7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 1/350

CCNA Exploration - Acessando a WAN1 Introdução a WANs1.0 Introdução do capítulo1.0.1 Introdução do capítulo

Página 1:

Quando uma empresa começa a incluir filiais, serviços de comércio eletrônico ouoperações globais, uma única rede LAN (rede local) deixa de ser suficiente para atender a seus requisitos de negócios. O acesso à rede remota (WAN) se tornou essencial paraas grandes empresas atuais.

Há várias tecnologias WAN para atender às diferentes necessidades de negócios e

muitas formas de escalar a rede. Adicionar acesso à WAN apresenta outrasconsiderações, como segurança de rede e gerenciamento de endereço. Dessa forma, projetar uma WAN e escolher os serviços corretos de rede não são questões simples.

 Neste capítulo, você começará a explorar algumas das opções disponíveis para projetar WANs empresariais, as tecnologias disponíveis para implementá-las e a terminologiautilizada para abordá-las. Você obterá informações sobre como selecionar tecnologiasWAN apropriadas, serviços e dispositivos para atender aos requisitos de negócios deuma empresa em expansão. As atividades e os laboratórios confirmam e reforçam suaaprendizagem.

Concluindo este capítulo, você poderá identificar e descrever as tecnologias WANapropriadas para habilitar serviços WAN integrados em uma rede corporativa em várioslocais.

Exibir meio visual 

1.1 Prestando serviços integrados à empresa1.1.1 Apresentando redes remotas (WANs)

Página 1:

O que é uma WAN?

WAN é uma rede de comunicação de dados que funciona além do escopo geográfico deuma rede local.

As WANs são diferentes das redes locais em vários aspectos. Enquanto uma rede localconecta computadores, periféricos e outros dispositivos em um único prédio ou outraárea geográfica menor, uma WAN permite a transmissão dos dados em distânciasgeográficas maiores. Além disso, uma empresa deve contratar um provedor de serviço

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 2/350

WAN para utilizar os serviços de rede dessa operadora. As redes locais costumam ser da companhia ou organização que as utilizam.

As WANs utilizam instalações fornecidas por um provedor de serviços ou operadora,como uma companhia telefônica ou empresa de cabeamento, para conectar os locais deuma organização aos locais de outras organizações, a serviços externos e a usuáriosremotos. As WANs normalmente transportam vários tipos de tráfego, como voz, dadose vídeo.

Aqui estão as três principais características das WANs:

• As WANs normalmente conectam dispositivos separados por uma áreageográfica maior do que a que pode ser atendida por uma rede local.

• As WANs utilizam os serviços das operadoras, como companhias telefônicas,

empresas de TV a cabo, sistemas de satélites e provedores de rede.• As WANs utilizam conexões seriais de vários tipos para fornecer acesso à

largura de banda em grandes áreas geográficas.

Por que as WANs são necessárias?

As tecnologias de rede local fornecem velocidade e economia na transmissão de dadosem organizações em áreas geográficas relativamente pequenas. No entanto, há outrasnecessidades de negócios que precisam de comunicação entre locais remotos, inclusive

as seguintes:

• As pessoas no escritório regional ou nas filiais de uma organização precisam ser capazes de se comunicar e compartilhar dados com o local central.

• As organizações normalmente desejam compartilhar informações com outrasorganizações em grandes distâncias. Por exemplo, fabricantes de softwaresempre comunicam informações sobre produtos e promoções aos distribuidoresque vendem seus produtos para usuários finais.

• Os funcionários que viajam a negócios sempre precisam acessar informações presentes em suas redes corporativas.

Além disso, os usuários de computadores domésticos precisam enviar e receber dadosem distâncias cada vez maiores. Aqui estão alguns exemplos:

• Agora é comum em muitas residências que os clientes se comuniquem com bancos, lojas e vários fornecedores de mercadorias e serviços via computadores.

• Os alunos realizam pesquisas relativas às aulas acessando índices de bibliotecase publicações localizados em outras partes do país, além de outras partes domundo.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 3/350

Como obviamente não é possível conectar computadores em um país ou em todo omundo da mesma forma que os computadores são conectados em uma rede local comcabos, surgiram tecnologias diferentes para atender a essa necessidade. Cada vez mais, aInternet está sendo utilizada como uma alternativa barata à utilização de uma WANcorporativa em alguns aplicativos. Há novas tecnologias disponíveis para as empresas

fornecerem segurança e privacidade em suas comunicações e transações na Internet. AsWANs utilizadas por elas mesmas, ou em conjunto na Internet, permitem aorganizações e indivíduos atender a suas necessidades de comunicação remota.

Exibir meio visual 

1.1.2 A empresa em evolução

Página 1:

Empresas e suas redes

 Na medida em que as empresas crescem, elas contratam mais funcionários, abrem filiaise atingem mercados globais. Essas alterações também influenciam seus requisitos deserviços integrados e orientam seus requisitos de rede. Neste tópico, iremos explorar como as redes corporativas são alteradas para acomodar seus requisitos de negócios emalteração.

Todo negócio é único e como uma organização cresce depende de muitos fatores, comoo tipo de produtos ou serviços vendidos pela empresa, a filosofia de gerenciamento dos

 proprietários e o clima econômico do país no qual a empresa atua.

Em momentos de crise econômica, muitas empresas se concentram em diminuir sualucratividade, aumentando a eficiência de suas operações existentes, a produtividade defuncionários e diminuindo os custos operacionais. Estabelecer e gerenciar redes poderepresentar despesas significativas de instalação e funcionamento. Para justificar essagrande despesa, as empresas esperam que suas redes apresentem o desempenho ideal esejam capazes de oferecer um conjunto cada vez maior de serviços e aplicativos parasuportar a produtividade e a lucratividade.

Para ilustrar, vejamos um exemplo de uma empresa fictícia chamada Span Engineeringe como seus requisitos de rede mudam na medida em que a empresa cresce de um pequeno negócio local para uma empresa global.

Clique nas guias na figura para ver cada estágio de crescimento e a topologia de redeassociada.

Pequeno escritório (rede local única)

A Span Engineering, uma empresa de consultoria ambiental, desenvolveu um processoespecial de conversão do lixo doméstico em eletricidade e está desenvolvendo um

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 4/350

 pequeno projeto piloto para uma prefeitura em sua região. A empresa, que já está nosetor há quatro anos, cresceu e incluiu 15 funcionários: seis engenheiros, quatrodesigners de desenho auxiliado por computador (CAD), uma recepcionista, dois

 parceiros seniores e dois auxiliares administrativos.

O gerenciamento da Span Engineering espera ter projetos em escala completa depoisque o projeto piloto demonstrar a viabilidade de seu processo. Até lá, a empresa devegerenciar seus custos com cuidado.

Para seu pequeno escritório, a Span Engineering utiliza uma única rede local paracompartilhar informações entre computadores e dividir periféricos, como umaimpressora, uma plotadora em larga escala (para imprimir desenhos de engenharia) eum aparelho de fax. Recentemente, eles atualizaram sua rede local para fornecer umserviço barato de Voice over IP (VoIP, Voz sobre IP) e economizar os custos de linhastelefônicas separadas para seus funcionários.

A conexão com a Internet é feita por meio de um serviço de banda larga comumchamado linha digital do assinante (DSL), fornecido por sua operadora de telefonialocal. Com tão poucos funcionários, largura de banda não é um problema significativo.

A empresa não pode pagar uma equipe de suporte interna de tecnologia da informação(TI) e utiliza serviços de suporte contratados da mesma operadora. A empresa tambémutiliza um serviço de hospedagem, em vez de comprar e operar seu próprio FTP e seusservidores de e-mail. A figura mostra um exemplo de um pequeno escritório e sua rede.

Campus (várias redes locais)

Cinco anos depois, e a Span Engineering já cresceu rapidamente. Como os proprietáriosesperavam, a empresa foi contratada para projetar e implementar uma instalação dereciclagem de lixo completa logo depois da implementação bem-sucedida do primeiro

 plano piloto. Desde então, outros projetos também foram ganhos em prefeiturasvizinhas e em outras regiões do país.

Para lidar com a carga de trabalho adicional, a empresa contratou mais pessoas e alugoumais salas. Agora ela é uma empresa de pequeno a médio porte com cerca de cemfuncionários. Muitos projetos estão sendo desenvolvidos simultaneamente e cada umexige um gerente de projeto e uma equipe de suporte. A empresa se organizou emdepartamentos funcionais, com cada um tendo sua própria equipe organizacional. Paraatender às necessidades crescentes, a empresa se mudou para vários andares de umedifício comercial maior.

 Na medida em que a empresa se expandiu, a rede também cresceu. Em vez de umaúnica rede local pequena, a rede agora consiste em várias sub-redes, cada uma destinadaa um departamento diferente. Por exemplo, toda a equipe de engenharia está em uma

rede local, e a equipe de marketing está em outra. Essas várias redes locais são unidas

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 5/350

 para criar uma rede de empresa completa, ou campus, que ocupa vários andares do prédio.

Agora a empresa tem um pessoal de TI interno para suporte e manutenção da rede. Arede inclui servidores de email, transferência de dados e armazenamento de arquivos,ferramentas de produtividade baseadas na Web e aplicativos, bem como a intranetcorporativa para fornecer documentos internos e informações aos funcionários. Alémdisso, a empresa tem uma extranet que fornece informações de projeto apenas paraclientes designados.

Filial (WAN)

Passados mais cinco anos, a Span Engineering foi tão bem-sucedida em seu processo patenteado que a demanda por seus serviços cresceu enormemente, e novos projetos

agora estão sendo feitos em outras cidades. Para gerenciar esses projetos, a empresaabriu pequenas filiais próximas dos locais dos projetos.

Essa situação apresenta novos desafios à equipe de TI. Para gerenciar a distribuição deinformações e serviços em toda a empresa, a Span Engineering agora conta com umacentral de dados, que mantém os vários bancos de dados e servidores corporativos. Paraassegurar que todas as partes da empresa sejam capazes de acessar os mesmos serviçose aplicativos, independentemente de onde estejam localizados os escritórios, agora aempresa precisa implementar uma WAN.

Para suas filiais nas cidades próximas, a empresa optou por utilizar  linhas dedicadas privadas por meio da sua operadora local. No entanto, para esses escritórios localizadosem outros países, a Internet agora é uma opção de conexão WAN atraente. Emboraconectar os escritórios por meio da Internet seja econômico, isso suscita problemas desegurança e privacidade que a equipe de TI deve resolver.

Distribuição (global)

A Span Engineering agora já está no setor há 20 anos e chegou a milhares defuncionários distribuídos em escritórios ao redor do mundo. O custo da rede e de seusserviços relacionados agora é uma despesa significativa. Agora a empresa está

 procurando fornecer a seus funcionários os melhores serviços de rede ao menor custo.Os serviços de rede otimizados permitiriam a cada funcionário trabalhar com maiseficiência.

Para aumentar a lucratividade, a Span Engineering precisa reduzir suas despesasoperacionais. Ela realocou algumas de suas filiais para áreas mais baratas. A empresatambém está incentivando que os funcionários trabalhem remotamente e criem equipesvirtuais. Aplicativos baseados na Web, inclusive conferência na Web, e-learning eferramentas colaborativas on-line, estão sendo utilizados para aumentar a produtividade

e reduzir custos. Redes virtuais privadas (VPNs) ponto-a-ponto e de acesso remoto permitem à empresa utilizar a Internet para se conectar de maneira fácil e com

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 6/350

segurança a funcionários e instalações em todo o mundo. Para atender a esses requisitos,a rede deve fornecer os serviços convergidos necessários e proteger a conectividadeWAN de Internet com filiais e indivíduos.

Como vimos nesse exemplo, os requisitos de rede de uma empresa podem mudar drasticamente na medida em que a empresa cresce. Distribuir funcionários economizacustos de muitas formas, mas aumenta a demanda na rede. Uma rede deve não apenasatender às necessidades operacionais do dia-a-dia da empresa, mas também precisa ser capaz de se adaptar e crescer na medida em que a empresa muda. Os programadores derede e os administradores superam esses desafios escolhendo cuidadosamente astecnologias de rede, os protocolos e os provedores de serviço e otimizando suas redescom muitas das técnicas que ensinamos nesta série de cursos. O próximo tópicodescreve um modelo de rede para projetar redes capazes de acomodar as mudançascontínuas nas necessidades das empresas atuais em evolução.

Exibir meio visual 

1.1.3 O modelo de rede em evolução

Página 1:

O modelo de design hierárquico

O modelo de rede hierárquico é uma ferramenta útil de alto nível para projetar umainfra-estrutura de rede confiável. Ele fornece uma exibição modular de uma rede, o quefacilita o projeto e a criação de uma rede escalável.

O modelo de rede hierárquico

Como você deve se lembrar do CCNA Exploration: Comutação de Rede Local eWireless, o modelo de rede hierárquico divide uma rede em três camadas:

• Camada de acesso – concede acesso ao usuário a dispositivos de rede. Em umcampus de rede, a camada de acesso costuma incorporar dispositivos de rede

local comutados com portas que fornecem conectividade a estações de trabalho eservidores. No ambiente WAN, ele pode fornecer a funcionários remotos ousites remotos o acesso à rede corporativa em toda a tecnologia WAN.

• Camada de distribuição – agrega os wiring closets, utilizando switches paradividir os grupos de trabalho em segmentos e isolar problemas de rede em umambiente de campus. Da mesma forma, a camada de distribuição agregaconexões WAN na borda do campus e fornece conectividade baseada na

 política.

• Camada do núcleo (também conhecida como o backbone) – um backbone dealta velocidade projetado para comutar   pacotes o mais rápido possível. Como onúcleo é essencial para conectividade, ele deve fornecer um alto nível de

disponibilidade e se adaptar a alterações muito rapidamente. Ele também forneceescalabilidade e convergência rápida.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 7/350

Clique no botão Exemplo de topologia na figura.

A figura representa o modelo de rede hierárquico em ambientes de campus. O modelo

de rede hierárquico fornece uma estrutura modular que garante flexibilidade no projetode rede e facilita a implementação e a solução de problemas na infra-estrutura. Noentanto, é importante compreender que a infra-estrutura de rede só é a base de umaarquitetura mais ampla.

As tecnologias de networking avançaram consideravelmente nos últimos anos, o queresulta em redes cada vez mais inteligentes. Os elementos de rede atuais têm maiscaracterísticas de tráfego, podendo ser configurados para fornecer serviçosespecializados com base em coisas como os tipos de dados transportados, a prioridadedos dados e até mesmo as necessidades de segurança. Embora grande parte dessesserviços de infra-estrutura estejam fora do escopo desse curso, é importantecompreender que eles influenciam o projeto da rede. No próximo tópico, iremosexplorar a arquitetura corporativa Cisco, que expande o modelo hierárquico, utilizandoa inteligência de rede para abordar a infra-estrutura de rede.

Exibir meio visual 

Página 2:

A arquitetura corporativa

Conforme descrito anteriormente, empresas diferentes precisam de tipos de redesdistintos, dependendo da forma como a empresa é organizada e suas metas de negócios.Infelizmente, é muito comum que as redes cresçam de maneira desordenada na medidaem que novos componentes são adicionados em resposta a necessidades imediatas. Como passar do tempo, essas redes se tornam muito complexas e caras de gerenciar. Como arede é uma mistura de tecnologias mais novas e mais antigas, ela pode ser difícil desuportar e manter. Quedas e um mau desempenho são uma fonte constante de problemas

 para administradores de rede. 

Para ajudar a impedir essa situação, a Cisco desenvolveu uma arquitetura recomendada

chamada Cisco Enterprise Architecture (Arquitetura corporativa Cisco) com soluções para diferentes estágios de crescimento de uma empresa. Essa arquitetura foi projetada para fornecer a projetistas de rede um roteiro para a expansão da rede à medida que aempresa passa por estágios diferentes. Seguindo o roteiro sugerido, os gerentes de TI

 podem planejar atualizações de rede futuras que irão se integrar plenamente à redeexistente e suportar a necessidade cada vez maior de serviços.

Estes são alguns exemplos dos módulos dentro da arquitetura relevantes para o cenárioda Span Engineering descrito anteriormente:

• Arquitetura de campus corporativa

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 8/350

• Arquitetura de filial corporativa

• Arquitetura da central de dados corporativa

• Arquitetura de funcionário remoto corporativa

Exibir meio visual 

Página 3:

Módulos na arquitetura corporativa

A arquitetura corporativa Cisco consiste em módulos que representam visões focadasem cada local da rede. Cada módulo tem uma infra-estrutura de rede distinta comserviços e aplicativos de rede que se estendem pelos módulos. A Arquiteturacorporativa Cisco inclui os módulos a seguir.

Passe o mouse sobre cada módulo na figura.

Arquitetura de campus corporativa

Uma rede de campus é um edifício ou um grupo de edifícios conectados a uma redecorporativa que consiste em muitas redes locais. Um campus costuma ser limitado auma área geográfica fixa, mas pode abranger vários edifícios vizinhos, por exemplo, umcomplexo industrial ou um ambiente de parque comercial. No exemplo da Span

Engineering, o campus abrangia vários andares do mesmo prédio.

A arquitetura de campus corporativo descreve os métodos recomendados para criar umarede escalável, ao mesmo tempo em que atende às necessidades de operaçõescomerciais ao estilo do campus. A arquitetura é modular, podendo ser facilmenteexpandida para incluir edifícios ou andares de campus adicionais na medida em que aempresa cresce.

Arquitetura de borda corporativa

Este módulo oferece conectividade a serviços de voz, de vídeo e de dados fora daempresa. Este módulo permite à empresa utilizar a Internet e os recursos de parceiros,além de fornecer recursos para seus clientes. Este módulo normalmente funciona comouma ligação entre o módulo de campus e os demais módulos na arquitetura corporativa.A arquitetura WAN corporativa e da rede de área metropolitana (MAN) cujastecnologias serão abordadas posteriormente neste curso, sendo consideradas parte destemódulo.

Arquitetura de filial corporativa

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 9/350

Este módulo permite às empresas estenderem os aplicativos e os serviços encontradosno campus a milhares de locais remotos e usuários ou a um grupo pequeno de filiais.Grande parte deste curso se concentra nas tecnologias mais implementadas nestemódulo.

Arquitetura da central de dados corporativa

As centrais de dados são responsáveis por gerenciar e manter os muitos sistemas dedados vitais para operações comerciais modernas. Funcionários, parceiros e clientesdependem de dados e recursos na central de dados para criar, colaborar e interagir demaneira eficiente. Na última década, o crescimento das tecnologias baseadas na Web eda Internet tornou a central de dados mais importante do que nunca, aumentando a

 produtividade, melhorando processos da empresa e agilizando alterações.

Arquitetura de funcionário remoto corporativa

Muitas empresas atuais oferecem um ambiente de trabalho flexível a seus funcionários,o que os permite trabalharem remotamente em seus escritórios em casa. Trabalhar remotamente é aproveitar os recursos de rede corporativa em casa. O módulo defuncionário remoto recomenda que as conexões domésticas que utilizam serviços de

 banda larga, como modem a cabo ou DSL se conectem à Internet e dela à redecorporativa. Como a Internet apresenta riscos à segurança significativos para a empresa,medidas especiais devem ser tomadas para garantir a segurança e a privacidade dacomunicação do funcionário remoto.

Clique no botão Exemplo de topologia na figura.

A figura mostra um exemplo de como esses módulos de arquitetura corporativa podemser utilizados para criar uma topologia de rede de negócios.

Exibir meio visual 

Página 4:

Exibir meio visual 

1.2 Conceitos de tecnologia WAN1.2.1 Visão geral da tecnologia WAN 

Página 1:

As WANs e o modelo OSI

Conforme descrito em relação ao modelo de referência OSI, as operações WAN seconcentram principalmente nas camadas 1 e 2. Os padrões de acesso WAN costumam

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 10/350

descrever os métodos de entrega da camada física e os requisitos da camada de enlacede dados, incluindo endereço físico, controle de fluxo e encapsulamento. Os padrões deacesso WAN são definidos e gerenciados por várias autoridades reconhecidas, inclusivea Organização internacional para padronização (ISO, International Organization for Standardization), a Associação da indústria de telecomunicações (TIA, 

Telecommunicatuions Industry Association) e a Associação das indústrias de eletrônica(EIA, Electronic Industries Association).

Os protocolos da camada física (Camada 1 OSI) descrevem como fornecer conexõeselétrica, mecânica, operacional e funcional com os serviços de uma operadora decomunicação.

Os protocolos da camada de enlace de dados (Camada 2 OSI) definem como os dadossão encapsulados para transmissão em um local remoto e os mecanismos para transferir os quadros resultantes. Várias tecnologias diferentes são utilizadas, como Frame Relay e

ATM. Alguns desses protocolos utilizam o mesmo mecanismo de quadros básico,Controle de enlace de dados de alto nível (HDLC, High-Level Data Link Control) um padrão ISO, ou um de seus subconjuntos ou variantes.

Exibir meio visual 

1.2.2 Conceitos da camada física WAN 

Página 1:

Terminologia da camada física WAN

Uma diferença primária entre uma WAN e uma rede local é que uma companhia ouorganização deve assinar uma provedor de serviços WAN externo para utilizar serviçosde rede WAN. Uma WAN utiliza enlaces de dados fornecidos por serviços de conexão

 para acessar a Internet e conectar os locais de uma organização aos locais de outrasorganizações, a serviços externos e a usuários remotos. A camada física de acesso WANdescreve a conexão física entre a rede corporativa e a rede da operadora. A figura ilustraa terminologia normalmente utilizada para descrever conexões WAN físicas, inclusive:

•

Equipamento local do cliente (CPE, Customer Premises Equipment) – osdispositivos e a fiação interna localizados no local do assinante e conectados aocanal de telecomunicação de uma operadora. O assinante tem o CPE ou aluga oCPE da operadora. Nesse contexto, um assinante é uma empresa que solicitaserviços WAN de um provedor de serviços ou operadora.

• Equipamento de comunicação de dados (DCE, Data CommunicationsEquipment) – também chamado de equipamento terminal de circuito de dados,o DCE consiste em dispositivos que colocam dados no loop local. O DCEfornece principalmente uma interface para conectar assinantes a um link decomunicação na nuvem WAN.

• Equipamento de terminal de dados (DTE, Data Terminal Equipment ) – osdispositivos de cliente que transmitem os dados de uma rede do cliente ou

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 11/350

computador host para transmissão pela WAN. O DTE se conecta ao loop local por meio do DCE.

• Ponto de demarcação – um ponto estabelecido em um edifício ou complexo para separar o equipamento do cliente do equipamento da operadora.Fisicamente, o ponto de demarcação é a caixa de junção do cabeamento,

localizado no local do cliente, que conecta a fiação CPE ao loop local. Elecostuma ser colocado tendo em vista um acesso facilitado por um técnico. O

 ponto de demarcação é o local onde a responsabilidade da conexão passa dousuário para a operadora. Isso é muito importante porque quando surgem

 problemas, é necessário determinar se o usuário ou a operadora é responsável por solucionar problemas ou repará-los.

• Loop local – o cabo telefônico de cobre ou fibra que conecta o CPE no local doassinante ao CO da operadora. Às vezes, o loop local também é chamado de"última-milha".

• Central da operadora (CO, Central Office) – uma instalação ou prédio da

operadora local onde os cabos telefônicos locais são vinculados a linhas decomunicação de longa distância, totalmente digitais de fibra óptica por meio deum sistema de switches e outro equipamento.

Exibir meio visual 

Página 2:

Dispositivos WAN

As WANs utilizam vários tipos de dispositivos que são específicos de ambientes WAN,incluindo:

• Modem – modula um sinal de operadora analógico para codificar informaçõesdigitais e demodula o sinal para decodificar as informações transmitidas. Ummodem de banda de voz converte os sinais digitais produzidos por umcomputador em freqüências de voz que podem ser transmitidas pelas linhasanalógicas da rede telefônica pública. Na outra extremidade da conexão, outromodem converte os sons novamente em um sinal digital de entrada para umcomputador ou conexão de rede. Modems mais rápidos, como modems a cabo emodems DSL, transmitem utilizando freqüências de banda larga mais altas.

• CSU/DSU – linhas digitais, como linhas de operadora T1 ou T3, exigem umaunidade do serviço de canal (CSU, channel service unit) e uma unidade deserviço de dados (DSU, data service unit). As duas costumam ser integradas emum único equipamento, chamado CSU/DSU. A CSU fornece uma terminação

 para o sinal digital e assegura a integridade da conexão por meio da correção deerros e da monitoração da linha. A DSU converte os quadros de linha daoperadora T em quadros que a rede local pode interpretar e vice-versa.

• Servidor de acesso – concentra comunicação do usuários de discagens feitas erecebidas. Um servidor de acesso pode ter uma mistura de interfaces analógicase digitais e suportar centenas de usuários simultâneos.

• Switch WAN – um dispositivo inter-rede com várias portas utilizado em redesde operadora. Esses dispositivos costumam comutar o tráfego, como Frame

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 12/350

Relay, ATM ou X.25 e operam na camada de enlace de dados do modelo dereferência OSI. Os switches da rede de telefonia pública comutada (PSTN,Public Switched Telephone Network) também podem ser utilizados dentro danuvem das conexões de circuito comutado como rede digital de serviçosintegrados (ISDN, Integrated Services Digital Network) ou discagem analógica.

• Roteador – fornece portas de interface de acesso de redes interconectadas eWAN utilizadas na conexão com a rede da operadora. Essas interfaces podemser conexões seriais ou outras interfaces WAN. Com alguns tipos de interfacesWAN, um dispositivo externo, como DSU/CSU ou modem (analógico, a caboou DSL) é obrigatório para conectar o roteador ao ponto de presença (POP,

 point of presence) local da operadora.

• Roteador central – um roteador que reside no meio ou no backbone da WAN, enão em sua periferia. Para cumprir essa função, um roteador deve ser capaz desuportar várias interfaces de telecomunicação da maior velocidade em utilizaçãono núcleo WAN, devendo ser capaz de encaminhar pacotes IP em totalvelocidade em todas essas interfaces. O roteador também deve suportar os

 protocolos de roteamento utilizados no núcleo.Exibir meio visual 

Página 3:

Padrões da camada física WAN

Os  protocolos da camada física WAN descrevem como fornecer conexões elétrica,mecânica, operacional e funcional para serviços WAN. A camada física WAN tambémdescreve a interface entre o DTE e o DCE. A interface DTE/DCE utiliza vários

 protocolos da camada física, incluindo:

• EIA/TIA-232 – este protocolo permite sinalizar velocidades de até 64 kb/s emum conector D de 25 pinos em curtas distâncias. Ele era conhecido como RS-232. A especificação ITU-T V.24 é efetivamente a mesma.

• EIA/TIA-449/530 – este protocolo é uma versão mais rápida (até 2 Mb/s) doEIA/TIA-232. Ele utiliza um conector D de 36 pinos, sendo capaz de extensõesmaiores de cabo. Há várias versões. Este padrão também é conhecido comoRS422 e RS-423.

• EIA/TIA-612/613 – este padrão descreve o protocolo Interface serial de altavelocidade (HSSI, High-Speed Serial Interface), que fornece acesso a serviçosde até 52 Mb/s em um conector D de 60 pinos.

• V.35 – este é o padrão ITU-T para comunicação síncrona entre um dispositivode acesso à rede e uma rede de pacote. Originalmente especificado para suportar taxas de dados de 48 kb/s, ele agora suporta velocidades de até 2,048 Mb/sutilizando um conector retangular de 34 pinos.

• X.21 – este protocolo é um padrão ITU-T para comunicação digital síncrona. Eleutiliza um conector D de 15 pinos.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 13/350

Esses protocolos estabelecem os códigos e os parâmetros elétricos utilizados pelosdispositivos para se comunicar. Escolher um protocolo é amplamente determinado pelométodo do provedor de serviços de instalações.

Clique no botão Conectores de cabo WAN na figura para ver os tipos de conectoresde cabo associados a cada protocolo da camada física.

Exibir meio visual 

1.2.3 Conceitos da camada de enlace de dados WAN 

Página 1:

Protocolos de enlace de dados

Além dos dispositivos da camada física, as WANs exigem protocolos da camada deenlace de dados para estabelecer o link na linha de comunicação do dispositivo de envio

 para o de recebimento. Este tópico descreve os protocolos de enlace de dados comunsutilizados nas redes empresariais atuais para implementar conexões WAN.

Protocolos da camada de enlace de dados definem como os dados são encapsulados paratransmissão em sites remotos e os mecanismos para transferir os quadros resultantes.Várias tecnologias diferentes são utilizadas, como ISDN, Frame Relay ou ATM. Muitosdesses protocolos utilizam o mesmo mecanismo de quadros básico, HDLC, um padrãoISO, ou um de seus subconjuntos ou variantes. A ATM é diferente das demais, porque

utiliza células pequenas de 53 bytes (48 bytes para dados), diferentemente das demaistecnologias de pacote comutado, que utilizam pacotes de tamanho variável.

Os protocolos de enlace de dados WAN mais comuns são:

• HDLC

• PPP

• Frame Relay

•

ATM

ISDN e X.25 são protocolos de enlace de dados mais antigos e menos utilizadosatualmente. No entanto, ISDN continua sendo abordado neste curso por conta da suautilização ao suportar rede VoIP com links PRI. X.25 é mencionado para ajudar aexplicar a relevância de Frame Relay. Além disso, X.25 continua sendo utilizado nos

 países em desenvolvimento nos quais as redes de dados do pacote (PDN) são utilizadas para transmitir transações de cartões de crédito e de débito dos comerciantes.

Nota: outro protocolo DLL é o protocolo de Comutação de rótulo de multiprotocolo

(MPLS, Multiprotocol Label Switching). O MPLS está sendo cada vez mais implantado por provedores de serviço para fornecer uma solução econômica para conexão por 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 14/350

circuitos comutados, bem como tráfego da rede com pacotes comutados. Ele podefuncionar em qualquer infra-estrutura existente, como IP, Frame Relay, ATM ouEthernet. Ele fica entre as camadas 2 e 3, sendo chamado, às vezes, de protocolo daCamada 2.5. No entanto, o MPLS está além do escopo deste curso, embora sejaabordado em CCNP: Implementing Secure Converged Wide-area Networks.

Exibir meio visual 

Página 2:

Encapsulamento WAN

Os dados da camada de rede são passados para a camada de enlace de dados paraentrega em um link físico, normalmente ponto-a-ponto em uma conexão WAN. Acamada de enlace de dados cria um quadro em torno dos dados da camada de rede para

que as verificações necessárias e os controles possam ser aplicados. Cada tipo deconexão WAN utiliza um protocolo da Camada 2 para encapsular um pacote enquantocruza o link de WAN. Para assegurar que o protocolo de encapsulamento correto sejautilizado, o tipo de encapsulamento da Camada 2 utilizado para cada interface serial doroteador deve ser configurado. A opção dos protocolos de encapsulamento depende datecnologia WAN e do equipamento. HDLC foi inicialmente proposto em 1979 e, por essa razão, a maior parte dos protocolos de quadros desenvolvidos depois se baseia nele.

Clique no botão Reproduzir na figura para exibir como os protocolos de enlace dedados WAN encapsulam tráfego.

Exibir meio visual 

Página 3:

Formatos de encapsulamento de quadro WAN

Examinar a porção do cabeçalho de um quadro HDLC irá ajudar a identificar camposcomuns utilizados por muitos protocolos de encapsulamento WAN. O quadro semprecomeça e termina com um campo de flag de 8 bits. O padrão de bits é 01111110. O

campo de endereço não é necessário para links de WAN, que quase sempre são ponto-a- ponto. O campo de endereço continua presente, podendo ter 1 ou 2 bytes. O campo decontrole depende do protocolo, mas normalmente indica se o conteúdo dos dados é deinformações de controle ou dados da camada de rede. O campo de controle costuma ter 1 byte.

Juntos, os campos de endereço e de controle são chamados de cabeçalho do quadro. Osdados encapsulados seguem o campo de controle. Dessa forma, uma seqüência deverificação de quadro (FCS, frame check sequence) utiliza o mecanismo de verificaçãode redundância cíclica (CRC, cyclic redundancy check) para estabelecer um campo de 2ou 4 bytes.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 15/350

Vários protocolos de enlace de dados são utilizados, inclusive subconjuntos e versões próprias do HDLC. PPP e a versão Cisco do HDLC têm um campo extra no cabeçalho para identificar o protocolo da camada de rede dos dados encapsulados.

Exibir meio visual 

1.2.4 Conceitos de comutação WAN 

Página 1:

Comutação de circuito

Uma rede de circuito comutado estabelece um circuito (ou canal) dedicado entre nós eterminais antes da comunicação dos usuários.

Como um exemplo, quando um assinante faz uma chamada telefônica, o númerodiscado é utilizado para definir switches nas trocas na rota da chamada para que haja umcircuito contínuo do chamador para a parte chamada. Por conta do funcionamento dacomutação utilizada para estabelecer o circuito, o sistema telefônico é chamado de redede circuito comutado. Se os telefones forem substituídos por modems, o circuitocomutado poderá transportar dados do computador.

O caminho interno usado pelo circuito entre as trocas é compartilhado por váriasconversas. A multiplexação por divisão de tempo (TDM, time-division multiplexing) dáa cada conversa uma parte da conexão por vez. A TDM assegura que uma conexão de

capacidade fixa seja disponibilizada ao assinante.

Se o circuito transporta dados do computador, a utilização dessa capacidade fixa talveznão seja eficiente. Por exemplo, se o circuito for utilizado para acessar a Internet, haveráuma intensa atividade do circuito durante a transferência de uma página da Web. Isso

 pode ser seguido de nenhuma atividade enquanto o usuário lê a página e, em seguida,outra intensa atividade enquanto a próxima página é transferida. Essa variação deutilização entre nenhum e máximo é típica do tráfego da rede de computadores. Como oassinante só utiliza a alocação da capacidade fixa, os circuitos comutados costumam ser uma forma cara de migrar dados.

PSTN e ISDN são dois tipos de tecnologia de circuito comutado que podem ser utilizados para implementar uma WAN em uma configuração corporativa.

Clique no botão Reproduzir na figura para ver como funciona a comutação decircuitos.

Exibir meio visual 

Página 2:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 16/350

Comutação de pacotes

Comparando-se com a comutação de circuitos, a comutação de pacotes divide os dadosdo tráfego em pacotes roteados em uma rede compartilhada. As redes de comutação de

 pacotes não exigem o estabelecimento de um circuito, permitindo a comunicação demuitos pares de nós no mesmo canal.

Os switches em uma rede comutada por pacote (PSN) determinam que link o pacotedeve ser enviado em seguida a partir das informações de endereçamento em cada

 pacote. Há duas abordagens para essa determinação de link, sem conexão ou orientada por conexão.

• Sistemas sem conexão, como a Internet, transportam informações deendereçamento completas em cada pacote. Cada switch deve avaliar o endereço

 para determinar aonde enviar o pacote.• Sistemas orientados a conexões predeterminam a rota para um pacote, e cada

 pacote só precisa transportar um identificador. No caso do Frame Relay, eles sãochamados de Identificadores de conexão de enlace de dados (DLCIs, Data Link Connection Identifier). O switch determina a rota adiante, observando oidentificador em tabelas mantidas na memória. O conjunto de entradas nastabelas identifica uma rota ou circuito específico no sistema. Se esse circuito sóexistir fisicamente enquanto um pacote o percorrer, ele será chamado de circuitovirtual (VC).

Como os links internos entre os switches são compartilhados entre muitos usuários, oscustos da comutação de pacotes são menores que os da comutação de circuitos. Atrasos (latência) e variação do atraso (atraso do sincronismo) são maiores na comutação de

 pacotes do que em redes de circuito comutado. Isso é porque os links sãocompartilhados, e os pacotes devem ser integralmente recebidos em um switch antes deavançar. Apesar da latência e do atraso do sincronismo inerentes em redescompartilhadas, a tecnologia moderna permite um transporte satisfatório dacomunicação de voz e até mesmo de vídeo nessas redes.

Clique no botão Reproduzir na figura para ver um exemplo de comutação de pacotes.

O servidor A está enviando dados para o servidor B. À medida que o pacote atravessa arede do fornecedor, ele chega ao segundo switch do provedor. O pacote é adicionado àfila e encaminhado depois que os demais pacotes na fila são encaminhados. O pacoteacaba chegando ao servidor B.

Circuitos virtuais

As redes comutadas por pacotes podem estabelecer rotas pelos switches para conexõesfim-a-fim específicas. Essas rotas são chamadas de circuitos virtuais. VC é um circuitológico criado dentro de uma rede compartilhada entre dois dispositivos de rede. Há doistipos de VCs:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 17/350

• Circuito virtual permanente (PVC) – um circuito virtual estabelecido permanentemente que consiste em um modo: transferência de dados. Os PVCssão utilizados em situações nas quais a transferência de dados entre dispositivosé constante. Os PVCs diminuem a utilização da largura de banda associada ao

estabelecimento e ao encerramento de VCs, mas aumentam os custos por contada constante disponibilidade do circuito virtual. Os PVCs costumam ser configurados pela operadora quando há uma ordem de serviço.

• Circuito virtual comutado (SVC) – um VC estabelecido dinamicamente sobdemanda e encerrado quando a transmissão é concluída. A comunicação em umSVC consiste em três fases: estabelecimento de circuito, transferência de dados eencerramento de circuito. A fase de estabelecimento envolve a criação do VCentre os dispositivos de origem e de destino. A transferência de dados envolve atransmissão de dados entre os dispositivos pelo VC, e a fase de encerramento docircuito envolve a separação do VC entre os dispositivos de origem e de destino.Os SVCs são utilizados em situações nas quais a transmissão de dados entre

dispositivos é intermitente, principalmente para economizar. Os SVCs liberam ocircuito quando a transmissão é concluída, o que resulta em encargos de conexãoinferiores aos incorridos por PVCs, que mantêm a disponibilidade constante docircuito virtual.

Conexão a uma rede comutada por pacotes

Para se conectar a uma rede comutada por pacotes, um assinante precisa de um looplocal com o local mais próximo onde o provedor disponibiliza o serviço. Isso é chamado

de ponto de presença (POP) do serviço. Essa normalmente é uma linha alugadadedicada. Essa linha é muito mais curta que uma linha alugada diretamente conectadaaos locais do assinante, e normalmente transporta vários VCs. Como é provável quenem todos os VCs exijam demanda máxima simultaneamente, a capacidade da linhaalugada pode ser menor que a soma dos VCs individuais. Entre os exemplos deconexões comutadas por pacotes ou células:

• X.25

• Frame Relay

• ATM

Exibir meio visual 

Página 3:Exibir meio visual 

1.3 Opções de conexão WAN1.3.1 Opções de conexão de link WAN 

Página 1:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 18/350

Há muitas opções para implementar soluções WAN disponíveis no momento. Elasdiferem quanto à tecnologia, à velocidade e ao custo. A familiaridade com essastecnologias é uma parte importante do projeto de rede e da avaliação.

As conexões WAN podem estar em uma infra-estrutura privada ou pública, como aInternet.

Opções de conexão WAN privada

Entre as conexões WAN privadas estão as opções do link de comunicação dedicado ecomutado.

Links de comunicação dedicados

Quando conexões dedicadas permanentes forem obrigatórias, as linhas ponto-a-pontoserão utilizadas com vários recursos limitados exclusivamente pelas instalações físicassubjacentes e pela propensão dos usuários em pagar por essas linhas dedicadas. Um link 

 ponto-a-ponto fornece um caminho de comunicação WAN preestabelecido do local docliente por meio da rede do provedor para um destino remoto. As linhas ponto-a-pontocostumam ser alugadas de uma operadora, e também são chamadas de linhas alugadas.

Links de comunicação comutados

Os links de comunicação comutados podem ser comutados por circuitos ou pacotes.

• Links de comunicação comutados por circuito – a comutação de circuitosestabelece dinamicamente uma conexão virtual dedicada para voz ou dados entreum remetente e um destinatário. Para que a comunicação possa começar, énecessário estabelecer a conexão por meio da rede da operadora. Os exemplosde links de comunicação comutados por circuito são de acesso analógico(PSTN) e ISDN.

• Links de comunicação comutados por pacotes – muitos usuários WAN não

utilizam de maneira eficiente da largura de banda fixa disponível com circuitosdedicados, comutados ou permanentes porque o fluxo de dados flutua. Os provedores de comunicação têm redes de dados disponíveis para atender essesusuários de maneira mais apropriada. Em redes comutadas por pacotes, os dadossão transmitidos em quadros marcados, células ou pacotes. Entre os links decomunicação comutados por pacotes estão Frame Relay, ATM, X.25 e MetroEthernet.

Opções de conexão WAN pública

As conexões públicas utilizam a infra-estrutura de Internet global. Até recentemente, aInternet não era uma opção de rede viável para muitas empresas por causa dos riscos à

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 19/350

segurança significativos e da falta de garantia de desempenho apropriado em umaconexão com a Internet fim-a-fim. No entanto, com o desenvolvimento da tecnologiaVPN, a Internet agora é uma opção barata e segura para conexão de trabalhadoresremotos e escritórios remotos em que garantias de desempenho não sejam críticas. Oslinks de conexão WAN da Internet são com serviços de banda larga, como DSL, modem

a cabo e sem fio com banda larga, sendo integrados à tecnologia VPN para fornecer  privacidade na Internet.

Exibir meio visual 

1.3.2 Opções de link de conexão dedicado

Página 1:

Linhas alugadas

Quando uma conexão dedicada permanente é obrigatória, um link ponto-a-ponto éutilizado para fornecer um caminho de comunicação WAN preestabelecido do local docliente por meio da rede do provedor para um destino remoto. As linhas ponto-a-pontocostumam ser alugadas de uma operadora, e são chamadas de linhas alugadas. Estetópico descreve como as empresas utilizam linhas alugadas para fornecer uma conexãoWAN dedicada.

Clique no botão Tipos de linha e largura de banda na figura para exibir uma listados tipos de linha alugada e seus recursos de taxa de bits.

As linhas alugadas estão disponíveis em capacidades diferentes, sendo geralmentecobradas com base na largura de banda obrigatória e a distância entre os dois pontosconectados.

Os links ponto-a-ponto costumam ser mais caros que serviços compartilhados, comoFrame Relay. O custo das soluções em linha alugada podem ser significativos quandoutilizadas para conectar vários locais em distâncias cada vez maiores. No entanto, hámomentos em que os benefícios superam o custo da linha alugada. A capacidadededicada remove latência ou atraso do sincronismo entre as extremidades. A

disponibilidade constante é essencial para alguns aplicativos, como VoIP ou vídeo sobreIP.

Uma porta serial de roteador é obrigatória para cada conexão de linha alugada. UmaCSU/DSU e o circuito real da operadora também são obrigatórios.

As linhas alugadas fornecem capacidade dedicada permanente, sendo utilizadasamplamente na criação de WANs. Elas foram a conexão tradicional escolhida, mas hámuitas desvantagens. As linhas alugadas têm uma capacidade fixa, mas o tráfego WANcostuma ser variável, o que deixa uma parte da capacidade inutilizada. Além disso, cada

extremidade precisa de uma interface física separada no roteador, o que aumenta os

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 20/350

custos de equipamento. Qualquer alteração feita na linha alugada normalmente exigeuma visita ao local pela operadora.

Exibir meio visual 

Página 2:Exibir meio visual 

1.3.3 Opções de conexão comutada por circuitos

Página 1:

Discagem analógica

Quando transferências de dados intermitentes, de baixos volumes de dados, sãonecessárias e as linhas telefônicas discadas analógicas fornecem baixa capacidade econexão comutada dedicada. Este tópico descreve as vantagens e as desvantagens deutilizar opções de conexão dialup e identifica os tipos de cenários de negócios queaproveitam esse tipo de opção.

A telefonia tradicional utiliza um cabo de cobre, chamado de loop local, para conectar omonofone telefônico no local do assinante ao CO. O sinal no loop local durante umachamada é um sinal eletrônico variável contínuo que é uma tradução da voz deassinante, analógica.

Os loops locais tradicionais podem transportar dados de computador binários por meioda rede telefônica de voz utilizando um modem. O modem modula os dados   binários emum sinal analógico na origem e demodula o sinal analógico para os dados binários nodestino. As características físicas do loop local e sua conexão com a PSTN limitam ataxa do sinal a menos de 56 kb/s.

Para pequenos negócios, essas conexões de dialup de velocidade relativamente baixasão apropriadas à troca de dados sobre vendas, preços, relatórios de rotina e email.

Utilizar dialup automático durante a noite ou nos finais de semana para grandestransferências de arquivos e backup de dados pode aproveitar tarifas menores fora do pico (tarifas de linha). As tarifas se baseiam na distância entre as extremidades, a horado dia e a duração da chamada.

As vantagens do modem e das linhas analógicas são a simplicidade, a disponibilidade eo baixo custo de implementação. As desvantagens são taxas de dados menores e umtempo de conexão relativamente longo. O circuito dedicado tem pouco atraso ou atrasodo sincronismo para tráfego ponto-a-ponto, mas o tráfego de voz ou de vídeo nãofunciona corretamente nessas taxas de bits.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 21/350

Página 2:

Rede digital de serviços integrados

A rede digital de serviços integrados (ISDN, Integrated Services Digital Network) éuma tecnologia comutada por circuitos que permite ao loop local de uma PSTNtransmitir sinais digitais, o que resulta em uma conexão comutada de maior capacidade.A ISDN altera a conexão interna da PSTN de transportar sinais analógicos para sinaisdigitais de multiplexação por divisão de tempo (TDM). A TDM permite que dois oumais sinais ou fluxos de bits sejam transferidos como subcanais em um canal decomunicação. Os sinais aparentam transferir simultaneamente, mas estão fisicamente sealternando no canal. Um bloco de dados do subcanal 1 é transmitido durante o slot detempo 1, subcanal 2, durante o slot de tempo 2 e assim por diante. Um quadro TDMconsiste em um slot de tempo por subcanal. A TDM é descrita com mais detalhes no

Capítulo 2, PPP.

A ISDN transforma o loop local em uma conexão digital TDM. Essa alteração permiteao loop local transportar sinais digitais que resultam em conexões comutadas de maior capacidade. A conexão utiliza canais de portadora de 64 kb/s (B) para transmitir voz oudados e uma sinalização, canal delta (D) para configuração de chamada e outrasfinalidades.

Existem dois tipos de interfaces ISDN:

• Interface de taxa básica (BRI, Basic Rate Interface) – ISDN se destina aempresas domésticas ou pequenas, além de fornecer dois canais B de 64 kb/s eum canal D de 16 kb/s. O canal D BRI foi projetado para controlar e costuma ser mal utilizado, porque tem apenas dois canais B para controlar. Portanto, alguns

 provedores permitem ao canal D transportar dados em taxas de bits menores,como uma conexão X.25 a 9,6 kb/s.

• Interface de taxa primária (PRI, Primary Rate Interface ) – ISDN tambémestá disponível para instalações maiores. PRI fornece 23 canais B com 64 kb/s eum canal D com 64 kb/s na América do Norte, para uma taxa total de bits de até1,544 Mb/s. Isso inclui uma sobrecarga para sincronização. Na Europa, na

Austrália e em outras partes do mundo, a ISDN PRI fornece 30 canais B e umcanal D, para um total de bits de até 2,048 Mb/s, incluindo as sobrecarga comsincronização. Na América do Norte, PRI corresponde a uma conexão T1. Ataxa da PRI internacional corresponde a uma conexão E1 ou J1.

Para WANs pequenas, a BRI ISDN pode fornecer um mecanismo de conexão ideal.BRI tem um tempo de configuração da chamada de menos de um segundo, e o canal Bde 64 kb/s fornece maior capacidade que um link de modem analógico. Se for necessária maior capacidade, um segundo canal B poderá ser ativado para fornecer umtotal de 128 kb/s. Embora inapropriado para vídeo, ela permite várias conversas de vozsimultâneas, além do tráfego de dados.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 22/350

Outra aplicação comum da ISDN é para fornecer capacidade adicional conformenecessário em uma conexão utilizando linha alugada. A linha alugada é dimensionada

 para transportar cargas de tráfego comuns, enquanto a ISDN é adicionada durante períodos de demanda de pico. A ISDN também será utilizada como backup se houver falha na linha alugada. As tarifas ISDN se baseiam em um canal B, sendo semelhantes

às conexões de voz analógicas.

Com PRI ISDN, vários canais B podem ser conectados entre duas extremidades. Isso permite a videoconferência e conexões de dados com maior largura de banda semnenhuma latência ou atraso do sincronismo. No entanto, várias conexões podem ser muito caras em longas distâncias.

Nota: Muito embora a ISDN continue sendo uma tecnologia importante para redes deoperadoras de telefonia, ela está perdendo popularidade como uma opção de conexãocom a Internet com a apresentação de serviços DSL de alta velocidade e outros de

 banda larga.Exibir meio visual 

Página 3:Exibir meio visual 

1.3.4 Opções de conexão comutada por pacotes

Página 1:

Tecnologias WAN comuns de comutação de pacotes

A maioria das tecnologias de comutação de pacotes comuns utilizada nas redes WANempresariais atualmente inclui Frame Relay, ATM e antigos X.25.

Clique no botão X.25 na figura.

X.25

X.25 é um protocolo da camada de rede antigo que fornece aos assinantes um endereçode rede. Os circuitos virtuais podem ser estabelecidos por meio da rede com pacotes desolicitação de chamada para o endereço de destino. O SVC resultante é identificado por um número de canal. Os pacotes de dados marcados com o número de canal sãoentregues no endereço correspondente. Vários canais podem estar ativos em uma únicaconexão.

Aplicações X.25 típicas são leitores de cartões em ponto de venda. Esses leitoresutilizam o X.25 em modo dialup para validar transações em um computador central.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 23/350

Para essas aplicações, a pouca largura de banda e a latência alta não são uma preocupação, e o baixo custo torna o X.25 acessível.

As velocidades de link X.25 variam de 2400 b/s a 2 Mb/s. No entanto, as redes públicascostumam apresentar uma capacidade inferior com velocidades que raramente excedem64 kb/s.

Agora as redes X.25 enfrentam um drástico declínio, sendo substituídas por tecnologiasde Camada 2 mais novas, como Frame Relay, ATM e ADSL. No entanto, elascontinuam sendo utilizadas em muitas partes do mundo em desenvolvimento, onde háacesso limitado a tecnologias mais novas.

Clique no botão Frame Relay na figura.

Frame Relay

Embora o layout de rede seja aparentemente semelhante ao do X.25, o Frame Relay édiferente do X.25 em várias formas. Mais importante, esse é um protocolo muito maissimples que funciona na camada de enlace de dados, e não na camada de rede. O FrameRelay não implementa nenhum controle de erro ou de fluxo. O tratamento simplificadode quadros leva à latência reduzida, e as medidas tomadas para evitar o acúmulo dequadros em switches intermediários ajudam a reduzir o atraso do sincronismo. O FrameRelay oferece taxas de dados de até 4 Mb/s, com alguns fornecedores oferecendo taxasainda mais altas.

Os VCs Frame Relay são identificados exclusivamente por uma DLCI, que assegurauma comunicação bidirecional de um dispositivo DTE com outro. A maioria dasconexões Frame Relay é de PVCs, e não de SVCs.

O Frame Relay fornece conectividade permanente, compartilhada, de largura de bandamédia que transporta tráfego de voz e de dados. O Frame Relay é ideal para conectar redes locais de empresas. O roteador na rede local só precisa de uma interface única,mesmo quando vários VCs são usados. A linha alugada por um breve período para a

 borda da rede Frame Relay permite uma conexão econômica entre redes locais muitoespalhadas.

O Frame Relay será descrito com mais detalhes no Capítulo 3, "Frame Relay".

Clique no botão ATM na figura.

ATM

A tecnologia modo de transferência assíncrona (ATM, Asynchronous Transfer Mode) écapaz de transferir voz, vídeo e dados por meio de redes privadas e públicas. Ele é

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 24/350

criado a partir de uma arquitetura baseada em células, e não em uma arquitetura baseadaem quadros. As células ATM sempre têm um tamanho fixo de 53 bytes. A célula ATMcontém um cabeçalho ATM de 5 bytes seguido de 48 bytes de payload ATM. As célulasde tamanho fixo, menores, são mais apropriadas ao transporte de tráfego de voz e vídeo

 porque esse tráfego não é tolerante a atrasos. O tráfego de vídeo e de voz não precisa

aguardar a transmissão de um pacote de dados maior.

A célula ATM de 53 bytes é menos eficiente que os quadros maiores e pacotes doFrame Relay e do X.25. Além disso, a célula ATM tem pelo menos 5 bytes desobrecarga para payload de 48 bytes. Quando a célula transporta pacotes da camada derede segmentados, a sobrecarga é maior porque o switch ATM deve ser capaz deremontar os pacotes no destino. Uma linha ATM típica precisa de praticamente 20 por cento mais largura de banda do que Frame Relay para transportar o mesmo volume dedados da camada de rede.

A ATM foi projetada para ser extremamente escalável, podendo suportar velocidades delink de T1/E1 a OC-12 (622 Mb/s) e superior.

A ATM oferece PVCs e SVCs, muito embora PVCs sejam mais comuns com WANs. E,assim como acontece com outras tecnologias compartilhadas, o ATM permite quevários VCs em uma única conexão de linha alugada com a borda da rede.

Exibir meio visual 

Página 2:Exibir meio visual 

1.3.5 Opções de conexão com a Internet 

Página 1:

Serviços de banda larga

As opções de conexão de banda larga costumam ser utilizadas para conectar funcionários remotos a um local corporativo pela Internet. Entre essas opções estãocabo, DSL e sem fio.

Clique no botão DSL na figura.

DSL

A tecnologia DSL é uma tecnologia de conexão sempre ativada que utiliza linhas

telefônicas de par trançado existentes para transportar dados em banda larga e fornece

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 25/350

serviços IP aos assinantes. Um modem DSL converte um sinal Ethernet do dispositivodo usuário em um sinal DSL, transmitido para o escritório central.

Várias linhas de assinante DSL são multiplexadas em um único link de alta capacidadeutilizando um multiplexador de acesso à linha digital do assinante (DSLAM) no localdo fornecedor. Os DSLAMs incorporam a tecnologia TDM para agregar muitas linhasde assinante em um único meio, geralmente uma conexão T3 (DS3). As tecnologiasDSL atuais utilizam técnicas sofisticadas de codificação e modulação  para obter taxasde dados de até 8,192 Mb/s.

Há uma ampla variedade de tipos DSL, padrões e novos padrões. DSL agora é umaopção popular para departamentos de TI de empresas no suporte a funcionários remotos.Em geral, um assinante não pode optar por se conectar a uma rede corporativadiretamente, mas deve primeiro se conectar a um ISP e, em seguida, uma conexão IP éestabelecida por meio da Internet com a empresa. Há riscos de segurança inerentes a

esse processo, embora possam ser minimizados com medidas de segurança.

Clique no botão Modem a cabo na figura.

Modem a cabo

O cabo coaxial é amplamente utilizado em áreas urbanas para distribuir sinais detelevisão. O acesso à rede está disponível em algumas redes de TV a cabo. Ele permiteuma largura de banda maior que o loop local telefônico convencional.

Os modems a cabo fornecem uma conexão permanente, além de uma instalaçãosimples. Um assinante conecta um computador ou roteador de rede local ao modem acabo, que traduz os sinais digitais nas freqüências de banda larga utilizadas natransmissão em uma rede de TV a cabo. O escritório de TV a cabo local, chamado deheadend de cabo, contém o sistema de computadores e os bancos de dados necessários

 para fornecer acesso à Internet. O componente mais importante localizado no headend éo sistema terminal de modem a cabo (CMTS), que envia e recebe sinais de modem acabo digital em uma rede a cabo, sendo necessário para fornecer serviços de Internet aosassinantes a cabo.

Os assinantes de modem a cabo devem utilizar um ISP associado à operadora. Todos osassinantes locais têm a mesma largura de banda a cabo. Na medida em que maisusuários assinam o serviço, a largura de banda disponível pode ficar abaixo da taxaesperada.

Clique no botão Banda larga sem fio na figura.

Banda larga sem fio

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 26/350

A tecnologia sem fio utiliza o espectro de rádio não licenciado para enviar e receber dados. O espectro não licenciado é acessível a qualquer um que tenha um roteador pararede sem fio e uma tecnologia sem fio no dispositivo utilizado.

Até recentemente, uma limitação do acesso wireless era a necessidade de estar nointervalo de transmissão local (normalmente, menos de 100 pés – 30 metros) de umroteador sem fio ou um modem para rede sem fio com uma conexão com fio com aInternet. Os novos desenvolvimentos a seguir na tecnologia sem fio de banda larga estãomudando essa situação:

• WiFi municipal – muitas cidades começaram a configurar redes sem fiomunicipais. Algumas dessas redes fornecem acesso à Internet de alta velocidadegratuitamente ou por um preço consideravelmente menor do que o de outrosserviços de banda larga. Outras se destinam à utilização apenas na cidade,

 permitindo à polícia e aos bombeiros, além de outros funcionários do município,

fazer determinados aspectos dos seus trabalhos remotamente. Para se conectar aum WiFi municipal, um assinante normalmente precisa de um modem sem fiocom um rádio mais potente e uma antena mais direcional do que a dosadaptadores sem fio convencionais. A maioria dos provedores de serviço forneceo equipamento necessário gratuitamente ou a uma taxa, muito semelhante àforma como fazem com modems DSL ou a cabo.

• WiMAX – Interoperabilidade Mundial para Acesso Microondas (WiMAX,Worldwide Interoperability for Microwave Acess) é uma nova tecnologia quecomeçou a ser utilizada recentemente. Ela é descrita no padrão IEEE 802.16.WiMAX fornece serviço de banda larga de alta velocidade com acesso wirelesse oferece ampla cobertura como uma rede telefônica celular, e não por meio de

 pequenos hotspots WiFi. O WiMAX funciona de maneira semelhante ao WiFi,mas em velocidades mais altas, em distâncias maiores e para um maior númerode usuários. Ele utiliza uma rede de torres WiMAX semelhantes a torres detelefonia celular. Para acessar uma rede WiMAX, os assinantes devem assinar um ISP com uma torre WiMAX num raio de 10 milhas (16 km) do local. Elestambém precisam de um computador compatível com WiMAX e de um códigode criptografia especial para obter acesso à estação base.

• Internet via satélite – normalmente utilizada por usuários em zonas rurais ondecabo e DSL não estão disponíveis. Um satélite fornece comunicação de dados

 bidirecional (upload e download). A velocidade de upload é cerca de um décimoda velocidade de download de 500 kb/s. Cabo e DSL têm velocidades dedownload maiores, mas os sistemas via satélite são cerca de 10 vezes maisrápidos do que um modem analógico. Para acessar serviços de Internet viasatélite, os assinantes precisam de uma antena de satélite, dois modems (uplink edownlink) e cabos coaxiais entre a antena e o modem.

Os serviços de banda larga DSL, a cabo e sem fio são descritos com mais detalhes noCapítulo 6, "Serviços de funcionário remoto".

Exibir meio visual 

Página 2:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 27/350

Tecnologia de VPN

Há riscos de segurança quando um funcionário remoto ou escritório remoto utilizaserviços de banda larga para acessar a WAN corporativa pela Internet. Para resolver 

 problemas de segurança, os serviços de banda larga fornecem recursos para utilizar conexões de rede virtual privada (VPN) com um servidor VPN, normalmente localizadono local corporativo.

Uma VPN é uma conexão criptografada entre redes privadas em uma rede pública,como a Internet. Em vez de utilizar uma conexão da Camada 2 dedicada, como umalinha alugada, uma VPN utiliza conexões virtuais chamadas de túneis VPN, roteados

 pela Internet da rede privada corporativa para o local remoto ou o host do funcionário.

Benefícios da VPN

Entre os benefícios VPN estão:

• Economia – as VPNs permitem às organizações utilizar a Internet global paraconectar escritórios remotos e usuários remotos ao local corporativo principal, oque elimina links de WAN dedicados caros e conjuntos de modems.

• Segurança – as VPNs fornecem o nível mais alto de segurança, utilizando protocolos avançados de criptografia e autenticação que protegem dados doacesso não autorizado.

• Escalabilidade – como as VPNs utilizam a infra-estrutura de Internet dentro deISPs e dispositivos, é fácil adicionar novos usuários. As corporações podemadicionar uma grande quantidade de capacidade sem adicionar uma infra-estrutura significativa.

• Compatibilidade com tecnologia de banda larga – como a tecnologia VPN ésuportada por provedores de serviço de banda larga, como DSL e cabo, osfuncionários móveis e remotos podem usufruir seu serviço na Internet de altavelocidade doméstico para acessar suas redes corporativas. As conexões de

 banda larga de alta velocidade, comerciais, também podem fornecer umasolução econômica para conectar mais escritórios.

Tipos de acesso VPN

Existem dois tipos de acesso VPN:

• VPNs ponto-a-ponto – VPNs ponto-a-ponto conectam todas as redes, por exemplo, elas conectam a rede de uma filial à rede da sede de uma empresa,como mostrado na figura. Todo site é equipado com um gateway VPN, comoum roteador, firewall, concentrador VPN ou mecanismo de segurança. Nafigura, uma filial remota utiliza uma VPN ponto-a-ponto para se conectar à

matriz corporativa.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 28/350

• VPNs de acesso remoto – VPNs de acesso remoto permitem a hostsindividuais, como funcionários remotos, usuários móveis e clientes de extranetacessar a rede de uma empresa com segurança pela Internet. Cada hostnormalmente tem um software cliente VPN carregado ou utiliza um cliente

 baseado na Web.

Clique no botão VPN de acesso remoto ou no botão VPN ponto-a-ponto na figura para ver um exemplo de cada tipo de conexão VPN.

Exibir meio visual 

Página 3:

Ethernet metropolitana

A Metro Ethernet é uma tecnologia de rede em rápida evolução que amplia a Ethernetaté redes públicas mantidas por empresas de telecomunicação. Os switches Ethernetcompatíveis com IP permitem aos provedores de serviço oferecer serviços convergidosde voz, de dados e de vídeo corporativos, como telefonia IP, streaming de vídeo,digitalização e armazenamento de dados. Estendendo a Ethernet até a áreametropolitana, as empresas podem fornecer a seus escritórios remotos acesso confiávela aplicativos e dados na rede local da sede corporativa.

Entre os benefícios da Metro Ethernet estão:

• Despesas e administração reduzidos – a Ethernet metropolitana fornece umarede da Camada 2 comutada, de grande largura de banda, compatível com ogerenciamento de dados, voz e vídeo na mesma infra-estrutura. Essacaracterística aumenta a largura de banda e elimina conversões caras em ATM eFrame Relay. A tecnologia permite às empresas conectar vários locais sem custoem uma área metropolitana e à Internet.

• Integração simplificada com redes existentes – a Ethernet metropolitana seconecta facilmente a redes locais Ethernet, o que reduz custos e tempo deinstalação.

•

Produtividade comercial melhorada – a Ethernet metropolitana permite àsempresas usufruir aplicativos IP que melhoram a produtividade difíceis deimplementar em redes TDM ou Frame Relay, como uma comunicação IPhospedada, VoIP e streaming, além da transmissão de vídeo.

Exibir meio visual 

Página 4:

Escolhendo uma conexão de link WAN

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 29/350

Agora que observamos várias opções de conexão WAN, como você escolhe a melhor tecnologia para atender aos requisitos de uma empresa específica? A figura compara asvantagens e as desvantagens das opções de conexão WAN que abordamos nestecapítulo. Essas informações são um bom começo. Além disso, para ajudar no processode tomada de decisões, aqui estão algumas perguntas que você deve se fazer ao escolher 

uma opção de conexão WAN.

Qual é a finalidade da WAN?

Você deseja conectar filiais locais na mesma área da cidade, conectar filiais remotas, seconectar a uma única filial, se conectar a clientes, se conectar a parceiros de negócios oualgumas combinações dessas opções? Se a WAN for para fornecer clientes autorizadosou parceiros de negócios com acesso limitado à intranet corporativa, qual será a melhor opção?

Qual é o escopo geográfico?

Ele é local, regional, global, privativo (filial única), de filiais múltiplas, múltiplo(distribuído)? Dependendo do intervalo, algumas opções de conexão WAN podem ser melhores que outras.

Quais são os requisitos de tráfego?

Entre os requisitos de tráfego a serem considerados estão:

• O tipo de tráfego (somente dados, VoIP, vídeo, arquivos grandes, arquivos destreaming) determina os requisitos de qualidade e desempenho. Por exemplo, sevocê estiver enviando muito tráfego de voz ou de fluxo de vídeo, a ATM poderáser a melhor opção.

• Os volumes de tráfego que dependem do tipo (voz, vídeo ou dados) de cadadestino determinam a capacidade da largura de banda obrigatória para a conexãoWAN com o ISP.

• Os requisitos de qualidade podem limitar suas opções. Se o seu tráfego for muito

sensível à latência e ao atraso do sincronismo, você poderá eliminar opções deconexão WAN que não forneçam a qualidade obrigatória.

• Os requisitos de segurança (integridade de dados, confidencialidade e segurança)são fatores importantes caso o tráfego seja altamente confidencial ou forneçaserviços essenciais, como atendimento de emergências.

E se a WAN utilizar uma infra-estrutura privada ou pública?

Uma infra-estrutura privada oferece a melhor segurança e confidencialidade, e a infra-

estrutura de Internet pública oferece a maior flexibilidade e as menores despesas. A suaopção depende da finalidade da WAN, dos tipos de tráfego transportado e do orçamento

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 30/350

operacional disponível. Por exemplo, caso a finalidade seja atender a uma filial próximacom serviços seguros de alta velocidade, uma conexão privada dedicada ou comutadatalvez seja a ideal. Caso a finalidade seja conectar muitos escritórios remotos, umaWAN pública que utiliza a Internet talvez seja a melhor opção. Para operaçõesdistribuídas, uma combinação de opções talvez seja a solução.

Para uma WAN privada, ela deve ser dedicada ou comutada?

As transações em tempo real de alto volume têm requisitos especiais que poderiamfavorecer uma linha dedicada, como tráfego que flui entre a central de dados e a matrizcorporativa. Se você estiver se conectando a uma filial única local, será possível utilizar uma linha alugada dedicada. No entanto, essa opção seria muito cara para uma conexãoWAN de vários escritórios. Nesse caso, uma conexão comutada pode ser melhor.

Para uma WAN pública, de que tipo de acesso VPN você precisa?

Caso a finalidade da WAN seja se conectar a um escritório remoto, uma VPN ponto-a- ponto talvez seja a melhor opção. Para conectar funcionários remotos ou clientes, asVPNs de acesso remoto são uma opção melhor. Caso a WAN esteja fornecendo umacombinação de escritórios remotos, funcionários remotos e clientes autorizados, comouma empresa global com operações distribuídas, uma integração de opções VPN talvezseja obrigatória.

Quais são as opções de conexão disponíveis localmente?

Em algumas áreas, nem todas as opções de conexão WAN estão disponíveis. Nessecaso, o seu processo de seleção é simplificado, muito embora a WAN resultante possafornecer um desempenho abaixo do ideal. Por exemplo, em uma área rural ou remota, aúnica opção talvez seja o acesso à Internet de banda larga via satélite.

Qual é o custo das opções de conexão disponíveis?

Dependendo da opção escolhida, a WAN pode ser uma despesa permanente

significativa. O custo de uma opção específica deve ser ponderado segundo a qualidadecom que ele atende a outros requisitos. Por exemplo, uma linha alugada dedicada é aopção mais cara, mas a despesa pode se justificar caso seja essencial assegurar umatransmissão segura de grandes volumes de dados em tempo real. Para aplicações commenos demanda, uma conexão com a Internet ou comutada mais barata pode ser maisapropriada.

Como você pode ver, há muitos fatores importantes a serem considerados durante aescolha de uma conexão WAN apropriada. Seguindo as diretrizes descritas acima, bemcomo as descritas pela Arquitetura corporativa Cisco, agora você deve ser capaz de

escolher uma conexão WAN apropriada para atender aos requisitos de cenários denegócios diferentes.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 31/350

Exibir meio visual 

Página 5:

Exibir meio visual 

1.4 Laboratórios do capítulo1.4.1 Revisão avançada

Página 1:

 Neste laboratório, você irá revisar os conceitos básicos de roteamento e de comutação.Tente fazer o máximo possível sozinho. Consulte o material anterior quando você nãoconseguir continuar sozinho.

Nota: Configurar três protocolos de roteamento separados RIP, OSPF e EIGRP pararotear a mesma rede não é efetivamente uma prática recomendada. Essa deve ser considerada uma prática não recomendada, não sendo algo que deveria ser feito em umarede de produção. Isso é feito aqui para que você possa examinar os principais

 protocolos de roteamento antes de continuar, além de ver uma ilustração drástica doconceito de distância administrativa. 

Exibir meio visual 

1.5 Resumo do capítulo1.5.1 Resumo do capítulo

Página 1:

WAN é uma rede de comunicação de dados que funciona além do escopo geográfico deuma rede local.

 Na medida em que as empresas crescem, adicionar mais funcionários, abrir filiais eexpandir até mercados globais, os requisitos de serviços integrados mudam. Essesrequisitos de negócios orientam seus requisitos de rede.

A Arquitetura corporativa Cisco se expande até o modelo de design hierárquico,dividindo ainda mais a rede corporativa em áreas física, lógica e funcional.

A implementação de uma Arquitetura corporativa Cisco fornece uma rede segura,robusta, com grande disponibilidade que facilita a implantação de redes convergentes.

As WANs funcionam de acordo com o modelo de referência OSI, principalmente nascamadas 1 e 2.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 32/350

Os dispositivos que colocam dados no loop local são chamados de equipamentoterminal de circuito de dados, ou equipamento de comunicação de dados (DCE). Osdispositivos de cliente que transmitem os dados para o DCE são chamados deequipamento de terminal de dados (DTE). O DCE fornece principalmente uma interface

 para o DTE no link de comunicação na nuvem WAN.

O ponto de demarcação físico é o local onde a responsabilidade da conexão passa daempresa para a operadora.

Protocolos da camada de enlace de dados definem como os dados são encapsulados paratransmissão em sites remotos e os mecanismos para transferir os quadros resultantes.

Uma rede de circuito comutado estabelece um circuito (ou canal) dedicado entre nós e

terminais antes da comunicação dos usuários.

Uma rede comutada por pacotes divide os dados do tráfego em pacotes roteados emuma rede compartilhada. As redes de comutação de pacotes não exigem oestabelecimento de um circuito, e elas permitem a comunicação de muitos pares de nósno mesmo canal.

Um link ponto-a-ponto fornece um caminho de comunicação WAN preestabelecido dolocal do cliente por meio da rede do provedor para um destino remoto. Os links ponto-a-

 ponto utilizam linhas alugadas para fornecer uma conexão dedicada.

Entre as opções WAN de comutação de circuitos estão dialup analógico e ISDN. Entreas opções WAN de comutação de pacotes estão X.25, Frame Relay e ATM. A ATMtransmite dados em células de 53 bytes, e não em quadros. A ATM é mais apropriada aotráfego de vídeo.

Entre as opções de conexão WAN com a Internet estão serviços de banda larga, comoDSL, modem a cabo, sem fio de banda larga ou Metro Ethernet. A tecnologia VPN

 permite às empresas fornecer acesso seguro ao funcionário remoto pela Internet em

serviços de banda larga.Exibir meio visual 

Página 2:Exibir meio visual 

Página 3:

Esta atividade abrange muitas das habilidades que você adquiriu nos três primeiroscursos do Exploration. Entre as habilidades estão criar uma rede, aplicar um esquema de

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 33/350

endereçamento, configurar roteamento, VLANs, STP e VTP, além de testar aconectividade. Você deve revisar essas habilidades antes de continuar. Além disso, essaatividade é uma oportunidade de revisar os fundamentos do programa Packet Tracer. OPacket Tracer é integrado ao longo deste curso. Você deve saber como navegar noambiente do Packet Tracer para concluir este curso. Use os tutoriais se você precisar de

uma revisão dos princípios básicos do Packet Tracer. Os tutoriais estão localizados nomenu Ajuda do Packet Tracer.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

1.6 Teste do capítulo1.6.1 Teste do capítulo

Página 1:Exibir meio visual

2 PPP2.0 Introdução do capítulo2.0.1 Introdução do capítulo

Página 1:

Este capítulo inicia a exploração das tecnologias WAN, apresentando a comunicação ponto-a-ponto e o (PPP).

Um dos tipos mais comuns de conexão WAN é a ponto-a-ponto. As conexões ponto-a- ponto são utilizadas em redes locais com WANs de operadora e na conexão desegmentos de rede local dentro de uma rede empresarial. Uma conexão ponto-a-pontoentre rede local e WAN também é conhecida como uma conexão serial ou conexão delinha alugada, porque as linhas são alugadas de uma operadora (normalmente umacompanhia telefônica) e de uso dedicado ao uso pela empresa locadora das linhas. Asempresas pagam por uma conexão contínua entre dois locais remotos, e a linha

 permanece sempre ativa e disponível. Compreender como funcionam os links decomunicação ponto-a-ponto para fornecer acesso a uma WAN é importante para que seobtenha uma compreensão geral de como funcionam as WANs.

O Protocolo ponto a ponto (PPP, Point-to-Point Protocol) fornece conexões de redelocal para WAN com vários protocolos que lidam com TCP/IP, Intercâmbio de pacotes

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 34/350

de redes interconectadas (IPX, Internetwork Packet Exchange) e AppleTalk  simultaneamente. Ele pode ser usado em linhas de par trançado, de fibra óptica e natransmissão via satélite. O PPP fornece transporte em links ATM, Frame Relay, ISDN eópticos. Em redes modernas, a segurança é uma grande preocupação. O PPP permiteautenticar conexões usando o Protocolo de autenticação de senha (PAP, Password

Authentication Protocol ) ou o mais eficiente Protocolo avançado de autenticação dereconhecimento (CHAP, Challenge Handshake Authentication Protocol). Eles serãoapresentados na quarta seção.

 Neste capítulo, você aprenderá os principais conceitos da comunicação serial e comoconfigurar e solucionar problemas de uma conexão serial PPP em um roteador Cisco.

Exibir meio visual 

2.1 Links ponto-a-ponto seriais2.1.1 Apresentando a comunicação serial 

Página 1:

Como funciona a comunicação serial?

Você sabe que a maioria dos PCs têm portas seriais e paralelas. Você também sabe quea eletricidade só pode se mover em uma velocidade. Uma forma de acelerar odeslocamento de bits em um fio é compactar os dados para que menos bits sejamnecessários e, assim, exigir menos tempo no fio ou transmitir os bits simultaneamente.

Os computadores usam um número relativamente pequeno de conexões paralelas entrecomponentes internos, mas usam um barramento serial para converter sinais em grande parte das comunicações externas.

Comparemos as comunicações serial e paralela.

Clique no botão Serial e paralela para ver a animação.

• Com uma conexão serial, as informações são enviadas pelo fio, um bit de dados

 por vez. O conector serial de 9 pinos na maioria dos PCs usa dois fios, um emcada sentido, para a comunicação de dados, além de fios adicionais paracontrolar o fluxo de informações. Em qualquer sentido, os dados continuam

 passando por um único fio.

• Uma conexão paralela envia os bits por mais fios simultaneamente. No caso da porta paralela de 25 pinos do seu PC, há oito fios que transportam dados paratransportar 8 bits simultaneamente. Como há oito fios para transportar os dados,o link paralelo, em teoria, transfere dados oito vezes mais rapidamente do queuma conexão serial. Dessa forma, com base nessa teoria, uma conexão paraleloenvia um byte no momento em que uma conexão serial envia um bit.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 35/350

Essa explicação suscita algumas questões. O que significa, em teoria, mais rápido? Se o paralelo for mais rápido que a serial, ele será mais apropriado à conexão com umaWAN? Na verdade, esses links seriais costumam ser ajustados em uma velocidadeconsideravelmente maior que os links paralelos, e eles conseguem uma taxa de dadosmaior, por conta de dois fatores que afetam a comunicação paralela: diferença de clock 

e interferência de linha cruzada.

Clique no botão Diferença de clock na figura.

Em uma conexão paralela, é errado supor que os 8 bits que saem do remetente juntoscheguem ao destinatário juntos. Na verdade, alguns dos bits chegam lá mais tarde queoutros. Isso é conhecido como diferença de clock. Uma diferença de clock excedentenão é comum. A extremidade receptora deve sincronizar-se com o transmissor eaguardar a chegada de todos os bits. Os processos de leitura, gravação, travamento,espera pelo sinal do clock e transmissão dos 8 bits agregam tempo à transmissão. Em

uma comunicação paralela, a trava é um sistema de armazenamento de dados utilizado para guardar informações em sistemas lógicos seqüenciais. Quanto mais fios vocêutilizar e quanto mais longe chegar a conexão, mais problemas haverá, além da presençado atraso. A necessidade de clocking coloca a transmissão paralela bem abaixo daexpectativas teóricas.

E isto não ocorre com links seriais, porque a maioria deles não precisa de clocking. Asconexões seriais exigem menos fios e cabos. Elas ocupam menos espaço e podem ser mais bem isoladas da interferência entre fios e cabos.

Clique no botão Interferência na figura.

Os fios paralelos são agrupados fisicamente em um cabo paralelo, e os sinais podemficar uns sobre os outros. A possibilidade de linha cruzada nos fios exige mais

 processamento, especialmente em freqüências mais altas. Os barramentos seriais emcomputadores e roteadores, compensam a linha cruzada antes da transmissão dos bits.Como os cabos seriais têm menos fios, há menos linha cruzada, e os dispositivos derede transmitem uma comunicação serial em freqüências mais altas, maiseficientemente.

 Na maior parte dos casos, a implementação da comunicação serial é consideravelmentemais barata. A comunicação serial usa menos fios, cabos mais baratos e menos pinosconectores.

Exibir meio visual 

Página 2:

Padrões de comunicação serial

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 36/350

Todas as comunicações de longa distância e a maioria das redes de computadores usaconexões seriais, porque o custo do cabo e as dificuldades de sincronização tornam asconexões paralelas impraticáveis. A vantagem mais significativa é uma fiação maissimples. Além disso, os cabos seriais podem ser mais longos que os cabos paralelos,

 porque há muito menos interação (linha cruzada) entre os condutores no cabo. Neste

capítulo, restringiremos nossa consideração quanto à comunicação serial à conexão deredes locais com WANs.

A figura é uma representação simples de uma comunicação serial. Os dados sãoencapsulados pelo protocolo de comunicação utilizado pelo roteador de envio. O quadroencapsulado é enviado por um meio físico para a WAN. Há várias formas de atravessar a WAN, mas o roteador de recepção usa o mesmo protocolo de comunicação paradesencapsular o quadro quando ele chega.

Há muitos padrões de comunicação serial diferentes, cada um usando um método de

sinalização diferente. Existem três padrões de comunicação serial importantes queafetam as conexões entre rede local e WAN:

• RS-232 – grande parte das portas seriais em computadores pessoais écompatível com os padrões RS-232C ou RS-422 e RS-423. São usadosconectores de 9 e de 25 pinos. Uma porta serial é uma interface de finalidadegeral que pode ser usada por praticamente qualquer tipo de dispositivo, inclusivemodems, mouses e impressoras. Muitos dispositivos de rede utilizam conectoresRJ-45 que também são compatíveis com o padrão RS-232. A figura mostra umexemplo de um conector RS-232.

• V.35 – normalmente utilizado na comunicação entre modem e multiplexador,este padrão ITU para alta velocidade e troca de dados síncrona, integra a largurade banda de vários circuitos telefônicos. Nos EUA, V.35 é o padrão de interfaceutilizado pela maioria dos roteadores e DSUs que se conectam a operadoras deT1. Os cabos V.35 são conjuntos seriais de alta velocidade projetados parasuportar taxas de dados maiores e conectividade entre DTEs e DCEs em linhasdigitais. Há mais sobre DTEs e DCEs posteriormente nesta seção.

• HSSI – Uma High-Speed Serial Interface (HSSI) suporta taxas de transmissãode até 52 Mb/s. Os engenheiros usam HSSI para conectar roteadores em redeslocais a WANs em linhas de alta velocidade, como linhas T3. Eles também usamHSSI para fornecer conectividade de alta velocidade entre redes locais, usando

Token Ring ou Ethernet. HSSI é uma interface DTE/DCE desenvolvida pelaCisco Systems e pela T3plus Networking para atender à necessidade dacomunicação de alta velocidade em links de WAN.

Clique no botão RS-232 na figura.

Além, de métodos de sinalização diferentes, cada um desses padrões usa tipos diferentesde cabos e conectores. Cada padrão desempenha uma função diferente em umatopologia entre rede local e WAN. Embora este curso não examine os detalhes dosesquemas de pinagem V.35 e HSSI, uma rápida observação do conector RS-232 de 9

 pinos usado para conectar um PC a um modem ajuda a ilustrar o conceito. Um tópico posterior observa os cabos V.35 e HSSI.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 37/350

• Pino 1 – Detecção de operadora de dados (DCD, Data Carrier Detect) indica quea operadora dos dados de transmissão está ativada.

• Pino 2 – o pino de recepção (RXD) transporta dados do dispositivo serial para ocomputador.

• Pino 3 – o pino de transmissão (TxD) transporta dados do computador para odispositivo serial.

• Pino 4 – Terminal de dados pronto (DTR , Data Terminal Ready ) indica para omodem que o computador está pronto para transmissão.

• Pino 5 – terra.

• Pino 6 – Conjunto de dados pronto (DSR , Data Set Ready) é semelhante a DTR.Ele indica que o Dataset está ativado.

• Pino 7 – o pino RTS precisa de folga para enviar dados a um modem.

• Pino 8 – o dispositivo serial utiliza o pino Clear to Send (CTS) para confirmar osinal RTS do computador. Na maioria das situações, RTS e CTS estão sempreativos em toda a sessão de comunicação.

• Pino 9 – um modem de resposta automática utiliza o Ring Indicator (RI) parasinalizar o recebimento de um sinal de toque telefônico.

Os pinos DCD e RI só estão disponíveis em conexões com um modem. Essas duaslinhas são utilizadas raramente porque grande parte dos modems transmite informaçõesde status para um PC quando um sinal de operadora é detectado (quando uma conexão éestabelecida com outro modem) ou quando o modem recebe um sinal de toque da linhatelefônica.

Exibir meio visual 

2.1.2 TDM 

Página 1:

Multiplexação por divisão de tempo

A Bell Laboratories inventou a multiplexação por divisão de tempo (TDM, timedivision multiplexing) para maximizar a quantidade de tráfego de voz transmitido por um meio. Antes da multiplexação, cada chamada telefônica precisava de um link físico

 próprio. Essa era uma solução cara e não escalável. TDM divide a largura de banda deum único link em canais separados ou slots de tempo. TDM transmite dois ou maiscanais pelo mesmo link, alocando um intervalo diferente (slot de tempo) para atransmissão de cada canal. Na verdade, os canais revezam a utilização do link.

TDM é um conceito da camada física. Ele não tem nada a ver com o futuro dasinformações multiplexadas no canal de saída do comando. TDM é independente do

 protocolo de Camada 2 que possa ser utilizado pelos canais de input.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 38/350

TDM pode ser explicada por uma analogia com o tráfego de uma rodovia. Paratransportar o tráfego de quatro estradas para outra cidade, você pode enviar todo ele emuma só pista caso as estradas que se ligam à ela estejam igualmente em boas condiçõese o tráfego esteja sincronizado. Dessa forma, se cada uma das quatro estradas colocar um carro na rodovia principal a cada quatro segundos, ela receberá um carro a cada

segundo. Desde que a velocidade de todos os carros esteja sincronizada, não haverácolisão. No destino, acontece o inverso, e os carros saem da rodovia e entram nasestradas locais pelo mesmo mecanismo síncrono.

Este é o princípio utilizado na TDM síncrona durante o envio de dados por um link. ATDM aumenta a capacidade do link de transmissão, dividindo o tempo em intervalosmenores para que o link transporte os bits de várias origens de input, o que aumentaefetivamente o número de bits transmitidos por segundo. Com TDM, o transmissor e oreceptor sabem exatamente o sinal enviado.

Em nosso exemplo, um multiplexador (MUX) no transmissor aceita três sinais distintos.O MUX divide todo sinal em segmentos. O MUX coloca cada segmento em um únicocanal, inserindo cada segmento em um slot de tempo.

Um MUX na extremidade de recepção reagrupa o fluxo TDM em três fluxos de dados distintos com base exclusivamente no timing de chegada de cada bit. Uma técnicachamada entrelaçamento de bits controla o número e a seqüência dos bits de cadatransmissão específica para que eles possam ser reagrupados de maneira rápida eeficiente em sua forma original durante o recebimento. O entrelaçamento de bits realizaas mesmas funções, mas como há oito bits em cada byte, o processo precisa de um slot

de tempo maior.Exibir meio visual 

Página 2:

Multiplexação estatística por divisão de tempo

Em outra analogia, compare TDM com um trem de 32 vagões. Cada vagão é de umaempresa de frete diferente, e diariamente o trem sai com os 32 vagões em carreira. Se

uma das empresas tiver carga a ser enviada, o vagão será carregado. Se a empresa nãotiver nada para enviar, o vagão permanecerá vazio, mas continuará no trem. Enviar contêineres vazios não é muito eficiente. A TDM apresenta essa deficiência quando otráfego é intermitente, porque o slot de tempo continua alocado, mesmo quando o canalnão tem nenhum dado a ser transmitido.

A Multiplexação estatística por divisão de tempo (STDM, Statistical time-divisionmultiplexing) foi desenvolvida para superar essa deficiência. A STDM utiliza um slotde tempo variável, o que permite aos canais competir por qualquer espaço livre. Eleemprega uma memória de buffer que armazena temporariamente os dados durante

 períodos de pico do tráfego. A STDM não desperdiça tempo de linha de alta velocidadecom canais inativos que utilizam esse esquema. A STDM exige que cada transmissãotransporte informações de identificação (um identificador de canal).

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 39/350

Exibir meio visual 

Página 3:

Exemplos de TDM – ISDN e SONET

Um exemplo de uma tecnologia que utiliza a TDM síncrona é a ISDN. A ISDN basicrate (BRI) tem três canais que consistem em dois canais B de 64 kb/s (B1 e B2) e umcanal D de 16 kb/s. A TDM tem nove slots de tempo, repetidos na seqüência mostradana figura.

Em uma escala maior, o setor de telecomunicação utiliza o padrão SONET ou SDH notransporte óptico dos dados TDM. O SONET, utilizado na América do Norte, e o SDH,utilizado nos demais lugares, são dois padrões muito semelhantes que especificam

 parâmetros de interface, taxas, formatos de quadros, métodos de multiplexação egerenciamento de TDM síncrono por fibra.

Clique no botão SONET na figura.

A figura exibe um exemplo de TDM estatística. SONET/SDH usa n fluxos de bits,multiplexa e modula o sinal de maneira óptica, envia utilizando um dispositivo emissor de luz em fibra com uma taxa de bits igual a (taxa de bits recebidos) x n. Dessa forma, otráfego recebido no multiplexador SONET de quatro locais a 2,5 Gb/s sai como um

único fluxo a 4 x 2,5 Gb/s ou 10 Gb/s. Esse princípio está ilustrado na figura, quemostra um aumento na taxa de bits de quatro vezes o slot de tempo.

Clique no botão DS0 na figura.

A unidade original utilizada em chamadas telefônicas de multiplexação é de 64 kb/s, oque representa uma chamada telefônica. Isso é conhecido como DS-0 ou DS0 (nível desinal digital igual a zero). Na América do Norte, 24 unidades DS0 são multiplexadasutilizando-se a TDM em um sinal da taxa de bits maior com uma velocidade agregadade 1,544 Mb/s para a transmissão em linhas T1. Fora da América do Norte, 32 unidades

DS0 são multiplexadas para a transmissão E1 a 2,048 Mb/s.

A hierarquia em nível de sinal para chamadas telefônicas de multiplexação é mostradana tabela. Como adendo, embora seja comum a referência a uma transmissão a 1,544Mb/s como T1, é mais correto se referir a ela como DS1.

Clique no botão Hierarquia de operadora-T na figura.

A operadora T se refere ao grupo de DS0s. Por exemplo, um T1 = 24 DS0s, um T1C =

48 DS0s (ou 2 T1s) e assim por diante. A figura mostra uma hierarquia de infra-estrutura de operadora T. A hierarquia de operadora E é semelhante.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 40/350

Exibir meio visual 

2.1.3 Ponto de demarcação

Página 1:

Ponto de demarcação

Antes da desregulamentação na América do Norte e nos demais países, as companhiastelefônicas eram proprietárias do loop local, inclusive da fiação e do equipamento localdos clientes. A desregulamentação forçou as companhias telefônicas a desmembrar suainfra-estrutura de loop local para permitir que outros fornecedores cedessemequipamentos e serviços. Isso levou a uma necessidade de delinear a parte da rede de

 propriedade da companhia telefônica e a parte de propriedade do cliente. Esse ponto de

delineação é o de demarcação, ou demarc. A demarcação indica o ponto em que a suarede mantém interface com a rede de propriedade de outra organização. Na terminologiatelefônica, essa é a interface entre o equipamento local do cliente (CPE) e oequipamento da operadora do serviço de rede. A demarcação é o ponto da rede em quecessa a responsabilidade da operadora.

O exemplo apresenta um cenário ISDN. Nos Estados Unidos, uma operadora fornece oloop local no equipamento do cliente, e o cliente fornece o equipamento ativo, como aunidade de serviço do canal/dados (CSU/DSU) em que se encerra o loop local. Esseencerramento costuma ocorrer em um armário de telecomunicação, sendo o cliente oresponsável por manter, trocar ou reparar o equipamento. Em outros países, a unidade

de terminação de rede (NTU) é fornecida e gerenciada pela operadora. Isso permite àoperadora gerenciar ativamente e solucionar problemas do loop local com o ponto dedemarcação após a NTU. O cliente conecta um dispositivo CPE, como um roteador oudispositivo de acesso Frame Relay (FRAD), à NTU utilizando uma interface serial V.35ou RS-232.

Exibir meio visual 

2.1.4 DTE e DCE 

Página 1:DTE-DCE

Do ponto de vista da conexão com a WAN, uma conexão serial tem um dispositivoDTE em uma extremidade da conexão e um dispositivo DCE na outra. A conexão entreos dois dispositivos DCE é a rede de transmissão da operadora WAN. Neste caso:

• O CPE, que costuma ser um roteador, é o DTE. O DTE também pode ser umterminal, computador, impressora ou aparelho de fax, caso eles sejam

conectados diretamente à rede da operadora.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 41/350

• O DCE, normalmente um modem ou CSU/DSU, é o dispositivo utilizado paraconverter os dados do usuário do DTE em uma forma aceitável para o link detransmissão da operadora WAN. Esse sinal é recebido no DCE remoto, quedecodifica o sinal novamente em uma seqüência de bits. Em seguida, o DCEremoto sinaliza essa seqüência para o DTE remoto.

