5.2 Gerenciando imagens do IOS Cisco Pgina 1: Sistemas de arquivos e dispositivos IOS Cisco A disponibilidade da rede talvez esteja em risco caso uma configurao do roteador ou do sistema operacional esteja comprometida. Os atacantes que obtm acesso a dispositivos de infraestrutura podem alterar ou excluir arquivos de configurao. Eles tambm podem carregar imagens do IOS incompatveis ou excluir a imagem atual. As alteraes so solicitadas automaticamente ou sempre que o dispositivo for reinicializado. Para atenuar esses problemas, voc precisa ser capaz de salvar, fazer backup e restaurar a configurao e as imagens do IOS. Para isso, voc aprende a realizar algumas operaes de gerenciamento de arquivo no software IOS Cisco. Os dispositivos do IOS Cisco fornecem um recurso chamado IOS Cisco Integrated File System (IFS). Esse sistema permite criar, navegar e manipular diretrios em um dispositivo Cisco. Os diretrios disponveis dependem da plataforma. Por exemplo, a figura exibe a sada do comando show file systems que lista todos os sistemas de arquivos disponveis em um roteador Cisco 1841. Esse comando fornece informaes detalhadas, como a memria disponvel e livre, o tipo do sistema de arquivos e suas permisses. Entre as permisses esto somente leitura (ro), somente gravao (wo) e leitura e gravao (rw). Embora haja vrios sistemas de arquivos listados, os que nos interessam sero os sistemas de arquivos tftp, memria flash e nvram. O restante dos sistemas de arquivos listados est alm do escopo deste curso. Entre os sistemas de arquivos de rede esto FTP, trivial FTP (TFTP) ou Protocolo de cpia remota (RCP, Remote Copy Protocol). Este curso aborda o TFTP. Observe que o sistema de arquivos da memria flash tambm tem uns asteriscos que o precedem, o que indica que se trata do sistema de arquivos padro atual. Lembre-se de que, como o IOS inicializvel est localizado na memria flash, o smbolo de sustenido (#) adicionado listagem da memria flash indica se tratar de um disco inicializvel.

Clique no boto Memria flash na figura. Esta figura lista o contedo do sistema de arquivos padro atual, que, neste caso, a memria flash, conforme indicao pelos asteriscos que precedem a listagem na figura anterior. H vrios arquivos localizados na memria flash, mas a ltima listagem que interessa especificamente. Trata-se do nome da imagem do arquivo do IOS atual em execuo na memria RAM. Clique no boto NVRAM na figura. Para exibir o contedo da NVRAM, voc deve alterar o sistema de arquivos padro atual utilizando o comando de alterao de diretrio cd. O comando do diretrio de trabalho atual pwd verifica se estamos no diretrio da NVRAM. Por fim, o comando dir lista o contedo da NVRAM. Embora haja vrios arquivos de configurao listados, o que nos interessa especificamente o arquivo de configurao de inicializao. Exibir meio visual

Pgina 2: Prefixos de URL para dispositivos Cisco Quando um administrador de rede quiser transferir arquivos em um computador, o sistema operacional oferecer uma estrutura de arquivos visvel para especificar origens e destinos. Os administradores no tm sugestes visuais ao trabalhar na CLI de um roteador. O comando show file systems no tpico anterior exibiu os vrios sistemas de arquivos disponveis na plataforma Cisco 1841. Os locais dos arquivos so especificados no Cisco IFS utilizando a conveno de URL. As URLs utilizadas pelas plataformas IOS Cisco so semelhantes ao formato que voc conhece da Web. Por exemplo, TFTP na figura : tftp://192.168.20.254/configs/backup-config. A expresso "tftp:" chamada de prefixo. Tudo o que estiver depois das duas barras (//) define o local. 192.168.20.254 o local do servidor TFTP. "configs" o diretrio mestre. "backup-config" o nome de um arquivo.

O prefixo da URL especifica o sistema de arquivos. Passe o mouse sobre os vrios botes na figura para exibir os prefixos mais comuns e a sintaxe associada a cada um deles. Exibir meio visual

Pgina 3: Comandos para gerenciar arquivos de configurao A boa prtica para manter a disponibilidade do sistema assegurar que voc sempre tenha cpias de backup dos arquivos de configurao de inicializao e dos arquivos de imagem do IOS. O comando copy do IOS Cisco utilizado para mover arquivos de configurao de um componente ou dispositivo para outro, como RAM, NVRAM ou um servidor TFTP. A figura reala a sintaxe do comando. A seguir, exemplos da utilizao comum do comando copy. Os exemplos listam dois mtodos para realizar as mesmas tarefas. O primeiro exemplo uma sintaxe simples e o segundo exemplo fornece um exemplo mais explcito. Copie a configurao em execuo da RAM para a configurao de inicializao na NVRAM: R2# copy running-config startup-config R2# copy system:running-config nvram:startup-config Copie a configurao em execuo da RAM para um local remoto: R2# copy running-config tftp: R2# copy system:running-config tftp: Copie uma configurao de uma origem remota para a configurao em execuo: R2# copy tftp: running-config R2# copy tftp: system:running-config Copie uma configurao de uma origem remota para a configurao de inicializao: R2# copy tftp: startup-config R2# copy tftp: nvram:startup-config Exibir meio visual

Pgina 4: Convenes de nomenclatura do arquivo do IOS Cisco O arquivo de imagem do IOS Cisco se baseia em uma conveno de nomenclatura especial. O nome do arquivo de imagem do IOS Cisco contm vrias partes, cada uma com um significado especfico. importante que voc compreenda essa conveno de nomenclatura ao atualizar e escolher um IOS. Por exemplo, o nome de arquivo na figura explicado da seguinte forma: A primeira parte, c1841, identifica a plataforma na qual a imagem executada. Nesse exemplo, a plataforma Cisco 1841. A segunda parte, ipbase, especifica o conjunto de recursos. Nesse caso, "ipbase" se refere imagem de rede IP bsica. Entre outras possibilidades do conjunto de recursos esto: i designa o conjunto de recursos IP j designa o conjunto de recursos enterprise (todos os protocolos) s designa um conjunto de recursos PLUS (enfileiramento extra, manipulao ou tradues) 56i designa a criptografia DES IPsec de 56 bits 3 designa o firewall/IDS k2 designa a criptografia IPsec 3DES (168 bits) A terceira parte, mz, indica onde a imagem executada e se o arquivo est compactado. Nesse exemplo, "mz" indica que o arquivo executado na RAM e est compactado. A quarta parte, 12.3-14.T7, o nmero de verso. A parte final, bin, a extenso do arquivo. A extenso .bin indica que esse um arquivo executvel binrio. Exibir meio visual

4.5.3 Imagens do IOS Cisco gerenciadas pelo TFTP Pgina 1: Utilizando servidores TFTP para gerenciar imagens do IOS Cisco As redes interconectadas de produo normalmente abrangem grandes reas e contm vrios roteadores. uma tarefa importante de um administrador sempre atualizar as imagens do IOS Cisco sempre que exploraes e vulnerabilidades forem detectadas. Tambm uma boa prtica assegurar que todas as suas plataformas estejam executando a mesma verso de software IOS Cisco sempre que possvel. Por fim, para qualquer rede, sempre prudente reter uma cpia de backup da imagem do software IOS Cisco caso a imagem do sistema no roteador seja corrompida ou apagada acidentalmente. Roteadores muito espalhados precisam de uma origem ou local de backup para imagens do software IOS Cisco. A utilizao de um servidor TFTP de rede permite uploads e downloads de imagem e configurao pela rede. O servidor TFTP de rede pode ser outro roteador, uma estao de trabalho ou um sistema de host. Na medida em que uma rede cresce, o armazenamento das imagens do software IOS Cisco e dos arquivos de configurao no servidor TFTP central permite controlar o nmero e o nvel de reviso das imagens do IOS Cisco, alm dos arquivos de configurao que devem ser mantidos. Antes de alterar uma imagem do IOS Cisco no roteador, voc precisa concluir estas tarefas: Determinar a memria obrigatria para a atualizao e, se necessrio, instalar a memria adicional. Configurar e testar o recurso de transferncia de arquivos entre o host do administrador e o roteador. Programar a indisponibilidade obrigatria, normalmente fora do horrio comercial, para o roteador executar a atualizao.

Quando voc estiver pronto para fazer a atualizao, execute estas etapas: Desativar todas as interfaces no roteador em que no precisa haver a atualizao. Fazer backup do sistema operacional atual e do arquivo de configurao atual para um servidor TFTP. Carregar a atualizao no sistema operacional ou no arquivo de configurao. Testar para confirmar se a atualizao funciona corretamente. Se os testes tiverem xito, voc poder reabilitar as interfaces que desabilitou. Se os testes no tiverem xito, faa o backup da atualizao, determine o que saiu errado e recomece.

Um grande desafio para operadores de rede de rede ser minimizar a indisponibilidade depois que um roteador for comprometido e o sistema operacional e os dados de configurao tiverem sido apagados do backup. O operador deve recuperar uma cpia arquivada (se houver) da configurao e deve restaurar uma imagem funcional no roteador. A recuperao deve ser executada para todos os roteadores afetados, que adiciona indisponibilidade total rede. Lembre-se de que o recurso de configurao flexvel do software IOS Cisco permite um roteador proteger e manter uma cpia funcional da imagem do sistema operacional em execuo e a configurao para que esses arquivos consigam suportar tentativas maliciosas de apagar o contedo do backup (NVRAM e memria flash). Exibir meio visual

4.5.4 Fazendo backup e atualizando a imagem do software Pgina 1: Fazendo backup da imagem do software IOS Entre as tarefas bsicas de gerenciamento esto gravar backups dos seus arquivos de configurao, bem como fazer download e instalar arquivos de configurao melhorados quando houver orientao para isso. Um arquivo de imagem de backup do software criado copiando-se o arquivo de imagem de um roteador para um servidor TFTP na rede. Para copiar um software de imagem do IOS Cisco da memria flash para o servidor TFTP em rede, voc deve seguir estas etapas sugeridas. Clique nos botes Topologia e Config na figura na medida em que avana cada etapa. Etapa 1. Executar ping no servidor TFTP para ter certeza de que voc possui acesso a ele. Etapa 2. Verificar se o servidor TFTP tem espao em disco suficiente para acomodar a imagem do software IOS Cisco. Utilize o comando show flash: no roteador para determinar o tamanho do arquivo de imagem do IOS Cisco. O comando show flash: uma ferramenta importante para coletar informaes sobre a memria do roteador e o arquivo de imagem. Ele pode determinar o seguinte: Quantidade total de memria flash no roteador Memria flash disponvel

Nome de todos os arquivos armazenados na memria flash

Com as etapas 1 e 2 concludas, agora faa o backup da imagem do software. Etapa 3. Copiar o arquivo de imagem do sistema atual do roteador para o servidor TFTP na rede, utilizando o comando copy flash: tftp: no modo EXEC privilegiado. O comando exige que voc digite o endereo IP do host remoto e o nome dos arquivos de imagem de origem e de destino. Durante o processo de cpia, pontos de exclamao (!) indicam o progresso. Cada ponto de exclamao significa que um segmento UDP foi transferido com xito. Exibir meio visual

Pgina 2: Atualizando imagens do software IOS Cisco A atualizao de um sistema para verso de software mais nova exige o carregamento de um arquivo de imagem do sistema diferente no roteador. Utilize o comando copy tftp: flash: para fazer o download da nova imagem a partir do servidor TFTP na rede. Clique no boto Config na figura. O comando solicita a voc digitar o endereo IP do host remoto e o nome dos arquivos de imagem de origem e de destino. Digite o nome do arquivo apropriado da imagem de atualizao da mesma forma como ele exibido no servidor. Depois que essas entradas forem confirmadas, o prompt Erase flash: ser exibido. Apagar a memria flash libera espao para a nova imagem. Apague a memria flash se no houver espao suficiente para mais de uma imagem do IOS Cisco. Se nenhuma memria flash livre estiver disponvel, a rotina de excluso ser obrigatria antes da cpia de novos arquivos. O sistema informa essas condies e solicita uma resposta. Cada ponto de exclamao (!) significa que um segmento UDP foi transferido com xito. Nota: verifique se a imagem do IOS Cisco carregada apropriada plataforma do roteador. Se a imagem do IOS Cisco errada estiver carregada, o roteador no poder ser inicializado, o que exige a interveno do monitor ROM (ROMmon). Exibir meio visual

Pgina 3: Nesta atividade, voc ir configurar o acesso a um servidor TFTP e carregar uma imagem mais nova e mais avanada do IOS Cisco. Embora o Packet Tracer simule a atualizao da imagem do IOS Cisco em um roteador, o Packet Tracer no simula o backup de uma imagem do IOS Cisco no servidor TFTP. Alm disso, embora a imagem de atualizao seja mais avanada, essa simulao do Packet Tracer no refletir a atualizao, habilitando comandos mais avanados. O mesmo conjunto de comandos do Packet Tracer ainda estar em vigor. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

4.5.5 Recuperando imagens de software Pgina 1: Restaurando imagens do software IOS Cisco Um roteador no pode funcionar sem seu software IOS Cisco. Caso o IOS seja excludo ou corrompido, um administrador deve copiar uma imagem para o roteador para que ele volte a ficar operacional Um mtodo para realizar isso seria utilizar a imagem do IOS Cisco salva anteriormente no servidor TFTP. No exemplo da figura, foi feito o backup da imagem do IOS de R1 em um servidor TFTP conectado a R2. R1 no pode chegar a esse servidor TFTP em seu estado atual. Quando um IOS em um roteador for excludo acidentalmente da memria flash, o roteador continuar operacional porque o IOS est em execuo na RAM. No entanto, essencial que o roteador no seja reinicializado neste momento porque ele no seria capaz de localizar um IOS vlido na memria flash. Na figura, o IOS do roteador R1 foi excludo acidentalmente da memria flash. Infelizmente, o roteador foi reinicializado e no consegue mais carregar um IOS. Agora ele carrega o prompt do ROMmon por padro. Enquanto estiver nesse estado, o roteador R1 precisa recuperar o IOS, que foi copiado para o servidor TFTP conectado ao R2. Nesse cenrio, o TFTP ser conectado diretamente ao roteador R1. Com as preparaes no servidor TFTP, realize o procedimento a seguir.

Etapa 1. Conecte os dispositivos. Conecte o PC do administrador de sistema porta de console do roteador afetado. Conecte o servidor TFTP primeira porta Ethernet do roteador. Na figura, como R1 um Cisco 1841, a porta Fa0/0. Habilite o servidor TFTP e configure-o com um endereo IP esttico 192.168.1.1/24.

Etapa 2. Inicializar o roteador e definir as variveis do ROMmon. Como o roteador no tem uma imagem vlida do IOS Cisco, o roteador inicializa automaticamente no modo ROMmon. H pouqussimos comandos disponveis no modo ROMmon. Voc pode exibir esses comandos, digitando-se ? no prompt de comando rommon>. Voc deve inserir todas as variveis listadas na figura. Quando voc inserir as variveis no ROMmon, esteja atento ao seguinte: Os nomes de varivel diferenciam maisculas de minsculas. No inclua nenhum espao antes ou depois do smbolo =. Sempre que possvel, utilize um editor de texto para recortar e colar as variveis na janela do terminal. Toda a linha deve ser digitada com preciso. As teclas de navegao no so operacionais.

Agora o Roteador R1 deve ser configurado com os valores apropriados para se conectar ao servidor TFTP. A sintaxe dos comandos do ROMmon muito crucial. Embora os endereos IP, a mscara de sub-rede e o nome da imagem na figura sejam apenas exemplos, essencial que a sintaxe exibida seja seguida durante a configurao do roteador. Lembre-se de que as variveis reais iro mudar de acordo com a sua configurao. Quando voc tiver inserido as variveis, passe prxima etapa. Etapa 3. Digitar o comando tftpdnld no prompt do modo ROMmon. O comando exibe as variveis de ambiente obrigatrias e adverte que todos os dados existentes na memria flash sero apagados. Digite y para continuar e pressione Enter. O roteador tenta se conectar ao servidor TFTP para iniciar o download. Quando conectado, o download comea conforme a indicao pelos pontos de exclamao (!). Cada ! indica que um segmento UDP foi recebido pelo roteador.

Voc pode utilizar o comando reset para reiniciar o roteador com a nova imagem do IOS Cisco. Exibir meio visual

Pgina 2: Utilizando xmodem para restaurar uma imagem do IOS Cisco A utilizao do comando tftpdnld uma forma muito rpida de copiar o arquivo de imagem. Outro mtodo para restaurar uma imagem do IOS Cisco para um roteador utilizando Xmodem. No entanto, a transferncia de arquivos realizada utilizando-se o cabo de console e, por isso, muito lenta quando comparada com o comando tftpdnld. Se a imagem do IOS Cisco for perdida, o roteador entrar no modo ROMmon durante a inicializao. O ROMmon d suporte a Xmodem. Com esse recurso, o roteador pode se comunicar com um aplicativo de emulao de terminal, como HyperTerminal, no PC de um administrador de sistema. Um administrador de sistema que tenha uma cpia da imagem do IOS Cisco em um PC pode restaur-la no roteador, estabelecendo uma conexo de console entre o PC e o roteador e executando o Xmodem no HyperTerminal. As etapas que o administrador segue so mostradas na figura. Etapa 1. Conectar o PC do administrador de sistema porta console no roteador afetado. Abra uma sesso de emulao de terminal entre o roteador R1 e o PC do administrador de sistema. Etapa 2. Inicializar o roteador e emitir o comando xmodem no prompt de comando do modo ROMmon. A sintaxe do comando xmodem [-cyr] [filename]. A opo cyr varia de acordo com a configurao. Por exemplo, -c especifica CRC-16, y especifica o protocolo Ymodem e r copia a imagem para a RAM. O nome de arquivo o do arquivo a ser transferido. Aceite todos os prompts quando solicitado, conforme mostrado na figura. Etapa 3. A figura mostra o processo de envio de um arquivo utilizando HyperTerminal. Neste caso, escolha Transfer > Send File. Etapa 4. Navegue at o local da imagem do IOS Cisco que voc deseja transferir e escolha o protocolo Xmodem. Clique em Send. Uma caixa de dilogo exibida com o status do download. Demora vrios segundos para que o host e o roteador comecem a transferncia das informaes.

Assim que o download comea, os campos Pacote e Decorrido so incrementados. Anote o indicador de tempo restante estimado. O tempo de download poderia ser muito maior se voc alterasse a velocidade da conexo do HyperTerminal e do roteador de 9.600 b/s para 115.000 b/s. Quando a transferncia for concluda, o roteador ser reiniciado automaticamente com o novo IOS Cisco. Exibir meio visual

4.5.6 Identificao e soluo de problemas de configuraes do IOS Cisco Pgina 1: Comandos de identificao e soluo de problemas do IOS Cisco Quando voc tiver uma imagem do IOS Cisco vlida em execuo em todos os roteadores na rede e todas as configuraes tiverem backup, voc poder ajustar as configuraes manualmente para dispositivos individuais a fim de melhorar o desempenho na rede. Dois comandos muito utilizados na administrao de rede diria so show e debug. A diferena entre os dois significativa. Um comando show lista os parmetros configurados e seus valores. O comando debug permite rastrear a execuo de um processo. Utilize o comando show para verificar as configuraes. Utilize o comando debug para identificar o trfego que passa pelas interfaces e processado pelo roteador. A figura resume as caractersticas dos comandos show e debug. O melhor momento para obter informaes sobre a sada gerada por esses comandos ser quando uma rede estiver totalmente operacional. Dessa forma, voc conseguir reconhecer o que est faltando ou est incorreto ao utilizar os comandos para identificar e solucionar problemas de uma rede. Exibir meio visual

Pgina 2: Utilizando o comando show O comando show exibe informaes estticas. Utilize os comandos show ao coletar fatos para isolar problemas em redes interconectadas, inclusive problemas com interfaces, ns, mdias, servidores, clientes ou aplicativos. Voc tambm pode us-lo sempre para confirmar se as alteraes feitas na configurao foram implementadas.

A figura fornece um exemplo do comando show protocols. O guia de comandos do IOS Cisco lista 1.463 comandos show. Quando voc estiver no prompt de comando, digite show ? para obter uma lista de comandos show disponveis para o nvel e o modo de operao. Exibir meio visual

Pgina 3: Utilizando o comando debug Ao configurar um roteador, os comandos que voc digita iniciam muito mais processos do que os que voc v na linha de cdigo simples. Por isso, o rastreamento das suas configuraes digitadas linha por linha no revela todas as possibilidades de erro. Em vez disso, voc precisa de uma forma de capturar dados dos dispositivos medida que cada etapa em um processo em execuo iniciado. Por padro, o roteador envia a sada dos comandos debug e as mensagens de erro do sistema para a console. Lembre-se de que voc pode redirecionar a sada do comando debug para um servidor syslog. Nota: a sada do comando de depurao recebe prioridade alta na fila de processos da CPU e, por isso, pode interferir em processos de produo normais em uma rede. Por isso, utilize comandos debug durante momentos de inatividade e somente para identificar e solucionar problemas especficos. O comando debug exibe dados e eventos dinmicos. Utilize o debug para verificar o fluxo do trfego de protocolo em busca de problemas, bugs em protocolo ou configuraes incorretas. O comando debug fornece um fluxo de informaes sobre o trfego visto (ou no) em uma interface, mensagens de erro geradas por ns na rede, pacotes de diagnstico especficos de protocolo e outros dados de identificao e soluo de problemas. Utilize comandos debug quando as operaes no roteador ou na rede precisarem ser exibidas para determinar se eventos ou pacotes esto funcionando corretamente. Todos os comandos debug so digitados no modo EXEC privilegiado, e a maioria dos comandos debug no tem nenhum argumento. Para listar e ver uma descrio resumida de todas as opes de comando de depurao, digite debug ? no modo EXEC privilegiado. Cuidado: importante desativar a depurao quando voc terminar a identificao e soluo de problemas. A melhor forma de assegurar que no haja nenhuma operao de depurao prolongada utilizando o comando no debug all. Exibir meio visual

Pgina 4: Consideraes durante a utilizao do comando debug Um caso utilizar comandos debug para identificar e solucionar problemas em uma rede de laboratrio sem o trfego do aplicativo de usurio final. Outro caso utilizar os comandos debug em uma rede de produo da qual usurios dependem para o fluxo de dados. Sem as precaues apropriadas, o impacto de um comando debug poderia piorar as coisas. Com a utilizao apropriada, seletiva e temporria dos comandos debug, voc pode obter informaes possivelmente teis sem precisar de um analisador de protocolo ou de outra ferramenta de terceiros. Outras consideraes para a utilizao dos comandos debug so as seguintes:

Quando as informaes necessrias do comando debug so interpretadas e a depurao (e qualquer outra configurao relacionada, se houver) for concluda, o roteador poder retomar sua comutao mais rpidamente. A soluo de problemas pode ser reiniciada, um melhor plano de ao pode ser criado e o problema da rede, resolvido. Saiba que os comandos debug podem gerar muito mais dados do que a pouca utilizao para um determinado problema. Normalmente, o conhecimento do protocolo ou dos protocolos em depurao obrigatrio para a interpretao apropriada das sadas do comando debug. Ao utilizar ferramentas de identificao e soluo de problemas debug, lembrese de que os formatos da sada do comando variam de acordo com cada protocolo. Alguns geram uma nica linha de sada do comando por pacote, outros geram vrias linhas de sada do comando por pacote. Alguns comandos debug geram grandes quantidades de sada de comando; outros s geram sada de comando ocasional. Alguns geram linhas de texto e outros geram informaes no formato de campo.

Exibir meio visual

Pgina 5: Comandos relacionados ao comando debug Para utilizar as ferramentas de depurao efetivamente, voc deve considerar o seguinte: Impacto que uma ferramenta de identificao e soluo de problemas tem no desempenho do roteador Utilizao mais seletiva e concentrada da ferramenta de diagnstico

Como minimizar o impacto da identificao e soluo de problemas em outros processos que competem pelos recursos no dispositivo de rede Como parar a ferramenta de identificao e soluo de problemas quando o diagnstico for concludo para que o roteador possa retomar sua comutao mais eficiente

Para otimizar a utilizao eficiente do comando debug, estes comandos podem ajudar:

O comando service timestamps utilizado para adicionar um registro de data e hora a uma mensagem de depurao ou log. Esse recurso pode fornecer informaes importantes sobre quando houve elementos de depurao e o tempo entre os eventos. O comando show processes exibe a utilizao da CPU para cada processo. Esses dados podem influenciar decises sobre a utilizao de um comando debug se indicarem que o sistema de produo j est sendo muito utilizado na adio de um comando debug. O comando no debug all desabilita todos os comandos debug. Esse comando pode liberar recursos do sistema depois que voc conclui a depurao. O comando terminal monitor exibe a sada do comando debug e as mensagens de erro do sistema do terminal e da sesso atuais. Ao executar Telnet em um dispositivo e emitir um comando debug, voc no ver nenhuma sada do comando, a menos que esse comando seja digitado.

Exibir meio visual

4.5.7 Recuperando uma senha de roteador Pgina 1: Sobre a recuperao de senha Voc j se esqueceu da senha de um roteador? Talvez no, mas algum dia na sua carreira, voc certamente conhecer algum que se esquecer e precisar recuper-la. A primeira coisa que precisa saber sobre a recuperao de senha que, por razes de segurana, voc deve ter acesso fsico ao roteador. Voc conecta o seu PC ao roteador por meio de um cabo de console. As senhas enable password e enable secret password protegem o acesso aos modos EXEC privilegiado e de configurao. A enable password pode ser recuperada, mas a enable secret criptografada, devendo ser substituda por uma nova senha. O registro de configurao um conceito sobre qual voc obter mais informaes posteriormente nos seus estudos. O registro de configurao semelhante s configurao da BIOS do seu PC, que controlam o processo de inicializao. Entre

outras coisas, a BIOS informa ao PC que disco rgido inicializar. Em um roteador, um registro de configurao, representado por um nico valor hexadecimal, informa ao roteador que etapas especficas executar quando lig-lo. Os registros de configurao tm muitas utilizaes e a recuperao de senha costuma ser a mais utilizada. Exibir meio visual

Pgina 2: Procedimento de recuperao de senha do roteador Para recuperar a senha de um roteador, faa o seguinte: Preparar o dispositivo Etapa 1. Conectar-se porta de console. Etapa 2. Mesmo perdida a enable password, ainda assim voc teria acesso ao modo EXEC usurio. Digite show version no prompt e grave a definio do registro de configurao. R>#show version <sada do comando show omitida> Configuration register is 0x2102 R1> O registro de configurao normalmente definido como 0x2102 ou 0x102. Se no puder mais acessar o roteador (porque um login ou uma senha TACACS foi perdido), voc poder supor tranquilamente que o registro de configurao esteja definido como 0x2102. Etapa 3. Utilizar a chave liga/desliga para desligar o roteador e lig-lo novamente. Etapa 4. Emita um sinal de break no terminal em 60 segundos aps ligar o roteador no ROMmon. Um sinal de break enviado utilizando uma sequncia de chaves de interrupo apropriada ao programa terminal e ao sistema operacional. Clique no boto Ignorar inicializao na figura. Etapa 5. Digitar confreg 0x2142 no prompt rommon 1>. Isso faz o roteador ignorar a configurao de inicializao na qual a enable password esquecida armazenada.

Etapa 6. Digitar reset no prompt rommon 2>. O roteador reinicializado, mas ignora a configurao salva. Etapa 7. Digitar no depois de cada pergunta de configurao ou pressionar Ctrl-C para ignorar o procedimento de configurao inicial. Etapa 8. Digitar enable no prompt Router>. Isso leva voc ao modo enable, devendo ser capaz de ver o prompt Router#. Clique no boto Acessar NVRAM na figura. Etapa 9. Digitar copy startup-config running-config para copiar o contedo da NVRAM para a memria RAM. Tome cuidado! No digite copy running-config startup-config, ou voc apagar a sua configurao de inicializao. Etapa 10. Digitar show running-config. Nessa configurao, o comando shutdown exibido em todas as interfaces porque todas elas esto desativadas no momento. Mas o mais importante que agora voc pode ver as senhas (enable password, enable secret, vty, console) nos formatos criptografado ou no-criptografado. Voc pode reutilizar senhas no-criptografadas. Voc deve alterar senhas criptografadas para uma nova senha. Clique no boto Redefinir senhas na figura. Etapa 11. Digitar configure terminal. O prompt R1(config)# exibido. Etapa 12. Digitar enable secret password para alterar a senha enable secret. Por exemplo: R1(config)# enable secret cisco Etapa 13. Emitir o comando no shutdown em todas as interfaces desejadas. Voc pode emitir um comando show ip interface brief para confirmar se a configurao da sua interface est correta. Todas as interfaces que voc deseja usar devem ser exibidas como ativadas. Etapa 14. Digitar config-register configuration_register_setting. configuration_register_setting o valor registrado na Etapa 2 ou 0x2102. Por exemplo: R1(config)#config-register 0x2102

Etapa 15. Pressionar Ctrl-Z ou digitar end para sair do modo de configurao. O prompt R1# exibido. Etapa 16. Digitar copy running-config startup-config para confirmar as alteraes. Agora voc concluiu a recuperao de senha. A digitao do comando show version ir confirmar que o roteador utilizar a definio do registro de configurao configurado na prxima reinicializao. Exibir meio visual

4.6 Laboratrios do captulo


4.6.1 Configurao bsica de segurana Pgina 1: Neste laboratrio, voc ir aprender a configurar a segurana bsica de rede usando a rede mostrada no diagrama de topologia. Voc saber como configurar a segurana do roteador de trs maneiras diferentes: utilizando a CLI, o recurso auto-secure e o Cisco SDM. Voc tambm aprender a gerenciar o software IOS Cisco. Exibir meio visual

4.6.2 Configurao avanada de segurana Pgina 1: Neste laboratrio, voc ir configurar a segurana usando a rede mostrada no diagrama de topologia. Se voc precisar de assistncia, consulte o laboratrio bsico de segurana. No entanto, tente fazer o mximo possvel. Para este laboratrio, no use a proteo por senha ou login em nenhuma linha de console porque isso pode causar o logout acidental. No entanto, voc ainda deve proteger a linha de console usando outros meios. Utilize ciscoccna em todas as senhas deste laboratrio. Exibir meio visual

4.6.3 Identificao e soluo de problemas de configurao de segurana Pgina 1: Sua empresa contratou recentemente um novo engenheiro de rede que criou alguns problemas de segurana na rede com configuraes incorretas e omisses. Seu chefe lhe pediu para corrigir os erros que o novo engenheiro cometeu ao configurar os roteadores. Enquanto corrige os problemas, verifique se todos os dispositivos esto seguros, mas ainda acessveis para administradores, e que todas as redes so alcanveis. Todos os roteadores devem ser acessveis com SDM do PC1. Verificar se um dispositivo seguro usando ferramentas como Telnet e ping. O uso no autorizado dessas ferramentas deve ser bloqueado. Por outro lado, o uso autorizado deve ser permitido. Para este

laboratrio, no use a proteo por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenrio. Exibir meio visual

4.7 Resumo do captulo


4.7.1 Resumo do captulo Pgina 1: A importncia da segurana de rede no pode ser subestimada. Este captulo enfatizou a importncia de desenvolver uma poltica de segurana efetiva e de aceitar o que ela exige que voc faa. Voc conhece as ameaas sua rede, tanto internas quanto externas, e sabe as etapas bsicas que voc precisa executar para se proteger dessas ameaas. Alm disso, agora voc compreende os requisitos para equilibrar segurana em relao a acesso. Os ataques de rede vm de todas as direes e de muitas formas. Os ataques de senha so fceis de iniciar e fceis de se conter. As tticas da engenharia social exigem que os usurios desenvolvam um determinado nvel de desconfiana e cuidado. Quando consegue acesso rede, um atacante podem literalmente abrir todos os trincos. Mas os atacantes nem sempre obtm acesso para acabar com tudo. Os ataques de negao de servio podem ser iniciados, sobrecarregando os recursos de rede ao ponto em que no conseguem mais funcionar. Worms, vrus e cavalos-de-Troia podem penetrar redes e continuar se espalhando e infectando os dispositivos. Uma das principais tarefas na proteo de uma rede proteger os roteadores. Os roteadores so o gateway da rede, sendo os alvos bvios. Conversas administrativas bsicas incluindo segurana fsica, manuteno do IOS e backup dos arquivos de configurao j so um comeo. O software IOS Cisco fornece vrios recursos de segurana para proteger roteadores e bloquear acessosos por portas e servios utilizados, e a maioria deles pode ser feito utilizando-se o recurso de bloqueio em uma etapa do Cisco SDM. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Esta atividade uma reviso cumulativa do captulo que abrange o roteamento e a autenticao de OSPF e a atualizao da imagem do IOS Cisco. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo.

Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

4.8 Teste do captulo


4.8.1 Teste do captulo Pgina 1: Exibir meio visual

5 ACLs
5.0 Introduo
5.0.1 Introduo Pgina 1: Segurana de rede um assunto enorme, e grande parte dele est alm do escopo deste curso. No entanto, uma das habilidades mais importantes das quais um administrador de rede precisa dominar as listas de controle de acesso (ACLs). Os administradores utilizam as ACLs a fim de parar o trfego ou permitir apenas o trfego especificado enquanto interrompe todo o restante do trfego em suas redes. Este captulo inclui uma oportunidade para desenvolver o seu domnio de ACLs com uma srie de lies, atividades e exerccios de laboratrio. Os designers de rede utilizam firewalls para proteger redes do uso no autorizado. Os firewalls so solues em hardware ou software que aplicam polticas de segurana de rede. Considere uma trava na porta de um quarto dentro de um edifcio. A trava s permite que usurios autorizados com uma chave ou carto de acesso abram a porta. Da mesma forma, um firewall filtra pacotes no autorizados ou potencialmente perigosos para que no entrem na rede. Em um roteador Cisco, voc pode configurar um firewall simples que fornea recursos de filtragem de trfego bsicos utilizando ACLs. Uma ACL uma lista sequencial de instrues de permisso ou negao que se aplicam a endereos ou protocolos de camada superior. As ACLs fornecem uma forma eficiente de controlar o trfego dentro e fora da sua rede. Voc pode configurar as ACLs para todos os protocolos de rede roteados. A razo mais importante para configurar as ACLs fornecer segurana para a sua rede. Este captulo explica como utilizar ACLs padro e estendidas como parte de uma soluo em segurana e ensina como configur-las em um roteador Cisco. Dicas, consideraes, recomendaes e diretrizes gerais sobre como utilizar ACLs so includas.

Exibir meio visual

5.1 Utilizando as ACLs para proteger redes


5.1.1 Uma conversa TCP Pgina 1: As ACLs permitem controlar o trfego dentro e fora da sua rede. Esse controle pode ser to simples quanto permitir ou negar hosts de rede ou endereos. No entanto, as ACLs tambm podem ser configuradas para controlar o trfego da rede com base na porta TCP utilizada. Para compreender como uma ACL funciona com o TCP, permita-nos observar o dilogo que ocorre durante uma conversa TCP quando voc faz o download de uma pgina da Web no seu computador. Quando voc solicita dados de um servidor Web, o IP cuida da comunicao entre o PC e o servidor. O TCP cuida da comunicao entre o seu navegador (aplicativo) e o software do servidor de rede. Quando voc envia um email, observa uma pgina da Web ou faz o download de um arquivo, o TCP responsvel por dividir os dados em pacotes IP para que eles sejam enviados, alm de montar os dados a partir dos pacotes quando eles chegam. O processo TCP muito semelhante a uma conversa na qual dois ns em uma rede concordam em transmitir dados entre um e o outro. Lembre-se de que o TCP fornece um servio de fluxo de bytes confivel, orientado conexo. O termo orientado a conexo significa que os dois aplicativos que utilizam o TCP devem estabelecer uma conexo TCP para que eles possam trocar dados. TCP um protocolo em full duplex, o que significa que cada conexo TCP d suporte a um par de fluxos de bytes, cada um com fluxo em uma direo. O TCP inclui um mecanismo de controle de fluxo para cada fluxo de bytes que permite ao receptor limitar quantos dados o remetente pode transmitir. O TCP tambm implementa um mecanismo de controle de congestionamento. Clique no boto Reproduzir na figura para exibir a animao. A animao mostra como ocorre uma conversa TCP/IP. Os pacotes TCP so marcados com flags que denotam sua finalidade: SYN inicia (sincroniza) a sesso; ACK uma confirmao (ACK) de que o pacote aguardado foi recebido e FIN encerra a sesso. SYN/ACK confirma que a transferncia foi sincronizada. Entre os segmentos de dados TCP esto o protocolo de nvel mais alto necessrio ao direcionamento dos dados de aplicativo para o aplicativo correto. Clique no boto Nmeros de porta TCP/UDP na figura. O segmento de dados TCP tambm identifica a porta correspondente ao servio solicitado. Por exemplo, HTTP a porta 80, SMTP a porta 25 e FTP a porta 20 e 21. A figura mostra exemplos de portas UDP e TCP.

Clique nos botes da figura para explorar portas TCP/UDP. Exibir meio visual

5.1.2 Filtragem de pacote Pgina 1: A filtragem de pacote, s vezes chamada de filtragem de pacote esttica, controla o acesso a uma rede, analisando os pacotes de entrada e de sada e transmitindo ou paralisando-os com base em critrios informados. Um roteador funciona como um filtro de pacote ao encaminhar ou negar pacotes de acordo com as regras de filtragem. Quando um pacote chega ao roteador de filtragem de pacote, o roteador extrai determinadas informaes do cabealho do pacote e toma decises de acordo com as regras do filtro quanto possibilidade do pacote ser transmitido ou descartado. A filtragem de pacote funciona na camada de rede do modelo de referncia OSI ou na camada de Internet do TCP/IP. Por ser um dispositivo da Camada 3, um roteador de filtragem de pacote utiliza regras para determinar se deve permitir ou negar trfego com base nos endereos IP de origem e de destino, na porta de origem e na porta de destino, alm do protocolo do pacote. Essas regras so definidas utilizando-se listas de controle de acesso ou ACLs. Lembre-se de que uma ACL uma lista sequencial de instrues de permisso ou negao que se aplicam a endereos IP ou protocolos de camada superior. A ACL pode extrair as seguintes informaes do cabealho do pacote, test-lo em relao s suas regras e tomar decises "permitir" ou "negar" com base em: Endereo IP de origem Endereo IP de destino Tipo de mensagem ICMP

A ACL tambm pode extrair informaes de camada superior e test-las em relao s suas regras. Entre as informaes da camada superior esto: Porta de origem TCP/UDP Porta de destino TCP/UDP

Clique nos botes da figura para obter uma viso geral de como uma ACL permite ou nega um pacote. Embora as animaes exibam a filtragem de pacote que ocorre na Camada 3, preciso observar que a filtragem tambm poderia ocorrer na Camada 4. Exibir meio visual

Pgina 2: Exemplo de filtragem de pacote Para compreender o conceito de como um roteador utiliza a filtragem de pacote, imagine que um segurana foi colocado diante de uma porta fechada. As instrues do segurana so para permitir apenas as pessoas cujos nomes esto em uma lista para passar pela porta. O segurana est filtrando as pessoas com base nos critrios da presena de seus nomes na lista autorizada. Por exemplo, voc poderia dizer, "S permita acesso Web para usurios da rede A. Negue acesso Web para usurios da rede B, mas permita a eles todos os demais acessos". Consulte a figura para examinar o caminho de deciso utilizado pelo filtro de pacote para realizar essa tarefa. Para esse cenrio, o filtro de pacote observa todos os pacotes da seguinte forma: Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele ter permisso para passar. Todos os demais acessos so negados para esses usurios. Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele ser bloqueado. No entanto, todos os demais acessos so permitidos.

Este apenas um simples exemplo. Voc pode configurar vrias regras para ainda permitir ou negar servios a usurios especficos. Voc tambm pode filtrar pacotes no nvel de porta utilizando uma ACL estendida, abordada na Seo 3. Exibir meio visual

5.1.3 O que ACL? Pgina 1: ACL um script de configurao de roteador que controla se um roteador permite ou nega a passagem a pacotes com base nos critrios encontrados no cabealho de pacote. As ACLs esto entre os objetos mais utilizados no software IOS Cisco. As ACLs tambm so utilizadas para selecionar tipos de trfego a ser analisado, encaminhado ou processado de outras formas. Na medida em que cada pacote passa por uma interface com uma ACL associada, a ACL verificada de cima para baixo, uma linha por vez, procurando um padro correspondente ao pacote de entrada. A ACL aplica uma ou mais polticas de segurana corporativas, aplicando uma regra de permisso ou negao para determinar o destino do pacote. As ACLs podem ser configuradas para controlar o acesso a uma rede ou subrede.

Por padro, um roteador no tem nenhuma ACL configurada e, por isso, no filtra o trfego. O trfego que entra no roteador roteado de acordo com a tabela de roteamento. Se voc no utilizar as ACLs no roteador, todos os pacotes que puderem ser roteados pelo roteador passaro pelo roteador at o prximo segmento de rede. Aqui esto algumas diretrizes para utilizar ACLs: Utilize as ACLs em roteadores de firewall colocados entre as suas redes interna e externa, como a Internet. Utilize as ACLs em um roteador colocado entre duas partes da sua rede para controlar o trfego que entra ou sai de uma determinada parte da sua rede interna. Configure as ACLs em roteadores de borda (roteadores situados nas extremidades das suas redes). Isso fornece um buffer muito bsico da rede externa ou entre uma rea menos controlada da sua prpria rede e uma rea mais confidencial da sua rede. Configure as ACLs para cada protocolo de rede configurado nas interfaces do roteador de borda. Voc pode configurar as ACLs em uma interface para filtrar o trfego de entrada, o trfego de sada ou ambos.

Clique no boto ACLs em um roteador na figura. Os trs Ps Uma regra geral para aplicar as ACLs em um roteador pode ser lembrada, basta memorizar os trs Ps. Voc pode configurar uma ACL por protocolo, por direo, por interface:

Uma ACL por protocolo para controlar o fluxo de trfego em uma interface, uma ACL deve ser definida para cada protocolo habilitado na interface. Uma ACL por direo as ACLs controlam o trfego em uma direo por vez em uma interface. Duas ACLs separadas devem ser criadas para controlar os trfegos de entrada e de sada. Uma ACL por interface as ACLs controlam o trfego de uma interface, por exemplo, Fast Ethernet 0/0.

Escrever ACLs pode ser uma tarefa desafiante e complexa. Cada interface pode ter vrios protocolos e direes definidas. O roteador no exemplo tem duas interfaces configuradas para IP, AppleTalk e IPX. Esse roteador pode exigir 12 ACLs separadas: uma ACL para cada protocolo, duas para cada direo e duas para o nmero de portas. As ACLs executam as seguintes tarefas:

Limitam o trfego da rede para aumentar o desempenho da rede. Por exemplo, se a poltica corporativa no permitir trfego de vdeo na rede, as ACLs que bloqueiam o trfego de vdeo podero ser configuradas e aplicadas. Isso reduziria muito a carga de rede e aumentaria o desempenho da rede. Fornecer controle de fluxo do trfego. As ACLs podem restringir a entrega das atualizaes de roteamento. Se as atualizaes no forem obrigatrias por conta das condies de rede, a largura de banda ser preservada. Fornea um nvel bsico de segurana para o acesso rede. As ACLs podem permitir a um host acessar uma parte da rede e impedir outro host de acessar a mesma rea. Por exemplo, o acesso rede de recursos humanos pode ser restringido para selecionar os usurios. Decida que tipos de trfego encaminhar ou bloquear nas interfaces do roteador. Por exemplo, uma ACL pode permitir trfego de email, mas bloqueia todo o trfego de Telnet. Controle as reas que um cliente pode acessar em uma rede. Os hosts na tela para permitir ou negar acesso a servios de rede. As ACLs podem permitir ou negar a um usurio o acesso a tipos de arquivo, como FTP ou HTTP.

As ACLs inspecionam pacotes de rede com base em critrios, como endereo de origem, endereo de destino, protocolos e nmeros de porta. Alm de permitir ou negar trfego, uma ACL pode classificar o trfego para habilitar o processamento por prioridades na linha. Esse recurso semelhante a ter uma passagem VIP para um show ou evento esportivo. A passagem VIP oferece privilgios a convidados selecionados no oferecidos a proprietrios de entradas, como poder entrar em uma rea restrita e ser escoltado at seus assentos. Exibir meio visual

5.1.4 Operao ACL Pgina 1: Como as ACLs funcionam As ACLs definem o conjunto de regras que do controle adicional para pacotes que entram por interfaces de entrada, pacotes retransmitidos pelo roteador e pacotes que saem pelas interfaces de sada do roteador. As ACLs no funcionam em pacotes com origem no prprio roteador. As ACLs so configuradas para se aplicar ao trfego de entrada ou ao trfego de sada.

ACLs de entrada os pacotes de entrada so processados antes de serem roteados para a interface de sada. Uma ACL de entrada ser eficiente porque evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for permitido pelos testes, o pacote ser processado para roteamento.

ACLs de sada os pacotes de entrada so roteados para a interface de sada e, em seguida, processados pela ACL de sada.

As instrues ACL funcionam em ordem sequencial. Elas avaliam pacotes em relao ACL, de cima para baixo, uma instruo por vez. A figura mostra a lgica de uma ACL de entrada. Se o cabealho de um pacote corresponder a uma instruo ACL, as demais instrues na lista sero ignoradas e o pacote ser permitido ou negado conforme determinao da instruo correspondente. Se o cabealho de um pacote no corresponder a uma instruo ACL, o pacote ser testado em relao prxima instruo da lista. Esse processo de comparao continua at o trmino da lista. Uma instruo includa no final abrange todos os pacotes para os quais as condies no se mostraram verdadeiras. Essa condio de teste final corresponde a todos os demais pacotes e resultados em uma instruo "negar". Em vez de continuar dentro ou fora de uma interface, o roteador ignora todos esses pacotes restantes. Essa instruo final costuma ser conhecida como "negar qualquer instruo implicitamente" ou "negar todo o trfego". Por conta dessa instruo, uma ACL deve ter pelo menos uma instruo de permisso; do contrrio, a ACL bloqueia todo o trfego. Voc pode aplicar uma ACL a vrias interfaces. No entanto, talvez s haja uma ACL por protocolo, direo e interface. Clique no boto ACLs de sada na figura. A figura mostra a lgica de uma ACL de sada. Para que um pacote seja encaminhado para uma interface de sada, o roteador verifica a tabela de roteamento para ver se o pacote pode ser roteado. Se no puder ser roteado, o pacote ser ignorado. Em seguida, o roteador verifica se a interface de sada agrupada em uma ACL. Os exemplos de operao de ACL de sada so os seguintes: Se a interface de sada no for agrupada em uma ACL de sada, o pacote ser enviado diretamente para a interface de sada. Se a interface de sada for agrupada em uma ACL de sada, o pacote no ser enviado pela interface de sada at ser testado pela combinao de instrues ACL associadas a essa interface. Com base nos testes ACL, o pacote permitido ou negado.

