CCNA 4.0 - AW - 07 Serviços de endereçamento IP

Tema acessvel CISCO

Pgina 1 de 41

Alternar idioma para English | Pesquisar | Glossrio ndice do curso: 7 Servios de endereamento IP

Selecionar

CCNA Exploration - Acessando a WAN7 Servios de endereamento I P7.0 Introduo do captulo7.0.1 Introduo Pgina 1: A Internet e as tecnologias relacionadas ao IP passaram por um rpido crescimento. Uma razo para o crescimento deve-se, em parte, flexibilidade do design original. Entretanto, este design no previu a popularidade da Internet e a demanda resultante por endereos IP. Por exemplo, cada host e cada dispositivo na Internet exige um endereo do exclusivo IP verso 4 (IPv4). Devido ao drstico crescimento, o nmero de endereos IP disponveis est se esgotando. Para lidar com o esgotamento dos endereos IP, foram desenvolvidas diversas solues de curto prazo. As duas solues de curto prazo so os endereos privados e a Traduo de Endereo de Rede (NAT, Network Address Translation). Um host interno normalmente recebe seu endereo IP, mscara de sub-rede, endereo IP de gateway padro, endereo IP de servidor DNS e outras informaes de um servidor de Protocolo de Configurao de Host Dinmico (DHCP, Dynamic Host Configuration Protocol). Em vez de fornecer hosts internos com endereos IP de Internet vlidos, o servidor DHCP geralmente fornece endereos IP de um conjunto privado de endereos. O problema que estes hosts ainda podem exigir endereos IP vlidos para acessar os recursos da Internet. a que entra a NAT. A NAT permite que os hosts de rede internos obtenham temporariamente um endereo IP de Internet legtimo enquanto acessam os recursos da Internet. Quando o trfego solicitado retorna, o endereo IP legtimo adaptado e disponibilizado para a solicitao seguinte da Internet feita por um host interno. Usando a NAT, os administradores de rede precisam somente de um ou poucos endereos IP para serem fornecidos aos hosts pelo roteador, em vez de um endereo IP exclusivo para cada cliente que entra na rede. Embora parea ineficiente, o processo , na verdade, muito eficiente, porque o trfego do host acontece de forma muito rpida. Embora os endereos privados com o DHCP e a NAT tenham ajudado a reduzir a necessidade de endereos IP, estima-se que ns esgotaremos os endereos IPv4 exclusivos por volta de 2010. Por essa razo, em meados dos anos 90, o IETF solicitou propostas para um novo esquema de endereamento IP. O grupo de trabalho IP Next Generation (IPng, ltima Gerao de IP) reagiu. Por volta do ano de 1996, o IETF comeou a liberar diversas RFCs definindo o IPv6. O principal recurso do IPv6 sendo adotado hoje em dia o maior espao de endereo: os endereos no IPv6 possuem um tamanho de 128 bits contra os 32 bits do IPv4. Este captulo descreve como implementar o DHCP, a NAT e o IPv6 em redes corporativas. Exibir meio visual

7.1 DHCP7.1.1 Apresentando o DHCP Pgina 1: O que DHCP?

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCSer... 08/07/2011

Tema acessvel CISCO

Pgina 2 de 41

Cada dispositivo que se conecta a uma rede precisa de um endereo IP. Os administradores de rede atribuem endereos IP estticos a roteadores, servidores e a outros dispositivos de rede cujas localizaes (fsicas e lgicas) no tendem a mudar. Os administradores digitam os endereos IP estticos manualmente quando configuram os dispositivos para entrar na rede. Os endereos estticos tambm permitem que os administradores gerenciem tais dispositivos remotamente. Porm, os computadores em uma organizao mudam frequentemente de localizao, tanto fsica quanto logicamente. Os administradores no conseguem atribuir novos endereos IP cada vez que um funcionrio se muda para um escritrio ou cubculo diferente. Os clientes com desktop no exigem um endereo esttico. Em vez disso, uma estao de trabalho pode utilizar qualquer endereo dentro de um intervalo de endereos. Esse intervalo est normalmente dentro de uma sub-rede IP. Uma estao de trabalho dentro de uma sub-rede especfica pode receber qualquer endereo dentro de um intervalo especfico. Atribui-se um valor a outros itens, tais como a mscara de sub-rede, o gateway padro e o servidor do Sistema de Resoluo de Nome de Domnio (DNS, Domain Name System), valor esse que igual para a sub-rede ou para toda a rede administrada. Por exemplo, todos os hosts dentro da mesma sub-rede recebero endereos IP de host diferentes, mas recebero a mesma mscara de sub-rede e o mesmo endereo IP de gateway padro. Voc viu no CCNA Exploration, Fundamentos de rede, que o DHCP realiza o processo de atribuir novos endereos IP de modo quase transparente. O DHCP atribui endereos IP e outras informaes de configurao de rede importantes dinamicamente. Como os clientes com desktop geralmente compem o lote de ns de rede, o DHCP uma ferramenta que economiza tempo e extremamente til para os administradores de rede. A RFC 2131 descreve o DHCP. Os administradores normalmente preferem que um servidor de rede oferea servios de DHCP, porque tais solues so escalveis e relativamente fceis de gerenciar. Entretanto, em uma filial pequena ou local de SOHO, um roteador Cisco pode ser configurado para prestar servios de DHCP sem a necessidade de um servidor dedicado caro. Um conjunto de recursos do IOS Cisco chamado Easy IP oferece um servidor DHCP completo e opcional. Exibir meio visual

7.1.2 Operao de DHCP Pgina 1: Operao de DHCP A tarefa mais importante realizada por um servidor DHCP fornecer endereos IP aos clientes. O DHCP inclui trs mecanismos de alocao de endereo diferentes para fornecer flexibilidade ao atribuir endereos IP:z z

z

Alocao manual: O administrador atribui um endereo IP pr-alocado ao cliente e o DHCP somente comunica o endereo IP ao dispositivo. Alocao automtica: O DHCP atribui automaticamente um endereo IP esttico permanente a um dispositivo, selecionando-o de um conjunto de endereos disponveis. No existe emprstimo e o endereo atribudo permanentemente a um dispositivo. Alocao dinmica: O DHCP atribui ou empresta automtica e dinamicamente um endereo IP a partir de um conjunto de endereos por um perodo limitado escolhido pelo servidor, ou at que o cliente diga ao servidor DHCP que no precisa mais do endereo.

Esta seo aborda a alocao dinmica. O DHCP trabalha em um modo cliente/servidor e funciona como qualquer outra relao de cliente/servidor. Quando um PC se conecta a um servidor DHCP, o servidor atribui ou empresta um endereo IP a esse PC. O PC se conecta rede com esse endereo IP emprestado at que


Tema acessvel CISCO

Pgina 3 de 41

tal emprstimo expire. O host deve entrar em contato com o servidor DHCP periodicamente para estender o emprstimo. Este mecanismo de emprstimo assegura que os hosts que se mudam ou se desligam no se prendam a endereos dos quais no precisam. O servidor DHCP devolve esses endereos ao conjunto de endereos e os realoca conforme o necessrio. Clique no boto Deteco na figura. Quando o cliente inicializa ou deseja entrar de outro modo na rede, ele conclui quatro etapas para obteno de um emprstimo. Na primeira etapa, o cliente transmite uma mensagem DHCPDISCOVER em broadcast. A mensagem DHCPDISCOVER localiza os servidores DHCP na rede. Como o host no tem nenhuma informao de IP vlida na inicializao, ele utilizar os endereos de broadcast de L2 e L3 para comunicar-se com o servidor. Clique no boto Oferta na figura. Quando o servidor DHCP recebe uma mensagem DHCDISCOVER, ele localiza um endereo IP disponvel para emprstimo, cria uma entrada de ARP consistindo no endereo MAC do host solicitante e o endereo IP emprestado, e transmite uma oferta de associao com uma mensagem DHCPOFFER. A mensagem DHCPOFFER enviada como um unicast, utilizando o endereo MAC de L2 do servidor como o endereo de origem e o endereo de L2 do cliente como o destino. Nota: Sob certas circunstncias, a troca de mensagens do DHCP do servidor pode ser transmitida por broadcast e no por unicast. Clique no boto Solicitao na figura. Quando o cliente recebe o DHCPOFFER do servidor, ele retorna uma mensagem DHCPREQUEST. Essa mensagem tem dois objetivos: emprestar a origem, a renovao e a verificao. Quando usado para emprestar uma origem, o DHCPREQUEST do cliente est solicitando que as informaes de IP sejam verificadas logo aps sua atribuio. A mensagem fornece a verificao de erros para assegurar que a atribuio ainda seja vlida. O DHCPREQUEST tambm serve como um aviso de aceitao de associao para o servidor selecionado e uma recusa implcita a quaisquer outros servidores que possam ter enviado uma oferta de associao para o host. Muitas redes corporativas utilizam diversos servidores DHCP. A mensagem DHCPREQUEST enviada na forma de broadcast para informar este servidor DHCP e qualquer outro servidor DHCP sobre a oferta aceita. Clique no boto Confirmao na figura. Ao receber a mensagem DHCPREQUEST, o servidor verifica as informaes de emprstimo, cria uma nova entrada de ARP para o emprstimo do cliente e responde com uma mensagem DHCPACK de unicast. A mensagem DHCPACK uma duplicata da mensagem DHCPOFFER, exceto por uma mudana no campo de tipo de mensagem. Quando o cliente recebe a mensagem DHCPACK, ele registra as informaes de configurao e executa uma busca de ARP para o endereo atribudo. Caso no receba uma resposta, ele saber que o endereo IP vlido e comea a us-lo como seu. Os clientes emprestam as informaes do servidor por um perodo definido administrativamente. Os administradores configuram os servidores DHCP para definir os tempos limite dos emprstimos em intervalos diferentes. A maioria dos ISPs e grandes redes utiliza duraes de emprstimo padro de at trs dias. Quando o emprstimo expira, o cliente deve solicitar outro endereo, embora j receba normalmente a atribuio do mesmo endereo. A mensagem DHCPREQUEST tambm abrange o processo de DHCP dinmico. As informaes de IP enviadas no DHCPOFFER podem ter sido oferecidas a outro cliente durante a alocao dinmica. Cada servidor DHCP cria conjuntos de endereos IP e parmetros associados. Os


Tema acessvel CISCO

Pgina 4 de 41

conjuntos so dedicados a sub-redes IP lgicas e individuais. Os conjuntos permitem a resposta de diversos servidores DHCP e a mobilidade dos clientes de IP. Caso haja resposta de diversos servidores, um cliente poder escolher apenas uma das ofertas. Exibir meio visual