A Associação das indústrias de eletrônica (EIA, Electronics Industry Association ) e oInternational Telecommunication Union Telecommunications Standardization Sector (ITU-T) têm participado ativamente do desenvolvimento de padrões que permitem acomunicação entre os DTEs e os DCEs. A EIA se refere ao DCE como equipamento decomunicação de dados, e o ITU-T se refere ao DCE como equipamento terminal decircuito.

Exibir meio visual 

Página 2:

Padrões de cabo

Originalmente, o conceito de DCEs e DTEs se baseava em dois tipos de equipamento:terminal que gerava ou recebia dados e de comunicação, que apenas retransmitia dados.

 No desenvolvimento do padrão RS-232, havia razões pelas quais os conectores RS-232de 25 pinos nesses dois tipos de equipamento precisavam de fiações diferentes. Essasrazões não são mais significativas, mas ainda temos dois tipos diferentes de cabos: um

 para conectar um DTE a um DCE e outro para conectar dois DTEs diretamente.

A interface DTE/DCE de um determinado padrão define as seguintes especificações:

• Mecânica/física – número de pinos e tipo de conector 

• elétrica – define níveis de tensão para 0 e 1

• Funcional – especifica as funções desempenhadas, atribuindo-se significados acada uma das linhas de sinalização na interface

• Procedimento – especifica a seqüência de eventos para transmitir dados

Clique no botão Modem nulo na figura.

O padrão RS-232 original só definia a conexão de DTEs com DCEs, que eram modems. No entanto, se você quiser conectar dois DTEs, como dois computadores ou doisroteadores no laboratório, um cabo especial chamado modem nulo eliminará anecessidade de um DCE. Em outras palavras, os dois dispositivos podem ser conectadossem um modem. Um modem nulo é um método de comunicação para conectar diretamente dois DTEs, como um computador, terminal ou impressora, utilizando-se umcabo serial RS-232. Com uma conexão de modem nulo, as linhas de transmissão (Tx) ede recepção (Rx) em links cruzados são mostradas na figura. Os dispositivos Ciscosuportam padrões EIA/TIA-232, EIA/TIA-449, V.35, X.21 e EIA/TIA-530.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 42/350

Clique no botão DB-60 na figura.

O cabo da conexão DTE com DCE é um cabo de transição serial blindado. Aextremidade de roteador do cabo de transição serial blindado pode ser um conector DB-60, conectado à porta DB-60 em uma placa de interface WAN serial. A outraextremidade do cabo de transição serial está disponível com um conector apropriado

 para o padrão a ser utilizado. O provedor WAN ou a CSU/DSU normalmente indicaesse tipo de cabo.

Clique no botão Smart Serial na figura.

Para suportar densidades de porta maiores em um form factor, a Cisco apresentou umcabo Smart Serial. A extremidade da interface do roteador do cabo Smart Serial é umconector de 26 pinos muito mais compacto do que o conector DB-60.

Clique no botão Roteador-a-roteador na figura.

Ao utilizar um modem nulo, lembre-se de que a conexão síncrona exige um sinal declock. Um dispositivo externo pode gerar o sinal, ou um dos DTEs pode gerar o sinal declock. Quando um DTE e um DCE forem conectados, a porta serial em um roteador será a extremidade DTE da conexão por padrão, e o sinal de clock será normalmentefornecido por uma CSU/DSU ou um dispositivo DCE. No entanto, ao utilizar um cabode modem nulo em uma conexão roteador-a-roteador, uma das interfaces seriais deveser configurada como a extremidade DCE para fornecer o sinal de clock à conexão.

Exibir meio visual 

Página 3:

Conversão de serial em paralelo

Os termos DTE e DCE estão relacionados quanto à parte de uma rede observada. RS-232C é o padrão recomendado (RS) que descreve a interface física e o protocolo paracomunicação de dados seriais com velocidade relativamente baixa entre computadores edispositivos relacionados. A EIA definiu originalmente o RS-232C para dispositivos deteleimpressora. O DTE é a interface RS-232C utilizada por um computador para trocar dados com um modem ou outro dispositivo serial. O DCE é a interface RS-232Cutilizada por um modem ou outro dispositivo serial na troca de dados com ocomputador.

Por exemplo, o seu PC normalmente utiliza uma interface RS-232C para comunicar etrocar dados com dispositivos seriais conectados, como um modem. O seu PC tambémtem um chip Receptor/transmissor assíncrono universal (UART, UniversalAsynchronous Receiver/Transmitter) na placa-mãe. Como os dados no seu PC fluem

 pelos circuitos paralelos, o chip UART converte os grupos de bits paralelos em umfluxo serial de bits. Para funcionar mais rapidamente, um chip UART tem buffers para

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 43/350

que os dados provenientes do barramento do sistema sejam armazenados em cachedurante o processamento dos dados que saem pela porta serial. O UART é o agente DTE do seu PC e se comunica com o modem ou outro dispositivo serial, que, de acordocom o padrão RS-232C, tem uma interface complementar chamada de interface DCE.

Exibir meio visual 

2.1.5 Encapsulamento HDLC 

Página 1:

Protocolos de encapsulamento WAN

Em cada conexão WAN, os dados são encapsulados em quadros antes de cruzar o link de WAN. Para assegurar que o protocolo correto seja utilizado, você precisa configurar 

o tipo de encapsulamento da Camada 2 apropriado. A opção do protocolo depende datecnologia WAN e do equipamento de comunicação. Os protocolos WAN mais comunse onde eles são utilizados são mostrados na figura, além de breves descrições:

• HDLC – o tipo de encapsulamento padrão em conexões ponto-a-ponto, linksdedicados e conexões de circuito comutado quando o link utilizado doisdispositivos Cisco. HDLC agora é a base para PPP síncrono utilizado por muitosservidores para se conectar a uma WAN, mais normalmente a Internet.

• PPP – fornece conexões roteador-a-roteador e host-a-rede em circuitossíncronos e assíncronos. O PPP funciona com vários protocolos da camada de

rede, como IP e IPX. O PPP também tem mecanismos de segurança internos,como PAP e CHAP. Grande parte deste capítulo aborda o PPP.

• Protocolo de internet de linha serial (SLIP, Serial Line Internet Protocol) – um protocolo padrão para conexões seriais ponto-a-ponto que utiliza TCP/IP. OSLIP foi amplamente desbancado por PPP.

• X.25/Procedimento de acesso ao link, balanceado (LAPB, Link AccessProcedure, Balanced) – o padrão ITU-T que define como a conexão entre umDTE e um DCE é mantida para acesso ao terminal remoto e uma comunicaçãodo computador em redes de dados públicas. X.25 especifica LAPB, um

 protocolo DLL (camada de enlace). X.25 é um antecessor do Frame Relay.

•

Frame Relay – protocolo DLL, padrão, comutado, que lida com vários circuitosvirtuais. Frame Relay é um protocolo da geração seguinte à do X.25. FrameRelay elimina alguns dos processos mais demorados (como correção de erro econtrole de fluxo) empregados no X.25. O próximo capítulo se destina ao FrameRelay.

• ATM – o padrão internacional de retransmissão de célula no qual osdispositivos enviam vários tipos de serviço (como voz, vídeo ou dados) emcélulas de tamanho fixo (53 bytes). As células de tamanho fixo permitem que o

 processamento ocorra no hardware, o que reduz atrasos de trânsito. O ATMusufrui meio de transmissão de alta velocidade, como E3, SONET e T3.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 44/350

Página 2:

Encapsulamento HDLC

HDLC é um  protocolo orientado para bit da camada de enlace síncrono desenvolvido pela Organização internacional para padronização (ISO, International Organization for Standardization). O padrão atual do HDLC é ISO 13239. O HDLC foi desenvolvido a

 partir do padrão Controle de enlace de dados síncrono (SDLC, Synchronous Data Link Control) proposto nos anos 70. O HDLC fornece serviços orientados à conexão e semconexão.

O HDLC utiliza transmissão serial síncrona para fornecer uma comunicação sem errosentre dois pontos. O HDLC define uma estrutura de quadros da Camada 2 que permite ocontrole de fluxo e o controle de erros por meio da utilização de confirmações. Cadaquadro tem o mesmo formato, independentemente do quadro ser de dados ou decontrole.

Quando quiser transmitir quadros por links síncronos ou assíncronos, você deverá selembrar de que esses links não têm nenhum mecanismo para marcar o início ou otérmino dos quadros. O HDLC utiliza um delimitador de quadros, ou flag, para marcar oinício e o término de cada quadro.

A Cisco desenvolveu uma extensão para o protocolo HDLC a fim de resolver a

impossibilidade de fornecer suporte a vários protocolos. Embora o Cisco HDLC(também conhecido como cHDLC) seja próprio, a Cisco permitiu sua implementação por muitos outros fornecedores de equipamentos. Os quadros Cisco HDLC contêm umcampo para identificar o protocolo de rede encapsulado. A figura compara o HDLC como Cisco HDLC.

Clique no botão Tipos de quadro HDLC na figura.

O HDLC define três tipos de quadros, cada um com um formato de campo de controlediferente. As seguintes descrições resumem os campos ilustrados na figura.

Flag – o campo de flag inicia e encerra a verificação de erros. O quadro sempre começae termina com um campo de flag de 8 bits. O de bits é 01111110. Como existe uma

 probabilidade de que esse padrão ocorra nos dados reais, como o sistema HDLC deenvio sempre insere um bit 0 após cada cinco 1s no campo de dados, na prática, aseqüência do flag só pode ocorrer no encerramento do quadro. O sistema de recepçãoremove os bits inseridos. Quando os quadros são transmitidos de maneira consecutiva, oflag final do primeiro quadro é utilizado como o flag inicial do próximo quadro.

Endereço – o campo de endereço contém o endereço HDLC da estação secundária.Esse endereço pode ser um específico, um de grupos ou um endereço de broadcast. Um

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 45/350

endereço primário é uma origem ou um destino de comunicação, que elimina anecessidade de incluir o endereço do primário.

Controle – o campo de controle utiliza três formatos diferentes, dependendo do tipo dequadro HDLC utilizado:

• Quadro de informações (I): os quadros I transportam informações de camadasuperior e algumas informações de controle. Esse quadro envia e recebenúmeros de sequência, e o bit poll final (P/F) executa o controle de fluxo e deerro. O número de seqüência de envio consulta o número do quadro a ser enviado em seguida. O número de seqüência de recebimento fornece o númerodo quadro a ser recebido em seguida. O remetente e o receptor mantêm númerosde seqüência de envio e de recebimento. Uma estação primária utiliza o bit P/F

 para informar à secundária se exige ou não uma resposta imediata. Uma estaçãosecundária utiliza o bit P/F para informar à primária se o quadro atual é o último

em sua resposta atual.• Quadro de supervisor (S): os quadros S fornecem informações de controle.

Um quadro S pode solicitar e suspender a transmissão, o relatório de status e aconfirmação de recebimento dos quadros I. Os quadros S não têm um campo deinformações.

• Quadro sem número (U): os quadros U suportam finalidades de suporte, nãoestando em seqüência. Um quadro U pode ser utilizado para inicializar secundários. Dependendo da função do quadro U, seu campo de controle tem 1ou 2 bytes. Alguns quadros U não têm um campo de informações.

Protocolo – (utilizado apenas no Cisco HDLC) esse campo especifica o tipo de protocolo encapsulado dentro do quadro (por exemplo, 0x0800 para IP).

Dados – o campo de dados contém uma unidade de informações sobre o caminho (PIU)ou informações de identificação de troca (XID).

Seqüência de verificação de quadros (FCS) – o FCS precede o delimitador de flagfinal, sendo normalmente um lembrete de cálculo da verificação de redundância cíclica(CRC). O cálculo de CRC é refeito no receptor. Se o resultado for diferente do valor no

quadro original, haverá a pressuposição de um erro.Exibir meio visual 

2.1.6 Configurando o encapsulamento HDLC 

Página 1:

Configurando o encapsulamento HDLC

Cisco HDLC é o método de encapsulamento padrão utilizado por dispositivos Cisco emlinhas seriais síncronas.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 46/350

Você utiliza o Cisco HDLC como um protocolo ponto-a-ponto em linhas alugadas entredois dispositivos Cisco. Se você estiver se conectando a um dispositivo que não sejaCisco, utilize PPP síncrono.

Se o método de encapsulamento padrão tiver sido alterado, utilize o comandoencapsulation hdlc no modo privilegiado para reabilitar o HDLC.

Há duas etapas para habilitar o encapsulamento HDLC:

Etapa 1. Entrar no modo de configuração da interface serial.

Etapa 2. Digitar o comando encapsulation hdlc para especificar o protocolo de

encapsulamento na interface.Exibir meio visual 

2.1.7 Identificação e solução de problemas de uma interface serial 

Página 1:

A saída do comando show interfaces serial exibe informações específicas parainterfaces seriais. Quando o HDLC é configurado, o "HDLC de encapsulamento" devese refletir na saída do comando, conforme realçado na figura.

Clique no botão Estados possíveis na figura.

O comando show interface serial retorna um dos cinco estados possíveis. Você podeidentificar qualquer um dos cinco estados de problema possíveis na linha de status dainterface:

Clique no botão Status na figura.

• Serial x is down, line protocol is down

• Serial x is up, line protocol is down

• Serial x is up, line protocol is up (looped)

• Serial x is up, line protocol is down (disabled)

• Serial x is administratively down, line protocol is down

Clique no botão Controladores na figura.

O comando show controllers é outra ferramenta de diagnóstico importante durante asolução de problemas de linhas seriais. A saída do comando indica o estado dos canais

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 47/350

de interface e se um cabo está conectado à interface. Na figura, a interface serial 0/0 temum cabo DCE V.35 conectado. A sintaxe de comando varia de acordo com a

 plataforma. Os roteadores da série Cisco 7000 utilizam uma placa controladora cBus para a conexão de links seriais. Com esses roteadores, utilize o comando showcontrollers cbus.

Se a saída do comando da interface elétrica for mostrada como UNKNOWN, e nãoV.35, EIA/TIA-449 ou algum outro tipo de interface elétrica, o possível problema seráum cabo conectado incorretamente. Também é possível que haja um problema com afiação interna da placa. Se a interface elétrica for desconhecida, a tela correspondentedo comando show interfaces serial <x> mostrará que a interface e o protocolo de linhaestão desativados.

Exibir meio visual 

Página 2:

 Nesta atividade, você irá praticar a solução de problemas em interfaces seriais. Sãofornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

Página 3:Exibir meio visual 

2.2 Conceitos de PPP2.2.1 Apresentando o PPP 

Página 1:O que é PPP?

Lembre-se de que o HDLC é o método de encapsulamento serial padrão quando vocêconecta dois roteadores Cisco. Com um tipo de campo de protocolo adicionado, aversão Cisco do HDLC é própria. Por isso, o Cisco HDLC só pode funcionar comoutros dispositivos Cisco. No entanto, ao precisar se conectar a um roteador que nãoseja Cisco, você deve utilizar o encapsulamento PPP.

O encapsulamento PPP foi projetado cuidadosamente para manter a compatibilidadecom o hardware de suporte mais utilizado. O PPP encapsula quadros de dados paratransmissão em links físicos da Camada 2. O PPP estabelece uma conexão direta

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 48/350

utilizando cabos seriais, linhas telefônicas, linhas de tronco, telefones celulares, links derádio especiais ou links de fibra óptica. Há muitas vantagens em utilizar PPP, inclusiveo fato de não ser propriedade de ninguém. Além disso, ele inclui muitos recursos nãodisponíveis no HDLC:

• O recurso de gerenciamento de qualidade do link monitora a qualidade do link.Se forem detectados muitos erros, o PPP desativará o link.

• O PPP suporta a autenticação PAP e CHAP. Este recurso será explicado e praticado em uma seção posterior.

PPP contém três componentes principais:

• O protocolo HDLC para encapsulamento de datagramas em links ponto-a-ponto.

• Protocolo de controle do link extensível (LCP, Link Control Protocol) paraestabelecer, configurar e testar a conexão do link de dados.

• Família de Protocolos de controle de rede ( NCP, Network Control Protocol) para estabelecer e configurar protocolos da camada de rede diferentes. O PPP permite a utilização simultânea de vários protocolos da camada de rede. Algunsdos NCPs mais comuns são o Protocolo de controle de protocolo da internet,Protocolo de controle Appletalk, Protocolo de controle Novell IPX, Protocolo decontrole Cisco Systems, Protocolo de controle SNA e Protocolo de controle decompressão.

Exibir meio visual 

2.2.2 Arquitetura de camadas PPP 

Página 1:

Arquitetura PPP

Uma arquitetura de camadas é um modelo lógico, design ou plano que auxilia nacomunicação entre camadas de interconexão. A figura mapeia a arquitetura de camadasdo PPP em relação ao modelo Open System Interconnection (OSI). PPP e OSI têm a

mesma camada física, mas PPP distribui as funções de LCP e NCP de maneiradiferente.

 Na camada física, você pode configurar o PPP em várias interfaces, incluindo:

• Serial assíncrona

• Serial síncrona

• HSSI

• ISDN

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 49/350

O PPP funciona em qualquer interface DTE/DCE (RS-232-C, RS-422, RS-423 ouV.35). O único requisito absoluto imposto pelo PPP é um circuito bidirecional, dedicadoou comutado, capaz de funcionar em modos seriais de bits assíncronos ou síncronos,transparentes para quadros de camada de enlace PPP. O PPP não impõe nenhumarestrição quanto à taxa de transmissão que não seja a imposta pela interface DTE/DCE

em particular sendo utilizada.

Grande parte do trabalho feito pelo PPP acontece nas camadas de enlace e de rede peloLCP e pelos NCPs. O LCP configura a conexão PPP e seus parâmetros, os NCPs lidamcom configurações de protocolo da camada superior e o LCP encerra a conexão PPP.

Exibir meio visual 

Página 2:

Arquitetura PPP – camada Link Control Protocol

O LCP é a parte funcional real do PPP. O LCP fica acima da camada física e tem umafunção de estabelecer, configurar e testar a conexão de enlace. O LCP estabelece o link 

 ponto-a-ponto. O LCP também negocia e configura opções de controle no vínculoWAN, que são tratadas pelo NCPs.

O LCP fornece a configuração automática das interfaces em cada extremidade,incluindo:

• Lidar com limites variáveis de tamanho de pacote

• Detectar erros mais comuns de configuração incorreta

• Encerrar o link 

• Determinar quando um link está funcionando corretamente ou quando há falha

O PPP também utiliza o LCP para determinar automaticamente os formatos deencapsulamento (autenticação, compressão, detecção de erros) assim que o link éestabelecido.

Exibir meio visual 

Página 3:

Arquitetura PPP – Camada de protocolo de controle de rede

Os links ponto-a-ponto tendem a piorar muitos problemas com a família atual de protocolos de rede. Por exemplo, a atribuição e o gerenciamento de endereços IP, quesão problemáticos até mesmo em ambientes de rede local, são especialmente difíceis em

links ponto-a-ponto de circuito comutado (como servidores de modem dialup). O PPPresolve esses problemas que utilizam NCPs.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 50/350

O PPP permite a vários protocolos da camada de rede funcionar no mesmo link decomunicação. Para todos os protocolo da camada de rede utilizados, o PPP utiliza um

 NCP em separado. Por exemplo, IP utiliza o Protocolo de controle IP (IPCP, IP ControlProtocol), e o IPX utiliza o Protocolo de controle Novell IPX (IPXCP, IPX Control

Protocol).

Clique no botão Camada de rede na figura.

Os NCPs incluem campos funcionais que contêm códigos padronizados (os números decampo do protocolo PPP mostrados na figura) para indicar o protocolo da camada derede encapsulado pelo PPP. Cada NCP gerencia as necessidades específicas exigidas

 por seus respectivos protocolos da camada de rede. Os vários componentes NCPencapsulam e negociam opções para vários protocolos da camada de rede. A utilizaçãode NCPs para configurar os vários protocolos da camada de rede será explicada e

 praticada posteriormente neste capítulo.Exibir meio visual 

2.2.3 Estrutura de quadros de PPP 

Página 1:

Estrutura de quadros de PPP

Um quadro PPP tem seis campos conforme mostrados na figura.

Passe o seu mouse sobre cada campo para obter uma explicação do que cada umcontém.

O LCP pode negociar modificações na estrutura do quadro PPP padrão.

Exibir meio visual 

2.2.4 Estabelecendo uma sessão PPP 

Página 1:

Estabelecendo uma sessão PPP

A figura mostra as três fases do estabelecimento de uma sessão PPP:

• Fase 1: estabelecimento do link e negociação da configuração – antes do PPP

trocar diagramas da camada de rede (por exemplo, IP), o LCP deve abrir  primeiro a conexão e negociar as opções de configuração. Essa fase é concluída

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 51/350

quando o roteador de recebimento envia um quadro de confirmação daconfiguração de volta para o roteador que inicia a conexão.

• Fase 2: determinação da qualidade do link (opcional) – o LCP testa o link  para determinar se a qualidade do link é suficiente para carregar protocolos dacamada de rede. O LCP pode atrasar a transmissão das informações do protocolo

da camada de rede até a conclusão dessa fase.• Fase 3: negociação da configuração do protocolo da camada de rede – 

depois que o LCP conclui a fase de determinação da qualidade do link, o NCPapropriado pode configurar separadamente os protocolos da camada de rede,carregá-los e desativá-los a qualquer momento. Se o LCP fechar o link, eleinformará os protocolos da camada de rede para que eles possam executar a açãoapropriada.

O link continua configurado para comunicação até que os quadros LCP ou NCPexplícitos fechem o link ou até que ocorra algum evento externo (por exemplo, um

temporizador de inatividade expira ou um usuário intervém). O LCP pode encerrar olink a qualquer momento. Isso costuma ser feito quando um dos roteadores solicita oencerramento, mas pode acontecer por conta de um evento físico, como a perda de umaoperadora ou a expiração de um temporizador de período inativo.

Exibir meio visual 

2.2.5 Estabelecendo um link com LCP 

Página 1:

Funcionamento LCP

O funcionamento LCP inclui provisões para o estabelecimento, a manutenção e oencerramento do link. O funcionamento LCP utiliza três classes de quadros LCP pararealizar o trabalho de cada uma das fases LCP:

• Quadros de estabelecimento de link estabelecem e configuram um link (Configure-Request, Configure-Ack , Configure- Nak e Configure-Reject)

• Quadros de manutenção de link gerenciam e depuram um link (Code-Reject,

Protocol-Reject, Echo-Request, Echo-Reply e Discard-Request)• Quadros de encerramento de link encerram um link (Terminate-Request e

Terminate-Ack)

A primeira fase do funcionamento LCP é o estabelecimento do link. Essa fase deve ser concluída com êxito, antes de troca de qualquer pacote da camada de rede. Durante oestabelecimento do link, o LCP abre a conexão e negocia os parâmetros daconfiguração.

Clique no botão Negociação de link na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 52/350

O processo de estabelecimento do link começa com o dispositivo iniciador enviando umquadro Configure-Request para o destinatário. O quadro Configure-Request inclui umnúmero variável de opções de configuração necessárias à configuração no link. Emoutras palavras, o iniciador enviou uma "lista de desejos" para o destinatário.

A lista de desejos do iniciador inclui opções para como ele deseja que o link seja criado,inclusive protocolo ou parâmetros de autenticação. O destinatário processa a lista dedesejos e, se aceitável, responde com uma mensagem Configure-Ack. Depois de receber a mensagem Configure-Ack, o processo passa ao estágio de autenticação.

Se as opções não forem aceitáveis ou não forem reconhecidas, o destinatário enviará umConfigure-Nak ou Configure-Reject. Se uma Configure-Ack for recebida, ofuncionamento do link será passado ao NCP. Se uma mensagem Configure-Nak ouConfigure-Reject for enviada para o solicitante, o link não será estabelecido. Se houver falha na negociação, o iniciador precisará reiniciar o processo com novas opções.

Durante a manutenção do link, o LCP pode utilizar mensagens para fornecer comentários e testar o link.

• Code-Reject e Protocol-Reject – esses tipos de quadro fornecem comentáriosquando um dispositivo recebe um quadro inválido devido a um código LCP nãoreconhecido (tipo de quadro LCP) ou um identificador de protocolo inválido.Por exemplo, se um pacote que não pode ser interpretado for recebido no mesmonível, o pacote Code-Reject será enviado em resposta.

•

Echo-Request, Echo-Reply e Discard-Request – esses quadros podem ser utilizados para testar o link.

Depois da transferência de dados na camada de rede, o LCP encerra o link. Na figura,observe que o NCP só finaliza a camada de rede e o link NCP. O link continua abertoaté que o LCP seja encerrado. Se o LCP encerrar o link antes do NCP, a sessão  NCPtambém será encerrada.

O PPP pode encerrar o link a qualquer momento. Isso pode acontecer por conta da perdada operadora, da falha na autenticação, da falha na qualidade do link, da expiração de

um temporizador de período inativo ou do fechamento administrativo do link. O LCPfecha o link, trocando pacotes Terminate. O dispositivo que inicia o desligamento enviauma mensagem Terminate-Request. O outro dispositivo responde com um Terminate-Ack. Uma solicitação de encerramento indica que o dispositivo de envio precisa fechar o link. Quando o link for fechado, o PPP informará os protocolos da camada de rede

 para que eles possam executar a ação apropriada.

Exibir meio visual 

Página 2:

Pacote LCP

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 53/350

A figura mostra os campos de um pacote LCP.

Passe o mouse sobre cada campo e leia a descrição.

Cada pacote LCP é uma mensagem LCP única que consiste em um campo de códigoLCP que identifica o tipo de pacote LCP, um campo identificador para que assolicitações e as respostas sejam correspondentes e um campo de tamanho que indica otamanho do pacote LCP e os dados específicos do tipo.

Clique no botão Códigos LCP na figura.

Cada pacote LCP tem uma função específica na troca de informações sobre a

configuração que depende do tipo de pacote. O campo de código do pacote LCPidentifica o tipo de pacote de acordo com a tabela.

Exibir meio visual 

Página 3:

Opções de configuração PPP

O PPP pode ser configurado para suportar várias funções, inclusive:

• Autenticação que utiliza PAP ou CHAP

• Compressão que utiliza Stacker ou Predictor 

• Vários links que integram dois ou mais canais para aumentar a largura de bandaWAN

Essas opções serão abordadas com mais detalhes na próxima seção.

Clique no botão Campo de opção LCP na figura.

Para negociar a utilização dessas opções PPP, os quadros de estabelecimento do link LCP contêm informações de opção no campo de dados do quadro LCP. Se uma opçãode configuração não for incluída em um quadro LCP, o valor padrão dessa opção deconfiguração será assumido.

Essa fase é concluída quando um quadro de confirmação da configuração foi enviado erecebido.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 54/350

2.2.6 Explicação do NCP 

Página 1:

Processo NCP

Depois que o link for iniciado, o LCP passará o controle para o NCP apropriado.Embora inicialmente projetado para datagramas IP, o PPP pode transportar dados demuitos tipos de protocolos da camada de rede, utilizando uma abordagem modular emsua implementação. Ele também pode transportar dois ou mais protocolos da Camada 3simultaneamente. O modelo modular permite ao LCP configurar o link e apresentar osdetalhes de um protocolo de rede a um NCP específico. Cada protocolo de rede tem um

 NCP correspondente. Cada NCP tem uma RFC correspondente. Há NCPs para IP, IPX,AppleTalk e muitos outros. NCPs utilizam o mesmo formato de pacote dos LCPs.

Depois que o LCP configurou e autenticou o link básico, o NCP apropriado serárequisitado para concluir a configuração específica do protocolo da camada de redeutilizado. Quando o NCP configurar o protocolo da camada de rede com êxito, o

 protocolo de rede estará no estado aberto no link TCP estabelecido. Nesse momento, oPPP pode transportar os pacotes do protocolo da camada de rede correspondentes.

Exemplo de IPCP

Como um exemplo de como funciona a camada NCP, IP, que é o protocolo da Camada3 mais comum, é utilizado. Depois que LCP estabelece o link, os roteadores trocammensagens IPCP, negociando opções específicas do protocolo. O IPCP é responsável

 por configurar, habilitar e desabilitar os módulos IP em ambas as extremidades do link.

O IPCP negocia duas opções:

• Compressão – permite aos dispositivos negociar um algoritmo para comprimir os cabeçalhos TCP e IP e economizar largura de banda. A compressão decabeçalho TCP/IP Van Jacobson reduz o tamanho dos cabeçalhos TCP/IP para

menos de 3 bytes. Essa pode ser uma melhoria significativa em linhas seriaislentas, especialmente no tráfego interativo.

• Endereço IP – permite ao dispositivo de início especificar um endereço IP parautilizar IP de roteamento no link PPP ou solicitar um endereço IPP para odestinatário. Os links de rede dialup utilizam mais a opção de endereço IP.

Quando o processo NCP estiver concluído, o link entrará no estado aberto e o LCPreassumirá. O tráfego de link consiste em todas as combinações possíveis de pacotes de

 protocolos LCP, NCP e da camada de rede. Dessa forma, a figura mostra como asmensagens LCP podem ser utilizadas por um dispositivo para gerenciar ou depurar o

link.Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 55/350

Página 2:Exibir meio visual 

2.3 Configurando PPP2.3.1 Opções de configuração PPP 

Página 1:

Opções de configuração PPP

 Na seção anterior, você foi apresentado a opções LCP que podem ser configuradas paraatender a requisitos de conexão WAN específicos. PPP pode incluir as seguintes opções

de LCP:

• Autenticação – os roteadores de mesmo nível trocam mensagens deautenticação. As duas opções de autenticação são o Protocolo de autenticação desenha (PAP, Password Authentication Protocol) e o Protocolo avançado deautenticação de reconhecimento (CHAP, Challenge Handshake AuthenticationProtocol). A autenticação será explicada na próxima seção.

• Compressão – aumenta a  produtividade efetiva em conexões PPP, reduzindo aquantidade de dados no quadro que devem percorrer o link. O protocolodescompacta o quadro em seu destino. Os dois protocolos de compressão

disponíveis em roteadores Cisco são Stacker e Predictor.• Detecção de erros – identifica condições de falha. As opções Qualidade e

Magic Number ajudam a assegurar um enlace de dados confiável, sem loops. Ocampo Magic Number ajuda a detectar links que estejam em uma condição deloopback. Até que a opção de configuração do magic number seja negociadacom êxito, este deve ser transmitido como zero. Os números mágicos (magicnumbers) são gerados aleatoriamente ao final de cada conexão.

• Vários links – o Cisco IOS Release 11.1 e posteriores suportam PPP de várioslinks. Essa alternativa fornece balanceamento de carga nas interfaces de roteador utilizadas pelo PPP. O PPP multilink (também conhecido como MP, MPPP,MLP ou multilink) fornece um método para espalhar o tráfego em vários linksde WAN físicos ao mesmo tempo em que fornece a fragmentação e aremontagem de pacotes, o seqüenciamento apropriado, a interoperabilidade comvários fornecedores e o balanceamento de carga no tráfego de entrada e de saída.O multilink PPP não é abordado neste curso.

• Retorno PPP – para aperfeiçoar a segurança, o Cisco IOS Release 11.1 e posteriores oferecem PPP callback. Com essa opção LCP, um roteador Cisco pode funcionar como um cliente ou um servidor de retorno. O cliente faz achamada inicial, solicita que o servidor a retorne e encerra sua chamada inicial.O roteador de retorno responde a chamada inicial e faz a chamada de retorno

 para o cliente com base em suas instruções de configuração. O comando é ppp

callback [accept | request].

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 56/350

Quando as opções são configuradas, um valor de campo correspondente é inserido nocampo de opção LCP.

Exibir meio visual 

2.3.2 Comandos de configuração PPP 

Página 1:

Comandos de configuração PPP

Antes de você efetivamente configurar o PPP em uma interface serial, observaremos oscomandos e suas sintaxes conforme mostrado na figura. Esta série de exemplos mostracomo configurar o PPP e algumas das opções.

Exemplo 1: habilitando o PPP em uma interface

Para definir o PPP como o método de encapsulamento utilizado por uma interface serialou ISDN, utilize o comando de configuração da interface encapsulation ppp.

O seguinte exemplo habilita o encapsulamento PPP na interface serial 0/0/0:

R3#configure terminal

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp

O comando encapsulation ppp não tem nenhum argumento, mas você deve primeiroconfigurar o roteador com um protocolo de roteamento IP para utilizar oencapsulamento PPP. Você deve se lembrar de que, se não configurar o PPP em umroteador Cisco, o encapsulamento padrão das interfaces seriais é HDLC.

Exemplo 2: compressão

Você pode configurar a compressão de software ponto-a-ponto em interfaces seriaisdepois de habilitar o encapsulamento PPP. Como essa opção requisita um processo decompressão de software, ela pode afetar o desempenho do sistema. Se o tráfego jáconsistir em arquivos compactados (.zip, .tar ou .mpeg, por exemple), não utilize essaopção. A figura mostra a sintaxe do comando compress.

Para configurar a compressão em PPP, digite os seguintes comandos:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 57/350

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp

R3(config-if)#compress [predictor | stac]

Exemplo 3: monitoramento de qualidade do link 

Lembre-se da nossa discussão das fases LCP e de que ele fornece uma fase dedeterminação da qualidade do link opcional. Nessa fase, o LCP testa o link paradeterminar se sua qualidade é suficiente para utilizar protocolos da Camada 3. Ocomando ppp quality percentual assegura que o link atende ao requisito de qualidadedeterminado por você; do contrário, o link é fechado.

Os percentuais são calculados nos sentidos de entrada e de saída. A qualidade de saída écalculada comparando-se o número total de pacotes e bytes enviados com o númerototal de pacotes e bytes recebidos pelo nó de destino. A qualidade de entrada é calculadacomparando-se o número total de pacotes e bytes recebidos com o número total de

 pacotes e bytes enviados pelo nó de destino.

Se o percentual de qualidade do link não for mantido, o link será considerado de máqualidade, sendo desativado. O Link Quality Monitoring (LQM) implementa um retardo

 para que o link não fique sendo ativado e desativado.

Essa configuração de exemplo monitora os dados ignorados no link e evita o loop dequadros:

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp

R3(config-if)#ppp quality 80

Utilize o comando no ppp quality para desabilitar LQM.

Exemplo 4: balanceamento de carga nos links

O PPP multilink (também conhecido como MP, MPPP, MLP ou Multilink) fornece ummétodo para espalhar o tráfego em vários links de WAN físicos ao mesmo tempo emque fornece a fragmentação e a remontagem de pacotes, o seqüenciamento apropriado, a

interoperabilidade com vários fornecedores e o balanceamento de carga no tráfego deentrada e de saída.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 58/350

O MPPP permite que os pacotes sejam fragmentados e envia esses fragmentossimultaneamente em vários links ponto-a-ponto para o mesmo endereço remoto. Osvários links físicos surgem em resposta a um limite de carga definido pelo usuário. OMPPP pode medir a carga quanto ao tráfego de entrada ou de saída, mas não quanto à

carga combinada de ambos os tráfegos.

Os seguintes comandos realizam o balanceamento de carga em vários links:

Router(config)#interface serial 0/0/0

Router(config-if)#encapsulation ppp

Router(config-if)#ppp multilink 

O comando multilink não tem nenhum argumento. Para desabilitar vários links PPP,utilize o comando no ppp multilink .

Exibir meio visual 

2.3.3 Verificando uma config. de encapsulamento PPP serial 

Página 1:Verificando uma configuração de encapsulamento PPP

Utilize o comando show interfaces serial para verificar a configuração apropriada doencapsulamento HDLC ou PPP. A saída do comando na figura mostra umaconfiguração PPP.

Quando você configura o HDLC, a saída do comando show interfaces serial devemostrar "encapsulation HDLC". Ao configurar o PPP, você pode verificar seus estadosLCP e NCP.

Clique no botão Comandos na figura.

A figura resume comandos utilizados durante a verificação do PPP.

Exibir meio visual 

2.3.4 Identificação e solução de problemas do encapsulamento PPP 

Página 1:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 59/350

Identificando e solucionando problemas da configuração de encapsulamento serial

Agora você sabe que o comando debug é utilizado para solucionar problemas, sendoacessado no modo exec privilegiado da interface da linha de comando. Debug exibeinformações sobre várias operações do roteador e o tráfego relacionado gerado ourecebido pelo roteador, bem como qualquer mensagem de erro. Essa é uma ferramentamuito útil e informativa, mas você deve sempre se lembrar de que o Cisco IOS trata adepuração como uma tarefa de alta prioridade. Isso pode consumir um volumesignificativo de recursos, e o roteador é forçado a processar a comutação dos pacotesdepurados . Debug não deve ser utilizado como uma ferramenta de monitoramento – elefoi projetado para ser utilizado por um curto período para solução de problemas. Aosolucionar problemas de uma conexão serial, você utiliza a mesma abordagem utilizadaem outras tarefas de configuração.

Utilize o comando debug ppp para exibir informações sobre o funcionamento do PPP.

A figura mostra a sintaxe do comando. A forma no desse comando desabilita a saída docomando de depuração.

Exibir meio visual 

Página 2:

Saída do comando debug ppp packet

Um bom comando a ser utilizado durante a solução de problemas do encapsulamento de

interface serial é o comando debug ppp packet. O exemplo na figura é a saída docomando debug ppp packet conforme visto no lado Link Quality Monitor (LQM) daconexão. Esse exemplo mostra trocas de pacotes segundo o funcionamento do PPPnormal. Essa é apenas uma lista parcial, mas suficiente para aprontá-lo para olaboratório prático.

Observe cada linha na saída do comando e compare-a com o significado do campo.Utilize o seguinte para orientar sua análise da saída do comando.

•

PPP – saída do comando de depuração PPP.• Serial2 – número de interface associado a essas informações de depuração.

• (o), O – o pacote detectado é um pacote de saída do comando.

• (i), I – o pacote detectado é um pacote de input.

• lcp_slqr() – nome de procedimento; LQM em execução, envio de um Link Quality Report (LQR).

• lcp_rlqr() – nome de procedimento; LQM em execução, recebimento de umLQR.

• input (C021) – roteador recebeu um pacote do tipo de pacote especificado (em

hexadecimal). Um valor de C025 indica o pacote do tipo LQM.• state = OPEN – estado PPP; o estado normal é OPEN.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 60/350

• magic = D21B4 – Número mágico do nó indicado; quando não há uma saída docomando indicada, esse é o Número mágico do nó em que a depuração éhabilitada. O Número mágico real depende da detecção do pacote conforme aindicação I ou O.

• datagramsize = 52 – tamanho do pacote incluindo cabeçalho.

• code = ECHOREQ(9) – identifica o tipo de pacote recebido nas formas dacadeia de caracteres e hexadecimal.

• len = 48 – tamanho do pacote sem cabeçalho.

• id = 3 – número da ID por formato de pacote Link Control Protocol (LCP).

•  pkt type 0xC025 – tipo de pacote em hexadecimal; os tipos de pacote comunssão C025 para LQM e C021 para LCP.

• LCP ECHOREQ (9) – solicitação de eco; valor entre parênteses é arepresentação hexadecimal do tipo LCP.

• LCP ECHOREP (A) – resposta de eco; valor entre parênteses é a representação

hexadecimal do tipo LCP.Exibir meio visual 

Página 3:

Saída do comando debug ppp negotiation

A figura mostra a saída do comando debug ppp negotiation em uma negociaçãonormal, na qual ambos os lados aceitam parâmetros NCP. Nesse caso, o tipo de

 protocolo IP é proposto e confirmado. Usando a saída do comando uma ou duas linhas por vez:

As duas primeiras linhas indicam que o roteador está tentando carregar o LCP e usarãoas opções de negociação indicadas (Protocolo de qualidade e Número mágico). Oscampos de valor são os valores das próprias opções. Há conversão de C025/3E8 emQuality Protocol LQM. 3E8 é o período de relatório (em centésimos de segundo).3D56CAC é o valor do Número mágico do roteador.

 ppp: sending CONFREQ, type = 4 (CI_QUALITYTYPE), value = C025/3E8

 ppp: sending CONFREQ, type = 5 (CI_MAGICNUMBER), value = 3D56CAC

As próximas duas linhas indicam que o outro lado negociou as opções 4 e 5 e que elesolicitou e confirmou ambas. Se a extremidade de resposta não suportar as opções, o nóde resposta enviará um CONFREJ. Se a extremidade de resposta não aceitar o valor daopção, ela enviará um CONFNAK com o campo de valor modificado.

 ppp: received config for type = 4 (QUALITYTYPE) acked

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 61/350

 ppp: received config for type = 5 (MAGICNUMBER) value = 3D567F8 acked (ok)

As próximas três linhas indicam que o roteador recebeu um CONFACK do lado deresposta e exibem os valores de opção aceitos. Utilize o campo rcvd id para verificar seCONFREQ e CONFACK têm o mesmo campo id.

PPP Serial2: state = ACKSENT fsm_rconfack(C021): rcvd id 5

 ppp: config ACK received, type = 4 (CI_QUALITYTYPE), value = C025

 ppp: config ACK received, type = 5 (CI_MAGICNUMBER), value = 3D56CAC

A próxima linha indica que o roteador tem roteamento IP habilitado nessa interface eque o IPCP NCP foi negociado com êxito.

 ppp: ipcp_reqci: returning CONFACK (ok)

Exibir meio visual 

Página 4:

Saída do comando debug ppp error

Você pode utilizar o comando debug ppp error para exibir os erros de protocolo e asestatísticas de erro associadas à negociação e ao funcionamento da conexão PPP. Essasmensagens podem ser exibidas quando a opção Protocolo de qualidade está habilitadaem uma interface com o PPP já em execução. A figura mostra um exemplo.

Observe cada linha na saída do comando e compare-a com o significado do campo.Utilize o seguinte para orientar sua análise da saída do comando.

• PPP – saída do comando de depuração PPP.

• Serial3(i) – número de interface associada a essas informações de depuração;indica que esse é um pacote de input.

• rlqr receive failure – o destinatário não aceita a solicitação para negociar a opçãoProtocolo de qualidade.

• myrcvdiffp = 159 – número de pacotes recebidos durante o períodoespecificado.

•  peerxmitdiffp = 41091 – número de pacotes enviados pelo nó remoto nesse período.

• myrcvdiffo = 2183 – número de octetos recebidos nesse período.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 62/350

•  peerxmitdiffo = 1714439 – número de octetos enviados pelo nó remoto nesse período.

• threshold = 25 –  percentual de erro máximo aceitável nessa interface. Vocêcalcula esse percentual utilizando o valor limite inserido no comando deconfiguração da interface ppp quality percentage. Um valor de 100 menos o

número é o percentual de erro máximo. Nesse caso, foi inserido um número 75.Isso significa que o roteador local deve manter um percentual sem erros mínimode 75 por cento ou o link PPP ser fechado.

• OutLQRs = 1 – número de seqüência LQR enviado no momento do roteador local.

• LastOutLQRs = 1 – último número de seqüência que o lado do nó remoto foivisto no nó local.

Exibir meio visual 

Página 5:

 Nesta atividade, você praticará a alteração do encapsulamento em interfaces seriais. Sãofornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Exibir meio visual 

2.4 Configurando PPP com autenticação2.4.1 Protocolos de autenticação PPP 

Página 1:

Protocolo de autenticação PAP

O PPP define um LCP extensível que permite a negociação de um protocolo deautenticação para autenticar seu túnel antes de permitir os protocolos da camada de redetransmitirem pelo link. A RFC 1334 define dois protocolos para autenticação, conformemostrado na figura.

PAP é um processo bidirecional muito básico. Não há nenhuma criptografia; o nome deusuário e a senha são enviados em texto simples. Se isso for aceito, a conexão será

 permitida. CHAP é mais seguro que PAP. Ele envolve uma troca tridirecional de umsegredo compartilhado. O processo será descrito posteriormente nesta seção.

A fase de autenticação de uma sessão PPP é opcional. Se for utilizado, você poderáautenticar o túnel depois que o LCP estabelecer o link e escolher o protocolo deautenticação. Se ele for utilizado, a autenticação ocorrerá antes da configuração do

 protocolo da camada de rede.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 63/350

As opções de autenticação exigem que o lado da chamada do link insira informações deautenticação. Isso ajuda a assegurar que o usuário tenha a permissão do administrador de rede para fazer a chamada. Os roteadores de mesmo nível trocam mensagens deautenticação.

Exibir meio visual 

2.4.2 Protocolo de autenticação de senha (PAP)

Página 1:

Um dos muitos recursos do PPP é que ele realiza a autenticação da Camada 2, além dasdemais camadas de autenticação, criptografia, controle de acesso e procedimentos desegurança geral.

Iniciando PAP

O PAP fornece um único método para um nó remoto a fim de estabelecer sua identidadeutilizando um handshake bidirecional. PAP não é interativo. Quando o comando pppauthentication pap é utilizado, o nome de usuário e a senha são enviados como um

 pacote de dados LCP, em vez do servidor enviar um prompt de login e aguardar umaresposta. A figura mostra que o PPP conclui a fase de estabelecimento do link, o nóremoto envia repetidamente um par nome de usuário/senha pelo link até que o nó deenvio confirme ou encerre a conexão.

Clique no botão Concluindo PAP na figura.

 No nó de recebimento, o nome de usuário/senha é verificado por um servidor deautenticação que permite ou nega a conexão. Uma mensagem de aceitação ou derejeição retorna ao solicitante.

PAP não é um protocolo de autenticação forte. Utilizando PAP, você envia senhas pelolink em texto sem formatação, não havendo nenhuma proteção contra reprodução ouataques de tentativa e erro repetidos. O nó remoto está no controle da freqüência e do

timing das tentativas de login.

 No entanto, há momentos em que a utilização do PAP pode se justificar. Por exemplo,apesar de suas deficiências, o PAP pode ser utilizado nos seguintes ambientes:

• Uma grande base instalada de aplicativos clientes não compatíveis com CHAP

• Incompatibilidades entre implementações de fornecedores diferentes do CHAP

• Situações em que uma senha em texto simples deve ser disponibilizada parasimular um login no host remoto

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 64/350

2.4.3 Protocolo avançado de autenticação de reconhecimento (CHAP)

Página 1:

Protocolo avançado de autenticação de reconhecimento (CHAP)

Depois que a autenticação é estabelecida com PAP, ela basicamente pára de funcionar.Isso deixa a rede vulnerável a ataques. Diferentemente do PAP, que só autentica umavez, o CHAP realiza desafios periódicos para verificar se o nó remoto ainda tem umvalor de senha válido.

Depois que a fase de estabelecimento do link PPP é concluída, o roteador local enviauma mensagem de desafio para o nó remoto.

Clique no botão Respondendo CHAP na figura.

O nó remoto responde com um valor calculado utilizando uma função de hashunidirecional, que normalmente é Message Digest 5 (MD5) com base na senha e namensagem de desafio.

Clique no botão Concluindo CHAP na figura.

O roteador local verifica a resposta em relação ao seu próprio cálculo do valor de hashesperado. Se os valores forem correspondentes, o nó inicial confirmará a autenticação.Do contrário, ele encerra a conexão imediatamente.

O CHAP fornece proteção contra ataque de reprodução, utilizando um valor de desafiovariável exclusivo e imprevisível. Como o desafio é exclusivo e aleatório, o valor dehash resultante também é exclusivo e aleatório. A utilização de desafios repetidos limitao tempo de exposição a qualquer ataque. O roteador local ou um servidor deautenticação de terceiros está no controle da freqüência e do timing dos desafios.

Exibir meio visual 

2.4.4 Encapsulamento PPP e processo de autenticação

Página 1:

Encapsulamento PPP e processo de autenticação

Você pode utilizar um fluxograma para ajudar a compreender o processo deautenticação PPP durante a configuração do PPP. O fluxograma fornece um exemplo

visual das decisões lógicas tomadas pelo PPP.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 65/350

Por exemplo, se uma solicitação PPP de entrada não exigir nenhuma autenticação, oPPP avançará ao próximo nível. Se uma solicitação PPP de entrada exigir autenticação,ela poderá ser autenticada utilizando-se o banco de dados local ou um servidor desegurança. Conforme ilustrado no fluxograma, a autenticação bem-sucedida avança ao

 próximo nível, enquanto uma falha na autenticação irá desconectar e descartar a

solicitação PPP de entrada.

Clique no botão Exemplo de CHAP e clique no botão de execução para obter umexemplo animado.

Siga as etapas conforme a animação avança. O roteador R1 deseja estabelecer umaconexão PPP CHAP autenticada com o roteador R2.

Etapa 1. R1 negocia inicialmente a conexão de link utilizando LCP com o roteador R2

e os dois sistemas concordam em utilizar a autenticação CHAP durante a negociaçãoPPP LCP.

Etapa 2. O roteador R2 gera uma ID e um número aleatório, além de enviá-lo mais seunome de usuário como um pacote de desafio CHAP para R1.

Etapa 3. R1 irá utilizar o nome de usuário do desafiante (R2) e compará-lo com seu banco de dados local para localizar a senha associada. Dessa forma, R1 irá gerar umnúmero de hash MD5 exclusivo utilizando o nome de usuário de R2, a ID, o númeroaleatório e a senha secreta compartilhada.

Etapa 4. Em seguida, o roteador R1 envia a ID de desafio, o valor de hash e seu nomede usuário (R1) para R2.

Etapa 5. R2 gera seu próprio valor de hash utilizando a ID, a senha secretacompartilhada e o número aleatório enviados originalmente para R1.

Etapa 6. R2 compara seu valor de hash com o valor de hash enviado por R1. Se osvalores forem os mesmos, R2 enviará um link estabelecendo resposta com R1.

Se houver falha na autenticação, um pacote de falhas CHAP será criado a partir dosseguintes componentes:

• 04 = tipo de mensagem de falha CHAP

• id = copiada do pacote de respostas

• "Authentication failure" ou alguma mensagem de texto assim, que deve ser umaexplicação legível pelo usuário

Observe que a senha secreta compartilhada deve ser idêntica em R1 e R2.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 66/350

Exibir meio visual 

2.4.5 Configurando PPP com autenticação

Página 1:

O comando ppp authentication

Para especificar a ordem na qual os protocolos CHAP ou PAP são solicitados nainterface, utilize o comando de configuração da interface ppp authentication,conforme mostrado na figura. Utilize a forma no do comando para desabilitar essaautenticação.

Depois que você habilitar a autenticação CHAP ou PAP, ou ambas, o roteador localexigirá ao dispositivo remoto provar sua identidade antes de permitir o fluxo do tráfegode dados. Isso é feito da seguinte forma:

• A autenticação PAP exige que o dispositivo remoto envie um nome e uma senhaa serem verificados em comparação com uma entrada correspondente no bancode dados de nome de usuário local ou no banco de dados TACACS/TACACS+ remoto.

• A autenticação CHAP envia um desafio para o dispositivo remoto. O dispositivoremoto deve criptografar o valor de desafio com uma senha secreta e retornar ovalor criptografado e seu nome para o roteador local em uma mensagem de

resposta. O roteador local utiliza o nome do dispositivo remoto para procurar osegredo apropriado no nome de usuário local ou no banco de dadosTACACS/TACACS+. Ele utiliza o segredo pesquisado para criptografar odesafio original e verificar se os valores criptografados correspondem.

Nota: AAA/TACACS é um servidor dedicado utilizado para autenticar usuários. AAAsignifica "autenticação, autorização e auditoria". Os clientes TACACS enviam umaconsulta a um servidor de autenticação TACACS. O servidor pode autenticar o usuário,autorizar o que o usuário pode fazer e controlar o que ele fez.

Você pode habilitar PAP ou CHAP ou ambos. Se ambos os métodos forem habilitados,o primeiro método especificado será solicitado durante a negociação do link. Se o túnelsugerir a utilização do segundo método ou apenas recusar o primeiro, o segundo serátestado. Alguns dispositivos remotos suportam apenas CHAP e outros, apenas PAP. Aordem na qual você especifica os métodos se baseia nas suas preocupações sobre a

 possibilidade do dispositivo remoto negociar corretamente o método apropriado, bemcomo na sua preocupação sobre a segurança da linha de dados. Os nomes de usuário esenhas PAP são enviados como cadeias de caracteres em texto sem formatação,

 podendo ser interceptados e reutilizados. O CHAP eliminou a maioria das falhas desegurança conhecidas.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 67/350

Página 2:

Configurando a autenticação PPP

O procedimento descrito no gráfico descreve como configurar o encapsulamento PPP eos protocolos de autenticação PAP/CHAP. A configuração correta é essencial, porquePAP e CHAP utilizam esses parâmetros na autenticação.

Clique no botão Exemplo de PAP na figura.

A figura é um exemplo de uma configuração de autenticação PAP bidirecional. Comoambos os roteadores autenticam e são autenticados, os comandos de autenticação PAPsão espelhados. O nome de usuário e a senha PAP enviados pelo roteador devem

corresponder aos especificados com o comando username name password password do outro roteador.

O PAP fornece um único método para um nó remoto a fim de estabelecer sua identidadeutilizando um handshake bidirecional. Isso só é feito no estabelecimento do link inicial.O nome de host em um roteador deve corresponder ao nome de usuário configurado

 pelo outro roteador. As senhas não precisam ser correspondentes.

Clique no botão Exemplo de CHAP na figura.

CHAP verifica periodicamente a identidade do nó remoto utilizando um handshaketriplo. O nome de host em um roteador deve corresponder ao nome de usuárioconfigurado pelo outro roteador. As senhas também devem ser correspondentes. Issoocorre no estabelecimento do link inicial, podendo ser repetido a qualquer momentoapós esse estabelecimento. A figura é um exemplo de uma configuração CHAP.

Exibir meio visual 

2.4.6 Identificação e solução de problemas de uma configuração PPP comautenticação

Página 1:

Identificação e solução de problemas de uma configuração PPP com autenticação

Autenticação é um recurso que precisa ser implementado corretamente, ou a segurançada sua conexão serial pode ficar comprometida. Sempre verifique a sua configuraçãocom o comando show interfaces serial, da mesma forma que você fez semautenticação.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 68/350

Jamais suponha que a configuração da sua autenticação esteja funcionando sem testá-la.A depuração permite confirmar a sua configuração e corrigir todas as deficiências. Ocomando para depurar a autenticação PPP é debug ppp authentication.

A figura mostra uma saída do comando de exemplo do comando debug pppauthentication. Esta é uma interpretação da saída do comando:

A linha 1 informa que o roteador não consegue se autenticar na interface Serial0 porqueo túnel não enviou um nome.

A linha 2 informa que o roteador não pôde validar a resposta CHAP porqueUSERNAME 'pioneer' não foi encontrado.

A linha 3 informa que não foi encontrada nenhuma senha para 'pioneer'. Outrasrespostas possíveis nessa linha, talvez não tenha recebido nenhum nome para autenticar,nome desconhecido, nenhum segredo para o nome indicado, uma resposta MD5 foirecebida ou haja falha na comparação com MD5.

 Na última linha, o código = 4 significa que houve uma falha. Outros valores de códigosão os seguintes:

• 1 = Desafio

• 2 = Resposta

• 3 = Êxito

• 4 = Falha

id = 3 é o número da ID por formato de pacote LCP.

len = 48 é o tamanho do pacote sem o cabeçalho.

Exibir meio visual 

Página 2:

O encapsulamento PPP permite dois tipos diferentes de autenticação: PAP (Protocolo deautenticação de senha) e CHAP (Protocolo avançado de autenticação dereconhecimento). PAP utiliza uma senha em texto simples, e CHAP invoca um hashunidirecional que fornece mais segurança que PAP. Nesta atividade, você irá configurar PAP e CHAP e analisar a configuração de roteamento OSPF. São fornecidas instruçõesdetalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 69/350

2.5 Laboratórios do capítulo2.5.1 Configuração PPP básica

Página 1: Neste laboratório, você irá aprender a configurar o encapsulamento PPP em links seriaisusando a rede mostrada no diagrama de topologia. Você também aprenderá a restaurar links seriais aos seus encapsulamentos de HDLC padrão. Preste atenção especial nasaída do roteador quando você divide intencionalmente o encapsulamento PPP. Isso oajudará no laboratório de solução de problemas associado a este capítulo. Por fim, vocêirá configurar as autenticações PPP PAP e PPP CHAP.

Exibir meio visual 

Página 2:

Esta atividade é uma variação do Laboratório 2.5.1. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamento real.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do rastreador de pacote para obter mais detalhes.

Exibir meio visual 

2.5.2 Configuração avançada PPP 

Página 1:

 Neste laboratório, você irá aprender a configurar o encapsulamento PPP em links seriaisusando a rede mostrada no diagrama de topologia. Você também configurará aautenticação PPP CHAP. Se você precisar de assistência, consulte o laboratório deconfiguração PPP básico, mas tente fazer isso por conta própria.

Exibir meio visual 

Página 2:

Esta atividade é uma variação do Laboratório 2.5.2. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser 

considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamento real.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 70/350

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do rastreador de pacote para obter mais detalhes.

Exibir meio visual 

2.5.3 Identificação e solução de problemas de configuração PPP 

Página 1:

Os roteadores da sua empresa foram configurados por um engenheiro de rede sem

experiência. Vários erros na configuração resultaram em problemas de conectividade.Seu chefe lhe pediu para solucionar problemas, corrigir os erros de configuração edocumentar seu trabalho. Com seus conhecimentos de PPP e métodos de teste padrão,identifique e corrija os erros. Certifique-se de que todos os links seriais usemautenticação PPP CHAP e de que todas as redes sejam alcançáveis.

Exibir meio visual 

Página 2:

Esta atividade é uma variação do Laboratório 2.5.3. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamento real.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do rastreador de pacote para obter mais detalhes.Exibir meio visual 

2.6 Resumo do capítulo2.6.1 Resumo do capítulo

Página 1:

Ao concluir este capítulo, você pode descrever em termos práticos e conceituais por quea comunicação ponto-a-ponto serial é utilizada para conectar a sua rede local à WAN dasua operadora, e não utilizar a conexão paralela que pode parecer muito mais rápida.Você pode explicar como a multiplexação permite uma comunicação eficiente e

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 71/350

maximiza a quantidade de dados que podem ser transmitidos por um link decomunicação. Você aprendeu as funções dos componentes e dos protocolos principaisda comunicação serial, além de configurar uma interface serial com encapsulamentoHDLC em um roteador Cisco.

Isso proporcionou uma ampla base para um PPP, inclusive seus recursos, componentese arquiteturas. Você pode explicar como uma sessão PPP é estabelecida utilizando asfunções do LCP e dos NCPs. Você aprendeu a sintaxe dos comandos de configuração ea utilização de várias opções obrigatórias para configurar uma conexão PPP, bem comoutilizar PAP ou CHAP para assegurar uma conexão segura. As etapas obrigatórias paraverificação e solução de problemas foram descritas. Agora você está pronto paraconfirmar o seu conhecimento no laboratório no qual irá configurar o seu roteador parautilizar o PPP na conexão com uma WAN.

Exibir meio visual 

Página 2:Exibir meio visual 

Página 3:

 Nesta atividade, você irá projetar um esquema de endereçamento, configurar oroteamento e as VLANs, além de configurar o PPP com CHAP. São fornecidasinstruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

2.7 Teste do capítulo

2.7.1 Teste do capítulo

Página 1:Exibir meio visual 

3 Frame Relay3.0 Introdução3.0.1 Introdução

Página 1:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 72/350

Frame Relay é um protocolo WAN de alto desempenho que funciona nas camadas físicae de enlace do modelo OSI.

Eric Scace, engenheiro da Sprint International, inventou o Frame Relay como umaversão mais simples do protocolo X.25 para ser usado em interfaces de Rede digital deserviços integrados (ISDN, Integrated Services Digital Network). Atualmente, eletambém é usado em diversas outras interfaces de rede. Na primeira vez que a Sprintimplementou o Frame Relay em sua rede pública, eles usaram switches StrataCom. Aaquisição da StrataCom pela Cisco em 1996 marcou sua entrada no mercado dasoperadoras.

Os provedores de rede geralmente implementam o Frame Relay para redes de voz edados como uma técnica de encapsulamento. Ele é usado entre redes locais em umaWAN. Cada usuário final obtém uma linha particular (ou linha alugada) para um nó deFrame Relay. A rede Frame Relay gerencia a transmissão por um caminho alterado com

frequência e transparente para todos os usuários finais.

O Frame Relay tornou-se um dos protocolos WAN mais usados, principalmente porqueé barato em comparação com as linhas dedicadas. Além disso, configurar oequipamento do usuário em uma rede Frame Relay é muito simples. As conexões FrameRelay são criadas configurando-se roteadores CPE ou outros dispositivos para que secomuniquem com um switch Frame Relay da operadora. A operadora configura oswitch Frame Relay, o que ajuda a manter as tarefas de configuração do usuário finalem um nível mínimo.

Este capítulo descreve o Frame Relay e explica como configurá-lo em um roteador Cisco.

Exibir meio visual 

3.1 Conceitos básicos do Frame Relay3.1.1 Apresentando o Frame Relay

Página 1:

Frame Relay: uma tecnologia WAN eficiente e flexível

O Frame Relay tornou-se a tecnologia WAN mais usada no mundo. Grandes empresas,governos, provedores de Internet e pequenas empresas usam o Frame Relay,

 principalmente por causa de seu preço e flexibilidade. Como as organizações estãocrescendo e dependem cada vez mais do transporte de dados confiável, as soluçõestradicionais de linha alugada são proibitivamente caras. O ritmo das alteraçõestecnológicas e as fusões e aquisições na indústria de rede exigem mais flexibilidade.

O Frame Relay reduz os custos de rede usando menos equipamento, menoscomplexidade e uma implementação mais fácil. Além disso, o Frame Relay fornecemais largura de banda, confiabilidade e flexibilidade do que as linhas alugadas ou

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 73/350

 privadas. Com o aumento da globalização e o crescimento de topologias múltiplas defilial, o Frame Relay oferece arquitetura de rede mais simples e custo de propriedadeinferior.

Usar o exemplo da rede de uma grande empresa ajuda a ilustrar os benefícios do uso doFrame Relay. No exemplo mostrado na figura, a Span Engineering possui cinco campusna América do Norte. Como a maioria das organizações, os requisitos de largura de

 banda da Span não se ajustam a uma solução padrão.

O primeiro item a ser considerado é o requisito de largura de banda de cada local.Trabalhando na sede, a conexão de Chicago a Nova York exige uma velocidade máximade 256 kb/s. Três outros locais precisam de uma velocidade máxima de 48 kb/s paraconexão com a sede, enquanto a conexão entre as filiais de Nova York e de Dallas exigesomente 12 kb/s.

Antes do Frame Relay, a Span alugou linhas dedicadas.

Clique no botão Linhas dedicadas na figura.

Usando linhas alugadas, cada local da Span é conectado por meio de um switch noescritório central (CO, central office) da empresa de telefonia local através do loop locale, em seguida, através da rede inteira. Os escritórios de Chicago e de Nova York usamuma linha dedicada T1 (equivalente a 24 canais DS0) para conectar-se ao switch,enquanto outros escritórios usam conexões ISDN (56 kb/s). Como o escritório de Dallas

conecta-se ao de Nova York e ao de Chicago, possui duas linhas localmente alugadas.Os provedores de rede forneceram à Span um DS0 entre os respectivos COs, exceto

 para o ponto maior que conecta Chicago a Nova York, que tem quatro DS0s. Os preçosdos DS0s variam de acordo com a região e normalmente são oferecidos por um preçofixo. Essas linhas são verdadeiramente dedicadas, pois o provedor de rede as reserva

 para a Span. Não há nenhum compartilhamento. Além disso, a Span está pagando pelocircuito fim-a-fim, independentemente da quantidade de largura de banda usada.

Uma linha dedicada não fornece muita oportunidade prática para uma conexão múltiplasem obter mais linhas do provedor de rede. No exemplo, quase toda a comunicação

deve fluir pela sede corporativa simplesmente para reduzir o custo de linhas adicionais.

Se você analisar o que cada local exige em termos de largura de banda, notará uma faltade eficiência:

• Dos 24 canais DSO disponíveis na conexão T1, o escritório de Chicago usasomente sete. Algumas operadoras oferecem conexões T1 fracionárias emincrementos de 64 kb/s, mas isso requer um multiplexador especializado naextremidade do cliente para canalizar os sinais. Nesse caso, a Span optou peloserviço completo de T1.

• De maneira semelhante, o escritório de Nova York usa somente cinco de seus 24DSOs disponíveis.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 74/350

• Como Dallas precisa conectar-se a Chicago e Nova York, há duas linhas quefazem a conexão com cada local através do CO.

O design de linha alugada também limita a flexibilidade. A menos que os circuitos jáestejam instalados, a conexão de novos sites normalmente exigirá novas instalações decircuito e levará um tempo considerável para ser implementada. De um ponto de vistade confiabilidade de rede, imagine os custos adicionais e a complexidade de adicionar circuitos extras e redundantes.

Clique no botão Frame Relay na figura.

A rede Frame Relay da Span usa circuitos virtuais permanentes (PVCs). O PVC é ocaminho lógico entre um link de origem do Frame Relay, através da rede, e um link Frame Relay de finalização para seu destino definitivo. Compare-o ao caminho físico

usado por uma conexão dedicada. Em uma rede com acesso Frame Relay, um PVCdefine exclusivamente o caminho entre dois pontos de extremidade. O conceito decircuitos virtuais será discutido em mais detalhes posteriormente nesta seção.

A solução de Frame Relay da Span fornece economia e flexibilidade.

Economia do Frame Relay

O Frame Relay é uma opção mais econômica por dois motivos. Primeiro, com linhas

dedicadas, os clientes pagam por uma conexão fim-a-fim. Isso inclui o loop local e olink de rede. Com o Frame Relay, os clientes pagam somente pelo loop local e pelalargura de banda que compram do provedor de rede. A distância entre os nós não éimportante. Em um modelo de linha dedicada, os clientes usam essas linhas fornecidasem incrementos de 64 kb/s. Os clientes de Frame Relay podem definir suasnecessidades de circuito virtual em uma granularidade muito maior, frequentemente emincrementos pequenos de até 4 kb/s.

O segundo motivo pelo qual o Frame Relay é econômico é que ele compartilha largurade banda com uma base maior de clientes. Normalmente, um provedor de rede podeservir 40 ou mais de 56 kb/s aos clientes em um circuito de T1. Usar linhas dedicadasexigiria mais DSU/CSUs (um para cada linha), além de roteamento e comutação maiscomplexos. Os provedores de rede economizam porque há menos equipamento paracomprar e manter.

A flexibilidade do Frame Relay

Um circuito virtual fornece flexibilidade considerável no design de rede. Olhando para afigura, você pode observar que todos os escritórios da Span conectam-se à nuvemFrame Relay através de seus respectivos loops locais. O que acontece na nuvem não tem

nenhuma importância no momento. O que importa é que quando um escritório da Spandeseja se comunicar com outro, basta conectar-se a um circuito virtual que conduz ao

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 75/350

outro escritório. No Frame Relay, o fim de cada conexão tem um número paraidentificá-la. Esse número é chamado de Identificador de conexão de enlace de dados(DLCI, Data Link Connection Identifier). Qualquer estação pode conectar-se às demais.Para isso, basta informar o endereço dessa estação e o número de DLCI da linha que

 precisa usar. Em uma seção posterior, você aprenderá que, quando o Frame Relay é

configurado, todos os dados de todos os DLCIs configurados fluem pela mesma portado roteador. Tente imaginar a mesma flexibilidade usando linhas dedicadas. Não éapenas complicado, mas também exige muito mais equipamento.

Clique no botão Custo na figura.

A tabela mostra uma comparação representativa de custos para conexões comparáveisISDN e Frame Relay. Embora os custos iniciais do Frame Relay sejam mais altos doque os de ISDN, o custo mensal é consideravelmente menor. O Frame Relay é maisfácil de gerenciar e configurar do que ISDN. Além disso, os clientes podem aumentar 

sua largura de banda de acordo com o aumento das suas necessidades no futuro. Osclientes de Frame Relay só pagam pela largura de banda de que precisam. Com o FrameRelay, não há cobranças por hora. Já as chamadas de ISDN são medidas em metros e

 podem resultar em despesas mensais inesperadamente altas com a empresa de telefonia,se uma conexão em tempo integral for mantida.

Os próximos tópicos ampliarão seus conhecimentos de Frame Relay definindo os principais conceitos apresentados no exemplo.

Exibir meio visual 

Página 2:

WAN do Frame Relay

 No final dos anos 1970 e no início dos anos 1990, a tecnologia WAN que unia locaisremotos costumava usar o protocolo X.25. Agora considerado um protocolo legado, oX.25 era uma tecnologia de comutação de pacotes muito popular, pois fornecia umaconexão muito confiável sobre infraestruturas de cabeamento não confiáveis. Ele faziaisso incluindo um controle de fluxo e de erros adicional. No entanto, esses recursos

adicionais sobrecarregaram o protocolo. Sua principal aplicação era o processamento deautorizações de cartão de crédito e de bancos 24 horas. Este curso só menciona o X.25apenas para fins históricos.

Quando você cria uma WAN, independentemente da tecnologia escolhida, há sempre nomínimo três componentes básicos, ou grupos de componentes, conectando dois locais.Cada local precisa de seu próprio equipamento (DTE) para acessar o CO da empresa detelefonia que atende à área (DCE). O terceiro componente fica no meio, unindo os dois

 pontos de acesso. Na figura, esta é a parte fornecida pelo backbone do Frame Relay.

O Frame Relay tem sobrecarga inferior à do X.25, pois possui menos recursos. Por exemplo, o Frame Relay não fornece correção de erros. Além disso, as instalações

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 76/350

WAN modernas oferecem serviços de conexão mais confiáveis e um grau mais elevadode confiabilidade do que as instalações mais antigas. Ao detectar erros, o nó FrameRelay simplesmente descarta os pacotes sem notificação. Qualquer correção de errosnecessária, como retransmissão de dados, é deixada para os pontos de extremidade. Issotorna a propagação de cliente a cliente pela rede muito rápida.

O Frame Relay gerencia volume e velocidade de forma eficiente combinando as funçõesnecessárias das camadas de rede e de enlace em um único protocolo simples. Como um

 protocolo de enlace de dados, o Frame Relay fornece acesso a uma rede, delimitando eentregando quadros na ordem correta e reconhece erros de transmissão através de umaVerificação de redundância cíclica padrão. Como um protocolo de rede, o Frame Relayfornece várias conexões lógicas sobre um único circuito físico e permite que a rederoteie dados nessas conexões para os destinos desejados.

O Frame Relay funciona entre o dispositivo de um usuário final, como uma bridge de

rede local ou um roteador, e uma rede. A própria rede pode usar qualquer método detransmissão que seja compatível com a velocidade e a eficiência que os aplicativos paraFrame Relay exigem. Algumas redes usam o próprio Frame Relay, mas outras usamcomutação digital de circuitos ou sistemas de transmissão de célula ATM. A figuramostra um backbone de comutação de circuitos conforme indicado pelos switches declasse 4 ou 5. Os demais gráficos desta seção mostram backbones Frame Relay decomutação de pacotes mais atuais.

Exibir meio visual 

Página 3:Operação do Frame Relay

A conexão entre um dispositivo DTE e um dispositivo DCE consiste em umcomponente de camada física e um de camada de enlace:

• O componente físico define as especificações mecânica, elétrica, funcional e de procedimento para a conexão entre os dispositivos. Uma das especificações deinterface de camada física mais usadas é a especificação RS-232.

• O componente da camada de enlace define o protocolo que estabelece a conexãoentre o dispositivo DTE, como um roteador, e o dispositivo DCE, como umswitch.

Quando as operadoras usam o Frame Relay para interconectar as redes locais, umroteador em cada rede local é o DTE. Uma conexão serial, como uma linha alugadaT1/E1, conecta o roteador ao switch Frame Relay da operadora no ponto de presença(POP, point-of-presence) mais próximo. O switch Frame Relay é um dispositivo DCE.Os switches de rede movem quadros de um DTE através da rede e entregam quadros aoutros DTEs por meio de DCEs. Equipamentos de computação que não estejam em uma

rede local também podem enviar dados por uma rede Frame Relay. O equipamento decomputação usa um dispositivo de acesso Frame Relay (FRAD) como o DTE. Às vezes,

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 77/350

o FRAD é chamado de codificador/decodificador Frame Relay. Ele é também umdispositivo dedicado ou um roteador configurado para suportar o Frame Relay. Estálocalizado nos equipamentos do cliente e conecta-se a uma porta de switch da rede daoperadora. A operadora, por sua vez, interconecta os switches Frame Relay.

Exibir meio visual 

3.1.2 Circuitos virtuais

Página 1:

Circuitos virtuais

A conexão por uma rede Frame Relay entre dois DTEs é chamada de circuito virtual(VC). Os circuitos são virtuais porque não há conexão elétrica direta fim-a-fim. A

conexão é lógica, e os dados se movem fim-a-fim, sem um circuito elétrico direto. Comos VCs, o Frame Relay compartilha a largura de banda entre vários usuários. Alémdisso, os sites podem comunicar-se entre si sem usar várias linhas físicas dedicadas.

Há duas maneiras de estabelecer VCs:

• SVCs, circuitos virtuais comutados, são estabelecidos dinamicamente enviandomensagens de sinalização à rede (CONFIGURAÇÃO DE CHAMADA,TRANSFERÊNCIA DE DADOS, INATIVO, ENCERRAMENTO DECHAMADA).

• PVCs, circuitos virtuais permanentes, são pré-configurados pela operadora e,depois de configurados, funcionam somente nos modos TRANSFERÊNCIA DEDADOS e INATIVO. Algumas publicações referem-se aos PVCs como VCs

 privados.

Clique no botão Reproduzir na figura.

 Na figura, há um VC entre os nós de envio e de recebimento. O VC segue o caminho A,B, C, e D. O Frame Relay cria um VC armazenando mapeamento de porta de entrada a

 porta de saída na memória de cada switch e, assim, vincula um switch ao outro atéidentificar um caminho contínuo de uma extremidade à outra do circuito. Um VC pode percorrer qualquer número de dispositivos intermediários (switches) localizados na redeFrame Relay.

 Neste momento, você deve estar se perguntando: “Como os vários nós e switches sãoidentificados”?

Clique no botão Importância local na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 78/350

Os VCs fornecem um caminho de comunicação bidirecional de um dispositivo ao outro.Os VCs são identificados por DLCIs. Os valores de DLCI são atribuídos normalmente

 pela operadora de Frame Relay (por exemplo, a empresa de telefonia). Os DLCIs doFrame Relay têm importância local, o que significa que os próprios valores não sãoexclusivos na WAN Frame Relay. Um DLCI identifica um VC para o equipamento em

um ponto de extremidade. Um DLCI não tem nenhuma importância além do único link.Dois dispositivos conectados por um VC podem usar um valor de DLCI diferente parase referir à mesma conexão.

Os DLCIs de importância local tornaram-se o principal método de endereçamento, poiso mesmo endereço pode ser usado em vários locais diferentes e ainda assim referir-se aconexões diferentes. O endereçamento local evita que um cliente fique sem DLCIs àmedida que a rede cresce.

Clique no botão Identificando VCs e no botão Reproduzir na figura.

Essa rede é a mesma que foi apresentada na figura anterior. Porém, desta vez, à medidaque o quadro se move pela rede, o Frame Relay rotula cada VC com um DLCI. O DLCIé armazenado no campo de endereço de todos os quadros transmitidos para informar àrede como o quadro deverá ser roteado. A operadora de Frame Relay atribui números deDLCI. Geralmente, os DLCIs de 0 a 15 e de 1008 a 1023 são reservados para finsespeciais. Portanto, as operadoras geralmente atribuem os DLCIs do intervalo de 16 a1007.

 Neste exemplo, o quadro usa o DLCI 102. Ele deixa o roteador (R1) usando a porta 0 eo VC 102. No switch A, o quadro sai pela porta 1 usando o VC 432. Esse processo demapeamento de portas de VC continuará pela WAN até que o quadro alcance seudestino no DLCI 201, conforme mostrado na figura. O DLCI é armazenado no campode endereço de todos os quadros transmitidos.

Exibir meio visual 

Página 2:

Vários VCs

O Frame Relay é estatisticamente multiplexado. Isso significa que, embora ele transmitaapenas um quadro por vez, muitas conexões lógicas podem coexistir em uma únicalinha física. O dispositivo de acesso Frame Relay (FRAD) ou o roteador conectado àrede Frame Relay pode ter vários VCs que o conecta a vários pontos de extremidade.Vários VCs em uma única linha física são diferenciados porque cada VC tem seu

 próprio DLCI. Lembre-se de que a importância do DLCI é apenas local e pode ser diferente em cada extremidade de um VC.

A figura mostra um exemplo de dois VCs em uma única linha de acesso, cada um com

seu próprio DLCI, conectados a um roteador (R1).

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 79/350

Esse recurso frequentemente reduz a complexidade do equipamento e da rede,necessária para conectar vários dispositivos. Por esse motivo, ele representa umaalternativa muito econômica para uma malha (mesh) de linhas de acesso. Com essaconfiguração, cada ponto de extremidade precisa de apenas uma linha de acesso e umainterface. É possível economizar mais, pois a capacidade da linha de acesso é baseada

no requisito de largura de banda média dos VCs, e não no requisito de largura de bandamáxima.

Clique no botão DLCIs da Span na figura.

Por exemplo, a Span Engineering está presente em cinco locais, com sede em Chicago.O escritório de Chicago está conectado à rede usando cinco VCs, e cada VC recebe umDLCI. Para visualizar os mapeamentos de DLCI, respectivos de Chicago, clique nolocal desejado na tabela.

Custo Benefício de vários VCs

Lembre-se do exemplo anterior de como a Span Engineering evoluiu de uma rede delinha dedicada para uma rede Frame Relay. Observe especificamente a tabela quecompara o custo de uma única conexão Frame Relay comparada a uma conexão ISDNde tamanho semelhante. Com o Frame Relay, os clientes pagam pela largura de bandaque utilizam. De fato, eles pagam por uma porta de Frame Relay. Ao aumentar onúmero de portas, conforme descrito acima, eles pagam por mais largura de banda. Maseles pagarão também por mais equipamento? A resposta é "não", pois as portas sãovirtuais. Não há nenhuma alteração na infraestrutura física. Compare este procedimentocom uma compra de mais largura de banda usando linhas dedicadas.Exibir meio visual 

3.1.3 Encapsulamento Frame Relay

Página 1:

O processo de encapsulamento do Frame Relay

O Frame Relay recebe pacotes de dados de um protocolo de camada de rede, como IPou IPX, os encapsula como parte de dados de um quadro Frame Relay e, então,transmite o quadro à camada física para ser enviado pelo cabo. Para entender como esse

 processo funciona, será útil entender como ele se relaciona com as camadas inferioresdo modelo OSI.

A figura mostra como o Frame Relay encapsula os dados para o transporte e os moveaté a camada física para entrega.

Primeiro, o Frame Relay aceita um pacote de um protocolo da camada de rede, como oIP. Em seguida, ele o empacota com um campo de endereço que contém o DLCI e uma

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 80/350

soma de verificação. Campos de sinalização são adicionados para indicar o início e ofinal do quadro. Os campos de sinalização marcam o início e o final do quadro, e sãosempre os mesmos. Os sinalizadores são representados como o número hexadecimal 7Eou como o número binário 01111110. Depois que o pacote é encapsulado, o FrameRelay transmite o quadro à camada física para o transporte.

Clique no botão Formato de quadro na figura.

O roteador CPE encapsula cada pacote da Camada 3 dentro de um cabeçalho e umtrailer Frame Relay antes de enviá-lo pelo VC. O cabeçalho e o trailer são definidos pelaespecificação de serviços de portador do Procedimento de acesso ao link para FrameRelay (LAPF, Link Access Procedure for Frame Relay), ITU Q.922-A.Especificamente, o cabeçalho Frame Relay (campo de endereço) contém o seguinte:

•

DLCI - O DLCI de 10 bits é a essência do cabeçalho Frame Relay. Esse valor representa a conexão virtual entre o dispositivo DTE e o switch. Cada conexãovirtual multiplexada no canal físico é representada por um DLCI exclusivo. Aimportância dos valores de DLCI é apenas local, o que significa que eles só sãoexclusivos para o canal físico no qual residem. Portanto, os dispositivos emextremidades opostas de uma conexão podem usar valores de DLCI diferentes

 para referir-se à mesma conexão virtual.

• Endereço Estendido (EA) - Se o valor do campo de EA for 1, o byte atual serádeterminado para ser o último octeto do DLCI. Embora todas as implementaçõesde Frame Relay atuais utilizem um DLCI de dois octetos, esse recurso permitiráDLCIs mais longos no futuro. O oitavo bit de cada byte do campo de endereço

indica o EA.• C/R - Segue o DLCI mais significativo do campo de endereço. O bit de C/R 

geralmente não é usado pelo Frame Relay.

• Controle de congestionamento - Contém 3 bits que controlam os mecanismos danotificação de congestionamento do Frame Relay. Os bits FECN, BECN e DE são os três últimos bits no campo de endereço. O controle de congestionamentoserá discutido em um tópico posterior.

A camada física é geralmente EIA/TIA -232, 449 ou 530, V.35 ou X.21. O quadroFrame Relay é um subconjunto do tipo de quadro HDLC. Portanto, ele é delimitadocom campos de sinalização. O sinalizador de 1 byte usa o padrão de bits 01111110. OFCS determina se qualquer erro no campo de endereço da Camada 2 ocorreu durante atransmissão. O FCS é calculado antes da transmissão pelo nó de envio, e o resultado éinserido no campo FCS. Na extremidade a frente, um segundo valor de FCS é calculadoe comparado ao FCS no quadro. Se os resultados forem os mesmos, o quadro será

 processado. Se houver diferenças, o quadro será descartado. O Frame Relay não notificaa origem quando um quadro é descartado. O controle de erros é deixado para ascamadas superiores do modelo OSI.

Exibir meio visual 

3.1.4 Topologias Frame Relay

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 81/350

Página 1:

Quando mais de dois locais forem conectados, você deverá considerar a topologia dasconexões entre eles. Uma topologia é o mapa ou o layout visual da rede Frame Relay. Énecessário considerar a topologia de várias perspectivas para entender a rede e o

equipamento usado para criá-la. Topologias completas para projeto, implementação,operação e manutenção incluem mapas de visão geral, mapas de conexão lógica, mapasfuncionais e mapas de endereços que mostram o equipamento em detalhes e os links decanal.

As redes Frame Relay econômicas vinculam dezenas ou até mesmo centenas de locais.Considerando que uma rede corporativa pode abranger qualquer número de operadorase incluir redes de negócios adquiridos com projeto básico diferente, documentar topologias pode ser um processo muito complicado. No entanto, cada rede ou segmentode rede pode ser exibido como um dos três seguintes tipos de topologia: estrela, malha

completa (Full mesh) ou malha parcial (Partial Mesh).

Topologia em estrela (Hub-and-spoke)

A topologia WAN mais simples é a estrela, conforme mostrado na figura. Nessatopologia, a Span Engineering tem um local central em Chicago que atua como um hub e hospeda os principais serviços. A Span cresceu e recentemente e abriu um escritórioem San Jose. O uso do Frame Relay facilitou relativamente essa expansão.

As conexões com cada um dos cinco locais remotos atuam como spokes. Em umatopologia estrela, o local do hub geralmente é escolhido pelo menor custo da linhaalugada. Ao implementar uma topologia estrela com Frame Relay, cada local remototem um link de acesso à nuvem Frame Relay com um único VC.

Clique no botão Estrela de Frame Relay na figura.

Esta é a topologia estrela no contexto de uma nuvem Frame Relay. O hub em Chicagotem um link de acesso com vários VCs, um para cada local remoto. As linhas que saemda nuvem representam as conexões da operadora de Frame Relay e terminam no

equipamento do cliente. A velocidade dessas linhas normalmente varia de 56.000 bp/s para E-1 (2.048 Mb/s) e mais rápida. Um ou mais números de DLCI são atribuídos acada ponto de extremidade da linha. Como os custos do Frame Relay não estãorelacionados à distância, o hub não precisa estar no centro geográfico da rede.

Exibir meio visual 

Página 2:

Topologia de malha completa

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 82/350

Esta figura representa uma topologia de malha completa que usa linhas dedicadas. Umatopologia de malha completa é adequada a situações nas quais os serviços a seremacessados estão geograficamente dispersos e há necessidade de acesso altamenteconfiável a eles. Uma topologia de malha completa conecta todos os locais entre si. Ouso de interconexões de linha alugada, interfaces seriais adicionais e linhas aumentam

os custos. Neste exemplo, são necessárias 10 linhas dedicadas para interconectar cadasite em uma topologia de malha completa.

Clique em Malha completa de Frame Relay na figura.

Usando o Frame Relay, um programador de rede pode criar várias conexõessimplesmente configurando VCs adicionais em cada link existente. Essa melhoria desoftware aumenta a topologia estrela para uma topologia de malha completa sem adespesa de hardware adicional ou de linhas dedicadas. Como os VCs usammultiplexação estatística, vários VCs em um link de acesso geralmente fazem melhor 

uso do Frame Relay do que VCs separados. A figura mostra como a Span usou quatroVCs em cada link para dimensionar sua rede sem adicionar novo hardware. Asoperadoras cobrarão pela largura de banda adicional, mas essa solução geralmente émais econômica do que o uso de linhas dedicadas.

Topologia de malha parcial

Para grandes redes, uma topologia de malha completa raramente está disponível, pois onúmero de links necessários aumenta drasticamente. O problema não está no custo dohardware, e sim no limite teórico de menos de 1.000 VCs por link. Na prática, o limite émenor do que esse.

Por esse motivo, geralmente as redes maiores são configuradas em uma topologia demalha parcial. Com a malha parcial, há mais interconexões do que o necessário parauma disposição em estrela e menos do que o necessário para uma malha completa. O

 padrão real depende dos requisitos de fluxo de dados.

Exibir meio visual 

3.1.5 Mapeamento de endereço Frame Relay

Página 1:

Para que um roteador Cisco possa transmitir dados por Frame Relay, ele precisa saber qual DLCI local mapeia para o endereço da Camada 3 do destino remoto. Os roteadoresCisco suportam todos os protocolos da camada de rede sobre Frame Relay, como IP,IPX e AppleTalk. Esse mapeamento endereço-para-DLCI pode ser realizado por mapeamento estático ou dinâmico.

ARP inverso

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 83/350

O Protocolo de resolução de endereço (ARP, Address Resolution Protocol) inverso,também chamado de ARP inverso, obtém endereços da Camada 3 de outras estações deendereços da Camada 2, como o DLCI em redes Frame Relay. Ele é usado

 principalmente em redes Frame Relay e ATM, nas quais os endereços da Camada 2 deVCs são ocasionalmente obtidos da sinalização da Camada 2, e os endereços

correspondentes da Camada 3 devem estar disponíveis para que esses VCs possam ser usados. Enquanto o ARP determina os endereços da Camada 3 para os endereços daCamada 2, o ARP inverso faz o oposto.

Mapeamento dinâmico

O mapeamento de endereço dinâmico depende do ARP inverso para determinar um próximo salto rede endereço de protocolo para um valor de DLCI local. O roteador deFrame Relay envia solicitações ARP inverso em seu PVC para descobrir o endereço de

 protocolo do dispositivo remoto conectado à rede Frame Relay. O roteador usa as

respostas para preencher uma tabela de mapeamento de endereço-para-DLCI noroteador de Frame Relay ou no servidor de acesso. O roteador cria e mantém essa tabelade mapeamento, que contém todas as solicitações ARP inverso determinadas, incluindoentradas de mapeamento dinâmicas e estáticas.

A figura mostra a saída do comando show frame-relay map. Você pode observar que ainterface está ativada e que o endereço IP de destino é 10.1.1.2. O DLCI identifica aconexão lógica que está sendo usada para alcançar essa interface. Esse valor é exibidode três maneiras: seu valor decimal (102), seu valor hexadecimal (0 x 66), e seu valor como apareceria no cabo (0 x 1860). Essa entrada é estática, e não dinâmica. O link está

usando encapsulamento Cisco, em vez de encapsulamento IETF.

Em roteadores Cisco, o ARP inverso é habilitado por padrão para todos os protocoloshabilitados na interface física. Pacotes de ARP inverso não são enviados para protocolosque não estão habilitados na interface.

Clique no botão Mapeamento estático na figura.

O usuário pode optar por sobrescrever o mapeamento de ARP inverso dinâmico

fornecendo um mapeamento estático manual para o endereço de protocolo de próximosalto a um DLCI local. Um mapa estático funciona de maneira semelhante ao ARPinverso dinâmico associando um endereço de protocolo de próximo salto especificado aum DLCI local do Frame Relay. Não é possível usar o ARP inverso e uma instrução demapa para o mesmo DLCI e protocolo.

Um exemplo do uso do mapeamento de endereço estático é uma situação na qual oroteador que está do outro lado da rede Frame Relay não suporta ARP inverso dinâmico

 para um protocolo de rede específico. Para fornecer acessibilidade, é necessário ummapeamento estático para completar o endereço remoto da camada de rede para aresolução de DLCI local.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 84/350

Outro exemplo está em uma rede Frame Relay hub-and-spoke. Use o mapeamento deendereço estático nos roteadores spoke para fornecer acessibilidade spoke-to-spoke.Como os roteadores spoke não têm conectividade direta entre si, o ARP inversodinâmico não funcionaria entre eles. O ARP inverso dinâmico depende da presença deuma conexão ponto-a-ponto direta entre as duas extremidades. Nesse caso, o ARP

inverso dinâmico só funciona entre hub-and-spoke, e os spokes exigem mapeamentoestático para fornecer acessibilidade entre si.

Configurando o mapeamento estático

O estabelecimento do mapeamento estático depende das suas necessidades de rede. Vejaa seguir os vários comandos a serem usados:

Para mapear um endereço de protocolo de próximo salto para o endereço de destino do

DLCI, use este comando: frame-relay map protocol protocol-address dlci [broadcast][ietf ] [cisco].

Use a palavra-chave ietf ao conectar-se a um roteador que não seja Cisco.

Você pode simplificar muito a configuração do protocolo OSPF adicionando a palavra-chave opcional broadcast ao executar essa tarefa.

A figura mostra um exemplo de mapeamento estático em um roteador Cisco. Nesse

exemplo, o mapeamento de endereço estático é executado na interface serial 0/0/0 e oencapsulamento Frame Relay usado no DLCI 102 é CISCO. Conforme visualizado nasetapas de configuração, o mapeamento estático do endereço que utiliza o comandoframe-relay map permite que os usuários selecionem o tipo de encapsulamento FrameRelay usado por VC. A configuração do mapeamento estático será discutida em maisdetalhes na próxima seção.

Exibir meio visual 

Página 2:

Interface de gerenciamento local (LMI)

Uma revisão do histórico de rede o ajudará a entender a função desempenhada pelaInterface de gerenciamento local (LMI, Local Management Interface). O projeto deFrame Relay proporciona transferência de dados comutada por pacote com atrasosmínimos fim-a-fim. O projeto original omite qualquer coisa que possa contribuir paraatrasos.