Para listas de sada, "permitir" significa enviar o pacote para o buffer de sada e "negar" significa descart-lo. Exibir meio visual

Pgina 2: A ACL e o roteamento e os processos ACL em um roteador A figura mostra a lgica do roteamento e dos processos ACL em um roteador. Quando um pacote chega a uma interface do roteador, o processo do roteador o mesmo, independentemente das ACLs serem utilizadas ou no. medida que um quadro entra em uma interface, o roteador verifica se o destino do endereo da Camada 2 de destino corresponde ao seu ou se o quadro de broadcast. Se o endereo do quadro for aceito, as informaes do quadro sero removidas e o roteador verificar se h uma ACL na interface de entrada. Se houver uma ACL, o pacote agora ser testado em relao s instrues na lista. Se o pacote corresponder a uma instruo, ele ser aceito ou rejeitado. Se for aceito na interface, o pacote ser verificado em relao s entradas da tabela de roteamento para determinar a interface de destino e comutado para essa interface. Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver uma ACL, o pacote ser testado em relao s instrues na lista. Se corresponder a uma instruo, o pacote ser aceito ou rejeitado. Se no houver nenhuma ACL ou o pacote for aceito, o pacote ser encapsulado no novo protocolo da Camada 2 e encaminhado pela interface para o prximo dispositivo. A instruo implcita do critrio "Negar todo o trfego" Ao final de toda lista de acesso, h uma instruo implcita do critrio "negar todo o trfego". Ela tambm conhecida s vezes como a instruo "deny any implcito". Por isso, se no corresponder a nenhuma das entradas ACL, um pacote ser bloqueado automaticamente. "negar todo o trfego" implcito o comportamento padro das ACLs, no podendo ser alterado. Existe uma advertncia chave associada a esse comportamento "negar tudo": para a maioria dos protocolos, se definir uma lista de acesso de entrada para a filtragem de trfego, voc dever incluir instrues de critrios da lista de acesso explcitas para permitir atualizaes de roteamento. Se no fizer, voc poder efetivamente perder a comunicao com a interface quando as atualizaes de roteamento forem bloqueadas pela instruo implcita "negar todo o trfego" ao final da lista de acesso. Exibir meio visual

5.1.5 Tipos de ACLs Cisco Pgina 1: H dois tipos de ACLs Cisco, padro e estendida. ACLs padro As ACLs padro permitem a voc permitir ou negar trfego de endereos IP de origem. O destino do pacote e as portas envolvidas no importam. O exemplo permite todo o trfego da rede 192.168.30.0/24. Por conta da "negar tudo" implcita ao final, todo os demais trfegos so bloqueados com essa ACL. As ACLs padro so criadas no modo de configurao global. Clique no boto ACL estendida na figura. ACLs estendidas As ACLs estendidas filtram pacotes IP com base em vrios atributos, por exemplo, tipo de protocolo, endereo IP de origem, endereo IP de destino, portas TCP e UDP de origem, portas TCP e UDP de destino e informaes do tipo de protocolo opcionais para maior granularidade de controle. Na figura, a ACL 103 permite trfego com origem em qualquer endereo na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). As ACLs estendidas so criadas no modo de configurao global. Os comandos para ACLs so explicados nos prximos tpicos. Exibir meio visual

5.1.6 Como uma ACL padro funciona Pgina 1: Uma ACL padro uma coleo sequencial de condies para permitir e negar que se aplicam a endereos IP. O destino do pacote e as portas envolvidas no so abordados. O processo de deciso est mapeado na figura. O software IOS Cisco testa endereos em relao s condies individualmente. A primeira correspondncia determina se o software aceita ou rejeita o endereo. Como o software para de testar condies depois da primeira correspondncia, a ordem das condies essencial. Se nenhuma condio corresponder, o endereo ser rejeitado. As duas tarefas principais envolvidas na utilizao das ACLs so as seguintes:

Etapa 1. Criar uma lista de acesso, especificando um nmero da lista de acesso ou nome e condies de acesso. Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal. Exibir meio visual

5.1.7 Numerando e nomeando ACLs Pgina 1: Utilizar ACLs numeradas um mtodo efetivo para determinar o tipo de ACL em redes menores com trfego definido de maneira mais homognea. No entanto, um nmero no informa a finalidade da ACL. Por essa razo, comeando pelo IOS Cisco release 11.2, voc pode utilizar um nome para identificar uma ACL Cisco. A figura sumariza a regra para designar as ACLs numeradas e as ACLs nomeadas. Em relao a ACLs numeradas, caso voc esteja se perguntando por que os nmeros de 200 a 1.299 so ignorados, porque esses nmeros so utilizados por outros protocolos. Este curso s aborda ACLs IP. Por exemplo, os nmeros de 600 a 699 so utilizados por AppleTalk, e os nmeros de 800 a 899 so utilizados por IPX. Exibir meio visual

5.1.8 Onde colocar ACLs Pgina 1: A localizao apropriada de uma ACL para filtrar trfego indesejvel faz a rede operar com mais eficincia. As ACLs podem agir como firewalls para filtrar pacotes e eliminar o trfego indesejvel. Onde voc coloca as ACLs pode reduzir o trfego desnecessrio. Por exemplo, o trfego a ser negado em um destino remoto no deve utilizar recursos de rede ao longo da rota at esse destino. Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficincia. As regras bsicas so: Localize as ACLs estendidas mais prximas da origem do trfego negado. Dessa forma, o trfego indesejvel filtrado sem atravessar a infraestrutura de rede. Como as ACLs padro no especificam endereos de destino, coloque-as o mais prximo possvel do destino.

Consideremos um exemplo de onde colocar as ACLs na nossa rede. A interface e o local de rede se baseiam naquilo que voc deseja que a ACL faa.

Na figura, o administrador deseja impedir o trfego com origem na rede 192.168.10.0/24 de chegar rede 192.168.30.0/24. Uma ACL na interface de sada de R1 tambm nega a R1 a possibilidade de enviar trfego a outros locais. A soluo colocar uma ACL padro na interface de entrada de R3 a fim de parar todo o trfego do endereo de origem 192.168.10.0/24. Uma ACL padro s atende s necessidades porque se preocupa com os endereos IP de origem. Clique no boto ACL estendida na figura. Considere que os administradores s podem colocar as ACLs em dispositivos que eles controlem. Por isso, o local deve ser determinado dentro do contexto de at onde o controle do administrador de rede se estende. Nesta figura, o administrador das redes 192.168.10.0/24 e 192.168.11.0/24 (conhecidas como Dez e Onze, respectivamente, neste exemplo) deseja negar o trfego Telnet e FTP de Onze para a rede 192.168.30.0/24 (Trinta, neste exemplo). Ao mesmo tempo, outro trfego deve ter permisso para deixar Dez. H vrias formas de fazer isso. Uma ACL estendida em R3 que bloqueasse Telnet e FTP em Onze realizaria a tarefa, mas o administrador no controla R3. Alm disso, essa soluo ainda permite ao trfego indesejado cruzar toda a rede apenas para ser bloqueado no destino. Isso afeta a eficincia geral da rede. Uma soluo utilizar uma ACL estendida de sada que especifique os endereos de origem e de destino (Onze e Trinta, respectivamente) e diga "O trfego Telnet e FTP de Onze no pode ir para Trinta". Coloque essa ACL estendida na porta de sada S0/0/0 de R1. Uma desvantagem dessa soluo que esse trfego de Dez tambm estaria sujeito a algum processamento por parte da ACL, embora o trfego Telnet e FTP seja permitido. A melhor soluo se aproximar da origem e colocar uma ACL estendida na interface de entrada Fa0/2 de R1. Isso assegura que pacotes de Onze no entram em R1 e, subsequentemente, no podem cruzar Dez ou mesmo entrar em R2 ou R3. O trfego com outros endereos de destino e portas ainda permitido em R1. Exibir meio visual

5.1.9 Diretrizes gerais para criar ACLs Pgina 1: Prticas recomendadas ACL A utilizao das ACLs exige ateno a detalhes e muito cuidado. Equvocos podem sair caros em termos de indisponibilidade, identificao e soluo de problemas e um servio de rede ruim. Antes de comear a configurar uma ACL, o planejamento bsico

obrigatrio. A figura apresenta diretrizes que formam a base de uma lista de prticas recomendadas da ACL. Exibir meio visual

Pgina 2: Exibir meio visual

5.2 Configurando ACLs padro


5.2.1 Inserindo instrues de critrios Pgina 1: Antes de comear a configurar uma ACL padro, revisaremos conceitos importantes da ACL abordados na Seo 1. Lembre-se de que, ao entrar no roteador, o trfego comparado com instrues ACL com base na ordem em que ocorrem as entradas no roteador. O roteador continua processando as instrues ACL at que haja uma correspondncia. Por essa razo, voc deve ter a entrada ACL mais utilizada na parte superior da lista. Se nenhuma correspondncia for encontrada quando o roteador chegar ao final da lista, o trfego ser negado porque as ACLs tm uma negao implcita para todo o trfego que no atenda a nenhum dos critrios testados. Uma ACL nica com apenas uma entrada de negao tem o efeito de negar todo o trfego. Voc deve ter pelo menos uma instruo de permisso em uma ACL, ou todo o trfego ser bloqueado. Por exemplo, as duas ACLs (101 e 102) na figura tm o mesmo efeito. A rede 192.168.10.0 teria permisso para acessar a rede 192.168.30.0, mas 192.168.11.0, no. Exibir meio visual

5.2.2 Configurando uma ACL padro Pgina 1: Lgica da ACL padro Na figura, os pacotes que chegam por Fa0/0 so verificados em relao aos seus endereos de origem: access-list 2 deny host 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255 Se forem permitidos, os pacotes sero roteados pelo roteador para uma interface de sada. Se no forem permitidos, os pacotes sero ignorados na interface de entrada. Exibir meio visual

Pgina 2: Configurando ACLs padro Para configurar ACLs padro numeradas em um roteador Cisco, voc deve primeiro criar a ACL padro e ativar a ACL em uma interface. O comando no modo de configurao global access-list define uma ACL padro com um nmero no intervalo de 1 a 99. O software IOS Cisco release 12.0.1 estendeu esses nmeros, permitindo de 1300 a 1999 fornecer um mximo de 799 ACLs padro possveis. Esses nmeros adicionais so conhecidos como ACLs IP expandidas. A sintaxe completa do comando ACL padro a seguinte: Router(config)#access-list access-list-number [deny | permit | remark] source [source-wildcard] [log] A sintaxe completa do comando da ACL padro para filtrar um determinado host a seguinte: Router(config)#access-list access-list-number [deny | permit] source [log] A figura fornece uma explicao detalhada da sintaxe de uma ACL padro. Por exemplo, para criar uma ACL numerada designada 10 que permitisse a rede 192.168.10.0 /24, voc digitaria: R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255 Clique no boto Remover ACL na figura. A forma no desse comando remove uma ACL padro. Na figura, a sada do comando show access-list exibe as ACLs atuais configuradas no roteador R1.

Para remover a ACL, o comando no modo de configurao global no access-list utilizado. A emisso do comando show access-list confirma se a lista de acesso 10 foi removida. Clique no boto Comentrio na figura. Normalmente, os administradores criam ACLs e compreendem perfeitamente todas as finalidades de cada instruo dentro da ACL. No entanto, quando uma ACL for revista mais tarde, talvez no seja to bvia quanto j foi. A palavra-chave remark utilizada na documentao e facilita muito a compreenso das listas de acesso. Cada comentrio limitado a 100 caracteres. A ACL na figura, embora bastante simples, utilizada para fornecer um exemplo. Durante a reviso da ACL na configurao, o comentrio tambm exibido. O prximo tpico explica como utilizar a mscara curinga para identificar redes especficas e hosts. Exibir meio visual

5.2.3 Mscara curinga ACL Pgina 1: Mascaramento curinga Entre as instrues ACLs esto mscaras, tambm chamadas de mscaras curinga. Mscara curinga uma string de dgitos binrios que informam ao roteador que partes do nmero da sub-rede observar. Embora no tenham nenhuma relao funcional com mscaras de sub-rede, as mscaras curinga fornecem uma funo semelhante. A mscara determina a proporo de um endereo IP de origem ou de destino a ser aplicada correspondncia de endereo. Os nmeros 1 e 0 na mscara identificam como tratar os bits de endereo IP correspondentes. No entanto, eles so utilizados para fins diferentes, seguindo regras diferentes. As mscaras curinga e de sub-rede tm 32 bits e utilizam 1s e 0s binrios. As mscaras de sub-rede utilizam 1s e 0s binrios para identificar a rede, a sub-rede e a poro de host de um endereo IP. As mscaras curinga utilizam 1s e 0s binrio para filtrar endereos IP individuais ou grupos e permitir ou negar acesso a recursos com base em um endereo IP. Definindo mscaras curinga com cuidado, voc pode permitir ou negar um ou vrios endereos IP As mscaras curinga e de sub-rede so diferentes quanto forma com que comparam 1s e 0s binrios. As mscaras curinga utilizam as seguintes regras para comparar 1s e 0s binrios:

Bit da mscara curinga 0 comparar o valor do bit correspondente no endereo Bit da mscara curinga 1 ignorar o valor do bit correspondente no endereo

A figura explica como mscaras curinga diferentes filtram endereos IP. Ao observar o exemplo, lembre-se de que o 0 binrio significa uma correspondncia e que o 1 binrio significa ignorar. Nota: as mscaras curinga costumam ser conhecidas como mscaras inversas. A razo que, diferentemente de uma mscara de sub-rede na qual o 1 binrio igual a uma correspondncia e 0 binrio, no, o inverso verdadeiro. Clique no boto Exemplo de mscara curinga na figura. Utilizando uma mscara curinga A tabela na figura mostra os resultados da aplicao de uma mscara curinga 0.0.255.255 a um endereo IP de 32 bits. Lembre-se de que um 0 binrio indica um valor correspondente. Exibir meio visual

Pgina 2: Mscaras curinga correspondentes a sub-redes IP O clculo da mscara curinga pode ser um pouco confuso inicialmente. A figura fornece trs exemplos de mscaras curinga. O primeiro exemplo que a mscara curinga estipula de que todo bit no IP 192.168.1.1 deve corresponder exatamente. A mscara curinga equivale mscara de sub-rede 255.255.255.255. No segundo exemplo, a mscara curinga estipula que qualquer coisa corresponder. A mscara curinga equivale mscara de sub-rede 0.0.0.0. No terceiro exemplo, a mscara curinga estipula que corresponder a qualquer host dentro da rede 192.168.1.0 /24. A mscara curinga equivale mscara de sub-rede 255.255.255.0. Esses exemplos foram bastante simples e diretos. No entanto, o clculo de mscaras curinga pode ficar um pouco mais difcil.

Clique no boto Mscara curinga 2 na figura. Os dois exemplos na figura so mais complicados do que os trs ltimos que voc exibiu. No exemplo 1, os dois primeiros octetos e os quatro primeiros bits do terceiro octeto devem corresponder exatamente. Os ltimos quatro bits no terceiro octeto e o ltimo octeto podem ser qualquer nmero vlido. Isso resulta em uma mscara que verifica de 192.168.16.0 a 192.168.31.0 O Exemplo 2 mostra uma mscara curinga que corresponde aos dois primeiros octetos, e o bit menos significativo no terceiro octeto. O ltimo octeto e os sete primeiros bits no terceiro octeto podem ser qualquer nmero vlido. O resultado uma mscara que permitiria ou negaria todos os hosts de sub-redes mpares dentro da rede principal 192.168.0.0. O clculo das mscaras curinga pode ser difcil, mas voc pode fazer isso facilmente, subtraindo a mscara de sub-rede de 255.255.255.255. Clique no boto Exemplo 1 na figura. Por exemplo, suponhamos que voc queira permitir o acesso a todos os usurios da rede 192.168.3.0. Subtraia a mscara de sub-rede, que 255.255.255.0 de 255.255.255.255, conforme a indicao na figura. A soluo produz a mscara curinga 0.0.0.255. Clique no boto Exemplo 2 na figura. Agora suponhamos que voc queira permitir o acesso rede para os 14 usurios da subrede 192.168.3.32 /28. Como a mscara da sub-rede IP 255.255.255.240, use 255.255.255.255 e subtraia da mscara de sub-rede 255.255.255.240. Desta vez, a soluo produz a mscara curinga 0.0.0.15. Clique no boto Exemplo 3 na figura. Neste terceiro exemplo, suponhamos que voc queira apenas comparar as redes 192.168.10.0 e 192.168.11.0. Novamente, voc usa 255.255.255.255 e subtrai a mscara de sub-rede normal, que, neste caso, seria 255.255.254.0. O resultado 0.0.1.255. Ainda que voc possa obter o mesmo resultado com duas instrues, como: R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.11.0 0.0.0.255

muito mais eficiente configurar a mscara curinga como: R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255 Isso pode no parecer mais eficiente, mas quando voc considera se quis comparar a rede 192.168.16.0 a 192.168.31.0 da seguinte forma: R1(config)# access-list 10 permit 192.168.16.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.17.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.18.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.19.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.21.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.22.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.23.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.24.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.25.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.26.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.27.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.28.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.29.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.30.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.31.0 0.0.0.255 Voc pode ver que a configurao da seguinte mscara curinga a torna mais eficiente: R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255 Exibir meio visual

Pgina 3: Palavras-chave de mscara curinga Trabalhar com representaes decimais de bits de mscara curinga binrios pode ser entediante. Para simplificar essa tarefa, as palavras-chave host e any ajudam a identificar as utilizaes mais comuns da mscara curinga. Essas palavras-chave eliminam a entrada de mscaras curinga durante a identificao de um host especfico ou rede. Elas tambm facilitam a leitura de uma ACL, fornecendo dicas visuais sobre a origem ou destino dos critrios.

A opo host substitui a mscara 0.0.0.0. Essa mscara informa que todos os bits de endereo IP devem corresponder ou apenas um host correspondente. A opo any substitui o endereo IP e a mscara 255.255.255.255. Essa mscara diz para ignorar todo o endereo IP ou aceitar qualquer endereo.

Exemplo 1: Processo de mscara curinga com um nico endereo IP No exemplo, em vez de inserir 192.168.10.10 0.0.0.0, voc pode utilizar host 192.168.10.10. Exemplo 2: Processo de mscara curinga com a correspondncia de qualquer endereo IP No exemplo, em vez de inserir 0.0.0.0 255.255.255.255, voc pode utilizar a palavrachave any sozinha. Exibir meio visual

Pgina 4: As palavras-chave any e host Nesta figura, temos dois exemplos. O Exemplo 1 est exibindo como utilizar a opo any para substituir 0.0.0.0 para o endereo IP com uma mscara curinga 255.255.255.255. O Exemplo 2 est exibindo como utilizar a opo host para substituir a mscara curinga. Exibir meio visual

5.2.4 Aplicando ACLs padro a interfaces Pgina 1: Procedimentos de configurao da ACL padro Depois de ser configurada, a ACL padro vinculada a uma interface utilizando-se o comando ip access-group: Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out} Para remover uma ACL de uma interface, primeiro digite o comando no ip accessgroup na interface e, em seguida, o comando global no access-list para remover toda a ACL. A figura lista as etapas e a sintaxe para configurar e aplicar uma ACL padro numerada em um roteador.

Clique no boto Exemplo 1 na figura para obter um exemplo de uma ACL que permita uma nica rede. Essa ACL s permite ao trfego da rede de origem 192.168.10.0 ser encaminhado por S0/0/0. O trfego das redes que no sejam 192.168.10.0 bloqueado. A primeira linha identifica a ACL como lista de acesso 1. Ela permite o trfego correspondente aos parmetros selecionados. Nesse caso, o endereo IP e a mscara curinga que identificam a rede de origem so 192.168.10.0 0.0.0.255. Lembre-se de que h uma instruo negar tudo implcita equivalente ao adicionar a linha access-list 1 deny 0.0.0.0 255.255.255.255. O comando de configurao da interface ip access-group 1 out vincula a ACL 1 interface Serial 0/0/0 como um filtro de sada. Por isso, a ACL 1 s permite a hosts da rede 192.168.10.0 /24 sair do roteador R1. Ela nega qualquer outra rede, inclusive a rede 192.168.11.0. Clique no boto Exemplo 2 na figura para obter um exemplo de uma ACL que negue um host especfico. Essa ACL substitui o exemplo anterior, mas tambm bloqueia o trfego de um endereo especfico. O primeiro comando exclui a verso anterior da ACL 1. A prxima instruo da ACL nega o host de PC1 localizado em 192.168.10.10. Qualquer outro host na rede 192.168.10.0 /24 permitido. Mais uma vez, as instrues negar implcitas correspondem a todas as demais redes. A ACL novamente reaplicada interface S0/0/0 em uma direo de sada. Clique no boto Exemplo 3 na figura para obter um exemplo de uma ACL que negue um host especfico e permita algumas sub-redes. Essa ACL substitui o exemplo anterior, mas ainda bloqueia o trfego do PC1 de host. Ela tambm permite a todo o outro trfego de rede local sair do roteador R1. Os dois primeiros comandos so iguais aos do exemplo anterior. O primeiro comando exclui a verso anterior da ACL 1 e a prxima instruo da ACL nega o host de PC1 localizado em 192.168.10.10. A terceira linha nova e permite todos os hosts das redes 192.168.x.x /16. Isso agora significa que todos os hosts da rede 192.168.10.0 /24 ainda correspondem, mas agora os hosts da rede 192.168.11.0, tambm.

A ACL novamente reaplicada interface S0/0/0 em uma direo de sada. Por isso, ambas as redes locais conectadas ao roteador R1 podem deixar a interface S0/0/0 com exceo do host de PC1. Exibir meio visual

Pgina 2: Utilizando uma ACL para controlar o acesso VTY A Cisco recomenda a utilizao de SSH em conexes administrativas para roteadores e switches. Se a imagem do software IOS Cisco em seu roteador no d suporte a SSH, voc pode melhorar parcialmente a segurana das linhas administrativas, restringindo o acesso a VTY. Restringir o acesso a VTY uma tcnica que permite definir quais endereos IP tm permisso de acesso Telnet ao processo EXEC do roteador. Voc pode controlar qual estao de trabalho administrativa ou rede gerencia o seu roteador com uma ACL e uma instruo access-class para as suas linhas VTY. Voc tambm pode utilizar essa tcnica com SSH mais melhorar ainda mais a segurana do acesso administrativo. O comando access-class no modo de configurao da linha restringe conexes de entrada e de sada entre um VTY especfico (em um dispositivo Cisco) e os endereos em uma lista de acesso. As listas de acesso padro e estendida se aplicam a pacotes que percorrem um roteador. Elas no foram projetadas para bloquear pacotes com origem dentro do roteador. Por padro, uma ACL estendida de Telnet de sada no impede sesses Telnet iniciadas por roteador. A filtragem do trfego Telnet normalmente considerada uma funo da ACL IP estendida porque filtra um protocolo de nvel mais alto. No entanto, como voc est utilizando o comando access-class para filtrar sesses Telnet de entrada ou de sada pelo endereo de origem e aplicar filtragem a linhas VTY, voc pode utilizar instrues ACL padro para controlar acesso a VTY. A sintaxe do comando access-class : access-class access-list-number {in [vrf-also] | out} O parmetro in restringe conexes de entrada entre um dispositivo Cisco e os endereos na lista de acesso, e o parmetro out restringe conexes de sada entre um determinado dispositivo Cisco e os endereos na lista de acesso.

Um exemplo que permite VTY 0 e 4 mostrado na figura. Por exemplo, a ACL na figura configurada para permitir a redes 192.168.10.0 e 192.168.11.0 acessar VTYs de 0 a 4. Todas as demais redes tm acesso negado a VTYs. O seguinte deve ser considerado durante a configurao das listas de acesso em VTYs: As restries idnticas devem ser definidas em todos os VTYs, porque um usurio pode tentar se conectar a um deles.

Exibir meio visual

5.2.5 Editando ACLs numeradas Pgina 1: Editando ACLs numeradas Durante a configurao de uma ACL, as instrues so adicionadas na ordem em que so inseridas no final da ACL. No entanto, no h nenhum recurso de edio interno que permita editar uma alterao em uma ACL. Voc no pode inserir ou excluir linhas de maneira seletiva. altamente recomendvel que qualquer ACL seja criada em um editor de texto, como o Bloco de Notas da Microsoft. Isso permite a voc criar ou editar a ACL e, em seguida, col-la no roteador. Em relao a uma ACL existente, voc poderia utilizar o comando show running-config para exibir a ACL, copiar e col-la no editor de texto, fazer as alteraes necessrias e recarreg-la. Por exemplo, suponhamos que o endereo IP de host na figura tenha sido digitado incorretamente. Em vez do host 192.168.10.100, deveria ter sido o host 192.168.10.11. Aqui esto as etapas para editar e corrigir a ACL 20: Etapa 1. Exibir a ACL utilizando o comando show running-config. O exemplo na figura utiliza a palavra-chave include para exibir apenas as instrues ACL. Etapa 2. Realar a ACL, copiar e col-la para o Bloco de Notas da Microsoft. Edite a lista conforme exigido. Quando a ACL for exibida corretamente no Bloco de Notas da Microsoft, realce-a e copie. Etapa 3. No modo de configurao global, desabilite a lista de acesso utilizando o comando no access-list 20. Do contrrio, as novas instrues seriam adicionadas ACL existente. Em seguida, cole a nova ACL na configurao do roteador. Deve-se mencionar que durante a utilizao do comando no access-list, nenhuma ACL est protegendo a sua rede. Alm disso, lembre-se de que, se cometer um erro na nova

lista, voc ter que desabilit-la e identificar e solucionar o problema. Nesse caso, mais uma vez, a sua rede no tem nenhuma ACL durante o processo de correo. Exibir meio visual

Pgina 2: Comentando ACLs Voc pode utilizar a palavra-chave remark para incluir comentrios sobre entradas em qualquer ACL padro ou estendida. Os comentrios simplificam a compreenso e a verificao da ACL. Cada linha de comentrio limitada a 100 caracteres. O comentrio pode ficar antes ou depois de uma instruo permit ou deny. Voc deve manter a consistncia quanto ao local onde coloca o comentrio para que fique claro o que cada um descreve em relao a instrues permit ou deny. Por exemplo, seria confuso ter alguns comentrios antes das instrues permit ou deny associadas e outros depois. Para incluir um comentrio sobre as ACLs padro ou estendida numeradas por IP, utilize o comando de configurao global access-list access-list number remark remark. Para remover o comentrio, utilize a forma no desse comando. No primeiro exemplo, a ACL padro permite o acesso estao de trabalho que pertence a Jones e nega acesso estao de trabalho que pertence a Smith. Para uma entrada em uma ACL nomeada, utilize o comando de configurao remark. Para remover o comentrio, utilize a forma no desse comando. O segundo exemplo mostra uma ACL nomeada estendida. Lembre-se da definio anterior de ACLs estendidas, de que elas so utilizadas para controlar nmeros de porta especficos ou servios. No segundo exemplo, o comentrio diz que a estao de trabalho de Jones no tem permisso para utilizar Telnet de sada. Exibir meio visual

5.2.6 Criando ACLs nomeadas padro Pgina 1: Nomear uma ACL facilita a compreenso de sua funo. Por exemplo, uma ACL para negar FTP poderia se chamar NO_FTP. Quando voc identifica a sua ACL com um nome em vez de um nmero, o modo de configurao e a sintaxe do comando so um pouco diferentes. A figura mostra as etapas para criar uma ACL nomeada padro.

Etapa 1. Comeando no modo de configurao global, utilizar o comando ip access-list para criar uma ACL nomeada. Os nomes de ACL so alfanumricos, devendo ser exclusivos e no comear com um nmero. Etapa 2. No modo de configurao da ACL nomeada, utilizar as instrues permit ou deny para especificar uma ou mais condies e determinar se um pacote foi encaminhado ou ignorado. Etapa 3. Retornar ao modo EXEC privilegiado com o comando end. Clique no boto Exemplo na figura. Na figura, a sada do comando da tela mostra os comandos utilizados para configurar uma ACL nomeada padro no roteador R1, a interface Fa0/0 que nega ao host 192.168.11.10 acesso rede 192.168.10.0. Usar maisculas em nomes da ACL no obrigatrio, mas os destaca durante a exibio da sada do comando running-config. Exibir meio visual

5.2.7 Monitorando e verificando ACLs Pgina 1: Quando voc concluir a configurao de uma ACL, utilize os comandos show do IOS Cisco para verificar a configurao. Na figura, o exemplo superior mostra a sintaxe do IOS Cisco para exibir o contedo de todas as ACLs. O exemplo inferior mostra o resultado da emisso do comando show access-lists no roteador R1. Os nomes de ACL em maisculas, VENDAS e ENG, se destacam na sada do comando na tela. Lembre-se de que voc comeou configurando as ACLs inicialmente; voc quis implementar as polticas de segurana da sua organizao. Agora que voc verificou se as ACLs esto configuradas conforme desejado, a prxima etapa confirmar se as ACLs funcionam conforme planejado. As diretrizes discutidas anteriormente nesta seo sugerem que voc configure as ACLs em uma rede de teste e implemente as ACLs testadas na rede de produo. Embora uma discusso sobre como preparar um cenrio de teste da ACL esteja alm do escopo deste curso, voc precisa saber que confirmar se as suas ACLs funcionam conforme o planejado pode ser um processo complexo e demorado. Exibir meio visual

5.2.8 Editando ACLs nomeadas

Pgina 1: As ACLs nomeadas tm uma grande vantagem sobre as ACLs numeradas por serem mais fceis de editar. Comeando pelo software IOS Cisco release 12.3, as ACLs IP nomeadas permitem excluir entradas individuais em uma ACL especfica. Voc pode usar nmeros de sequncia para inserir instrues em qualquer lugar da ACL nomeada. Se estiver utilizando uma verso anterior do software IOS Cisco, voc s poder adicionar instrues na parte inferior da ACL nomeada. Como pode excluir entradas individuais, voc pode modificar a sua ACL sem ter que excluir e, em seguida, reconfigurar toda a ACL. O exemplo na figura mostra uma ACL aplicada interface S0/0/0 de R1. Ela restringiu o acesso ao servidor Web. Observando este exemplo, voc pode ver duas coisas que ainda no viu neste curso: Clique no boto Sada do roteador na figura.

Na primeira sada do comando show, voc pode ver que a ACL nomeada WEBSERVER tem trs linhas numeradas que indicam regras de acesso para o servidor Web. Conceder acesso a outra estao de trabalho na lista requer apenas a insero de uma linha numerada. No exemplo, a estao de trabalho com o endereo IP 192.168.11.10 est sendo adicionada. A sada do comando show verifica se a nova estao de trabalho agora tem permisso.

Exibir meio visual

Pgina 2: As ACLs padro so scripts de configurao de roteador que controlam se um roteador permite ou nega pacotes com base no endereo de origem. Esta atividade vai ensinar a definir critrios de filtragem, configurar as ACLs padro, aplicar as ACLs a interfaces de roteador e verificar e testar a implementao da ACL. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.3 Configurando ACLs estendidas

5.3.1 ACLs estendidas Pgina 1: Testando pacotes com ACLs estendidas Para obter um controle de filtragem de trfego mais preciso, voc pode utilizar ACLs estendidas numeradas de 100 a 199 e de 2.000 a 2.699, fornecendo um total de 800 ACLs estendidas possveis. As ACLs estendidas tambm podem ser nomeadas. As ACLs estendidas so mais utilizadas que as ACLs padro porque fornecem um intervalo maior de controle e, por isso, acrescentam sua soluo de segurana. Assim como as ACLs padro, as ACLs estendidas verificam os endereos do pacote de origem, mas tambm verificam o endereo de destino, protocolos e nmeros de porta (ou servios). Isso proporciona um nmero maior de critrios nos quais a ACL se baseia. Por exemplo, uma ACL estendida pode permitir trfego de email simultaneamente de uma rede para um destino especfico enquanto nega transferncias de arquivos e navegao na Web. A figura mostra o caminho de deciso lgico utilizado por uma ACL estendida criada para filtragem com base nos endereos de origem e de destino, no protocolo e nos nmeros de porta. Neste exemplo, a ACL filtra primeiro o endereo de origem e, em seguida, a porta e o protocolo da origem. Em seguida, ela filtra o endereo de destino, a porta e o protocolo do destino e toma uma deciso final de permitir ou negar. Lembre-se de que, como as entradas so processadas em ACLs uma depois da outra, uma deciso 'No' no necessariamente equivale a 'Negar'. Na medida em que voc passa pelo caminho de deciso lgico, observe que um 'No' significa ir para a prxima entrada at que todas as entradas sejam testadas. Somente quando todas as entradas foram processadas que a deciso 'Permitir' ou 'Negar' finalizada. A prxima pgina fornece um exemplo de uma ACL estendida. Exibir meio visual

Pgina 2: Testando portas e servios A possibilidade de filtrar com base no protocolo e no nmero da porta permite criar ACLs estendidas muito especficas. Utilizando o nmero de porta apropriado, voc pode especificar um aplicativo, configurando o nmero de porta ou o nome de uma porta bem conhecida. A figura mostra alguns exemplos de como um administrador especifica um nmero de porta TCP ou UDP, colocando-o no final da instruo da ACL estendida. Operaes

lgicas podem ser utilizadas, como igual (eq), diferente (neq), maior que (gt) e menor que (lt). Clique no boto Portas na figura. A figura mostra como gerar uma lista dos nmeros de porta e palavras-chave que voc pode utilizar enquanto cria uma ACL utilizando R1(config)#access-list 101 permit tcp any eq ? . Exibir meio visual

5.3.2 Configurando ACLs estendidas Pgina 1: As etapas procedurais para configurar as ACLs estendidas so iguais a ACLs padro: voc primeiro cria a ACL estendida e s ento a ativa em uma interface. No entanto, a sintaxe do comando e os parmetros so mais complexos para dar suporte aos recursos adicionais fornecidos por ACLs estendidas. A figura mostra a sintaxe do comando comum para ACLs estendidas. O campo de rolagem fornece detalhes das palavras-chave e dos parmetros. Na medida em que avana neste captulo, h explicaes e exemplos que ampliaro ainda mais a sua compreenso. Clique no boto Configurando ACLs estendidas na figura. A figura mostra um exemplo de como voc poderia criar uma ACL estendida especfica para as suas necessidades de rede. Neste exemplo, o administrador de rede precisa restringir o acesso Internet para permitir apenas a navegao no site. A ACL 103 se aplica ao trfego que deixa a rede 192.168.10.0 e a ACL 104 ao trfego que chega rede. A ACL 103 atende primeira parte do requisito. Ela permite ao trfego proveniente de qualquer endereo na rede 192.168.10.0 ir para qualquer destino, estando sujeito limitao do trfego chegar apenas at as portas 80 (HTTP) e 443 (HTTPS). A natureza de HTTP exige que esse trfego volte na rede, mas o administrador de rede quer restringir esse trfego a trocas HTTP nos sites solicitados. A soluo em segurana deve negar qualquer outro trfego que chega at a rede. A ACL 104 faz isso bloqueando todo o trfego de entrada, exceto pelas conexes estabelecidas. HTTP estabelece conexes que comeam pela solicitao original e passam pela troca de mensagens ACK, FIN e SYN. Observe que o exemplo utiliza o parmetro established.

Esse parmetro permite a respostas trafegar com origem na rede 192.168.10.0 /24 e retornar entrada em s0/0/0. Uma correspondncia ocorrer se o datagrama TCP tiver os bits ACK ou de redefinio (RST) definidos, o que indica que o pacote pertence a uma conexo existente. Com o parmetro established, o roteador permitir apenas ao trfego estabelecido voltar e bloquear todos os demais trfegos. Exibir meio visual

5.3.3 Aplicando ACLs estendidas a interfaces Pgina 1: Nos diga como configurar uma lista de acesso estendida, aproveitando o exemplo anterior. Lembre-se de que ns queremos permitir aos usurios navegar em sites seguros e no seguros. Primeiro considere se o trfego que voc deseja filtrar est entrando ou saindo. A tentativa de acessar sites na Internet trfego saindo. Receber emails na Internet trfego entrando na empresa. No entanto, durante a considerao de como aplicar uma ACL a uma interface, entrar e sair ganham significados diferentes, dependendo do ponto de vista. No exemplo da figura, R1 tem duas interfaces. Ela tem uma porta serial, S0/0/0, e uma porta Fast Ethernet, Fa0/0. O trfego de Internet que chega entra pela interface S0/0/0, mas sai pela interface Fa0/0 para alcanar PC1. O exemplo aplica a ACL interface serial em ambas as direes. Clique no boto Negar FTP na figura. Este um exemplo da negao de trfego FTP na sub-rede 192.168.11.0 para a sub-rede 192.168.10.0, mas que permite todo o trfego restante. Observe a utilizao de mscaras curinga. Lembre-se de que, como o FTP exige as portas 20 e 21, voc precisa especificar ambas eq 20 e eq 21 para negar FTP. Com ACLs estendidas, voc pode escolher utilizar nmeros de porta como os do exemplo ou chamar uma porta bem conhecida pelo nome. Em um exemplo anterior de uma ACL estendida, as instrues foram anotadas da seguinte forma: access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data Observe que para FTP, ftp e ftp-data devem ser mencionados. Clique no boto Negar Telnet na figura.

Este exemplo nega trfego Telnet de 192.168.11.0, mas permite todo o trfego IP restante de qualquer outra origem para qualquer destino de entrada em Fa0/1. Observe a utilizao das palavras-chave any, o que significa de qualquer lugar para qualquer lugar. Exibir meio visual

5.3.4 Criando ACLs estendidas nomeadas Pgina 1: Voc pode criar ACLs estendidas nomeadas basicamente da mesma forma como criou ACLs padro nomeadas. Os comandos para criar uma ACL nomeada so diferentes para ACLs padro e estendidas. Comeando no modo EXEC privilegiado, siga estas etapas para criar uma ACL estendida utilizando nomes. Etapa 1. Comeando no modo de configurao global, utilizar o comando ip access-list extended name para definir uma ACL estendida nomeada. Etapa 2. No modo de configurao da ACL nomeada, especificar as condies que voc deseja permitir ou negar. Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando show access-lists [number | name]. Etapa 4. Como opo e etapa recomendada, salvar as suas entradas no arquivo de configurao com o comando copy running-config startup-config. Para remover uma ACL estendida nomeada, utilize o comando no modo de configurao global no ip access-list extended name. A figura mostra a verso nomeada da ACL criada anteriormente. Exibir meio visual

Pgina 2: As ACLs estendidas so scripts de configurao de roteador que controlam se um roteador permite ou nega pacotes com base no endereo de origem ou de destino, bem como protocolos ou portas. As ACLs estendidas do mais flexibilidade e granularidade do que as ACLs padro. Esta atividade vai ensinar a definir critrios de filtragem, configurar as ACLs estendidas, aplicar as ACLs a interfaces de roteador, e verificar e testar a implementao da ACL.

So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.4 Configurar ACLs complexas


5.4.1 O que so ACLs complexas? Pgina 1: Tipos de ACLs complexas As ACLs padro e estendidas podem se tornar a base para ACLs complexas, que fornecem funcionalidade adicional. A tabela na figura sumariza as trs categorias de ACLs complexas. Exibir meio visual

5.4.2 ACLs dinmicas Pgina 1: O que so ACLs dinmicas? O lock-and-key um recurso de segurana de filtragem de trfego que utiliza ACLs dinmicas, s vezes conhecidas como ACLs lock-and-key. O lock-and-key s est disponvel para trfego IP. As ACLs dinmicas dependem da conectividade Telnet, da autenticao (local ou remota) e das ACLs estendidas. A configurao da ACL dinmica comea com a aplicao de uma ACL estendida para bloquear trfego no roteador. Os usurios que desejam atravessar o roteador so bloqueados pela ACL estendida at utilizarem Telnet para se conectar ao roteador e serem autenticados. A conexo Telnet descartada, e uma ACL dinmica de entrada nica adicionada ACL estendida existente. Isso permite o trfego durante um perodo especfico; timeouts ociosos e absolutos so possveis. Quando utilizar ACLs dinmicas Algumas razes comuns para utilizar as ACLs dinmicas so as seguintes:

Quando voc quiser que um usurio remoto especfico ou grupo de usurios remotos acesse um host dentro da sua rede, ao mesmo tempo em que conectam nos hosts remotos via Internet. Lock-and-key autentica o usurio e permite acesso limitado pelo seu roteador de firewall a um host ou sub-rede durante um perodo finito. Quando voc deseja que um subconjunto de hosts em uma rede local acesse um host em uma rede remota protegida por um firewall. Com lock-and-key, voc s pode habilitar o acesso ao host remoto para o conjunto desejado de hosts locais. Lock-and-key exige que os usurios se autentiquem por meio de um servidor AAA, TACACS+ ou outro servidor de segurana antes de permitir a seus hosts acessar os hosts remotos.

Benefcios de ACLs dinmicas As ACLs dinmicas tm os seguintes benefcios de segurana em relao a ACLs padro e estendidas estticas: Utilizao de um mecanismo de desafio para autenticar usurios individuais. Gerenciamento simplificado em grandes redes interconectadas. Em muitos casos, a reduo do volume do processamento do roteador obrigatrio para ACLs. Reduo da oportunidade para invases rede por hackers. Criao de acesso de usurio dinmico por um firewall, sem comprometer outras restries de segurana configuradas.

Na figura, o usurio em PC1 um administrador que exige acesso backdoor rede 192.168.30.0 /24 localizada no roteador R3. Uma ACL dinmica foi configurada para permitir a FTP e HTTP acesso no roteador R3, mas apenas por um tempo limitado. Exibir meio visual

Pgina 2: Exemplos de ACL dinmica Considere um requisito para que um administrador de rede em PC1 obtenha acesso peridico rede (192.168.30.0 /24) pelo roteador R3. Para facilitar esse requisito, uma ACL dinmica configurada na interface serial S0/0/1 no roteador R3. Embora uma descrio detalhada da configurao para uma ACL dinmica esteja alm do escopo deste curso, til revisar as etapas de configurao. Clique no boto Config na figura para exibir um exemplo de uma configurao de ACL dinmica.

Passe o mouse sobre cada Etapa na figura para revisar as etapas de configurao da ACL dinmica. Exibir meio visual

5.4.3 ACLs reflexivas Pgina 1: O que so ACLs reflexivas? As ACLs reflexivas foram o trfego de resposta do destino de um pacote de sada conhecido recente a ir para a origem desse pacote de sada. Isso d mais controle sobre o trfego no qual voc tem permisso na sua rede e aumenta os recursos das listas de acesso estendidas. Os administradores de rede utilizam ACLs reflexivas para permitir trfego IP para sesses com origem em sua rede enquanto negam trfego IP para sesses com origem fora da rede. Essas ACLs permitem ao roteador gerenciar trfego de sesso dinamicamente. O roteador examina o trfego de sada e, quando v uma nova conexo, adiciona uma entrada a uma ACL temporria para permitir respostas. As ACLs reflexivas contm apenas entradas temporrias. Essas entradas so criadas automaticamente quando uma nova sesso IP comea, por exemplo, com um pacote de sada, e as entradas so removidas automaticamente quando a sesso termina. As ACLs reflexivas fornecem uma forma de filtragem de sesso mais real que uma ACL estendida utilizando o parmetro established apresentado anteriormente. Embora sejam semelhantes em termos conceituais ao parmetro established, as ACLs reflexivas tambm funcionam com UDP e ICMP, que no tm bits ACK ou RST. A opo established tambm no funciona com aplicativos que alteram dinamicamente a porta de origem do trfego de sesso. A instruo permit established s verifica bits ACK e RST, e no endereos de origem e destino. As ACLs reflexivas no so aplicadas diretamente a uma interface, mas so "aninhadas" em uma ACL IP nomeada estendida que se aplicada interface. As ACLs reflexivas s podem ser definidas com ACLs IP nomeadas estendidas. Elas no podem ser definidas com ACLs numeradas ou nomeadas padro ou com outras ACLs de protocolo. As ACLs reflexivas podem ser utilizadas com outras ACLs estendidas estticas e padro. Benefcios de ACLs reflexivas As ACLs reflexivas tm os seguintes benefcios:

Ajudam a proteger a sua rede contra hackers de rede e podem ser includas em uma defesa de firewall. Fornecem um nvel de segurana contra spoofing e determinados ataques DoS. As ACLs reflexivas so muito mais difceis de falsificar porque mais critrios de filtro devem corresponder para que um pacote tenha permisso. Por exemplo, os endereos de origem e de destino e os nmeros de porta, e no apenas os bits ACK e RST, so verificados. Simples de utilizar e, em comparao com ACLs bsicas, fornecem maior controle sobre quais pacotes entram na sua rede.

Exibir meio visual

Pgina 2: Exemplo de ACL reflexiva A figura mostra um exemplo no qual o administrador precisa de uma ACL reflexiva que permita trfego de sada e de entrada ICMP, enquanto permite apenas trfego TCP iniciado dentro da rede. Suponhamos que todo o restante do trfego seja negado. A ACL reflexiva aplicada interface de sada de R2. Clique no boto Config na figura. Embora a configurao completa de ACLs reflexivas esteja alm do escopo deste curso, a figura mostra um exemplo das etapas obrigatrias para configurar uma ACL reflexiva. Passe o mouse sobre cada Etapa na figura para revisar as etapas de configurao da ACL reflexiva. Exibir meio visual

5.4.4 ACLs baseada no tempo Pgina 1: O que so ACLs baseadas em tempo? As ACLs baseadas em tempo so semelhantes a ACLs estendidas em termos de funo, mas permitem o controle de acesso com base na hora. Para implementar ACLs baseadas em hora, voc cria um intervalo que define horas especficas do dia e da semana. Voc identifica o intervalo com um nome e se refere a ele por uma funo. As restries de hora so impostas na prpria funo. As ACLs baseadas em tempo tm muitos benefcios, como:

Oferece ao administrador de rede mais controle sobre a permisso ou a negao de acesso a recursos. Permite aos administradores de rede controlar mensagens de registro em log. As entradas ACL podem registrar o trfego em log em determinadas horas do dia, mas no constantemente. Por isso, os administradores podem simplesmente negar acesso sem analisar os muitos logs gerados durante horrios de pico.