7.1.3 BOOTP e DHCP Pgina 1: BOOTP e DHCP O Protocolo Boostrap (BOOTP, Bootstrap Protocol), definido na RFC 951, o antecessor do DHCP e compartilha algumas caractersticas operacionais. O BOOTP um modo de fazer o download do endereo e inicializar as configuraes para estaes de trabalho sem disco. Uma estao de trabalho sem disco no possui um disco rgido ou um sistema operacional. Por exemplo, muitos sistemas de caixa registradora automatizados em seu supermercado local so exemplos de estaes de trabalho sem disco. O DHCP e o BOOTP so baseados em cliente/servidor e usam as portas UDP 67 e 68. Essas portas so conhecidas ainda como portas de BOOTP. O DHCP e BOOTP possuem dois componentes, conforme mostrado na figura. O servidor um host com um endereo IP esttico que aloca, distribui e gerencia o IP e as atribuies dos dados de configurao. Cada alocao (o IP e os dados de configurao) armazenada no servidor em um conjunto de dados chamado de associao. O cliente qualquer dispositivo que utiliza o DHCP como um mtodo para obter o endereamento IP ou informaes de configurao de suporte. Para entender as diferenas funcionais entre o BOOTP e o DHCP, considere os quatro parmetros de IP bsicos necessrios para unir uma rede:z z z z

Endereo IP Endereo de gateway Mscara de sub-rede Endereo do servidor DNS

Existem trs diferenas principais entre o DHCP e o BOOTP:z

z

z

A principal diferena que o BOOTP foi criado para a pr-configurao manual das informaes de host em um banco de dados de servidor, enquanto o DHCP permite uma alocao dinmica de endereos de rede e configuraes para hosts recentemente anexados. Quando um cliente de BOOTP solicita um endereo IP, o servidor de BOOTP procura uma tabela predefinida para uma entrada que corresponda ao endereo MAC para o cliente. Se houver uma entrada, o endereo IP correspondente a essa entrada ser devolvido ao cliente. Isso significa que a associao entre o endereo MAC e o endereo IP j deve ter sido configurada no servidor de BOOTP. O DHCP permite a recuperao e a realocao de endereos de rede atravs de um mecanismo de emprstimo. Especificamente, o DHCP define os mecanismos pelos quais podem ser atribudos aos clientes um endereo IP por um perodo de emprstimo finito. Este perodo de emprstimo permite uma nova atribuio posterior do endereo IP a outro cliente, ou que o cliente obtenha outra atribuio caso se mude para outra sub-rede. Os clientes tambm podem renovar os emprstimos e manter o mesmo endereo IP. O BOOTP no utiliza emprstimos. Seus clientes reservaram o endereo IP que no pode ser atribudo a qualquer outro host. O BOOTP fornece uma quantidade limitada de informaes a um host. O DHCP fornece parmetros de configurao de IP adicionais, tais como o WINS e o nome de domnio.

Exibir meio visual


Tema acessvel CISCO

Pgina 5 de 41

Pgina 2: Formato de mensagem DHCP Os desenvolvedores de DHCP precisaram manter a compatibilidade com o BOOTP e, consequentemente, utilizaram o mesmo formato de mensagem BOOTP. Entretanto, como o DHCP possui mais funcionalidades que o BOOTP, o campo de opes do DHCP foi adicionado. Ao comunicar-se com clientes de BOOTP mais antigos, o campo de opes do DHCP ignorado. A figura mostra o formato de uma mensagem de DHCP. Os campos so:z

z

z z z z

z

z

z z

z

z z

z

z

Cdigo de operao (OP, Operation Code) - Especifica o tipo genrico da mensagem. Um valor de 1 indica uma mensagem de solicitao; um valor de 2 indica uma mensagem de resposta. Tipo de hardware - Identifica o tipo de hardware utilizado na rede. Por exemplo, 1 a Ethernet, 15 o Frame Relay e 20 uma linha serial. Esses so os mesmos cdigos utilizados nas mensagens de ARP. Tamanho do endereo de hardware - 8 bits para especificar o tamanho do endereo. Saltos - Definido como 0 por um cliente antes de transmitir uma solicitao e utilizado por agentes de retransmisso para controlar o encaminhamento de mensagens do DHCP. Identificador de transaes - Identificao de 32 bits gerada pelo cliente para permitir a correspondncia da solicitao com as respostas recebidas dos servidores DHCP. Segundos - Nmero de segundos decorridos desde que um cliente comeou a obter ou renovar um emprstimo. Servidores DHCP ocupados utilizam este nmero para priorizar as respostas quando diversas solicitaes do cliente estiverem pendentes. Flags (sinalizadores) - Apenas um dos 16 bits utilizado, o qual a flag (sinalizador) de broadcast. Um cliente que no conhece seu endereo IP ao enviar uma solicitao, define a flag em 1. Esse valor diz ao servidor DHCP ou agente de retransmisso que recebe a solicitao que ele deve enviar a resposta em forma de broadcast. Endereo IP do cliente - O cliente coloca seu prprio endereo IP neste campo somente se tiver um endereo IP vlido enquanto estiver no estado associado; caso contrrio, ele define o campo em 0. O cliente somente pode utilizar esse campo quando seu endereo for realmente vlido e utilizvel, no durante o processo de obteno de um endereo. Seu endereo IP - O endereo IP que o servidor atribui ao cliente. Endereo IP do servidor - Endereo do servidor que o cliente deve utilizar para a prxima etapa no processo de bootstrap, que pode ou no ser o servidor que envia essa resposta. O servidor de origem sempre inclui seu prprio endereo IP em um campo especial chamado de opo de DHCP do Identificador de Servidor. Endereo IP de gateway - Faz o roteamento das mensagens de DHCP quando os agentes de retransmisso de DHCP esto envolvidos. O endereo de gateway facilita as comunicaes de solicitaes e respostas de DHCP entre o cliente e um servidor que estejam em sub-redes ou redes diferentes. Endereo de hardware de cliente - Especifica a camada fsica do cliente. Nome de servidor - O servidor que envia uma mensagem DHCPOFFER ou DHCPACK pode opcionalmente colocar seu nome neste campo. Esse nome pode ser um apelido de texto simples ou um nome de domnio de DNS, tal como dhcpserver.netacad.net. Nome de arquivo de inicializao - Utilizado opcionalmente por um cliente para solicitar um tipo especfico de arquivo de inicializao em uma mensagem DHCPDISCOVER. Utilizado por um servidor em uma mensagem DHCPOFFER para especificar por completo um diretrio de arquivos de inicializao e um nome de arquivo. Opes - Contm as opes de DHCP, incluindo os diversos parmetros necessrios para a operao bsica de DHCP. Esse campo varia em tamanho. Tanto o cliente quanto o servidor podem utilizar esse campo.

Exibir meio visual


Tema acessvel CISCO

Pgina 6 de 41

Pgina 3: Mtodos de deteco e oferta de DHCP Estas figuras fornecem detalhes do contedo do pacote das mensagens de deteco e oferta do DHCP. Quando um cliente deseja entrar na rede, ele solicita os valores de endereamento do servidor DHCP da rede. Se um cliente estiver configurado para receber suas configuraes de IP dinamicamente, ele transmitir uma mensagem DHCPDISCOVER em sua sub-rede fsica local quando for inicializado ou quando perceber uma conexo de rede ativa. Como o cliente no tem como saber a sub-rede para a qual ele pertence, o DHCPDISCOVER ser um broadcast de IP (endereo IP de destino de 255.255.255.255). O cliente no possui um endereo IP configurado, desse modo o endereo IP de origem de 0.0.0.0 utilizado. Como pode ver na figura, o endereo IP do cliente (CIADDR), o endereo de gateway padro (GIADDR) e a mscara de sub-rede esto marcadas com pontos de interrogao. Clique no boto Oferta de DHCP na figura. O servidor DHCP gerencia a alocao dos endereos IP e responde s solicitaes de configurao dos clientes. Quando o servidor DHCP recebe a mensagem DHCPDISCOVER, ele responde com uma mensagem DHCPOFFER. Esta mensagem contm as informaes de configurao iniciais para o cliente, incluindo o endereo MAC do cliente, seguido pelo endereo IP que o servidor oferece, a mscara de sub-rede, a durao do emprstimo e o endereo IP do servidor DHCP que faz a oferta. A mscara de sub-rede e o gateway padro so especificados no campo de opes: opes de mscara de sub-rede e de roteador, respectivamente. A mensagem DHCPOFFER pode ser configurada para incluir outras informaes, como o tempo de renovao do emprstimo, o servidor de nomes de domnio e o Nome Servio NetBIOS (Microsoft Windows Internet Name Service [Microsoft WINS]). O servidor determina a configurao com base no endereo de hardware do cliente, conforme especificado no campo CHADDR. Conforme mostrado no diagrama, o servidor DHCP respondeu mensagem DHCPDISCOVER atribuindo os valores ao CIADDR e mscara de sub-rede. Os administradores configuraram os servidores DHCP para que atribuam os endereos de conjuntos predefinidos. A maioria dos servidores DHCP tambm permitem que o administrador defina especificamente quais endereos MAC do cliente podem ser atendidos e os atribui sempre ao mesmo endereo IP automaticamente. O DHCP utiliza o Protocolo de Datagrama do Usurio (UDP, User Datagram Protocol) como seu protocolo de transporte. O cliente envia mensagens ao servidor na porta 67. O servidor envia mensagens ao cliente na porta 68. O cliente e o servidor confirmam as mensagens e o processo concludo. O cliente somente define o CIADDR quando um host estiver em um estado associado, o que significa que o cliente confirmou e est utilizando o endereo IP. Para obter mais informaes sobre o DHCP, veja a seo "Cisco IOS DHCP Server" no site: http://www.cisco.com/en/US/docs/ios/12_0t/12_ot1/feature/guide/Easyip2.html (em ingls). Exibir meio visual

7.1.4 Configurando um servidor DHCP


Tema acessvel CISCO

Pgina 7 de 41

Pgina 1: Configurando um servidor DHCP Roteadores Cisco que executam o software IOS Cisco fornecem suporte completo para que um roteador atue como um servidor DHCP. O servidor DHCP do IOS Cisco atribui e gerencia endereos IP de conjuntos de endereos especificados dentro do roteador para clientes DHCP. As etapas para configurar um roteador como um servidor DHCP so as seguintes: Etapa 1. Definir um intervalo de endereos que o DHCP no deve alocar. Esses endereos so endereos estticos geralmente reservados para a interface do roteador, endereo IP de gerenciamento de switch, servidores e impressoras de rede locais. Etapa 2. Criar o conjunto de endereos DHCP utilizando o comando ip dhcp pool. Etapa 3. Configurar as especificidades do conjunto. Voc deve especificar os endereos IP que o servidor DHCP no deve atribuir aos clientes. Normalmente, alguns endereos IP pertencem a dispositivos de rede estticos, tais como servidores ou impressoras. O DHCP no deve atribuir esses endereos IP a outros dispositivos. Uma prtica recomendada configurar endereos excludos no modo de configurao global antes de criar o conjunto de endereos DHCP. Isto garante que o DHCP no atribuir acidentalmente os endereos reservados. Para excluir os endereos especficos, utilize o comando ip dhcp excluded-address. Clique no boto Conjunto de endereos DHCP na figura. A configurao de um servidor DHCP envolve a definio de um conjunto de endereos a serem atribudos. O comando ip dhcp pool cria um conjunto com o nome especificado e coloca o roteador no modo de configurao de DHCP, o qual identificado pelo prompt Router(dhcpconfig)#. Clique no boto Tarefas DHCP na figura. Esta figura relaciona as tarefas para concluir a configurao do conjunto de endereos DHCP. Algumas delas so opcionais, enquanto as outras devem ser configuradas. Voc deve configurar os endereos disponveis e especificar o nmero e mscara de rede da sub-rede do conjunto de endereos de DHCP. Utilize o comando network para definir o intervalo de endereos disponveis. Voc tambm deve definir o gateway padro ou o roteador a serem utilizados pelos clientes com o comando default-router. Normalmente, o gateway a interface de rede local do roteador. necessrio um endereo, mas voc pode listar at oito endereos. Os comandos seguintes do conjunto de endereos DHCP so considerados opcionais. Por exemplo, voc pode configurar o endereo IP do servidor DNS que est disponvel para um cliente DHCP usando o comando dns-server. Quando configurado, necessrio um endereo, mas voc pode listar at oito endereos. Outros parmetros incluem a configurao da durao do emprstimo de DHCP. A configurao padro definitiva, mas voc pode alter-la usando o comando lease. Voc tambm pode configurar um servidor NetBIOS WINS disponvel para um cliente DHCP da Microsoft. Normalmente, isto seria configurado em um ambiente que suporta os clientes anteriores ao Windows 2000. Como a maioria das instalaes agora possuem clientes com o sistema operacional do Windows mais recente, esse parmetro no exigido. Clique no boto Exemplo de DHCP na figura.