Quando os fornecedores implementaram o Frame Relay como uma tecnologia separada,

e não como um componente de ISDN, decidiram que era necessário que os DTEsadquirissem informações dinamicamente sobre o status da rede. No entanto, o projeto

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 85/350

original não incluía esse recurso. Um consórcio entre a Cisco, a Digital EquipmentCorporation (DEC), a Northern Telecom e a StrataCom estendeu o protocolo FrameRelay para fornecer recursos adicionais a ambientes complexos de rede. Essas extensõessão chamadas coletivamente de LMI.

Basicamente, a LMI é um mecanismo de keepalive que fornece informações de statussobre conexões Frame Relay entre o roteador (DTE) e o switch Frame Relay (DCE). Acada 10 segundos, aproximadamente, o dispositivo final sonda a rede, solicitando umaresposta de sequência dumb ou informações de status do canal. Se a rede não responder com as informações solicitadas, o dispositivo do usuário poderá considerar que aconexão está inativa. Quando a rede responder com FULL STATUS, ela incluiráinformações de status sobre DLCIs alocados para essa linha. O dispositivo final podeusar essas informações para determinar se as conexões lógicas podem transmitir dados.

A figura mostra a saída do comando show frame-relay lmi. A saída do comando

mostra o tipo de LMI usado pela interface Frame Relay e os contadores da sequência detrocas de status de LMI, incluindo erros como timeouts de LMI.

É fácil confundir a LMI e o encapsulamento. LMI é uma definição das mensagensusadas entre o DTE (R1) e o DCE (o switch Frame Relay de propriedade da operadora).O encapsulamento define os cabeçalhos usados por um DTE para comunicar informações ao DTE na outra extremidade de um VC. O switch e seu roteador conectado se importam em usar a mesma LMI. O switch não se importa com oencapsulamento. Os roteadores ponto de extremidade (DTEs) se importam com oencapsulamento.

Extensões de LMI

Além das funções de protocolo do Frame Relay para transferência de dados, aespecificação Frame Relay inclui extensões opcionais de LMI que são extremamenteúteis em um ambiente de rede. Algumas das extensões incluem:

• Mensagens de status de VC - Forneçe informações sobre a integridade do PVCcomunicando e sincronizando entre dispositivos, informando periodicamente a

existência de novos PVCs e a exclusão de PVCs já existentes. As mensagens destatus de VC impedem que os dados sejam enviados a buracos negros (PVCsque já não existem).

• Multicast - Permite que um remetente transmita um único quadro que éentregue a vários receptores. O multicast suporta a entrega eficiente demensagens de protocolo de roteamento e procedimentos de resolução deendereço que costumam ser enviados simultaneamente a muitos destinos.

• Endereçamento global - Confere aos identificadores de conexão importânciaglobal, e não local, permitindo que eles sejam usados para identificar umainterface específica para a rede Frame Relay. O endereçamento global faz comque a rede Frame Relay seja semelhante a uma rede local em termos deendereçamento, e os ARPs se comportam exatamente como se estivessem emuma rede local.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 86/350

• Controle de fluxo simples - Fornece um mecanismo de controle de fluxoXON/XOFF que se aplica à interface Frame Relay inteira. Ele se destina aosdispositivos cujas camadas superiores não podem usar os bits de notificação decongestionamento e precisam de um pouco de controle de fluxo.

Clique no botão Identificadores de LMI na figura.

O campo de DLCI de 10 bits suporta identificadores de VC de 1.024: 0 por 1023. Asextensões de LMI reservam alguns desses identificadores, o que reduz o número de VCs

 permitidos. As mensagens LMI são trocadas entre o DTE e o DCE usando esses DLCIsreservados.

Há vários tipos de LMI, e elas são incompatíveis entre si. O tipo de LMI configurado noroteador deve corresponder ao tipo usado pela operadora. Três tipos de LMIs são

suportados pelos roteadores Cisco:

• Cisco - Extensão de LMI original

• Ansi - Correspondente ao padrão ANSI T1.617 Annex D

• q933a - Correspondente ao padrão ITU Q933 Annex A

Começando pelo software IOS Cisco versão 11.2, o recurso de autodetecção de LMI padrão detecta o tipo de LMI suportado pelo switch Frame Relay diretamenteconectado. Com base nas mensagens de status LMI que recebe do switch Frame Relay,

o roteador configura automaticamente sua interface com o tipo de LMI suportadoreconhecido pelo switch Frame Relay.

Se for necessário definir o tipo de LMI, use o comando de configuração de interfaceframe-relay lmi-type [cisco | ansi | q933a] Se você configurar o tipo de LMI, o recursode autodetecção será desabilitado.

Ao configurar manualmente o tipo de LMI, é necessário configurar o intervalo dekeepalive na interface Frame Relay para evitar que as trocas de status entre o roteador eo switch expirem. As mensagens de troca de status LMI determinam o status da

conexão do PVC. Por exemplo, uma grande falta de correspondência no intervalo dekeepalive do roteador e do switch pode fazer o switch declarar o roteador como inativo.

Por padrão, o intervalo de keepalive é de 10 segundos em interfaces seriais Cisco. Você pode alterar o intervalo de keepalive com o comando de configuração de interfacekeepalive.

A definição do tipo de LMI e a configuração do keepalive serão praticadas em umaatividade posterior.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 87/350

Página 3:

Formato do quadro LMI

As mensagens de LMI são transportadas em uma variante de quadros LAPF. O campode endereço transporta um do DLCIs reservados. Depois do campo de DLCI estão oscampos de controle, do discriminador de protocolo e de referência de chamada, que nãosão alterados. O quarto campo indica o tipo mensagem LMI.

As mensagens de status ajudam a verificar a integridade dos links lógicos e físicos.Essas informações são essenciais em um ambiente de roteamento, pois os protocolos deroteamento tomam decisões com base na integridade dos links.

Exibir meio visual 

Página 4:

Usando LMI e ARP inverso para mapear endereços

As mensagens de status LMI, combinadas com as mensagens de ARP inverso, permitem que um roteador associe endereços da camada de rede e da camada de enlace.

Clique no botão LMI 1 para assistir ao vídeo que mostra como o processo LMI éiniciado.

 Nesse exemplo, quando R1 conecta-se à rede Frame Relay, ele envia uma mensagem deconsulta de status LMI à rede. A rede responde com uma mensagem de status LMI quecontém detalhes de todos os VCs configurados no link de acesso.

Periodicamente, o roteador repete a consulta de status, mas as respostas subsequentesincluem somente as alterações de status. Depois de um número definido dessasrespostas abreviadas, a rede envia uma mensagem de status completa.

Clique no botão LMI 2 para ver o próximo estágio.

Se o roteador precisar mapear os VCs para endereços da camada de rede, ele enviaráuma mensagem de ARP inverso em cada VC. A mensagem de ARP inverso inclui oendereço da camada de rede do roteador para que o DTE remoto, ou roteador, também

 possa executar o mapeamento. A resposta do ARP inverso permite que o roteador façaas entradas de mapeamento necessárias em sua tabela de mapas de endereço-para-DLCI.Se vários protocolos da camada de rede forem suportados no link, serão enviadasmensagens de ARP inverso a cada um deles.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 88/350

Página 5:Exibir meio visual 

3.2 Configurando Frame Relay3.2.1 Configurando Frame Relay básico

Página 1:

Tarefas de configuração do Frame Relay

O Frame Relay é configurado em um roteador Cisco na interface de linha de comandodo Cisco IOS (CLI). Esta seção descreve as etapas necessárias para habilitar o Frame

Relay na sua rede, bem como algumas das etapas opcionais que você pode usar paraaprimorar ou personalizar sua configuração.

A figura mostra o modelo de configuração básico usado para essa discussão.Posteriormente nesta seção, serão adicionados outros hardwares ao diagrama paraajudar a explicar tarefas de configuração mais complexas. Nesta seção, você configuraráos roteadores Cisco como dispositivos de acesso Frame Relay, ou DTEs, conectadosdiretamente a um switch Frame Relay dedicado, ou DCE.

A figura mostra uma configuração típica de Frame Relay e lista as etapas a seremseguidas. Essas etapas são explicadas e praticadas neste capítulo.Exibir meio visual 

Página 2:

Habilitar o encapsulamento Frame Relay

Esta primeira figura mostra como o Frame Relay foi configurado nas interfaces seriais.Isso envolve a atribuição de um endereço IP, a definição do tipo de encapsulamento e aalocação de largura de banda. A figura mostra roteadores em cada extremidade do link Frame Relay com os scripts de configuração para os roteadores R1 e R2.

Etapa 1. Definindo o endereço IP na interface

Em um roteador Cisco, o Frame Relay é geralmente suportado em interfaces seriaissíncronas. Use o comando ip address para definir o endereço IP da interface. Você

 pode observar que R1 recebeu o endereço IP 10.1.1.1/24 e R2 o endereço IP10.1.1.2/24.

Etapa 2. Configurando o encapsulamento

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 89/350

O comando de configuração de interface encapsulation frame-relay habilita oencapsulamento Frame Relay e permite o processamento do Frame Relay na interfacesuportada. Há duas opções de encapsulamento. Elas serão descritas a seguir.

Etapa 3. Definindo a largura de banda

Use o comando bandwidth para definir a largura de banda da interface serial.Especifique a largura de banda em kb/s. Esse comando notifica o protocolo deroteamento que a largura de banda é configurada estaticamente no link. Os protocolosde roteamento EIGRP e OSPF usam o valor de largura de banda para calcular edeterminar a métrica do link.

Etapa 4. Definindo o tipo de LMI (opcional)

Essa etapa é opcional, pois os roteadores Cisco detectam automaticamente o tipo deLMI. Lembre-se de que os roteadores Cisco suportam três tipos de LMI: Cisco, ANSIAnnex D e Q933-A Annex A. Além disso, o tipo de LMI padrão para os roteadoresCisco é cisco.

Opções de encapsulamento

Lembre-se de que o tipo de encapsulamento padrão em uma interface serial em um

roteador Cisco é a versão do HDLC de propriedade da Cisco. Para alterar oencapsulamento de HDLC para Frame Relay, use o comando encapsulation frame-relay [cisco | ietf ]. O comando noencapsulation frame-relay remove oencapsulamento Frame Relay da interface e a retorna ao encapsulamento HDLC padrão.

O encapsulamento Frame Relay padrão habilitado em interfaces suportadas é Cisco. Useessa opção ao conecta-se a outro roteador Cisco. Muitos dispositivos que não são Ciscotambém suportam esse tipo de encapsulamento. Ele usa um cabeçalho de 4 bytes, com 2

 bytes para identificar o DLCI e 2 bytes para identificar o tipo de pacote.

O tipo de encapsulamento IETF segue os padrões RFC 1490 e RFC 2427. Use essaopção ao conectar-se a um roteador que não seja Cisco.

Clique no botão Verificando a configuração na figura.

A saída do comando show interfaces serial verifica a configuração.

Exibir meio visual 

3.2.2 Configurando mapas Frame Relay estáticos

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 90/350

Página 1:

Configurando um mapa Frame Relay estático

Os roteadores Cisco suportam todos os protocolos da camada de rede sobre FrameRelay, como IP, IPX e AppleTalk, e o mapeamento endereço-para-DLCI pode ser realizado por mapeamento de endereço dinâmico ou estático.

O mapeamento dinâmico é executado pelo recurso ARP inverso. Como o ARP inverso éhabilitado por padrão, não é necessário nenhum comando adicional para configurar omapeamento dinâmico em uma interface.

O mapeamento estático é configurado manualmente em um roteador. O estabelecimentodo mapeamento estático depende das suas necessidades de rede. Para mapear entre um

endereço de protocolo de próximo salto e um endereço de destino de DLCI, utilize ocomando frame-relay map protocol protocol-address dlci [broadcast].

Usando a palavra-chave broadcast

Frame Relay, ATM e X.25 são redes ponto-a-multiponto ( NBMA, nonbroadcastmultiaccess). Redes NBMA só permitem transferência de dados de um computador paraoutro sobre um VC ou em um dispositivo de comutação. Redes NBMA não suportamtráfego multicast ou broadcast. Portanto, um único pacote não pode alcançar todos osdestinos. Para isso, é necessário transmitir para replicar os pacotes manualmente a todosos destinos.

Alguns protocolos de roteamento podem exigir opções de configuração adicionais. Por exemplo, RIP, EIGRP e OSPF exigem configurações adicionais para que sejamsuportados em redes NBMA.

Como a NBMA não suporta o tráfego de broadcast, a palavra-chave broadcast é umamaneira simplificada de encaminhar atualizações de roteamento. A palavra-chavebroadcast permite broadcasts e multicasts no PVC e, em vigor, transforma o broadcast

em unicast para que o outro nó obtenha as atualizações de roteamento.

 Na configuração de exemplo, R1 usa o comando frame-relay map para mapear o VC para R2.

Clique no botão Parâmetros na figura.

A figura mostra como usar as palavras-chave ao configurar mapas de endereço estático.

Clique no botão Verificar na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 91/350

Para verificar o mapeamento Frame Relay, use o comando show frame-relay map.

Exibir meio visual 

Página 2:

 Nesta atividade, você configurará dois mapas estáticos Frame Relay em cada roteador  para alcançar mais dois roteadores. Embora o tipo LMI seja enviado automaticamentenos roteadores, você atribuirá estaticamente o tipo com a configuração manual da LMI.São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.Exibir meio visual 

3.3 Conceitos avançados do Frame Relay3.3.1 Identificando e solucionando problemas de acessibilidade

Página 1:

Split Horizon

Por padrão, uma rede Frame Relay fornece conectividade NBMA entre sites remotos. Nuvens NBMA geralmente usam uma topologia hub-and-spoke. Infelizmente, umaoperação básica de roteamento baseada no princípio de split horizon pode causar 

 problemas de acessibilidade em uma rede NBMA Frame Relay.

Lembre-se de que o split horizon é uma técnica usada para evitar loop de roteamento emredes que usam protocolos de roteamento de vetor distância. As atualizações de splithorizon reduzem loops de roteamento evitando que uma atualização de roteamentorecebida em uma interface seja encaminhada pela mesma interface.

A figura mostra R2, um roteador spoke, enviando uma atualização de roteamento em broadcast a R1, o roteador hub.

Roteadores que suportam várias conexões em uma única interface física têm muitosPVCs que finalizam em uma única interface. R1 deve replicar pacotes de broadcast,como broadcasts de atualização de roteamento, em cada PVC para os roteadoresremotos. Os pacotes de broadcast replicados podem consumir largura de banda e causar latência significativa para o tráfego de usuário. A quantidade de tráfego de broadcast e o

número de VCs que finalizam em cada roteador deve ser avaliada durante a fase de projeto de uma rede Frame Relay. O tráfego de sobrecarga, como atualizações de

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 92/350

roteamento, pode afetar a entrega de dados essenciais de usuário, principalmentequando o caminho de entrega contém links de baixa largura de banda (56 kb/s).

Clique no botão Problema de Split Horizon na figura.

R1 tem vários PVCs em uma única interface física. Portanto, a regra de split horizonimpede que R1 faça o encaminhamento dessa atualização de roteamento pela mesmainterface física a outros roteadores spoke remotos (R3).

Desabilitar o split horizon pode parecer uma solução simples porque permite que asatualizações de roteamento sejam encaminhadas pela mesma interface física da qualvieram. No entanto, somente o IP permite desabilitar o split horizon; IPX e AppleTalk não. Além disso, desabilitar o split horizon aumenta a chance de loops de roteamentoem qualquer rede. O split horizon pode ser desabilitado para interfaces físicas com um

único PVC.

A outra solução óbvia para solucionar o problema de split horizon é usar uma topologiacompletamente em malha. No entanto, ela é cara, pois são necessários mais PVCs. Amelhor solução é usar subinterfaces. Isso será explicado no próximo tópico.

Exibir meio visual 

Página 2:

Subinterfaces Frame Relay

O Frame Relay pode dividir uma interface física em várias interfaces virtuais chamadassubinterfaces. Uma subinterface é simplesmente uma interface lógica associadadiretamente a uma interface física. Portanto, uma subinterface Frame Relay pode ser configurada para cada um dos PVCs que entram em uma interface serial física.

Para habilitar o encaminhamento de atualizações de roteamento em broadcast em umarede Frame Relay, você pode configurar o roteador com subinterfaces logicamenteatribuídas. Uma rede parcialmente em malha pode ser dividida em várias redes menores,completamente em malha, ponto-a-ponto. Cada sub-rede  ponto-a-ponto pode receber um endereço de rede exclusivo, que permite que pacotes recebidos em uma interfacefísica sejam enviados pela mesma interface, pois os pacotes são encaminhados em VCsem subinterfaces diferentes.

As subinterfaces Frame Relay podem ser configuradas nos modos ponto-a-ponto oumultiponto:

• Ponto-a-ponto - Uma única subinterface ponto-a-ponto estabelece uma conexão

de PVC com outra subinterface ou interface física em um roteador remoto. Nesse caso, cada par de roteadores ponto-a-ponto está em sua própria sub-rede, e

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 93/350

cada subinterface ponto-a-ponto tem um único DLCI. Em um ambiente ponto-a- ponto, cada subinterface está atuando como uma interface ponto-a-ponto. Normalmente, há uma sub-rede separada para cada VC ponto-a-ponto. Portanto,o tráfego de atualização de roteamento não está sujeito à regra de split horizon.

• Multiponto – Uma única subinterface multiponto estabelece várias conexões de

PVC com várias subinterfaces ou interfaces físicas em roteadores remotos.Todas as interfaces participantes estão na mesma sub-rede. A subinterface atuacomo uma interface Frame Relay NBMA. Portanto, o tráfego de atualização deroteamento está sujeito à regra de split horizon. Normalmente, todos os VCsmultiponto pertencem à mesma sub-rede.

A figura ilustra dois tipos de subinterfaces suportadas por roteadores Cisco.

Em ambientes de roteamento de split horizon, as atualizações de roteamento recebidasem uma subinterface podem ser enviadas por outra subinterface. Em uma configuraçãode subinterface, cada VC pode ser configurado como uma conexão ponto-a-ponto. Isso

 permite que cada subinterface atue de maneira semelhante a uma linha alugada. Usandouma subinterface Frame Relay ponto-a-ponto, cada par de roteadores ponto-a-ponto estáem sua própria sub-rede.

O comando encapsulation frame-relay é atribuído à interface física. Todos os outrositens de configuração, como o endereço da camada de rede e os DLCIs, são atribuídos àsubinterface.

Você pode usar configurações multiponto para preservar endereços. Isso poderá ser especialmente útil se o Mascaramento de sub-rede de tamanho variável (VLSM,Variable Length Subnet Masking) não estiver sendo usada. No entanto, configuraçõesmultiponto podem não funcionar corretamente segundo o tráfego de broadcast e asconsiderações de split horizon. A opção de subinterface ponto-a-ponto foi criada paraevitar esses problemas.

Passe o mouse sobre a subinterface ponto-a-ponto e a subinterface multiponto nafigura para obter descrições resumidas.

A configuração de subinterfaces será explicada e praticada na próxima seção.Exibir meio visual 

3.3.2 Pagando pelo Frame Relay

Página 1:

Terminologia essencial

As operadoras criam redes Frame Relay usando switches muito grandes e muitoavançados, mas como cliente, seus dispositivos só visualizam a interface do switch do

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 94/350

 provedor de serviços. Geralmente, os clientes não são expostos aos mecanismosinternos da rede, que pode ser criada em tecnologias de alta velocidade, como T1, T3,SONET ou ATM.

Então, do ponto de vista de um cliente, o Frame Relay é uma interface e um ou maisPVCs. Os clientes simplesmente contratam serviços Frame Relay de uma operadora. Noentanto, antes de decidir como pagar pelos serviços Frame Relay, há alguns termos econceitos essenciais a serem aprendidos, conforme ilustrado na figura:

• Taxa de acesso ou velocidade da porta - Do ponto de vista de um cliente, aoperadora fornece uma conexão serial ou um link de acesso à rede Frame Relayem uma linha alugada. A velocidade da linha é a velocidade de acesso ou avelocidade da porta. A taxa de acesso é a taxa na qual seus circuitos de acesso seunem à rede Frame Relay. Geralmente, elas são de 56 kb/s, T1 (1.536 Mb/s) ouT1 Fracionário (um múltiplo de 56 kb/s ou de 64 kb/s). As velocidades de porta

são sincronizadas no switch Frame Relay. Não é possível enviar dados a umavelocidade mais alta do que a velocidade da porta.

• Taxa de informações garantida (CIR ) - Os clientes negociam CIRs com asoperadoras para cada PVC. A CIR é a quantidade de dados que a rede recebe docircuito de acesso. A operadora garante que o cliente pode enviar dados na CIR.Todos os quadros recebidos em ou abaixo da CIR são aceitos.

Uma grande vantagem do Frame Relay é que a capacidade de rede que não estiver sendo usada será disponibilizada ou compartilhada com todos os clientes, geralmentesem nenhum custo adicional. Isso permite que os clientes "estourem" suas CIRs como

um bônus. O burst é explicado no próximo tópico.

Clique no botão Exemplo na figura.

 Neste exemplo, além de todos os custos de CPE, o cliente paga por três componentes decusto de Frame Relay:

• Velocidade de acesso ou da porta: o custo da linha de acesso do DTE para oDCE (cliente para operadora). Essa linha é carregada com base na velocidade de

 porta que foi negociada e instalada.• PVC: esse componente de custo é baseado nos PVCs. Quando um PVC é

estabelecido, o custo adicional para aumentar a CIR é tipicamente pequeno e pode ser feito em incrementos pequenos (4 kb/s).

• CIR: geralmente os clientes escolhem uma CIR inferior à velocidade da porta ouà taxa de acesso. Isso permite tirar proveito dos bursts.

 No exemplo, o cliente está pagando pelo seguinte:

• Uma linha de acesso com uma taxa de 64 kb/s que conecta seu DCE ao DCE daoperadora pela porta serial S0/0/0.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 95/350

• Duas portas virtuais, uma a 32 kb/s e a outra a 16 kb/s.

• Uma CIR de 48 kb/s por toda a rede Frame Relay. Geralmente, essa carga é fixae não é conectada à distância.

Oversubscription

Algumas vezes, as operadoras vendem mais capacidade do que realmente têm, supondoque nem todos os clientes exigirão suas capacidades conferidas o tempo todo. Essaoversubscription é análoga a linhas aéreas que vendem mais assentos do que realmentetêm na expectativa de que alguns dos clientes que possuem reserva não viajarão. Por causa da oversubscription, haverá casos em que a soma de CIRs de vários PVCs paraum determinado local será mais alta do que a taxa da porta ou do canal de acesso. Isso

 pode causar problemas de tráfego, como congestionamentos e tráfego descartado.

Exibir meio visual 

Página 2:

Burst

Uma grande vantagem do Frame Relay é que a capacidade de rede que não estiver sendo usada será disponibilizada ou compartilhada com todos os clientes, geralmentesem nenhum custo adicional.

Usando o exemplo anterior, a figura mostra uma taxa de acesso na porta serial S0/0/0 doroteador R1 a 64 kb/s. Essa taxa é mais alta do que as CIRs combinadas dos dois PVCs.Em circunstâncias normais, o dois PVCs não devem transmitir mais de 32 kb/s e 16kb/s, respectivamente. Desde que a quantidade de dados que o dois PVCs estãoenviando não exceda sua CIR, os dados devem atravessar a rede.

Como os circuitos físicos da rede Frame Relay são compartilhados entre os assinantes,frequentemente haverá largura de banda disponível em excesso. O Frame Relay pode

 permitir que os clientes acessem dinamicamente essa largura de banda adicional e"estourar" suas CIRs gratuitamente.

O burst permite que os dispositivos que precisam temporariamente de largura de bandaadicional a empreste sem nenhum custo adicional de outros dispositivos que não a estãoutilizando. Por exemplo, se o PVC 102 estiver transferindo um arquivo grande, ele

 poderá usar o 16 kb/s que não está sendo usado pelo PVC 103. Mesmo que umdispositivo estoure até o limite da taxa de acesso, os dados poderão atravessar a rede. Aduração de uma transmissão de burst deve ser curta: menos de três ou quatro segundos.

Vários termos são usados para descrever taxas de burst, inclusive a Taxa de informaçõesde burst comprometida (CBIR) e o tamanho do excesso de burst (BE).

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 96/350

A CBIR é uma taxa negociada acima da CIR, que o cliente pode usar para transmissão para burst rápido. Ela permite que o tráfego estoure para velocidades mais altas,conforme a largura de banda de rede disponível permite. No entanto, ele não podeexceder a velocidade da porta do link. Mesmo que um dispositivo estoure até o limite daCBIR, os dados poderão atravessar a rede. A duração de uma transmissão de burst deve

ser curta: menos de três ou quatro segundos. Se os bursts longos persistirem, uma CIR mais alta deverá ser adquirida.

Por exemplo, o DLCI 102 tem uma CIR de 32 kb/s com uma CBIR adicional de 16 kb/s para um total de até 48 kb/s. Os quadros enviados nesse nível são marcados comoDiscard Eligible (DE) em seus cabeçalhos, indicando que eles podem ser descartados sehouver congestionamento ou se não houver capacidade suficiente na rede. Os quadrosda CIR negociada não são qualificados para descarte (DE = 0). Os quadros acima daCIR têm o bit DE definido como 1, marcando-os como qualificados para seremdescartados, caso a rede fique congestionada.

BE é o termo usado para descrever a largura de banda disponível acima da CBIR até ataxa de acesso do link. Ao contrário da CBIR, ele não é negociado. Os quadros podemser transmitidos nesse nível, mas provavelmente serão descartados.

Clique no botão Burst na figura.

A figura ilustra a relação entre os vários termos de burst.

Exibir meio visual 

3.3.3 Controle de fluxo do Frame Relay

Página 1:

O Frame Relay reduz a sobrecarga na rede implementando mecanismos simples denotificação de congestionamento em vez de controle de fluxo explícito por VC. Essesmecanismos de notificação de congestionamento são a Notificação explícita decongestionamento à frente (FECN) e a Notificação de congestionamento explícitoreverso (BECN).

Para ajudar a entender os mecanismos, o gráfico que mostra a estrutura do quadroFrame Relay é apresentado para revisão. FECN e BECN são controladas por um único

 bit contido no cabeçalho do quadro. Elas permitem que o roteador saiba que hácongestionamento e que o roteador deve parar a transmissão até que a condição sejainvertida. BECN é uma notificação direta. FECN é uma notificação indireta.

O cabeçalho do quadro também contém um bit DE, que identifica o tráfego menosimportante que pode ser descartado durante períodos de congestionamento. Osdispositivos DTE podem definir o valor do bit DE como 1 para indicar que o quadro

tem importância inferior à de outros quadros. Quando a rede fica congestionada, osdispositivos DCE descartam os quadros com bit DE definido como 1 antes de descartar 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 97/350

os demais quadros. Isso reduz a probabilidade de descarte de dados essenciais durante períodos de congestionamento.

Em períodos de congestionamento, o switch Frame Relay do provedor aplica asseguintes regras lógicas a cada quadro recebido, dependendo da CIR ter sido excedidaou não:

• Se o quadro recebido não exceder a CIR, ele será transmitido.

• Se um quadro recebido exceder a CIR, ele será marcado como DE.

• Se um quadro recebido exceder a CIR, além do BE, ele será descartado.

Clique no botão Fila na figura e em Reproduzir na animação.

Os quadros que chegam a um switch são enfileirados ou armazenados em buffer antesde serem encaminhados. Como em qualquer sistema de fila, é possível que haja umaformação excessiva de quadros em um switch. Isso causa atrasos. Os atrasos levam anovas transmissões desnecessárias que ocorrem quando protocolos de níveis mais altosnão recebem nenhuma confirmação dentro de um período definido. Em casos severos,isso pode causar uma queda séria na produtividade da rede. Para evitar esse problema, oFrame Relay incorpora um recurso de controle de fluxo.

A figura mostra um switch com um enfileiramento. Para reduzir o fluxo de quadros paraa fila, o switch notifica os DTEs sobre o problema usando os bits de Notificação de

congestionamento explícito no campo de endereço do quadro.

• O bit FECN, indicado pelo "F" na figura, é definido em todos os quadros que oswitch upstream recebe no link congestionado.

• O bit BECN, indicado pelo "B" na figura, é definido em todos os quadros que oswitch posiciona no link congestionado para o switch downstream.

Os DTEs que recebem quadros com os bits ECN definidos devem tentar reduzir o fluxode quadros até que o congestionamento acabe.

Se o congestionamento ocorrer em um tronco interno, os DTEs poderão receber notificação, embora não sejam a causa do congestionamento.

Exibir meio visual 

Página 2:Exibir meio visual 

3.4 Configurando o Frame Relay avançado

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 98/350

3.4.1 Configurando as subinterfaces Frame Relay

Página 1:

Lembre-se de que usar as subinterfaces Frame Relay assegura que uma única interfacefísica seja tratada como várias interfaces virtuais para superar regras de split horizon. Os

 pacotes recebidos em uma interface virtual podem ser encaminhados à outra, mesmoque elas estejam configuradas na mesma interface física.

As subinterfaces resolvem as limitações das redes Frame Relay fornecendo um modo desubdividir uma rede Frame Relay parcialmente em malha em várias sub-redes menores,em malha completa (ou ponto-a-ponto). Cada sub-rede recebe seu próprio número derede e aparece para os protocolos como se fosse alcançável através de uma interfaceseparada. As subinterfaces ponto-a-ponto podem ser não numeradas para uso com IP,reduzindo a sobrecarga de endereçamento que poderia ocorrer.

Para criar uma subinterface, use o comando interface serial. Especifique o número da porta, seguido de um ponto (.) e o número da subinterface. Para facilitar a solução de problemas, use o DLCI como o número da subinterface. Você também deve especificar se a interface é ponto-a-ponto ou multiponto usando as palavras-chave multipoint oupoint-to-point, pois não há um padrão. Essas palavras-chave são definidas na figura.

O comando a seguir cria uma subinterface ponto-a-ponto para o PVC 103 em R3:R1(config-if)#interface serial 0/0/0.103 point-to-point.

Clique no botão DLCI na figura.

Se a subinterface for configurada como ponto-a-ponto, o DLCI local da subinterfacetambém deverá ser configurado para diferenciá-la da interface física. O DLCI também énecessário às subinterfaces multiponto para as quais o ARP inverso é habilitado. Ele nãoé necessário para subinterfaces multiponto configuradas com mapas estáticos.

A operadora de Frame Relay atribui os números de DLCI. Esses números variam de 16a 991, e normalmente sua importância é somente local. O intervalo varia, dependendoda LMI usada.

O comando frame-relay interface-dlci configura o DLCI local na subinterface. Por exemplo: R1(config-subif)#frame-relay interface-dlci 103.

Nota: infelizmente, a alteração de uma configuração de subinterface Frame Relayexistente pode não produzir o resultado esperado. Nessas situações, pode ser necessáriosalvar a configuração e reiniciar o roteador.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 99/350

Página 2:

Exemplo de configuração de subinterfaces

 Na figura, R1 tem duas subinterfaces ponto-a-ponto. A subinterface s0/0.0.102 éconectada a R2 e a subinterface s0/0/0.103 é conectada a R3. Cada subinterface está emuma sub-rede diferente.

Para configurar subinterfaces em uma interface física, são necessárias as seguintesetapas:

Etapa 1. Remova todos os endereços de camada de rede atribuídos à interface física. Sea interface física tiver um endereço, os quadros não serão recebidos pelas subinterfaces

locais.

Etapa 2. Configure o encapsulamento Frame Relay na interface física usando ocomando encapsulation frame-relay.

Etapa 3. Para cada um dos PVCs definidos, crie uma subinterface lógica. Especifique onúmero da porta, seguido de um ponto (.) e o número da subinterface. Para facilitar asolução de problemas, é recomendável que o número da subinterface corresponda aonúmero do DLCI.

Etapa 4. Configure um endereço IP para a interface e defina a largura de banda.

 Nesse momento, nós configuraremos o DLCI. Lembre-se de que a operadora de FrameRelay atribui os números de DLCI.

Etapa 5. Configure o DLCI local na subinterface usando o comando frame-relayinterface-dlci.

Exibir meio visual 

3.4.2 Verificando a operação do Frame Relay

Página 1:

O Frame Relay geralmente é um serviço muito confiável. No entanto, há momentos emque o desempenho da rede é menor do que o esperado. Nesses casos, é necessáriosolucionar os problemas. Por exemplo, os usuários podem relatar conexões lentas eintermitentes pelo circuito. Os circuitos podem parar de funcionar. Independentementedo motivo, quedas na rede são muito dispendiosas em termos de produtividade perdida.

Uma prática recomendada é verificar sua configuração antes que os problemasapareçam.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 100/350

 Neste tópico, você visualizará um procedimento de verificação para garantir que tudoesteja funcionando corretamente antes de você iniciar sua configuração em uma redeativa.

Verificar as interfaces Frame Relay

Depois de configurar um PVC Frame Relay e ao solucionar um problema, verifique se oFrame Relay está funcionando corretamente nessa interface usando o comando showinterfaces.

Lembre-se de que, com o Frame Relay, o roteador geralmente é considerado umdispositivo DTE. No entanto, um roteador Cisco pode ser configurado como um switchFrame Relay. Em tais casos, o roteador torna-se um dispositivo DCE quando é

configurado como um switch Frame Relay.

O comando show interfaces mostra como o encapsulamento está configurado, além deinformações de status úteis da Camada 1 e da Camada 2, incluindo:

• Tipo de LMI

• DLCI LMI

• Tipo de DTE/DCE de Frame Relay

A primeira etapa é sempre confirmar se as interfaces estão configuradas corretamente.A figura mostra um exemplo de saída do comando show interfaces. Entre outras coisas,você pode visualizar detalhes sobre o encapsulamento, o DLCI na interface serial FrameRelay e o DLCI usado para a LMI. Você deve confirmar se esses valores são osesperados. Caso contrário, poderá ser necessário fazer alterações.

Clique no botão LMI na figura para verificar o seu desempenho.

A próxima etapa é analisar algumas estatísticas de LMI usando o comando showframe-relay lmi. Na saída do comando, procure todos os itens "Invalid" diferentes dezero. Isso ajuda a isolar o problema como um problema de comunicação Frame Relayentre o switch da operadora e o seu roteador.

A figura exibe um exemplo de saída do comando que mostra o número de mensagens destatus trocadas entre o roteador local e o switch Frame Relay local.

Agora analise as estatísticas da interface.

Clique no botão Status de PVC na figura para verificar.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 101/350

Use o comando show frame-relay pvc [interface interface] [dlci] para exibir asestatísticas de PVC e de tráfego. Esse comando também é útil para exibir o número de

 pacotes BECN e FECN recebidos pelo roteador. O status do PVC pode ser ativo, inativoou deletado.

O comando show frame-relay pvc exibe o status de todos os PVCs configurados noroteador. Você também pode especificar um PVC em particular. Clique em Status doPVC na figura para ver um exemplo da saída do comando show frame-relay pvc 102.

Depois que tiver coletado todas as estatísticas, use o comando clear counters parareiniciar os contadores de estatísticas. Aguarde de 5 a 10 minutos depois de limpar oscontadores para emitir o comando show novamente. Observe todos os erros adicionais.Se você precisar entrar em contato com a operadora, essas estatísticas o ajudarão asolucionar os problemas.

A tarefa final é confirmar se o comando frame-relay inverse-arp determinou umendereço IP remoto a um DLCI local. Use o comando show frame-relay map paraexibir as entradas de mapa atuais e as informações sobre as conexões.

Clique no botão ARP inverso na figura.

A saída do comando mostra as seguintes informações:

• 10.140.1.1 é o endereço IP do roteador remoto, dinamicamente aprendido pelo processo de ARP inverso.

• 100 é o valor decimal do DLCI local.

• 0 x 64 é a conversão hexadecimal do número de DLCI, 0 x 64 = 100 decimal.

• 0 x 1840 é o valor como apareceria no cabo devido à maneira como os bits deDLCI são difundidos no campo de endereço do quadro Frame Relay.

• Broadcast/multicast estão habilitados no PVC.

• O status do PVC é ativo.

Para limpar mapas Frame Relay dinamicamente criados usando o ARP inverso, use ocomando clear frame-relay-inarp. Clique no botão Limpar mapas para visualizar um exemplo dessa etapa.

Exibir meio visual 

3.4.3 Identificação e solução de problemas de configuração do Frame Relay

Página 1:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 102/350

Se o procedimento de verificação indicar que a sua configuração Frame Relay não estáfuncionando corretamente, você precisará solucionar esses problemas.

Use o comando debug frame-relay lmi para determinar se o roteador e o switch FrameRelay estão enviando e recebendo pacotes LMI corretamente.

Veja a figura e examine a saída do comando de uma troca LMI.

• "out" é uma mensagem de status LMI enviada pelo roteador.

• "in" é uma mensagem recebida do switch Frame Relay.

• Uma mensagem completa de status LMI é "tipo 0" (não mostrada na figura).

• Uma troca LMI é um "tipo 1".

• "dlci 100, status 0x2" significa que o status do DLCI 100 é ativo (não mostradona figura).

Quando é feita uma solicitação ARP inverso, o roteador atualiza sua tabela de mapascom três possíveis estados de conexão LMI. Esses estados são: estado ativo, estadoinativo e estado deletado

• Estados ATIVOS indicam um circuito fim-a-fim (DTE para DTE) bem-sucedido.

• O estado INATIVO indica uma conexão bem-sucedida com o switch (DTE para

DCE) sem um DTE detectado na outra extremidade do PVC. Isso pode ocorrer devido a uma configuração residual ou incorreta no switch.

• O estado DELETADO indica que o DTE está configurado para um DLCI que oswitch não reconhece como válido para essa interface.

Os possíveis valores do campo de status são:

• 0 x 0 - O switch tem o DLCI programado. Porém, por alguma razão, ele não éutilizável. Pode ser que a outra extremidade do PVC esteja inativa.

• 0 x 2 - O switch Frame Relay tem o DLCI e tudo funciona.• 0 x 4 - O switch Frame Relay não tem o DLCI programado para o roteador, mas

ele foi programado em algum momento no passado. Outros motivos podem ser:os DLCIs foram invertidos no roteador, ou o PVC foi excluído pela operadorana nuvem Frame Relay.

Exibir meio visual 

Página 2:

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 103/350

3.5 Laboratórios do capítulo3.5.1 Frame Relay básico

Página 1:

 Neste laboratório, você irá aprender a configurar o encapsulamento Frame Relay emlinks seriais usando a rede mostrada no diagrama de topologia. Você também aprenderáa configurar um roteador como um switch frame relay. Há padrões Cisco e padrõesabertos que se aplicam ao Frame Relay. Você aprenderá ambos. Preste atenção especialna seção de laboratório em que você divide intencionalmente as configurações de FrameRelay. Isso o ajudará no laboratório de solução de problemas associado a este capítulo.

Exibir meio visual 

3.5.2 Configuração avançada de Frame Relay

Página 1:

 Neste laboratório, você irá configurar o Frame Relay usando a rede mostrada nodiagrama de topologia. Se você precisar de assistência, consulte o laboratório de FrameRelay básico. No entanto, tente fazer o máximo possível.

Exibir meio visual 

3.5.3 Identificação e solução de problemas de Frame Relay

Página 1: Neste laboratório, você irá praticar a solução de problemas em um ambiente de FrameRelay configurado incorretamente. Carregue ou peça ao instrutor para carregar asconfigurações abaixo em seus roteadores. Localize e repare todos os erros nasconfigurações e estabeleça a conectividade fim-a-fim. Sua configuração final devecorresponder ao diagrama de topologia e à tabela de endereçamento.

Exibir meio visual 

3.6 Resumo3.6.1 Resumo do capítulo

Página 1:

O Frame Relay fornece mais largura de banda, confiabilidade e flexibilidade do que aslinhas alugadas ou particulares. O Frame Relay reduziu os custos de rede usando menosequipamento, menos complexidade e fornecendo uma implementação mais fácil. Por esses motivos, o Frame Relay se tornou a tecnologia WAN mais usada no mundo.

Uma conexão Frame Relay entre um dispositivo DTE na extremidade da rede local e

um dispositivo DCE na extremidade da operadora possui um componente de camada deenlace e um componente de camada física. O Frame Relay recebe pacotes de dados e os

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 104/350

encapsula em um quadro Frame Relay. Em seguida, ele transmite o quadro à camadafísica para ser enviado pelo cabo. A conexão pela rede da operadora é um VCidentificado por um DLCI. Vários VCs podem ser multiplexados com um FRAD. Asredes Frame Relay geralmente usam uma topologia de malha parcial otimizada para osrequisitos de fluxo de dados da base de clientes da operadora.

O Frame Relay usa o ARP inverso para mapear DCLIs para os endereços IP de locaisremotos. O mapeamento de endereço dinâmico depende do ARP inverso paradeterminar um endereço de protocolo de rede de próximo salto para um valor de DLCIlocal. O roteador de Frame Relay envia solicitações ARP inverso em seu PVC paradescobrir o endereço de protocolo do dispositivo remoto conectado à rede Frame Relay.Os roteadores DTE do Frame Relay usam a LMI para fornecer informações de statussobre sua conexão com o switch DCE. As extensões de LMI fornecem informações derede adicionais.

As duas primeiras tarefas da configuração do Frame Relay em um roteador Cisco são:habilitar o encapsulamento de Frame Relay na interface e, em seguida, configurar omapeamento estático ou dinâmico. Depois disso, há várias tarefas opcionais que podemser concluídas conforme for necessário, incluindo configuração da LMI, dos VCs,modelagem de tráfego e personalização do Frame Relay na sua rede. Monitorar amanutenção das conexões Frame Relay é a tarefa final.

A configuração do Frame Relay deve considerar o problema de split horizon que ocorrequando vários VCs convergem em uma única interface física. O Frame Relay podedividir uma interface física em várias interfaces virtuais chamadas subinterfaces. A

configuração da subinterface também foi explicada e praticada.

A configuração do Frame Relay é afetada pela maneira como as operadoras cobram pelas conexões usando unidades de taxas de acesso e taxas de informações garantidas(CIR). Uma vantagem desses esquemas de cobrança é que a capacidade de rede que nãoestiver sendo usada será disponibilizada ou compartilhada com todos os clientes,geralmente sem nenhum custo adicional. Isso permite que os usuários estourem otráfego por períodos curtos.

A configuração do controle de fluxo em uma rede Frame Relay também é afetada pelos

esquemas de cobrança das operadoras. Você pode configurar as filas e modelar otráfego de acordo com a CIR. Os DTEs podem ser configurados para controlar ocongestionamento na rede adicionando bits BECN e FECN aos endereços de quadro. OsDTEs também podem ser configurados para definir um bit qualificado para descarte,que indica que o quadro pode ser descartado antes de outros quadros, se houver congestionamento. Os quadros enviados que excederem a CIR são marcados como"qualificado para descarte" (DE), o que significa que eles poderão ser descartados sehouver congestionamento na rede Frame Relay.

Finalmente, depois de configurar o Frame Relay, você aprendeu a verificar e solucionar os problemas das conexões.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 105/350

Página 2:Exibir meio visual 

Página 3:

Esta atividade permite praticar uma variedade de habilidades, incluindo a configuraçãodo Frame Relay, o PPP com o CHAP, o roteamento padrão e estático, o VTP e aVLAN. Como há aproximadamente 150 componentes classificados nesta atividade,talvez você não veja o aumento no percentual de conclusão sempre que configura umcomando classificado. Você pode clicar em Verificar resultados e em Itens deavaliação para verificar se inseriu corretamente um comando classificado. Sãofornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

3.7 Teste do capítulo3.7.1 Teste do capítulo

Página 1:Exibir meio visual

4 Segurança de rede4.0 Introdução do capítulo4.0.1 Introdução do capítulo

Página 1:A segurança foi colocada à frente do gerenciamento de rede e da implementação. Odesafio geral da segurança é encontrar um equilíbrio entre dois requisitos importantes: anecessidade de abrir redes para dar suporte a cada vez mais oportunidades de negócios ea necessidade de proteger informações privadas, pessoais e comerciais estratégicas.

A aplicação de uma política de segurança efetiva é o passo mais importante que umaorganização pode dar para proteger sua rede. Ela fornece diretrizes sobre as atividades aserem realizadas e os recursos utilizados para proteger a rede de uma organização.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 106/350

A segurança da Camada 2 não é abordada neste capítulo. Para obter informações sobreas medidas de segurança da Camada 2, consulte o curso CCNA Exploration: Comutaçãode rede local e rede sem fio.

Exibir meio visual 

4.1 Introdução à segurança de rede4.1.1 Por que a segurança de rede é importante?

Página 1:

Por que a segurança de rede é importante?

As redes de computadores cresceram em tamanho e importância muito rapidamente. Sea segurança da rede for comprometida, talvez haja consequências sérias, como a perdade privacidade, o roubo de informações e até mesmo a responsabilização legal. Paratornar a situação ainda mais desafiadora, os tipos de ameaças em potencial à segurançade rede estão sempre evoluindo.

 Na medida em que o comércio eletrônico e os aplicativos da Internet continuamcrescendo, encontrar o equilíbrio entre o isolamento e a abertura é essencial. Alémdisso, o crescimento do comércio móvel e das redes sem fio exige que as soluções emsegurança sejam totalmente integradas, mais transparentes e flexíveis.

 Neste capítulo, você fará um tour por todo o mundo da segurança de rede. Você obteráinformações sobre tipos diferentes de ameaças, sobre o desenvolvimento de políticas desegurança organizacionais, as técnicas de atenuação e as ferramentas do software IOSCisco para ajudar na proteção de redes. O capítulo termina com uma análise dogerenciamento de imagens do software IOS Cisco. Embora aparentemente esse não sejaum problema de segurança, as imagens e as configurações do software IOS Cisco

 podem ser excluídas. Dispositivos comprometidos dessa forma oferecem riscos àsegurança.

Exibir meio visual 

Página 2:

A crescente ameaça à segurança

Com o passar dos anos, as ferramentas e os métodos de ataque à rede evoluíram.Conforme mostrado na figura, em 1985 um atacante precisava contar com computador,

 programação e conhecimento de rede sofisticados para utilizar ferramentas rudimentarese ataques básicos. Com o passar do tempo, os métodos e as ferramentas dosatacantesatacantes melhoraram, e eles já não precisavam do mesmo nível sofisticado deconhecimento. Isso reduziu efetivamente os requisitos iniciais para os atacantes. Pessoas

que antes não participariam de crimes digitais agora podem fazer isso.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 107/350

Como os tipos de ameaças, ataques e explorações evoluíram, vários termos foramcriados para descrever os indivíduos envolvidos. Alguns dos termos mais comuns são osseguintes:

• White hat – um indivíduo que procura vulnerabilidades em sistemas ou redes e,em seguida, informa essas vulnerabilidade aos proprietários do sistema para queque elas possam ser corrigidas. Eles são totalmente contrários à violação desistemas de computadores. Um white hat normalmente se concentra na proteçãode sistemas de TI, enquanto um black hat (o oposto) gostaria de invadi-los.

• Hacker – termo geral historicamente utilizado para descrever um especialistaem programação de computador. Mais recentemente, esse termo passou a ser mais utilizado de modo negativo para descrever um indivíduo que tenta obter acesso não autorizado a recursos de rede com má intenção.

• Black hat – outro termo para indivíduos que utilizam seu conhecimento desistemas de computadores para invadir sistemas ou redes para os quais não têm

autorização, normalmente tendo em vista ganhos pessoais ou financeiros.Cracker é um exemplo de black hat.

• Cracker – termo mais preciso para descrever alguém que tenta obter acesso nãoautorizado a recursos de rede com má intenção.

• Phreaker – indivíduo que manipula a rede telefônica para que ela execute umafunção não permitida. Uma meta comum do phreaking é invadir a redetelefônica, normalmente por meio de um telefone público, fazer chamadas delonga distância gratuitamente.

• Spammer – indivíduo que envia grandes quantidades de mensagens de emailnão solicitadas. Os spammers normalmente utilizam vírus para assumir o

controle de computadores domésticos e os utilizam para enviar mensagens emmassa.

• Phisher – utiliza email ou outros meios para levar outras pessoas a fornecer informações confidenciais, como números de cartão de crédito ou senhas. Um

 phisher se mascara como uma parte confiável que teria uma necessidadelegítima pelas informações confidenciais.

Pense como um atacante

A meta do atacanteatacante é comprometer uma rede-alvo ou um aplicativo emexecução em uma rede. Muitos atacantes utilizam esse processo em sete etapas paraobter informações e realizar um ataque.

Etapa 1. Executar a análise de presença (reconhecimento). A página Web de umaempresa pode levar a informações, como os endereços IP de servidores. Com eles, umatacante pode criar uma imagem do perfil de segurança ou do "mapa" da empresa.

Etapa 2. Enumerar informações. Um atacante pode expandir o mapa, monitorando otráfego da rede com um sniffer de pacotes, como o Wireshark, que acaba localizando

informações como os números de versão dos servidores FTP e dos servidores de email.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 108/350

Uma referência cruzada com bancos de dados de vulnerabilidades expõe os aplicativosda empresa a explorações em potencial.

Etapa 3. Manipular usuários para obter acesso. Às vezes, os funcionários escolhemsenhas que são facilmente descobertas. Em outros casos, os funcionários podem ser induzidos por atacantes talentosos a fornecer informações confidenciais relacionadas aoacesso.

Etapa 4. Escalonar privilégios. Depois de obter acesso básico, os atacantes utilizamsuas habilidades para aumentar seus privilégios de rede.

Etapa 5. Obter senhas e segredos adicionais. Com maiores privilégios de acesso, osatacantes utilizam seus talentos para obter acesso a informações confidenciais, mais

 bem guardadas.

Etapa 6. Instalar backdoors. Os backdoors proporcionam ao atacante uma forma deentrar no sistema sem ser detectado. O backdoor mais comum é uma porta de escutaTCP ou UDP aberta.

Etapa 7. Otimizar o sistema comprometido. Depois que um sistema é comprometido,um atacante o utiliza para preparar ataques a outros hosts na rede.

Exibir meio visual 

Página 3:

Tipos de crimes digitais

Como as medidas de segurança melhoraram com o passar dos anos, a frequência dealguns dos tipos mais comuns de ataques diminuiu, embora novos tenham surgido. Aconcepção de soluções em segurança de rede começa com uma avaliação do escopocompleto do crime digital. Estas são as ações mais comuns de crimes digitais relatadosque têm implicações na segurança de rede:

• Violação interna ao acesso da rede

• Vírus

• Roubo de dispositivo móvel

• Phishing no qual uma organização é representada de maneira fraudulenta comoo remetente

• Uso indevido de mensagens instantâneas

•  Negação de serviço

• Acesso não autorizado a informações

• Bots dentro da organização

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 109/350

• Roubo de dados do cliente ou do funcionário

• Violação da rede sem fio

• Invasão ao sistema

• Fraude financeira

• Detecção de senha• Key logging

• Desfiguração de site

• Uso indevido de um aplicativo público da Web

• Roubo de informações proprietárias

• Exploração do servidor DNS de uma organização

• Fraude em telecomunicação

• Sabotagem

Nota: em determinados países, algumas dessas atividades talvez não sejam crime, mas,ainda assim, constituem um problema.

Exibir meio visual 

Página 4:

Redes abertas x fechadas

O desafio geral da segurança para administradores de rede é equilibrar duasnecessidades importantes: manter redes abertas para dar suporte a cada vez maisrequisitos de negócios e proteger informações privadas, pessoais e comerciaisestratégicas.

Os modelos de segurança de rede seguem uma escala progressiva da permissão aqualquer serviço, a menos que ele seja expressamente negado, até a negação, por 

 padrão, de serviços, a menos que eles sejam considerados necessários. No caso da redeaberta, os riscos à segurança são evidentes. No caso da rede fechada, as regras para oque é permitido são definidas na forma de uma política por um indivíduo ou grupo na

organização.

Uma alteração feita na política de acesso pode ser tão simples quanto pedir a umadministrador de rede que habilite um serviço. Dependendo da empresa, para que oadministrador tenha permissão para habilitar o serviço, uma alteração pode exigir umaemenda à política de segurança corporativa. Por exemplo, uma política de segurança

 pode desaprovar o uso dos serviços de mensagens instantâneas (IM), mas a demanda por parte dos funcionários pode levar a empresa a alterar a política.

Uma alternativa extrema para o gerenciamento da segurança é fechar totalmente umarede ao mundo externo. Uma rede fechada só fornece conectividade a partes e sitesreconhecidamente confiáveis. Uma rede fechada não permite uma conexão a redes

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 110/350

 públicas. Como não há nenhuma conectividade externa, as redes projetadas dessa formasão consideradas protegidas de ataques externos. No entanto, ainda existem ameaçasinternas. Uma rede fechada faz pouco para impedir ataques de dentro da empresa.

Exibir meio visual 

Página 5:

Desenvolvendo uma política de segurança

O primeiro passo que qualquer organização deve dar para proteger seus dados e ela própria de uma responsabilização é desenvolver uma política de segurança. Política éum conjunto de princípios que orientam processos de tomada de decisões e permitemaos líderes de uma organização delegar autoridade com confiança. A RFC2196 afirmaque "política de segurança é uma declaração formal das regras que as pessoas que

recebem acesso à tecnologia e aos ativos de informações de uma organização devemseguir". Uma política de segurança pode ser tão simples quanto uma política de usoaceitável resumida para recursos de rede, ou pode ter várias centenas de páginas edetalhar todos os elementos de conectividade e as políticas associadas.

Uma política de segurança atinge estas metas:

• Informa usuários, equipe e gerentes de seus requisitos obrigatórios para proteger a tecnologia e os ativos de informações

•

Especifica os mecanismos por meio dos quais esses requisitos podem ser atendidos

• Fornece uma linha de base para adquirir, configurar e auditar sistemas decomputadores e redes em conformidade com a política

A organização de uma política de segurança poderá ser um desafio, se realizada semorientação. Por isso, a Organização Internacional para Padronização (ISO) e a Comissãode eletrotécnica internacional (IEC) publicaram um documento padrão sobre asegurança chamado ISO/IEC 27002. Esse documento se refere especificamente àtecnologia da informação e descreve um código de conduta para o gerenciamento de

segurança das informações.

O ISO/IEC 27002 deve ser uma base comum e uma diretriz prática para odesenvolvimento de padrões de segurança organizacionais e de práticas efetivas para ogerenciamento da segurança. O documento consiste em 12 seções:

• Avaliação de risco

• Política de segurança

• Organização da segurança das informações

• Gerenciamento de ativos• Segurança de recursos humanos

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 111/350

• Segurança física e ambiental

• Gerenciamento da comunicação e das operações

• Controle de acesso

• Aquisição, desenvolvimento e manutenção dos sistemas de informações

• Gerenciamento de incidentes de segurança das informações• Gerenciamento da continuidade dos negócios

• Conformidade

Este capítulo aborda a seção da política de segurança. Para obter mais informaçõessobre todas as seções, visite http://en.wikipedia.org/wiki/ISO/IEC_27002 . Odesenvolvimento do documento da política de segurança de rede é abordado nos tópicos4.1.5 "O ciclo de segurança de rede" e 4.1.6 "A política de segurança da empresa".

Exibir meio visual 

4.1.2 Ameaças comuns à segurança

Página 1:

Vulnerabilidades

Durante a abordagem da segurança de rede, três fatores comuns são vulnerabilidade,ameaça e ataque.

Vulnerabilidade é o nível de fragilidade inerente a todas as redes e dispositivos. Issoinclui roteadores, switches, desktops, servidores e até mesmo dispositivos de segurança.

Ameaças são as pessoas interessadas e qualificadas para usufruir de todas as fraquezasrelacionadas à segurança. Esses indivíduos devem continuar procurando novas proezase vulnerabilidades.

As ameaças utilizam várias ferramentas, scripts e programas para iniciar ataques contra

redes e dispositivos de rede. Normalmente, os dispositivos de rede sob ataque são asextremidades, como servidores e desktops.

Há três vulnerabilidades principais:

• Vulnerabilidades tecnológicas

• Falhas na configuração

• Falhas na política de segurança

Clique no botão Tecnologia na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 112/350

O computador e as tecnologias de rede têm vulnerabilidades intrínsecas na segurança.Entre elas estão o protocolo TCP/IP, o sistema operacional e as vulnerabilidades noequipamento de rede.

Clique no botão Configuração na figura.

Os administradores ou os engenheiros de rede precisam saber quais são as falhas naconfiguração e configurar corretamente os dispositivos de computação e de rede paracompensá-las.

Clique no botão Política na figura.

Haverá riscos à segurança de rede se os usuários não seguirem a política de segurança.Algumas falhas comuns na política de segurança e como essas falhas são exploradasestão listadas na figura.

Exibir meio visual 

Página 2:

Ameaças à infraestrutura física

Ao pensar em segurança de rede, ou mesmo em segurança de computador, você talvezimagine atacantes explorando vulnerabilidades do software. Uma classe de ameaçamenos conhecida, mas não menos importante, é a segurança física dos dispositivos. Umatacante poderá negar o uso dos recursos de rede se esses recursos puderem ser comprometidos fisicamente.

As quatro classes de ameaças físicas são:

• Ameaças ao hardware – dano físico em servidores, roteadores, switches,instalação de cabeamento e estações de trabalho

• Ameaças ao ambiente – temperaturas extremas (muito quente ou muito frio) ouumidade extrema (muito molhado ou muito seco)

• Ameaças elétricas –  picos de tensão, tensão de alimentação insuficiente (quedasde energia), energia não condicionada (ruído) e perda de energia total

• Ameaças à manutenção – mau processamento dos principais componenteselétricos (descarga eletrostática), falta de peças críticassobressalentes,cabeamento ruim e sem rotulação

Alguns desses problemas devem ser resolvidos com uma política organizacional.

Alguns deles estão sujeitos a uma boa liderança e ao bom gerenciamento na

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 113/350

organização. As consequências da falta de sorte poderão se dar em uma rede, se asegurança física não estiver suficientemente preparada.

Aqui estão algumas formas de atenuar ameaças físicas:

• Atenuação da ameaça ao hardware

• Atenuação da ameaça ao ambiente

• Atenuação da ameaça elétrica

• Atenuação da ameaça mecânica

Clique no botão Hardware na figura.

Atenuação da ameaça ao hardware

Tranque o wiring closet e só permita o acesso para o pessoal autorizado. Impeça oacesso por qualquer placa móvel no teto, no chão, pela janela, pela tubulação ou pontode entrada que não seja o ponto de acesso protegido. Use o controle de acesso eletrônicoe registre todas as tentativas de entrada. Monitore as instalações com câmeras desegurança.

Clique no botão Ambiental na figura.

Atenuação da ameaça ao ambiente

Crie um ambiente de operação apropriado por meio do controle de temperatura, deumidade, do fluxo de ar, de alarmes remotos do ambiente, além da gravação e damonitoração.

Clique no botão Elétrico na figura.

Atenuação da ameaça elétrica

Limite os problemas elétricos de alimentação, instalando sistemas de no-break egeradores, seguindo um plano de manutenção preventiva, instalando fontes dealimentação redundantes e utilizando alarmes remotos e monitoração.

Clique no botão Manutenção na figura.

Atenuação da ameaça de manutenção

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 114/350

Atenuação da ameaça de manutenção – use cabos limpos, rotule os cabos e oscomponentes essenciais, use procedimentos para descarga eletrostática, guarde peçassobressalentes essenciais e controle o acesso a portas de console.

Exibir meio visual 

Página 3:

Ameaças a redes

 No início deste capítulo, foram listados os crimes digitais mais comuns comimplicações na segurança de rede. Esses crimes podem ser agrupados em quatro classes

 principais de ameaças a redes:

Ameaças não estruturadas

As ameaças não estruturadas consistem, em sua maioria, em indivíduos inexperientesutilizando ferramentas facilmente disponíveis para hackers, como scripts de shell ecrackers de senha. Mesmo ameaças não estruturadas executadas apenas com a intençãode testar as habilidades de um atacante podem causar sérios danos a uma rede. Por exemplo, se o site de uma empresa for hackeado, a reputação dessa empresa poderá ser abalada. Mesmo que o site seja separado das informações privadas que ficam protegidas

 por um firewall, o público não tomará conhecimento disso. O que o público vê é que osite talvez não seja um ambiente seguro para se fazer negócios.

Ameaças estruturadas

As ameaças estruturadas vêm de indivíduos ou grupos muito motivados e tecnicamentecompetentes. Essas pessoas conhecem as vulnerabilidade do sistema e utilizam técnicassofisticadas de hackers para invadir negócios sem que haja suspeitas. Elas invadem oscomputadores de empresas e governos para cometer fraudes, destruir ou alterar registros, ou simplesmente bagunçar. Esses grupos normalmente estão envolvidos emgrandes fraudes e casos de roubos informados a agências de repressão ao crime. Suatécnica é tão complexa e sofisticada que apenas investigadores especialmente treinados

compreendem o que está acontecendo.

Em 1995, Kevin Mitnick foi condenado por acessar computadores interestaduais nosEstados Unidos para fins criminais. Ele invadiu o banco de dados do Departamento deTrânsito da Califórnia, assumiu o controle dos hubs de comutação telefônicos de NovaYork e da Califórnia e roubou números de cartões de crédito. Ele inspirou o filme"Jogos de Guerra" de 1983.

Ameaças externas

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 115/350

As ameaças externas podem decorrer de indivíduos ou organizações trabalhando fora deuma empresa sem acesso autorizado aos sistemas de computadores ou à rede. Elesfazem seu trabalho em uma rede principalmente pela Internet ou servidores de acessodial-up. As ameaças externas podem variar em termos de gravidade, dependendo daexperiência do atacante: amador (não estruturada) ou especialista (estruturada).

Ameaças internas

As ameaças internas ocorrem quando alguém tem acesso autorizado à rede com umaconta ou acesso físico. Assim como acontece com ameaças externas, a gravidade deuma ameaça interna depende da experiência do atacante.

Exibir meio visual 

Página 4:Engenharia social

A invasão mais fácil não envolve nenhuma habilidade com computador. Se um intrusoconseguir levar um membro de uma organização a fornecer informações importantes,como o local de arquivos ou senhas, o processo de invasão será muito mais facilitado.Esse tipo de ataque é chamado de engenharia social e atinge vulnerabilidades pessoaisque podem ser detectadas por atacantes talentosos. Ela pode incluir sensibilizações aoego de um funcionário ou pode ser uma pessoa disfarçada, ou com documentofalsificado, que leva uma pessoa a fornecer informações confidenciais.

O phishing é um tipo de ataque de engenharia social que envolve o uso do email ou deoutros tipos de mensagens em uma tentativa de levar outras pessoas a fornecer informações confidenciais, como números de cartão de crédito ou senhas. O phisher semascara como uma parte confiável aparentemente com uma necessidade legítimaquanto às informações confidenciais.

 Normalmente, as fraudes de phishing envolvem o envio de spams que aparentam ser deinstituições bancárias ou sites de leilões conhecidos. A figura mostra a réplica de um

email assim. A empresa real utilizada como isca neste exemplo foi alterada. Estesemails contêm hiperlinks que aparentam ser legítimos, mas que, na verdade, levam osusuários a um site falso configurado pelo phisher para capturar suas informações. O siteaparenta pertencer à parte falsificada no email. Quando o usuário insere as informações,elas são registradas para uso do phisher.

Os ataques de phishing podem ser evitados instruindo-se usuários e implementando-sediretrizes para relatórios quando eles receberem emails suspeitos. Os administradorestambém podem bloquear o acesso a determinados sites e configurar filtros que

 bloqueiem emails suspeitos.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 116/350

4.1.3 Tipos de ataques a redes

Página 1:

Tipos de ataques a redes

Há quatro classes principais de ataques.

Reconhecimento

Reconhecimento é a detecção não autorizada e o mapeamento de sistemas, serviços ouvulnerabilidade. Ele também é conhecido como coleta de informações e, na maioria doscasos, antecede outro tipo de ataque. O reconhecimento é semelhante a um ladrão que

investiga a vizinhança em busca de casas vulneráveis à invasão, como uma residênciadesocupada, portas fáceis de abrir ou janelas abertas.

Acesso

Acesso ao sistema é a possibilidade de um intruso obter acesso a um dispositivo no qualele não tem uma conta ou uma senha. A entrada ou o acesso a sistemas normalmenteenvolvem a execução de uma invasão, um script ou uma ferramenta que explore umavulnerabilidade conhecida do sistema ou do aplicativo que está sendo atacado.

Negação de serviços

A negação de serviço (DOS) acontece quando um atacante desabilita ou danifica redes,sistemas ou serviços com a intenção de negar serviços a determinados usuários. Osataques DoS envolvem a falha do sistema ou a redução de sua velocidade até o pontoem que fique inutilizável. Mas o DoS também pode ser tão simples quanto excluir oudanificar informações. Na maioria dos casos, a execução do ataque envolve a simplesexecução de uma invasão ou script. Por essas razões, os ataques DoS são os maistemidos.

Worms, vírus e cavalos-de-Troia

Um software malicioso pode ser inserido em um host para danificar ou corromper umsistema, se replicar, ou negar acesso a redes, sistemas ou serviços. Os nomes comunsdesse tipo de software são worms, vírus e cavalos-de-Troia.

Exibir meio visual 

Página 2:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 117/350

Ataques de reconhecimento

Os ataques de reconhecimento podem consistir em:

• Consultas de informações de Internet

• Varreduras de ping• Verificações de porta

• Sniffers de pacote

Os atacantes externos podem utilizar ferramentas da Internet, como os utilitáriosnslookup e whois, para determinar facilmente o espaço do endereço IP atribuído a umadeterminada corporação ou entidade. Depois que o espaço do endereço IP édeterminado, um atacante pode executar ping publicamente nos endereços IPdisponíveis para identificar os endereços ativos. Para ajudar a automatizar essa etapa,um atacante pode utilizar uma ferramenta de varredura de ping, como fping ou gping,que executa ping sistematicamente em todos os endereços de rede em um determinadointervalo ou sub-rede. Isso é semelhante a consultar uma seção de uma agendatelefônica e ligar para todos os números para saber quem atenderá.

Quando os endereços IP ativos são identificados, o intruso utiliza um scanner de porta para determinar quais serviços de rede ou portas estão ativos nos endereços IP ativos.Scanner de porta é um software, como Nmap ou Superscan, projetado para pesquisar 

 portas abertas em um host de rede. O scanner de porta consulta as portas paradeterminar o tipo de aplicativo e a versão, bem como o tipo e a versão do sistemaoperacional (OS) em execução no host de destino. Com base nessas informações, o

intruso pode determinar se existe uma vulnerabilidade que possa ser explorada.Conforme mostrado na figura, uma ferramenta de exploração de rede, como Nmap,

 pode ser utilizada para realizar a detecção de host, a verificação de porta e as detecçõesde versão e do OS. Muitas dessas ferramentas estão disponíveis e são fáceis de utilizar.

Os atacantes internos podem tentar "interceptar" o tráfego da rede.

Detecção de rede e detecção de pacotes são termos comuns para interceptação. Asinformações coletadas com a interceptação podem ser utilizadas para realizar outrosataques à rede.

Dois usos comuns da interceptação são estes:

• Coleta de informações – os intrusos na rede conseguem identificar nomes deusuário, senhas ou informações transportadas em um pacote.

• Roubo de informações – o roubo pode ocorrer à medida que os dados sãotransmitidos pela rede interna ou externa. O intruso na rede também pode roubar dados de computadores em rede, obtendo acesso não autorizado. Entre osexemplos estão a invasão ou a interceptação em instituições financeiras e a

obtenção de números de cartão de crédito.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 118/350

Um exemplo de dados suscetíveis à interceptação é o SNMP versão 1 das stringscomunitárias, enviadas em texto não criptografado. SNMP é um protocolo degerenciamento que fornece um meio para que dispositivos de rede coletem informaçõessobre seu status e as enviem para um administrador. Um intruso pode interceptar consultas SNMP e coletar dados importantes sobre a configuração do equipamento de

rede. Outro exemplo é a captura de nomes de usuário e senhas na medida em que elesatravessam uma rede.

Um método comum para interceptar a comunicação é capturar o TCP/IP ou outros pacotes de protocolo e decodificar o conteúdo utilizando um analisador de protocolo ouutilitário semelhante. Um exemplo desse programa é o Wireshark, que você temutilizado muito ao longo de todos os cursos do Exploration. Depois de seremcapturados, os pacotes podem ser examinados em busca de informações vulneráveis.

Três dos métodos mais efetivos para contra-atacar a interceptação são os seguintes:

• Utilizar redes comutadas, e não hubs, para que o tráfego não seja encaminhado para todas as extremidades ou hosts de rede.

• Utilizar uma criptografia que atenda às necessidades de segurança dos dados daorganização sem que haja a imposição de uma carga excessiva sobre os recursosou os usuários do sistema.

• Implementar e aplicar uma diretiva de política que proíba a utilização de protocolos com suscetibilidades conhecidas à interceptação. Por exemplo, comoo SNMP versão 3 pode criptografar community strings, uma empresa pode

 proibir a utilização do SNMP versão 1, mas permitir o SNMP versão 3.

A criptografia fornece proteção para dados suscetíveis a ataques de interceptação,crackers de senha ou manipulação. Praticamente toda empresa tem transações que

 poderiam ter consequências negativas se fossem exibidas por um interceptador. Acriptografia assegura que, quando dados confidenciais passarem por um meio suscetívelà interceptação, eles não poderão ser alterados ou observados. A descriptografia énecessária quando os dados alcançam o host de destino.

Um método de criptografia é chamado de criptografia apenas de payload. Este método

criptografa a seção de payload (seção de dados) depois de um protocolo (UDP) oucabeçalho TCP. Isso permite a roteadores e switches com IOS Cisco ler as informaçõesda camada de rede e encaminhar o tráfego como qualquer outro pacote IP. Acriptografia apenas de payload permite à comutação de fluxo e a todos os recursos dalista de acesso funcionar com o tráfego criptografado assim como funcionariam com otráfego de texto sem formatação, o que preserva qualidade de serviço (QoS) desejada

 para todos os dados.

Exibir meio visual 

Página 3:Ataques de acesso

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 119/350

Os ataques de acesso exploram vulnerabilidades conhecidas em serviços deautenticação, FTP e da Web para obter acesso a contas da Web, bancos de dados eoutras informações confidenciais.

Ataques de senha

Os ataques de senha podem ser implementados utilizando-se um sniffer de pacotes paraobter contas de usuário e senhas transmitidas como texto não criptografado. Os ataquesde senha normalmente se referem a tentativas repetidas de login em um recursocompartilhado, como um servidor ou roteador, para identificar uma conta de usuário,senha ou ambos. Essas tentativas repetidas são chamadas de ataques de dicionário ouataques de força bruta.

Para realizar um ataque de dicionário, os atacantes podem utilizar ferramentas comoL0phtCrack ou Cain. Esses programas tentam fazer o login repetidamente como umusuário utilizando palavras derivadas de um dicionário. Os ataques de dicionárionormalmente são bem-sucedidos porque os usuários têm uma tendência de escolher senhas simples, que tenham palavras curtas, únicas ou que sejam variações simplesfáceis de adivinhar, como adicionar o número 1 a uma palavra.

Outro método de ataque de senha utiliza tabelas de arco-íris. Tabela de arco-íris é umasérie de senhas pré-computadas criada compilando-se cadeias de possíveis senhas detexto sem formatação. Cada cadeia é desenvolvida começando-se por um "chute"

escolhido aleatoriamente da senha de texto sem formatação e aplicando-se variações aela sucessivamente. O software de ataque aplicará as senhas na tabela de arco-íris atédeterminar a senha. Para realizar um ataque de tabela de arco-íris, os atacantes podemutilizar uma ferramenta como L0phtCrack.

Uma ferramenta de ataque de força bruta é mais sofisticada porque pesquisaexaustivamente utilizando combinações de conjuntos de caracteres para computar todasas possíveis palavras-chave formadas por esses caracteres. A desvantagem é que se

 precisa de mais tempo para realizar esse tipo de ataque. As ferramentas de ataque deforça bruta se notabilizaram por determinar senhas simples em menos de um minuto.Senhas maiores, mais complexas, podem demorar dias ou semanas para seremdeterminadas.

Os ataques de senha podem ser atenuados, instruindo-se os usuários a utilizar senhascomplexas e especificando-se tamanhos mínimos de senha. Os ataques de força bruta

 podem ser atenuados, restringindo-se o número de tentativas de login malsucedidas. Noentanto, um ataque de força bruta também pode ser realizado off-line. Por exemplo, sedetectasse uma senha criptografada, interceptando ou acessando um arquivo deconfiguração, um atacante poderia tentar determinar a senha sem efetivamente estar conectado ao host.

Exploração de confiança

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 120/350

A meta de um ataque de exploração de confiança é comprometer um host confiável,utilizando-o para preparar ataques em outros hosts de uma rede. Se um host da rede deuma empresa for protegido por um firewall (host interno), mas puder ser acessado por um host confiável fora do firewall (host externo), o host interno poderá ser atacado por 

meio do host externo confiável.

Os meios utilizados por atacantes para obter acesso ao host externo confiável, bemcomo os detalhes da exploração de confiança, não são abordados neste capítulo. Paraobter informações sobre a exploração de confiança, consulte o curso NetworkingAcademy Network Security.

Os ataques baseados na exploração de confiança podem ser atenuados por meio derestrições rígidas quanto aos níveis de confiança em uma rede, por exemplo, VLANs

 privadas podem ser implantadas em segmentos de serviço público nos quais há váriosservidores públicos disponíveis. Sistemas fora de um firewall jamais devem ser totalmente confiáveis por sistemas dentro de um firewall. Essa confiança deve ser limitada a protocolos específicos, devendo ser autenticada por algo que não seja umendereço IP, sempre que possível.

Redirecionamento de porta

Um ataque de redirecionamento de porta é um tipo de ataque de exploração deconfiança que utiliza um host comprometido para transmitir tráfego por meio de um

firewall que, do contrário, estaria bloqueado.

Considere um firewall com três interfaces e um host em cada uma delas. O host externo pode alcançar o host no segmento de serviços públicos, mas não o host interno. Essesegmento acessível publicamente é normalmente chamado de zona desmilitarizada. Ohost no segmento de serviços públicos pode alcançar o host tanto externo quantointerno. Se pudessem comprometer o host do segmento de serviços públicos, osatacantes conseguiriam instalar um software para redirecionar o tráfego do host externodiretamente para o host interno. Embora nenhuma comunicação viole as regrasimplementadas no firewall, o host externo agora tem conectividade com o host interno

 por meio do processo de redirecionamento de porta no host de serviços públicos. Umexemplo de um utilitário que pode fornecer esse tipo de acesso é o netcat.

O redirecionamento de porta pode ser atenuado principalmente por meio do uso demodelos confiáveis próprios, específicos da rede (conforme mencionado anteriormente).Quando um sistema está sob ataque, um sistema de detecção de invasão baseado emhost pode ajudar a detectar um atacante e impedir a instalação desses utilitários em umhost.

Ataque de interceptação

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 121/350

Um ataque de interceptação (MITM) é realizado por atacantes que conseguem se posicionar entre dois hosts legítimos. O atacante pode permitir a ocorrência dastransações normais entre os hosts e só manipular periodicamente a conversa entre osdois.

Há muitas formas com as quais um atacante consegue ficar entre dois hosts. Os detalhesdesses métodos estão além do escopo deste curso, mas uma descrição resumida de ummétodo popular, o proxy transparente, ajuda a ilustrar a natureza dos ataques MITM.

Em um ataque de proxy transparente, um atacante pode capturar uma vítima com umemail de phishing ou desfigurando um site. Dessa forma, a URL de um site legítimorecebe a URL adicional dos atacantes (antecedido). Por exemplo,http:www.legitimate.com se torna http:www.attacker.com/http://www.legitimate.com.

1. Quando uma vítima solicita uma página Web, o host da vítima faz a solicitação aohost do atacante.

2. O host do atacante recebe a solicitação e busca a página real no site legítimo.

3. O atacante pode alterar a página Web legítima e desfigurar qualquer dado desejado.

4. O atacante encaminha a página solicitada à vítima.

Outras classificações de ataques MITM são potencialmente ainda mais perigosas. Seconseguirem ficar em uma posição estratégica, os atacantes poderão roubar informações, sequestrar uma sessão em andamento para obter acesso a recursos de rede

 privada, realizar ataques DoS, danificar dados transmitidos ou introduzir novasinformações em sessões de rede.

A atenuação de ataques MITM de WAN é obtida utilizando-se túneis VPN, que permitem ao atacante ver apenas o texto criptografado, indecifrável. Os ataques MITMde rede local utilizam ferramentas como ettercap e envenenamento ARP. Grande parteda atenuação de ataques MITM de rede local normalmente pode ser feita configurando-

se a segurança de porta nos switches de rede local.Exibir meio visual 

Página 4:

Ataques DoS

Os ataques DoS são a forma mais conhecida de ataque e está entre os mais difíceis deeliminar. Mesmo na comunidade de atacantes, os ataques DoS são considerados triviaise ruins porque não exigem muito esforço para que sejam executados. Mas por conta da

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 122/350

facilidade em sua implementação e dos danos potencialmente significativos, os ataquesDoS merecem atenção especial dos administradores de segurança.

Os ataques DoS assumem muitas formas. Eles acabam impedindo as pessoasautorizadas de utilizar um serviço, consumindo recursos do sistema. Estes são algunsexemplos das ameaças DoS mais comuns:

Clique no botão Ping da morte na figura.

O ataque de ping da morte ganhou popularidade ainda nos anos 90. Ele usufruía asvulnerabilidades nos sistemas operacionais mais antigos. Esse ataque modificava a

 porção IP de um cabeçalho do pacote de ping para indicar que havia mais dados no pacote do que existia efetivamente. Um ping normalmente tem 64 ou 84 bytes, enquantoum ping da morte pode ter até 65.536 bytes. Enviar um ping desse tamanho pode travar 

um computador alvo mais antigo. A maioria das redes não é mais suscetível a esse tipode ataque.

Clique no botão Envio SYN na figura.

Um ataque de envio SYN explora o handshake tridirecional TCP. Isso envolve o enviode várias solicitações SYN (mais de 1.000) para um servidor de destino. O servidor responde com a resposta SYN-ACK habitual, mas o host mal-intencionado nuncaresponde com o ACK final para concluir o handshake. Isso trava o servidor até que eleacaba ficando sem recursos e não consegue responder a uma solicitação válida de host.

Entre outros tipos de ataques DOS estão:

• Bombardeamentos de email – os programas enviam emails em massa paraindivíduos, listas ou domínios, monopolizando os serviços de email.

• Applets mal-intencionados – esses ataques são programas Java, JavaScript ouActiveX que causam a destruição ou o travamento dos recursos do computador.

Ataques DDoS

Os ataques de negação de serviço distribuído (DDoS) foram projetados para saturar links de rede com dados ilegítimos. Esses dados podem sobrecarregar um link daInternet, o que causa o descarte de tráfego legítimo. O DDoS utiliza métodos de ataquesemelhantes a ataques DoS padrão, mas funciona em uma escala muito maior.

 Normalmente, centenas ou milhares de pontos de ataque tentam sobrecarregar umdestino.

Clique no botão DDoS na figura.

 Normalmente, há três componentes em um ataque de DDoS.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 123/350

• Há um cliente que normalmente é a pessoa que inicia o ataque.

• Gerenciador é um host comprometido no qual o programa atacante está emexecução e cada gerenciador é capaz de controlar vários agentes

•

Agente é um host comprometido no qual o programa atacante está em execução,sendo o responsável pela geração de um fluxo de pacotes com destino à vítimadesejada

Entre os exemplos de ataques DDoS estão os seguintes:

• Ataque SMURF

• Tribe flood network (TFN)

• Stacheldraht

• MyDoom

Clique no botão Ataque Smurf na figura.

O ataque Smurf utiliza mensagens de ping transmitidas falsificadas para inundar umsistema desejado. Ele começa com um atacante enviando um grande número desolicitações de eco ICMP para o endereço de broadcast de rede utilizando endereços IPde origem falsificados válidos. Um roteador poderia executar a função de broadcast daCamadas 3 para a Camada 2, e a maioria dos hosts responderá, cada um, com uma

resposta de eco ICMP, multiplicando o tráfego pelo número de hosts que respondem.Em uma rede de broadcast multiacesso, talvez haja centenas de máquinas respondendo atodos os pacotes de eco.

Por exemplo, consideremos que a rede tenha 100 hosts e que o atacante tenha um link T1 de alto desempenho. O atacante envia um fluxo de 768 kb/s em solicitações de ecoICMP com um endereço de origem falsificado da vítima para o endereço de broadcastde uma rede de destino (chamado de um site de reflexo). Esses pacotes de ping chegamao site de reflexo na rede de broadcast de 100 hosts, e cada um deles pega e responde o

 pacote, o que cria 100 respostas de ping de saída. Um total de 76,8 megabits por segundo (Mb/s) de largura de banda é utilizado de saída no site de reflexo depois que o

tráfego é multiplicado. Em seguida, ele é enviado para a vítima ou para a origemfalsificada dos pacotes de origem.

A desativação do recurso de broadcast direcionado na infraestrutura de rede impede arede de ser utilizada como um site de reflexo. O recurso de broadcast direcionado édesativado por padrão no software IOS Cisco desde a versão 12.0.

Os ataques DoS e DDoS podem ser atenuados, implementando-se a antifalsificaçãoespecial e as listas de controle de acesso anti-DoS. Os ISPs também podem implementar taxa de tráfego, limitando a quantidade de tráfego não essencial que atravessasegmentos de rede. Um exemplo comum é limitar a quantidade de tráfego ICMP

 permitido em uma rede, porque esse tráfego só é utilizado para fins de diagnóstico.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 124/350

Os detalhes da operação desses ataques estão além do escopo deste curso. Para obter mais informações, consulte o curso Networking Academy Network Security.

Exibir meio visual 

Página 5:

Ataques de código malicioso

As principais vulnerabilidade para estações de trabalho de usuário final são worms,vírus e ataques de cavalo-de-Troia.

Um worm executa código e instala cópias na memória do computador infectado, o que

 pode, por sua vez, infectar outros hosts.

Vírus é um software malicioso anexado a outro programa com a finalidade de executar uma determinada função indesejável em uma estação de trabalho.

Um cavalo-de-Troia é diferente de um worm ou vírus apenas porque todo o aplicativofoi escrito para ser semelhante a alguma coisa, quando, na verdade, é uma ferramenta deataque.

Worms

A anatomia de um ataque de worm é a seguinte:

• A vulnerabilidade de habilitação – um worm se instala, explorandovulnerabilidades conhecidas em sistemas, como usuários finais ingênuos queabrem anexos de executáveis não verificados em emails.

• Mecanismo de propagação – depois de obter acesso a um host, um worm secopia para esse host e, em seguida, escolhe novos destinos.

• Payload – depois que um host é infectado por um worm, o atacante tem acessoao host, normalmente como um usuário privilegiado. Os atacantes poderiamutilizar uma exploração local para escalonar seu nível de privilégio atéadministrador.

 Normalmente, worms são programas autossuficientes que atacam um sistema e tentamexplorar uma vulnerabilidade específica no destino. Assim que houver a exploração

 bem-sucedida da vulnerabilidade, o worm copia seu programa do host de ataque para osistema recém-explorado para começar tudo novamente. Em janeiro de 2007, um worminfectou a conhecida comunidade MySpace. Usuários confiáveis habilitaram a

 propagação do worm, que começou a se replicar nos sites dos usuários com adesfiguração "w0rm.EricAndrew".

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 125/350

A atenuação de ataques de worm exige diligência por parte da equipe administradora dosistema e de rede. A coordenação entre as equipes de administração do sistema, deengenharia da rede e das operações de segurança é essencial na resposta efetiva a umincidente de worm. Estas são as etapas recomendadas para a atenuação de ataques de

worm:

• Contenção – contenha a difusão do worm na rede e dentro dela. Isole as partesnão infectadas da rede.

• Inoculação – comece aplicando patches a todos os sistemas e, se possível,verificando se há sistemas vulneráveis.

• Quarentena – monitore todas as máquina infectadas dentro da rede.Desconecte, remova ou bloqueie máquinas infectadas na rede.

• Tratamento – Limpe e aplique um patch a todos os sistemas infectados. Alguns

worms podem exigir reinstalações completas para limpar o sistema.

Vírus e cavalos-de-Troia

Vírus é um software malicioso anexado a outro programa para executar umadeterminada função indesejável em uma estação de trabalho. Um exemplo é um

 programa anexado ao command.com (o interpretador principal de sistemas Windows) eexclui determinados arquivos, além de infectar todas as outras versões decommand.com que conseguir localizar.

Um cavalo-de-Troia é diferente apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, é uma ferramenta de ataque. Umexemplo de um cavalo-de-Troia é um aplicativo que executa um simples jogo em umaestação de trabalho. Enquanto o usuário está ocupado com o jogo, o cavalo-de-Troiaenvia uma cópia para todos os endereços na agenda de endereços do usuário. Os outrosusuários recebem o jogo e o executam, o que difunde o cavalo-de-Troia para osendereços em todas as agendas de endereços.

Um vírus normalmente exige um mecanismo de entrega – um vetor – como um arquivozip ou algum outro arquivo executável anexado a um email, para transportar o códigodo vírus de um sistema para outro. O principal elemento que distingue um worm de umvírus de computador é essa interação humana necessária à facilitação da difusão de umvírus.

Esses tipos de aplicativos podem ser contidos por meio do uso efetivo de softwareantivírus no nível do usuário e, possivelmente, no nível da rede. Um software antivírus

 pode detectar a maioria dos vírus e muitos aplicativos de cavalo-de-Troia, além deimpedir sua difusão na rede. Manter-se atualizado em relação aos desenvolvimento maisrecentes quanto a esses tipos de ataques também pode levar a uma postura mais efetivarelacionada a esses ataques. Na medida em que novos vírus ou aplicativos de cavalo-de-

Troia são liberados, as empresas precisam se manter atualizadas quanto às versões maisatuais do software antivírus.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 126/350

Sub7, ou subseven, é um cavalo-de-Troia comum que instala um programa backdoor em sistemas de usuários. Ele é conhecido tanto por ataques não estruturados quantoestruturados. Por ser uma ameaça não estruturada, atacantes inexperientes podemutilizar o programa de forma que os cursores do mouse desapareçam. Como uma

ameaça estruturada, os crackers podem utilizá-lo para instalar keystroke loggers(programas que registram todas as teclas pressionadas pelo usuário) para capturar informações confidenciais.

Exibir meio visual 

4.1.4 Técnicas de atenuação gerais

Página 1:

Segurança baseada em host e em servidor

Dispositivo fortalecido

Quando um novo sistema operacional é instalado em um computador, as configuraçõesde segurança são definidas de acordo com os valores padrão. Na maioria dos casos, essenível de segurança é inadequado. Existem alguns passos simples que devem ser dados eque se aplicam à maioria dos sistemas operacionais:

•

 Nomes de usuário e senhas padrão devem ser alterados imediatamente.• O acesso a recursos do sistema deve ser restrito apenas aos indivíduos com

autorização para utilizá-los.

• Qualquer serviço e aplicativo desnecessário deve ser desativado e desinstalado,quando possível.

A seção 4.2, "Protegendo roteadores Cisco", descreve um dispositivo fortalecido commais detalhes.

É essencial proteger hosts de rede, como PCs de estação de trabalho e servidores. Esseshosts precisam ser protegidos quando adicionados à rede, devendo ser atualizados com patches de segurança assim que essas atualizações forem disponibilizadas. Passosadicionais podem ser dados para proteger esses hosts. Antivírus, firewall e detecção deinvasão são ferramentas importantes que podem ser utilizadas para proteger hosts derede. Como muitos recursos de negócio podem estar em um único servidor de arquivos,é especialmente importante que os servidores sejam acessíveis e estejam disponíveis.

Software antivírus

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 127/350

Instale um software antivírus de host para se proteger de vírus conhecidos. Um softwareantivírus pode detectar a maioria dos vírus e muitos aplicativos de cavalo-de-Troia,além de impedir sua difusão na rede.

O software antivírus faz isso de duas formas:

• Ele verifica arquivos, comparando seu conteúdo com vírus conhecidos de umdicionário de vírus. As correspondências são sinalizadas de maneira definida

 pelo usuário final.

• Ele monitora processos suspeitos em execução em um host que possam indicar infecção. Essa monitoração pode incluir capturas de dados, monitoração de portae outros métodos.

O software antivírus comercial, em sua maioria, utiliza todas essas abordagens.

Clique no botão Antivírus na figura.

Atualize o software antivírus sempre.

Firewall pessoal

Computadores pessoais conectados à Internet por meio de uma conexão dial-up, DSL

ou modems a cabo são tão vulneráveis quanto redes corporativas. Os firewalls pessoaisresidem no PC do usuário e tentam impedir ataques. Os firewalls pessoais não foram projetados para implementações de rede local, como firewalls baseados em dispositivoou servidor, e eles podem impedir o acesso à rede se instalados com outros clientes derede, serviços, protocolos ou adaptadores.

Clique no botão Firewalls pessoais na figura.

Entre alguns dos fornecedores de firewall pessoal estão McAfee, Norton, Symantec eZone Labs.

Patches do sistema operacional

A maneira mais efetiva de atenuar um worm e suas variantes é baixando atualizações desegurança do fornecedor do sistema operacional e aplicar o patch a todos os sistemasvulneráveis. Isso é difícil com sistemas de usuário sem controle na rede local, e aindamais problemático caso esses sistemas estejam conectados remotamente à rede por meiode uma rede virtual privada (VPN) ou servidor de acesso remoto (RAS). Aadministração de vários sistemas envolve a criação de uma imagem de software padrão

(sistema operacional e aplicativos aprovados com autorização para serem utilizados emsistemas de clientes implantados) implantada em sistemas novos ou melhorados. Essasimagens talvez não contenham os patches mais recentes, e o processo de recriação

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 128/350

contínuo da imagem para integrar o patch mais recente pode se tornar rapidamente algodemorado administrativamente. Aplicar patches a todos os sistemas exige que essessistemas estejam de alguma forma conectados à rede, o que talvez não seja possível.

Uma solução para o gerenciamento de patches de segurança críticos é criar um servidor de patches central com o qual todos os sistemas devem se comunicar após umdeterminado período. Qualquer patch não aplicado a um host é baixadoautomaticamente no servidor de patches e instalado sem a intervenção do usuário.

Além de executar atualizações de segurança do fornecedor do OS, a determinação dequais dispositivos são exploráveis pode ser simplificada pela utilização de ferramentasde auditoria de segurança que procuram vulnerabilidades.

Clique no botão Patches do OS na figura.

Exibir meio visual 

Página 2:

Detecção de invasão e prevenção

Os sistemas de detecção de invasão detectam ataques a uma rede e enviam logs a umaconsole de gerenciamento. Os sistemas de prevenção de invasão (IPSs) impedemataques à rede e devem fornecer os seguintes mecanismos de defesa ativos, além da

detecção:

• Prevenção – impede a execução do ataque detectado.

• Reação – imuniza o sistema contra ataques futuros de uma origem maliciosa.