Exibir meio visual

Pgina 2: Exemplo de ACL baseada em tempo Embora os detalhes da configurao completa de ACLs baseadas em tempo estejam alm do escopo deste curso, o seguinte exemplo mostra as etapas obrigatrias. No exemplo, uma conexo Telnet permitida da rede interna para a rede externa s segundas, quartas e sextas durante o horrio comercial. Clique no boto Config na figura. Etapa 1. Definir o intervalo para implementar a ACL e dar a ela um nome EVERYOTHERDAY, neste caso. Etapa 2. Aplicar o intervalo ACL. Etapa 3. Aplicar a ACL interface. O intervalo depende do relgio de sistema do roteador. O recurso funciona melhor com a sincronizao Network Time Protocol (NTP), mas o relgio do roteador pode ser utilizado. Exibir meio visual

5.4.5 Identificao e soluo de problemas de ACL comuns Pgina 1: A utilizao dos comandos show descritos anteriormente revela a maioria dos erros ACL mais comuns antes que eles causem problemas na sua rede. Felizmente, voc est utilizando um bom procedimento de teste para proteger a sua rede de erros durante o estgio de desenvolvimento da sua implementao de ACL. Ao observar uma ACL, verifique-a em relao s regras aprendidas sobre como criar ACLs corretamente. A maioria dos erros ocorre porque essas regras bsicas so

ignoradas. Na verdade, os erros mais comuns so inserir instrues ACL na ordem errada e no aplicar critrios apropriados s suas regras. Vejamos uma srie de problemas comuns e as solues. Clique em cada exemplo medida que l essas explicaes. Clique no boto Erro n 1 na figura. O host 192.168.10.10 no tem nenhuma conectividade com 192.168.30.12. Voc consegue ver o erro na sada do comando show access-lists? Soluo observar a ordem das instrues ACL. O host 192.168.10.10 no tem nenhuma conectividade telnet com 192.168.30.12 por conta da ordem da regra 10 na lista de acesso. Como o roteador processa as ACLs de cima para baixo, a instruo 10 nega o host 192.168.10.10, logo, a instruo 20 no processada. As instrues 10 e 20 devem ser invertidas. A ltima linha permite todo o restante do trfego no TCP em IP (ICMP, UDP etc.). Clique no boto Erro n 2 na figura. A rede 192.168.10.0 /24 no pode utilizar TFTP para se conectar rede 192.168.30.0 / 24. Voc consegue ver o erro na sada do comando show access-lists? Soluo a rede 192.168.10.0 /24 no pode utilizar TFTP para se conectar rede 192.168.30.0 /24 porque TFTP utiliza o protocolo de transporte UDP. A instruo 30 na lista de acesso 120 permite todo o restante do trfego TCP. Como utiliza UDP, o TFTP negado implicitamente. A instruo 30 deve ser ip any any. Essa ACL funcionar se for aplicada a Fa0/0 de R1 ou S0/0/1 de R3, ou S0/0/0 ou R2 na direo de entrada. No entanto, com base na regra sobre como colocar as ACLs estendidas mais prximas da origem, a melhor opo est em Fa0/0 de R1 porque ela permite filtrar trfego indesejvel sem atravessar a infraestrutura de rede. Clique no boto Erro n 3 na figura. A rede 192.168.10.0 /24 pode utilizar Telnet para se conectar a 192.168.30.0 /24, mas essa conexo no deve ser permitida. Analise a sada do comando show access-lists e veja se voc consegue encontrar uma soluo. Onde voc aplicaria essa ACL? Soluo a rede 192.168.10.0 /24 pode utilizar Telnet para se conectar rede 192.168.30.0 /24, porque o nmero da porta Telnet na instruo 10 da lista de acesso 130 est listado na posio errada. Atualmente, a instruo 10 nega qualquer origem com um nmero de porta que seja igual Telnet que tenta estabelecer uma conexo com qualquer endereo IP. Se quiser negar trfego de entrada Telnet em S0/0/1, voc deve

negar o nmero de porta de destino que seja igual a Telnet, por exemplo, deny tcp any any eq telnet. Clique no boto Erro n 4 na figura. O host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, mas essa conexo no deve ser permitida. Analise a sada do comando show access-lists. Soluo o host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, porque no h regras que neguem o host 192.168.10.10 ou sua rede como a origem. A instruo 10 da lista de acesso 140 nega a interface do roteador da qual o trfego sairia. No entanto, como esses pacotes saem do roteador, eles tm um endereo de origem 192.168.10.10, e no o endereo da interface do roteador. Assim como na soluo do Erro 2, essa ACL deve ser se aplicada Fa0/0 de R1 na direo de entrada. Clique no boto Erro n 5 na figura. O host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10, mas essa conexo no deve ser permitida. Observe a sada do comando show access-lists e procure o erro. Soluo o host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10 porque a direo na qual a lista de acesso 150 aplicada a uma interface em R2 est incorreta. A instruo 10 nega o endereo de origem 192.168.30.12, mas esse endereo s seria a origem se o trfego fosse de sada em S0/0/0 ou de entrada em S0/0/1. Exibir meio visual

Pgina 2: Exibir meio visual

5.5 Laboratrios do captulo


5.5.1 Listas de controle de acesso bsico Pgina 1: Uma parte essencial da segurana de rede poder controlar que tipo de trfego est sendo permitido para alcanar a sua rede e de onde esse trfego est vindo. Este laboratrio ensinar como configurar listas de controle de acesso bsicas e estendidas e atingir essa meta. Exibir meio visual

Pgina 2: Esta atividade uma variao do Laboratrio 5.5.1. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamento real. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.5.2 Listas de controle de acesso avanado Pgina 1: No laboratrio Lista de controle de acesso bsica, voc configurou listas de controle de acesso bsicas e estendidas pela primeira vez como uma medida de segurana da rede. Neste laboratrio, tente configurar a maior segurana de rede possvel sem consultar o laboratrio Bsico. Isso permitir a voc avaliar o quanto aprendeu no laboratrio Bsico. Quando necessrio, verifique o seu trabalho utilizando o laboratrio Bsico ou a resposta fornecida por seu instrutor. Exibir meio visual

Pgina 2: Esta atividade uma variao do Laboratrio 5.5.2. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamento real. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.5.3 Identificao e soluo de problemas de listas de controle de acesso

Pgina 1: Voc trabalha para um provedor de servios regional que recentemente passou por vrias falhas na segurana. O seu departamento foi solicitado a proteger os roteadores de borda do cliente para que apenas os PCs de gerenciamento local possam acessar as linhas VTY. Para resolver esse problema, voc configurar as ACLs em R2 de forma que as redes diretamente conectadas a R3 no consigam se comunicar com redes diretamente conectadas a R1, mas ainda assim permitam todo o restante do trfego. Exibir meio visual

5.6 Resumo do captulo


5.6.1 Sumarizao Pgina 1: ACL um script de configurao de roteador que utiliza filtragem de pacote para controlar se um roteador permite ou nega a passagem a pacotes com base nos critrios encontrados no cabealho de pacote. As ACLs tambm so utilizadas para selecionar tipos de trfego a serem analisados, encaminhados ou processados de outras formas. As ACLs esto entre os objetos mais utilizados no software IOS Cisco. H tipos diferentes de ACLs padro, estendida, nomeada e numerada. Neste captulo, voc aprendeu a finalidade de cada um desses tipos de ACL e onde elas precisam ser colocadas na sua rede. Voc aprendeu a configurar as ACLs em interfaces de entrada e de sada. Os tipos de ACL especiais, dinmicas, reflexivas e baseadas em tempo, foram descritas. Foram realadas as diretrizes e as prticas recomendadas para desenvolver ACLs funcionais e efetivas. Com o conhecimento e as habilidades aprendidas neste captulo, agora voc pode configurar ACLs padro, estendidas e complexas, alm de verificar, identificar e solucionar problemas dessas configuraes com confiana, mas com cuidado. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Nesta atividade, voc demonstrar a sua capacidade de configurar ACLs que aplicam cinco polticas de segurana. Alm disso, voc ir configurar o roteamento PPP e OSPF. Os dispositivos j esto configurados com endereamento IP. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo.

Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.7 Teste do captulo


5.7.1 Teste do captulo Pgina 1: Exibir meio visual

6 Servios de funcionrio remoto


6.0 Introduo do captulo
6.0.1 Introduo do captulo Pgina 1: Trabalho remoto o trabalho longe de um local de trabalho tradicional, geralmente um escritrio em casa. As razes para escolher o trabalho remoto so variadas e incluem desde a convenincia pessoal at permitir oportunidades para que funcionrios lesionados ou isolados continuem trabalhando durante os perodos de convalescena. Trabalho remoto um termo amplo que se refere conduo de um trabalho atravs da conexo com um local de trabalho a partir de uma localizao remota, com a ajuda das telecomunicaes. Um trabalho remoto eficiente possvel por causa das conexes de Internet banda larga, redes virtuais privadas (VPN) e tecnologias mais avanadas, incluindo Voice over IP (VoIP, Voz sobre IP) e videoconferncia. O trabalho remoto pode economizar o dinheiro que seria gasto em viagens, infra-estrutura e suporte das instalaes. Empresas modernas empregam pessoas que no podem viajar para trabalhar diariamente ou que acreditam que trabalhar em um escritrio em casa mais prtico. Essas pessoas, chamadas de funcionrios remotos, devem conectar-se rede da empresa de forma que possam trabalhar em seus escritrios em casa. Este captulo explica como as organizaes podem fornecer conexes de rede remota seguras, rpidas e confiveis para os funcionrios remotos. Exibir meio visual

6.1 Requisitos de negcios para servios de funcionrio remoto

6.1.1 Os requisitos de negcios para servios de funcionrio remoto Pgina 1: cada vez maior o nmero de empresas que acreditam ser benfico ter funcionrios remotos. Com os avanos nas tecnologias de banda larga e sem fio, trabalhar longe do escritrio no apresenta mais os desafios que apresentava no passado. Os funcionrios podem trabalhar remotamente quase como se eles estivessem em suas baias ou na sala ao lado. As organizaes podem distribuir dados, voz, vdeo e aplicativos em tempo real de modo lucrativo, estendidos em uma nica conexo de rede comum por toda sua fora de trabalho, no importando o quo remota e espalhada ela esteja. Os benefcios do trabalho distncia se estendem muito alm da capacidade de os negcios renderem lucros. O trabalho distncia afeta a estrutura social das sociedades e pode ter efeitos positivos sobre o ambiente. Para as operaes de negcios do cotidiano, convm ser capaz de manter a continuidade no caso de fatores como clima, trfego, congestionamento, desastres naturais ou outros eventos imprevisveis atrapalharem os funcionrios de chegar ao local de trabalho. Em uma escala mais ampla, a capacidade dos negcios de prestar mais servios em todos os fusos horrios e fronteiras internacionais foi enormemente aprimorada utilizando os funcionrios remotos. A reduo e a terceirizao de solues so mais fceis de implementar e gerenciar. De uma perspectiva social, as opes de trabalho remoto aumentam as oportunidades de emprego para diversos grupos, incluindo pais com filhos pequenos, deficientes e pessoas que moram em reas remotas. Os funcionrios remotos desfrutam de um tempo em famlia com maior qualidade, menor stress causado pelas viagens e, no geral, proporcionam aos seus chefes uma maior produtividade, satisfao e conservao. Na era da mudana de clima, o trabalho remoto uma outra maneira de as pessoas reduzirem sua emisso de gs carbnico. Ao criar arquiteturas de rede que suportam uma soluo de trabalho remoto, os programadores devem equilibrar os requisitos organizacionais para segurana, gerenciamento de infra-estrutura, escalabilidade e acessibilidade com relao s necessidades prticas dos funcionrios remotos para a facilidade de uso, velocidades de conexo e confiabilidade do servio. Para permitir que os negcios e os funcionrios remotos operem de modo efetivo, ns devemos equilibrar a seleo das tecnologias e criar cuidadosamente os servios de trabalho distncia. Exibir meio visual

6.1.2 A soluo do funcionrio remoto Pgina 1:

As organizaes precisam de redes seguras, confiveis e econmicas para conectar as sedes sociais, filiais e fornecedores. Com o nmero crescente de funcionrios remotos, as empresas tm uma necessidade cada vez maior de maneiras seguras, confiveis e econmicas de conectar-se a pessoas trabalhando em pequenos escritrios e escritrios em casa (small offices, home offices), e outros locais remotos, com recursos nos locais corporativos. A figura ilustra as topologias de conexo remota que as redes modernas utilizam para conectar-se a locais remotos. Em alguns casos, os locais remotos se conectam somente ao local da sede, enquanto, em outros casos, os locais remotos se conectam a diversos locais. A filial na figura se conecta aos locais da sede e de parceiros, enquanto o funcionrio remoto possui uma nica conexo com a sede. Clique no boto Opes na figura. A figura exibe trs tecnologias de conexo remota disponveis para as que organizaes suportem servios de funcionrios remotos: As tecnologias de Camada 2 de WAN privadas tradicionais, incluindo Frame Relay, ATM e linhas alugadas, fornecem muitas solues de conexo remota. A segurana destas conexes depende da operadora. As Redes Virtuais Privadas (VPNs) IPsec oferecem uma conectividade flexvel e escalvel. As conexes ponto a ponto podem fornecer uma conexo segura, rpida e confivel aos funcionrios remotos. Esta a opo mais comum para os funcionrios remotos, combinada com o acesso remoto por banda larga, a fim de estabelecer uma VPN segura sobre a Internet pblica. (Um meio menos confivel de conectividade que utiliza a Internet uma conexo discada.) O termo banda larga refere-se a sistemas de comunicao avanados capazes de fornecer uma transmisso de servios de alta velocidade, tais como dados, voz e vdeo, atravs da Internet e outras redes. A transmisso fornecida por uma grande variedade de tecnologias, incluindo a DSL (Digital subscriber line, DSL) e a tecnologia de cabo de fibra tica, cabo coaxial, sem fio e satlite. As velocidades de transmisso de dados do servio de banda larga geralmente ultrapassam os 200 kilobits por segundo (kbps), ou 200.000 bits por segundo, em pelo menos uma direo: downstream (da Internet para o computador do usurio) ou upstream (do computador do usurio para a Internet).

Este captulo descreve como cada uma destas tecnologias opera e apresenta algumas das etapas necessrias para assegurar que as conexes de funcionrios remotos sejam seguras. Exibir meio visual

Pgina 2: Para conectar-se efetivamente s redes de suas organizaes, os funcionrios remotos precisam de dois conjuntos principais de componentes: componentes de escritrio em

casa e componentes corporativos. A opo de adicionar componentes de telefonia IP est se tornando mais comum medida que as operadoras estendem os servios de banda larga para mais reas. Os componentes de Voice over IP (VoIP, Voz sobre IP) e de videoconferncia se tornaro, em breve, partes esperadas do conjunto de ferramentas dos funcionrios remotos. Conforme mostrado na figura, o trabalho distncia necessita dos seguintes componentes:

Componentes de escritrio em casa - Os componentes necessrios de um escritrio em casa so um laptop ou computador desktop, acesso de banda larga (cabo ou DSL) e um roteador de VPN ou software de cliente de VPN instalado no computador. Componentes adicionais podem incluir um ponto de acesso sem fio. Ao viajar, os funcionrios remotos precisam de uma conexo de Internet e um cliente de VPN para conectar-se rede corporativa por qualquer conexo discada, de rede ou de banda larga disponvel. Componentes corporativos - Os componentes corporativos so os roteadores habilitados para VPN, concentradores de VPN, mecanismos de segurana multifuncionais, autenticao e dispositivos de gerenciamento centrais para uma agregao e concluso flexveis das conexes de VPN.

Normalmente, a prestao de suporte para VoIP e videoconferncia exige melhorias para estes componentes. Os roteadores precisam da funcionalidade de Qualidade de Servio (Quality of Service, QoS). O QoS refere-se capacidade de uma rede de fornecer um melhor servio para o trfego de rede selecionado, conforme necessrio para os aplicativos de voz e vdeo. Uma discusso mais aprofundada sobre o QoS est alm do escopo deste curso. A figura mostra um tnel de VPN criptografado que conecta o funcionrio remoto rede corporativa. Este o corao das conexes seguras e confiveis do funcionrio remoto. Uma VPN uma rede de dados privada que utiliza a infra-estrutura de telecomunicao pblica. A segurana de VPN mantm a privacidade utilizando um protocolo de tunelamento e procedimentos de segurana. Este curso apresenta o protocolo IPsec (Segurana de IP) como a abordagem escolhida para criar tneis de VPN seguros. Ao contrrio das abordagens de segurana anteriores, que aplicam a segurana na camada de Aplicativos do modelo de Interconexo de Sistemas Abertos (OSI), o IPsec funciona na camada de rede ou processamento de pacote. Exibir meio visual

6.2 Servios de banda larga


6.2.1 Conectando os funcionrios remotos WAN Pgina 1:

Os funcionrios remotos geralmente utilizam diversos aplicativos (por exemplo, email, aplicativos da web, aplicativos importantes para o trabalho, colaborao em tempo real, voz, vdeo e videoconferncia) que exigem uma conexo com uma largura de banda alta. A escolha da tecnologia de rede de acesso e a necessidade de assegurar uma largura de banda satisfatria so as primeiras consideraes a serem feitas ao conectar os funcionrios remotos. As conexes por cabo residencial, DSL e banda larga sem fio so as trs opes que fornecem uma largura de banda alta para os funcionrios remotos. A baixa largura de banda fornecida por uma conexo de modem discada normalmente no suficiente, embora seja til para um acesso mvel durante viagens. Uma conexo discada de modem somente deve ser considerada quando as outras opes no estiverem disponveis. Os funcionrios remotos precisam de uma conexo a um ISP para acessar a Internet. Os ISPs oferecem diversas opes de conexo. Os principais mtodos de conexo utilizados por escritrios em casa e pequenas empresas so:

Acesso discado - Uma opo barata que utiliza qualquer linha telefnica e um modem. Para conectar-se ao ISP, um usurio liga para o nmero de telefone de acesso ISP. A conexo discada a opo de conexo mais lenta, utilizada geralmente por funcionrios mveis em reas onde no esto disponveis opes de conexo de velocidade mais alta. DSL - Normalmente mais caro que a discada, mas proporciona uma conexo mais rpida. A conexo DSL tambm utiliza linhas telefnicas, mas, diferentemente do acesso discado, ele fornece uma conexo contnua com a Internet. O DSL utiliza um modem de alta velocidade especial que separa o sinal de DSL do sinal de telefone e fornece uma conexo Ethernet com um computador host ou rede local. Modem a cabo - Oferecido por provedores de servios de televiso a cabo. O sinal de Internet levado no mesmo cabo coaxial que leva a televiso a cabo. Um modem a cabo especial separa o sinal da Internet dos outros sinais levados no cabo e fornece uma conexo Ethernet com um computador host ou rede local. Satlite - Oferecido por provedores de servios de satlite. O computador conectado atravs da Ethernet a um modem de satlite que transmite sinais de radiofreqncia ao ponto de presena (point of presence, POP) mais prximo dentro da rede de satlite.

Nesta seo, voc aprender como os servios de banda larga, tais como o DSL, cabo e conexo de banda larga sem fio, estendem as redes da empresa para permitir o acesso dos funcionrios remotos. Exibir meio visual

6.2.2 Cabo Pgina 1:

Acessar a Internet por uma rede a cabo uma opo popular utilizada pelos funcionrios remotos para acessar a rede de sua empresa. O sistema a cabo utiliza um cabo coaxial que leva os sinais de freqncia de rdio (RF) atravs da rede. O cabo coaxial o primeiro meio utilizado para criar sistemas de TV a cabo. A televiso a cabo surgiu na Pensilvnia em 1948. John Walson, o proprietrio de uma loja de eletrodomsticos em uma pequena cidade montanhesca, precisava resolver problemas de recepo pelos quais seus clientes passavam ao tentar receber sinais de TV da Filadlfia pelas montanhas. Walson ergueu uma antena em um poste de eletricidade no topo de uma montanha que permitiu que ele demonstrasse as televises em sua loja com broadcasts provenientes das trs estaes da Filadlfia. Ele conectou a antena sua loja de eletrodomsticos por um cabo e modificou os otimizadores de sinal. Em seguida, ele conectou diversos clientes seus que estavam localizados pelo caminho do cabo. Este foi o primeiro sistema de televiso de antena comunitria (CATV, community antenna television) nos Estados Unidos. A empresa de Walson cresceu ao longo dos anos e ele ficou conhecido como o fundador da indstria de televiso a cabo. Ele tambm foi o primeiro operador de cabo a utilizar microondas para importar estaes de televiso distantes, o primeiro a utilizar o cabo coaxial para aprimorar a qualidade da imagem e o primeiro a distribuir a programao de televiso paga. A maioria das operadoras a cabo utilizam antenas parablicas para reunir os sinais de TV. No incio, os sistemas eram unidirecionais, com amplificadores em cascata colocados em srie ao longo da rede para compensar a perda de sinal. Estes sistemas utilizavam grampos para juntar os sinais de vdeo dos troncos principais para as casas dos assinantes por meio dos cabos de derivao. Os sistemas de cabo modernos fornecem uma comunicao bidirecional entre os assinantes e o operador de cabo. As operadores a cabo oferecem agora servios de telecomunicaes avanados, incluindo acesso de alta velocidade Internet, televiso a cabo digital e servio de telefone residencial. As operadoras a cabo geralmente implantam redes coaxiais de fibra hbrida (HFC) para permitir uma transmisso de dados de alta velocidade para os modems a cabo localizados em um escritrio em casa. A figura ilustra os componentes de um tpico sistema a cabo moderno. Passe o mouse sobre cada componente na figura para ver uma descrio sobre o que eles fazem. Exibir meio visual

Pgina 2: O espectro eletromagntico abrange uma grande variedade de freqncias.

A frequncia a taxa na qual os ciclos (ou voltagem) atuais ocorrem, computada como o nmero de "ondas" por segundo. Comprimento de onda a velocidade de propagao do sinal eletromagntico dividida por sua freqncia em ciclos por segundo. As ondas de rdio, geralmente chamadas de RF, constituem uma parte do espectro eletromagntico entre aproximadamente 1 quilohertz (kHz) e 1 terahertz. Quando os usurios ajustam um rdio ou TV para localizar diferentes estaes de rdio ou canais de TV, eles esto ajustando diferentes freqncias eletromagnticas por esse espectro de RF. O mesmo princpio se aplica ao sistema a cabo. A indstria da TV a cabo utiliza uma parte do espectro eletromagntico de RF. Dentro do cabo, freqncias diferentes levam canais de TV e dados. Na extremidade do assinante, equipamentos como TVs, VCRs e conversores de TVs de alta definio so ajustados para determinadas freqncias que permitem que o usurio veja o canal ou, utilizando um modem a cabo, tenha acesso Internet de alta velocidade. Uma rede a cabo capaz de transmitir sinais no cabo em ambas as direes ao mesmo tempo. Utiliza-se o seguinte escopo de freqncia:

Downstream - A direo de uma transmisso de sinal RF (canais de TV e dados) da origem (headend) para o destino (assinantes). A transmisso da origem para o destino chamada de caminho de encaminhamento (forward path). As freqncias downstream esto no intervalo de 50 a 860 megahertz (MHz). Upstream - A direo da transmisso de sinal RF dos assinantes para o headend, retorno ou caminho reverso. As freqncias de upstream esto no intervalo de 5 a 42 MHz.

Exibir meio visual

Pgina 3: O DOCSIS (Data-over-Cable Service Interface Specification, Especificao de Interface de Servio de Dados sobre Cabo) um padro internacional desenvolvido pela CableLabs, um consrcio de pesquisa e desenvolvimento sem fins lucrativos para as tecnologias relacionadas a cabo. A CableLabs testa e certifica os dispositivos de fornecedores de equipamento a cabo, como modems a cabo e sistemas de terminao de modem a cabo, e concede o status de certificado ou qualificado pela DOCSIS. A DOCSIS define os requisitos de interface de suporte de comunicaes e operao para um sistema de dados a cabo e permite a adio de transferncia de dados de alta velocidade a um sistema de CATV existente. As operadoras a cabo empregam a DOCSIS para fornecer acesso Internet atravs de sua infra-estrutura coaxial de fibra hbrida (HFC) existente. A DOCSIS especifica os requisitos de OSI de Camadas 1 e 2:

Camada fsica - Para os sinais de dados que a operadora a cabo pode utilizar, a DOCSIS especifica as larguras de canal (larguras de banda de cada canal) como 200 kHz, 400 kHz, 800 kHz, 1,6 MHz, 3,2 MHz e 6,4 MHz. A DOCSIS tambm especifica as tcnicas de modulao (o modo de utilizar o sinal RF para comunicar os dados digitais). Camada MAC - Define um mtodo de acesso determinstico: mtodo de acesso mltiplo por diviso de tempo (Time-division multiple access, TDMA) ou mtodo de acesso mltiplo por diviso de cdigo sncrono (Synchronous code division multiple access, S-CDMA).

Para compreender os requisitos de camada MAC para a DOCSIS, convm explicar como as diversas tecnologias de comunicao dividem o acesso por canal. O TDMA divide o acesso por tempo. O acesso mltiplo de diviso por freqncia (Frequencydivision multiple access, FDMA) divide o acesso por freqncia. O acesso mltiplo por diviso de cdigo (CDMA) emprega uma tecnologia de amplo espectro e um esquema de codificao especial nos quais cada transmissor recebe um cdigo especfico. Uma analogia que ilustra estes conceitos comea com uma sala representando um canal. A sala est cheia de pessoas que precisam falar umas com as outras. Em outras palavras, elas precisam de um acesso ao canal. Uma soluo permitir que as pessoas falem em turnos (diviso por tempo). Outra soluo que cada pessoa fale em tons diferentes (diviso por freqncia). Em CDMA, eles falariam em idiomas diferentes. Pessoas falando no mesmo idioma podem se entender, mas no as outras pessoas. Em CDMA de rdio, utilizado por muitas redes de telefonia celular norte-americanas, cada grupo de usurios possui um cdigo compartilhado. Muitos cdigos ocupam o mesmo canal, mas somente os usurios associados com um cdigo especfico podem se entender. O SCDMA uma verso proprietria de CDMA desenvolvida pela Terayon Corporation para a transmisso de dados atravs de redes por cabo coaxial. O S-CDMA espalha os dados digitais para ambas as direes com uma ampla banda de freqncia e permite que vrios assinantes conectados rede transmitam e recebam dados simultaneamente. O S-CDMA seguro e extremamente resistente a rudos. Os planos para bandas de alocao de freqncia diferem entre os sistemas a cabo norteamericanos e europeus. O Euro-DOCSIS adaptado para ser utilizado na Europa. As principais diferenas entre o DOCSIS e o Euro-DOCSIS esto relacionadas s larguras de banda do canal. Os padres tcnicos de TV variam pelo mundo, o que afeta o modo como as variantes de DOCSIS se desenvolvem. Os padres de TV internacionais incluem o NTSC na Amrica do Norte e em partes do Japo; PAL na maior parte da Europa, sia, frica, Austrlia, Brasil e Argentina, e o SECAM na Frana e em alguns pases da Europa oriental. Mais informaes esto disponveis nos seguintes sites:

Sobre o DOCSIS: http://www.cablemodem.com/specifications Sobre o Euro-DOCSIS: http://www.eurocablelabs.com

Exibir meio visual

Pgina 4: Prestar servios atravs de uma rede a cabo exige diferentes freqncias de rdio. As freqncias downstream esto na faixa de 50 a 860 MHz, e as freqncias upstream esto no intervalo de 5 a 42 MHz. So necessrios dois tipos de equipamento para enviar sinais de modem digitais upstream e downstream em um sistema a cabo: O sistema de terminao de modem por cabo (Cable modem termination system, CMTS) no headend da operadora a cabo Modem a cabo (CM) na extremidade do assinante

Passe o mouse sobre os componentes na figura e observe a funo que cada um desempenha. Um CMTS de headend comunica-se com os CMs localizados nas casas dos assinantes. O headend , na verdade, um roteador com bancos de dados para prestar servios na Internet para assinantes a cabo. A arquitetura relativamente simples, utilizando uma rede coaxial tica combinada na qual a fibra tica substitui a rede coaxial com a menor largura de banda. Uma malha de cabos de tronco de fibra conecta o headend aos ns onde ocorre a converso de sinal tico para sinal RF. A fibra leva o mesmo contedo de banda larga para as conexes de Internet, servio de telefonia e fluxo de vdeo que o cabo coaxial leva. Os cabos alimentadores coaxiais so originados do n que leva os sinais de RF aos assinantes. Em uma rede HFC moderna, so conectados geralmente 500 a 2.000 assinantes de dados ativos a um segmento de rede a cabo, todos compartilhando a largura de banda upstream e downstream. A largura de banda real para o servio de Internet por uma linha de CATV pode ser de at 27 Mb/s no caminho de download para o assinante e de aproximadamente 2,5 Mb/s de largura de banda no caminho de carregamento. Baseado na arquitetura de rede a cabo, nas prticas de aprovisionamento do operador de cabo e na carga de trfego, um assinante individual pode obter, normalmente, uma velocidade de acesso entre 256 kb/s e 6 Mb/s. Quando ocorre um congestionamento da rede devido ao excesso de uso, a operadora a cabo pode colocar uma largura de banda adicional para obter servios de dados alocando um canal de TV adicional para dados de alta velocidade. Esta adio pode dobrar efetivamente a largura de banda de downstream disponvel para os assinantes. Outra opo reduzir o nmero de assinantes atendidos por cada segmento de rede. Para reduzir o nmero de assinantes, a operadora a cabo realiza mais uma diviso na rede colocando as conexes de fibra tica mais prximas e mais profundas na vizinhana.

Exibir meio visual

6.2.3 DSL Pgina 1: O DSL um meio de fornecer conexes de alta velocidade atravs de fios de cobre instalados. Nesta seo, ns observamos o DSL como uma das principais solues disponveis para o funcionrio remoto. H muitos anos, a Bell Labs identificou que uma conversao de voz tpica atravs de um loop local exigia uma largura de banda de somente 300 Hz a 3 kHz. Por muitos anos, as redes de telefonia no utilizaram uma largura de banda acima de 3 kHz. Os avanos na tecnologia permitiram que o DSL utilizasse uma largura de banda adicional de 3 kHz at 1 MHz para fornecer os servios de dados de alta velocidade atravs das linhas de cobre comuns. Por exemplo, o DSL assimtrico (ADSL) utiliza um intervalo de freqncia de aproximadamente 20 kHz a 1 MHz. Felizmente, so necessrias somente pequenas mudanas na infra-estrutura das empresas de telefonia existentes para fornecer os dados da largura de banda alta aos assinantes. A figura mostra uma representao da alocao do espao de largura de banda em um fio de cobre para ADSL. A rea azul identifica o intervalo de freqncia utilizado pelo servio de telefonia de grau de voz, geralmente chamado de servio de telefone antigo simples (Plain old telephone service, POTS). Os outros espaos coloridos representam o espao de freqncia utilizado pelos sinais DSL de upstream e downstream. Os dois tipos bsicos de tecnologias DSL so assimtricos (ADSL) e simtricos (SDSL). Todas as formas de servio DSL so classificadas como ADSL ou SDSL, e existem diversas variedades de cada tipo. O ADSL fornece uma maior largura de banda de downstream do que largura de banda de carregamento para o usurio. O SDSL fornece a mesma capacidade em ambas as direes. As diferentes variedades de DSL fornecem larguras de banda diferentes, algumas com recursos que excedem os recursos de uma linha alugada T1 ou E1. As taxas de transferncia so dependentes do comprimento real do loop local e do tipo e condio de seu cabeamento. Para obter um servio satisfatrio, o loop deve ter menos do que 5,5 quilmetros (3,5 milhas). Exibir meio visual

Pgina 2: As operadoras implantam as conexes DSL na ltima etapa de uma rede de telefonia local, chamada de loop local ou ltima milha. A conexo configurada entre um par de modems em qualquer extremidade de um fio de cobre que se estende entre o CPE (Customer premises equipment, Equipamento do usurio) e o DSLAM (Digital

subscriber line access multiplexer, Multiplexador de acesso linha digital do assinante). Um DSLAM o dispositivo localizado no escritrio central (Central office, CO) da operadora e concentra as conexes de diversos assinantes de DSL. Clique no boto Conexes DSL na figura. A figura mostra o principal equipamento necessrio para fornecer uma conexo de DSL com um escritrio em casa. Os dois componentes principais so o transceiver DSL e o DSLAM:

Transceiver - Conecta o computador do funcionrio remoto ao DSL. Normalmente o transceiver um modem DSL conectado ao computador utilizando um cabo USB ou Ethernet. Os transceivers DSL mais novos podem ser integrados em roteadores pequenos com portas de switch 10/100 mltiplas, adequadas para serem usadas no escritrio em casa. DSLAM - Situado no CO da operadora, o DSLAM combina as conexes DSL individuais de usurios em um link da alta capacidade para um ISP e, desse modo, para a Internet.

Clique no boto Roteador DSL e DSLAM na figura. A vantagem que o DSL tem sobre a tecnologia a cabo que o DSL no um meio compartilhado. Cada usurio tem uma conexo direta separada para o DSLAM. A adio de usurios no impede o desempenho, a menos que a conexo da Internet do DSLAM para o ISP, ou a Internet, fique saturada. Exibir meio visual

Pgina 3: O principal benefcio do ADSL a capacidade de fornecer servios de dados junto com servios de voz POTS. Quando a operadora coloca a voz analgica e o ADSL no mesmo fio, a operadora divide os canais POTS do modem ADSL utilizando filtros ou separadores. Esta configurao garante um servio de telefonia regular ininterrupto mesmo se o ADSL falhar. Quando os filtros ou separadores estiverem posicionados, o usurio pode utilizar a linha telefnica e a conexo ADSL simultaneamente, sem efeitos adversos em qualquer servio. Os sinais ADSL distorcem a transmisso de voz e so divididos ou filtrados no equipamento do cliente. Existem duas maneiras de separar o ADSL da voz no equipamento do cliente, utilizando um microfiltro ou um separador.

Um microfiltro um filtro de baixa passagem passivo com duas extremidades. Uma extremidade se conecta ao telefone e a outra se conecta tomada do telefone. Esta soluo elimina a necessidade de um tcnico visitar o local e permite que o usurio utilize qualquer tomada na casa para voz ou servio ADSL. Os separadores POTS separam o trfego DSL do trfego POTS. O separador POTS um dispositivo passivo. No caso de uma falha de energia, o trfego de voz ainda vai para o switch de voz no CO da operadora. Os separadores esto localizados no CO e, em algumas implantaes, no equipamento do cliente. No CO, o separador de POTS separa o trfego de voz, destinado s conexes POTS, e o trfego de dados destinado ao DSLAM. A figura mostra o loop local terminando no equipamento do cliente no ponto de demarcao. O dispositivo real o dispositivo de interface de rede (NID, Network interface device). Este ponto normalmente onde a linha telefnica entra no equipamento do cliente. Neste momento, um separador pode ser anexado linha telefnica. O separador bifurca a linha telefnica: uma ponta fornece a instalao eltrica de telefone original para os telefones e a outra ponta se conecta ao modem ADSL. O separador age como um filtro de baixa passagem, permitindo que somente as freqncias de 0 a 4 kHz passem para o telefone ou saiam dele. Instalar o separador POTS ao NID geralmente significa que um tcnico deve ir para o local do cliente. Devido a este trabalho e suporte tcnico adicional, a maioria das instalaes em casa utilizam hoje microfiltros, conforme mostrado na figura. O uso de microfiltros tambm apresenta a vantagem de fornecer uma conectividade mais ampla em toda a residncia. Considerando que o separador POTS separa os sinais ADSL e de voz no NID, normalmente existe somente uma sada ADSL disponvel na casa. Clique no boto Microfiltros na figura. A figura mostra um layout de DSL de escritrio em casa tpico utilizando microfiltros. Nesta soluo, o usurio pode instalar microfiltros de linha em cada telefone, ou instalar microfiltros embutidos na parede no lugar de tomadas de telefone normais. Ao passar o mouse sobre os microfiltros no grfico, sero mostradas fotos de produtos da Cisco. Clique no boto Separador na figura. Se a operadora instalasse um separador, ele seria colocado entre o NID e o sistema de distribuio telefnica interno. Um fio iria diretamente para o modem DSL e o outro levaria o sinal de voz aos telefones. Ao passar o mouse sobre a caixa de separador no grfico, um esquema de instalao eltrica tpico ser revelado. Exibir meio visual

6.2.4 Banda larga sem fio

Pgina 1: O acesso de banda larga por ADSL ou cabo proporciona aos funcionrios remotos conexes mais rpidas do que a discada, mas, at recentemente, os PCs de escritrio em casa tinham que conectar-se a um modem ou um roteador pelo cabo (Ethernet) Cat 5. Os sistemas de rede sem fio, ou Wi-Fi (wireless fidelity), aprimoraram esta situao, no somente no escritrio em casa, mas tambm nos diversos prdios de empresas. Utilizando os padres de rede 802.11, os dados viajam de local para local em ondas de rdio. O que torna o sistema de rede 802.11 relativamente fcil de implantar que ele utiliza o espectro de rdio no licenciado para enviar e receber os dados. A maioria das transmisses de rdio e TV so reguladas pelo governo e exigem uma licena de uso. A partir de 2007, os fabricantes de computador iniciaram a criao de adaptadores de rede sem fio na maioria dos laptops. Como o preo dos chipsets para Wi-Fi continua caindo, ele est se tornando uma opo de sistema de rede muito econmica tambm para computadores desktop. Os benefcios do Wi-Fi esto alm de no ter de utilizar ou instalar conexes de rede com fios. O sistema de rede sem fio fornece mobilidade. As conexes sem fio fornecem maior flexibilidade e produtividade ao funcionrio remoto. Exibir meio visual

Pgina 2: At recentemente, havia a necessidade de uma limitao significativa do acesso sem fio para estar dentro do intervalo de transmisso local (geralmente menos que 100 ps) de um roteador para rede sem fio ou ponto de acesso sem fio que possusse uma conexo conectada por fios com a Internet. Quando um trabalhador deixava o escritrio ou casa, o acesso sem fio no estava prontamente disponvel. Porm, com os avanos na tecnologia, o alcance das conexes sem fio foi estendido. O conceito de hotspots aumentou o acesso a conexes sem fio pelo mundo. Um hotspot a rea coberta por um ou mais pontos de acesso interconectados. Locais de concentrao de pblico, como cafs, parques e bibliotecas, criaram hotspots de Wi-Fi, esperando aumentar os negcios. Ao sobrepor os pontos de acesso, os hotspots podem abranger muitas milhas quadradas. Novos desenvolvimentos em tecnologia de banda larga sem fio esto aumentando a disponibilidade sem fio. So alguns deles: Wi-Fi municipal WiMAX Internet por satlite

Os governos municipais tambm se juntaram revoluo Wi-Fi. As cidades esto implantando redes municipais sem fio, trabalhando geralmente com operadoras. Algumas dessas redes fornecem acesso Internet de alta velocidade sem custos ou por um preo consideravelmente menor do que o de outros servios de banda larga. Outras cidades reservam suas redes Wi-Fi para uso oficial, fornecendo polcia, aos bombeiros e aos funcionrios pblicos um acesso remoto Internet e a redes municipais. Clique no boto nico roteador na figura. A figura mostra uma implantao domstica tpica utilizando um nico roteador para rede sem fio. Esta implantao utiliza o modelo hub-and-spoke. Se o nico roteador para rede sem fio falhar, toda a conectividade perdida. Passe seu mouse sobre a caixa de texto. Clique no boto Malha na figura. A maioria das redes municipais sem fio utiliza uma topologia em malha em vez de um modelo hub-and-spoke. Uma malha uma srie de pontos de acesso (transmissores de rdio), como mostrado na figura. Cada ponto de acesso est no intervalo e pode comunicar-se com pelo menos dois outros pontos de acesso. A malha cobre sua rea com sinais de radiofreqncia. Os sinais viajam de ponto de acesso para ponto de acesso por esta nuvem. Uma rede em malha possui diversas vantagens sobre os hotspots de nico roteador. A instalao mais fcil e pode ser mais barata porque existem menos fios. A implantao sobre uma rea urbana grande mais rpida. De um ponto de vista operacional, ela mais confivel. No caso de falha de um n, outros ns na malha compensaro. Clique no boto WiMAX na figura. O WiMAX (Interoperabilidade Mundial para Acesso Microondas, Worldwide Interoperability for Microwave Access) a tecnologia de telecomunicaes destinada a fornecer dados sem fio por longas distncias em uma variedade de modos, de links de ponto a ponto at o acesso de tipo de celular mvel completo. O WiMAX opera em velocidades mais altas, sobre maiores distncias e para um maior nmero de usurios que o Wi-Fi. Devido a sua maior velocidade (largura de banda) e preos de componentes em queda, prev-se que o WiMAX suplantar em breve as redes de malha municipais para implantaes sem fio. Uma rede WiMAX consiste em dois componentes principais: Uma torre que semelhante em conceito a uma torre de telefonia celular. Uma torre de WiMAX nica pode fornecer cobertura para uma rea de 3.000 milhas quadradas, ou quase 7.500 quilmetros quadrados.

Um receptor de WiMAX, semelhante em tamanho e forma a uma placa de PCMCIA, ou incorporado a um laptop ou outro dispositivo sem fio.

Uma estao de torre WiMAX se conecta diretamente Internet utilizando uma conexo de largura de banda alta (por exemplo, uma linha de T3). Uma torre tambm pode conectar-se a outras torres de WiMAX utilizando os links de microondas de linha de viso. O WiMAX capaz, dessa forma, de abranger reas rurais fora do alcance do cabo de "ltima milha" e tecnologias de DSL. Clique no boto Satlite na figura. Os servios de Internet por Satlite so utilizados em locais em que o acesso Internet por terra no est disponvel, ou para instalaes temporrias que se movem continuamente. O acesso Internet utilizando satlites est disponvel mundiamente, inclusive para embarcaes no mar, avies em vo e veculos em movimento por terra. Existem trs maneiras de conectar-se Internet utilizando satlites: multicast unidirecional, retorno terrestre unidirecional e bidirecional.

Os sistemas de Internet por satlite de multicast unidirecional so utilizados para distribuio de dados, udio e vdeo por multicast IP. Embora a maioria dos protocolos IP exijam uma comunicao bidirecional, para o contedo da Internet, incluindo pginas da web, os servios de internet por satlite unidirecional podem ser pginas enviadas para armazenamento local em instalaes de usurios finais pela Internet por satlite. No possvel obter uma interatividade completa. Os sistemas de internet por satlite de retorno terrestre unidirecional utilizam acesso discado tradicional para enviar dados de sada por um modem e receber downloads do satlite. A Internet por satlite bidirecional envia dados de locais remotos por meio de um satlite para um hub, o qual envia os dados para a Internet. A antena parablica em cada local deve ser precisamente posicionada para evitar uma interferncia com outros satlites.

A figura ilustra um satlite de sistema de internet bidirecional. As velocidades de upload so de aproximadamente um dcimo da velocidade de download, que est na faixa de 500 kb/s. O principal requisito de instalao que a antena tenha uma viso clara em direo ao equador, onde a maioria dos satlites em rbita esto estacionados. rvores e chuvas fortes podem afetar a recepo dos sinais. A Internet por satlite bidirecional utiliza a tecnologia de multicast IP, que permite que um satlite sirva a at 5.000 canais de comunicao simultaneamente. O multicast IP

envia dados de um ponto para muitos pontos ao mesmo tempo enviando dados em um formato compactado. A compactao reduz o tamanho dos dados e a largura de banda. Exibir meio visual

Pgina 3: O sistema de rede sem fio obedece a uma variedade de padres que os roteadores e os receptores utilizam para comunicar-se entre si. Os padres mais comuns esto includos no padro de rede local sem fio IEEE 802.11 (WLAN, wireless local area network), que abrange as bandas do espectro (no licenciado) pblico de 5 GHz e 2,4 GHz. Os termos 802.11 e Wi-Fi parecem intercambiveis, mas isso est incorreto. Wi-Fi uma certificao de interoperabilidade orientada para a indstria baseada em um subconjunto de 802.11. A especificao de Wi-Fi surgiu pois a demanda do mercado levou a Wi-Fi Alliance a comear a certificar os produtos antes de as emendas ao padro 802.11 serem concludas. O padro 802.11, desde ento, alcanou e ultrapassou o Wi-Fi. Do ponto de vista dos funcionrios remotos, as abordagens de acesso mais populares para a conectividade so as definidas nos protocolos IEEE 802.11b e IEEE 802.11g. Originalmente, a segurana era intencionalmente fraca nestes protocolos por causa dos requisitos de exportao restritos de diversos governos. O padro mais recente, 802.11n, uma emenda proposta integrada nos padres 802.11 anteriores, adicionando entradas mltiplas e sadas mltiplas (multiple-input multiple-output, MIMO). O padro 802.16 (ou WiMAX) permite transmisses de at 70 Mb/s e possui um intervalo de at 30 milhas (50 km). Ele pode operar em bandas licenciadas ou no licenciadas do espectro de 2 a 6 GHz. Exibir meio visual

Pgina 4: Nesta atividade, voc demonstrar a sua capacidade de adicionar dispositivos de banda larga e conexes ao Packet Tracer. Embora no possa configurar DSL e modems a cabo, voc pode simular uma conectividade fim-a-fim para dispositivos de funcionrio remoto. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

6.3 Tecnologia de VPN


6.3.1 VPNs e seus benefcios Pgina 1: A Internet uma rede IP mundial, publicamente acessvel. Por causa de sua vasta proliferao global, ela se tornou um modo atraente de interconectar locais remotos. Porm, o fato de ela ser uma infra-estrutura pblica expe as empresas e suas redes internas a riscos de segurana. Felizmente, a tecnologia de VPN permite que as organizaes criem redes privadas sobre a infra-estrutura de Internet pblica que mantm a confidencialidade e a segurana. As organizaes utilizam as VPNs para fornecer uma infra-estrutura de WAN virtual que conecta as filiais, os escritrios em casa, os locais de parceiros de negcios e os funcionrios remotos a toda sua rede corporativa ou parte dela. Para que permanea privado, o trfego criptografado. Em vez de utilizar uma conexo de Camada 2 dedicada, tal como uma linha alugada, uma VPN utiliza conexes virtuais que so roteadas pela Internet. Foi apresentada, no incio deste curso, uma analogia que envolvia conseguir bilhetes com prioridade para um show em estdio. Uma extenso para essa analogia ajudar a explicar como uma VPN funciona. Imagine o estdio como um local pblico da mesma maneira que a Internet um local pblico. Quando o show acaba, o pblico sai pelos corredores e sadas pblicas, esbarrando-se e empurrando-se uns aos outros ao longo do caminho. Pequenos roubos so ameaas pelas quais se pode passar. Imagine como os artistas saem. Seus seguranas juntam seus braos e formam cordes pela multido e protegem as celebridades desses empurres e esbarres. De fato, estes cordes formam tneis. As celebridades so levadas atravs de tneis at suas limusines, que os levam protegidos aos seus destinos. Esta seo descreve como as VPNs funcionam dessa mesma maneira, empacotando os dados e movendo-os seguramente pela Internet atravs de tneis protetores. essencial compreender a tecnologia de VPN para ser capaz de implementar servios seguros de funcionrio remoto em redes de empresa. Analogia: cada rede local uma ilha Utilizaremos outra analogia para ilustrar o conceito de VPN de um ponto de vista diferente. Imagine que voc vive em uma ilha em um oceano enorme. Existem milhares de outras ilhas ao seu redor, algumas muito prximas e outras mais distantes. O modo normal de viajar levar uma barca de sua ilha para qualquer ilha que voc deseje visitar. Viajar em uma barca significa que voc no tem quase nenhuma privacidade. Qualquer coisa que voc fizer pode ser visto por outra pessoa. Suponha que cada ilha representa uma rede local privada e que o oceano a Internet. Viajar pela barca semelhante a quando voc se conecta a um servidor web ou a outro

dispositivo pela Internet. Voc no tem controle sobre os fios e os roteadores que compem a Internet, assim como voc no tem nenhum controle sobre as outras pessoas na barca. Isto o deixa vulnervel a problemas de segurana caso voc tente conectar-se entre duas redes privadas utilizando um recurso pblico. Sua ilha decide construir uma ponte para outra ilha de forma que haja um modo mais fcil, mais seguro e direto de as pessoas viajarem entre as duas. A construo e a manuteno da ponte so caras, mesmo que a ilha para a qual voc est se conectando seja muito prxima. Mas a necessidade de um caminho confivel e seguro to grande que voc a constri mesmo assim. Sua ilha gostaria de conectar-se a uma segunda ilha que est muito mais distante, mas voc decide que isso sair muito caro. Esta situao muito parecida com ter uma linha alugada. As pontes (linhas alugadas) esto separadas do oceano (Internet), mas, ainda assim, elas podem conectar as ilhas (redes locais). Muitas empresas escolheram esta rota por causa da necessidade de segurana e confiabilidade na conexo de seus escritrios remotos. Entretanto, se os escritrios forem muito distantes, o custo poder ser proibitivamente alto - assim como tentar criar uma ponte que atravessa uma grande distncia. Desse modo, como a VPN se ajusta a esta analogia? Ns poderamos dar a cada habitante das ilhas seu prprio submarino pequeno com estas propriedades: Rpido Fcil de levar com voc onde voc for Capaz de escond-lo completamente de qualquer outro barco ou submarino Confivel Poucos custos para adicionar submarinos sua frota depois que o primeiro for comprado

Embora eles estejam viajando no oceano junto com outro trfego, os habitantes de nossas duas ilhas poderiam viajar de um lado para o outro sempre que desejassem, com privacidade e segurana. essencialmente dessa maneira que uma VPN funciona. Cada membro remoto de sua rede pode comunicar-se de uma maneira segura e confivel utilizando a Internet como o meio para conectar-se rede local privada. Uma VPN pode crescer a fim de acomodar mais usurios e locais diferentes de forma muito mais fcil do que uma linha alugada. Na realidade, a escalabilidade uma vantagem principal que as VPNs tm sobre as linhas alugadas comuns. Diferente das linhas alugadas, onde o custo aumenta proporcionalmente s distncias envolvidas, as localizaes geogrficas de cada escritrio pouco importam na criao de uma VPN. Exibir meio visual

Pgina 2: As organizaes que utilizam VPNs beneficiam-se de um aumento na flexibilidade e na produtividade. Locais e funcionrios remotos podem conectar-se de modo seguro rede

corporativa de quase qualquer lugar. Os dados em uma VPN so criptografados e tornam-se indecifrveis a qualquer um que no tenha permisso para faz-lo. As VPNs trazem hosts remotos para dentro do firewall, dando-lhes quase os mesmos nveis de acesso para os dispositivos de rede como se eles estivessem em um escritrio corporativo. A figura mostra as linhas alugadas em vermelho. As linhas azuis representam as conexes baseadas em VPN. Considere estes benefcios ao utilizar as VPNs:

Economia de custo - As organizaes podem utilizar um transporte de Internet econmico e externo para conectar escritrios remotos e usurios ao site corporativo principal. Isto elimina links de WAN dedicados caros e bancos de modem. Utilizando a banda larga, as VPNs reduzem os custos de conectividade ao mesmo tempo em que aumentam a largura de banda de conexo remota. Segurana - Criptografia e protocolos de autenticao avanados protegem os dados de acessos no autorizados. Escalabilidade - As VPNs utilizam a infra-estrutura de Internet dentro dos ISPs e operadoras, facilitando a adio de novos usurios pelas organizaes. As organizaes, grandes e pequenas, podem adicionar uma grande quantidade de capacidade sem adicionar uma infra-estrutura significativa.

