CCNA Exploration - 4 Modulo - Acessando a WAN

CCNA Exploration - Acessando a WAN

1 Introdução a WANs

1.0 Introdução do capítulo

1.0.1 Introdução do capítulo

Página 1:

Quando uma empresa começa a incluir filiais, serviços de comércio eletrônico ou operações globais, uma única rede LAN (rede local) deixa de ser suficiente para atender a seus requisitos de negócios. O acesso à rede remota (WAN) se tornou essencial para as grandes empresas atuais.

Há várias tecnologias WAN para atender às diferentes necessidades de negócios e muitas formas de escalar a rede. Adicionar acesso à WAN apresenta outras considerações, como segurança de rede e gerenciamento de endereço. Dessa forma, projetar uma WAN e escolher os serviços corretos de rede não são questões simples.

Neste capítulo, você começará a explorar algumas das opções disponíveis para projetar WANs empresariais, as tecnologias disponíveis para implementá-las e a terminologia utilizada para abordá-las. Você obterá informações sobre como selecionar tecnologias WAN apropriadas, serviços e dispositivos para atender aos requisitos de negócios de uma empresa em expansão. As atividades e os laboratórios confirmam e reforçam sua aprendizagem.

Concluindo este capítulo, você poderá identificar e descrever as tecnologias WAN apropriadas para habilitar serviços WAN integrados em uma rede corporativa em vários locais.

Exibir meio visual

1.1 Prestando serviços integrados à empresa

1.1.1 Apresentando redes remotas (WANs)

Página 1:

O que é uma WAN?

WAN é uma rede de comunicação de dados que funciona além do escopo geográfico de uma rede local.

As WANs são diferentes das redes locais em vários aspectos. Enquanto uma rede local conecta computadores, periféricos e outros dispositivos em um único prédio ou outra área geográfica menor, uma WAN permite a transmissão dos dados em distâncias geográficas maiores. Além disso, uma empresa deve contratar um provedor de serviço WAN para utilizar os serviços de rede dessa operadora. As redes locais costumam ser da companhia ou organização que as utilizam.

As WANs utilizam instalações fornecidas por um provedor de serviços ou operadora, como uma companhia telefônica ou empresa de cabeamento, para conectar os locais de uma organização aos locais de outras organizações, a serviços externos e a usuários remotos. As WANs normalmente transportam vários tipos de tráfego, como voz, dados e vídeo.

Aqui estão as três principais características das WANs:

As WANs normalmente conectam dispositivos separados por uma área geográfica maior do que a que pode ser atendida por uma rede local.

As WANs utilizam os serviços das operadoras, como companhias telefônicas, empresas de TV a cabo, sistemas de satélites e provedores de rede.

As WANs utilizam conexões seriais de vários tipos para fornecer acesso à largura de banda em grandes áreas geográficas.

Por que as WANs são necessárias?

As tecnologias de rede local fornecem velocidade e economia na transmissão de dados em organizações em áreas geográficas relativamente pequenas. No entanto, há outras necessidades de negócios que precisam de comunicação entre locais remotos, inclusive as seguintes:

As pessoas no escritório regional ou nas filiais de uma organização precisam ser capazes de se comunicar e compartilhar dados com o local central.

As organizações normalmente desejam compartilhar informações com outras organizações em grandes distâncias. Por exemplo, fabricantes de software sempre comunicam informações sobre produtos e promoções aos distribuidores que vendem seus produtos para usuários finais.

Os funcionários que viajam a negócios sempre precisam acessar informações presentes em suas redes corporativas.

Além disso, os usuários de computadores domésticos precisam enviar e receber dados em distâncias cada vez maiores. Aqui estão alguns exemplos:

Agora é comum em muitas residências que os clientes se comuniquem com bancos, lojas e vários fornecedores de mercadorias e serviços via computadores.

Os alunos realizam pesquisas relativas às aulas acessando índices de bibliotecas e publicações localizados em outras partes do país, além de outras partes do mundo.

Como obviamente não é possível conectar computadores em um país ou em todo o mundo da mesma forma que os computadores são conectados em uma rede local com cabos, surgiram tecnologias diferentes para atender a essa necessidade. Cada vez mais, a Internet está sendo utilizada como uma alternativa barata à utilização de uma WAN corporativa em alguns aplicativos. Há novas tecnologias disponíveis para as empresas fornecerem segurança e privacidade em suas comunicações e transações na Internet. As WANs utilizadas por elas mesmas, ou em conjunto na Internet, permitem a organizações e indivíduos atender a suas necessidades de comunicação remota.

Exibir meio visual

1.1.2 A empresa em evolução

Página 1:

Empresas e suas redes

Na medida em que as empresas crescem, elas contratam mais funcionários, abrem filiais e atingem mercados globais. Essas alterações também influenciam seus requisitos de serviços integrados e orientam seus requisitos de rede. Neste tópico, iremos explorar como as redes corporativas são alteradas para acomodar seus requisitos de negócios em alteração.

Todo negócio é único e como uma organização cresce depende de muitos fatores, como o tipo de produtos ou serviços vendidos pela empresa, a filosofia de gerenciamento dos proprietários e o clima econômico do país no qual a empresa atua.

Em momentos de crise econômica, muitas empresas se concentram em diminuir sua lucratividade, aumentando a eficiência de suas operações existentes, a produtividade de funcionários e diminuindo os custos operacionais. Estabelecer e gerenciar redes pode representar despesas significativas de instalação e funcionamento. Para justificar essa grande despesa, as empresas esperam que suas redes apresentem o desempenho ideal e sejam capazes de oferecer um conjunto cada vez maior de serviços e aplicativos para suportar a produtividade e a lucratividade.

Para ilustrar, vejamos um exemplo de uma empresa fictícia chamada Span Engineering e como seus requisitos de rede mudam na medida em que a empresa cresce de um pequeno negócio local para uma empresa global.

Clique nas guias na figura para ver cada estágio de crescimento e a topologia de rede associada.

Pequeno escritório (rede local única)

A Span Engineering, uma empresa de consultoria ambiental, desenvolveu um processo especial de conversão do lixo doméstico em eletricidade e está desenvolvendo um pequeno projeto piloto para uma prefeitura em sua região. A empresa, que já está no setor há quatro anos, cresceu e incluiu 15 funcionários: seis engenheiros, quatro designers de desenho auxiliado por computador (CAD), uma recepcionista, dois parceiros seniores e dois auxiliares administrativos.

O gerenciamento da Span Engineering espera ter projetos em escala completa depois que o projeto piloto demonstrar a viabilidade de seu processo. Até lá, a empresa deve gerenciar seus custos com cuidado.

Para seu pequeno escritório, a Span Engineering utiliza uma única rede local para compartilhar informações entre computadores e dividir periféricos, como uma impressora, uma plotadora em larga escala (para imprimir desenhos de engenharia) e um aparelho de fax. Recentemente, eles atualizaram sua rede local para fornecer um

serviço barato de Voice over IP (VoIP, Voz sobre IP) e economizar os custos de linhas telefônicas separadas para seus funcionários.

A conexão com a Internet é feita por meio de um serviço de banda larga comum chamado linha digital do assinante (DSL), fornecido por sua operadora de telefonia local. Com tão poucos funcionários, largura de banda não é um problema significativo.

A empresa não pode pagar uma equipe de suporte interna de tecnologia da informação (TI) e utiliza serviços de suporte contratados da mesma operadora. A empresa também utiliza um serviço de hospedagem, em vez de comprar e operar seu próprio FTP e seus servidores de e-mail. A figura mostra um exemplo de um pequeno escritório e sua rede.

Campus (várias redes locais)

Cinco anos depois, e a Span Engineering já cresceu rapidamente. Como os proprietários esperavam, a empresa foi contratada para projetar e implementar uma instalação de reciclagem de lixo completa logo depois da implementação bem-sucedida do primeiro plano piloto. Desde então, outros projetos também foram ganhos em prefeituras vizinhas e em outras regiões do país.

Para lidar com a carga de trabalho adicional, a empresa contratou mais pessoas e alugou mais salas. Agora ela é uma empresa de pequeno a médio porte com cerca de cem funcionários. Muitos projetos estão sendo desenvolvidos simultaneamente e cada um exige um gerente de projeto e uma equipe de suporte. A empresa se organizou em departamentos funcionais, com cada um tendo sua própria equipe organizacional. Para atender às necessidades crescentes, a empresa se mudou para vários andares de um edifício comercial maior.

Na medida em que a empresa se expandiu, a rede também cresceu. Em vez de uma única rede local pequena, a rede agora consiste em várias sub-redes, cada uma destinada a um departamento diferente. Por exemplo, toda a equipe de engenharia está em uma rede local, e a equipe de marketing está em outra. Essas várias redes locais são unidas para criar uma rede de empresa completa, ou campus, que ocupa vários andares do prédio.

Agora a empresa tem um pessoal de TI interno para suporte e manutenção da rede. A rede inclui servidores de email, transferência de dados e armazenamento de arquivos, ferramentas de produtividade baseadas na Web e aplicativos, bem como a intranet corporativa para fornecer documentos internos e informações aos funcionários. Além disso, a empresa tem uma extranet que fornece informações de projeto apenas para clientes designados.

Filial (WAN)

Passados mais cinco anos, a Span Engineering foi tão bem-sucedida em seu processo patenteado que a demanda por seus serviços cresceu enormemente, e novos projetos agora estão sendo feitos em outras cidades. Para gerenciar esses projetos, a empresa abriu pequenas filiais próximas dos locais dos projetos.

Essa situação apresenta novos desafios à equipe de TI. Para gerenciar a distribuição de informações e serviços em toda a empresa, a Span Engineering agora conta com uma central de dados, que mantém os vários bancos de dados e servidores corporativos. Para assegurar que todas as partes da empresa sejam capazes de acessar os mesmos serviços e aplicativos, independentemente de onde estejam localizados os escritórios, agora a empresa precisa implementar uma WAN.

Para suas filiais nas cidades próximas, a empresa optou por utilizar linhas dedicadas privadas por meio da sua operadora local. No entanto, para esses escritórios localizados em outros países, a Internet agora é uma opção de conexão WAN atraente. Embora conectar os escritórios por meio da Internet seja econômico, isso suscita problemas de segurança e privacidade que a equipe de TI deve resolver.

Distribuição (global)

A Span Engineering agora já está no setor há 20 anos e chegou a milhares de funcionários distribuídos em escritórios ao redor do mundo. O custo da rede e de seus serviços relacionados agora é uma despesa significativa. Agora a empresa está procurando fornecer a seus funcionários os melhores serviços de rede ao menor custo. Os serviços de rede otimizados permitiriam a cada funcionário trabalhar com mais eficiência.

Para aumentar a lucratividade, a Span Engineering precisa reduzir suas despesas operacionais. Ela realocou algumas de suas filiais para áreas mais baratas. A empresa também está incentivando que os funcionários trabalhem remotamente e criem equipes virtuais. Aplicativos baseados na Web, inclusive conferência na Web, e-learning e ferramentas colaborativas on-line, estão sendo utilizados para aumentar a produtividade e reduzir custos. Redes virtuais privadas (VPNs) ponto-a-ponto e de acesso remoto permitem à empresa utilizar a Internet para se conectar de maneira fácil e com segurança a funcionários e instalações em todo o mundo. Para atender a esses requisitos, a rede deve fornecer os serviços convergidos necessários e proteger a conectividade WAN de Internet com filiais e indivíduos.

Como vimos nesse exemplo, os requisitos de rede de uma empresa podem mudar drasticamente na medida em que a empresa cresce. Distribuir funcionários economiza custos de muitas formas, mas aumenta a demanda na rede. Uma rede deve não apenas atender às necessidades operacionais do dia-a-dia da empresa, mas também precisa ser capaz de se adaptar e crescer na medida em que a empresa muda. Os programadores de rede e os administradores superam esses desafios escolhendo cuidadosamente as tecnologias de rede, os protocolos e os provedores de serviço e otimizando suas redes com muitas das técnicas que ensinamos nesta série de cursos. O próximo tópico descreve um modelo de rede para projetar redes capazes de acomodar as mudanças contínuas nas necessidades das empresas atuais em evolução.

Exibir meio visual

1.1.3 O modelo de rede em evolução

Página 1:

O modelo de design hierárquico

O modelo de rede hierárquico é uma ferramenta útil de alto nível para projetar uma infra-estrutura de rede confiável. Ele fornece uma exibição modular de uma rede, o que facilita o projeto e a criação de uma rede escalável.

O modelo de rede hierárquico

Como você deve se lembrar do CCNA Exploration: Comutação de Rede Local e Wireless, o modelo de rede hierárquico divide uma rede em três camadas:

Camada de acesso – concede acesso ao usuário a dispositivos de rede. Em um campus de rede, a camada de acesso costuma incorporar dispositivos de rede local comutados com portas que fornecem conectividade a estações de trabalho e servidores. No ambiente WAN, ele pode fornecer a funcionários remotos ou sites remotos o acesso à rede corporativa em toda a tecnologia WAN.

Camada de distribuição – agrega os wiring closets, utilizando switches para dividir os grupos de trabalho em segmentos e isolar problemas de rede em um ambiente de campus. Da mesma forma, a camada de distribuição agrega conexões WAN na borda do campus e fornece conectividade baseada na política.

Camada do núcleo (também conhecida como o backbone) – um backbone de alta velocidade projetado para comutar pacotes o mais rápido possível. Como o núcleo é essencial para conectividade, ele deve fornecer um alto nível de disponibilidade e se adaptar a alterações muito rapidamente. Ele também fornece escalabilidade e convergência rápida.

Clique no botão Exemplo de topologia na figura.

A figura representa o modelo de rede hierárquico em ambientes de campus. O modelo de rede hierárquico fornece uma estrutura modular que garante flexibilidade no projeto de rede e facilita a implementação e a solução de problemas na infra-estrutura. No entanto, é importante compreender que a infra-estrutura de rede só é a base de uma arquitetura mais ampla.

As tecnologias de networking avançaram consideravelmente nos últimos anos, o que resulta em redes cada vez mais inteligentes. Os elementos de rede atuais têm mais características de tráfego, podendo ser configurados para fornecer serviços especializados com base em coisas como os tipos de dados transportados, a prioridade dos dados e até mesmo as necessidades de segurança. Embora grande parte desses serviços de infra-estrutura estejam fora do escopo desse curso, é importante compreender que eles influenciam o projeto da rede. No próximo tópico, iremos explorar a arquitetura corporativa Cisco, que expande o modelo hierárquico, utilizando a inteligência de rede para abordar a infra-estrutura de rede.

Exibir meio visual

Página 2:

A arquitetura corporativa

Conforme descrito anteriormente, empresas diferentes precisam de tipos de redes distintos, dependendo da forma como a empresa é organizada e suas metas de negócios. Infelizmente, é muito comum que as redes cresçam de maneira desordenada na medida em que novos componentes são adicionados em resposta a necessidades imediatas. Com o passar do tempo, essas redes se tornam muito complexas e caras de gerenciar. Como a rede é uma mistura de tecnologias mais novas e mais antigas, ela pode ser difícil de suportar e manter. Quedas e um mau desempenho são uma fonte constante de problemas para administradores de rede.

Para ajudar a impedir essa situação, a Cisco desenvolveu uma arquitetura recomendada chamada Cisco Enterprise Architecture (Arquitetura corporativa Cisco) com soluções para diferentes estágios de crescimento de uma empresa. Essa arquitetura foi projetada para fornecer a projetistas de rede um roteiro para a expansão da rede à medida que a empresa passa por estágios diferentes. Seguindo o roteiro sugerido, os gerentes de TI podem planejar atualizações de rede futuras que irão se integrar plenamente à rede existente e suportar a necessidade cada vez maior de serviços.

Estes são alguns exemplos dos módulos dentro da arquitetura relevantes para o cenário da Span Engineering descrito anteriormente:

Arquitetura de campus corporativa Arquitetura de filial corporativa Arquitetura da central de dados corporativa Arquitetura de funcionário remoto corporativa

Exibir meio visual

Página 3:

Módulos na arquitetura corporativa

A arquitetura corporativa Cisco consiste em módulos que representam visões focadas em cada local da rede. Cada módulo tem uma infra-estrutura de rede distinta com serviços e aplicativos de rede que se estendem pelos módulos. A Arquitetura corporativa Cisco inclui os módulos a seguir.

Passe o mouse sobre cada módulo na figura.

Arquitetura de campus corporativa

Uma rede de campus é um edifício ou um grupo de edifícios conectados a uma rede corporativa que consiste em muitas redes locais. Um campus costuma ser limitado a uma área geográfica fixa, mas pode abranger vários edifícios vizinhos, por exemplo, um complexo industrial ou um ambiente de parque comercial. No exemplo da Span Engineering, o campus abrangia vários andares do mesmo prédio.

A arquitetura de campus corporativo descreve os métodos recomendados para criar uma rede escalável, ao mesmo tempo em que atende às necessidades de operações comerciais ao estilo do campus. A arquitetura é modular, podendo ser facilmente expandida para incluir edifícios ou andares de campus adicionais na medida em que a empresa cresce.

Arquitetura de borda corporativa

Este módulo oferece conectividade a serviços de voz, de vídeo e de dados fora da empresa. Este módulo permite à empresa utilizar a Internet e os recursos de parceiros, além de fornecer recursos para seus clientes. Este módulo normalmente funciona como uma ligação entre o módulo de campus e os demais módulos na arquitetura corporativa. A arquitetura WAN corporativa e da rede de área metropolitana (MAN) cujas tecnologias serão abordadas posteriormente neste curso, sendo consideradas parte deste módulo.

Arquitetura de filial corporativa

Este módulo permite às empresas estenderem os aplicativos e os serviços encontrados no campus a milhares de locais remotos e usuários ou a um grupo pequeno de filiais. Grande parte deste curso se concentra nas tecnologias mais implementadas neste módulo.

Arquitetura da central de dados corporativa

As centrais de dados são responsáveis por gerenciar e manter os muitos sistemas de dados vitais para operações comerciais modernas. Funcionários, parceiros e clientes dependem de dados e recursos na central de dados para criar, colaborar e interagir de maneira eficiente. Na última década, o crescimento das tecnologias baseadas na Web e da Internet tornou a central de dados mais importante do que nunca, aumentando a produtividade, melhorando processos da empresa e agilizando alterações.

Arquitetura de funcionário remoto corporativa

Muitas empresas atuais oferecem um ambiente de trabalho flexível a seus funcionários, o que os permite trabalharem remotamente em seus escritórios em casa. Trabalhar remotamente é aproveitar os recursos de rede corporativa em casa. O módulo de funcionário remoto recomenda que as conexões domésticas que utilizam serviços de banda larga, como modem a cabo ou DSL se conectem à Internet e dela à rede corporativa. Como a Internet apresenta riscos à segurança significativos para a empresa, medidas especiais devem ser tomadas para garantir a segurança e a privacidade da comunicação do funcionário remoto.

Clique no botão Exemplo de topologia na figura.

A figura mostra um exemplo de como esses módulos de arquitetura corporativa podem ser utilizados para criar uma topologia de rede de negócios.

Exibir meio visual

Página 4:Exibir meio visual

1.2 Conceitos de tecnologia WAN

1.2.1 Visão geral da tecnologia WAN

Página 1:

As WANs e o modelo OSI

Conforme descrito em relação ao modelo de referência OSI, as operações WAN se concentram principalmente nas camadas 1 e 2. Os padrões de acesso WAN costumam descrever os métodos de entrega da camada física e os requisitos da camada de enlace de dados, incluindo endereço físico, controle de fluxo e encapsulamento. Os padrões de acesso WAN são definidos e gerenciados por várias autoridades reconhecidas, inclusive a Organização internacional para padronização (ISO, International Organization for Standardization), a Associação da indústria de telecomunicações (TIA, Telecommunicatuions Industry Association) e a Associação das indústrias de eletrônica (EIA, Electronic Industries Association).

Os protocolos da camada física (Camada 1 OSI) descrevem como fornecer conexões elétrica, mecânica, operacional e funcional com os serviços de uma operadora de comunicação.

Os protocolos da camada de enlace de dados (Camada 2 OSI) definem como os dados são encapsulados para transmissão em um local remoto e os mecanismos para transferir os quadros resultantes. Várias tecnologias diferentes são utilizadas, como Frame Relay e ATM. Alguns desses protocolos utilizam o mesmo mecanismo de quadros básico, Controle de enlace de dados de alto nível (HDLC, High-Level Data Link Control) um padrão ISO, ou um de seus subconjuntos ou variantes.

Exibir meio visual

1.2.2 Conceitos da camada física WAN

Página 1:

Terminologia da camada física WAN

Uma diferença primária entre uma WAN e uma rede local é que uma companhia ou organização deve assinar uma provedor de serviços WAN externo para utilizar serviços de rede WAN. Uma WAN utiliza enlaces de dados fornecidos por serviços de conexão para acessar a Internet e conectar os locais de uma organização aos locais de outras organizações, a serviços externos e a usuários remotos. A camada física de acesso WAN descreve a conexão física entre a rede corporativa e a rede da operadora. A figura ilustra a terminologia normalmente utilizada para descrever conexões WAN físicas, inclusive:

Equipamento local do cliente (CPE, Customer Premises Equipment) – os dispositivos e a fiação interna localizados no local do assinante e conectados ao canal de telecomunicação de uma operadora. O assinante tem o CPE ou aluga o

CPE da operadora. Nesse contexto, um assinante é uma empresa que solicita serviços WAN de um provedor de serviços ou operadora.

Equipamento de comunicação de dados (DCE, Data Communications Equipment) – também chamado de equipamento terminal de circuito de dados, o DCE consiste em dispositivos que colocam dados no loop local. O DCE fornece principalmente uma interface para conectar assinantes a um link de comunicação na nuvem WAN.

Equipamento de terminal de dados (DTE, Data Terminal Equipment ) – os dispositivos de cliente que transmitem os dados de uma rede do cliente ou computador host para transmissão pela WAN. O DTE se conecta ao loop local por meio do DCE.

Ponto de demarcação – um ponto estabelecido em um edifício ou complexo para separar o equipamento do cliente do equipamento da operadora. Fisicamente, o ponto de demarcação é a caixa de junção do cabeamento, localizado no local do cliente, que conecta a fiação CPE ao loop local. Ele costuma ser colocado tendo em vista um acesso facilitado por um técnico. O ponto de demarcação é o local onde a responsabilidade da conexão passa do usuário para a operadora. Isso é muito importante porque quando surgem problemas, é necessário determinar se o usuário ou a operadora é responsável por solucionar problemas ou repará-los.

Loop local – o cabo telefônico de cobre ou fibra que conecta o CPE no local do assinante ao CO da operadora. Às vezes, o loop local também é chamado de "última-milha".

Central da operadora (CO, Central Office) – uma instalação ou prédio da operadora local onde os cabos telefônicos locais são vinculados a linhas de comunicação de longa distância, totalmente digitais de fibra óptica por meio de um sistema de switches e outro equipamento.

Exibir meio visual

Página 2:

Dispositivos WAN

As WANs utilizam vários tipos de dispositivos que são específicos de ambientes WAN, incluindo:

Modem – modula um sinal de operadora analógico para codificar informações digitais e demodula o sinal para decodificar as informações transmitidas. Um modem de banda de voz converte os sinais digitais produzidos por um computador em freqüências de voz que podem ser transmitidas pelas linhas analógicas da rede telefônica pública. Na outra extremidade da conexão, outro modem converte os sons novamente em um sinal digital de entrada para um

computador ou conexão de rede. Modems mais rápidos, como modems a cabo e modems DSL, transmitem utilizando freqüências de banda larga mais altas.

CSU/DSU – linhas digitais, como linhas de operadora T1 ou T3, exigem uma unidade do serviço de canal (CSU, channel service unit) e uma unidade de serviço de dados (DSU, data service unit). As duas costumam ser integradas em um único equipamento, chamado CSU/DSU. A CSU fornece uma terminação para o sinal digital e assegura a integridade da conexão por meio da correção de erros e da monitoração da linha. A DSU converte os quadros de linha da operadora T em quadros que a rede local pode interpretar e vice-versa.

Servidor de acesso – concentra comunicação do usuários de discagens feitas e recebidas. Um servidor de acesso pode ter uma mistura de interfaces analógicas e digitais e suportar centenas de usuários simultâneos.

Switch WAN – um dispositivo inter-rede com várias portas utilizado em redes de operadora. Esses dispositivos costumam comutar o tráfego, como Frame Relay, ATM ou X.25 e operam na camada de enlace de dados do modelo de referência OSI. Os switches da rede de telefonia pública comutada (PSTN, Public Switched Telephone Network) também podem ser utilizados dentro da nuvem das conexões de circuito comutado como rede digital de serviços integrados (ISDN, Integrated Services Digital Network) ou discagem analógica.

Roteador – fornece portas de interface de acesso de redes interconectadas e WAN utilizadas na conexão com a rede da operadora. Essas interfaces podem ser conexões seriais ou outras interfaces WAN. Com alguns tipos de interfaces WAN, um dispositivo externo, como DSU/CSU ou modem (analógico, a cabo ou DSL) é obrigatório para conectar o roteador ao ponto de presença (POP, point of presence) local da operadora.

Roteador central – um roteador que reside no meio ou no backbone da WAN, e não em sua periferia. Para cumprir essa função, um roteador deve ser capaz de suportar várias interfaces de telecomunicação da maior velocidade em utilização no núcleo WAN, devendo ser capaz de encaminhar pacotes IP em total velocidade em todas essas interfaces. O roteador também deve suportar os protocolos de roteamento utilizados no núcleo.

Exibir meio visual

Página 3:

Padrões da camada física WAN

Os protocolos da camada física WAN descrevem como fornecer conexões elétrica, mecânica, operacional e funcional para serviços WAN. A camada física WAN também descreve a interface entre o DTE e o DCE. A interface DTE/DCE utiliza vários protocolos da camada física, incluindo:

EIA/TIA-232 – este protocolo permite sinalizar velocidades de até 64 kb/s em um conector D de 25 pinos em curtas distâncias. Ele era conhecido como RS-232. A especificação ITU-T V.24 é efetivamente a mesma.

EIA/TIA-449 /530 – este protocolo é uma versão mais rápida (até 2 Mb/s) do EIA/TIA-232. Ele utiliza um conector D de 36 pinos, sendo capaz de extensões maiores de cabo. Há várias versões. Este padrão também é conhecido como RS422 e RS-423.