Qualquer tecnologia pode ser implementada em um nível de rede ou de host, ou ambos,tendo em vista a máxima proteção.

Sistemas de detecção de invasão baseados em host

A invasão baseada em host costuma ser implementada como uma tecnologia interna ou passiva, dependendo do fornecedor.

A tecnologia passiva, a primeira geração da tecnologia, é chamada de sistema dedetecção de invasão baseado em host (HIDS). O HIDS envia logs a uma console degerenciamento após a ocorrência do ataque e do dano.

A tecnologia interna, chamada de sistema de prevenção de invasão baseado em host(HIPS), na verdade, interrompe o ataque, impede o dano e bloqueia a propagação dosworms e dos vírus.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 129/350

A detecção ativa pode ser definida para fechar a conexão de rede ou parar os serviçosafetados automaticamente. A ação corretiva pode ser feita imediatamente. A Ciscofornece o HIPS utilizando o software Cisco Security Agent.

O software do HIPS deve ser instalado em cada host, no servidor ou no desktop, paramonitorar a atividade realizada no host. Esse software é chamado de software agente. Osoftware agente executa a análise da detecção de invasão e a prevenção. O softwareagente também envia logs e alertas para um servidor centralizado degerenciamento/política.

A vantagem do HIPS é que ele pode monitorar processos do sistema operacional e proteger recursos essenciais do sistema, inclusive arquivos que talvez só existam nessedeterminado host. Isso significa que ele pode notificar os gerentes de rede quandoalgum processo externo tentar modificar um arquivo de sistema de forma que possaincluir um programa backdoor.

A figura ilustra uma implantação de HIPS típica. Os agentes são instalados emservidores publicamente acessíveis, além de servidores de aplicativos e de emailcorporativo. O agente informa eventos a um servidor de console central localizadodentro do firewall corporativo. Como alternativa, os agentes no host podem enviar logscomo email para um administrador.

Exibir meio visual 

Página 3:

Mecanismos de segurança comuns e aplicativos

A segurança é uma das principais considerações durante o planejamento de uma rede.Antes, o dispositivo que vinha à mente quando o assunto era segurança de rede era ofirewall. Um firewall, por si só, deixou de ser apropriado à proteção de uma rede. Énecessária uma abordagem integrada envolvendo firewall, prevenção de invasão e VPN.

Uma abordagem integrada em relação à segurança, além dos dispositivos necessários para que ela aconteça, segue estes componentes básicos:

Controle de ameaça – controla o acesso à rede, isola sistemas infetados, impedeintrusões e protege ativos, contra-atacando tráfego malicioso, como worms e vírus. Osdispositivos que fornecem soluções em controle de ameaça são:

• Mecanismos de segurança Cisco série ASA 5500 Adaptive

• Roteadores de serviços integrados (ISRs)

•  Network Admission Control, controle de admissão de rede• Cisco Security Agent for Desktops

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 130/350

• Sistemas de prevenção de invasão Cisco

Comunicações seguras – protege extremidades da rede com VPN. Os dispositivos que permitem a uma organização implantar VPN são roteadores Cisco ISR com a soluçãoem VPN do IOS Cisco e os switches Cisco 5500 ASA e Cisco Catalyst 6500.

Controle de admissão de rede (NAC) – fornece um método baseado em funções paraimpedir o acesso não autorizado a uma rede. A Cisco oferece um dispositivo NAC.

Software IOS Cisco em roteadores de serviços integrados (ISRs) Cisco

A Cisco fornece muitas das medidas de segurança obrigatórias para os clientes dentrodo software IOS Cisco. O software IOS Cisco fornece serviços internos IOS CiscoFirewall, IPsec, SSL VPN e IP.

Mecanismo de segurança Cisco série ASA 5500 Adaptive

Houve um momento em que o firewall PIX era o dispositivo que uma rede seguraimplantaria. O PIX evoluiu até chegar a uma plataforma que integra muitos recursos desegurança diferentes, chamada de Cisco Adaptive Security Appliance (ASA). O CiscoASA integra firewall, segurança de voz, SSL e IPsec VPN, IP e serviços de segurançade conteúdo em um único dispositivo.

Sensores Cisco IPS série 4200

Para redes maiores, um sistema de prevenção de invasão interno é fornecido pelossensores Cisco IP série 4200. Esse sensor identifica, classifica e interrompe o tráfegomalicioso na rede.

Dispositivo Cisco NAC

O dispositivo Cisco NAC utiliza a infraestrutura de rede para aplicar a conformidadecom a política de segurança em todos os dispositivos que procuram acessar recursos decomputação em rede.

Cisco Security Agent (CSA)

O software Cisco Security Agent fornece recursos de proteção contra ameaças parasistemas de computação em servidor, desktop e ponto de serviço (POS). O CSA defendeesses sistemas contra ataques determinados, spyware, rootkits e ataques day-zero.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 131/350

A cobertura aprofundada desses dispositivos está além do escopo deste curso. Consulteos cursos CCNP: Implementação de redes remotas convergidas seguras e Segurança derede 1 e 2 para obter mais informações.

Exibir meio visual 

4.1.5 O ciclo de segurança de rede

Página 1:

A maior parte dos incidentes de segurança ocorre porque os administradores de sistemanão implementam as contramedidas disponíveis, e os atacantes ou os funcionáriosinsatisfeitos exploram a omissão. Por isso, o problema não é apenas alguém confirmar aexistência de uma vulnerabilidade técnica e localizar uma contramedida que funcione.Também é essencial verificar se a contramedida está implantada e funcionandocorretamente.

Para auxiliar na conformidade de uma política de segurança, o Ciclo de segurança, um processo contínuo se mostrou uma abordagem efetiva. O Ciclo de segurança incentivanovos testes e a reaplicação de medidas de segurança atualizadas regularmente.

Para começar o processo do Ciclo de segurança, primeiro desenvolva uma política desegurança que permita a aplicação de medidas de segurança. A política de segurançainclui o seguinte:

• Identifica os objetivos de segurança da organização.• Documenta os recursos a serem protegidos.

• Identifica a infraestrutura de rede com mapas atuais e inventários.

• Identifica os recursos essenciais que precisam ser protegidos, como pesquisa edesenvolvimento, finanças e recursos humanos. Isso se chama análise de risco.

A política de segurança é o ponto no qual as quatro etapas do Ciclo de segurança se baseiam. As etapas são proteger, monitorar, testar e melhorar.

Etapa 1. Proteger

Proteja a rede, aplicando a política de segurança e implementando as seguintes soluçõesem segurança:

• Proteção contra ameaças

• Inspeção stateful e filtragem de pacote – filtre o tráfego da rede para permitir somente tráfego e serviços válidos.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 132/350

Nota: a inspeção stateful se refere a um firewall que mantém informações sobre oestado de uma conexão em uma tabela de estados de forma que ele possa reconhecer alterações feitas na conexão que poderiam indicar que um atacante está tentandocapturar uma sessão ou manipular uma conexão.

• Sistemas de prevenção de invasão – implantados nos níveis de rede e de host para parar o tráfego malicioso ativamente.

• Patches de vulnerabilidade – aplique correções ou medidas para parar aexploração quanto a vulnerabilidades conhecidas.

• Desabilitar serviços desnecessários – quanto menos serviços habilitados, maisdifícil será para os atacantes obter acesso.

Conectividade segura

• VPNs – criptografe tráfego da rede para impedir a divulgação indesejável aindivíduos sem autorização ou maliciosos.

• Confiança e identidade – implemente restrições plenas quanto a níveis deconfiança dentro de uma rede. Por exemplo, sistemas fora de um firewall jamaisdevem ser totalmente confiáveis por sistemas dentro de um firewall.

• Autenticação – só dê acesso a usuários autorizados. Um exemplo disso é autilização de senhas únicas.

• Aplicação da política – assegure-se de que os usuários e os dispositivos finaisestejam em conformidade com a política corporativa.

Etapa 2. Monitorar

A monitoração de segurança envolve métodos ativo e passivo de detecção das violaçõesà segurança. O método ativo mais utilizado é auditar arquivos de log em nível de host.A maioria dos sistemas operacionais inclui funcionalidade de auditoria. Osadministradores de sistema devem habilitar o sistema de auditoria em todos os hosts narede e devem parar para verificar e interpretar as entradas do arquivo de log.

Entre os métodos passivos estão a utilização de dispositivos IDS para detectar invasõesautomaticamente. Esse método requer menos atenção por parte dos administradores desegurança da rede do que os métodos ativos. Esses sistemas podem detectar violações àsegurança em tempo real, podendo ser configurados para responder automaticamenteantes que um intruso cause algum dano.

Um benefício a mais de monitoração da rede é verificar se as medidas de segurançaimplementadas na etapa 1 do Ciclo de segurança foram configuradas e estãofuncionando corretamente.

Etapa 3. Testar

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 133/350

 Na fase de testes do Ciclo de segurança, as medidas de segurança são testadas demaneira proativa. Especificamente, a funcionalidade das soluções em segurançaimplementadas na etapa 1 e os métodos de auditoria do sistema e de detecção deinvasão implementados na etapa 2 são verificados. Ferramentas de avaliação devulnerabilidade, como SATAN, Nessus ou Nmap, são úteis para testar as medidas de

segurança da rede periodicamente nos níveis de rede e de host.

Etapa 4. Melhorar

A fase de melhoria do Ciclo de segurança envolve a análise dos dados coletados duranteas fases de monitoração e testes. Essa análise contribui com o desenvolvimento e aimplementação de mecanismos de melhoria que aumentam a política de segurança e osresultados ao adicionar itens à etapa 1. Para manter uma rede a mais segura possível, ociclo de segurança deve ser repetido continuamente, porque novas vulnerabilidades eriscos à rede estão surgindo todos os dias.

Com as informações coletadas das fases de monitoração e de testes, os IDSs podem ser utilizados para implementar melhorias à segurança. A política de segurança deve ser ajustada na medida em que novas vulnerabilidades e riscos à segurança são detectados.

Exibir meio visual 

4.1.6 A política de segurança corporativa

Página 1:O que é uma política de segurança?

Uma política de segurança é um conjunto de diretrizes determinadas para proteger arede de ataques, tanto dentro quanto fora de uma empresa. A formação de uma políticacomeça com perguntas. Como a rede ajuda a organização a atingir sua visão, missão e

 plano estratégico? Que implicações os requisitos da empresa têm sobre a segurança darede, e como esses requisitos se traduzem na aquisição de equipamento especializado enas configurações carregadas nos dispositivos?

Uma política de segurança beneficia uma organização das seguintes formas:

• Fornece um meio para auditar a segurança de rede existente e comparar osrequisitos com o que está implantado.

• Planeje melhorias de segurança, inclusive equipamento, software e procedimentos.

• Define as funções e as responsabilidades dos executivos, administradores eusuários da empresa.

• Define qual comportamento é e qual não é permitido.

• Define um processo para tratar incidentes de segurança na rede.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 134/350

• Habilita a implementação de segurança global e a aplicação, funcionando comoum padrão entre sites.

• Cria uma base para ação legal se necessário.

Uma política de segurança é um documento vivo, o que significa que ele jamais éconcluído, sendo continuamente atualizado conforme os requisitos de tecnologia e defuncionário mudam. Ele funciona como uma ponte entre os objetivos do gerenciamentoe os requisitos de segurança específicos.

Exibir meio visual 

Página 2:

Funções de uma política de segurança

Uma política de segurança abrangente cumpre estas funções essenciais:

• Protege as pessoas e as informações

• Estabelece as regras para o comportamento esperado por parte de usuários,administradores de sistema e equipes de gerenciamento e segurança

• Autoriza a equipe de segurança a monitorar, testar e investigar 

• Define e autoriza as consequências de violações

A política de segurança é para todos, inclusive funcionários, contratados, fornecedores eclientes que tenham acesso à rede. No entanto, a política de segurança deve tratar cadaum desses grupos de maneira diferente. Cada grupo só deve ver a parte da políticaapropriada ao seu trabalho e a seu nível de acesso à rede.

Por exemplo, uma explicação do porquê algo está sendo feito nem sempre é necessária.Você pode supor que a equipe técnica já sabe por que um determinado requisito foiincluído. Não é provável que os gerentes se interessem pelos aspectos técnicos de umrequisito específico; eles talvez só queiram uma visão geral ou o princípio que sustentao requisito. No entanto, quando sabem por que um controle de segurança específico foi

incluído, os usuários finais tendem mais a cumprir a política. Por isso, não é provávelque um documento atenda às necessidades de todo o público-alvo de uma grandeorganização.

Exibir meio visual 

Página 3:

Componentes de uma política de segurança

O SANS Institute (http://www.sans.org) fornece diretrizes desenvolvidas em acordocom vários líderes do setor, inclusive a Cisco, para desenvolver políticas de segurança

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 135/350

abrangentes para grandes e pequenas organizações. Nem todas as organizações precisam de todas essas políticas.

Estas são as políticas de segurança gerais que uma organização pode invocar:

• Declaração de autoridade e escopo – define quem na organização patrocina a política de segurança, quem é responsável por implementá-la e quais áreas sãoabrangidas pela política.

• Política de utilização aceitável (AUP) – define a utilização aceitável doequipamento e dos serviços de computação, além das medidas de segurança dofuncionário apropriadas para proteger recursos corporativos e informações

 proprietárias.

• Identificação e política de autenticação – define quais tecnologias a empresautiliza para assegurar que apenas pessoal autorizado tenha acesso a seus dados.

• Política de acesso à Internet – define o que a empresa irá ou não tolerar emrelação à utilização da conectividade com a Internet por funcionários econvidados.

• Política de acesso ao campus – define a utilização aceitável dos recursos detecnologia no campus por funcionários e convidados.

• Política de acesso remoto – define como os usuários remotos podem utilizar ainfraestrutura de acesso remoto da empresa.

• Procedimento de tratamento de incidentes – especifica quem responderá aincidentes de segurança e como com eles serão tratados.

Além dessas seções de política de segurança principais, entre algumas outras que podemser necessárias em determinadas organizações estão:

• Política de solicitação de acesso à conta – formaliza a conta e o processo desolicitação de acesso dentro da organização. Os usuários e os administradores desistema que ignoram os processos padrão para solicitações de conta e acesso

 podem estar sujeitos à ação legal dentro da organização.

• Política de avaliação de aquisição – define as responsabilidades referentes aaquisições corporativas e define os requisitos mínimos de uma avaliação de

aquisição que o grupo de segurança das informações deve realizar.• Política de auditoria – define políticas de auditoria para assegurar a integridade

das informações e dos recursos. Isso inclui um processo para investigar incidentes, assegurar a conformidade em relação às políticas de segurança emonitorar a atividade do usuário e do sistema

• Política de importância das informações – define os requisitos para classificar e proteger informações da maneira apropriada segundo o seu nível deimportância.

• Política de senha – define os padrões para criar, proteger e alterar senhas fortes.

• Política de avaliação de risco – define os requisitos e fornece a autoridade para

a equipe de segurança da informação identificar, avaliar e solucionar riscos àinfraestrutura de informações associada à realização do negócio.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 136/350

• Política de servidor Web global – define os padrões exigidos por todos oshosts da Web.

Com a ampla utilização do email, uma organização talvez também queira aplicar  políticas relacionadas especificamente a email, como:

• Política de email encaminhado automaticamente – documenta a política querestringe o encaminhamento automático de email para um destino externo semaprovação prévia do gerente ou do diretor apropriado.

• Política de email – define padrões de conteúdo para impedir a maculação daimagem pública da organização.

• Política de spam – define como o spam deve ser informado e tratado.

Entre as políticas de acesso remoto podem estar:

• Política de acesso dial-up – define o acesso dial-up apropriado e sua utilização por pessoal autorizado.

• Política de acesso remoto – define os padrões para conexão com a rede daorganização de qualquer host ou rede externa com a organização.

• Política de segurança VPN – define os requisitos para conexões VPN com arede da organização.

É preciso observar que os usuários que desafiem ou violem as regras de uma política desegurança podem estar sujeitos à ação disciplinar, incluindo até mesmo demissão.

Exibir meio visual 

Página 4:Exibir meio visual 

4.2 Protegendo roteadores Cisco4.2.1 Problemas de segurança do roteador 

Página 1:

A função dos roteadores na segurança de rede

Você sabe que pode criar uma rede local, conectando dispositivos com switches de redelocal da Camada 2. Dessa forma, você pode utilizar um roteador para rotear tráfegoentre redes diferentes com base em endereços IP da Camada 3.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 137/350

A segurança do roteador é um elemento essencial em qualquer implantação desegurança. Os roteadores são alvos definitivos para os atacantes de rede. Se um atacanteconseguir comprometer e acessar um roteador, isso poderá ajudá-lo. A compreensão dasfunções que os roteadores realizam na rede ajuda a entender suas vulnerabilidades.

Os roteadores realizam as seguintes funções:

• Anunciam redes e filtram quem pode utilizá-las.

• Fornecem acesso a segmentos de rede e sub-redes.

Exibir meio visual 

Página 2:

Os roteadores são os alvos

Como fornecem gateways para outras redes, os roteadores são alvos óbvios, estandosujeitos a vários ataques. Aqui estão alguns exemplos de vários problemas desegurança:

• O comprometimento do controle de acesso pode expor detalhes da configuraçãode rede, o que facilita ataques a outros componentes da rede.

• O comprometimento das tabelas de rotas pode afetar o desempenho, negar 

serviços de comunicação da rede e expor dados confidenciais.• A configuração incorreta de um filtro de tráfego de roteador pode expor 

componentes internos da rede a verificações e ataques, o que facilita para osatacantes evitar a detecção.

Como os atacantes podem comprometer roteadores de formas diferentes, não hánenhuma abordagem única que os administradores de rede possam utilizar paracombatê-los. As formas de comprometimento dos roteadores são semelhantes aos tiposde ataques que você aprendeu anteriormente neste capítulo, inclusive ataques deexploração de confiança, falsificação IP, captura de sessão e ataques MITM.

Nota: esta seção aborda como proteger roteadores. A maioria das práticasrecomendadas discutidas também pode ser utilizada para proteger switches. No entanto,esta seção não aborda ameaças da Camada 2, como endereço MAC com ataques deinundação e STP, porque eles são abordados no CCNA Exploration: Comutação de redelocal e rede sem fio.

Exibir meio visual 

Página 3:Protegendo a sua rede

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 138/350

Proteger os roteadores no perímetro da rede é uma etapa inicial importante na proteçãoda rede.

Pense na segurança do roteador segundo estas categorias:

• Segurança física

• Atualizar o IOS do roteador sempre que isso for aconselhável

• Fazer o backup da configuração e do IOS do roteador 

• Reforçar o roteador para eliminar o abuso potencial de portas e serviços nãoutilizados

Para fornecer segurança física, coloque o roteador em um sala trancada, acessívelapenas a pessoal autorizado. Está sala também não deve apresentar qualquer interferência eletrostática ou magnética e ter controles de temperatura e umidade. Parareduzir a possibilidade de DoS devido a uma falta de energia, instale um UPS emantenha componentes sobressalentes à disposição.

Os dispositivos físicos utilizados na conexão com o roteador devem ser armazenadosem uma instalação bloqueada ou devem permanecer em posse de um indivíduoconfiável para que não sejam comprometidos. Um dispositivo livremente à disposição

 pode ter cavalos-de-Troia ou outro tipo de arquivo executável armazenados.

Provisione o roteador com a quantidade de memória máxima possível. Adisponibilidade de memória pode ajudar na proteção contra alguns ataques DoS, aomesmo tempo em que dá suporte a vários serviços de segurança.

Os recursos de segurança em um sistema operacional evoluem com o passar do tempo. No entanto, a versão mais recente de um sistema operacional talvez não seja a maisestável disponível. Para obter o melhor desempenho em termos de segurança do seusistema operacional, utilize o release estável mais recente que atenda aos requisitos derecursos da sua rede.

Sempre tenha uma cópia de backup de uma configuração e do IOS disponível em casode falha de um roteador. Mantenha uma cópia segura da imagem do sistema operacionaldo roteador e do arquivo de configuração do roteador em um servidor TFTP  para fins de

 backup.

Proteja o roteador para torná-lo o mais seguro possível. Um roteador tem muitosserviços habilitados por padrão. Muitos desses serviços são desnecessários e talvezsejam utilizados por um atacante na coleta de informações ou na exploração. Você deve

 proteger a configuração do seu roteador, desabilitando serviços desnecessários.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 139/350

4.2.2 Aplicando recursos de segurança do IOS Cisco a roteadores

Página 1:

Para configurar recursos de segurança em um roteador, você precisa de um plano paratodas as etapas de configuração da segurança do IOS Cisco.

A figura mostra as etapas para proteger um roteador. As cinco primeiras etapas sãoabordadas neste capítulo. Embora sejam discutidas no próximo capítulo, as listas decontrole de acesso (ACLs) formam uma tecnologia essencial, devendo ser configuradas

 para controlar e filtrar o tráfego da rede.

Exibir meio visual 

4.2.3 Gerenciar a segurança do roteador 

Página 1:

A segurança básica do roteador consiste em configurar senhas. Uma senha forte é oelemento mais importante no controle do acesso seguro a um roteador. Por essa razão,senhas fortes devem ser configuradas sempre.

Entre as boas práticas de senha estão as seguintes:

•  Não anote e deixe as senhas em locais óbvios, como sua mesa ou em seumonitor.

• Evite palavras de dicionários, nomes, números de telefone e datas. A utilizaçãode palavras de dicionários torna as senhas vulneráveis a ataques de dicionário.

• Combine letras, números e símbolos. Inclua pelo menos uma letra minúscula,uma letra maiúscula, um dígito e um caracter especial.

• Escreva incorretamente uma palavra em uma senha de maneira deliberada. Por exemplo, Smith pode ser escrito Smyth ou também incluir números, como5mYth. Outro exemplo pode ser Security escrito como 5ecur1ty.

• Crie senhas extensas. A prática recomendada é ter pelo menos oito caracteres.Você pode aplicar o tamanho mínimo utilizando um recurso disponível emroteadores Cisco, discutido posteriormente neste tópico.

• Altere as senhas com a maior frequência possível. Você deve ter uma políticaque defina quando e com que frequência as senhas devem ser alteradas. Aalteração frequente de senhas tem duas vantagens. Essa prática limita a chancede um hacker conseguir quebrar uma senha e limita a exposição depois que umasenha foi comprometida.

Nota: os espaços à esquerda da senha são ignorados, mas todos os espaços após o

 primeiro caractere, não.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 140/350

Frases de acesso

Um método recomendado para a criação de senhas complexas fortes é utilizar frases deacesso. Uma frase de acesso é, basicamente, uma oração ou frase que funciona comouma senha mais segura. Tenha certeza de que a frase seja grande o suficiente paradificilmente ser adivinhada, mas fácil o bastante para ser lembrada e digitada com

 precisão.

Utilize uma oração, uma citação de um livro ou uma letra de música da qual vocêconsiga se lembrar facilmente como base para a sua senha ou frase de acesso. A figurafornece exemplos de frases de acesso.

Exibir meio visual 

Página 2:Por padrão, o software IOS Cisco deixa senhas em texto sem formatação quando elassão digitadas em um roteador. Isso não é seguro porque qualquer pessoa que esteja

 passando atrás de você enquanto estiver observando a configuração de um roteador  pode olhar por cima do seu ombro e ver a senha.

A utilização dos comandos enable password ou username username password password resultaria na exibição dessas palavras-chave durante a observação daconfiguração em execução.

Por exemplo:

R1(config)# username Student password cisco123R1(config)# do show run | include usernameusername Student password 0 cisco123R1(config)#

O 0 exibido na configuração em execução indica que a senha não está oculta.

Por essa razão, todas as senhas devem ser criptografadas em um arquivo deconfiguração. O IOS Cisco fornece dois esquemas para proteção de senha:

• Criptografia simples chamada esquema tipo 7. Ela utiliza o algoritmo decriptografia definido pela Cisco e ocultará a senha utilizando um algoritmo decriptografia simples.

• Criptografia complexa chamada esquema tipo 5. Ela utiliza um hash MD5 maisseguro.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 141/350

A criptografia tipo 7 pode ser utilizada pelos comandos enable password, username eline password que incluem vty, console e porta auxiliar. Ela não oferece muita proteção

 porque só oculta a senha que utiliza um algoritmo de criptografia simples. Embora nãoseja tão segura quanto a criptografia tipo 5, ela ainda é melhor que não ter criptografia.

Para criptografar senhas utilizando a criptografia tipo 7, utilize o comando deconfiguração global service password-encryption conforme exibido na figura. Essecomando impede que senhas exibidas na tela sejam legíveis.

Por exemplo:

R1(config)# service password-encryptionR1(config)# do show run | include usernameusername Student password 7 03075218050061

R1(config)#

O 7 exibido na configuração em execução indica que a senha está oculta. Na figura,você pode ver que a senha da linha console agora está oculta.

Clique no botão Configurar senha na figura.

A Cisco recomenda que a criptografia Tipo 5 seja utilizada em lugar da Tipo 7 sempreque possível. A criptografia MD5 é um método de criptografia forte. Ela deve ser 

utilizada sempre que possível. Ela é configurada, substituindo-se a palavra-chavepassword por secret.

Por isso, para proteger o nível EXEC privilegiado o máximo possível, sempre configureo comando enable secret conforme mostrado na figura. Também tenha certeza de que aenable secret seja exclusiva e de que não corresponda a nenhuma outra senha deusuário.

Um roteador sempre utilizará a enable secret sem detrimento da enable password. Por essa razão, o comando enable password jamais deve ser configurado, porque podefornecer a senha de um sistema.

Nota: se você se esquecer da senha do modo EXEC privilegiado, será preciso executar o procedimento de recuperação de senha. Esse procedimento será abordado

 posteriormente neste capítulo.

Os nomes de usuário do banco de dados local também devem ser configuradosutilizando-se o comando de configuração global username username secret password .Por exemplo:

R1(config)# username Student secret ciscoR1(config)# do show run | include username

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 142/350

username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/R1(config)#

Nota: alguns processos talvez não possam utilizar senhas criptografadas tipo 5. Por exemplo, PAP utiliza senhas de texto não criptografado, não podendo utilizar senhascriptografadas MD5.

Clique no botão Tamanho da senha na figura.

O software IOS Cisco release 12.3(1) e posteriores permitem aos administradoresdefinir o tamanho mínimo em caracteres para todas as senhas do roteador utilizando ocomando de configuração global security passwords min-length, conforme mostradona figura. Esse comando fornece melhor acesso de segurança ao roteador, permitindoespecificar um tamanho de senha mínimo, eliminando senhas comuns que prevaleçam

na maioria das redes, como "laboratório" e "cisco".

Esse comando afeta todas as novas senha de usuário, senhas de habilitar e segredos,além de senhas da linha criadas depois que o comando foi executado. O comando nãoafeta senhas de roteador existentes.

Exibir meio visual 

4.2.4 Protegendo o acesso administrativo remoto a roteadores

Página 1:

Protegendo o acesso administrativo a roteadores

Os administradores de rede podem se conectar local ou remotamente a um roteador ouswitch. Por ser seguro, o acesso local pela porta console é o modo preferencial para umadministrador se conectar a um dispositivo. Na medida em que as empresas ficammaiores e o número de roteadores e switches na rede cresce, a carga de trabalho doadministrador para se conectar localmente a todos os dispositivos pode se tornar excessiva.

O acesso administrativo remoto é mais prático do que o acesso local paraadministradores que tenham muitos dispositivos para gerenciar. No entanto, se ele nãofor implementado com segurança, um atacante poderá coletar informações confidenciaisimportantes. Por exemplo, a implementação do acesso administrativo remoto utilizandoTelnet pode ser muito insegura porque Telnet encaminha todo o tráfego de rede emtexto não criptografado. Um atacante poderia capturar o tráfego da rede enquanto umadministrador tivesse feito login remotamente em um roteador e detectar as senhas ou asinformações de configuração do roteador. Por isso, o acesso administrativo remoto deveser configurado com precauções de segurança adicionais.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 143/350

Para proteger o acesso administrativo a roteadores e switches, primeiro você protegeráas linhas administrativas (VTY, AUX) e, em seguida, configurará o dispositivo de rede

 para criptografar o tráfego em um túnel SSH.

Exibir meio visual 

Página 2:

Acesso administrativo remoto com Telnet e SSH

Ter acesso remoto a dispositivos de rede é essencial para gerenciar uma rede de maneiraefetiva. O acesso remoto normalmente envolve a permissão de Telnet, Shell Seguro(SSH), HTTP, HTTP Seguro (HTTPS) ou conexões SNMP no roteador em umcomputador nas mesmas redes interconectadas do roteador.

Se o acesso remoto for obrigatório, as suas opções serão as seguintes:

• Estabelecer uma rede de gerenciamento dedicada. A rede de gerenciamento deveincluir apenas hosts de administração identificados e conexões com dispositivosde infraestrutura. Isso poderia ser obtido utilizando-se uma VLAN degerenciamento ou uma rede física adicional à qual conectar os dispositivos.

• Criptografar todo o tráfego entre o computador do administrador e o roteador.Em qualquer um dos casos, um filtro de pacote pode ser configurado para

 permitir apenas os hosts de administração identificados e o protocolo para

acessar o roteador. Por exemplo, só permita o endereço IP do host deadministração iniciar uma conexão SSH com os roteadores na rede.

O acesso remoto não se aplica apenas à linha VTY do roteador, mas também às linhasTTY e à porta auxiliar (AUX). As linhas TTY fornecem acesso assíncrono a umroteador utilizando um modem. Embora sejam menos comuns do que já foram, elasainda existem em algumas instalações. Proteger essas portas é até mesmo maisimportante do que proteger portas de terminal locais.

A melhor forma de proteger um sistema é assegurar que sejam aplicados controles

apropriados a todas as linhas, inclusive VTY, TTY e AUX.

Os administradores devem ter certeza de que os logins em todas as linhas sejamcontrolados utilizando um mecanismo de autenticação, mesmo em máquinasteoricamente inacessíveis em redes não confiáveis. Isso é especialmente importante paralinhas VTY e linhas conectadas a modems ou outros dispositivos de acesso remoto.

Os logins podem ser totalmente evitados em qualquer linha, configurando-se o roteador com os comandos login e no password. Essa é a configuração padrão para VTYs, masnão para TTYs e a porta AUX. Por isso, se essas linhas não forem obrigatórias,assegure-se de que elas sejam configuradas com a combinação de comandos login e nopassword.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 144/350

Clique no botão Impedir logins para exibir um exemplo.

Controlando VTYs

Por padrão, todas as linhas VTY são configuradas para aceitar qualquer tipo de conexãoremota. Por razões de segurança, as linhas VTY devem ser configuradas para aceitar apenas as conexões com os protocolos efetivamente necessários. Isso é feito com ocomando transport input. Por exemplo, uma VTY que só deve receber sessões Telnetseria configurada com transport input telnet e uma VTY que permitisse sessões Telnete SSH teria transport input telnet ssh configurado.

Clique no botão Acesso VTY na figura.

O primeiro exemplo de configuração exibe como configurar a VTY para aceitar apenasas conexões Telnet e SSH, e o segundo exemplo exibe como configurar a VTY paraaceitar apenas conexões SSH. Se a imagem do IOS Cisco em um roteador der suporte aSSH, será altamente recomendável habilitar apenas esse protocolo.

Um dispositivo Cisco tem um número limitado de linhas VTY, normalmente cinco.Quando todas as VTYs estiverem em uso, mais nenhuma conexão remota adicional

 poderá ser estabelecida. Isso cria a oportunidade para um ataque DoS. Se um atacanteconseguir abrir sessões remotas em todas as VTYs do sistema, o administrador legítimotalvez não consiga fazer login. O atacante não precisa fazer login para conseguir isso.As sessões podem ser simplesmente abandonadas no prompt de login.

Uma forma de reduzir essa exposição é configurando a última linha VTY para aceitar conexões apenas de uma única estação de trabalho administrativa específica, enquantoas demais VTYs podem aceitar conexões de qualquer endereço em uma redecorporativa. Isso assegura que pelo menos uma linha VTY esteja disponível para oadministrador. Para implementar isso, as ACLs, com o comando ip access-class naúltima linha VTY, devem ser configuradas. Essa implementação é abordada no Capítulo5.

Outra tática útil é configurar timeouts VTY utilizando o comando exec-timeout. Issoimpede uma sessão ociosa de consumir a VTY indefinidamente. Embora sua efetividadecontra ataques deliberados seja relativamente limitada, ela fornece alguma proteçãocontra sessões abandonadas ociosas acidentalmente. Da mesma forma, habilitar keepalives TCP em conexões de entrada utilizando o comando service tcp-keepalives-in pode ajudar na proteção contra ataques maliciosos e sessões abandonadas causadas

 por falhas em sistemas remotos.

Clique no botão VTY protegido na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 145/350

A configuração exibe como definir o executive timeout como 3 minutos e habilitar keepalives TCP.

Exibir meio visual 

Página 3:

Implementando SSH em acesso administrativo remoto seguro

Tradicionalmente, o acesso administrativo remoto em roteadores era configuradoutilizando-se Telnet na porta TCP 23. No entanto, o Telnet foi desenvolvido quando asegurança não era um problema. Por essa razão, todo o tráfego Telnet é encaminhadoem texto claro.

O SSH substituiu o Telnet como a prática recomendada para fornecer à administraçãodo roteador com conexões que dão suporte à privacidade forte e à integridade da sessão.O SSH utiliza a porta TCP 22. Ele fornece funcionalidade semelhante à de uma conexãoTelnet de saída, exceto pela conexão ser criptografada. Com autenticação e criptografia,o SSH permite uma comunicação segura em uma rede não segura.

 Nem todas as imagens do IOS Cisco dão suporte ao SSH. Somente imagenscriptográficas podem. Normalmente, essas imagens têm IDs de imagem k8 ou k9 emseus nomes. Os nomes de imagem são abordados na Seção 5.

O recurso de acesso à linha de terminal SSH permite aos administradores configurar roteadores com acesso seguro e executar as seguintes tarefas:

• Conecte-se a um roteador que tenha várias linhas de terminal conectadas aconsoles ou portas seriais de outros roteadores, switches e dispositivos.

• Simplifique a conectividade com um roteador em qualquer lugar, conectando-secom segurança ao servidor de terminal em uma determinada linha.

• Permita que modems conectados a roteadores sejam utilizados em discagenscom segurança.

•

Exija autenticação em todas as linhas por meio de um nome de usuário e senhadefinidos localmente, ou um servidor de segurança, como um servidor TACACS+ ou RADIUS.

Os roteadores Cisco são capazes de agir como o cliente e o servidor SSH. Por padrão,essas duas funções são habilitadas no roteador quando o SSH é habilitado. Comocliente, um roteador pode executar SSH em outro roteador. Como servidor, um roteador 

 pode aceitar conexões clientes SSH.

Exibir meio visual 

Página 4:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 146/350

Configurando a segurança SSH

Para habilitar o SSH no roteador, os seguintes parâmetros devem ser configurados:

• Hostname•  Nome de domínio

• Chaves assimétricas (Asymmetrical keys)

• Autenticação local (Local authentication)

Entre os parâmetros de configuração opcionais estão:

• Timeouts

•  Novas tentativas (Retries)

As seguintes etapas configuram o SSH em um roteador.

Etapa 1: Definir parâmetros do roteador

Configure o hostname do roteador com o comando hostname hostname no modo deconfiguração global.

Etapa 2: Definir o nome de domínio

Deve haver um nome de domínio para habilitar o SSH. Neste exemplo, digite ocomando ip domain-name no modo de configuração global.

Etapa 3: Gerar chaves assimétricas

Você precisa criar uma chave que o roteador utilize para criptografar o seu tráfego de

gerenciamento SSH com o comando crypto key generate rsa no modo de configuraçãoglobal. O roteador responde com uma mensagem que mostra a convenção denomenclatura para as chaves. Escolha o tamanho do módulo da chave no intervalo entre360 e 2.048 para as suas Chaves de finalidade geral. Escolher um módulo de chavemaior que 512 pode demorar alguns minutos. Como prática recomendada, a Ciscorecomenda a utilização de um tamanho de módulo mínimo de 1.024. Você deve saber que um módulo maior demora mais para ser gerado e utilizado, embora ofereça maior segurança.

Você pode obter mais informações sobre o comando crypto key no curso Segurança de

rede.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 147/350

Etapa 4: Configurar autenticação local e vty

Você deve definir um usuário local e atribuir uma comunicação SSH a linhas vtyconforme mostrado na figura.

Etapa 5: Configurar timeouts SSH (opcional)

Os timeouts fornecem segurança adicional à conexão, encerrando conexões prolongadas, inativas. Utilize os comandos ip ssh time-out seconds e authentication-retries integer para habilitar timeouts e novas tentativas de autenticação. Defina otimeout SSH como 15 segundos e o número de novas tentativas como 2.

Para se conectar a um roteador configurado com SSH, você precisa utilizar umaplicativo cliente SSH, como PuTTY ou TeraTerm. Você deve ter certeza para escolher a opção SSH e de que ela utiliza a porta TCP 22.

Clique no botão Utilizar SSH na figura.

Utilizando o TeraTerm para se conectar com segurança ao roteador R2 com SSH,depois que a conexão é iniciada, R2 exibe um prompt do nome de usuário, seguido por um prompt de senha. Supondo que as credenciais corretas sejam fornecidas, o TeraTermexibe o prompt do modo EXEC usuário do roteador R2.

Exibir meio visual 

Página 5:Exibir meio visual 

4.2.5 Registrando a atividade do roteador em log 

Página 1:

Os logs permitem verificar se um roteador está funcionando corretamente ou determinar se ele foi comprometido. Em alguns casos, um log pode mostrar os tipos de testes ou deataques feitos contra o roteador ou à rede protegida.

A configuração do registro em log (syslog) no roteador deve ser feita cuidadosamente.Envie os logs do roteador para um host de log designado. O host de log deve ser conectado a uma rede confiável ou protegida ou à interface de um roteador isolada ededicada. Proteja o host de log, removendo todos os serviços desnecessários e contas.Roteadores oferecem suporte a níveis diferentes de registro em log. Os oito níveis vãode 0, emergências que indicam que o sistema está instável, a 7 para depurar mensagens

que incluam todas as informações sobre o roteador.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 148/350

Os logs podem ser encaminhados para vários locais, inclusive a memória do roteador ouum servidor de syslog dedicado. Um servidor de syslog fornece uma solução melhor,

 porque todos os dispositivos de rede podem encaminhar seus logs para uma estaçãocentral na qual um administrador possa examiná-los. Um exemplo de um aplicativo paraservidores de syslog é o Kiwi Syslog Daemon.

Também considere o envio dos logs para um segundo dispositivo de armazenamento, por exemplo, uma mídia de gravação única ou uma impressora dedicada, para lidar comcenários de pior caso (por exemplo, um comprometimento do host de log).

A coisa mais importante a ser lembrada sobre o registro em log é que os logs devem ser examinados regularmente. Verificando os logs regularmente, você pode ter a sensaçãodo comportamento normal da sua rede. Uma sólida compreensão da operação normal ede seu reflexo nos logs ajuda a identificar condições de ataque ou anormalias.

Registros de data e hora precisos são importantes no registro em log. Registros de data ehora permitem rastrear ataques à rede com mais credibilidade. Todos os roteadores sãocapazes de manter seu próprio horário, mas isso normalmente não basta. Em vez defazer isso, direcione o roteador para pelo menos dois servidores de horário confiáveisdiferentes para assegurar a disponibilidade das informações sobre isso. Um servidor 

 Network Time Protocol (NTP) talvez precise ser configurado para fornecer uma origemde horário sincronizado para todos os dispositivos. A configuração dessa opção estáalém do escopo deste curso.

Por exemplo:

R2(config)#service timestamps ?debug Timestamp debug messageslog Timestamp log messages<cr>R2(config)#service timestamps

Posteriormente neste capítulo você obterá informações sobre o comando debug. A saídado comando debug também pode ser enviada para logs.

Exibir meio visual 

4.3 Serviços de rede do roteador seguros4.3.1 Serviços e interfaces vulneráveis do roteador 

Página 1:

Serviços e interfaces vulneráveis do roteador

Os roteadores Cisco dão suporte a vários serviços de rede nas camadas 2, 3, 4 e 7,conforme a descrição na figura. Alguns desses serviços são os protocolos da camada de

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 149/350

aplicativo que permitem aos usuários e aos processos do host se conectar ao roteador.Outros são configurações e processos automáticos que devem dar suporte aconfigurações herdadas ou especializadas que ofereçam riscos à segurança. Algunsdesses serviços podem ser restringidos ou desabilitados para aumentar a segurança semdiminuir a utilização operacional do roteador. A prática de segurança geral para

roteadores deve ser utilizada para dar suporte apenas ao tráfego e aos protocolos de queuma rede precisa.

A maioria dos serviços listados nesta seção não é obrigatória normalmente. A tabela nafigura descreve os serviços gerais vulneráveis de roteador e lista as práticasrecomendadas associadas a esses serviços.

A desativação de um serviço de rede no próprio roteador não o impede de dar suporte auma rede na qual esse protocolo é empregado. Por exemplo, uma rede pode exigir serviços TFTP para fazer backup dos arquivos de configuração e das imagens do IOS.

Esse serviço costuma ser fornecido por um servidor TFTP dedicado. Em certasinstâncias, um roteador também poderia ser configurado como um servidor TFTP. Noentanto, isso é muito incomum. Por isso, na maioria dos casos, o serviço TFTP noroteador deve ser desabilitado.

Em muitos casos, o software IOS Cisco dá suporte à desativação completa de umserviço ou à restrição do acesso a determinados segmentos de rede ou a conjuntos dehosts. Se uma porção específica de uma rede precisar de um serviço, mas o resto não, osrecursos de restrição deverão ser empregados para limitar o escopo do serviço.

A desativação de um recurso de rede automático normalmente impede um determinadotipo de tráfego de rede de ser processado pelo roteador, ou o impede de atravessar oroteador. Por exemplo, o roteamento de origem IP é um recurso IP pouco utilizado que

 pode ser utilizado em ataques à rede. A menos que seja obrigatório à operação da rede,o roteamento de origem IP deve ser desabilitado.

Nota: o CDP é aproveitado em algumas implementações de telefonia IP. Isso precisaser considerado antes da ampla desabilitação do serviço.

Exibir meio visual 

Página 2:

Há vários comandos obrigatórios para desabilitar serviços. A saída do comando showrunning-config na figura fornece uma configuração de exemplo de vários serviços queforam desabilitados.

Os serviços que normalmente devem ser desabilitados estão listados abaixo. São algunsdeles:

•

Serviços pequenos, como echo, discard e chargen – utilize o comando noservice tcp-small-servers ou no service udp-small-servers.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 150/350

• BOOTP – utilize o comando no ip bootp server.

• Finger – utilize o comando no service finger.

• HTTP – utilize o comando no ip http server.

• SNMP – utilize o comando no snmp-server.

Também é importante desabilitar serviços que permitam a determinados pacotes passar  pelo roteador, enviar pacotes especiais ou serem utilizados na configuração do roteador remoto. Os comandos correspondentes para desabilitar esses serviços são:

• Protocolo de detecção da Cisco (CDP, Cisco Discovery Protocol) – utilize ocomando no cdp run.

• Configuração remota – utilize o comando no service config.

• Roteamento de origem – utilize o comando no ip source-route.

• Roteamento classless – utilize o comando no ip classless.

As interfaces no roteador podem ficar mais seguras utilizando-se determinadoscomandos no modo de configuração de interface:

• Interfaces não utilizadas – utilize o comando shutdown.

•  Negar ataques SMURF – utilize o comando no ip directed-broadcast.

• Roteamento ad hoc – utilize o comando no ip proxy-arp.

Exibir meio visual 

Página 3:

Vulnerabilidades SNMP, NTP e DNS

A figura descreve três serviços de gerenciamento que também devem ser protegidos. Osmétodos para desabilitar ou ajustar as configurações desses serviços estão além doescopo deste curso. Esses serviços são abordados no curso CCNP: Implementação de

redes remotas convergidas seguras.As descrições e as diretrizes para proteger esses serviços estão listadas abaixo.

SNMP

SNMP é o protocolo IP para monitoração remota automatizada e administração. Hávárias versões do SNMP com propriedades de segurança diferentes. As versões doSNMP anteriores à versão 3 transmitem informações em texto não criptografado.

 Normalmente, o SNMP versão 3 deve ser utilizado.

NTP

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 151/350

Os roteadores Cisco e os demais hosts utilizam o NTP para manter seus horários e datas precisos. Se possível, os administradores de rede devem configurar todos os roteadorescomo parte de uma hierarquia NTP, o que torna um roteador o temporizador mestre efornece seu horário para os demais roteadores na rede. Se uma hierarquia NTP não

estiver disponível na rede, você deverá desabilitar o NTP.

A desabilitação do NTP em uma interface não impede as mensagens NTP de atravessar o roteador. Para rejeitar todas as mensagens NTP em uma determinada interface, utilizeuma lista de acesso.

DNS

O software IOS Cisco dá suporte à procura de nomes de host com o Sistema de Nome

de Domínio (DNS). O DNS fornece o mapeamento entre nomes, comocentral.mydomain.com para endereços IP, como 14.2.9.250.

Infelizmente, o protocolo DNS básico não oferece nenhuma autenticação ou garantia deintegridade. Por padrão, as consultas de nome são enviadas para o endereço de

 broadcast 255.255.255.255.

Se um ou mais servidores de nomes estiverem disponíveis na rede e for desejávelutilizar nomes em comandos do IOS Cisco, defina explicitamente os endereços doservidor de nome utilizando o comando de configuração global ip name-serveraddresses. Do contrário, desative a resolução de nome DNS com o comando no ipdomain-lookup. Também é uma ideia boa dar um nome ao roteador, utilizando ocomando hostname. O nome dado ao roteador é exibido no prompt.

Exibir meio visual 

4.3.2 Protegendo os protocolos de roteamento

Página 1:

Visão geral da autenticação do protocolo de roteamento

Como administrador de rede, você precisa saber que os seus roteadores correm o riscode serem atacados tanto quanto os seus sistemas de usuário final. Qualquer pessoa comum sniffer de pacotes, como o Wireshark, pode ler as informações que se propagamentre os roteadores. Em geral, os sistemas de roteamento podem ser atacados de duasformas:

• Situação de interrupção de mesmo nível

•

Falsificação das informações de roteamento

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 152/350

A situação de interrupção de mesmo nível é a menos crítica dos dois ataques porque os protocolos de roteamento se corrigem, o que faz a interrupção durar um pouco menosdo que o próprio ataque.

Uma classe mais sutil de ataque tem como alvo as informações transportadas dentro do protocolo de roteamento. As informações de roteamento falsificadas normalmente podem ser utilizadas para fazer os sistemas enganar (mentir) uns aos outros, causar umDoS ou fazer o tráfego seguir um caminho que normalmente não seguiria. Asconsequências da falsificação das informações de roteamento são as seguintes:

1. Redirecionar o tráfego para criar loops de roteamento, conforme o mostrado na figura

2. Redirecionar o tráfego para que ele possa ser monitorado em um link inseguro

3. Redirecionar o tráfego para descartá-lo

Uma maneira direta de atacar o sistema de roteamento é atacar os roteadores queexecutem os protocolos de roteamento, obter acesso aos roteadores e inserir informações falsas. Saiba que qualquer pessoa que esteja "escutando" pode capturar atualizações de roteamento.

Clique no botão Reproduzir na figura para exibir uma animação de um ataque deloop de roteamento.

A animação mostra um exemplo de um ataque que cria um loop de roteamento. Umatacante conseguiu se conectar diretamente ao link entre os roteadores R2 e R3. Oatacante injeta informações de roteamento falsas destinadas exclusivamente ao roteador R1, o que indica que o R3 é o destino preferido para a rota do host 192.168.10.10/32.Embora tenha uma entrada na tabela de roteamento  para a rede 192.168.10.0/24diretamente conectada, R1 adicionará a rota injetada à sua tabela de roteamento por conta da máscara de sub-rede maior. Uma rota com uma máscara de sub-redecompatível maior é considerada superior a uma rota com uma máscara de sub-redemenor. Consequentemente, quando receber um pacote, um roteador escolherá a máscarade sub-rede maior por ser uma rota mais precisa até o destino.

Quando o PC3 enviar um pacote para o PC1 (192.168.10.10/24), R1 não encaminhará o pacote para o PC1. Em vez disso, ele roteará o pacote para o roteador R3, porque, atéonde se sabe, o melhor caminho para 192.168.10.10/32 é pelo R3. Quando obtiver o

 pacote, R3 irá olhar sua tabela de roteamento e encaminhar o pacote novamente paraR1, o que cria o loop.

A melhor maneira de proteger informações de roteamento na rede é autenticar pacotesde protocolo de roteamento utilizando o algoritmo MD5 (message digest 5). Um

algoritmo como MD5 permite aos roteadores comparar assinaturas que devem ser todasiguais.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 153/350

Clique no botão Proteger atualização na figura.

A figura mostra como cada roteador na cadeia de atualização cria uma assinatura. Entre

os três componentes desse sistema estão:

1. Algoritmo de criptografia, que normalmente é de conhecimento público

2. Chave utilizada no algoritmo de criptografia, que é um segredo compartilhado pelosroteadores que autenticam seus pacotes

3. Conteúdo do próprio pacote

Clique no botão Operação na figura.

Clique em Reproduzir para exibir uma animação.

 Na animação, vemos como cada roteador autentica as informações de roteamento.Geralmente, o originador das informações de roteamento produz uma assinaturautilizando a chave e roteando dados a serem enviados como entradas para o algoritmode criptografia. Em seguida, os roteadores que recebem esses dados de roteamento

 podem repetir o processo utilizando a mesma chave, os dados recebidos e os mesmos

dados de roteamento. Se a assinatura que o receptor computa for igual à assinatura doremetente, os dados e a chave deverão ser iguais aos transmitidos pelo remetente, e aatualização será autenticada.

RIPv2, EIGRP, OSPF, IS-IS e BGP, todos, dão suporte a várias formas de autenticaçãoMD5.

Exibir meio visual 

Página 2:Configurando o RIPv2 com autenticação do protocolo de roteamento

A topologia na figura está exibindo uma rede configurada com o protocolo deroteamento RIPv2. O RIPv2 dá suporte à autenticação do protocolo de roteamento. Para

 proteger atualizações de roteamento, cada roteador deve ser configurado para dar suporte à autenticação. As etapas para proteger atualizações RIPv2 são as seguintes:

Etapa 1. Impedir a propagação da atualização de roteamento RIP

Etapa 2. Impedir a recepção não autorizada de atualizações RIP

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 154/350

Etapa 3. Verificar a operação do roteamento RIP

Impedir a propagação da atualização de roteamento RIP

Você precisa impedir um intruso com “escuta” na rede de receber atualizações às quaisnão tem direito. Você faz isso, forçando todas as interfaces no roteador no modo passivoe carregando apenas as interfaces obrigatórias para o envio e o recebimento deatualizações RIP. Uma interface no modo passivo recebe mas não envia atualizações.Você deve configurar interfaces no modo passivo em todos os roteadores na rede.

Clique no botão Config e em Etapa 1.

A figura mostra os comandos de configuração para controlar as interfaces que participarão das atualizações de roteamento. As atualizações de roteamento jamaisdevem ser anunciadas em interfaces que não estejam conectadas a outros roteadores.Por exemplo, as interfaces de rede local no roteador R1 não se conectam a outrosroteadores e, por isso, não devem anunciar atualizações de roteamento. Apenas ainterface S0/0/0 no roteador R1 deve anunciar atualizações de roteamento.

 Na saída do comando na tela, o comando passive-interface default desabilita anúnciosde roteamento em todas as interfaces. Isso também inclui a interface S0/0/0. O comandono passive-interface s0/0/0 permite à interface S0/0/0 enviar e receber atualizaçõesRIP.

Clique no botão Topologia e em Etapa 2.

Impedir a recepção não autorizada de atualizações RIP

 Na figura, o intruso é impedido de interceptar atualizações RIP porque a autenticaçãoMD5 foi habilitada nos roteadores, R1, R2 e R3; os roteadores que estão participandodas atualizações RIP.

Clique no botão Config e em Etapa 2.

A saída do comando mostra os comandos para configurar a autenticação do protocolode roteamento no roteador R1. Os roteadores R2 e R3 também precisam ser configurados com esses comandos nas interfaces apropriadas.

O exemplo mostra comandos para criar uma cadeia de chaves chamada RIP_KEY.Embora várias chaves possam ser consideradas, nosso exemplo mostra apenas uma. A

Chave 1 é configurada para conter uma string de chave chamada cisco. A string dachave é semelhante a uma senha, e os roteadores que trocam chaves de autenticaçãodevem ser configurados com a mesma string. A interface S0/0/0 é configurada para dar 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 155/350

suporte à autenticação MD5. A cadeia RIP_KEY e a atualização de roteamento são processadas utilizando-se o algoritmo MD5 para produzir uma assinatura exclusiva.

Quando R1 é configurado, os demais roteadores receberão as atualizações deroteamento com uma assinatura exclusiva e, consequentemente, não poderão maisdecifrar as atualizações de R1. Essa condição permanecerá até cada roteador na rede ser configurado com a autenticação do protocolo de roteamento.

Clique no botão Topologia e em Etapa 3.

Verificar a operação do roteamento RIP

Depois de configurar todos os roteadores na rede, você precisará verificar a operação doroteamento RIP.

Clique no botão Config e em Etapa 3.

Utilizando o comando show ip route, a saída do comando confirma se o roteador R1 seautenticou com os outros roteadores e conseguiu adquirir as rotas dos roteadores R2 eR3.

Exibir meio visual 

Página 3:

Visão geral da autenticação do protocolo de roteamento para EIGRP e OSPF

A autenticação do protocolo de roteamento também deve ser configurada para outros protocolos de roteamento como EIGRP e OSPF. Para obter detalhes sobre aautenticação do protocolo de roteamento para EIGRP e OSPF, consulte CCNP2:Implementação de redes remotas convergidas seguras.

Clique no botão EIGRP na figura.

EIGRP

A figura mostra os comandos utilizados para configurar a autenticação do protocolo deroteamento no EIGRP no roteador R1. Esses comandos são bem parecidos com os quevocê utilizou na autenticação RIPv2 MD5. As etapas para configurar a autenticação do

 protocolo de roteamento EIGRP no roteador R1 são as seguintes:

Etapa 1. A área realçada superior mostra como criar uma cadeia de chaves a ser utilizada por todos os roteadores em sua rede. Esses comandos criam uma cadeia de

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 156/350

chaves chamada EIGRP_KEY e colocam seu terminal no modo de configuração dacadeia de chaves, um número de chave 1 e valor da string de chave cisco.

Etapa 2. A área realçada inferior mostra como habilitar a autenticação MD5 em pacotesEIGRP que atravessam uma interface.

Clique no botão OSPF na figura.

OSPF

A figura mostra os comandos utilizados para configurar a autenticação do protocolo deroteamento para o OSPF na interface S0/0/0 do roteador R1. O primeiro comandoespecifica a chave a ser utilizada na autenticação MD5. O próximo comando habilita aautenticação MD5.

Exibir meio visual 

Página 4:

Esta atividade abrange a autenticação simples e a autenticação MD5 do OSPF (messagedigest 5). Você pode habilitar a autenticação no OSPF para trocar as informações sobreatualização de roteamento de uma maneira segura. Com a autenticação simples, a senhaé enviada em texto não criptografado pela rede. A autenticação simples é utilizadaquando os dispositivos dentro de uma área não conseguem dar suporte à autenticação

MD5, a mais segura. Com a autenticação usando MD5, a senha não é enviada pela rede.MD5 é considerado o modo de autenticação OSPF mais seguro. Quando configurar aautenticação, você deve configurar uma área inteira com o mesmo tipo de autenticação.

 Nesta atividade, você irá configurar a autenticação simples entre R1 e R2 e aautenticação MD5 entre R2 e R3.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

4.3.3 Bloqueando seu roteador com Cisco Auto Secure

Página 1:

O Cisco AutoSecure utiliza um único comando para desabilitar processos e serviços não

essenciais, o que elimina potenciais ameaças à segurança. Você pode configurar oAutoSecure no modo EXEC privilegiado utilizando o comando auto secure em umdestes dois modos:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 157/350

• Modo interativo – este modo solicita a você opções para habilitar e desabilitar serviços e outros recursos de segurança. Este é o modo padrão.

• Modo não interativo – este modo executa o comando auto secureautomaticamente com as configurações padrão recomendadas pela Cisco. Essemodo é habilitado com a opção de comando no-interact.

Clique no botão Saída do roteador na figura.

Executar o AutoSecure em um roteador Cisco

A saída do comando na tela mostra uma saída parcial de uma configuração do CiscoAutoSecure. Para iniciar o processo de proteção de um roteador, emita o comando autosecure. O Cisco AutoSecure solicitará vários itens, incluindo:

• Especificidades de interface

• Banners

• Senhas

• SSH

• Recursos de firewall do IOS

Nota: O Cisco Router and Security Device Manager (SDM) fornece um recursosemelhante ao do comando Cisco AutoSecure. Esse recurso é descrito na seção"Utilizando o Cisco SDM".

Exibir meio visual 

4.4 Utilizando o Cisco SDM4.4.1 Visão geral do Cisco SDM 

Página 1:

O que é o Cisco SDM?

O Cisco Router e Security Device Manager (SDM) é uma ferramenta de gerenciamentode dispositivos baseada na Web, fácil de utilizar, projetada para configurar recursos desegurança, de rede local e WAN em roteadores, baseados no software IOS Cisco.

A figura mostra a tela principal do SDM. A interface ajuda os administradores de redede pequenas a médias empresas a executar operações do dia-a-dia. Ela forneceassistentes inteligentes fáceis de utilizar, automatiza o gerenciamento de segurança do

roteador e ajuda por meio de ajuda e tutoriais online abrangentes.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 158/350

O Cisco SDM dá suporte a um amplo conjunto de releases do software IOS Cisco. Ele já vem pré-instalado por padrão em todos os novos roteadores de serviços integrados daCisco. Se não estiver pré-instalado, você terá que instalá-lo. Os arquivos do SDM

 podem ser instalados no roteador, em um PC ou em ambos. Uma vantagem de instalar oSDM no PC é que isso economiza memória do roteador, além de permitir utilizar o

SDM para gerenciar outros roteadores na rede. Se o Cisco SDM estiver pré-instalado noroteador, a Cisco recomendará utilizar o Cisco SDM para executar a configuraçãoinicial.

Exibir meio visual 

Página 2:

Recursos do Cisco SDM

O Cisco SDM simplifica a configuração do roteador e da segurança por meio dautilização de vários assistentes inteligentes para habilitar a configuração eficiente dos parâmetros da rede virtual privada (VPN) e do firewall do IOS Cisco. Esse recurso permite aos administradores implantar rápida e facilmente, além de configurar emonitorar, roteadores de acesso Cisco.

Os assistentes inteligentes do Cisco SDM orientam os usuários etapa a etapa pelo fluxode trabalho da configuração de segurança, configurando sistematicamente as interfacesde rede local e WAN, firewall, IPS e VPNs.

Os assistentes inteligentes do Cisco SDM podem detectar configurações incorretas demaneira inteligente e propor correções, como permitir o tráfego DHCP por um firewallcaso a interface WAN seja endereçada por DHCP. A ajuda online interna do CiscoSDM contém informações em segundo plano apropriadas, além de procedimentos etapaa etapa para ajudar os usuários a inserir os dados corretos no Cisco SDM.

Exibir meio visual 

4.4.2 Configurando o seu roteador para dar suporte ao Cisco SDM 

Página 1:O Cisco SDM deve ser instalado em todos os novos roteadores Cisco. Se você tiver umroteador que já esteja sendo utilizado mas sem o Cisco SDM, você poderá instalar eexecutá-lo sem interromper o tráfego da rede. Para instalá-lo em um roteador operacional, você deve verificar se algumas definições de configuração estão presentesno arquivo de configuração do roteador. A figura mostra uma topologia na qual oadministrador do sistema instalará o Cisco SDM no roteador R1.

Para configurar o Cisco SDM em um roteador que já esteja em utilização, seminterromper o tráfego da rede, siga estas etapas:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 159/350

Etapa 1. Acessar a interface CLI do roteador utilizando Telnet ou a conexão de console

Etapa 2: Habilitar os servidores HTTP e HTTPS no roteador 

Etapa 3. Criar uma conta de usuário definida com um nível de privilégio 15 (habilitar  privilégios).

Etapa 4. Configurar SSH e Telnet para login local e nível de privilégio15.

Clique no botão Saída do roteador na figura.

A saída do comando na tela mostra um exemplo da configuração necessária paraassegurar que você possa instalar e executar o Cisco SDM em um roteador de produçãosem interromper o tráfego da rede.Exibir meio visual 

4.4.3 Iniciando o Cisco SDM 

Página 1:

O Cisco SDM fica armazenado na memória flash do roteador. Ele também pode ser armazenado em um PC local. Para iniciar o Cisco SDM, utilize o protocolo HTTPS e

coloque o endereço IP do roteador no navegador . A figura mostra o navegador com umendereço https://198.162.20.1 e a página iniciar do Cisco SDM. O prefixo http:// poderáser utilizado se o SSL não estiver disponível. Quando a caixa de diálogo de nome deusuário e senha for exibida (não mostrada), digite um nome de usuário e uma senha paraa conta privilegiada (nível de privilégio 15) no roteador. Depois que a página inicial for exibida, um applet Java do Cisco SDM assinado será exibido, devendo permanecer aberto enquanto o Cisco SDM estiver em execução. Por ser um applet Java do CiscoSDM assinado, talvez você seja solicitado a aceitar um certificado. O alerta desegurança do certificado é exibido no canto direito inferior da figura.

Nota: a sequência de etapas do login pode variar, dependendo da execução do CiscoSDM em um computador pessoal ou diretamente em um roteador Cisco ISR.Exibir meio visual 

4.4.4 A interface do Cisco SDM 

Página 1:

Visão geral da página inicial do Cisco SDM

Depois que o Cisco SDM for iniciado e você fizer login, a primeira página exibida seráa página de visão geral.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 160/350

Essa página exibe o modelo do roteador, a memória total, as versões da memória flash,do IOS e do SDM, além do hardware instalado e um resumo de alguns recursos desegurança, como o status do firewall e o número de conexões VPN ativas.

Mais especificamente, ele fornece informações básicas sobre o hardware do roteador, osoftware e a configuração:

• Barra de menus – a parte superior da tela tem uma barra de menus típica comFile, Edit, View, Tools e itens do menu Help.

• Tool – abaixo da barra de menus, estão os assistentes SDM e os modos que você pode escolher.

• Informações do roteador – o modo atual é exibido no lado esquerdo sob a barrade ferramentas.

Nota: a barra de menus, a barra de ferramenta e o modo atual são sempre exibidos na parte superior de cada tela. As outras áreas da tela são alteradas de acordo com o modoe a função que você está executando.

• Visão geral da configuração – resume os parâmetros da configuração. Paraexibir a configuração em execução, clique no botão View Running-Config.

Exibir meio visual 

Página 2:

Sobre a área do roteador

Quando clicar nos botões na figura, você poderá ver os detalhes associados a cada umdos seguintes elementos da GUI (interface gráfica do usuário):

About Your Router (Sobre o seu roteador) – a área da homepage do Cisco SDM quemostra informações básicas sobre o hardware e o software do roteador e inclui osseguintes elementos:

• Host Name (Nome do host) – esta área mostra o nome de host configurado parao roteador, que é RouterX

• Hardware – esta área mostra o número do modelo do roteador, a quantidadedisponível e o total de RAM e a quantidade da memória flash disponível.

• Software – esta área descreve as versões do software IOS Cisco e do Cisco SDMem execução no roteador.

• A barra Feature Availability, localizada na parte inferior da guia About Your 

Router, mostra os recursos disponíveis na imagem do IOS Cisco que o roteador está utilizando. Se o indicador ao lado de cada recurso estiver verde, ele estará

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 161/350

disponível. Se estiver vermelho, ele não estará disponível. As marca de seleçãomostram que o recurso está configurado no roteador. Na figura, o Cisco SDMmostra que IP, firewall, VPN, IP e NAC estão disponíveis, mas apenas o IP estáconfigurado.

Exibir meio visual 

Página 3:

Área de visão geral da configuração

A figura mostra a área de visão geral da configuração da homepage do Cisco SDM.Quando clicar nos botões na figura, você poderá ver os detalhes associados a cada umdos seguintes elementos da interface gráfica do usuário:

• Interfaces and Connections (Interfaces e conexões) – esta área exibeinformações relacionadas à interface e à conexão, inclusive o número deconexões ativadas e desativadas, o número total de interfaces de rede local eWAN presentes no roteador, e o número de interfaces de rede local e WANconfiguradas atualmente no roteador. Ela também exibe informações de DHCP.

• Firewall Policies (Políticas de firewall) – esta área exibe informaçõesrelacionadas a firewall, inclusive se um firewall estiver ativado, o número deinterfaces confiáveis (dentro), não confiáveis (fora) e DMZ. Ela também exibe onome da interface à qual um firewall foi aplicado, se a interface foi projetadacomo uma interface interna ou externa, e se a regra NAT foi aplicada a essa

interface.• VPN – esta área exibe informações relacionadas à VPN, inclusive o número de

conexões VPN ativas, o número de conexões VPN ponto a ponto configuradas eo número de clientes VPN ativos.

• Routing (Roteamento) – esta área exibe o número de rotas estáticas e quais protocolos de roteamento estão configurados.

Exibir meio visual 

4.4.5 Assistentes do Cisco SDM 

Página 1:

O Cisco SDM fornece vários assistentes para ajudar a configurar um roteador CiscoISR. Quando uma tarefa é escolhida na área de tarefas na interface gráfica do usuário doCisco SDM, o painel de tarefas permite escolher um assistente. A figura mostra váriastelas da interface gráfica do usuário do Cisco SDM para o assistente NAT básico. O

 NAT será discutido posteriormente no curso Serviços de endereçamento IP.

Consulte http://www.cisco.com/go/sdm para obter as informações mais recentes sobre

os assistentes do Cisco SDM e as interfaces de suporte.Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 162/350

4.4.6 Bloqueando um roteador com o Cisco SDM 

Página 1:

O assistente de bloqueio em uma etapa do Cisco SDM implementa praticamente todasas configurações de segurança oferecidas pelo Cisco AutoSecure. O assistente de

 bloqueio em uma etapa é acessado pela interface gráfica do usuário Configure,clicando-se na tarefa Security Audit. O assistente de bloqueio em uma etapa testa aconfiguração do seu roteador para problemas de segurança potenciais e fazautomaticamente todas as alterações na configuração necessárias para corrigir todos os

 problemas encontrados.

 Não considere que a rede esteja segura só porque você executou um bloqueio em umaetapa. Além disso, nem todos os recursos do Cisco AutoSecure são implementados no

Cisco SDM. Entre os recursos do AutoSecure são implementados de maneira diferenteno Cisco SDM estão os seguintes:

• Desabilita o SNMP e não configura o SNMP versão 3.

• Habilita e configura SSH em imagens do IOS Cisco criptografadas

•  Não habilite o Service Control Point ou desabilite outro acesso e serviços detransferência de arquivos como FTP.

Clique nos botões na figura para explorar as etapas do assistente de bloqueio em uma

etapa Cisco.Exibir meio visual 

4.5 Gerenciamento seguro do roteador4.5.1 Mantendo imagens do software IOS Cisco

Página 1:

Periodicamente, o roteador exige que as atualizações sejam carregadas no sistema

operacional ou no arquivo de configuração. Essas atualizações são necessárias paracorrigir vulnerabilidades de segurança conhecidas, dar suporte a novos recursos que permitem políticas de segurança mais avançadas ou melhorar o desempenho.

Nota: Nem sempre é uma ideia boa atualizar para a versão mais recente do softwareIOS Cisco. Muitas vezes esse release não é estável.

Há determinadas diretrizes que você deve seguir ao alterar o software IOS Cisco em umroteador. As alterações são classificadas como atualizações. Uma atualização substituium release por outro sem atualizar o conjunto de recursos. O software pode ser 

atualizado para corrigir um bug ou substituir um release para o qual não haja maissuporte. As atualizações são gratuitas.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 163/350

Uma atualização substitui um release por outro que tenha um conjunto de recursosmelhorado. O software pode ser melhorado para adicionar novos recursos outecnologias, ou substituir um release para o qual não haja mais suporte. As atualizaçõesnão são gratuitas. Cisco.com oferece diretrizes para ajudar a determinar que método se

aplica.

A Cisco recomenda seguir um processo de migração de quatro fases para simplificar asoperações e o gerenciamento da rede. Ao seguir um processo que pode ser repetido,você também pode aproveitar os custos reduzidos em operações, gerenciamento etreinamento. As quatro fases são:

• Planejar – definir metas, identificar recursos, hardware e software da rede de perfil e criar uma programação preliminar a fim de migrar para novos releases.

•

Projetar – escolha novos releases do IOS Cisco e criar uma estratégia a fim demigrar para eles.

• Implementar – programe e execute a migração.

• Operar – monitore o progresso da migração e faça cópias de backup dasimagens em execução na sua rede.

Há várias ferramentas disponíveis em Cisco.com para ajudar na migração do softwareIOS Cisco. Você pode utilizar as ferramentas para obter informações sobre releases,conjuntos de recursos, plataformas e imagens. As seguintes ferramentas não exigem umlogin em Cisco.com:

• Cisco IOS Reference Guide – abrange os fundamentos da família de softwareIOS Cisco

• Documentos técnicos do software IOS Cisco – documentação de cada releasedo software IOS Cisco

• Cisco Feature Navigator – localiza versões que dão suporte a um conjunto derecursos de software e hardware e compara releases

As seguintes ferramentas exigem contas de login válidas no Cisco.com:

• Download do software – downloads do software IOS Cisco

• Conjunto de ferramentas para bug – procura correções de softwareconhecidas com base na versão do software, no conjunto de recursos e palavras-chave

• Software Advisor – compara releases, os recursos do software IOS Cisco e doOS Cisco Catalyst em busca de releases, além de descobrir qual release dosoftware dá suporte a um determinado dispositivo de hardware

• IOS Cisco Upgrade Planner – localiza releases por hardware, release e

conjunto de recursos, além de fazer o download de imagens do software IOSCisco

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 164/350

Para obter uma listagem completa das ferramentas disponíveis em Cisco.com, vá parahttp://www.cisco.com/en/US/support/tsd_most_requested_tools.html.

Exibir meio visual 

4.5.2 Gerenciando imagens do IOS Cisco

Página 1:

Sistemas de arquivos e dispositivos IOS Cisco

A disponibilidade da rede talvez esteja em risco caso uma configuração do roteador oudo sistema operacional esteja comprometida. Os atacantes que obtêm acesso adispositivos de infraestrutura podem alterar ou excluir arquivos de configuração. Elestambém podem carregar imagens do IOS incompatíveis ou excluir a imagem atual. Asalterações são solicitadas automaticamente ou sempre que o dispositivo for reinicializado.

Para atenuar esses problemas, você precisa ser capaz de salvar, fazer backup e restaurar a configuração e as imagens do IOS. Para isso, você aprende a realizar algumasoperações de gerenciamento de arquivo no software IOS Cisco.

Os dispositivos do IOS Cisco fornecem um recurso chamado IOS Cisco Integrated File

System (IFS). Esse sistema permite criar, navegar e manipular diretórios em umdispositivo Cisco. Os diretórios disponíveis dependem da plataforma.

Por exemplo, a figura exibe a saída do comando show file systems que lista todos ossistemas de arquivos disponíveis em um roteador Cisco 1841. Esse comando forneceinformações detalhadas, como a memória disponível e livre, o tipo do sistema dearquivos e suas permissões. Entre as permissões estão somente leitura (ro), somentegravação (wo) e leitura e gravação (rw).

Embora haja vários sistemas de arquivos listados, os que nos interessam serão os

sistemas de arquivos tftp, memória flash e nvram. O restante dos sistemas de arquivoslistados está além do escopo deste curso.

Entre os sistemas de arquivos de rede estão FTP, trivial FTP (TFTP) ou Protocolo decópia remota (RCP, Remote Copy Protocol). Este curso aborda o TFTP.

Observe que o sistema de arquivos da memória flash também tem uns asteriscos que o precedem, o que indica que se trata do sistema de arquivos padrão atual. Lembre-se deque, como o IOS inicializável está localizado na memória flash, o símbolo de sustenido(#) adicionado à listagem da memória flash indica se tratar de um disco inicializável.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 165/350

Clique no botão Memória flash na figura.

Esta figura lista o conteúdo do sistema de arquivos padrão atual, que, neste caso, é amemória flash, conforme indicação pelos asteriscos que precedem a listagem na figuraanterior. Há vários arquivos localizados na memória flash, mas é a última listagem queinteressa especificamente. Trata-se do nome da imagem do arquivo do IOS atual emexecução na memória RAM.

Clique no botão NVRAM na figura.

Para exibir o conteúdo da NVRAM, você deve alterar o sistema de arquivos padrãoatual utilizando o comando de alteração de diretório cd. O comando do diretório detrabalho atual pwd verifica se estamos no diretório da NVRAM. Por fim, o comandodir lista o conteúdo da NVRAM. Embora haja vários arquivos de configuração listados,

o que nos interessa especificamente é o arquivo de configuração de inicialização.Exibir meio visual 

Página 2:

Prefixos de URL para dispositivos Cisco

Quando um administrador de rede quiser transferir arquivos em um computador, osistema operacional oferecerá uma estrutura de arquivos visível para especificar origens

e destinos. Os administradores não têm sugestões visuais ao trabalhar na CLI de umroteador. O comando show file systems no tópico anterior exibiu os vários sistemas dearquivos disponíveis na plataforma Cisco 1841.

Os locais dos arquivos são especificados no Cisco IFS utilizando a convenção de URL.As URLs utilizadas pelas plataformas IOS Cisco são semelhantes ao formato que vocêconhece da Web.

Por exemplo, TFTP na figura é: tftp://192.168.20.254/configs/backup-config.

• A expressão "tftp:" é chamada de prefixo.

• Tudo o que estiver depois das duas barras (//) define o local.

• 192.168.20.254 é o local do servidor TFTP.

• "configs" é o diretório mestre.

• "backup-config" é o nome de um arquivo.

O prefixo da URL especifica o sistema de arquivos. Passe o mouse sobre os vários botões na figura para exibir os prefixos mais comuns e a sintaxe associada a cada umdeles.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 166/350

Página 3:

Comandos para gerenciar arquivos de configuração

A boa prática para manter a disponibilidade do sistema é assegurar que você sempretenha cópias de backup dos arquivos de configuração de inicialização e dos arquivos deimagem do IOS. O comando copy do IOS Cisco é utilizado para mover arquivos deconfiguração de um componente ou dispositivo para outro, como RAM, NVRAM ouum servidor TFTP. A figura realça a sintaxe do comando.

A seguir, exemplos da utilização comum do comando copy. Os exemplos listam doismétodos para realizar as mesmas tarefas. O primeiro exemplo é uma sintaxe simples e osegundo exemplo fornece um exemplo mais explícito.

Copie a configuração em execução da RAM para a configuração de inicialização na NVRAM:

R2# copy running-config startup-config

R2# copy system:running-config nvram:startup-config

Copie a configuração em execução da RAM para um local remoto:

R2# copy running-config tftp:

R2# copy system:running-config tftp:

Copie uma configuração de uma origem remota para a configuração em execução:

R2# copy tftp: running-config

R2# copy tftp: system:running-config

Copie uma configuração de uma origem remota para a configuração de inicialização:

R2# copy tftp: startup-config

R2# copy tftp: nvram:startup-config

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 167/350

Página 4:

Convenções de nomenclatura do arquivo do IOS Cisco

O arquivo de imagem do IOS Cisco se baseia em uma convenção de nomenclaturaespecial. O nome do arquivo de imagem do IOS Cisco contém várias partes, cada umacom um significado específico. É importante que você compreenda essa convenção denomenclatura ao atualizar e escolher um IOS.

Por exemplo, o nome de arquivo na figura é explicado da seguinte forma:

A primeira parte, c1841, identifica a plataforma na qual a imagem é executada. Nesseexemplo, a plataforma é Cisco 1841.

A segunda parte, ipbase, especifica o conjunto de recursos. Nesse caso, "ipbase" serefere à imagem de rede IP básica. Entre outras possibilidades do conjunto de recursosestão:

i – designa o conjunto de recursos IP

 j – designa o conjunto de recursos enterprise (todos os protocolos)

s – designa um conjunto de recursos PLUS (enfileiramento extra, manipulação outraduções)

56i – designa a criptografia DES IPsec de 56 bits

3 – designa o firewall/IDS

k2 – designa a criptografia IPsec 3DES (168 bits)

A terceira parte, mz, indica onde a imagem é executada e se o arquivo está compactado. Nesse exemplo, "mz" indica que o arquivo é executado na RAM e está compactado.

A quarta parte, 12.3-14.T7, é o número de versão.

A parte final, bin, é a extensão do arquivo. A extensão .bin indica que esse é umarquivo executável binário.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 168/350

4.5.3 Imagens do IOS Cisco gerenciadas pelo TFTP 

Página 1:

Utilizando servidores TFTP para gerenciar imagens do IOS Cisco

As redes interconectadas de produção normalmente abrangem grandes áreas e contêmvários roteadores. É uma tarefa importante de um administrador sempre atualizar asimagens do IOS Cisco sempre que explorações e vulnerabilidades forem detectadas.Também é uma boa prática assegurar que todas as suas plataformas estejam executandoa mesma versão de software IOS Cisco sempre que possível. Por fim, para qualquer rede, é sempre prudente reter uma cópia de backup da imagem do software IOS Ciscocaso a imagem do sistema no roteador seja corrompida ou apagada acidentalmente.

Roteadores muito espalhados precisam de uma origem ou local de backup para imagensdo software IOS Cisco. A utilização de um servidor TFTP de rede permite uploads edownloads de imagem e configuração pela rede. O servidor TFTP de rede pode ser outro roteador, uma estação de trabalho ou um sistema de host.

 Na medida em que uma rede cresce, o armazenamento das imagens do software IOSCisco e dos arquivos de configuração no servidor TFTP central permite controlar onúmero e o nível de revisão das imagens do IOS Cisco, além dos arquivos deconfiguração que devem ser mantidos.

Antes de alterar uma imagem do IOS Cisco no roteador, você precisa concluir estastarefas:

• Determinar a memória obrigatória para a atualização e, se necessário, instalar amemória adicional.

• Configurar e testar o recurso de transferência de arquivos entre o host doadministrador e o roteador.

• Programar a indisponibilidade obrigatória, normalmente fora do horáriocomercial, para o roteador executar a atualização.

Quando você estiver pronto para fazer a atualização, execute estas etapas:

• Desativar todas as interfaces no roteador em que não precisa haver a atualização.

• Fazer backup do sistema operacional atual e do arquivo de configuração atual para um servidor TFTP.

• Carregar a atualização no sistema operacional ou no arquivo de configuração.

• Testar para confirmar se a atualização funciona corretamente. Se os testestiverem êxito, você poderá reabilitar as interfaces que desabilitou. Se os testesnão tiverem êxito, faça o backup da atualização, determine o que saiu errado erecomece.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 169/350

Um grande desafio para operadores de rede de rede será minimizar a indisponibilidadedepois que um roteador for comprometido e o sistema operacional e os dados deconfiguração tiverem sido apagados do backup. O operador deve recuperar uma cópiaarquivada (se houver) da configuração e deve restaurar uma imagem funcional no

roteador. A recuperação deve ser executada para todos os roteadores afetados, queadiciona indisponibilidade total à rede.

Lembre-se de que o recurso de configuração flexível do software IOS Cisco permite umroteador proteger e manter uma cópia funcional da imagem do sistema operacional emexecução e a configuração para que esses arquivos consigam suportar tentativasmaliciosas de apagar o conteúdo do backup (NVRAM e memória flash).

Exibir meio visual 

4.5.4 Fazendo backup e atualizando a imagem do software

Página 1:

Fazendo backup da imagem do software IOS

Entre as tarefas básicas de gerenciamento estão gravar backups dos seus arquivos deconfiguração, bem como fazer download e instalar arquivos de configuraçãomelhorados quando houver orientação para isso. Um arquivo de imagem de backup dosoftware é criado copiando-se o arquivo de imagem de um roteador para um servidor 

TFTP na rede.

Para copiar um software de imagem do IOS Cisco da memória flash para o servidor TFTP em rede, você deve seguir estas etapas sugeridas.

Clique nos botões Topologia e Config na figura na medida em que avança cadaetapa.

Etapa 1. Executar ping no servidor TFTP para ter certeza de que você possui acesso a

ele.

Etapa 2. Verificar se o servidor TFTP tem espaço em disco suficiente para acomodar aimagem do software IOS Cisco. Utilize o comando show flash: no roteador paradeterminar o tamanho do arquivo de imagem do IOS Cisco.

O comando show flash: é uma ferramenta importante para coletar informações sobre amemória do roteador e o arquivo de imagem. Ele pode determinar o seguinte:

• Quantidade total de memória flash no roteador • Memória flash disponível

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 170/350

•  Nome de todos os arquivos armazenados na memória flash

Com as etapas 1 e 2 concluídas, agora faça o backup da imagem do software.

Etapa 3. Copiar o arquivo de imagem do sistema atual do roteador para o servidor TFTP na rede, utilizando o comando copy flash: tftp: no modo EXEC privilegiado. Ocomando exige que você digite o endereço IP do host remoto e o nome dos arquivos deimagem de origem e de destino.

Durante o processo de cópia, pontos de exclamação (!) indicam o progresso. Cada pontode exclamação significa que um segmento UDP foi transferido com êxito.

Exibir meio visual 

Página 2:

Atualizando imagens do software IOS Cisco

A atualização de um sistema para versão de software mais nova exige o carregamentode um arquivo de imagem do sistema diferente no roteador. Utilize o comando copytftp: flash: para fazer o download da nova imagem a partir do servidor TFTP na rede.

Clique no botão Config na figura.

O comando solicita a você digitar o endereço IP do host remoto e o nome dos arquivosde imagem de origem e de destino. Digite o nome do arquivo apropriado da imagem deatualização da mesma forma como ele é exibido no servidor.

Depois que essas entradas forem confirmadas, o prompt Erase flash: será exibido.Apagar a memória flash libera espaço para a nova imagem. Apague a memória flash senão houver espaço suficiente para mais de uma imagem do IOS Cisco. Se nenhumamemória flash livre estiver disponível, a rotina de exclusão será obrigatória antes dacópia de novos arquivos. O sistema informa essas condições e solicita uma resposta.

Cada ponto de exclamação (!) significa que um segmento UDP foi transferido comêxito.

Nota: verifique se a imagem do IOS Cisco carregada é apropriada à plataforma doroteador. Se a imagem do IOS Cisco errada estiver carregada, o roteador não poderá ser inicializado, o que exige a intervenção do monitor ROM (ROMmon).

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 171/350

Página 3:

 Nesta atividade, você irá configurar o acesso a um servidor TFTP e carregar umaimagem mais nova e mais avançada do IOS Cisco. Embora o Packet Tracer simule a

atualização da imagem do IOS Cisco em um roteador, o Packet Tracer não simula o backup de uma imagem do IOS Cisco no servidor TFTP. Além disso, embora a imagemde atualização seja mais avançada, essa simulação do Packet Tracer não refletirá aatualização, habilitando comandos mais avançados. O mesmo conjunto de comandos doPacket Tracer ainda estará em vigor.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

4.5.5 Recuperando imagens de software

Página 1:

Restaurando imagens do software IOS Cisco

Um roteador não pode funcionar sem seu software IOS Cisco. Caso o IOS seja excluídoou corrompido, um administrador deve copiar uma imagem para o roteador para que elevolte a ficar operacional

Um método para realizar isso seria utilizar a imagem do IOS Cisco salva anteriormenteno servidor TFTP. No exemplo da figura, foi feito o backup da imagem do IOS de R1em um servidor TFTP conectado a R2. R1 não pode chegar a esse servidor TFTP emseu estado atual.

Quando um IOS em um roteador for excluído acidentalmente da memória flash, oroteador continuará operacional porque o IOS está em execução na RAM. No entanto, éessencial que o roteador não seja reinicializado neste momento porque ele não seriacapaz de localizar um IOS válido na memória flash.

 Na figura, o IOS do roteador R1 foi excluído acidentalmente da memória flash.Infelizmente, o roteador foi reinicializado e não consegue mais carregar um IOS. Agoraele carrega o prompt do ROMmon por padrão. Enquanto estiver nesse estado, o roteador R1 precisa recuperar o IOS, que foi copiado para o servidor TFTP conectado ao R2.

 Nesse cenário, o TFTP será conectado diretamente ao roteador R1. Com as preparaçõesno servidor TFTP, realize o procedimento a seguir.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 172/350

Etapa 1. Conecte os dispositivos.

• Conecte o PC do administrador de sistema à porta de console do roteador 

afetado.• Conecte o servidor TFTP à primeira porta Ethernet do roteador. Na figura, como

R1 é um Cisco 1841, a porta é Fa0/0. Habilite o servidor TFTP e configure-ocom um endereço IP estático 192.168.1.1/24.

Etapa 2. Inicializar o roteador e definir as variáveis do ROMmon.

Como o roteador não tem uma imagem válida do IOS Cisco, o roteador inicializaautomaticamente no modo ROMmon. Há pouquíssimos comandos disponíveis no modoROMmon. Você pode exibir esses comandos, digitando-se ? no prompt de comandorommon>.

Você deve inserir todas as variáveis listadas na figura. Quando você inserir as variáveisno ROMmon, esteja atento ao seguinte:

• Os nomes de variável diferenciam maiúsculas de minúsculas.

•  Não inclua nenhum espaço antes ou depois do símbolo =.

• Sempre que possível, utilize um editor de texto para recortar e colar as variáveis

na janela do terminal. Toda a linha deve ser digitada com precisão.• As teclas de navegação não são operacionais.

Agora o Roteador R1 deve ser configurado com os valores apropriados para se conectar ao servidor TFTP. A sintaxe dos comandos do ROMmon é muito crucial. Embora osendereços IP, a máscara de sub-rede e o nome da imagem na figura sejam apenasexemplos, é essencial que a sintaxe exibida seja seguida durante a configuração doroteador. Lembre-se de que as variáveis reais irão mudar de acordo com a suaconfiguração.

Quando você tiver inserido as variáveis, passe à próxima etapa.

Etapa 3. Digitar o comando tftpdnld no prompt do modo ROMmon.

O comando exibe as variáveis de ambiente obrigatórias e adverte que todos os dadosexistentes na memória flash serão apagados. Digite y para continuar e pressione Enter.O roteador tenta se conectar ao servidor TFTP para iniciar o download. Quandoconectado, o download começa conforme a indicação pelos pontos de exclamação (!).Cada ! indica que um segmento UDP foi recebido pelo roteador.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 173/350

Você pode utilizar o comando reset para reiniciar o roteador com a nova imagem doIOS Cisco.

Exibir meio visual 

Página 2:

Utilizando xmodem para restaurar uma imagem do IOS Cisco

A utilização do comando tftpdnld é uma forma muito rápida de copiar o arquivo deimagem. Outro método para restaurar uma imagem do IOS Cisco para um roteador éutilizando Xmodem. No entanto, a transferência de arquivos é realizada utilizando-se ocabo de console e, por isso, é muito lenta quando comparada com o comando tftpdnld.

Se a imagem do IOS Cisco for perdida, o roteador entrará no modo ROMmon durante ainicialização. O ROMmon dá suporte a Xmodem. Com esse recurso, o roteador pode secomunicar com um aplicativo de emulação de terminal, como HyperTerminal, no PC deum administrador de sistema. Um administrador de sistema que tenha uma cópia daimagem do IOS Cisco em um PC pode restaurá-la no roteador, estabelecendo umaconexão de console entre o PC e o roteador e executando o Xmodem noHyperTerminal.

As etapas que o administrador segue são mostradas na figura.

Etapa 1. Conectar o PC do administrador de sistema à porta console no roteador afetado. Abra uma sessão de emulação de terminal entre o roteador R1 e o PC doadministrador de sistema.

Etapa 2. Inicializar o roteador e emitir o comando xmodem no prompt de comando domodo ROMmon.

A sintaxe do comando é xmodem [-cyr] [ filename]. A opção cyr varia de acordo com aconfiguração. Por exemplo, -c especifica CRC-16, y especifica o protocolo Ymodem e rcopia a imagem para a RAM. O nome de arquivo é o do arquivo a ser transferido.

Aceite todos os prompts quando solicitado, conforme mostrado na figura.

Etapa 3. A figura mostra o processo de envio de um arquivo utilizando HyperTerminal. Neste caso, escolha Transfer > Send File.

Etapa 4. Navegue até o local da imagem do IOS Cisco que você deseja transferir eescolha o protocolo Xmodem. Clique em Send. Uma caixa de diálogo é exibida com ostatus do download. Demora vários segundos para que o host e o roteador comecem atransferência das informações.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 174/350

Assim que o download começa, os campos Pacote e Decorrido são incrementados.Anote o indicador de tempo restante estimado. O tempo de download poderia ser muitomaior se você alterasse a velocidade da conexão do HyperTerminal e do roteador de9.600 b/s para 115.000 b/s.

Quando a transferência for concluída, o roteador será reiniciado automaticamente com onovo IOS Cisco.

Exibir meio visual 

4.5.6 Identificação e solução de problemas de configurações do IOS Cisco

Página 1:

Comandos de identificação e solução de problemas do IOS Cisco

Quando você tiver uma imagem do IOS Cisco válida em execução em todos osroteadores na rede e todas as configurações tiverem backup, você poderá ajustar asconfigurações manualmente para dispositivos individuais a fim de melhorar odesempenho na rede.

Dois comandos muito utilizados na administração de rede diária são show e debug. Adiferença entre os dois é significativa. Um comando show lista os parâmetros

configurados e seus valores. O comando debug permite rastrear a execução de um processo. Utilize o comando show para verificar as configurações. Utilize o comandodebug para identificar o tráfego que passa pelas interfaces e processado pelo roteador.

A figura resume as características dos comandos show e debug. O melhor momento para obter informações sobre a saída gerada por esses comandos será quando uma redeestiver totalmente operacional. Dessa forma, você conseguirá reconhecer o que estáfaltando ou está incorreto ao utilizar os comandos para identificar e solucionar 

 problemas de uma rede.

Exibir meio visual 

Página 2:

Utilizando o comando show

O comando show exibe informações estáticas. Utilize os comandos show ao coletar fatos para isolar problemas em redes interconectadas, inclusive problemas cominterfaces, nós, mídias, servidores, clientes ou aplicativos. Você também pode usá-losempre para confirmar se as alterações feitas na configuração foram implementadas.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 175/350

A figura fornece um exemplo do comando show protocols. O guia de comandos do IOSCisco lista 1.463 comandos show. Quando você estiver no prompt de comando, digiteshow ? para obter uma lista de comandos show disponíveis para o nível e o modo deoperação.