Tema acessvel CISCO

Pgina 8 de 41

Esta figura exibe um exemplo de configurao com os parmetros de DHCP bsicos configurados no roteador R1. Desabilitando o DHCP O servio de DHCP habilitado por padro nas verses do software IOS Cisco que podem suport-lo. Para desabilitar o servio, utilize o comando no service dhcp. Utilize o comando de configurao global service dhcp para reabilitar o processo do servidor DHCP. Habilitar o servio no ter efeito algum se os parmetros no estiverem configurados. Exibir meio visual

Pgina 2: Verificando o DHCP Para ilustrar como um roteador Cisco pode ser configurado para fornecer servios de DHCP, consulte a figura. O PC1 no foi ativado e, desse modo, no possui um endereo IP. O roteador R1 foi configurado com os seguintes comandos: ip dhcp excluded-address 192.168.10.1 192.168.10.9 ip dhcp excluded-address 192.168.10.254 ip dhcp pool LAN-POOL-1 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 domain-name span.com Para verificar a operao do DHCP, utilize o comando show ip dhcp binding. Esse comando exibe uma lista de todas as associaes de endereos IP a endereos MAC que foram fornecidas pelo servio de DHCP. Para verificar quais mensagens esto sendo recebidas ou enviadas pelo roteador, utilize o comando show ip dhcp server statistics. Esse comando exibe informaes de contagem relacionadas ao nmero de mensagens de DHCP que foram enviadas e recebidas. Clique no boto DHCP-1 na figura. Como voc pode ver na figura, atualmente no existem associaes ou estatsticas sendo exibidas. Agora, suponha que o PC1 foi ativado e concluiu seu processo de inicializao. Clique no boto DHCP-2 na figura. Observe que as informaes de associao mostram agora que o endereo IP da 192.168.10.10 foi associado a um endereo MAC. As estatsticas tambm exibem a atividade do DHCPDISCOVER, DHCPREQUEST, DHCPOFFER e DHCPACK. Clique no boto Cliente DHCP na figura. O comando ipconfig /all exibe os parmetros configurados do TCP/IP no PC1. Como o PC1 foi conectado ao segmento de rede 192.168.10.0 /24, ele recebeu automaticamente um endereo IP, um sufixo DNS e o gateway padro daquele conjunto. No exigida nenhuma configurao de interface DHCP. Se um PC for conectado a um segmento de rede que tenha um conjunto de endereos DHCP disponvel, ele poder obter um endereo IP automaticamente. Assim, como o PC2 recebe um endereo IP? O roteador R1 teria que ser configurado para fornecer um conjunto de endereos DHCP de 192.168.11.0 /24 conforme segue:


Tema acessvel CISCO

Pgina 9 de 41

ip dhcp excluded-address 192.168.11.1 192.168.11.9 ip dhcp excluded-address 192.168.11.254 ip dhcp pool LAN-POOL-2 network 192.168.11.0 255.255.255.0 default-router 192.168.11.1 domain-name span.com Quando o PC2 concluir seu processo de inicializao, ele recebe um endereo IP para o segmento de rede para o qual est conectado. Clique no boto DHCP-3 na figura. Observe que as associaes de DHCP agora indicam que dois hosts receberam endereos IP. As estatsticas de DHCP tambm refletem a troca de mensagens de DHCP. Outro comando til para exibir os diversos conjuntos o comando show ip dhcp pool. Clique no boto Conjuntos de endereos DHCP na figura. Esse comando resume as informaes do conjunto de endereos DHCP. Exibir meio visual

7.1.5 Configurando um cliente DHCP Pgina 1: Configurando um cliente DHCP Geralmente, pequenos roteadores de banda larga para uso local, tais como roteadores Linksys, podem ser configurados para conectar-se a um ISP utilizando um DSL ou um modem a cabo. Na maioria dos casos, pequenos roteadores locais so configurados para adquirir um endereo IP automaticamente de seus ISPs. Por exemplo, a figura mostra a pgina de configurao de WAN padro para um roteador WRVS4400N Linksys. Observe que o tipo de conexo da Internet definido como Configurao Automtica - DHCP. Isso significa que, quando o roteador est conectado a um modem a cabo, por exemplo, ele ser um cliente DHCP e solicitar um endereo IP do ISP. s vezes, os roteadores Cisco em SOHO e filiais devem ser configurados de uma maneira semelhante. O mtodo utilizado depende do ISP. Entretanto, em sua configurao mais simples, a interface Ethernet utilizada para se conectar a um modem a cabo. Para configurar uma interface Ethernet como um cliente DHCP, o comando ip address dhcp dever ser configurado. Clique no boto Cliente DHCP na figura. Na figura, suponha que um ISP foi configurado para fornecer a alguns clientes endereos IP do intervalo da 209.165.201.0 / 27. A sada do comando confirma o endereo atribudo. Exibir meio visual

7.1.6 Retransmisso DHCP Pgina 1: O que a retransmisso DHCP? Em uma rede hierrquica complexa, os servidores da empresa ficam geralmente em uma farm de servidores. Esses servidores podem fornecer os servios de DHCP, DNS, TFTP e FTP aos


Tema acessvel CISCO

Pgina 10 de 41

clientes. O problema que os clientes de rede geralmente no esto na mesma sub-rede que tais servidores. Portanto, os clientes devem localizar os servidores para receber os servios, e esses servios geralmente so localizados com o uso de mensagens de broadcast. Na figura, PC1 est tentando adquirir um endereo IP do servidor DHCP localizado em 192.168.11.5. Neste cenrio, o roteador R1 no est configurado como um servidor DHCP. Clique no boto Problema de host na figura. Na figura, o PC1 est tentando renovar seu endereo IP. Para faz-lo, o comando ipconfig /release emitido. Observe que o endereo IP lanado e o endereo atual 0.0.0.0. Em seguida o comando ipconfig /renew emitido. Esse comando faz o host iniciar a transmisso de uma mensagem DHCPDISCOVER por broadcast. No entanto, PC1 no pode localizar o servidor DHCP. O que acontece quando o servidor e o cliente esto separados por um roteador e, desse modo, no esto no mesmo segmento de rede? Lembre-se de que os roteadores no encaminham broadcasts. Nota: Alguns clientes do Windows possuem um recurso chamado Endereamento IP privado automtico (APIPA, Automatic Private IP Addressing). Com esse recurso, um computador com Windows pode atribuir automaticamente a si mesmo um endereo IP no intervalo de 169.254.x.x no caso de um servidor DHCP no estar disponvel ou no existir na rede. Para piorar as coisas, o DHCP no o nico servio essencial que utiliza os broadcasts. Por exemplo, os roteadores Cisco e outros dispositivos podem utilizar broadcasts para localizar os servidores TFTP ou para localizar um servidor de autenticao, como o servidor TACACS. Para solucionar esse problema, um administrador poderia adicionar servidores DHCP a todas as sub-redes. Entretanto, a execuo desses servios em vrios computadores cria uma sobrecarga de custo e administrativa. Uma soluo mais simples configurar o recurso de endereo auxiliar do IOS Cisco nos roteadores e switches intermedirios. Essa soluo habilita os roteadores para que encaminhem broadcasts de DHCP aos servidores DHCP. Quando um roteador encaminha atribuies de endereos/solicitaes de parmetros, ele est agindo como um agente de retransmisso de DHCP. Por exemplo, PC1 transmitiria uma solicitao por broadcast para localizar um servidor DHCP. Se o roteador R1 estivesse configurado como um agente de retransmisso de DHCP, ele interceptaria essa solicitao e a encaminharia ao servidor DHCP localizado na sub-rede 192.168.11.0. Para configurar o roteador R1 como um agente de retransmisso de DHCP, voc precisa configurar a interface mais prxima do cliente com o comando de configurao de interface ip helper-address. Esse comando retransmite as solicitaes de broadcast para os principais servios a um endereo configurado. Configure o endereo IP auxiliar na interface que recebe o broadcast. Clique no boto Configurao de retransmisso na figura. O roteador R1 agora est configurado como um agente de retransmisso de DHCP. Ele aceita as solicitaes de broadcast para o servio de DHCP e ento as encaminha como unicast ao endereo IP 192.168.11.5. Clique no boto Renovao de host na figura. Como voc pode ver, o PC1 agora pode adquirir um endereo IP do servidor DHCP. O DHCP no o nico servio que pode ser configurado no roteador para que ele faa a retransmisso. Por padro, o comando ip helper-address encaminha os seguintes oito servios


Tema acessvel CISCO

Pgina 11 de 41

de UDP:z z z z z z z z

Porta 37: Tempo Porta 49: TACACS Porta 53: DNS Porta 67: Servidor DHCP/BOOTP Porta 68: Cliente DHCP/BOOTP Porta 69: TFTP Porta 137: servio de nomes NetBIOS Porta 138: servio de datagrama NetBIOS

Para espec ar as portas adic ific ionais, utilize o c omando ip forward-protocol para espec ar ific exatamente quais tipos de pac otes de broadc sero enc ast aminhados. Exibir meio visual