Exibir meio visual

6.3.2 Tipos de VPNs Pgina 1: As organizaes utilizam as VPNs ponto a ponto a fim de conectar locais espalhados da mesma maneira que uma linha alugada ou conexo de Frame Relay utilizada. Como a maioria das organizaes agora tm acesso Internet, conveniente tirar proveito dos benefcios das VPNs ponto a ponto. Conforme ilustrado na figura, as VPNs ponto a ponto tambm suportam intranets de empresas e extranets de parceiros de negcios. Com efeito, uma VPN ponto a ponto uma extenso de um sistema de rede WAN clssico. As VPNs ponto a ponto conectam redes inteiras umas s outras. Por exemplo, elas podem conectar uma rede de filial a uma rede da sede da empresa. Em uma VPN ponto a ponto, os hosts enviam e recebem o trfego de TCP/IP atravs de um gateway de VPN que pode ser um roteador, dispositivo de firewall PIX ou um Mecanismo de Segurana Adaptvel (ASA). O gateway de VPN responsvel por encapsular e criptografar o trfego de sada para todo o trfego de um local especfico e por envi-lo por um tnel de VPN sobre a Internet para um gateway de VPN de mesmo nvel no local designado. Ao receber, o gateway de VPN de mesmo nvel retira os cabealhos, descriptografa o contedo e retransmite o pacote para o host designado dentro de sua rede privada. Exibir meio visual

Pgina 2: Os usurios mveis e funcionrios distncia utilizam amplamente as VPNs de acesso remoto. No passado, as corporaes suportavam os usurios remotos utilizando redes discadas. Acessar a corporao geralmente envolvia uma chamada de longa distncia e tarifas de interurbano. A maioria dos funcionrios remotos agora tem acesso Internet de suas casas e pode estabelecer VPNs remotas utilizando conexes de banda larga. Da mesma forma, um funcionrio mvel pode fazer uma chamada local para um ISP local a fim de acessar a corporao pela Internet. De fato, isto marca uma evoluo em redes discadas. As VPNs de acesso remoto podem suportar as necessidades dos funcionrios distncia, usurios mveis, bem como extranet para transaes de comrcio eletrnico. Em uma VPN de acesso remoto, cada host geralmente possui um software de cliente de VPN. Sempre que o host tenta enviar algum trfego, o software de cliente de VPN encapsula e criptografa esse trfego antes de envi-lo pela Internet para o gateway de VPN na extremidade da rede designada. Ao receber, o gateway de VPN trata os dados da mesma maneira que trataria os dados de uma VPN ponto a ponto. Exibir meio visual

6.3.3 Componentes da VPN Pgina 1: Uma VPN cria uma rede privada sobre uma infra-estrutura de rede pblica enquanto mantm a confidencialidade e a segurana. As VPNs utilizam protocolos de tunelamento criptogrfico para fornecer proteo contra deteco de pacotes, autenticao de remetentes e integridade da mensagem. A figura ilustra uma topologia de VPN tpica. Os componentes necessrios para estabelecer esta VPN incluem: Uma rede existente com servidores e estaes de trabalho Uma conexo com a Internet Gateways de VPN, tais como roteadores, firewalls, concentradores de VPN e ASAs, que agem como pontos de extremidade para estabelecer, gerenciar e controlar as conexes de VPN Software apropriado para criar e gerenciar tneis de VPN

A chave para a efetividade da VPN a segurana. As VPNs protegem os dados encapsulando-os ou criptografando-os. A maioria das VPNs pode fazer os dois.

O encapsulamento tambm pode ser chamado de tunelamento, uma vez que o encapsulamento transmite os dados de forma transparente de rede para rede atravs de uma infra-estrutura de rede compartilhada. A criptografia codifica os dados em um formato diferente utilizando uma chave secreta. A descriptografia decodifica os dados criptografados no formato no criptografado original.

O encapsulamento e a criptografia so discutidos em mais detalhes posteriormente neste curso. Exibir meio visual

6.3.4 Caractersticas de VPNs seguras Pgina 1: As VPNs utilizam tcnicas de criptografia avanadas e tunelamento para permitir que as organizaes estabeleam conexes de rede seguras, fim-a-fim e privadas pela Internet. A base de uma VPN segura a confidencialidade e integridade dos dados e a autenticao:

Confidencialidade dos dados - Uma preocupao de segurana comum proteger os dados de interceptadores. Como um recurso de design, a confidencialidade de dados procura proteger o contedo das mensagens da intercepo por fontes no autenticadas ou no autorizadas. As VPNs obtm a confidencialidade utilizando mecanismos de encapsulamento e criptografia. Integridade de dados - Os receptores no tm nenhum controle sobre o caminho pelo qual os dados passaram e, portanto, no sabem se os dados foram vistos ou alterados enquanto viajava pela Internet. Existe sempre a possibilidade de os dados terem sido modificados. A integridade de dados garante que no ocorra nenhuma falsificao ou alterao aos dados enquanto eles viajam entre a origem e o destino. As VPNs normalmente utilizam hashes para assegurar a integridade dos dados. Um hash como uma checksum ou selo que garante que ningum leu o contedo, mas ele mais potente. Os hashes so explicados no prximo tpico. Autenticao - A autenticao garante que uma mensagem venha de uma origem autntica e v para um destino autntico. A identificao de usurio proporciona ao usurio a confiana de que a parte com a qual ele estabelece as comunicaes quem ele realmente pensa. As VPNs podem utilizar senhas, certificados digitais, smart cards e biomtrica para estabelecer a identidade dos participantes na outra extremidade de uma rede.

Exibir meio visual

6.3.5 Tunelamento de VPN

Pgina 1: Incorporar recursos de confidencialidade de dados apropriados a uma VPN assegura que somente as origens e os destinos determinados sejam capazes de interpretar o contedo original das mensagens. O tunelamento permite o uso de redes pblicas como a Internet para levar os dados para usurios como se os usurios tivessem acesso a uma rede privada. O tunelamento encapsula um pacote inteiro dentro de outro pacote e envia o novo pacote composto sobre uma rede. Esta figura lista as trs classes de protocolos utilizadas pelo tunelamento. Para ilustrar o conceito de tunelamento e as classes de protocolos de tunelamento, considere um exemplo de um envio de um carto de natal por correio tradicional. O carto de natal tem uma mensagem dentro. O carto o protocolo de passagem. O remetente coloca o carto dentro de um envelope (protocolo de encapsulamento) com o endereamento apropriado escrito. O remetente coloca o envelope em uma caixa de correio para entrega. O sistema postal (protocolo de operadora) escolhe e entrega o envelope para a caixa de correio do destinatrio. Os dois pontos de extremidade no sistema da operadora so as "interfaces de tnel." O destinatrio remove o carto de natal (extrai o protocolo de passagem) e l a mensagem. Clique no boto Encapsulamento na figura para exibir uma ilustrao do processo de encapsulamento. Esta figura ilustra uma mensagem de email que viaja pela Internet sobre uma conexo de VPN. O PPP leva a mensagem ao dispositivo de VPN, onde a mensagem encapsulada dentro de um pacote de Encapsulamento de Rota Genrico (GRE, Generic Route Encapsulation). O GRE um protocolo de tunelamento desenvolvido pela Cisco Systems que pode encapsular uma ampla variedade de tipos de pacote de protocolo dentro de tneis IP, criando um link ponto a ponto virtual para roteadores da Cisco em pontos remotos sobre uma rede IP interconectada. Na figura, o endereamento de origem e destino externo do pacote atribudo para "interfaces de tnel" e colocado em condio de roteamento atravs da rede. Quando um pacote composto alcana a interface de tnel de destino, o pacote interno extrado. Exibir meio visual

6.3.6 Integridade de dados da VPN Pgina 1: Se os dados de texto simples forem transportados pela Internet pblica, eles podero ser interceptados e lidos. Para manter os dados privados, eles precisam ser criptografados. A criptografia de VPN criptografa os dados e os torna ilegveis para receptores no autorizados.

Para que a criptografia funcione, o remetente e o receptor devem conhecer as regras utilizadas para transformar a mensagem original em seu formato codificado. As regras de criptografia de VPN incluem um algoritmo e uma chave. Um algoritmo uma funo matemtica que combina uma mensagem, texto, dgitos ou os trs com uma chave. A sada de dados uma cadeia de cdigos ilegvel. A descriptografia extremamente difcil ou impossvel sem a chave correta. No exemplo, Gail deseja enviar um documento financeiro a Jeremy pela Internet. Gail e Jeremy concordaram previamente com uma chave secreta compartilhada. Na extremidade de Gail, o software de cliente de VPN combina o documento com a chave secreta compartilhada e a passa atravs de um algoritmo de criptografia. A sada de dados um texto de cdigos indecifrvel. O texto de cdigos enviado por um tnel de VPN sobre a Internet. Na outra extremidade, a mensagem recombinada com a mesma chave secreta compartilhada e processada pelo mesmo algoritmo de criptografia. A sada de dados o documento financeiro original que agora est legvel para Jeremy. Exibir meio visual

Pgina 2: O grau de segurana proporcionado por qualquer algoritmo de criptografia depende do tamanho da chave. Para qualquer tamanho de chave determinado, o tempo necessrio para processar todas as possibilidades para decodificar o texto codificado uma funo de potncia de computao do computador. Portanto, quanto menor a chave, mais fcil a decodificao, mas, ao mesmo tempo, mais fcil transmitir a mensagem. Alguns do algoritmos de criptografia e tamanho de chaves mais comuns utilizados so:

Algoritmo de criptografia padro de dados (DES) - Desenvolvido pela IBM, o DES utiliza uma chave de 56 bits, assegurando uma criptografia de alto desempenho. O DES um sistema de criptografia de chave simtrica. As chaves simtricas e assimtricas so explicadas abaixo. Algoritmo DES triplo (3DES) - Uma variante mais nova do DES que criptografa com uma chave, decodifica com outra chave diferente e, em seguida, criptografa uma ltima vez com outra chave. O 3DES proporciona uma potncia significativamente maior ao processo de criptografia. Criptografia padro avanada (AES) - O Instituto Nacional de Padres e Tecnologia (NIST) adotou o AES para substituir a criptografia de DES existente em dispositivos criptogrficos. O AES proporciona uma segurana mais forte do que o DES e mais eficiente que o 3DES do ponto de vista computacional. O AES oferece trs tamanhos de chave diferentes: chaves de 128, 192, e 256 bits. Rivest, Shamir e Adleman (RSA) - Um sistema de criptografia de chave assimtrica. As chaves utilizam um tamanho de bits de 512, 768, 1024 ou maior.

Criptografia simtrica

Os algoritmos de criptografia, tais como DES e 3DES, exigem uma chave secreta compartilhada para executar criptografia e descriptografia. Cada um dos dois computadores deve conhecer a chave para decodificar as informaes. Com a criptografia de chave simtrica, tambm chamada de criptografia de chave secreta, cada computador criptografa as informaes antes de envi-las pela rede para o outro computador. A criptografia de chave simtrica exige o conhecimento de quais computadores se comunicaro de modo que a mesma chave possa ser configurada em cada computador. Por exemplo, um remetente cria uma mensagem codificada onde cada letra substituda pela letra que est duas letras abaixo no alfabeto: "A" se torna "C" e "B" se torna "D", e assim por diante. Neste caso, o palavra SECRET se torna UGETGV. O remetente j contou ao destinatrio que a chave secreta "trocar por 2 antes. Quando o destinatrio receber a mensagem UGETGV, o computador do destinatrio decodificar a mensagem deslocando-se para duas letras antes e calculando SECRET. Qualquer outra pessoa que veja a mensagem enxergar somente a mensagem criptografada, que no tem sentido a menos que a pessoa saiba a chave secreta. A pergunta : como ambos os dispositivos de criptografia e descriptografia possuem a chave secreta compartilhada? Voc pode utilizar o email, mensageiro ou correio noturno para enviar as chaves secretas compartilhadas aos administradores dos dispositivos. Outro mtodo mais fcil e seguro a criptografia assimtrica. Criptografia assimtrica A criptografia assimtrica utiliza diferentes chaves para criptografia e descriptografia. Conhecer uma das chaves no permite que um hacker deduza a segunda chave e decodifique as informaes. Uma chave criptografa a mensagem, enquanto uma segunda chave descriptografa a mensagem. No possvel criptografar e descriptografar com a mesma chave. A criptografia de chave pblica uma variante da criptografia assimtrica que utiliza uma combinao de uma chave privada e uma chave pblica. O destinatrio fornece uma chave pblica a qualquer remetente com quem o destinatrio deseja se comunicar. O remetente utiliza uma chave privada combinada com a chave pblica do destinatrio para criptografar a mensagem. Alm disso, o remetente deve compartilhar sua chave pblica com o destinatrio. Para descriptografar uma mensagem, o destinatrio utilizar a chave pblica do remetente com sua prpria chave privada. Exibir meio visual

Pgina 3: Os hashes contribuem com a integridade e autenticao de dados assegurando que pessoas no autorizadas no adulterem as mensagens transmitidas. Um hash, tambm chamado de resumo de mensagem (message digest), um nmero gerado a partir de uma cadeia de texto. O hash menor que o prprio texto. Ele gerado utilizando uma

frmula de tal modo que seja extremamente improvvel que outro texto produza o mesmo valor de hash. O remetente original gera um hash da mensagem e o envia com a prpria mensagem. O destinatrio descriptografa a mensagem e o hash, gera outro hash da mensagem recebida e compara os dois hashes. Se eles forem os mesmos, o destinatrio poder ficar razoavelmente seguro de que a integridade da mensagem no foi afetada. Na figura, algum est tentando enviar um cheque de US$100 para Jeremy. Na extremidade remota, Alex Jones (um provvel criminoso) est tentando trocar o cheque para $1.000. Como o cheque passou pela Internet, ele foi alterado. Tanto o destinatrio quanto a quantia em dlar foram alterados. Neste caso, se um algoritmo de integridade de dados fosse utilizado, os hashes no seriam correspondentes e a transao no seria mais vlida. Os dados de VPN so transportados pela Internet pblica. Como mostrado, h um potencial para que esses dados sejam interceptados e modificados. Para se proteger dessa ameaa, os hosts podem adicionar um hash mensagem. Se o hash transmitido corresponder ao hash recebido, a integridade da mensagem ter sido preservada. Entretanto, se no houver nenhuma correspondncia, a mensagem foi alterada. As VPNs utilizam um cdigo de autenticao de mensagem para verificar a integridade e a autenticidade de uma mensagem, sem utilizar nenhum mecanismo adicional. Um HMAC (Keyed Hashed Message Authentication Code, Cdigo de Autenticao de Mensagem com Chave de Hash) um algoritmo de integridade de dados que garante a integridade da mensagem. Um HMAC possui dois parmetros: uma entrada de mensagem e uma chave secreta conhecidas somente pelo remetente e receptores pretendidos. O remetente da mensagem utiliza uma funo HMAC para gerar um valor (o cdigo de autenticao da mensagem), formado pela compactao da chave secreta e da entrada da mensagem. O cdigo de autenticao da mensagem enviado junto com a mensagem. O receptor computa o cdigo de autenticao da mensagem na mensagem recebida utilizando a mesma chave e funo HMAC que o remetente utilizou e compara o resultado computado com o cdigo de autenticao de mensagem recebido. Se houver correspondncia entre os dois valores, a mensagem ser recebida corretamente e o receptor ter a segurana de que o remetente um membro da comunidade de usurios que compartilham a chave. A potncia criptogrfica do HMAC depende da potncia criptogrfica da funo de hash, do tamanho e da qualidade da chave, e do tamanho da sada de dados de hash produzida em bits. Existem dois algoritmos HMAC comuns:

Message Digest 5 (MD5) - Utiliza uma chave secreta compartilhada de 128 bits. A mensagem de tamanho varivel e chave secreta compartilhada de 128 bits so combinadas e executadas pelo algoritmo hash de HMAC-MD5. A sada de

dados um hash de 128 bits. O hash acrescentado mensagem original e encaminhado extremidade remota.

Algoritmo de Hash seguro 1 (SHA-1) - Utiliza uma chave secreta de 160 bits. A mensagem de tamanho varivel e chave secreta compartilhada de 160 bits so combinadas e executadas pelo algoritmo hash de HMAC-SHA-1. A sada de dados um hash de 160 bits. O hash acrescentado mensagem original e encaminhado extremidade remota.

Clique no boto Autenticao de VPN na figura. Ao administrar os negcios longa distncia, necessrio saber quem est na outra extremidade do telefone, email ou fax. O mesmo vale para redes de VPN. O dispositivo da outra extremidade do tnel de VPN deve ser autenticado antes de o caminho de comunicao ser considerado seguro. Existem dois mtodos de autenticao do ponto (peer):

Chave pr-compartilhada (PSK, Pre-shared key) - Uma chave secreta que compartilhada entre os dois participantes utilizando um canal seguro antes de precisar ser utilizada. As PSKs utilizam algoritmos criptogrficos de chave simtrica. Uma PSK colocada em cada ponto manualmente e utilizada para autenticar esse ponto. Em cada extremidade, a PSK combinada com outras informaes para formar a chave de autenticao. Assinatura de RSA - Utiliza a troca de certificados digitais para autenticar os pontos. O dispositivo local produz um hash e o criptografa com sua chave privada. O hash criptografado (assinatura digital) anexado mensagem e encaminhado extremidade remota. Na extremidade remota, o hash criptografado descriptografado utilizando a chave pblica da extremidade local. Se o hash descriptografado corresponder ao hash recomputado, a assinatura ser genuna.

Observe uma demonstrao de RSA para obter um exemplo de criptografia de RSA. Exibir meio visual

6.3.7 Protocolos de segurana IPsec Pgina 1: O IPsec o conjunto de aplicaes de protocolo para proteger as comunicaes de IP, que fornece criptografia, integridade e autenticao. O IPsec explicita a transmisso de mensagens necessria para proteger as comunicaes de VPN, mas confia nos algoritmos existentes. Existem dois protocolos de estrutura IPsec principais.

Cabealho de autenticao (AH, Authentication header) - Utilizado quando no se exige ou permite a confidencialidade. O AH fornece a autenticao e a integridade de dados e para pacotes IP transmitidos entre dois sistemas. Ele

verifica se as mensagens transmitidas de R1 para R2 no foram modificadas durante o trnsito. Ele tambm verifica se a origem dos dados era R1 ou R2. O AH no fornece a confidencialidade de dados (criptografia) dos pacotes. Se for utilizado sozinho, o protocolo AH fornece uma fraca proteo. Conseqentemente, ele utilizado com o protocolo ESP para fornecer a criptografia de dados e recursos de segurana de monitoramento contra adulteraes.

Payload de segurana de encapsulamento (ESP, Encapsulating Security Payload) - Fornece confidencialidade e autenticao atravs da criptografia do pacote IP. A criptografia do pacote IP oculta os dados e as identidades da origem e do destino. O ESP autentica o pacote IP interno e o cabealho de ESP. A autenticao proporciona a autenticao da origem de dados e a integridade dos dados. Embora a criptografia e a autenticao sejam opcionais no ESP, no mnimo uma delas deve ser selecionada.

Clique no boto Estrutura IPsec na figura. O IPsec conta com os algoritmos existentes para implementar a criptografia, a autenticao e a troca de chaves. Alguns dos algoritmos padro que o IPsec utiliza so: DES - Criptografa e descriptografa os dados do pacote. 3DES - Fornece uma potncia de criptografia significativa sobre o DES de 56 bits. AES Proporciona uma criptografia mais potente, dependendo do tamanho de chave utilizada, bem como uma melhor produtividade. MD5 - Autentica os dados do pacote, utilizando uma chave secreta compartilhada de 128 bits. SHA-1 - Autentica os dados do pacote, utilizando uma chave secreta compartilhada de 160 bits. DH - Permite que os dois participantes estabeleam uma chave secreta compartilhada utilizada pela criptografia e pelos algoritmos hash, por exemplo, o DES e MD5, sobre um canal de comunicaes no seguro.

A figura mostra como o IPsec configurado. O IPsec fornece a estrutura e o administrador escolhe os algoritmos utilizados para implementar os servios de segurana dentro dessa estrutura. Existem quatro quadrados da estrutura de IPsec a serem preenchidos. Ao configurar um gateway de IPsec para fornecer servios de segurana, escolha primeiro um protocolo IPsec. As escolhas so: ESP ou ESP com AH. O segundo quadrado ser um algoritmo de criptografia se o IPsec for implementado com ESP. Escolha o algoritmo de criptografia apropriado para o nvel desejado de segurana: DES, 3DES ou AES. O terceiro quadrado a autenticao. Escolha um algoritmo de autenticao para fornecer a integridade dos dados: MD5 ou SHA.

O ltimo quadrado o grupo de algoritmos Diffie-Hellman (DH). Que estabelece o compartilhamento das informaes da chave entre os pontos. Escolha qual grupo utilizar: DH1 ou DH2.

Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Exibir meio visual

6.4 Resumo do captulo


6.4.1 Resumo do captulo Pgina 1: Neste captulo, voc aprendeu sobre a importncia crescente dos funcionrios remotos. Voc pode descrever os requisitos de uma organizao para fornecer servios de funcionrio remoto em termos do que o funcionrio remoto precisa e do que a organizao precisa para fornecer uma conectividade confivel e econmica. Entre os modos preferidos para conectar os funcionrios remotos, voc pode descrever como utilizar os servios de banda larga, inclusive o DSL, cabo e sem fio. Alm disso, voc sabe como a tecnologia de VPN pode ser utilizada para fornecer servios de funcionrio remoto seguros nas organizaes, incluindo a importncia, os benefcios, a funo e o impacto da tecnologia de VPN, bem como os tipos de acesso, componentes, tunelamento e criptografia. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Esta atividade exige que voc configure uma rota padro bem como um roteamento dinmico utilizando o RIP verso 2. Voc tambm adicionar dispositivos de banda larga rede. Por fim, voc ir configurar as ACLs em dois roteadores para controlar o trfego de rede. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF)

Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

6.5 Teste do captulo


6.5.1 Teste do captulo Pgina 1: Exibir meio visual

7 Servios de endereamento IP
7.0 Introduo do captulo
7.0.1 Introduo Pgina 1: A Internet e as tecnologias relacionadas ao IP passaram por um rpido crescimento. Uma razo para o crescimento deve-se, em parte, flexibilidade do design original. Entretanto, este design no previu a popularidade da Internet e a demanda resultante por endereos IP. Por exemplo, cada host e cada dispositivo na Internet exige um endereo do exclusivo IP verso 4 (IPv4). Devido ao drstico crescimento, o nmero de endereos IP disponveis est se esgotando. Para lidar com o esgotamento dos endereos IP, foram desenvolvidas diversas solues de curto prazo. As duas solues de curto prazo so os endereos privados e a Traduo de Endereo de Rede (NAT, Network Address Translation). Um host interno normalmente recebe seu endereo IP, mscara de sub-rede, endereo IP de gateway padro, endereo IP de servidor DNS e outras informaes de um servidor de Protocolo de Configurao de Host Dinmico (DHCP, Dynamic Host Configuration Protocol). Em vez de fornecer hosts internos com endereos IP de Internet vlidos, o servidor DHCP geralmente fornece endereos IP de um conjunto privado de endereos. O problema que estes hosts ainda podem exigir endereos IP vlidos para acessar os recursos da Internet. a que entra a NAT. A NAT permite que os hosts de rede internos obtenham temporariamente um endereo IP de Internet legtimo enquanto acessam os recursos da Internet. Quando o trfego solicitado retorna, o endereo IP legtimo adaptado e disponibilizado para a solicitao seguinte da Internet feita por um host interno. Usando a NAT, os administradores de rede precisam somente de um ou poucos endereos IP para serem fornecidos aos hosts pelo roteador, em vez de um endereo IP exclusivo para cada cliente que entra na rede. Embora parea ineficiente, o processo , na verdade, muito eficiente, porque o trfego do host acontece de forma muito rpida.

Embora os endereos privados com o DHCP e a NAT tenham ajudado a reduzir a necessidade de endereos IP, estima-se que ns esgotaremos os endereos IPv4 exclusivos por volta de 2010. Por essa razo, em meados dos anos 90, o IETF solicitou propostas para um novo esquema de endereamento IP. O grupo de trabalho IP Next Generation (IPng, ltima Gerao de IP) reagiu. Por volta do ano de 1996, o IETF comeou a liberar diversas RFCs definindo o IPv6. O principal recurso do IPv6 sendo adotado hoje em dia o maior espao de endereo: os endereos no IPv6 possuem um tamanho de 128 bits contra os 32 bits do IPv4. Este captulo descreve como implementar o DHCP, a NAT e o IPv6 em redes corporativas. Exibir meio visual

7.1 DHCP
7.1.1 Apresentando o DHCP Pgina 1: O que DHCP? Cada dispositivo que se conecta a uma rede precisa de um endereo IP. Os administradores de rede atribuem endereos IP estticos a roteadores, servidores e a outros dispositivos de rede cujas localizaes (fsicas e lgicas) no tendem a mudar. Os administradores digitam os endereos IP estticos manualmente quando configuram os dispositivos para entrar na rede. Os endereos estticos tambm permitem que os administradores gerenciem tais dispositivos remotamente. Porm, os computadores em uma organizao mudam frequentemente de localizao, tanto fsica quanto logicamente. Os administradores no conseguem atribuir novos endereos IP cada vez que um funcionrio se muda para um escritrio ou cubculo diferente. Os clientes com desktop no exigem um endereo esttico. Em vez disso, uma estao de trabalho pode utilizar qualquer endereo dentro de um intervalo de endereos. Esse intervalo est normalmente dentro de uma sub-rede IP. Uma estao de trabalho dentro de uma sub-rede especfica pode receber qualquer endereo dentro de um intervalo especfico. Atribui-se um valor a outros itens, tais como a mscara de subrede, o gateway padro e o servidor do Sistema de Resoluo de Nome de Domnio (DNS, Domain Name System), valor esse que igual para a sub-rede ou para toda a rede administrada. Por exemplo, todos os hosts dentro da mesma sub-rede recebero endereos IP de host diferentes, mas recebero a mesma mscara de sub-rede e o mesmo endereo IP de gateway padro. Voc viu no CCNA Exploration, Fundamentos de rede, que o DHCP realiza o processo de atribuir novos endereos IP de modo quase transparente. O DHCP atribui endereos IP e outras informaes de configurao de rede importantes dinamicamente. Como os clientes com desktop geralmente compem o lote de ns de rede, o DHCP uma

ferramenta que economiza tempo e extremamente til para os administradores de rede. A RFC 2131 descreve o DHCP. Os administradores normalmente preferem que um servidor de rede oferea servios de DHCP, porque tais solues so escalveis e relativamente fceis de gerenciar. Entretanto, em uma filial pequena ou local de SOHO, um roteador Cisco pode ser configurado para prestar servios de DHCP sem a necessidade de um servidor dedicado caro. Um conjunto de recursos do IOS Cisco chamado Easy IP oferece um servidor DHCP completo e opcional. Exibir meio visual

7.1.2 Operao de DHCP Pgina 1: Operao de DHCP A tarefa mais importante realizada por um servidor DHCP fornecer endereos IP aos clientes. O DHCP inclui trs mecanismos de alocao de endereo diferentes para fornecer flexibilidade ao atribuir endereos IP:

Alocao manual: O administrador atribui um endereo IP pr-alocado ao cliente e o DHCP somente comunica o endereo IP ao dispositivo. Alocao automtica: O DHCP atribui automaticamente um endereo IP esttico permanente a um dispositivo, selecionando-o de um conjunto de endereos disponveis. No existe emprstimo e o endereo atribudo permanentemente a um dispositivo. Alocao dinmica: O DHCP atribui ou empresta automtica e dinamicamente um endereo IP a partir de um conjunto de endereos por um perodo limitado escolhido pelo servidor, ou at que o cliente diga ao servidor DHCP que no precisa mais do endereo.

Esta seo aborda a alocao dinmica. O DHCP trabalha em um modo cliente/servidor e funciona como qualquer outra relao de cliente/servidor. Quando um PC se conecta a um servidor DHCP, o servidor atribui ou empresta um endereo IP a esse PC. O PC se conecta rede com esse endereo IP emprestado at que tal emprstimo expire. O host deve entrar em contato com o servidor DHCP periodicamente para estender o emprstimo. Este mecanismo de emprstimo assegura que os hosts que se mudam ou se desligam no se prendam a endereos dos quais no precisam. O servidor DHCP devolve esses endereos ao conjunto de endereos e os realoca conforme o necessrio. Clique no boto Deteco na figura.

Quando o cliente inicializa ou deseja entrar de outro modo na rede, ele conclui quatro etapas para obteno de um emprstimo. Na primeira etapa, o cliente transmite uma mensagem DHCPDISCOVER em broadcast. A mensagem DHCPDISCOVER localiza os servidores DHCP na rede. Como o host no tem nenhuma informao de IP vlida na inicializao, ele utilizar os endereos de broadcast de L2 e L3 para comunicar-se com o servidor. Clique no boto Oferta na figura. Quando o servidor DHCP recebe uma mensagem DHCDISCOVER, ele localiza um endereo IP disponvel para emprstimo, cria uma entrada de ARP consistindo no endereo MAC do host solicitante e o endereo IP emprestado, e transmite uma oferta de associao com uma mensagem DHCPOFFER. A mensagem DHCPOFFER enviada como um unicast, utilizando o endereo MAC de L2 do servidor como o endereo de origem e o endereo de L2 do cliente como o destino. Nota: Sob certas circunstncias, a troca de mensagens do DHCP do servidor pode ser transmitida por broadcast e no por unicast. Clique no boto Solicitao na figura. Quando o cliente recebe o DHCPOFFER do servidor, ele retorna uma mensagem DHCPREQUEST. Essa mensagem tem dois objetivos: emprestar a origem, a renovao e a verificao. Quando usado para emprestar uma origem, o DHCPREQUEST do cliente est solicitando que as informaes de IP sejam verificadas logo aps sua atribuio. A mensagem fornece a verificao de erros para assegurar que a atribuio ainda seja vlida. O DHCPREQUEST tambm serve como um aviso de aceitao de associao para o servidor selecionado e uma recusa implcita a quaisquer outros servidores que possam ter enviado uma oferta de associao para o host. Muitas redes corporativas utilizam diversos servidores DHCP. A mensagem DHCPREQUEST enviada na forma de broadcast para informar este servidor DHCP e qualquer outro servidor DHCP sobre a oferta aceita. Clique no boto Confirmao na figura. Ao receber a mensagem DHCPREQUEST, o servidor verifica as informaes de emprstimo, cria uma nova entrada de ARP para o emprstimo do cliente e responde com uma mensagem DHCPACK de unicast. A mensagem DHCPACK uma duplicata da mensagem DHCPOFFER, exceto por uma mudana no campo de tipo de mensagem. Quando o cliente recebe a mensagem DHCPACK, ele registra as informaes de configurao e executa uma busca de ARP para o endereo atribudo. Caso no receba uma resposta, ele saber que o endereo IP vlido e comea a us-lo como seu.

Os clientes emprestam as informaes do servidor por um perodo definido administrativamente. Os administradores configuram os servidores DHCP para definir os tempos limite dos emprstimos em intervalos diferentes. A maioria dos ISPs e grandes redes utiliza duraes de emprstimo padro de at trs dias. Quando o emprstimo expira, o cliente deve solicitar outro endereo, embora j receba normalmente a atribuio do mesmo endereo. A mensagem DHCPREQUEST tambm abrange o processo de DHCP dinmico. As informaes de IP enviadas no DHCPOFFER podem ter sido oferecidas a outro cliente durante a alocao dinmica. Cada servidor DHCP cria conjuntos de endereos IP e parmetros associados. Os conjuntos so dedicados a sub-redes IP lgicas e individuais. Os conjuntos permitem a resposta de diversos servidores DHCP e a mobilidade dos clientes de IP. Caso haja resposta de diversos servidores, um cliente poder escolher apenas uma das ofertas. Exibir meio visual

7.1.3 BOOTP e DHCP Pgina 1: BOOTP e DHCP O Protocolo Boostrap (BOOTP, Bootstrap Protocol), definido na RFC 951, o antecessor do DHCP e compartilha algumas caractersticas operacionais. O BOOTP um modo de fazer o download do endereo e inicializar as configuraes para estaes de trabalho sem disco. Uma estao de trabalho sem disco no possui um disco rgido ou um sistema operacional. Por exemplo, muitos sistemas de caixa registradora automatizados em seu supermercado local so exemplos de estaes de trabalho sem disco. O DHCP e o BOOTP so baseados em cliente/servidor e usam as portas UDP 67 e 68. Essas portas so conhecidas ainda como portas de BOOTP. O DHCP e BOOTP possuem dois componentes, conforme mostrado na figura. O servidor um host com um endereo IP esttico que aloca, distribui e gerencia o IP e as atribuies dos dados de configurao. Cada alocao (o IP e os dados de configurao) armazenada no servidor em um conjunto de dados chamado de associao. O cliente qualquer dispositivo que utiliza o DHCP como um mtodo para obter o endereamento IP ou informaes de configurao de suporte. Para entender as diferenas funcionais entre o BOOTP e o DHCP, considere os quatro parmetros de IP bsicos necessrios para unir uma rede: Endereo IP Endereo de gateway Mscara de sub-rede Endereo do servidor DNS

Existem trs diferenas principais entre o DHCP e o BOOTP: A principal diferena que o BOOTP foi criado para a pr-configurao manual das informaes de host em um banco de dados de servidor, enquanto o DHCP permite uma alocao dinmica de endereos de rede e configuraes para hosts recentemente anexados. Quando um cliente de BOOTP solicita um endereo IP, o servidor de BOOTP procura uma tabela predefinida para uma entrada que corresponda ao endereo MAC para o cliente. Se houver uma entrada, o endereo IP correspondente a essa entrada ser devolvido ao cliente. Isso significa que a associao entre o endereo MAC e o endereo IP j deve ter sido configurada no servidor de BOOTP. O DHCP permite a recuperao e a realocao de endereos de rede atravs de um mecanismo de emprstimo. Especificamente, o DHCP define os mecanismos pelos quais podem ser atribudos aos clientes um endereo IP por um perodo de emprstimo finito. Este perodo de emprstimo permite uma nova atribuio posterior do endereo IP a outro cliente, ou que o cliente obtenha outra atribuio caso se mude para outra sub-rede. Os clientes tambm podem renovar os emprstimos e manter o mesmo endereo IP. O BOOTP no utiliza emprstimos. Seus clientes reservaram o endereo IP que no pode ser atribudo a qualquer outro host. O BOOTP fornece uma quantidade limitada de informaes a um host. O DHCP fornece parmetros de configurao de IP adicionais, tais como o WINS e o nome de domnio.

Exibir meio visual

Pgina 2: Formato de mensagem DHCP Os desenvolvedores de DHCP precisaram manter a compatibilidade com o BOOTP e, consequentemente, utilizaram o mesmo formato de mensagem BOOTP. Entretanto, como o DHCP possui mais funcionalidades que o BOOTP, o campo de opes do DHCP foi adicionado. Ao comunicar-se com clientes de BOOTP mais antigos, o campo de opes do DHCP ignorado. A figura mostra o formato de uma mensagem de DHCP. Os campos so:

Cdigo de operao (OP, Operation Code) - Especifica o tipo genrico da mensagem. Um valor de 1 indica uma mensagem de solicitao; um valor de 2 indica uma mensagem de resposta. Tipo de hardware - Identifica o tipo de hardware utilizado na rede. Por exemplo, 1 a Ethernet, 15 o Frame Relay e 20 uma linha serial. Esses so os mesmos cdigos utilizados nas mensagens de ARP. Tamanho do endereo de hardware - 8 bits para especificar o tamanho do endereo.

Saltos - Definido como 0 por um cliente antes de transmitir uma solicitao e utilizado por agentes de retransmisso para controlar o encaminhamento de mensagens do DHCP. Identificador de transaes - Identificao de 32 bits gerada pelo cliente para permitir a correspondncia da solicitao com as respostas recebidas dos servidores DHCP. Segundos - Nmero de segundos decorridos desde que um cliente comeou a obter ou renovar um emprstimo. Servidores DHCP ocupados utilizam este nmero para priorizar as respostas quando diversas solicitaes do cliente estiverem pendentes. Flags (sinalizadores) - Apenas um dos 16 bits utilizado, o qual a flag (sinalizador) de broadcast. Um cliente que no conhece seu endereo IP ao enviar uma solicitao, define a flag em 1. Esse valor diz ao servidor DHCP ou agente de retransmisso que recebe a solicitao que ele deve enviar a resposta em forma de broadcast. Endereo IP do cliente - O cliente coloca seu prprio endereo IP neste campo somente se tiver um endereo IP vlido enquanto estiver no estado associado; caso contrrio, ele define o campo em 0. O cliente somente pode utilizar esse campo quando seu endereo for realmente vlido e utilizvel, no durante o processo de obteno de um endereo. Seu endereo IP - O endereo IP que o servidor atribui ao cliente. Endereo IP do servidor - Endereo do servidor que o cliente deve utilizar para a prxima etapa no processo de bootstrap, que pode ou no ser o servidor que envia essa resposta. O servidor de origem sempre inclui seu prprio endereo IP em um campo especial chamado de opo de DHCP do Identificador de Servidor. Endereo IP de gateway - Faz o roteamento das mensagens de DHCP quando os agentes de retransmisso de DHCP esto envolvidos. O endereo de gateway facilita as comunicaes de solicitaes e respostas de DHCP entre o cliente e um servidor que estejam em sub-redes ou redes diferentes. Endereo de hardware de cliente - Especifica a camada fsica do cliente. Nome de servidor - O servidor que envia uma mensagem DHCPOFFER ou DHCPACK pode opcionalmente colocar seu nome neste campo. Esse nome pode ser um apelido de texto simples ou um nome de domnio de DNS, tal como dhcpserver.netacad.net. Nome de arquivo de inicializao - Utilizado opcionalmente por um cliente para solicitar um tipo especfico de arquivo de inicializao em uma mensagem DHCPDISCOVER. Utilizado por um servidor em uma mensagem DHCPOFFER para especificar por completo um diretrio de arquivos de inicializao e um nome de arquivo. Opes - Contm as opes de DHCP, incluindo os diversos parmetros necessrios para a operao bsica de DHCP. Esse campo varia em tamanho. Tanto o cliente quanto o servidor podem utilizar esse campo.

Exibir meio visual

Pgina 3:

Mtodos de deteco e oferta de DHCP Estas figuras fornecem detalhes do contedo do pacote das mensagens de deteco e oferta do DHCP. Quando um cliente deseja entrar na rede, ele solicita os valores de endereamento do servidor DHCP da rede. Se um cliente estiver configurado para receber suas configuraes de IP dinamicamente, ele transmitir uma mensagem DHCPDISCOVER em sua sub-rede fsica local quando for inicializado ou quando perceber uma conexo de rede ativa. Como o cliente no tem como saber a sub-rede para a qual ele pertence, o DHCPDISCOVER ser um broadcast de IP (endereo IP de destino de 255.255.255.255). O cliente no possui um endereo IP configurado, desse modo o endereo IP de origem de 0.0.0.0 utilizado. Como pode ver na figura, o endereo IP do cliente (CIADDR), o endereo de gateway padro (GIADDR) e a mscara de sub-rede esto marcadas com pontos de interrogao. Clique no boto Oferta de DHCP na figura. O servidor DHCP gerencia a alocao dos endereos IP e responde s solicitaes de configurao dos clientes. Quando o servidor DHCP recebe a mensagem DHCPDISCOVER, ele responde com uma mensagem DHCPOFFER. Esta mensagem contm as informaes de configurao iniciais para o cliente, incluindo o endereo MAC do cliente, seguido pelo endereo IP que o servidor oferece, a mscara de sub-rede, a durao do emprstimo e o endereo IP do servidor DHCP que faz a oferta. A mscara de sub-rede e o gateway padro so especificados no campo de opes: opes de mscara de sub-rede e de roteador, respectivamente. A mensagem DHCPOFFER pode ser configurada para incluir outras informaes, como o tempo de renovao do emprstimo, o servidor de nomes de domnio e o Nome Servio NetBIOS (Microsoft Windows Internet Name Service [Microsoft WINS]). O servidor determina a configurao com base no endereo de hardware do cliente, conforme especificado no campo CHADDR. Conforme mostrado no diagrama, o servidor DHCP respondeu mensagem DHCPDISCOVER atribuindo os valores ao CIADDR e mscara de sub-rede. Os administradores configuraram os servidores DHCP para que atribuam os endereos de conjuntos predefinidos. A maioria dos servidores DHCP tambm permitem que o administrador defina especificamente quais endereos MAC do cliente podem ser atendidos e os atribui sempre ao mesmo endereo IP automaticamente.

O DHCP utiliza o Protocolo de Datagrama do Usurio (UDP, User Datagram Protocol) como seu protocolo de transporte. O cliente envia mensagens ao servidor na porta 67. O servidor envia mensagens ao cliente na porta 68. O cliente e o servidor confirmam as mensagens e o processo concludo. O cliente somente define o CIADDR quando um host estiver em um estado associado, o que significa que o cliente confirmou e est utilizando o endereo IP. Para obter mais informaes sobre o DHCP, veja a seo "Cisco IOS DHCP Server" no site: http://www.cisco.com/en/US/docs/ios/12_0t/12_ot1/feature/guide/Easyip2.html (em ingls). Exibir meio visual

7.1.4 Configurando um servidor DHCP Pgina 1: Configurando um servidor DHCP Roteadores Cisco que executam o software IOS Cisco fornecem suporte completo para que um roteador atue como um servidor DHCP. O servidor DHCP do IOS Cisco atribui e gerencia endereos IP de conjuntos de endereos especificados dentro do roteador para clientes DHCP. As etapas para configurar um roteador como um servidor DHCP so as seguintes: Etapa 1. Definir um intervalo de endereos que o DHCP no deve alocar. Esses endereos so endereos estticos geralmente reservados para a interface do roteador, endereo IP de gerenciamento de switch, servidores e impressoras de rede locais. Etapa 2. Criar o conjunto de endereos DHCP utilizando o comando ip dhcp pool. Etapa 3. Configurar as especificidades do conjunto. Voc deve especificar os endereos IP que o servidor DHCP no deve atribuir aos clientes. Normalmente, alguns endereos IP pertencem a dispositivos de rede estticos, tais como servidores ou impressoras. O DHCP no deve atribuir esses endereos IP a outros dispositivos. Uma prtica recomendada configurar endereos excludos no modo de configurao global antes de criar o conjunto de endereos DHCP. Isto garante que o DHCP no atribuir acidentalmente os endereos reservados. Para excluir os endereos especficos, utilize o comando ip dhcp excluded-address. Clique no boto Conjunto de endereos DHCP na figura.