EIA/TIA-612/613 – este padrão descreve o protocolo Interface serial de alta velocidade (HSSI, High-Speed Serial Interface), que fornece acesso a serviços de até 52 Mb/s em um conector D de 60 pinos.

V.35 – este é o padrão ITU-T para comunicação síncrona entre um dispositivo de acesso à rede e uma rede de pacote. Originalmente especificado para suportar taxas de dados de 48 kb/s, ele agora suporta velocidades de até 2,048 Mb/s utilizando um conector retangular de 34 pinos.

X.21 – este protocolo é um padrão ITU-T para comunicação digital síncrona. Ele utiliza um conector D de 15 pinos.

Esses protocolos estabelecem os códigos e os parâmetros elétricos utilizados pelos dispositivos para se comunicar. Escolher um protocolo é amplamente determinado pelo método do provedor de serviços de instalações.

Clique no botão Conectores de cabo WAN na figura para ver os tipos de conectores de cabo associados a cada protocolo da camada física.

Exibir meio visual

1.2.3 Conceitos da camada de enlace de dados WAN

Página 1:

Protocolos de enlace de dados

Além dos dispositivos da camada física, as WANs exigem protocolos da camada de enlace de dados para estabelecer o link na linha de comunicação do dispositivo de envio para o de recebimento. Este tópico descreve os protocolos de enlace de dados comuns utilizados nas redes empresariais atuais para implementar conexões WAN.

Protocolos da camada de enlace de dados definem como os dados são encapsulados para transmissão em sites remotos e os mecanismos para transferir os quadros resultantes. Várias tecnologias diferentes são utilizadas, como ISDN, Frame Relay ou ATM. Muitos desses protocolos utilizam o mesmo mecanismo de quadros básico, HDLC, um padrão ISO, ou um de seus subconjuntos ou variantes. A ATM é diferente das demais, porque

utiliza células pequenas de 53 bytes (48 bytes para dados), diferentemente das demais tecnologias de pacote comutado, que utilizam pacotes de tamanho variável.

Os protocolos de enlace de dados WAN mais comuns são:

HDLC PPP Frame Relay ATM

ISDN e X.25 são protocolos de enlace de dados mais antigos e menos utilizados atualmente. No entanto, ISDN continua sendo abordado neste curso por conta da sua utilização ao suportar rede VoIP com links PRI. X.25 é mencionado para ajudar a explicar a relevância de Frame Relay. Além disso, X.25 continua sendo utilizado nos países em desenvolvimento nos quais as redes de dados do pacote (PDN) são utilizadas para transmitir transações de cartões de crédito e de débito dos comerciantes.

Nota: outro protocolo DLL é o protocolo de Comutação de rótulo de multiprotocolo (MPLS, Multiprotocol Label Switching). O MPLS está sendo cada vez mais implantado por provedores de serviço para fornecer uma solução econômica para conexão por circuitos comutados, bem como tráfego da rede com pacotes comutados. Ele pode funcionar em qualquer infra-estrutura existente, como IP, Frame Relay, ATM ou Ethernet. Ele fica entre as camadas 2 e 3, sendo chamado, às vezes, de protocolo da Camada 2.5. No entanto, o MPLS está além do escopo deste curso, embora seja abordado em CCNP: Implementing Secure Converged Wide-area Networks.

Exibir meio visual

Página 2:

Encapsulamento WAN

Os dados da camada de rede são passados para a camada de enlace de dados para entrega em um link físico, normalmente ponto-a-ponto em uma conexão WAN. A camada de enlace de dados cria um quadro em torno dos dados da camada de rede para que as verificações necessárias e os controles possam ser aplicados. Cada tipo de conexão WAN utiliza um protocolo da Camada 2 para encapsular um pacote enquanto cruza o link de WAN. Para assegurar que o protocolo de encapsulamento correto seja

utilizado, o tipo de encapsulamento da Camada 2 utilizado para cada interface serial do roteador deve ser configurado. A opção dos protocolos de encapsulamento depende da tecnologia WAN e do equipamento. HDLC foi inicialmente proposto em 1979 e, por essa razão, a maior parte dos protocolos de quadros desenvolvidos depois se baseia nele.

Clique no botão Reproduzir na figura para exibir como os protocolos de enlace de dados WAN encapsulam tráfego.

Exibir meio visual

Página 3:

Formatos de encapsulamento de quadro WAN

Examinar a porção do cabeçalho de um quadro HDLC irá ajudar a identificar campos comuns utilizados por muitos protocolos de encapsulamento WAN. O quadro sempre começa e termina com um campo de flag de 8 bits. O padrão de bits é 01111110. O campo de endereço não é necessário para links de WAN, que quase sempre são ponto-a-ponto. O campo de endereço continua presente, podendo ter 1 ou 2 bytes. O campo de controle depende do protocolo, mas normalmente indica se o conteúdo dos dados é de informações de controle ou dados da camada de rede. O campo de controle costuma ter 1 byte.

Juntos, os campos de endereço e de controle são chamados de cabeçalho do quadro. Os dados encapsulados seguem o campo de controle. Dessa forma, uma seqüência de verificação de quadro (FCS, frame check sequence) utiliza o mecanismo de verificação de redundância cíclica (CRC, cyclic redundancy check) para estabelecer um campo de 2 ou 4 bytes.

Vários protocolos de enlace de dados são utilizados, inclusive subconjuntos e versões próprias do HDLC. PPP e a versão Cisco do HDLC têm um campo extra no cabeçalho para identificar o protocolo da camada de rede dos dados encapsulados.

Exibir meio visual

1.2.4 Conceitos de comutação WAN

Página 1:

Comutação de circuito

Uma rede de circuito comutado estabelece um circuito (ou canal) dedicado entre nós e terminais antes da comunicação dos usuários.

Como um exemplo, quando um assinante faz uma chamada telefônica, o número discado é utilizado para definir switches nas trocas na rota da chamada para que haja um circuito contínuo do chamador para a parte chamada. Por conta do funcionamento da comutação utilizada para estabelecer o circuito, o sistema telefônico é chamado de rede de circuito comutado. Se os telefones forem substituídos por modems, o circuito comutado poderá transportar dados do computador.

O caminho interno usado pelo circuito entre as trocas é compartilhado por várias conversas. A multiplexação por divisão de tempo (TDM, time-division multiplexing) dá a cada conversa uma parte da conexão por vez. A TDM assegura que uma conexão de capacidade fixa seja disponibilizada ao assinante.

Se o circuito transporta dados do computador, a utilização dessa capacidade fixa talvez não seja eficiente. Por exemplo, se o circuito for utilizado para acessar a Internet, haverá uma intensa atividade do circuito durante a transferência de uma página da Web. Isso pode ser seguido de nenhuma atividade enquanto o usuário lê a página e, em seguida, outra intensa atividade enquanto a próxima página é transferida. Essa variação de utilização entre nenhum e máximo é típica do tráfego da rede de computadores. Como o assinante só utiliza a alocação da capacidade fixa, os circuitos comutados costumam ser uma forma cara de migrar dados.

PSTN e ISDN são dois tipos de tecnologia de circuito comutado que podem ser utilizados para implementar uma WAN em uma configuração corporativa.

Clique no botão Reproduzir na figura para ver como funciona a comutação de circuitos.

Exibir meio visual

Página 2:

Comutação de pacotes

Comparando-se com a comutação de circuitos, a comutação de pacotes divide os dados do tráfego em pacotes roteados em uma rede compartilhada. As redes de comutação de pacotes não exigem o estabelecimento de um circuito, permitindo a comunicação de muitos pares de nós no mesmo canal.

Os switches em uma rede comutada por pacote (PSN) determinam que link o pacote deve ser enviado em seguida a partir das informações de endereçamento em cada pacote. Há duas abordagens para essa determinação de link, sem conexão ou orientada por conexão.

Sistemas sem conexão, como a Internet, transportam informações de endereçamento completas em cada pacote. Cada switch deve avaliar o endereço para determinar aonde enviar o pacote.

Sistemas orientados a conexões predeterminam a rota para um pacote, e cada pacote só precisa transportar um identificador. No caso do Frame Relay, eles são chamados de Identificadores de conexão de enlace de dados (DLCIs, Data Link Connection Identifier). O switch determina a rota adiante, observando o identificador em tabelas mantidas na memória. O conjunto de entradas nas tabelas identifica uma rota ou circuito específico no sistema. Se esse circuito só existir fisicamente enquanto um pacote o percorrer, ele será chamado de circuito virtual (VC).

Como os links internos entre os switches são compartilhados entre muitos usuários, os custos da comutação de pacotes são menores que os da comutação de circuitos. Atrasos (latência) e variação do atraso (atraso do sincronismo) são maiores na comutação de pacotes do que em redes de circuito comutado. Isso é porque os links são compartilhados, e os pacotes devem ser integralmente recebidos em um switch antes de avançar. Apesar da latência e do atraso do sincronismo inerentes em redes compartilhadas, a tecnologia moderna permite um transporte satisfatório da comunicação de voz e até mesmo de vídeo nessas redes.

Clique no botão Reproduzir na figura para ver um exemplo de comutação de pacotes.

O servidor A está enviando dados para o servidor B. À medida que o pacote atravessa a rede do fornecedor, ele chega ao segundo switch do provedor. O pacote é adicionado à

fila e encaminhado depois que os demais pacotes na fila são encaminhados. O pacote acaba chegando ao servidor B.

Circuitos virtuais

As redes comutadas por pacotes podem estabelecer rotas pelos switches para conexões fim-a-fim específicas. Essas rotas são chamadas de circuitos virtuais. VC é um circuito lógico criado dentro de uma rede compartilhada entre dois dispositivos de rede. Há dois tipos de VCs:

Circuito virtual permanente (PVC) – um circuito virtual estabelecido permanentemente que consiste em um modo: transferência de dados. Os PVCs são utilizados em situações nas quais a transferência de dados entre dispositivos é constante. Os PVCs diminuem a utilização da largura de banda associada ao estabelecimento e ao encerramento de VCs, mas aumentam os custos por conta da constante disponibilidade do circuito virtual. Os PVCs costumam ser configurados pela operadora quando há uma ordem de serviço.

Circuito virtual comutado (SVC) – um VC estabelecido dinamicamente sob demanda e encerrado quando a transmissão é concluída. A comunicação em um SVC consiste em três fases: estabelecimento de circuito, transferência de dados e encerramento de circuito. A fase de estabelecimento envolve a criação do VC entre os dispositivos de origem e de destino. A transferência de dados envolve a transmissão de dados entre os dispositivos pelo VC, e a fase de encerramento do circuito envolve a separação do VC entre os dispositivos de origem e de destino. Os SVCs são utilizados em situações nas quais a transmissão de dados entre dispositivos é intermitente, principalmente para economizar. Os SVCs liberam o circuito quando a transmissão é concluída, o que resulta em encargos de conexão inferiores aos incorridos por PVCs, que mantêm a disponibilidade constante do circuito virtual.

Conexão a uma rede comutada por pacotes

Para se conectar a uma rede comutada por pacotes, um assinante precisa de um loop local com o local mais próximo onde o provedor disponibiliza o serviço. Isso é chamado de ponto de presença (POP) do serviço. Essa normalmente é uma linha alugada dedicada. Essa linha é muito mais curta que uma linha alugada diretamente conectada aos locais do assinante, e normalmente transporta vários VCs. Como é provável que nem todos os VCs exijam demanda máxima simultaneamente, a capacidade da linha alugada pode ser menor que a soma dos VCs individuais. Entre os exemplos de conexões comutadas por pacotes ou células:

X.25 Frame Relay ATM

Exibir meio visual


1.3 Opções de conexão WAN

1.3.1 Opções de conexão de link WAN

Página 1:

Há muitas opções para implementar soluções WAN disponíveis no momento. Elas diferem quanto à tecnologia, à velocidade e ao custo. A familiaridade com essas tecnologias é uma parte importante do projeto de rede e da avaliação.

As conexões WAN podem estar em uma infra-estrutura privada ou pública, como a Internet.

Opções de conexão WAN privada

Entre as conexões WAN privadas estão as opções do link de comunicação dedicado e comutado.

Links de comunicação dedicados

Quando conexões dedicadas permanentes forem obrigatórias, as linhas ponto-a-ponto serão utilizadas com vários recursos limitados exclusivamente pelas instalações físicas subjacentes e pela propensão dos usuários em pagar por essas linhas dedicadas. Um link ponto-a-ponto fornece um caminho de comunicação WAN preestabelecido do local do

cliente por meio da rede do provedor para um destino remoto. As linhas ponto-a-ponto costumam ser alugadas de uma operadora, e também são chamadas de linhas alugadas.

Links de comunicação comutados

Os links de comunicação comutados podem ser comutados por circuitos ou pacotes.

Links de comunicação comutados por circuito – a comutação de circuitos estabelece dinamicamente uma conexão virtual dedicada para voz ou dados entre um remetente e um destinatário. Para que a comunicação possa começar, é necessário estabelecer a conexão por meio da rede da operadora. Os exemplos de links de comunicação comutados por circuito são de acesso analógico (PSTN) e ISDN.

Links de comunicação comutados por pacotes – muitos usuários WAN não utilizam de maneira eficiente da largura de banda fixa disponível com circuitos dedicados, comutados ou permanentes porque o fluxo de dados flutua. Os provedores de comunicação têm redes de dados disponíveis para atender esses usuários de maneira mais apropriada. Em redes comutadas por pacotes, os dados são transmitidos em quadros marcados, células ou pacotes. Entre os links de comunicação comutados por pacotes estão Frame Relay, ATM, X.25 e Metro Ethernet.

Opções de conexão WAN pública

As conexões públicas utilizam a infra-estrutura de Internet global. Até recentemente, a Internet não era uma opção de rede viável para muitas empresas por causa dos riscos à segurança significativos e da falta de garantia de desempenho apropriado em uma conexão com a Internet fim-a-fim. No entanto, com o desenvolvimento da tecnologia VPN, a Internet agora é uma opção barata e segura para conexão de trabalhadores remotos e escritórios remotos em que garantias de desempenho não sejam críticas. Os links de conexão WAN da Internet são com serviços de banda larga, como DSL, modem a cabo e sem fio com banda larga, sendo integrados à tecnologia VPN para fornecer privacidade na Internet.

Exibir meio visual

1.3.2 Opções de link de conexão dedicado

Linhas alugadas

Quando uma conexão dedicada permanente é obrigatória, um link ponto-a-ponto é utilizado para fornecer um caminho de comunicação WAN preestabelecido do local do cliente por meio da rede do provedor para um destino remoto. As linhas ponto-a-ponto costumam ser alugadas de uma operadora, e são chamadas de linhas alugadas. Este tópico descreve como as empresas utilizam linhas alugadas para fornecer uma conexão WAN dedicada.

Clique no botão Tipos de linha e largura de banda na figura para exibir uma lista dos tipos de linha alugada e seus recursos de taxa de bits.

As linhas alugadas estão disponíveis em capacidades diferentes, sendo geralmente cobradas com base na largura de banda obrigatória e a distância entre os dois pontos conectados.

Os links ponto-a-ponto costumam ser mais caros que serviços compartilhados, como Frame Relay. O custo das soluções em linha alugada podem ser significativos quando utilizadas para conectar vários locais em distâncias cada vez maiores. No entanto, há momentos em que os benefícios superam o custo da linha alugada. A capacidade dedicada remove latência ou atraso do sincronismo entre as extremidades. A disponibilidade constante é essencial para alguns aplicativos, como VoIP ou vídeo sobre IP.

Uma porta serial de roteador é obrigatória para cada conexão de linha alugada. Uma CSU/DSU e o circuito real da operadora também são obrigatórios.

As linhas alugadas fornecem capacidade dedicada permanente, sendo utilizadas amplamente na criação de WANs. Elas foram a conexão tradicional escolhida, mas há muitas desvantagens. As linhas alugadas têm uma capacidade fixa, mas o tráfego WAN costuma ser variável, o que deixa uma parte da capacidade inutilizada. Além disso, cada extremidade precisa de uma interface física separada no roteador, o que aumenta os custos de equipamento. Qualquer alteração feita na linha alugada normalmente exige uma visita ao local pela operadora.

Exibir meio visual


1.3.3 Opções de conexão comutada por circuitos

Página 1:

Discagem analógica

Quando transferências de dados intermitentes, de baixos volumes de dados, são necessárias e as linhas telefônicas discadas analógicas fornecem baixa capacidade e conexão comutada dedicada. Este tópico descreve as vantagens e as desvantagens de utilizar opções de conexão dialup e identifica os tipos de cenários de negócios que aproveitam esse tipo de opção.

A telefonia tradicional utiliza um cabo de cobre, chamado de loop local, para conectar o monofone telefônico no local do assinante ao CO. O sinal no loop local durante uma chamada é um sinal eletrônico variável contínuo que é uma tradução da voz de assinante, analógica.

Os loops locais tradicionais podem transportar dados de computador binários por meio da rede telefônica de voz utilizando um modem. O modem modula os dados binários em um sinal analógico na origem e demodula o sinal analógico para os dados binários no destino. As características físicas do loop local e sua conexão com a PSTN limitam a taxa do sinal a menos de 56 kb/s.

Para pequenos negócios, essas conexões de dialup de velocidade relativamente baixa são apropriadas à troca de dados sobre vendas, preços, relatórios de rotina e email. Utilizar dialup automático durante a noite ou nos finais de semana para grandes transferências de arquivos e backup de dados pode aproveitar tarifas menores fora do pico (tarifas de linha). As tarifas se baseiam na distância entre as extremidades, a hora do dia e a duração da chamada.

As vantagens do modem e das linhas analógicas são a simplicidade, a disponibilidade e o baixo custo de implementação. As desvantagens são taxas de dados menores e um tempo de conexão relativamente longo. O circuito dedicado tem pouco atraso ou atraso do sincronismo para tráfego ponto-a-ponto, mas o tráfego de voz ou de vídeo não funciona corretamente nessas taxas de bits.

Exibir meio visual

Página 2:

Rede digital de serviços integrados

A rede digital de serviços integrados (ISDN, Integrated Services Digital Network) é uma tecnologia comutada por circuitos que permite ao loop local de uma PSTN transmitir sinais digitais, o que resulta em uma conexão comutada de maior capacidade. A ISDN altera a conexão interna da PSTN de transportar sinais analógicos para sinais digitais de multiplexação por divisão de tempo (TDM). A TDM permite que dois ou mais sinais ou fluxos de bits sejam transferidos como subcanais em um canal de comunicação. Os sinais aparentam transferir simultaneamente, mas estão fisicamente se alternando no canal. Um bloco de dados do subcanal 1 é transmitido durante o slot de tempo 1, subcanal 2, durante o slot de tempo 2 e assim por diante. Um quadro TDM consiste em um slot de tempo por subcanal. A TDM é descrita com mais detalhes no Capítulo 2, PPP.

A ISDN transforma o loop local em uma conexão digital TDM. Essa alteração permite ao loop local transportar sinais digitais que resultam em conexões comutadas de maior capacidade. A conexão utiliza canais de portadora de 64 kb/s (B) para transmitir voz ou dados e uma sinalização, canal delta (D) para configuração de chamada e outras finalidades.

Existem dois tipos de interfaces ISDN:

Interface de taxa básica (BRI, Basic Rate Interface) – ISDN se destina a empresas domésticas ou pequenas, além de fornecer dois canais B de 64 kb/s e um canal D de 16 kb/s. O canal D BRI foi projetado para controlar e costuma ser mal utilizado, porque tem apenas dois canais B para controlar. Portanto, alguns provedores permitem ao canal D transportar dados em taxas de bits menores, como uma conexão X.25 a 9,6 kb/s.

Interface de taxa primária (PRI, Primary Rate Interface ) – ISDN também está disponível para instalações maiores. PRI fornece 23 canais B com 64 kb/s e

um canal D com 64 kb/s na América do Norte, para uma taxa total de bits de até 1,544 Mb/s. Isso inclui uma sobrecarga para sincronização. Na Europa, na Austrália e em outras partes do mundo, a ISDN PRI fornece 30 canais B e um canal D, para um total de bits de até 2,048 Mb/s, incluindo as sobrecarga com sincronização. Na América do Norte, PRI corresponde a uma conexão T1. A taxa da PRI internacional corresponde a uma conexão E1 ou J1.

Para WANs pequenas, a BRI ISDN pode fornecer um mecanismo de conexão ideal. BRI tem um tempo de configuração da chamada de menos de um segundo, e o canal B de 64 kb/s fornece maior capacidade que um link de modem analógico. Se for necessária maior capacidade, um segundo canal B poderá ser ativado para fornecer um total de 128 kb/s. Embora inapropriado para vídeo, ela permite várias conversas de voz simultâneas, além do tráfego de dados.

Outra aplicação comum da ISDN é para fornecer capacidade adicional conforme necessário em uma conexão utilizando linha alugada. A linha alugada é dimensionada para transportar cargas de tráfego comuns, enquanto a ISDN é adicionada durante períodos de demanda de pico. A ISDN também será utilizada como backup se houver falha na linha alugada. As tarifas ISDN se baseiam em um canal B, sendo semelhantes às conexões de voz analógicas.

Com PRI ISDN, vários canais B podem ser conectados entre duas extremidades. Isso permite a videoconferência e conexões de dados com maior largura de banda sem nenhuma latência ou atraso do sincronismo. No entanto, várias conexões podem ser muito caras em longas distâncias.

Nota: Muito embora a ISDN continue sendo uma tecnologia importante para redes de operadoras de telefonia, ela está perdendo popularidade como uma opção de conexão com a Internet com a apresentação de serviços DSL de alta velocidade e outros de banda larga.

Exibir meio visual


1.3.4 Opções de conexão comutada por pacotes

Tecnologias WAN comuns de comutação de pacotes

A maioria das tecnologias de comutação de pacotes comuns utilizada nas redes WAN empresariais atualmente inclui Frame Relay, ATM e antigos X.25.

Clique no botão X.25 na figura.

X.25

X.25 é um protocolo da camada de rede antigo que fornece aos assinantes um endereço de rede. Os circuitos virtuais podem ser estabelecidos por meio da rede com pacotes de solicitação de chamada para o endereço de destino. O SVC resultante é identificado por um número de canal. Os pacotes de dados marcados com o número de canal são entregues no endereço correspondente. Vários canais podem estar ativos em uma única conexão.

Aplicações X.25 típicas são leitores de cartões em ponto de venda. Esses leitores utilizam o X.25 em modo dialup para validar transações em um computador central. Para essas aplicações, a pouca largura de banda e a latência alta não são uma preocupação, e o baixo custo torna o X.25 acessível.

As velocidades de link X.25 variam de 2400 b/s a 2 Mb/s. No entanto, as redes públicas costumam apresentar uma capacidade inferior com velocidades que raramente excedem 64 kb/s.

Agora as redes X.25 enfrentam um drástico declínio, sendo substituídas por tecnologias de Camada 2 mais novas, como Frame Relay, ATM e ADSL. No entanto, elas continuam sendo utilizadas em muitas partes do mundo em desenvolvimento, onde há acesso limitado a tecnologias mais novas.

Clique no botão Frame Relay na figura.

Frame Relay

Embora o layout de rede seja aparentemente semelhante ao do X.25, o Frame Relay é diferente do X.25 em várias formas. Mais importante, esse é um protocolo muito mais simples que funciona na camada de enlace de dados, e não na camada de rede. O Frame Relay não implementa nenhum controle de erro ou de fluxo. O tratamento simplificado de quadros leva à latência reduzida, e as medidas tomadas para evitar o acúmulo de quadros em switches intermediários ajudam a reduzir o atraso do sincronismo. O Frame Relay oferece taxas de dados de até 4 Mb/s, com alguns fornecedores oferecendo taxas ainda mais altas.

Os VCs Frame Relay são identificados exclusivamente por uma DLCI, que assegura uma comunicação bidirecional de um dispositivo DTE com outro. A maioria das conexões Frame Relay é de PVCs, e não de SVCs.

O Frame Relay fornece conectividade permanente, compartilhada, de largura de banda média que transporta tráfego de voz e de dados. O Frame Relay é ideal para conectar redes locais de empresas. O roteador na rede local só precisa de uma interface única, mesmo quando vários VCs são usados. A linha alugada por um breve período para a borda da rede Frame Relay permite uma conexão econômica entre redes locais muito espalhadas.

O Frame Relay será descrito com mais detalhes no Capítulo 3, "Frame Relay".

Clique no botão ATM na figura.

ATM

A tecnologia modo de transferência assíncrona (ATM, Asynchronous Transfer Mode) é capaz de transferir voz, vídeo e dados por meio de redes privadas e públicas. Ele é criado a partir de uma arquitetura baseada em células, e não em uma arquitetura baseada em quadros. As células ATM sempre têm um tamanho fixo de 53 bytes. A célula ATM contém um cabeçalho ATM de 5 bytes seguido de 48 bytes de payload ATM. As células de tamanho fixo, menores, são mais apropriadas ao transporte de tráfego de voz e vídeo

porque esse tráfego não é tolerante a atrasos. O tráfego de vídeo e de voz não precisa aguardar a transmissão de um pacote de dados maior.

A célula ATM de 53 bytes é menos eficiente que os quadros maiores e pacotes do Frame Relay e do X.25. Além disso, a célula ATM tem pelo menos 5 bytes de sobrecarga para payload de 48 bytes. Quando a célula transporta pacotes da camada de rede segmentados, a sobrecarga é maior porque o switch ATM deve ser capaz de remontar os pacotes no destino. Uma linha ATM típica precisa de praticamente 20 por cento mais largura de banda do que Frame Relay para transportar o mesmo volume de dados da camada de rede.

A ATM foi projetada para ser extremamente escalável, podendo suportar velocidades de link de T1/E1 a OC-12 (622 Mb/s) e superior.

A ATM oferece PVCs e SVCs, muito embora PVCs sejam mais comuns com WANs. E, assim como acontece com outras tecnologias compartilhadas, o ATM permite que vários VCs em uma única conexão de linha alugada com a borda da rede.

Exibir meio visual


1.3.5 Opções de conexão com a Internet

Página 1:

Serviços de banda larga

As opções de conexão de banda larga costumam ser utilizadas para conectar funcionários remotos a um local corporativo pela Internet. Entre essas opções estão cabo, DSL e sem fio.