7.1.7 Configurando um servidor DHCP usando o SDM Pgina 1: Configurando um servidor DHCP usando o SDM Os roteadores Cisc tambm podem ser c o onfigurados c omo um servidor DHCP utilizando o SDM. Neste exemplo, o roteador R1 ser c onfigurado c omo o servidor DHCP nas interfac Fa0/0 e es Fa0/1. Clique no boto Tarefas de DHCP na figura. A funo do servidor DHCP habilitada em Additional Tasks [Tarefas adic ionais] na guia Configure [Configurar]. Na lista de tarefas, c lique na pasta DHCP e selec ione Conjuntos de endereos DHCP para adic ionar um novo c onjunto. Clique em Adicionar para c o novo riar c onjunto de endereos DHCP. Clique no boto Adicionar conjunto na figura. A janela Adic ionar c onjunto de endereos DHCP c ontm as opes nec essrias para c onfigurar o c onjunto de endereos IP do DHCP. Os endereos IP designados pelo servidor DHCP so tirados de um c onjunto c omum. Para c onfigurar o c onjunto, espec ifique o endereo IP inic e o ial endereo IP final do intervalo. O SDM Cisc c o onfigura o roteador para que ele exc automatic lua amente o endereo IP da interfac de rede loc do c e al onjunto. Voc no deve usar o endereo IP de rede ou sub-rede ou o endereo de broadc na rede no intervalo de endereos que voc espec ar. ast ific Se voc prec isar exc os outros endereos IP no intervalo, poder faz-lo ajustando os luir endereos IP inic e final. Por exemplo, se voc prec ial isar exc os endereos IP de luir 192.168.10.1 at 192.168.10.9, definir o endereo IP inic c ial omo 192.168.10.10. Isso permite que o roteador c omec a atribuio de endereos c 192.168.10.10. e om As outras opes disponveis so:z

z z

Servidor DNS 1 e Servidor DNS 2 - O servidor DNS , geralmente, um servidor que mapeia um nome de dispositivo c onhec c seu endereo IP. Se voc tiver um servidor ido om DNS c onfigurado para sua rede, digite aqui o endereo IP para o servidor. Se houver outro servidor DNS na rede, voc poder digitar neste c ampo o endereo IP para esse servidor. Servidor WINS 1 e Servidor WINS 2 - Relembra que a c onfigurao WINS geralmente est em ambientes que suportam c lientes anteriores ao Windows 2000. Importar todas as opes de DHCP para o banco de dados do servidor DHCP -


Tema acessvel CISCO

Pgina 12 de 41

Permite importar as opes de DHCP de um servidor de nvel mais alto e usado geralmente em c onjunto c um servidor DHCP da Internet. Essa opo permite que voc om rec eba informaes de nveis mais altos sem ter que fazer essa c onfigurao para esse c onjunto.

Clique no boto Conjuntos de endereos DHCP na figura. Esta tela fornec um resumo dos c e onjuntos c onfigurados em seu roteador. Neste exemplo, dois c onjuntos foram c onfigurados, um para c ada interfac Fast Ethernet no roteador R1. e Exibir meio visual

7.1.8 Identificao e soluo de problemas de DHCP Pgina 1: Identificao e soluo de problemas de configurao de DHCP Podem surgir problemas no DHCP por diversos motivos, tais c omo defeitos de software nos sistemas operac ionais, nos drivers da plac de rede ou nos agentes de retransmisso a DHCP/BOOTP, mas os mais c omuns so os problemas de c onfigurao. Devido ao nmero de reas potenc ialmente problemtic nec as, essrio uma abordagem sistemtic para identific e a ar soluc ionar os problemas. Identificao e soluo de problemas Tarefa 1: Solucionar conflitos de endereos IP O emprstimo de um endereo IP pode expirar para um c liente que ainda esteja c onec tado a uma rede. Se o c liente no renovar o emprstimo, o servidor DHCP poder atribuir novamente aquele endereo IP para outro c liente. Quando o c liente fizer a reinic ializao, um endereo IP ser solic itado. Se o servidor DHCP no responder rapidamente, o c liente usar o ltimo endereo IP. Oc orre, assim, uma situao em que dois c lientes utilizam o mesmo endereo IP, c riando um c onflito. Oc omando show ip dhcp conflict exibe todos os c onflitos de endereo registrados pelo servidor DHCP. O servidor usa o c omando ping para detec os c tar onflitos. O c liente usa o Protoc de olo resoluo de endereos (ARP, Address Resolution Protoc para detec os c ol) tar lientes. Se um c onflito de endereos for detec tado, o endereo ser removido do c onjunto e no ser atribudo at que um administrador soluc ione o c onflito. Este exemplo exibe o mtodo de detec o e hora da detec o para todos os endereos IP oferec idos pelo servidor DHCP que entraram em c onflito c outros dispositivos. om R2# show ip dhcp conflict IP address Detec tion Method Detec tion time 192.168.1.32 Ping Feb 16 2007 12:28 PM 192.168.1.64 Gratuitous ARP Feb 23 2007 08:12 AM Identificao e soluo de problemas - Tarefa 2: Verificar a conectividade fsica Primeiro, use o c omando show interfaceinterface para c onfirmar se a interfac do roteador que e est agindo c omo o gateway padro para o c liente est operac ional. Se o estado da interfac no e estiver ativo, a porta no transmitir o trfego, inc lusive as solic itaes do c liente DHCP. Identificao e soluo de problemas Tarefa 3: Teste de conectividade de rede configurando uma estao de trabalho do cliente com um endereo IP esttico


Tema acessvel CISCO

Pgina 13 de 41

Ao identificar e solucionar qualquer problema do DHCP, verifique a conectividade da rede configurando um endereo IP esttico em uma estao de trabalho do cliente. Se a estao de trabalho no puder alcanar os recursos de rede com um endereo IP estaticamente configurado, isso significar que a fonte do problema no o DHCP. Neste ponto, a identificao e soluo de problemas de conectividade de rede necessria. Identificao e soluo de problemas Tarefa 4: Verificar configuraes de porta do switch (Portfast STP e outros comandos) Se o cliente DHCP no puder obter um endereo IP do servidor DHCP na inicializao, tente obter um endereo IP do servidor DHCP forando manualmente o cliente a enviar uma solicitao DHCP. Se houver um switch entre o cliente e o servidor DHCP, verifique que se a porta possui uma PortFast STP habilitada e se o entroncamento/distribuio de canais est desabilitado. A configurao padro a PortFast desabilitada e o entroncamento/distribuio em canais automtico, se aplicvel. Essas mudanas de configurao solucionam os problemas mais comuns do cliente DHCP que ocorrem na instalao inicial de um switch Catalyst. Rever a seo CCNA Exploration: Comutao de rede local e de rede sem fio pode auxiliar na resoluo desse problema. Identificao e soluo de problemas Tarefa 5: Distinguir se os clientes DHCP obtm o endereo IP na mesma sub-rede ou VLAN que o servidor DHCP importante distinguir se o DHCP est funcionando corretamente quando o cliente estiver na mesma sub-rede ou VLAN que o servidor DHCP. Se o DHCP estiver funcionando corretamente, o problema poder ser o agente de retransmisso do DHCP/BOOTP. Se o problema persistir mesmo com o teste do DHCP na mesma sub-rede ou VLAN que o servidor DHCP, o problema poder estar, de fato, no servidor DHCP. Exibir meio visual

Pgina 2: Verificar a configurao de retransmisso DHCP/BOOTP do roteador Quando o servidor DHCP estiver localizado em uma rede local separada do cliente, a interface do roteador que estiver de frente para o cliente dever ser configurada para retransmitir as solicitaes DHCP. Isso realizado configurando o endereo IP auxiliar. Se o endereo IP auxiliar no for configurado corretamente, as solicitaes do cliente DHCP no sero encaminhadas ao servidor DHCP. Siga as seguintes etapas para verificar a configurao do roteador: Etapa 1. Verifique se o comando ip helper-address est configurado na interface correta. Ele deve estar presente na interface de entrada da rede local que contm as estaes de trabalho do cliente DHCP e deve ser direcionado ao servidor DHCP correto. Na figura, a sada do comando show running-config verifica se o endereo IP de retransmisso DHCP est denominando o endereo do servidor DHCP em 192.168.11.5. Etapa 2. Verifique se o comando de configurao global no service dhcp no foi configurado. Esse comando desabilita o servidor DHCP e a funcionalidade de retransmisso no roteador. O comando service dhcp no aparece na configurao porque ele a configurao padro. Exibir meio visual

Pgina 3:


Tema acessvel CISCO

Pgina 14 de 41

Verificar se o roteador est recebendo solicitaes DHCP usando os comandos debug. Em roteadores configurados como servidores DHCP, o processo de DHCP falhar se o roteador no receber as solicitaes do cliente. Como uma tarefa de identificao e soluo de problemas, verifique se o roteador est recebendo a solicitao DHCP do cliente. Essa etapa de identificao e soluo de problemas envolve a configurao de uma lista de controle de acesso para a sada do comando de depurao. A lista de controle de acesso da depurao no atrapalha o roteador. No modo de configurao global, crie a seguinte lista de controle de acesso: access-list 100 permit ip host 0.0.0.0 host 255.255.255.255 Inicie a depurao usando o ACL 100 como o parmetro de definio. No modo exec, digite o seguinte comando debug: debug ip packet detail 100 A sada do comando na figura mostra que o roteador est recebendo as solicitaes DHCP do cliente. O endereo IP de origem 0.0.0.0 porque o cliente ainda no tem um endereo IP. O destino 255.255.255.255 porque a mensagem de deteco do DHCP do cliente um broadcast. As portas de origem e destino de UDP, 68 e 67, so as portas tpicas usadas para o DHCP. Essa sada do comando mostra somente um resumo do pacote e no o pacote em si. Portanto, no ser possvel determinar se o pacote est correto. No entanto, o roteador recebeu um pacote de broadcast com as portas IP e UDP de origem e destino corretas para o DHCP. Verificar se o roteador est recebendo e encaminhando as solicitaes DHCP usando o comando debug ip dhcp server packet Um comando til para identificar e solucionar os problemas da operao de DHCP o comando debug ip dhcp server events. Esse comando reporta os eventos do servidor, como as atribuies de endereo e as atualizaes do banco de dados. Ele tambm usado para decodificar as recepes e as transmisses do DHCP. Exibir meio visual

Pgina 4: O DHCP atribui endereos IP e outras informaes de configurao de rede importantes dinamicamente. Os roteadores Cisco podem usar o conjunto de recursos do IOS Cisco, Easy IP, como um servidor DHCP opcional com todos os recursos. Por padro, o Easy IP empresta configuraes por 24 horas. Nesta atividade, voc ir configurar os servios DHCP em dois roteadores e testar a sua configurao. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

7.2 Dimensionando redes com NAT7.2.1 Endereamento IP privado e pblico Pgina 1: Todos os endereos de Internet pblicos devem ser registrados com um Registro de internet