A configurao de um servidor DHCP envolve a definio de um conjunto de endereos a serem atribudos. O comando ip dhcp pool cria um conjunto com o nome especificado e coloca o roteador no modo de configurao de DHCP, o qual identificado pelo prompt Router(dhcp-config)#. Clique no boto Tarefas DHCP na figura. Esta figura relaciona as tarefas para concluir a configurao do conjunto de endereos DHCP. Algumas delas so opcionais, enquanto as outras devem ser configuradas. Voc deve configurar os endereos disponveis e especificar o nmero e mscara de rede da sub-rede do conjunto de endereos de DHCP. Utilize o comando network para definir o intervalo de endereos disponveis. Voc tambm deve definir o gateway padro ou o roteador a serem utilizados pelos clientes com o comando default-router. Normalmente, o gateway a interface de rede local do roteador. necessrio um endereo, mas voc pode listar at oito endereos. Os comandos seguintes do conjunto de endereos DHCP so considerados opcionais. Por exemplo, voc pode configurar o endereo IP do servidor DNS que est disponvel para um cliente DHCP usando o comando dns-server. Quando configurado, necessrio um endereo, mas voc pode listar at oito endereos. Outros parmetros incluem a configurao da durao do emprstimo de DHCP. A configurao padro definitiva, mas voc pode alter-la usando o comando lease. Voc tambm pode configurar um servidor NetBIOS WINS disponvel para um cliente DHCP da Microsoft. Normalmente, isto seria configurado em um ambiente que suporta os clientes anteriores ao Windows 2000. Como a maioria das instalaes agora possuem clientes com o sistema operacional do Windows mais recente, esse parmetro no exigido. Clique no boto Exemplo de DHCP na figura. Esta figura exibe um exemplo de configurao com os parmetros de DHCP bsicos configurados no roteador R1. Desabilitando o DHCP O servio de DHCP habilitado por padro nas verses do software IOS Cisco que podem suport-lo. Para desabilitar o servio, utilize o comando no service dhcp. Utilize o comando de configurao global service dhcp para reabilitar o processo do servidor DHCP. Habilitar o servio no ter efeito algum se os parmetros no estiverem configurados.

Exibir meio visual

Pgina 2: Verificando o DHCP Para ilustrar como um roteador Cisco pode ser configurado para fornecer servios de DHCP, consulte a figura. O PC1 no foi ativado e, desse modo, no possui um endereo IP. O roteador R1 foi configurado com os seguintes comandos: ip dhcp excluded-address 192.168.10.1 192.168.10.9 ip dhcp excluded-address 192.168.10.254 ip dhcp pool LAN-POOL-1 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 domain-name span.com Para verificar a operao do DHCP, utilize o comando show ip dhcp binding. Esse comando exibe uma lista de todas as associaes de endereos IP a endereos MAC que foram fornecidas pelo servio de DHCP. Para verificar quais mensagens esto sendo recebidas ou enviadas pelo roteador, utilize o comando show ip dhcp server statistics. Esse comando exibe informaes de contagem relacionadas ao nmero de mensagens de DHCP que foram enviadas e recebidas. Clique no boto DHCP-1 na figura. Como voc pode ver na figura, atualmente no existem associaes ou estatsticas sendo exibidas. Agora, suponha que o PC1 foi ativado e concluiu seu processo de inicializao. Clique no boto DHCP-2 na figura. Observe que as informaes de associao mostram agora que o endereo IP da 192.168.10.10 foi associado a um endereo MAC. As estatsticas tambm exibem a atividade do DHCPDISCOVER, DHCPREQUEST, DHCPOFFER e DHCPACK. Clique no boto Cliente DHCP na figura.

O comando ipconfig /all exibe os parmetros configurados do TCP/IP no PC1. Como o PC1 foi conectado ao segmento de rede 192.168.10.0 /24, ele recebeu automaticamente um endereo IP, um sufixo DNS e o gateway padro daquele conjunto. No exigida nenhuma configurao de interface DHCP. Se um PC for conectado a um segmento de rede que tenha um conjunto de endereos DHCP disponvel, ele poder obter um endereo IP automaticamente. Assim, como o PC2 recebe um endereo IP? O roteador R1 teria que ser configurado para fornecer um conjunto de endereos DHCP de 192.168.11.0 /24 conforme segue: ip dhcp excluded-address 192.168.11.1 192.168.11.9 ip dhcp excluded-address 192.168.11.254 ip dhcp pool LAN-POOL-2 network 192.168.11.0 255.255.255.0 default-router 192.168.11.1 domain-name span.com Quando o PC2 concluir seu processo de inicializao, ele recebe um endereo IP para o segmento de rede para o qual est conectado. Clique no boto DHCP-3 na figura. Observe que as associaes de DHCP agora indicam que dois hosts receberam endereos IP. As estatsticas de DHCP tambm refletem a troca de mensagens de DHCP. Outro comando til para exibir os diversos conjuntos o comando show ip dhcp pool. Clique no boto Conjuntos de endereos DHCP na figura. Esse comando resume as informaes do conjunto de endereos DHCP. Exibir meio visual

7.1.5 Configurando um cliente DHCP Pgina 1: Configurando um cliente DHCP Geralmente, pequenos roteadores de banda larga para uso local, tais como roteadores Linksys, podem ser configurados para conectar-se a um ISP utilizando um DSL ou um modem a cabo. Na maioria dos casos, pequenos roteadores locais so configurados para

adquirir um endereo IP automaticamente de seus ISPs. Por exemplo, a figura mostra a pgina de configurao de WAN padro para um roteador WRVS4400N Linksys. Observe que o tipo de conexo da Internet definido como Configurao Automtica DHCP. Isso significa que, quando o roteador est conectado a um modem a cabo, por exemplo, ele ser um cliente DHCP e solicitar um endereo IP do ISP. s vezes, os roteadores Cisco em SOHO e filiais devem ser configurados de uma maneira semelhante. O mtodo utilizado depende do ISP. Entretanto, em sua configurao mais simples, a interface Ethernet utilizada para se conectar a um modem a cabo. Para configurar uma interface Ethernet como um cliente DHCP, o comando ip address dhcp dever ser configurado. Clique no boto Cliente DHCP na figura. Na figura, suponha que um ISP foi configurado para fornecer a alguns clientes endereos IP do intervalo da 209.165.201.0 / 27. A sada do comando confirma o endereo atribudo. Exibir meio visual

7.1.6 Retransmisso DHCP Pgina 1: O que a retransmisso DHCP? Em uma rede hierrquica complexa, os servidores da empresa ficam geralmente em uma farm de servidores. Esses servidores podem fornecer os servios de DHCP, DNS, TFTP e FTP aos clientes. O problema que os clientes de rede geralmente no esto na mesma sub-rede que tais servidores. Portanto, os clientes devem localizar os servidores para receber os servios, e esses servios geralmente so localizados com o uso de mensagens de broadcast. Na figura, PC1 est tentando adquirir um endereo IP do servidor DHCP localizado em 192.168.11.5. Neste cenrio, o roteador R1 no est configurado como um servidor DHCP. Clique no boto Problema de host na figura. Na figura, o PC1 est tentando renovar seu endereo IP. Para faz-lo, o comando ipconfig /release emitido. Observe que o endereo IP lanado e o endereo atual 0.0.0.0. Em seguida o comando ipconfig /renew emitido. Esse comando faz o host iniciar a transmisso de uma mensagem DHCPDISCOVER por broadcast. No entanto, PC1 no pode localizar o servidor DHCP. O que acontece quando o servidor e o cliente esto separados por um roteador e, desse modo, no esto no mesmo segmento de rede? Lembre-se de que os roteadores no encaminham broadcasts.

Nota: Alguns clientes do Windows possuem um recurso chamado Endereamento IP privado automtico (APIPA, Automatic Private IP Addressing). Com esse recurso, um computador com Windows pode atribuir automaticamente a si mesmo um endereo IP no intervalo de 169.254.x.x no caso de um servidor DHCP no estar disponvel ou no existir na rede. Para piorar as coisas, o DHCP no o nico servio essencial que utiliza os broadcasts. Por exemplo, os roteadores Cisco e outros dispositivos podem utilizar broadcasts para localizar os servidores TFTP ou para localizar um servidor de autenticao, como o servidor TACACS. Para solucionar esse problema, um administrador poderia adicionar servidores DHCP a todas as sub-redes. Entretanto, a execuo desses servios em vrios computadores cria uma sobrecarga de custo e administrativa. Uma soluo mais simples configurar o recurso de endereo auxiliar do IOS Cisco nos roteadores e switches intermedirios. Essa soluo habilita os roteadores para que encaminhem broadcasts de DHCP aos servidores DHCP. Quando um roteador encaminha atribuies de endereos/solicitaes de parmetros, ele est agindo como um agente de retransmisso de DHCP. Por exemplo, PC1 transmitiria uma solicitao por broadcast para localizar um servidor DHCP. Se o roteador R1 estivesse configurado como um agente de retransmisso de DHCP, ele interceptaria essa solicitao e a encaminharia ao servidor DHCP localizado na sub-rede 192.168.11.0. Para configurar o roteador R1 como um agente de retransmisso de DHCP, voc precisa configurar a interface mais prxima do cliente com o comando de configurao de interface ip helper-address. Esse comando retransmite as solicitaes de broadcast para os principais servios a um endereo configurado. Configure o endereo IP auxiliar na interface que recebe o broadcast. Clique no boto Configurao de retransmisso na figura. O roteador R1 agora est configurado como um agente de retransmisso de DHCP. Ele aceita as solicitaes de broadcast para o servio de DHCP e ento as encaminha como unicast ao endereo IP 192.168.11.5. Clique no boto Renovao de host na figura. Como voc pode ver, o PC1 agora pode adquirir um endereo IP do servidor DHCP.

O DHCP no o nico servio que pode ser configurado no roteador para que ele faa a retransmisso. Por padro, o comando ip helper-address encaminha os seguintes oito servios de UDP: Porta 37: Tempo Porta 49: TACACS Porta 53: DNS Porta 67: Servidor DHCP/BOOTP Porta 68: Cliente DHCP/BOOTP Porta 69: TFTP Porta 137: servio de nomes NetBIOS Porta 138: servio de datagrama NetBIOS

Para especificar as portas adicionais, utilize o comando ip forward-protocol para especificar exatamente quais tipos de pacotes de broadcast sero encaminhados. Exibir meio visual

7.1.7 Configurando um servidor DHCP usando o SDM Pgina 1: Configurando um servidor DHCP usando o SDM Os roteadores Cisco tambm podem ser configurados como um servidor DHCP utilizando o SDM. Neste exemplo, o roteador R1 ser configurado como o servidor DHCP nas interfaces Fa0/0 e Fa0/1. Clique no boto Tarefas de DHCP na figura. A funo do servidor DHCP habilitada em Additional Tasks [Tarefas adicionais] na guia Configure [Configurar]. Na lista de tarefas, clique na pasta DHCP e selecione Conjuntos de endereos DHCP para adicionar um novo conjunto. Clique em Adicionar para criar o novo conjunto de endereos DHCP. Clique no boto Adicionar conjunto na figura. A janela Adicionar conjunto de endereos DHCP contm as opes necessrias para configurar o conjunto de endereos IP do DHCP. Os endereos IP designados pelo servidor DHCP so tirados de um conjunto comum. Para configurar o conjunto, especifique o endereo IP inicial e o endereo IP final do intervalo.

O SDM Cisco configura o roteador para que ele exclua automaticamente o endereo IP da interface de rede local do conjunto. Voc no deve usar o endereo IP de rede ou sub-rede ou o endereo de broadcast na rede no intervalo de endereos que voc especificar. Se voc precisar excluir os outros endereos IP no intervalo, poder faz-lo ajustando os endereos IP inicial e final. Por exemplo, se voc precisar excluir os endereos IP de 192.168.10.1 at 192.168.10.9, definir o endereo IP inicial como 192.168.10.10. Isso permite que o roteador comece a atribuio de endereos com 192.168.10.10. As outras opes disponveis so:

Servidor DNS 1 e Servidor DNS 2 - O servidor DNS , geralmente, um servidor que mapeia um nome de dispositivo conhecido com seu endereo IP. Se voc tiver um servidor DNS configurado para sua rede, digite aqui o endereo IP para o servidor. Se houver outro servidor DNS na rede, voc poder digitar neste campo o endereo IP para esse servidor. Servidor WINS 1 e Servidor WINS 2 - Relembra que a configurao WINS geralmente est em ambientes que suportam clientes anteriores ao Windows 2000. Importar todas as opes de DHCP para o banco de dados do servidor DHCP - Permite importar as opes de DHCP de um servidor de nvel mais alto e usado geralmente em conjunto com um servidor DHCP da Internet. Essa opo permite que voc receba informaes de nveis mais altos sem ter que fazer essa configurao para esse conjunto.

Clique no boto Conjuntos de endereos DHCP na figura. Esta tela fornece um resumo dos conjuntos configurados em seu roteador. Neste exemplo, dois conjuntos foram configurados, um para cada interface Fast Ethernet no roteador R1. Exibir meio visual

7.1.8 Identificao e soluo de problemas de DHCP Pgina 1: Identificao e soluo de problemas de configurao de DHCP Podem surgir problemas no DHCP por diversos motivos, tais como defeitos de software nos sistemas operacionais, nos drivers da placa de rede ou nos agentes de retransmisso DHCP/BOOTP, mas os mais comuns so os problemas de configurao. Devido ao nmero de reas potencialmente problemticas, necessrio uma abordagem sistemtica para identificar e solucionar os problemas.

Identificao e soluo de problemas Tarefa 1: Solucionar conflitos de endereos IP O emprstimo de um endereo IP pode expirar para um cliente que ainda esteja conectado a uma rede. Se o cliente no renovar o emprstimo, o servidor DHCP poder atribuir novamente aquele endereo IP para outro cliente. Quando o cliente fizer a reinicializao, um endereo IP ser solicitado. Se o servidor DHCP no responder rapidamente, o cliente usar o ltimo endereo IP. Ocorre, assim, uma situao em que dois clientes utilizam o mesmo endereo IP, criando um conflito. O comando show ip dhcp conflict exibe todos os conflitos de endereo registrados pelo servidor DHCP. O servidor usa o comando ping para detectar os conflitos. O cliente usa o Protocolo de resoluo de endereos (ARP, Address Resolution Protocol) para detectar os clientes. Se um conflito de endereos for detectado, o endereo ser removido do conjunto e no ser atribudo at que um administrador solucione o conflito. Este exemplo exibe o mtodo de deteco e hora da deteco para todos os endereos IP oferecidos pelo servidor DHCP que entraram em conflito com outros dispositivos. R2# show ip dhcp conflict IP address Detection Method Detection time 192.168.1.32 Ping Feb 16 2007 12:28 PM 192.168.1.64 Gratuitous ARP Feb 23 2007 08:12 AM Identificao e soluo de problemas - Tarefa 2: Verificar a conectividade fsica Primeiro, use o comando show interfaceinterface para confirmar se a interface do roteador que est agindo como o gateway padro para o cliente est operacional. Se o estado da interface no estiver ativo, a porta no transmitir o trfego, inclusive as solicitaes do cliente DHCP. Identificao e soluo de problemas Tarefa 3: Teste de conectividade de rede configurando uma estao de trabalho do cliente com um endereo IP esttico Ao identificar e solucionar qualquer problema do DHCP, verifique a conectividade da rede configurando um endereo IP esttico em uma estao de trabalho do cliente. Se a estao de trabalho no puder alcanar os recursos de rede com um endereo IP estaticamente configurado, isso significar que a fonte do problema no o DHCP. Neste ponto, a identificao e soluo de problemas de conectividade de rede necessria.

Identificao e soluo de problemas Tarefa 4: Verificar configuraes de porta do switch (Portfast STP e outros comandos) Se o cliente DHCP no puder obter um endereo IP do servidor DHCP na inicializao, tente obter um endereo IP do servidor DHCP forando manualmente o cliente a enviar uma solicitao DHCP. Se houver um switch entre o cliente e o servidor DHCP, verifique que se a porta possui uma PortFast STP habilitada e se o entroncamento/distribuio de canais est desabilitado. A configurao padro a PortFast desabilitada e o entroncamento/distribuio em canais automtico, se aplicvel. Essas mudanas de configurao solucionam os problemas mais comuns do cliente DHCP que ocorrem na instalao inicial de um switch Catalyst. Rever a seo CCNA Exploration: Comutao de rede local e de rede sem fio pode auxiliar na resoluo desse problema. Identificao e soluo de problemas Tarefa 5: Distinguir se os clientes DHCP obtm o endereo IP na mesma sub-rede ou VLAN que o servidor DHCP importante distinguir se o DHCP est funcionando corretamente quando o cliente estiver na mesma sub-rede ou VLAN que o servidor DHCP. Se o DHCP estiver funcionando corretamente, o problema poder ser o agente de retransmisso do DHCP/BOOTP. Se o problema persistir mesmo com o teste do DHCP na mesma subrede ou VLAN que o servidor DHCP, o problema poder estar, de fato, no servidor DHCP. Exibir meio visual

Pgina 2: Verificar a configurao de retransmisso DHCP/BOOTP do roteador Quando o servidor DHCP estiver localizado em uma rede local separada do cliente, a interface do roteador que estiver de frente para o cliente dever ser configurada para retransmitir as solicitaes DHCP. Isso realizado configurando o endereo IP auxiliar. Se o endereo IP auxiliar no for configurado corretamente, as solicitaes do cliente DHCP no sero encaminhadas ao servidor DHCP. Siga as seguintes etapas para verificar a configurao do roteador: Etapa 1. Verifique se o comando ip helper-address est configurado na interface correta. Ele deve estar presente na interface de entrada da rede local que contm as estaes de trabalho do cliente DHCP e deve ser direcionado ao servidor DHCP correto. Na figura, a sada do comando show running-config verifica se o endereo IP de retransmisso DHCP est denominando o endereo do servidor DHCP em 192.168.11.5.

Etapa 2. Verifique se o comando de configurao global no service dhcp no foi configurado. Esse comando desabilita o servidor DHCP e a funcionalidade de retransmisso no roteador. O comando service dhcp no aparece na configurao porque ele a configurao padro. Exibir meio visual

Pgina 3: Verificar se o roteador est recebendo solicitaes DHCP usando os comandos debug. Em roteadores configurados como servidores DHCP, o processo de DHCP falhar se o roteador no receber as solicitaes do cliente. Como uma tarefa de identificao e soluo de problemas, verifique se o roteador est recebendo a solicitao DHCP do cliente. Essa etapa de identificao e soluo de problemas envolve a configurao de uma lista de controle de acesso para a sada do comando de depurao. A lista de controle de acesso da depurao no atrapalha o roteador. No modo de configurao global, crie a seguinte lista de controle de acesso: access-list 100 permit ip host 0.0.0.0 host 255.255.255.255 Inicie a depurao usando o ACL 100 como o parmetro de definio. No modo exec, digite o seguinte comando debug: debug ip packet detail 100 A sada do comando na figura mostra que o roteador est recebendo as solicitaes DHCP do cliente. O endereo IP de origem 0.0.0.0 porque o cliente ainda no tem um endereo IP. O destino 255.255.255.255 porque a mensagem de deteco do DHCP do cliente um broadcast. As portas de origem e destino de UDP, 68 e 67, so as portas tpicas usadas para o DHCP. Essa sada do comando mostra somente um resumo do pacote e no o pacote em si. Portanto, no ser possvel determinar se o pacote est correto. No entanto, o roteador recebeu um pacote de broadcast com as portas IP e UDP de origem e destino corretas para o DHCP. Verificar se o roteador est recebendo e encaminhando as solicitaes DHCP usando o comando debug ip dhcp server packet

Um comando til para identificar e solucionar os problemas da operao de DHCP o comando debug ip dhcp server events. Esse comando reporta os eventos do servidor, como as atribuies de endereo e as atualizaes do banco de dados. Ele tambm usado para decodificar as recepes e as transmisses do DHCP. Exibir meio visual

Pgina 4: O DHCP atribui endereos IP e outras informaes de configurao de rede importantes dinamicamente. Os roteadores Cisco podem usar o conjunto de recursos do IOS Cisco, Easy IP, como um servidor DHCP opcional com todos os recursos. Por padro, o Easy IP empresta configuraes por 24 horas. Nesta atividade, voc ir configurar os servios DHCP em dois roteadores e testar a sua configurao. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

7.2 Dimensionando redes com NAT


7.2.1 Endereamento IP privado e pblico Pgina 1: Todos os endereos de Internet pblicos devem ser registrados com um Registro de internet regional (RIR, Regional Internet Registry). As organizaes podem emprestar os endereos pblicos de um ISP. Somente o proprietrio registrado de um endereo pblico de internet pode atribuir esse endereo a um dispositivo de rede. Voc deve ter observado que todos os exemplos neste curso utilizam um nmero um pouco restrito de endereos IP. Voc tambm deve ter observado a semelhana entre esses nmeros e os nmeros que voc usou em uma rede pequena para exibir as pginas de instalao da web de muitas marcas de impressoras, do DSL e de roteadores a cabo, bem como de outros perifricos. Eles so endereos de internet privados reservados retirados dos trs blocos mostrados na figura. Esses endereos podem ser usados somente em redes internas e privadas. A RFC 1918 especifica que os endereos privados no devem ser roteados pela Internet. Os endereos privados so descritos, s vezes, como " no roteveis." Entretanto, os pacotes com endereos privados podem ser roteados dentro de redes interconectadas privadas. Diferentemente dos endereos IP pblicos, os endereos IP privados so um bloco reservado de nmeros que podem ser usados por qualquer um. Isso significa que duas

redes ou dois milhes de redes podem usar os mesmos endereos privados. Para proteger a estrutura de endereos da Internet pblica, os ISPs geralmente configuram os roteadores de borda para impedir que o trfego endereado exclusivamente a eles seja encaminhado pela Internet. Ao fornecer um maior espao de endereos do que a maioria das organizaes pode obter atravs de um RIR, o endereamento privado confere s empresas uma flexibilidade considervel no design da rede. Isso permite a obteno de esquemas de endereamento operacional e administrativamente convenientes, alm de um crescimento mais fcil. Entretanto, como no possvel rotear endereos privados pela Internet e como no existem endereos pblicos suficientes para permitir que as organizaes forneam um host para todos, as redes precisam que um mecanismo traduza os endereos privados para endereos pblicos na extremidade de sua rede que funcionar em ambas as direes. Na ausncia de um sistema de traduo, os hosts privados de um roteador na rede de uma organizao no podem conectar-se a hosts privados de um roteador em outras organizaes pela Internet. A Traduo de endereos de rede (NAT, Network Address Translation) fornece esse mecanismo. Antes da NAT, um host com um endereo privado no podia acessar a Internet. Usando a NAT, as empresas individuais podem designar a alguns ou todos os seus hosts com endereos privados e usar a NAT para fornecer acesso Internet. Para obter uma viso mais detalhada sobre o desenvolvimento do sistema RIR, acesse o artigo do Cisco Internet Protocol Journal no site http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_44/regional_internet_registries.html. Exibir meio visual

7.2.2 O que NAT? Pgina 1: O que NAT? A NAT como a recepcionista de um grande escritrio. Suponha que voc deixou instrues com a recepcionista para que ela no encaminhe nenhuma ligao a menos que voc pea. Mais tarde, voc liga para um cliente potencial e deixa uma mensagem para que ele retorne a ligao. Voc diz recepcionista que voc est esperando uma ligao desse cliente e pede para que ela faa a transferncia da chamada. O cliente liga para o nmero principal para seu escritrio, que o nico nmero que ele conhece. Quando o cliente disser recepcionista quem ele procura, a recepcionista verificar uma tabela de pesquisa que corresponde seu nome ao seu ramal. A

recepcionista sabe que voc pediu essa chamada; portanto, ela encaminha a pessoa que efetuou a chamada para seu ramal. Assim, enquanto o servidor DHCP designa os endereos IP dinmicos para os dispositivos dentro da rede, os roteadores habilitados pela NAT retm um ou muitos endereos IP de Internet vlidos fora da rede. Quando o cliente enviar pacotes pela rede, a NAT traduzir o endereo IP interno do cliente para um endereo externo. Para usurios externos, todo o trfego destinado para a rede e proveniente dela possui o mesmo endereo IP ou vem do mesmo conjunto de endereos. A NAT tem muitos usos, mas o principal salvar os endereos IP, permitindo que as redes usem os endereos IP privados. A NAT traduz endereos privados, no roteveis e internos em endereos pblicos e externos. A NAT tem um benefcio adicional de proporcionar um nvel maior de privacidade e segurana para uma rede porque ela oculta endereos IP internos de redes externas. Um dispositivo habilitado para NAT funciona normalmente na borda de uma rede stub. Em nosso exemplo, o R2 o roteador de borda. Uma rede stub uma rede que tem uma nica conexo com sua rede vizinha. Como visto no ISP, o R2 forma uma rede stub. Quando um host dentro da rede stub, por exemplo PC1, PC2 ou PC 3, deseja transmitir um pacote para um host externo, esse pacote encaminhado para R2, o roteador de gateway de borda. O R2 executa o processo de NAT, traduzindo o endereo privado interno do host para um endereo pblico, rotevel e externo. Na terminologia de NAT, a rede interna o conjunto de redes que esto sujeitas traduo. A rede externa se refere a todos os outros endereos. Os endereos IP possuem designaes diferentes dependendo de estarem na rede privada ou na rede pblica (Internet) e de o trfego estar chegando ou saindo. Clique no boto Terminologia na figura. A figura mostra como referir-se s interfaces ao configurar a NAT. Suponha que o roteador R2 foi configurado para fornecer os recursos da NAT. Ele possui um conjunto de endereos publicamente disponveis para emprestar aos hosts internos. Esta seo utiliza os seguintes termos ao discutir a NAT:

Endereo local interno - Geralmente no um endereo IP atribudo por um RIR ou operadora, sendo mais provavelmente um endereo privado da RFC 1918. Na figura, o endereo IP 192.168.10.10 est atribudo ao PC1 host na rede interna. Endereo global interno - Um endereo pblico vlido que o host interno recebe quando sai do roteador da NAT. Quando o trfego de PC1 destinado para o servidor web em 209.165.201.1, o roteador R2 dever traduzir o endereo. Nesse caso, o endereo IP 209.165.200.226 usado como o endereo global interno para o PC1.

Endereo global externo - Endereo IP pblico vlido atribudo a um host na Internet. Por exemplo, o servidor web pode ser alcanado no endereo IP 209.165.201.1. Endereo local externo - O endereo IP local atribudo a um host na rede externa. Na maioria das situaes, esse endereo ser idntico ao endereo global externo do dispositivo externo.

Nota: Neste curso, faremos referncia ao endereo local interno, ao endereo global interno e ao endereo global externo. O uso do endereo local externo est fora do escopo deste curso. O "interno" de uma configurao de NAT no sinnimo de endereos particulares como eles so definidos pela RFC 1918. Embora os endereos "internos" sejam, geralmente, endereos privados, a NAT pode fazer a traduo entre endereos pblicos "externos" e "internos". Exibir meio visual

Pgina 2: Como a NAT funciona? Neste exemplo, um host interno (192.168.10.10) deseja se comunicar com um servidor web externo (209.165.201.1). Ele envia um pacote a R2, o gateway de borda configurado para NAT da rede. Use os controles na figura para iniciar a animao. R2 l o endereo IP de origem do pacote e verifica se o pacote corresponde aos critrios especificados para traduo. R2 possui uma ACL que identifica a rede interna como hosts vlidos para traduo. Portanto, ele traduz um endereo IP local interno para um endereo IP global interno que, neste caso, 209.165.200.226. Ele armazena esse mapeamento de endereo local para endereo global na tabela de NAT. Em seguida, o roteador envia o pacote a seu destino. Quando o servidor web responde, o pacote volta ao endereo global de R2 (209.165.200.226). R2 consulta a sua tabela de NAT e verifica que esse era um endereo IP que foi traduzido anteriormente. Portanto, ele traduz o endereo global interno para o endereo local interno, e o pacote encaminhado ao PC1 no endereo IP 192.168.10.10. Se ele no localizar um mapeamento, o pacote ser descartado. Mapeamento dinmico e mapeamento esttico

Existem dois tipos de traduo NAT: dinmica e esttica. A NAT dinmica utiliza um conjunto de endereos pblicos e os atribui por ordem de chegada. Quando um host com um endereo IP privado solicitar acesso Internet, a NAT dinmica escolher um endereo IP do conjunto que no estiver mais sendo usado por outro host. Esse o mapeamento descrito at ento. A NAT esttica usa um mapeamento exclusivo de endereos globais e locais, e tais mapeamentos permanecem constantes. A NAT esttica particularmente til para servidores web ou hosts que devam ter um endereo consistente que possa ser acessado da Internet. Esses hosts internos podem ser servidores corporativos ou dispositivos de redes interconectadas. Tanto a NAT esttica como a dinmica exigem que endereos pblicos suficientes estejam disponveis para atender ao nmero total de sesses de usurio simultneas. Para observar de outra maneira como a NAT dinmica funciona, acesse http://www.cisco.com/warp/public/556/nat.swf. Exibir meio visual

Pgina 3: Sobrecarga de NAT A sobrecarga de NAT (chamada vezes de Traduo de endereo de porta ou PAT) mapeia diversos endereos IP privados para um nico endereo IP pblico ou para alguns endereos. Isso o que a maioria dos roteadores locais fazem. Seu ISP atribui um endereo a seu roteador, mas vrios membros de sua famlia podem navegar na Internet simultaneamente. Com a sobrecarga de NAT, vrios endereos podem ser mapeados para um ou alguns endereos porque cada endereo privado tambm acompanhado por um nmero de porta. Quando um cliente abrir uma sesso de TCP/IP, o roteador de NAT atribuir um nmero de porta ao seu endereo de origem. A sobrecarga de NAT garante que os clientes utilizem um nmero de porta TCP diferente para cada sesso do cliente com um servidor na Internet. Quando uma resposta voltar do servidor, o nmero de porta de origem, que se torna o nmero de porta de destino na viagem de retorno, determinar para qual cliente o roteador ir rotear os pacotes. Ele tambm validar se os pacotes de entrada foram solicitados, acrescentando um grau de segurana sesso. Clique nos controles para iniciar e pausar a animao. Essa animao ilustra o processo. A sobrecarga de NAT utiliza nmeros de porta de origem exclusivos no endereo IP global interno para fazer a distino entre as

tradues. Como o NAT processa cada pacote, ele usa um nmero de porta (neste exemplo, 1331 e 1555) para identificar o cliente do qual o pacote foi originado. O endereo de origem (SA, source address) o endereo IP local interno com o nmero de porta atribudo de TCP/IP anexado. O endereo de destino (DA, destination address) o endereo IP local externo com o nmero de porta de servio anexado, neste caso a porta 80: HTTP. No roteador de gateway de borda (R2), a sobrecarga de NAT altera o SA para o endereo IP global interno do cliente, novamente com o nmero de porta anexado. O DA o mesmo endereo, mas agora est sendo chamado de endereo IP global externo. Quando o servidor web responder, o mesmo caminho ser seguido, mas ao contrrio. Os nmeros de porta so codificados em 16 bits. O nmero total de endereos internos que pode ser traduzido para um endereo externo pode ser, teoricamente, de 65.536 por cada endereo IP. Porm, na realidade, o nmero de endereos internos que pode ser atribudo a um nico endereo IP cerca de 4.000. Clique no boto Prxima porta disponvel na figura. No exemplo anterior, os nmeros de porta de cliente nos dois SAs, 1331 e 1555, no se alteram no gateway de borda. Esse cenrio no muito provvel, pois existe uma grande chance de que esses nmeros possam j ter sido anexados s outras sesses em andamento. A sobrecarga de NAT tenta preservar a porta de origem inicial. Porm, se essa porta de origem j estiver sendo usada, a sobrecarga de NAT atribuir o primeiro nmero de porta disponvel do incio do grupo de portas apropriado: 0-511, 512-1023 ou 102465535. Quando no houver mais nenhuma porta disponvel e houver mais de um endereo IP externo configurado, a sobrecarga de NAT ir para o prximo endereo IP para tentar alocar a porta de origem inicial novamente. Esse processo continuar at que as portas disponveis e os endereos IP externos acabem. Na figura, ambos os hosts escolheram o mesmo nmero de porta 1444. Isso aceitvel para o endereo interno, porque ambos tm endereos IP privados exclusivos. Entretanto, no gateway de borda, os nmeros de porta precisam ser alterados, caso contrrio os dois pacotes dos dois hosts deixariam o R2 com o mesmo endereo de origem. A sobrecarga de NAT deu ao segundo endereo o primeiro nmero de porta disponvel que, neste caso, o 1445. Diferenas entre a NAT e a sobrecarga de NAT Um resumo das diferenas entre a NAT e a sobrecarga de NAT facilitar sua compreenso. A NAT geralmente s traduz os endereos IP em uma correspondncia de 1:1 entre os endereos IP publicamente expostos e os endereos privativamente retidos. A sobrecarga de NAT modifica o endereo IP privado e o nmero de porta do

remetente. A sobrecarga de NAT escolhe os nmeros de porta vistos pelos hosts na rede pblica. A NAT roteia os pacotes de entrada para seus destinos internos recorrendo ao endereo IP de origem de entrada dado pelo host na rede pblica. Com a sobrecarga de NAT, geralmente existe somente um ou muito poucos endereos IP publicamente expostos. Os pacotes de entrada da rede pblica so roteados aos seus destinos na rede privada por meio da consulta na tabela no dispositivo de sobrecarga de NAT que monitora os pares de portas pblicas e privadas. Isso chamado de monitoramento de conexo. Exibir meio visual

7.2.3 Benefcios e desvantagens de usar a NAT Pgina 1: Benefcios e desvantagens de usar a NAT A NAT oferece muitos benefcios e vantagens. Porm, existem algumas desvantagens de us-la, inclusive a falta de suporte para alguns tipos de trfego. Os benefcios de usar a NAT incluem: A NAT conserva o esquema de endereamento legalmente registrado, permitindo a privatizao das intranets. A NAT conserva os endereos atravs da multiplexao de nvel de porta de aplicativo. Com sobrecarga de NAT, os hosts internos podem compartilhar um nico endereo IP pblico para todas as comunicaes externas. Neste tipo de configurao, so necessrios muito poucos endereos externos para suportar os muitos hosts internos. A NAT aumenta a flexibilidade das conexes com a rede pblica. Diversos conjuntos, conjuntos de backup e conjuntos de balanceamento de carga podem ser implementados para assegurar conexes de redes pblicas confiveis. A NAT fornece uma consistncia para esquemas de endereamento de rede internos. Em uma rede sem endereos IP privados e NAT, a mudana de endereos IP pblicos exige a renumerao de todos os hosts na rede existente. Os custos para renumerar hosts podem ser significativos. O NAT permite que o esquema existente permanea enquanto suporta um novo esquema de endereamento pblico. Isso significa que uma organizao poderia mudar os ISPs e no precisaria mudar nenhum de seus clientes internos. O NAT oferece segurana de rede. Como as redes privadas no anunciam seus endereos ou topologia interna, elas permanecem razoavelmente seguras quando usadas juntamente com a NAT para obter o acesso externo controlado. Porm, a NAT no substitui os firewalls.

Entretanto, a NAT apresenta algumas desvantagens. Vrios problemas so criados pelo fato de os hosts na Internet parecerem comunicar-se diretamente com o dispositivo de NAT, em vez de comunicar-se com o host real dentro da rede privada. Teoricamente,

um endereo IP globalmente exclusivo pode representar hosts endereados privativamente. Isso pode ser vantajoso do ponto de vista da privacidade e segurana mas, na prtica, existem desvantagens. A primeira desvantagem afeta o desempenho. A NAT aumenta os atrasos da comutao porque a traduo de cada endereo IP dentro dos cabealhos do pacote demorada. O primeiro pacote comutado por processo, o que significa que ele sempre passa pelo caminho mais lento. O roteador deve observar todos os pacotes para decidir se eles precisam de traduo. O roteador precisa alterar o cabealho de IP e, possivelmente, alterar o cabealho de TCP ou UDP. Se existir uma entrada de cache, os pacotes restantes passam atravs do caminho que foi comutado rapidamente; caso contrrio, eles tambm so atrasados. Muitos protocolos e aplicativos de Internet dependem da funcionalidade fim-a-fim, com pacotes inalterados encaminhados da origem ao destino. Com a alterao dos endereos fim-a-fim, a NAT evita alguns aplicativos que utilizam o endereamento IP. Por exemplo, alguns aplicativos de segurana, como as assinaturas digitais, falham porque o endereo IP de origem muda. Os aplicativos que usam endereos fsicos em vez de um nome de domnio qualificado no alcanam os destinos que so traduzidos atravs do roteador de NAT. s vezes, esse problema pode ser evitado implementando mapeamentos de NAT estticos. A capacidade de rastreamento IP fim-a-fim tambm perdida. Torna-se muito mais difcil rastrear pacotes que passam por muitas mudanas de endereo ao longo dos diversos saltos da NAT, dificultando a identificao e soluo de problemas. Por outro lado, os hackers que querem determinar a origem de um pacote acham difcil rastrear ou obter a origem ou o endereo de destino. O uso da NAT tambm complica os protocolos de tunelamento, como o IPsec, porque ela modifica os valores nos cabealhos que interferem nas verificaes de integridade feitas pelo IPsec e por outros protocolos de tunelamento. Os servios que exigem a iniciao de conexes de TCP da rede externa ou protocolos sem estado, como os que usam o UDP, podem ser interrompidos. A menos que o roteador de NAT se esforce especificamente para suportar esses protocolos, os pacotes de entrada no podero chegar ao seu destino. Alguns protocolos podem acomodar uma instncia de NAT entre os hosts participantes (FTP no modo passivo, por exemplo), mas falham quando ambos os sistemas so separados da Internet pela NAT. Exibir meio visual

7.2.4 Configurando a NAT esttica Pgina 1: NAT esttica

Lembre-se de que a NAT esttica um mapeamento exclusivo entre um endereo interno e um endereo externo. A NAT esttica permite conexes iniciadas por dispositivos externos para dispositivos internos. Por exemplo, voc pode desejar mapear um endereo global interno para um endereo local interno especfico que est atribudo ao seu servidor web. A configurao das tradues de NAT estticas uma tarefa simples. necessrio definir os endereos a serem traduzidos e, em seguida, configurar a NAT nas interfaces apropriadas. Os pacotes que chegam em uma interface do endereo IP definido esto sujeitos traduo. Os pacotes que chegam em uma interface externa, destinados para o endereo IP identificado, esto sujeitos traduo. A figura explica os comandos para cada etapa. Voc digita as tradues estticas diretamente na configurao. Diferentemente das tradues dinmicas, essas tradues sempre esto na tabela de NAT. Clique no boto Exemplo na figura. A figura uma configurao de NAT esttica simples aplicada em ambas as interfaces. O roteador sempre traduz os pacotes do host dentro da rede com o endereo privado de 192.168.10.254 em um endereo externo de 209.165.200.254. O host na Internet direciona as solicitaes da web ao endereo IP pblico 209.165.200.254, e o roteador R2 sempre encaminha esse trfego ao servidor em 192.168.10.254. Exibir meio visual

7.2.5 Configurando a NAT dinmica Pgina 1: Configurando a NAT dinmica Enquanto a NAT esttica fornece um mapeamento permanente entre um endereo interno e um endereo pblico especfico, a NAT dinmica mapeia os endereos IP privados para endereos pblicos. Esses endereos IP pblicos vm de um conjunto de NAT. A configurao de NAT dinmica diferente da NAT esttica, mas tambm apresenta algumas semelhanas. Assim como a NAT esttica, ela exige que a configurao identifique cada interface como uma interface interna ou externa. Entretanto, em vez de criar um mapa esttico para um nico endereo IP, utiliza-se um conjunto de endereos globais internos. Clique no boto Comandos na figura para ver as etapas e configurar a NAT dinmica. Para configurar a NAT dinmica, voc precisa de uma ACL para permitir somente os endereos que devem ser traduzidos. Ao desenvolver sua ACL, lembre-se de que h um negar todos implcito no final de cada ACL. Uma ACL muito permissiva pode levar a

resultados imprevisveis. A Cisco no aconselha configurar as listas de controle de acesso indicadas pelos comandos NAT com o comando permit any. O uso do comando permit any pode fazer com que a NAT consuma muitos recursos do roteador, o que pode levar a problemas de rede. Clique no boto Exemplo na figura. Essa configurao permite a traduo para todos os hosts nas redes 192.168.10.0 e 192.168.11.0 quando elas gerarem o trfego que entrar em S0/0/0 e sair de S0/1/0. Esses hosts so traduzidos para um endereo disponvel no intervalo de 209.165.200.226 209.165.200.240. Exibir meio visual

7.2.6 Configurando a sobrecarga de NAT Pgina 1: Configurando a sobrecarga de NAT para um nico endereo IP pblico Existem duas maneiras possveis de configurar a sobrecarga, dependendo de como o ISP aloca os endereos IP pblicos. Em primeiro lugar, o ISP aloca um endereo IP pblico para a organizao e, em seguida, aloca mais de um endereo IP pblico. A figura mostra as etapas a serem seguidas para configurar a sobrecarga de NAT com um nico endereo IP. Com somente um endereo IP pblico, a configurao da sobrecarga geralmente atribui esse endereo pblico interface externa que se conecta ao ISP. Todos os endereos internos so traduzidos para o nico endereo IP ao deixar a interface externa. Clique no boto Comandos na figura para ver as etapas para configurar a sobrecarga de NAT. A configurao semelhante NAT dinmica. A diferena que, em vez de um conjunto de endereos, a palavra-chave interface usada para identificar o endereo IP externo. Portanto, nenhum conjunto de NAT foi definido. A palavra-chave sobrecarga permite adicionar o nmero da porta traduo. Clique no boto Exemplo na figura. Este exemplo mostra como a sobrecarga de NAT configurada. No exemplo, todos os hosts da rede 192.168.0.0 /16 (correspondentes ACL 1) que enviam o trfego atravs do roteador R2 para a Internet so traduzidos para o endereo IP 209.165.200.225 (endereo IP S0/1/0 da interface). Como a palavra-chave sobrecarga foi usada, os fluxos de trfego foram identificados pelos nmeros de porta.

Exibir meio visual

Pgina 2: Configurando a sobrecarga de NAT para um conjunto de endereos IP pblicos No cenrio onde o ISP fornecer mais de um endereo IP pblico, a sobrecarga de NAT ser configurada para usar um conjunto. A principal diferena entre essa configurao e a configurao para a NAT dinmica e exclusiva que ela usa a palavra-chave sobrecarga. Lembre-se de que a palavra-chave sobrecarga permite a traduo de endereo de porta. Clique no boto Comandos na figura para ver as etapas da configurao da sobrecarga de NAT usando um conjunto de endereos. Clique no boto Exemplo na figura. Neste exemplo, a configurao estabelece a traduo de sobrecarga para o conjunto de NAT, NAT-POOL2. O conjunto de NAT contm os endereos 209.165.200.226 209.165.200.240 e traduzido usando PAT. Os hosts na rede 192.168.0.0 /16 esto sujeitos traduo. Por fim, as interfaces interna e externa so identificadas. Exibir meio visual

7.2.7 Configurando o encaminhamento de porta Pgina 1: Encaminhamento de porta O encaminhamento de porta (s vezes chamado de tunelamento) o ato de encaminhar uma porta de rede de um n de rede para outro. Essa tcnica permite que um usurio externo alcance uma porta em um endereo IP privado (dentro de uma rede local) do endereo externo atravs de um roteador habilitado pela NAT. Geralmente, os programas e as principais operaes de compartilhamento de arquivos ponto a ponto, como o FTP de servio e de sada da web, exigem que as portas do roteador sejam encaminhadas ou abertas para permitir o funcionamento desses aplicativos. Como a NAT oculta os endereos internos, o ponto a ponto s funciona no sentido contrrio onde a NAT pode mapear as solicitaes de sada de registro em relao s respostas de entrada. O problema que a NAT no permite que as solicitaes sejam iniciadas do exterior. Essa situao pode ser resolvida com uma interveno manual. O encaminhamento de

porta permite identificar as portas especficas que podem ser encaminhadas para os hosts internos. Lembre-se de que os aplicativos de software da Internet interagem com portas de usurio que precisam estar abertas ou disponveis para esses aplicativos. Diferentes aplicativos usam diferentes portas. Por exemplo, a Telnet usa a porta 23, o FTP usa as portas 20 e 21, o HTTP usa a porta 80 e o SMTP usa a porta 25. Isso torna previsvel a identificao dos servios de rede pelos aplicativos e roteadores. Por exemplo, o HTTP opera pela porta 80, que conhecida. Quando voc digita o endereo http://cisco.com, o navegador exibe o site da Cisco Systems, Inc. Observe que ns no precisamos especificar o nmero de porta HTTP para as solicitaes de pgina porque o aplicativo supe a porta 80. Configurando o encaminhamento de porta O encaminhamento de porta permite que os usurios na Internet acessem os servidores internos usando o endereo de porta de WAN e o nmero de porta externo correspondente. Quando os usurios enviam esses tipos de solicitaes para seu endereo IP de porta de WAN pela Internet, o roteador encaminha essas solicitaes aos servidores apropriados em sua rede local. Por questes de segurana, os roteadores de banda larga no permitem, por padro, que seja encaminhada nenhuma solicitao de rede externa para um host interno. Por exemplo, a figura est exibindo a janela Encaminhamento de porta simples de um roteador de SOHO de classe de negcios, Linksys WRVS4400N. Atualmente, o encaminhamento de porta no est configurado. Clique no boto Exemplo de encaminhamento de porta na figura. Voc pode habilitar o encaminhamento de porta para os aplicativos e especificar o endereo local interno para o qual encaminhar as solicitaes. Por exemplo, na figura, as solicitaes de servio do HTTP que chegam ao Linksys so encaminhadas, neste momento, para o servidor web com o endereo local interno de 192.168.1.254. Se o endereo IP WAN externo do roteador de SOHO for 209.165.200.158, o usurio externo poder digitar http://209.165.200.158 e o roteador de Linksys redirecionar a solicitao de HTTP para o servidor web interno no endereo IP 192.168.1.254, usando o nmero de porta 80 padro. Ns podemos especificar uma porta diferente da porta padro 80. Entretanto, o usurio externo teria que saber o nmero de porta especfico a ser usado. A abordagem que voc adota para configurar o encaminhamento de porta depende da marca e modelo do roteador de banda larga na rede. Porm, existem algumas etapas genricas a serem seguidas. Se as instrues fornecidas pelo seu ISP ou que vieram com o roteador no fornecerem uma orientao adequada, o site www.portforward.com oferece guias para diversos roteadores de banda larga. Voc pode seguir as instrues

para adicionar ou excluir portas conforme o necessrio para que as necessidades de qualquer aplicativo que voc deseja aceitar ou rejeitar sejam atendidas. Exibir meio visual

7.2.8 Verificando, identificando e solucionando problemas das configuraes de NAT Pgina 1: Verificando a NAT e a sobrecarga de NAT importante verificar a operao de NAT. Existem vrios comandos de roteador teis para exibir e apagar as tradues de NAT. Este tpico explica como verificar a operao de NAT usando as ferramentas disponveis nos roteadores Cisco. Um dos comandos mais teis ao verificar a operao de NAT o comando show ip nat translations. Antes de usar os comandos show para verificar a NAT, voc deve apagar as entradas de traduo dinmica que ainda estejam presentes porque, por padro, as tradues dinmicas de endereo expiram da tabela de traduo NAT aps um perodo de falta de uso. Na figura, o roteador R2 foi configurado para fornecer a sobrecarga de NAT aos clientes de 192.168.0.0 /16. Quando os hosts internos saem do roteador R2 para a Internet, eles so traduzidos para o endereo IP da interface serial com um nmero de porta de origem exclusivo. Suponha que os dois hosts na rede interna acessaram os servios da web pela Internet. Clique no boto Tradues de NAT na figura. Observe que a sada do comando show ip nat translations exibe os detalhes das duas atribuies de NAT. Adicionar verbose ao comando exibir as informaes adicionais sobre cada traduo, inclusive h quanto tempo a entrada foi criada e usada. O comando exibe todas as tradues estticas que foram configuradas, alm das tradues dinmicas que foram criadas pelo trfego. Cada traduo identificada atravs do protocolo e atravs dos endereos locais e globais, internos e externos. Clique no boto Estatsticas de NAT na figura. O comando show ip nat statistics exibe informaes sobre o nmero total de tradues ativas, os parmetros de configurao de NAT, quantos endereos esto no conjunto e quantos foram alocados.