Clique no botão DSL na figura.

DSL

A tecnologia DSL é uma tecnologia de conexão sempre ativada que utiliza linhas telefônicas de par trançado existentes para transportar dados em banda larga e fornece serviços IP aos assinantes. Um modem DSL converte um sinal Ethernet do dispositivo do usuário em um sinal DSL, transmitido para o escritório central.

Várias linhas de assinante DSL são multiplexadas em um único link de alta capacidade utilizando um multiplexador de acesso à linha digital do assinante (DSLAM) no local do fornecedor. Os DSLAMs incorporam a tecnologia TDM para agregar muitas linhas de assinante em um único meio, geralmente uma conexão T3 (DS3). As tecnologias DSL atuais utilizam técnicas sofisticadas de codificação e modulação para obter taxas de dados de até 8,192 Mb/s.

Há uma ampla variedade de tipos DSL, padrões e novos padrões. DSL agora é uma opção popular para departamentos de TI de empresas no suporte a funcionários remotos. Em geral, um assinante não pode optar por se conectar a uma rede corporativa diretamente, mas deve primeiro se conectar a um ISP e, em seguida, uma conexão IP é estabelecida por meio da Internet com a empresa. Há riscos de segurança inerentes a esse processo, embora possam ser minimizados com medidas de segurança.

Clique no botão Modem a cabo na figura.

Modem a cabo

O cabo coaxial é amplamente utilizado em áreas urbanas para distribuir sinais de televisão. O acesso à rede está disponível em algumas redes de TV a cabo. Ele permite uma largura de banda maior que o loop local telefônico convencional.

Os modems a cabo fornecem uma conexão permanente, além de uma instalação simples. Um assinante conecta um computador ou roteador de rede local ao modem a cabo, que traduz os sinais digitais nas freqüências de banda larga utilizadas na transmissão em uma rede de TV a cabo. O escritório de TV a cabo local, chamado de headend de cabo, contém o sistema de computadores e os bancos de dados necessários para fornecer acesso à Internet. O componente mais importante localizado no headend é o sistema terminal de modem a cabo (CMTS), que envia e recebe sinais de modem a

cabo digital em uma rede a cabo, sendo necessário para fornecer serviços de Internet aos assinantes a cabo.

Os assinantes de modem a cabo devem utilizar um ISP associado à operadora. Todos os assinantes locais têm a mesma largura de banda a cabo. Na medida em que mais usuários assinam o serviço, a largura de banda disponível pode ficar abaixo da taxa esperada.

Clique no botão Banda larga sem fio na figura.

Banda larga sem fio

A tecnologia sem fio utiliza o espectro de rádio não licenciado para enviar e receber dados. O espectro não licenciado é acessível a qualquer um que tenha um roteador para rede sem fio e uma tecnologia sem fio no dispositivo utilizado.

Até recentemente, uma limitação do acesso wireless era a necessidade de estar no intervalo de transmissão local (normalmente, menos de 100 pés – 30 metros) de um roteador sem fio ou um modem para rede sem fio com uma conexão com fio com a Internet. Os novos desenvolvimentos a seguir na tecnologia sem fio de banda larga estão mudando essa situação:

WiFi municipal – muitas cidades começaram a configurar redes sem fio municipais. Algumas dessas redes fornecem acesso à Internet de alta velocidade gratuitamente ou por um preço consideravelmente menor do que o de outros serviços de banda larga. Outras se destinam à utilização apenas na cidade, permitindo à polícia e aos bombeiros, além de outros funcionários do município, fazer determinados aspectos dos seus trabalhos remotamente. Para se conectar a um WiFi municipal, um assinante normalmente precisa de um modem sem fio com um rádio mais potente e uma antena mais direcional do que a dos adaptadores sem fio convencionais. A maioria dos provedores de serviço fornece o equipamento necessário gratuitamente ou a uma taxa, muito semelhante à forma como fazem com modems DSL ou a cabo.

WiMAX – Interoperabilidade Mundial para Acesso Microondas (WiMAX, Worldwide Interoperability for Microwave Acess) é uma nova tecnologia que começou a ser utilizada recentemente. Ela é descrita no padrão IEEE 802.16. WiMAX fornece serviço de banda larga de alta velocidade com acesso wireless e oferece ampla cobertura como uma rede telefônica celular, e não por meio de

pequenos hotspots WiFi. O WiMAX funciona de maneira semelhante ao WiFi, mas em velocidades mais altas, em distâncias maiores e para um maior número de usuários. Ele utiliza uma rede de torres WiMAX semelhantes a torres de telefonia celular. Para acessar uma rede WiMAX, os assinantes devem assinar um ISP com uma torre WiMAX num raio de 10 milhas (16 km) do local. Eles também precisam de um computador compatível com WiMAX e de um código de criptografia especial para obter acesso à estação base.

Internet via satélite – normalmente utilizada por usuários em zonas rurais onde cabo e DSL não estão disponíveis. Um satélite fornece comunicação de dados bidirecional (upload e download). A velocidade de upload é cerca de um décimo da velocidade de download de 500 kb/s. Cabo e DSL têm velocidades de download maiores, mas os sistemas via satélite são cerca de 10 vezes mais rápidos do que um modem analógico. Para acessar serviços de Internet via satélite, os assinantes precisam de uma antena de satélite, dois modems (uplink e downlink) e cabos coaxiais entre a antena e o modem.

Os serviços de banda larga DSL, a cabo e sem fio são descritos com mais detalhes no Capítulo 6, "Serviços de funcionário remoto".

Exibir meio visual

Página 2:

Tecnologia de VPN

Há riscos de segurança quando um funcionário remoto ou escritório remoto utiliza serviços de banda larga para acessar a WAN corporativa pela Internet. Para resolver problemas de segurança, os serviços de banda larga fornecem recursos para utilizar conexões de rede virtual privada (VPN) com um servidor VPN, normalmente localizado no local corporativo.

Uma VPN é uma conexão criptografada entre redes privadas em uma rede pública, como a Internet. Em vez de utilizar uma conexão da Camada 2 dedicada, como uma linha alugada, uma VPN utiliza conexões virtuais chamadas de túneis VPN, roteados pela Internet da rede privada corporativa para o local remoto ou o host do funcionário.

Benefícios da VPN

Entre os benefícios VPN estão:

Economia – as VPNs permitem às organizações utilizar a Internet global para conectar escritórios remotos e usuários remotos ao local corporativo principal, o que elimina links de WAN dedicados caros e conjuntos de modems.

Segurança – as VPNs fornecem o nível mais alto de segurança, utilizando protocolos avançados de criptografia e autenticação que protegem dados do acesso não autorizado.

Escalabilidade – como as VPNs utilizam a infra-estrutura de Internet dentro de ISPs e dispositivos, é fácil adicionar novos usuários. As corporações podem adicionar uma grande quantidade de capacidade sem adicionar uma infra-estrutura significativa.

Compatibilidade com tecnologia de banda larga – como a tecnologia VPN é suportada por provedores de serviço de banda larga, como DSL e cabo, os funcionários móveis e remotos podem usufruir seu serviço na Internet de alta velocidade doméstico para acessar suas redes corporativas. As conexões de banda larga de alta velocidade, comerciais, também podem fornecer uma solução econômica para conectar mais escritórios.

Tipos de acesso VPN

Existem dois tipos de acesso VPN:

VPNs ponto-a-ponto – VPNs ponto-a-ponto conectam todas as redes, por exemplo, elas conectam a rede de uma filial à rede da sede de uma empresa, como mostrado na figura. Todo site é equipado com um gateway VPN, como um roteador, firewall, concentrador VPN ou mecanismo de segurança. Na figura, uma filial remota utiliza uma VPN ponto-a-ponto para se conectar à matriz corporativa.

VPNs de acesso remoto – VPNs de acesso remoto permitem a hosts individuais, como funcionários remotos, usuários móveis e clientes de extranet acessar a rede de uma empresa com segurança pela Internet. Cada host normalmente tem um software cliente VPN carregado ou utiliza um cliente baseado na Web.

Clique no botão VPN de acesso remoto ou no botão VPN ponto-a-ponto na figura para ver um exemplo de cada tipo de conexão VPN.

Exibir meio visual

Ethernet metropolitana

A Metro Ethernet é uma tecnologia de rede em rápida evolução que amplia a Ethernet até redes públicas mantidas por empresas de telecomunicação. Os switches Ethernet compatíveis com IP permitem aos provedores de serviço oferecer serviços convergidos de voz, de dados e de vídeo corporativos, como telefonia IP, streaming de vídeo, digitalização e armazenamento de dados. Estendendo a Ethernet até a área metropolitana, as empresas podem fornecer a seus escritórios remotos acesso confiável a aplicativos e dados na rede local da sede corporativa.

Entre os benefícios da Metro Ethernet estão:

Despesas e administração reduzidos – a Ethernet metropolitana fornece uma rede da Camada 2 comutada, de grande largura de banda, compatível com o gerenciamento de dados, voz e vídeo na mesma infra-estrutura. Essa característica aumenta a largura de banda e elimina conversões caras em ATM e Frame Relay. A tecnologia permite às empresas conectar vários locais sem custo em uma área metropolitana e à Internet.

Integração simplificada com redes existentes – a Ethernet metropolitana se conecta facilmente a redes locais Ethernet, o que reduz custos e tempo de instalação.

Produtividade comercial melhorada – a Ethernet metropolitana permite às empresas usufruir aplicativos IP que melhoram a produtividade difíceis de implementar em redes TDM ou Frame Relay, como uma comunicação IP hospedada, VoIP e streaming, além da transmissão de vídeo.

Exibir meio visual

Página 4:

Escolhendo uma conexão de link WAN

Agora que observamos várias opções de conexão WAN, como você escolhe a melhor tecnologia para atender aos requisitos de uma empresa específica? A figura compara as vantagens e as desvantagens das opções de conexão WAN que abordamos neste capítulo. Essas informações são um bom começo. Além disso, para ajudar no processo

de tomada de decisões, aqui estão algumas perguntas que você deve se fazer ao escolher uma opção de conexão WAN.

Qual é a finalidade da WAN?

Você deseja conectar filiais locais na mesma área da cidade, conectar filiais remotas, se conectar a uma única filial, se conectar a clientes, se conectar a parceiros de negócios ou algumas combinações dessas opções? Se a WAN for para fornecer clientes autorizados ou parceiros de negócios com acesso limitado à intranet corporativa, qual será a melhor opção?

Qual é o escopo geográfico?

Ele é local, regional, global, privativo (filial única), de filiais múltiplas, múltiplo (distribuído)? Dependendo do intervalo, algumas opções de conexão WAN podem ser melhores que outras.

Quais são os requisitos de tráfego?

Entre os requisitos de tráfego a serem considerados estão:

O tipo de tráfego (somente dados, VoIP, vídeo, arquivos grandes, arquivos de streaming) determina os requisitos de qualidade e desempenho. Por exemplo, se você estiver enviando muito tráfego de voz ou de fluxo de vídeo, a ATM poderá ser a melhor opção.

Os volumes de tráfego que dependem do tipo (voz, vídeo ou dados) de cada destino determinam a capacidade da largura de banda obrigatória para a conexão WAN com o ISP.

Os requisitos de qualidade podem limitar suas opções. Se o seu tráfego for muito sensível à latência e ao atraso do sincronismo, você poderá eliminar opções de conexão WAN que não forneçam a qualidade obrigatória.

Os requisitos de segurança (integridade de dados, confidencialidade e segurança) são fatores importantes caso o tráfego seja altamente confidencial ou forneça serviços essenciais, como atendimento de emergências.

E se a WAN utilizar uma infra-estrutura privada ou pública?

Uma infra-estrutura privada oferece a melhor segurança e confidencialidade, e a infra-estrutura de Internet pública oferece a maior flexibilidade e as menores despesas. A sua opção depende da finalidade da WAN, dos tipos de tráfego transportado e do orçamento operacional disponível. Por exemplo, caso a finalidade seja atender a uma filial próxima com serviços seguros de alta velocidade, uma conexão privada dedicada ou comutada talvez seja a ideal. Caso a finalidade seja conectar muitos escritórios remotos, uma WAN pública que utiliza a Internet talvez seja a melhor opção. Para operações distribuídas, uma combinação de opções talvez seja a solução.

Para uma WAN privada, ela deve ser dedicada ou comutada?

As transações em tempo real de alto volume têm requisitos especiais que poderiam favorecer uma linha dedicada, como tráfego que flui entre a central de dados e a matriz corporativa. Se você estiver se conectando a uma filial única local, será possível utilizar uma linha alugada dedicada. No entanto, essa opção seria muito cara para uma conexão WAN de vários escritórios. Nesse caso, uma conexão comutada pode ser melhor.

Para uma WAN pública, de que tipo de acesso VPN você precisa?

Caso a finalidade da WAN seja se conectar a um escritório remoto, uma VPN ponto-a-ponto talvez seja a melhor opção. Para conectar funcionários remotos ou clientes, as VPNs de acesso remoto são uma opção melhor. Caso a WAN esteja fornecendo uma combinação de escritórios remotos, funcionários remotos e clientes autorizados, como uma empresa global com operações distribuídas, uma integração de opções VPN talvez seja obrigatória.

Quais são as opções de conexão disponíveis localmente?

Em algumas áreas, nem todas as opções de conexão WAN estão disponíveis. Nesse caso, o seu processo de seleção é simplificado, muito embora a WAN resultante possa fornecer um desempenho abaixo do ideal. Por exemplo, em uma área rural ou remota, a única opção talvez seja o acesso à Internet de banda larga via satélite.

Qual é o custo das opções de conexão disponíveis?

Dependendo da opção escolhida, a WAN pode ser uma despesa permanente significativa. O custo de uma opção específica deve ser ponderado segundo a qualidade com que ele atende a outros requisitos. Por exemplo, uma linha alugada dedicada é a opção mais cara, mas a despesa pode se justificar caso seja essencial assegurar uma transmissão segura de grandes volumes de dados em tempo real. Para aplicações com menos demanda, uma conexão com a Internet ou comutada mais barata pode ser mais apropriada.

Como você pode ver, há muitos fatores importantes a serem considerados durante a escolha de uma conexão WAN apropriada. Seguindo as diretrizes descritas acima, bem como as descritas pela Arquitetura corporativa Cisco, agora você deve ser capaz de escolher uma conexão WAN apropriada para atender aos requisitos de cenários de negócios diferentes.

Exibir meio visual


1.4 Laboratórios do capítulo

1.4.1 Revisão avançada

Página 1:

Neste laboratório, você irá revisar os conceitos básicos de roteamento e de comutação. Tente fazer o máximo possível sozinho. Consulte o material anterior quando você não conseguir continuar sozinho.

Nota: Configurar três protocolos de roteamento separados RIP, OSPF e EIGRP para rotear a mesma rede não é efetivamente uma prática recomendada. Essa deve ser considerada uma prática não recomendada, não sendo algo que deveria ser feito em uma rede de produção. Isso é feito aqui para que você possa examinar os principais protocolos de roteamento antes de continuar, além de ver uma ilustração drástica do conceito de distância administrativa.

Exibir meio visual

1.5 Resumo do capítulo

1.5.1 Resumo do capítulo

Página 1:

WAN é uma rede de comunicação de dados que funciona além do escopo geográfico de uma rede local.

Na medida em que as empresas crescem, adicionar mais funcionários, abrir filiais e expandir até mercados globais, os requisitos de serviços integrados mudam. Esses requisitos de negócios orientam seus requisitos de rede.

A Arquitetura corporativa Cisco se expande até o modelo de design hierárquico, dividindo ainda mais a rede corporativa em áreas física, lógica e funcional.

A implementação de uma Arquitetura corporativa Cisco fornece uma rede segura, robusta, com grande disponibilidade que facilita a implantação de redes convergentes.

As WANs funcionam de acordo com o modelo de referência OSI, principalmente nas camadas 1 e 2.

Os dispositivos que colocam dados no loop local são chamados de equipamento terminal de circuito de dados, ou equipamento de comunicação de dados (DCE). Os dispositivos de cliente que transmitem os dados para o DCE são chamados de equipamento de terminal de dados (DTE). O DCE fornece principalmente uma interface para o DTE no link de comunicação na nuvem WAN.

O ponto de demarcação físico é o local onde a responsabilidade da conexão passa da empresa para a operadora.

Protocolos da camada de enlace de dados definem como os dados são encapsulados para transmissão em sites remotos e os mecanismos para transferir os quadros resultantes.

Uma rede de circuito comutado estabelece um circuito (ou canal) dedicado entre nós e terminais antes da comunicação dos usuários.

Uma rede comutada por pacotes divide os dados do tráfego em pacotes roteados em uma rede compartilhada. As redes de comutação de pacotes não exigem o estabelecimento de um circuito, e elas permitem a comunicação de muitos pares de nós no mesmo canal.

Um link ponto-a-ponto fornece um caminho de comunicação WAN preestabelecido do local do cliente por meio da rede do provedor para um destino remoto. Os links ponto-a-ponto utilizam linhas alugadas para fornecer uma conexão dedicada.

Entre as opções WAN de comutação de circuitos estão dialup analógico e ISDN. Entre as opções WAN de comutação de pacotes estão X.25, Frame Relay e ATM. A ATM transmite dados em células de 53 bytes, e não em quadros. A ATM é mais apropriada ao tráfego de vídeo.

Entre as opções de conexão WAN com a Internet estão serviços de banda larga, como DSL, modem a cabo, sem fio de banda larga ou Metro Ethernet. A tecnologia VPN permite às empresas fornecer acesso seguro ao funcionário remoto pela Internet em serviços de banda larga.

Exibir meio visual


Página 3:

Esta atividade abrange muitas das habilidades que você adquiriu nos três primeiros cursos do Exploration. Entre as habilidades estão criar uma rede, aplicar um esquema de endereçamento, configurar roteamento, VLANs, STP e VTP, além de testar a conectividade. Você deve revisar essas habilidades antes de continuar. Além disso, essa atividade é uma oportunidade de revisar os fundamentos do programa Packet Tracer. O Packet Tracer é integrado ao longo deste curso. Você deve saber como navegar no ambiente do Packet Tracer para concluir este curso. Use os tutoriais se você precisar de

uma revisão dos princípios básicos do Packet Tracer. Os tutoriais estão localizados no menu Ajuda do Packet Tracer.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.

Exibir meio visual

1.6 Teste do capítulo

1.6.1 Teste do capítulo


2 PPP



Página 1:

Este capítulo inicia a exploração das tecnologias WAN, apresentando a comunicação ponto-a-ponto e o (PPP).

Um dos tipos mais comuns de conexão WAN é a ponto-a-ponto. As conexões ponto-a-ponto são utilizadas em redes locais com WANs de operadora e na conexão de segmentos de rede local dentro de uma rede empresarial. Uma conexão ponto-a-ponto entre rede local e WAN também é conhecida como uma conexão serial ou conexão de linha alugada, porque as linhas são alugadas de uma operadora (normalmente uma companhia telefônica) e de uso dedicado ao uso pela empresa locadora das linhas. As empresas pagam por uma conexão contínua entre dois locais remotos, e a linha permanece sempre ativa e disponível. Compreender como funcionam os links de

comunicação ponto-a-ponto para fornecer acesso a uma WAN é importante para que se obtenha uma compreensão geral de como funcionam as WANs.

O Protocolo ponto a ponto (PPP, Point-to-Point Protocol) fornece conexões de rede local para WAN com vários protocolos que lidam com TCP/IP, Intercâmbio de pacotes de redes interconectadas (IPX, Internetwork Packet Exchange) e AppleTalk simultaneamente. Ele pode ser usado em linhas de par trançado, de fibra óptica e na transmissão via satélite. O PPP fornece transporte em links ATM, Frame Relay, ISDN e ópticos. Em redes modernas, a segurança é uma grande preocupação. O PPP permite autenticar conexões usando o Protocolo de autenticação de senha (PAP, Password Authentication Protocol ) ou o mais eficiente Protocolo avançado de autenticação de reconhecimento (CHAP, Challenge Handshake Authentication Protocol). Eles serão apresentados na quarta seção.

Neste capítulo, você aprenderá os principais conceitos da comunicação serial e como configurar e solucionar problemas de uma conexão serial PPP em um roteador Cisco.

Exibir meio visual

2.1 Links ponto-a-ponto seriais

2.1.1 Apresentando a comunicação serial

Página 1:

Como funciona a comunicação serial?

Você sabe que a maioria dos PCs têm portas seriais e paralelas. Você também sabe que a eletricidade só pode se mover em uma velocidade. Uma forma de acelerar o deslocamento de bits em um fio é compactar os dados para que menos bits sejam necessários e, assim, exigir menos tempo no fio ou transmitir os bits simultaneamente. Os computadores usam um número relativamente pequeno de conexões paralelas entre componentes internos, mas usam um barramento serial para converter sinais em grande parte das comunicações externas.

Comparemos as comunicações serial e paralela.

Clique no botão Serial e paralela para ver a animação.

Com uma conexão serial, as informações são enviadas pelo fio, um bit de dados por vez. O conector serial de 9 pinos na maioria dos PCs usa dois fios, um em cada sentido, para a comunicação de dados, além de fios adicionais para controlar o fluxo de informações. Em qualquer sentido, os dados continuam passando por um único fio.

Uma conexão paralela envia os bits por mais fios simultaneamente. No caso da porta paralela de 25 pinos do seu PC, há oito fios que transportam dados para transportar 8 bits simultaneamente. Como há oito fios para transportar os dados, o link paralelo, em teoria, transfere dados oito vezes mais rapidamente do que uma conexão serial. Dessa forma, com base nessa teoria, uma conexão paralelo envia um byte no momento em que uma conexão serial envia um bit.

Essa explicação suscita algumas questões. O que significa, em teoria, mais rápido? Se o paralelo for mais rápido que a serial, ele será mais apropriado à conexão com uma WAN? Na verdade, esses links seriais costumam ser ajustados em uma velocidade consideravelmente maior que os links paralelos, e eles conseguem uma taxa de dados maior, por conta de dois fatores que afetam a comunicação paralela: diferença de clock e interferência de linha cruzada.

Clique no botão Diferença de clock na figura.

Em uma conexão paralela, é errado supor que os 8 bits que saem do remetente juntos cheguem ao destinatário juntos. Na verdade, alguns dos bits chegam lá mais tarde que outros. Isso é conhecido como diferença de clock. Uma diferença de clock excedente não é comum. A extremidade receptora deve sincronizar-se com o transmissor e aguardar a chegada de todos os bits. Os processos de leitura, gravação, travamento, espera pelo sinal do clock e transmissão dos 8 bits agregam tempo à transmissão. Em uma comunicação paralela, a trava é um sistema de armazenamento de dados utilizado para guardar informações em sistemas lógicos seqüenciais. Quanto mais fios você utilizar e quanto mais longe chegar a conexão, mais problemas haverá, além da presença do atraso. A necessidade de clocking coloca a transmissão paralela bem abaixo da expectativas teóricas.

E isto não ocorre com links seriais, porque a maioria deles não precisa de clocking. As conexões seriais exigem menos fios e cabos. Elas ocupam menos espaço e podem ser mais bem isoladas da interferência entre fios e cabos.

Clique no botão Interferência na figura.

Os fios paralelos são agrupados fisicamente em um cabo paralelo, e os sinais podem ficar uns sobre os outros. A possibilidade de linha cruzada nos fios exige mais processamento, especialmente em freqüências mais altas. Os barramentos seriais em computadores e roteadores, compensam a linha cruzada antes da transmissão dos bits. Como os cabos seriais têm menos fios, há menos linha cruzada, e os dispositivos de rede transmitem uma comunicação serial em freqüências mais altas, mais eficientemente.

Na maior parte dos casos, a implementação da comunicação serial é consideravelmente mais barata. A comunicação serial usa menos fios, cabos mais baratos e menos pinos conectores.

Exibir meio visual

Página 2:

Padrões de comunicação serial

Todas as comunicações de longa distância e a maioria das redes de computadores usa conexões seriais, porque o custo do cabo e as dificuldades de sincronização tornam as conexões paralelas impraticáveis. A vantagem mais significativa é uma fiação mais simples. Além disso, os cabos seriais podem ser mais longos que os cabos paralelos, porque há muito menos interação (linha cruzada) entre os condutores no cabo. Neste capítulo, restringiremos nossa consideração quanto à comunicação serial à conexão de redes locais com WANs.

A figura é uma representação simples de uma comunicação serial. Os dados são encapsulados pelo protocolo de comunicação utilizado pelo roteador de envio. O quadro encapsulado é enviado por um meio físico para a WAN. Há várias formas de atravessar a WAN, mas o roteador de recepção usa o mesmo protocolo de comunicação para desencapsular o quadro quando ele chega.

Há muitos padrões de comunicação serial diferentes, cada um usando um método de sinalização diferente. Existem três padrões de comunicação serial importantes que afetam as conexões entre rede local e WAN:

RS-232 – grande parte das portas seriais em computadores pessoais é compatível com os padrões RS-232C ou RS-422 e RS-423. São usados conectores de 9 e de 25 pinos. Uma porta serial é uma interface de finalidade geral que pode ser usada por praticamente qualquer tipo de dispositivo, inclusive modems, mouses e impressoras. Muitos dispositivos de rede utilizam conectores RJ-45 que também são compatíveis com o padrão RS-232. A figura mostra um exemplo de um conector RS-232.

V.35 – normalmente utilizado na comunicação entre modem e multiplexador, este padrão ITU para alta velocidade e troca de dados síncrona, integra a largura de banda de vários circuitos telefônicos. Nos EUA, V.35 é o padrão de interface utilizado pela maioria dos roteadores e DSUs que se conectam a operadoras de T1. Os cabos V.35 são conjuntos seriais de alta velocidade projetados para suportar taxas de dados maiores e conectividade entre DTEs e DCEs em linhas digitais. Há mais sobre DTEs e DCEs posteriormente nesta seção.

HSSI – Uma High-Speed Serial Interface (HSSI) suporta taxas de transmissão de até 52 Mb/s. Os engenheiros usam HSSI para conectar roteadores em redes locais a WANs em linhas de alta velocidade, como linhas T3. Eles também usam HSSI para fornecer conectividade de alta velocidade entre redes locais, usando Token Ring ou Ethernet. HSSI é uma interface DTE/DCE desenvolvida pela Cisco Systems e pela T3plus Networking para atender à necessidade da comunicação de alta velocidade em links de WAN.