Tema acessvel CISCO

Pgina 15 de 41

regional (RIR, Regional Internet Registry). As organizaes podem emprestar os endereos pblic de um ISP. Somente o proprietrio registrado de um endereo pblic de internet pode os o atribuir esse endereo a um dispositivo de rede. Voc deve ter observado que todos os exemplos neste c urso utilizam um nmero um pouc o restrito de endereos IP. Voc tambm deve ter observado a semelhana entre esses nmeros e os nmeros que voc usou em uma rede pequena para exibir as pginas de instalao da web de muitas marc de impressoras, do DSL e de roteadores a c as abo, bem c omo de outros perifric os. Eles so endereos de internet privados reservados retirados dos trs bloc mostrados na os figura. Esses endereos podem ser usados somente em redes internas e privadas. A RFC 1918 espec a que os endereos privados no devem ser roteados pela Internet. Os endereos ific privados so desc ritos, s vezes, c omo " no roteveis." Entretanto, os pac otes c endereos om privados podem ser roteados dentro de redes interc onec tadas privadas. Diferentemente dos endereos IP pblic os endereos IP privados so um bloc reservado de os, o nmeros que podem ser usados por qualquer um. Isso signific que duas redes ou dois milhes a de redes podem usar os mesmos endereos privados. Para proteger a estrutura de endereos da Internet pblic os ISPs geralmente c a, onfiguram os roteadores de borda para impedir que o trfego endereado exc lusivamente a eles seja enc aminhado pela Internet. Ao fornec um maior espao de endereos do que a maioria das organizaes pode obter er atravs de um RIR, o endereamento privado c onfere s empresas uma flexibilidade c onsidervel no design da rede. Isso permite a obteno de esquemas de endereamento operac ional e administrativamente c onvenientes, alm de um c resc imento mais fc il. Entretanto, c omo no possvel rotear endereos privados pela Internet e c omo no existem endereos pblic sufic os ientes para permitir que as organizaes forneam um host para todos, as redes prec isam que um mec anismo traduza os endereos privados para endereos pblic os na extremidade de sua rede que func ionar em ambas as direes. Na ausnc de um sistema de ia traduo, os hosts privados de um roteador na rede de uma organizao no podem c onec tar-se a hosts privados de um roteador em outras organizaes pela Internet. A Traduo de endereos de rede (NAT, Network Address Translation) fornec esse mec e anismo. Antes da NAT, um host c um endereo privado no podia ac om essar a Internet. Usando a NAT, as empresas individuais podem designar a alguns ou todos os seus hosts c endereos om privados e usar a NAT para fornec ac er esso Internet. Para obter uma viso mais detalhada sobre o desenvolvimento do sistema RIR, ac esse o artigo do Cisc Internet Protoc Journal no site o ol http://www.c o.c isc om/web/about/ac 123/ac 147/arc hived_issues/ipj_44/regional_internet_registries.html. Exibir meio visual

7.2.2 O que NAT? Pgina 1: O que NAT? A NAT c omo a rec ionista de um grande esc epc ritrio. Suponha que voc deixou instrues c om a rec ionista para que ela no enc epc aminhe nenhuma ligao a menos que voc pea. Mais tarde, voc liga para um c liente potenc e deixa uma mensagem para que ele retorne a ligao. ial Voc diz rec ionista que voc est esperando uma ligao desse c epc liente e pede para que ela faa a transfernc da c ia hamada. Oc liente liga para o nmero princ ipal para seu esc ritrio, que o nic nmero que ele c o onhec e. Quando o c liente disser rec ionista quem ele proc epc ura, a rec ionista verific uma tabela epc ar de pesquisa que c orresponde seu nome ao seu ramal. A rec ionista sabe que voc pediu essa epc


Tema acessvel CISCO

Pgina 16 de 41

chamada; portanto, ela encaminha a pessoa que efetuou a chamada para seu ramal. Assim, enquanto o servidor DHCP designa os endereos IP dinmicos para os dispositivos dentro da rede, os roteadores habilitados pela NAT retm um ou muitos endereos IP de Internet vlidos fora da rede. Quando o cliente enviar pacotes pela rede, a NAT traduzir o endereo IP interno do cliente para um endereo externo. Para usurios externos, todo o trfego destinado para a rede e proveniente dela possui o mesmo endereo IP ou vem do mesmo conjunto de endereos. A NAT tem muitos usos, mas o principal salvar os endereos IP, permitindo que as redes usem os endereos IP privados. A NAT traduz endereos privados, no roteveis e internos em endereos pblicos e externos. A NAT tem um benefcio adicional de proporcionar um nvel maior de privacidade e segurana para uma rede porque ela oculta endereos IP internos de redes externas. Um dispositivo habilitado para NAT funciona normalmente na borda de uma rede stub. Em nosso exemplo, o R2 o roteador de borda. Uma rede stub uma rede que tem uma nica conexo com sua rede vizinha. Como visto no ISP, o R2 forma uma rede stub. Quando um host dentro da rede stub, por exemplo PC1, PC2 ou PC 3, deseja transmitir um pacote para um host externo, esse pacote encaminhado para R2, o roteador de gateway de borda. O R2 executa o processo de NAT, traduzindo o endereo privado interno do host para um endereo pblico, rotevel e externo. Na terminologia de NAT, a rede interna o conjunto de redes que esto sujeitas traduo. A rede externa se refere a todos os outros endereos. Os endereos IP possuem designaes diferentes dependendo de estarem na rede privada ou na rede pblica (Internet) e de o trfego estar chegando ou saindo. Clique no boto Terminologia na figura. A figura mostra como referir-se s interfaces ao configurar a NAT. Suponha que o roteador R2 foi configurado para fornecer os recursos da NAT. Ele possui um conjunto de endereos publicamente disponveis para emprestar aos hosts internos. Esta seo utiliza os seguintes termos ao discutir a NAT:z

z

z z

Endereo local interno - Geralmente no um endereo IP atribudo por um RIR ou operadora, sendo mais provavelmente um endereo privado da RFC 1918. Na figura, o endereo IP 192.168.10.10 est atribudo ao PC1 host na rede interna. Endereo global interno - Um endereo pblico vlido que o host interno recebe quando sai do roteador da NAT. Quando o trfego de PC1 destinado para o servidor web em 209.165.201.1, o roteador R2 dever traduzir o endereo. Nesse caso, o endereo IP 209.165.200.226 usado como o endereo global interno para o PC1. Endereo global externo - Endereo IP pblico vlido atribudo a um host na Internet. Por exemplo, o servidor web pode ser alcanado no endereo IP 209.165.201.1. Endereo local externo - O endereo IP local atribudo a um host na rede externa. Na maioria das situaes, esse endereo ser idntico ao endereo global externo do dispositivo externo.

Nota: Neste curso, faremos referncia ao endereo local interno, ao endereo global interno e ao endereo global externo. O uso do endereo local externo est fora do escopo deste curso. O "interno" de uma configurao de NAT no sinnimo de endereos particulares como eles so definidos pela RFC 1918. Embora os endereos "internos" sejam, geralmente, endereos privados, a NAT pode fazer a traduo entre endereos pblicos "externos" e "internos". Exibir meio visual


Tema acessvel CISCO

Pgina 17 de 41

Pgina 2: Como a NAT funciona? Neste exemplo, um host interno (192.168.10.10) deseja se comunicar com um servidor web externo (209.165.201.1). Ele envia um pacote a R2, o gateway de borda configurado para NAT da rede. Use os controles na figura para iniciar a animao. R2 l o endereo IP de origem do pacote e verifica se o pacote corresponde aos critrios especificados para traduo. R2 possui uma ACL que identifica a rede interna como hosts vlidos para traduo. Portanto, ele traduz um endereo IP local interno para um endereo IP global interno que, neste caso, 209.165.200.226. Ele armazena esse mapeamento de endereo local para endereo global na tabela de NAT. Em seguida, o roteador envia o pacote a seu destino. Quando o servidor web responde, o pacote volta ao endereo global de R2 (209.165.200.226). R2 consulta a sua tabela de NAT e verifica que esse era um endereo IP que foi traduzido anteriormente. Portanto, ele traduz o endereo global interno para o endereo local interno, e o pacote encaminhado ao PC1 no endereo IP 192.168.10.10. Se ele no localizar um mapeamento, o pacote ser descartado. Mapeamento dinmico e mapeamento esttico Existem dois tipos de traduo NAT: dinmica e esttica. A NAT dinmica utiliza um conjunto de endereos pblicos e os atribui por ordem de chegada. Quando um host com um endereo IP privado solicitar acesso Internet, a NAT dinmica escolher um endereo IP do conjunto que no estiver mais sendo usado por outro host. Esse o mapeamento descrito at ento. A NAT esttica usa um mapeamento exclusivo de endereos globais e locais, e tais mapeamentos permanecem constantes. A NAT esttica particularmente til para servidores web ou hosts que devam ter um endereo consistente que possa ser acessado da Internet. Esses hosts internos podem ser servidores corporativos ou dispositivos de redes interconectadas. Tanto a NAT esttica como a dinmica exigem que endereos pblicos suficientes estejam disponveis para atender ao nmero total de sesses de usurio simultneas. Para observar de outra maneira como a NAT dinmica funciona, acesse http://www.cisco.com/warp/public/556/nat.swf. Exibir meio visual

Pgina 3: Sobrecarga de NAT A sobrecarga de NAT (chamada vezes de Traduo de endereo de porta ou PAT) mapeia diversos endereos IP privados para um nico endereo IP pblico ou para alguns endereos. Isso o que a maioria dos roteadores locais fazem. Seu ISP atribui um endereo a seu roteador, mas vrios membros de sua famlia podem navegar na Internet simultaneamente. Com a sobrecarga de NAT, vrios endereos podem ser mapeados para um ou alguns endereos porque cada endereo privado tambm acompanhado por um nmero de porta. Quando um cliente abrir uma sesso de TCP/IP, o roteador de NAT atribuir um nmero de porta ao seu endereo de origem. A sobrecarga de NAT garante que os clientes utilizem um nmero de porta TCP diferente para cada sesso do cliente com um servidor na Internet. Quando uma


Tema acessvel CISCO

Pgina 18 de 41

resposta voltar do servidor, o nmero de porta de origem, que se torna o nmero de porta de destino na viagem de retorno, determinar para qual cliente o roteador ir rotear os pacotes. Ele tambm validar se os pacotes de entrada foram solicitados, acrescentando um grau de segurana sesso. Clique nos controles para iniciar e pausar a animao. Essa animao ilustra o processo. A sobrecarga de NAT utiliza nmeros de porta de origem exclusivos no endereo IP global interno para fazer a distino entre as tradues. Como o NAT processa cada pacote, ele usa um nmero de porta (neste exemplo, 1331 e 1555) para identificar o cliente do qual o pacote foi originado. O endereo de origem (SA, source address) o endereo IP local interno com o nmero de porta atribudo de TCP/IP anexado. O endereo de destino (DA, destination address) o endereo IP local externo com o nmero de porta de servio anexado, neste caso a porta 80: HTTP. No roteador de gateway de borda (R2), a sobrecarga de NAT altera o SA para o endereo IP global interno do cliente, novamente com o nmero de porta anexado. O DA o mesmo endereo, mas agora est sendo chamado de endereo IP global externo. Quando o servidor web responder, o mesmo caminho ser seguido, mas ao contrrio. Os nmeros de porta so codificados em 16 bits. O nmero total de endereos internos que pode ser traduzido para um endereo externo pode ser, teoricamente, de 65.536 por cada endereo IP. Porm, na realidade, o nmero de endereos internos que pode ser atribudo a um nico endereo IP cerca de 4.000. Clique no boto Prxima porta disponvel na figura. No exemplo anterior, os nmeros de porta de cliente nos dois SAs, 1331 e 1555, no se alteram no gateway de borda. Esse cenrio no muito provvel, pois existe uma grande chance de que esses nmeros possam j ter sido anexados s outras sesses em andamento. A sobrecarga de NAT tenta preservar a porta de origem inicial. Porm, se essa porta de origem j estiver sendo usada, a sobrecarga de NAT atribuir o primeiro nmero de porta disponvel do incio do grupo de portas apropriado: 0-511, 512-1023 ou 1024-65535. Quando no houver mais nenhuma porta disponvel e houver mais de um endereo IP externo configurado, a sobrecarga de NAT ir para o prximo endereo IP para tentar alocar a porta de origem inicial novamente. Esse processo continuar at que as portas disponveis e os endereos IP externos acabem. Na figura, ambos os hosts escolheram o mesmo nmero de porta 1444. Isso aceitvel para o endereo interno, porque ambos tm endereos IP privados exclusivos. Entretanto, no gateway de borda, os nmeros de porta precisam ser alterados, caso contrrio os dois pacotes dos dois hosts deixariam o R2 com o mesmo endereo de origem. A sobrecarga de NAT deu ao segundo endereo o primeiro nmero de porta disponvel que, neste caso, o 1445. Diferenas entre a NAT e a sobrecarga de NAT Um resumo das diferenas entre a NAT e a sobrecarga de NAT facilitar sua compreenso. A NAT geralmente s traduz os endereos IP em uma correspondncia de 1:1 entre os endereos IP publicamente expostos e os endereos privativamente retidos. A sobrecarga de NAT modifica o endereo IP privado e o nmero de porta do remetente. A sobrecarga de NAT escolhe os nmeros de porta vistos pelos hosts na rede pblica. A NAT roteia os pacotes de entrada para seus destinos internos recorrendo ao endereo IP de origem de entrada dado pelo host na rede pblica. Com a sobrecarga de NAT, geralmente existe somente um ou muito poucos endereos IP publicamente expostos. Os pacotes de entrada da rede pblica so roteados aos seus destinos na rede privada por meio da consulta na tabela no dispositivo de sobrecarga de NAT que monitora os pares de portas pblicas e privadas. Isso chamado de monitoramento de conexo. Exibir meio visual