Exibir meio visual 

Página 3:

Utilizando o comando debug

Ao configurar um roteador, os comandos que você digita iniciam muito mais processosdo que os que você vê na linha de código simples. Por isso, o rastreamento das suasconfigurações digitadas linha por linha não revela todas as possibilidades de erro. Emvez disso, você precisa de uma forma de capturar dados dos dispositivos à medida que

cada etapa em um processo em execução é iniciado.

Por padrão, o roteador envia a saída dos comandos debug e as mensagens de erro dosistema para a console. Lembre-se de que você pode redirecionar a saída do comandodebug para um servidor syslog.

Nota: a saída do comando de depuração recebe prioridade alta na fila de processos daCPU e, por isso, pode interferir em processos de produção normais em uma rede. Por isso, utilize comandos debug durante momentos de inatividade e somente paraidentificar e solucionar problemas específicos.

O comando debug exibe dados e eventos dinâmicos. Utilize o debug para verificar ofluxo do tráfego de protocolo em busca de problemas, bugs em protocolo ouconfigurações incorretas. O comando debug fornece um fluxo de informações sobre otráfego visto (ou não) em uma interface, mensagens de erro geradas por nós na rede,

 pacotes de diagnóstico específicos de protocolo e outros dados de identificação esolução de problemas. Utilize comandos debug quando as operações no roteador ou narede precisarem ser exibidas para determinar se eventos ou pacotes estão funcionandocorretamente.

Todos os comandos debug são digitados no modo EXEC privilegiado, e a maioria doscomandos debug não tem nenhum argumento. Para listar e ver uma descrição resumidade todas as opções de comando de depuração, digite debug ? no modo EXEC

 privilegiado.

Cuidado: é importante desativar a depuração quando você terminar a identificação esolução de problemas. A melhor forma de assegurar que não haja nenhuma operação dedepuração prolongada é utilizando o comando no debug all.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 176/350

Página 4:

Considerações durante a utilização do comando debug

Um caso é utilizar comandos debug para identificar e solucionar problemas em umarede de laboratório sem o tráfego do aplicativo de usuário final. Outro caso é utilizar oscomandos debug em uma rede de produção da qual usuários dependem para o fluxo dedados. Sem as precauções apropriadas, o impacto de um comando debug poderia piorar as coisas.

Com a utilização apropriada, seletiva e temporária dos comandos debug, você podeobter informações possivelmente úteis sem precisar de um analisador de protocolo ou deoutra ferramenta de terceiros.

Outras considerações para a utilização dos comandos debug são as seguintes:

• Quando as informações necessárias do comando debug são interpretadas e adepuração (e qualquer outra configuração relacionada, se houver) for concluída,o roteador poderá retomar sua comutação mais rápidamente. A solução de

 problemas pode ser reiniciada, um melhor plano de ação pode ser criado e o problema da rede, resolvido.

• Saiba que os comandos debug podem gerar muito mais dados do que a poucautilização para um determinado problema. Normalmente, o conhecimento do

 protocolo ou dos protocolos em depuração é obrigatório para a interpretaçãoapropriada das saídas do comando debug.

• Ao utilizar ferramentas de identificação e solução de problemas debug, lembre-se de que os formatos da saída do comando variam de acordo com cada

 protocolo. Alguns geram uma única linha de saída do comando por pacote,outros geram várias linhas de saída do comando por pacote. Alguns comandosdebug geram grandes quantidades de saída de comando; outros só geram saídade comando ocasional. Alguns geram linhas de texto e outros geraminformações no formato de campo.

Exibir meio visual 

Página 5:

Comandos relacionados ao comando debug

Para utilizar as ferramentas de depuração efetivamente, você deve considerar o seguinte:

• Impacto que uma ferramenta de identificação e solução de problemas tem nodesempenho do roteador 

• Utilização mais seletiva e concentrada da ferramenta de diagnóstico

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 177/350

• Como minimizar o impacto da identificação e solução de problemas em outros processos que competem pelos recursos no dispositivo de rede

• Como parar a ferramenta de identificação e solução de problemas quando odiagnóstico for concluído para que o roteador possa retomar sua comutação maiseficiente

Para otimizar a utilização eficiente do comando debug, estes comandos podem ajudar:

• O comando service timestamps é utilizado para adicionar um registro de data ehora a uma mensagem de depuração ou log. Esse recurso pode fornecer informações importantes sobre quando houve elementos de depuração e o tempoentre os eventos.

• O comando show processes exibe a utilização da CPU para cada processo.Esses dados podem influenciar decisões sobre a utilização de um comando

debug se indicarem que o sistema de produção já está sendo muito utilizado naadição de um comando debug.

• O comando no debug all desabilita todos os comandos debug. Esse comando pode liberar recursos do sistema depois que você conclui a depuração.

• O comando terminal monitor exibe a saída do comando debug e as mensagensde erro do sistema do terminal e da sessão atuais. Ao executar Telnet em umdispositivo e emitir um comando debug, você não verá nenhuma saída docomando, a menos que esse comando seja digitado.

Exibir meio visual 

4.5.7 Recuperando uma senha de roteador 

Página 1:

Sobre a recuperação de senha

Você já se esqueceu da senha de um roteador? Talvez não, mas algum dia na suacarreira, você certamente conhecerá alguém que se esquecerá e precisará recuperá-la.

A primeira coisa que precisa saber sobre a recuperação de senha é que, por razões desegurança, você deve ter acesso físico ao roteador. Você conecta o seu PC ao roteador 

 por meio de um cabo de console.

As senhas enable password e enable secret password protegem o acesso aos modosEXEC privilegiado e de configuração. A enable password pode ser recuperada, mas aenable secret é criptografada, devendo ser substituída por uma nova senha.

O registro de configuração é um conceito sobre qual você obterá mais informações

 posteriormente nos seus estudos. O registro de configuração é semelhante àsconfiguração da BIOS do seu PC, que controlam o processo de inicialização. Entre

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 178/350

outras coisas, a BIOS informa ao PC que disco rígido inicializar. Em um roteador, umregistro de configuração, representado por um único valor hexadecimal, informa aoroteador que etapas específicas executar quando ligá-lo. Os registros de configuraçãotêm muitas utilizações e a recuperação de senha costuma ser a mais utilizada.

Exibir meio visual 

Página 2:

Procedimento de recuperação de senha do roteador

Para recuperar a senha de um roteador, faça o seguinte:

Preparar o dispositivo

Etapa 1. Conectar-se à porta de console.

Etapa 2. Mesmo perdida a enable password, ainda assim você teria acesso ao modoEXEC usuário. Digite show version no prompt e grave a definição do registro deconfiguração.

R>#show version<saída do comando show omitida>

Configuration register is 0x2102R1>

O registro de configuração normalmente é definido como 0x2102 ou 0x102. Se não puder mais acessar o roteador (porque um login ou uma senha TACACS foi perdido),você poderá supor tranquilamente que o registro de configuração esteja definido como0x2102.

Etapa 3. Utilizar a chave liga/desliga para desligar o roteador e ligá-lo novamente.

Etapa 4. Emita um sinal de break no terminal em 60 segundos após ligar o roteador noROMmon. Um sinal de break é enviado utilizando uma sequência de chaves deinterrupção apropriada ao programa terminal e ao sistema operacional.

Clique no botão Ignorar inicialização na figura.

Etapa 5. Digitar confreg 0x2142 no prompt rommon 1>. Isso faz o roteador ignorar aconfiguração de inicialização na qual a enable password esquecida é armazenada.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 179/350

Etapa 6. Digitar reset no prompt rommon 2>. O roteador é reinicializado, mas ignora aconfiguração salva.

Etapa 7. Digitar no depois de cada pergunta de configuração ou pressionar Ctrl-C paraignorar o procedimento de configuração inicial.

Etapa 8. Digitar enable no prompt Router>. Isso leva você ao modo enable, devendoser capaz de ver o prompt Router#.

Clique no botão Acessar NVRAM na figura.

Etapa 9. Digitar copy startup-config running-config para copiar o conteúdo da NVRAM para a memória RAM. Tome cuidado! Não digite copy running-configstartup-config, ou você apagará a sua configuração de inicialização.

Etapa 10. Digitar show running-config. Nessa configuração, o comando shutdown éexibido em todas as interfaces porque todas elas estão desativadas no momento. Mas omais importante é que agora você pode ver as senhas (enable password, enable secret,vty, console) nos formatos criptografado ou não-criptografado. Você pode reutilizar senhas não-criptografadas. Você deve alterar senhas criptografadas para uma novasenha.

Clique no botão Redefinir senhas na figura.

Etapa 11. Digitar configure terminal. O prompt R1(config)# é exibido.

Etapa 12. Digitar enable secret password para alterar a senha enable secret. Por exemplo:

R1(config)# enable secret cisco

Etapa 13. Emitir o comando no shutdown em todas as interfaces desejadas. Você podeemitir um comando show ip interface brief para confirmar se a configuração da suainterface está correta. Todas as interfaces que você deseja usar devem ser exibidas comoativadas.

Etapa 14. Digitar config-register configuration_register_setting .configuration_register_setting é o valor registrado na Etapa 2 ou 0x2102. Por exemplo:

R1(config)#config-register 0x2102

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 180/350

Etapa 15. Pressionar Ctrl-Z ou digitar end para sair do modo de configuração. O prompt R1# é exibido.

Etapa 16. Digitar copy running-config startup-config para confirmar as alterações.

Agora você concluiu a recuperação de senha. A digitação do comando show version iráconfirmar que o roteador utilizará a definição do registro de configuração configuradona próxima reinicialização.

Exibir meio visual 

4.6 Laboratórios do capítulo4.6.1 Configuração básica de segurança

Página 1:

 Neste laboratório, você irá aprender a configurar a segurança básica de rede usando arede mostrada no diagrama de topologia. Você saberá como configurar a segurança doroteador de três maneiras diferentes: utilizando a CLI, o recurso auto-secure e o CiscoSDM. Você também aprenderá a gerenciar o software IOS Cisco.

Exibir meio visual 

4.6.2 Configuração avançada de segurança

Página 1:

 Neste laboratório, você irá configurar a segurança usando a rede mostrada no diagramade topologia. Se você precisar de assistência, consulte o laboratório básico desegurança. No entanto, tente fazer o máximo possível. Para este laboratório, não use a

 proteção por senha ou login em nenhuma linha de console porque isso pode causar ologout acidental. No entanto, você ainda deve proteger a linha de console usando outrosmeios. Utilize ciscoccna em todas as senhas deste laboratório.

Exibir meio visual 

4.6.3 Identificação e solução de problemas de configuração de segurança

Página 1:

Sua empresa contratou recentemente um novo engenheiro de rede que criou alguns problemas de segurança na rede com configurações incorretas e omissões. Seu chefe lhe pediu para corrigir os erros que o novo engenheiro cometeu ao configurar os roteadores.Enquanto corrige os problemas, verifique se todos os dispositivos estão seguros, masainda acessíveis para administradores, e que todas as redes são alcançáveis. Todos osroteadores devem ser acessíveis com SDM do PC1. Verificar se um dispositivo é seguro

usando ferramentas como Telnet e ping. O uso não autorizado dessas ferramentas deveser bloqueado. Por outro lado, o uso autorizado deve ser permitido. Para este

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 181/350

laboratório, não use a proteção por login ou senha em nenhuma linha de console paraimpedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário.

Exibir meio visual 

4.7 Resumo do capítulo4.7.1 Resumo do capítulo

Página 1:

A importância da segurança de rede não pode ser subestimada. Este capítulo enfatizou aimportância de desenvolver uma política de segurança efetiva e de aceitar o que elaexige que você faça. Você conhece as ameaças à sua rede, tanto internas quantoexternas, e sabe as etapas básicas que você precisa executar para se proteger dessasameaças. Além disso, agora você compreende os requisitos para equilibrar segurança

em relação a acesso.

Os ataques de rede vêm de todas as direções e de muitas formas. Os ataques de senhasão fáceis de iniciar e fáceis de se conter. As táticas da engenharia social exigem que osusuários desenvolvam um determinado nível de desconfiança e cuidado. Quandoconsegue acesso à rede, um atacante podem literalmente abrir todos os trincos. Mas osatacantes nem sempre obtêm acesso para acabar com tudo. Os ataques de negação deserviço podem ser iniciados, sobrecarregando os recursos de rede ao ponto em que nãoconseguem mais funcionar. Worms, vírus e cavalos-de-Troia podem penetrar redes econtinuar se espalhando e infectando os dispositivos.

Uma das principais tarefas na proteção de uma rede é proteger os roteadores. Osroteadores são o gateway da rede, sendo os alvos óbvios. Conversas administrativas

 básicas incluindo segurança física, manutenção do IOS e backup dos arquivos deconfiguração já são um começo. O software IOS Cisco fornece vários recursos desegurança para proteger roteadores e bloquear acessosos por portas e serviços utilizados,e a maioria deles pode ser feito utilizando-se o recurso de bloqueio em uma etapa doCisco SDM.

Exibir meio visual 

Página 2:Exibir meio visual 

Página 3:

Esta atividade é uma revisão cumulativa do capítulo que abrange o roteamento e aautenticação de OSPF e a atualização da imagem do IOS Cisco.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 182/350

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

4.8 Teste do capítulo4.8.1 Teste do capítulo

Página 1:Exibir meio visual

5 ACLs5.0 Introdução5.0.1 Introdução

Página 1:

Segurança de rede é um assunto enorme, e grande parte dele está além do escopo destecurso. No entanto, uma das habilidades mais importantes das quais um administrador derede precisa é dominar as listas de controle de acesso (ACLs). Os administradoresutilizam as ACLs a fim de parar o tráfego ou permitir apenas o tráfego especificado

enquanto interrompe todo o restante do tráfego em suas redes. Este capítulo inclui umaoportunidade para desenvolver o seu domínio de ACLs com uma série de lições,atividades e exercícios de laboratório.

Os designers de rede utilizam firewalls para proteger redes do uso não autorizado. Osfirewalls são soluções em hardware ou software que aplicam políticas de segurança derede. Considere uma trava na porta de um quarto dentro de um edifício. A trava só

 permite que usuários autorizados com uma chave ou cartão de acesso abram a porta. Damesma forma, um firewall filtra pacotes não autorizados ou potencialmente perigosos

 para que não entrem na rede. Em um roteador Cisco, você pode configurar um firewallsimples que forneça recursos de filtragem de tráfego básicos utilizando ACLs.

Uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicama endereços ou protocolos de camada superior. As ACLs fornecem uma forma eficientede controlar o tráfego dentro e fora da sua rede. Você pode configurar as ACLs paratodos os protocolos de rede roteados.

A razão mais importante para configurar as ACLs é fornecer segurança para a sua rede.Este capítulo explica como utilizar ACLs padrão e estendidas como parte de umasolução em segurança e ensina como configurá-las em um roteador Cisco. Dicas,

considerações, recomendações e diretrizes gerais sobre como utilizar ACLs sãoincluídas.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 183/350

Exibir meio visual 

5.1 Utilizando as ACLs para proteger redes

5.1.1 Uma conversa TCP 

Página 1:

As ACLs permitem controlar o tráfego dentro e fora da sua rede. Esse controle pode ser tão simples quanto permitir ou negar hosts de rede ou endereços. No entanto, as ACLstambém podem ser configuradas para controlar o tráfego da rede com base na porta TCPutilizada. Para compreender como uma ACL funciona com o TCP, permita-nos observar o diálogo que ocorre durante uma conversa TCP quando você faz o download de uma

 página da Web no seu computador.

Quando você solicita dados de um servidor Web, o IP cuida da comunicação entre o PCe o servidor. O TCP cuida da comunicação entre o seu navegador (aplicativo) e osoftware do servidor de rede. Quando você envia um email, observa uma página da Webou faz o download de um arquivo, o TCP é responsável por dividir os dados em pacotesIP para que eles sejam enviados, além de montar os dados a partir dos pacotes quandoeles chegam. O processo TCP é muito semelhante a uma conversa na qual dois nós emuma rede concordam em transmitir dados entre um e o outro.

Lembre-se de que o TCP fornece um serviço de fluxo de bytes confiável, orientado àconexão. O termo orientado a conexão significa que os dois aplicativos que utilizam oTCP devem estabelecer uma conexão TCP para que eles possam trocar dados. TCP éum protocolo em full duplex, o que significa que cada conexão TCP dá suporte a um par de fluxos de bytes, cada um com fluxo em uma direção. O TCP inclui um mecanismode controle de fluxo para cada fluxo de bytes que permite ao receptor limitar quantosdados o remetente pode transmitir. O TCP também implementa um mecanismo decontrole de congestionamento.

Clique no botão Reproduzir na figura para exibir a animação.

A animação mostra como ocorre uma conversa TCP/IP. Os pacotes TCP são marcados

com flags que denotam sua finalidade: SYN inicia (sincroniza) a sessão; ACK é umaconfirmação (ACK) de que o pacote aguardado foi recebido e FIN encerra a sessão.SYN/ACK confirma que a transferência foi sincronizada. Entre os segmentos de dadosTCP estão o protocolo de nível mais alto necessário ao direcionamento dos dados deaplicativo para o aplicativo correto.

Clique no botão Números de porta TCP/UDP na figura.

O segmento de dados TCP também identifica a porta correspondente ao serviçosolicitado. Por exemplo, HTTP é a porta 80, SMTP é a porta 25 e FTP é a porta 20 e 21.

A figura mostra exemplos de portas UDP e TCP.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 184/350

Clique nos botões da figura para explorar portas TCP/UDP.

Exibir meio visual 

5.1.2 Filtragem de pacote

Página 1:

A filtragem de pacote, às vezes chamada de filtragem de pacote estática, controla oacesso a uma rede, analisando os pacotes de entrada e de saída e transmitindo ou

 paralisando-os com base em critérios informados.

Um roteador funciona como um filtro de pacote ao encaminhar ou negar pacotes deacordo com as regras de filtragem. Quando um pacote chega ao roteador de filtragem de

 pacote, o roteador extrai determinadas informações do cabeçalho do pacote e toma

decisões de acordo com as regras do filtro quanto à possibilidade do pacote ser transmitido ou descartado. A filtragem de pacote funciona na camada de rede do modelode referência OSI ou na camada de Internet do TCP/IP.

Por ser um dispositivo da Camada 3, um roteador de filtragem de pacote utiliza regras para determinar se deve permitir ou negar tráfego com base nos endereços IP de origeme de destino, na porta de origem e na  porta de destino, além do protocolo do pacote.Essas regras são definidas utilizando-se listas de controle de acesso ou ACLs.

Lembre-se de que uma ACL é uma lista sequencial de instruções de permissão ou

negação que se aplicam a endereços IP ou protocolos de camada superior. A ACL podeextrair as seguintes informações do cabeçalho do pacote, testá-lo em relação às suasregras e tomar decisões "permitir" ou "negar" com base em:

• Endereço IP de origem

• Endereço IP de destino

• Tipo de mensagem ICMP

A ACL também pode extrair informações de camada superior e testá-las em relação àssuas regras. Entre as informações da camada superior estão:

• Porta de origem TCP/UDP

• Porta de destino TCP/UDP

Clique nos botões da figura para obter uma visão geral de como uma ACL permite ounega um pacote. Embora as animações exibam a filtragem de pacote que ocorre naCamada 3, é preciso observar que a filtragem também poderia ocorrer na Camada 4.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 185/350

Página 2:

Exemplo de filtragem de pacote

Para compreender o conceito de como um roteador utiliza a filtragem de pacote,imagine que um segurança foi colocado diante de uma porta fechada. As instruções dosegurança são para permitir apenas as pessoas cujos nomes estão em uma lista para

 passar pela porta. O segurança está filtrando as pessoas com base nos critérios da presença de seus nomes na lista autorizada.

Por exemplo, você poderia dizer, "Só permita acesso à Web para usuários da rede A. Negue acesso à Web para usuários da rede B, mas permita a eles todos os demaisacessos". Consulte a figura para examinar o caminho de decisão utilizado pelo filtro de

 pacote para realizar essa tarefa.

Para esse cenário, o filtro de pacote observa todos os pacotes da seguinte forma:

• Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele terá permissão para passar. Todos os demais acessos são negados para essesusuários.

• Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele será bloqueado. No entanto, todos os demais acessos são permitidos.

Este é apenas um simples exemplo. Você pode configurar várias regras para ainda permitir ou negar serviços a usuários específicos. Você também pode filtrar pacotes nonível de porta utilizando uma ACL estendida, abordada na Seção 3.

Exibir meio visual 

5.1.3 O que é ACL?

Página 1:

ACL é um script de configuração de roteador que controla se um roteador permite ounega a passagem a pacotes com base nos critérios encontrados no cabeçalho de pacote.As ACLs estão entre os objetos mais utilizados no software IOS Cisco. As ACLstambém são utilizadas para selecionar tipos de tráfego a ser analisado, encaminhado ou

 processado de outras formas.

 Na medida em que cada pacote passa por uma interface com uma ACL associada, aACL é verificada de cima para baixo, uma linha por vez, procurando um padrãocorrespondente ao pacote de entrada. A ACL aplica uma ou mais políticas de segurançacorporativas, aplicando uma regra de permissão ou negação para determinar o destino

do pacote. As ACLs podem ser configuradas para controlar o acesso a uma rede ou sub-rede.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 186/350

Por padrão, um roteador não tem nenhuma ACL configurada e, por isso, não filtra otráfego. O tráfego que entra no roteador é roteado de acordo com a tabela deroteamento. Se você não utilizar as ACLs no roteador, todos os pacotes que puderem ser roteados pelo roteador passarão pelo roteador até o próximo segmento de rede.

Aqui estão algumas diretrizes para utilizar ACLs:

• Utilize as ACLs em roteadores de firewall colocados entre as suas redes internae externa, como a Internet.

• Utilize as ACLs em um roteador colocado entre duas partes da sua rede paracontrolar o tráfego que entra ou sai de uma determinada parte da sua redeinterna.

• Configure as ACLs em roteadores de borda (roteadores situados nas

extremidades das suas redes). Isso fornece um buffer muito básico da redeexterna ou entre uma área menos controlada da sua própria rede e uma área maisconfidencial da sua rede.

• Configure as ACLs para cada protocolo de rede configurado nas interfaces doroteador de borda. Você pode configurar as ACLs em uma interface para filtrar otráfego de entrada, o tráfego de saída ou ambos.

Clique no botão ACLs em um roteador na figura.

Os três Ps

Uma regra geral para aplicar as ACLs em um roteador pode ser lembrada, bastamemorizar os três Ps. Você pode configurar uma ACL por protocolo, por direção, por interface:

• Uma ACL por protocolo – para controlar o fluxo de tráfego em uma interface,uma ACL deve ser definida para cada protocolo habilitado na interface.

• Uma ACL por direção – as ACLs controlam o tráfego em uma direção por vez

em uma interface. Duas ACLs separadas devem ser criadas para controlar ostráfegos de entrada e de saída.

• Uma ACL por interface – as ACLs controlam o tráfego de uma interface, por exemplo, Fast Ethernet 0/0.

Escrever ACLs pode ser uma tarefa desafiante e complexa. Cada interface pode ter vários protocolos e direções definidas. O roteador no exemplo tem duas interfacesconfiguradas para IP, AppleTalk e IPX. Esse roteador pode exigir 12 ACLs separadas:uma ACL para cada protocolo, duas para cada direção e duas para o número de portas.

As ACLs executam as seguintes tarefas:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 187/350

• Limitam o tráfego da rede para aumentar o desempenho da rede. Por exemplo,se a política corporativa não permitir tráfego de vídeo na rede, as ACLs que

 bloqueiam o tráfego de vídeo poderão ser configuradas e aplicadas. Issoreduziria muito a carga de rede e aumentaria o desempenho da rede.

• Fornecer controle de fluxo do tráfego. As ACLs podem restringir a entrega das

atualizações de roteamento. Se as atualizações não forem obrigatórias por contadas condições de rede, a largura de banda será preservada.

• Forneça um nível básico de segurança para o acesso à rede. As ACLs podem permitir a um host acessar uma parte da rede e impedir outro host de acessar amesma área. Por exemplo, o acesso à rede de recursos humanos pode ser restringido para selecionar os usuários.

• Decida que tipos de tráfego encaminhar ou bloquear nas interfaces do roteador.Por exemplo, uma ACL pode permitir tráfego de email, mas bloqueia todo otráfego de Telnet.

• Controle as áreas que um cliente pode acessar em uma rede.

• Os hosts na tela para permitir ou negar acesso a serviços de rede. As ACLs podem permitir ou negar a um usuário o acesso a tipos de arquivo, como FTP ouHTTP.

As ACLs inspecionam pacotes de rede com base em critérios, como endereço deorigem, endereço de destino, protocolos e números de porta. Além de permitir ou negar tráfego, uma ACL pode classificar o tráfego para habilitar o processamento por 

 prioridades na linha. Esse recurso é semelhante a ter uma passagem VIP para um showou evento esportivo. A passagem VIP oferece privilégios a convidados selecionados nãooferecidos a proprietários de entradas, como poder entrar em uma área restrita e ser 

escoltado até seus assentos.Exibir meio visual 

5.1.4 Operação ACL

Página 1:

Como as ACLs funcionam

As ACLs definem o conjunto de regras que dão controle adicional para pacotes queentram por interfaces de entrada, pacotes retransmitidos pelo roteador e pacotes quesaem pelas interfaces de saída do roteador. As ACLs não funcionam em pacotes comorigem no próprio roteador.

As ACLs são configuradas para se aplicar ao tráfego de entrada ou ao tráfego de saída.

• ACLs de entrada – os pacotes de entrada são processados antes de seremroteados para a interface de saída. Uma ACL de entrada será eficiente porque

evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for  permitido pelos testes, o pacote será processado para roteamento.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 188/350

• ACLs de saída – os pacotes de entrada são roteados para a interface de saída e,em seguida, processados pela ACL de saída.

As instruções ACL funcionam em ordem sequencial. Elas avaliam pacotes em relação àACL, de cima para baixo, uma instrução por vez.

A figura mostra a lógica de uma ACL de entrada. Se o cabeçalho de um pacotecorresponder a uma instrução ACL, as demais instruções na lista serão ignoradas e o

 pacote será permitido ou negado conforme determinação da instrução correspondente.Se o cabeçalho de um pacote não corresponder a uma instrução ACL, o pacote serátestado em relação à próxima instrução da lista. Esse processo de comparação continuaaté o término da lista.

Uma instrução incluída no final abrange todos os pacotes para os quais as condições não

se mostraram verdadeiras. Essa condição de teste final corresponde a todos os demais pacotes e resultados em uma instrução "negar". Em vez de continuar dentro ou fora deuma interface, o roteador ignora todos esses pacotes restantes. Essa instrução finalcostuma ser conhecida como "negar qualquer instrução implicitamente" ou "negar todoo tráfego". Por conta dessa instrução, uma ACL deve ter pelo menos uma instrução de

 permissão; do contrário, a ACL bloqueia todo o tráfego.

Você pode aplicar uma ACL a várias interfaces. No entanto, talvez só haja uma ACL por protocolo, direção e interface.

Clique no botão ACLs de saída na figura.

A figura mostra a lógica de uma ACL de saída. Para que um pacote seja encaminhado para uma interface de saída, o roteador verifica a tabela de roteamento para ver se o pacote pode ser roteado. Se não puder ser roteado, o pacote será ignorado. Em seguida,o roteador verifica se a interface de saída é agrupada em uma ACL. Os exemplos deoperação de ACL de saída são os seguintes:

• Se a interface de saída não for agrupada em uma ACL de saída, o pacote seráenviado diretamente para a interface de saída.

• Se a interface de saída for agrupada em uma ACL de saída, o pacote não seráenviado pela interface de saída até ser testado pela combinação de instruçõesACL associadas a essa interface. Com base nos testes ACL, o pacote é permitidoou negado.

Para listas de saída, "permitir" significa enviar o pacote para o buffer de saída e "negar"significa descartá-lo.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 189/350

Página 2:

A ACL e o roteamento e os processos ACL em um roteador

A figura mostra a lógica do roteamento e dos processos ACL em um roteador. Quandoum pacote chega a uma interface do roteador, o processo do roteador é o mesmo,independentemente das ACLs serem utilizadas ou não. À medida que um quadro entraem uma interface, o roteador verifica se o destino do endereço da Camada 2 de destinocorresponde ao seu ou se o quadro é de broadcast.

Se o endereço do quadro for aceito, as informações do quadro serão removidas e oroteador verificará se há uma ACL na interface de entrada. Se houver uma ACL, o

 pacote agora será testado em relação às instruções na lista.

Se o pacote corresponder a uma instrução, ele será aceito ou rejeitado. Se for aceito nainterface, o pacote será verificado em relação às entradas da tabela de roteamento paradeterminar a interface de destino e comutado para essa interface.

Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver umaACL, o pacote será testado em relação às instruções na lista.

Se corresponder a uma instrução, o pacote será aceito ou rejeitado.

Se não houver nenhuma ACL ou o pacote for aceito, o pacote será encapsulado no novo protocolo da Camada 2 e encaminhado pela interface para o próximo dispositivo.

A instrução implícita do critério "Negar todo o tráfego"

Ao final de toda lista de acesso, há uma instrução implícita do critério "negar todo otráfego". Ela também é conhecida às vezes como a instrução "deny any implícito". Por isso, se não corresponder a nenhuma das entradas ACL, um pacote será bloqueado

automaticamente. "negar todo o tráfego" implícito é o comportamento padrão dasACLs, não podendo ser alterado.

Existe uma advertência chave associada a esse comportamento "negar tudo": para amaioria dos protocolos, se definir uma lista de acesso de entrada para a filtragem detráfego, você deverá incluir instruções de critérios da lista de acesso explícitas para

 permitir atualizações de roteamento. Se não fizer, você poderá efetivamente perder acomunicação com a interface quando as atualizações de roteamento forem bloqueadas

 pela instrução implícita "negar todo o tráfego" ao final da lista de acesso.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 190/350

5.1.5 Tipos de ACLs Cisco

Página 1:

Há dois tipos de ACLs Cisco, padrão e estendida.

ACLs padrão

As ACLs padrão permitem a você permitir ou negar tráfego de endereços IP de origem.O destino do pacote e as portas envolvidas não importam. O exemplo permite todo otráfego da rede 192.168.30.0/24. Por conta da "negar tudo" implícita ao final, todo osdemais tráfegos são bloqueados com essa ACL. As ACLs padrão são criadas no modode configuração global.

Clique no botão ACL estendida na figura.

ACLs estendidas

As ACLs estendidas filtram pacotes IP com base em vários atributos, por exemplo, tipode protocolo, endereço IP de origem, endereço IP de destino, portas TCP e UDP deorigem, portas TCP e UDP de destino e informações do tipo de protocolo opcionais paramaior granularidade de controle. Na figura, a ACL 103 permite tráfego com origem emqualquer endereço na rede 192.168.30.0/24 para qualquer host de destino na porta 80(HTTP). As ACLs estendidas são criadas no modo de configuração global.

Os comandos para ACLs são explicados nos próximos tópicos.

Exibir meio visual 

5.1.6 Como uma ACL padrão funciona

Página 1:

Uma ACL padrão é uma coleção sequencial de condições para permitir e negar que se

aplicam a endereços IP. O destino do pacote e as portas envolvidas não são abordados.

O processo de decisão está mapeado na figura. O software IOS Cisco testa endereçosem relação às condições individualmente. A primeira correspondência determina se osoftware aceita ou rejeita o endereço. Como o software para de testar condições depoisda primeira correspondência, a ordem das condições é essencial. Se nenhuma condiçãocorresponder, o endereço será rejeitado.

As duas tarefas principais envolvidas na utilização das ACLs são as seguintes:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 191/350

Etapa 1. Criar uma lista de acesso, especificando um número da lista de acesso ounome e condições de acesso.

Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal.

Exibir meio visual 

5.1.7 Numerando e nomeando ACLs

Página 1:

Utilizar ACLs numeradas é um método efetivo para determinar o tipo de ACL em redesmenores com tráfego definido de maneira mais homogênea. No entanto, um número nãoinforma a finalidade da ACL. Por essa razão, começando pelo IOS Cisco release 11.2,você pode utilizar um nome para identificar uma ACL Cisco.

A figura sumariza a regra para designar as ACLs numeradas e as ACLs nomeadas.

Em relação a ACLs numeradas, caso você esteja se perguntando por que os números de200 a 1.299 são ignorados, é porque esses números são utilizados por outros protocolos.Este curso só aborda ACLs IP. Por exemplo, os números de 600 a 699 são utilizados por AppleTalk, e os números de 800 a 899 são utilizados por IPX.

Exibir meio visual 

5.1.8 Onde colocar ACLs

Página 1:

A localização apropriada de uma ACL para filtrar tráfego indesejável faz a rede operar com mais eficiência. As ACLs podem agir como firewalls para filtrar pacotes e eliminar o tráfego indesejável. Onde você coloca as ACLs pode reduzir o tráfego desnecessário.Por exemplo, o tráfego a ser negado em um destino remoto não deve utilizar recursos derede ao longo da rota até esse destino.

Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficiência. Asregras básicas são:

• Localize as ACLs estendidas mais próximas da origem do tráfego negado. Dessaforma, o tráfego indesejável é filtrado sem atravessar a infraestrutura de rede.

• Como as ACLs padrão não especificam endereços de destino, coloque-as o mais próximo possível do destino.

Consideremos um exemplo de onde colocar as ACLs na nossa rede. A interface e o

local de rede se baseiam naquilo que você deseja que a ACL faça.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 192/350

 Na figura, o administrador deseja impedir o tráfego com origem na rede192.168.10.0/24 de chegar à rede 192.168.30.0/24. Uma ACL na interface de saída deR1 também nega a R1 a possibilidade de enviar tráfego a outros locais. A solução écolocar uma ACL padrão na interface de entrada de R3 a fim de parar todo o tráfego doendereço de origem 192.168.10.0/24. Uma ACL padrão só atende às necessidades

 porque se preocupa com os endereços IP de origem.

Clique no botão ACL estendida na figura.

Considere que os administradores só podem colocar as ACLs em dispositivos que elescontrolem. Por isso, o local deve ser determinado dentro do contexto de até onde ocontrole do administrador de rede se estende. Nesta figura, o administrador das redes192.168.10.0/24 e 192.168.11.0/24 (conhecidas como Dez e Onze, respectivamente,neste exemplo) deseja negar o tráfego Telnet e FTP de Onze para a rede192.168.30.0/24 (Trinta, neste exemplo). Ao mesmo tempo, outro tráfego deve ter 

 permissão para deixar Dez.

Há várias formas de fazer isso. Uma ACL estendida em R3 que bloqueasse Telnet eFTP em Onze realizaria a tarefa, mas o administrador não controla R3. Além disso, essasolução ainda permite ao tráfego indesejado cruzar toda a rede apenas para ser 

 bloqueado no destino. Isso afeta a eficiência geral da rede.

Uma solução é utilizar uma ACL estendida de saída que especifique os endereços deorigem e de destino (Onze e Trinta, respectivamente) e diga "O tráfego Telnet e FTP deOnze não pode ir para Trinta". Coloque essa ACL estendida na porta de saída S0/0/0 deR1.

Uma desvantagem dessa solução é que esse tráfego de Dez também estaria sujeito aalgum processamento por parte da ACL, embora o tráfego Telnet e FTP seja permitido.

A melhor solução é se aproximar da origem e colocar uma ACL estendida na interfacede entrada Fa0/2 de R1. Isso assegura que pacotes de Onze não entram em R1 e,subsequentemente, não podem cruzar Dez ou mesmo entrar em R2 ou R3. O tráfegocom outros endereços de destino e portas ainda é permitido em R1.

Exibir meio visual 

5.1.9 Diretrizes gerais para criar ACLs

Página 1:

Práticas recomendadas ACL

A utilização das ACLs exige atenção a detalhes e muito cuidado. Equívocos podem sair 

caros em termos de indisponibilidade, identificação e solução de problemas e umserviço de rede ruim. Antes de começar a configurar uma ACL, o planejamento básico é

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 193/350

obrigatório. A figura apresenta diretrizes que formam a base de uma lista de práticasrecomendadas da ACL.

Exibir meio visual 

Página 2:Exibir meio visual 

5.2 Configurando ACLs padrão5.2.1 Inserindo instruções de critérios

Página 1:

Antes de começar a configurar uma ACL padrão, revisaremos conceitos importantes daACL abordados na Seção 1.

Lembre-se de que, ao entrar no roteador, o tráfego é comparado com instruções ACLcom base na ordem em que ocorrem as entradas no roteador. O roteador continua

 processando as instruções ACL até que haja uma correspondência. Por essa razão, vocêdeve ter a entrada ACL mais utilizada na parte superior da lista. Se nenhumacorrespondência for encontrada quando o roteador chegar ao final da lista, o tráfego seránegado porque as ACLs têm uma negação implícita para todo o tráfego que não atendaa nenhum dos critérios testados. Uma ACL única com apenas uma entrada de negaçãotem o efeito de negar todo o tráfego. Você deve ter pelo menos uma instrução de

 permissão em uma ACL, ou todo o tráfego será bloqueado.

Por exemplo, as duas ACLs (101 e 102) na figura têm o mesmo efeito. A rede192.168.10.0 teria permissão para acessar a rede 192.168.30.0, mas 192.168.11.0, não.

Exibir meio visual 

5.2.2 Configurando uma ACL padrão

Página 1:Lógica da ACL padrão

 Na figura, os pacotes que chegam por Fa0/0 são verificados em relação aos seusendereços de origem:

access-list 2 deny host 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 194/350

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Se forem permitidos, os pacotes serão roteados pelo roteador para uma interface desaída. Se não forem permitidos, os pacotes serão ignorados na interface de entrada.

Exibir meio visual 

Página 2:

Configurando ACLs padrão

Para configurar ACLs padrão numeradas em um roteador Cisco, você deve primeirocriar a ACL padrão e ativar a ACL em uma interface.

O comando no modo de configuração global access-list define uma ACL padrão comum número no intervalo de 1 a 99. O software IOS Cisco release 12.0.1 estendeu essesnúmeros, permitindo de 1300 a 1999 fornecer um máximo de 799 ACLs padrão

 possíveis. Esses números adicionais são conhecidos como ACLs IP expandidas.

A sintaxe completa do comando ACL padrão é a seguinte:

Router(config)#access-list access-list-number [deny | permit | remark] source[ source-wildcard ] [log]

A sintaxe completa do comando da ACL padrão para filtrar um determinado host é aseguinte:

Router(config)#access-list access-list-number [deny | permit] source [log]

A figura fornece uma explicação detalhada da sintaxe de uma ACL padrão.

Por exemplo, para criar uma ACL numerada designada 10 que permitisse a rede192.168.10.0 /24, você digitaria:

R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255

Clique no botão Remover ACL na figura.

A forma no desse comando remove uma ACL padrão. Na figura, a saída do comandoshow access-list exibe as ACLs atuais configuradas no roteador R1.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 195/350

Para remover a ACL, o comando no modo de configuração global no access-list éutilizado. A emissão do comando show access-list confirma se a lista de acesso 10 foiremovida.

Clique no botão Comentário na figura.

 Normalmente, os administradores criam ACLs e compreendem perfeitamente todas asfinalidades de cada instrução dentro da ACL. No entanto, quando uma ACL for revistamais tarde, talvez não seja tão óbvia quanto já foi.

A palavra-chave remark é utilizada na documentação e facilita muito a compreensãodas listas de acesso. Cada comentário é limitado a 100 caracteres. A ACL na figura,embora bastante simples, é utilizada para fornecer um exemplo. Durante a revisão da

ACL na configuração, o comentário também é exibido.

O próximo tópico explica como utilizar a máscara curinga para identificar redesespecíficas e hosts.

Exibir meio visual 

5.2.3 Máscara curinga ACL

Página 1:Mascaramento curinga

Entre as instruções ACLs estão máscaras, também chamadas de máscaras curinga. Máscara curinga é uma string de dígitos binários que informam ao roteador que partesdo número da sub-rede observar. Embora não tenham nenhuma relação funcional commáscaras de sub-rede, as máscaras curinga fornecem uma função semelhante. Amáscara determina a proporção de um endereço IP de origem ou de destino a ser aplicada à correspondência de endereço. Os números 1 e 0 na máscara identificam comotratar os bits de endereço IP correspondentes. No entanto, eles são utilizados para fins

diferentes, seguindo regras diferentes.

As máscaras curinga e de sub-rede têm 32 bits e utilizam 1s e 0s binários. As máscarasde sub-rede utilizam 1s e 0s binários para identificar a rede, a sub-rede e a porção dehost de um endereço IP. As máscaras curinga utilizam 1s e 0s binário para filtrar endereços IP individuais ou grupos e permitir ou negar acesso a recursos com base emum endereço IP. Definindo máscaras curinga com cuidado, você pode permitir ou negar um ou vários endereços IP

As máscaras curinga e de sub-rede são diferentes quanto à forma com que comparam 1se 0s binários. As máscaras curinga utilizam as seguintes regras para comparar 1s e 0s

 binários:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 196/350

• Bit da máscara curinga 0 – comparar o valor do bit correspondente no endereço

• Bit da máscara curinga 1 – ignorar o valor do bit correspondente no endereço

A figura explica como máscaras curinga diferentes filtram endereços IP. Ao observar oexemplo, lembre-se de que o 0 binário significa uma correspondência e que o 1 bináriosignifica ignorar.

Nota: as máscaras curinga costumam ser conhecidas como máscaras inversas. A razão éque, diferentemente de uma máscara de sub-rede na qual o 1 binário é igual a umacorrespondência e 0 binário, não, o inverso é verdadeiro.

Clique no botão Exemplo de máscara curinga na figura.

Utilizando uma máscara curinga

A tabela na figura mostra os resultados da aplicação de uma máscara curinga0.0.255.255 a um endereço IP de 32 bits. Lembre-se de que um 0 binário indica umvalor correspondente.

Exibir meio visual 

Página 2:Máscaras curinga correspondentes a sub-redes IP

O cálculo da máscara curinga pode ser um pouco confuso inicialmente. A figura fornecetrês exemplos de máscaras curinga.

O primeiro exemplo que a máscara curinga estipula é de que todo bit no IP 192.168.1.1deve corresponder exatamente. A máscara curinga equivale à máscara de sub-rede255.255.255.255.

 No segundo exemplo, a máscara curinga estipula que qualquer coisa corresponderá. Amáscara curinga equivale à máscara de sub-rede 0.0.0.0.

 No terceiro exemplo, a máscara curinga estipula que corresponderá a qualquer hostdentro da rede 192.168.1.0 /24. A máscara curinga equivale à máscara de sub-rede255.255.255.0.

Esses exemplos foram bastante simples e diretos. No entanto, o cálculo de máscaras

curinga pode ficar um pouco mais difícil.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 197/350

Clique no botão Máscara curinga 2 na figura.

Os dois exemplos na figura são mais complicados do que os três últimos que vocêexibiu. No exemplo 1, os dois primeiros octetos e os quatro primeiros bits do terceiroocteto devem corresponder exatamente. Os últimos quatro bits no terceiro octeto e oúltimo octeto podem ser qualquer número válido. Isso resulta em uma máscara queverifica de 192.168.16.0 a 192.168.31.0

O Exemplo 2 mostra uma máscara curinga que corresponde aos dois primeiros octetos,e o bit menos significativo no terceiro octeto. O último octeto e os sete primeiros bits noterceiro octeto podem ser qualquer número válido. O resultado é uma máscara que

 permitiria ou negaria todos os hosts de sub-redes ímpares dentro da rede principal192.168.0.0.

O cálculo das máscaras curinga pode ser difícil, mas você pode fazer isso facilmente,subtraindo a máscara de sub-rede de 255.255.255.255.

Clique no botão Exemplo 1 na figura.

Por exemplo, suponhamos que você queira permitir o acesso a todos os usuários da rede192.168.3.0. Subtraia a máscara de sub-rede, que é 255.255.255.0 de 255.255.255.255,conforme a indicação na figura. A solução produz a máscara curinga 0.0.0.255.

Clique no botão Exemplo 2 na figura.

Agora suponhamos que você queira permitir o acesso à rede para os 14 usuários da sub-rede 192.168.3.32 /28. Como a máscara da sub-rede IP é 255.255.255.240, use255.255.255.255 e subtraia da máscara de sub-rede 255.255.255.240. Desta vez, asolução produz a máscara curinga 0.0.0.15.

Clique no botão Exemplo 3 na figura.

 Neste terceiro exemplo, suponhamos que você queira apenas comparar as redes192.168.10.0 e 192.168.11.0. Novamente, você usa 255.255.255.255 e subtrai a máscarade sub-rede normal, que, neste caso, seria 255.255.254.0. O resultado é 0.0.1.255.

Ainda que você possa obter o mesmo resultado com duas instruções, como:

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

R1(config)# access-list 10 permit 192.168.11.0 0.0.0.255

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 198/350

É muito mais eficiente configurar a máscara curinga como:

R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255

Isso pode não parecer mais eficiente, mas quando você considera se quis comparar arede 192.168.16.0 a 192.168.31.0 da seguinte forma:

R1(config)# access-list 10 permit 192.168.16.0 0.0.0.255R1(config)# access-list 10 permit 192.168.17.0 0.0.0.255R1(config)# access-list 10 permit 192.168.18.0 0.0.0.255R1(config)# access-list 10 permit 192.168.19.0 0.0.0.255R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255R1(config)# access-list 10 permit 192.168.21.0 0.0.0.255R1(config)# access-list 10 permit 192.168.22.0 0.0.0.255

R1(config)# access-list 10 permit 192.168.23.0 0.0.0.255R1(config)# access-list 10 permit 192.168.24.0 0.0.0.255R1(config)# access-list 10 permit 192.168.25.0 0.0.0.255R1(config)# access-list 10 permit 192.168.26.0 0.0.0.255R1(config)# access-list 10 permit 192.168.27.0 0.0.0.255R1(config)# access-list 10 permit 192.168.28.0 0.0.0.255R1(config)# access-list 10 permit 192.168.29.0 0.0.0.255R1(config)# access-list 10 permit 192.168.30.0 0.0.0.255R1(config)# access-list 10 permit 192.168.31.0 0.0.0.255

Você pode ver que a configuração da seguinte máscara curinga a torna mais eficiente:

R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255

Exibir meio visual 

Página 3:

Palavras-chave de máscara curinga

Trabalhar com representações decimais de bits de máscara curinga binários pode ser entediante. Para simplificar essa tarefa, as palavras-chave host e any ajudam aidentificar as utilizações mais comuns da máscara curinga. Essas palavras-chaveeliminam a entrada de máscaras curinga durante a identificação de um host específicoou rede. Elas também facilitam a leitura de uma ACL, fornecendo dicas visuais sobre aorigem ou destino dos critérios.

• A opção host substitui a máscara 0.0.0.0. Essa máscara informa que todos os bits de endereço IP devem corresponder ou apenas um host é correspondente.

• A opção any substitui o endereço IP e a máscara 255.255.255.255. Essa máscaradiz para ignorar todo o endereço IP ou aceitar qualquer endereço.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 199/350

Exemplo 1: Processo de máscara curinga com um único endereço IP

 No exemplo, em vez de inserir 192.168.10.10 0.0.0.0, você pode utilizar host

192.168.10.10.

Exemplo 2: Processo de máscara curinga com a correspondência de qualquerendereço IP

 No exemplo, em vez de inserir 0.0.0.0 255.255.255.255, você pode utilizar a palavra-chave any sozinha.

Exibir meio visual 

Página 4:

As palavras-chave any e host

 Nesta figura, temos dois exemplos. O Exemplo 1 está exibindo como utilizar a opçãoany para substituir 0.0.0.0 para o endereço IP com uma máscara curinga255.255.255.255.

O Exemplo 2 está exibindo como utilizar a opção host para substituir a máscara

curinga.Exibir meio visual 

5.2.4 Aplicando ACLs padrão a interfaces

Página 1:

Procedimentos de configuração da ACL padrão

Depois de ser configurada, a ACL padrão é vinculada a uma interface utilizando-se ocomando ip access-group:

Router(config-if)#ip access-group {access-list-number  | access-list-name} {in | out}

Para remover uma ACL de uma interface, primeiro digite o comando no ip access-group na interface e, em seguida, o comando global no access-list para remover toda aACL.

A figura lista as etapas e a sintaxe para configurar e aplicar uma ACL padrão numeradaem um roteador.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 200/350

Clique no botão Exemplo 1 na figura para obter um exemplo de uma ACL que permita uma única rede.

Essa ACL só permite ao tráfego da rede de origem 192.168.10.0 ser encaminhado por S0/0/0. O tráfego das redes que não sejam 192.168.10.0 é bloqueado.

A primeira linha identifica a ACL como lista de acesso 1. Ela permite o tráfegocorrespondente aos parâmetros selecionados. Nesse caso, o endereço IP e a máscaracuringa que identificam a rede de origem são 192.168.10.0 0.0.0.255. Lembre-se de quehá uma instrução negar tudo implícita equivalente ao adicionar a linha access-list 1deny 0.0.0.0 255.255.255.255.

O comando de configuração da interface ip access-group 1 out vincula a ACL 1 à

interface Serial 0/0/0 como um filtro de saída.

Por isso, a ACL 1 só permite a hosts da rede 192.168.10.0 /24 sair do roteador R1. Elanega qualquer outra rede, inclusive a rede 192.168.11.0.

Clique no botão Exemplo 2 na figura para obter um exemplo de uma ACL que negueum host específico.

Essa ACL substitui o exemplo anterior, mas também bloqueia o tráfego de um endereço

específico. O primeiro comando exclui a versão anterior da ACL 1. A próxima instruçãoda ACL nega o host de PC1 localizado em 192.168.10.10. Qualquer outro host na rede192.168.10.0 /24 é permitido. Mais uma vez, as instruções negar implícitascorrespondem a todas as demais redes.

A ACL é novamente reaplicada à interface S0/0/0 em uma direção de saída.

Clique no botão Exemplo 3 na figura para obter um exemplo de uma ACL que negueum host específico e permita algumas sub-redes.

Essa ACL substitui o exemplo anterior, mas ainda bloqueia o tráfego do PC1 de host.Ela também permite a todo o outro tráfego de rede local sair do roteador R1.

Os dois primeiros comandos são iguais aos do exemplo anterior. O primeiro comandoexclui a versão anterior da ACL 1 e a próxima instrução da ACL nega o host de PC1localizado em 192.168.10.10.

A terceira linha é nova e permite todos os hosts das redes 192.168.x.x /16. Isso agora

significa que todos os hosts da rede 192.168.10.0 /24 ainda correspondem, mas agora oshosts da rede 192.168.11.0, também.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 201/350

A ACL é novamente reaplicada à interface S0/0/0 em uma direção de saída. Por isso,ambas as redes locais conectadas ao roteador R1 podem deixar a interface S0/0/0 comexceção do host de PC1.

Exibir meio visual 

Página 2:

Utilizando uma ACL para controlar o acesso VTY

A Cisco recomenda a utilização de SSH em conexões administrativas para roteadores eswitches. Se a imagem do software IOS Cisco em seu roteador não dá suporte a SSH,você pode melhorar parcialmente a segurança das linhas administrativas, restringindo oacesso a VTY. Restringir o acesso a VTY é uma técnica que permite definir quaisendereços IP têm permissão de acesso Telnet ao processo EXEC do roteador. Você

 pode controlar qual estação de trabalho administrativa ou rede gerencia o seu roteador com uma ACL e uma instrução access-class para as suas linhas VTY. Você também

 pode utilizar essa técnica com SSH mais melhorar ainda mais a segurança do acessoadministrativo.

O comando access-class no modo de configuração da linha restringe conexões deentrada e de saída entre um VTY específico (em um dispositivo Cisco) e os endereçosem uma lista de acesso.

As listas de acesso padrão e estendida se aplicam a pacotes que percorrem um roteador.Elas não foram projetadas para bloquear pacotes com origem dentro do roteador. Por 

 padrão, uma ACL estendida de Telnet de saída não impede sessões Telnet iniciadas por roteador.

A filtragem do tráfego Telnet é normalmente considerada uma função da ACL IPestendida porque filtra um protocolo de nível mais alto. No entanto, como você estáutilizando o comando access-class para filtrar sessões Telnet de entrada ou de saída

 pelo endereço de origem e aplicar filtragem a linhas VTY, você pode utilizar instruçõesACL padrão para controlar acesso a VTY.

A sintaxe do comando access-class é:

access-class access-list-number {in [vrf-also] | out}

O parâmetro in restringe conexões de entrada entre um dispositivo Cisco e os endereçosna lista de acesso, e o parâmetro out restringe conexões de saída entre um determinadodispositivo Cisco e os endereços na lista de acesso.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 202/350

Um exemplo que permite VTY 0 e 4 é mostrado na figura. Por exemplo, a ACL nafigura é configurada para permitir a redes 192.168.10.0 e 192.168.11.0 acessar VTYs de0 a 4. Todas as demais redes têm acesso negado a VTYs.

O seguinte deve ser considerado durante a configuração das listas de acesso em VTYs:

• As restrições idênticas devem ser definidas em todos os VTYs, porque umusuário pode tentar se conectar a um deles.

Exibir meio visual 

5.2.5 Editando ACLs numeradas

Página 1:

Editando ACLs numeradas

Durante a configuração de uma ACL, as instruções são adicionadas na ordem em quesão inseridas no final da ACL. No entanto, não há nenhum recurso de edição internoque permita editar uma alteração em uma ACL. Você não pode inserir ou excluir linhasde maneira seletiva.

É altamente recomendável que qualquer ACL seja criada em um editor de texto, como oBloco de Notas da Microsoft. Isso permite a você criar ou editar a ACL e, em seguida,

colá-la no roteador. Em relação a uma ACL existente, você poderia utilizar o comandoshow running-config para exibir a ACL, copiar e colá-la no editor de texto, fazer asalterações necessárias e recarregá-la.

Por exemplo, suponhamos que o endereço IP de host na figura tenha sido digitadoincorretamente. Em vez do host 192.168.10.100, deveria ter sido o host 192.168.10.11.Aqui estão as etapas para editar e corrigir a ACL 20:

Etapa 1. Exibir a ACL utilizando o comando show running-config. O exemplo nafigura utiliza a palavra-chave include para exibir apenas as instruções ACL.

Etapa 2. Realçar a ACL, copiar e colá-la para o Bloco de Notas da Microsoft. Edite alista conforme exigido. Quando a ACL for exibida corretamente no Bloco de Notas daMicrosoft, realce-a e copie.

Etapa 3. No modo de configuração global, desabilite a lista de acesso utilizando ocomando no access-list 20. Do contrário, as novas instruções seriam adicionadas à ACLexistente. Em seguida, cole a nova ACL na configuração do roteador.

Deve-se mencionar que durante a utilização do comando no access-list, nenhuma ACLestá protegendo a sua rede. Além disso, lembre-se de que, se cometer um erro na nova

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 203/350

lista, você terá que desabilitá-la e identificar e solucionar o problema. Nesse caso, maisuma vez, a sua rede não tem nenhuma ACL durante o processo de correção.

Exibir meio visual 

Página 2:

Comentando ACLs

Você pode utilizar a palavra-chave remark para incluir comentários sobre entradas emqualquer ACL padrão ou estendida. Os comentários simplificam a compreensão e averificação da ACL. Cada linha de comentário é limitada a 100 caracteres.

O comentário pode ficar antes ou depois de uma instrução permit ou deny. Você deve

manter a consistência quanto ao local onde coloca o comentário para que fique claro oque cada um descreve em relação a instruções permit ou deny. Por exemplo, seriaconfuso ter alguns comentários antes das instruções permit ou deny associadas e outrosdepois.

Para incluir um comentário sobre as ACLs padrão ou estendida numeradas por IP,utilize o comando de configuração global access-list access-list number remark remark . Para remover o comentário, utilize a forma no desse comando.

 No primeiro exemplo, a ACL padrão permite o acesso à estação de trabalho que

 pertence a Jones e nega acesso à estação de trabalho que pertence a Smith.

Para uma entrada em uma ACL nomeada, utilize o comando de configuração remark .Para remover o comentário, utilize a forma no desse comando. O segundo exemplomostra uma ACL nomeada estendida. Lembre-se da definição anterior de ACLsestendidas, de que elas são utilizadas para controlar números de porta específicos ouserviços. No segundo exemplo, o comentário diz que a estação de trabalho de Jones nãotem permissão para utilizar Telnet de saída.

Exibir meio visual 

5.2.6 Criando ACLs nomeadas padrão

Página 1:

 Nomear uma ACL facilita a compreensão de sua função. Por exemplo, uma ACL paranegar FTP poderia se chamar NO_FTP. Quando você identifica a sua ACL com umnome em vez de um número, o modo de configuração e a sintaxe do comando são um

 pouco diferentes.

A figura mostra as etapas para criar uma ACL nomeada padrão.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 204/350

Etapa 1. Começando no modo de configuração global, utilizar o comando ip access-list para criar uma ACL nomeada. Os nomes de ACL são alfanuméricos, devendo ser exclusivos e não começar com um número.

Etapa 2. No modo de configuração da ACL nomeada, utilizar as instruções permit oudeny para especificar uma ou mais condições e determinar se um pacote foiencaminhado ou ignorado.

Etapa 3. Retornar ao modo EXEC privilegiado com o comando end.

Clique no botão Exemplo na figura.

 Na figura, a saída do comando da tela mostra os comandos utilizados para configurar uma ACL nomeada padrão no roteador R1, a interface Fa0/0 que nega ao host192.168.11.10 acesso à rede 192.168.10.0.

Usar maiúsculas em nomes da ACL não é obrigatório, mas os destaca durante aexibição da saída do comando running-config.

Exibir meio visual 

5.2.7 Monitorando e verificando ACLs

Página 1:Quando você concluir a configuração de uma ACL, utilize os comandos show do IOSCisco para verificar a configuração. Na figura, o exemplo superior mostra a sintaxe doIOS Cisco para exibir o conteúdo de todas as ACLs. O exemplo inferior mostra oresultado da emissão do comando show access-lists no roteador R1. Os nomes de ACLem maiúsculas, VENDAS e ENG, se destacam na saída do comando na tela.

Lembre-se de que você começou configurando as ACLs inicialmente; você quisimplementar as políticas de segurança da sua organização. Agora que você verificou seas ACLs estão configuradas conforme desejado, a próxima etapa é confirmar se asACLs funcionam conforme planejado.

As diretrizes discutidas anteriormente nesta seção sugerem que você configure as ACLsem uma rede de teste e implemente as ACLs testadas na rede de produção. Embora umadiscussão sobre como preparar um cenário de teste da ACL esteja além do escopo destecurso, você precisa saber que confirmar se as suas ACLs funcionam conforme o

 planejado pode ser um processo complexo e demorado.

Exibir meio visual 

5.2.8 Editando ACLs nomeadas

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 205/350

Página 1:

As ACLs nomeadas têm uma grande vantagem sobre as ACLs numeradas por seremmais fáceis de editar. Começando pelo software IOS Cisco release 12.3, as ACLs IPnomeadas permitem excluir entradas individuais em uma ACL específica. Você pode

usar números de sequência para inserir instruções em qualquer lugar da ACL nomeada.Se estiver utilizando uma versão anterior do software IOS Cisco, você só poderáadicionar instruções na parte inferior da ACL nomeada. Como pode excluir entradasindividuais, você pode modificar a sua ACL sem ter que excluir e, em seguida,reconfigurar toda a ACL.

O exemplo na figura mostra uma ACL aplicada à interface S0/0/0 de R1. Ela restringiuo acesso ao servidor Web. Observando este exemplo, você pode ver duas coisas queainda não viu neste curso:

Clique no botão Saída do roteador na figura.

•  Na primeira saída do comando show, você pode ver que a ACL nomeadaWEBSERVER tem três linhas numeradas que indicam regras de acesso para oservidor Web.

• Conceder acesso a outra estação de trabalho na lista requer apenas a inserção deuma linha numerada. No exemplo, a estação de trabalho com o endereço IP192.168.11.10 está sendo adicionada.

• A saída do comando show verifica se a nova estação de trabalho agora tem

 permissão.Exibir meio visual 

Página 2:

As ACLs padrão são scripts de configuração de roteador que controlam se um roteador  permite ou nega pacotes com base no endereço de origem. Esta atividade vai ensinar adefinir critérios de filtragem, configurar as ACLs padrão, aplicar as ACLs a interfacesde roteador e verificar e testar a implementação da ACL.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

5.3 Configurando ACLs estendidas

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 206/350

5.3.1 ACLs estendidas

Página 1:

Testando pacotes com ACLs estendidas

Para obter um controle de filtragem de tráfego mais preciso, você pode utilizar ACLsestendidas numeradas de 100 a 199 e de 2.000 a 2.699, fornecendo um total de 800ACLs estendidas possíveis. As ACLs estendidas também podem ser nomeadas.

As ACLs estendidas são mais utilizadas que as ACLs padrão porque fornecem umintervalo maior de controle e, por isso, acrescentam à sua solução de segurança. Assimcomo as ACLs padrão, as ACLs estendidas verificam os endereços do pacote de origem,mas também verificam o endereço de destino, protocolos e números de porta (ouserviços). Isso proporciona um número maior de critérios nos quais a ACL se baseia.Por exemplo, uma ACL estendida pode permitir tráfego de email simultaneamente deuma rede para um destino específico enquanto nega transferências de arquivos enavegação na Web.

A figura mostra o caminho de decisão lógico utilizado por uma ACL estendida criada para filtragem com base nos endereços de origem e de destino, no protocolo e nosnúmeros de porta. Neste exemplo, a ACL filtra primeiro o endereço de origem e, emseguida, a porta e o protocolo da origem. Em seguida, ela filtra o endereço de destino, a

 porta e o protocolo do destino e toma uma decisão final de permitir ou negar.

Lembre-se de que, como as entradas são processadas em ACLs uma depois da outra,uma decisão 'Não' não necessariamente equivale a 'Negar'. Na medida em que você passa pelo caminho de decisão lógico, observe que um 'Não' significa ir para a próximaentrada até que todas as entradas sejam testadas. Somente quando todas as entradasforam processadas é que a decisão 'Permitir' ou 'Negar' é finalizada.

A próxima página fornece um exemplo de uma ACL estendida.

Exibir meio visual 

Página 2:

Testando portas e serviços

A possibilidade de filtrar com base no protocolo e no número da porta permite criar ACLs estendidas muito específicas. Utilizando o número de porta apropriado, você

 pode especificar um aplicativo, configurando o número de porta ou o nome de uma porta bem conhecida.

A figura mostra alguns exemplos de como um administrador especifica um número de porta TCP ou UDP, colocando-o no final da instrução da ACL estendida. Operações

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 207/350

lógicas podem ser utilizadas, como igual (eq), diferente (neq), maior que (gt) e menor que (lt).

Clique no botão Portas na figura.

A figura mostra como gerar uma lista dos números de porta e palavras-chave que você pode utilizar enquanto cria uma ACL utilizando R1(config)#access-list 101 permit tcpany eq ? .

Exibir meio visual 

5.3.2 Configurando ACLs estendidas

Página 1:

As etapas procedurais para configurar as ACLs estendidas são iguais a ACLs padrão:você primeiro cria a ACL estendida e só então a ativa em uma interface. No entanto, asintaxe do comando e os parâmetros são mais complexos para dar suporte aos recursosadicionais fornecidos por ACLs estendidas.

A figura mostra a sintaxe do comando comum para ACLs estendidas. O campo derolagem fornece detalhes das palavras-chave e dos parâmetros. Na medida em queavança neste capítulo, há explicações e exemplos que ampliarão ainda mais a suacompreensão.

Clique no botão Configurando ACLs estendidas na figura.

A figura mostra um exemplo de como você poderia criar uma ACL estendida específica para as suas necessidades de rede. Neste exemplo, o administrador de rede precisarestringir o acesso à Internet para permitir apenas a navegação no site. A ACL 103 seaplica ao tráfego que deixa a rede 192.168.10.0 e a ACL 104 ao tráfego que chega àrede.

A ACL 103 atende à primeira parte do requisito. Ela permite ao tráfego proveniente dequalquer endereço na rede 192.168.10.0 ir para qualquer destino, estando sujeito àlimitação do tráfego chegar apenas até as portas 80 (HTTP) e 443 (HTTPS).

A natureza de HTTP exige que esse tráfego volte na rede, mas o administrador de redequer restringir esse tráfego a trocas HTTP nos sites solicitados. A solução em segurançadeve negar qualquer outro tráfego que chega até a rede. A ACL 104 faz isso bloqueandotodo o tráfego de entrada, exceto pelas conexões estabelecidas. HTTP estabelececonexões que começam pela solicitação original e passam pela troca de mensagensACK, FIN e SYN.

Observe que o exemplo utiliza o parâmetro established.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 208/350

Esse parâmetro permite a respostas trafegar com origem na rede 192.168.10.0 /24 eretornar à entrada em s0/0/0. Uma correspondência ocorrerá se o datagrama TCP tiver os bits ACK ou de redefinição (RST) definidos, o que indica que o pacote pertence auma conexão existente. Com o parâmetro established, o roteador permitirá apenas ao

tráfego estabelecido voltar e bloquear todos os demais tráfegos.Exibir meio visual 

5.3.3 Aplicando ACLs estendidas a interfaces

Página 1:

 Nos diga como configurar uma lista de acesso estendida, aproveitando o exemploanterior. Lembre-se de que nós queremos permitir aos usuários navegar em sites seguros

e não seguros. Primeiro considere se o tráfego que você deseja filtrar está entrando ousaindo. A tentativa de acessar sites na Internet é tráfego saindo. Receber emails naInternet é tráfego entrando na empresa. No entanto, durante a consideração de comoaplicar uma ACL a uma interface, entrar e sair ganham significados diferentes,dependendo do ponto de vista.

 No exemplo da figura, R1 tem duas interfaces. Ela tem uma porta serial, S0/0/0, e uma porta Fast Ethernet, Fa0/0. O tráfego de Internet que chega entra pela interface S0/0/0,mas sai pela interface Fa0/0 para alcançar PC1. O exemplo aplica a ACL à interfaceserial em ambas as direções.

Clique no botão Negar FTP na figura.

Este é um exemplo da negação de tráfego FTP na sub-rede 192.168.11.0 para a sub-rede192.168.10.0, mas que permite todo o tráfego restante. Observe a utilização de máscarascuringa. Lembre-se de que, como o FTP exige as portas 20 e 21, você precisaespecificar ambas eq 20 e eq 21 para negar FTP.

Com ACLs estendidas, você pode escolher utilizar números de porta como os doexemplo ou chamar uma porta bem conhecida pelo nome. Em um exemplo anterior de

uma ACL estendida, as instruções foram anotadas da seguinte forma:

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data

Observe que para FTP, ftp e ftp-data devem ser mencionados.

Clique no botão Negar Telnet na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 209/350

Este exemplo nega tráfego Telnet de 192.168.11.0, mas permite todo o tráfego IPrestante de qualquer outra origem para qualquer destino de entrada em Fa0/1. Observe autilização das palavras-chave any, o que significa de qualquer lugar para qualquer lugar.

Exibir meio visual 

5.3.4 Criando ACLs estendidas nomeadas

Página 1:

Você pode criar ACLs estendidas nomeadas basicamente da mesma forma como criouACLs padrão nomeadas. Os comandos para criar uma ACL nomeada são diferentes paraACLs padrão e estendidas.

Começando no modo EXEC privilegiado, siga estas etapas para criar uma ACLestendida utilizando nomes.

Etapa 1. Começando no modo de configuração global, utilizar o comando ip access-listextended name para definir uma ACL estendida nomeada.

Etapa 2. No modo de configuração da ACL nomeada, especificar as condições quevocê deseja permitir ou negar.

Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comandoshow access-lists [number | name].

Etapa 4. Como opção e etapa recomendada, salvar as suas entradas no arquivo deconfiguração com o comando copy running-config startup-config.

Para remover uma ACL estendida nomeada, utilize o comando no modo deconfiguração global no ip access-list extended name.

A figura mostra a versão nomeada da ACL criada anteriormente.Exibir meio visual 

Página 2:

As ACLs estendidas são scripts de configuração de roteador que controlam se umroteador permite ou nega pacotes com base no endereço de origem ou de destino, bemcomo protocolos ou portas. As ACLs estendidas dão mais flexibilidade e granularidadedo que as ACLs padrão. Esta atividade vai ensinar a definir critérios de filtragem,

configurar as ACLs estendidas, aplicar as ACLs a interfaces de roteador, e verificar etestar a implementação da ACL.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 210/350

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

5.4 Configurar ACLs complexas5.4.1 O que são ACLs complexas?

Página 1:

Tipos de ACLs complexas

As ACLs padrão e estendidas podem se tornar a base para ACLs complexas, quefornecem funcionalidade adicional. A tabela na figura sumariza as três categorias deACLs complexas.

Exibir meio visual 

5.4.2 ACLs dinâmicas

Página 1:

O que são ACLs dinâmicas?

O lock-and-key é um recurso de segurança de filtragem de tráfego que utiliza ACLsdinâmicas, às vezes conhecidas como ACLs lock-and-key. O lock-and-key só estádisponível para tráfego IP. As ACLs dinâmicas dependem da conectividade Telnet, daautenticação (local ou remota) e das ACLs estendidas.

A configuração da ACL dinâmica começa com a aplicação de uma ACL estendida para bloquear tráfego no roteador. Os usuários que desejam atravessar o roteador são bloqueados pela ACL estendida até utilizarem Telnet para se conectar ao roteador eserem autenticados. A conexão Telnet é descartada, e uma ACL dinâmica de entradaúnica é adicionada à ACL estendida existente. Isso permite o tráfego durante um

 período específico; timeouts ociosos e absolutos são possíveis.

Quando utilizar ACLs dinâmicas

Algumas razões comuns para utilizar as ACLs dinâmicas são as seguintes:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 211/350

• Quando você quiser que um usuário remoto específico ou grupo de usuáriosremotos acesse um host dentro da sua rede, ao mesmo tempo em que conectamnos hosts remotos via Internet. Lock-and-key autentica o usuário e permiteacesso limitado pelo seu roteador de firewall a um host ou sub-rede durante um

 período finito.

• Quando você deseja que um subconjunto de hosts em uma rede local acesse umhost em uma rede remota protegida por um firewall. Com lock-and-key, você só

 pode habilitar o acesso ao host remoto para o conjunto desejado de hosts locais.Lock-and-key exige que os usuários se autentiquem por meio de um servidor AAA, TACACS+ ou outro servidor de segurança antes de permitir a seus hostsacessar os hosts remotos.

Benefícios de ACLs dinâmicas

As ACLs dinâmicas têm os seguintes benefícios de segurança em relação a ACLs padrão e estendidas estáticas:

• Utilização de um mecanismo de desafio para autenticar usuários individuais.

• Gerenciamento simplificado em grandes redes interconectadas.

• Em muitos casos, a redução do volume do processamento do roteador obrigatório para ACLs.

• Redução da oportunidade para invasões à rede por hackers.

• Criação de acesso de usuário dinâmico por um firewall, sem comprometer outrasrestrições de segurança configuradas.

 Na figura, o usuário em PC1 é um administrador que exige acesso backdoor à rede192.168.30.0 /24 localizada no roteador R3. Uma ACL dinâmica foi configurada para

 permitir a FTP e HTTP acesso no roteador R3, mas apenas por um tempo limitado.

Exibir meio visual 

Página 2:

Exemplos de ACL dinâmica

Considere um requisito para que um administrador de rede em PC1 obtenha acesso periódico à rede (192.168.30.0 /24) pelo roteador R3. Para facilitar esse requisito, umaACL dinâmica é configurada na interface serial S0/0/1 no roteador R3.

Embora uma descrição detalhada da configuração para uma ACL dinâmica esteja alémdo escopo deste curso, é útil revisar as etapas de configuração.

Clique no botão Config na figura para exibir um exemplo de uma configuração deACL dinâmica.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 212/350

Passe o mouse sobre cada Etapa na figura para revisar as etapas de configuração daACL dinâmica.

Exibir meio visual 

5.4.3 ACLs reflexivas

Página 1:

O que são ACLs reflexivas?

As ACLs reflexivas forçam o tráfego de resposta do destino de um pacote de saídaconhecido recente a ir para a origem desse pacote de saída. Isso dá mais controle sobreo tráfego no qual você tem permissão na sua rede e aumenta os recursos das listas deacesso estendidas.

Os administradores de rede utilizam ACLs reflexivas para permitir tráfego IP parasessões com origem em sua rede enquanto negam tráfego IP para sessões com origemfora da rede. Essas ACLs permitem ao roteador gerenciar tráfego de sessãodinamicamente. O roteador examina o tráfego de saída e, quando vê uma nova conexão,adiciona uma entrada a uma ACL temporária para permitir respostas. As ACLsreflexivas contêm apenas entradas temporárias. Essas entradas são criadasautomaticamente quando uma nova sessão IP começa, por exemplo, com um pacote desaída, e as entradas são removidas automaticamente quando a sessão termina.

As ACLs reflexivas fornecem uma forma de filtragem de sessão mais real que umaACL estendida utilizando o parâmetro established apresentado anteriormente. Emborasejam semelhantes em termos conceituais ao parâmetro established, as ACLs reflexivastambém funcionam com UDP e ICMP, que não têm bits ACK ou RST. A opçãoestablished também não funciona com aplicativos que alteram dinamicamente a portade origem do tráfego de sessão. A instrução permit established só verifica bits ACK eRST, e não endereços de origem e destino.

As ACLs reflexivas não são aplicadas diretamente a uma interface, mas são "aninhadas"

em uma ACL IP nomeada estendida que se aplicada à interface.

As ACLs reflexivas só podem ser definidas com ACLs IP nomeadas estendidas. Elasnão podem ser definidas com ACLs numeradas ou nomeadas padrão ou com outrasACLs de protocolo. As ACLs reflexivas podem ser utilizadas com outras ACLsestendidas estáticas e padrão.

Benefícios de ACLs reflexivas

As ACLs reflexivas têm os seguintes benefícios:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 213/350

• Ajudam a proteger a sua rede contra hackers de rede e podem ser incluídas emuma defesa de firewall.

• Fornecem um nível de segurança contra spoofing e determinados ataques DoS.As ACLs reflexivas são muito mais difíceis de falsificar porque mais critérios defiltro devem corresponder para que um pacote tenha permissão. Por exemplo, osendereços de origem e de destino e os números de porta, e não apenas os bitsACK e RST, são verificados.

• Simples de utilizar e, em comparação com ACLs básicas, fornecem maior controle sobre quais pacotes entram na sua rede.

Exibir meio visual 

Página 2:

Exemplo de ACL reflexiva

A figura mostra um exemplo no qual o administrador precisa de uma ACL reflexiva que permita tráfego de saída e de entrada ICMP, enquanto permite apenas tráfego TCPiniciado dentro da rede. Suponhamos que todo o restante do tráfego seja negado. AACL reflexiva é aplicada à interface de saída de R2.

Clique no botão Config na figura.

Embora a configuração completa de ACLs reflexivas esteja além do escopo deste curso,a figura mostra um exemplo das etapas obrigatórias para configurar uma ACL reflexiva.

Passe o mouse sobre cada Etapa na figura para revisar as etapas de configuração daACL reflexiva.

Exibir meio visual 

5.4.4 ACLs baseada no tempo

Página 1:

O que são ACLs baseadas em tempo?

As ACLs baseadas em tempo são semelhantes a ACLs estendidas em termos de função,mas permitem o controle de acesso com base na hora. Para implementar ACLs baseadasem hora, você cria um intervalo que define horas específicas do dia e da semana. Vocêidentifica o intervalo com um nome e se refere a ele por uma função. As restrições dehora são impostas na própria função.

As ACLs baseadas em tempo têm muitos benefícios, como:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 214/350

• Oferece ao administrador de rede mais controle sobre a permissão ou a negaçãode acesso a recursos.

• Permite aos administradores de rede controlar mensagens de registro em log. Asentradas ACL podem registrar o tráfego em log em determinadas horas do dia,mas não constantemente. Por isso, os administradores podem simplesmentenegar acesso sem analisar os muitos logs gerados durante horários de pico.

Exibir meio visual 

Página 2:

Exemplo de ACL baseada em tempo

Embora os detalhes da configuração completa de ACLs baseadas em tempo estejamalém do escopo deste curso, o seguinte exemplo mostra as etapas obrigatórias. Noexemplo, uma conexão Telnet é permitida da rede interna para a rede externa àssegundas, quartas e sextas durante o horário comercial.

Clique no botão Config na figura.

Etapa 1. Definir o intervalo para implementar a ACL e dar a ela um nomeEVERYOTHERDAY, neste caso.

Etapa 2. Aplicar o intervalo à ACL.

Etapa 3. Aplicar a ACL à interface.

O intervalo depende do relógio de sistema do roteador. O recurso funciona melhor coma sincronização Network Time Protocol (NTP), mas o relógio do roteador pode ser utilizado.

Exibir meio visual 

5.4.5 Identificação e solução de problemas de ACL comuns

Página 1:

A utilização dos comandos show descritos anteriormente revela a maioria dos errosACL mais comuns antes que eles causem problemas na sua rede. Felizmente, você estáutilizando um bom procedimento de teste para proteger a sua rede de erros durante oestágio de desenvolvimento da sua implementação de ACL.

Ao observar uma ACL, verifique-a em relação às regras aprendidas sobre como criar ACLs corretamente. A maioria dos erros ocorre porque essas regras básicas são

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 215/350

ignoradas. Na verdade, os erros mais comuns são inserir instruções ACL na ordemerrada e não aplicar critérios apropriados às suas regras.

Vejamos uma série de problemas comuns e as soluções. Clique em cada exemplo àmedida que lê essas explicações.

Clique no botão Erro n° 1 na figura.

O host 192.168.10.10 não tem nenhuma conectividade com 192.168.30.12. Vocêconsegue ver o erro na saída do comando show access-lists?

Solução – observar a ordem das instruções ACL. O host 192.168.10.10 não temnenhuma conectividade telnet com 192.168.30.12 por conta da ordem da regra 10 nalista de acesso. Como o roteador processa as ACLs de cima para baixo, a instrução 10nega o host 192.168.10.10, logo, a instrução 20 não é processada. As instruções 10 e 20devem ser invertidas. A última linha permite todo o restante do tráfego não TCP em IP(ICMP, UDP etc.).

Clique no botão Erro n° 2 na figura.

A rede 192.168.10.0 /24 não pode utilizar TFTP para se conectar à rede 192.168.30.0 /24. Você consegue ver o erro na saída do comando show access-lists?

Solução – a rede 192.168.10.0 /24 não pode utilizar TFTP para se conectar à rede192.168.30.0 /24 porque TFTP utiliza o protocolo de transporte UDP. A instrução 30 nalista de acesso 120 permite todo o restante do tráfego TCP. Como utiliza UDP, o TFTPé negado implicitamente. A instrução 30 deve ser ip any any.

Essa ACL funcionará se for aplicada a Fa0/0 de R1 ou S0/0/1 de R3, ou S0/0/0 ou R2na direção de entrada. No entanto, com base na regra sobre como colocar as ACLsestendidas mais próximas da origem, a melhor opção está em Fa0/0 de R1 porque ela

 permite filtrar tráfego indesejável sem atravessar a infraestrutura de rede.

Clique no botão Erro n° 3 na figura.

A rede 192.168.10.0 /24 pode utilizar Telnet para se conectar a 192.168.30.0 /24, masessa conexão não deve ser permitida. Analise a saída do comando show access-lists eveja se você consegue encontrar uma solução. Onde você aplicaria essa ACL?

Solução – a rede 192.168.10.0 /24 pode utilizar Telnet para se conectar à rede192.168.30.0 /24, porque o número da porta Telnet na instrução 10 da lista de acesso130 está listado na posição errada. Atualmente, a instrução 10 nega qualquer origemcom um número de porta que seja igual à Telnet que tenta estabelecer uma conexão comqualquer endereço IP. Se quiser negar tráfego de entrada Telnet em S0/0/1, você deve

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 216/350

negar o número de porta de destino que seja igual a Telnet, por exemplo, deny tcp anyany eq telnet.

Clique no botão Erro n° 4 na figura.

O host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, mas essaconexão não deve ser permitida. Analise a saída do comando show access-lists.

Solução – o host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, porque não há regras que neguem o host 192.168.10.10 ou sua rede como a origem. Ainstrução 10 da lista de acesso 140 nega a interface do roteador da qual o tráfego sairia.

 No entanto, como esses pacotes saem do roteador, eles têm um endereço de origem192.168.10.10, e não o endereço da interface do roteador.

Assim como na solução do Erro 2, essa ACL deve ser se aplicada à Fa0/0 de R1 nadireção de entrada.

Clique no botão Erro n° 5 na figura.

O host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10, mas essaconexão não deve ser permitida. Observe a saída do comando show access-lists e

 procure o erro.

Solução – o host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10 porque a direção na qual a lista de acesso 150 é aplicada a uma interface em R2 estáincorreta. A instrução 10 nega o endereço de origem 192.168.30.12, mas esse endereçosó seria a origem se o tráfego fosse de saída em S0/0/0 ou de entrada em S0/0/1.

Exibir meio visual 

Página 2:Exibir meio visual 

5.5 Laboratórios do capítulo5.5.1 Listas de controle de acesso básico

Página 1:

Uma parte essencial da segurança de rede é poder controlar que tipo de tráfego estásendo permitido para alcançar a sua rede e de onde esse tráfego está vindo. Estelaboratório ensinará como configurar listas de controle de acesso básicas e estendidas eatingir essa meta.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 217/350

Página 2:

Esta atividade é uma variação do Laboratório 5.5.1. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser 

considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamento real.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

5.5.2 Listas de controle de acesso avançado

Página 1:

 No laboratório Lista de controle de acesso básica, você configurou listas de controle deacesso básicas e estendidas pela primeira vez como uma medida de segurança da rede.

 Neste laboratório, tente configurar a maior segurança de rede possível sem consultar olaboratório Básico. Isso permitirá a você avaliar o quanto aprendeu no laboratório

Básico. Quando necessário, verifique o seu trabalho utilizando o laboratório Básico ou aresposta fornecida por seu instrutor.

Exibir meio visual 

Página 2:

Esta atividade é uma variação do Laboratório 5.5.2. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamento real.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

5.5.3 Identificação e solução de problemas de listas de controle de acesso

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 218/350

Página 1:

Você trabalha para um provedor de serviços regional que recentemente passou por várias falhas na segurança. O seu departamento foi solicitado a proteger os roteadoresde borda do cliente para que apenas os PCs de gerenciamento local possam acessar as

linhas VTY. Para resolver esse problema, você configurará as ACLs em R2 de formaque as redes diretamente conectadas a R3 não consigam se comunicar com redesdiretamente conectadas a R1, mas ainda assim permitam todo o restante do tráfego.

Exibir meio visual 

5.6 Resumo do capítulo5.6.1 Sumarização

Página 1:ACL é um script de configuração de roteador que utiliza filtragem de pacote paracontrolar se um roteador permite ou nega a passagem a pacotes com base nos critériosencontrados no cabeçalho de pacote. As ACLs também são utilizadas para selecionar tipos de tráfego a serem analisados, encaminhados ou processados de outras formas. AsACLs estão entre os objetos mais utilizados no software IOS Cisco.

Há tipos diferentes de ACLs – padrão, estendida, nomeada e numerada. Neste capítulo,você aprendeu a finalidade de cada um desses tipos de ACL e onde elas precisam ser colocadas na sua rede. Você aprendeu a configurar as ACLs em interfaces de entrada ede saída. Os tipos de ACL especiais, dinâmicas, reflexivas e baseadas em tempo, foramdescritas. Foram realçadas as diretrizes e as práticas recomendadas para desenvolver ACLs funcionais e efetivas.

Com o conhecimento e as habilidades aprendidas neste capítulo, agora você podeconfigurar ACLs padrão, estendidas e complexas, além de verificar, identificar esolucionar problemas dessas configurações com confiança, mas com cuidado.

Exibir meio visual 

Página 2:Exibir meio visual 

Página 3:

 Nesta atividade, você demonstrará a sua capacidade de configurar ACLs que aplicamcinco políticas de segurança. Além disso, você irá configurar o roteamento PPP e OSPF.Os dispositivos já estão configurados com endereçamento IP.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 219/350

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

5.7 Teste do capítulo5.7.1 Teste do capítulo

Página 1:Exibir meio visual 

6 Serviços de funcionário remoto6.0 Introdução do capítulo6.0.1 Introdução do capítulo

Página 1:

Trabalho remoto é o trabalho longe de um local de trabalho tradicional, geralmente umescritório em casa. As razões para escolher o trabalho remoto são variadas e incluemdesde a conveniência pessoal até permitir oportunidades para que funcionárioslesionados ou isolados continuem trabalhando durante os períodos de convalescença.

Trabalho remoto é um termo amplo que se refere à condução de um trabalho através daconexão com um local de trabalho a partir de uma localização remota, com a ajuda dastelecomunicações. Um trabalho remoto eficiente é possível por causa das conexões deInternet banda larga, redes virtuais privadas (VPN) e tecnologias mais avançadas,incluindo Voice over IP (VoIP, Voz sobre IP) e videoconferência. O trabalho remoto

 pode economizar o dinheiro que seria gasto em viagens, infra-estrutura e suporte dasinstalações.

Empresas modernas empregam pessoas que não podem viajar para trabalhar diariamente

ou que acreditam que trabalhar em um escritório em casa é mais prático. Essas pessoas,chamadas de funcionários remotos, devem conectar-se à rede da empresa de forma que possam trabalhar em seus escritórios em casa.

Este capítulo explica como as organizações podem fornecer conexões de rede remotaseguras, rápidas e confiáveis para os funcionários remotos.

Exibir meio visual 

6.1 Requisitos de negócios para serviços de funcionário remoto

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 220/350

6.1.1 Os requisitos de negócios para serviços de funcionário remoto

Página 1:

É cada vez maior o número de empresas que acreditam ser benéfico ter funcionáriosremotos. Com os avanços nas tecnologias de banda larga e sem fio, trabalhar longe do

escritório não apresenta mais os desafios que apresentava no passado. Os funcionários podem trabalhar remotamente quase como se eles estivessem em suas baias ou na salaao lado. As organizações podem distribuir dados, voz, vídeo e aplicativos em tempo realde modo lucrativo, estendidos em uma única conexão de rede comum por toda sua forçade trabalho, não importando o quão remota e espalhada ela esteja.

Os benefícios do trabalho à distância se estendem muito além da capacidade de osnegócios renderem lucros. O trabalho à distância afeta a estrutura social das sociedadese pode ter efeitos positivos sobre o ambiente.

Para as operações de negócios do cotidiano, convém ser capaz de manter a continuidadeno caso de fatores como clima, tráfego, congestionamento, desastres naturais ou outroseventos imprevisíveis atrapalharem os funcionários de chegar ao local de trabalho. Emuma escala mais ampla, a capacidade dos negócios de prestar mais serviços em todos osfusos horários e fronteiras internacionais foi enormemente aprimorada utilizando osfuncionários remotos. A redução e a terceirização de soluções são mais fáceis deimplementar e gerenciar.

De uma perspectiva social, as opções de trabalho remoto aumentam as oportunidades deemprego para diversos grupos, incluindo pais com filhos pequenos, deficientes e

 pessoas que moram em áreas remotas. Os funcionários remotos desfrutam de um tempoem família com maior qualidade, menor stress causado pelas viagens e, no geral, proporcionam aos seus chefes uma maior produtividade, satisfação e conservação. Naera da mudança de clima, o trabalho remoto é uma outra maneira de as pessoasreduzirem sua emissão de gás carbônico.

Ao criar arquiteturas de rede que suportam uma solução de trabalho remoto, os programadores devem equilibrar os requisitos organizacionais para segurança,gerenciamento de infra-estrutura, escalabilidade e acessibilidade com relação àsnecessidades práticas dos funcionários remotos para a facilidade de uso, velocidades de

conexão e confiabilidade do serviço.

Para permitir que os negócios e os funcionários remotos operem de modo efetivo, nósdevemos equilibrar a seleção das tecnologias e criar cuidadosamente os serviços detrabalho à distância.

Exibir meio visual 

6.1.2 A solução do funcionário remoto

Página 1:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 221/350

As organizações precisam de redes seguras, confiáveis e econômicas para conectar assedes sociais, filiais e fornecedores. Com o número crescente de funcionários remotos,as empresas têm uma necessidade cada vez maior de maneiras seguras, confiáveis eeconômicas de conectar-se a pessoas trabalhando em pequenos escritórios e escritóriosem casa (small offices, home offices), e outros locais remotos, com recursos nos locais

corporativos.

A figura ilustra as topologias de conexão remota que as redes modernas utilizam paraconectar-se a locais remotos. Em alguns casos, os locais remotos se conectam somenteao local da sede, enquanto, em outros casos, os locais remotos se conectam a diversoslocais. A filial na figura se conecta aos locais da sede e de parceiros, enquanto ofuncionário remoto possui uma única conexão com a sede.

Clique no botão Opções na figura.

A figura exibe três tecnologias de conexão remota disponíveis para as que organizaçõessuportem serviços de funcionários remotos:

• As tecnologias de Camada 2 de WAN privadas tradicionais, incluindo FrameRelay, ATM e linhas alugadas, fornecem muitas soluções de conexão remota. Asegurança destas conexões depende da operadora.

• As Redes Virtuais Privadas (VPNs) IPsec oferecem uma conectividade flexível eescalável. As conexões ponto a ponto podem fornecer uma conexão segura,rápida e confiável aos funcionários remotos. Esta é a opção mais comum para os

funcionários remotos, combinada com o acesso remoto por banda larga, a fim deestabelecer uma VPN segura sobre a Internet pública. (Um meio menosconfiável de conectividade que utiliza a Internet é uma conexão discada.)

• O termo banda larga refere-se a sistemas de comunicação avançados capazes defornecer uma transmissão de serviços de alta velocidade, tais como dados, voz evídeo, através da Internet e outras redes. A transmissão é fornecida por umagrande variedade de tecnologias, incluindo a DSL (Digital subscriber line, DSL)e a tecnologia de cabo de fibra ótica, cabo coaxial, sem fio e satélite. Asvelocidades de transmissão de dados do serviço de banda larga geralmenteultrapassam os 200 kilobits por segundo (kbps), ou 200.000 bits por segundo,em pelo menos uma direção: downstream (da Internet para o computador do

usuário) ou upstream (do computador do usuário para a Internet).

Este capítulo descreve como cada uma destas tecnologias opera e apresenta algumas dasetapas necessárias para assegurar que as conexões de funcionários remotos sejamseguras.

Exibir meio visual 

Página 2:

Para conectar-se efetivamente às redes de suas organizações, os funcionários remotos precisam de dois conjuntos principais de componentes: componentes de escritório em

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 222/350

casa e componentes corporativos. A opção de adicionar componentes de telefonia IPestá se tornando mais comum à medida que as operadoras estendem os serviços de

 banda larga para mais áreas. Os componentes de Voice over IP (VoIP, Voz sobre IP) ede videoconferência se tornarão, em breve, partes esperadas do conjunto de ferramentasdos funcionários remotos.