Clique no botão RS-232 na figura.

Além, de métodos de sinalização diferentes, cada um desses padrões usa tipos diferentes de cabos e conectores. Cada padrão desempenha uma função diferente em uma topologia entre rede local e WAN. Embora este curso não examine os detalhes dos esquemas de pinagem V.35 e HSSI, uma rápida observação do conector RS-232 de 9 pinos usado para conectar um PC a um modem ajuda a ilustrar o conceito. Um tópico posterior observa os cabos V.35 e HSSI.

Pino 1 – Detecção de operadora de dados (DCD, Data Carrier Detect) indica que a operadora dos dados de transmissão está ativada.

Pino 2 – o pino de recepção (RXD) transporta dados do dispositivo serial para o computador.

Pino 3 – o pino de transmissão (TxD) transporta dados do computador para o dispositivo serial.

Pino 4 – Terminal de dados pronto (DTR, Data Terminal Ready ) indica para o modem que o computador está pronto para transmissão.

Pino 5 – terra. Pino 6 – Conjunto de dados pronto (DSR, Data Set Ready) é semelhante a DTR.

Ele indica que o Dataset está ativado. Pino 7 – o pino RTS precisa de folga para enviar dados a um modem.

Pino 8 – o dispositivo serial utiliza o pino Clear to Send (CTS) para confirmar o sinal RTS do computador. Na maioria das situações, RTS e CTS estão sempre ativos em toda a sessão de comunicação.

Pino 9 – um modem de resposta automática utiliza o Ring Indicator (RI) para sinalizar o recebimento de um sinal de toque telefônico.

Os pinos DCD e RI só estão disponíveis em conexões com um modem. Essas duas linhas são utilizadas raramente porque grande parte dos modems transmite informações de status para um PC quando um sinal de operadora é detectado (quando uma conexão é estabelecida com outro modem) ou quando o modem recebe um sinal de toque da linha telefônica.

Exibir meio visual

2.1.2 TDM

Página 1:

Multiplexação por divisão de tempo

A Bell Laboratories inventou a multiplexação por divisão de tempo (TDM, time division multiplexing) para maximizar a quantidade de tráfego de voz transmitido por um meio. Antes da multiplexação, cada chamada telefônica precisava de um link físico próprio. Essa era uma solução cara e não escalável. TDM divide a largura de banda de um único link em canais separados ou slots de tempo. TDM transmite dois ou mais canais pelo mesmo link, alocando um intervalo diferente (slot de tempo) para a transmissão de cada canal. Na verdade, os canais revezam a utilização do link.

TDM é um conceito da camada física. Ele não tem nada a ver com o futuro das informações multiplexadas no canal de saída do comando. TDM é independente do protocolo de Camada 2 que possa ser utilizado pelos canais de input.

TDM pode ser explicada por uma analogia com o tráfego de uma rodovia. Para transportar o tráfego de quatro estradas para outra cidade, você pode enviar todo ele em uma só pista caso as estradas que se ligam à ela estejam igualmente em boas condições e o tráfego esteja sincronizado. Dessa forma, se cada uma das quatro estradas colocar um carro na rodovia principal a cada quatro segundos, ela receberá um carro a cada segundo. Desde que a velocidade de todos os carros esteja sincronizada, não haverá colisão. No destino, acontece o inverso, e os carros saem da rodovia e entram nas estradas locais pelo mesmo mecanismo síncrono.

Este é o princípio utilizado na TDM síncrona durante o envio de dados por um link. A TDM aumenta a capacidade do link de transmissão, dividindo o tempo em intervalos menores para que o link transporte os bits de várias origens de input, o que aumenta efetivamente o número de bits transmitidos por segundo. Com TDM, o transmissor e o receptor sabem exatamente o sinal enviado.

Em nosso exemplo, um multiplexador (MUX) no transmissor aceita três sinais distintos. O MUX divide todo sinal em segmentos. O MUX coloca cada segmento em um único canal, inserindo cada segmento em um slot de tempo.

Um MUX na extremidade de recepção reagrupa o fluxo TDM em três fluxos de dados distintos com base exclusivamente no timing de chegada de cada bit. Uma técnica chamada entrelaçamento de bits controla o número e a seqüência dos bits de cada transmissão específica para que eles possam ser reagrupados de maneira rápida e eficiente em sua forma original durante o recebimento. O entrelaçamento de bits realiza as mesmas funções, mas como há oito bits em cada byte, o processo precisa de um slot de tempo maior.

Exibir meio visual

Página 2:

Multiplexação estatística por divisão de tempo

Em outra analogia, compare TDM com um trem de 32 vagões. Cada vagão é de uma empresa de frete diferente, e diariamente o trem sai com os 32 vagões em carreira. Se uma das empresas tiver carga a ser enviada, o vagão será carregado. Se a empresa não tiver nada para enviar, o vagão permanecerá vazio, mas continuará no trem. Enviar contêineres vazios não é muito eficiente. A TDM apresenta essa deficiência quando o tráfego é intermitente, porque o slot de tempo continua alocado, mesmo quando o canal não tem nenhum dado a ser transmitido.

A Multiplexação estatística por divisão de tempo (STDM, Statistical time-division multiplexing) foi desenvolvida para superar essa deficiência. A STDM utiliza um slot de tempo variável, o que permite aos canais competir por qualquer espaço livre. Ele emprega uma memória de buffer que armazena temporariamente os dados durante períodos de pico do tráfego. A STDM não desperdiça tempo de linha de alta velocidade

com canais inativos que utilizam esse esquema. A STDM exige que cada transmissão transporte informações de identificação (um identificador de canal).

Exibir meio visual

Página 3:

Exemplos de TDM – ISDN e SONET

Um exemplo de uma tecnologia que utiliza a TDM síncrona é a ISDN. A ISDN basic rate (BRI) tem três canais que consistem em dois canais B de 64 kb/s (B1 e B2) e um canal D de 16 kb/s. A TDM tem nove slots de tempo, repetidos na seqüência mostrada na figura.

Em uma escala maior, o setor de telecomunicação utiliza o padrão SONET ou SDH no transporte óptico dos dados TDM. O SONET, utilizado na América do Norte, e o SDH, utilizado nos demais lugares, são dois padrões muito semelhantes que especificam parâmetros de interface, taxas, formatos de quadros, métodos de multiplexação e gerenciamento de TDM síncrono por fibra.

Clique no botão SONET na figura.

A figura exibe um exemplo de TDM estatística. SONET/SDH usa n fluxos de bits, multiplexa e modula o sinal de maneira óptica, envia utilizando um dispositivo emissor de luz em fibra com uma taxa de bits igual a (taxa de bits recebidos) x n. Dessa forma, o tráfego recebido no multiplexador SONET de quatro locais a 2,5 Gb/s sai como um único fluxo a 4 x 2,5 Gb/s ou 10 Gb/s. Esse princípio está ilustrado na figura, que mostra um aumento na taxa de bits de quatro vezes o slot de tempo.

Clique no botão DS0 na figura.

A unidade original utilizada em chamadas telefônicas de multiplexação é de 64 kb/s, o que representa uma chamada telefônica. Isso é conhecido como DS-0 ou DS0 (nível de sinal digital igual a zero). Na América do Norte, 24 unidades DS0 são multiplexadas utilizando-se a TDM em um sinal da taxa de bits maior com uma velocidade agregada

de 1,544 Mb/s para a transmissão em linhas T1. Fora da América do Norte, 32 unidades DS0 são multiplexadas para a transmissão E1 a 2,048 Mb/s.

A hierarquia em nível de sinal para chamadas telefônicas de multiplexação é mostrada na tabela. Como adendo, embora seja comum a referência a uma transmissão a 1,544 Mb/s como T1, é mais correto se referir a ela como DS1.

Clique no botão Hierarquia de operadora-T na figura.

A operadora T se refere ao grupo de DS0s. Por exemplo, um T1 = 24 DS0s, um T1C = 48 DS0s (ou 2 T1s) e assim por diante. A figura mostra uma hierarquia de infra-estrutura de operadora T. A hierarquia de operadora E é semelhante.

Exibir meio visual

2.1.3 Ponto de demarcação

Página 1:

Ponto de demarcação

Antes da desregulamentação na América do Norte e nos demais países, as companhias telefônicas eram proprietárias do loop local, inclusive da fiação e do equipamento local dos clientes. A desregulamentação forçou as companhias telefônicas a desmembrar sua infra-estrutura de loop local para permitir que outros fornecedores cedessem equipamentos e serviços. Isso levou a uma necessidade de delinear a parte da rede de propriedade da companhia telefônica e a parte de propriedade do cliente. Esse ponto de delineação é o de demarcação, ou demarc. A demarcação indica o ponto em que a sua rede mantém interface com a rede de propriedade de outra organização. Na terminologia telefônica, essa é a interface entre o equipamento local do cliente (CPE) e o equipamento da operadora do serviço de rede. A demarcação é o ponto da rede em que cessa a responsabilidade da operadora.

O exemplo apresenta um cenário ISDN. Nos Estados Unidos, uma operadora fornece o loop local no equipamento do cliente, e o cliente fornece o equipamento ativo, como a unidade de serviço do canal/dados (CSU/DSU) em que se encerra o loop local. Esse encerramento costuma ocorrer em um armário de telecomunicação, sendo o cliente o responsável por manter, trocar ou reparar o equipamento. Em outros países, a unidade

de terminação de rede (NTU) é fornecida e gerenciada pela operadora. Isso permite à operadora gerenciar ativamente e solucionar problemas do loop local com o ponto de demarcação após a NTU. O cliente conecta um dispositivo CPE, como um roteador ou dispositivo de acesso Frame Relay (FRAD), à NTU utilizando uma interface serial V.35 ou RS-232.

Exibir meio visual

2.1.4 DTE e DCE

Página 1:

DTE-DCE

Do ponto de vista da conexão com a WAN, uma conexão serial tem um dispositivo DTE em uma extremidade da conexão e um dispositivo DCE na outra. A conexão entre os dois dispositivos DCE é a rede de transmissão da operadora WAN. Neste caso:

O CPE, que costuma ser um roteador, é o DTE. O DTE também pode ser um terminal, computador, impressora ou aparelho de fax, caso eles sejam conectados diretamente à rede da operadora.

O DCE, normalmente um modem ou CSU/DSU, é o dispositivo utilizado para converter os dados do usuário do DTE em uma forma aceitável para o link de transmissão da operadora WAN. Esse sinal é recebido no DCE remoto, que decodifica o sinal novamente em uma seqüência de bits. Em seguida, o DCE remoto sinaliza essa seqüência para o DTE remoto.

A Associação das indústrias de eletrônica (EIA, Electronics Industry Association ) e o International Telecommunication Union Telecommunications Standardization Sector (ITU-T) têm participado ativamente do desenvolvimento de padrões que permitem a comunicação entre os DTEs e os DCEs. A EIA se refere ao DCE como equipamento de comunicação de dados, e o ITU-T se refere ao DCE como equipamento terminal de circuito.

Exibir meio visual

Página 2:

Padrões de cabo

Originalmente, o conceito de DCEs e DTEs se baseava em dois tipos de equipamento: terminal que gerava ou recebia dados e de comunicação, que apenas retransmitia dados. No desenvolvimento do padrão RS-232, havia razões pelas quais os conectores RS-232 de 25 pinos nesses dois tipos de equipamento precisavam de fiações diferentes. Essas razões não são mais significativas, mas ainda temos dois tipos diferentes de cabos: um para conectar um DTE a um DCE e outro para conectar dois DTEs diretamente.

A interface DTE/DCE de um determinado padrão define as seguintes especificações:

Mecânica/física – número de pinos e tipo de conector elétrica – define níveis de tensão para 0 e 1 Funcional – especifica as funções desempenhadas, atribuindo-se significados a

cada uma das linhas de sinalização na interface Procedimento – especifica a seqüência de eventos para transmitir dados

Clique no botão Modem nulo na figura.

O padrão RS-232 original só definia a conexão de DTEs com DCEs, que eram modems. No entanto, se você quiser conectar dois DTEs, como dois computadores ou dois roteadores no laboratório, um cabo especial chamado modem nulo eliminará a necessidade de um DCE. Em outras palavras, os dois dispositivos podem ser conectados sem um modem. Um modem nulo é um método de comunicação para conectar diretamente dois DTEs, como um computador, terminal ou impressora, utilizando-se um cabo serial RS-232. Com uma conexão de modem nulo, as linhas de transmissão (Tx) e de recepção (Rx) em links cruzados são mostradas na figura. Os dispositivos Cisco suportam padrões EIA/TIA-232, EIA/TIA-449, V.35, X.21 e EIA/TIA-530.

Clique no botão DB-60 na figura.

O cabo da conexão DTE com DCE é um cabo de transição serial blindado. A extremidade de roteador do cabo de transição serial blindado pode ser um conector DB-60, conectado à porta DB-60 em uma placa de interface WAN serial. A outra extremidade do cabo de transição serial está disponível com um conector apropriado para o padrão a ser utilizado. O provedor WAN ou a CSU/DSU normalmente indica esse tipo de cabo.

Clique no botão Smart Serial na figura.

Para suportar densidades de porta maiores em um form factor, a Cisco apresentou um cabo Smart Serial. A extremidade da interface do roteador do cabo Smart Serial é um conector de 26 pinos muito mais compacto do que o conector DB-60.

Clique no botão Roteador-a-roteador na figura.

Ao utilizar um modem nulo, lembre-se de que a conexão síncrona exige um sinal de clock. Um dispositivo externo pode gerar o sinal, ou um dos DTEs pode gerar o sinal de clock. Quando um DTE e um DCE forem conectados, a porta serial em um roteador será a extremidade DTE da conexão por padrão, e o sinal de clock será normalmente fornecido por uma CSU/DSU ou um dispositivo DCE. No entanto, ao utilizar um cabo de modem nulo em uma conexão roteador-a-roteador, uma das interfaces seriais deve ser configurada como a extremidade DCE para fornecer o sinal de clock à conexão.

Exibir meio visual

Página 3:

Conversão de serial em paralelo

Os termos DTE e DCE estão relacionados quanto à parte de uma rede observada. RS-232C é o padrão recomendado (RS) que descreve a interface física e o protocolo para comunicação de dados seriais com velocidade relativamente baixa entre computadores e dispositivos relacionados. A EIA definiu originalmente o RS-232C para dispositivos de teleimpressora. O DTE é a interface RS-232C utilizada por um computador para trocar dados com um modem ou outro dispositivo serial. O DCE é a interface RS-232C utilizada por um modem ou outro dispositivo serial na troca de dados com o computador.

Por exemplo, o seu PC normalmente utiliza uma interface RS-232C para comunicar e trocar dados com dispositivos seriais conectados, como um modem. O seu PC também tem um chip Receptor/transmissor assíncrono universal (UART, Universal Asynchronous Receiver/Transmitter) na placa-mãe. Como os dados no seu PC fluem pelos circuitos paralelos, o chip UART converte os grupos de bits paralelos em um fluxo serial de bits. Para funcionar mais rapidamente, um chip UART tem buffers para que os dados provenientes do barramento do sistema sejam armazenados em cache

durante o processamento dos dados que saem pela porta serial. O UART é o agente DTE do seu PC e se comunica com o modem ou outro dispositivo serial, que, de acordo com o padrão RS-232C, tem uma interface complementar chamada de interface DCE.

Exibir meio visual

2.1.5 Encapsulamento HDLC

Página 1:

Protocolos de encapsulamento WAN

Em cada conexão WAN, os dados são encapsulados em quadros antes de cruzar o link de WAN. Para assegurar que o protocolo correto seja utilizado, você precisa configurar o tipo de encapsulamento da Camada 2 apropriado. A opção do protocolo depende da tecnologia WAN e do equipamento de comunicação. Os protocolos WAN mais comuns e onde eles são utilizados são mostrados na figura, além de breves descrições:

HDLC – o tipo de encapsulamento padrão em conexões ponto-a-ponto, links dedicados e conexões de circuito comutado quando o link utilizado dois dispositivos Cisco. HDLC agora é a base para PPP síncrono utilizado por muitos servidores para se conectar a uma WAN, mais normalmente a Internet.

PPP – fornece conexões roteador-a-roteador e host-a-rede em circuitos síncronos e assíncronos. O PPP funciona com vários protocolos da camada de rede, como IP e IPX. O PPP também tem mecanismos de segurança internos, como PAP e CHAP. Grande parte deste capítulo aborda o PPP.

Protocolo de internet de linha serial (SLIP, Serial Line Internet Protocol) – um protocolo padrão para conexões seriais ponto-a-ponto que utiliza TCP/IP. O SLIP foi amplamente desbancado por PPP.

X.25/Procedimento de acesso ao link, balanceado (LAPB, Link Access Procedure, Balanced) – o padrão ITU-T que define como a conexão entre um DTE e um DCE é mantida para acesso ao terminal remoto e uma comunicação do computador em redes de dados públicas. X.25 especifica LAPB, um protocolo DLL (camada de enlace). X.25 é um antecessor do Frame Relay.

Frame Relay – protocolo DLL, padrão, comutado, que lida com vários circuitos virtuais. Frame Relay é um protocolo da geração seguinte à do X.25. Frame Relay elimina alguns dos processos mais demorados (como correção de erro e controle de fluxo) empregados no X.25. O próximo capítulo se destina ao Frame Relay.

ATM – o padrão internacional de retransmissão de célula no qual os dispositivos enviam vários tipos de serviço (como voz, vídeo ou dados) em células de tamanho fixo (53 bytes). As células de tamanho fixo permitem que o processamento ocorra no hardware, o que reduz atrasos de trânsito. O ATM usufrui meio de transmissão de alta velocidade, como E3, SONET e T3.

Exibir meio visual

Página 2:

Encapsulamento HDLC

HDLC é um protocolo orientado para bit da camada de enlace síncrono desenvolvido pela Organização internacional para padronização (ISO, International Organization for Standardization). O padrão atual do HDLC é ISO 13239. O HDLC foi desenvolvido a partir do padrão Controle de enlace de dados síncrono (SDLC, Synchronous Data Link Control) proposto nos anos 70. O HDLC fornece serviços orientados à conexão e sem conexão.

O HDLC utiliza transmissão serial síncrona para fornecer uma comunicação sem erros entre dois pontos. O HDLC define uma estrutura de quadros da Camada 2 que permite o controle de fluxo e o controle de erros por meio da utilização de confirmações. Cada quadro tem o mesmo formato, independentemente do quadro ser de dados ou de controle.

Quando quiser transmitir quadros por links síncronos ou assíncronos, você deverá se lembrar de que esses links não têm nenhum mecanismo para marcar o início ou o término dos quadros. O HDLC utiliza um delimitador de quadros, ou flag, para marcar o início e o término de cada quadro.

A Cisco desenvolveu uma extensão para o protocolo HDLC a fim de resolver a impossibilidade de fornecer suporte a vários protocolos. Embora o Cisco HDLC (também conhecido como cHDLC) seja próprio, a Cisco permitiu sua implementação por muitos outros fornecedores de equipamentos. Os quadros Cisco HDLC contêm um campo para identificar o protocolo de rede encapsulado. A figura compara o HDLC com o Cisco HDLC.

Clique no botão Tipos de quadro HDLC na figura.

O HDLC define três tipos de quadros, cada um com um formato de campo de controle diferente. As seguintes descrições resumem os campos ilustrados na figura.

Flag – o campo de flag inicia e encerra a verificação de erros. O quadro sempre começa e termina com um campo de flag de 8 bits. O de bits é 01111110. Como existe uma probabilidade de que esse padrão ocorra nos dados reais, como o sistema HDLC de envio sempre insere um bit 0 após cada cinco 1s no campo de dados, na prática, a seqüência do flag só pode ocorrer no encerramento do quadro. O sistema de recepção remove os bits inseridos. Quando os quadros são transmitidos de maneira consecutiva, o flag final do primeiro quadro é utilizado como o flag inicial do próximo quadro.

Endereço – o campo de endereço contém o endereço HDLC da estação secundária. Esse endereço pode ser um específico, um de grupos ou um endereço de broadcast. Um endereço primário é uma origem ou um destino de comunicação, que elimina a necessidade de incluir o endereço do primário.

Controle – o campo de controle utiliza três formatos diferentes, dependendo do tipo de quadro HDLC utilizado:

Quadro de informações (I): os quadros I transportam informações de camada superior e algumas informações de controle. Esse quadro envia e recebe números de sequência, e o bit poll final (P/F) executa o controle de fluxo e de erro. O número de seqüência de envio consulta o número do quadro a ser enviado em seguida. O número de seqüência de recebimento fornece o número do quadro a ser recebido em seguida. O remetente e o receptor mantêm números de seqüência de envio e de recebimento. Uma estação primária utiliza o bit P/F para informar à secundária se exige ou não uma resposta imediata. Uma estação secundária utiliza o bit P/F para informar à primária se o quadro atual é o último em sua resposta atual.

Quadro de supervisor (S): os quadros S fornecem informações de controle. Um quadro S pode solicitar e suspender a transmissão, o relatório de status e a confirmação de recebimento dos quadros I. Os quadros S não têm um campo de informações.

Quadro sem número (U): os quadros U suportam finalidades de suporte, não estando em seqüência. Um quadro U pode ser utilizado para inicializar secundários. Dependendo da função do quadro U, seu campo de controle tem 1 ou 2 bytes. Alguns quadros U não têm um campo de informações.

Protocolo – (utilizado apenas no Cisco HDLC) esse campo especifica o tipo de protocolo encapsulado dentro do quadro (por exemplo, 0x0800 para IP).

Dados – o campo de dados contém uma unidade de informações sobre o caminho (PIU) ou informações de identificação de troca (XID).

Seqüência de verificação de quadros (FCS) – o FCS precede o delimitador de flag final, sendo normalmente um lembrete de cálculo da verificação de redundância cíclica (CRC). O cálculo de CRC é refeito no receptor. Se o resultado for diferente do valor no quadro original, haverá a pressuposição de um erro.

Exibir meio visual

2.1.6 Configurando o encapsulamento HDLC

Página 1:

Configurando o encapsulamento HDLC

Cisco HDLC é o método de encapsulamento padrão utilizado por dispositivos Cisco em linhas seriais síncronas.

Você utiliza o Cisco HDLC como um protocolo ponto-a-ponto em linhas alugadas entre dois dispositivos Cisco. Se você estiver se conectando a um dispositivo que não seja Cisco, utilize PPP síncrono.

Se o método de encapsulamento padrão tiver sido alterado, utilize o comando encapsulation hdlc no modo privilegiado para reabilitar o HDLC.

Há duas etapas para habilitar o encapsulamento HDLC:

Etapa 1. Entrar no modo de configuração da interface serial.

Etapa 2. Digitar o comando encapsulation hdlc para especificar o protocolo de encapsulamento na interface.

Exibir meio visual

2.1.7 Identificação e solução de problemas de uma interface serial

Página 1:

A saída do comando show interfaces serial exibe informações específicas para interfaces seriais. Quando o HDLC é configurado, o "HDLC de encapsulamento" deve se refletir na saída do comando, conforme realçado na figura.

Clique no botão Estados possíveis na figura.

O comando show interface serial retorna um dos cinco estados possíveis. Você pode identificar qualquer um dos cinco estados de problema possíveis na linha de status da interface:

Clique no botão Status na figura.

Serial x is down, line protocol is down Serial x is up, line protocol is down Serial x is up, line protocol is up (looped) Serial x is up, line protocol is down (disabled) Serial x is administratively down, line protocol is down

Clique no botão Controladores na figura.

O comando show controllers é outra ferramenta de diagnóstico importante durante a solução de problemas de linhas seriais. A saída do comando indica o estado dos canais de interface e se um cabo está conectado à interface. Na figura, a interface serial 0/0 tem um cabo DCE V.35 conectado. A sintaxe de comando varia de acordo com a plataforma. Os roteadores da série Cisco 7000 utilizam uma placa controladora cBus para a conexão de links seriais. Com esses roteadores, utilize o comando show controllers cbus.

Se a saída do comando da interface elétrica for mostrada como UNKNOWN, e não V.35, EIA/TIA-449 ou algum outro tipo de interface elétrica, o possível problema será um cabo conectado incorretamente. Também é possível que haja um problema com a fiação interna da placa. Se a interface elétrica for desconhecida, a tela correspondente

do comando show interfaces serial <x> mostrará que a interface e o protocolo de linha estão desativados.

Exibir meio visual

Página 2:

Nesta atividade, você irá praticar a solução de problemas em interfaces seriais. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual


2.2 Conceitos de PPP

2.2.1 Apresentando o PPP

Página 1:

O que é PPP?

Lembre-se de que o HDLC é o método de encapsulamento serial padrão quando você conecta dois roteadores Cisco. Com um tipo de campo de protocolo adicionado, a versão Cisco do HDLC é própria. Por isso, o Cisco HDLC só pode funcionar com outros dispositivos Cisco. No entanto, ao precisar se conectar a um roteador que não seja Cisco, você deve utilizar o encapsulamento PPP.

O encapsulamento PPP foi projetado cuidadosamente para manter a compatibilidade com o hardware de suporte mais utilizado. O PPP encapsula quadros de dados para transmissão em links físicos da Camada 2. O PPP estabelece uma conexão direta

utilizando cabos seriais, linhas telefônicas, linhas de tronco, telefones celulares, links de rádio especiais ou links de fibra óptica. Há muitas vantagens em utilizar PPP, inclusive o fato de não ser propriedade de ninguém. Além disso, ele inclui muitos recursos não disponíveis no HDLC:

O recurso de gerenciamento de qualidade do link monitora a qualidade do link. Se forem detectados muitos erros, o PPP desativará o link.

O PPP suporta a autenticação PAP e CHAP. Este recurso será explicado e praticado em uma seção posterior.

PPP contém três componentes principais:

O protocolo HDLC para encapsulamento de datagramas em links ponto-a-ponto. Protocolo de controle do link extensível (LCP, Link Control Protocol) para

estabelecer, configurar e testar a conexão do link de dados. Família de Protocolos de controle de rede (NCP, Network Control Protocol)

para estabelecer e configurar protocolos da camada de rede diferentes. O PPP permite a utilização simultânea de vários protocolos da camada de rede. Alguns dos NCPs mais comuns são o Protocolo de controle de protocolo da internet, Protocolo de controle Appletalk, Protocolo de controle Novell IPX, Protocolo de controle Cisco Systems, Protocolo de controle SNA e Protocolo de controle de compressão.