Tema acessvel CISCO

Pgina 19 de 41

7.2.3 Benefcios e desvantagens de usar a NAT Pgina 1: Benefcios e desvantagens de usar a NAT A NAT oferece muitos benefcios e vantagens. Porm, existem algumas desvantagens de us-la, inclusive a falta de suporte para alguns tipos de trfego. Os benefcios de usar a NAT incluem:z

z

z

z

A NAT conserva o esquema de endereamento legalmente registrado, permitindo a privatizao das intranets. A NAT conserva os endereos atravs da multiplexao de nvel de porta de aplicativo. Com sobrecarga de NAT, os hosts internos podem compartilhar um nico endereo IP pblico para todas as comunicaes externas. Neste tipo de configurao, so necessrios muito poucos endereos externos para suportar os muitos hosts internos. A NAT aumenta a flexibilidade das conexes com a rede pblica. Diversos conjuntos, conjuntos de backup e conjuntos de balanceamento de carga podem ser implementados para assegurar conexes de redes pblicas confiveis. A NAT fornece uma consistncia para esquemas de endereamento de rede internos. Em uma rede sem endereos IP privados e NAT, a mudana de endereos IP pblicos exige a renumerao de todos os hosts na rede existente. Os custos para renumerar hosts podem ser significativos. O NAT permite que o esquema existente permanea enquanto suporta um novo esquema de endereamento pblico. Isso significa que uma organizao poderia mudar os ISPs e no precisaria mudar nenhum de seus clientes internos. O NAT oferece segurana de rede. Como as redes privadas no anunciam seus endereos ou topologia interna, elas permanecem razoavelmente seguras quando usadas juntamente com a NAT para obter o acesso externo controlado. Porm, a NAT no substitui os firewalls.

Entretanto, a NAT apresenta algumas desvantagens. Vrios problemas so criados pelo fato de os hosts na Internet parecerem comunicar-se diretamente com o dispositivo de NAT, em vez de comunicar-se com o host real dentro da rede privada. Teoricamente, um endereo IP globalmente exclusivo pode representar hosts endereados privativamente. Isso pode ser vantajoso do ponto de vista da privacidade e segurana mas, na prtica, existem desvantagens. A primeira desvantagem afeta o desempenho. A NAT aumenta os atrasos da comutao porque a traduo de cada endereo IP dentro dos cabealhos do pacote demorada. O primeiro pacote comutado por processo, o que significa que ele sempre passa pelo caminho mais lento. O roteador deve observar todos os pacotes para decidir se eles precisam de traduo. O roteador precisa alterar o cabealho de IP e, possivelmente, alterar o cabealho de TCP ou UDP. Se existir uma entrada de cache, os pacotes restantes passam atravs do caminho que foi comutado rapidamente; caso contrrio, eles tambm so atrasados. Muitos protocolos e aplicativos de Internet dependem da funcionalidade fim-a-fim, com pacotes inalterados encaminhados da origem ao destino. Com a alterao dos endereos fim-a-fim, a NAT evita alguns aplicativos que utilizam o endereamento IP. Por exemplo, alguns aplicativos de segurana, como as assinaturas digitais, falham porque o endereo IP de origem muda. Os aplicativos que usam endereos fsicos em vez de um nome de domnio qualificado no alcanam os destinos que so traduzidos atravs do roteador de NAT. s vezes, esse problema pode ser evitado implementando mapeamentos de NAT estticos. A capacidade de rastreamento IP fim-a-fim tambm perdida. Torna-se muito mais difcil rastrear pacotes que passam por muitas mudanas de endereo ao longo dos diversos saltos da NAT, dificultando a identificao e soluo de problemas. Por outro lado, os hackers que querem


Tema acessvel CISCO

Pgina 20 de 41

determinar a origem de um pacote acham difcil rastrear ou obter a origem ou o endereo de destino. O uso da NAT tambm complica os protocolos de tunelamento, como o IPsec, porque ela modifica os valores nos cabealhos que interferem nas verificaes de integridade feitas pelo IPsec e por outros protocolos de tunelamento. Os servios que exigem a iniciao de conexes de TCP da rede externa ou protocolos sem estado, como os que usam o UDP, podem ser interrompidos. A menos que o roteador de NAT se esforce especificamente para suportar esses protocolos, os pacotes de entrada no podero chegar ao seu destino. Alguns protocolos podem acomodar uma instncia de NAT entre os hosts participantes (FTP no modo passivo, por exemplo), mas falham quando ambos os sistemas so separados da Internet pela NAT. Exibir meio visual

7.2.4 Configurando a NAT esttica Pgina 1: NAT esttica Lembre-se de que a NAT esttica um mapeamento exclusivo entre um endereo interno e um endereo externo. A NAT esttica permite conexes iniciadas por dispositivos externos para dispositivos internos. Por exemplo, voc pode desejar mapear um endereo global interno para um endereo local interno especfico que est atribudo ao seu servidor web. A configurao das tradues de NAT estticas uma tarefa simples. necessrio definir os endereos a serem traduzidos e, em seguida, configurar a NAT nas interfaces apropriadas. Os pacotes que chegam em uma interface do endereo IP definido esto sujeitos traduo. Os pacotes que chegam em uma interface externa, destinados para o endereo IP identificado, esto sujeitos traduo. A figura explica os comandos para cada etapa. Voc digita as tradues estticas diretamente na configurao. Diferentemente das tradues dinmicas, essas tradues sempre esto na tabela de NAT. Clique no boto Exemplo na figura. A figura uma configurao de NAT esttica simples aplicada em ambas as interfaces. O roteador sempre traduz os pacotes do host dentro da rede com o endereo privado de 192.168.10.254 em um endereo externo de 209.165.200.254. O host na Internet direciona as solicitaes da web ao endereo IP pblico 209.165.200.254, e o roteador R2 sempre encaminha esse trfego ao servidor em 192.168.10.254. Exibir meio visual

7.2.5 Configurando a NAT dinmica Pgina 1: Configurando a NAT dinmica Enquanto a NAT esttica fornece um mapeamento permanente entre um endereo interno e um endereo pblico especfico, a NAT dinmica mapeia os endereos IP privados para endereos pblicos. Esses endereos IP pblicos vm de um conjunto de NAT. A configurao de NAT dinmica diferente da NAT esttica, mas tambm apresenta algumas semelhanas. Assim como a NAT esttica, ela exige que a configurao identifique cada interface como uma interface interna ou externa. Entretanto, em vez de criar um mapa esttico para um nico endereo IP,


Tema acessvel CISCO

Pgina 21 de 41

utiliza-se um conjunto de endereos globais internos. Clique no boto Comandos na figura para ver as etapas e configurar a NAT dinmica. Para configurar a NAT dinmica, voc precisa de uma ACL para permitir somente os endereos que devem ser traduzidos. Ao desenvolver sua ACL, lembre-se de que h um negar todos implcito no final de cada ACL. Uma ACL muito permissiva pode levar a resultados imprevisveis. A Cisco no aconselha configurar as listas de controle de acesso indicadas pelos comandos NAT com o comando permit any. O uso do comando permit any pode fazer com que a NAT consuma muitos recursos do roteador, o que pode levar a problemas de rede. Clique no boto Exemplo na figura. Essa configurao permite a traduo para todos os hosts nas redes 192.168.10.0 e 192.168.11.0 quando elas gerarem o trfego que entrar em S0/0/0 e sair de S0/1/0. Esses hosts so traduzidos para um endereo disponvel no intervalo de 209.165.200.226 - 209.165.200.240. Exibir meio visual

7.2.6 Configurando a sobrecarga de NAT Pgina 1: Configurando a sobrecarga de NAT para um nico endereo IP pblico Existem duas maneiras possveis de configurar a sobrecarga, dependendo de como o ISP aloca os endereos IP pblicos. Em primeiro lugar, o ISP aloca um endereo IP pblico para a organizao e, em seguida, aloca mais de um endereo IP pblico. A figura mostra as etapas a serem seguidas para configurar a sobrecarga de NAT com um nico endereo IP. Com somente um endereo IP pblico, a configurao da sobrecarga geralmente atribui esse endereo pblico interface externa que se conecta ao ISP. Todos os endereos internos so traduzidos para o nico endereo IP ao deixar a interface externa. Clique no boto Comandos na figura para ver as etapas para configurar a sobrecarga de NAT. A configurao semelhante NAT dinmica. A diferena que, em vez de um conjunto de endereos, a palavra-chave interface usada para identificar o endereo IP externo. Portanto, nenhum conjunto de NAT foi definido. A palavra-chave sobrecarga permite adicionar o nmero da porta traduo. Clique no boto Exemplo na figura. Este exemplo mostra como a sobrecarga de NAT configurada. No exemplo, todos os hosts da rede 192.168.0.0 /16 (correspondentes ACL 1) que enviam o trfego atravs do roteador R2 para a Internet so traduzidos para o endereo IP 209.165.200.225 (endereo IP S0/1/0 da interface). Como a palavra-chave sobrecarga foi usada, os fluxos de trfego foram identificados pelos nmeros de porta. Exibir meio visual

Pgina 2: Configurando a sobrecarga de NAT para um conjunto de endereos IP pblicos No cenrio onde o ISP fornecer mais de um endereo IP pblico, a sobrecarga de NAT ser configurada para usar um conjunto. A principal diferena entre essa configurao e a configurao para a NAT dinmica e exclusiva que ela usa a palavra-chave sobrecarga. Lembre-se de que a palavra-chave sobrecarga permite a traduo de endereo de porta.