Na figura, os hosts iniciaram o trfego da web, alm do trfego ICMP. Como alternativa, use o comando show run e procure a NAT, a lista de comandos de acesso, a interface ou comandos de conjunto com os valores exigidos. Examine-os cuidadosamente e corrija os erros que encontrar. Por padro, a traduo expira depois de 24 horas, a menos que os temporizadores sejam reconfigurados com o comando ip nat translation timeouttimeout_ seconds no modo de configurao global. Clique no boto NAT apagado na figura. s vezes til apagar as entradas dinmicas antes do tempo padro. Isso especialmente verdadeiro ao testar a configurao de NAT. Para apagar as entradas dinmicas antes de o tempo limite expirar, use comando global clear ip nat translation. A tabela na figura est exibindo os vrios modos de apagar as tradues de NAT. Voc pode especificar qual traduo apagar ou pode apagar todas as tradues da tabela usando o comando global clear ip nat translation *, como mostrado no exemplo. Somente as tradues dinmicas so apagadas da tabela. As tradues estticas no podem ser apagadas da tabela de traduo. Exibir meio visual

Pgina 2: Identificao e soluo de problemas de configurao da NAT e da sobrecarga de NAT Quando voc tiver problemas de conectividade IP em um ambiente de NAT, geralmente difcil determinar suas causas. A primeira etapa da resoluo do problema excluir a NAT como a causa. Siga estas etapas para verificar se a NAT est funcionando como esperado: Etapa 1. Com base na configurao, defina claramente o que a NAT deve alcanar. Isso pode revelar um problema com a configurao. Etapa 2. Verifique se as tradues corretas se encontram na tabela usando o comando show ip nat translations.

Etapa 3. Use os comandos clear e debug para verificar se a NAT est funcionando conforme o esperado. Verifique se as entradas dinmicas so recriadas depois de serem apagadas. Etapa 4. Observe detalhadamente o que acontece com o pacote e verifique se os roteadores possuem as informaes de roteamento corretas para mover o pacote. Use o comando debug ip nat para verificar a operao do recurso de NAT exibindo as informaes sobre os pacotes que so traduzidos pelo roteador. O comando debug ip nat detailed gera uma descrio de cada pacote considerado para traduo. Esse comando tambm exibe informaes sobre certos erros ou condies de exceo, como a falha para alocar um endereo global. A figura apresenta uma amostra da sada do comando debug ip nat. Na sada do comando, possvel observar que o host interno 192.168.10.10 iniciou o trfego para o host externo 209.165.200.254 e foi traduzido para o endereo 209.165.200.225. Ao decodificar a sada do comando da depurao, observe o que os smbolos e valores seguintes indicam:

* - O asterisco prximo NAT indica que a traduo est ocorrendo no caminho de comutao rpida. O primeiro pacote em uma conversao sempre comutado por processo, o que mais lento. Se existir uma entrada de cache, os pacotes restantes passam atravs do caminho que foi comutado rapidamente. s= - Refere-se ao endereo IP de origem. a.b.c.d---> w.x.y.z - Indica que o endereo de origem a.b.c.d traduzido para w.x.y.z. d= - Refere-se ao endereo IP de destino. [xxxx] - O valor em colchetes o nmero de identificao IP. Essas informaes podem ser teis para a depurao porque elas habilitam a correlao com outros rastros de pacote de analisadores de protocolo.

Voc pode ver as seguintes demonstraes sobre como verificar, identificar e solucionar problemas da NAT nestes locais: Flash Animation Case Study: Can Ping Host, but Cannot Telnet: Animao em flash com durao de sete minutos sobre por que um dispositivo pode executar ping no host, mas no pode usar a telnet: http://www.cisco.com/warp/public/556/index.swf. Flash Animation Case Study: Cannot Ping Beyond NAT: Animao em flash com durao de dez minutos sobre como um dispositivo no pode executar ping alm da NAT: http://www.cisco.com/warp/public/556/TS_NATcase2/index.swf. Exibir meio visual

Pgina 3: A NAT traduz endereos privados, no roteveis e internos em endereos pblicos, roteveis. A NAT tem um benefcio adicional de proporcionar um nvel de privacidade e segurana para uma rede porque ela oculta endereos IP internos de redes externas. Nesta atividade, voc configurar a NAT dinmica e esttica. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

7.3 IPv6
7.3.1 Motivos para usar o IPv6 Pgina 1: Por que precisamos de mais espao de endereo Para compreender os problemas de endereamento IP que atingem os administradores de rede, considere que o espao de endereo do IPv4 fornece, aproximadamente, 4.294.967.296 endereos exclusivos. Desses, apenas 3,7 bilhes de endereos podem ser atribudos porque o sistema de endereamento do IPv4 separa os endereos em classes e reserva os endereos para multicast, teste e outros usos especficos. Com base nos nmeros de janeiro de 2007, aproximadamente 2,4 bilhes dos endereos de IPv4 disponveis j foram atribudos a usurios finais ou ISPs. Isso deixa aproximadamente 1,3 bilho de endereos ainda disponveis do espao de endereos do IPv4. Apesar desse nmero aparentemente grande, o espao de endereos do IPv4 est acabando. Clique no boto Reproduzir na figura para ver a rapidez desses acontecimentos durante os ltimos 14 anos. Na ltima dcada, a comunidade da Internet analisou o esgotamento dos endereo do IPv4 e publicou pilhas de relatrios. Alguns relatrios preveem o esgotamento dos endereos de IPv4 por volta de 2010 e outros dizem que isso no acontecer at 2013. Clique no boto Reduo na figura para ver como o espao de endereos disponveis est sendo reduzido.

O crescimento da Internet, aliado ao aumento do poder da computao, aumentou o alcance dos aplicativos baseados em IP. Clique no boto Por que o IPv6 na figura e pense sobre o que est levando a uma mudana para o IPv6. O conjunto de nmeros est sendo reduzido pelos seguintes motivos:

Crescimento da populao - A populao da Internet est crescendo. Em novembro de 2005, a Cisco estimou que havia 973 milhes de usurios aproximadamente. Esse nmero dobrou desde ento. Alm disso, os usurios ficam online por mais tempo, reservando os endereos IP por perodos mais longos e entrando em contato com cada vez mais pontos diariamente. Usurios mveis - A indstria produziu mais de um bilho de telefones celulares. Foram produzidos mais de 20 milhes de dispositivos mveis habilitados para IP, inclusive assistentes digitais pessoais (PDAs, personal digital assistants), canetas digitais, blocos de notas e leitores de cdigos de barra. Cada vez mais dispositivos mveis habilitados para IP ficam online todos os dias. Os telefones celulares antigos no precisavam de endereos IP, mas os novos precisam. Transporte - Haver mais de um bilho de automveis por volta de 2008. Os modelos mais novos so habilitados para IP para permitir que a monitorao remota fornea uma manuteno e suporte em tempo hbil. A Lufthansa j fornece a conectividade da Internet em seus voos. Mais operadoras, incluindo os navios, fornecero servios semelhantes. Equipamentos eletrnicos - Os dispositivos mais novos permitem a monitorao remota usando a tecnologia IP. So exemplos os gravadores de vdeo digital (DVRs, Digital Video Recorder), que fazem o download de guias de programas e os atualizam pela Internet. As redes locais podem conectar esses dispositivos.

Exibir meio visual

Pgina 2: Motivos para usar o IPv6 O movimento para mudar do IPv4 para o IPv6 j comeou, especialmente na Europa, Japo e na regio da sia-Pacfico. Essas reas esto esgotando seus endereos IPv4 distribudos, o que torna o IPv6 ainda mais atraente e necessrio. O movimento foi oficialmente iniciado no Japo no ano 2000, quando o governo japons determinou a incorporao do IPv6 e definiu o prazo final para 2005 para que se atualizassem os sistemas existentes em todos os negcios e no setor pblico. A Coreia, China e Malsia tiveram iniciativas semelhantes.

Em 2002, a IPv6 Task Force da Comunidade Europeia formou uma aliana estratgica para encorajar a adoo do IPv6 em todo o mundo. A IPv6 Task Force norte-americana comeou a exigir que os mercados norte-americanos adotassem o IPv6. Os primeiros avanos significativos nos Estados Unidos so provenientes do Departamento de Defesa Norte-Americano (DoD, U.S Department of Defense). Prevendo o futuro e conhecendo as vantagens de dispositivos habilitados para IP, o DoD designou, j em 2003, que todos os novos equipamentos comprados, alm de serem habilitados para IP, fossem habilitados tambm para o IPv6. Na realidade, todos os rgos pblicos norteamericanos devem comear a usar o IPv6 em suas redes principais por volta de 2008, e eles esto trabalhando para cumprir com esse prazo. A capacidade de dimensionar as redes para as demandas futuras requer um fornecimento ilimitado de endereos IP e uma mobilidade aprimorada que o DHCP e a NAT sozinhos no conseguem atingir. O IPv6 satisfaz os requisitos cada vez mais complexos do endereamento hierrquico que o IPv4 no fornece. Devido enorme base instalada do IPv4 no mundo, no difcil avaliar que a transio das implantaes do IPv4 para o IPv6 seja um desafio. Entretanto existe uma variedade de tcnicas, inclusive uma opo de configurao automtica, para fazer a transio de modo mais fcil. O mecanismo de transio usado por voc depender das necessidades de sua rede. A figura compara as representaes binrias e alfanumricas dos endereos do IPv4 e do IPv6. Um endereo IPv6 um valor binrio de 128 bits que pode ser exibido como 32 dgitos hexadecimais. O IPv6 deve fornecer endereos suficientes para as necessidades do crescimento futuro da Internet por muitos anos. Existem endereos IPv6 suficientes para alocar mais do que o espao de endereos de Internet do IPv4 inteiro a todas as pessoas do mundo. Clique no boto Perspectiva na figura. Ento, o que aconteceu com o IPv5? O IPv5 foi usado para definir um protocolo experimental de streaming em tempo real. Para evitar qualquer confuso, foi decidido no usar o IPv5 e nomear o novo protocolo IP como IPv6. Exibir meio visual

Pgina 3: O IPv6 no existiria no fosse o esgotamento reconhecido de endereos IPv4 disponveis. Porm, alm do maior espao de endereos IP, o desenvolvimento do IPv6 apresentou oportunidades para aplicar as lies aprendidas a partir das limitaes do IPv4 para criar um protocolo com recursos novos e aprimorados. Uma arquitetura de cabealho e uma operao de protocolo simplificados se traduzem em gastos operacionais reduzidos. Os recursos de segurana integrados significam prticas de segurana mais fceis, extremamente ausentes em muitas redes atuais.

Entretanto, talvez a melhoria mais significativa oferecida pelo IPv6 sejam os recursos de autoconfigurao que ele possui. A Internet est evoluindo rapidamente de uma coleo de dispositivos fixos para uma rede fluida de dispositivos mveis. O IPv6 permite que os dispositivos mveis adquiram e faam a transio rapidamente entre endereos conforme eles se movem entre redes externas, sem que haja necessidade de um agente externo. (Um agente externo um roteador que pode funcionar como o ponto de anexo para um dispositivo mvel quando for de sua rede local para uma rede externa.) A autoconfigurao de endereo tambm significa uma conectividade de rede plug and play mais slida. A autoconfigurao suporta clientes que tenham qualquer combinao de computadores, impressoras, cmeras digitais, rdios digitais, telefones IP, dispositivos domsticos habilitados para a Internet e brinquedos eletrnicos conectados s suas redes locais. Muitos fabricantes j integram o IPv6 em seus produtos. Muitos dos aprimoramentos oferecidos pelo IPv6 so explicados nesta seo, incluindo: Endereamento IP aprimorado Cabealho simplificado Mobilidade e segurana Riqueza de transio

Endereamento IP aprimorado Um espao maior de endereo oferece vrios aprimoramentos, incluindo:

Melhor acessibilidade e flexibilidade globais. Melhor agregao de prefixos de IP anunciados nas tabelas de roteamento. Hosts multihome. Multihoming uma tcnica para aumentar a confiabilidade da conexo da Internet de uma rede IP. Com o IPv6, um host pode ter vrios endereos IP sobre um link upstream fsico. Por exemplo, um host pode conectar-se a vrios ISPs. A autoconfigurao, que pode incluir endereos de camada de enlace de dados no espao de endereo. Mais opes de plug and play para mais dispositivos. Reendereamento pblico-para-privado e fim-a-fim sem traduo de endereos. Ele torna a rede ponto a ponto (P2P) mais funcional e mais fcil de ser implantada. Mecanismos simplificados para renumerao e modificao do endereo.

Clique no boto Cabealho simples na figura.

A figura compara a estrutura de cabealho de IPv6 simplificada ao cabealho de IPv4. O cabealho de IPv4 possui 20 octetos e 12 campos de cabealho bsicos, seguidos por um campo de opes e uma poro de dados (normalmente o segmento de Camada de transporte). O cabealho de IPv6 possui 40 octetos, trs campos de cabealho bsicos de IPv4 e cinco campos de cabealho adicionais. O cabealho simplificado de IPv6 oferece vrias vantagens com relao ao IPv4: Melhor eficincia de roteamento para desempenho e escalabilidade de taxa de encaminhamento Ausncia de broadcasts e, desse modo, ausncia de ameaas de broadcast storms Sem necessidade de processar checksums Mecanismos de cabealho de extenso simplificados e mais eficientes Rtulos de fluxo para processamento por fluxo sem a necessidade de abrir o pacote interno de transporte para identificar os diversos fluxos de trfego

Mobilidade e segurana aprimoradas A mobilidade e a segurana ajudam a garantir a conformidade com a funcionalidade dos padres de IP mveis e Segurana IP (IPsec). A mobilidade permite que as pessoas com dispositivos de rede mveis, muitas com conectividade sem fio, movam-se entre as redes. O padro de IP mvel da IETF est disponvel para o IPv4 e o IPv6. Ele permite que os dispositivos mveis se movam em conexes de rede estabelecidas sem interrupes. O dispositivos mveis usam um endereo secundrio para obter essa mobilidade. Com o IPv4, esses endereos so configurados manualmente. Com o IPv6, as configuraes so dinmicas, dando uma mobilidade integrada aos dispositivos habilitados para Ipv6. O IPsec est disponvel para IPv4 e IPv6. Embora as funcionalidades sejam essencialmente idnticas em ambos os ambientes, o IPsec obrigatrio no IPv6, tornando a Internet do IPv6 mais segura.

Riqueza de transio O IPv4 no desaparecer do dia para a noite. Ao contrrio, ele coexistir com o IPv6 e ser gradualmente substitudo por ele. Por essa razo, o IPv6 foi criado com tcnicas de migrao para abranger todos os casos concebveis de atualizao do IPv4. Porm, no final das contas, muitas foram rejeitadas pela comunidade tecnolgica. Existem atualmente trs abordagens principais.

Pilha dupla Tunelamento 6to4 NAT-PT, tunelamento ISATAP e tunelamento Teredo (mtodos de ltimo caso)

Algumas dessas abordagens sero discutidas com mais detalhes posteriormente nesse captulo. O conselho atual para fazer a transio para o IPv6 "Pilha dupla onde puder, tnel onde precisar!" Exibir meio visual

7.3.2 Endereamento IPv6 Pgina 1: Representao de endereo IPv6 Voc conhece o endereo IPv4 de 32 bits como uma srie de quatro campos de 8 bits, separada por pontos. Porm, endereos IPv6 maiores, de 128 bits, precisam de uma representao diferente por causa de seu tamanho. Os endereos IPv6 usam dois-pontos para separar as entradas em uma srie de hexadecimal de 16 bits. Clique no boto Representao na figura. A figura mostra o endereo 2031:0000:130F:0000:0000:09C0:876A:130B. O IPv6 no requer uma notao de cadeia de endereos explcita. A figura mostra como encurtar o endereo aplicando as seguintes diretrizes:

Os zeros esquerda em um campo so opcionais. Por exemplo, o campo 09C0 igual ao 9C0 e o campo 0000 igual a 0. Assim 2031:0000: 130F:0000:0000:09C0:876A:130B podem ser escritos como 2031:0: 130F:0000:0000:9C0: 876A:130B. Os campos sucessivos de zeros podem ser representados como dois sinais de dois-pontos "::. Entretanto, este mtodo de taquigrafia s pode ser usado uma vez em cada endereo. Por exemplo, 2031:0:130F:0000:0000:9C0:876A:130B pode ser escrito como 2031:0:130F::9C0:876A:130B. Um endereo especificado escrito como "::" porque contm somente zeros.

Usando o "::", a notao reduz bastante o tamanho da maioria dos endereos, como mostrado. Um analista de endereos identifica o nmero de zeros faltantes separando duas partes quaisquer de um endereo e digitando 0s at que os 128 bits estejam completos.

Clique no boto Exemplos na figura para obter alguns exemplos adicionais. Exibir meio visual

Pgina 2: Endereo de unicast global do IPv6 O IPv6 possui um formato de endereo que permite eventualmente uma maior agregao para o ISP. Endereos de unicast globais consistem geralmente de um prefixo de roteamento global de 48 bits e uma ID de sub-rede de 16 bits. As organizaes individuais podem usar um campo de sub-rede de 16 bits para criar sua prpria hierarquia de endereamento local. Esse campo permite que uma organizao use at 65.535 sub-redes individuais. Na parte superior da figura, podemos ver como a hierarquia adicional acrescentada ao prefixo de roteamento global de 48 bits com o prefixo de registro, prefixo de ISP e prefixo do site. O endereo de unicast global atual que atribudo pelo IANA usa o intervalo de endereos iniciado com o valor binrio 001 (2000::/3), que 1/8 do espao total do endereo IPv6 e que o maior bloco de endereos atribudos. O IANA est alocando o espao de endereos IPv6 nos intervalos de 2001::/16 para os cinco registros RIR (ARIN, RIPE NCC, APNIC, LACNIC e AfriNIC). Para obter mais informaes, consulte a RFC 3587, Formato de endereos de unicast de IPv6, que substitui a RFC 2374. Endereos reservados O IETF reserva uma poro do espao de endereos IPv6 para vrios usos, presentes e futuros. Os endereos reservados representam 1/256 do espao de endereo IPv6 total. Alguns dos outros tipos de endereos IPv6 so originados deste bloco. Endereos privados Um bloco de endereos IPv6 reservado para endereos privados, assim como feito no IPv4. Esses endereos privados so locais somente para um link ou local especfico e, portanto, nunca so roteados para fora de uma rede corporativa especfica. Os endereos privados possuem um valor de primeiro octeto de "FE" em notao hexadecimal, com o prximo dgito hexadecimal sendo um valor de 8 para F. Esses endereos so divididos ainda em dois tipos, com base no escopo.

Endereos locais de site so endereos semelhantes Alocao de endereos para internet privada no IPv4 da RFC 1918 de hoje. O escopo desses endereos um site ou organizao inteiros. Entretanto, o uso dos endereos locais problemtico e est sendo substitudo desde 2003 pela RFC 3879. Em hexadecimais, os endereos locais comeam com "FE" e ento de "C" at "F" para o terceiro dgito hexadecimal. Endereos de enlace locais so novos para o conceito de endereamento com IP na Camada de rede. Esses endereos tm um escopo menor do que os endereos locais de site. Eles se referem somente a um link fsico especfico (rede fsica). Os roteadores no encaminham datagramas utilizando endereos de enlace locais, nem mesmo dentro da organizao. Eles servem somente para comunicao local em um segmento de rede fsico especfico. Eles so usados para comunicaes de link como a configurao de endereo automtica, deteco de vizinho e deteco de roteador. Muitos protocolos de roteamento do IPv6 tambm usam endereos de enlace locais. Os endereos de enlace locais comeam com "FE" e, assim, possuem um valor de "8" para "B" para o terceiro dgito hexadecimal.

Endereo de loopback Assim como ocorre no IPv4, foi fornecido um endereo IPv6 de loopback especial para testes. Os datagramas enviados para esse endereo retornam para o dispositivo de origem. Entretanto, existe apenas um endereo no IPv6 para essa funo, e no um bloco inteiro. O endereo de loopback 0:0:0:0:0:0:0:1, normalmente expresso com o uso da compresso do zero com o ":: 1." Endereo no especificado No IPv4, um endereo IP somente com zeros tem um significado especial. Ele se refere ao prprio host e usado quando um dispositivo no souber seu prprio endereo. No IPv6, esse conceito foi formalizado, e o endereo somente com zeros (0:0:0:0:0:0:0:0) recebe o nome de endereo "no especificado." Ele usado normalmente no campo de origem de um datagrama, o qual enviado por um dispositivo que busca ter seu endereo IP configurado. possvel aplicar a compresso de endereos a esse endereo. Como somente contm zeros, ele se tornar simplesmente "::". Exibir meio visual

Pgina 3: Gerenciamento de endereos IPv6 Os endereos do IPv6 usam identificadores de interface para identificar as interfaces em um link. Considere-os como a "poro de host" de um endereo IPv6. Os identificadores de interface devem ser exclusivos em um link especfico. Os identificadores de interface so sempre de 64 bits e so derivados dinamicamente de um endereo de Camada 2 (endereo MAC).

Voc pode atribuir uma ID de endereo IPv6 esttica ou dinamicamente:

Atribuio esttica usando uma ID de interface manual Atribuio esttica usando uma ID de interface EUI-64 Configurao automtica sem estado DHCP para IPv6 (DHCPv6)

Atribuio de ID de interface manual Uma maneira de atribuir um endereo IPv6 estaticamente a um dispositivo atribuir o prefixo (rede) e a poro da ID de interface (host) do endereo IPv6. Para configurar um endereo IPv6 em uma interface do roteador Cisco, use o comando ipv6 address ipv6address/prefix-length no modo de configurao de interface. O exemplo seguinte mostra a atribuio de um endereo IPv6 interface de um roteador Cisco: RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::72/64 Atribuio de ID de interface EUI-64 Outra maneira de atribuir um endereo IPv6 configurar a poro do prefixo (rede) do endereo IPv6 e derivar a poro da ID de interface (host) do endereo MAC de camada 2 do dispositivo, conhecido como a ID de interface EUI-64. Clique no boto EUI-64 na figura. O padro EUI-64 explica como expandir os endereos MAC do IEEE 802 de 48 para 64 bits inserindo o 0xFFFE de 16 bits no meio do 24 bit do endereo MAC, a fim de criar um identificador de interface de 64 bits exclusivo. Para configurar um endereo IPv6 em uma interface do roteador Cisco e habilitar o processamento de IPv6 usando o EUI-64 nessa interface, use o comando ipv6 address ipv6-prefix/prefix-length eui-64 no modo de configurao de interface. O exemplo seguinte mostra a atribuio de um endereo EUI-64 interface de um roteador Cisco: RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64 Configurao automtica sem estado A configurao automtica configura automaticamente o endereo IPv6. No IPv6, presume-se que os dispositivos que no sejam do PC, bem como os terminais de computador, sero conectados rede. O mecanismo de configurao automtica foi

introduzido para permitir que a rede plug-and-play desses dispositivos ajudem a reduzir a sobrecarga de administrao. DHCPv6 (sem estado) O DHCPv6 permite que os servidores DHCP transmitam os parmetros de configurao, como os endereos de rede IPv6, para os ns do IPv6. Ele oferece o recurso de alocao automtica de endereos de rede reutilizveis e uma flexibilidade de configurao adicional. Esse protocolo um correspondente sem estado da configurao automtica de endereos sem estado do IPv6 (RFC 2462) e pode ser usado separado da configurao automtica de endereos sem estado do IPv6, ou simultaneamente a ela, para obter os parmetros de configurao. Para obter mais informaes sobre a atribuio de endereos IPv6, acesse o site: http://www.netbsd.org/docs/network/ipv6/. Exibir meio visual

7.3.3 Estratgias de transio do IPv6 Pgina 1: Estratgias de transio do IPv6 A transio do IPv4 no exige melhorias concomitantes em todos os ns. Muitos mecanismos de transio permitem uma integrao tranquila do IPv4 e IPv6. Outros mecanismos que permitem que os ns de IPv4 se comuniquem com os ns de IPv6 esto disponveis. Situaes diferentes exigem estratgias diferentes. A figura ilustra a riqueza de estratgias de transio disponveis. Lembre-se do conselho: "Pilha dupla onde puder, tnel onde precisar." Esses dois mtodos so as tcnicas mais comuns para fazer a transio de IPv4 para IPv6. Empilhamento duplo O empilhamento duplo um mtodo de integrao no qual um n possui implementao e conectividade a uma rede IPv4 e a uma rede IPv6. Essa a opo recomendada e envolve a execuo de IPv4 e IPv6 ao mesmo tempo. Os roteadores e os switches so configurados para suportar ambos os protocolos, sendo que o IPv6 o protocolo preferido. Tunelamento A segunda tcnica de transio mais importante o tunelamento. Existem vrias tcnicas de tunelamento disponveis, incluindo:

Tunelamento manual de IPv6 sobre IPv4 - Um pacote de IPv6 encapsulado dentro do protocolo IPv4. Esse mtodo exige roteadores de pilha dupla. Tunelamento dinmico 6to4 Estabelece a conexo das ilhas de IPv6 automaticamente atravs de uma rede IPv4, normalmente a Internet. Ele aplica automaticamente um prefixo de IPv6 vlido e exclusivo a cada ilha de IPv6, permitindo a rpida implantao do IPv6 em uma rede corporativa sem que ocorra a recuperao de endereo dos ISPs ou dos registros.

Outras tcnicas de tunelamento menos populares, que esto alm do escopo deste curso, incluem: Protocolo de endereamento automtico de tnel intra-site (ISATAP, Intra-Site Automatic Tunnel Addressing Protocol) Mecanismo de tunelamento de sobreposio automtica que usa a rede de IPv4 subjacente como uma camada de enlace para o IPv6. Os tneis do ISATAP permitem que os hosts de pilha dupla individuais de IPv4 ou IPv6 dentro de um local se comuniquem com outros hosts em um link virtual, criando uma rede de IPv6 que utiliza a infraestrutura de IPv4. Tunelamento Teredo - Uma tecnologia de transio de IPv6 que fornece o tunelamento automtico de host para host em vez de um tunelamento de gateway. Essa abordagem transmite o trfego unicast de IPv6 quando os hosts de pilha dupla (hosts que executam tanto o IPv6 quanto o IPv4) esto localizados atrs de um ou de vrios NATs de IPv4.

Traduo do protocolo NAT (NAT-PT) O software IOS Cisco Release 12.3(2)T e mais recente (com o conjunto de recursos apropriado) tambm inclui o NAT-PT entre IPv6 e IPv4. Essa traduo permite a comunicao direta entre hosts que usam verses diferentes do protocolo IP. Essas tradues so mais complexas do que a NAT de IPv4. Neste momento, essa tcnica de traduo a opo menos favorvel e deve ser usada como o ltimo recurso. Exibir meio visual

7.3.4 Pilha dupla do IOS Cisco Pgina 1: Pilha dupla do IOS Cisco O empilhamento duplo um mtodo de integrao que permite que um n tenha conectividade a uma rede IPv4 e a uma rede IPv6 simultaneamente. Cada n possui duas pilhas de protocolo com a configurao na mesma interface ou em vrias interfaces.

A abordagem da pilha dupla para a integrao de IPv6, na qual os ns possuem tanto as pilhas de IPv4 quanto as de IPv6, ser um dos mtodos de integrao mais comumente usados. Um n de pilha dupla escolhe qual pilha usar com base no endereo de destino do pacote. Um n de pilha dupla deve preferir o IPv6 quando ele estiver disponvel. Os aplicativos antigos exclusivos de IPv4 continuam funcionando como antes. Os aplicativos novos e modificados tiram proveito de ambas as camadas de IP. Uma nova interface de programao de aplicativos (API, Application Programming Interface) foi definida para suportar os endereos de IPv4 e de IPv6 e solicitaes de DNS. Uma API facilita a troca de mensagens ou de dados entre dois ou mais aplicativos de software diferentes. Um exemplo de uma API a interface virtual entre duas funes de software, como um processador de textos e uma planilha. A API integrada aos aplicativos de software para traduzir o IPv4 em IPv6 e vice-versa, usando o mecanismo de converso de IP. Os novos aplicativos podem usar o IPv4 e o IPv6. A experincia de portar os aplicativos de IPv4 para IPv6 sugere que, para a maioria dos aplicativos, h uma alterao mnima em alguns pontos localizados dentro do cdigofonte. Essa tcnica bastante conhecida e tem sido aplicada nas ltimas outras transies de protocolo. Ela permite melhorias de aplicativos graduais, uma por uma, para o IPv6. Clique no boto Configurando a interface de IPv6 na figura. O software IOS Cisco Release 12.2(2)T e mais recente (com o conjunto de recursos apropriado) so habilitados para o IPv6. Logo aps a configurao do IPv4 e IPv6 bsicos na interface, a interface sofre o empilhamento duplo e encaminha o trfego de IPv4 e de IPv6 naquela interface. Observe que um endereo de IPv4 e um endereo de IPv6 foram configurados. O uso do IPv6 em um roteador do IOS Cisco exige que voc use o comando de configurao global ipv6 unicast-routing. Esse comando habilita o encaminhamento de datagramas de IPv6. Voc deve configurar todas as interfaces que encaminham o trfego de IPv6 com um endereo de IPv6 usando o comando de interface ipv6 addressIPv6-address [/prefix length]. Exibir meio visual

7.3.5 Tunelamento de IPv6 Pgina 1: Tunelamento de IPv6

O tunelamento um mtodo de integrao onde um pacote de IPv6 encapsulado dentro de outro protocolo, como o IPv4. Esse mtodo permite a conexo das ilhas de IPv6 sem que haja a necessidade de converter as redes intermedirias para o IPv6. Quando o IPv4 for usado para encapsular o pacote de IPv6, um tipo de protocolo de 41 ser especificado no cabealho de IPv4, e o pacote incluir um cabealho de IPv4 de 20 bytes sem opes, um cabealho de IPv6 e a payload. Ele tambm exige roteadores de pilha dupla. O tunelamento apresenta estes dois problemas. A unidade mxima de transmisso (MTU, Maximum Transmission Unit) ser diminuda efetivamente em 20 octetos se o cabealho de IPv4 no contiver nenhum campo opcional. Alm disso, geralmente difcil identificar e solucionar problemas de uma rede tunelada. O tunelamento uma tcnica de integrao e transio intermediria e no deve ser considerada como uma soluo final. Uma arquitetura de IPv6 nativa ser o objetivo final. Exibir meio visual

Pgina 2: Tnel IPv6 manualmente configurado Um tnel manualmente configurado equivale a um link permanente entre dois domnios de IPv6 sobre um backbone de IPv4. A utilizao principal para conexes estveis que exigem uma comunicao regular segura entre dois roteadores de extremidade ou entre um sistema final e um roteador de extremidade, ou para a conexo com redes IPv6 remotas. Os roteadores finais devem ter passado por empilhamento duplo, e a configurao no pode mudar dinamicamente conforme as necessidades da rede e do roteamento precisem de mudanas. Os administradores configuram um endereo IPv6 esttico manualmente em uma interface de tnel e atribuem endereos IPv4 estticos configurados manualmente origem do tnel e ao destino do tnel. O host ou roteador em cada extremidade de um tnel configurado deve suportar as pilhas do protocolo IPv4 e IPv6. Os tneis manualmente configurados podem ser configurados entre roteadores de borda ou entre um roteador de borda e um host. Exibir meio visual

7.3.6 Consideraes de roteamento com o IPv6 Pgina 1: Configuraes de roteamento com o IPv6

Assim como o roteamento entre domnios com endereos classless (CIDR, Classless Interdomain Routing) do IPv4, o IPv6 usa o roteamento de correspondncia com o prefixo mais longo. O IPv6 utiliza verses modificadas da maioria dos protocolos de roteamento comuns para lidar com os endereos IPv6 mais longos e com estruturas de cabealho diferentes. Espaos de endereos maiores abrem espao para alocaes de endereo grandes para os ISPs e as organizaes. Um ISP agrega todos os prefixos de seus clientes em um nico prefixo e anuncia esse nico prefixo para a Internet de IPv6. O espao de endereos aumentado suficiente para permitir que as organizaes definam um nico prefixo para toda a sua rede. Mas como isso afeta o desempenho do roteador? Uma breve reviso de como um roteador funciona em uma rede ajudar a ilustrar como o IPv6 afeta o roteamento. Conceitualmente, um roteador possui trs reas funcionais: O plano de controle trata da interao do roteador com os outros elementos de rede, fornecendo as informaes necessrias para tomar as decises e para controlar a operao global do roteador. Este plano executa processos tais como os protocolos de roteamento e o gerenciamento de rede. Essas funes so geralmente complexas. O plano de dados lida com o encaminhamento de pacotes de uma interface fsica ou lgica para outra. Ele envolve diferentes mecanismos de comutao como a comutao de processo e o Cisco Express Forwarding (CEF) em roteadores do software IOS Cisco. Os servios aprimorados incluem recursos avanados aplicados ao encaminhar dados, como a filtragem de pacotes, qualidade de servio (QoS, Quality of Service), criptografia, traduo e auditoria.

O IPv6 apresenta essas funes com novos desafios especficos. Plano de controle do IPv6 A habilitao do IPv6 em um roteador inicia os processos operacionais de seu plano de controle especificamente para o IPv6. As caractersticas do protocolo moldam o desempenho desses processos e a quantidade de recursos necessrios para oper-los:

Tamanho de endereo do IPv6 - O tamanho do endereo afeta as funes de processamento de informaes de um roteador. Sistemas que usam uma CPU de 64 bits, um barramento ou uma estrutura de memria, podem transmitir os endereos de origem e destino de IPv4 em um nico ciclo de processamento. Para o IPv6, os endereos de origem e destino exigem quatro ciclos de dois ciclos cada para processar as informaes de endereo de origem e de destino. Como resultado, provvel que os roteadores que confiam exclusivamente no processamento de software funcionem mais lentamente do que quando esto em um ambiente de IPv4.

Endereos de n de IPv6 mltiplos - Como os ns de IPv6 podem utilizar vrios endereos de unicast de IPv6, o consumo de memria do cache de Deteco de vizinho pode ser afetado. Protocolos de roteamento de IPv6 - Os protocolos de roteamento de IPv6 so semelhantes aos seus correspondentes do IPv4 mas, como um prefixo do IPv6 quatro vezes maior do que um prefixo de IPv4, as atualizaes de roteamento precisam levar mais informaes. Tamanho da tabela de roteamento - O maior espao de endereos do IPv6 leva a redes maiores e a uma Internet muito maior. Isso implica em tabelas de roteamento maiores e em requisitos de memria maiores para suport-los.

Plano de dados do IPv6 O plano de dados encaminha pacotes IP com base nas decises feitas pelo plano de controle. O mecanismo de encaminhamento analisa as informaes de pacote IP relevantes e faz uma busca para fazer a correspondncia das informaes analisadas com as polticas de encaminhamento definidas pelo plano de controle. O IPv6 afeta o desempenho das funes de anlise e busca:

Cabealhos de extenso de IPv6 de anlise - Os aplicativos, incluindo o IPv6 mvel, geralmente usam informaes de endereo IPv6 nos cabealhos de extenso, aumentando assim seu tamanho. Esses campos adicionais exigem um processamento adicional. Por exemplo, um roteador que usa as ACLs para filtrar as informaes de Camada 4 precisa aplicar as ACLs aos pacotes com cabealhos de extenso, bem como aos que no tm esses cabealhos. Se o tamanho do cabealho de extenso exceder o tamanho fixo do registro do hardware do roteador, haver falha na comutao do hardware, e os pacotes podero ser colocados na comutao de software ou podero ser ignorados. Isto afeta gravemente o desempenho de encaminhamento do roteador. Pesquisa de endereo IPv6 - O IPv6 executa uma pesquisa de pacotes que entram no roteador para localizar a interface de sada correta. No IPv4, o processo de deciso de encaminhamento analisa um endereo de destino de 32 bits. No IPv6, a deciso de encaminhamento poderia exigir possivelmente uma anlise de um endereo de 128 bits. A maioria dos roteadores de hoje executa pesquisas utilizando um circuito integrado especfico de aplicativo (ASIC, application-specific integrated circuit) com uma configurao fixa que executa as funes para as quais eles foram criados originalmente o IPv4. Isso pode resultar novamente na colocao dos pacotes em um processamento de software mais lento ou fazer com que eles sejam todos ignorados.

Exibir meio visual

Pgina 2: Protocolo de roteamento RIPNg

As rotas do IPv6 usam os mesmos protocolos e tcnicas que o IPv4. Embora os endereos sejam mais longos, os protocolos usados no roteamento de IPv6 so simplesmente extenses lgicas dos protocolos usados no IPv4. A RFC 2080 define a ltima gerao do Protocolo de informaes de roteamento (RIPng, Routing Information Protocol next generation) como um protocolo de roteamento simples baseado em RIP. O RIPng no nem mais potente e nem menos potente do que o RIP, porm ele fornece uma maneira simples de ativar uma rede de IPv6 sem a necessidade de criar um novo protocolo de roteamento. O RIPng um protocolo de roteamento do vetor de distncia com um limite de 15 saltos que usa o split horizon e as atualizaes de poison reverse para evitar os loops de roteamento. Sua simplicidade vem do fato de ele no exigir nenhum conhecimento global da rede. Somente os roteadores vizinhos trocam mensagens locais. O RIPng inclui as seguintes caractersticas:

Baseia-se no RIP verso 2 (RIPv2) do IPv4 e semelhante ao RIPv2 Utiliza o IPv6 para o transporte Inclui o prefixo de IPv6 e o endereo IPv6 do prximo salto Utiliza o grupo multicast FF02::9 como o endereo de destino para atualizaes de RIP (semelhante funo de broadcast executada pelo RIP no IPv4) Envia atualizaes na porta UDP 521 suportado pelo IOS Cisco Release 12.2 (2) T e mais recentes

Em implantaes que sofreram empilhamento dual, so necessrios o RIP e o RIPng. Exibir meio visual

7.3.7 Configurando os endereos IPv6 Pgina 1: Habilitando o IPv6 em roteadores Cisco Existem duas etapas bsicas para ativar o IPv6 em um roteador. Primeiro, voc deve ativar o encaminhamento de trfego IPv6 no roteador e, em seguida, voc deve configurar cada interface que exija o IPv6. Por padro, o encaminhamento de trfego do IPv6 est desabilitado em um roteador Cisco. Para ativ-lo entre as interfaces, necessrio configurar o comando global ipv6 unicast-routing.

O comando ipv6 address pode configurar um endereo IPv6 global. O endereo de enlace local ser configurado automaticamente quando um endereo for atribudo interface. Voc deve especificar o endereo IPv6 de 128 bits inteiro ou deve especificar o uso do prefixo de 64 bits usando a opo eui-64. Exibir meio visual

Pgina 2: Exemplo de configurao do endereo IPv6 Voc pode especificar completamente o endereo IPv6 ou pode computar o identificador de host (64 bits mais direta) do identificador de EUI-64 da interface. No exemplo, o endereo IPv6 da interface configurado usando o formato EUI-64. Como alternativa, voc pode especificar completamente o endereo IPv6 inteiro para atribuir um endereo a uma interface do roteador usando o comando ipv6 addressipv6address/prefix-length no modo de configurao de interface. A configurao de um endereo IPv6 em uma interface configura automaticamente o endereo de enlace local para essa interface. Exibir meio visual

Pgina 3: Resoluo de nome IPv6 do IOS Cisco Existem duas maneiras de realizar a resoluo de nome no processo de software do IOS Cisco:

Definir um nome esttico para um endereo IPv6 usando o comando ipv6 host name [port] ipv6-address1 [ipv6-address2...ipv6-address4]. Voc pode definir at quatro endereos IPv6 para um nome de host. A opo de porta se refere porta Telnet a ser usada para o host associado. Especificar o servidor DNS usado pelo roteador com o comando ip nameserveraddress. O endereo pode ser um endereo IPv4 ou IPv6. possvel especificar at seis servidores DNS com esse comando.

Exibir meio visual

7.3.8 Configurando o RIPng com IPv6 Pgina 1: Configurar o RIPng com IPv6

Ao configurar os protocolos de roteamento suportados no IPv6, necessrio criar o processo de roteamento, habilitar o processo de roteamento nas interfaces e personalizar o protocolo de roteamento para sua rede privada. Antes de configurar o roteador para que ele execute o RIP de IPv6, faa a habilitao global usando o comando de configurao global ipv6 unicast-routing e habilite o IPv6 nas interfaces em que o RIP de IPv6 dever ser habilitado. Para habilitar o roteamento RIPng no roteador, use o comando de configurao global ipv6 router rip name. O parmetro name (nome) identifica o processo RIP. Este nome de processo usado posteriormente ao configurar o RIPng nas interfaces participantes. Para o RIPng, em vez de usar o comando network para identificar quais interfaces devem executar o RIPng, voc usa o comando ipv6 rip name enable no modo de configurao de interface para habilitar o RIPng em uma interface. O parmetro name (nome) deve corresponder ao parmetro de nome no comando ipv6 router rip. A habilitao do RIP em uma interface cria dinamicamente um processo de "router rip" se necessrio. Exibir meio visual

Pgina 2: Exemplo: RIPng para configurao de IPv6 O exemplo mostra uma rede de dois roteadores. O roteador R1 est conectado rede padro. Nos roteadores R2 e R1, o nome RT0 identifica o processo de RIPng. O RIPng habilitado na primeira interface Ethernet do roteador R1 usando o comando ipv6 rip RT0 enable. O roteador R2 mostra que o RIPng est habilitado nas interfaces Ethernet usando o comando ipv6 rip RT0 enable. Essa configurao permite que as interfaces Ethernet 1 no roteador R2 e Ethernet 0 de ambos os roteadores troquem informaes de roteamento de RIPng. Exibir meio visual

7.3.9 Verificando, identificando e solucionando problemas de RIPng Pgina 1: Verificando, identificando e solucionando problemas de RIPng para o IPv6

Depois de configurar o RIPng, necessrio fazer uma verificao. A figura relaciona os vrios comandos show que podem ser usados. Clique no boto Identificao e soluo de problemas na figura. Se voc descobrir que o RIPng no est funcionando corretamente durante a verificao, ser preciso identificar e solucionar o problema. A figura relaciona os comandos usados para identificar e solucionar os problemas de RIPng. Exibir meio visual

Pgina 2: Exibir meio visual

7.4 Laboratrios do captulo


7.4.1 Configurao bsica DHCP e NAT Pgina 1: Neste laboratrio, voc ir configurar os servios DHCP e NAT IP. Um roteador o servidor DHCP. O outro roteador encaminha solicitaes DHCP ao servidor. Voc tambm definir as configuraes de NAT estticas e dinmicas, inclusive a sobrecarga de NAT. Quando voc concluir as configuraes, verifique a conectividade entre os endereos internos e externos. Exibir meio visual

Pgina 2: Esta atividade uma variao do laboratrio 7.4.1. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamentos reais. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

7.4.2 Configurao avanada DHCP e NAT Pgina 1: Neste laboratrio, configure os servios de endereo IP usando a rede mostrada no diagrama de topologia. Se voc precisar de assistncia, consulte o laboratrio de configurao bsico de DHCP e NAT. No entanto, tente fazer o mximo possvel. Exibir meio visual

Pgina 2: Esta atividade uma variao do laboratrio 7.4.2. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamentos reais. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

7.4.3 Identificao e soluo de problemas de DHCP e NAT Pgina 1: Os roteadores da sua empresa foram configurados por um engenheiro de rede sem experincia. Vrios erros na configurao resultaram em problemas de conectividade. Seu chefe lhe pediu para identificar e solucionar os problemas, corrigir os erros de configurao e documentar seu trabalho. Com seus conhecimentos de DHCP, NAT e mtodos de teste padro, identifique e corrija os erros. Certifique-se de que todos os clientes tenham total conectividade. Exibir meio visual

Pgina 2: Esta atividade uma variao do laboratrio 7.4.3. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamentos reais.

So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

7.5 Resumo do captulo


7.5.1 Resumo Pgina 1: Este captulo tratou das principais solues do problema da diminuio do espao de endereos de Internet. Voc aprendeu a usar o DHCP para atribuir endereos IP privados dentro de sua rede. Isso conserva o espao de endereos pblicos e impede uma sobrecarga administrativa considervel gerenciando acrscimos, mudanas e alteraes. Voc aprendeu a implementar o NAT e a sobrecarga de NAT para conservar o espao de endereos pblicos e criar intranets seguras privadas sem afetar sua conexo de ISP. Entretanto, a NAT possui desvantagens no que se refere a seus efeitos negativos no desempenho do dispositivo, segurana, mobilidade e conectividade fim-afim. No geral, a capacidade de dimensionar as redes para as demandas futuras requer um fornecimento ilimitado de endereos IP e uma mobilidade aprimorada que o DHCP e a NAT sozinhos no conseguem atingir. O IPv6 satisfaz os requisitos cada vez mais complexos do endereamento hierrquico que o IPv4 no fornece. O aparecimento do IPv6 no lida somente com o esgotamento dos endereos IPv4 e deficincias de NAT, ele fornece novos e melhores recursos. Na breve introduo ao IPv6 nesta lio, voc aprendeu como os endereos IPv6 so estruturados, como eles iro aprimorar a segurana e a mobilidade da rede e como o mundo do IPv4 far a transio para o IPv6. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Nesta atividade final, voc ir configurar PPP, OSPF, DHCP, NAT e roteamento padro para ISP. Em seguida, voc verificar sua configurao. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo.

Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

7.6 Teste do captulo


7.6.1 Teste do captulo Pgina 1: Exibir meio visual

8 Identificao e soluo de problemas de rede


8.0 Introduo do captulo
8.0.1 Introduo do captulo Pgina 1: Quando uma rede est funcionando, os administradores tm que monitorar seu desempenho para garantir a produtividade da organizao. De vez em quando, podem ocorrer quedas da rede. Muitas vezes elas so planejadas e o impacto disso na organizao gerenciado facilmente. Muitas vezes elas no so planejadas e o impacto disso na organizao pode ser grave. No caso de quedas inesperadas da rede, os administradores devem ser capazes de identificar e solucionar problemas, e restabelecer o funcionamento total da rede. Neste captulo, voc aprender um processo sistemtico para identificar e solucionar problemas de quedas de rede. Exibir meio visual

8.1 Estabelecendo a linha de base de desempenho da rede


8.1.1 Documentando a sua rede Pgina 1: Documentando a sua rede Para diagnosticar e corrigir problemas de rede com eficincia, um engenheiro de rede precisa saber como ela foi criada e o qual o desempenho esperado sob condies normais de funcionamento. Estas informaes so chamadas de linha de base de rede e so capturadas em documentao como tabelas de configurao e diagramas de topologia.

A documentao de configurao de rede fornece um diagrama lgico da rede e informaes detalhadas sobre cada componente. Estas informaes devem ser mantidas em um nico local, ou como cpia impressa ou na rede em um site protegido. A documentao de rede deve incluir esses componentes: Tabela de configurao de rede Tabela de configurao de sistema final Diagrama de topologia da rede

Tabela de configurao de rede Contm registros precisos e atualizados do hardware e do software usados em uma rede. A tabela de configurao de rede deve proporcionar ao engenheiro de rede todas as informaes necessrias para identificar e corrigir a falha da rede. Clique no boto Documentao de roteador e switch na figura. A tabela na figura ilustra o conjunto de dados que deve ser includo para todos os componentes: Tipo de dispositivo, designao de modelo Nome da imagem IOS Hostname de rede do dispositivo Local do dispositivo (edifcio, andar, sala, rack, painel) Se for um dispositivo modular, inclua todos os tipos de mdulo e em qual slot de mdulo eles esto localizados Endereos de camada de enlace de dados Endereos de camada de rede Qualquer outra informao importantes sobre aspectos fsicos do dispositivo

Clique no boto Documentao de sistema final na figura. Tabela de configurao de sistema final Contm registros de linha de base do hardware e do software usados em dispositivos de sistema final como servidores, consoles de gerenciamento de rede e estaes de trabalho desktop. Um sistema final configurado incorretamente pode prejudicar o desempenho global de uma rede. Para fins de identificao e soluo de problemas, as informaes seguintes devem ser documentadas:

Nome do dispositivo (propsito) Sistema operacional e verso Endereo IP Mscara de sub-rede Gateway padro, servidor DNS e servidor de endereos WINS Toda aplicativo de rede de largura de banda alta que o sistema final execute

Clique no boto Diagrama de topologia de rede na figura. Diagrama de topologia da rede Representao grfica de uma rede, que ilustra como cada dispositivo em uma rede conectado e sua arquitetura lgica. Um diagrama de topologia compartilha muitos dos mesmos componentes como, por exemplo, a tabela de configurao de rede. Cada dispositivo de rede deve ser representado no diagrama com notao consistente ou um smbolo grfico. Alm disso, cada conexo lgica e fsica deve ser representada usando uma linha simples ou outro smbolo apropriado. Tambm podem ser ilustrados os protocolos de roteamento. O diagrama de topologia deve incluir pelo menos o seguinte: Smbolos para todos os dispositivos e para o modo como eles so conectados Tipos de interface e nmeros Endereos IP Mscaras de sub-rede

Exibir meio visual

8.1.2 Documentando a sua rede Pgina 1: Processo de documentao de rede A figura mostra o processo de documentao de rede. Passe o mouse sobre cada estgio na figura para aprender mais sobre o processo. Quando voc documentar sua rede, poder ter que reunir informaes diretamente de roteadores e switches. Os comandos teis ao processo de documentao de rede incluem:

O comando ping usado para testar a conectividade com dispositivos vizinhos antes de fazer o logon neles. Fazer ping em outros PCs na rede tambm inicia o processo de deteco automtica do endereo MAC. O comando telnet usado para fazer o logon remotamente em um dispositivo para acessar informaes de configurao. O comando show ip interface brief usado para exibir o status para cima ou para baixo e o endereo IP de todas as interfaces em um dispositivo. O comando show ip route usado para exibir a tabela de roteamento em um roteador a fim de conhecer os vizinhos diretamente conectados, mais dispositivos remotos (atravs de rotas conhecidas) e os protocolos de roteamento que foram configurados. O comando show cdp neighbor detail usado para obter informaes detalhadas sobre dispositivos vizinhos Cisco diretamente conectados.

Exibir meio visual

Pgina 2: Esta atividade abrange as etapas necessrias para descobrir uma rede que usa principalmente os comandos telnet, show cdp neighbors detail e show ip route. Esta a Parte I de uma atividade de duas partes. A topologia visualizada ao abrir a atividade do Packet Tracer no revela todos os detalhes da rede. Os detalhes foram ocultados usando a funo de cluster do Rastreador de pacote. A infra-estrutura de rede foi recolhida e a topologia do arquivo mostra somente os dispositivos finais. Sua tarefa utilizar seu conhecimento de rede e comandos de deteco para obter informaes sobre toda a topologia de rede e document-la. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

8.1.3 Por que estabelecer uma linha de base de rede importante? Pgina 1: Para estabelecer uma linha de base de desempenho da rede preciso reunir os principais dados de desempenho de portas e dispositivos essenciais para o funcionamento da rede. Estas informaes ajudam a determinar a "personalidade" da rede e fornecem respostas s perguntas seguintes:

Como o desempenho da rede durante um dia normal ou comum? Quais so as reas subutilizadas e saturadas? Onde ocorre a maioria dos erros? Que limites devem ser definidos para os dispositivos que precisam ser monitorados? A rede consegue atender s polticas identificadas?

Um administrador de rede precisa medir o desempenho inicial e a disponibilidade de dispositivos de rede e links crticos para poder determinar a diferena entre comportamento anormal e desempenho correto da rede medida que ela cresce ou que mudem os padres de trfego. A linha de base tambm ajuda a identificar se o design de rede atual pode atender s polticas exigidas. Sem uma linha de base, no existe padro para medir a natureza tima de trfego da rede e nveis de congestionamento. Alm disso, a anlise posterior a uma linha de base inicial tende a revelar problemas ocultos. Os dados reunidos revelam a verdadeira natureza do congestionamento ou congestionamento em potencial em uma rede. A reunio tambm pode revelar reas na rede que so subutilizadas e muito freqentemente podem levar a um novo design da rede com base em observaes de qualidade e capacidade. Exibir meio visual

8.1.4 Etapas para estabelecer uma linha de base de rede Pgina 1: Planejando a primeira linha de base Como a linha de base de desempenho da rede inicial prepara as condies para medir os efeitos de alteraes da rede e os esforos subseqentes de soluo de problemas, importante planejar isso com cuidado. Aqui esto as etapas recomendadas para planejar a primeira linha de base de rede: Etapa 1. Determine os tipos de dados que devem ser reunidos Ao definir a linha de base, comece selecionando algumas variveis que representam as polticas definidas. Se forem selecionados pontos de dados demais, a quantidade de dados poder ser excessiva, dificultando a anlise dos dados reunidos. Comece simplesmente e ajuste com o tempo. Geralmente, algumas medidas iniciais recomendadas so utilizao de interface e utilizao de CPU. A figura mostra algumas capturas de tela de interface e dados de utilizao de CPU, como exibido por um sistema de gerenciamento de rede chamado de WhatsUp Gold. Clique no boto Dispositivos e portas de interesse na figura.

Etapa 2. Identifique dispositivos e portas de interesse O prximo passo identificar os principais dispositivos e portas que devem ter os dados de desempenho medidos. Dispositivos e Portas de Interesse so: Portas de dispositivo de rede que conectam-se a outros dispositivos de rede Servidores Usurios principais Outros elementos considerados crticos para o funcionamento

Na topologia mostrada na figura, o administrador de rede destacou os dispositivos e as portas de interesse para monitorar durante o teste de linha de base. Os dispositivos de interesse incluem roteadores R1, R2 e R3, PC1 (o terminal do Administrador) e SRV1 (o servidor Web/TFTP). As portas de interesse incluem as portas de R1, R2 e R3 que se conectam a outros roteadores ou a switches, e do roteador R2, a porta que se conecta a SRV1 (Fa0/0). Ao escolher corretamente as portas, os resultados sero concisos e a carga de gerenciamento de rede ser minimizada. Lembre-se de que uma interface em um roteador ou switch pode ser uma interface virtual, como uma interface virtual do switch (SVI). Este passo ser mais fcil se voc configurou os campos de descrio de porta do dispositivo para indicar o que se conecta porta. Por exemplo, para uma porta de roteador que se conecta ao switch de distribuio no grupo de trabalho de Engenharia, voc poderia configurar a descrio "Switch de distribuio de LAN da Engenharia." Clique no boto Determine a durao da linha de base na figura. Etapa 3. Determine a durao da linha de base importante que o perodo de tempo e as informaes de linha de base reunidas sejam suficientes para estabelecer uma imagem tpica da rede. Este perodo deve ser de pelo menos sete dias para capturar tendncias dirias ou semanais. Tendncias semanais tm a mesma importncia que tendncias dirias e horrias. A figura mostra exemplos de vrias capturas de tela de tendncias de utilizao de CPU capturados em perodos dirios, semanais, mensais e anuais. As tendncias de semana de trabalho so muito curtas para revelar com preciso a natureza recorrente da onda de utilizao que ocorre todos os fins de semana, nas noites de sbado, quando uma grande operao de backup de banco de dados consome largura de banda da rede. Este padro recorrente revelado na tendncia mensal. A tendncia anual mostrada no exemplo tem uma durao muito longa para fornecer detalhes significativos de desempenho de linha

de base. Uma linha de base precisa durar no mais que seis semanas, a menos que tendncias especficas de longo prazo precisem ser medidas. Geralmente, uma linha de base de duas a quatro semanas suficiente. Voc no deve executar uma medio de linha de base durante horrios de padres de trfego incomuns porque os dados forneceriam uma imagem inexata do funcionamento normal da rede. Por exemplo, voc obteria uma medida inexata do desempenho da rede se executasse uma medio de linha de base em um feriado ou durante um ms em que a maioria da empresa estivesse de frias. A anlise de linha de base da rede deve ser realizada regularmente. Realize uma anlise anual da rede inteira ou sees diferentes de linha de base da rede de uma maneira rotativa. A anlise deve ser administrada para entender regularmente como a rede afetada por crescimento e outras alteraes. Exibir meio visual

Pgina 2: Medio de dados de desempenho da rede Um software sofisticado de gerenciamento de rede usado geralmente para definir a linha de base de redes grandes e complexas. Por exemplo, o mdulo Fluke Network SuperAgent permite que os administradores automaticamente criem e revisem relatrios usando o recurso Intelligent Baselines (Linhas de Base Inteligentes). Esse recurso compara nveis de desempenho atual com observaes histricas e pode identificar automaticamente problemas de desempenho e aplicaes que no fornecem nveis esperados de servio. Clique no boto Comandos manuais na figura. Em redes mais simples, as tarefas de linha de base devem exigir uma combinao de coleta manual de dados e inspetores simples de protocolo de rede. Estabelecer uma linha de base inicial ou realizar uma anlise de monitoramento de desempenho pode exigir muitas horas ou dias para refletir com preciso o desempenho da rede. O software de gerenciamento de rede ou inspetores de protocolo e farejadores podem ser executados continuamente durante o processo de reunio de dados. Reunir dados manualmente usando comandos show em dispositivos de rede individuais extremamente demorado e deve ser limitado a dispositivos de rede de misso crtica. Exibir meio visual

8.2 Metodologias e Ferramentas de Identificao e Soluo de Problemas


8.2.1 Uma abordagem geral para identificar e solucionar problemas Pgina 1:

Engenheiros de rede, administradores e pessoal de suporte esto cientes de que identificao e soluo de problemas um processo que leva o maior percentual de seu tempo. Usar tcnicas eficientes de identificao e soluo de problemas uma forma de reduzir o tempo global gasto na tarefa quando se trabalha em um ambiente de produo. Duas abordagens extremas quase sempre resultam em decepo, atraso ou falha. Em um extremo est a abordagem teorista ou cientfica. No outro extremo est a abordagem no prtica ou pr-histrica. A cientfica analisa e reanalisa a situao at que a causa exata raiz do problema seja identificada e corrigida com preciso cirrgica. Se por um lado, esse processo relativamente confivel, poucas empresas podem permitir que suas redes fiquem sem funcionar pelas horas ou dias necessrios para essa anlise exaustiva. O primeiro instinto da abordagem pr-histrica comear a trocar placas, cabos, hardware e software at que a rede volte a funcionar miraculosamente. Isso no significa que a rede est funcionando corretamente, apenas que est funcionando. Essa abordagem pode at obter mais rapidamente uma alterao nos sintomas, porm no muito confivel e a causa raiz do problema pode ainda estar presente. Como ambas abordagens so extremas, a melhor deve ser o meio termo entre as duas, usando elementos de ambos. importante analisar a rede como um todo em vez de isoladamente. Uma abordagem sistemtica minimiza a confuso e evita o desperdcio de tempo gasto com tentativa e erro. Exibir meio visual

8.2.2 Usando modelos de camadas para identificar e solucionar problemas Pgina 1: OSI em comparao com modelos de camadas de TCP/IP Os modelos lgicos de rede, como OSI e TCP/IP, separam funcionalidade de rede em camadas modulares. Ao identificar e solucionar problemas, esses modelos de camadas podem ser aplicados rede fsica para isolar problemas de rede. Por exemplo, se os sintomas sugerirem um problema de conexo fsica, o tcnico de rede tentar consertar o circuito que funciona na camada Fsica. Se o circuito funcionar corretamente, o tcnico analisar as reas em outra camada que possa estar causando o problema. Modelo de referncia OSI O modelo OSI utiliza uma linguagem comum para engenheiros de rede e usado geralmente para identificar e solucionar problemas de rede. Os problemas so geralmente descritos em termos de uma determinada camada do modelo OSI.

O modelo de referncia OSI descreve como as informaes de um software em um computador movem-se atravs da rede para um software em outro computador. As camadas superiores (5-7) do modelo OSI lidam com problemas de aplicaes e geralmente so implementadas somente no software. A camada de Aplicativo a mais prxima do usurio final. Os processos de camada de Usurios e de Aplicativo interagem com aplicativos de software que contm um componente de comunicao. As camadas inferiores (1-4) do modelo OSI lidam com problemas de transporte de dados. As camadas 3 e 4 so geralmente implementadas somente em software. A camada Fsica (Camada 1) e a camada de enlace (Camada 2) so implementadas em hardware e software. A camada Fsica a mais prxima do meio de rede fsico, como o cabeamento de rede, e responsvel por colocar informaes no meio. Modelo TCP/IP Assim como o modelo de rede OSI, o modelo de rede TCP/IP tambm divide a arquitetura de rede em camadas modulares. A figura mostra como o modelo de rede TCP/IP mapeia para as camadas do modelo de rede OSI. Esse mapeamento prximo permite que a sute de protocolos TCP/IP comuniquem-se com xito com tantas tecnologias de rede. A camada de Aplicativo na sute TCP/IP na verdade combina as funes das 3 camadas do modelo OSI: Sesso, Apresentao e Aplicativo. A camada de Aplicativo fornece comunicao entre aplicaes como FTP, HTTP e SMTP em hosts separados. As camadas de Transporte de TCP/IP e OSI correspondem diretamente em funo. A camada de Transporte responsvel por trocar segmentos entre dispositivos em uma rede TCP/IP. A camada de Internet TCP/IP relaciona-se com a camada de rede OSI. A camada de Internet responsvel por colocar mensagens em um formato fixo para permitir que os dispositivos lidem com eles. A Camada de Acesso Rede TCP/IP corresponde s camadas de Enlace e Fsicas OSI. A camada de acesso rede comunica-se diretamente com os meios de rede e fornece uma interface entre a arquitetura da rede e a camada de Internet. Clique no boto Dispositivos nas camadas de OSI na figura. Passe o mouse sobre cada dispositivo para saber de quais Camadas OSI voc geralmente precisa para identificar e solucionar problemas naquele tipo de dispositivo. Exibir meio visual

8.2.3 Procedimentos gerais de identificao e soluo de problemas Pgina 1: As fases do processo geral de identificao e soluo de problemas so:

Fase 1 Reunir sintomas - Identificao e soluo de problemas comea com o processo de reunir e documentar sintomas da rede, sistemas finais e usurios. Alm disso, o administrador de rede determina quais componentes de rede foram afetados e como a funcionalidade da rede foi alterada em comparao com a linha de base. Sintomas podem aparecer em muitos formulrios diferentes, inclusive alertas do sistema de gerenciamento de rede, mensagens de console e reclamaes de usurio. Ao reunir sintomas, as perguntas devem ser usadas como um mtodo de localizar o problema em um intervalo menor de possibilidades. Fase 2 Isolar o problema - O problema no de fato isolado at que um nico problema, ou um conjunto de problemas relacionados, seja identificado. Para fazer isso, o administrador de rede examina as caractersticas dos problemas nas camadas lgicas da rede de forma que a causa mais provvel possa ser selecionada. Nesta fase, o administrador de rede pode reunir e documentar mais sintomas dependendo das caractersticas do problema que so identificadas. Fase 3 Corrigir o problema - Aps isolar e identificar a causa, o administrador de rede tenta corrigir o problema implementando, testando e documentando uma soluo. Se o administrador de rede determinar que a ao corretiva criou outro problema, a soluo tentada ser documentada, as alteraes sero removidas e o administrador de rede voltar a reunir sintomas e isolar o problema.

Essas fases no so mutuamente exclusivas. A qualquer ponto no processo, pode ser necessrio voltar a fases anteriores. Por exemplo, pode ser necessrio reunir mais sintomas enquanto estiver isolando um problema. Alm disso, ao tentar corrigir um problema, outro problema no identificado poder ser criado. Como resultado, seria necessrio reunir os sintomas, isolar e corrigir o novo problema. Uma poltica de identificao e soluo de problemas deve ser estabelecida para cada fase. Uma poltica fornece uma maneira consistente de executar cada fase. parte da poltica documentar todas as informaes importantes. Exibir meio visual

8.2.4 Mtodos de identificao e soluo de problemas Pgina 1: Mtodos de identificao e soluo de problemas Seguem os trs mtodos principais para identificar e solucionar problemas de rede:

De baixo para cima De cima para baixo Dividir e conquistar

Cada abordagem tem suas vantagens e desvantagens. Este tpico descreve os trs mtodos e fornece diretrizes para escolher o melhor mtodo para uma situao especfica. Mtodo de identificao e soluo de problemas de baixo para cima Nesse mtodo, voc deve iniciar com os componentes fsicos da rede e subir pelas camadas do modelo OSI at que a causa do problema seja identificada. Esta uma abordagem interessante quando desconfia-se que o problema seja fsico. A maior parte dos problemas de rede esto nos nveis inferiores; portanto, implementar a abordagem De baixo para cima geralmente tem resultados efetivos. A figura mostra a abordagem De baixo para cima para identificar e solucionar problemas. A desvantagem com a abordagem de soluo de problemas De baixo para cima que ela exige que voc verifique cada dispositivo e interface na rede at que a possvel causa do problema seja localizada. Lembre-se de que devem ser documentadas todas as concluses e todas as possibilidades, de modo que possa haver bastante documentao associada a esta abordagem. Um desafio maior determinar quais dispositivos devem ser examinados primeiro. Clique no boto Mt. de cima para baixo na figura. Mtodo de identificao e soluo de problemas de cima para baixo Nesse mtodo, voc deve iniciar com os aplicativos de usurio final e descer pelas camadas do modelo OSI at que a causa do problema tenha sido identificada. Os aplicativos de usurio final de um sistema final so testados antes que se examinem partes mais especficas da rede. Use esta abordagem para problemas mais simples ou quando voc suspeita que o problema seja com o software. A desvantagem da abordagem De cima para baixo que exige verificao de todos os aplicativos da rede at que a possvel causa do problema seja localizada. Cada concluso e possibilidade devem ser documentadas, e o desafio determinar qual aplicativo deve ser examinado primeiro. Clique no boto Mt. dividir e conquistar na figura. Mtodo de identificao e soluo de problemas dividir e conquistar

Quando voc utilizar a abordagem Dividir e conquistar para identificar e solucionar um problema de rede, selecione uma camada e teste em ambas as direes da camada inicial. Nessa abordagem, inicie reunindo a experincia de usurio sobre o problema, documente os sintomas e em seguida, usando essas informaes, faa uma suposio informada sobre em qual camada OSI voc deve iniciar sua investigao. Aps verificar que uma camada est funcionando corretamente, presuma que as camadas abaixo dela tambm estejam funcionando e analise as camadas OSI acima. Se uma camada de OSI no estiver funcionando corretamente, analise as camadas debaixo do modelo de camadas OSI. Por exemplo, se os usurios no puderem acessar o servidor Web e voc puder executar ping no servidor, ento voc saber que o problema acima da Camada 3. Se voc no puder executar ping no servidor, o problema dever ser em uma camada de OSI inferior. Exibir meio visual

Pgina 2: Diretrizes para selecionar um mtodo de identificao e soluo de problemas Para solucionar problemas de rede rapidamente, selecione o mtodo mais eficaz de identificao e soluo de problemas. Examine a figura. Use o processo mostrado na figura para poder selecionar o mtodo de identificao e soluo de problemas mais eficiente. Veja um exemplo de como voc poderia escolher um mtodo de soluo de problemas para um problema especfico. Dois roteadores IP no esto trocando informaes de roteamento. Da ltima vez que este tipo de problema ocorreu, era um problema de protocolo. Ento voc escolhe o mtodo de identificao e soluo de problemas Dividir e conquistar. Sua anlise revela que existe conectividade entre os roteadores. Portanto, voc inicia seus esforos de identificao e soluo de problemas pela camada fsica ou de enlace, confirma a conectividade e comea a testar as funes relacionadas a TCP/IP na prxima camada para cima no modelo OSI, a camada de rede. Exibir meio visual

8.2.5 Reunindo sintomas Pgina 1: Reunindo sintomas

Para determinar o escopo do problema, rena (documente) os sintomas. A figura mostra um grfico de fluxo desse processo. Cada etapa neste processo descrita aqui brevemente: Etapa 1. Analise os sintomas existentes - Analise os sintomas reunidos de protocolos de problemas, usurios ou sistemas finais afetados para formar uma definio do problema. Etapa 2. Determine a propriedade - Se o problema estiver dentro de seu sistema, voc poder passar para a prxima fase. Se o problema estiver fora do limite de seu controle, por exemplo, conectividade de Internet perdida fora do sistema autnomo, voc precisar entrar em contato com o administrador do sistema externo antes de reunir outros sintomas de rede. Etapa 3. Restrinja o escopo - Determine se o problema est no ncleo, na distribuio ou na camada de acesso da rede. Na camada identificada, analise os sintomas existentes e use seu conhecimento da topologia de rede para determinar quais equipamentos so a provvel causa. Etapa 4. Rena sintomas de dispositivos suspeitos - Usando uma abordagem de soluo de problemas em camadas, rena sintomas de hardware e software dos dispositivos suspeitos. Inicie com o que tiver maior probabilidade, use o conhecimento e a experincia para determinar se mais provvel que seja um problema de configurao de hardware ou software. Etapa 5. Documente os sintomas - muitas vezes o problema pode ser resolvido usando os sintomas documentados. Se no puder, comece a fase de isolamento do processo geral de identificao e soluo de problemas. Clique no boto Comandos na figura. Use os comandos do Cisco IOS para reunir sintomas sobre a rede. A tabela na figura descreve os comandos comuns do Cisco IOS que voc pode usar para reunir os sintomas de um problema na rede. Embora o comando debug seja uma ferramenta importante para reunir sintomas, ele gera uma quantidade grande de trfego de mensagem de console e o desempenho de um dispositivo de rede pode ser afetado consideravelmente. Avise aos usurios que o desempenho da rede pode ser afetado devido a esse esforo de identificao e soluo de problemas. Lembre-se de desabilitar a depurao quando acabar. Exibir meio visual

Pgina 2: Questionando usurios finais

Quando voc questiona usurios finais sobre um problema de rede, use tcnicas interrogativas efetivas. Deste modo, voc obter as informaes necessrias para documentar com eficcia os sintomas de um problema. A tabela na figura fornece algumas diretrizes e alguns exemplos de perguntas a serem feitas ao usurio final. Exibir meio visual

8.2.6 Ferramentas para identificao e soluo de problemas Pgina 1: Ferramentas de identificao e soluo de problemas de software Uma ampla variedade de ferramentas de software e hardware est disponvel para facilitar o processo. Estas ferramentas podem ser usadas para reunir e analisar sintomas de problemas de rede e geralmente possuem funes de monitoramento e relatrio que podem ser usadas para estabelecer a linha de base de rede. Ferramentas NMS As ferramentas de sistema de gerenciamento de rede (NMS) incluem monitoramento de dispositivo, configurao e gerenciamento de falha. A figura mostra um exemplo de tela do software What's Up Gold da NMS. Estas ferramentas podem ser usadas para investigar e corrigir problemas de rede. O software de monitoramento de rede exibe graficamente uma perspectiva fsica dos dispositivos de rede, permitindo que os gerentes de rede monitorem dispositivos remotos sem de fato precisarem verific-los fisicamente. O software de gerenciamento de dispositivo apresenta status dinmico, estatsticas e informaes de configurao para produtos comutados. Exemplos de ferramentas de gerenciamento de rede geralmente usadas so CiscoView, HP Openview, Solar Winds e What's Up Gold. Clique no boto Base de conhecimento na figura para ver o exemplo de um site da base de conhecimento. Bases de conhecimento Bases de conhecimento online de fornecedores de dispositivos de rede tm se tornado fontes indispensveis de informaes. Quando bases de conhecimento de fornecedor so combinadas com mecanismos de pesquisa de Internet como Google, um administrador de rede tem acesso a um conjunto vasto de informaes baseadas em experincia. A figura mostra a pgina Tools & Resources (Ferramentas e recursos) da Cisco em http://www.cisco.com. Esta uma ferramenta grtis que fornece informaes sobre hardware e software relacionados Cisco. Contm procedimentos de identificao e

soluo de problemas, guias de implementao e artigos originais na maioria dos aspectos da tecnologia de redes. Clique no boto Ferramentas da linha de base na figura para ver alguns exemplos. Ferramentas da linha de base Existem muitas ferramentas usadas para automatizar a documentao de rede e o processo de linha de base. Estas ferramentas esto disponveis para os sistemas operacionais Windows, Linux e AIX. A figura mostra uma captura de tela do SolarWinds LANsurveyor e software CyberGauge. Ferramentas de linha de base ajudam a realizar tarefas de documentao de linha de base. Por exemplo, eles podem ajud-lo a desenhar diagramas de rede, manter atualizada a documentao de software e hardware de rede e medir o uso de largura de banda de rede da linha de base. Clique no boto de Analisador de protocolo na figura para ver um exemplo de um aplicativo tpico de analisador de protocolo. Analisadores de protocolo Um analisador de protocolo decodifica as vrias camadas de protocolo em um quadro registrado e apresenta estas informaes em um formato relativamente fcil de usar. A figura mostra uma captura de tela do analisador de protocolo Wireshark. As informaes exibidas por um analisador de protocolo incluem a parte fsica, o enlace de dados, o protocolo e as descries para cada quadro. A maioria dos analisadores de protocolo podem filtrar trfego que atenda a um determinado critrio de forma que, por exemplo, todo o trfego para e de um dispositivo especfico possa ser capturado. Exibir meio visual

Pgina 2: Ferramentas de identificao e soluo de problemas de hardware Clique nos botes na figura para ver exemplos de vrias ferramentas de identificao e soluo de problemas de hardware. Mdulo de anlise de rede Um mdulo de anlise de rede (NAM) pode ser instalado nos switches da srie 6500 do Cisco Catalyst e nos roteadores da srie 7600 da Cisco a fim de fornecer uma representao grfica do trfego de roteadores e switches locais e remotos. O NAM uma interface incorporada baseada em navegador que gera relatrios no trfego que consome recursos de rede crticos. Alm disso, o NAM pode capturar e decodificar

pacotes e rastrear tempos de resposta para informar rede ou ao servidor o aplicativo que est com problema. Multmetro digital Multmetros digitais (DMMs) so instrumentos de teste usados para medir diretamente valores eltricos de voltagem, corrente e resistncia. Em identificao e soluo de problemas de rede, a maioria dos testes de multimdia envolve verificao de nveis de voltagem de fonte de alimentao e verificao de que os dispositivos de rede esto recebendo energia. Testadores de cabo Testadores de cabos so dispositivos portteis especializados criados para testar diversos tipos de cabeamento de comunicao de dados. Testadores de cabos podem ser usados para detectar fios quebrados, fios cruzados, conexes em curto e conexes emparelhadas incorretamente. Estes dispositivos podem ser testadores de continuidade baratos, testadores de cabos de preo mediano ou reflectmetros de domnio de tempo caros (TDRs). Os TDRs so usados para definir a distncia at uma interrupo em um cabo. Estes dispositivos enviam sinais ao longo do cabo e esperam que eles sejam refletidos. O tempo entre enviar o sinal e receb-lo convertido em uma medida de distncia. O TDR normalmente vem com os testadores de cabo de dados. Os TDRs usados para testar cabos de fibra ptica so conhecidos como como reflectmetros pticos de domnio de tempo (OTDRs). Analisadores de cabo Analisadores de cabo so dispositivos portteis multifuncionais usados para testar e certificar cabos de cobre e fibra para diferentes servios e padres. As ferramentas mais sofisticadas incluem diagnsticos avanados de identificao e soluo de problemas que medem a distncia at o defeito de desempenho (NEXT, RL), identificam aes corretivas e exibem graficamente diafonia e comportamento de impedncia. Os analisadores de cabo geralmente tambm incluem software para PC. Depois que os dados de campo so reunidos, o dispositivo porttil pode fazer upload de seus dados, e so criados relatrios precisos e atualizados. Analisadores de rede portteis Dispositivos portveis usados para identificar e solucionar problemas de redes comutadas e VLANs. Ao conectar o analisador de rede em qualquer lugar da rede, o engenheiro de rede pode ver a porta do switch na qual o dispositivo est conectado, e a utilizao mdia e de pico. O analisador tambm pode ser usado para descobrir a configurao de VLAN, identificar os principais faladores da rede, analisar o trfego da

rede e visualizar detalhes da interface. O dispositivo normalmente capaz de gerar uma sada para um PC que tenha software de monitoramento de rede instalado para obter uma anlise mais detalhada, e identificao e soluo de problemas. Exibir meio visual

Pgina 3: Atividade de pesquisa A seguir, veja links para vrias ferramentas de identificao e soluo de problemas. Ferramentas de software Sistemas de gerenciamento de rede: http://www.ipswitch.com/products/whatsup/index.asp?t=demo http://www.solarwinds.com/products/network_tools.aspx Ferramentas da linha de base: http://www.networkuptime.com/tools/enterprise/ Bases de conhecimento: http://www.cisco.com Analisadores de protocolo: http://www.flukenetworks.com/fnet/en-us/products/OptiView+Protocol+Expert/ Ferramentas de hardware Cisco Network Analyzer Module (NAM): http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/3.5/u ser/guide/user.html Testadores de cabo:

http://www.flukenetworks.com/fnet/enus/products/CableIQ+Qualification+Tester/Demo.htm Analisadores de cabo: http://www.flukenetworks.com/fnet/enus/products/DTX+CableAnalyzer+Series/Demo.htm Analisadores de rede: http://www.flukenetworks.com/fnet/enus/products/OptiView+Series+III+Integrated+Network+Analyzer/Demos.htm Exibir meio visual

8.3 Problemas comuns na implementao de WAN


8.3.1 Comunicaes de WAN Pgina 1: Um provedor de comunicaes ou uma operadora comum geralmente possui os enlaces de dados que compem uma WAN. Os links esto disponveis para assinantes mediante o pagamento de uma taxa e so usados para interconectar LANs ou conectar a redes remotas. A velocidade de transferncia de dados da WAN (largura de banda) est consideravelmente mais lenta que a largura de banda da LAN comum. Os encargos para a proviso de link so o elemento de custo principal; portanto a implementao de WAN deve objetivar fornecer a mxima largura de banda a um custo aceitvel. Considerando-se a presso do usurio para fornecer mais acesso de servio a altas velocidades e a presso do gerenciamento para reduzir custos, determinar uma configurao tima de WAN no uma tarefa fcil. As WANs transportam vrios tipos de trfego, como voz, dados e vdeo. O design selecionado deve fornecer capacidade suficiente e horas de trnsito para atender os requisitos da empresa. Entre outras especificaes, o design deve considerar a topologia das conexes entre os vrios sites, a natureza dessas conexes e capacidade de largura de banda. As WANs mais antigas consistiram geralmente em enlaces de dados que conectam diretamente mainframes remotos. As WANs de hoje conectam LANs geograficamente separadas. As tecnologias WAN funcionam nas trs camadas inferiores do modelo de referncia OSI. Estaes de usurio final, servidores e roteadores comunicam-se por LANs e os enlaces de dados da WAN finalizam em roteadores locais.

Os roteadores determinam o caminho mais apropriado ao destino dos dados a partir dos cabealhos de camada de rede e transferem os pacotes para a conexo de enlace de dados apropriada para entrega na conexo fsica. Os roteadores tambm podem fornecer gerenciamento de qualidade de servio (QoS) que atribui prioridades aos diferentes fluxos de trfego. Exibir meio visual

8.3.2 Etapas em design de WAN Pgina 1: As empresas instalam conectividade WAN para atender ao requisito comercial estratgico de mover dados entre filiais externas. Como a conectividade WAN importante para o negcio e caro, voc precisa criar a WAN de uma maneira sistemtica. Esta figura mostra as etapas para o design de WAN. Cada vez que uma modificao a uma WAN existente considerada, essas etapas devem ser seguidas. Porm, como muitas WANs evoluram com o passar do tempo, algumas das diretrizes discutidas aqui podem no ter sido consideradas. As modificaes de WAN podem ocorrer devido expanso de servidores WAN da empresa ou acomodao de novas prticas e mtodos comerciais. Essas so as etapas para criar ou modificar uma WAN: Etapa 1. Localize as LANS - Estabelea os pontos de extremidade de origem e destino que se conectaro pela WAN. Etapa 2. Analise o trfego - Descubra qual trfego de dados deve ser transportado, sua origem e seu destino. As WANs transportam uma variedade de tipos de trfego com requisitos variados para largura de banda, latncia e atraso. Para cada par de pontos de extremidade e para cada tipo de trfego, necessrio fornecer informaes sobre as caractersticas do trfego. Etapa 3. Planeje a topologia - A topologia influenciada por consideraes geogrficas, mas tambm por requisitos como disponibilidade. Um requisito de alto nvel para disponibilidade exige links extras que fornecem caminhos de dados alternativos para redundncia e balanceamento de carga. Etapa 4. Estime a largura de banda exigida - O trfego nos links pode ter requisitos variados para latncia e atraso. Etapa 5. Escolha a tecnologia WAN - Selecione as tecnologias de link adequadas.

Etapa 6. Avalie despesas - Quando todos os requisitos so estabelecidos, os custos operacionais e de instalao para a WAN podem ser determinados e comparados com a necessidade comercial que orienta a implementao de WAN. Como mostrado na figura, as etapas de design descritas aqui no so um processo linear. Vrias iteraes dessas etapas podem ser necessrias antes de finalizar um design. Para manter o timo desempenho da WAN, necessrio monitorar e reavaliar continuamente. Exibir meio visual

8.3.3 Consideraes sobre o trfego de WAN Pgina 1: A tabela na figura mostra a ampla variedade de tipos de trfego e seus requisitos variados de largura de banda, latncia e atraso que os links de WAN exigem para transportar. Para determinar as condies de fluxo de trfego e controle de tempo de um link de WAN, voc precisa analisar as caractersticas especficas de trfego para cada LAN que est conectada WAN. A determinao das caractersticas de trfego pode envolver consulta aos usurios da rede e avaliao de suas necessidades. Exibir meio visual

8.3.4 Consideraes sobre a topologia WAN Pgina 1: Depois de estabelecer pontos de extremidade de LAN e caractersticas de trfego, a prxima etapa para implementar uma WAN criar uma topologia satisfatria. Criar uma topologia de WAN essencialmente consiste no seguinte: Selecione um padro de interconexo ou layout para os links entre os vrios locais Selecione as tecnologias para que esses links satisfaam os requisitos de empresa a um custo aceitvel Clique nos botes na figura para exibir um exemplo de cada tipo de topologia de WAN. Muitas WANs usam uma topologia em estrela. medida em que a empresa cresce e so adicionadas novas filiais, elas so conectadas com a matriz, criando uma topologia em estrela tradicional. Os pontos de extremidade em estrela muitas vezes so conectados de maneira cruzada, criando uma malha ou topologia de malha parcial. Isto propicia muitas

combinaes possveis para interconexes. Ao criar, reavaliar ou modificar uma WAN, selecione uma topologia que atenda os requisitos de design. Ao selecionando um layout, h vrios fatores para considerar. Mais links aumentam o custo dos servios da rede, mas ter vrios caminhos entre destinos aumenta a confiabilidade. Acrescentar mais dispositivos de rede ao caminho de dados aumenta a latncia e diminui a confiabilidade. Geralmente, cada pacote deve ser completamente recebido em um n antes de ser transmitido ao prximo. Clique no boto Hierrquico na figura. Quando muitos locais devem ser agrupados, recomendada uma soluo hierrquica. Por exemplo, imagine uma empresa que tem filiais em todos os pases da Unio europia e tem uma filial em todas as cidades com mais de 10.000 habitantes. Cada filial tem uma LAN e decidiram interconectar as filiais. Uma rede de malha obviamente no vivel porque seriam centenas de milhares de links. A soluo implementar uma topologia hierrquica. Agrupe as LANs em cada rea e interconecte-as para formar uma regio; em seguida, interconecte as regies para formar o ncleo da WAN. A rea poderia se basear no nmero de locais a serem conectados com um limite superior entre 30 e 50. A rea teria uma topologia estrela, com os hubs das estrelas vinculados para formar a regio. As regies poderiam ser geogrficas, conectando entre trs e 10 reas e o hub de cada regio poderia ser vinculado de ponto a ponto. Uma hierarquia de trs camadas geralmente til quando o trfego da rede espelha a estrutura de filial da empresa e dividido em regies, reas e filiais. Tambm til quando existe um servio central para o qual todas as filiais devem ter acesso, mas os nveis de trfego so insuficientes para justificar a conexo direta de uma filial com o servio. A LAN no centro da rea pode ter servidores que fornecem servios locais e tambm baseados em rea. Dependendo dos volumes de trfego e tipos, as conexes de acesso podem ser dialup, alugadas ou de frame relay. O Frame Relay facilita a formao em malha para obter redundncia sem exigir conexes fsicas adicionais. Links de distribuio podem ser Frame Relay ou ATM e o ncleo da rede pode ser ATM ou linha alugada. Ao planejar redes mais simples, uma topologia hierrquica ainda deve ser considerada porque pode fornecer melhor escalabilidade de rede. O hub ao centro de um modelo de duas camadas tambm um ncleo, mas sem outros roteadores de ncleo conectados a ele. Da mesma maneira, em uma soluo de camada nica, o hub de rea funciona como o hub regional e o hub de ncleo. Isto permite o crescimento fcil e rpido no futuro, porque o design bsico pode ser replicado para adicionar novas reas de servio. Exibir meio visual

Pgina 2: Tecnologias de conexo WAN Uma WAN privada tpica usa uma combinao de tecnologias que normalmente so escolhidas com base no tipo de trfego e volume. So usados ISDN, DSL, Frame Relay ou linhas alugadas para conectar filiais individuais em uma rea. So usados Frame Relay, ATM ou linhas alugadas para conectar reas externas ao backbone. ATM ou linhas alugadas formam o backbone de WAN. As tecnologias que exigem o estabelecimento de uma conexo antes de poder transmitir dados, como telefone bsico, ISDN ou X.25, no so adequadas para WANs que exigem tempo de resposta rpido ou baixa latncia. Diferentes partes de uma empresa podem ser diretamente conectadas com linhas alugadas ou com um link de acesso ao ponto-de-presena (POP) mais prximo de uma rede compartilhada. Frame Relay e ATM so exemplos de redes compartilhadas. As linhas alugadas so geralmente mais caras que links de acesso, mas esto disponveis a praticamente qualquer largura de banda e possuem latncia e atraso muito baixos. Redes ATM e de Frame Relay transportam trfego de vrios clientes usando os mesmos links internos. A empresa no tem nenhum controle sobre o nmero de links ou saltos que os dados devem atravessar na rede compartilhada. Ela no pode controlar o tempo que os dados devem esperar em cada n antes de mover para o prximo link. Esta incerteza em latncia e atraso torna essas tecnologias inadequadas para alguns tipos de trfego de rede. Porm, as desvantagens de uma rede compartilhada podem geralmente ser compensadas pelo custo reduzido. Como vrios clientes esto compartilhando o link, o custo para cada geralmente menor que o custo de um link direto da mesma capacidade. Embora ATM seja uma rede compartilhada, ele foi criado para produzir latncia e atraso mnimos atravs de links internos de alta velocidade que enviam unidades de dados facilmente gerenciveis, chamadas de clulas. As clulas de ATM tm um comprimento fixo de 53 bytes, 48 bytes para dados e 5 bytes para o cabealho. O ATM usado amplamente para transportar trfego que no tolera atrasos. O Frame Relay tambm pode ser usado para trfego que no tolera atrasos, geralmente usando mecanismos de QoS para dar prioridade para os dados mais importantes. Exibir meio visual

Pgina 3: Muitas WANs de empresa tm conexes com a Internet. Embora a Internet possa representar um problema de segurana, ela fornece uma alternativa para o trfego entre filiais. Parte do trfego que deve ser considerado durante o design vai ou vem da Internet. Implementaes comuns devem fazer cada rede na empresa conectar-se a um

ISP diferente ou fazer todas as redes de empresa conectarem-se a um nico ISP a partir de uma conexo de camada de ncleo. Exibir meio visual

8.3.5 Consideraes sobre largura de banda WAN Pgina 1: Lembre-se de que uma rede suporta as necessidades comerciais de uma empresa. Muitas empresas dependem da transferncia de dados em alta velocidade entre locais remotos. Consequentemente, crucial possuir largura de banda mais alta para transmitir mais dados em um determinado tempo. Quando a largura de banda inadequada, a competio entre vrios tipos de trfego faz os tempos de resposta aumentarem, o que reduz a produtividade dos funcionrio e reduz a velocidade de processos baseados em web que so crticos para a empresa. A figura mostra como links de WAN so geralmente classificados como de velocidade alta ou baixa. Exibir meio visual

8.3.6 Problemas comuns na implementao de WAN Pgina 1: A figura resume os problemas comuns de implementao de WAN e as perguntas que voc precisa fazer antes de efetivamente implementar uma WAN. Exibir meio visual

8.3.7 Estudo de caso: Diagnstico de WAN a partir de uma perspectiva de ISPs Pgina 1: O grfico ilustra as perguntas tpicas que a equipe de suporte tcnico de um ISP deve fazer a um cliente que est pedindo suporte. Uma proporo significativa das chamadas de suporte recebidas por um ISP refere-se lentido da rede. Para solucionar esse problemas com eficcia, voc deve isolar os componentes individuais e testar cada um como segue: Host de PC individual - Um nmero grande de aplicaes de usurio abertas ao mesmo tempo no PC pode ser responsvel pela lentido que est sendo atribuda rede. Ferramentas como o Gerenciador de Tarefas em um Windows PC podem ajudar a determinar a utilizao da CPU.

LAN - Se o cliente tiver um software de monitoramento de rede na LAN, o gerente de rede pode informar se a largura de banda na LAN est alcanando 100 por cento de utilizao com frequncia. Esse um problema que a empresa do cliente precisaria resolver internamente. Esse o motivo por que to importante conhecer a linha de base de rede e realizar um monitoramento contnuo. Link da extremidade da rede do usurio extremidade do ISP - Teste o link do roteador de extremidade do cliente para o roteador de extremidade do ISP pedindo para o cliente fazer o logon no roteador e enviar cem pings de 1500 bytes (pings de estresse) para o endereo IP do roteador de extremidade do ISP. O cliente no pode corrigir esse problema. responsabilidade do ISP comunicar-se com o provedor de link para corrigir isso. Backbone do ISP - O representante de servio do cliente do ISP pode realizar pings de estresse a partir da extremidade do roteador de ISP para o roteador de extremidade do cliente. Eles tambm podem executar pings de estresse em cada link pelo qual circula o trfego do cliente. Ao isolar e testar cada link, o ISP pode determinar qual link est causando o problema. Servidor sendo acessado - Em alguns casos, a lentido atribuda rede pode ser causada por congestionamento do servidor. Esse problema o mais difcil de diagnosticar e deve ser a ltima opo a ser investigada depois de eliminar todas as outras. Exibir meio visual

Pgina 2: Nesta atividade, voc e outro aluno criaro a rede exibida no diagrama de topologia. Voc configurar o NAT, DHCP e OSPF e ento verificar a conectividade. Quando a rede estiver funcionando completamente, um aluno apresentar diversos erros. Em seguida, o outro aluno usar tcnicas de soluo de problemas para isolar e resolver o problema. Em seguida, os alunos invertero as funes e repetiro o processo. Esta atividade pode ser feita em equipamento real ou com o Packet Tracer. Exibir meio visual

8.4 Soluo de problemas da rede


8.4.1 Interpretando diagramas de rede para identificar problemas Pgina 1: quase impossvel solucionar qualquer tipo de problema de conectividade de rede sem um diagrama de rede que descreve endereos IP, rotas IP, dispositivos como firewalls e switches, e assim por diante. Geralmente, topologias lgicas e fsicas ajudam a identificar e solucionar problemas.