Conforme mostrado na figura, o trabalho à distância necessita dos seguintescomponentes:

• Componentes de escritório em casa - Os componentes necessários de umescritório em casa são um laptop ou computador desktop, acesso de banda larga(cabo ou DSL) e um roteador de VPN ou software de cliente de VPN instaladono computador. Componentes adicionais podem incluir um ponto de acesso semfio. Ao viajar, os funcionários remotos precisam de uma conexão de Internet eum cliente de VPN para conectar-se à rede corporativa por qualquer conexão

discada, de rede ou de banda larga disponível.• Componentes corporativos - Os componentes corporativos são os roteadores

habilitados para VPN, concentradores de VPN, mecanismos de segurançamultifuncionais, autenticação e dispositivos de gerenciamento centrais para umaagregação e conclusão flexíveis das conexões de VPN.

 Normalmente, a prestação de suporte para VoIP e videoconferência exige melhorias para estes componentes. Os roteadores precisam da funcionalidade de Qualidade deServiço (Quality of Service, QoS). O QoS refere-se à capacidade de uma rede defornecer um melhor serviço para o tráfego de rede selecionado, conforme necessário

 para os aplicativos de voz e vídeo. Uma discussão mais aprofundada sobre o QoS estáalém do escopo deste curso.

A figura mostra um túnel de VPN criptografado que conecta o funcionário remoto àrede corporativa. Este é o coração das conexões seguras e confiáveis do funcionárioremoto. Uma VPN é uma rede de dados privada que utiliza a infra-estrutura detelecomunicação pública. A segurança de VPN mantém a privacidade utilizando um

 protocolo de tunelamento e procedimentos de segurança.

Este curso apresenta o protocolo IPsec (Segurança de IP) como a abordagem escolhida para criar túneis de VPN seguros. Ao contrário das abordagens de segurança anteriores,que aplicam a segurança na camada de Aplicativos do modelo de Interconexão deSistemas Abertos (OSI), o IPsec funciona na camada de rede ou processamento de

 pacote.

Exibir meio visual 

6.2 Serviços de banda larga6.2.1 Conectando os funcionários remotos à WAN 

Página 1:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 223/350

Os funcionários remotos geralmente utilizam diversos aplicativos (por exemplo, email,aplicativos da web, aplicativos importantes para o trabalho, colaboração em tempo real,voz, vídeo e videoconferência) que exigem uma conexão com uma largura de bandaalta. A escolha da tecnologia de rede de acesso e a necessidade de assegurar uma largurade banda satisfatória são as primeiras considerações a serem feitas ao conectar os

funcionários remotos.

As conexões por cabo residencial, DSL e banda larga sem fio são as três opções quefornecem uma largura de banda alta para os funcionários remotos. A baixa largura de

 banda fornecida por uma conexão de modem discada normalmente não é suficiente,embora seja útil para um acesso móvel durante viagens. Uma conexão discada demodem somente deve ser considerada quando as outras opções não estiveremdisponíveis.

Os funcionários remotos precisam de uma conexão a um ISP para acessar a Internet. Os

ISPs oferecem diversas opções de conexão. Os principais métodos de conexãoutilizados por escritórios em casa e pequenas empresas são:

• Acesso discado - Uma opção barata que utiliza qualquer linha telefônica e ummodem. Para conectar-se ao ISP, um usuário liga para o número de telefone deacesso ISP. A conexão discada é a opção de conexão mais lenta, utilizadageralmente por funcionários móveis em áreas onde não estão disponíveis opçõesde conexão de velocidade mais alta.

• DSL - Normalmente mais caro que a discada, mas proporciona uma conexãomais rápida. A conexão DSL também utiliza linhas telefônicas, mas,

diferentemente do acesso discado, ele fornece uma conexão contínua com aInternet. O DSL utiliza um modem de alta velocidade especial que separa o sinalde DSL do sinal de telefone e fornece uma conexão Ethernet com umcomputador host ou rede local.

• Modem a cabo - Oferecido por provedores de serviços de televisão a cabo. Osinal de Internet é levado no mesmo cabo coaxial que leva a televisão a cabo.Um modem a cabo especial separa o sinal da Internet dos outros sinais levadosno cabo e fornece uma conexão Ethernet com um computador host ou rede local.

• Satélite - Oferecido por provedores de serviços de satélite. O computador éconectado através da Ethernet a um modem de satélite que transmite sinais de

radiofreqüência ao ponto de presença (point of presence, POP) mais próximodentro da rede de satélite.

 Nesta seção, você aprenderá como os serviços de banda larga, tais como o DSL, cabo econexão de banda larga sem fio, estendem as redes da empresa para permitir o acessodos funcionários remotos.

Exibir meio visual 

6.2.2 Cabo

Página 1:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 224/350

Acessar a Internet por uma rede a cabo é uma opção popular utilizada pelosfuncionários remotos para acessar a rede de sua empresa. O sistema a cabo utiliza umcabo coaxial que leva os sinais de freqüência de rádio (RF) através da rede. O cabocoaxial é o primeiro meio utilizado para criar sistemas de TV a cabo.

A televisão a cabo surgiu na Pensilvânia em 1948. John Walson, o proprietário de umaloja de eletrodomésticos em uma pequena cidade montanhesca, precisava resolver 

 problemas de recepção pelos quais seus clientes passavam ao tentar receber sinais deTV da Filadélfia pelas montanhas. Walson ergueu uma antena em um poste deeletricidade no topo de uma montanha que permitiu que ele demonstrasse as televisõesem sua loja com broadcasts provenientes das três estações da Filadélfia. Ele conectou aantena à sua loja de eletrodomésticos por um cabo e modificou os otimizadores de sinal.Em seguida, ele conectou diversos clientes seus que estavam localizados pelo caminhodo cabo. Este foi o primeiro sistema de televisão de antena comunitária (CATV,community antenna television) nos Estados Unidos.

A empresa de Walson cresceu ao longo dos anos e ele ficou conhecido como o fundador da indústria de televisão a cabo. Ele também foi o primeiro operador de cabo a utilizar microondas para importar estações de televisão distantes, o primeiro a utilizar o cabocoaxial para aprimorar a qualidade da imagem e o primeiro a distribuir a programaçãode televisão paga.

A maioria das operadoras a cabo utilizam antenas parabólicas para reunir os sinais deTV. No início, os sistemas eram unidirecionais, com amplificadores em cascatacolocados em série ao longo da rede para compensar a perda de sinal. Estes sistemas

utilizavam grampos para juntar os sinais de vídeo dos troncos principais para as casasdos assinantes por meio dos cabos de derivação. 

Os sistemas de cabo modernos fornecem uma comunicação bidirecional entre osassinantes e o operador de cabo. As operadores a cabo oferecem agora serviços detelecomunicações avançados, incluindo acesso de alta velocidade à Internet, televisão acabo digital e serviço de telefone residencial. As operadoras a cabo geralmenteimplantam redes coaxiais de fibra híbrida (HFC) para permitir uma transmissão dedados de alta velocidade para os modems a cabo localizados em um escritório em casa.

A figura ilustra os componentes de um típico sistema a cabo moderno.

Passe o mouse sobre cada componente na figura para ver uma descrição sobre o queeles fazem.

Exibir meio visual 

Página 2:

O espectro eletromagnético abrange uma grande variedade de freqüências.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 225/350

A frequência é a taxa na qual os ciclos (ou voltagem) atuais ocorrem, computada comoo número de "ondas" por segundo. Comprimento de onda é a velocidade de propagaçãodo sinal eletromagnético dividida por sua freqüência em ciclos por segundo.

As ondas de rádio, geralmente chamadas de RF, constituem uma parte do espectroeletromagnético entre aproximadamente 1 quilohertz (kHz) e 1 terahertz. Quando osusuários ajustam um rádio ou TV para localizar diferentes estações de rádio ou canaisde TV, eles estão ajustando diferentes freqüências eletromagnéticas por esse espectro deRF. O mesmo princípio se aplica ao sistema a cabo.

A indústria da TV a cabo utiliza uma parte do espectro eletromagnético de RF. Dentrodo cabo, freqüências diferentes levam canais de TV e dados. Na extremidade doassinante, equipamentos como TVs, VCRs e conversores de TVs de alta definição sãoajustados para determinadas freqüências que permitem que o usuário veja o canal ou,utilizando um modem a cabo, tenha acesso à Internet de alta velocidade.

Uma rede a cabo é capaz de transmitir sinais no cabo em ambas as direções ao mesmotempo. Utiliza-se o seguinte escopo de freqüência:

• Downstream - A direção de uma transmissão de sinal RF (canais de TV edados) da origem (headend) para o destino (assinantes). A transmissão daorigem para o destino é chamada de caminho de encaminhamento (forward

 path). As freqüências downstream estão no intervalo de 50 a 860 megahertz(MHz).

•

Upstream - A direção da transmissão de sinal RF dos assinantes para o headend,retorno ou caminho reverso. As freqüências de upstream estão no intervalo de 5a 42 MHz.

Exibir meio visual 

Página 3:

O DOCSIS (Data-over-Cable Service Interface Specification, Especificação de Interfacede Serviço de Dados sobre Cabo) é um padrão internacional desenvolvido pelaCableLabs, um consórcio de pesquisa e desenvolvimento sem fins lucrativos para as

tecnologias relacionadas a cabo. A CableLabs testa e certifica os dispositivos defornecedores de equipamento a cabo, como modems a cabo e sistemas de terminação demodem a cabo, e concede o status de certificado ou qualificado pela DOCSIS.

A DOCSIS define os requisitos de interface de suporte de comunicações e operação para um sistema de dados a cabo e permite a adição de transferência de dados de altavelocidade a um sistema de CATV existente. As operadoras a cabo empregam aDOCSIS para fornecer acesso à Internet através de sua infra-estrutura coaxial de fibrahíbrida (HFC) existente.

A DOCSIS especifica os requisitos de OSI de Camadas 1 e 2:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 226/350

• Camada física - Para os sinais de dados que a operadora a cabo pode utilizar, aDOCSIS especifica as larguras de canal (larguras de banda de cada canal) como200 kHz, 400 kHz, 800 kHz, 1,6 MHz, 3,2 MHz e 6,4 MHz. A DOCSIS tambémespecifica as técnicas de modulação (o modo de utilizar o sinal RF paracomunicar os dados digitais).

• Camada MAC - Define um método de acesso determinístico: método de acessomúltiplo por divisão de tempo (Time-division multiple access, TDMA) oumétodo de acesso múltiplo por divisão de código síncrono (Synchronous codedivision multiple access, S-CDMA).

Para compreender os requisitos de camada MAC para a DOCSIS, convém explicar como as diversas tecnologias de comunicação dividem o acesso por canal. O TDMAdivide o acesso por tempo. O acesso múltiplo de divisão por freqüência (Frequency-division multiple access, FDMA) divide o acesso por freqüência. O acesso múltiplo por divisão de código (CDMA) emprega uma tecnologia de amplo espectro e um esquema

de codificação especial nos quais cada transmissor recebe um código específico.

Uma analogia que ilustra estes conceitos começa com uma sala representando um canal.A sala está cheia de pessoas que precisam falar umas com as outras. Em outras palavras,elas precisam de um acesso ao canal. Uma solução é permitir que as pessoas falem emturnos (divisão por tempo). Outra solução é que cada pessoa fale em tons diferentes(divisão por freqüência). Em CDMA, eles falariam em idiomas diferentes. Pessoasfalando no mesmo idioma podem se entender, mas não as outras pessoas. Em CDMA derádio, utilizado por muitas redes de telefonia celular norte-americanas, cada grupo deusuários possui um código compartilhado. Muitos códigos ocupam o mesmo canal, massomente os usuários associados com um código específico podem se entender. O S-

CDMA é uma versão proprietária de CDMA desenvolvida pela Terayon Corporation para a transmissão de dados através de redes por cabo coaxial. O S-CDMA espalha osdados digitais para ambas as direções com uma ampla banda de freqüência e permiteque vários assinantes conectados à rede transmitam e recebam dados simultaneamente.O S-CDMA é seguro e extremamente resistente a ruídos.

Os planos para bandas de alocação de freqüência diferem entre os sistemas a cabo norte-americanos e europeus. O Euro-DOCSIS é adaptado para ser utilizado na Europa. As

 principais diferenças entre o DOCSIS e o Euro-DOCSIS estão relacionadas às largurasde banda do canal. Os padrões técnicos de TV variam pelo mundo, o que afeta o modo

como as variantes de DOCSIS se desenvolvem. Os padrões de TV internacionaisincluem o NTSC na América do Norte e em partes do Japão; PAL na maior parte daEuropa, Ásia, África, Austrália, Brasil e Argentina, e o SECAM na França e em alguns

 países da Europa oriental.

Mais informações estão disponíveis nos seguintes sites:

• Sobre o DOCSIS: http://www.cablemodem.com/specifications

• Sobre o Euro-DOCSIS: http://www.eurocablelabs.com

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 227/350

Página 4:

Prestar serviços através de uma rede a cabo exige diferentes freqüências de rádio. Asfreqüências downstream estão na faixa de 50 a 860 MHz, e as freqüências upstream

estão no intervalo de 5 a 42 MHz.

São necessários dois tipos de equipamento para enviar sinais de modem digitaisupstream e downstream em um sistema a cabo:

• O sistema de terminação de modem por cabo (Cable modem termination system,CMTS) no headend da operadora a cabo

• Modem a cabo (CM) na extremidade do assinante

Passe o mouse sobre os componentes na figura e observe a função que cada umdesempenha.

Um CMTS de headend comunica-se com os CMs localizados nas casas dos assinantes.O headend é, na verdade, um roteador com bancos de dados para prestar serviços naInternet para assinantes a cabo. A arquitetura é relativamente simples, utilizando umarede coaxial ótica combinada na qual a fibra ótica substitui a rede coaxial com a menor largura de banda.

Uma malha de cabos de tronco de fibra conecta o headend aos nós onde ocorre aconversão de sinal ótico para sinal RF. A fibra leva o mesmo conteúdo de banda larga para as conexões de Internet, serviço de telefonia e fluxo de vídeo que o cabo coaxialleva. Os cabos alimentadores coaxiais são originados do nó que leva os sinais de RF aosassinantes.

Em uma rede HFC moderna, são conectados geralmente 500 a 2.000 assinantes dedados ativos a um segmento de rede a cabo, todos compartilhando a largura de bandaupstream e downstream. A largura de banda real para o serviço de Internet por umalinha de CATV pode ser de até 27 Mb/s no caminho de download para o assinante e deaproximadamente 2,5 Mb/s de largura de banda no caminho de carregamento. Baseadona arquitetura de rede a cabo, nas práticas de aprovisionamento do operador de cabo ena carga de tráfego, um assinante individual pode obter, normalmente, uma velocidadede acesso entre 256 kb/s e 6 Mb/s.

Quando ocorre um congestionamento da rede devido ao excesso de uso, a operadora acabo pode colocar uma largura de banda adicional para obter serviços de dadosalocando um canal de TV adicional para dados de alta velocidade. Esta adição podedobrar efetivamente a largura de banda de downstream disponível para os assinantes.Outra opção é reduzir o número de assinantes atendidos por cada segmento de rede.Para reduzir o número de assinantes, a operadora a cabo realiza mais uma divisão na

rede colocando as conexões de fibra ótica mais próximas e mais profundas navizinhança.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 228/350

Exibir meio visual 

6.2.3 DSL

Página 1:

O DSL é um meio de fornecer conexões de alta velocidade através de fios de cobreinstalados. Nesta seção, nós observamos o DSL como uma das principais soluçõesdisponíveis para o funcionário remoto.

Há muitos anos, a Bell Labs identificou que uma conversação de voz típica através deum loop local exigia uma largura de banda de somente 300 Hz a 3 kHz. Por muitosanos, as redes de telefonia não utilizaram uma largura de banda acima de 3 kHz. Osavanços na tecnologia permitiram que o DSL utilizasse uma largura de banda adicional

de 3 kHz até 1 MHz para fornecer os serviços de dados de alta velocidade através daslinhas de cobre comuns.

Por exemplo, o DSL assimétrico (ADSL) utiliza um intervalo de freqüência deaproximadamente 20 kHz a 1 MHz. Felizmente, são necessárias somente pequenasmudanças na infra-estrutura das empresas de telefonia existentes para fornecer os dadosda largura de banda alta aos assinantes. A figura mostra uma representação da alocaçãodo espaço de largura de banda em um fio de cobre para ADSL. A área azul identifica ointervalo de freqüência utilizado pelo serviço de telefonia de grau de voz, geralmentechamado de serviço de telefone antigo simples (Plain old telephone service, POTS). Osoutros espaços coloridos representam o espaço de freqüência utilizado pelos sinais DSL

de upstream e downstream.

Os dois tipos básicos de tecnologias DSL são assimétricos (ADSL) e simétricos(SDSL). Todas as formas de serviço DSL são classificadas como ADSL ou SDSL, eexistem diversas variedades de cada tipo. O ADSL fornece uma maior largura de bandade downstream do que largura de banda de carregamento para o usuário. O SDSLfornece a mesma capacidade em ambas as direções.

As diferentes variedades de DSL fornecem larguras de banda diferentes, algumas comrecursos que excedem os recursos de uma linha alugada T1 ou E1. As taxas detransferência são dependentes do comprimento real do loop local e do tipo e condiçãode seu cabeamento. Para obter um serviço satisfatório, o loop deve ter menos do que 5,5quilômetros (3,5 milhas).

Exibir meio visual 

Página 2:

As operadoras implantam as conexões DSL na última etapa de uma rede de telefonialocal, chamada de loop local ou última milha. A conexão é configurada entre um par de

modems em qualquer extremidade de um fio de cobre que se estende entre o CPE(Customer premises equipment, Equipamento do usuário) e o DSLAM (Digital

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 229/350

subscriber line access multiplexer, Multiplexador de acesso à linha digital do assinante).Um DSLAM é o dispositivo localizado no escritório central (Central office, CO) daoperadora e concentra as conexões de diversos assinantes de DSL.

Clique no botão Conexões DSL na figura.

A figura mostra o principal equipamento necessário para fornecer uma conexão de DSLcom um escritório em casa. Os dois componentes principais são o transceiver DSL e oDSLAM:

• Transceiver - Conecta o computador do funcionário remoto ao DSL. Normalmente o transceiver é um modem DSL conectado ao computador utilizando um cabo USB ou Ethernet. Os transceivers DSL mais novos podemser integrados em roteadores pequenos com portas de switch 10/100 múltiplas,

adequadas para serem usadas no escritório em casa.• DSLAM - Situado no CO da operadora, o DSLAM combina as conexões DSL

individuais de usuários em um link da alta capacidade para um ISP e, dessemodo, para a Internet.

Clique no botão Roteador DSL e DSLAM na figura.

A vantagem que o DSL tem sobre a tecnologia a cabo é que o DSL não é um meiocompartilhado. Cada usuário tem uma conexão direta separada para o DSLAM. Aadição de usuários não impede o desempenho, a menos que a conexão da Internet doDSLAM para o ISP, ou a Internet, fique saturada.

Exibir meio visual 

Página 3:

O principal benefício do ADSL é a capacidade de fornecer serviços de dados junto comserviços de voz POTS.

Quando a operadora coloca a voz analógica e o ADSL no mesmo fio, a operadora divideos canais POTS do modem ADSL utilizando filtros ou separadores. Esta configuraçãogarante um serviço de telefonia regular ininterrupto mesmo se o ADSL falhar. Quandoos filtros ou separadores estiverem posicionados, o usuário pode utilizar a linhatelefônica e a conexão ADSL simultaneamente, sem efeitos adversos em qualquer serviço.

Os sinais ADSL distorcem a transmissão de voz e são divididos ou filtrados noequipamento do cliente. Existem duas maneiras de separar o ADSL da voz noequipamento do cliente, utilizando um microfiltro ou um separador.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 230/350

Um microfiltro é um filtro de baixa passagem passivo com duas extremidades. Umaextremidade se conecta ao telefone e a outra se conecta à tomada do telefone. Estasolução elimina a necessidade de um técnico visitar o local e permite que o usuárioutilize qualquer tomada na casa para voz ou serviço ADSL.

Os separadores POTS separam o tráfego DSL do tráfego POTS. O separador POTS éum dispositivo passivo. No caso de uma falha de energia, o tráfego de voz ainda vai

 para o switch de voz no CO da operadora. Os separadores estão localizados no CO e,em algumas implantações, no equipamento do cliente. No CO, o separador de POTSsepara o tráfego de voz, destinado às conexões POTS, e o tráfego de dados destinado aoDSLAM.

A figura mostra o loop local terminando no equipamento do cliente no ponto dedemarcação. O dispositivo real é o dispositivo de interface de rede (NID, Network interface device). Este ponto é normalmente onde a linha telefônica entra no

equipamento do cliente. Neste momento, um separador pode ser anexado à linhatelefônica. O separador bifurca a linha telefônica: uma ponta fornece a instalaçãoelétrica de telefone original para os telefones e a outra ponta se conecta ao modemADSL. O separador age como um filtro de baixa passagem, permitindo que somente asfreqüências de 0 a 4 kHz passem para o telefone ou saiam dele. Instalar o separador POTS ao NID geralmente significa que um técnico deve ir para o local do cliente.

Devido a este trabalho e suporte técnico adicional, a maioria das instalações em casautilizam hoje microfiltros, conforme mostrado na figura. O uso de microfiltros tambémapresenta a vantagem de fornecer uma conectividade mais ampla em toda a residência.

Considerando que o separador POTS separa os sinais ADSL e de voz no NID,normalmente existe somente uma saída ADSL disponível na casa.

Clique no botão Microfiltros na figura.

A figura mostra um layout de DSL de escritório em casa típico utilizando microfiltros. Nesta solução, o usuário pode instalar microfiltros de linha em cada telefone, ou instalar microfiltros embutidos na parede no lugar de tomadas de telefone normais. Ao passar omouse sobre os microfiltros no gráfico, serão mostradas fotos de produtos da Cisco.

Clique no botão Separador na figura.

Se a operadora instalasse um separador, ele seria colocado entre o NID e o sistema dedistribuição telefônica interno. Um fio iria diretamente para o modem DSL e o outrolevaria o sinal de voz aos telefones. Ao passar o mouse sobre a caixa de separador nográfico, um esquema de instalação elétrica típico será revelado.

Exibir meio visual 

6.2.4 Banda larga sem fio

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 231/350

Página 1:

O acesso de banda larga por ADSL ou cabo proporciona aos funcionários remotosconexões mais rápidas do que a discada, mas, até recentemente, os PCs de escritório emcasa tinham que conectar-se a um modem ou um roteador pelo cabo (Ethernet) Cat 5.

Os sistemas de rede sem fio, ou Wi-Fi (wireless fidelity), aprimoraram esta situação,não somente no escritório em casa, mas também nos diversos prédios de empresas.

Utilizando os padrões de rede 802.11, os dados viajam de local para local em ondas derádio. O que torna o sistema de rede 802.11 relativamente fácil de implantar é que eleutiliza o espectro de rádio não licenciado para enviar e receber os dados. A maioria dastransmissões de rádio e TV são reguladas pelo governo e exigem uma licença de uso.

A partir de 2007, os fabricantes de computador iniciaram a criação de adaptadores derede sem fio na maioria dos laptops. Como o preço dos chipsets para Wi-Fi continuacaindo, ele está se tornando uma opção de sistema de rede muito econômica também

 para computadores desktop.

Os benefícios do Wi-Fi estão além de não ter de utilizar ou instalar conexões de redecom fios. O sistema de rede sem fio fornece mobilidade. As conexões sem fio fornecemmaior flexibilidade e produtividade ao funcionário remoto.

Exibir meio visual 

Página 2:Até recentemente, havia a necessidade de uma limitação significativa do acesso sem fio

 para estar dentro do intervalo de transmissão local (geralmente menos que 100 pés) deum roteador para rede sem fio ou ponto de acesso sem fio que possuísse uma conexãoconectada por fios com a Internet. Quando um trabalhador deixava o escritório ou casa,o acesso sem fio não estava prontamente disponível.

Porém, com os avanços na tecnologia, o alcance das conexões sem fio foi estendido. Oconceito de hotspots aumentou o acesso a conexões sem fio pelo mundo. Um hotspot é aárea coberta por um ou mais pontos de acesso interconectados. Locais de concentração

de público, como cafés, parques e bibliotecas, criaram hotspots de Wi-Fi, esperandoaumentar os negócios. Ao sobrepor os pontos de acesso, os hotspots podem abranger muitas milhas quadradas.

 Novos desenvolvimentos em tecnologia de banda larga sem fio estão aumentando adisponibilidade sem fio. São alguns deles:

• Wi-Fi municipal

• WiMAX

• Internet por satélite

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 232/350

Os governos municipais também se juntaram à revolução Wi-Fi. As cidades estãoimplantando redes municipais sem fio, trabalhando geralmente com operadoras.Algumas dessas redes fornecem acesso à Internet de alta velocidade sem custos ou por um preço consideravelmente menor do que o de outros serviços de banda larga. Outras

cidades reservam suas redes Wi-Fi para uso oficial, fornecendo à polícia, aos bombeirose aos funcionários públicos um acesso remoto à Internet e a redes municipais.

Clique no botão Único roteador na figura.

A figura mostra uma implantação doméstica típica utilizando um único roteador pararede sem fio. Esta implantação utiliza o modelo hub-and-spoke. Se o único roteador 

 para rede sem fio falhar, toda a conectividade é perdida. Passe seu mouse sobre a caixade texto.

Clique no botão Malha na figura.

A maioria das redes municipais sem fio utiliza uma topologia em malha em vez de ummodelo hub-and-spoke. Uma malha é uma série de pontos de acesso (transmissores derádio), como mostrado na figura. Cada ponto de acesso está no intervalo e podecomunicar-se com pelo menos dois outros pontos de acesso. A malha cobre sua áreacom sinais de radiofreqüência. Os sinais viajam de ponto de acesso para ponto de acesso

 por esta nuvem.

Uma rede em malha possui diversas vantagens sobre os hotspots de único roteador. Ainstalação é mais fácil e pode ser mais barata porque existem menos fios. A implantaçãosobre uma área urbana grande é mais rápida. De um ponto de vista operacional, ela émais confiável. No caso de falha de um nó, outros nós na malha compensarão.

Clique no botão WiMAX na figura.

O WiMAX (Interoperabilidade Mundial para Acesso Microondas, WorldwideInteroperability for Microwave Access) é a tecnologia de telecomunicações destinada a

fornecer dados sem fio por longas distâncias em uma variedade de modos, de links de ponto a ponto até o acesso de tipo de celular móvel completo. O WiMAX opera emvelocidades mais altas, sobre maiores distâncias e para um maior número de usuáriosque o Wi-Fi. Devido a sua maior velocidade (largura de banda) e preços decomponentes em queda, prevê-se que o WiMAX suplantará em breve as redes de malhamunicipais para implantações sem fio.

Uma rede WiMAX consiste em dois componentes principais:

• Uma torre que é semelhante em conceito a uma torre de telefonia celular. Uma

torre de WiMAX única pode fornecer cobertura para uma área de 3.000 milhasquadradas, ou quase 7.500 quilômetros quadrados.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 233/350

• Um receptor de WiMAX, semelhante em tamanho e forma a uma placa dePCMCIA, ou incorporado a um laptop ou outro dispositivo sem fio.

Uma estação de torre WiMAX se conecta diretamente à Internet utilizando umaconexão de largura de banda alta (por exemplo, uma linha de T3). Uma torre também

 pode conectar-se a outras torres de WiMAX utilizando os links de microondas de linhade visão. O WiMAX é capaz, dessa forma, de abranger áreas rurais fora do alcance docabo de "última milha" e tecnologias de DSL.

Clique no botão Satélite na figura.

Os serviços de Internet por Satélite são utilizados em locais em que o acesso à Internet por terra não está disponível, ou para instalações temporárias que se movemcontinuamente. O acesso à Internet utilizando satélites está disponível mundiamente,

inclusive para embarcações no mar, aviões em vôo e veículos em movimento por terra.

Existem três maneiras de conectar-se à Internet utilizando satélites: multicastunidirecional, retorno terrestre unidirecional e bidirecional.

• Os sistemas de Internet por satélite de multicast unidirecional são utilizados paradistribuição de dados, áudio e vídeo por multicast IP. Embora a maioria dos

 protocolos IP exijam uma comunicação bidirecional, para o conteúdo daInternet, incluindo páginas da web, os serviços de internet por satéliteunidirecional podem ser páginas enviadas para armazenamento local em

instalações de usuários finais pela Internet por satélite. Não é possível obter umainteratividade completa.

• Os sistemas de internet por satélite de retorno terrestre unidirecional utilizamacesso discado tradicional para enviar dados de saída por um modem e receber downloads do satélite.

• A Internet por satélite bidirecional envia dados de locais remotos por meio deum satélite para um hub, o qual envia os dados para a Internet. A antena

 parabólica em cada local deve ser precisamente posicionada para evitar umainterferência com outros satélites.

A figura ilustra um satélite de sistema de internet bidirecional. As velocidades de uploadsão de aproximadamente um décimo da velocidade de download, que está na faixa de500 kb/s.

O principal requisito de instalação é que a antena tenha uma visão clara em direção aoequador, onde a maioria dos satélites em órbita estão estacionados. Árvores e chuvasfortes podem afetar a recepção dos sinais.

A Internet por satélite bidirecional utiliza a tecnologia de multicast IP, que permite que

um satélite sirva a até 5.000 canais de comunicação simultaneamente. O multicast IP

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 234/350

envia dados de um ponto para muitos pontos ao mesmo tempo enviando dados em umformato compactado. A compactação reduz o tamanho dos dados e a largura de banda.

Exibir meio visual 

Página 3:

O sistema de rede sem fio obedece a uma variedade de padrões que os roteadores e osreceptores utilizam para comunicar-se entre si. Os padrões mais comuns estão incluídosno padrão de rede local sem fio IEEE 802.11 (WLAN, wireless local area network), queabrange as bandas do espectro (não licenciado) público de 5 GHz e 2,4 GHz.

Os termos 802.11 e Wi-Fi parecem intercambiáveis, mas isso está incorreto. Wi-Fi éuma certificação de interoperabilidade orientada para a indústria baseada em umsubconjunto de 802.11. A especificação de Wi-Fi surgiu pois a demanda do mercado

levou a Wi-Fi Alliance a começar a certificar os produtos antes de as emendas ao padrão 802.11 serem concluídas. O padrão 802.11, desde então, alcançou e ultrapassouo Wi-Fi.

Do ponto de vista dos funcionários remotos, as abordagens de acesso mais populares para a conectividade são as definidas nos protocolos IEEE 802.11b e IEEE 802.11g. Originalmente, a segurança era intencionalmente fraca nestes protocolos por causa dosrequisitos de exportação restritos de diversos governos. O padrão mais recente, 802.11n,é uma emenda proposta integrada nos padrões 802.11 anteriores, adicionando entradasmúltiplas e saídas múltiplas (multiple-input multiple-output, MIMO).

O padrão 802.16 (ou WiMAX) permite transmissões de até 70 Mb/s e possui umintervalo de até 30 milhas (50 km). Ele pode operar em bandas licenciadas ou nãolicenciadas do espectro de 2 a 6 GHz.

Exibir meio visual 

Página 4:

 Nesta atividade, você demonstrará a sua capacidade de adicionar dispositivos de banda

larga e conexões ao Packet Tracer. Embora não possa configurar DSL e modems a cabo,você pode simular uma conectividade fim-a-fim para dispositivos de funcionárioremoto.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 235/350

6.3 Tecnologia de VPN6.3.1 VPNs e seus benefícios

Página 1:A Internet é uma rede IP mundial, publicamente acessível. Por causa de sua vasta

 proliferação global, ela se tornou um modo atraente de interconectar locais remotos.Porém, o fato de ela ser uma infra-estrutura pública expõe as empresas e suas redesinternas a riscos de segurança. Felizmente, a tecnologia de VPN permite que asorganizações criem redes privadas sobre a infra-estrutura de Internet pública quemantêm a confidencialidade e a segurança.

As organizações utilizam as VPNs para fornecer uma infra-estrutura de WAN virtualque conecta as filiais, os escritórios em casa, os locais de parceiros de negócios e os

funcionários remotos a toda sua rede corporativa ou à parte dela. Para que permaneça privado, o tráfego é criptografado. Em vez de utilizar uma conexão de Camada 2dedicada, tal como uma linha alugada, uma VPN utiliza conexões virtuais que sãoroteadas pela Internet.

Foi apresentada, no início deste curso, uma analogia que envolvia conseguir bilhetescom prioridade para um show em estádio. Uma extensão para essa analogia ajudará aexplicar como uma VPN funciona. Imagine o estádio como um local público da mesmamaneira que a Internet é um local público. Quando o show acaba, o público sai peloscorredores e saídas públicas, esbarrando-se e empurrando-se uns aos outros ao longo do

caminho. Pequenos roubos são ameaças pelas quais se pode passar.

Imagine como os artistas saem. Seus seguranças juntam seus braços e formam cordões pela multidão e protegem as celebridades desses empurrões e esbarrões. De fato, estescordões formam túneis. As celebridades são levadas através de túneis até suaslimusines, que os levam protegidos aos seus destinos. Esta seção descreve como asVPNs funcionam dessa mesma maneira, empacotando os dados e movendo-osseguramente pela Internet através de túneis protetores. É essencial compreender atecnologia de VPN para ser capaz de implementar serviços seguros de funcionárioremoto em redes de empresa.

Analogia: cada rede local é uma ilha

Utilizaremos outra analogia para ilustrar o conceito de VPN de um ponto de vistadiferente. Imagine que você vive em uma ilha em um oceano enorme. Existem milharesde outras ilhas ao seu redor, algumas muito próximas e outras mais distantes. O modonormal de viajar é levar uma barca de sua ilha para qualquer ilha que você desejevisitar. Viajar em uma barca significa que você não tem quase nenhuma privacidade.Qualquer coisa que você fizer pode ser visto por outra pessoa.

Suponha que cada ilha representa uma rede local privada e que o oceano é a Internet.Viajar pela barca é semelhante a quando você se conecta a um servidor web ou a outro

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 236/350

dispositivo pela Internet. Você não tem controle sobre os fios e os roteadores quecompõem a Internet, assim como você não tem nenhum controle sobre as outras pessoasna barca. Isto o deixa vulnerável a problemas de segurança caso você tente conectar-seentre duas redes privadas utilizando um recurso público.

Sua ilha decide construir uma ponte para outra ilha de forma que haja um modo maisfácil, mais seguro e direto de as pessoas viajarem entre as duas. A construção e amanutenção da ponte são caras, mesmo que a ilha para a qual você está se conectandoseja muito próxima. Mas a necessidade de um caminho confiável e seguro é tão grandeque você a constrói mesmo assim. Sua ilha gostaria de conectar-se a uma segunda ilhaque está muito mais distante, mas você decide que isso sairá muito caro.

Esta situação é muito parecida com ter uma linha alugada. As pontes (linhas alugadas)estão separadas do oceano (Internet), mas, ainda assim, elas podem conectar as ilhas(redes locais). Muitas empresas escolheram esta rota por causa da necessidade de

segurança e confiabilidade na conexão de seus escritórios remotos. Entretanto, se osescritórios forem muito distantes, o custo poderá ser proibitivamente alto - assim comotentar criar uma ponte que atravessa uma grande distância.

Desse modo, como a VPN se ajusta a esta analogia? Nós poderíamos dar a cadahabitante das ilhas seu próprio submarino pequeno com estas propriedades:

• Rápido

• Fácil de levar com você onde você for 

• Capaz de escondê-lo completamente de qualquer outro barco ou submarino• Confiável

• Poucos custos para adicionar submarinos à sua frota depois que o primeiro for comprado

Embora eles estejam viajando no oceano junto com outro tráfego, os habitantes denossas duas ilhas poderiam viajar de um lado para o outro sempre que desejassem, com

 privacidade e segurança. É essencialmente dessa maneira que uma VPN funciona. Cadamembro remoto de sua rede pode comunicar-se de uma maneira segura e confiávelutilizando a Internet como o meio para conectar-se à rede local privada. Uma VPN podecrescer a fim de acomodar mais usuários e locais diferentes de forma muito mais fácildo que uma linha alugada. Na realidade, a escalabilidade é uma vantagem principal queas VPNs têm sobre as linhas alugadas comuns. Diferente das linhas alugadas, onde ocusto aumenta proporcionalmente às distâncias envolvidas, as localizações geográficasde cada escritório pouco importam na criação de uma VPN.

Exibir meio visual 

Página 2:

As organizações que utilizam VPNs beneficiam-se de um aumento na flexibilidade e na produtividade. Locais e funcionários remotos podem conectar-se de modo seguro à rede

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 237/350

corporativa de quase qualquer lugar. Os dados em uma VPN são criptografados etornam-se indecifráveis a qualquer um que não tenha permissão para fazê-lo. As VPNstrazem hosts remotos para dentro do firewall, dando-lhes quase os mesmos níveis deacesso para os dispositivos de rede como se eles estivessem em um escritóriocorporativo.

A figura mostra as linhas alugadas em vermelho. As linhas azuis representam asconexões baseadas em VPN. Considere estes benefícios ao utilizar as VPNs:

• Economia de custo - As organizações podem utilizar um transporte de Interneteconômico e externo para conectar escritórios remotos e usuários ao sitecorporativo principal. Isto elimina links de WAN dedicados caros e bancos demodem. Utilizando a banda larga, as VPNs reduzem os custos de conectividadeao mesmo tempo em que aumentam a largura de banda de conexão remota.

• Segurança - Criptografia e protocolos de autenticação avançados protegem osdados de acessos não autorizados.

• Escalabilidade - As VPNs utilizam a infra-estrutura de Internet dentro dos ISPse operadoras, facilitando a adição de novos usuários pelas organizações. Asorganizações, grandes e pequenas, podem adicionar uma grande quantidade decapacidade sem adicionar uma infra-estrutura significativa.

Exibir meio visual 

6.3.2 Tipos de VPNs

Página 1:

As organizações utilizam as VPNs ponto a ponto a fim de conectar locais espalhados damesma maneira que uma linha alugada ou conexão de Frame Relay é utilizada. Como amaioria das organizações agora têm acesso à Internet, é conveniente tirar proveito dos

 benefícios das VPNs ponto a ponto. Conforme ilustrado na figura, as VPNs ponto a ponto também suportam intranets de empresas e extranets de parceiros de negócios.

Com efeito, uma VPN ponto a ponto é uma extensão de um sistema de rede WANclássico. As VPNs ponto a ponto conectam redes inteiras umas às outras. Por exemplo,

elas podem conectar uma rede de filial a uma rede da sede da empresa.

Em uma VPN ponto a ponto, os hosts enviam e recebem o tráfego de TCP/IP através deum gateway de VPN que pode ser um roteador, dispositivo de firewall PIX ou umMecanismo de Segurança Adaptável (ASA). O gateway de VPN é responsável por encapsular e criptografar o tráfego de saída para todo o tráfego de um local específico e

 por enviá-lo por um túnel de VPN sobre a Internet para um gateway de VPN de mesmonível no local designado. Ao receber, o gateway de VPN de mesmo nível retira oscabeçalhos, descriptografa o conteúdo e retransmite o pacote para o host designadodentro de sua rede privada.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 238/350

Página 2:

Os usuários móveis e funcionários à distância utilizam amplamente as VPNs de acessoremoto. No passado, as corporações suportavam os usuários remotos utilizando redes

discadas. Acessar a corporação geralmente envolvia uma chamada de longa distância etarifas de interurbano.

A maioria dos funcionários remotos agora tem acesso à Internet de suas casas e podeestabelecer VPNs remotas utilizando conexões de banda larga. Da mesma forma, umfuncionário móvel pode fazer uma chamada local para um ISP local a fim de acessar acorporação pela Internet. De fato, isto marca uma evolução em redes discadas. As VPNsde acesso remoto podem suportar as necessidades dos funcionários à distância, usuáriosmóveis, bem como extranet para transações de comércio eletrônico.

Em uma VPN de acesso remoto, cada host geralmente possui um software de cliente deVPN. Sempre que o host tenta enviar algum tráfego, o software de cliente de VPNencapsula e criptografa esse tráfego antes de enviá-lo pela Internet para o gateway deVPN na extremidade da rede designada. Ao receber, o gateway de VPN trata os dadosda mesma maneira que trataria os dados de uma VPN ponto a ponto.

Exibir meio visual 

6.3.3 Componentes da VPN 

Página 1:

Uma VPN cria uma rede privada sobre uma infra-estrutura de rede pública enquantomantém a confidencialidade e a segurança. As VPNs utilizam protocolos detunelamento criptográfico para fornecer proteção contra detecção de pacotes,autenticação de remetentes e integridade da mensagem.

A figura ilustra uma topologia de VPN típica. Os componentes necessários paraestabelecer esta VPN incluem:

• Uma rede existente com servidores e estações de trabalho• Uma conexão com a Internet

• Gateways de VPN, tais como roteadores, firewalls, concentradores de VPN eASAs, que agem como pontos de extremidade para estabelecer, gerenciar econtrolar as conexões de VPN

• Software apropriado para criar e gerenciar túneis de VPN

A chave para a efetividade da VPN é a segurança. As VPNs protegem os dadosencapsulando-os ou criptografando-os. A maioria das VPNs pode fazer os dois.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 239/350

• O encapsulamento também pode ser chamado de tunelamento, uma vez que oencapsulamento transmite os dados de forma transparente de rede para redeatravés de uma infra-estrutura de rede compartilhada.

• A criptografia codifica os dados em um formato diferente utilizando uma chavesecreta. A descriptografia decodifica os dados criptografados no formato não

criptografado original.

O encapsulamento e a criptografia são discutidos em mais detalhes posteriormente nestecurso.

Exibir meio visual 

6.3.4 Características de VPNs seguras

Página 1:As VPNs utilizam técnicas de criptografia avançadas e tunelamento para permitir que asorganizações estabeleçam conexões de rede seguras, fim-a-fim e privadas pela Internet.

A base de uma VPN segura é a confidencialidade e integridade dos dados e aautenticação:

• Confidencialidade dos dados - Uma preocupação de segurança comum é proteger os dados de interceptadores. Como um recurso de design, a

confidencialidade de dados procura proteger o conteúdo das mensagens daintercepção por fontes não autenticadas ou não autorizadas. As VPNs obtêm aconfidencialidade utilizando mecanismos de encapsulamento e criptografia.

• Integridade de dados - Os receptores não têm nenhum controle sobre ocaminho pelo qual os dados passaram e, portanto, não sabem se os dados foramvistos ou alterados enquanto viajava pela Internet. Existe sempre a possibilidadede os dados terem sido modificados. A integridade de dados garante que nãoocorra nenhuma falsificação ou alteração aos dados enquanto eles viajam entre aorigem e o destino. As VPNs normalmente utilizam hashes para assegurar aintegridade dos dados. Um hash é como uma checksum ou selo que garante queninguém leu o conteúdo, mas ele é mais potente. Os hashes são explicados no

 próximo tópico.• Autenticação - A autenticação garante que uma mensagem venha de uma

origem autêntica e vá para um destino autêntico. A identificação de usuário proporciona ao usuário a confiança de que a parte com a qual ele estabelece ascomunicações é quem ele realmente pensa. As VPNs podem utilizar senhas,certificados digitais, smart cards e biométrica para estabelecer a identidade dos

 participantes na outra extremidade de uma rede.

Exibir meio visual 

6.3.5 Tunelamento de VPN 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 240/350

Página 1:

Incorporar recursos de confidencialidade de dados apropriados a uma VPN assegura quesomente as origens e os destinos determinados sejam capazes de interpretar o conteúdooriginal das mensagens.

O tunelamento permite o uso de redes públicas como a Internet para levar os dados parausuários como se os usuários tivessem acesso a uma rede privada. O tunelamentoencapsula um pacote inteiro dentro de outro pacote e envia o novo pacote compostosobre uma rede. Esta figura lista as três classes de protocolos utilizadas pelotunelamento.

Para ilustrar o conceito de tunelamento e as classes de protocolos de tunelamento,considere um exemplo de um envio de um cartão de natal por correio tradicional. Ocartão de natal tem uma mensagem dentro. O cartão é o protocolo de passagem. Oremetente coloca o cartão dentro de um envelope (protocolo de encapsulamento) com oendereçamento apropriado escrito. O remetente coloca o envelope em uma caixa decorreio para entrega. O sistema postal (protocolo de operadora) escolhe e entrega oenvelope para a caixa de correio do destinatário. Os dois pontos de extremidade nosistema da operadora são as "interfaces de túnel." O destinatário remove o cartão denatal (extrai o protocolo de passagem) e lê a mensagem.

Clique no botão Encapsulamento na figura para exibir uma ilustração do processo deencapsulamento.

Esta figura ilustra uma mensagem de email que viaja pela Internet sobre uma conexãode VPN. O PPP leva a mensagem ao dispositivo de VPN, onde a mensagem éencapsulada dentro de um pacote de Encapsulamento de Rota Genérico (GRE, GenericRoute Encapsulation). O GRE é um protocolo de tunelamento desenvolvido pela CiscoSystems que pode encapsular uma ampla variedade de tipos de pacote de protocolodentro de túneis IP, criando um link ponto a ponto virtual para roteadores da Cisco em

 pontos remotos sobre uma rede IP interconectada. Na figura, o endereçamento deorigem e destino externo do pacote é atribuído para "interfaces de túnel" e é colocadoem condição de roteamento através da rede. Quando um pacote composto alcança ainterface de túnel de destino, o pacote interno é extraído.

Exibir meio visual 

6.3.6 Integridade de dados da VPN 

Página 1:

Se os dados de texto simples forem transportados pela Internet pública, eles poderão ser interceptados e lidos. Para manter os dados privados, eles precisam ser criptografados.A criptografia de VPN criptografa os dados e os torna ilegíveis para receptores nãoautorizados.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 241/350

Para que a criptografia funcione, o remetente e o receptor devem conhecer as regrasutilizadas para transformar a mensagem original em seu formato codificado. As regrasde criptografia de VPN incluem um algoritmo e uma chave. Um algoritmo é umafunção matemática que combina uma mensagem, texto, dígitos ou os três com umachave. A saída de dados é uma cadeia de códigos ilegível. A descriptografia é

extremamente difícil ou impossível sem a chave correta.

 No exemplo, Gail deseja enviar um documento financeiro a Jeremy pela Internet. Gail eJeremy concordaram previamente com uma chave secreta compartilhada. Naextremidade de Gail, o software de cliente de VPN combina o documento com a chavesecreta compartilhada e a passa através de um algoritmo de criptografia. A saída dedados é um texto de códigos indecifrável. O texto de códigos é enviado por um túnel deVPN sobre a Internet. Na outra extremidade, a mensagem é recombinada com a mesmachave secreta compartilhada e processada pelo mesmo algoritmo de criptografia. Asaída de dados é o documento financeiro original que agora está legível para Jeremy.

Exibir meio visual 

Página 2:

O grau de segurança proporcionado por qualquer algoritmo de criptografia depende dotamanho da chave. Para qualquer tamanho de chave determinado, o tempo necessário

 para processar todas as possibilidades para decodificar o texto codificado é uma funçãode potência de computação do computador. Portanto, quanto menor a chave, mais fácil éa decodificação, mas, ao mesmo tempo, mais fácil é transmitir a mensagem.

Alguns do algoritmos de criptografia e tamanho de chaves mais comuns utilizados são:

• Algoritmo de criptografia padrão de dados (DES) - Desenvolvido pela IBM,o DES utiliza uma chave de 56 bits, assegurando uma criptografia de altodesempenho. O DES é um sistema de criptografia de chave simétrica. As chavessimétricas e assimétricas são explicadas abaixo.

• Algoritmo DES triplo (3DES) - Uma variante mais nova do DES quecriptografa com uma chave, decodifica com outra chave diferente e, em seguida,criptografa uma última vez com outra chave. O 3DES proporciona uma potênciasignificativamente maior ao processo de criptografia.

• Criptografia padrão avançada (AES) - O Instituto Nacional de Padrões eTecnologia (NIST) adotou o AES para substituir a criptografia de DES existenteem dispositivos criptográficos. O AES proporciona uma segurança mais forte doque o DES e é mais eficiente que o 3DES do ponto de vista computacional. OAES oferece três tamanhos de chave diferentes: chaves de 128, 192, e 256 bits.

• Rivest, Shamir e Adleman (RSA) - Um sistema de criptografia de chaveassimétrica. As chaves utilizam um tamanho de bits de 512, 768, 1024 ou maior.

Criptografia simétrica

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 242/350

Os algoritmos de criptografia, tais como DES e 3DES, exigem uma chave secretacompartilhada para executar criptografia e descriptografia. Cada um dos doiscomputadores deve conhecer a chave para decodificar as informações. Com acriptografia de chave simétrica, também chamada de criptografia de chave secreta, cadacomputador criptografa as informações antes de enviá-las pela rede para o outro

computador. A criptografia de chave simétrica exige o conhecimento de quaiscomputadores se comunicarão de modo que a mesma chave possa ser configurada emcada computador.

Por exemplo, um remetente cria uma mensagem codificada onde cada letra é substituída pela letra que está duas letras abaixo no alfabeto: "A" se torna "C" e "B" se torna "D", eassim por diante. Neste caso, o palavra SECRET se torna UGETGV. O remetente jácontou ao destinatário que a chave secreta é "trocar por 2 antes”. Quando o destinatárioreceber a mensagem UGETGV, o computador do destinatário decodificará a mensagemdeslocando-se para duas letras antes e calculando SECRET. Qualquer outra pessoa queveja a mensagem enxergará somente a mensagem criptografada, que não tem sentido a

menos que a pessoa saiba a chave secreta.

A pergunta é: como ambos os dispositivos de criptografia e descriptografia possuem achave secreta compartilhada? Você pode utilizar o email, mensageiro ou correio noturno

 para enviar as chaves secretas compartilhadas aos administradores dos dispositivos.Outro método mais fácil e seguro é a criptografia assimétrica.

Criptografia assimétrica

A criptografia assimétrica utiliza diferentes chaves para criptografia e descriptografia.Conhecer uma das chaves não permite que um hacker deduza a segunda chave edecodifique as informações. Uma chave criptografa a mensagem, enquanto umasegunda chave descriptografa a mensagem. Não é possível criptografar e descriptografar com a mesma chave.

A criptografia de chave pública é uma variante da criptografia assimétrica que utilizauma combinação de uma chave privada e uma chave pública. O destinatário forneceuma chave pública a qualquer remetente com quem o destinatário deseja se comunicar.O remetente utiliza uma chave privada combinada com a chave pública do destinatário

 para criptografar a mensagem. Além disso, o remetente deve compartilhar sua chave pública com o destinatário. Para descriptografar uma mensagem, o destinatário utilizaráa chave pública do remetente com sua própria chave privada.

Exibir meio visual 

Página 3:

Os hashes contribuem com a integridade e autenticação de dados assegurando que pessoas não autorizadas não adulterem as mensagens transmitidas. Um hash, tambémchamado de resumo de mensagem (message digest), é um número gerado a partir deuma cadeia de texto. O hash é menor que o próprio texto. Ele é gerado utilizando uma

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 243/350

fórmula de tal modo que seja extremamente improvável que outro texto produza omesmo valor de hash.

O remetente original gera um hash da mensagem e o envia com a própria mensagem. Odestinatário descriptografa a mensagem e o hash, gera outro hash da mensagem recebidae compara os dois hashes. Se eles forem os mesmos, o destinatário poderá ficar razoavelmente seguro de que a integridade da mensagem não foi afetada.

 Na figura, alguém está tentando enviar um cheque de US$100 para Jeremy. Naextremidade remota, Alex Jones (um provável criminoso) está tentando trocar o cheque

 para $1.000. Como o cheque passou pela Internet, ele foi alterado. Tanto o destinatárioquanto a quantia em dólar foram alterados. Neste caso, se um algoritmo de integridadede dados fosse utilizado, os hashes não seriam correspondentes e a transação não seriamais válida.

Os dados de VPN são transportados pela Internet pública. Como mostrado, há um potencial para que esses dados sejam interceptados e modificados. Para se proteger dessa ameaça, os hosts podem adicionar um hash à mensagem. Se o hash transmitidocorresponder ao hash recebido, a integridade da mensagem terá sido preservada.Entretanto, se não houver nenhuma correspondência, a mensagem foi alterada.

As VPNs utilizam um código de autenticação de mensagem para verificar a integridadee a autenticidade de uma mensagem, sem utilizar nenhum mecanismo adicional. UmHMAC (Keyed Hashed Message Authentication Code, Código de Autenticação deMensagem com Chave de Hash) é um algoritmo de integridade de dados que garante aintegridade da mensagem.

Um HMAC possui dois parâmetros: uma entrada de mensagem e uma chave secretaconhecidas somente pelo remetente e receptores pretendidos. O remetente da mensagemutiliza uma função HMAC para gerar um valor (o código de autenticação damensagem), formado pela compactação da chave secreta e da entrada da mensagem. Ocódigo de autenticação da mensagem é enviado junto com a mensagem. O receptor computa o código de autenticação da mensagem na mensagem recebida utilizando amesma chave e função HMAC que o remetente utilizou e compara o resultadocomputado com o código de autenticação de mensagem recebido. Se houver 

correspondência entre os dois valores, a mensagem será recebida corretamente e oreceptor terá a segurança de que o remetente é um membro da comunidade de usuáriosque compartilham a chave. A potência criptográfica do HMAC depende da potênciacriptográfica da função de hash, do tamanho e da qualidade da chave, e do tamanho dasaída de dados de hash produzida em bits.

Existem dois algoritmos HMAC comuns:

• Message Digest 5 (MD5) - Utiliza uma chave secreta compartilhada de 128 bits.A mensagem de tamanho variável e chave secreta compartilhada de 128 bits sãocombinadas e executadas pelo algoritmo hash de HMAC-MD5. A saída de

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 244/350

dados é um hash de 128 bits. O hash é acrescentado à mensagem original eencaminhado à extremidade remota.

• Algoritmo de Hash seguro 1 (SHA-1) - Utiliza uma chave secreta de 160 bits.A mensagem de tamanho variável e chave secreta compartilhada de 160 bits sãocombinadas e executadas pelo algoritmo hash de HMAC-SHA-1. A saída de

dados é um hash de 160 bits. O hash é acrescentado à mensagem original eencaminhado à extremidade remota.

Clique no botão Autenticação de VPN na figura.

Ao administrar os negócios à longa distância, é necessário saber quem está na outraextremidade do telefone, email ou fax. O mesmo vale para redes de VPN. O dispositivoda outra extremidade do túnel de VPN deve ser autenticado antes de o caminho decomunicação ser considerado seguro. Existem dois métodos de autenticação do ponto(peer):

• Chave pré-compartilhada (PSK, Pre-shared key) - Uma chave secreta que écompartilhada entre os dois participantes utilizando um canal seguro antes de

 precisar ser utilizada. As PSKs utilizam algoritmos criptográficos de chavesimétrica. Uma PSK é colocada em cada ponto manualmente e utilizada paraautenticar esse ponto. Em cada extremidade, a PSK é combinada com outrasinformações para formar a chave de autenticação.

• Assinatura de RSA - Utiliza a troca de certificados digitais para autenticar os pontos. O dispositivo local produz um hash e o criptografa com sua chave privada. O hash criptografado (assinatura digital) é anexado à mensagem eencaminhado à extremidade remota. Na extremidade remota, o hash

criptografado é descriptografado utilizando a chave pública da extremidadelocal. Se o hash descriptografado corresponder ao hash recomputado, aassinatura será genuína.

Observe uma demonstração de RSA para obter um exemplo de criptografia de RSA.

Exibir meio visual 

6.3.7 Protocolos de segurança IPsec

Página 1:

O IPsec é o conjunto de aplicações de protocolo para proteger as comunicações de IP,que fornece criptografia, integridade e autenticação. O IPsec explicita a transmissão demensagens necessária para proteger as comunicações de VPN, mas confia nosalgoritmos existentes.

Existem dois protocolos de estrutura IPsec principais.

•

Cabeçalho de autenticação (AH, Authentication header) - Utilizado quandonão se exige ou permite a confidencialidade. O AH fornece a autenticação e aintegridade de dados e para pacotes IP transmitidos entre dois sistemas. Ele

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 245/350

verifica se as mensagens transmitidas de R1 para R2 não foram modificadasdurante o trânsito. Ele também verifica se a origem dos dados era R1 ou R2. OAH não fornece a confidencialidade de dados (criptografia) dos pacotes. Se for utilizado sozinho, o protocolo AH fornece uma fraca proteção.Conseqüentemente, ele é utilizado com o protocolo ESP para fornecer a

criptografia de dados e recursos de segurança de monitoramento contraadulterações.

• Payload de segurança de encapsulamento (ESP, Encapsulating SecurityPayload) - Fornece confidencialidade e autenticação através da criptografia do

 pacote IP. A criptografia do pacote IP oculta os dados e as identidades da origeme do destino. O ESP autentica o pacote IP interno e o cabeçalho de ESP. Aautenticação proporciona a autenticação da origem de dados e a integridade dosdados. Embora a criptografia e a autenticação sejam opcionais no ESP, nomínimo uma delas deve ser selecionada.

Clique no botão Estrutura IPsec na figura.

O IPsec conta com os algoritmos existentes para implementar a criptografia, aautenticação e a troca de chaves. Alguns dos algoritmos padrão que o IPsec utiliza são:

• DES - Criptografa e descriptografa os dados do pacote.

• 3DES - Fornece uma potência de criptografia significativa sobre o DES de 56 bits.

• AES – Proporciona uma criptografia mais potente, dependendo do tamanho de

chave utilizada, bem como uma melhor produtividade.• MD5 - Autentica os dados do pacote, utilizando uma chave secreta

compartilhada de 128 bits.

• SHA-1 - Autentica os dados do pacote, utilizando uma chave secretacompartilhada de 160 bits.

• DH - Permite que os dois participantes estabeleçam uma chave secretacompartilhada utilizada pela criptografia e pelos algoritmos hash, por exemplo, oDES e MD5, sobre um canal de comunicações não seguro.

A figura mostra como o IPsec é configurado. O IPsec fornece a estrutura e oadministrador escolhe os algoritmos utilizados para implementar os serviços desegurança dentro dessa estrutura. Existem quatro quadrados da estrutura de IPsec aserem preenchidos.

• Ao configurar um gateway de IPsec para fornecer serviços de segurança, escolha primeiro um protocolo IPsec. As escolhas são: ESP ou ESP com AH.

• O segundo quadrado será um algoritmo de criptografia se o IPsec for implementado com ESP. Escolha o algoritmo de criptografia apropriado para onível desejado de segurança: DES, 3DES ou AES.

•

O terceiro quadrado é a autenticação. Escolha um algoritmo de autenticação parafornecer a integridade dos dados: MD5 ou SHA.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 246/350

• O último quadrado é o grupo de algoritmos Diffie-Hellman (DH). Queestabelece o compartilhamento das informações da chave entre os pontos.Escolha qual grupo utilizar: DH1 ou DH2.

Exibir meio visual 

Página 2:Exibir meio visual 

Página 3:Exibir meio visual 

6.4 Resumo do capítulo6.4.1 Resumo do capítulo

Página 1:

 Neste capítulo, você aprendeu sobre a importância crescente dos funcionários remotos.Você pode descrever os requisitos de uma organização para fornecer serviços defuncionário remoto em termos do que o funcionário remoto precisa e do que aorganização precisa para fornecer uma conectividade confiável e econômica. Entre osmodos preferidos para conectar os funcionários remotos, você pode descrever comoutilizar os serviços de banda larga, inclusive o DSL, cabo e sem fio. Além disso, você

sabe como a tecnologia de VPN pode ser utilizada para fornecer serviços de funcionárioremoto seguros nas organizações, incluindo a importância, os benefícios, a função e oimpacto da tecnologia de VPN, bem como os tipos de acesso, componentes,tunelamento e criptografia.

Exibir meio visual 

Página 2:Exibir meio visual 

Página 3:

Esta atividade exige que você configure uma rota padrão bem como um roteamentodinâmico utilizando o RIP versão 2. Você também adicionará dispositivos de bandalarga à rede. Por fim, você irá configurar as ACLs em dois roteadores para controlar otráfego de rede.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 247/350

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

6.5 Teste do capítulo6.5.1 Teste do capítulo

Página 1:Exibir meio visual 

7 Serviços de endereçamento IP

7.0 Introdução do capítulo7.0.1 Introdução

Página 1:

A Internet e as tecnologias relacionadas ao IP passaram por um rápido crescimento.Uma razão para o crescimento deve-se, em parte, à flexibilidade do design original.Entretanto, este design não previu a popularidade da Internet e a demanda resultante por endereços IP. Por exemplo, cada host e cada dispositivo na Internet exige um endereçodo exclusivo IP versão 4 (IPv4). Devido ao drástico crescimento, o número deendereços IP disponíveis está se esgotando.

Para lidar com o esgotamento dos endereços IP, foram desenvolvidas diversas soluçõesde curto prazo. As duas soluções de curto prazo são os endereços privados e a Traduçãode Endereço de Rede (NAT, Network Address Translation).

Um host interno normalmente recebe seu endereço IP, máscara de sub-rede, endereço IPde gateway padrão, endereço IP de servidor DNS e outras informações de um servidor de Protocolo de Configuração de Host Dinâmico (DHCP, Dynamic Host ConfigurationProtocol). Em vez de fornecer hosts internos com endereços IP de Internet válidos, oservidor DHCP geralmente fornece endereços IP de um conjunto privado de endereços.

O problema é que estes hosts ainda podem exigir endereços IP válidos para acessar osrecursos da Internet. É aí que entra a NAT.

A NAT permite que os hosts de rede internos obtenham temporariamente um endereçoIP de Internet legítimo enquanto acessam os recursos da Internet. Quando o tráfegosolicitado retorna, o endereço IP legítimo é adaptado e disponibilizado para a solicitaçãoseguinte da Internet feita por um host interno. Usando a NAT, os administradores derede precisam somente de um ou poucos endereços IP para serem fornecidos aos hosts

 pelo roteador, em vez de um endereço IP exclusivo para cada cliente que entra na rede.Embora pareça ineficiente, o processo é, na verdade, muito eficiente, porque o tráfego

do host acontece de forma muito rápida.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 248/350

Embora os endereços privados com o DHCP e a NAT tenham ajudado a reduzir anecessidade de endereços IP, estima-se que nós esgotaremos os endereços IPv4exclusivos por volta de 2010. Por essa razão, em meados dos anos 90, o IETF solicitou

 propostas para um novo esquema de endereçamento IP. O grupo de trabalho IP NextGeneration (IPng, Última Geração de IP) reagiu. Por volta do ano de 1996, o IETF

começou a liberar diversas RFCs definindo o IPv6.

O principal recurso do IPv6 sendo adotado hoje em dia é o maior espaço de endereço:os endereços no IPv6 possuem um tamanho de 128 bits contra os 32 bits do IPv4.

Este capítulo descreve como implementar o DHCP, a NAT e o IPv6 em redescorporativas.

Exibir meio visual 

7.1 DHCP7.1.1 Apresentando o DHCP 

Página 1:

O que é DHCP?

Cada dispositivo que se conecta a uma rede precisa de um endereço IP. Osadministradores de rede atribuem endereços IP estáticos a roteadores, servidores e a

outros dispositivos de rede cujas localizações (físicas e lógicas) não tendem a mudar. Osadministradores digitam os endereços IP estáticos manualmente quando configuram osdispositivos para entrar na rede. Os endereços estáticos também permitem que osadministradores gerenciem tais dispositivos remotamente.

Porém, os computadores em uma organização mudam frequentemente de localização,tanto física quanto logicamente. Os administradores não conseguem atribuir novosendereços IP cada vez que um funcionário se muda para um escritório ou cubículodiferente. Os clientes com desktop não exigem um endereço estático. Em vez disso, umaestação de trabalho pode utilizar qualquer endereço dentro de um intervalo deendereços. Esse intervalo está normalmente dentro de uma sub-rede IP. Uma estação de

trabalho dentro de uma sub-rede específica pode receber qualquer endereço dentro deum intervalo específico. Atribui-se um valor a outros itens, tais como a máscara de sub-rede, o gateway padrão e o servidor do Sistema de Resolução de Nome de Domínio(DNS, Domain Name System), valor esse que é igual para a sub-rede ou para toda arede administrada. Por exemplo, todos os hosts dentro da mesma sub-rede receberãoendereços IP de host diferentes, mas receberão a mesma máscara de sub-rede e omesmo endereço IP de gateway padrão.

Você viu no CCNA Exploration, Fundamentos de rede, que o DHCP realiza o processode atribuir novos endereços IP de modo quase transparente. O DHCP atribui endereços

IP e outras informações de configuração de rede importantes dinamicamente. Como osclientes com desktop geralmente compõem o lote de nós de rede, o DHCP é uma

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 249/350

ferramenta que economiza tempo e extremamente útil para os administradores de rede.A RFC 2131 descreve o DHCP.

Os administradores normalmente preferem que um servidor de rede ofereça serviços deDHCP, porque tais soluções são escaláveis e relativamente fáceis de gerenciar.Entretanto, em uma filial pequena ou local de SOHO, um roteador Cisco pode ser configurado para prestar serviços de DHCP sem a necessidade de um servidor dedicadocaro. Um conjunto de recursos do IOS Cisco chamado Easy IP oferece um servidor DHCP completo e opcional.

Exibir meio visual 

7.1.2 Operação de DHCP 

Página 1:Operação de DHCP

A tarefa mais importante realizada por um servidor DHCP é fornecer endereços IP aosclientes. O DHCP inclui três mecanismos de alocação de endereço diferentes parafornecer flexibilidade ao atribuir endereços IP:

• Alocação manual: O administrador atribui um endereço IP pré-alocado aocliente e o DHCP somente comunica o endereço IP ao dispositivo.

•

Alocação automática: O DHCP atribui automaticamente um endereço IPestático permanente a um dispositivo, selecionando-o de um conjunto deendereços disponíveis. Não existe empréstimo e o endereço é atribuído

 permanentemente a um dispositivo.

• Alocação dinâmica: O DHCP atribui ou empresta automática e dinamicamenteum endereço IP a partir de um conjunto de endereços por um período limitadoescolhido pelo servidor, ou até que o cliente diga ao servidor DHCP que não

 precisa mais do endereço.

Esta seção aborda a alocação dinâmica.

O DHCP trabalha em um modo cliente/servidor e funciona como qualquer outra relaçãode cliente/servidor. Quando um PC se conecta a um servidor DHCP, o servidor atribuiou empresta um endereço IP a esse PC. O PC se conecta à rede com esse endereço IPemprestado até que tal empréstimo expire. O host deve entrar em contato com oservidor DHCP periodicamente para estender o empréstimo. Este mecanismo deempréstimo assegura que os hosts que se mudam ou se desligam não se prendam aendereços dos quais não precisam. O servidor DHCP devolve esses endereços aoconjunto de endereços e os realoca conforme o necessário.

Clique no botão Detecção na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 250/350

Quando o cliente inicializa ou deseja entrar de outro modo na rede, ele conclui quatroetapas para obtenção de um empréstimo. Na primeira etapa, o cliente transmite umamensagem DHCPDISCOVER em broadcast. A mensagem DHCPDISCOVER localizaos servidores DHCP na rede. Como o host não tem nenhuma informação de IP válida nainicialização, ele utilizará os endereços de broadcast de L2 e L3 para comunicar-se com

o servidor.

Clique no botão Oferta na figura.

Quando o servidor DHCP recebe uma mensagem DHCDISCOVER, ele localiza umendereço IP disponível para empréstimo, cria uma entrada de ARP consistindo noendereço MAC do host solicitante e o endereço IP emprestado, e transmite uma ofertade associação com uma mensagem DHCPOFFER. A mensagem DHCPOFFER éenviada como um unicast, utilizando o endereço MAC de L2 do servidor como oendereço de origem e o endereço de L2 do cliente como o destino.

Nota: Sob certas circunstâncias, a troca de mensagens do DHCP do servidor pode ser transmitida por broadcast e não por unicast.

Clique no botão Solicitação na figura.

Quando o cliente recebe o DHCPOFFER do servidor, ele retorna uma mensagemDHCPREQUEST. Essa mensagem tem dois objetivos: emprestar a origem, a renovaçãoe a verificação. Quando usado para emprestar uma origem, o DHCPREQUEST do

cliente está solicitando que as informações de IP sejam verificadas logo após suaatribuição. A mensagem fornece a verificação de erros para assegurar que a atribuiçãoainda seja válida. O DHCPREQUEST também serve como um aviso de aceitação deassociação para o servidor selecionado e uma recusa implícita a quaisquer outrosservidores que possam ter enviado uma oferta de associação para o host.

Muitas redes corporativas utilizam diversos servidores DHCP. A mensagemDHCPREQUEST é enviada na forma de broadcast para informar este servidor DHCP equalquer outro servidor DHCP sobre a oferta aceita.

Clique no botão Confirmação na figura.

Ao receber a mensagem DHCPREQUEST, o servidor verifica as informações deempréstimo, cria uma nova entrada de ARP para o empréstimo do cliente e respondecom uma mensagem DHCPACK de unicast. A mensagem DHCPACK é uma duplicatada mensagem DHCPOFFER, exceto por uma mudança no campo de tipo de mensagem.Quando o cliente recebe a mensagem DHCPACK, ele registra as informações deconfiguração e executa uma busca de ARP para o endereço atribuído. Caso não recebauma resposta, ele saberá que o endereço IP é válido e começa a usá-lo como seu.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 251/350

Os clientes emprestam as informações do servidor por um período definidoadministrativamente. Os administradores configuram os servidores DHCP para definir os tempos limite dos empréstimos em intervalos diferentes. A maioria dos ISPs egrandes redes utiliza durações de empréstimo padrão de até três dias. Quando oempréstimo expira, o cliente deve solicitar outro endereço, embora já receba

normalmente a atribuição do mesmo endereço.

A mensagem DHCPREQUEST também abrange o processo de DHCP dinâmico. Asinformações de IP enviadas no DHCPOFFER podem ter sido oferecidas a outro clientedurante a alocação dinâmica. Cada servidor DHCP cria conjuntos de endereços IP e

 parâmetros associados. Os conjuntos são dedicados a sub-redes IP lógicas e individuais.Os conjuntos permitem a resposta de diversos servidores DHCP e a mobilidade dosclientes de IP. Caso haja resposta de diversos servidores, um cliente poderá escolher apenas uma das ofertas.

Exibir meio visual 

7.1.3 BOOTP e DHCP 

Página 1:

BOOTP e DHCP

O Protocolo Boostrap (BOOTP, Bootstrap Protocol), definido na RFC 951, é oantecessor do DHCP e compartilha algumas características operacionais. O BOOTP éum modo de fazer o download do endereço e inicializar as configurações para estaçõesde trabalho sem disco. Uma estação de trabalho sem disco não possui um disco rígidoou um sistema operacional. Por exemplo, muitos sistemas de caixa registradoraautomatizados em seu supermercado local são exemplos de estações de trabalho semdisco. O DHCP e o BOOTP são baseados em cliente/servidor e usam as portas UDP 67e 68. Essas portas são conhecidas ainda como portas de BOOTP.

O DHCP e BOOTP possuem dois componentes, conforme mostrado na figura. Oservidor é um host com um endereço IP estático que aloca, distribui e gerencia o IP e asatribuições dos dados de configuração. Cada alocação (o IP e os dados de configuração)é armazenada no servidor em um conjunto de dados chamado de associação. O cliente é

qualquer dispositivo que utiliza o DHCP como um método para obter o endereçamentoIP ou informações de configuração de suporte.

Para entender as diferenças funcionais entre o BOOTP e o DHCP, considere os quatro parâmetros de IP básicos necessários para unir uma rede:

• Endereço IP

• Endereço de gateway

• Máscara de sub-rede

• Endereço do servidor DNS

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 252/350

Existem três diferenças principais entre o DHCP e o BOOTP:

• A principal diferença é que o BOOTP foi criado para a pré-configuração manual

das informações de host em um banco de dados de servidor, enquanto o DHCP permite uma alocação dinâmica de endereços de rede e configurações para hostsrecentemente anexados. Quando um cliente de BOOTP solicita um endereço IP,o servidor de BOOTP procura uma tabela predefinida para uma entrada quecorresponda ao endereço MAC para o cliente. Se houver uma entrada, oendereço IP correspondente a essa entrada será devolvido ao cliente. Issosignifica que a associação entre o endereço MAC e o endereço IP já deve ter sido configurada no servidor de BOOTP.

• O DHCP permite a recuperação e a realocação de endereços de rede através deum mecanismo de empréstimo. Especificamente, o DHCP define os mecanismos

 pelos quais podem ser atribuídos aos clientes um endereço IP por um período de

empréstimo finito. Este período de empréstimo permite uma nova atribuição posterior do endereço IP a outro cliente, ou que o cliente obtenha outraatribuição caso se mude para outra sub-rede. Os clientes também podem renovar os empréstimos e manter o mesmo endereço IP. O BOOTP não utilizaempréstimos. Seus clientes reservaram o endereço IP que não pode ser atribuídoa qualquer outro host.

• O BOOTP fornece uma quantidade limitada de informações a um host. O DHCPfornece parâmetros de configuração de IP adicionais, tais como o WINS e onome de domínio.

Exibir meio visual 

Página 2:

Formato de mensagem DHCP

Os desenvolvedores de DHCP precisaram manter a compatibilidade com o BOOTP e,consequentemente, utilizaram o mesmo formato de mensagem BOOTP. Entretanto,como o DHCP possui mais funcionalidades que o BOOTP, o campo de opções doDHCP foi adicionado. Ao comunicar-se com clientes de BOOTP mais antigos, o campode opções do DHCP é ignorado.

A figura mostra o formato de uma mensagem de DHCP. Os campos são:

• Código de operação (OP, Operation Code) - Especifica o tipo genérico damensagem. Um valor de 1 indica uma mensagem de solicitação; um valor de 2indica uma mensagem de resposta.

• Tipo de hardware - Identifica o tipo de hardware utilizado na rede. Por exemplo, 1 é a Ethernet, 15 é o Frame Relay e 20 é uma linha serial. Esses sãoos mesmos códigos utilizados nas mensagens de ARP.

• Tamanho do endereço de hardware - 8 bits para especificar o tamanho doendereço.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 253/350

• Saltos - Definido como 0 por um cliente antes de transmitir uma solicitação eutilizado por agentes de retransmissão para controlar o encaminhamento demensagens do DHCP.

• Identificador de transações - Identificação de 32 bits gerada pelo cliente para permitir a correspondência da solicitação com as respostas recebidas dos

servidores DHCP.• Segundos - Número de segundos decorridos desde que um cliente começou a

obter ou renovar um empréstimo. Servidores DHCP ocupados utilizam estenúmero para priorizar as respostas quando diversas solicitações do clienteestiverem pendentes.

• Flags (sinalizadores) - Apenas um dos 16 bits é utilizado, o qual é a flag(sinalizador) de broadcast. Um cliente que não conhece seu endereço IP aoenviar uma solicitação, define a flag em 1. Esse valor diz ao servidor DHCP ouagente de retransmissão que recebe a solicitação que ele deve enviar a respostaem forma de broadcast.

• Endereço IP do cliente - O cliente coloca seu próprio endereço IP neste camposomente se tiver um endereço IP válido enquanto estiver no estado associado;caso contrário, ele define o campo em 0. O cliente somente pode utilizar essecampo quando seu endereço for realmente válido e utilizável, não durante o

 processo de obtenção de um endereço.

• Seu endereço IP - O endereço IP que o servidor atribui ao cliente.

• Endereço IP do servidor - Endereço do servidor que o cliente deve utilizar paraa próxima etapa no processo de bootstrap, que pode ou não ser o servidor queenvia essa resposta. O servidor de origem sempre inclui seu próprio endereço IPem um campo especial chamado de opção de DHCP do Identificador de

Servidor.• Endereço IP de gateway - Faz o roteamento das mensagens de DHCP quando

os agentes de retransmissão de DHCP estão envolvidos. O endereço de gatewayfacilita as comunicações de solicitações e respostas de DHCP entre o cliente eum servidor que estejam em sub-redes ou redes diferentes.

• Endereço de hardware de cliente - Especifica a camada física do cliente.

• Nome de servidor - O servidor que envia uma mensagem DHCPOFFER ouDHCPACK pode opcionalmente colocar seu nome neste campo. Esse nome

 pode ser um apelido de texto simples ou um nome de domínio de DNS, tal comodhcpserver.netacad.net.

• Nome de arquivo de inicialização - Utilizado opcionalmente por um cliente para solicitar um tipo específico de arquivo de inicialização em uma mensagemDHCPDISCOVER. Utilizado por um servidor em uma mensagemDHCPOFFER para especificar por completo um diretório de arquivos deinicialização e um nome de arquivo.

• Opções - Contém as opções de DHCP, incluindo os diversos parâmetrosnecessários para a operação básica de DHCP. Esse campo varia em tamanho.Tanto o cliente quanto o servidor podem utilizar esse campo.

Exibir meio visual 

Página 3:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 254/350

Métodos de detecção e oferta de DHCP

Estas figuras fornecem detalhes do conteúdo do pacote das mensagens de detecção eoferta do DHCP.

Quando um cliente deseja entrar na rede, ele solicita os valores de endereçamento doservidor DHCP da rede. Se um cliente estiver configurado para receber suasconfigurações de IP dinamicamente, ele transmitirá uma mensagem DHCPDISCOVER em sua sub-rede física local quando for inicializado ou quando perceber uma conexãode rede ativa. Como o cliente não tem como saber a sub-rede para a qual ele pertence, oDHCPDISCOVER será um broadcast de IP (endereço IP de destino de255.255.255.255). O cliente não possui um endereço IP configurado, desse modo oendereço IP de origem de 0.0.0.0 é utilizado. Como pode ver na figura, o endereço IP docliente (CIADDR), o endereço de gateway padrão (GIADDR) e a máscara de sub-redeestão marcadas com pontos de interrogação.

Clique no botão Oferta de DHCP na figura.

O servidor DHCP gerencia a alocação dos endereços IP e responde às solicitações deconfiguração dos clientes.

Quando o servidor DHCP recebe a mensagem DHCPDISCOVER, ele responde comuma mensagem DHCPOFFER. Esta mensagem contém as informações de configuraçãoiniciais para o cliente, incluindo o endereço MAC do cliente, seguido pelo endereço IP

que o servidor oferece, a máscara de sub-rede, a duração do empréstimo e o endereço IPdo servidor DHCP que faz a oferta. A máscara de sub-rede e o gateway padrão sãoespecificados no campo de opções: opções de máscara de sub-rede e de roteador,respectivamente. A mensagem DHCPOFFER pode ser configurada para incluir outrasinformações, como o tempo de renovação do empréstimo, o servidor de nomes dedomínio e o Nome Serviço  NetBIOS (Microsoft Windows Internet Name Service[Microsoft WINS]).

O servidor determina a configuração com base no endereço de hardware do cliente,conforme especificado no campo CHADDR.

Conforme mostrado no diagrama, o servidor DHCP respondeu à mensagemDHCPDISCOVER atribuindo os valores ao CIADDR e à máscara de sub-rede.

Os administradores configuraram os servidores DHCP para que atribuam os endereçosde conjuntos predefinidos. A maioria dos servidores DHCP também permitem que oadministrador defina especificamente quais endereços MAC do cliente podem ser atendidos e os atribui sempre ao mesmo endereço IP automaticamente.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 255/350

O DHCP utiliza o Protocolo de Datagrama do Usuário (UDP, User Datagram Protocol)como seu protocolo de transporte. O cliente envia mensagens ao servidor na porta 67. Oservidor envia mensagens ao cliente na porta 68.

O cliente e o servidor confirmam as mensagens e o processo é concluído. O clientesomente define o CIADDR quando um host estiver em um estado associado, o quesignifica que o cliente confirmou e está utilizando o endereço IP.

Para obter mais informações sobre o DHCP, veja a seção "Cisco IOS DHCP Server" nosite: http://www.cisco.com/en/US/docs/ios/12_0t/12_ot1/feature/guide/Easyip2.html  (em inglês).

Exibir meio visual 

7.1.4 Configurando um servidor DHCP 

Página 1:

Configurando um servidor DHCP

Roteadores Cisco que executam o software IOS Cisco fornecem suporte completo paraque um roteador atue como um servidor DHCP. O servidor DHCP do IOS Cisco atribuie gerencia endereços IP de conjuntos de endereços especificados dentro do roteador 

 para clientes DHCP.

As etapas para configurar um roteador como um servidor DHCP são as seguintes:

Etapa 1. Definir um intervalo de endereços que o DHCP não deve alocar. Essesendereços são endereços estáticos geralmente reservados para a interface do roteador,endereço IP de gerenciamento de switch, servidores e impressoras de rede locais.

Etapa 2. Criar o conjunto de endereços DHCP utilizando o comando ip dhcp pool.

Etapa 3. Configurar as especificidades do conjunto.

Você deve especificar os endereços IP que o servidor DHCP não deve atribuir aosclientes. Normalmente, alguns endereços IP pertencem a dispositivos de rede estáticos,tais como servidores ou impressoras. O DHCP não deve atribuir esses endereços IP aoutros dispositivos. Uma prática recomendada é configurar endereços excluídos nomodo de configuração global antes de criar o conjunto de endereços DHCP. Isto garanteque o DHCP não atribuirá acidentalmente os endereços reservados. Para excluir osendereços específicos, utilize o comando ip dhcp excluded-address.

Clique no botão Conjunto de endereços DHCP na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 256/350

A configuração de um servidor DHCP envolve a definição de um conjunto de endereçosa serem atribuídos. O comando ip dhcp pool cria um conjunto com o nomeespecificado e coloca o roteador no modo de configuração de DHCP, o qual éidentificado pelo prompt Router(dhcp-config)#.

Clique no botão Tarefas DHCP na figura.

Esta figura relaciona as tarefas para concluir a configuração do conjunto de endereçosDHCP. Algumas delas são opcionais, enquanto as outras devem ser configuradas.

Você deve configurar os endereços disponíveis e especificar o número e máscara derede da sub-rede do conjunto de endereços de DHCP. Utilize o comando network paradefinir o intervalo de endereços disponíveis.

Você também deve definir o gateway padrão ou o roteador a serem utilizados pelosclientes com o comando default-router. Normalmente, o gateway é a interface de redelocal do roteador. É necessário um endereço, mas você pode listar até oito endereços.

Os comandos seguintes do conjunto de endereços DHCP são considerados opcionais.Por exemplo, você pode configurar o endereço IP do servidor DNS que está disponível

 para um cliente DHCP usando o comando dns-server. Quando configurado, énecessário um endereço, mas você pode listar até oito endereços.

Outros parâmetros incluem a configuração da duração do empréstimo de DHCP. Aconfiguração padrão é definitiva, mas você pode alterá-la usando o comando lease.Você também pode configurar um servidor NetBIOS WINS disponível para um clienteDHCP da Microsoft. Normalmente, isto seria configurado em um ambiente que suportaos clientes anteriores ao Windows 2000. Como a maioria das instalações agora possuemclientes com o sistema operacional do Windows mais recente, esse parâmetro não éexigido.

Clique no botão Exemplo de DHCP na figura.

Esta figura exibe um exemplo de configuração com os parâmetros de DHCP básicosconfigurados no roteador R1.

Desabilitando o DHCP

O serviço de DHCP é habilitado por padrão nas versões do software IOS Cisco que podem suportá-lo. Para desabilitar o serviço, utilize o comando no service dhcp. Utilizeo comando de configuração global service dhcp para reabilitar o processo do servidor 

DHCP. Habilitar o serviço não terá efeito algum se os parâmetros não estiveremconfigurados.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 257/350

Exibir meio visual 

Página 2:

Verificando o DHCP

Para ilustrar como um roteador Cisco pode ser configurado para fornecer serviços deDHCP, consulte a figura. O PC1 não foi ativado e, desse modo, não possui um endereçoIP.

O roteador R1 foi configurado com os seguintes comandos:

ip dhcp excluded-address 192.168.10.1 192.168.10.9

ip dhcp excluded-address 192.168.10.254ip dhcp pool LAN-POOL-1network 192.168.10.0 255.255.255.0default-router 192.168.10.1domain-name span.com

Para verificar a operação do DHCP, utilize o comando show ip dhcp binding. Essecomando exibe uma lista de todas as associações de endereços IP a endereços MAC queforam fornecidas pelo serviço de DHCP.

Para verificar quais mensagens estão sendo recebidas ou enviadas pelo roteador, utilizeo comando show ip dhcp server statistics. Esse comando exibe informações decontagem relacionadas ao número de mensagens de DHCP que foram enviadas erecebidas.

Clique no botão DHCP-1 na figura.

Como você pode ver na figura, atualmente não existem associações ou estatísticas sendoexibidas.

Agora, suponha que o PC1 foi ativado e concluiu seu processo de inicialização.

Clique no botão DHCP-2 na figura.

Observe que as informações de associação mostram agora que o endereço IP da192.168.10.10 foi associado a um endereço MAC. As estatísticas também exibem aatividade do DHCPDISCOVER, DHCPREQUEST, DHCPOFFER e DHCPACK.

Clique no botão Cliente DHCP na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 258/350

O comando ipconfig /all exibe os parâmetros configurados do TCP/IP no PC1. Como oPC1 foi conectado ao segmento de rede 192.168.10.0 /24, ele recebeu automaticamenteum endereço IP, um sufixo DNS e o gateway padrão daquele conjunto. Não é exigidanenhuma configuração de interface DHCP. Se um PC for conectado a um segmento de

rede que tenha um conjunto de endereços DHCP disponível, ele poderá obter umendereço IP automaticamente.

Assim, como o PC2 recebe um endereço IP? O roteador R1 teria que ser configurado para fornecer um conjunto de endereços DHCP de 192.168.11.0 /24 conforme segue:

ip dhcp excluded-address 192.168.11.1 192.168.11.9ip dhcp excluded-address 192.168.11.254ip dhcp pool LAN-POOL-2network 192.168.11.0 255.255.255.0default-router 192.168.11.1domain-name span.com

Quando o PC2 concluir seu processo de inicialização, ele recebe um endereço IP para osegmento de rede para o qual está conectado.

Clique no botão DHCP-3 na figura.

Observe que as associações de DHCP agora indicam que dois hosts receberamendereços IP. As estatísticas de DHCP também refletem a troca de mensagens deDHCP.

Outro comando útil para exibir os diversos conjuntos é o comando show ip dhcp pool.

Clique no botão Conjuntos de endereços DHCP na figura.

Esse comando resume as informações do conjunto de endereços DHCP.

Exibir meio visual 

7.1.5 Configurando um cliente DHCP 

Página 1:

Configurando um cliente DHCP

Geralmente, pequenos roteadores de banda larga para uso local, tais como roteadores

Linksys, podem ser configurados para conectar-se a um ISP utilizando um DSL ou ummodem a cabo. Na maioria dos casos, pequenos roteadores locais são configurados para

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 259/350

adquirir um endereço IP automaticamente de seus ISPs. Por exemplo, a figura mostra a página de configuração de WAN padrão para um roteador WRVS4400N Linksys.Observe que o tipo de conexão da Internet é definido como Configuração Automática -DHCP. Isso significa que, quando o roteador está conectado a um modem a cabo, por exemplo, ele será um cliente DHCP e solicitará um endereço IP do ISP.

Às vezes, os roteadores Cisco em SOHO e filiais devem ser configurados de umamaneira semelhante. O método utilizado depende do ISP. Entretanto, em suaconfiguração mais simples, a interface Ethernet é utilizada para se conectar a ummodem a cabo. Para configurar uma interface Ethernet como um cliente DHCP, ocomando ip address dhcp deverá ser configurado.

Clique no botão Cliente DHCP na figura.

 Na figura, suponha que um ISP foi configurado para fornecer a alguns clientesendereços IP do intervalo da 209.165.201.0 / 27. A saída do comando confirma oendereço atribuído.

Exibir meio visual 

7.1.6 Retransmissão DHCP 

Página 1:

O que é a retransmissão DHCP?

Em uma rede hierárquica complexa, os servidores da empresa ficam geralmente em umafarm de servidores. Esses servidores podem fornecer os serviços de DHCP, DNS, TFTPe FTP aos clientes. O problema é que os clientes de rede geralmente não estão namesma sub-rede que tais servidores. Portanto, os clientes devem localizar os servidores

 para receber os serviços, e esses serviços geralmente são localizados com o uso demensagens de broadcast.

 Na figura, PC1 está tentando adquirir um endereço IP do servidor DHCP localizado em

192.168.11.5. Neste cenário, o roteador R1 não está configurado como um servidor DHCP.

Clique no botão Problema de host na figura.

 Na figura, o PC1 está tentando renovar seu endereço IP. Para fazê-lo, o comandoipconfig /release é emitido. Observe que o endereço IP é lançado e o endereço atual é0.0.0.0. Em seguida o comando ipconfig /renew é emitido. Esse comando faz o hostiniciar a transmissão de uma mensagem DHCPDISCOVER por broadcast. No entanto,PC1 não pode localizar o servidor DHCP. O que acontece quando o servidor e o cliente

estão separados por um roteador e, desse modo, não estão no mesmo segmento de rede?Lembre-se de que os roteadores não encaminham broadcasts.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 260/350

Nota: Alguns clientes do Windows possuem um recurso chamado Endereçamento IP privado automático (APIPA, Automatic Private IP Addressing). Com esse recurso, umcomputador com Windows pode atribuir automaticamente a si mesmo um endereço IPno intervalo de 169.254.x.x no caso de um servidor DHCP não estar disponível ou não

existir na rede.

Para piorar as coisas, o DHCP não é o único serviço essencial que utiliza os broadcasts.Por exemplo, os roteadores Cisco e outros dispositivos podem utilizar broadcasts paralocalizar os servidores TFTP ou para localizar um servidor de autenticação, como oservidor TACACS.

Para solucionar esse problema, um administrador poderia adicionar servidores DHCP atodas as sub-redes. Entretanto, a execução desses serviços em vários computadores criauma sobrecarga de custo e administrativa.

Uma solução mais simples é configurar o recurso de endereço auxiliar  do IOS Cisco nosroteadores e switches intermediários. Essa solução habilita os roteadores para queencaminhem broadcasts de DHCP aos servidores DHCP. Quando um roteador encaminha atribuições de endereços/solicitações de parâmetros, ele está agindo comoum agente de retransmissão de DHCP.

Por exemplo, PC1 transmitiria uma solicitação por broadcast para localizar um servidor DHCP. Se o roteador R1 estivesse configurado como um agente de retransmissão de

DHCP, ele interceptaria essa solicitação e a encaminharia ao servidor DHCP localizadona sub-rede 192.168.11.0.

Para configurar o roteador R1 como um agente de retransmissão de DHCP, você precisaconfigurar a interface mais próxima do cliente com o comando de configuração deinterface ip helper-address. Esse comando retransmite as solicitações de broadcast paraos principais serviços a um endereço configurado. Configure o endereço IP auxiliar nainterface que recebe o broadcast.

Clique no botão Configuração de retransmissão na figura.