Exibir meio visual

2.2.2 Arquitetura de camadas PPP

Página 1:

Arquitetura PPP

Uma arquitetura de camadas é um modelo lógico, design ou plano que auxilia na comunicação entre camadas de interconexão. A figura mapeia a arquitetura de camadas do PPP em relação ao modelo Open System Interconnection (OSI). PPP e OSI têm a mesma camada física, mas PPP distribui as funções de LCP e NCP de maneira diferente.

Na camada física, você pode configurar o PPP em várias interfaces, incluindo:

Serial assíncrona Serial síncrona HSSI ISDN

O PPP funciona em qualquer interface DTE/DCE (RS-232-C, RS-422, RS-423 ou V.35). O único requisito absoluto imposto pelo PPP é um circuito bidirecional, dedicado ou comutado, capaz de funcionar em modos seriais de bits assíncronos ou síncronos, transparentes para quadros de camada de enlace PPP. O PPP não impõe nenhuma restrição quanto à taxa de transmissão que não seja a imposta pela interface DTE/DCE em particular sendo utilizada.

Grande parte do trabalho feito pelo PPP acontece nas camadas de enlace e de rede pelo LCP e pelos NCPs. O LCP configura a conexão PPP e seus parâmetros, os NCPs lidam com configurações de protocolo da camada superior e o LCP encerra a conexão PPP.

Exibir meio visual

Página 2:

Arquitetura PPP – camada Link Control Protocol

O LCP é a parte funcional real do PPP. O LCP fica acima da camada física e tem uma função de estabelecer, configurar e testar a conexão de enlace. O LCP estabelece o link ponto-a-ponto. O LCP também negocia e configura opções de controle no vínculo WAN, que são tratadas pelo NCPs.

O LCP fornece a configuração automática das interfaces em cada extremidade, incluindo:

Lidar com limites variáveis de tamanho de pacote Detectar erros mais comuns de configuração incorreta Encerrar o link Determinar quando um link está funcionando corretamente ou quando há falha

O PPP também utiliza o LCP para determinar automaticamente os formatos de encapsulamento (autenticação, compressão, detecção de erros) assim que o link é estabelecido.

Exibir meio visual

Página 3:

Arquitetura PPP – Camada de protocolo de controle de rede

Os links ponto-a-ponto tendem a piorar muitos problemas com a família atual de protocolos de rede. Por exemplo, a atribuição e o gerenciamento de endereços IP, que são problemáticos até mesmo em ambientes de rede local, são especialmente difíceis em links ponto-a-ponto de circuito comutado (como servidores de modem dialup). O PPP resolve esses problemas que utilizam NCPs.

O PPP permite a vários protocolos da camada de rede funcionar no mesmo link de comunicação. Para todos os protocolo da camada de rede utilizados, o PPP utiliza um NCP em separado. Por exemplo, IP utiliza o Protocolo de controle IP (IPCP, IP Control Protocol), e o IPX utiliza o Protocolo de controle Novell IPX (IPXCP, IPX Control Protocol).

Clique no botão Camada de rede na figura.

Os NCPs incluem campos funcionais que contêm códigos padronizados (os números de campo do protocolo PPP mostrados na figura) para indicar o protocolo da camada de rede encapsulado pelo PPP. Cada NCP gerencia as necessidades específicas exigidas por seus respectivos protocolos da camada de rede. Os vários componentes NCP encapsulam e negociam opções para vários protocolos da camada de rede. A utilização de NCPs para configurar os vários protocolos da camada de rede será explicada e praticada posteriormente neste capítulo.

Exibir meio visual

2.2.3 Estrutura de quadros de PPP

Página 1:

Estrutura de quadros de PPP

Um quadro PPP tem seis campos conforme mostrados na figura.

Passe o seu mouse sobre cada campo para obter uma explicação do que cada um contém.

O LCP pode negociar modificações na estrutura do quadro PPP padrão.

Exibir meio visual

2.2.4 Estabelecendo uma sessão PPP

Página 1:

Estabelecendo uma sessão PPP

A figura mostra as três fases do estabelecimento de uma sessão PPP:

Fase 1: estabelecimento do link e negociação da configuração – antes do PPP trocar diagramas da camada de rede (por exemplo, IP), o LCP deve abrir primeiro a conexão e negociar as opções de configuração. Essa fase é concluída quando o roteador de recebimento envia um quadro de confirmação da configuração de volta para o roteador que inicia a conexão.

Fase 2: determinação da qualidade do link (opcional) – o LCP testa o link para determinar se a qualidade do link é suficiente para carregar protocolos da camada de rede. O LCP pode atrasar a transmissão das informações do protocolo da camada de rede até a conclusão dessa fase.

Fase 3: negociação da configuração do protocolo da camada de rede – depois que o LCP conclui a fase de determinação da qualidade do link, o NCP apropriado pode configurar separadamente os protocolos da camada de rede, carregá-los e desativá-los a qualquer momento. Se o LCP fechar o link, ele informará os protocolos da camada de rede para que eles possam executar a ação apropriada.

O link continua configurado para comunicação até que os quadros LCP ou NCP explícitos fechem o link ou até que ocorra algum evento externo (por exemplo, um temporizador de inatividade expira ou um usuário intervém). O LCP pode encerrar o link a qualquer momento. Isso costuma ser feito quando um dos roteadores solicita o encerramento, mas pode acontecer por conta de um evento físico, como a perda de uma operadora ou a expiração de um temporizador de período inativo.

Exibir meio visual

2.2.5 Estabelecendo um link com LCP

Página 1:

Funcionamento LCP

O funcionamento LCP inclui provisões para o estabelecimento, a manutenção e o encerramento do link. O funcionamento LCP utiliza três classes de quadros LCP para realizar o trabalho de cada uma das fases LCP:

Quadros de estabelecimento de link estabelecem e configuram um link (Configure-Request, Configure-Ack, Configure-Nak e Configure-Reject)

Quadros de manutenção de link gerenciam e depuram um link (Code-Reject, Protocol-Reject, Echo-Request, Echo-Reply e Discard-Request)

Quadros de encerramento de link encerram um link (Terminate-Request e Terminate-Ack)

A primeira fase do funcionamento LCP é o estabelecimento do link. Essa fase deve ser concluída com êxito, antes de troca de qualquer pacote da camada de rede. Durante o estabelecimento do link, o LCP abre a conexão e negocia os parâmetros da configuração.

Clique no botão Negociação de link na figura.

O processo de estabelecimento do link começa com o dispositivo iniciador enviando um quadro Configure-Request para o destinatário. O quadro Configure-Request inclui um número variável de opções de configuração necessárias à configuração no link. Em outras palavras, o iniciador enviou uma "lista de desejos" para o destinatário.

A lista de desejos do iniciador inclui opções para como ele deseja que o link seja criado, inclusive protocolo ou parâmetros de autenticação. O destinatário processa a lista de desejos e, se aceitável, responde com uma mensagem Configure-Ack. Depois de receber a mensagem Configure-Ack, o processo passa ao estágio de autenticação.

Se as opções não forem aceitáveis ou não forem reconhecidas, o destinatário enviará um Configure-Nak ou Configure-Reject. Se uma Configure-Ack for recebida, o funcionamento do link será passado ao NCP. Se uma mensagem Configure-Nak ou Configure-Reject for enviada para o solicitante, o link não será estabelecido. Se houver falha na negociação, o iniciador precisará reiniciar o processo com novas opções.

Durante a manutenção do link, o LCP pode utilizar mensagens para fornecer comentários e testar o link.

Code-Reject e Protocol-Reject – esses tipos de quadro fornecem comentários quando um dispositivo recebe um quadro inválido devido a um código LCP não reconhecido (tipo de quadro LCP) ou um identificador de protocolo inválido. Por exemplo, se um pacote que não pode ser interpretado for recebido no mesmo nível, o pacote Code-Reject será enviado em resposta.

Echo-Request, Echo-Reply e Discard-Request – esses quadros podem ser utilizados para testar o link.

Depois da transferência de dados na camada de rede, o LCP encerra o link. Na figura, observe que o NCP só finaliza a camada de rede e o link NCP. O link continua aberto até que o LCP seja encerrado. Se o LCP encerrar o link antes do NCP, a sessão NCP também será encerrada.

O PPP pode encerrar o link a qualquer momento. Isso pode acontecer por conta da perda da operadora, da falha na autenticação, da falha na qualidade do link, da expiração de um temporizador de período inativo ou do fechamento administrativo do link. O LCP fecha o link, trocando pacotes Terminate. O dispositivo que inicia o desligamento envia uma mensagem Terminate-Request. O outro dispositivo responde com um Terminate-Ack. Uma solicitação de encerramento indica que o dispositivo de envio precisa fechar o link. Quando o link for fechado, o PPP informará os protocolos da camada de rede para que eles possam executar a ação apropriada.

Exibir meio visual

Pacote LCP

A figura mostra os campos de um pacote LCP.

Passe o mouse sobre cada campo e leia a descrição.

Cada pacote LCP é uma mensagem LCP única que consiste em um campo de código LCP que identifica o tipo de pacote LCP, um campo identificador para que as solicitações e as respostas sejam correspondentes e um campo de tamanho que indica o tamanho do pacote LCP e os dados específicos do tipo.

Clique no botão Códigos LCP na figura.

Cada pacote LCP tem uma função específica na troca de informações sobre a configuração que depende do tipo de pacote. O campo de código do pacote LCP identifica o tipo de pacote de acordo com a tabela.

Exibir meio visual

Página 3:

Opções de configuração PPP

O PPP pode ser configurado para suportar várias funções, inclusive:

Autenticação que utiliza PAP ou CHAP Compressão que utiliza Stacker ou Predictor Vários links que integram dois ou mais canais para aumentar a largura de banda

WAN

Essas opções serão abordadas com mais detalhes na próxima seção.

Clique no botão Campo de opção LCP na figura.

Para negociar a utilização dessas opções PPP, os quadros de estabelecimento do link LCP contêm informações de opção no campo de dados do quadro LCP. Se uma opção de configuração não for incluída em um quadro LCP, o valor padrão dessa opção de configuração será assumido.

Essa fase é concluída quando um quadro de confirmação da configuração foi enviado e recebido.

Exibir meio visual

2.2.6 Explicação do NCP

Página 1:

Processo NCP

Depois que o link for iniciado, o LCP passará o controle para o NCP apropriado. Embora inicialmente projetado para datagramas IP, o PPP pode transportar dados de muitos tipos de protocolos da camada de rede, utilizando uma abordagem modular em sua implementação. Ele também pode transportar dois ou mais protocolos da Camada 3 simultaneamente. O modelo modular permite ao LCP configurar o link e apresentar os detalhes de um protocolo de rede a um NCP específico. Cada protocolo de rede tem um NCP correspondente. Cada NCP tem uma RFC correspondente. Há NCPs para IP, IPX, AppleTalk e muitos outros. NCPs utilizam o mesmo formato de pacote dos LCPs.

Depois que o LCP configurou e autenticou o link básico, o NCP apropriado será requisitado para concluir a configuração específica do protocolo da camada de rede utilizado. Quando o NCP configurar o protocolo da camada de rede com êxito, o protocolo de rede estará no estado aberto no link TCP estabelecido. Nesse momento, o PPP pode transportar os pacotes do protocolo da camada de rede correspondentes.

Exemplo de IPCP

Como um exemplo de como funciona a camada NCP, IP, que é o protocolo da Camada 3 mais comum, é utilizado. Depois que LCP estabelece o link, os roteadores trocam mensagens IPCP, negociando opções específicas do protocolo. O IPCP é responsável por configurar, habilitar e desabilitar os módulos IP em ambas as extremidades do link.

O IPCP negocia duas opções:

Compressão – permite aos dispositivos negociar um algoritmo para comprimir os cabeçalhos TCP e IP e economizar largura de banda. A compressão de cabeçalho TCP/IP Van Jacobson reduz o tamanho dos cabeçalhos TCP/IP para menos de 3 bytes. Essa pode ser uma melhoria significativa em linhas seriais lentas, especialmente no tráfego interativo.

Endereço IP – permite ao dispositivo de início especificar um endereço IP para utilizar IP de roteamento no link PPP ou solicitar um endereço IPP para o destinatário. Os links de rede dialup utilizam mais a opção de endereço IP.

Quando o processo NCP estiver concluído, o link entrará no estado aberto e o LCP reassumirá. O tráfego de link consiste em todas as combinações possíveis de pacotes de protocolos LCP, NCP e da camada de rede. Dessa forma, a figura mostra como as mensagens LCP podem ser utilizadas por um dispositivo para gerenciar ou depurar o link.

Exibir meio visual


2.3 Configurando PPP

2.3.1 Opções de configuração PPP

Página 1:

Opções de configuração PPP

Na seção anterior, você foi apresentado a opções LCP que podem ser configuradas para atender a requisitos de conexão WAN específicos. PPP pode incluir as seguintes opções de LCP:

Autenticação – os roteadores de mesmo nível trocam mensagens de autenticação. As duas opções de autenticação são o Protocolo de autenticação de senha (PAP, Password Authentication Protocol) e o Protocolo avançado de autenticação de reconhecimento (CHAP, Challenge Handshake Authentication Protocol). A autenticação será explicada na próxima seção.

Compressão – aumenta a produtividade efetiva em conexões PPP, reduzindo a quantidade de dados no quadro que devem percorrer o link. O protocolo descompacta o quadro em seu destino. Os dois protocolos de compressão disponíveis em roteadores Cisco são Stacker e Predictor.

Detecção de erros – identifica condições de falha. As opções Qualidade e Magic Number ajudam a assegurar um enlace de dados confiável, sem loops. O campo Magic Number ajuda a detectar links que estejam em uma condição de loopback. Até que a opção de configuração do magic number seja negociada com êxito, este deve ser transmitido como zero. Os números mágicos (magic numbers) são gerados aleatoriamente ao final de cada conexão.

Vários links – o Cisco IOS Release 11.1 e posteriores suportam PPP de vários links. Essa alternativa fornece balanceamento de carga nas interfaces de roteador utilizadas pelo PPP. O PPP multilink (também conhecido como MP, MPPP, MLP ou multilink) fornece um método para espalhar o tráfego em vários links de WAN físicos ao mesmo tempo em que fornece a fragmentação e a remontagem de pacotes, o seqüenciamento apropriado, a interoperabilidade com vários fornecedores e o balanceamento de carga no tráfego de entrada e de saída. O multilink PPP não é abordado neste curso.

Retorno PPP – para aperfeiçoar a segurança, o Cisco IOS Release 11.1 e posteriores oferecem PPP callback. Com essa opção LCP, um roteador Cisco pode funcionar como um cliente ou um servidor de retorno. O cliente faz a chamada inicial, solicita que o servidor a retorne e encerra sua chamada inicial. O roteador de retorno responde a chamada inicial e faz a chamada de retorno para o cliente com base em suas instruções de configuração. O comando é ppp callback [accept | request].

Quando as opções são configuradas, um valor de campo correspondente é inserido no campo de opção LCP.

Exibir meio visual

2.3.2 Comandos de configuração PPP

Página 1:

Comandos de configuração PPP

Antes de você efetivamente configurar o PPP em uma interface serial, observaremos os comandos e suas sintaxes conforme mostrado na figura. Esta série de exemplos mostra como configurar o PPP e algumas das opções.

Exemplo 1: habilitando o PPP em uma interface

Para definir o PPP como o método de encapsulamento utilizado por uma interface serial ou ISDN, utilize o comando de configuração da interface encapsulation ppp.

O seguinte exemplo habilita o encapsulamento PPP na interface serial 0/0/0:

R3#configure terminal

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp

O comando encapsulation ppp não tem nenhum argumento, mas você deve primeiro configurar o roteador com um protocolo de roteamento IP para utilizar o encapsulamento PPP. Você deve se lembrar de que, se não configurar o PPP em um roteador Cisco, o encapsulamento padrão das interfaces seriais é HDLC.

Exemplo 2: compressão

Você pode configurar a compressão de software ponto-a-ponto em interfaces seriais depois de habilitar o encapsulamento PPP. Como essa opção requisita um processo de compressão de software, ela pode afetar o desempenho do sistema. Se o tráfego já

consistir em arquivos compactados (.zip, .tar ou .mpeg, por exemple), não utilize essa opção. A figura mostra a sintaxe do comando compress.

Para configurar a compressão em PPP, digite os seguintes comandos:



R3(config-if)#compress [predictor | stac]

Exemplo 3: monitoramento de qualidade do link

Lembre-se da nossa discussão das fases LCP e de que ele fornece uma fase de determinação da qualidade do link opcional. Nessa fase, o LCP testa o link para determinar se sua qualidade é suficiente para utilizar protocolos da Camada 3. O comando ppp quality percentual assegura que o link atende ao requisito de qualidade determinado por você; do contrário, o link é fechado.

Os percentuais são calculados nos sentidos de entrada e de saída. A qualidade de saída é calculada comparando-se o número total de pacotes e bytes enviados com o número total de pacotes e bytes recebidos pelo nó de destino. A qualidade de entrada é calculada comparando-se o número total de pacotes e bytes recebidos com o número total de pacotes e bytes enviados pelo nó de destino.

Se o percentual de qualidade do link não for mantido, o link será considerado de má qualidade, sendo desativado. O Link Quality Monitoring (LQM) implementa um retardo para que o link não fique sendo ativado e desativado.

Essa configuração de exemplo monitora os dados ignorados no link e evita o loop de quadros:



R3(config-if)#ppp quality 80

Utilize o comando no ppp quality para desabilitar LQM.

Exemplo 4: balanceamento de carga nos links

O PPP multilink (também conhecido como MP, MPPP, MLP ou Multilink) fornece um método para espalhar o tráfego em vários links de WAN físicos ao mesmo tempo em que fornece a fragmentação e a remontagem de pacotes, o seqüenciamento apropriado, a interoperabilidade com vários fornecedores e o balanceamento de carga no tráfego de entrada e de saída.

O MPPP permite que os pacotes sejam fragmentados e envia esses fragmentos simultaneamente em vários links ponto-a-ponto para o mesmo endereço remoto. Os vários links físicos surgem em resposta a um limite de carga definido pelo usuário. O MPPP pode medir a carga quanto ao tráfego de entrada ou de saída, mas não quanto à carga combinada de ambos os tráfegos.

Os seguintes comandos realizam o balanceamento de carga em vários links:

Router(config)#interface serial 0/0/0

Router(config-if)#encapsulation ppp

Router(config-if)#ppp multilink

O comando multilink não tem nenhum argumento. Para desabilitar vários links PPP, utilize o comando no ppp multilink.

Exibir meio visual

2.3.3 Verificando uma config. de encapsulamento PPP serial

Página 1:

Verificando uma configuração de encapsulamento PPP

Utilize o comando show interfaces serial para verificar a configuração apropriada do encapsulamento HDLC ou PPP. A saída do comando na figura mostra uma configuração PPP.

Quando você configura o HDLC, a saída do comando show interfaces serial deve mostrar "encapsulation HDLC". Ao configurar o PPP, você pode verificar seus estados LCP e NCP.

Clique no botão Comandos na figura.

A figura resume comandos utilizados durante a verificação do PPP.

Exibir meio visual

2.3.4 Identificação e solução de problemas do encapsulamento PPP

Página 1:

Identificando e solucionando problemas da configuração de encapsulamento serial

Agora você sabe que o comando debug é utilizado para solucionar problemas, sendo acessado no modo exec privilegiado da interface da linha de comando. Debug exibe informações sobre várias operações do roteador e o tráfego relacionado gerado ou recebido pelo roteador, bem como qualquer mensagem de erro. Essa é uma ferramenta muito útil e informativa, mas você deve sempre se lembrar de que o Cisco IOS trata a depuração como uma tarefa de alta prioridade. Isso pode consumir um volume significativo de recursos, e o roteador é forçado a processar a comutação dos pacotes depurados . Debug não deve ser utilizado como uma ferramenta de monitoramento – ele foi projetado para ser utilizado por um curto período para solução de problemas. Ao solucionar problemas de uma conexão serial, você utiliza a mesma abordagem utilizada em outras tarefas de configuração.

Utilize o comando debug ppp para exibir informações sobre o funcionamento do PPP. A figura mostra a sintaxe do comando. A forma no desse comando desabilita a saída do comando de depuração.

Exibir meio visual

Página 2:

Saída do comando debug ppp packet

Um bom comando a ser utilizado durante a solução de problemas do encapsulamento de interface serial é o comando debug ppp packet. O exemplo na figura é a saída do comando debug ppp packet conforme visto no lado Link Quality Monitor (LQM) da conexão. Esse exemplo mostra trocas de pacotes segundo o funcionamento do PPP normal. Essa é apenas uma lista parcial, mas suficiente para aprontá-lo para o laboratório prático.

Observe cada linha na saída do comando e compare-a com o significado do campo. Utilize o seguinte para orientar sua análise da saída do comando.

PPP – saída do comando de depuração PPP. Serial2 – número de interface associado a essas informações de depuração. (o), O – o pacote detectado é um pacote de saída do comando. (i), I – o pacote detectado é um pacote de input. lcp_slqr() – nome de procedimento; LQM em execução, envio de um Link

Quality Report (LQR). lcp_rlqr() – nome de procedimento; LQM em execução, recebimento de um

LQR.

input (C021) – roteador recebeu um pacote do tipo de pacote especificado (em hexadecimal). Um valor de C025 indica o pacote do tipo LQM.

state = OPEN – estado PPP; o estado normal é OPEN. magic = D21B4 – Número mágico do nó indicado; quando não há uma saída do

comando indicada, esse é o Número mágico do nó em que a depuração é habilitada. O Número mágico real depende da detecção do pacote conforme a indicação I ou O.

datagramsize = 52 – tamanho do pacote incluindo cabeçalho. code = ECHOREQ(9) – identifica o tipo de pacote recebido nas formas da

cadeia de caracteres e hexadecimal. len = 48 – tamanho do pacote sem cabeçalho. id = 3 – número da ID por formato de pacote Link Control Protocol (LCP). pkt type 0xC025 – tipo de pacote em hexadecimal; os tipos de pacote comuns

são C025 para LQM e C021 para LCP. LCP ECHOREQ (9) – solicitação de eco; valor entre parênteses é a

representação hexadecimal do tipo LCP. LCP ECHOREP (A) – resposta de eco; valor entre parênteses é a representação

hexadecimal do tipo LCP.

Exibir meio visual

Página 3:

Saída do comando debug ppp negotiation

A figura mostra a saída do comando debug ppp negotiation em uma negociação normal, na qual ambos os lados aceitam parâmetros NCP. Nesse caso, o tipo de protocolo IP é proposto e confirmado. Usando a saída do comando uma ou duas linhas por vez:

As duas primeiras linhas indicam que o roteador está tentando carregar o LCP e usarão as opções de negociação indicadas (Protocolo de qualidade e Número mágico). Os campos de valor são os valores das próprias opções. Há conversão de C025/3E8 em Quality Protocol LQM. 3E8 é o período de relatório (em centésimos de segundo). 3D56CAC é o valor do Número mágico do roteador.

ppp: sending CONFREQ, type = 4 (CI_QUALITYTYPE), value = C025/3E8

ppp: sending CONFREQ, type = 5 (CI_MAGICNUMBER), value = 3D56CAC

As próximas duas linhas indicam que o outro lado negociou as opções 4 e 5 e que ele solicitou e confirmou ambas. Se a extremidade de resposta não suportar as opções, o nó de resposta enviará um CONFREJ. Se a extremidade de resposta não aceitar o valor da opção, ela enviará um CONFNAK com o campo de valor modificado.

ppp: received config for type = 4 (QUALITYTYPE) acked

ppp: received config for type = 5 (MAGICNUMBER) value = 3D567F8 acked (ok)

As próximas três linhas indicam que o roteador recebeu um CONFACK do lado de resposta e exibem os valores de opção aceitos. Utilize o campo rcvd id para verificar se CONFREQ e CONFACK têm o mesmo campo id.

PPP Serial2: state = ACKSENT fsm_rconfack(C021): rcvd id 5

ppp: config ACK received, type = 4 (CI_QUALITYTYPE), value = C025

ppp: config ACK received, type = 5 (CI_MAGICNUMBER), value = 3D56CAC

A próxima linha indica que o roteador tem roteamento IP habilitado nessa interface e que o IPCP NCP foi negociado com êxito.

ppp: ipcp_reqci: returning CONFACK(ok)

Exibir meio visual

Página 4:

Saída do comando debug ppp error

Você pode utilizar o comando debug ppp error para exibir os erros de protocolo e as estatísticas de erro associadas à negociação e ao funcionamento da conexão PPP. Essas mensagens podem ser exibidas quando a opção Protocolo de qualidade está habilitada em uma interface com o PPP já em execução. A figura mostra um exemplo.

Observe cada linha na saída do comando e compare-a com o significado do campo. Utilize o seguinte para orientar sua análise da saída do comando.

PPP – saída do comando de depuração PPP. Serial3(i) – número de interface associada a essas informações de depuração;

indica que esse é um pacote de input. rlqr receive failure – o destinatário não aceita a solicitação para negociar a opção

Protocolo de qualidade. myrcvdiffp = 159 – número de pacotes recebidos durante o período

especificado. peerxmitdiffp = 41091 – número de pacotes enviados pelo nó remoto nesse

período. myrcvdiffo = 2183 – número de octetos recebidos nesse período. peerxmitdiffo = 1714439 – número de octetos enviados pelo nó remoto nesse

período. threshold = 25 – percentual de erro máximo aceitável nessa interface. Você

calcula esse percentual utilizando o valor limite inserido no comando de configuração da interface ppp quality percentage. Um valor de 100 menos o número é o percentual de erro máximo. Nesse caso, foi inserido um número 75. Isso significa que o roteador local deve manter um percentual sem erros mínimo de 75 por cento ou o link PPP ser fechado.

OutLQRs = 1 – número de seqüência LQR enviado no momento do roteador local.

LastOutLQRs = 1 – último número de seqüência que o lado do nó remoto foi visto no nó local.

Exibir meio visual

Página 5:

Nesta atividade, você praticará a alteração do encapsulamento em interfaces seriais. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.