Tema acessvel CISCO

Pgina 22 de 41

Clique no boto Comandos na figura para ver as etapas da configurao da sobrecarga de NAT usando um conjunto de endereos. Clique no boto Exemplo na figura. Neste exemplo, a configurao estabelece a traduo de sobrecarga para o conjunto de NAT, NAT-POOL2. O conjunto de NAT contm os endereos 209.165.200.226 - 209.165.200.240 e traduzido usando PAT. Os hosts na rede 192.168.0.0 /16 esto sujeitos traduo. Por fim, as interfaces interna e externa so identificadas. Exibir meio visual

7.2.7 Configurando o encaminhamento de porta Pgina 1: Encaminhamento de porta O encaminhamento de porta (s vezes chamado de tunelamento) o ato de encaminhar uma porta de rede de um n de rede para outro. Essa tcnica permite que um usurio externo alcance uma porta em um endereo IP privado (dentro de uma rede local) do endereo externo atravs de um roteador habilitado pela NAT. Geralmente, os programas e as principais operaes de compartilhamento de arquivos ponto a ponto, como o FTP de servio e de sada da web, exigem que as portas do roteador sejam encaminhadas ou abertas para permitir o funcionamento desses aplicativos. Como a NAT oculta os endereos internos, o ponto a ponto s funciona no sentido contrrio onde a NAT pode mapear as solicitaes de sada de registro em relao s respostas de entrada. O problema que a NAT no permite que as solicitaes sejam iniciadas do exterior. Essa situao pode ser resolvida com uma interveno manual. O encaminhamento de porta permite identificar as portas especficas que podem ser encaminhadas para os hosts internos. Lembre-se de que os aplicativos de software da Internet interagem com portas de usurio que precisam estar abertas ou disponveis para esses aplicativos. Diferentes aplicativos usam diferentes portas. Por exemplo, a Telnet usa a porta 23, o FTP usa as portas 20 e 21, o HTTP usa a porta 80 e o SMTP usa a porta 25. Isso torna previsvel a identificao dos servios de rede pelos aplicativos e roteadores. Por exemplo, o HTTP opera pela porta 80, que conhecida. Quando voc digita o endereo http://cisco.com, o navegador exibe o site da Cisco Systems, Inc. Observe que ns no precisamos especificar o nmero de porta HTTP para as solicitaes de pgina porque o aplicativo supe a porta 80. Configurando o encaminhamento de porta O encaminhamento de porta permite que os usurios na Internet acessem os servidores internos usando o endereo de porta de WAN e o nmero de porta externo correspondente. Quando os usurios enviam esses tipos de solicitaes para seu endereo IP de porta de WAN pela Internet, o roteador encaminha essas solicitaes aos servidores apropriados em sua rede local. Por questes de segurana, os roteadores de banda larga no permitem, por padro, que seja encaminhada nenhuma solicitao de rede externa para um host interno. Por exemplo, a figura est exibindo a janela Encaminhamento de porta simples de um roteador de SOHO de classe de negcios, Linksys WRVS4400N. Atualmente, o encaminhamento de porta no est configurado. Clique no boto Exemplo de encaminhamento de porta na figura. Voc pode habilitar o encaminhamento de porta para os aplicativos e especificar o endereo local


Tema acessvel CISCO

Pgina 23 de 41

interno para o qual encaminhar as solicitaes. Por exemplo, na figura, as solicitaes de servio do HTTP que chegam ao Linksys so encaminhadas, neste momento, para o servidor web com o endereo local interno de 192.168.1.254. Se o endereo IP WAN externo do roteador de SOHO for 209.165.200.158, o usurio externo poder digitar http://209.165.200.158 e o roteador de Linksys redirecionar a solicitao de HTTP para o servidor web interno no endereo IP 192.168.1.254, usando o nmero de porta 80 padro. Ns podemos especificar uma porta diferente da porta padro 80. Entretanto, o usurio externo teria que saber o nmero de porta especfico a ser usado. A abordagem que voc adota para configurar o encaminhamento de porta depende da marca e modelo do roteador de banda larga na rede. Porm, existem algumas etapas genricas a serem seguidas. Se as instrues fornecidas pelo seu ISP ou que vieram com o roteador no fornecerem uma orientao adequada, o site www.portforward.com oferece guias para diversos roteadores de banda larga. Voc pode seguir as instrues para adicionar ou excluir portas conforme o necessrio para que as necessidades de qualquer aplicativo que voc deseja aceitar ou rejeitar sejam atendidas. Exibir meio visual

7.2.8 Verificando, identificando e solucionando problemas das configuraes de NAT Pgina 1: Verificando a NAT e a sobrecarga de NAT importante verificar a operao de NAT. Existem vrios comandos de roteador teis para exibir e apagar as tradues de NAT. Este tpico explica como verificar a operao de NAT usando as ferramentas disponveis nos roteadores Cisco. Um dos comandos mais teis ao verificar a operao de NAT o comando show ip nat translations. Antes de usar os comandos show para verificar a NAT, voc deve apagar as entradas de traduo dinmica que ainda estejam presentes porque, por padro, as tradues dinmicas de endereo expiram da tabela de traduo NAT aps um perodo de falta de uso. Na figura, o roteador R2 foi configurado para fornecer a sobrecarga de NAT aos clientes de 192.168.0.0 /16. Quando os hosts internos saem do roteador R2 para a Internet, eles so traduzidos para o endereo IP da interface serial com um nmero de porta de origem exclusivo. Suponha que os dois hosts na rede interna acessaram os servios da web pela Internet. Clique no boto Tradues de NAT na figura. Observe que a sada do comando show ip nat translations exibe os detalhes das duas atribuies de NAT. Adicionar verbose ao comando exibir as informaes adicionais sobre cada traduo, inclusive h quanto tempo a entrada foi criada e usada. O comando exibe todas as tradues estticas que foram configuradas, alm das tradues dinmicas que foram criadas pelo trfego. Cada traduo identificada atravs do protocolo e atravs dos endereos locais e globais, internos e externos. Clique no boto Estatsticas de NAT na figura. O comando show ip nat statistics exibe informaes sobre o nmero total de tradues ativas, os parmetros de configurao de NAT, quantos endereos esto no conjunto e quantos foram alocados. Na figura, os hosts iniciaram o trfego da web, alm do trfego ICMP.


Tema acessvel CISCO

Pgina 24 de 41

Como alternativa, use o comando show run e procure a NAT, a lista de comandos de acesso, a interface ou comandos de conjunto com os valores exigidos. Examine-os cuidadosamente e corrija os erros que encontrar. Por padro, a traduo expira depois de 24 horas, a menos que os temporizadores sejam reconfigurados com o comando ip nat translation timeouttimeout_ seconds no modo de configurao global. Clique no boto NAT apagado na figura. s vezes til apagar as entradas dinmicas antes do tempo padro. Isso especialmente verdadeiro ao testar a configurao de NAT. Para apagar as entradas dinmicas antes de o tempo limite expirar, use comando global clear ip nat translation. A tabela na figura est exibindo os vrios modos de apagar as tradues de NAT. Voc pode especificar qual traduo apagar ou pode apagar todas as tradues da tabela usando o comando global clear ip nat translation *, como mostrado no exemplo. Somente as tradues dinmicas so apagadas da tabela. As tradues estticas no podem ser apagadas da tabela de traduo. Exibir meio visual

Pgina 2: Identificao e soluo de problemas de configurao da NAT e da sobrecarga de NAT Quando voc tiver problemas de conectividade IP em um ambiente de NAT, geralmente difcil determinar suas causas. A primeira etapa da resoluo do problema excluir a NAT como a causa. Siga estas etapas para verificar se a NAT est funcionando como esperado: Etapa 1. Com base na configurao, defina claramente o que a NAT deve alcanar. Isso pode revelar um problema com a configurao. Etapa 2. Verifique se as tradues corretas se encontram na tabela usando o comando show ip nat translations. Etapa 3. Use os comandos clear e debug para verificar se a NAT est funcionando conforme o esperado. Verifique se as entradas dinmicas so recriadas depois de serem apagadas. Etapa 4. Observe detalhadamente o que acontece com o pacote e verifique se os roteadores possuem as informaes de roteamento corretas para mover o pacote. Use o comando debug ip nat para verificar a operao do recurso de NAT exibindo as informaes sobre os pacotes que so traduzidos pelo roteador. O comando debug ip nat detailed gera uma descrio de cada pacote considerado para traduo. Esse comando tambm exibe informaes sobre certos erros ou condies de exceo, como a falha para alocar um endereo global. A figura apresenta uma amostra da sada do comando debug ip nat. Na sada do comando, possvel observar que o host interno 192.168.10.10 iniciou o trfego para o host externo 209.165.200.254 e foi traduzido para o endereo 209.165.200.225. Ao decodificar a sada do comando da depurao, observe o que os smbolos e valores seguintes indicam:z

* - O asterisco prximo NAT indica que a traduo est ocorrendo no caminho de comutao rpida. O primeiro pacote em uma conversao sempre comutado por processo, o que mais lento. Se existir uma entrada de cache, os pacotes restantes


Tema acessvel CISCO

Pgina 25 de 41

z z z z

passam atravs do caminho que foi comutado rapidamente. s= - Refere-se ao endereo IP de origem. a.b.c.d---> w.x.y.z - Indica que o endereo de origem a.b.c.d traduzido para w.x.y.z. d= - Refere-se ao endereo IP de destino. [xxxx] - O valor em colchetes o nmero de identificao IP. Essas informaes podem ser teis para a depurao porque elas habilitam a correlao com outros rastros de pacote de analisadores de protocolo.