O roteador R1 agora está configurado como um agente de retransmissão de DHCP. Eleaceita as solicitações de broadcast para o serviço de DHCP e então as encaminha comounicast ao endereço IP 192.168.11.5.

Clique no botão Renovação de host na figura.

Como você pode ver, o PC1 agora pode adquirir um endereço IP do servidor DHCP.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 261/350

O DHCP não é o único serviço que pode ser configurado no roteador para que ele faça aretransmissão. Por padrão, o comando ip helper-address encaminha os seguintes oitoserviços de UDP:

• Porta 37: Tempo

• Porta 49: TACACS

• Porta 53: DNS

• Porta 67: Servidor DHCP/BOOTP

• Porta 68: Cliente DHCP/BOOTP

• Porta 69: TFTP

• Porta 137: serviço de nomes NetBIOS

• Porta 138: serviço de datagrama NetBIOS

Para especificar as portas adicionais, utilize o comando ip forward-protocol paraespecificar exatamente quais tipos de pacotes de broadcast serão encaminhados.

Exibir meio visual 

7.1.7 Configurando um servidor DHCP usando o SDM 

Página 1:

Configurando um servidor DHCP usando o SDM

Os roteadores Cisco também podem ser configurados como um servidor DHCPutilizando o SDM. Neste exemplo, o roteador R1 será configurado como o servidor DHCP nas interfaces Fa0/0 e Fa0/1.

Clique no botão Tarefas de DHCP na figura.

A função do servidor DHCP é habilitada em Additional Tasks [Tarefas adicionais] naguia Configure [Configurar]. Na lista de tarefas, clique na pasta DHCP e selecione

Conjuntos de endereços DHCP para adicionar um novo conjunto. Clique emAdicionar para criar o novo conjunto de endereços DHCP.

Clique no botão Adicionar conjunto na figura.

A janela Adicionar conjunto de endereços DHCP contém as opções necessárias paraconfigurar o conjunto de endereços IP do DHCP. Os endereços IP designados peloservidor DHCP são tirados de um conjunto comum. Para configurar o conjunto,especifique o endereço IP inicial e o endereço IP final do intervalo.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 262/350

O SDM Cisco configura o roteador para que ele exclua automaticamente o endereço IPda interface de rede local do conjunto. Você não deve usar o endereço IP de rede ousub-rede ou o endereço de broadcast na rede no intervalo de endereços que vocêespecificar.

Se você precisar excluir os outros endereços IP no intervalo, poderá fazê-lo ajustando osendereços IP inicial e final. Por exemplo, se você precisar excluir os endereços IP de192.168.10.1 até 192.168.10.9, definirá o endereço IP inicial como 192.168.10.10. Isso

 permite que o roteador comece a atribuição de endereços com 192.168.10.10.

As outras opções disponíveis são:

• Servidor DNS 1 e Servidor DNS 2 - O servidor DNS é, geralmente, umservidor que mapeia um nome de dispositivo conhecido com seu endereço IP. Se

você tiver um servidor DNS configurado para sua rede, digite aqui o endereço IP para o servidor. Se houver outro servidor DNS na rede, você poderá digitar nestecampo o endereço IP para esse servidor.

• Servidor WINS 1 e Servidor WINS 2 - Relembra que a configuração WINSgeralmente está em ambientes que suportam clientes anteriores ao Windows2000.

• Importar todas as opções de DHCP para o banco de dados do servidorDHCP - Permite importar as opções de DHCP de um servidor de nível mais altoe é usado geralmente em conjunto com um servidor DHCP da Internet. Essaopção permite que você receba informações de níveis mais altos sem ter quefazer essa configuração para esse conjunto.

Clique no botão Conjuntos de endereços DHCP na figura.

Esta tela fornece um resumo dos conjuntos configurados em seu roteador. Nesteexemplo, dois conjuntos foram configurados, um para cada interface Fast Ethernet noroteador R1.

Exibir meio visual 

7.1.8 Identificação e solução de problemas de DHCP 

Página 1:

Identificação e solução de problemas de configuração de DHCP

Podem surgir problemas no DHCP por diversos motivos, tais como defeitos de softwarenos sistemas operacionais, nos drivers da placa de rede ou nos agentes de retransmissãoDHCP/BOOTP, mas os mais comuns são os problemas de configuração. Devido aonúmero de áreas potencialmente problemáticas, é necessário uma abordagem

sistemática para identificar e solucionar os problemas.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 263/350

Identificação e solução de problemas – Tarefa 1: Solucionar conflitos de endereçosIP

O empréstimo de um endereço IP pode expirar para um cliente que ainda estejaconectado a uma rede. Se o cliente não renovar o empréstimo, o servidor DHCP poderáatribuir novamente aquele endereço IP para outro cliente. Quando o cliente fizer areinicialização, um endereço IP será solicitado. Se o servidor DHCP não responder rapidamente, o cliente usará o último endereço IP. Ocorre, assim, uma situação em quedois clientes utilizam o mesmo endereço IP, criando um conflito.

O comando show ip dhcp conflict exibe todos os conflitos de endereço registrados peloservidor DHCP. O servidor usa o comando ping para detectar os conflitos. O cliente usao Protocolo de resolução de endereços (ARP, Address Resolution Protocol) paradetectar os clientes. Se um conflito de endereços for detectado, o endereço seráremovido do conjunto e não será atribuído até que um administrador solucione o

conflito.

Este exemplo exibe o método de detecção e hora da detecção para todos os endereços IPoferecidos pelo servidor DHCP que entraram em conflito com outros dispositivos.

R2# show ip dhcp conflict

IP address Detection Method Detection time

192.168.1.32 Ping Feb 16 2007 12:28 PM

192.168.1.64 Gratuitous ARP Feb 23 2007 08:12 AM

Identificação e solução de problemas - Tarefa 2: Verificar a conectividade física

Primeiro, use o comando show interfaceinterface para confirmar se a interface doroteador que está agindo como o gateway padrão para o cliente está operacional. Se o

estado da interface não estiver ativo, a porta não transmitirá o tráfego, inclusive assolicitações do cliente DHCP.

Identificação e solução de problemas – Tarefa 3: Teste de conectividade de redeconfigurando uma estação de trabalho do cliente com um endereço IP estático

Ao identificar e solucionar qualquer problema do DHCP, verifique a conectividade darede configurando um endereço IP estático em uma estação de trabalho do cliente. Se aestação de trabalho não puder alcançar os recursos de rede com um endereço IPestaticamente configurado, isso significará que a fonte do problema não é o DHCP.

 Neste ponto, a identificação e solução de problemas de conectividade de rede énecessária.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 264/350

Identificação e solução de problemas – Tarefa 4: Verificar configurações de portado switch (Portfast STP e outros comandos)

Se o cliente DHCP não puder obter um endereço IP do servidor DHCP na inicialização,tente obter um endereço IP do servidor DHCP forçando manualmente o cliente a enviar uma solicitação DHCP.

Se houver um switch entre o cliente e o servidor DHCP, verifique que se a porta possuiuma PortFast STP habilitada e se o entroncamento/distribuição de canais estádesabilitado. A configuração padrão é a PortFast desabilitada e oentroncamento/distribuição em canais automático, se aplicável. Essas mudanças deconfiguração solucionam os problemas mais comuns do cliente DHCP que ocorrem nainstalação inicial de um switch Catalyst. Rever a seção “CCNA Exploration: Comutaçãode rede local e de rede sem fio” pode auxiliar na resolução desse problema.

Identificação e solução de problemas – Tarefa 5: Distinguir se os clientes DHCPobtêm o endereço IP na mesma sub-rede ou VLAN que o servidor DHCP

É importante distinguir se o DHCP está funcionando corretamente quando o clienteestiver na mesma sub-rede ou VLAN que o servidor DHCP. Se o DHCP estiver funcionando corretamente, o problema poderá ser o agente de retransmissão doDHCP/BOOTP. Se o problema persistir mesmo com o teste do DHCP na mesma sub-rede ou VLAN que o servidor DHCP, o problema poderá estar, de fato, no servidor 

DHCP.Exibir meio visual 

Página 2:

Verificar a configuração de retransmissão DHCP/BOOTP do roteador

Quando o servidor DHCP estiver localizado em uma rede local separada do cliente, ainterface do roteador que estiver de frente para o cliente deverá ser configurada para

retransmitir as solicitações DHCP. Isso é realizado configurando o endereço IP auxiliar.Se o endereço IP auxiliar não for configurado corretamente, as solicitações do clienteDHCP não serão encaminhadas ao servidor DHCP.

Siga as seguintes etapas para verificar a configuração do roteador:

Etapa 1. Verifique se o comando ip helper-address está configurado na interfacecorreta. Ele deve estar presente na interface de entrada da rede local que contém asestações de trabalho do cliente DHCP e deve ser direcionado ao servidor DHCP correto.

 Na figura, a saída do comando show running-config verifica se o endereço IP deretransmissão DHCP está denominando o endereço do servidor DHCP em192.168.11.5.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 265/350

Etapa 2. Verifique se o comando de configuração global no service dhcp não foiconfigurado. Esse comando desabilita o servidor DHCP e a funcionalidade deretransmissão no roteador. O comando service dhcp não aparece na configuração

 porque ele é a configuração padrão.

Exibir meio visual 

Página 3:

Verificar se o roteador está recebendo solicitações DHCP usando os comandosdebug.

Em roteadores configurados como servidores DHCP, o processo de DHCP falhará se oroteador não receber as solicitações do cliente. Como uma tarefa de identificação esolução de problemas, verifique se o roteador está recebendo a solicitação DHCP docliente. Essa etapa de identificação e solução de problemas envolve a configuração deuma lista de controle de acesso para a saída do comando de depuração. A lista decontrole de acesso da depuração não atrapalha o roteador.

 No modo de configuração global, crie a seguinte lista de controle de acesso:

access-list 100 permit ip host 0.0.0.0 host 255.255.255.255

Inicie a depuração usando o ACL 100 como o parâmetro de definição. No modo exec,digite o seguinte comando debug:

debug ip packet detail 100

A saída do comando na figura mostra que o roteador está recebendo as solicitaçõesDHCP do cliente. O endereço IP de origem é 0.0.0.0 porque o cliente ainda não tem umendereço IP. O destino é 255.255.255.255 porque a mensagem de detecção do DHCP docliente é um broadcast. As portas de origem e destino de UDP, 68 e 67, são as portas

típicas usadas para o DHCP.

Essa saída do comando mostra somente um resumo do pacote e não o pacote em si.Portanto, não será possível determinar se o pacote está correto. No entanto, o roteador recebeu um pacote de broadcast com as portas IP e UDP de origem e destino corretas

 para o DHCP.

Verificar se o roteador está recebendo e encaminhando as solicitações DHCPusando o comando debug ip dhcp server packet

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 266/350

Um comando útil para identificar e solucionar os problemas da operação de DHCP é ocomando debug ip dhcp server events. Esse comando reporta os eventos do servidor,como as atribuições de endereço e as atualizações do banco de dados. Ele também éusado para decodificar as recepções e as transmissões do DHCP.

Exibir meio visual 

Página 4:

O DHCP atribui endereços IP e outras informações de configuração de rede importantesdinamicamente. Os roteadores Cisco podem usar o conjunto de recursos do IOS Cisco,Easy IP, como um servidor DHCP opcional com todos os recursos. Por padrão, o EasyIP empresta configurações por 24 horas. Nesta atividade, você irá configurar os serviçosDHCP em dois roteadores e testar a sua configuração.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDFabaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

7.2 Dimensionando redes com NAT7.2.1 Endereçamento IP privado e público

Página 1:

Todos os endereços de Internet  públicos devem ser registrados com um Registro deinternet regional (RIR, Regional Internet Registry). As organizações podem emprestar os endereços públicos de um ISP. Somente o proprietário registrado de um endereço

 público de internet pode atribuir esse endereço a um dispositivo de rede.

Você deve ter observado que todos os exemplos neste curso utilizam um número um pouco restrito de endereços IP. Você também deve ter observado a semelhança entreesses números e os números que você usou em uma rede pequena para exibir as páginasde instalação da web de muitas marcas de impressoras, do DSL e de roteadores a cabo,

 bem como de outros periféricos. Eles são endereços de internet privados reservadosretirados dos três blocos mostrados na figura. Esses endereços podem ser usadossomente em redes internas e privadas. A RFC 1918 especifica que os endereços

 privados não devem ser roteados pela Internet. Os endereços privados são descritos, àsvezes, como " não roteáveis." Entretanto, os pacotes com endereços privados podem ser roteados dentro de redes interconectadas privadas.

Diferentemente dos endereços IP públicos, os endereços IP privados são um blocoreservado de números que podem ser usados por qualquer um. Isso significa que duas

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 267/350

redes ou dois milhões de redes podem usar os mesmos endereços privados. Para proteger a estrutura de endereços da Internet pública, os ISPs geralmente configuram osroteadores de borda para impedir que o tráfego endereçado exclusivamente a eles sejaencaminhado pela Internet.

Ao fornecer um maior espaço de endereços do que a maioria das organizações podeobter através de um RIR, o endereçamento privado confere às empresas umaflexibilidade considerável no design da rede. Isso permite a obtenção de esquemas deendereçamento operacional e administrativamente convenientes, além de umcrescimento mais fácil.

Entretanto, como não é possível rotear endereços privados pela Internet e como nãoexistem endereços públicos suficientes para permitir que as organizações forneçam umhost para todos, as redes precisam que um mecanismo traduza os endereços privados

 para endereços públicos na extremidade de sua rede que funcionar em ambas as

direções. Na ausência de um sistema de tradução, os hosts privados de um roteador narede de uma organização não podem conectar-se a hosts privados de um roteador emoutras organizações pela Internet.

A Tradução de endereços de rede (NAT, Network Address Translation) fornece essemecanismo. Antes da NAT, um host com um endereço privado não podia acessar aInternet. Usando a NAT, as empresas individuais podem designar a alguns ou todos osseus hosts com endereços privados e usar a NAT para fornecer acesso à Internet.

Para obter uma visão mais detalhada sobre o desenvolvimento do sistema RIR, acesse oartigo do Cisco Internet Protocol Journal no sitehttp://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_4-4/regional_internet_registries.html .

Exibir meio visual 

7.2.2 O que é NAT?

Página 1:

O que é NAT?

A NAT é como a recepcionista de um grande escritório. Suponha que você deixouinstruções com a recepcionista para que ela não encaminhe nenhuma ligação a menosque você peça. Mais tarde, você liga para um cliente potencial e deixa uma mensagem

 para que ele retorne a ligação. Você diz à recepcionista que você está esperando umaligação desse cliente e pede para que ela faça a transferência da chamada.

O cliente liga para o número principal para seu escritório, que é o único número que eleconhece. Quando o cliente disser à recepcionista quem ele procura, a recepcionista

verificará uma tabela de pesquisa que corresponde seu nome ao seu ramal. A

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 268/350

recepcionista sabe que você pediu essa chamada; portanto, ela encaminha a pessoa queefetuou a chamada para seu ramal.

Assim, enquanto o servidor DHCP designa os endereços IP dinâmicos para osdispositivos dentro da rede, os roteadores habilitados pela NAT retêm um ou muitosendereços IP de Internet válidos fora da rede. Quando o cliente enviar pacotes pela rede,a NAT traduzirá o endereço IP interno do cliente para um endereço externo. Parausuários externos, todo o tráfego destinado para a rede e proveniente dela possui omesmo endereço IP ou vem do mesmo conjunto de endereços.

A NAT tem muitos usos, mas o principal é salvar os endereços IP, permitindo que asredes usem os endereços IP privados. A NAT traduz endereços privados, não roteáveis einternos em endereços públicos e externos. A NAT tem um benefício adicional de

 proporcionar um nível maior de privacidade e segurança para uma rede porque elaoculta endereços IP internos de redes externas.

Um dispositivo habilitado para NAT funciona normalmente na borda de uma rede stub.Em nosso exemplo, o R2 é o roteador de borda. Uma rede stub é uma rede que tem umaúnica conexão com sua rede vizinha. Como visto no ISP, o R2 forma uma rede stub.

Quando um host dentro da rede stub, por exemplo PC1, PC2 ou PC 3, deseja transmitir um pacote para um host externo, esse pacote é encaminhado para R2, o roteador degateway de borda. O R2 executa o processo de NAT, traduzindo o endereço privadointerno do host para um endereço público, roteável e externo.

 Na terminologia de NAT, a rede interna é o conjunto de redes que estão sujeitas àtradução. A rede externa se refere a todos os outros endereços. Os endereços IP

 possuem designações diferentes dependendo de estarem na rede privada ou na rede pública (Internet) e de o tráfego estar chegando ou saindo.

Clique no botão Terminologia na figura.

A figura mostra como referir-se às interfaces ao configurar a NAT. Suponha que oroteador R2 foi configurado para fornecer os recursos da NAT. Ele possui um conjuntode endereços publicamente disponíveis para emprestar aos hosts internos. Esta seçãoutiliza os seguintes termos ao discutir a NAT:

• Endereço local interno - Geralmente não é um endereço IP atribuído por umRIR ou operadora, sendo mais provavelmente um endereço privado da RFC1918. Na figura, o endereço IP 192.168.10.10 está atribuído ao PC1 host na redeinterna.

• Endereço global interno - Um endereço público válido que o host internorecebe quando sai do roteador da NAT. Quando o tráfego de PC1 é destinado

 para o servidor web em 209.165.201.1, o roteador R2 deverá traduzir oendereço. Nesse caso, o endereço IP 209.165.200.226 é usado como o endereçoglobal interno para o PC1.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 269/350

• Endereço global externo - Endereço IP público válido atribuído a um host naInternet. Por exemplo, o servidor web pode ser alcançado no endereço IP209.165.201.1.

• Endereço local externo - O endereço IP local atribuído a um host na redeexterna. Na maioria das situações, esse endereço será idêntico ao endereço

global externo do dispositivo externo.

Nota: Neste curso, faremos referência ao endereço local interno, ao endereço globalinterno e ao endereço global externo. O uso do endereço local externo está fora doescopo deste curso.

O "interno" de uma configuração de NAT não é sinônimo de endereços particularescomo eles são definidos pela RFC 1918. Embora os endereços "internos" sejam,geralmente, endereços privados, a NAT pode fazer a tradução entre endereços públicos"externos" e "internos".

Exibir meio visual 

Página 2:

Como a NAT funciona?

 Neste exemplo, um host interno (192.168.10.10) deseja se comunicar com um servidor web externo (209.165.201.1). Ele envia um pacote a R2, o gateway de borda

configurado para NAT da rede.

Use os controles na figura para iniciar a animação.

R2 lê o endereço IP de origem do pacote e verifica se o pacote corresponde aos critériosespecificados para tradução. R2 possui uma ACL que identifica a rede interna comohosts válidos para tradução. Portanto, ele traduz um endereço IP local interno para umendereço IP global interno que, neste caso, é 209.165.200.226. Ele armazena essemapeamento de endereço local para endereço global na tabela de NAT.

Em seguida, o roteador envia o pacote a seu destino. Quando o servidor web responde, o pacote volta ao endereço global de R2 (209.165.200.226).

R2 consulta a sua tabela de NAT e verifica que esse era um endereço IP que foitraduzido anteriormente. Portanto, ele traduz o endereço global interno para o endereçolocal interno, e o pacote é encaminhado ao PC1 no endereço IP 192.168.10.10. Se elenão localizar um mapeamento, o pacote será descartado.

Mapeamento dinâmico e mapeamento estático

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 270/350

Existem dois tipos de tradução NAT: dinâmica e estática.

A NAT dinâmica utiliza um conjunto de endereços públicos e os atribui por ordem dechegada. Quando um host com um endereço IP privado solicitar acesso à Internet, a

 NAT dinâmica escolherá um endereço IP do conjunto que não estiver mais sendo usado por outro host. Esse é o mapeamento descrito até então.

A NAT estática usa um mapeamento exclusivo de endereços globais e locais, e taismapeamentos permanecem constantes. A NAT estática é particularmente útil paraservidores web ou hosts que devam ter um endereço consistente que possa ser acessadoda Internet. Esses hosts internos podem ser servidores corporativos ou dispositivos deredes interconectadas.

Tanto a NAT estática como a dinâmica exigem que endereços públicos suficientes

estejam disponíveis para atender ao número total de sessões de usuário simultâneas.

Para observar de outra maneira como a NAT dinâmica funciona, acessehttp://www.cisco.com/warp/public/556/nat.swf .

Exibir meio visual 

Página 3:

Sobrecarga de NAT

A sobrecarga de NAT (chamada à vezes de Tradução de endereço de porta ou PAT)mapeia diversos endereços IP privados para um único endereço IP público ou paraalguns endereços. Isso é o que a maioria dos roteadores locais fazem. Seu ISP atribuium endereço a seu roteador, mas vários membros de sua família podem navegar naInternet simultaneamente.

Com a sobrecarga de NAT, vários endereços podem ser mapeados para um ou algunsendereços porque cada endereço privado também é acompanhado por um número de

 porta. Quando um cliente abrir uma sessão de TCP/IP, o roteador de NAT atribuirá umnúmero de porta ao seu endereço de origem. A sobrecarga de NAT garante que osclientes utilizem um número de porta TCP diferente para cada sessão do cliente com umservidor na Internet. Quando uma resposta voltar do servidor, o número de porta deorigem, que se torna o número de porta de destino na viagem de retorno, determinará

 para qual cliente o roteador irá rotear os pacotes. Ele também validará se os pacotes deentrada foram solicitados, acrescentando um grau de segurança à sessão.

Clique nos controles para iniciar e pausar a animação.

Essa animação ilustra o processo. A sobrecarga de NAT utiliza números de porta deorigem exclusivos no endereço IP global interno para fazer a distinção entre as

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 271/350

traduções. Como o NAT processa cada pacote, ele usa um número de porta (nesteexemplo, 1331 e 1555) para identificar o cliente do qual o pacote foi originado. Oendereço de origem (SA, source address) é o endereço IP local interno com o número de

 porta atribuído de TCP/IP anexado. O endereço de destino (DA, destination address) é oendereço IP local externo com o número de porta de serviço anexado, neste caso a porta

80: HTTP.

 No roteador de gateway de borda (R2), a sobrecarga de NAT altera o SA para oendereço IP global interno do cliente, novamente com o número de porta anexado. ODA é o mesmo endereço, mas agora está sendo chamado de endereço IP global externo.Quando o servidor web responder, o mesmo caminho será seguido, mas ao contrário.

Os números de porta são codificados em 16 bits. O número total de endereços internosque pode ser traduzido para um endereço externo pode ser, teoricamente, de 65.536 por cada endereço IP. Porém, na realidade, o número de endereços internos que pode ser 

atribuído a um único endereço IP é cerca de 4.000.

Clique no botão Próxima porta disponível na figura.

 No exemplo anterior, os números de porta de cliente nos dois SAs, 1331 e 1555, não sealteram no gateway de borda. Esse cenário não é muito provável, pois existe umagrande chance de que esses números possam já ter sido anexados às outras sessões emandamento.

A sobrecarga de NAT tenta preservar a porta de origem inicial. Porém, se essa porta deorigem já estiver sendo usada, a sobrecarga de NAT atribuirá o primeiro número de

 porta disponível do início do grupo de portas apropriado: 0-511, 512-1023 ou 1024-65535. Quando não houver mais nenhuma porta disponível e houver mais de umendereço IP externo configurado, a sobrecarga de NAT irá para o próximo endereço IP

 para tentar alocar a porta de origem inicial novamente. Esse processo continuará até queas portas disponíveis e os endereços IP externos acabem.

 Na figura, ambos os hosts escolheram o mesmo número de porta 1444. Isso é aceitável para o endereço interno, porque ambos têm endereços IP privados exclusivos.

Entretanto, no gateway de borda, os números de porta precisam ser alterados, casocontrário os dois pacotes dos dois hosts deixariam o R2 com o mesmo endereço deorigem. A sobrecarga de NAT deu ao segundo endereço o primeiro número de portadisponível que, neste caso, é o 1445.

Diferenças entre a NAT e a sobrecarga de NAT

Um resumo das diferenças entre a NAT e a sobrecarga de NAT facilitará suacompreensão. A NAT geralmente só traduz os endereços IP em uma correspondência de1:1 entre os endereços IP publicamente expostos e os endereços privativamente retidos.

A sobrecarga de NAT modifica o endereço IP privado e o número de porta do

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 272/350

remetente. A sobrecarga de NAT escolhe os números de porta vistos pelos hosts na rede pública.

A NAT roteia os pacotes de entrada para seus destinos internos recorrendo ao endereçoIP de origem de entrada dado pelo host na rede pública. Com a sobrecarga de NAT,geralmente existe somente um ou muito poucos endereços IP publicamente expostos. Os

 pacotes de entrada da rede pública são roteados aos seus destinos na rede privada por meio da consulta na tabela no dispositivo de sobrecarga de NAT que monitora os paresde portas públicas e privadas. Isso é chamado de monitoramento de conexão.

Exibir meio visual 

7.2.3 Benefícios e desvantagens de usar a NAT 

Página 1:Benefícios e desvantagens de usar a NAT

A NAT oferece muitos benefícios e vantagens. Porém, existem algumas desvantagensde usá-la, inclusive a falta de suporte para alguns tipos de tráfego.

Os benefícios de usar a NAT incluem:

• A NAT conserva o esquema de endereçamento legalmente registrado,

 permitindo a privatização das intranets. A NAT conserva os endereços atravésda multiplexação de nível de porta de aplicativo. Com sobrecarga de NAT, oshosts internos podem compartilhar um único endereço IP público para todas ascomunicações externas. Neste tipo de configuração, são necessários muito

 poucos endereços externos para suportar os muitos hosts internos.

• A NAT aumenta a flexibilidade das conexões com a rede pública. Diversosconjuntos, conjuntos de backup e conjuntos de balanceamento de carga podemser implementados para assegurar conexões de redes públicas confiáveis.

• A NAT fornece uma consistência para esquemas de endereçamento de redeinternos. Em uma rede sem endereços IP privados e NAT, a mudança de

endereços IP públicos exige a renumeração de todos os hosts na rede existente.Os custos para renumerar hosts podem ser significativos. O NAT permite que oesquema existente permaneça enquanto suporta um novo esquema deendereçamento público. Isso significa que uma organização poderia mudar osISPs e não precisaria mudar nenhum de seus clientes internos.

• O NAT oferece segurança de rede. Como as redes privadas não anunciam seusendereços ou topologia interna, elas permanecem razoavelmente seguras quandousadas juntamente com a NAT para obter o acesso externo controlado. Porém, a

 NAT não substitui os firewalls.

Entretanto, a NAT apresenta algumas desvantagens. Vários problemas são criados pelofato de os hosts na Internet parecerem comunicar-se diretamente com o dispositivo de NAT, em vez de comunicar-se com o host real dentro da rede privada. Teoricamente,

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 273/350

um endereço IP globalmente exclusivo pode representar hosts endereçados privativamente. Isso pode ser vantajoso do ponto de vista da privacidade e segurançamas, na prática, existem desvantagens.

A primeira desvantagem afeta o desempenho. A NAT aumenta os atrasos da comutação porque a tradução de cada endereço IP dentro dos cabeçalhos do pacote é demorada. O primeiro pacote é comutado por processo, o que significa que ele sempre passa pelocaminho mais lento. O roteador deve observar todos os pacotes para decidir se eles

 precisam de tradução. O roteador precisa alterar o cabeçalho de IP e, possivelmente,alterar o cabeçalho de TCP ou UDP. Se existir uma entrada de cache, os pacotesrestantes passam através do caminho que foi comutado rapidamente; caso contrário, elestambém são atrasados.

Muitos protocolos e aplicativos de Internet dependem da funcionalidade fim-a-fim, com pacotes inalterados encaminhados da origem ao destino. Com a alteração dos endereços

fim-a-fim, a NAT evita alguns aplicativos que utilizam o endereçamento IP. Por exemplo, alguns aplicativos de segurança, como as assinaturas digitais, falham porque oendereço IP de origem muda. Os aplicativos que usam endereços físicos em vez de umnome de domínio qualificado não alcançam os destinos que são traduzidos através doroteador de NAT. Às vezes, esse problema pode ser evitado implementandomapeamentos de NAT estáticos.

A capacidade de rastreamento IP fim-a-fim também é perdida. Torna-se muito maisdifícil rastrear pacotes que passam por muitas mudanças de endereço ao longo dosdiversos saltos da NAT, dificultando a identificação e solução de problemas. Por outro

lado, os hackers que querem determinar a origem de um pacote acham difícil rastrear ouobter a origem ou o endereço de destino.

O uso da NAT também complica os protocolos de tunelamento, como o IPsec, porqueela modifica os valores nos cabeçalhos que interferem nas verificações de integridadefeitas pelo IPsec e por outros protocolos de tunelamento.

Os serviços que exigem a iniciação de conexões de TCP da rede externa ou protocolossem estado, como os que usam o UDP, podem ser interrompidos. A menos que oroteador de NAT se esforce especificamente para suportar esses protocolos, os pacotes

de entrada não poderão chegar ao seu destino. Alguns protocolos podem acomodar umainstância de NAT entre os hosts participantes (FTP no modo passivo, por exemplo), masfalham quando ambos os sistemas são separados da Internet pela NAT.

Exibir meio visual 

7.2.4 Configurando a NAT estática

Página 1:

NAT estática

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 274/350

Lembre-se de que a NAT estática é um mapeamento exclusivo entre um endereçointerno e um endereço externo. A NAT estática permite conexões iniciadas por dispositivos externos para dispositivos internos. Por exemplo, você pode desejar mapear um endereço global interno para um endereço local interno específico que está atribuídoao seu servidor web.

A configuração das traduções de NAT estáticas é uma tarefa simples. É necessáriodefinir os endereços a serem traduzidos e, em seguida, configurar a NAT nas interfacesapropriadas. Os pacotes que chegam em uma interface do endereço IP definido estãosujeitos à tradução. Os pacotes que chegam em uma interface externa, destinados para oendereço IP identificado, estão sujeitos à tradução.

A figura explica os comandos para cada etapa. Você digita as traduções estáticasdiretamente na configuração. Diferentemente das traduções dinâmicas, essas traduçõessempre estão na tabela de NAT.

Clique no botão Exemplo na figura.

A figura é uma configuração de NAT estática simples aplicada em ambas as interfaces.O roteador sempre traduz os pacotes do host dentro da rede com o endereço privado de192.168.10.254 em um endereço externo de 209.165.200.254. O host na Internetdireciona as solicitações da web ao endereço IP público 209.165.200.254, e o roteador R2 sempre encaminha esse tráfego ao servidor em 192.168.10.254.

Exibir meio visual 

7.2.5 Configurando a NAT dinâmica

Página 1:

Configurando a NAT dinâmica

Enquanto a NAT estática fornece um mapeamento permanente entre um endereçointerno e um endereço público específico, a NAT dinâmica mapeia os endereços IP

 privados para endereços públicos. Esses endereços IP públicos vêm de um conjunto de NAT. A configuração de NAT dinâmica é diferente da NAT estática, mas tambémapresenta algumas semelhanças. Assim como a NAT estática, ela exige que aconfiguração identifique cada interface como uma interface interna ou externa.Entretanto, em vez de criar um mapa estático para um único endereço IP, utiliza-se umconjunto de endereços globais internos.

Clique no botão Comandos na figura para ver as etapas e configurar a NAT dinâmica.

Para configurar a NAT dinâmica, você precisa de uma ACL para permitir somente os

endereços que devem ser traduzidos. Ao desenvolver sua ACL, lembre-se de que há um“negar todos” implícito no final de cada ACL. Uma ACL muito permissiva pode levar a

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 275/350

resultados imprevisíveis. A Cisco não aconselha configurar as listas de controle deacesso indicadas pelos comandos NAT com o comando permit any. O uso do comandopermit any pode fazer com que a NAT consuma muitos recursos do roteador, o que

 pode levar a problemas de rede.

Clique no botão Exemplo na figura.

Essa configuração permite a tradução para todos os hosts nas redes 192.168.10.0 e192.168.11.0 quando elas gerarem o tráfego que entrar em S0/0/0 e sair de S0/1/0. Esseshosts são traduzidos para um endereço disponível no intervalo de 209.165.200.226 -209.165.200.240.

Exibir meio visual 

7.2.6 Configurando a sobrecarga de NAT 

Página 1:

Configurando a sobrecarga de NAT para um único endereço IP público

Existem duas maneiras possíveis de configurar a sobrecarga, dependendo de como oISP aloca os endereços IP públicos. Em primeiro lugar, o ISP aloca um endereço IP

 público para a organização e, em seguida, aloca mais de um endereço IP público.

A figura mostra as etapas a serem seguidas para configurar a sobrecarga de NAT comum único endereço IP. Com somente um endereço IP público, a configuração dasobrecarga geralmente atribui esse endereço público à interface externa que se conectaao ISP. Todos os endereços internos são traduzidos para o único endereço IP ao deixar ainterface externa.

Clique no botão Comandos na figura para ver as etapas para configurar a sobrecargade NAT.

A configuração é semelhante à NAT dinâmica. A diferença é que, em vez de umconjunto de endereços, a palavra-chave interface é usada para identificar o endereço IPexterno. Portanto, nenhum conjunto de NAT foi definido. A palavra-chave sobrecarga

 permite adicionar o número da porta à tradução.

Clique no botão Exemplo na figura.

Este exemplo mostra como a sobrecarga de NAT é configurada. No exemplo, todos oshosts da rede 192.168.0.0 /16 (correspondentes à ACL 1) que enviam o tráfego atravésdo roteador R2 para a Internet são traduzidos para o endereço IP 209.165.200.225

(endereço IP S0/1/0 da interface). Como a palavra-chave sobrecarga foi usada, osfluxos de tráfego foram identificados pelos números de porta.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 276/350

Exibir meio visual 

Página 2:

Configurando a sobrecarga de NAT para um conjunto de endereços IP públicos

 No cenário onde o ISP fornecer mais de um endereço IP público, a sobrecarga de NATserá configurada para usar um conjunto. A principal diferença entre essa configuração ea configuração para a NAT dinâmica e exclusiva é que ela usa a palavra-chavesobrecarga. Lembre-se de que a palavra-chave sobrecarga permite a tradução deendereço de porta.

Clique no botão Comandos na figura para ver as etapas da configuração dasobrecarga de NAT usando um conjunto de endereços.

Clique no botão Exemplo na figura.

 Neste exemplo, a configuração estabelece a tradução de sobrecarga para o conjunto de NAT, NAT-POOL2. O conjunto de NAT contém os endereços 209.165.200.226 -209.165.200.240 e é traduzido usando PAT. Os hosts na rede 192.168.0.0 /16 estãosujeitos à tradução. Por fim, as interfaces interna e externa são identificadas.

Exibir meio visual 

7.2.7 Configurando o encaminhamento de porta

Página 1:

Encaminhamento de porta

O encaminhamento de porta (às vezes chamado de tunelamento) é o ato de encaminhar uma porta de rede de um nó de rede para outro. Essa técnica permite que um usuárioexterno alcance uma porta em um endereço IP privado (dentro de uma rede local) do

endereço externo através de um roteador habilitado pela NAT.

Geralmente, os programas e as principais operações de compartilhamento de arquivos ponto a ponto, como o FTP de serviço e de saída da web, exigem que as portas doroteador sejam encaminhadas ou abertas para permitir o funcionamento dessesaplicativos. Como a NAT oculta os endereços internos, o ponto a ponto só funciona nosentido contrário onde a NAT pode mapear as solicitações de saída de registro emrelação às respostas de entrada.

O problema é que a NAT não permite que as solicitações sejam iniciadas do exterior.

Essa situação pode ser resolvida com uma intervenção manual. O encaminhamento de

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 277/350

 porta permite identificar as portas específicas que podem ser encaminhadas para oshosts internos.

Lembre-se de que os aplicativos de software da Internet interagem com portas deusuário que precisam estar abertas ou disponíveis para esses aplicativos. Diferentesaplicativos usam diferentes portas. Por exemplo, a Telnet usa a porta 23, o FTP usa as

 portas 20 e 21, o HTTP usa a porta 80 e o SMTP usa a porta 25. Isso torna previsível aidentificação dos serviços de rede pelos aplicativos e roteadores. Por exemplo, o HTTPopera pela porta 80, que é conhecida. Quando você digita o endereço http://cisco.com, onavegador exibe o site da Cisco Systems, Inc. Observe que nós não precisamosespecificar o número de porta HTTP para as solicitações de página porque o aplicativosupõe a porta 80.

Configurando o encaminhamento de porta

O encaminhamento de porta permite que os usuários na Internet acessem os servidoresinternos usando o endereço de porta de WAN e o número de porta externocorrespondente. Quando os usuários enviam esses tipos de solicitações para seuendereço IP de porta de WAN pela Internet, o roteador encaminha essas solicitações aosservidores apropriados em sua rede local. Por questões de segurança, os roteadores de

 banda larga não permitem, por padrão, que seja encaminhada nenhuma solicitação derede externa para um host interno.

Por exemplo, a figura está exibindo a janela Encaminhamento de porta simples de umroteador de SOHO de classe de negócios, Linksys WRVS4400N. Atualmente, oencaminhamento de porta não está configurado.

Clique no botão Exemplo de encaminhamento de porta na figura.

Você pode habilitar o encaminhamento de porta para os aplicativos e especificar oendereço local interno para o qual encaminhar as solicitações. Por exemplo, na figura,as solicitações de serviço do HTTP que chegam ao Linksys são encaminhadas, nestemomento, para o servidor web com o endereço local interno de 192.168.1.254. Se oendereço IP WAN externo do roteador de SOHO for 209.165.200.158, o usuário

externo poderá digitar http://209.165.200.158 e o roteador de Linksys redirecionará asolicitação de HTTP para o servidor web interno no endereço IP 192.168.1.254, usandoo número de porta 80 padrão.

 Nós podemos especificar uma porta diferente da porta padrão 80. Entretanto, o usuárioexterno teria que saber o número de porta específico a ser usado.

A abordagem que você adota para configurar o encaminhamento de porta depende damarca e modelo do roteador de banda larga na rede. Porém, existem algumas etapasgenéricas a serem seguidas. Se as instruções fornecidas pelo seu ISP ou que vieram com

o roteador não fornecerem uma orientação adequada, o site www.portforward.com oferece guias para diversos roteadores de banda larga. Você pode seguir as instruções

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 278/350

 para adicionar ou excluir portas conforme o necessário para que as necessidades dequalquer aplicativo que você deseja aceitar ou rejeitar sejam atendidas.

Exibir meio visual 

7.2.8 Verificando, identificando e solucionando problemas das configurações de NAT 

Página 1:

Verificando a NAT e a sobrecarga de NAT

É importante verificar a operação de NAT. Existem vários comandos de roteador úteis para exibir e apagar as traduções de NAT. Este tópico explica como verificar a operaçãode NAT usando as ferramentas disponíveis nos roteadores Cisco.

Um dos comandos mais úteis ao verificar a operação de NAT é o comando show ip nattranslations. Antes de usar os comandos show para verificar a NAT, você deve apagar as entradas de tradução dinâmica que ainda estejam presentes porque, por padrão, astraduções dinâmicas de endereço expiram da tabela de tradução NAT após um períodode falta de uso.

 Na figura, o roteador R2 foi configurado para fornecer a sobrecarga de NAT aosclientes de 192.168.0.0 /16. Quando os hosts internos saem do roteador R2 para aInternet, eles são traduzidos para o endereço IP da interface serial com um número de

 porta de origem exclusivo.

Suponha que os dois hosts na rede interna acessaram os serviços da web pela Internet.

Clique no botão Traduções de NAT na figura.

Observe que a saída do comando show ip nat translations exibe os detalhes das duasatribuições de NAT. Adicionar verbose ao comando exibirá as informações adicionaissobre cada tradução, inclusive há quanto tempo a entrada foi criada e usada.

O comando exibe todas as traduções estáticas que foram configuradas, além dastraduções dinâmicas que foram criadas pelo tráfego. Cada tradução é identificadaatravés do protocolo e através dos endereços locais e globais, internos e externos.

Clique no botão Estatísticas de NAT na figura.

O comando show ip nat statistics exibe informações sobre o número total de traduçõesativas, os parâmetros de configuração de NAT, quantos endereços estão no conjunto equantos foram alocados.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 279/350

 Na figura, os hosts iniciaram o tráfego da web, além do tráfego ICMP.

Como alternativa, use o comando show run e procure a NAT, a lista de comandos deacesso, a interface ou comandos de conjunto com os valores exigidos. Examine-oscuidadosamente e corrija os erros que encontrar.

Por padrão, a tradução expira depois de 24 horas, a menos que os temporizadores sejamreconfigurados com o comando ip nat translation timeouttimeout_ seconds no modode configuração global.

Clique no botão NAT apagado na figura.

Às vezes é útil apagar as entradas dinâmicas antes do tempo padrão. Isso éespecialmente verdadeiro ao testar a configuração de NAT. Para apagar as entradasdinâmicas antes de o tempo limite expirar, use comando global clear ip nattranslation.

A tabela na figura está exibindo os vários modos de apagar as traduções de NAT. Você pode especificar qual tradução apagar ou pode apagar todas as traduções da tabelausando o comando global clear ip nat translation *, como mostrado no exemplo.

Somente as traduções dinâmicas são apagadas da tabela. As traduções estáticas não podem ser apagadas da tabela de tradução.

Exibir meio visual 

Página 2:

Identificação e solução de problemas de configuração da NAT e da sobrecarga deNAT

Quando você tiver problemas de conectividade IP em um ambiente de NAT, geralmenteé difícil determinar suas causas. A primeira etapa da resolução do problema é excluir a

 NAT como a causa. Siga estas etapas para verificar se a NAT está funcionando comoesperado:

Etapa 1. Com base na configuração, defina claramente o que a NAT deve alcançar. Isso pode revelar um problema com a configuração.

Etapa 2. Verifique se as traduções corretas se encontram na tabela usando o comandoshow ip nat translations.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 280/350

Etapa 3. Use os comandos clear e debug para verificar se a NAT está funcionandoconforme o esperado. Verifique se as entradas dinâmicas são recriadas depois de seremapagadas.

Etapa 4. Observe detalhadamente o que acontece com o pacote e verifique se osroteadores possuem as informações de roteamento corretas para mover o pacote.

Use o comando debug ip nat para verificar a operação do recurso de NAT exibindo asinformações sobre os pacotes que são traduzidos pelo roteador. O comando debug ipnat detailed gera uma descrição de cada pacote considerado para tradução. Essecomando também exibe informações sobre certos erros ou condições de exceção, comoa falha para alocar um endereço global.

A figura apresenta uma amostra da saída do comando debug ip nat. Na saída do

comando, é possível observar que o host interno 192.168.10.10 iniciou o tráfego para ohost externo 209.165.200.254 e foi traduzido para o endereço 209.165.200.225.

Ao decodificar a saída do comando da depuração, observe o que os símbolos e valoresseguintes indicam:

• * - O asterisco próximo à NAT indica que a tradução está ocorrendo no caminhode comutação rápida. O primeiro pacote em uma conversação sempre écomutado por processo, o que é mais lento. Se existir uma entrada de cache, os

 pacotes restantes passam através do caminho que foi comutado rapidamente.

• s= - Refere-se ao endereço IP de origem.

• a.b.c.d---> w.x.y.z - Indica que o endereço de origem a.b.c.d é traduzido paraw.x.y.z.

• d= - Refere-se ao endereço IP de destino.

• [xxxx] - O valor em colchetes é o número de identificação IP. Essas informações podem ser úteis para a depuração porque elas habilitam a correlação com outrosrastros de pacote de analisadores de protocolo.

Você pode ver as seguintes demonstrações sobre como verificar, identificar e solucionar 

 problemas da NAT nestes locais:

Flash Animation Case Study: Can Ping Host, but Cannot Telnet: Animação em flashcom duração de sete minutos sobre por que um dispositivo pode executar ping no host,mas não pode usar a telnet: http://www.cisco.com/warp/public/556/index.swf .

Flash Animation Case Study: Cannot Ping Beyond NAT: Animação em flash comduração de dez minutos sobre como um dispositivo não pode executar ping além da

 NAT: http://www.cisco.com/warp/public/556/TS_NATcase2/index.swf .

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 281/350

Página 3:

A NAT traduz endereços privados, não roteáveis e internos em endereços públicos,roteáveis. A NAT tem um benefício adicional de proporcionar um nível de privacidade

e segurança para uma rede porque ela oculta endereços IP internos de redes externas. Nesta atividade, você configurará a NAT dinâmica e estática.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDFabaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

7.3 IPv67.3.1 Motivos para usar o IPv6 

Página 1:

Por que precisamos de mais espaço de endereço

Para compreender os problemas de endereçamento IP que atingem os administradoresde rede, considere que o espaço de endereço do IPv4 fornece, aproximadamente,4.294.967.296 endereços exclusivos. Desses, apenas 3,7 bilhões de endereços podem ser atribuídos porque o sistema de endereçamento do IPv4 separa os endereços em classes ereserva os endereços para multicast, teste e outros usos específicos.

Com base nos números de janeiro de 2007, aproximadamente 2,4 bilhões dos endereçosde IPv4 disponíveis já foram atribuídos a usuários finais ou ISPs. Isso deixaaproximadamente 1,3 bilhão de endereços ainda disponíveis do espaço de endereços doIPv4. Apesar desse número aparentemente grande, o espaço de endereços do IPv4 estáacabando.

Clique no botão Reproduzir na figura para ver a rapidez desses acontecimentosdurante os últimos 14 anos.

 Na última década, a comunidade da Internet analisou o esgotamento dos endereço doIPv4 e publicou pilhas de relatórios. Alguns relatórios preveem o esgotamento dosendereços de IPv4 por volta de 2010 e outros dizem que isso não acontecerá até 2013.

Clique no botão Redução na figura para ver como o espaço de endereços disponíveisestá sendo reduzido.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 282/350

O crescimento da Internet, aliado ao aumento do poder da computação, aumentou oalcance dos aplicativos baseados em IP.

Clique no botão Por que o IPv6 na figura e pense sobre o que está levando a umamudança para o IPv6.

O conjunto de números está sendo reduzido pelos seguintes motivos:

• Crescimento da população - A população da Internet está crescendo. Emnovembro de 2005, a Cisco estimou que havia 973 milhões de usuáriosaproximadamente. Esse número dobrou desde então. Além disso, os usuáriosficam online por mais tempo, reservando os endereços IP por períodos maislongos e entrando em contato com cada vez mais pontos diariamente.

• Usuários móveis - A indústria produziu mais de um bilhão de telefonescelulares. Foram produzidos mais de 20 milhões de dispositivos móveishabilitados para IP, inclusive assistentes digitais pessoais (PDAs, personaldigital assistants), canetas digitais, blocos de notas e leitores de códigos de barra.Cada vez mais dispositivos móveis habilitados para IP ficam online todos osdias. Os telefones celulares antigos não precisavam de endereços IP, mas osnovos precisam.

• Transporte - Haverá mais de um bilhão de automóveis por volta de 2008. Osmodelos mais novos são habilitados para IP para permitir que a monitoraçãoremota forneça uma manutenção e suporte em tempo hábil. A Lufthansa já

fornece a conectividade da Internet em seus voos. Mais operadoras, incluindo osnavios, fornecerão serviços semelhantes.

• Equipamentos eletrônicos - Os dispositivos mais novos permitem amonitoração remota usando a tecnologia IP. São exemplos os gravadores devídeo digital (DVRs, Digital Video Recorder), que fazem o download de guiasde programas e os atualizam pela Internet. As redes locais podem conectar essesdispositivos.

Exibir meio visual 

Página 2:Motivos para usar o IPv6

O movimento para mudar do IPv4 para o IPv6 já começou, especialmente na Europa,Japão e na região da Ásia-Pacífico. Essas áreas estão esgotando seus endereços IPv4distribuídos, o que torna o IPv6 ainda mais atraente e necessário. O movimento foioficialmente iniciado no Japão no ano 2000, quando o governo japonês determinou aincorporação do IPv6 e definiu o prazo final para 2005 para que se atualizassem ossistemas existentes em todos os negócios e no setor público. A Coreia, China e Malásiativeram iniciativas semelhantes.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 283/350

Em 2002, a IPv6 Task Force da Comunidade Europeia formou uma aliança estratégica para encorajar a adoção do IPv6 em todo o mundo. A IPv6 Task Force norte-americanacomeçou a exigir que os mercados norte-americanos adotassem o IPv6. Os primeirosavanços significativos nos Estados Unidos são provenientes do Departamento de Defesa

 Norte-Americano (DoD, U.S Department of Defense). Prevendo o futuro e conhecendo

as vantagens de dispositivos habilitados para IP, o DoD designou, já em 2003, que todosos novos equipamentos comprados, além de serem habilitados para IP, fossemhabilitados também para o IPv6. Na realidade, todos os órgãos públicos norte-americanos devem começar a usar o IPv6 em suas redes principais por volta de 2008, eeles estão trabalhando para cumprir com esse prazo.

A capacidade de dimensionar as redes para as demandas futuras requer umfornecimento ilimitado de endereços IP e uma mobilidade aprimorada que o DHCP e a

 NAT sozinhos não conseguem atingir. O IPv6 satisfaz os requisitos cada vez maiscomplexos do endereçamento hierárquico que o IPv4 não fornece.

Devido à enorme base instalada do IPv4 no mundo, não é difícil avaliar que a transiçãodas implantações do IPv4 para o IPv6 seja um desafio. Entretanto existe uma variedadede técnicas, inclusive uma opção de configuração automática, para fazer a transição demodo mais fácil. O mecanismo de transição usado por você dependerá das necessidadesde sua rede.

A figura compara as representações binárias e alfanuméricas dos endereços do IPv4 edo IPv6. Um endereço IPv6 é um valor binário de 128 bits que pode ser exibido como32 dígitos hexadecimais. O IPv6 deve fornecer endereços suficientes para as

necessidades do crescimento futuro da Internet por muitos anos. Existem endereçosIPv6 suficientes para alocar mais do que o espaço de endereços de Internet do IPv4inteiro a todas as pessoas do mundo.

Clique no botão Perspectiva na figura.

Então, o que aconteceu com o IPv5? O IPv5 foi usado para definir um protocoloexperimental de streaming em tempo real. Para evitar qualquer confusão, foi decididonão usar o IPv5 e nomear o novo protocolo IP como IPv6.

Exibir meio visual 

Página 3:

O IPv6 não existiria não fosse o esgotamento reconhecido de endereços IPv4disponíveis. Porém, além do maior espaço de endereços IP, o desenvolvimento do IPv6apresentou oportunidades para aplicar as lições aprendidas a partir das limitações doIPv4 para criar um protocolo com recursos novos e aprimorados.

Uma arquitetura de cabeçalho e uma operação de protocolo simplificados se traduzem

em gastos operacionais reduzidos. Os recursos de segurança integrados significam práticas de segurança mais fáceis, extremamente ausentes em muitas redes atuais.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 284/350

Entretanto, talvez a melhoria mais significativa oferecida pelo IPv6 sejam os recursosde autoconfiguração que ele possui.

A Internet está evoluindo rapidamente de uma coleção de dispositivos fixos para umarede fluida de dispositivos móveis. O IPv6 permite que os dispositivos móveis adquirame façam a transição rapidamente entre endereços conforme eles se movem entre redesexternas, sem que haja necessidade de um agente externo. (Um agente externo é umroteador que pode funcionar como o ponto de anexo para um dispositivo móvel quandofor de sua rede local para uma rede externa.)

A autoconfiguração de endereço também significa uma conectividade de rede plug and play mais sólida. A autoconfiguração suporta clientes que tenham qualquer combinaçãode computadores, impressoras, câmeras digitais, rádios digitais, telefones IP,dispositivos domésticos habilitados para a Internet e brinquedos eletrônicos conectadosàs suas redes locais. Muitos fabricantes já integram o IPv6 em seus produtos.

Muitos dos aprimoramentos oferecidos pelo IPv6 são explicados nesta seção, incluindo:

• Endereçamento IP aprimorado

• Cabeçalho simplificado

• Mobilidade e segurança

• Riqueza de transição

Endereçamento IP aprimorado

Um espaço maior de endereço oferece vários aprimoramentos, incluindo:

• Melhor acessibilidade e flexibilidade globais.

• Melhor agregação de prefixos de IP anunciados nas tabelas de roteamento.

• Hosts multihome. Multihoming é uma técnica para aumentar a confiabilidade daconexão da Internet de uma rede IP. Com o IPv6, um host pode ter váriosendereços IP sobre um link upstream físico. Por exemplo, um host podeconectar-se a vários ISPs.

• A autoconfiguração, que pode incluir endereços de camada de enlace de dadosno espaço de endereço.

• Mais opções de plug and play para mais dispositivos.

• Reendereçamento público-para-privado e fim-a-fim sem tradução de endereços.Ele torna a rede ponto a ponto (P2P) mais funcional e mais fácil de ser implantada.

• Mecanismos simplificados para renumeração e modificação do endereço.

Clique no botão Cabeçalho simples na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 285/350

A figura compara a estrutura de cabeçalho de IPv6 simplificada ao cabeçalho de IPv4.O cabeçalho de IPv4 possui 20 octetos e 12 campos de cabeçalho básicos, seguidos por um campo de opções e uma porção de dados (normalmente o segmento de Camada detransporte). O cabeçalho de IPv6 possui 40 octetos, três campos de cabeçalho básicos de

IPv4 e cinco campos de cabeçalho adicionais.

O cabeçalho simplificado de IPv6 oferece várias vantagens com relação ao IPv4:

• Melhor eficiência de roteamento para desempenho e escalabilidade de taxa deencaminhamento

• Ausência de broadcasts e, desse modo, ausência de ameaças de broadcast storms

• Sem necessidade de processar checksums

• Mecanismos de cabeçalho de extensão simplificados e mais eficientes

• Rótulos de fluxo para processamento por fluxo sem a necessidade de abrir o pacote interno de transporte para identificar os diversos fluxos de tráfego

Mobilidade e segurança aprimoradas

A mobilidade e a segurança ajudam a garantir a conformidade com a funcionalidade dos padrões de IP móveis e Segurança IP (IPsec). A mobilidade permite que as pessoas comdispositivos de rede móveis, muitas com conectividade sem fio, movam-se entre asredes.

• O padrão de IP móvel da IETF está disponível para o IPv4 e o IPv6. Ele permiteque os dispositivos móveis se movam em conexões de rede estabelecidas seminterrupções. O dispositivos móveis usam um endereço secundário para obter essa mobilidade. Com o IPv4, esses endereços são configurados manualmente.Com o IPv6, as configurações são dinâmicas, dando uma mobilidade integradaaos dispositivos habilitados para Ipv6.

• O IPsec está disponível para IPv4 e IPv6. Embora as funcionalidades sejamessencialmente idênticas em ambos os ambientes, o IPsec é obrigatório no IPv6,tornando a Internet do IPv6 mais segura.

Riqueza de transição

O IPv4 não desaparecerá do dia para a noite. Ao contrário, ele coexistirá com o IPv6 eserá gradualmente substituído por ele. Por essa razão, o IPv6 foi criado com técnicas demigração para abranger todos os casos concebíveis de atualização do IPv4. Porém, nofinal das contas, muitas foram rejeitadas pela comunidade tecnológica.

Existem atualmente três abordagens principais.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 286/350

• Pilha dupla

• Tunelamento 6to4

•  NAT-PT, tunelamento ISATAP e tunelamento Teredo (métodos de último caso)

Algumas dessas abordagens serão discutidas com mais detalhes posteriormente nessecapítulo.

O conselho atual para fazer a transição para o IPv6 é "Pilha dupla onde puder, túnelonde precisar!"

Exibir meio visual 

7.3.2 Endereçamento IPv6 

Página 1:

Representação de endereço IPv6

Você conhece o endereço IPv4 de 32 bits como uma série de quatro campos de 8 bits,separada por pontos. Porém, endereços IPv6 maiores, de 128 bits, precisam de umarepresentação diferente por causa de seu tamanho. Os endereços IPv6 usam dois-pontos

 para separar as entradas em uma série de hexadecimal de 16 bits.

Clique no botão Representação na figura.

A figura mostra o endereço 2031:0000:130F:0000:0000:09C0:876A:130B. O IPv6 nãorequer uma notação de cadeia de endereços explícita. A figura mostra como encurtar oendereço aplicando as seguintes diretrizes:

• Os zeros à esquerda em um campo são opcionais. Por exemplo, o campo 09C0 éigual ao 9C0 e o campo 0000 é igual a 0. Assim 2031:0000:130F:0000:0000:09C0:876A:130B podem ser escritos como 2031:0:130F:0000:0000:9C0: 876A:130B.

• Os campos sucessivos de zeros podem ser representados como dois sinais dedois-pontos "::”. Entretanto, este método de taquigrafia só pode ser usado umavez em cada endereço. Por exemplo, 2031:0:130F:0000:0000:9C0:876A:130B

 pode ser escrito como 2031:0:130F::9C0:876A:130B.

• Um endereço especificado é escrito como "::" porque contém somente zeros.

Usando o "::", a notação reduz bastante o tamanho da maioria dos endereços, comomostrado. Um analista de endereços identifica o número de zeros faltantes separandoduas partes quaisquer de um endereço e digitando 0s até que os 128 bits estejamcompletos.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 287/350

Clique no botão Exemplos na figura para obter alguns exemplos adicionais.

Exibir meio visual 

Página 2:Endereço de unicast global do IPv6

O IPv6 possui um formato de endereço que permite eventualmente uma maior agregação para o ISP. Endereços de unicast globais consistem geralmente de um prefixode roteamento global de 48 bits e uma ID de sub-rede de 16 bits. As organizaçõesindividuais podem usar um campo de sub-rede de 16 bits para criar sua própriahierarquia de endereçamento local. Esse campo permite que uma organização use até65.535 sub-redes individuais.

 Na parte superior da figura, podemos ver como a hierarquia adicional é acrescentada ao prefixo de roteamento global de 48 bits com o prefixo de registro, prefixo de ISP e prefixo do site.

O endereço de unicast global atual que é atribuído pelo IANA usa o intervalo deendereços iniciado com o valor binário 001 (2000::/3), que é 1/8 do espaço total doendereço IPv6 e que é o maior bloco de endereços atribuídos. O IANA está alocando oespaço de endereços IPv6 nos intervalos de 2001::/16 para os cinco registros RIR (ARIN, RIPE NCC, APNIC, LACNIC e AfriNIC).

Para obter mais informações, consulte a RFC 3587, Formato de endereços de unicast deIPv6, que substitui a RFC 2374.

Endereços reservados

O IETF reserva uma porção do espaço de endereços IPv6 para vários usos, presentes efuturos. Os endereços reservados representam 1/256 do espaço de endereço IPv6 total.Alguns dos outros tipos de endereços IPv6 são originados deste bloco.

Endereços privados

Um bloco de endereços IPv6 é reservado para endereços privados, assim como é feitono IPv4. Esses endereços privados são locais somente para um link ou local específicoe, portanto, nunca são roteados para fora de uma rede corporativa específica. Osendereços privados possuem um valor de primeiro octeto de "FE" em notaçãohexadecimal, com o próximo dígito hexadecimal sendo um valor de 8 para F.

Esses endereços são divididos ainda em dois tipos, com base no escopo.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 288/350

• Endereços locais de site são endereços semelhantes à Alocação de endereços para internet privada no IPv4 da RFC 1918 de hoje. O escopo desses endereços éum site ou organização inteiros. Entretanto, o uso dos endereços locais é

 problemático e está sendo substituído desde 2003 pela RFC 3879. Emhexadecimais, os endereços locais começam com "FE" e então de "C" até "F"

 para o terceiro dígito hexadecimal.• Endereços de enlace locais são novos para o conceito de endereçamento com IP

na Camada de rede. Esses endereços têm um escopo menor do que os endereçoslocais de site. Eles se referem somente a um link físico específico (rede física).Os roteadores não encaminham datagramas utilizando endereços de enlacelocais, nem mesmo dentro da organização. Eles servem somente paracomunicação local em um segmento de rede físico específico. Eles são usados

 para comunicações de link como a configuração de endereço automática,detecção de vizinho e detecção de roteador. Muitos protocolos de roteamento doIPv6 também usam endereços de enlace locais. Os endereços de enlace locaiscomeçam com "FE" e, assim, possuem um valor de "8" para "B" para o terceiro

dígito hexadecimal.

Endereço de loopback 

Assim como ocorre no IPv4, foi fornecido um endereço IPv6 de loopback especial paratestes. Os datagramas enviados para esse endereço retornam para o dispositivo deorigem. Entretanto, existe apenas um endereço no IPv6 para essa função, e não um

 bloco inteiro. O endereço de loopback é 0:0:0:0:0:0:0:1, normalmente expresso com ouso da compressão do zero com o ":: 1."

Endereço não especificado

 No IPv4, um endereço IP somente com zeros tem um significado especial. Ele se refereao próprio host e é usado quando um dispositivo não souber seu próprio endereço. NoIPv6, esse conceito foi formalizado, e o endereço somente com zeros (0:0:0:0:0:0:0:0)recebe o nome de endereço "não especificado." Ele é usado normalmente no campo deorigem de um datagrama, o qual é enviado por um dispositivo que busca ter seuendereço IP configurado. É possível aplicar a compressão de endereços a esse endereço.Como somente contém zeros, ele se tornará simplesmente "::".

Exibir meio visual 

Página 3:

Gerenciamento de endereços IPv6

Os endereços do IPv6 usam identificadores de interface para identificar as interfaces emum link. Considere-os como a "porção de host" de um endereço IPv6. Osidentificadores de interface devem ser exclusivos em um link específico. Os

identificadores de interface são sempre de 64 bits e são derivados dinamicamente de umendereço de Camada 2 (endereço MAC).

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 289/350

Você pode atribuir uma ID de endereço IPv6 estática ou dinamicamente:

• Atribuição estática usando uma ID de interface manual

• Atribuição estática usando uma ID de interface EUI-64• Configuração automática sem estado

• DHCP para IPv6 (DHCPv6)

Atribuição de ID de interface manual

Uma maneira de atribuir um endereço IPv6 estaticamente a um dispositivo é atribuir o prefixo (rede) e a porção da ID de interface (host) do endereço IPv6. Para configurar umendereço IPv6 em uma interface do roteador Cisco, use o comando ipv6 address ipv6-

address/prefix-length no modo de configuração de interface. O exemplo seguinte mostraa atribuição de um endereço IPv6 à interface de um roteador Cisco:

RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::72/64

Atribuição de ID de interface EUI-64

Outra maneira de atribuir um endereço IPv6 é configurar a porção do prefixo (rede) doendereço IPv6 e derivar a porção da ID de interface (host) do endereço MAC de camada2 do dispositivo, conhecido como a ID de interface EUI-64.

Clique no botão EUI-64 na figura.

O padrão EUI-64 explica como expandir os endereços MAC do IEEE 802 de 48 para 64 bits inserindo o 0xFFFE de 16 bits no meio do 24º bit do endereço MAC, a fim de criar um identificador de interface de 64 bits exclusivo.

Para configurar um endereço IPv6 em uma interface do roteador Cisco e habilitar o processamento de IPv6 usando o EUI-64 nessa interface, use o comando ipv6 addressipv6-prefix/prefix-length eui-64 no modo de configuração de interface. O exemploseguinte mostra a atribuição de um endereço EUI-64 à interface de um roteador Cisco:

RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64

Configuração automática sem estado

A configuração automática configura automaticamente o endereço IPv6. No IPv6, presume-se que os dispositivos que não sejam do PC, bem como os terminais decomputador, serão conectados à rede. O mecanismo de configuração automática foi

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 290/350

introduzido para permitir que a rede plug-and-play desses dispositivos ajudem a reduzir a sobrecarga de administração.

DHCPv6 (sem estado)

O DHCPv6 permite que os servidores DHCP transmitam os parâmetros deconfiguração, como os endereços de rede IPv6, para os nós do IPv6. Ele oferece orecurso de alocação automática de endereços de rede reutilizáveis e uma flexibilidade deconfiguração adicional. Esse protocolo é um correspondente sem estado daconfiguração automática de endereços sem estado do IPv6 (RFC 2462) e pode ser usadoseparado da configuração automática de endereços sem estado do IPv6, ousimultaneamente a ela, para obter os parâmetros de configuração.

Para obter mais informações sobre a atribuição de endereços IPv6, acesse o site:

http://www.netbsd.org/docs/network/ipv6/ .Exibir meio visual 

7.3.3 Estratégias de transição do IPv6 

Página 1:

Estratégias de transição do IPv6

A transição do IPv4 não exige melhorias concomitantes em todos os nós. Muitosmecanismos de transição permitem uma integração tranquila do IPv4 e IPv6. Outrosmecanismos que permitem que os nós de IPv4 se comuniquem com os nós de IPv6estão disponíveis. Situações diferentes exigem estratégias diferentes. A figura ilustra ariqueza de estratégias de transição disponíveis.

Lembre-se do conselho: "Pilha dupla onde puder, túnel onde precisar." Esses doismétodos são as técnicas mais comuns para fazer a transição de IPv4 para IPv6.

Empilhamento duplo

O empilhamento duplo é um método de integração no qual um nó possuiimplementação e conectividade a uma rede IPv4 e a uma rede IPv6. Essa é a opçãorecomendada e envolve a execução de IPv4 e IPv6 ao mesmo tempo. Os roteadores e osswitches são configurados para suportar ambos os protocolos, sendo que o IPv6 é o

 protocolo preferido.

Tunelamento

A segunda técnica de transição mais importante é o tunelamento. Existem váriastécnicas de tunelamento disponíveis, incluindo:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 291/350

• Tunelamento manual de IPv6 sobre IPv4 - Um pacote de IPv6 é encapsuladodentro do protocolo IPv4. Esse método exige roteadores de pilha dupla.

• Tunelamento dinâmico 6to4 – Estabelece a conexão das ilhas de IPv6automaticamente através de uma rede IPv4, normalmente a Internet. Ele aplicaautomaticamente um prefixo de IPv6 válido e exclusivo a cada ilha de IPv6,

 permitindo a rápida implantação do IPv6 em uma rede corporativa sem queocorra a recuperação de endereço dos ISPs ou dos registros.

Outras técnicas de tunelamento menos populares, que estão além do escopo deste curso,incluem:

• Protocolo de endereçamento automático de túnel intra-site (ISATAP, Intra-SiteAutomatic Tunnel Addressing Protocol) – Mecanismo de tunelamento de

sobreposição automática que usa a rede de IPv4 subjacente como uma camadade enlace para o IPv6. Os túneis do ISATAP permitem que os hosts de pilhadupla individuais de IPv4 ou IPv6 dentro de um local se comuniquem comoutros hosts em um link virtual, criando uma rede de IPv6 que utiliza ainfraestrutura de IPv4.

• Tunelamento Teredo - Uma tecnologia de transição de IPv6 que fornece otunelamento automático de host para host em vez de um tunelamento degateway. Essa abordagem transmite o tráfego unicast de IPv6 quando os hosts de

 pilha dupla (hosts que executam tanto o IPv6 quanto o IPv4) estão localizadosatrás de um ou de vários NATs de IPv4.

Tradução do protocolo NAT (NAT-PT)

O software IOS Cisco Release 12.3(2)T e mais recente (com o conjunto de recursosapropriado) também inclui o NAT-PT entre IPv6 e IPv4. Essa tradução permite acomunicação direta entre hosts que usam versões diferentes do protocolo IP. Essastraduções são mais complexas do que a NAT de IPv4. Neste momento, essa técnica detradução é a opção menos favorável e deve ser usada como o último recurso.

Exibir meio visual 

7.3.4 Pilha dupla do IOS Cisco

Página 1:

Pilha dupla do IOS Cisco

O empilhamento duplo é um método de integração que permite que um nó tenhaconectividade a uma rede IPv4 e a uma rede IPv6 simultaneamente. Cada nó possuiduas pilhas de protocolo com a configuração na mesma interface ou em várias

interfaces.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 292/350

A abordagem da pilha dupla para a integração de IPv6, na qual os nós possuem tanto as pilhas de IPv4 quanto as de IPv6, será um dos métodos de integração mais comumenteusados. Um nó de pilha dupla escolhe qual pilha usar com base no endereço de destinodo pacote. Um nó de pilha dupla deve preferir o IPv6 quando ele estiver disponível. Osaplicativos antigos exclusivos de IPv4 continuam funcionando como antes. Os

aplicativos novos e modificados tiram proveito de ambas as camadas de IP.

Uma nova interface de programação de aplicativos (API, Application ProgrammingInterface) foi definida para suportar os endereços de IPv4 e de IPv6 e solicitações deDNS. Uma API facilita a troca de mensagens ou de dados entre dois ou mais aplicativosde software diferentes. Um exemplo de uma API é a interface virtual entre duas funçõesde software, como um processador de textos e uma planilha. A API é integrada aosaplicativos de software para traduzir o IPv4 em IPv6 e vice-versa, usando o mecanismode conversão de IP. Os novos aplicativos podem usar o IPv4 e o IPv6.

A experiência de portar os aplicativos de IPv4 para IPv6 sugere que, para a maioria dosaplicativos, há uma alteração mínima em alguns pontos localizados dentro do código-fonte. Essa técnica é bastante conhecida e tem sido aplicada nas últimas outrastransições de protocolo. Ela permite melhorias de aplicativos graduais, uma por uma,

 para o IPv6.

Clique no botão Configurando a interface de IPv6 na figura.

O software IOS Cisco Release 12.2(2)T e mais recente (com o conjunto de recursosapropriado) são habilitados para o IPv6. Logo após a configuração do IPv4 e IPv6

 básicos na interface, a interface sofre o empilhamento duplo e encaminha o tráfego deIPv4 e de IPv6 naquela interface. Observe que um endereço de IPv4 e um endereço deIPv6 foram configurados.

O uso do IPv6 em um roteador do IOS Cisco exige que você use o comando deconfiguração global ipv6 unicast-routing. Esse comando habilita o encaminhamento dedatagramas de IPv6.

Você deve configurar todas as interfaces que encaminham o tráfego de IPv6 com um

endereço de IPv6 usando o comando de interface ipv6 address IPv6-address [/ prefixlength].

Exibir meio visual 

7.3.5 Tunelamento de IPv6 

Página 1:

Tunelamento de IPv6

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 293/350

O tunelamento é um método de integração onde um pacote de IPv6 é encapsuladodentro de outro protocolo, como o IPv4. Esse método permite a conexão das ilhas deIPv6 sem que haja a necessidade de converter as redes intermediárias para o IPv6.Quando o IPv4 for usado para encapsular o pacote de IPv6, um tipo de protocolo de 41será especificado no cabeçalho de IPv4, e o pacote incluirá um cabeçalho de IPv4 de 20

 bytes sem opções, um cabeçalho de IPv6 e a payload. Ele também exige roteadores de pilha dupla.

O tunelamento apresenta estes dois problemas. A unidade máxima de transmissão(MTU, Maximum Transmission Unit) será diminuída efetivamente em 20 octetos se ocabeçalho de IPv4 não contiver nenhum campo opcional. Além disso, é geralmentedifícil identificar e solucionar problemas de uma rede tunelada.

O tunelamento é uma técnica de integração e transição intermediária e não deve ser considerada como uma solução final. Uma arquitetura de IPv6 nativa será o objetivo

final.Exibir meio visual 

Página 2:

Túnel IPv6 manualmente configurado

Um túnel manualmente configurado equivale a um link permanente entre dois domíniosde IPv6 sobre um backbone de IPv4. A utilização principal é para conexões estáveis que

exigem uma comunicação regular segura entre dois roteadores de extremidade ou entreum sistema final e um roteador de extremidade, ou para a conexão com redes IPv6remotas. Os roteadores finais devem ter passado por empilhamento duplo, e aconfiguração não pode mudar dinamicamente conforme as necessidades da rede e doroteamento precisem de mudanças.

Os administradores configuram um endereço IPv6 estático manualmente em umainterface de túnel e atribuem endereços IPv4 estáticos configurados manualmente àorigem do túnel e ao destino do túnel. O host ou roteador em cada extremidade de umtúnel configurado deve suportar as pilhas do protocolo IPv4 e IPv6. Os túneis

manualmente configurados podem ser configurados entre roteadores de borda ou entreum roteador de borda e um host.

Exibir meio visual 

7.3.6 Considerações de roteamento com o IPv6 

Página 1:

Configurações de roteamento com o IPv6

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 294/350

Assim como o roteamento entre domínios com endereços classless (CIDR , ClasslessInterdomain Routing) do IPv4, o IPv6 usa o roteamento de correspondência com o

 prefixo mais longo. O IPv6 utiliza versões modificadas da maioria dos protocolos deroteamento comuns para lidar com os endereços IPv6 mais longos e com estruturas decabeçalho diferentes.

Espaços de endereços maiores abrem espaço para alocações de endereço grandes paraos ISPs e as organizações. Um ISP agrega todos os prefixos de seus clientes em umúnico prefixo e anuncia esse único prefixo para a Internet de IPv6. O espaço deendereços aumentado é suficiente para permitir que as organizações definam um único

 prefixo para toda a sua rede.

Mas como isso afeta o desempenho do roteador? Uma breve revisão de como umroteador funciona em uma rede ajudará a ilustrar como o IPv6 afeta o roteamento.Conceitualmente, um roteador possui três áreas funcionais:

• O plano de controle trata da interação do roteador com os outros elementos derede, fornecendo as informações necessárias para tomar as decisões e paracontrolar a operação global do roteador. Este plano executa processos tais comoos protocolos de roteamento e o gerenciamento de rede. Essas funções sãogeralmente complexas.

• O plano de dados lida com o encaminhamento de pacotes de uma interface físicaou lógica para outra. Ele envolve diferentes mecanismos de comutação como acomutação de processo e o Cisco Express Forwarding (CEF) em roteadores dosoftware IOS Cisco.

• Os serviços aprimorados incluem recursos avançados aplicados ao encaminhar dados, como a filtragem de pacotes, qualidade de serviço (QoS, Quality of Service), criptografia, tradução e auditoria.

O IPv6 apresenta essas funções com novos desafios específicos.

Plano de controle do IPv6

A habilitação do IPv6 em um roteador inicia os processos operacionais de seu plano decontrole especificamente para o IPv6. As características do protocolo moldam odesempenho desses processos e a quantidade de recursos necessários para operá-los:

• Tamanho de endereço do IPv6 - O tamanho do endereço afeta as funções de processamento de informações de um roteador. Sistemas que usam uma CPU de64 bits, um barramento ou uma estrutura de memória, podem transmitir osendereços de origem e destino de IPv4 em um único ciclo de processamento.Para o IPv6, os endereços de origem e destino exigem quatro ciclos de doisciclos cada para processar as informações de endereço de origem e de destino.Como resultado, é provável que os roteadores que confiam exclusivamente no

 processamento de software funcionem mais lentamente do que quando estão emum ambiente de IPv4.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 295/350

• Endereços de nó de IPv6 múltiplos - Como os nós de IPv6 podem utilizar vários endereços de unicast de IPv6, o consumo de memória do cache deDetecção de vizinho pode ser afetado.

• Protocolos de roteamento de IPv6 - Os protocolos de roteamento de IPv6 sãosemelhantes aos seus correspondentes do IPv4 mas, como um prefixo do IPv6 é

quatro vezes maior do que um prefixo de IPv4, as atualizações de roteamento precisam levar mais informações.

• Tamanho da tabela de roteamento - O maior espaço de endereços do IPv6leva a redes maiores e a uma Internet muito maior. Isso implica em tabelas deroteamento maiores e em requisitos de memória maiores para suportá-los.

Plano de dados do IPv6

O plano de dados encaminha pacotes IP com base nas decisões feitas pelo plano de

controle. O mecanismo de encaminhamento analisa as informações de pacote IPrelevantes e faz uma busca para fazer a correspondência das informações analisadascom as políticas de encaminhamento definidas pelo plano de controle. O IPv6 afeta odesempenho das funções de análise e busca:

• Cabeçalhos de extensão de IPv6 de análise - Os aplicativos, incluindo o IPv6móvel, geralmente usam informações de endereço IPv6 nos cabeçalhos deextensão, aumentando assim seu tamanho. Esses campos adicionais exigem um

 processamento adicional. Por exemplo, um roteador que usa as ACLs para filtrar as informações de Camada 4 precisa aplicar as ACLs aos pacotes comcabeçalhos de extensão, bem como aos que não têm esses cabeçalhos. Se otamanho do cabeçalho de extensão exceder o tamanho fixo do registro dohardware do roteador, haverá falha na comutação do hardware, e os pacotes

 poderão ser colocados na comutação de software ou poderão ser ignorados. Istoafeta gravemente o desempenho de encaminhamento do roteador.

• Pesquisa de endereço IPv6 - O IPv6 executa uma pesquisa de pacotes queentram no roteador para localizar a interface de saída correta. No IPv4, o

 processo de decisão de encaminhamento analisa um endereço de destino de 32 bits. No IPv6, a decisão de encaminhamento poderia exigir possivelmente umaanálise de um endereço de 128 bits. A maioria dos roteadores de hoje executa

 pesquisas utilizando um circuito integrado específico de aplicativo (ASIC,

application-specific integrated circuit) com uma configuração fixa que executaas funções para as quais eles foram criados originalmente – o IPv4. Isso poderesultar novamente na colocação dos pacotes em um processamento de softwaremais lento ou fazer com que eles sejam todos ignorados.

Exibir meio visual 

Página 2:

Protocolo de roteamento RIPNg

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 296/350

As rotas do IPv6 usam os mesmos protocolos e técnicas que o IPv4. Embora osendereços sejam mais longos, os protocolos usados no roteamento de IPv6 sãosimplesmente extensões lógicas dos protocolos usados no IPv4.

A RFC 2080 define a última geração do Protocolo de informações de roteamento(RIPng, Routing Information Protocol next generation) como um protocolo deroteamento simples baseado em RIP. O RIPng não é nem mais potente e nem menos

 potente do que o RIP, porém ele fornece uma maneira simples de ativar uma rede deIPv6 sem a necessidade de criar um novo protocolo de roteamento.

O RIPng é um protocolo de roteamento do vetor de distância com um limite de 15 saltosque usa o split horizon e as atualizações de poison reverse para evitar os loops deroteamento. Sua simplicidade vem do fato de ele não exigir nenhum conhecimentoglobal da rede. Somente os roteadores vizinhos trocam mensagens locais.

O RIPng inclui as seguintes características:

• Baseia-se no RIP versão 2 (RIPv2) do IPv4 e é semelhante ao RIPv2

• Utiliza o IPv6 para o transporte

• Inclui o prefixo de IPv6 e o endereço IPv6 do próximo salto

• Utiliza o grupo multicast FF02::9 como o endereço de destino para atualizaçõesde RIP (semelhante à função de broadcast executada pelo RIP no IPv4)

• Envia atualizações na porta UDP 521

• É suportado pelo IOS Cisco Release 12.2 (2) T e mais recentes

Em implantações que sofreram empilhamento dual, são necessários o RIP e o RIPng.

Exibir meio visual 

7.3.7 Configurando os endereços IPv6 

Página 1:

Habilitando o IPv6 em roteadores Cisco

Existem duas etapas básicas para ativar o IPv6 em um roteador. Primeiro, você deveativar o encaminhamento de tráfego IPv6 no roteador e, em seguida, você deveconfigurar cada interface que exija o IPv6.

Por padrão, o encaminhamento de tráfego do IPv6 está desabilitado em um roteador Cisco. Para ativá-lo entre as interfaces, é necessário configurar o comando global ipv6unicast-routing.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 297/350

O comando ipv6 address pode configurar um endereço IPv6 global. O endereço deenlace local será configurado automaticamente quando um endereço for atribuído àinterface. Você deve especificar o endereço IPv6 de 128 bits inteiro ou deve especificar o uso do prefixo de 64 bits usando a opção eui-64.

Exibir meio visual 

Página 2:

Exemplo de configuração do endereço IPv6

Você pode especificar completamente o endereço IPv6 ou pode computar oidentificador de host (64 bits mais à direta) do identificador de EUI-64 da interface. Noexemplo, o endereço IPv6 da interface é configurado usando o formato EUI-64.

Como alternativa, você pode especificar completamente o endereço IPv6 inteiro paraatribuir um endereço a uma interface do roteador usando o comando ipv6 addressipv6-address/prefix-length no modo de configuração de interface.

A configuração de um endereço IPv6 em uma interface configura automaticamente oendereço de enlace local para essa interface.

Exibir meio visual 

Página 3:

Resolução de nome IPv6 do IOS Cisco

Existem duas maneiras de realizar a resolução de nome no processo de software do IOSCisco:

• Definir um nome estático para um endereço IPv6 usando o comando ipv6 hostname [ port ] ipv6-address1 [ipv6-address2...ipv6-address4 ]. Você pode definir até quatro endereços IPv6 para um nome de host. A opção de porta se refere à

 porta Telnet a ser usada para o host associado.• Especificar o servidor DNS usado pelo roteador com o comando ip name-

serveraddress. O endereço pode ser um endereço IPv4 ou IPv6. É possívelespecificar até seis servidores DNS com esse comando.

Exibir meio visual 

7.3.8 Configurando o RIPng com IPv6 

Página 1:Configurar o RIPng com IPv6

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 298/350

Ao configurar os protocolos de roteamento suportados no IPv6, é necessário criar o processo de roteamento, habilitar o processo de roteamento nas interfaces e personalizar o protocolo de roteamento para sua rede privada.

Antes de configurar o roteador para que ele execute o RIP de IPv6, faça a habilitaçãoglobal usando o comando de configuração global ipv6 unicast-routing e habilite o IPv6nas interfaces em que o RIP de IPv6 deverá ser habilitado.

Para habilitar o roteamento RIPng no roteador, use o comando de configuração globalipv6 router rip name. O parâmetro name (nome) identifica o processo RIP. Este nomede processo é usado posteriormente ao configurar o RIPng nas interfaces participantes.

Para o RIPng, em vez de usar o comando network para identificar quais interfaces

devem executar o RIPng, você usa o comando ipv6 rip name enable no modo deconfiguração de interface para habilitar o RIPng em uma interface. O parâmetro name(nome) deve corresponder ao parâmetro de nome no comando ipv6 router rip.

A habilitação do RIP em uma interface cria dinamicamente um processo de "router rip"se necessário.

Exibir meio visual 

Página 2:Exemplo: RIPng para configuração de IPv6

O exemplo mostra uma rede de dois roteadores. O roteador R1 está conectado à rede padrão. Nos roteadores R2 e R1, o nome RT0 identifica o processo de RIPng. O RIPngé habilitado na primeira interface Ethernet do roteador R1 usando o comando ipv6 ripRT0 enable. O roteador R2 mostra que o RIPng está habilitado nas interfaces Ethernetusando o comando ipv6 rip RT0 enable.

Essa configuração permite que as interfaces Ethernet 1 no roteador R2 e Ethernet 0 deambos os roteadores troquem informações de roteamento de RIPng.

Exibir meio visual 

7.3.9 Verificando, identificando e solucionando problemas de RIPng 

Página 1:

Verificando, identificando e solucionando problemas de RIPng para o IPv6

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 299/350

Depois de configurar o RIPng, é necessário fazer uma verificação. A figura relaciona osvários comandos show que podem ser usados.

Clique no botão Identificação e solução de problemas na figura.

Se você descobrir que o RIPng não está funcionando corretamente durante averificação, será preciso identificar e solucionar o problema.

A figura relaciona os comandos usados para identificar e solucionar os problemas deRIPng.

Exibir meio visual 

Página 2:Exibir meio visual 

7.4 Laboratórios do capítulo7.4.1 Configuração básica DHCP e NAT 

Página 1:

 Neste laboratório, você irá configurar os serviços DHCP e NAT IP. Um roteador é o

servidor DHCP. O outro roteador encaminha solicitações DHCP ao servidor. Vocêtambém definirá as configurações de NAT estáticas e dinâmicas, inclusive a sobrecargade NAT. Quando você concluir as configurações, verifique a conectividade entre osendereços internos e externos.

Exibir meio visual 

Página 2:

Esta atividade é uma variação do laboratório 7.4.1. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser 

considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDFabaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 300/350

7.4.2 Configuração avançada DHCP e NAT 

Página 1:

 Neste laboratório, configure os serviços de endereço IP usando a rede mostrada nodiagrama de topologia. Se você precisar de assistência, consulte o laboratório deconfiguração básico de DHCP e NAT. No entanto, tente fazer o máximo possível.

Exibir meio visual 

Página 2:

Esta atividade é uma variação do laboratório 7.4.2. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser 

considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDFabaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

7.4.3 Identificação e solução de problemas de DHCP e NAT 

Página 1:

Os roteadores da sua empresa foram configurados por um engenheiro de rede semexperiência. Vários erros na configuração resultaram em problemas de conectividade.Seu chefe lhe pediu para identificar e solucionar os problemas, corrigir os erros deconfiguração e documentar seu trabalho. Com seus conhecimentos de DHCP, NAT e

métodos de teste padrão, identifique e corrija os erros. Certifique-se de que todos osclientes tenham total conectividade.

Exibir meio visual 

Página 2:

Esta atividade é uma variação do laboratório 7.4.3. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer não

substitui um experimento em laboratório prático com equipamentos reais.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 301/350

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDFabaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

7.5 Resumo do capítulo7.5.1 Resumo

Página 1:

Este capítulo tratou das principais soluções do problema da diminuição do espaço deendereços de Internet. Você aprendeu a usar o DHCP para atribuir endereços IP

 privados dentro de sua rede. Isso conserva o espaço de endereços públicos e impedeuma sobrecarga administrativa considerável gerenciando acréscimos, mudanças ealterações. Você aprendeu a implementar o NAT e a sobrecarga de NAT para conservar o espaço de endereços públicos e criar intranets seguras privadas sem afetar suaconexão de ISP. Entretanto, a NAT possui desvantagens no que se refere a seus efeitosnegativos no desempenho do dispositivo, segurança, mobilidade e conectividade fim-a-fim.

 No geral, a capacidade de dimensionar as redes para as demandas futuras requer umfornecimento ilimitado de endereços IP e uma mobilidade aprimorada que o DHCP e a NAT sozinhos não conseguem atingir. O IPv6 satisfaz os requisitos cada vez maiscomplexos do endereçamento hierárquico que o IPv4 não fornece. O aparecimento doIPv6 não lida somente com o esgotamento dos endereços IPv4 e deficiências de NAT,ele fornece novos e melhores recursos. Na breve introdução ao IPv6 nesta lição, vocêaprendeu como os endereços IPv6 são estruturados, como eles irão aprimorar asegurança e a mobilidade da rede e como o mundo do IPv4 fará a transição para o IPv6.

Exibir meio visual 

Página 2:Exibir meio visual 

Página 3:

 Nesta atividade final, você irá configurar PPP, OSPF, DHCP, NAT e roteamento padrão para ISP. Em seguida, você verificará sua configuração.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDFabaixo.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 302/350

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

7.6 Teste do capítulo7.6.1 Teste do capítulo

Página 1:Exibir meio visual

8 Identificação e solução de problemas de rede8.0 Introdução do capítulo8.0.1 Introdução do capítulo

Página 1:

Quando uma rede está funcionando, os administradores têm que monitorar seudesempenho para garantir a produtividade da organização. De vez em quando, podemocorrer quedas da rede. Muitas vezes elas são planejadas e o impacto disso na

organização é gerenciado facilmente. Muitas vezes elas não são planejadas e o impactodisso na organização pode ser grave. No caso de quedas inesperadas da rede, osadministradores devem ser capazes de identificar e solucionar problemas, e restabelecer o funcionamento total da rede. Neste capítulo, você aprenderá um processo sistemático

 para identificar e solucionar problemas de quedas de rede.

Exibir meio visual 

8.1 Estabelecendo a linha de base de desempenho da rede

8.1.1 Documentando a sua rede

Página 1:

Documentando a sua rede

Para diagnosticar e corrigir problemas de rede com eficiência, um engenheiro de rede precisa saber como ela foi criada e o qual o desempenho esperado sob condiçõesnormais de funcionamento. Estas informações são chamadas de linha de base de rede esão capturadas em documentação como tabelas de configuração e diagramas detopologia.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 303/350

A documentação de configuração de rede fornece um diagrama lógico da rede einformações detalhadas sobre cada componente. Estas informações devem ser mantidasem um único local, ou como cópia impressa ou na rede em um site protegido. Adocumentação de rede deve incluir esses componentes:

• Tabela de configuração de rede

• Tabela de configuração de sistema final

• Diagrama de topologia da rede

Tabela de configuração de rede

Contém registros precisos e atualizados do hardware e do software usados em uma rede.A tabela de configuração de rede deve proporcionar ao engenheiro de rede todas asinformações necessárias para identificar e corrigir a falha da rede.

Clique no botão Documentação de roteador e switch na figura.

A tabela na figura ilustra o conjunto de dados que deve ser incluído para todos oscomponentes:

• Tipo de dispositivo, designação de modelo

•  Nome da imagem IOS

• Hostname de rede do dispositivo• Local do dispositivo (edifício, andar, sala, rack, painel)

• Se for um dispositivo modular, inclua todos os tipos de módulo e em qual slot demódulo eles estão localizados

• Endereços de camada de enlace de dados

• Endereços de camada de rede

• Qualquer outra informação importantes sobre aspectos físicos do dispositivo

Clique no botão Documentação de sistema final na figura.

Tabela de configuração de sistema final

Contém registros de linha de base do hardware e do software usados em dispositivos desistema final como servidores, consoles de gerenciamento de rede e estações de trabalhodesktop. Um sistema final configurado incorretamente pode prejudicar o desempenhoglobal de uma rede.

Para fins de identificação e solução de problemas, as informações seguintes devem ser documentadas:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 304/350

•  Nome do dispositivo (propósito)

• Sistema operacional e versão

• Endereço IP

• Máscara de sub-rede• Gateway padrão, servidor DNS e servidor de endereços WINS

• Toda aplicativo de rede de largura de banda alta que o sistema final execute

Clique no botão Diagrama de topologia de rede na figura.

Diagrama de topologia da rede

Representação gráfica de uma rede, que ilustra como cada dispositivo em uma rede éconectado e sua arquitetura lógica. Um diagrama de topologia compartilha muitos dosmesmos componentes como, por exemplo, a tabela de configuração de rede. Cadadispositivo de rede deve ser representado no diagrama com notação consistente ou umsímbolo gráfico. Além disso, cada conexão lógica e física deve ser representada usandouma linha simples ou outro símbolo apropriado. Também podem ser ilustrados os

 protocolos de roteamento.

O diagrama de topologia deve incluir pelo menos o seguinte:

• Símbolos para todos os dispositivos e para o modo como eles são conectados• Tipos de interface e números

• Endereços IP

• Máscaras de sub-rede

Exibir meio visual 

8.1.2 Documentando a sua rede

Página 1:

Processo de documentação de rede

A figura mostra o processo de documentação de rede.

Passe o mouse sobre cada estágio na figura para aprender mais sobre o processo.