Exibir meio visual

2.4 Configurando PPP com autenticação

2.4.1 Protocolos de autenticação PPP

Página 1:

Protocolo de autenticação PAP

O PPP define um LCP extensível que permite a negociação de um protocolo de autenticação para autenticar seu túnel antes de permitir os protocolos da camada de rede transmitirem pelo link. A RFC 1334 define dois protocolos para autenticação, conforme mostrado na figura.

PAP é um processo bidirecional muito básico. Não há nenhuma criptografia; o nome de usuário e a senha são enviados em texto simples. Se isso for aceito, a conexão será permitida. CHAP é mais seguro que PAP. Ele envolve uma troca tridirecional de um segredo compartilhado. O processo será descrito posteriormente nesta seção.

A fase de autenticação de uma sessão PPP é opcional. Se for utilizado, você poderá autenticar o túnel depois que o LCP estabelecer o link e escolher o protocolo de autenticação. Se ele for utilizado, a autenticação ocorrerá antes da configuração do protocolo da camada de rede.

As opções de autenticação exigem que o lado da chamada do link insira informações de autenticação. Isso ajuda a assegurar que o usuário tenha a permissão do administrador de rede para fazer a chamada. Os roteadores de mesmo nível trocam mensagens de autenticação.

Exibir meio visual

2.4.2 Protocolo de autenticação de senha (PAP)

Página 1:

Um dos muitos recursos do PPP é que ele realiza a autenticação da Camada 2, além das demais camadas de autenticação, criptografia, controle de acesso e procedimentos de segurança geral.

Iniciando PAP

O PAP fornece um único método para um nó remoto a fim de estabelecer sua identidade utilizando um handshake bidirecional. PAP não é interativo. Quando o comando ppp authentication pap é utilizado, o nome de usuário e a senha são enviados como um pacote de dados LCP, em vez do servidor enviar um prompt de login e aguardar uma resposta. A figura mostra que o PPP conclui a fase de estabelecimento do link, o nó remoto envia repetidamente um par nome de usuário/senha pelo link até que o nó de envio confirme ou encerre a conexão.

Clique no botão Concluindo PAP na figura.

No nó de recebimento, o nome de usuário/senha é verificado por um servidor de autenticação que permite ou nega a conexão. Uma mensagem de aceitação ou de rejeição retorna ao solicitante.

PAP não é um protocolo de autenticação forte. Utilizando PAP, você envia senhas pelo link em texto sem formatação, não havendo nenhuma proteção contra reprodução ou ataques de tentativa e erro repetidos. O nó remoto está no controle da freqüência e do timing das tentativas de login.

No entanto, há momentos em que a utilização do PAP pode se justificar. Por exemplo, apesar de suas deficiências, o PAP pode ser utilizado nos seguintes ambientes:

Uma grande base instalada de aplicativos clientes não compatíveis com CHAP Incompatibilidades entre implementações de fornecedores diferentes do CHAP Situações em que uma senha em texto simples deve ser disponibilizada para

simular um login no host remoto

Exibir meio visual

2.4.3 Protocolo avançado de autenticação de reconhecimento (CHAP)

Página 1:

Protocolo avançado de autenticação de reconhecimento (CHAP)

Depois que a autenticação é estabelecida com PAP, ela basicamente pára de funcionar. Isso deixa a rede vulnerável a ataques. Diferentemente do PAP, que só autentica uma vez, o CHAP realiza desafios periódicos para verificar se o nó remoto ainda tem um valor de senha válido.

Depois que a fase de estabelecimento do link PPP é concluída, o roteador local envia uma mensagem de desafio para o nó remoto.

Clique no botão Respondendo CHAP na figura.

O nó remoto responde com um valor calculado utilizando uma função de hash unidirecional, que normalmente é Message Digest 5 (MD5) com base na senha e na mensagem de desafio.

Clique no botão Concluindo CHAP na figura.

O roteador local verifica a resposta em relação ao seu próprio cálculo do valor de hash esperado. Se os valores forem correspondentes, o nó inicial confirmará a autenticação. Do contrário, ele encerra a conexão imediatamente.

O CHAP fornece proteção contra ataque de reprodução, utilizando um valor de desafio variável exclusivo e imprevisível. Como o desafio é exclusivo e aleatório, o valor de hash resultante também é exclusivo e aleatório. A utilização de desafios repetidos limita o tempo de exposição a qualquer ataque. O roteador local ou um servidor de autenticação de terceiros está no controle da freqüência e do timing dos desafios.

Exibir meio visual

2.4.4 Encapsulamento PPP e processo de autenticação

Página 1:

Encapsulamento PPP e processo de autenticação

Você pode utilizar um fluxograma para ajudar a compreender o processo de autenticação PPP durante a configuração do PPP. O fluxograma fornece um exemplo visual das decisões lógicas tomadas pelo PPP.

Por exemplo, se uma solicitação PPP de entrada não exigir nenhuma autenticação, o PPP avançará ao próximo nível. Se uma solicitação PPP de entrada exigir autenticação, ela poderá ser autenticada utilizando-se o banco de dados local ou um servidor de segurança. Conforme ilustrado no fluxograma, a autenticação bem-sucedida avança ao próximo nível, enquanto uma falha na autenticação irá desconectar e descartar a solicitação PPP de entrada.

Clique no botão Exemplo de CHAP e clique no botão de execução para obter um exemplo animado.

Siga as etapas conforme a animação avança. O roteador R1 deseja estabelecer uma conexão PPP CHAP autenticada com o roteador R2.

Etapa 1. R1 negocia inicialmente a conexão de link utilizando LCP com o roteador R2 e os dois sistemas concordam em utilizar a autenticação CHAP durante a negociação PPP LCP.

Etapa 2. O roteador R2 gera uma ID e um número aleatório, além de enviá-lo mais seu nome de usuário como um pacote de desafio CHAP para R1.

Etapa 3. R1 irá utilizar o nome de usuário do desafiante (R2) e compará-lo com seu banco de dados local para localizar a senha associada. Dessa forma, R1 irá gerar um número de hash MD5 exclusivo utilizando o nome de usuário de R2, a ID, o número aleatório e a senha secreta compartilhada.

Etapa 4. Em seguida, o roteador R1 envia a ID de desafio, o valor de hash e seu nome de usuário (R1) para R2.

Etapa 5. R2 gera seu próprio valor de hash utilizando a ID, a senha secreta compartilhada e o número aleatório enviados originalmente para R1.

Etapa 6. R2 compara seu valor de hash com o valor de hash enviado por R1. Se os valores forem os mesmos, R2 enviará um link estabelecendo resposta com R1.

Se houver falha na autenticação, um pacote de falhas CHAP será criado a partir dos seguintes componentes:

04 = tipo de mensagem de falha CHAP id = copiada do pacote de respostas "Authentication failure" ou alguma mensagem de texto assim, que deve ser uma

explicação legível pelo usuário

Observe que a senha secreta compartilhada deve ser idêntica em R1 e R2.

Exibir meio visual

2.4.5 Configurando PPP com autenticação

Página 1:

O comando ppp authentication

Para especificar a ordem na qual os protocolos CHAP ou PAP são solicitados na interface, utilize o comando de configuração da interface ppp authentication, conforme mostrado na figura. Utilize a forma no do comando para desabilitar essa autenticação.

Depois que você habilitar a autenticação CHAP ou PAP, ou ambas, o roteador local exigirá ao dispositivo remoto provar sua identidade antes de permitir o fluxo do tráfego de dados. Isso é feito da seguinte forma:

A autenticação PAP exige que o dispositivo remoto envie um nome e uma senha a serem verificados em comparação com uma entrada correspondente no banco de dados de nome de usuário local ou no banco de dados TACACS/TACACS+ remoto.

A autenticação CHAP envia um desafio para o dispositivo remoto. O dispositivo remoto deve criptografar o valor de desafio com uma senha secreta e retornar o valor criptografado e seu nome para o roteador local em uma mensagem de resposta. O roteador local utiliza o nome do dispositivo remoto para procurar o segredo apropriado no nome de usuário local ou no banco de dados TACACS/TACACS+. Ele utiliza o segredo pesquisado para criptografar o desafio original e verificar se os valores criptografados correspondem.

Nota: AAA/TACACS é um servidor dedicado utilizado para autenticar usuários. AAA significa "autenticação, autorização e auditoria". Os clientes TACACS enviam uma consulta a um servidor de autenticação TACACS. O servidor pode autenticar o usuário, autorizar o que o usuário pode fazer e controlar o que ele fez.

Você pode habilitar PAP ou CHAP ou ambos. Se ambos os métodos forem habilitados, o primeiro método especificado será solicitado durante a negociação do link. Se o túnel sugerir a utilização do segundo método ou apenas recusar o primeiro, o segundo será testado. Alguns dispositivos remotos suportam apenas CHAP e outros, apenas PAP. A ordem na qual você especifica os métodos se baseia nas suas preocupações sobre a possibilidade do dispositivo remoto negociar corretamente o método apropriado, bem como na sua preocupação sobre a segurança da linha de dados. Os nomes de usuário e senhas PAP são enviados como cadeias de caracteres em texto sem formatação, podendo ser interceptados e reutilizados. O CHAP eliminou a maioria das falhas de segurança conhecidas.

Exibir meio visual

Página 2:

Configurando a autenticação PPP

O procedimento descrito no gráfico descreve como configurar o encapsulamento PPP e os protocolos de autenticação PAP/CHAP. A configuração correta é essencial, porque PAP e CHAP utilizam esses parâmetros na autenticação.

Clique no botão Exemplo de PAP na figura.

A figura é um exemplo de uma configuração de autenticação PAP bidirecional. Como ambos os roteadores autenticam e são autenticados, os comandos de autenticação PAP são espelhados. O nome de usuário e a senha PAP enviados pelo roteador devem corresponder aos especificados com o comando username name password password do outro roteador.

O PAP fornece um único método para um nó remoto a fim de estabelecer sua identidade utilizando um handshake bidirecional. Isso só é feito no estabelecimento do link inicial. O nome de host em um roteador deve corresponder ao nome de usuário configurado pelo outro roteador. As senhas não precisam ser correspondentes.

Clique no botão Exemplo de CHAP na figura.

CHAP verifica periodicamente a identidade do nó remoto utilizando um handshake triplo. O nome de host em um roteador deve corresponder ao nome de usuário configurado pelo outro roteador. As senhas também devem ser correspondentes. Isso ocorre no estabelecimento do link inicial, podendo ser repetido a qualquer momento após esse estabelecimento. A figura é um exemplo de uma configuração CHAP.

Exibir meio visual

2.4.6 Identificação e solução de problemas de uma configuração PPP com autenticação

Página 1:

Identificação e solução de problemas de uma configuração PPP com autenticação

Autenticação é um recurso que precisa ser implementado corretamente, ou a segurança da sua conexão serial pode ficar comprometida. Sempre verifique a sua configuração

com o comando show interfaces serial, da mesma forma que você fez sem autenticação.

Jamais suponha que a configuração da sua autenticação esteja funcionando sem testá-la. A depuração permite confirmar a sua configuração e corrigir todas as deficiências. O comando para depurar a autenticação PPP é debug ppp authentication.

A figura mostra uma saída do comando de exemplo do comando debug ppp authentication. Esta é uma interpretação da saída do comando:

A linha 1 informa que o roteador não consegue se autenticar na interface Serial0 porque o túnel não enviou um nome.

A linha 2 informa que o roteador não pôde validar a resposta CHAP porque USERNAME 'pioneer' não foi encontrado.

A linha 3 informa que não foi encontrada nenhuma senha para 'pioneer'. Outras respostas possíveis nessa linha, talvez não tenha recebido nenhum nome para autenticar, nome desconhecido, nenhum segredo para o nome indicado, uma resposta MD5 foi recebida ou haja falha na comparação com MD5.

Na última linha, o código = 4 significa que houve uma falha. Outros valores de código são os seguintes:

1 = Desafio 2 = Resposta 3 = Êxito 4 = Falha

id = 3 é o número da ID por formato de pacote LCP.

len = 48 é o tamanho do pacote sem o cabeçalho.

Exibir meio visual

Página 2:

O encapsulamento PPP permite dois tipos diferentes de autenticação: PAP (Protocolo de autenticação de senha) e CHAP (Protocolo avançado de autenticação de reconhecimento). PAP utiliza uma senha em texto simples, e CHAP invoca um hash unidirecional que fornece mais segurança que PAP. Nesta atividade, você irá configurar PAP e CHAP e analisar a configuração de roteamento OSPF. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.


Exibir meio visual


2.5.1 Configuração PPP básica

Página 1:

Neste laboratório, você irá aprender a configurar o encapsulamento PPP em links seriais usando a rede mostrada no diagrama de topologia. Você também aprenderá a restaurar links seriais aos seus encapsulamentos de HDLC padrão. Preste atenção especial na saída do roteador quando você divide intencionalmente o encapsulamento PPP. Isso o ajudará no laboratório de solução de problemas associado a este capítulo. Por fim, você irá configurar as autenticações PPP PAP e PPP CHAP.

Exibir meio visual

Página 2:

Esta atividade é uma variação do Laboratório 2.5.1. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer não substitui um experimento em laboratório prático com equipamento real.



Clique no ícone do rastreador de pacote para obter mais detalhes.

Exibir meio visual

2.5.2 Configuração avançada PPP

Página 1:

Neste laboratório, você irá aprender a configurar o encapsulamento PPP em links seriais usando a rede mostrada no diagrama de topologia. Você também configurará a autenticação PPP CHAP. Se você precisar de assistência, consulte o laboratório de configuração PPP básico, mas tente fazer isso por conta própria.

Exibir meio visual

Página 2:





Exibir meio visual

2.5.3 Identificação e solução de problemas de configuração PPP

Página 1:

Os roteadores da sua empresa foram configurados por um engenheiro de rede sem experiência. Vários erros na configuração resultaram em problemas de conectividade. Seu chefe lhe pediu para solucionar problemas, corrigir os erros de configuração e documentar seu trabalho. Com seus conhecimentos de PPP e métodos de teste padrão, identifique e corrija os erros. Certifique-se de que todos os links seriais usem autenticação PPP CHAP e de que todas as redes sejam alcançáveis.

Exibir meio visual

Página 2:





Exibir meio visual



Página 1:

Ao concluir este capítulo, você pode descrever em termos práticos e conceituais por que a comunicação ponto-a-ponto serial é utilizada para conectar a sua rede local à WAN da sua operadora, e não utilizar a conexão paralela que pode parecer muito mais rápida. Você pode explicar como a multiplexação permite uma comunicação eficiente e maximiza a quantidade de dados que podem ser transmitidos por um link de comunicação. Você aprendeu as funções dos componentes e dos protocolos principais da comunicação serial, além de configurar uma interface serial com encapsulamento HDLC em um roteador Cisco.

Isso proporcionou uma ampla base para um PPP, inclusive seus recursos, componentes e arquiteturas. Você pode explicar como uma sessão PPP é estabelecida utilizando as funções do LCP e dos NCPs. Você aprendeu a sintaxe dos comandos de configuração e a utilização de várias opções obrigatórias para configurar uma conexão PPP, bem como utilizar PAP ou CHAP para assegurar uma conexão segura. As etapas obrigatórias para verificação e solução de problemas foram descritas. Agora você está pronto para confirmar o seu conhecimento no laboratório no qual irá configurar o seu roteador para utilizar o PPP na conexão com uma WAN.

Exibir meio visual


Página 3:

Nesta atividade, você irá projetar um esquema de endereçamento, configurar o roteamento e as VLANs, além de configurar o PPP com CHAP. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual




3 Frame Relay

3.0 Introdução

3.0.1 Introdução

Página 1:

Frame Relay é um protocolo WAN de alto desempenho que funciona nas camadas física e de enlace do modelo OSI.

Eric Scace, engenheiro da Sprint International, inventou o Frame Relay como uma versão mais simples do protocolo X.25 para ser usado em interfaces de Rede digital de serviços integrados (ISDN, Integrated Services Digital Network). Atualmente, ele também é usado em diversas outras interfaces de rede. Na primeira vez que a Sprint implementou o Frame Relay em sua rede pública, eles usaram switches StrataCom. A aquisição da StrataCom pela Cisco em 1996 marcou sua entrada no mercado das operadoras.

Os provedores de rede geralmente implementam o Frame Relay para redes de voz e dados como uma técnica de encapsulamento. Ele é usado entre redes locais em uma WAN. Cada usuário final obtém uma linha particular (ou linha alugada) para um nó de Frame Relay. A rede Frame Relay gerencia a transmissão por um caminho alterado com frequência e transparente para todos os usuários finais.

O Frame Relay tornou-se um dos protocolos WAN mais usados, principalmente porque é barato em comparação com as linhas dedicadas. Além disso, configurar o equipamento do usuário em uma rede Frame Relay é muito simples. As conexões Frame Relay são criadas configurando-se roteadores CPE ou outros dispositivos para que se comuniquem com um switch Frame Relay da operadora. A operadora configura o switch Frame Relay, o que ajuda a manter as tarefas de configuração do usuário final em um nível mínimo.

Este capítulo descreve o Frame Relay e explica como configurá-lo em um roteador Cisco.

Exibir meio visual

3.1 Conceitos básicos do Frame Relay

3.1.1 Apresentando o Frame Relay

Página 1:

Frame Relay: uma tecnologia WAN eficiente e flexível

O Frame Relay tornou-se a tecnologia WAN mais usada no mundo. Grandes empresas, governos, provedores de Internet e pequenas empresas usam o Frame Relay, principalmente por causa de seu preço e flexibilidade. Como as organizações estão crescendo e dependem cada vez mais do transporte de dados confiável, as soluções tradicionais de linha alugada são proibitivamente caras. O ritmo das alterações tecnológicas e as fusões e aquisições na indústria de rede exigem mais flexibilidade.

O Frame Relay reduz os custos de rede usando menos equipamento, menos complexidade e uma implementação mais fácil. Além disso, o Frame Relay fornece mais largura de banda, confiabilidade e flexibilidade do que as linhas alugadas ou privadas. Com o aumento da globalização e o crescimento de topologias múltiplas de filial, o Frame Relay oferece arquitetura de rede mais simples e custo de propriedade inferior.

Usar o exemplo da rede de uma grande empresa ajuda a ilustrar os benefícios do uso do Frame Relay. No exemplo mostrado na figura, a Span Engineering possui cinco campus na América do Norte. Como a maioria das organizações, os requisitos de largura de banda da Span não se ajustam a uma solução padrão.

O primeiro item a ser considerado é o requisito de largura de banda de cada local. Trabalhando na sede, a conexão de Chicago a Nova York exige uma velocidade máxima de 256 kb/s. Três outros locais precisam de uma velocidade máxima de 48 kb/s para conexão com a sede, enquanto a conexão entre as filiais de Nova York e de Dallas exige somente 12 kb/s.

Antes do Frame Relay, a Span alugou linhas dedicadas.

Clique no botão Linhas dedicadas na figura.

Usando linhas alugadas, cada local da Span é conectado por meio de um switch no escritório central (CO, central office) da empresa de telefonia local através do loop local e, em seguida, através da rede inteira. Os escritórios de Chicago e de Nova York usam uma linha dedicada T1 (equivalente a 24 canais DS0) para conectar-se ao switch, enquanto outros escritórios usam conexões ISDN (56 kb/s). Como o escritório de Dallas

conecta-se ao de Nova York e ao de Chicago, possui duas linhas localmente alugadas. Os provedores de rede forneceram à Span um DS0 entre os respectivos COs, exceto para o ponto maior que conecta Chicago a Nova York, que tem quatro DS0s. Os preços dos DS0s variam de acordo com a região e normalmente são oferecidos por um preço fixo. Essas linhas são verdadeiramente dedicadas, pois o provedor de rede as reserva para a Span. Não há nenhum compartilhamento. Além disso, a Span está pagando pelo circuito fim-a-fim, independentemente da quantidade de largura de banda usada.

Uma linha dedicada não fornece muita oportunidade prática para uma conexão múltipla sem obter mais linhas do provedor de rede. No exemplo, quase toda a comunicação deve fluir pela sede corporativa simplesmente para reduzir o custo de linhas adicionais.

Se você analisar o que cada local exige em termos de largura de banda, notará uma falta de eficiência:

Dos 24 canais DSO disponíveis na conexão T1, o escritório de Chicago usa somente sete. Algumas operadoras oferecem conexões T1 fracionárias em incrementos de 64 kb/s, mas isso requer um multiplexador especializado na extremidade do cliente para canalizar os sinais. Nesse caso, a Span optou pelo serviço completo de T1.

De maneira semelhante, o escritório de Nova York usa somente cinco de seus 24 DSOs disponíveis.

Como Dallas precisa conectar-se a Chicago e Nova York, há duas linhas que fazem a conexão com cada local através do CO.

O design de linha alugada também limita a flexibilidade. A menos que os circuitos já estejam instalados, a conexão de novos sites normalmente exigirá novas instalações de circuito e levará um tempo considerável para ser implementada. De um ponto de vista de confiabilidade de rede, imagine os custos adicionais e a complexidade de adicionar circuitos extras e redundantes.

Clique no botão Frame Relay na figura.

A rede Frame Relay da Span usa circuitos virtuais permanentes (PVCs). O PVC é o caminho lógico entre um link de origem do Frame Relay, através da rede, e um link Frame Relay de finalização para seu destino definitivo. Compare-o ao caminho físico usado por uma conexão dedicada. Em uma rede com acesso Frame Relay, um PVC

define exclusivamente o caminho entre dois pontos de extremidade. O conceito de circuitos virtuais será discutido em mais detalhes posteriormente nesta seção.

A solução de Frame Relay da Span fornece economia e flexibilidade.

Economia do Frame Relay

O Frame Relay é uma opção mais econômica por dois motivos. Primeiro, com linhas dedicadas, os clientes pagam por uma conexão fim-a-fim. Isso inclui o loop local e o link de rede. Com o Frame Relay, os clientes pagam somente pelo loop local e pela largura de banda que compram do provedor de rede. A distância entre os nós não é importante. Em um modelo de linha dedicada, os clientes usam essas linhas fornecidas em incrementos de 64 kb/s. Os clientes de Frame Relay podem definir suas necessidades de circuito virtual em uma granularidade muito maior, frequentemente em incrementos pequenos de até 4 kb/s.

O segundo motivo pelo qual o Frame Relay é econômico é que ele compartilha largura de banda com uma base maior de clientes. Normalmente, um provedor de rede pode servir 40 ou mais de 56 kb/s aos clientes em um circuito de T1. Usar linhas dedicadas exigiria mais DSU/CSUs (um para cada linha), além de roteamento e comutação mais complexos. Os provedores de rede economizam porque há menos equipamento para comprar e manter.

A flexibilidade do Frame Relay

Um circuito virtual fornece flexibilidade considerável no design de rede. Olhando para a figura, você pode observar que todos os escritórios da Span conectam-se à nuvem Frame Relay através de seus respectivos loops locais. O que acontece na nuvem não tem nenhuma importância no momento. O que importa é que quando um escritório da Span deseja se comunicar com outro, basta conectar-se a um circuito virtual que conduz ao outro escritório. No Frame Relay, o fim de cada conexão tem um número para identificá-la. Esse número é chamado de Identificador de conexão de enlace de dados (DLCI, Data Link Connection Identifier). Qualquer estação pode conectar-se às demais. Para isso, basta informar o endereço dessa estação e o número de DLCI da linha que precisa usar. Em uma seção posterior, você aprenderá que, quando o Frame Relay é configurado, todos os dados de todos os DLCIs configurados fluem pela mesma porta do roteador. Tente imaginar a mesma flexibilidade usando linhas dedicadas. Não é apenas complicado, mas também exige muito mais equipamento.

Clique no botão Custo na figura.

A tabela mostra uma comparação representativa de custos para conexões comparáveis ISDN e Frame Relay. Embora os custos iniciais do Frame Relay sejam mais altos do que os de ISDN, o custo mensal é consideravelmente menor. O Frame Relay é mais fácil de gerenciar e configurar do que ISDN. Além disso, os clientes podem aumentar sua largura de banda de acordo com o aumento das suas necessidades no futuro. Os clientes de Frame Relay só pagam pela largura de banda de que precisam. Com o Frame Relay, não há cobranças por hora. Já as chamadas de ISDN são medidas em metros e podem resultar em despesas mensais inesperadamente altas com a empresa de telefonia, se uma conexão em tempo integral for mantida.

Os próximos tópicos ampliarão seus conhecimentos de Frame Relay definindo os principais conceitos apresentados no exemplo.

Exibir meio visual

Página 2:

WAN do Frame Relay

No final dos anos 1970 e no início dos anos 1990, a tecnologia WAN que unia locais remotos costumava usar o protocolo X.25. Agora considerado um protocolo legado, o X.25 era uma tecnologia de comutação de pacotes muito popular, pois fornecia uma conexão muito confiável sobre infraestruturas de cabeamento não confiáveis. Ele fazia isso incluindo um controle de fluxo e de erros adicional. No entanto, esses recursos adicionais sobrecarregaram o protocolo. Sua principal aplicação era o processamento de autorizações de cartão de crédito e de bancos 24 horas. Este curso só menciona o X.25 apenas para fins históricos.

Quando você cria uma WAN, independentemente da tecnologia escolhida, há sempre no mínimo três componentes básicos, ou grupos de componentes, conectando dois locais. Cada local precisa de seu próprio equipamento (DTE) para acessar o CO da empresa de telefonia que atende à área (DCE). O terceiro componente fica no meio, unindo os dois pontos de acesso. Na figura, esta é a parte fornecida pelo backbone do Frame Relay.

O Frame Relay tem sobrecarga inferior à do X.25, pois possui menos recursos. Por exemplo, o Frame Relay não fornece correção de erros. Além disso, as instalações WAN modernas oferecem serviços de conexão mais confiáveis e um grau mais elevado de confiabilidade do que as instalações mais antigas. Ao detectar erros, o nó Frame Relay simplesmente descarta os pacotes sem notificação. Qualquer correção de erros necessária, como retransmissão de dados, é deixada para os pontos de extremidade. Isso torna a propagação de cliente a cliente pela rede muito rápida.

O Frame Relay gerencia volume e velocidade de forma eficiente combinando as funções necessárias das camadas de rede e de enlace em um único protocolo simples. Como um protocolo de enlace de dados, o Frame Relay fornece acesso a uma rede, delimitando e entregando quadros na ordem correta e reconhece erros de transmissão através de uma Verificação de redundância cíclica padrão. Como um protocolo de rede, o Frame Relay fornece várias conexões lógicas sobre um único circuito físico e permite que a rede roteie dados nessas conexões para os destinos desejados.