Voc pode ver as seguintes demonstraes sobre como verificar, identificar e solucionar problemas da NAT nestes locais: Flash Animation Case Study: Can Ping Host, but Cannot Telnet: Animao em flash com durao de sete minutos sobre por que um dispositivo pode executar ping no host, mas no pode usar a telnet: http://www.cisco.com/warp/public/556/index.swf. Flash Animation Case Study: Cannot Ping Beyond NAT: Animao em flash com durao de dez minutos sobre como um dispositivo no pode executar ping alm da NAT: http://www.cisco.com/warp/public/556/TS_NATcase2/index.swf. Exibir meio visual

Pgina 3: A NAT traduz endereos privados, no roteveis e internos em endereos pblicos, roteveis. A NAT tem um benefcio adicional de proporcionar um nvel de privacidade e segurana para uma rede porque ela oculta endereos IP internos de redes externas. Nesta atividade, voc configurar a NAT dinmica e esttica. So fornecidas instrues detalhadas na atividade, bem como no link do arquivo PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

7.3 IPv67.3.1 Motivos para usar o IPv6 Pgina 1: Por que precisamos de mais espao de endereo Para compreender os problemas de endereamento IP que atingem os administradores de rede, considere que o espao de endereo do IPv4 fornece, aproximadamente, 4.294.967.296 endereos exclusivos. Desses, apenas 3,7 bilhes de endereos podem ser atribudos porque o sistema de endereamento do IPv4 separa os endereos em classes e reserva os endereos para multicast, teste e outros usos especficos. Com base nos nmeros de janeiro de 2007, aproximadamente 2,4 bilhes dos endereos de IPv4 disponveis j foram atribudos a usurios finais ou ISPs. Isso deixa aproximadamente 1,3 bilho de endereos ainda disponveis do espao de endereos do IPv4. Apesar desse nmero aparentemente grande, o espao de endereos do IPv4 est acabando. Clique no boto Reproduzir na figura para ver a rapidez desses acontecimentos durante os ltimos 14 anos. Na ltima dcada, a comunidade da Internet analisou o esgotamento dos endereo do IPv4 e


Tema acessvel CISCO

Pgina 26 de 41

publicou pilhas de relatrios. Alguns relatrios preveem o esgotamento dos endereos de IPv4 por volta de 2010 e outros dizem que isso no acontecer at 2013. Clique no boto Reduo na figura para ver como o espao de endereos disponveis est sendo reduzido. O crescimento da Internet, aliado ao aumento do poder da computao, aumentou o alcance dos aplicativos baseados em IP. Clique no boto Por que o IPv6 na figura e pense sobre o que est levando a uma mudana para o IPv6. O conjunto de nmeros est sendo reduzido pelos seguintes motivos:z

z

z

z

Crescimento da populao - A populao da Internet est crescendo. Em novembro de 2005, a Cisco estimou que havia 973 milhes de usurios aproximadamente. Esse nmero dobrou desde ento. Alm disso, os usurios ficam online por mais tempo, reservando os endereos IP por perodos mais longos e entrando em contato com cada vez mais pontos diariamente. Usurios mveis - A indstria produziu mais de um bilho de telefones celulares. Foram produzidos mais de 20 milhes de dispositivos mveis habilitados para IP, inclusive assistentes digitais pessoais (PDAs, personal digital assistants), canetas digitais, blocos de notas e leitores de cdigos de barra. Cada vez mais dispositivos mveis habilitados para IP ficam online todos os dias. Os telefones celulares antigos no precisavam de endereos IP, mas os novos precisam. Transporte - Haver mais de um bilho de automveis por volta de 2008. Os modelos mais novos so habilitados para IP para permitir que a monitorao remota fornea uma manuteno e suporte em tempo hbil. A Lufthansa j fornece a conectividade da Internet em seus voos. Mais operadoras, incluindo os navios, fornecero servios semelhantes. Equipamentos eletrnicos - Os dispositivos mais novos permitem a monitorao remota usando a tecnologia IP. So exemplos os gravadores de vdeo digital (DVRs, Digital Video Recorder), que fazem o download de guias de programas e os atualizam pela Internet. As redes locais podem conectar esses dispositivos.

Exibir meio visual

Pgina 2: Motivos para usar o IPv6 O movimento para mudar do IPv4 para o IPv6 j comeou, especialmente na Europa, Japo e na regio da sia-Pacfico. Essas reas esto esgotando seus endereos IPv4 distribudos, o que torna o IPv6 ainda mais atraente e necessrio. O movimento foi oficialmente iniciado no Japo no ano 2000, quando o governo japons determinou a incorporao do IPv6 e definiu o prazo final para 2005 para que se atualizassem os sistemas existentes em todos os negcios e no setor pblico. A Coreia, China e Malsia tiveram iniciativas semelhantes. Em 2002, a IPv6 Task Force da Comunidade Europeia formou uma aliana estratgica para encorajar a adoo do IPv6 em todo o mundo. A IPv6 Task Force norte-americana comeou a exigir que os mercados norte-americanos adotassem o IPv6. Os primeiros avanos significativos nos Estados Unidos so provenientes do Departamento de Defesa Norte-Americano (DoD, U.S Department of Defense). Prevendo o futuro e conhecendo as vantagens de dispositivos habilitados para IP, o DoD designou, j em 2003, que todos os novos equipamentos comprados, alm de serem habilitados para IP, fossem habilitados tambm para o IPv6. Na realidade, todos os rgos pblicos norte-americanos devem comear a usar o IPv6 em suas redes principais por volta de 2008, e eles esto trabalhando para cumprir com esse prazo. A capacidade de dimensionar as redes para as demandas futuras requer um fornecimento


Tema acessvel CISCO

Pgina 27 de 41

ilimitado de endereos IP e uma mobilidade aprimorada que o DHCP e a NAT sozinhos no c onseguem atingir. O IPv6 satisfaz os requisitos c ada vez mais c omplexos do endereamento hierrquic que o IPv4 no fornec o e. Devido enorme base instalada do IPv4 no mundo, no difc avaliar que a transio das il implantaes do IPv4 para o IPv6 seja um desafio. Entretanto existe uma variedade de tc as, nic inc lusive uma opo de c onfigurao automtic para fazer a transio de modo mais fc O a, il. mec anismo de transio usado por voc depender das nec essidades de sua rede. A figura c ompara as representaes binrias e alfanumric dos endereos do IPv4 e do IPv6. as Um endereo IPv6 um valor binrio de 128 bits que pode ser exibido c omo 32 dgitos hexadec imais. O IPv6 deve fornec endereos sufic er ientes para as nec essidades do c resc imento futuro da Internet por muitos anos. Existem endereos IPv6 sufic ientes para aloc mais do que o ar espao de endereos de Internet do IPv4 inteiro a todas as pessoas do mundo. Clique no boto Perspectiva na figura. Ento, o que ac ontec c o IPv5? O IPv5 foi usado para definir um protoc experimental de eu om olo streaming em tempo real. Para evitar qualquer c onfuso, foi dec idido no usar o IPv5 e nomear o novo protoc IP c olo omo IPv6. Exibir meio visual

Pgina 3: O IPv6 no existiria no fosse o esgotamento rec onhec de endereos IPv4 disponveis. ido Porm, alm do maior espao de endereos IP, o desenvolvimento do IPv6 apresentou oportunidades para aplic as lies aprendidas a partir das limitaes do IPv4 para c um ar riar protoc c rec olo om ursos novos e aprimorados. Uma arquitetura de c abealho e uma operao de protoc simplific olo ados se traduzem em gastos operac ionais reduzidos. Os rec ursos de segurana integrados signific prtic de segurana am as mais fc eis, extremamente ausentes em muitas redes atuais. Entretanto, talvez a melhoria mais signific ativa oferec pelo IPv6 sejam os rec ida ursos de autoc onfigurao que ele possui. A Internet est evoluindo rapidamente de uma c oleo de dispositivos fixos para uma rede fluida de dispositivos mveis. O IPv6 permite que os dispositivos mveis adquiram e faam a transio rapidamente entre endereos c onforme eles se movem entre redes externas, sem que haja nec essidade de um agente externo. (Um agente externo um roteador que pode func ionar c omo o ponto de anexo para um dispositivo mvel quando for de sua rede loc para uma rede al externa.) A autoc onfigurao de endereo tambm signific uma c a onec tividade de rede plug and play mais slida. A autoc onfigurao suporta c lientes que tenham qualquer c ombinao de c omputadores, impressoras, c meras digitais, rdios digitais, telefones IP, dispositivos domstic habilitados os para a Internet e brinquedos eletrnic c os onec tados s suas redes loc ais. Muitos fabric antes j integram o IPv6 em seus produtos. Muitos dos aprimoramentos oferec idos pelo IPv6 so explic ados nesta seo, inc luindo:z z z z

Endereamento IP aprimorado Cabealho simplific ado Mobilidade e segurana Riqueza de transio

Endereamento IP aprimorado Um espao maior de endereo oferec vrios aprimoramentos, inc e luindo:


Tema acessvel CISCO

Pgina 28 de 41

z z z

z z z z

Melhor ac essibilidade e flexibilidade globais. Melhor agregao de prefixos de IP anunc iados nas tabelas de roteamento. Hosts multihome. Multihoming uma tc a para aumentar a c nic onfiabilidade da c onexo da Internet de uma rede IP. Com o IPv6, um host pode ter vrios endereos IP sobre um link upstream fsic Por exemplo, um host pode c o. onec tar-se a vrios ISPs. A autoc onfigurao, que pode inc endereos de c luir amada de enlac de dados no espao e de endereo. Mais opes de plug and play para mais dispositivos. Reendereamento pblic o-para-privado e fim-a-fim sem traduo de endereos. Ele torna a rede ponto a ponto (P2P) mais func ional e mais fc de ser implantada. il Mec anismos simplific ados para renumerao e modific ao do endereo.

Clique no boto Cabealho simples na figura. A figura c ompara a estrutura de c abealho de IPv6 simplific ada ao c abealho de IPv4. O c abealho de IPv4 possui 20 oc tetos e 12 c ampos de c abealho bsic seguidos por um c os, ampo de opes e uma poro de dados (normalmente o segmento de Camada de transporte). O c abealho de IPv6 possui 40 oc tetos, trs c ampos de c abealho bsic de IPv4 e c o c os inc ampos de c abealho adic ionais. Oc abealho simplific ado de IPv6 oferec vrias vantagens c relao ao IPv4: e omz z z z z

Melhor efic inc de roteamento para desempenho e esc ia alabilidade de taxa de enc aminhamento Ausnc de broadc ia asts e, desse modo, ausnc de ameaas de broadc storms ia ast Sem nec essidade de proc essar c ksums hec Mec anismos de c abealho de extenso simplific ados e mais efic ientes Rtulos de fluxo para proc essamento por fluxo sem a nec essidade de abrir o pac ote interno de transporte para identific os diversos fluxos de trfego ar

Mobilidade e segurana aprimoradas A mobilidade e a segurana ajudam a garantir a c onformidade c a func om ionalidade dos padres de IP mveis e Segurana IP (IPsec A mobilidade permite que as pessoas c dispositivos de ). om rede mveis, muitas c c om onec tividade sem fio, movam-se entre as redes.z

z

O padro de IP mvel da IETF est disponvel para o IPv4 e o IPv6. Ele permite que os dispositivos mveis se movam em c onexes de rede estabelec idas sem interrupes. O dispositivos mveis usam um endereo sec undrio para obter essa mobilidade. Com o IPv4, esses endereos so c onfigurados manualmente. Com o IPv6, as c onfiguraes so dinmic dando uma mobilidade integrada aos dispositivos habilitados para Ipv6. as, O IPsec est disponvel para IPv4 e IPv6. Embora as func ionalidades sejam essenc ialmente idntic em ambos os ambientes, o IPsec obrigatrio no IPv6, tornando as a Internet do IPv6 mais segura.

Riqueza de transio O IPv4 no desaparec do dia para a noite. Ao c er ontrrio, ele c oexistir c o IPv6 e ser om gradualmente substitudo por ele. Por essa razo, o IPv6 foi c riado c tc as de migrao om nic para abranger todos os c asos c ebveis de atualizao do IPv4. Porm, no final das c onc ontas, muitas foram rejeitadas pela c omunidade tec nolgic a.

CCNA 4.0 - AW - 07 Serviços de endereçamento IP

Documents

Transcript of CCNA 4.0 - AW - 07 Serviços de endereçamento IP