Diagrama fsico de rede Um diagrama fsico de rede mostra o layout fsico dos dispositivos conectado rede. necessrio saber como os dispositivos so conectados fisicamente para identificar e solucionar problemas na camada Fsica, como cabeamento ou problemas de hardware. As informaes registradas no diagrama geralmente incluem: Tipo de dispositivo Modelo e fabricante Verso do sistema operacional Tipo de cabo e identificador Especificao do cabo Tipo de conector Pontos de extremidade de cabeamento

A figura mostra um exemplo de um diagrama fsico de rede que fornece informaes sobre o local fsico dos dispositivos de rede, os tipos de cabeamento entre eles, e os nmeros de identificao de cabo. Estas informaes seriam usadas principalmente para identificar e solucionar problemas fsicos com dispositivos ou cabeamento. Alm do diagrama fsico de rede, alguns administradores incluem fotografias reais dos wiring closets como parte da documentao de rede. Diagrama lgico de rede Um diagrama lgico de rede mostra como os dados so transferidos na rede. Smbolos representam elementos de rede como roteadores, servidores, hubs, hosts, concentradores de VPN e dispositivos de segurana. As informaes registradas em um diagrama lgico de rede podem incluir: Identificadores de dispositivo Endereo IP e sub-rede Identificadores de interface Tipo de conexo DLCI para circuitos virtuais VPNs ponto a ponto Protocolos de roteamento Rotas estticas Protocolos de enlace de dados Tecnologias WAN usadas

Clique no boto Lgico na figura para ver um exemplo de um diagrama lgico de rede. A figura mostra a mesma rede, mas, dessa vez, fornece informaes lgicas como endereos IP de dispositivo especficos, nmeros de rede, nmeros de porta, tipos de sinal e atribuies de DCE para links seriais. Estas informaes podem ser usadas para identificar e solucionar problemas em todas as camadas de OSI. Exibir meio visual

8.4.2 Identificao e soluo de problemas de camada fsica Pgina 1: Sintomas de problemas de camada fsica A camada Fsica transmite bits de um computador para outro e regula a transmisso de um fluxo de bits pelo meio fsico. A camada Fsica a nica camada com propriedades tangveis fisicamente, como fios, placas e antenas. Falhas e condies abaixo do ideal na camada Fsica no s incomodam os usurios, mas tambm afetam a produtividade da empresa inteira. Redes que experimentam essas condies geralmente passam por paradas bruscas. Como as camadas superiores do modelo OSI dependem da camada Fsica para funcionar, um tcnico de rede deve ter a capacidade de isolar e corrigir problemas com eficcia nesta camada. Um problema de camada Fsica ocorre quando as propriedades fsicas da conexo so inferiores, fazendo os dados serem transferidos a uma taxa que consistentemente menor que a taxa de fluxo de dados estabelecida na linha de base. Se houver um problema que faa a rede operar abaixo da ideal na camada Fsica, a rede poder continuar funcionando, mas o desempenho ser intermitente ou consistentemente abaixo do nvel especificado na linha de base. Os sintomas comuns de problemas de rede na camada Fsica incluem:

Desempenho abaixo da linha de base - Se o desempenho for insatisfatrio o tempo todo, o problema provavelmente estar relacionado a uma configurao pobre, capacidade inadequada em algum lugar, ou a algum outro problema sistmico. Se o desempenho variar e no for sempre insatisfatrio, o problema ser relacionado provavelmente a uma condio de erro ou est sendo afetado por trfego de outras origens. As razes mais comuns para o desempenho lento ou baixo incluem servidores sobrecarregados ou subutilizados, configuraes inadequadas de roteador ou switch, congestionamento de trfego em um link da baixa capacidade e perda de quadro crnica. Perda de conectividade - Se um cabo ou dispositivo falhar, o sintoma mais bvio perda de conectividade entre os dispositivos que se comunicam por aquele link ou com o dispositivo ou interface com falha, como indicado por um

teste de ping simples. Perda intermitente de conectividade pode indicar uma conexo solta ou oxidada.

Alta contagem de coliso - Problemas de domnio de coliso afetam o meio local e rompem comunicaes com dispositivos de infra-estrutura, servidores locais ou servios de Camada 2 ou Camada 3. Colises so normalmente um problema mais significativo em meios compartilhados do que em portas de switch. A mdia de contagens de coliso em meios compartilhados geralmente deve estar abaixo de 5 por cento, embora esse nmero seja conservador. Confira que se as informaes so baseadas na mdia e no no pico das colises. Problemas referentes a colises podem ser geralmente rastreados at uma nica origem. Pode ser um cabo com defeito em uma nica estao, um cabo de uplink com defeito em um hub ou porta em um hub, ou um link exposto a rudo eltrico externo. Uma fonte de rudo prxima a um cabo ou hub pode causar colises at mesmo quando no houver trfego aparente. Se as colises piorarem proporcionalmente ao nvel do trfego, se a quantidade de colises chegar a 100 por cento ou se no houver nenhum trfego bom, isso significar falha no sistema de cabo. Gargalos de rede ou congestionamento - Se um roteador, interface ou cabo falharem, protocolos de roteamento podero redirecionar o trfego para outras rotas que no so criadas para transportar a capacidade adicional. Isto pode resultar em congestionamento ou gargalos nessas partes da rede. Taxas altas de utilizao de CPU - So um sintoma de que um dispositivo, como um roteador, switch ou servidor, est funcionando em ou est excedendo seus limites de design. Se isso no for resolvido rapidamente, a sobrecarga de CPU pode causar falha ou parada do dispositivo. Console mensagens de erro - Mensagens de erro reportadas no console do dispositivo indicam um problema de camada Fsica.

Exibir meio visual

Pgina 2: Causas de problemas de camada fsica As situaes que geralmente causam problemas de rede na camada Fsica incluem: Alimentao Problemas relacionados alimentao so a principal razo de falha de rede. A alimentao CA principal flui para um mdulo de transformador CA a CC externo ou interno para dentro de um dispositivo. O transformador fornece corrente de CC modulada corretamente, que age para dar alimentao a circuitos de dispositivo, conectores, portas e as ventoinhas usadas para resfriamento do dispositivo. Se houver suspeita de problema relacionado alimentao, geralmente feita uma inspeo fsica do mdulo de alimentao. Verifique o funcionamento das ventoinhas e confira se esto desobstrudas as passagens de ar do chassi. Se outras unidades prximas tambm pararam de funcionar, poder estar havendo uma falha da fonte de alimentao principal.

Falhas de hardware Placas de rede defeituosas (NIC) podem ser a causa de erros de transmisso de rede devido a recentes colises, quadros curtos e jabber. Jabber geralmente definido como a condio na qual um dispositivo de rede transmite continuamente dados aleatrios sem sentido pela rede. Outras causas provveis de jabber so arquivos de driver da placa de rede defeituosos ou corrompidos, cabeamento incorreto ou problemas de aterramento. Falhas de cabeamento Muitos problemas podem ser corrigidos simplesmente reconectando-se os cabos que ficaram parcialmente desconectados. Ao executar uma inspeo fsica, verifique se h cabos danificados, tipos de cabo imprprios e conectores RJ-45 mal instalados. Cabos suspeitos devem ser testados ou trocados por um cabo em perfeito estado de funcionamento. Verifique se h conexes entre dispositivos ou portas de hub e switch que estejam usando cabos crossover incorretamente. Os cabos de pares separados no funcionam quando esto com defeito, dependendo da velocidade de Ethernet, o comprimento do segmento separado e a distncia de qualquer extremidade. Os problemas com cabos de fibra ptica podem ser causados por conectores sujos, curvas excessivamente apertadas e conexes RX/TX trocadas quando polarizada. Os problemas com cabo coaxial geralmente ocorrem nos conectores. Quando o condutor do centro na extremidade do cabo coaxial no est reto e com o comprimento correto, no obtida uma conexo boa. Atenuao Um bitstream de dados atenuado quando a amplitude dos bits reduzida enquanto trafega por um cabo. Se a atenuao for severa, o dispositivo receptor nem sempre poder distinguir com xito os bits de componente do fluxo um do outro. Isto resulta em uma transmisso adulterada e em uma solicitao do dispositivo receptor para nova transmisso do trfego perdido pelo remetente. A atenuao poder ser causada se um comprimento de cabo exceder o limite de design para o meio (por exemplo, um cabo Ethernet limitado a 100 metros, ou 328 ps, para garantir um desempenho bom), ou quando h uma conexo pobre que o resultado de um cabo solto, sujo ou com contatos oxidados. Rudo

A interferncia eletromagntica local (EMI) geralmente conhecida como rudo. H quatro tipos de rudo que so muito significativos para redes de dados:

Rudo de impulso que causado por flutuaes de voltagem ou picos de corrente induzidos no cabeamento. Rudo aleatrio (branco) que gerado por muitas fontes, como estaes de rdio FM, rdio da polcia, seguranas de prdios e ondas de rdio de aviao para aterrissagem automatizada. Diafonia estrangeira que o rudo induzido por outros cabos no mesmo caminho. Diafonia prxima (NEXT) que o rudo que se origina da diafonia de outros cabos adjacentes ou rudo de cabos eltricos prximos, dispositivos com motores eltricos de grande porte, ou qualquer coisa que inclua um transmissor mais avanado que um telefone celular.

Erros de configurao de interface Muitas coisas podem ser configuradas incorretamente em uma interface para causar esse tipo de erro, causando uma perda de conectividade com segmentos de rede anexados. Exemplos de erros de configurao que afetam a camada Fsica incluem: Links seriais reconfigurados como assncronos em vez de sncronos Clock rate incorreto Fonte de clock incorreta Interface no ligada

Limites de design excedidos Um componente pode estar operando de maneira no ideal na camada Fsica porque est sendo utilizado a uma taxa mdia mais alta do que ele configurado para operar. Ao solucionar problemas desse tipo, fica evidente que os recursos para o dispositivo esto operando na capacidade mxima ou prximo a ela e h um aumento no nmero de erros de interface. Sobrecarga CPU Os sintomas incluem processos com altos percentuais de utilizao de CPU, descartes das filas de entrada, desempenho lento, servios de roteador como o Telnet e ping lentos ou no respondem, ou no h nenhuma atualizao de roteamento. Uma das causas de sobrecarga de CPU em um roteador o alto trfego. Se algumas interfaces forem sobrecarregadas regularmente com trfego, redesenhe o fluxo de trfego na rede ou atualize o hardware. Exibir meio visual

Pgina 3: Para isolar problemas nas camadas Fsicas, faa o seguinte: Verifique se h cabos ou conexes com defeito Verifique se o cabo da interface de origem est conectado e se est em boas condies. Seu testador de cabo pode revelar um fio aberto. Por exemplo, na figura, o testador Fluke CableIQ revelou que os fios 7 e 8 esto apresentando falha. Para testar a integridade de um cabo, alterne os cabos suspeitos com um cabo que esteja funcionando com certeza. Se estiver em dvida sobre a conexo estar funcionando, remova o cabo, faa uma inspeo fsica do cabo e da interface, e reconecte o cabo. Use um testador de cabo nas tomadas que deseja testar para verificar se esto cabeadas corretamente. Verifique se o padro de cabeamento correto consistente ao longo da rede Verifique se o cabo correto est sendo utilizado. Um cabo crossover pode ser necessrio para conexes diretas entre alguns dispositivos. Verifique se o cabo est cabeado corretamente. Por exemplo, na figura, o testador Fluke CableIQ detectou que, embora um cabo estivesse bom para Fast Ethernet, ele no qualificado para suportar 1000BASE-T porque os fios 7 e 8 no foram conectados corretamente. Esses fios no so necessrios para Fast Ethernet, mas so necessrios para Gigabit Ethernet. Verifique se os dispositivos esto cabeados corretamente Verifique se todos os cabos esto conectados s portas ou interfaces corretas. Verifique se as conexes cruzadas esto corrigidas para o local correto. Esse o motivo pelo qual um wiring closet deve ser limpo e organizado: poupa muito tempo. Verifique se as configuraes de interface esto corretas Verifique se todas as portas de switch esto definidas na VLAN correta e se esto configurados corretamente o spanning tree, a velocidade e as configuraes bidirecionais. Confirme se as portas ou interfaces ativa no esto desligadas. Verifique as estatsticas de funcionamento e as taxas de erros de dados Use os comandos show da Cisco para verificar estatsticas como colises, erros de entrada e sada. As caractersticas destas estatsticas variam, dependendo dos protocolos usados na rede. Exibir meio visual

8.4.3 Identif. e soluo de problemas da camada de enlace de dados Pgina 1: Sintomas de problemas da camada de enlace de dados Identificar e solucionar problemas de Camada 2 pode ser um processo difcil. A configurao e a operao destes protocolos so crticas para criar uma rede funcional e bem ajustada. Problemas de camada de enlace causam sintomas comuns que ajudam a identificar problemas de Camada 2. Reconhecer esses sintomas ajuda a reduzir o nmero de possveis causas. Os sintomas comuns de problemas de rede na camada de enlace de dados incluem: No h funcionalidade ou conectividade na camada de rede ou acima Alguns problemas de Camada 2 podem interromper a troca de quadros por um link, enquanto outros s degradam o desempenho da rede. A rede est funcionando abaixo dos nveis de desempenho de linha de base H dois tipos distintos de funcionamento no ideal de Camada 2 que podem ocorrer em uma rede: Quadros trafegam por um caminho ilgico ao seu destino, mas chegam. Um exemplo de um problema que pode levar os quadros a trafegarem por um caminho no ideal uma topologia de spanning-tree de Camada 2 mal projetada. Neste caso, a rede deve experimentar uso de alta largura de banda em links que no devem ter aquele nvel de trfego. Alguns quadros so ignorados. Esses problemas podem ser identificados por estatsticas de contador de erro e mensagens de erro de console que aparecem no switch ou roteador. Em um ambiente de Ethernet, um toque estendido ou contnuo revelar tambm se os quadros estiverem sendo ignorados.

Broadcasts em excesso Os sistemas operacionais modernos usam broadcasts extensivamente para detectar servios de rede e outros hosts. Onde so observados broadcasts excessivos, importante identificar a origem dos broadcasts. Geralmente, difuses excessivas so o resultado de uma das situaes seguintes: Aplicativos configurados ou programados incorretamente

Domnios de broadcast grandes de Camada 2 Problemas de rede adjacentes, como loops de STP ou alternncia de rota.

Mensagens da console Em algumas instncias, um roteador reconhece que um problema de Camada 2 ocorreu e envia mensagens de alerta console. Normalmente, um roteador faz isto quando detecta um problema para interpretar quadros de entrada (encapsulamento ou problemas de enquadramento) ou quando keepalives so esperados, mas no chegam. A mensagem de console mais comum que indica um problema de Camada 2 uma mensagem de que o protocolo de linha est inativo. Exibir meio visual

Pgina 2: Causas de problemas da camada de enlace de dados Os problemas na camada de enlace que geralmente resultam em problemas de conectividade de rede ou desempenho incluem: Erros de encapsulamento Um erro de encapsulamento ocorre porque os bits colocados pelo remetente em um campo especfico no so o que o receptor espera ver. Esta condio ocorre quando o encapsulamento em uma extremidade de um link de WAN configurado diferentemente do encapsulamento usado na outra extremidade. Erros de mapeamento de endereo Em topologias como ponto-a-multiponto, Frame Relay ou Ethernet broadcast, essencial que um endereo de destino de Camada 2 apropriado seja dado ao quadro. Isto assegura sua chegada ao destino correto. Para obter isto, o dispositivo de rede deve corresponder um endereo de destino de Camada 3 com o endereo de Camada 2 correto usando mapas estticos ou dinmicos. Ao usar mapas estticos em Frame Relay, um mapa incorreto um engano comum. Erros simples de configurao podem resultar em uma incompatibilidade de informaes de endereamento de Camada 2 e Camada 3. Em um ambiente dinmico, o mapeamento das informaes de Camada 2 e Camada 3 pode falhar pelas seguintes razes:

Os dispositivos podem ter sido especificamente configurados para no responder a solicitaes ARP ou ARP inverso. As informaes de Camada 2 ou Camada 3 que so armazenadas em cache podem ter se alterado fisicamente. As respostas invlidas de ARP so recebidas devido a uma configurao incorreta ou um ataque de segurana.

Erros de enquadramento Quadros normalmente funcionam em grupos de bytes de 8 bits. Um erro de enquadramento ocorre quando um quadro no termina em um limite de byte de 8 bits. Quando isto acontece, o receptor pode ter problemas que determinam onde um quadro termina e outro quadro inicia. Dependendo da gravidade do problema de enquadramento, a interface pode ser capaz de interpretar alguns dos quadros. Muitos quadros invlidos podem impedir keepalives vlidos de serem trocados. Erros de enquadramento podem ser causados por uma linha serial ruidosa, um cabo projetado de modo inadequado (muito longo ou no blindado corretamente) ou um relgio de linha de unidade do servio de canal (CSU) incorretamente configurado. Falhas ou loops de STP O propsito do Protocolo Spanning Tree (STP) transformar uma topologia fsica redundante em uma topologia em rvore atravs do bloqueio de portas redundantes. A maioria das problemas de STP gira em torno desses problemas: Encaminhar loops que ocorrem quando nenhuma porta em uma topologia redundante bloqueada e o trfego encaminhado indefinidamente em crculos. Quando o encaminhamento de loop inicia, isso normalmente congestiona os links de largura de banda mais baixa no caminho. Se todos os links forem da mesma largura de banda, todos estaro congestionados. Este congestionamento causa perda de pacote e leva a uma rede com baixo desempenho no domnio de L2 afetado. Envios excessivos devido a uma taxa alta alteraes na topologia de STP. A funo do mecanismo de alterao de topologia corrigir as tabelas de encaminhamento de Camada 2 depois que a topologia de encaminhamento foi alterada. Isto necessrio para evitar uma interrupo de conectividade porque, depois de uma alterao de topologia, alguns endereos MAC previamente acessveis por portas particulares podem ficar acessveis por portas diferentes. Uma alterao de topologia deve ser um evento raro em uma rede bem configurada. Quando um link em uma porta de switch fica ativo ou inativo, eventualmente h uma alterao de topologia quando o estado de STP da porta muda para ou de encaminhar. Porm, quando uma porta oscila (entre os estados ativo e inativo), isso causa mudanas repetitivas de topologia e inundao. A convergncia lenta de STP ou reconvergncia podem ser causadas por uma incompatibilidade entre a topologia real e a documentada, um erro de

configurao, como uma configurao inconsistente de temporizadores de STP, uma CPU de switch sobrecarregada durante a convergncia, ou um defeito de software. Exibir meio visual

Pgina 3: Identificao e soluo de problemas de Camada 2 (PPP) A dificuldade para identificar e solucionar problemas de tecnologias de Camada 2, como PPP e Frame Relay, a indisponibilidade de ferramentas adequadas para Camada 3 comuns, como ping, para ajudar a identificar problemas alm de constatar que a rede est inativa. Somente atravs de um entendimento completo dos protocolos e de sua operao, o tcnico de rede consegue escolher a metodologia adequada de identificao e soluo de problemas e os comandos Cisco IOS certos para solucionar o problema de uma maneira eficiente. A maioria das problemas que ocorrem com PPP envolve negociao de link. Os passos para identificar e solucionar problemas de PPP esto a seguir: Etapa 1. Verifique se o encapsulamento apropriado est sendo usado nas duas extremidades, usando o comando show interfaces serial. Na figura para Etapa 1, a sada de comando revela que R2 foi configurado incorretamente para usar encapsulamento HDLC. Etapa 2. Confirme que as negociaes do Protocolo de Controle de Link (LCP) tiveram sucesso verificando a sada para mensagem do LCP aberto. Clique no boto Etapa 2 na figura. Na figura, o encapsulamento em R2 foi alterado a PPP. A sada do comando show interfaces serial mostra a mensagem LCP aberto, que indica que as negociaes de LCP tiveram sucesso. Etapa 3. Verifique a autenticao em ambos os lados do link usando o comando debug ppp authentication. Clique no boto Etapa 3 na figura. Na figura, a sada do comando debug ppp authentication mostra que R1 no pode autenticar R2 usando CHAP, porque o nome de usurio e a senha para R2 no foram configurados em R1.

Consulte o Captulo 2, "PPP" para obter mais detalhes sobre como identificar e solucionar implementaes de PPP. Exibir meio visual

Pgina 4: Identificao e soluo de problemas de Camada 2 (Frame Relay) Para identificar e solucionar problemas de rede Frame Relay, divida a tarefa em quatro etapas: Etapa 1. Verifique a conexo fsica entre o CSU/DSU (unidade de servio de dados) e o roteador. Na figura, as conexes fsicas entre os roteadores R2 e R3 e os CSU/DSU correspondentes podem ser verificadas usando um testador de cabo e conferindo se todos os LEDs de status na unidade de CSU/DSU esto verdes. Na figura, algumas luzes de status para o CSU/DSU no R3 esto vermelhas, indicando um problema de conectividade potencial entre o CSU/DSU e roteador R3. Etapa 2. Verifique se o roteador e o provedor de Frame Relay esto trocando informaes de LMI corretamente usando o comando show frame-relay lmi. Clique no boto Etapa 2 na figura. Na figura, a sada do comando show frame-relay lmi no R2 no mostra erros ou mensagens perdidas. Isto indica que R2 e o switch do provedor de Frame Relay esto trocando informaes de LMI corretamente. Etapa 3. Verifique se o status de PVC est ativo usando o comando show frame-relay pvc. Clique no boto Etapa 3 na figura. Na figura, a sada do comando show frame-relay pvc no R2 verifica que o status de PVC est ativo. Etapa 4. Verifique se o encapsulamento de Frame Relay corresponde nos dois roteadores, usando o comando show interfaces serial. Clique no boto Etapa 4 na figura.

Na figura, a sada do comando show interfaces serial nos roteadores R2 e R3 mostra que existe uma incompatibilidade de encapsulamento entre eles. O R3 foi configurado incorretamente para usar o encapsulamento de HDLC em vez de Frame Relay. Para obter detalhes adicionais sobre como identificar e solucionar problemas de implementaes de Frame Relay, consulte o Captulo 3, "Frame Relay". Exibir meio visual

Pgina 5: Identificao e soluo de problemas de Camada 2 (Loops de STP) Se voc suspeitar que um loop de STP esteja causando um problema de Camada 2, verifique se o protocolo Spanning Tree est sendo executado nos dois switches. Um switch somente dever ter STP desabilitado se no fizer parte de uma topologia fisicamente com loops. Para verificar operao de STP, use o comando show spanningtree em cada switch. Se voc descobrir que aquele STP no est funcionando, voc pode habilit-lo usando o comando spanning-tree vlan ID. Siga essas etapas para identificar e solucionar problemas de loops de encaminhamento: Etapa 1. Identifique que um loop de STP est ocorrendo. Quando um loop de encaminhamento tiver se desenvolvido na rede, estes so os sintomas habituais:

Perda de conectividade para, de e pelas regies de rede afetadas Alta utilizao de CPU em roteadores conectados a segmentos afetados ou VLANs Alta utilizao de link (geralmente 100 por cento) Alta utilizao de backplane de switch (comparado com a utilizao de linha de base) Mensagens de Syslog que indicam looping de pacote na rede (por exemplo, mensagens duplicadas de endereo IP de Protocolo de roteador de espera a quente) Mensagens de Syslog que indicam reaprendizado constante de endereo ou de mensagens de atraso de endereo MAC Aumento no nmero de descartes de sada em muitas interfaces

Etapa 2. Descubra a topologia (escopo) do loop.

A prioridade mais alta parar o loop e restaurar a operao da rede. Para parar o loop, voc deve saber quais portas esto envolvidas. Observe as portas com a mais alta utilizao de link (pacotes por segundo). O comando show interface exibe a utilizao para cada interface. Tenha certeza de registrar estas informaes antes de continuar para o prximo passo. Caso contrrio, poderia ser difcil determinar no futuro a causa do loop. Etapa 3. Quebre o loop. Feche ou desconecte as portas envolvidas uma de cada vez. Depois que voc desabilitar ou desconectar cada porta, verifique se a utilizao de backplane de switch est de volta ao nvel normal. Documente seus resultados. Lembre-se de que algumas portas podem no estar sustentando o loop, mas esto enviando o trfego que chega com o loop. Quando voc fecha essas portas de envio, s reduz a utilizao de blackplane a uma quantidade pequena, mas voc no interrompe o loop. Etapa 4. Localize e corrija a causa do loop. Determinar por que o loop comeou geralmente a parte mais difcil do processo, porque as razes podem variar. Tambm difcil formalizar um procedimento exato que funciona em todos os casos. Primeiro, investigue o diagrama de topologia para localizar um caminho redundante. Para cada switch no caminho redundante, verifique se h esses problemas:

O switch conhece a raiz de STP correta? A porta de raiz identificada corretamente? As unidades de dados de protocolo da bridge (BPDUs) so recebidas regularmente na porta de raiz e em portas que deveriam supostamente bloquear? As BPDUs so enviadas regularmente em portas designadas no-raiz?

Etapa 5. Restaure a redundncia. Depois de encontrar o dispositivo ou link que est causando o loop e o problema for resolvido, restaure os links redundantes que foram desconectados. Ns s mencionamos rapidamente o assunto de identificar e solucionar problemas de loops de STP. Identificar e solucionar problemas de loops e outros problemas de STP uma discusso complexa e detalhada que est alm do escopo deste curso. No entanto, se voc desejar saber mais sobre identificao e soluo de problemas de STP, consulte as observaes tcnicas excelentes visitando: http://cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080136673.sht ml#troubleshoot. Exibir meio visual

8.4.4 Identificao e soluo de problemas de camada de rede Pgina 1: Sintomas de problemas de camada de rede Problemas de camada de rede incluem todos os problemas que envolvem um protocolo de Camada 3, protocolos roteados e protocolos de roteamento. Este tpico concentra-se principalmente em protocolos de roteamento de IP. Problemas na camada de rede podem causar falhas de rede ou desempenho abaixo do nvel ideal. Falha de rede quando a rede est quase ou completamente sem funcionar, afetando todos os usurios e as aplicaes que usam a rede. Estas falhas normalmente so notadas rapidamente pelos usurios e pelos administradores de rede, e so obviamente crticas produtividade de uma empresa. Problemas de otimizao de rede normalmente envolvem um subconjunto de usurios, aplicaes, destinos ou um tipo especfico de trfego. Problemas de otimizao em geral podem ser mais difceis de detectar e at mais difceis de isolar e diagnosticar, porque eles normalmente envolvem vrias camadas ou at mesmo o prprio computador host. Determinar que o problema de camada de rede pode levar muito tempo. Exibir meio visual

Pgina 2: Soluo de problemas da camada 3 Na maioria das redes, rotas estticas so usadas em combinao com protocolos de roteamento dinmico. A configurao imprpria de rotas estticas pode levar a um roteamento abaixo do nvel ideal e, em alguns casos, criar loops de roteamento ou partes da rede podem ficar inalcanveis. Identificar e solucionar problemas de protocolos de roteamento dinmico exige uma compreenso completa de como funcionam os protocolos de roteamento especficos. Alguns problemas so comuns a todos os protocolos de roteamento, enquanto outros so especficos do protocolo de roteamento individual. No h nenhum modelo para resolver problemas de Camada 3. Problemas de roteamento so resolvidos com um processo metdico, usando uma srie de comandos para isolar e diagnosticar o problema. Aqui esto algumas reas para explorar ao diagnosticar um possvel problema que envolve protocolos de roteamento: Problemas gerais de rede

Geralmente uma mudana na topologia, como um link inativo, pode ter outros efeitos em outras reas da rede que podem no ser bvios no momento. Isto pode incluir a instalao de novas rotas, estticas ou dinmicas, remoo de outras rotas, e assim por diante. Alguns itens devem ser considerados: Algo mudou na rede recentemente? H algum trabalhando na infra-estrutura de rede nesse momento?

Problemas de conectividade Verifique se h algum problema nos equipamentos e na conectividade, inclusive problemas de alimentao como interrupes e problemas ambientais como superaquecimento. Verifique tambm se h problemas de Camada 1, como problemas de cabeamento, portas incorretas e problemas de ISP. Problemas de vizinhana Se o protocolo de roteamento estabelecer uma adjacncia com um vizinho, verifique se h problemas com os roteadores que formam as relaes de vizinhana. Banco de dados de topologia Se o protocolo de roteamento usar uma tabela de topologia ou banco de dados, procure na tabela algo inesperado, como entradas faltando ou inesperadas. Tabela de roteamento Procure na tabela de roteamento algo inesperado, como rotas faltando ou inesperadas. Use comandos debug para exibir atualizaes de roteamento e manuteno de tabela de roteamento. Exibir meio visual

8.4.5 Identificao e soluo de problemas de camada de transporte Pgina 1: Problemas comuns de lista de acesso

Problemas de rede podem ocorrer devido a problemas de camada de Transporte no roteador, particularmente na extremidade da rede onde as tecnologias de segurana podem estar examinando e modificando o trfego. Esse tpico discute duas das tecnologias de segurana de camada de Transporte mais comumente implementadas. Elas so as Listas de Controle de Acesso (ACLs) e a Traduo de Endereo de Rede (NAT). Clique no boto Problemas de lista de acesso na figura. Os problemas mais comuns com ACLs so causados por configurao imprpria. H oito reas onde as configuraes incorretas geralmente ocorrem: Seleo de fluxo de trfego A configurao incorreta de roteador mais comum est aplicando a ACL ao trfego incorreto. O trfego definido pela interface do roteador pela qual o trfego est passando e tambm pela direo na qual este trfego est passando. Uma ACL deve ser aplicada interface correta e a direo correta de trfego deve ser selecionada para funcionar corretamente. Se o roteador estiver executando ACLs e NAT, a ordem na qual cada uma destas tecnologias aplicada a um fluxo de trfego ser importante: O trfego de entrada processado pela ACL de entrada antes de ser processado pela NAT de fora para dentro. O trfego de sada processado pela ACL de sada depois de ser processado pela NAT de dentro para fora.

Ordem de elementos de controle de acesso Os elementos em uma ACL devem ser de especfico para geral. Embora uma ACL possa ter um elemento para permitir especificamente um fluxo de trfego determinado, os pacotes nunca correspondero quele elemento se eles estiverem sendo negados por outro elemento anterior na lista. Negar tudo implicitamente Em uma situao onde a segurana alta no exigida na ACL, esquecer este elemento de controle de acesso implcito pode ser a causa de uma configurao incorreta de ACL. Endereos e mscaras curinga Mscaras curinga complexas fornecem melhorias significativas em eficincia, mas so mais sujeitas a erros de configurao. Um exemplo de uma mscara curinga complexa usar o endereo 10.0.32.0 e a mscara curinga 0.0.32.15 para selecionar os primeiros 15 endereos de host na rede 10.0.0.0 ou na rede 10.0.32.0.

Seleo de protocolo de camada de transporte Ao configurar as ACLs, importante que somente os protocolos de camada de transporte corretos sejam especificados. Muitos engenheiros de rede, quando no tm certeza se um fluxo de trfego especfico usa uma porta TCP ou uma porta UDP, configuram ambas. Especificar ambas abre um buraco pelo firewall, possivelmente dando aos invasores uma avenida de acesso rede. Tambm introduz um elemento adicional na ACL, de forma que a ACL leva mais tempo para processar, introduzindo mais latncia nas comunicaes da rede. Portas de origem e destino Controlar o trfego corretamente entre dois hosts requer elementos de controle de acesso simtricos para ACLs de entrada e de sada. As informaes de endereo e porta para trfego gerado por um host que responde so uma imagem espelhada das informaes de endereo e porta para o trfego gerado pelo host que iniciou. Uso da palavra-chave established A palavra-chave established aumenta a segurana fornecida por uma ACL. Porm, se a palavra-chave for aplicada a uma ACL de sada, resultados inesperados podero ocorrer. Protocolos incomuns ACLs configuradas incorretamente geralmente causam problemas para protocolos menos comuns que TCP e UDP. Protocolos incomuns que esto ganhando popularidade so VPN e protocolos de criptografia. Soluo de problemas de listas de controle de acesso Um comando til para exibir o funcionamento de ACL a palavra-chave log em entradas de ACL. Esta palavra-chave instrui o roteador a colocar uma entrada no log de sistema sempre que aquela condio de entrada correspondida. O evento registrado inclui detalhes do pacote que correspondeu ao elemento de ACL. A palavra-chave log especialmente til para identificar e solucionar problemas, e tambm fornece informaes sobre tentativas de invaso que so bloqueadas pela ACL. Exibir meio visual

Pgina 2: Problemas NAT comuns

O maior problema com todas as tecnologias de NAT a interoperabilidade com outras tecnologias de rede, principalmente os que contm ou derivam informaes de endereamento de rede de host no pacote. Algumas destas tecnologias incluem:

BOOTP e DHCP - Ambos os protocolos gerenciam a atribuio automtica de endereos IP a clientes. Lembre-se de que o primeiro pacote que o cliente novo envia um pacote IP de broadcast de solicitao DHCP. O pacote de solicitao DHCP tem um endereo IP de origem de 0.0.0.0. Como o NAT exige um endereo IP vlido de destino e origem, BOOTP e DHCP podem ter dificuldade para funcionar em um roteador que executa o NAT esttico ou dinmico. Configurar o recurso de ajuda de IP pode ajudar a resolver este problema. DNS e WINS - Como um roteador que executa NAT dinmico altera regularmente a relao entre endereos de entrada e sada j que as entradas de tabela expiram e so recriadas, um servidor DNS ou WINS fora do roteador de NAT no tem uma representao precisa da rede dentro do roteador. Configurar o recurso de ajuda de IP pode ajudar a resolver este problema. SNMP - Da mesma maneia que ocorre com os pacotes de DNS, o NAT no pode alterar as informaes de endereamento armazenadas na payload de dados do pacote. Por causa disto, uma estao de gerenciamento de SNMP em um lado de um roteador de NAT pode talvez no ser capaz de contactar os agentes de SNMP no outro lado do roteador de NAT. Configurar o recurso de ajuda de IP pode ajudar a resolver este problema. Protocolos de tunelamento e criptografia - Os protocolos de criptografia e tunelamento geralmente exigem que o trfego seja gerado de uma porta UDP ou TCP especfica, ou use um protocolo na camada de Transporte que no pode ser processado pelo NAT. Por exemplo, os protocolos de tunelamento de IPsec e os protocolos genricos de encapsulamento de roteamento usados por implementaes de VPM no podem ser processados pelo NAT. Se os protocolos de criptografia e tunelamento devem ser executados por um roteador NAT, o administrador de rede poder criar uma entrada NAT esttica para a porta necessria para um nico endereo IP na parte de dentro do roteador NAT.

Se os protocolos de criptografia e tunelamento devem ser executados por um roteador NAT, o administrador de rede poder criar uma entrada NAT esttica para a porta necessria para um nico endereo IP na parte de dentro do roteador NAT. Um dos erros de configurao de NAT mais comuns esquecer que o NAT afeta tanto o trfego de entrada como o de sada. Um administrador de rede sem experincia poderia configurar uma entrada de NAT esttica para redirecionar o trfego de entrada para um host de backup especfico interno. Esta instruo de NAT esttica tambm altera o endereo de origem do trfego daquele host, resultando possivelmente em comportamentos indesejveis e inesperados ou em operao abaixo do nvel ideal. Temporizadores configurados de modo inadequado tambm podem resultar em comportamento de rede inesperado e operao abaixo do nvel ideal de NAT dinmico. Se os temporizadores de NAT forem muito curtos, as entradas na tabela de NAT podero expirar antes de as respostas serem recebidas, de forma que os pacotes so

descartados. A perda de pacotes gera novas transmisses, consumindo mais largura de banda. Se os temporizadores forem muito longos, as entradas podero ficar na tabela de NAT mais tempo que o necessrio, consumindo o conjunto de conexo disponvel. Em redes ocupadas, isto poder levar a problemas de memria no roteador e os hosts podero no ser capazes de estabelecer conexes se a tabela de NAT dinmica estiver cheia. Consulte o Captulo 7, "Servios de endereamento IP" para obter detalhes adicionais sobre como identificar e solucionar problemas de configurao de NAT. Exibir meio visual

8.4.6 Identificao e soluo de problemas de camada de aplicativo Pgina 1: Viso geral da camada de aplicativo A maioria dos protocolos de camada de aplicativo fornece servios de usurio. Os protocolos de camada de aplicativo so usados normalmente para gerenciamento de rede, transferncia de arquivos, servios de arquivo distribudos, emulao de terminal e email. Porm, so adicionados freqentemente novos servios de usurio, como VPNs, VoIP, e assim por diante. Os mais conhecidos e implementados protocolos de camada de aplicativo de TCP/IP incluem:

Telnet - Permite que os usurios estabeleam conexes de sesso de terminal com hosts remotos. HTTP - Suporta a troca de texto, imagens grficas, som, vdeo e outros arquivos de multimdia na Web. FTP - Executa transferncias de arquivo interativas entre hosts. TFTP - Executa transferncias de arquivo interativas bsicas normalmente entre hosts e dispositivos de rede. SMTP - Suporta servios bsicos de entrega de mensagem. POP - Conecta-se a servidores de email e baixa email. Protocolo de gerenciamento de rede comum (SNMP) - Reune informaes de gerenciamento de dispositivos de rede. DNS - Mapeia endereos IP para os nomes atribudos a dispositivos de rede. Sistema de arquivos de rede (NFS) - Permite que computadores montem unidades em hosts remotos e os operem como se elas fossem unidades locais. Originalmente desenvolvido pela Sun Microsystems, ele se combina com dois outros protocolos de camada de aplicativo, representao de dados externa (XDR) e chamada de procedimento remoto (RPC), para permitir acesso transparente a recursos de rede remota.

Clique no boto Protocolos e portas de aplicativos na figura para exibir uma lista de protocolos de aplicativo e as portas associadas. Exibir meio visual

Pgina 2: Sintomas de problemas da camada de aplicativo Os problemas de camada de aplicativo impedem que os servios sejam fornecidos aos programas. Um problema na camada de aplicativo pode resultar em recursos inalcanveis ou inutilizveis quando as camadas fsica, de enlace de dados, de rede e de transporte estiverem funcionando. possvel ter conectividade de rede total, mas o aplicativo simplesmente no pode fornecer dados. Outro tipo de problema na camada de aplicativo ocorre quando as camadas fsica, de enlace de dados, de rede e de transporte esto funcionando, mas a transferncia de dados e as solicitaes para servios de rede de um nico servio de rede ou aplicativo no atende as expectativas normais de um usurio. Um problema na camada de aplicativo pode fazer os usurios reclamarem que a rede ou o aplicativo especfica com a qual eles esto trabalhando est lenta ou mais lenta que o habitual para transferir dados ou solicitar servios de rede. A figura mostra alguns dos possveis sintomas de problemas de camada de aplicativo. Exibir meio visual

Pgina 3: Identificao e soluo de problemas de aplicativo O mesmo processo geral de identificao e soluo de problemas que usado para isolar problemas nas camadas inferiores tambm pode ser usado para isolar problemas na camada de aplicativo. Os conceitos so os mesmos, mas o foco tecnolgico agora envolve coisas como conexes recusadas ou expiradas, listas de acesso e problemas de DNS. As etapas para solucionar problemas de camada de aplicativo so as seguintes: Etapa 1. Execute ping no gateway padro.

Se for bem-sucedido, isso significa que os servios de Camada 1 e Camada 2 esto funcionando corretamente. Etapa 2. Verificar a conectividade fim-a-fim. Use um ping estendido se estiver tentando fazer ping de um roteador Cisco. Se for bemsucedido, isso significa que a Camada 3 est funcionando corretamente. Se as Camadas 1-3 esto funcionando corretamente, o problema deve existir em uma camada mais alta. Etapa 3. Verifique a lista de acesso e a operao NAT. Para identificar e solucionar problemas de listas de controle de acesso, siga os passos seguintes:

Use o comando show access-list. Existe algum ACL que poderia estar parando trfego? Observe quais listas de acesso tm correspondncias. Desmarque os contadores de lista de acesso com o comando clear access-list counters e tente estabelecer uma conexo novamente. Verifique os contadores de lista de acesso. Algum deles aumentou? Eles deveriam aumentar?

Para identificar e solucionar problemas do NAT, siga os passos seguintes:


Use o comando show ip nat translations. H alguma traduo? As tradues so como o esperado? Desmarque as tradues de NAT com o comando clear ip nat translation * e tente acessar o recurso externo novamente. Use o comando debug ip nat e examine a sada. Observe o arquivo de configurao em execuo. Os comandos ip nat inside e ip nat outside esto localizados nas interfaces corretas? O conjunto NAT est configurado corretamente? A ACL est identificando os hosts corretamente?

Se as ACLs e a NAT esto funcionando como o esperado, o problema deve ser em uma camada mais alta. Etapa 4. Identifique e solucione problemas de conectividade de protocolo de camada superior. Embora possa haver conectividade de IP entre uma origem e um destino, problemas ainda podem existir para um protocolo de camada superior especfico, como FTP, HTTP ou Telnet. Estes protocolos esto no topo do transporte IP bsico, mas esto sujeitos a problemas especficos de protocolo em relao a filtros de pacote e firewalls. possvel que tudo exceto email funcione entre uma determinada origem e um destino.

Identificar e solucionar um problema de conectividade de protocolo de camada superior exige um entendimento do processo do protocolo. Estas informaes normalmente esto localizadas no RFC mais recente para o protocolo ou na pgina da Web do desenvolvedor. Exibir meio visual

Pgina 4: Corrigindo problemas de camada de aplicativo As etapas para corrigir problemas de camada de aplicativo so as seguintes: Etapa 1: Faa backup. Antes de continuar, verifique se uma configurao vlida foi salva em algum dispositivo no qual a configurao possa ser modificada. Isto facilita a recuperao a um estado inicial conhecido. Etapa 2: Faa uma mudana de configurao inicial de hardware ou software. Se a correo exigir mais de uma alterao, faa uma alterao de cada vez. Etapa 3: Avalie e documente cada alterao e os resultados. Se os resultados de qualquer etapa de soluo de problemas no forem bem-sucedidos, desfaa imediatamente as alteraes. Se o problema for intermitente, espere para ver se o problema ocorre novamente antes de avaliar o efeito de qualquer alterao. Etapa 4: Determine se a alterao resolve o problema. Verifique se a alterao de fato resolve o problema sem introduzir nenhum problema novo. A rede deve voltar operao de linha de base e nenhum sintoma novo ou antigo deve ser observado. Se o problema no for resolvido, desfaa todas as alteraes. Se forem descobertos problemas novos ou adicionais, modifique o plano de correo. Etapa 5: Pare quando o problema for resolvido. Pare de fazer alteraes quando o problema original for resolvido. Etapa 6: Se necessrio, obtenha assistncia de recursos externos. Pode ser de um colega de trabalho, um consultor ou o Cisco Technical Assistance Center (TAC). Em ocasies raras, pode necessrio realizar um core dump, para criar uma sada de comando que um especialista da Cisco Systems pode analisar. Etapa 7: Documente. Depois que o problema for resolvido, documente a soluo. Exibir meio visual

Pgina 5: Para concluir esta atividade com xito, voc precisa da documentao final da Atividade PT 8.1.2: Deteco de rede e documentao concluda anteriormente neste captulo. Esta documentao deve ter uma tabela de endereamento e um diagrama de topologia precisos. Se voc no tiver essa documentao, pea a seu instrutor verses precisas. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

8.5 Laboratrios do Captulo


8.5.1 Identificao e soluo de problemas de rede da empresa 1 Pgina 1: Foi solicitado que voc corrija os erros de configurao na rede da empresa. Para este laboratrio, no use a proteo por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenrio. Observao: Como este laboratrio cumulativo, voc usar todo o conhecimento e as tcnicas de soluo de problemas aprendidas no material anterior para concluir este laboratrio com xito. Exibir meio visual

Pgina 2: Esta atividade uma variao do Laboratrio 8.5.1. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamentos reais. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

8.5.2 Identificao e soluo de problemas de rede da empresa 2 Pgina 1: Para este laboratrio, no use a proteo por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Utilize ciscoccna em todas as senhas deste laboratrio. Observao: Como este laboratrio cumulativo, voc usar todo o conhecimento e as tcnicas de soluo de problemas aprendidas no material anterior para concluir este laboratrio com xito. Exibir meio visual

Pgina 2: Esta atividade uma variao do Laboratrio 8.5.2. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamentos reais. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

8.5.3 Identificao e soluo de problemas de rede da empresa 3 Pgina 1: Para este laboratrio, no use a proteo por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenrio. Observao: Como este laboratrio cumulativo, voc usar todo o conhecimento e as tcnicas de soluo de problemas aprendidas no material anterior para concluir este laboratrio com xito. Exibir meio visual

Pgina 2:

Esta atividade uma variao do Laboratrio 8.5.3. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamentos reais. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

8.6 Resumo do captulo


8.6.1 Resumo do captulo Pgina 1: Neste captulo, voc aprendeu que uma linha de base de rede necessria para identificar e solucionar problemas de forma eficaz. Para criar uma linha de base, necessrio primeiro garantir que a documentao de rede esteja atualizada e precisa. Uma documentao de rede apropriada inclui uma tabela de configurao de rede para todos os dispositivos e um diagrama de topologia que reflete o estado atual da rede. Quando a rede tiver sido documentada completamente, uma medio de linha de base de desempenho da rede deve ser realizada por um perodo de vrias semanas a um ms para estabelecer a personalidade da rede. A primeira linha de base criada durante um momento de funcionamento normal e estvel. O modo mais eficaz de solucionar problemas realizar uma abordagem sistemtica usando um modelo de camadas, como o modelo OSI ou o modelo TCP/IP. Trs mtodos geralmente usados para identificar e solucionar problemas inclui De baixo para cima, De cima para baixo, e Dividir e conquistar. Cada mtodo tem suas vantagens e desvantagens e voc aprendeu as diretrizes para escolher qual mtodo deve aplicar. Voc tambm aprendeu sobre as vrias ferramentas de software e hardware que so usadas por profissionais de rede para reunir sintomas e solucionar problemas de rede. Embora eles funcionem principalmente nas trs primeiras camadas de OSI, as WANs tm problemas de implementao que podem afetar a operao do resto da rede. Voc aprendeu sobre algumas das consideraes para implementar as WANs e os problemas comuns que as WANs introduzem nas redes, como ameaas de segurana, problemas de largura de banda, latncia e problemas de QoS. Por fim, voc explorou os sintomas e as causas de problemas comuns em cada camada de OSI, e as etapas para identificar e solucionar os problemas. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Nesta atividade de habilidades CCNA abrangente, a Corporao XYZ usa uma combinao de Frame Relay e PPP para conexes WAN. O roteador HQ fornece acesso ao farm de servidores e Internet atravs do NAT. O HQ tambm usa uma ACL bsica de firewall para filtrar o trfego de entrada. Cada roteador de filial configurado para o roteamento inter-VLAN e DHCP. O roteamento obtido por meio de EIGRP, bem como rotas estticas e padro. As VLANs, o VTP e o STP so configurados em cada uma das redes comutadas. A segurana de porta habilitada, e o acesso sem fio fornecido. Seu trabalho implementar com xito todas estas tecnologias, aproveitando o que voc aprendeu ao longo dos quatro cursos de explorao at esta atividade final. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

8.7 Teste do captulo


8.7.1 Teste do captulo Pgina 1: Exibir meio visual