O Frame Relay funciona entre o dispositivo de um usuário final, como uma bridge de rede local ou um roteador, e uma rede. A própria rede pode usar qualquer método de transmissão que seja compatível com a velocidade e a eficiência que os aplicativos para Frame Relay exigem. Algumas redes usam o próprio Frame Relay, mas outras usam comutação digital de circuitos ou sistemas de transmissão de célula ATM. A figura mostra um backbone de comutação de circuitos conforme indicado pelos switches de classe 4 ou 5. Os demais gráficos desta seção mostram backbones Frame Relay de comutação de pacotes mais atuais.

Exibir meio visual

Página 3:

Operação do Frame Relay

A conexão entre um dispositivo DTE e um dispositivo DCE consiste em um componente de camada física e um de camada de enlace:

O componente físico define as especificações mecânica, elétrica, funcional e de procedimento para a conexão entre os dispositivos. Uma das especificações de interface de camada física mais usadas é a especificação RS-232.

O componente da camada de enlace define o protocolo que estabelece a conexão entre o dispositivo DTE, como um roteador, e o dispositivo DCE, como um switch.

Quando as operadoras usam o Frame Relay para interconectar as redes locais, um roteador em cada rede local é o DTE. Uma conexão serial, como uma linha alugada T1/E1, conecta o roteador ao switch Frame Relay da operadora no ponto de presença (POP, point-of-presence) mais próximo. O switch Frame Relay é um dispositivo DCE. Os switches de rede movem quadros de um DTE através da rede e entregam quadros a outros DTEs por meio de DCEs. Equipamentos de computação que não estejam em uma rede local também podem enviar dados por uma rede Frame Relay. O equipamento de computação usa um dispositivo de acesso Frame Relay (FRAD) como o DTE. Às vezes, o FRAD é chamado de codificador/decodificador Frame Relay. Ele é também um dispositivo dedicado ou um roteador configurado para suportar o Frame Relay. Está localizado nos equipamentos do cliente e conecta-se a uma porta de switch da rede da operadora. A operadora, por sua vez, interconecta os switches Frame Relay.

Exibir meio visual

3.1.2 Circuitos virtuais

Página 1:

Circuitos virtuais

A conexão por uma rede Frame Relay entre dois DTEs é chamada de circuito virtual (VC). Os circuitos são virtuais porque não há conexão elétrica direta fim-a-fim. A conexão é lógica, e os dados se movem fim-a-fim, sem um circuito elétrico direto. Com os VCs, o Frame Relay compartilha a largura de banda entre vários usuários. Além disso, os sites podem comunicar-se entre si sem usar várias linhas físicas dedicadas.

Há duas maneiras de estabelecer VCs:

SVCs, circuitos virtuais comutados, são estabelecidos dinamicamente enviando mensagens de sinalização à rede (CONFIGURAÇÃO DE CHAMADA, TRANSFERÊNCIA DE DADOS, INATIVO, ENCERRAMENTO DE CHAMADA).

PVCs, circuitos virtuais permanentes, são pré-configurados pela operadora e, depois de configurados, funcionam somente nos modos TRANSFERÊNCIA DE DADOS e INATIVO. Algumas publicações referem-se aos PVCs como VCs privados.

Clique no botão Reproduzir na figura.

Na figura, há um VC entre os nós de envio e de recebimento. O VC segue o caminho A, B, C, e D. O Frame Relay cria um VC armazenando mapeamento de porta de entrada a porta de saída na memória de cada switch e, assim, vincula um switch ao outro até identificar um caminho contínuo de uma extremidade à outra do circuito. Um VC pode percorrer qualquer número de dispositivos intermediários (switches) localizados na rede Frame Relay.

Neste momento, você deve estar se perguntando: “Como os vários nós e switches são identificados”?

Clique no botão Importância local na figura.

Os VCs fornecem um caminho de comunicação bidirecional de um dispositivo ao outro. Os VCs são identificados por DLCIs. Os valores de DLCI são atribuídos normalmente pela operadora de Frame Relay (por exemplo, a empresa de telefonia). Os DLCIs do Frame Relay têm importância local, o que significa que os próprios valores não são exclusivos na WAN Frame Relay. Um DLCI identifica um VC para o equipamento em um ponto de extremidade. Um DLCI não tem nenhuma importância além do único link. Dois dispositivos conectados por um VC podem usar um valor de DLCI diferente para se referir à mesma conexão.

Os DLCIs de importância local tornaram-se o principal método de endereçamento, pois o mesmo endereço pode ser usado em vários locais diferentes e ainda assim referir-se a conexões diferentes. O endereçamento local evita que um cliente fique sem DLCIs à medida que a rede cresce.

Clique no botão Identificando VCs e no botão Reproduzir na figura.

Essa rede é a mesma que foi apresentada na figura anterior. Porém, desta vez, à medida que o quadro se move pela rede, o Frame Relay rotula cada VC com um DLCI. O DLCI é armazenado no campo de endereço de todos os quadros transmitidos para informar à rede como o quadro deverá ser roteado. A operadora de Frame Relay atribui números de DLCI. Geralmente, os DLCIs de 0 a 15 e de 1008 a 1023 são reservados para fins

especiais. Portanto, as operadoras geralmente atribuem os DLCIs do intervalo de 16 a 1007.

Neste exemplo, o quadro usa o DLCI 102. Ele deixa o roteador (R1) usando a porta 0 e o VC 102. No switch A, o quadro sai pela porta 1 usando o VC 432. Esse processo de mapeamento de portas de VC continuará pela WAN até que o quadro alcance seu destino no DLCI 201, conforme mostrado na figura. O DLCI é armazenado no campo de endereço de todos os quadros transmitidos.

Exibir meio visual

Página 2:

Vários VCs

O Frame Relay é estatisticamente multiplexado. Isso significa que, embora ele transmita apenas um quadro por vez, muitas conexões lógicas podem coexistir em uma única linha física. O dispositivo de acesso Frame Relay (FRAD) ou o roteador conectado à rede Frame Relay pode ter vários VCs que o conecta a vários pontos de extremidade. Vários VCs em uma única linha física são diferenciados porque cada VC tem seu próprio DLCI. Lembre-se de que a importância do DLCI é apenas local e pode ser diferente em cada extremidade de um VC.

A figura mostra um exemplo de dois VCs em uma única linha de acesso, cada um com seu próprio DLCI, conectados a um roteador (R1).

Esse recurso frequentemente reduz a complexidade do equipamento e da rede, necessária para conectar vários dispositivos. Por esse motivo, ele representa uma alternativa muito econômica para uma malha (mesh) de linhas de acesso. Com essa configuração, cada ponto de extremidade precisa de apenas uma linha de acesso e uma interface. É possível economizar mais, pois a capacidade da linha de acesso é baseada no requisito de largura de banda média dos VCs, e não no requisito de largura de banda máxima.

Clique no botão DLCIs da Span na figura.

Por exemplo, a Span Engineering está presente em cinco locais, com sede em Chicago. O escritório de Chicago está conectado à rede usando cinco VCs, e cada VC recebe um DLCI. Para visualizar os mapeamentos de DLCI, respectivos de Chicago, clique no local desejado na tabela.

Custo Benefício de vários VCs

Lembre-se do exemplo anterior de como a Span Engineering evoluiu de uma rede de linha dedicada para uma rede Frame Relay. Observe especificamente a tabela que compara o custo de uma única conexão Frame Relay comparada a uma conexão ISDN de tamanho semelhante. Com o Frame Relay, os clientes pagam pela largura de banda que utilizam. De fato, eles pagam por uma porta de Frame Relay. Ao aumentar o número de portas, conforme descrito acima, eles pagam por mais largura de banda. Mas eles pagarão também por mais equipamento? A resposta é "não", pois as portas são virtuais. Não há nenhuma alteração na infraestrutura física. Compare este procedimento com uma compra de mais largura de banda usando linhas dedicadas.

Exibir meio visual

3.1.3 Encapsulamento Frame Relay

Página 1:

O processo de encapsulamento do Frame Relay

O Frame Relay recebe pacotes de dados de um protocolo de camada de rede, como IP ou IPX, os encapsula como parte de dados de um quadro Frame Relay e, então, transmite o quadro à camada física para ser enviado pelo cabo. Para entender como esse processo funciona, será útil entender como ele se relaciona com as camadas inferiores do modelo OSI.

A figura mostra como o Frame Relay encapsula os dados para o transporte e os move até a camada física para entrega.

Primeiro, o Frame Relay aceita um pacote de um protocolo da camada de rede, como o IP. Em seguida, ele o empacota com um campo de endereço que contém o DLCI e uma soma de verificação. Campos de sinalização são adicionados para indicar o início e o final do quadro. Os campos de sinalização marcam o início e o final do quadro, e são

sempre os mesmos. Os sinalizadores são representados como o número hexadecimal 7E ou como o número binário 01111110. Depois que o pacote é encapsulado, o Frame Relay transmite o quadro à camada física para o transporte.

Clique no botão Formato de quadro na figura.

O roteador CPE encapsula cada pacote da Camada 3 dentro de um cabeçalho e um trailer Frame Relay antes de enviá-lo pelo VC. O cabeçalho e o trailer são definidos pela especificação de serviços de portador do Procedimento de acesso ao link para Frame Relay (LAPF, Link Access Procedure for Frame Relay), ITU Q.922-A. Especificamente, o cabeçalho Frame Relay (campo de endereço) contém o seguinte:

DLCI - O DLCI de 10 bits é a essência do cabeçalho Frame Relay. Esse valor representa a conexão virtual entre o dispositivo DTE e o switch. Cada conexão virtual multiplexada no canal físico é representada por um DLCI exclusivo. A importância dos valores de DLCI é apenas local, o que significa que eles só são exclusivos para o canal físico no qual residem. Portanto, os dispositivos em extremidades opostas de uma conexão podem usar valores de DLCI diferentes para referir-se à mesma conexão virtual.

Endereço Estendido (EA) - Se o valor do campo de EA for 1, o byte atual será determinado para ser o último octeto do DLCI. Embora todas as implementações de Frame Relay atuais utilizem um DLCI de dois octetos, esse recurso permitirá DLCIs mais longos no futuro. O oitavo bit de cada byte do campo de endereço indica o EA.

C/R - Segue o DLCI mais significativo do campo de endereço. O bit de C/R geralmente não é usado pelo Frame Relay.

Controle de congestionamento - Contém 3 bits que controlam os mecanismos da notificação de congestionamento do Frame Relay. Os bits FECN, BECN e DE são os três últimos bits no campo de endereço. O controle de congestionamento será discutido em um tópico posterior.

A camada física é geralmente EIA/TIA -232, 449 ou 530, V.35 ou X.21. O quadro Frame Relay é um subconjunto do tipo de quadro HDLC. Portanto, ele é delimitado com campos de sinalização. O sinalizador de 1 byte usa o padrão de bits 01111110. O FCS determina se qualquer erro no campo de endereço da Camada 2 ocorreu durante a transmissão. O FCS é calculado antes da transmissão pelo nó de envio, e o resultado é inserido no campo FCS. Na extremidade a frente, um segundo valor de FCS é calculado e comparado ao FCS no quadro. Se os resultados forem os mesmos, o quadro será processado. Se houver diferenças, o quadro será descartado. O Frame Relay não notifica a origem quando um quadro é descartado. O controle de erros é deixado para as camadas superiores do modelo OSI.

Exibir meio visual

3.1.4 Topologias Frame Relay

Página 1:

Quando mais de dois locais forem conectados, você deverá considerar a topologia das conexões entre eles. Uma topologia é o mapa ou o layout visual da rede Frame Relay. É necessário considerar a topologia de várias perspectivas para entender a rede e o equipamento usado para criá-la. Topologias completas para projeto, implementação, operação e manutenção incluem mapas de visão geral, mapas de conexão lógica, mapas funcionais e mapas de endereços que mostram o equipamento em detalhes e os links de canal.

As redes Frame Relay econômicas vinculam dezenas ou até mesmo centenas de locais. Considerando que uma rede corporativa pode abranger qualquer número de operadoras e incluir redes de negócios adquiridos com projeto básico diferente, documentar topologias pode ser um processo muito complicado. No entanto, cada rede ou segmento de rede pode ser exibido como um dos três seguintes tipos de topologia: estrela, malha completa (Full mesh) ou malha parcial (Partial Mesh).

Topologia em estrela (Hub-and-spoke)

A topologia WAN mais simples é a estrela, conforme mostrado na figura. Nessa topologia, a Span Engineering tem um local central em Chicago que atua como um hub e hospeda os principais serviços. A Span cresceu e recentemente e abriu um escritório em San Jose. O uso do Frame Relay facilitou relativamente essa expansão.

As conexões com cada um dos cinco locais remotos atuam como spokes. Em uma topologia estrela, o local do hub geralmente é escolhido pelo menor custo da linha alugada. Ao implementar uma topologia estrela com Frame Relay, cada local remoto tem um link de acesso à nuvem Frame Relay com um único VC.

Clique no botão Estrela de Frame Relay na figura.

Esta é a topologia estrela no contexto de uma nuvem Frame Relay. O hub em Chicago tem um link de acesso com vários VCs, um para cada local remoto. As linhas que saem da nuvem representam as conexões da operadora de Frame Relay e terminam no equipamento do cliente. A velocidade dessas linhas normalmente varia de 56.000 bp/s para E-1 (2.048 Mb/s) e mais rápida. Um ou mais números de DLCI são atribuídos a cada ponto de extremidade da linha. Como os custos do Frame Relay não estão relacionados à distância, o hub não precisa estar no centro geográfico da rede.

Exibir meio visual

Página 2:

Topologia de malha completa

Esta figura representa uma topologia de malha completa que usa linhas dedicadas. Uma topologia de malha completa é adequada a situações nas quais os serviços a serem acessados estão geograficamente dispersos e há necessidade de acesso altamente confiável a eles. Uma topologia de malha completa conecta todos os locais entre si. O uso de interconexões de linha alugada, interfaces seriais adicionais e linhas aumentam os custos. Neste exemplo, são necessárias 10 linhas dedicadas para interconectar cada site em uma topologia de malha completa.

Clique em Malha completa de Frame Relay na figura.

Usando o Frame Relay, um programador de rede pode criar várias conexões simplesmente configurando VCs adicionais em cada link existente. Essa melhoria de software aumenta a topologia estrela para uma topologia de malha completa sem a despesa de hardware adicional ou de linhas dedicadas. Como os VCs usam multiplexação estatística, vários VCs em um link de acesso geralmente fazem melhor uso do Frame Relay do que VCs separados. A figura mostra como a Span usou quatro VCs em cada link para dimensionar sua rede sem adicionar novo hardware. As operadoras cobrarão pela largura de banda adicional, mas essa solução geralmente é mais econômica do que o uso de linhas dedicadas.

Topologia de malha parcial

Para grandes redes, uma topologia de malha completa raramente está disponível, pois o número de links necessários aumenta drasticamente. O problema não está no custo do

hardware, e sim no limite teórico de menos de 1.000 VCs por link. Na prática, o limite é menor do que esse.

Por esse motivo, geralmente as redes maiores são configuradas em uma topologia de malha parcial. Com a malha parcial, há mais interconexões do que o necessário para uma disposição em estrela e menos do que o necessário para uma malha completa. O padrão real depende dos requisitos de fluxo de dados.

Exibir meio visual

3.1.5 Mapeamento de endereço Frame Relay

Página 1:

Para que um roteador Cisco possa transmitir dados por Frame Relay, ele precisa saber qual DLCI local mapeia para o endereço da Camada 3 do destino remoto. Os roteadores Cisco suportam todos os protocolos da camada de rede sobre Frame Relay, como IP, IPX e AppleTalk. Esse mapeamento endereço-para-DLCI pode ser realizado por mapeamento estático ou dinâmico.

ARP inverso

O Protocolo de resolução de endereço (ARP, Address Resolution Protocol) inverso, também chamado de ARP inverso, obtém endereços da Camada 3 de outras estações de endereços da Camada 2, como o DLCI em redes Frame Relay. Ele é usado principalmente em redes Frame Relay e ATM, nas quais os endereços da Camada 2 de VCs são ocasionalmente obtidos da sinalização da Camada 2, e os endereços correspondentes da Camada 3 devem estar disponíveis para que esses VCs possam ser usados. Enquanto o ARP determina os endereços da Camada 3 para os endereços da Camada 2, o ARP inverso faz o oposto.

Mapeamento dinâmico

O mapeamento de endereço dinâmico depende do ARP inverso para determinar um próximo salto rede endereço de protocolo para um valor de DLCI local. O roteador de Frame Relay envia solicitações ARP inverso em seu PVC para descobrir o endereço de protocolo do dispositivo remoto conectado à rede Frame Relay. O roteador usa as respostas para preencher uma tabela de mapeamento de endereço-para-DLCI no

roteador de Frame Relay ou no servidor de acesso. O roteador cria e mantém essa tabela de mapeamento, que contém todas as solicitações ARP inverso determinadas, incluindo entradas de mapeamento dinâmicas e estáticas.

A figura mostra a saída do comando show frame-relay map. Você pode observar que a interface está ativada e que o endereço IP de destino é 10.1.1.2. O DLCI identifica a conexão lógica que está sendo usada para alcançar essa interface. Esse valor é exibido de três maneiras: seu valor decimal (102), seu valor hexadecimal (0 x 66), e seu valor como apareceria no cabo (0 x 1860). Essa entrada é estática, e não dinâmica. O link está usando encapsulamento Cisco, em vez de encapsulamento IETF.

Em roteadores Cisco, o ARP inverso é habilitado por padrão para todos os protocolos habilitados na interface física. Pacotes de ARP inverso não são enviados para protocolos que não estão habilitados na interface.

Clique no botão Mapeamento estático na figura.

O usuário pode optar por sobrescrever o mapeamento de ARP inverso dinâmico fornecendo um mapeamento estático manual para o endereço de protocolo de próximo salto a um DLCI local. Um mapa estático funciona de maneira semelhante ao ARP inverso dinâmico associando um endereço de protocolo de próximo salto especificado a um DLCI local do Frame Relay. Não é possível usar o ARP inverso e uma instrução de mapa para o mesmo DLCI e protocolo.

Um exemplo do uso do mapeamento de endereço estático é uma situação na qual o roteador que está do outro lado da rede Frame Relay não suporta ARP inverso dinâmico para um protocolo de rede específico. Para fornecer acessibilidade, é necessário um mapeamento estático para completar o endereço remoto da camada de rede para a resolução de DLCI local.

Outro exemplo está em uma rede Frame Relay hub-and-spoke. Use o mapeamento de endereço estático nos roteadores spoke para fornecer acessibilidade spoke-to-spoke. Como os roteadores spoke não têm conectividade direta entre si, o ARP inverso dinâmico não funcionaria entre eles. O ARP inverso dinâmico depende da presença de uma conexão ponto-a-ponto direta entre as duas extremidades. Nesse caso, o ARP inverso dinâmico só funciona entre hub-and-spoke, e os spokes exigem mapeamento estático para fornecer acessibilidade entre si.

Configurando o mapeamento estático

O estabelecimento do mapeamento estático depende das suas necessidades de rede. Veja a seguir os vários comandos a serem usados:

Para mapear um endereço de protocolo de próximo salto para o endereço de destino do DLCI, use este comando: frame-relay map protocol protocol-address dlci [broadcast] [ietf] [cisco].

Use a palavra-chave ietf ao conectar-se a um roteador que não seja Cisco.

Você pode simplificar muito a configuração do protocolo OSPF adicionando a palavra-chave opcional broadcast ao executar essa tarefa.

A figura mostra um exemplo de mapeamento estático em um roteador Cisco. Nesse exemplo, o mapeamento de endereço estático é executado na interface serial 0/0/0 e o encapsulamento Frame Relay usado no DLCI 102 é CISCO. Conforme visualizado nas etapas de configuração, o mapeamento estático do endereço que utiliza o comando frame-relay map permite que os usuários selecionem o tipo de encapsulamento Frame Relay usado por VC. A configuração do mapeamento estático será discutida em mais detalhes na próxima seção.

Exibir meio visual

Página 2:

Interface de gerenciamento local (LMI)

Uma revisão do histórico de rede o ajudará a entender a função desempenhada pela Interface de gerenciamento local (LMI, Local Management Interface). O projeto de Frame Relay proporciona transferência de dados comutada por pacote com atrasos mínimos fim-a-fim. O projeto original omite qualquer coisa que possa contribuir para atrasos.

Quando os fornecedores implementaram o Frame Relay como uma tecnologia separada, e não como um componente de ISDN, decidiram que era necessário que os DTEs adquirissem informações dinamicamente sobre o status da rede. No entanto, o projeto original não incluía esse recurso. Um consórcio entre a Cisco, a Digital Equipment Corporation (DEC), a Northern Telecom e a StrataCom estendeu o protocolo Frame Relay para fornecer recursos adicionais a ambientes complexos de rede. Essas extensões são chamadas coletivamente de LMI.

Basicamente, a LMI é um mecanismo de keepalive que fornece informações de status sobre conexões Frame Relay entre o roteador (DTE) e o switch Frame Relay (DCE). A cada 10 segundos, aproximadamente, o dispositivo final sonda a rede, solicitando uma resposta de sequência dumb ou informações de status do canal. Se a rede não responder com as informações solicitadas, o dispositivo do usuário poderá considerar que a conexão está inativa. Quando a rede responder com FULL STATUS, ela incluirá informações de status sobre DLCIs alocados para essa linha. O dispositivo final pode usar essas informações para determinar se as conexões lógicas podem transmitir dados.

A figura mostra a saída do comando show frame-relay lmi. A saída do comando mostra o tipo de LMI usado pela interface Frame Relay e os contadores da sequência de trocas de status de LMI, incluindo erros como timeouts de LMI.

É fácil confundir a LMI e o encapsulamento. LMI é uma definição das mensagens usadas entre o DTE (R1) e o DCE (o switch Frame Relay de propriedade da operadora). O encapsulamento define os cabeçalhos usados por um DTE para comunicar informações ao DTE na outra extremidade de um VC. O switch e seu roteador conectado se importam em usar a mesma LMI. O switch não se importa com o encapsulamento. Os roteadores ponto de extremidade (DTEs) se importam com o encapsulamento.

Extensões de LMI

Além das funções de protocolo do Frame Relay para transferência de dados, a especificação Frame Relay inclui extensões opcionais de LMI que são extremamente úteis em um ambiente de rede. Algumas das extensões incluem:

Mensagens de status de VC - Forneçe informações sobre a integridade do PVC comunicando e sincronizando entre dispositivos, informando periodicamente a existência de novos PVCs e a exclusão de PVCs já existentes. As mensagens de status de VC impedem que os dados sejam enviados a buracos negros (PVCs que já não existem).

Multicast - Permite que um remetente transmita um único quadro que é entregue a vários receptores. O multicast suporta a entrega eficiente de mensagens de protocolo de roteamento e procedimentos de resolução de endereço que costumam ser enviados simultaneamente a muitos destinos.

Endereçamento global - Confere aos identificadores de conexão importância global, e não local, permitindo que eles sejam usados para identificar uma interface específica para a rede Frame Relay. O endereçamento global faz com que a rede Frame Relay seja semelhante a uma rede local em termos de endereçamento, e os ARPs se comportam exatamente como se estivessem em uma rede local.

Controle de fluxo simples - Fornece um mecanismo de controle de fluxo XON/XOFF que se aplica à interface Frame Relay inteira. Ele se destina aos dispositivos cujas camadas superiores não podem usar os bits de notificação de congestionamento e precisam de um pouco de controle de fluxo.

Clique no botão Identificadores de LMI na figura.

O campo de DLCI de 10 bits suporta identificadores de VC de 1.024: 0 por 1023. As extensões de LMI reservam alguns desses identificadores, o que reduz o número de VCs permitidos. As mensagens LMI são trocadas entre o DTE e o DCE usando esses DLCIs reservados.

Há vários tipos de LMI, e elas são incompatíveis entre si. O tipo de LMI configurado no roteador deve corresponder ao tipo usado pela operadora. Três tipos de LMIs são suportados pelos roteadores Cisco:

Cisco - Extensão de LMI original Ansi - Correspondente ao padrão ANSI T1.617 Annex D q933a - Correspondente ao padrão ITU Q933 Annex A

Começando pelo software IOS Cisco versão 11.2, o recurso de autodetecção de LMI padrão detecta o tipo de LMI suportado pelo switch Frame Relay diretamente conectado. Com base nas mensagens de status LMI que recebe do switch Frame Relay, o roteador configura automaticamente sua interface com o tipo de LMI suportado reconhecido pelo switch Frame Relay.

Se for necessário definir o tipo de LMI, use o comando de configuração de interface frame-relay lmi-type [cisco | ansi | q933a] Se você configurar o tipo de LMI, o recurso de autodetecção será desabilitado.

Ao configurar manualmente o tipo de LMI, é necessário configurar o intervalo de keepalive na interface Frame Relay para evitar que as trocas de status entre o roteador e o switch expirem. As mensagens de troca de status LMI determinam o status da conexão do PVC. Por exemplo, uma grande falta de correspondência no intervalo de keepalive do roteador e do switch pode fazer o switch declarar o roteador como inativo.

Por padrão, o intervalo de keepalive é de 10 segundos em interfaces seriais Cisco. Você pode alterar o intervalo de keepalive com o comando de configuração de interface keepalive.

A definição do tipo de LMI e a configuração do keepalive serão praticadas em uma atividade posterior.

Exibir meio visual

Página 3:

Formato do quadro LMI

As mensagens de LMI são transportadas em uma variante de quadros LAPF. O campo de endereço transporta um do DLCIs reservados. Depois do campo de DLCI estão os campos de controle, do discriminador de protocolo e de referência de chamada, que não são alterados. O quarto campo indica o tipo mensagem LMI.

As mensagens de status ajudam a verificar a integridade dos links lógicos e físicos. Essas informações são essenciais em um ambiente de roteamento, pois os protocolos de roteamento tomam decisões com base na integridade dos links.

Exibir meio visual

Usando LMI e ARP inverso para mapear endereços

As mensagens de status LMI, combinadas com as mensagens de ARP inverso, permitem que um roteador associe endereços da camada de rede e da camada de enlace.