Quando você documentar sua rede, poderá ter que reunir informações diretamente de

roteadores e switches. Os comandos úteis ao processo de documentação de redeincluem:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 305/350

• O comando ping é usado para testar a conectividade com dispositivos vizinhosantes de fazer o logon neles. Fazer ping em outros PCs na rede também inicia o

 processo de detecção automática do endereço MAC.

• O comando telnet é usado para fazer o logon remotamente em um dispositivo para acessar informações de configuração.

• O comando show ip interface brief é usado para exibir o status para cima ou para baixo e o endereço IP de todas as interfaces em um dispositivo.

• O comando show ip route é usado para exibir a tabela de roteamento em umroteador a fim de conhecer os vizinhos diretamente conectados, maisdispositivos remotos (através de rotas conhecidas) e os protocolos de roteamentoque foram configurados.

• O comando show cdp neighbor detail é usado para obter informaçõesdetalhadas sobre dispositivos vizinhos Cisco diretamente conectados.

Exibir meio visual 

Página 2:

Esta atividade abrange as etapas necessárias para descobrir uma rede que usa principalmente os comandos telnet, show cdp neighbors detail e show ip route. Esta éa Parte I de uma atividade de duas partes.

A topologia visualizada ao abrir a atividade do Packet Tracer não revela todos os

detalhes da rede. Os detalhes foram ocultados usando a função de cluster do Rastreador de pacote. A infra-estrutura de rede foi recolhida e a topologia do arquivo mostrasomente os dispositivos finais. Sua tarefa é utilizar seu conhecimento de rede ecomandos de detecção para obter informações sobre toda a topologia de rede edocumentá-la.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

8.1.3 Por que estabelecer uma linha de base de rede é importante?

Página 1:

Para estabelecer uma linha de base de desempenho da rede é preciso reunir os principaisdados de desempenho de portas e dispositivos essenciais para o funcionamento da rede.

Estas informações ajudam a determinar a "personalidade" da rede e fornecem respostasàs perguntas seguintes:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 306/350

• Como é o desempenho da rede durante um dia normal ou comum?

• Quais são as áreas subutilizadas e saturadas?

• Onde ocorre a maioria dos erros?

• Que limites devem ser definidos para os dispositivos que precisam ser monitorados?

• A rede consegue atender às políticas identificadas?

Um administrador de rede precisa medir o desempenho inicial e a disponibilidade dedispositivos de rede e links críticos para poder determinar a diferença entrecomportamento anormal e desempenho correto da rede à medida que ela cresce ou quemudem os padrões de tráfego. A linha de base também ajuda a identificar se o design derede atual pode atender às políticas exigidas. Sem uma linha de base, não existe padrão

 para medir a natureza ótima de tráfego da rede e níveis de congestionamento.

Além disso, a análise posterior a uma linha de base inicial tende a revelar problemasocultos. Os dados reunidos revelam a verdadeira natureza do congestionamento oucongestionamento em potencial em uma rede. A reunião também pode revelar áreas narede que são subutilizadas e muito freqüentemente podem levar a um novo design darede com base em observações de qualidade e capacidade.

Exibir meio visual 

8.1.4 Etapas para estabelecer uma linha de base de rede

Página 1:

Planejando a primeira linha de base

Como a linha de base de desempenho da rede inicial prepara as condições para medir osefeitos de alterações da rede e os esforços subseqüentes de solução de problemas, éimportante planejar isso com cuidado. Aqui estão as etapas recomendadas para planejar a primeira linha de base de rede:

Etapa 1. Determine os tipos de dados que devem ser reunidos

Ao definir a linha de base, comece selecionando algumas variáveis que representam as políticas definidas. Se forem selecionados pontos de dados demais, a quantidade dedados poderá ser excessiva, dificultando a análise dos dados reunidos. Comecesimplesmente e ajuste com o tempo. Geralmente, algumas medidas iniciaisrecomendadas são utilização de interface e utilização de CPU. A figura mostra algumascapturas de tela de interface e dados de utilização de CPU, como exibido por umsistema de gerenciamento de rede chamado de WhatsUp Gold.

Clique no botão Dispositivos e portas de interesse na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 307/350

Etapa 2. Identifique dispositivos e portas de interesse

O próximo passo é identificar os principais dispositivos e portas que devem ter os dados

de desempenho medidos. Dispositivos e Portas de Interesse são:

• Portas de dispositivo de rede que conectam-se a outros dispositivos de rede

• Servidores

• Usuários principais

• Outros elementos considerados críticos para o funcionamento

 Na topologia mostrada na figura, o administrador de rede destacou os dispositivos e as portas de interesse para monitorar durante o teste de linha de base. Os dispositivos deinteresse incluem roteadores R1, R2 e R3, PC1 (o terminal do Administrador) e SRV1(o servidor Web/TFTP). As portas de interesse incluem as portas de R1, R2 e R3 que seconectam a outros roteadores ou a switches, e do roteador R2, a porta que se conecta aSRV1 (Fa0/0).

Ao escolher corretamente as portas, os resultados serão concisos e a carga degerenciamento de rede será minimizada. Lembre-se de que uma interface em umroteador ou switch pode ser uma interface virtual, como uma interface virtual do switch(SVI).

Este passo será mais fácil se você configurou os campos de descrição de porta dodispositivo para indicar o que se conecta à porta. Por exemplo, para uma porta deroteador que se conecta ao switch de distribuição no grupo de trabalho de Engenharia,você poderia configurar a descrição "Switch de distribuição de LAN da Engenharia."

Clique no botão Determine a duração da linha de base na figura.

Etapa 3. Determine a duração da linha de base

É importante que o período de tempo e as informações de linha de base reunidas sejamsuficientes para estabelecer uma imagem típica da rede. Este período deve ser de pelomenos sete dias para capturar tendências diárias ou semanais. Tendências semanais têma mesma importância que tendências diárias e horárias.

A figura mostra exemplos de várias capturas de tela de tendências de utilização de CPUcapturados em períodos diários, semanais, mensais e anuais. As tendências de semanade trabalho são muito curtas para revelar com precisão a natureza recorrente da onda deutilização que ocorre todos os fins de semana, nas noites de sábado, quando uma grandeoperação de backup de banco de dados consome largura de banda da rede. Este padrãorecorrente é revelado na tendência mensal. A tendência anual mostrada no exemplo temuma duração muito longa para fornecer detalhes significativos de desempenho de linha

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 308/350

de base. Uma linha de base precisa durar não mais que seis semanas, a menos quetendências específicas de longo prazo precisem ser medidas. Geralmente, uma linha de

 base de duas a quatro semanas é suficiente.

Você não deve executar uma medição de linha de base durante horários de padrões detráfego incomuns porque os dados forneceriam uma imagem inexata do funcionamentonormal da rede. Por exemplo, você obteria uma medida inexata do desempenho da redese executasse uma medição de linha de base em um feriado ou durante um mês em quea maioria da empresa estivesse de férias.

A análise de linha de base da rede deve ser realizada regularmente. Realize uma análiseanual da rede inteira ou seções diferentes de linha de base da rede de uma maneirarotativa. A análise deve ser administrada para entender regularmente como a rede éafetada por crescimento e outras alterações.

Exibir meio visual 

Página 2:

Medição de dados de desempenho da rede

Um software sofisticado de gerenciamento de rede é usado geralmente para definir alinha de base de redes grandes e complexas. Por exemplo, o módulo Fluke Network SuperAgent permite que os administradores automaticamente criem e revisem relatóriosusando o recurso Intelligent Baselines (Linhas de Base Inteligentes). Esse recurso

compara níveis de desempenho atual com observações históricas e pode identificar automaticamente problemas de desempenho e aplicações que não fornecem níveisesperados de serviço.

Clique no botão Comandos manuais na figura.

Em redes mais simples, as tarefas de linha de base devem exigir uma combinação decoleta manual de dados e inspetores simples de protocolo de rede. Estabelecer uma linhade base inicial ou realizar uma análise de monitoramento de desempenho pode exigir 

muitas horas ou dias para refletir com precisão o desempenho da rede. O software degerenciamento de rede ou inspetores de protocolo e farejadores podem ser executadoscontinuamente durante o processo de reunião de dados. Reunir dados manualmenteusando comandos show em dispositivos de rede individuais é extremamente demoradoe deve ser limitado a dispositivos de rede de missão crítica.

Exibir meio visual 

8.2 Metodologias e Ferramentas de Identificação e Solução de Problemas8.2.1 Uma abordagem geral para identificar e solucionar problemas

Página 1:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 309/350

Engenheiros de rede, administradores e pessoal de suporte estão cientes de queidentificação e solução de problemas é um processo que leva o maior percentual de seutempo. Usar técnicas eficientes de identificação e solução de problemas é uma forma dereduzir o tempo global gasto na tarefa quando se trabalha em um ambiente de produção.

Duas abordagens extremas quase sempre resultam em decepção, atraso ou falha. Em umextremo está a abordagem teorista ou científica. No outro extremo está a abordagem não

 prática ou pré-histórica.

A científica analisa e reanalisa a situação até que a causa exata à raiz do problema sejaidentificada e corrigida com precisão cirúrgica. Se por um lado, esse processo érelativamente confiável, poucas empresas podem permitir que suas redes fiquem semfuncionar pelas horas ou dias necessários para essa análise exaustiva.

O primeiro instinto da abordagem pré-histórica é começar a trocar placas, cabos,hardware e software até que a rede volte a funcionar miraculosamente. Isso nãosignifica que a rede está funcionando corretamente, apenas que está funcionando. Essaabordagem pode até obter mais rapidamente uma alteração nos sintomas, porém não émuito confiável e a causa raiz do problema pode ainda estar presente.

Como ambas abordagens são extremas, a melhor deve ser o meio termo entre as duas,usando elementos de ambos. É importante analisar a rede como um todo em vez deisoladamente. Uma abordagem sistemática minimiza a confusão e evita o desperdício detempo gasto com tentativa e erro.

Exibir meio visual 

8.2.2 Usando modelos de camadas para identificar e solucionar problemas

Página 1:

OSI em comparação com modelos de camadas de TCP/IP

Os modelos lógicos de rede, como OSI e TCP/IP, separam funcionalidade de rede em

camadas modulares. Ao identificar e solucionar problemas, esses modelos de camadas podem ser aplicados à rede física para isolar problemas de rede. Por exemplo, se ossintomas sugerirem um problema de conexão física, o técnico de rede tentará consertar o circuito que funciona na camada Física. Se o circuito funcionar corretamente, otécnico analisará as áreas em outra camada que possa estar causando o problema.

Modelo de referência OSI

O modelo OSI utiliza uma linguagem comum para engenheiros de rede e é usadogeralmente para identificar e solucionar problemas de rede. Os problemas são

geralmente descritos em termos de uma determinada camada do modelo OSI.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 310/350

O modelo de referência OSI descreve como as informações de um software em umcomputador movem-se através da rede para um software em outro computador.

As camadas superiores (5-7) do modelo OSI lidam com problemas de aplicações egeralmente são implementadas somente no software. A camada de Aplicativo é a mais

 próxima do usuário final. Os processos de camada de Usuários e de Aplicativointeragem com aplicativos de software que contêm um componente de comunicação.

As camadas inferiores (1-4) do modelo OSI lidam com problemas de transporte dedados. As camadas 3 e 4 são geralmente implementadas somente em software. Acamada Física (Camada 1) e a camada de enlace (Camada 2) são implementadas emhardware e software. A camada Física é a mais próxima do meio de rede físico, como ocabeamento de rede, e é responsável por colocar informações no meio.

Modelo TCP/IP

Assim como o modelo de rede OSI, o modelo de rede TCP/IP também divide aarquitetura de rede em camadas modulares. A figura mostra como o modelo de redeTCP/IP mapeia para as camadas do modelo de rede OSI. Esse mapeamento próximo

 permite que a suíte de protocolos TCP/IP comuniquem-se com êxito com tantastecnologias de rede.

A camada de Aplicativo na suíte TCP/IP na verdade combina as funções das 3 camadasdo modelo OSI: Sessão, Apresentação e Aplicativo. A camada de Aplicativo fornece

comunicação entre aplicações como FTP, HTTP e SMTP em hosts separados.

As camadas de Transporte de TCP/IP e OSI correspondem diretamente em função. Acamada de Transporte é responsável por trocar segmentos entre dispositivos em umarede TCP/IP.

A camada de Internet TCP/IP relaciona-se com a camada de rede OSI. A camada deInternet é responsável por colocar mensagens em um formato fixo para permitir que osdispositivos lidem com eles.

A Camada de Acesso à Rede TCP/IP corresponde às camadas de Enlace e Físicas OSI.A camada de acesso à rede comunica-se diretamente com os meios de rede e forneceuma interface entre a arquitetura da rede e a camada de Internet.

Clique no botão Dispositivos nas camadas de OSI na figura.

Passe o mouse sobre cada dispositivo para saber de quais Camadas OSI vocêgeralmente precisa para identificar e solucionar problemas naquele tipo de dispositivo.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 311/350

8.2.3 Procedimentos gerais de identificação e solução de problemas

Página 1:

As fases do processo geral de identificação e solução de problemas são:

• Fase 1 Reunir sintomas - Identificação e solução de problemas começa com o processo de reunir e documentar sintomas da rede, sistemas finais e usuários.Além disso, o administrador de rede determina quais componentes de rede foramafetados e como a funcionalidade da rede foi alterada em comparação com alinha de base. Sintomas podem aparecer em muitos formulários diferentes,inclusive alertas do sistema de gerenciamento de rede, mensagens de console ereclamações de usuário. Ao reunir sintomas, as perguntas devem ser usadascomo um método de localizar o problema em um intervalo menor de

 possibilidades.• Fase 2 Isolar o problema - O problema não é de fato isolado até que um único

 problema, ou um conjunto de problemas relacionados, seja identificado. Parafazer isso, o administrador de rede examina as características dos problemas nascamadas lógicas da rede de forma que a causa mais provável possa ser selecionada. Nesta fase, o administrador de rede pode reunir e documentar maissintomas dependendo das características do problema que são identificadas.

• Fase 3 Corrigir o problema - Após isolar e identificar a causa, o administrador de rede tenta corrigir o problema implementando, testando e documentando umasolução. Se o administrador de rede determinar que a ação corretiva criou outro

 problema, a solução tentada será documentada, as alterações serão removidas e o

administrador de rede voltará a reunir sintomas e isolar o problema.

Essas fases não são mutuamente exclusivas. A qualquer ponto no processo, pode ser necessário voltar a fases anteriores. Por exemplo, pode ser necessário reunir maissintomas enquanto estiver isolando um problema. Além disso, ao tentar corrigir um

 problema, outro problema não identificado poderá ser criado. Como resultado, serianecessário reunir os sintomas, isolar e corrigir o novo problema.

Uma política de identificação e solução de problemas deve ser estabelecida para cada

fase. Uma política fornece uma maneira consistente de executar cada fase. É parte da política documentar todas as informações importantes.

Exibir meio visual 

8.2.4 Métodos de identificação e solução de problemas

Página 1:

Métodos de identificação e solução de problemas

Seguem os três métodos principais para identificar e solucionar problemas de rede:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 312/350

• De baixo para cima

• De cima para baixo

• Dividir e conquistar 

Cada abordagem tem suas vantagens e desvantagens. Este tópico descreve os trêsmétodos e fornece diretrizes para escolher o melhor método para uma situaçãoespecífica.

Método de identificação e solução de problemas de baixo para cima

 Nesse método, você deve iniciar com os componentes físicos da rede e subir pelascamadas do modelo OSI até que a causa do problema seja identificada. Esta é uma

abordagem interessante quando desconfia-se que o problema seja físico. A maior partedos problemas de rede estão nos níveis inferiores; portanto, implementar a abordagemDe baixo para cima geralmente tem resultados efetivos. A figura mostra a abordagemDe baixo para cima para identificar e solucionar problemas.

A desvantagem com a abordagem de solução de problemas De baixo para cima é queela exige que você verifique cada dispositivo e interface na rede até que a possível causado problema seja localizada. Lembre-se de que devem ser documentadas todas asconclusões e todas as possibilidades, de modo que possa haver bastante documentaçãoassociada a esta abordagem. Um desafio maior é determinar quais dispositivos devemser examinados primeiro.

Clique no botão Mét. de cima para baixo na figura.

Método de identificação e solução de problemas de cima para baixo

 Nesse método, você deve iniciar com os aplicativos de usuário final e descer pelascamadas do modelo OSI até que a causa do problema tenha sido identificada. Osaplicativos de usuário final de um sistema final são testados antes que se examinem

 partes mais específicas da rede. Use esta abordagem para problemas mais simples ouquando você suspeita que o problema seja com o software.

A desvantagem da abordagem De cima para baixo é que exige verificação de todos osaplicativos da rede até que a possível causa do problema seja localizada. Cadaconclusão e possibilidade devem ser documentadas, e o desafio é determinar qualaplicativo deve ser examinado primeiro.

Clique no botão Mét. dividir e conquistar na figura.

Método de identificação e solução de problemas dividir e conquistar

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 313/350

Quando você utilizar a abordagem Dividir e conquistar para identificar e solucionar um problema de rede, selecione uma camada e teste em ambas as direções da camadainicial.

 Nessa abordagem, inicie reunindo a experiência de usuário sobre o problema,documente os sintomas e em seguida, usando essas informações, faça uma suposiçãoinformada sobre em qual camada OSI você deve iniciar sua investigação. Após verificar que uma camada está funcionando corretamente, presuma que as camadas abaixo delatambém estejam funcionando e analise as camadas OSI acima. Se uma camada de OSInão estiver funcionando corretamente, analise as camadas debaixo do modelo decamadas OSI.

Por exemplo, se os usuários não puderem acessar o servidor Web e você puder executar  ping no servidor, então você saberá que o problema é acima da Camada 3. Se você não puder executar ping no servidor, o problema deverá ser em uma camada de OSI inferior.Exibir meio visual 

Página 2:

Diretrizes para selecionar um método de identificação e solução de problemas

Para solucionar problemas de rede rapidamente, selecione o método mais eficaz de

identificação e solução de problemas. Examine a figura. Use o processo mostrado nafigura para poder selecionar o método de identificação e solução de problemas maiseficiente.

Veja um exemplo de como você poderia escolher um método de solução de problemas para um problema específico. Dois roteadores IP não estão trocando informações deroteamento. Da última vez que este tipo de problema ocorreu, era um problema de

 protocolo. Então você escolhe o método de identificação e solução de problemas Dividir e conquistar. Sua análise revela que existe conectividade entre os roteadores. Portanto,você inicia seus esforços de identificação e solução de problemas pela camada física oude enlace, confirma a conectividade e começa a testar as funções relacionadas a TCP/IP

na próxima camada para cima no modelo OSI, a camada de rede.Exibir meio visual 

8.2.5 Reunindo sintomas

Página 1:

Reunindo sintomas

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 314/350

Para determinar o escopo do problema, reúna (documente) os sintomas. A figura mostraum gráfico de fluxo desse processo. Cada etapa neste processo é descrita aqui

 brevemente:

Etapa 1. Analise os sintomas existentes - Analise os sintomas reunidos de protocolos de problemas, usuários ou sistemas finais afetados para formar uma definição do problema.

Etapa 2. Determine a propriedade - Se o problema estiver dentro de seu sistema, você poderá passar para a próxima fase. Se o problema estiver fora do limite de seu controle, por exemplo, conectividade de Internet perdida fora do sistema autônomo, você precisará entrar em contato com o administrador do sistema externo antes de reunir outros sintomas de rede.

Etapa 3. Restrinja o escopo - Determine se o problema está no núcleo, na distribuição

ou na camada de acesso da rede. Na camada identificada, analise os sintomas existentese use seu conhecimento da topologia de rede para determinar quais equipamentos são a provável causa.

Etapa 4. Reúna sintomas de dispositivos suspeitos - Usando uma abordagem de soluçãode problemas em camadas, reúna sintomas de hardware e software dos dispositivossuspeitos. Inicie com o que tiver maior probabilidade, use o conhecimento e aexperiência para determinar se é mais provável que seja um problema de configuraçãode hardware ou software.

Etapa 5. Documente os sintomas - muitas vezes o problema pode ser resolvido usandoos sintomas documentados. Se não puder, comece a fase de isolamento do processogeral de identificação e solução de problemas.

Clique no botão Comandos na figura.

Use os comandos do Cisco IOS para reunir sintomas sobre a rede. A tabela na figuradescreve os comandos comuns do Cisco IOS que você pode usar para reunir ossintomas de um problema na rede.

Embora o comando debug seja uma ferramenta importante para reunir sintomas, elegera uma quantidade grande de tráfego de mensagem de console e o desempenho de umdispositivo de rede pode ser afetado consideravelmente. Avise aos usuários que odesempenho da rede pode ser afetado devido a esse esforço de identificação e soluçãode problemas. Lembre-se de desabilitar a depuração quando acabar.

Exibir meio visual 

Página 2:

Questionando usuários finais

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 315/350

Quando você questiona usuários finais sobre um problema de rede, use técnicasinterrogativas efetivas. Deste modo, você obterá as informações necessárias paradocumentar com eficácia os sintomas de um problema. A tabela na figura fornecealgumas diretrizes e alguns exemplos de perguntas a serem feitas ao usuário final.

Exibir meio visual 

8.2.6 Ferramentas para identificação e solução de problemas

Página 1:

Ferramentas de identificação e solução de problemas de software

Uma ampla variedade de ferramentas de software e hardware está disponível parafacilitar o processo. Estas ferramentas podem ser usadas para reunir e analisar sintomasde problemas de rede e geralmente possuem funções de monitoramento e relatório que

 podem ser usadas para estabelecer a linha de base de rede.

Ferramentas NMS

As ferramentas de sistema de gerenciamento de rede ( NMS) incluem monitoramento dedispositivo, configuração e gerenciamento de falha. A figura mostra um exemplo de telado software What's Up Gold da NMS. Estas ferramentas podem ser usadas para

investigar e corrigir problemas de rede. O software de monitoramento de rede exibegraficamente uma perspectiva física dos dispositivos de rede, permitindo que osgerentes de rede monitorem dispositivos remotos sem de fato precisarem verificá-losfisicamente. O software de gerenciamento de dispositivo apresenta status dinâmico,estatísticas e informações de configuração para produtos comutados. Exemplos deferramentas de gerenciamento de rede geralmente usadas são CiscoView, HPOpenview, Solar Winds e What's Up Gold.

Clique no botão Base de conhecimento na figura para ver o exemplo de um site da base de conhecimento.

Bases de conhecimento

Bases de conhecimento online de fornecedores de dispositivos de rede têm se tornadofontes indispensáveis de informações. Quando bases de conhecimento de fornecedor sãocombinadas com mecanismos de pesquisa de Internet como Google, um administrador de rede tem acesso a um conjunto vasto de informações baseadas em experiência.

A figura mostra a página Tools & Resources (Ferramentas e recursos) da Cisco emhttp://www.cisco.com. Esta é uma ferramenta grátis que fornece informações sobrehardware e software relacionados à Cisco. Contém procedimentos de identificação e

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 316/350

solução de problemas, guias de implementação e artigos originais na maioria dosaspectos da tecnologia de redes.

Clique no botão Ferramentas da linha de base na figura para ver alguns exemplos.

Ferramentas da linha de base

Existem muitas ferramentas usadas para automatizar a documentação de rede e o processo de linha de base. Estas ferramentas estão disponíveis para os sistemasoperacionais Windows, Linux e AIX. A figura mostra uma captura de tela doSolarWinds LANsurveyor e software CyberGauge. Ferramentas de linha de baseajudam a realizar tarefas de documentação de linha de base. Por exemplo, eles podemajudá-lo a desenhar diagramas de rede, manter atualizada a documentação de software ehardware de rede e medir o uso de largura de banda de rede da linha de base.

Clique no botão de Analisador de protocolo na figura para ver um exemplo de umaplicativo típico de analisador de protocolo.

Analisadores de protocolo

Um analisador de protocolo decodifica as várias camadas de protocolo em um quadroregistrado e apresenta estas informações em um formato relativamente fácil de usar. Afigura mostra uma captura de tela do analisador de protocolo Wireshark. As

informações exibidas por um analisador de protocolo incluem a parte física, o enlace dedados, o protocolo e as descrições para cada quadro. A maioria dos analisadores de protocolo podem filtrar tráfego que atenda a um determinado critério de forma que, por exemplo, todo o tráfego para e de um dispositivo específico possa ser capturado.

Exibir meio visual 

Página 2:

Ferramentas de identificação e solução de problemas de hardware

Clique nos botões na figura para ver exemplos de várias ferramentas de identificaçãoe solução de problemas de hardware.

Módulo de análise de rede

Um módulo de análise de rede (NAM) pode ser instalado nos switches da série 6500 doCisco Catalyst e nos roteadores da série 7600 da Cisco a fim de fornecer umarepresentação gráfica do tráfego de roteadores e switches locais e remotos. O NAM éuma interface incorporada baseada em navegador que gera relatórios no tráfego queconsome recursos de rede críticos. Além disso, o NAM pode capturar e decodificar 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 317/350

 pacotes e rastrear tempos de resposta para informar à rede ou ao servidor o aplicativoque está com problema.

Multímetro digital

Multímetros digitais (DMMs) são instrumentos de teste usados para medir diretamentevalores elétricos de voltagem, corrente e resistência. Em identificação e solução de

 problemas de rede, a maioria dos testes de multimídia envolve verificação de níveis devoltagem de fonte de alimentação e verificação de que os dispositivos de rede estãorecebendo energia.

Testadores de cabo

Testadores de cabos são dispositivos portáteis especializados criados para testar diversos tipos de cabeamento de comunicação de dados. Testadores de cabos podem ser usados para detectar fios quebrados, fios cruzados, conexões em curto e conexõesemparelhadas incorretamente. Estes dispositivos podem ser testadores de continuidade

 baratos, testadores de cabos de preço mediano ou reflectômetros de domínio de tempocaros (TDRs).

Os TDRs são usados para definir a distância até uma interrupção em um cabo. Estesdispositivos enviam sinais ao longo do cabo e esperam que eles sejam refletidos. Otempo entre enviar o sinal e recebê-lo é convertido em uma medida de distância. O TDR normalmente vem com os testadores de cabo de dados. Os TDRs usados para testar 

cabos de fibra óptica são conhecidos como como reflectômetros ópticos de domínio detempo (OTDRs).

Analisadores de cabo

Analisadores de cabo são dispositivos portáteis multifuncionais usados para testar ecertificar cabos de cobre e fibra para diferentes serviços e padrões. As ferramentas maissofisticadas incluem diagnósticos avançados de identificação e solução de problemasque medem a distância até o defeito de desempenho (NEXT, RL), identificam açõescorretivas e exibem graficamente diafonia e comportamento de impedância. Osanalisadores de cabo geralmente também incluem software para PC. Depois que osdados de campo são reunidos, o dispositivo portátil pode fazer upload de seus dados, esão criados relatórios precisos e atualizados.

Analisadores de rede portáteis

Dispositivos portáveis usados para identificar e solucionar problemas de redescomutadas e VLANs. Ao conectar o analisador de rede em qualquer lugar da rede, oengenheiro de rede pode ver a porta do switch na qual o dispositivo está conectado, e a

utilização média e de pico. O analisador também pode ser usado para descobrir aconfiguração de VLAN, identificar os principais faladores da rede, analisar o tráfego da

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 318/350

rede e visualizar detalhes da interface. O dispositivo normalmente é capaz de gerar umasaída para um PC que tenha software de monitoramento de rede instalado para obter uma análise mais detalhada, e identificação e solução de problemas.

Exibir meio visual 

Página 3:

Atividade de pesquisa

A seguir, veja links para várias ferramentas de identificação e solução de problemas.

Ferramentas de software

Sistemas de gerenciamento de rede:

http://www.ipswitch.com/products/whatsup/index.asp?t=demo

http://www.solarwinds.com/products/network_tools.aspx

Ferramentas da linha de base:

http://www.networkuptime.com/tools/enterprise/

Bases de conhecimento:

http://www.cisco.com

Analisadores de protocolo:

http://www.flukenetworks.com/fnet/en-us/products/OptiView+Protocol+Expert/

Ferramentas de hardware

Cisco Network Analyzer Module (NAM):

http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/3.5/user/guide/user.html

Testadores de cabo:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 319/350

http://www.flukenetworks.com/fnet/en-us/products/CableIQ+Qualification+Tester/Demo.htm

Analisadores de cabo:

http://www.flukenetworks.com/fnet/en-us/products/DTX+CableAnalyzer+Series/Demo.htm

Analisadores de rede:

http://www.flukenetworks.com/fnet/en-us/products/OptiView+Series+III+Integrated+Network+Analyzer/Demos.htm

Exibir meio visual 

8.3 Problemas comuns na implementação de WAN8.3.1 Comunicações de WAN 

Página 1:

Um provedor de comunicações ou uma operadora comum geralmente possui os enlacesde dados que compõem uma WAN. Os links estão disponíveis para assinantes mediante

o pagamento de uma taxa e são usados para interconectar LANs ou conectar a redesremotas. A velocidade de transferência de dados da WAN (largura de banda) estáconsideravelmente mais lenta que a largura de banda da LAN comum. Os encargos paraa provisão de link são o elemento de custo principal; portanto a implementação deWAN deve objetivar fornecer a máxima largura de banda a um custo aceitável.Considerando-se a pressão do usuário para fornecer mais acesso de serviço a altasvelocidades e a pressão do gerenciamento para reduzir custos, determinar umaconfiguração ótima de WAN não é uma tarefa fácil.

As WANs transportam vários tipos de tráfego, como voz, dados e vídeo. O designselecionado deve fornecer capacidade suficiente e horas de trânsito para atender osrequisitos da empresa. Entre outras especificações, o design deve considerar a topologiadas conexões entre os vários sites, a natureza dessas conexões e capacidade de largurade banda.

As WANs mais antigas consistiram geralmente em enlaces de dados que conectamdiretamente mainframes remotos. As WANs de hoje conectam LANs geograficamenteseparadas. As tecnologias WAN funcionam nas três camadas inferiores do modelo dereferência OSI. Estações de usuário final, servidores e roteadores comunicam-se por LANs e os enlaces de dados da WAN finalizam em roteadores locais.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 320/350

Os roteadores determinam o caminho mais apropriado ao destino dos dados a partir doscabeçalhos de camada de rede e transferem os pacotes para a conexão de enlace dedados apropriada para entrega na conexão física. Os roteadores também podem fornecer gerenciamento de qualidade de serviço (QoS) que atribui prioridades aos diferentesfluxos de tráfego.

Exibir meio visual 

8.3.2 Etapas em design de WAN 

Página 1:

As empresas instalam conectividade WAN para atender ao requisito comercialestratégico de mover dados entre filiais externas. Como a conectividade WAN éimportante para o negócio e caro, você precisa criar a WAN de uma maneirasistemática. Esta figura mostra as etapas para o design de WAN.

Cada vez que uma modificação a uma WAN existente é considerada, essas etapasdevem ser seguidas. Porém, como muitas WANs evoluíram com o passar do tempo,algumas das diretrizes discutidas aqui podem não ter sido consideradas. Asmodificações de WAN podem ocorrer devido à expansão de servidores WAN daempresa ou à acomodação de novas práticas e métodos comerciais.

Essas são as etapas para criar ou modificar uma WAN:

Etapa 1. Localize as LANS - Estabeleça os pontos de extremidade de origem e destinoque se conectarão pela WAN.

Etapa 2. Analise o tráfego - Descubra qual tráfego de dados deve ser transportado, suaorigem e seu destino. As WANs transportam uma variedade de tipos de tráfego comrequisitos variados para largura de banda, latência e atraso. Para cada par de pontos deextremidade e para cada tipo de tráfego, é necessário fornecer informações sobre ascaracterísticas do tráfego.

Etapa 3. Planeje a topologia - A topologia é influenciada por consideraçõesgeográficas, mas também por requisitos como disponibilidade. Um requisito de altonível para disponibilidade exige links extras que fornecem caminhos de dadosalternativos para redundância e balanceamento de carga.

Etapa 4. Estime a largura de banda exigida - O tráfego nos links pode ter requisitosvariados para latência e atraso.

Etapa 5. Escolha a tecnologia WAN - Selecione as tecnologias de link adequadas.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 321/350

Etapa 6. Avalie despesas - Quando todos os requisitos são estabelecidos, os custosoperacionais e de instalação para a WAN podem ser determinados e comparados com anecessidade comercial que orienta a implementação de WAN.

Como mostrado na figura, as etapas de design descritas aqui não são um processo linear.Várias iterações dessas etapas podem ser necessárias antes de finalizar um design. Paramanter o ótimo desempenho da WAN, é necessário monitorar e reavaliar continuamente.

Exibir meio visual 

8.3.3 Considerações sobre o tráfego de WAN 

Página 1:

A tabela na figura mostra a ampla variedade de tipos de tráfego e seus requisitosvariados de largura de banda, latência e atraso que os links de WAN exigem paratransportar.

Para determinar as condições de fluxo de tráfego e controle de tempo de um link deWAN, você precisa analisar as características específicas de tráfego para cada LAN queestá conectada à WAN. A determinação das características de tráfego pode envolver consulta aos usuários da rede e avaliação de suas necessidades.

Exibir meio visual 

8.3.4 Considerações sobre a topologia WAN 

Página 1:

Depois de estabelecer pontos de extremidade de LAN e características de tráfego, a próxima etapa para implementar uma WAN é criar uma topologia satisfatória. Criar uma topologia de WAN essencialmente consiste no seguinte:

Selecione um padrão de interconexão ou layout para os links entre os vários locais

Selecione as tecnologias para que esses links satisfaçam os requisitos de empresa a umcusto aceitável

Clique nos botões na figura para exibir um exemplo de cada tipo de topologia deWAN.

Muitas WANs usam uma topologia em estrela. À medida em que a empresa cresce e sãoadicionadas novas filiais, elas são conectadas com a matriz, criando uma topologia em

estrela tradicional. Os pontos de extremidade em estrela muitas vezes são conectados demaneira cruzada, criando uma malha ou topologia de malha parcial. Isto propicia muitas

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 322/350

combinações possíveis para interconexões. Ao criar, reavaliar ou modificar uma WAN,selecione uma topologia que atenda os requisitos de design.

Ao selecionando um layout, há vários fatores para considerar. Mais links aumentam ocusto dos serviços da rede, mas ter vários caminhos entre destinos aumenta aconfiabilidade. Acrescentar mais dispositivos de rede ao caminho de dados aumenta alatência e diminui a confiabilidade. Geralmente, cada pacote deve ser completamenterecebido em um nó antes de ser transmitido ao próximo.

Clique no botão Hierárquico na figura.

Quando muitos locais devem ser agrupados, é recomendada uma solução hierárquica.Por exemplo, imagine uma empresa que tem filiais em todos os países da Uniãoeuropéia e tem uma filial em todas as cidades com mais de 10.000 habitantes. Cada

filial tem uma LAN e decidiram interconectar as filiais. Uma rede de malha obviamentenão é viável porque seriam centenas de milhares de links.

A solução é implementar uma topologia hierárquica. Agrupe as LANs em cada área einterconecte-as para formar uma região; em seguida, interconecte as regiões para formar o núcleo da WAN. A área poderia se basear no número de locais a serem conectadoscom um limite superior entre 30 e 50. A área teria uma topologia estrela, com os hubsdas estrelas vinculados para formar a região. As regiões poderiam ser geográficas,conectando entre três e 10 áreas e o hub de cada região poderia ser vinculado de ponto a

 ponto.

Uma hierarquia de três camadas é geralmente útil quando o tráfego da rede espelha aestrutura de filial da empresa e é dividido em regiões, áreas e filiais. Também é útilquando existe um serviço central para o qual todas as filiais devem ter acesso, mas osníveis de tráfego são insuficientes para justificar a conexão direta de uma filial com oserviço.

A LAN no centro da área pode ter servidores que fornecem serviços locais e também baseados em área. Dependendo dos volumes de tráfego e tipos, as conexões de acesso podem ser dialup, alugadas ou de frame relay. O Frame Relay facilita a formação em

malha para obter redundância sem exigir conexões físicas adicionais. Links dedistribuição podem ser Frame Relay ou ATM e o núcleo da rede pode ser ATM ou linhaalugada.

Ao planejar redes mais simples, uma topologia hierárquica ainda deve ser considerada porque pode fornecer melhor escalabilidade de rede. O hub ao centro de um modelo deduas camadas também é um núcleo, mas sem outros roteadores de núcleo conectados aele. Da mesma maneira, em uma solução de camada única, o hub de área funciona comoo hub regional e o hub de núcleo. Isto permite o crescimento fácil e rápido no futuro,

 porque o design básico pode ser replicado para adicionar novas áreas de serviço.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 323/350

Página 2:

Tecnologias de conexão WAN

Uma WAN privada típica usa uma combinação de tecnologias que normalmente sãoescolhidas com base no tipo de tráfego e volume. São usados ISDN, DSL, Frame Relayou linhas alugadas para conectar filiais individuais em uma área. São usados FrameRelay, ATM ou linhas alugadas para conectar áreas externas ao backbone. ATM oulinhas alugadas formam o backbone de WAN. As tecnologias que exigem oestabelecimento de uma conexão antes de poder transmitir dados, como telefone básico,ISDN ou X.25, não são adequadas para WANs que exigem tempo de resposta rápido ou

 baixa latência.

Diferentes partes de uma empresa podem ser diretamente conectadas com linhasalugadas ou com um link de acesso ao ponto-de-presença (POP) mais próximo de umarede compartilhada. Frame Relay e ATM são exemplos de redes compartilhadas. Aslinhas alugadas são geralmente mais caras que links de acesso, mas estão disponíveis a

 praticamente qualquer largura de banda e possuem latência e atraso muito baixos.

Redes ATM e de Frame Relay transportam tráfego de vários clientes usando os mesmoslinks internos. A empresa não tem nenhum controle sobre o número de links ou saltosque os dados devem atravessar na rede compartilhada. Ela não pode controlar o tempoque os dados devem esperar em cada nó antes de mover para o próximo link. Estaincerteza em latência e atraso torna essas tecnologias inadequadas para alguns tipos de

tráfego de rede. Porém, as desvantagens de uma rede compartilhada podem geralmenteser compensadas pelo custo reduzido. Como vários clientes estão compartilhando o link,o custo para cada é geralmente menor que o custo de um link direto da mesmacapacidade.

Embora ATM seja uma rede compartilhada, ele foi criado para produzir latência e atrasomínimos através de links internos de alta velocidade que enviam unidades de dadosfacilmente gerenciáveis, chamadas de células. As células de ATM têm um comprimentofixo de 53 bytes, 48 bytes para dados e 5 bytes para o cabeçalho. O ATM é usadoamplamente para transportar tráfego que não tolera atrasos.

O Frame Relay também pode ser usado para tráfego que não tolera atrasos, geralmenteusando mecanismos de QoS para dar prioridade para os dados mais importantes.

Exibir meio visual 

Página 3:

Muitas WANs de empresa têm conexões com a Internet. Embora a Internet possarepresentar um problema de segurança, ela fornece uma alternativa para o tráfego entre

filiais. Parte do tráfego que deve ser considerado durante o design vai ou vem daInternet. Implementações comuns devem fazer cada rede na empresa conectar-se a um

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 324/350

ISP diferente ou fazer todas as redes de empresa conectarem-se a um único ISP a partir de uma conexão de camada de núcleo.

Exibir meio visual 

8.3.5 Considerações sobre largura de banda WAN 

Página 1:

Lembre-se de que uma rede suporta as necessidades comerciais de uma empresa. Muitasempresas dependem da transferência de dados em alta velocidade entre locais remotos.Consequentemente, é crucial possuir largura de banda mais alta para transmitir maisdados em um determinado tempo. Quando a largura de banda é inadequada, acompetição entre vários tipos de tráfego faz os tempos de resposta aumentarem, o quereduz a produtividade dos funcionário e reduz a velocidade de processos baseados emweb que são críticos para a empresa.

A figura mostra como links de WAN são geralmente classificados como de velocidadealta ou baixa.

Exibir meio visual 

8.3.6 Problemas comuns na implementação de WAN 

Página 1:

A figura resume os problemas comuns de implementação de WAN e as perguntas quevocê precisa fazer antes de efetivamente implementar uma WAN.

Exibir meio visual 

8.3.7 Estudo de caso: Diagnóstico de WAN a partir de uma perspectiva de ISPs

Página 1:

O gráfico ilustra as perguntas típicas que a equipe de suporte técnico de um ISP deve

fazer a um cliente que está pedindo suporte.

Uma proporção significativa das chamadas de suporte recebidas por um ISP refere-se àlentidão da rede. Para solucionar esse problemas com eficácia, você deve isolar oscomponentes individuais e testar cada um como segue:

Host de PC individual - Um número grande de aplicações de usuário abertas aomesmo tempo no PC pode ser responsável pela lentidão que está sendo atribuída à rede.Ferramentas como o Gerenciador de Tarefas em um Windows PC podem ajudar adeterminar a utilização da CPU.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 325/350

LAN - Se o cliente tiver um software de monitoramento de rede na LAN, o gerente derede pode informar se a largura de banda na LAN está alcançando 100 por cento deutilização com frequência. Esse é um problema que a empresa do cliente precisariaresolver internamente. Esse é o motivo por que é tão importante conhecer a linha de

 base de rede e realizar um monitoramento contínuo.

Link da extremidade da rede do usuário à extremidade do ISP - Teste o link doroteador de extremidade do cliente para o roteador de extremidade do ISP pedindo parao cliente fazer o logon no roteador e enviar cem pings de 1500 bytes (pings de estresse)

 para o endereço IP do roteador de extremidade do ISP. O cliente não pode corrigir esse problema. É responsabilidade do ISP comunicar-se com o provedor de link para corrigir isso.

Backbone do ISP - O representante de serviço do cliente do ISP pode realizar pings deestresse a partir da extremidade do roteador de ISP para o roteador de extremidade do

cliente. Eles também podem executar pings de estresse em cada link pelo qual circula otráfego do cliente. Ao isolar e testar cada link, o ISP pode determinar qual link estácausando o problema.

Servidor sendo acessado - Em alguns casos, a lentidão atribuída à rede pode ser causada por congestionamento do servidor. Esse problema é o mais difícil dediagnosticar e deve ser a última opção a ser investigada depois de eliminar todas asoutras.

Exibir meio visual 

Página 2:

 Nesta atividade, você e outro aluno criarão a rede exibida no diagrama de topologia.Você configurará o NAT, DHCP e OSPF e então verificará a conectividade. Quando arede estiver funcionando completamente, um aluno apresentará diversos erros. Emseguida, o outro aluno usará técnicas de solução de problemas para isolar e resolver o

 problema. Em seguida, os alunos inverterão as funções e repetirão o processo. Estaatividade pode ser feita em equipamento real ou com o Packet Tracer.

Exibir meio visual 

8.4 Solução de problemas da rede8.4.1 Interpretando diagramas de rede para identificar problemas

Página 1:

É quase impossível solucionar qualquer tipo de problema de conectividade de rede semum diagrama de rede que descreve endereços IP, rotas IP, dispositivos como firewalls eswitches, e assim por diante. Geralmente, topologias lógicas e físicas ajudam aidentificar e solucionar problemas.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 326/350

Diagrama físico de rede

Um diagrama físico de rede mostra o layout físico dos dispositivos conectado à rede. Énecessário saber como os dispositivos são conectados fisicamente para identificar esolucionar problemas na camada Física, como cabeamento ou problemas de hardware.As informações registradas no diagrama geralmente incluem:

• Tipo de dispositivo

• Modelo e fabricante

• Versão do sistema operacional

• Tipo de cabo e identificador 

• Especificação do cabo

• Tipo de conector 

• Pontos de extremidade de cabeamento

A figura mostra um exemplo de um diagrama físico de rede que fornece informaçõessobre o local físico dos dispositivos de rede, os tipos de cabeamento entre eles, e osnúmeros de identificação de cabo. Estas informações seriam usadas principalmente paraidentificar e solucionar problemas físicos com dispositivos ou cabeamento. Além dodiagrama físico de rede, alguns administradores incluem fotografias reais dos wiringclosets como parte da documentação de rede.

Diagrama lógico de rede

Um diagrama lógico de rede mostra como os dados são transferidos na rede. Símbolosrepresentam elementos de rede como roteadores, servidores, hubs, hosts, concentradoresde VPN e dispositivos de segurança. As informações registradas em um diagramalógico de rede podem incluir:

• Identificadores de dispositivo

• Endereço IP e sub-rede

•

Identificadores de interface• Tipo de conexão

• DLCI para circuitos virtuais

• VPNs ponto a ponto

• Protocolos de roteamento

• Rotas estáticas

• Protocolos de enlace de dados

• Tecnologias WAN usadas

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 327/350

Clique no botão Lógico na figura para ver um exemplo de um diagrama lógico derede.

A figura mostra a mesma rede, mas, dessa vez, fornece informações lógicas comoendereços IP de dispositivo específicos, números de rede, números de porta, tipos desinal e atribuições de DCE para links seriais. Estas informações podem ser usadas paraidentificar e solucionar problemas em todas as camadas de OSI.

Exibir meio visual 

8.4.2 Identificação e solução de problemas de camada física

Página 1:

Sintomas de problemas de camada física

A camada Física transmite bits de um computador para outro e regula a transmissão deum fluxo de bits pelo meio físico. A camada Física é a única camada com propriedadestangíveis fisicamente, como fios, placas e antenas.

Falhas e condições abaixo do ideal na camada Física não só incomodam os usuários,mas também afetam a produtividade da empresa inteira. Redes que experimentam essascondições geralmente passam por paradas bruscas. Como as camadas superiores domodelo OSI dependem da camada Física para funcionar, um técnico de rede deve ter acapacidade de isolar e corrigir problemas com eficácia nesta camada.

Um problema de camada Física ocorre quando as propriedades físicas da conexão sãoinferiores, fazendo os dados serem transferidos a uma taxa que é consistentementemenor que a taxa de fluxo de dados estabelecida na linha de base. Se houver um

 problema que faça a rede operar abaixo da ideal na camada Física, a rede poderácontinuar funcionando, mas o desempenho será intermitente ou consistentemente abaixodo nível especificado na linha de base.

Os sintomas comuns de problemas de rede na camada Física incluem:

• Desempenho abaixo da linha de base - Se o desempenho for insatisfatório otempo todo, o problema provavelmente estará relacionado a uma configuração

 pobre, à capacidade inadequada em algum lugar, ou a algum outro problemasistêmico. Se o desempenho variar e não for sempre insatisfatório, o problemaserá relacionado provavelmente a uma condição de erro ou está sendo afetado

 por tráfego de outras origens. As razões mais comuns para o desempenho lentoou baixo incluem servidores sobrecarregados ou subutilizados, configuraçõesinadequadas de roteador ou switch, congestionamento de tráfego em um link da

 baixa capacidade e perda de quadro crônica.

•

Perda de conectividade - Se um cabo ou dispositivo falhar, o sintoma maisóbvio é perda de conectividade entre os dispositivos que se comunicam por aquele link ou com o dispositivo ou interface com falha, como indicado por um

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 328/350

teste de ping simples. Perda intermitente de conectividade pode indicar umaconexão solta ou oxidada.

• Alta contagem de colisão - Problemas de domínio de colisão afetam o meiolocal e rompem comunicações com dispositivos de infra-estrutura, servidoreslocais ou serviços de Camada 2 ou Camada 3. Colisões são normalmente um

 problema mais significativo em meios compartilhados do que em portas deswitch. A média de contagens de colisão em meios compartilhados geralmentedeve estar abaixo de 5 por cento, embora esse número seja conservador. Confiraque se as informações são baseadas na média e não no pico das colisões.Problemas referentes a colisões podem ser geralmente rastreados até uma únicaorigem. Pode ser um cabo com defeito em uma única estação, um cabo de uplink com defeito em um hub ou porta em um hub, ou um link exposto a ruído elétricoexterno. Uma fonte de ruído próxima a um cabo ou hub pode causar colisões atémesmo quando não houver tráfego aparente. Se as colisões piorarem

 proporcionalmente ao nível do tráfego, se a quantidade de colisões chegar a 100 por cento ou se não houver nenhum tráfego bom, isso significará falha no

sistema de cabo.• Gargalos de rede ou congestionamento - Se um roteador, interface ou cabo

falharem, protocolos de roteamento poderão redirecionar o tráfego para outrasrotas que não são criadas para transportar a capacidade adicional. Isto poderesultar em congestionamento ou gargalos nessas partes da rede.

• Taxas altas de utilização de CPU - São um sintoma de que um dispositivo,como um roteador, switch ou servidor, está funcionando em ou está excedendoseus limites de design. Se isso não for resolvido rapidamente, a sobrecarga deCPU pode causar falha ou parada do dispositivo.

• Console mensagens de erro - Mensagens de erro reportadas no console do

dispositivo indicam um problema de camada Física.Exibir meio visual 

Página 2:

Causas de problemas de camada física

As situações que geralmente causam problemas de rede na camada Física incluem:

Alimentação

Problemas relacionados à alimentação são a principal razão de falha de rede. Aalimentação CA principal flui para um módulo de transformador CA a CC externo ouinterno para dentro de um dispositivo. O transformador fornece corrente de CCmodulada corretamente, que age para dar alimentação a circuitos de dispositivo,conectores, portas e as ventoinhas usadas para resfriamento do dispositivo. Se houver suspeita de problema relacionado à alimentação, geralmente é feita uma inspeção físicado módulo de alimentação. Verifique o funcionamento das ventoinhas e confira se estãodesobstruídas as passagens de ar do chassi. Se outras unidades próximas também

 pararam de funcionar, poderá estar havendo uma falha da fonte de alimentação principal.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 329/350

Falhas de hardware

Placas de rede defeituosas ( NIC) podem ser a causa de erros de transmissão de rede

devido a recentes colisões, quadros curtos e jabber . Jabber é geralmente definido comoa condição na qual um dispositivo de rede transmite continuamente dados aleatóriossem sentido pela rede. Outras causas prováveis de jabber são arquivos de driver da placade rede defeituosos ou corrompidos, cabeamento incorreto ou problemas deaterramento.

Falhas de cabeamento

Muitos problemas podem ser corrigidos simplesmente reconectando-se os cabos queficaram parcialmente desconectados. Ao executar uma inspeção física, verifique se há

cabos danificados, tipos de cabo impróprios e conectores RJ-45 mal instalados. Cabossuspeitos devem ser testados ou trocados por um cabo em perfeito estado defuncionamento.

Verifique se há conexões entre dispositivos ou portas de hub e switch que estejamusando cabos crossover incorretamente. Os cabos de pares separados não funcionamquando estão com defeito, dependendo da velocidade de Ethernet, o comprimento dosegmento separado e a distância de qualquer extremidade.

Os problemas com cabos de fibra óptica podem ser causados por conectores sujos,curvas excessivamente apertadas e conexões RX/TX trocadas quando polarizada.

Os problemas com cabo coaxial geralmente ocorrem nos conectores. Quando o condutor do centro na extremidade do cabo coaxial não está reto e com o comprimento correto,não é obtida uma conexão boa.

Atenuação

Um bitstream de dados atenuado é quando a amplitude dos bits é reduzida enquantotrafega por um cabo. Se a atenuação for severa, o dispositivo receptor nem sempre poderá distinguir com êxito os bits de componente do fluxo um do outro. Isto resulta emuma transmissão adulterada e em uma solicitação do dispositivo receptor para novatransmissão do tráfego perdido pelo remetente. A atenuação poderá ser causada se umcomprimento de cabo exceder o limite de design para o meio (por exemplo, um caboEthernet é limitado a 100 metros, ou 328 pés, para garantir um desempenho bom), ouquando há uma conexão pobre que é o resultado de um cabo solto, sujo ou com contatosoxidados.

Ruído

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 330/350

A interferência eletromagnética local (EMI) geralmente é conhecida como ruído. Háquatro tipos de ruído que são muito significativos para redes de dados:

• Ruído de impulso que é causado por flutuações de voltagem ou picos de correnteinduzidos no cabeamento.

• Ruído aleatório (branco) que é gerado por muitas fontes, como estações de rádioFM, rádio da polícia, seguranças de prédios e ondas de rádio de aviação paraaterrissagem automatizada.

• Diafonia estrangeira que é o ruído induzido por outros cabos no mesmocaminho.

• Diafonia próxima (NEXT) que é o ruído que se origina da diafonia de outroscabos adjacentes ou ruído de cabos elétricos próximos, dispositivos com motoreselétricos de grande porte, ou qualquer coisa que inclua um transmissor maisavançado que um telefone celular.

Erros de configuração de interface

Muitas coisas podem ser configuradas incorretamente em uma interface para causar essetipo de erro, causando uma perda de conectividade com segmentos de rede anexados.Exemplos de erros de configuração que afetam a camada Física incluem:

• Links seriais reconfigurados como assíncronos em vez de síncronos

• Clock rate incorreto

• Fonte de clock incorreta• Interface não ligada

Limites de design excedidos

Um componente pode estar operando de maneira não ideal na camada Física porqueestá sendo utilizado a uma taxa média mais alta do que ele é configurado para operar.Ao solucionar problemas desse tipo, fica evidente que os recursos para o dispositivoestão operando na capacidade máxima ou próximo a ela e há um aumento no número de

erros de interface.

Sobrecarga CPU

Os sintomas incluem processos com altos percentuais de utilização de CPU, descartesdas filas de entrada, desempenho lento, serviços de roteador como o Telnet e ping lentosou não respondem, ou não há nenhuma atualização de roteamento. Uma das causas desobrecarga de CPU em um roteador é o alto tráfego. Se algumas interfaces foremsobrecarregadas regularmente com tráfego, redesenhe o fluxo de tráfego na rede ouatualize o hardware.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 331/350

Página 3:

Para isolar problemas nas camadas Físicas, faça o seguinte:

Verifique se há cabos ou conexões com defeito

Verifique se o cabo da interface de origem está conectado e se está em boas condições.Seu testador de cabo pode revelar um fio aberto. Por exemplo, na figura, o testador Fluke CableIQ revelou que os fios 7 e 8 estão apresentando falha. Para testar aintegridade de um cabo, alterne os cabos suspeitos com um cabo que esteja funcionandocom certeza. Se estiver em dúvida sobre a conexão estar funcionando, remova o cabo,faça uma inspeção física do cabo e da interface, e reconecte o cabo. Use um testador decabo nas tomadas que deseja testar para verificar se estão cabeadas corretamente.

Verifique se o padrão de cabeamento correto é consistente ao longo da rede

Verifique se o cabo correto está sendo utilizado. Um cabo crossover pode ser necessário para conexões diretas entre alguns dispositivos. Verifique se o cabo está cabeadocorretamente. Por exemplo, na figura, o testador Fluke CableIQ detectou que, emboraum cabo estivesse bom para Fast Ethernet, ele não é qualificado para suportar 1000BASE-T porque os fios 7 e 8 não foram conectados corretamente. Esses fios nãosão necessários para Fast Ethernet, mas são necessários para Gigabit Ethernet.

Verifique se os dispositivos estão cabeados corretamente

Verifique se todos os cabos estão conectados às portas ou interfaces corretas. Verifiquese as conexões cruzadas estão corrigidas para o local correto. Esse é o motivo pelo qualum wiring closet deve ser limpo e organizado: poupa muito tempo.

Verifique se as configurações de interface estão corretas

Verifique se todas as portas de switch estão definidas na VLAN correta e se estãoconfigurados corretamente o spanning tree, a velocidade e as configurações bidirecionais. Confirme se as portas ou interfaces ativa não estão desligadas.

Verifique as estatísticas de funcionamento e as taxas de erros de dados

Use os comandos show da Cisco para verificar estatísticas como colisões, erros deentrada e saída. As características destas estatísticas variam, dependendo dos protocolosusados na rede.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 332/350

8.4.3 Identif. e solução de problemas da camada de enlace de dados

Página 1:

Sintomas de problemas da camada de enlace de dados

Identificar e solucionar problemas de Camada 2 pode ser um processo difícil. Aconfiguração e a operação destes protocolos são críticas para criar uma rede funcional e

 bem ajustada.

Problemas de camada de enlace causam sintomas comuns que ajudam a identificar  problemas de Camada 2. Reconhecer esses sintomas ajuda a reduzir o número de possíveis causas. Os sintomas comuns de problemas de rede na camada de enlace dedados incluem:

Não há funcionalidade ou conectividade na camada de rede ou acima

Alguns problemas de Camada 2 podem interromper a troca de quadros por um link,enquanto outros só degradam o desempenho da rede.

A rede está funcionando abaixo dos níveis de desempenho de linha de base

Há dois tipos distintos de funcionamento não ideal de Camada 2 que podem ocorrer emuma rede:

• Quadros trafegam por um caminho ilógico ao seu destino, mas chegam. Umexemplo de um problema que pode levar os quadros a trafegarem por umcaminho não ideal é uma topologia de spanning-tree de Camada 2 mal projetada.

 Neste caso, a rede deve experimentar uso de alta largura de banda em links quenão devem ter aquele nível de tráfego.

• Alguns quadros são ignorados. Esses problemas podem ser identificados por estatísticas de contador de erro e mensagens de erro de console que aparecem no

switch ou roteador. Em um ambiente de Ethernet, um toque estendido oucontínuo revelará também se os quadros estiverem sendo ignorados.

Broadcasts em excesso

Os sistemas operacionais modernos usam broadcasts extensivamente para detectar serviços de rede e outros hosts. Onde são observados broadcasts excessivos, éimportante identificar a origem dos broadcasts. Geralmente, difusões excessivas são oresultado de uma das situações seguintes:

• Aplicativos configurados ou programados incorretamente

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 333/350

• Domínios de broadcast grandes de Camada 2

• Problemas de rede adjacentes, como loops de STP ou alternância de rota.

Mensagens da console

Em algumas instâncias, um roteador reconhece que um problema de Camada 2 ocorreue envia mensagens de alerta à console. Normalmente, um roteador faz isto quandodetecta um problema para interpretar quadros de entrada (encapsulamento ou problemasde enquadramento) ou quando keepalives são esperados, mas não chegam. A mensagemde console mais comum que indica um problema de Camada 2 é uma mensagem de queo protocolo de linha está inativo.

Exibir meio visual 

Página 2:

Causas de problemas da camada de enlace de dados

Os problemas na camada de enlace que geralmente resultam em problemas deconectividade de rede ou desempenho incluem:

Erros de encapsulamento

Um erro de encapsulamento ocorre porque os bits colocados pelo remetente em umcampo específico não são o que o receptor espera ver. Esta condição ocorre quando oencapsulamento em uma extremidade de um link de WAN é configuradodiferentemente do encapsulamento usado na outra extremidade.

Erros de mapeamento de endereço

Em topologias como ponto-a-multiponto, Frame Relay ou Ethernet broadcast, éessencial que um endereço de destino de Camada 2 apropriado seja dado ao quadro. Istoassegura sua chegada ao destino correto. Para obter isto, o dispositivo de rede devecorresponder um endereço de destino de Camada 3 com o endereço de Camada 2correto usando mapas estáticos ou dinâmicos.

Ao usar mapas estáticos em Frame Relay, um mapa incorreto é um engano comum.Erros simples de configuração podem resultar em uma incompatibilidade deinformações de endereçamento de Camada 2 e Camada 3.

Em um ambiente dinâmico, o mapeamento das informações de Camada 2 e Camada 3 pode falhar pelas seguintes razões:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 334/350

• Os dispositivos podem ter sido especificamente configurados para não responder a solicitações ARP ou ARP inverso.

• As informações de Camada 2 ou Camada 3 que são armazenadas em cache podem ter se alterado fisicamente.

• As respostas inválidas de ARP são recebidas devido a uma configuraçãoincorreta ou um ataque de segurança.

Erros de enquadramento

Quadros normalmente funcionam em grupos de bytes de 8 bits. Um erro deenquadramento ocorre quando um quadro não termina em um limite de byte de 8 bits.Quando isto acontece, o receptor pode ter problemas que determinam onde um quadrotermina e outro quadro inicia. Dependendo da gravidade do problema deenquadramento, a interface pode ser capaz de interpretar alguns dos quadros. Muitos

quadros inválidos podem impedir keepalives válidos de serem trocados.

Erros de enquadramento podem ser causados por uma linha serial ruidosa, um cabo projetado de modo inadequado (muito longo ou não blindado corretamente) ou umrelógio de linha de unidade do serviço de canal (CSU) incorretamente configurado.

Falhas ou loops de STP

O propósito do Protocolo Spanning Tree (STP) é transformar uma topologia física

redundante em uma topologia em árvore através do bloqueio de portas redundantes. Amaioria das problemas de STP gira em torno desses problemas:

• Encaminhar loops que ocorrem quando nenhuma porta em uma topologiaredundante é bloqueada e o tráfego é encaminhado indefinidamente em círculos.Quando o encaminhamento de loop inicia, isso normalmente congestiona oslinks de largura de banda mais baixa no caminho. Se todos os links forem damesma largura de banda, todos estarão congestionados. Este congestionamentocausa perda de pacote e leva a uma rede com baixo desempenho no domínio deL2 afetado.

•

Envios excessivos devido a uma taxa alta alterações na topologia de STP. Afunção do mecanismo de alteração de topologia é corrigir as tabelas deencaminhamento de Camada 2 depois que a topologia de encaminhamento foialterada. Isto é necessário para evitar uma interrupção de conectividade porque,depois de uma alteração de topologia, alguns endereços MAC previamenteacessíveis por portas particulares podem ficar acessíveis por portas diferentes.Uma alteração de topologia deve ser um evento raro em uma rede bemconfigurada. Quando um link em uma porta de switch fica ativo ou inativo,eventualmente há uma alteração de topologia quando o estado de STP da portamuda para ou de encaminhar. Porém, quando uma porta oscila (entre os estadosativo e inativo), isso causa mudanças repetitivas de topologia e inundação.

• A convergência lenta de STP ou reconvergência podem ser causadas por umaincompatibilidade entre a topologia real e a documentada, um erro de

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 335/350

configuração, como uma configuração inconsistente de temporizadores de STP,uma CPU de switch sobrecarregada durante a convergência, ou um defeito desoftware.

Exibir meio visual 

Página 3:

Identificação e solução de problemas de Camada 2 (PPP)

A dificuldade para identificar e solucionar problemas de tecnologias de Camada 2,como PPP e Frame Relay, é a indisponibilidade de ferramentas adequadas para Camada3 comuns, como ping, para ajudar a identificar problemas além de constatar que a redeestá inativa. Somente através de um entendimento completo dos protocolos e de suaoperação, o técnico de rede consegue escolher a metodologia adequada de identificação

e solução de problemas e os comandos Cisco IOS certos para solucionar o problema deuma maneira eficiente.

A maioria das problemas que ocorrem com PPP envolve negociação de link. Os passos para identificar e solucionar problemas de PPP estão a seguir:

Etapa 1. Verifique se o encapsulamento apropriado está sendo usado nas duasextremidades, usando o comando show interfaces serial. Na figura para Etapa 1, asaída de comando revela que R2 foi configurado incorretamente para usar encapsulamento HDLC.

Etapa 2. Confirme que as negociações do Protocolo de Controle de Link (LCP) tiveramsucesso verificando a saída para mensagem do LCP aberto.

Clique no botão Etapa 2 na figura.

 Na figura, o encapsulamento em R2 foi alterado a PPP. A saída do comando showinterfaces serial mostra a mensagem LCP aberto, que indica que as negociações deLCP tiveram sucesso.

Etapa 3. Verifique a autenticação em ambos os lados do link usando o comando debugppp authentication.

Clique no botão Etapa 3 na figura.

 Na figura, a saída do comando debug ppp authentication mostra que R1 não podeautenticar R2 usando CHAP, porque o nome de usuário e a senha para R2 não foramconfigurados em R1.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 336/350

Consulte o Capítulo 2, "PPP" para obter mais detalhes sobre como identificar esolucionar implementações de PPP.

Exibir meio visual 

Página 4:

Identificação e solução de problemas de Camada 2 (Frame Relay)

Para identificar e solucionar problemas de rede Frame Relay, divida a tarefa em quatroetapas:

Etapa 1. Verifique a conexão física entre o CSU/DSU (unidade de serviço de dados) eo roteador. Na figura, as conexões físicas entre os roteadores R2 e R3 e os CSU/DSU

correspondentes podem ser verificadas usando um testador de cabo e conferindo setodos os LEDs de status na unidade de CSU/DSU estão verdes. Na figura, algumasluzes de status para o CSU/DSU no R3 estão vermelhas, indicando um problema deconectividade potencial entre o CSU/DSU e roteador R3.

Etapa 2. Verifique se o roteador e o provedor de Frame Relay estão trocandoinformações de LMI corretamente usando o comando show frame-relay lmi.

Clique no botão Etapa 2 na figura.

 Na figura, a saída do comando show frame-relay lmi no R2 não mostra erros oumensagens perdidas. Isto indica que R2 e o switch do provedor de Frame Relay estãotrocando informações de LMI corretamente.

Etapa 3. Verifique se o status de PVC está ativo usando o comando show frame-relaypvc.

Clique no botão Etapa 3 na figura.

 Na figura, a saída do comando show frame-relay pvc no R2 verifica que o status dePVC está ativo.

Etapa 4. Verifique se o encapsulamento de Frame Relay corresponde nos doisroteadores, usando o comando show interfaces serial.

Clique no botão Etapa 4 na figura.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 337/350

 Na figura, a saída do comando show interfaces serial nos roteadores R2 e R3 mostraque existe uma incompatibilidade de encapsulamento entre eles. O R3 foi configuradoincorretamente para usar o encapsulamento de HDLC em vez de Frame Relay.

Para obter detalhes adicionais sobre como identificar e solucionar problemas deimplementações de Frame Relay, consulte o Capítulo 3, "Frame Relay".

Exibir meio visual 

Página 5:

Identificação e solução de problemas de Camada 2 (Loops de STP)

Se você suspeitar que um loop de STP esteja causando um problema de Camada 2,

verifique se o protocolo Spanning Tree está sendo executado nos dois switches. Umswitch somente deverá ter STP desabilitado se não fizer parte de uma topologiafisicamente com loops. Para verificar operação de STP, use o comando show spanning-tree em cada switch. Se você descobrir que aquele STP não está funcionando, você

 pode habilitá-lo usando o comando spanning-tree vlan ID.

Siga essas etapas para identificar e solucionar problemas de loops de encaminhamento:

Etapa 1. Identifique que um loop de STP está ocorrendo.

Quando um loop de encaminhamento tiver se desenvolvido na rede, estes são ossintomas habituais:

• Perda de conectividade para, de e pelas regiões de rede afetadas

• Alta utilização de CPU em roteadores conectados a segmentos afetados ouVLANs

• Alta utilização de link (geralmente 100 por cento)

• Alta utilização de backplane de switch (comparado com a utilização de linha de base)

• Mensagens de Syslog que indicam looping de pacote na rede (por exemplo,mensagens duplicadas de endereço IP de Protocolo de roteador de espera aquente)

• Mensagens de Syslog que indicam reaprendizado constante de endereço ou demensagens de atraso de endereço MAC

• Aumento no número de descartes de saída em muitas interfaces

Etapa 2. Descubra a topologia (escopo) do loop.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 338/350

A prioridade mais alta é parar o loop e restaurar a operação da rede. Para parar o loop,você deve saber quais portas estão envolvidas. Observe as portas com a mais altautilização de link (pacotes por segundo). O comando show interface exibe a utilização

 para cada interface. Tenha certeza de registrar estas informações antes de continuar parao próximo passo. Caso contrário, poderia ser difícil determinar no futuro a causa do

loop.

Etapa 3. Quebre o loop.

Feche ou desconecte as portas envolvidas uma de cada vez. Depois que você desabilitar ou desconectar cada porta, verifique se a utilização de backplane de switch está de voltaao nível normal. Documente seus resultados. Lembre-se de que algumas portas podemnão estar sustentando o loop, mas estão enviando o tráfego que chega com o loop.Quando você fecha essas portas de envio, só reduz a utilização de blackplane a umaquantidade pequena, mas você não interrompe o loop.

Etapa 4. Localize e corrija a causa do loop.

Determinar por que o loop começou é geralmente a parte mais difícil do processo, porque as razões podem variar. Também é difícil formalizar um procedimento exato quefunciona em todos os casos. Primeiro, investigue o diagrama de topologia para localizar um caminho redundante.

Para cada switch no caminho redundante, verifique se há esses problemas:

• O switch conhece a raiz de STP correta?

• A porta de raiz é identificada corretamente?

• As unidades de dados de protocolo da bridge (BPDUs) são recebidasregularmente na porta de raiz e em portas que deveriam supostamente bloquear?

• As BPDUs são enviadas regularmente em portas designadas não-raiz?

Etapa 5. Restaure a redundância.

Depois de encontrar o dispositivo ou link que está causando o loop e o problema for resolvido, restaure os links redundantes que foram desconectados.

 Nós só mencionamos rapidamente o assunto de identificar e solucionar problemas deloops de STP. Identificar e solucionar problemas de loops e outros problemas de STP éuma discussão complexa e detalhada que está além do escopo deste curso. No entanto,se você desejar saber mais sobre identificação e solução de problemas de STP, consulteas observações técnicas excelentes visitando:http://cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080136673.sht

ml#troubleshoot.Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 339/350

8.4.4 Identificação e solução de problemas de camada de rede

Página 1:

Sintomas de problemas de camada de rede

Problemas de camada de rede incluem todos os problemas que envolvem um protocolode Camada 3, protocolos roteados e protocolos de roteamento. Este tópico concentra-se

 principalmente em protocolos de roteamento de IP.

Problemas na camada de rede podem causar falhas de rede ou desempenho abaixo donível ideal. Falha de rede é quando a rede está quase ou completamente sem funcionar,afetando todos os usuários e as aplicações que usam a rede. Estas falhas normalmentesão notadas rapidamente pelos usuários e pelos administradores de rede, e sãoobviamente críticas à produtividade de uma empresa. Problemas de otimização de redenormalmente envolvem um subconjunto de usuários, aplicações, destinos ou um tipoespecífico de tráfego. Problemas de otimização em geral podem ser mais difíceis dedetectar e até mais difíceis de isolar e diagnosticar, porque eles normalmente envolvemvárias camadas ou até mesmo o próprio computador host. Determinar que o problema éde camada de rede pode levar muito tempo.

Exibir meio visual 

Página 2:

Solução de problemas da camada 3

 Na maioria das redes, rotas estáticas são usadas em combinação com protocolos deroteamento dinâmico. A configuração imprópria de rotas estáticas pode levar a umroteamento abaixo do nível ideal e, em alguns casos, criar loops de roteamento ou partesda rede podem ficar inalcançáveis.

Identificar e solucionar problemas de protocolos de roteamento dinâmico exige umacompreensão completa de como funcionam os protocolos de roteamento específicos.

Alguns problemas são comuns a todos os protocolos de roteamento, enquanto outros sãoespecíficos do protocolo de roteamento individual.

 Não há nenhum modelo para resolver problemas de Camada 3. Problemas deroteamento são resolvidos com um processo metódico, usando uma série de comandos

 para isolar e diagnosticar o problema.

Aqui estão algumas áreas para explorar ao diagnosticar um possível problema queenvolve protocolos de roteamento:

Problemas gerais de rede

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 340/350

Geralmente uma mudança na topologia, como um link inativo, pode ter outros efeitosem outras áreas da rede que podem não ser óbvios no momento. Isto pode incluir ainstalação de novas rotas, estáticas ou dinâmicas, remoção de outras rotas, e assim por diante.

Alguns itens devem ser considerados:

• Algo mudou na rede recentemente?

• Há alguém trabalhando na infra-estrutura de rede nesse momento?

Problemas de conectividade

Verifique se há algum problema nos equipamentos e na conectividade, inclusive problemas de alimentação como interrupções e problemas ambientais comosuperaquecimento. Verifique também se há problemas de Camada 1, como problemasde cabeamento, portas incorretas e problemas de ISP.

Problemas de vizinhança

Se o protocolo de roteamento estabelecer uma adjacência com um vizinho, verifique sehá problemas com os roteadores que formam as relações de vizinhança.

Banco de dados de topologia

Se o protocolo de roteamento usar uma tabela de topologia ou banco de dados, procurena tabela algo inesperado, como entradas faltando ou inesperadas.

Tabela de roteamento

Procure na tabela de roteamento algo inesperado, como rotas faltando ou inesperadas.Use comandos debug para exibir atualizações de roteamento e manutenção de tabela deroteamento.

Exibir meio visual 

8.4.5 Identificação e solução de problemas de camada de transporte

Página 1:

Problemas comuns de lista de acesso

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 341/350

Problemas de rede podem ocorrer devido a problemas de camada de Transporte noroteador, particularmente na extremidade da rede onde as tecnologias de segurança

 podem estar examinando e modificando o tráfego. Esse tópico discute duas dastecnologias de segurança de camada de Transporte mais comumente implementadas.Elas são as Listas de Controle de Acesso (ACLs) e a Tradução de Endereço de Rede

(NAT).

Clique no botão Problemas de lista de acesso na figura.

Os problemas mais comuns com ACLs são causados por configuração imprópria. Háoito áreas onde as configurações incorretas geralmente ocorrem:

Seleção de fluxo de tráfego

A configuração incorreta de roteador mais comum está aplicando a ACL ao tráfegoincorreto. O tráfego é definido pela interface do roteador pela qual o tráfego está

 passando e também pela direção na qual este tráfego está passando. Uma ACL deve ser aplicada à interface correta e a direção correta de tráfego deve ser selecionada parafuncionar corretamente. Se o roteador estiver executando ACLs e NAT, a ordem na qualcada uma destas tecnologias é aplicada a um fluxo de tráfego será importante:

• O tráfego de entrada é processado pela ACL de entrada antes de ser processado pela NAT de fora para dentro.

• O tráfego de saída é processado pela ACL de saída depois de ser processado pela NAT de dentro para fora.

Ordem de elementos de controle de acesso

Os elementos em uma ACL devem ser de específico para geral. Embora uma ACL possa ter um elemento para permitir especificamente um fluxo de tráfego determinado,os pacotes nunca corresponderão àquele elemento se eles estiverem sendo negados por outro elemento anterior na lista.

Negar tudo implicitamente

Em uma situação onde a segurança alta não é exigida na ACL, esquecer este elementode controle de acesso implícito pode ser a causa de uma configuração incorreta de ACL.

Endereços e máscaras curinga

Máscaras curinga complexas fornecem melhorias significativas em eficiência, mas são

mais sujeitas a erros de configuração. Um exemplo de uma máscara curinga complexa éusar o endereço 10.0.32.0 e a máscara curinga 0.0.32.15 para selecionar os primeiros 15endereços de host na rede 10.0.0.0 ou na rede 10.0.32.0.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 342/350

Seleção de protocolo de camada de transporte

Ao configurar as ACLs, é importante que somente os protocolos de camada de

transporte corretos sejam especificados. Muitos engenheiros de rede, quando não têmcerteza se um fluxo de tráfego específico usa uma porta TCP ou uma porta UDP,configuram ambas. Especificar ambas abre um buraco pelo firewall, possivelmentedando aos invasores uma avenida de acesso à rede. Também introduz um elementoadicional na ACL, de forma que a ACL leva mais tempo para processar, introduzindomais latência nas comunicações da rede.

Portas de origem e destino

Controlar o tráfego corretamente entre dois hosts requer elementos de controle de

acesso simétricos para ACLs de entrada e de saída. As informações de endereço e porta para tráfego gerado por um host que responde são uma imagem espelhada dasinformações de endereço e porta para o tráfego gerado pelo host que iniciou.

Uso da palavra-chave established

A palavra-chave established aumenta a segurança fornecida por uma ACL. Porém, se a palavra-chave for aplicada a uma ACL de saída, resultados inesperados poderão ocorrer.

Protocolos incomuns

ACLs configuradas incorretamente geralmente causam problemas para protocolosmenos comuns que TCP e UDP. Protocolos incomuns que estão ganhando popularidadesão VPN e protocolos de criptografia.

Solução de problemas de listas de controle de acesso

Um comando útil para exibir o funcionamento de ACL é a palavra-chave log ementradas de ACL. Esta palavra-chave instrui o roteador a colocar uma entrada no log desistema sempre que aquela condição de entrada é correspondida. O evento registradoinclui detalhes do pacote que correspondeu ao elemento de ACL.

A palavra-chave log é especialmente útil para identificar e solucionar problemas, etambém fornece informações sobre tentativas de invasão que são bloqueadas pela ACL.

Exibir meio visual 

Página 2:Problemas NAT comuns

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 343/350

O maior problema com todas as tecnologias de NAT é a interoperabilidade com outrastecnologias de rede, principalmente os que contêm ou derivam informações deendereçamento de rede de host no pacote. Algumas destas tecnologias incluem:

• BOOTP e DHCP - Ambos os protocolos gerenciam a atribuição automática deendereços IP a clientes. Lembre-se de que o primeiro pacote que o cliente novoenvia é um pacote IP de broadcast de solicitação DHCP. O pacote de solicitaçãoDHCP tem um endereço IP de origem de 0.0.0.0. Como o NAT exige umendereço IP válido de destino e origem, BOOTP e DHCP podem ter dificuldade

 para funcionar em um roteador que executa o NAT estático ou dinâmico.Configurar o recurso de ajuda de IP pode ajudar a resolver este problema.

• DNS e WINS - Como um roteador que executa NAT dinâmico alteraregularmente a relação entre endereços de entrada e saída já que as entradas detabela expiram e são recriadas, um servidor DNS ou WINS fora do roteador de

 NAT não tem uma representação precisa da rede dentro do roteador. Configurar o recurso de ajuda de IP pode ajudar a resolver este problema.

• SNMP - Da mesma maneia que ocorre com os pacotes de DNS, o NAT não pode alterar as informações de endereçamento armazenadas na payload de dadosdo pacote. Por causa disto, uma estação de gerenciamento de SNMP em um ladode um roteador de NAT pode talvez não ser capaz de contactar os agentes deSNMP no outro lado do roteador de NAT. Configurar o recurso de ajuda de IP

 pode ajudar a resolver este problema.

• Protocolos de tunelamento e criptografia - Os protocolos de criptografia etunelamento geralmente exigem que o tráfego seja gerado de uma porta UDP ou

TCP específica, ou use um protocolo na camada de Transporte que não pode ser  processado pelo NAT. Por exemplo, os protocolos de tunelamento de IPsec e os protocolos genéricos de encapsulamento de roteamento usados por implementações de VPM não podem ser processados pelo NAT. Se os

 protocolos de criptografia e tunelamento devem ser executados por um roteador  NAT, o administrador de rede poderá criar uma entrada NAT estática para a porta necessária para um único endereço IP na parte de dentro do roteador NAT.

Se os protocolos de criptografia e tunelamento devem ser executados por um roteador  NAT, o administrador de rede poderá criar uma entrada NAT estática para a portanecessária para um único endereço IP na parte de dentro do roteador NAT.

Um dos erros de configuração de NAT mais comuns é esquecer que o NAT afeta tanto otráfego de entrada como o de saída. Um administrador de rede sem experiência poderiaconfigurar uma entrada de NAT estática para redirecionar o tráfego de entrada para umhost de backup específico interno. Esta instrução de NAT estática também altera oendereço de origem do tráfego daquele host, resultando possivelmente emcomportamentos indesejáveis e inesperados ou em operação abaixo do nível ideal.

Temporizadores configurados de modo inadequado também podem resultar emcomportamento de rede inesperado e operação abaixo do nível ideal de NAT dinâmico.Se os temporizadores de NAT forem muito curtos, as entradas na tabela de NAT

 poderão expirar antes de as respostas serem recebidas, de forma que os pacotes são

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 344/350

descartados. A perda de pacotes gera novas transmissões, consumindo mais largura de banda. Se os temporizadores forem muito longos, as entradas poderão ficar na tabela de NAT mais tempo que o necessário, consumindo o conjunto de conexão disponível. Emredes ocupadas, isto poderá levar a problemas de memória no roteador e os hosts

 poderão não ser capazes de estabelecer conexões se a tabela de NAT dinâmica estiver 

cheia.

Consulte o Capítulo 7, "Serviços de endereçamento IP" para obter detalhes adicionaissobre como identificar e solucionar problemas de configuração de NAT.

Exibir meio visual 

8.4.6 Identificação e solução de problemas de camada de aplicativo

Página 1:Visão geral da camada de aplicativo

A maioria dos protocolos de camada de aplicativo fornece serviços de usuário. Os protocolos de camada de aplicativo são usados normalmente para gerenciamento derede, transferência de arquivos, serviços de arquivo distribuídos, emulação de terminal eemail. Porém, são adicionados freqüentemente novos serviços de usuário, como VPNs,VoIP, e assim por diante.

Os mais conhecidos e implementados protocolos de camada de aplicativo de TCP/IP

incluem:

• Telnet - Permite que os usuários estabeleçam conexões de sessão de terminalcom hosts remotos.

• HTTP - Suporta a troca de texto, imagens gráficas, som, vídeo e outros arquivosde multimídia na Web.

• FTP - Executa transferências de arquivo interativas entre hosts.

• TFTP - Executa transferências de arquivo interativas básicas normalmente entrehosts e dispositivos de rede.

• SMTP - Suporta serviços básicos de entrega de mensagem.• POP - Conecta-se a servidores de email e baixa email.

• Protocolo de gerenciamento de rede comum (SNMP) - Reune informações degerenciamento de dispositivos de rede.

• DNS - Mapeia endereços IP para os nomes atribuídos a dispositivos de rede.

• Sistema de arquivos de rede (NFS) - Permite que computadores montemunidades em hosts remotos e os operem como se elas fossem unidades locais.Originalmente desenvolvido pela Sun Microsystems, ele se combina com doisoutros protocolos de camada de aplicativo, representação de dados externa

(XDR) e chamada de procedimento remoto (RPC), para permitir acessotransparente a recursos de rede remota.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 345/350

Clique no botão Protocolos e portas de aplicativos na figura para exibir uma lista de protocolos de aplicativo e as portas associadas.

Exibir meio visual 

Página 2:

Sintomas de problemas da camada de aplicativo

Os problemas de camada de aplicativo impedem que os serviços sejam fornecidos aos programas. Um problema na camada de aplicativo pode resultar em recursosinalcançáveis ou inutilizáveis quando as camadas física, de enlace de dados, de rede ede transporte estiverem funcionando. É possível ter conectividade de rede total, mas oaplicativo simplesmente não pode fornecer dados.

Outro tipo de problema na camada de aplicativo ocorre quando as camadas física, deenlace de dados, de rede e de transporte estão funcionando, mas a transferência de dadose as solicitações para serviços de rede de um único serviço de rede ou aplicativo nãoatende as expectativas normais de um usuário.

Um problema na camada de aplicativo pode fazer os usuários reclamarem que a rede ouo aplicativo específica com a qual eles estão trabalhando está lenta ou mais lenta que ohabitual para transferir dados ou solicitar serviços de rede.

A figura mostra alguns dos possíveis sintomas de problemas de camada de aplicativo.

Exibir meio visual 

Página 3:

Identificação e solução de problemas de aplicativo

O mesmo processo geral de identificação e solução de problemas que é usado paraisolar problemas nas camadas inferiores também pode ser usado para isolar problemasna camada de aplicativo. Os conceitos são os mesmos, mas o foco tecnológico agoraenvolve coisas como conexões recusadas ou expiradas, listas de acesso e problemas deDNS.

As etapas para solucionar problemas de camada de aplicativo são as seguintes:

Etapa 1. Execute ping no gateway padrão.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 346/350

Se for bem-sucedido, isso significa que os serviços de Camada 1 e Camada 2 estãofuncionando corretamente.

Etapa 2. Verificar a conectividade fim-a-fim.

Use um ping estendido se estiver tentando fazer ping de um roteador Cisco. Se for bem-sucedido, isso significa que a Camada 3 está funcionando corretamente. Se as Camadas1-3 estão funcionando corretamente, o problema deve existir em uma camada mais alta.

Etapa 3. Verifique a lista de acesso e a operação NAT.

Para identificar e solucionar problemas de listas de controle de acesso, siga os passosseguintes:

• Use o comando show access-list. Existe algum ACL que poderia estar parandotráfego? Observe quais listas de acesso têm correspondências.

• Desmarque os contadores de lista de acesso com o comando clear access-listcounters e tente estabelecer uma conexão novamente.

• Verifique os contadores de lista de acesso. Algum deles aumentou? Elesdeveriam aumentar?

Para identificar e solucionar problemas do NAT, siga os passos seguintes:

• Use o comando show ip nat translations. Há alguma tradução? As traduçõessão como o esperado?

• Desmarque as traduções de NAT com o comando clear ip nat translation * etente acessar o recurso externo novamente.

• Use o comando debug ip nat e examine a saída.

• Observe o arquivo de configuração em execução. Os comandos ip nat inside eip nat outside estão localizados nas interfaces corretas? O conjunto NAT estáconfigurado corretamente? A ACL está identificando os hosts corretamente?

Se as ACLs e a NAT estão funcionando como o esperado, o problema deve ser em umacamada mais alta.

Etapa 4. Identifique e solucione problemas de conectividade de protocolo de camadasuperior.

Embora possa haver conectividade de IP entre uma origem e um destino, problemasainda podem existir para um protocolo de camada superior específico, como FTP,HTTP ou Telnet. Estes protocolos estão no topo do transporte IP básico, mas estãosujeitos a problemas específicos de protocolo em relação a filtros de pacote e firewalls.É possível que tudo exceto email funcione entre uma determinada origem e um destino.

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 347/350

Identificar e solucionar um problema de conectividade de protocolo de camada superior exige um entendimento do processo do protocolo. Estas informações normalmente estãolocalizadas no RFC mais recente para o protocolo ou na página da Web dodesenvolvedor.

Exibir meio visual 

Página 4:

Corrigindo problemas de camada de aplicativo

As etapas para corrigir problemas de camada de aplicativo são as seguintes:

Etapa 1: Faça backup. Antes de continuar, verifique se uma configuração válida foisalva em algum dispositivo no qual a configuração possa ser modificada. Isto facilita arecuperação a um estado inicial conhecido.

Etapa 2: Faça uma mudança de configuração inicial de hardware ou software. Se acorreção exigir mais de uma alteração, faça uma alteração de cada vez.

Etapa 3: Avalie e documente cada alteração e os resultados. Se os resultados dequalquer etapa de solução de problemas não forem bem-sucedidos, desfaçaimediatamente as alterações. Se o problema for intermitente, espere para ver se o

 problema ocorre novamente antes de avaliar o efeito de qualquer alteração.

Etapa 4: Determine se a alteração resolve o problema. Verifique se a alteração defato resolve o problema sem introduzir nenhum problema novo. A rede deve voltar àoperação de linha de base e nenhum sintoma novo ou antigo deve ser observado. Se o

 problema não for resolvido, desfaça todas as alterações. Se forem descobertos problemas novos ou adicionais, modifique o plano de correção.

Etapa 5: Pare quando o problema for resolvido. Pare de fazer alterações quando o

 problema original for resolvido.

Etapa 6: Se necessário, obtenha assistência de recursos externos. Pode ser de umcolega de trabalho, um consultor ou o Cisco Technical Assistance Center (TAC). Emocasiões raras, pode necessário realizar um core dump, para criar uma saída de comandoque um especialista da Cisco Systems pode analisar.

Etapa 7: Documente. Depois que o problema for resolvido, documente a solução.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 348/350

Página 5:

Para concluir esta atividade com êxito, você precisa da documentação final da AtividadePT 8.1.2: Detecção de rede e documentação concluída anteriormente neste capítulo.

Esta documentação deve ter uma tabela de endereçamento e um diagrama de topologia precisos. Se você não tiver essa documentação, peça a seu instrutor versões precisas.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

8.5 Laboratórios do Capítulo8.5.1 Identificação e solução de problemas de rede da empresa 1

Página 1:

Foi solicitado que você corrija os erros de configuração na rede da empresa. Para estelaboratório, não use a proteção por login ou senha em nenhuma linha de console paraimpedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário.

Observação: Como este laboratório é cumulativo, você usará todo o conhecimento e astécnicas de solução de problemas aprendidas no material anterior para concluir estelaboratório com êxito.

Exibir meio visual 

Página 2:

Esta atividade é uma variação do Laboratório 8.5.1. O Packet Tracer pode não suportar 

todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 349/350

8.5.2 Identificação e solução de problemas de rede da empresa 2

Página 1:

Para este laboratório, não use a proteção por login ou senha em nenhuma linha deconsole para impedir o bloqueio acidental. Utilize ciscoccna em todas as senhas destelaboratório.

Observação: Como este laboratório é cumulativo, você usará todo o conhecimento e astécnicas de solução de problemas aprendidas no material anterior para concluir estelaboratório com êxito.

Exibir meio visual 

Página 2:

Esta atividade é uma variação do Laboratório 8.5.2. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

8.5.3 Identificação e solução de problemas de rede da empresa 3

Página 1:

Para este laboratório, não use a proteção por login ou senha em nenhuma linha deconsole para impedir o bloqueio acidental. Use ciscoccna para todas as senhas destecenário.

Observação: Como este laboratório é cumulativo, você usará todo o conhecimento e astécnicas de solução de problemas aprendidas no material anterior para concluir estelaboratório com êxito.

Exibir meio visual 

Página 2:

7/11/2019 39213134 CCNA Exploration 4 Modulo Acessando a WAN

http://slidepdf.com/reader/full/39213134-ccna-exploration-4-modulo-acessando-a-wan 350/350

Esta atividade é uma variação do Laboratório 8.5.3. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer nãosubstitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual 

8.6 Resumo do capítulo8.6.1 Resumo do capítulo

Página 1:

 Neste capítulo, você aprendeu que uma linha de base de rede é necessária paraidentificar e solucionar problemas de forma eficaz. Para criar uma linha de base, énecessário primeiro garantir que a documentação de rede esteja atualizada e precisa.Uma documentação de rede apropriada inclui uma tabela de configuração de rede paratodos os dispositivos e um diagrama de topologia que reflete o estado atual da rede.Quando a rede tiver sido documentada completamente, uma medição de linha de base

de desempenho da rede deve ser realizada por um período de várias semanas a um mês para estabelecer a personalidade da rede. A primeira linha de base é criada durante ummomento de funcionamento normal e estável.

O modo mais eficaz de solucionar problemas é realizar uma abordagem sistemáticausando um modelo de camadas, como o modelo OSI ou o modelo TCP/IP. Trêsmétodos geralmente usados para identificar e solucionar problemas inclui De baixo paracima, De cima para baixo, e Dividir e conquistar. Cada método tem suas vantagens edesvantagens e você aprendeu as diretrizes para escolher qual método deve aplicar.Você também aprendeu sobre as várias ferramentas de software e hardware que sãousadas por profissionais de rede para reunir sintomas e solucionar problemas de rede.

Embora eles funcionem principalmente nas três primeiras camadas de OSI, as WANstêm problemas de implementação que podem afetar a operação do resto da rede. Vocêaprendeu sobre algumas das considerações para implementar as WANs e os problemascomuns que as WANs introduzem nas redes, como ameaças de segurança, problemas delargura de banda, latência e problemas de QoS.

Por fim, você explorou os sintomas e as causas de problemas comuns em cada camadade OSI, e as etapas para identificar e solucionar os problemas.

Exibir meio visual