Clique no botão LMI 1 para assistir ao vídeo que mostra como o processo LMI é iniciado.

Nesse exemplo, quando R1 conecta-se à rede Frame Relay, ele envia uma mensagem de consulta de status LMI à rede. A rede responde com uma mensagem de status LMI que contém detalhes de todos os VCs configurados no link de acesso.

Periodicamente, o roteador repete a consulta de status, mas as respostas subsequentes incluem somente as alterações de status. Depois de um número definido dessas respostas abreviadas, a rede envia uma mensagem de status completa.

Clique no botão LMI 2 para ver o próximo estágio.

Se o roteador precisar mapear os VCs para endereços da camada de rede, ele enviará uma mensagem de ARP inverso em cada VC. A mensagem de ARP inverso inclui o endereço da camada de rede do roteador para que o DTE remoto, ou roteador, também possa executar o mapeamento. A resposta do ARP inverso permite que o roteador faça as entradas de mapeamento necessárias em sua tabela de mapas de endereço-para-DLCI. Se vários protocolos da camada de rede forem suportados no link, serão enviadas mensagens de ARP inverso a cada um deles.

Exibir meio visual


3.2 Configurando Frame Relay

3.2.1 Configurando Frame Relay básico

Página 1:

Tarefas de configuração do Frame Relay

O Frame Relay é configurado em um roteador Cisco na interface de linha de comando do Cisco IOS (CLI). Esta seção descreve as etapas necessárias para habilitar o Frame Relay na sua rede, bem como algumas das etapas opcionais que você pode usar para aprimorar ou personalizar sua configuração.

A figura mostra o modelo de configuração básico usado para essa discussão. Posteriormente nesta seção, serão adicionados outros hardwares ao diagrama para ajudar a explicar tarefas de configuração mais complexas. Nesta seção, você configurará os roteadores Cisco como dispositivos de acesso Frame Relay, ou DTEs, conectados diretamente a um switch Frame Relay dedicado, ou DCE.

A figura mostra uma configuração típica de Frame Relay e lista as etapas a serem seguidas. Essas etapas são explicadas e praticadas neste capítulo.

Exibir meio visual

Página 2:

Habilitar o encapsulamento Frame Relay

Esta primeira figura mostra como o Frame Relay foi configurado nas interfaces seriais. Isso envolve a atribuição de um endereço IP, a definição do tipo de encapsulamento e a alocação de largura de banda. A figura mostra roteadores em cada extremidade do link Frame Relay com os scripts de configuração para os roteadores R1 e R2.

Etapa 1. Definindo o endereço IP na interface

Em um roteador Cisco, o Frame Relay é geralmente suportado em interfaces seriais síncronas. Use o comando ip address para definir o endereço IP da interface. Você pode observar que R1 recebeu o endereço IP 10.1.1.1/24 e R2 o endereço IP 10.1.1.2/24.

Etapa 2. Configurando o encapsulamento

O comando de configuração de interface encapsulation frame-relay habilita o encapsulamento Frame Relay e permite o processamento do Frame Relay na interface suportada. Há duas opções de encapsulamento. Elas serão descritas a seguir.

Etapa 3. Definindo a largura de banda

Use o comando bandwidth para definir a largura de banda da interface serial. Especifique a largura de banda em kb/s. Esse comando notifica o protocolo de roteamento que a largura de banda é configurada estaticamente no link. Os protocolos de roteamento EIGRP e OSPF usam o valor de largura de banda para calcular e determinar a métrica do link.

Etapa 4. Definindo o tipo de LMI (opcional)

Essa etapa é opcional, pois os roteadores Cisco detectam automaticamente o tipo de LMI. Lembre-se de que os roteadores Cisco suportam três tipos de LMI: Cisco, ANSI Annex D e Q933-A Annex A. Além disso, o tipo de LMI padrão para os roteadores Cisco é cisco.

Opções de encapsulamento

Lembre-se de que o tipo de encapsulamento padrão em uma interface serial em um roteador Cisco é a versão do HDLC de propriedade da Cisco. Para alterar o encapsulamento de HDLC para Frame Relay, use o comando encapsulation frame-relay [cisco | ietf]. O comando noencapsulation frame-relay remove o encapsulamento Frame Relay da interface e a retorna ao encapsulamento HDLC padrão.

O encapsulamento Frame Relay padrão habilitado em interfaces suportadas é Cisco. Use essa opção ao conecta-se a outro roteador Cisco. Muitos dispositivos que não são Cisco também suportam esse tipo de encapsulamento. Ele usa um cabeçalho de 4 bytes, com 2 bytes para identificar o DLCI e 2 bytes para identificar o tipo de pacote.

O tipo de encapsulamento IETF segue os padrões RFC 1490 e RFC 2427. Use essa opção ao conectar-se a um roteador que não seja Cisco.

Clique no botão Verificando a configuração na figura.

A saída do comando show interfaces serial verifica a configuração.

Exibir meio visual

3.2.2 Configurando mapas Frame Relay estáticos

Página 1:

Configurando um mapa Frame Relay estático

Os roteadores Cisco suportam todos os protocolos da camada de rede sobre Frame Relay, como IP, IPX e AppleTalk, e o mapeamento endereço-para-DLCI pode ser realizado por mapeamento de endereço dinâmico ou estático.

O mapeamento dinâmico é executado pelo recurso ARP inverso. Como o ARP inverso é habilitado por padrão, não é necessário nenhum comando adicional para configurar o mapeamento dinâmico em uma interface.

O mapeamento estático é configurado manualmente em um roteador. O estabelecimento do mapeamento estático depende das suas necessidades de rede. Para mapear entre um endereço de protocolo de próximo salto e um endereço de destino de DLCI, utilize o comando frame-relay map protocol protocol-address dlci [broadcast].

Usando a palavra-chave broadcast

Frame Relay, ATM e X.25 são redes ponto-a-multiponto (NBMA, nonbroadcast multiaccess). Redes NBMA só permitem transferência de dados de um computador para outro sobre um VC ou em um dispositivo de comutação. Redes NBMA não suportam tráfego multicast ou broadcast. Portanto, um único pacote não pode alcançar todos os destinos. Para isso, é necessário transmitir para replicar os pacotes manualmente a todos os destinos.

Alguns protocolos de roteamento podem exigir opções de configuração adicionais. Por exemplo, RIP, EIGRP e OSPF exigem configurações adicionais para que sejam suportados em redes NBMA.

Como a NBMA não suporta o tráfego de broadcast, a palavra-chave broadcast é uma maneira simplificada de encaminhar atualizações de roteamento. A palavra-chave broadcast permite broadcasts e multicasts no PVC e, em vigor, transforma o broadcast em unicast para que o outro nó obtenha as atualizações de roteamento.

Na configuração de exemplo, R1 usa o comando frame-relay map para mapear o VC para R2.

Clique no botão Parâmetros na figura.

A figura mostra como usar as palavras-chave ao configurar mapas de endereço estático.

Clique no botão Verificar na figura.

Para verificar o mapeamento Frame Relay, use o comando show frame-relay map.

Exibir meio visual

Página 2:

Nesta atividade, você configurará dois mapas estáticos Frame Relay em cada roteador para alcançar mais dois roteadores. Embora o tipo LMI seja enviado automaticamente nos roteadores, você atribuirá estaticamente o tipo com a configuração manual da LMI. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual

3.3 Conceitos avançados do Frame Relay

3.3.1 Identificando e solucionando problemas de acessibilidade

Página 1:

Split Horizon

Por padrão, uma rede Frame Relay fornece conectividade NBMA entre sites remotos. Nuvens NBMA geralmente usam uma topologia hub-and-spoke. Infelizmente, uma operação básica de roteamento baseada no princípio de split horizon pode causar problemas de acessibilidade em uma rede NBMA Frame Relay.

Lembre-se de que o split horizon é uma técnica usada para evitar loop de roteamento em redes que usam protocolos de roteamento de vetor distância. As atualizações de split horizon reduzem loops de roteamento evitando que uma atualização de roteamento recebida em uma interface seja encaminhada pela mesma interface.

A figura mostra R2, um roteador spoke, enviando uma atualização de roteamento em broadcast a R1, o roteador hub.

Roteadores que suportam várias conexões em uma única interface física têm muitos PVCs que finalizam em uma única interface. R1 deve replicar pacotes de broadcast, como broadcasts de atualização de roteamento, em cada PVC para os roteadores remotos. Os pacotes de broadcast replicados podem consumir largura de banda e causar

latência significativa para o tráfego de usuário. A quantidade de tráfego de broadcast e o número de VCs que finalizam em cada roteador deve ser avaliada durante a fase de projeto de uma rede Frame Relay. O tráfego de sobrecarga, como atualizações de roteamento, pode afetar a entrega de dados essenciais de usuário, principalmente quando o caminho de entrega contém links de baixa largura de banda (56 kb/s).

Clique no botão Problema de Split Horizon na figura.

R1 tem vários PVCs em uma única interface física. Portanto, a regra de split horizon impede que R1 faça o encaminhamento dessa atualização de roteamento pela mesma interface física a outros roteadores spoke remotos (R3).

Desabilitar o split horizon pode parecer uma solução simples porque permite que as atualizações de roteamento sejam encaminhadas pela mesma interface física da qual vieram. No entanto, somente o IP permite desabilitar o split horizon; IPX e AppleTalk não. Além disso, desabilitar o split horizon aumenta a chance de loops de roteamento em qualquer rede. O split horizon pode ser desabilitado para interfaces físicas com um único PVC.

A outra solução óbvia para solucionar o problema de split horizon é usar uma topologia completamente em malha. No entanto, ela é cara, pois são necessários mais PVCs. A melhor solução é usar subinterfaces. Isso será explicado no próximo tópico.

Exibir meio visual

Página 2:

Subinterfaces Frame Relay

O Frame Relay pode dividir uma interface física em várias interfaces virtuais chamadas subinterfaces. Uma subinterface é simplesmente uma interface lógica associada diretamente a uma interface física. Portanto, uma subinterface Frame Relay pode ser configurada para cada um dos PVCs que entram em uma interface serial física.

Para habilitar o encaminhamento de atualizações de roteamento em broadcast em uma rede Frame Relay, você pode configurar o roteador com subinterfaces logicamente

atribuídas. Uma rede parcialmente em malha pode ser dividida em várias redes menores, completamente em malha, ponto-a-ponto. Cada sub-rede ponto-a-ponto pode receber um endereço de rede exclusivo, que permite que pacotes recebidos em uma interface física sejam enviados pela mesma interface, pois os pacotes são encaminhados em VCs em subinterfaces diferentes.

As subinterfaces Frame Relay podem ser configuradas nos modos ponto-a-ponto ou multiponto:

Ponto-a-ponto - Uma única subinterface ponto-a-ponto estabelece uma conexão de PVC com outra subinterface ou interface física em um roteador remoto. Nesse caso, cada par de roteadores ponto-a-ponto está em sua própria sub-rede, e cada subinterface ponto-a-ponto tem um único DLCI. Em um ambiente ponto-a-ponto, cada subinterface está atuando como uma interface ponto-a-ponto. Normalmente, há uma sub-rede separada para cada VC ponto-a-ponto. Portanto, o tráfego de atualização de roteamento não está sujeito à regra de split horizon.

Multiponto – Uma única subinterface multiponto estabelece várias conexões de PVC com várias subinterfaces ou interfaces físicas em roteadores remotos. Todas as interfaces participantes estão na mesma sub-rede. A subinterface atua como uma interface Frame Relay NBMA. Portanto, o tráfego de atualização de roteamento está sujeito à regra de split horizon. Normalmente, todos os VCs multiponto pertencem à mesma sub-rede.

A figura ilustra dois tipos de subinterfaces suportadas por roteadores Cisco.

Em ambientes de roteamento de split horizon, as atualizações de roteamento recebidas em uma subinterface podem ser enviadas por outra subinterface. Em uma configuração de subinterface, cada VC pode ser configurado como uma conexão ponto-a-ponto. Isso permite que cada subinterface atue de maneira semelhante a uma linha alugada. Usando uma subinterface Frame Relay ponto-a-ponto, cada par de roteadores ponto-a-ponto está em sua própria sub-rede.

O comando encapsulation frame-relay é atribuído à interface física. Todos os outros itens de configuração, como o endereço da camada de rede e os DLCIs, são atribuídos à subinterface.

Você pode usar configurações multiponto para preservar endereços. Isso poderá ser especialmente útil se o Mascaramento de sub-rede de tamanho variável (VLSM,

Variable Length Subnet Masking) não estiver sendo usada. No entanto, configurações multiponto podem não funcionar corretamente segundo o tráfego de broadcast e as considerações de split horizon. A opção de subinterface ponto-a-ponto foi criada para evitar esses problemas.

Passe o mouse sobre a subinterface ponto-a-ponto e a subinterface multiponto na figura para obter descrições resumidas.

A configuração de subinterfaces será explicada e praticada na próxima seção.

Exibir meio visual

3.3.2 Pagando pelo Frame Relay

Página 1:

Terminologia essencial

As operadoras criam redes Frame Relay usando switches muito grandes e muito avançados, mas como cliente, seus dispositivos só visualizam a interface do switch do provedor de serviços. Geralmente, os clientes não são expostos aos mecanismos internos da rede, que pode ser criada em tecnologias de alta velocidade, como T1, T3, SONET ou ATM.

Então, do ponto de vista de um cliente, o Frame Relay é uma interface e um ou mais PVCs. Os clientes simplesmente contratam serviços Frame Relay de uma operadora. No entanto, antes de decidir como pagar pelos serviços Frame Relay, há alguns termos e conceitos essenciais a serem aprendidos, conforme ilustrado na figura:

Taxa de acesso ou velocidade da porta - Do ponto de vista de um cliente, a operadora fornece uma conexão serial ou um link de acesso à rede Frame Relay em uma linha alugada. A velocidade da linha é a velocidade de acesso ou a velocidade da porta. A taxa de acesso é a taxa na qual seus circuitos de acesso se unem à rede Frame Relay. Geralmente, elas são de 56 kb/s, T1 (1.536 Mb/s) ou T1 Fracionário (um múltiplo de 56 kb/s ou de 64 kb/s). As velocidades de porta são sincronizadas no switch Frame Relay. Não é possível enviar dados a uma velocidade mais alta do que a velocidade da porta.

Taxa de informações garantida (CIR) - Os clientes negociam CIRs com as operadoras para cada PVC. A CIR é a quantidade de dados que a rede recebe do circuito de acesso. A operadora garante que o cliente pode enviar dados na CIR. Todos os quadros recebidos em ou abaixo da CIR são aceitos.

Uma grande vantagem do Frame Relay é que a capacidade de rede que não estiver sendo usada será disponibilizada ou compartilhada com todos os clientes, geralmente sem nenhum custo adicional. Isso permite que os clientes "estourem" suas CIRs como um bônus. O burst é explicado no próximo tópico.

Clique no botão Exemplo na figura.

Neste exemplo, além de todos os custos de CPE, o cliente paga por três componentes de custo de Frame Relay:

Velocidade de acesso ou da porta: o custo da linha de acesso do DTE para o DCE (cliente para operadora). Essa linha é carregada com base na velocidade de porta que foi negociada e instalada.

PVC: esse componente de custo é baseado nos PVCs. Quando um PVC é estabelecido, o custo adicional para aumentar a CIR é tipicamente pequeno e pode ser feito em incrementos pequenos (4 kb/s).

CIR: geralmente os clientes escolhem uma CIR inferior à velocidade da porta ou à taxa de acesso. Isso permite tirar proveito dos bursts.

No exemplo, o cliente está pagando pelo seguinte:

Uma linha de acesso com uma taxa de 64 kb/s que conecta seu DCE ao DCE da operadora pela porta serial S0/0/0.

Duas portas virtuais, uma a 32 kb/s e a outra a 16 kb/s. Uma CIR de 48 kb/s por toda a rede Frame Relay. Geralmente, essa carga é fixa

e não é conectada à distância.

Oversubscription

Algumas vezes, as operadoras vendem mais capacidade do que realmente têm, supondo que nem todos os clientes exigirão suas capacidades conferidas o tempo todo. Essa oversubscription é análoga a linhas aéreas que vendem mais assentos do que realmente têm na expectativa de que alguns dos clientes que possuem reserva não viajarão. Por causa da oversubscription, haverá casos em que a soma de CIRs de vários PVCs para um determinado local será mais alta do que a taxa da porta ou do canal de acesso. Isso pode causar problemas de tráfego, como congestionamentos e tráfego descartado.

Exibir meio visual

Página 2:

Burst

Uma grande vantagem do Frame Relay é que a capacidade de rede que não estiver sendo usada será disponibilizada ou compartilhada com todos os clientes, geralmente sem nenhum custo adicional.

Usando o exemplo anterior, a figura mostra uma taxa de acesso na porta serial S0/0/0 do roteador R1 a 64 kb/s. Essa taxa é mais alta do que as CIRs combinadas dos dois PVCs. Em circunstâncias normais, o dois PVCs não devem transmitir mais de 32 kb/s e 16 kb/s, respectivamente. Desde que a quantidade de dados que o dois PVCs estão enviando não exceda sua CIR, os dados devem atravessar a rede.

Como os circuitos físicos da rede Frame Relay são compartilhados entre os assinantes, frequentemente haverá largura de banda disponível em excesso. O Frame Relay pode permitir que os clientes acessem dinamicamente essa largura de banda adicional e "estourar" suas CIRs gratuitamente.

O burst permite que os dispositivos que precisam temporariamente de largura de banda adicional a empreste sem nenhum custo adicional de outros dispositivos que não a estão utilizando. Por exemplo, se o PVC 102 estiver transferindo um arquivo grande, ele poderá usar o 16 kb/s que não está sendo usado pelo PVC 103. Mesmo que um dispositivo estoure até o limite da taxa de acesso, os dados poderão atravessar a rede. A duração de uma transmissão de burst deve ser curta: menos de três ou quatro segundos.

Vários termos são usados para descrever taxas de burst, inclusive a Taxa de informações de burst comprometida (CBIR) e o tamanho do excesso de burst (BE).

A CBIR é uma taxa negociada acima da CIR, que o cliente pode usar para transmissão para burst rápido. Ela permite que o tráfego estoure para velocidades mais altas, conforme a largura de banda de rede disponível permite. No entanto, ele não pode exceder a velocidade da porta do link. Mesmo que um dispositivo estoure até o limite da CBIR, os dados poderão atravessar a rede. A duração de uma transmissão de burst deve ser curta: menos de três ou quatro segundos. Se os bursts longos persistirem, uma CIR mais alta deverá ser adquirida.

Por exemplo, o DLCI 102 tem uma CIR de 32 kb/s com uma CBIR adicional de 16 kb/s para um total de até 48 kb/s. Os quadros enviados nesse nível são marcados como Discard Eligible (DE) em seus cabeçalhos, indicando que eles podem ser descartados se houver congestionamento ou se não houver capacidade suficiente na rede. Os quadros da CIR negociada não são qualificados para descarte (DE = 0). Os quadros acima da CIR têm o bit DE definido como 1, marcando-os como qualificados para serem descartados, caso a rede fique congestionada.

BE é o termo usado para descrever a largura de banda disponível acima da CBIR até a taxa de acesso do link. Ao contrário da CBIR, ele não é negociado. Os quadros podem ser transmitidos nesse nível, mas provavelmente serão descartados.

Clique no botão Burst na figura.

A figura ilustra a relação entre os vários termos de burst.

Exibir meio visual

3.3.3 Controle de fluxo do Frame Relay

Página 1:

O Frame Relay reduz a sobrecarga na rede implementando mecanismos simples de notificação de congestionamento em vez de controle de fluxo explícito por VC. Esses mecanismos de notificação de congestionamento são a Notificação explícita de congestionamento à frente (FECN) e a Notificação de congestionamento explícito reverso (BECN).

Para ajudar a entender os mecanismos, o gráfico que mostra a estrutura do quadro Frame Relay é apresentado para revisão. FECN e BECN são controladas por um único bit contido no cabeçalho do quadro. Elas permitem que o roteador saiba que há congestionamento e que o roteador deve parar a transmissão até que a condição seja invertida. BECN é uma notificação direta. FECN é uma notificação indireta.

O cabeçalho do quadro também contém um bit DE, que identifica o tráfego menos importante que pode ser descartado durante períodos de congestionamento. Os dispositivos DTE podem definir o valor do bit DE como 1 para indicar que o quadro tem importância inferior à de outros quadros. Quando a rede fica congestionada, os dispositivos DCE descartam os quadros com bit DE definido como 1 antes de descartar os demais quadros. Isso reduz a probabilidade de descarte de dados essenciais durante períodos de congestionamento.

Em períodos de congestionamento, o switch Frame Relay do provedor aplica as seguintes regras lógicas a cada quadro recebido, dependendo da CIR ter sido excedida ou não:

Se o quadro recebido não exceder a CIR, ele será transmitido. Se um quadro recebido exceder a CIR, ele será marcado como DE. Se um quadro recebido exceder a CIR, além do BE, ele será descartado.

Clique no botão Fila na figura e em Reproduzir na animação.

Os quadros que chegam a um switch são enfileirados ou armazenados em buffer antes de serem encaminhados. Como em qualquer sistema de fila, é possível que haja uma formação excessiva de quadros em um switch. Isso causa atrasos. Os atrasos levam a novas transmissões desnecessárias que ocorrem quando protocolos de níveis mais altos não recebem nenhuma confirmação dentro de um período definido. Em casos severos, isso pode causar uma queda séria na produtividade da rede. Para evitar esse problema, o Frame Relay incorpora um recurso de controle de fluxo.

A figura mostra um switch com um enfileiramento. Para reduzir o fluxo de quadros para a fila, o switch notifica os DTEs sobre o problema usando os bits de Notificação de congestionamento explícito no campo de endereço do quadro.

O bit FECN, indicado pelo "F" na figura, é definido em todos os quadros que o switch upstream recebe no link congestionado.

O bit BECN, indicado pelo "B" na figura, é definido em todos os quadros que o switch posiciona no link congestionado para o switch downstream.

Os DTEs que recebem quadros com os bits ECN definidos devem tentar reduzir o fluxo de quadros até que o congestionamento acabe.

Se o congestionamento ocorrer em um tronco interno, os DTEs poderão receber notificação, embora não sejam a causa do congestionamento.

Exibir meio visual


3.4 Configurando o Frame Relay avançado

3.4.1 Configurando as subinterfaces Frame Relay

Página 1:

Lembre-se de que usar as subinterfaces Frame Relay assegura que uma única interface física seja tratada como várias interfaces virtuais para superar regras de split horizon. Os pacotes recebidos em uma interface virtual podem ser encaminhados à outra, mesmo que elas estejam configuradas na mesma interface física.

As subinterfaces resolvem as limitações das redes Frame Relay fornecendo um modo de subdividir uma rede Frame Relay parcialmente em malha em várias sub-redes menores, em malha completa (ou ponto-a-ponto). Cada sub-rede recebe seu próprio número de rede e aparece para os protocolos como se fosse alcançável através de uma interface separada. As subinterfaces ponto-a-ponto podem ser não numeradas para uso com IP, reduzindo a sobrecarga de endereçamento que poderia ocorrer.

Para criar uma subinterface, use o comando interface serial. Especifique o número da porta, seguido de um ponto (.) e o número da subinterface. Para facilitar a solução de problemas, use o DLCI como o número da subinterface. Você também deve especificar

se a interface é ponto-a-ponto ou multiponto usando as palavras-chave multipoint ou point-to-point, pois não há um padrão. Essas palavras-chave são definidas na figura.

O comando a seguir cria uma subinterface ponto-a-ponto para o PVC 103 em R3: R1(config-if)#interface serial 0/0/0.103 point-to-point.

Clique no botão DLCI na figura.

Se a subinterface for configurada como ponto-a-ponto, o DLCI local da subinterface também deverá ser configurado para diferenciá-la da interface física. O DLCI também é necessário às subinterfaces multiponto para as quais o ARP inverso é habilitado. Ele não é necessário para subinterfaces multiponto configuradas com mapas estáticos.

A operadora de Frame Relay atribui os números de DLCI. Esses números variam de 16 a 991, e normalmente sua importância é somente local. O intervalo varia, dependendo da LMI usada.

O comando frame-relay interface-dlci configura o DLCI local na subinterface. Por exemplo: R1(config-subif)#frame-relay interface-dlci 103.

Nota: infelizmente, a alteração de uma configuração de subinterface Frame Relay existente pode não produzir o resultado esperado. Nessas situações, pode ser necessário salvar a configuração e reiniciar o roteador.

Exibir meio visual

Página 2:

Exemplo de configuração de subinterfaces

Na figura, R1 tem duas subinterfaces ponto-a-ponto. A subinterface s0/0.0.102 é conectada a R2 e a subinterface s0/0/0.103 é conectada a R3. Cada subinterface está em uma sub-rede diferente.

Para configurar subinterfaces em uma interface física, são necessárias as seguintes etapas:

Etapa 1. Remova todos os endereços de camada de rede atribuídos à interface física. Se a interface física tiver um endereço, os quadros não serão recebidos pelas subinterfaces locais.

Etapa 2. Configure o encapsulamento Frame Relay na interface física usando o comando encapsulation frame-relay.

Etapa 3. Para cada um dos PVCs definidos, crie uma subinterface lógica. Especifique o número da porta, seguido de um ponto (.) e o número da subinterface. Para facilitar a solução de problemas, é recomendável que o número da subinterface corresponda ao número do DLCI.

Etapa 4. Configure um endereço IP para a interface e defina a largura de banda.

Nesse momento, nós configuraremos o DLCI. Lembre-se de que a operadora de Frame Relay atribui os números de DLCI.

Etapa 5. Configure o DLCI local na subinterface usando o comando frame-relay interface-dlci.

Exibir meio visual

3.4.2 Verificando a operação do Frame Relay

Página 1:

O Frame Relay geralmente é um serviço muito confiável. No entanto, há momentos em que o desempenho da rede é menor do que o esperado. Nesses casos, é necessário solucionar os problemas. Por exemplo, os usuários podem relatar conexões lentas e intermitentes pelo circuito. Os circuitos podem parar de funcionar. Independentemente do motivo, quedas na rede são muito dispendiosas em termos de produtividade perdida.

Uma prática recomendada é verificar sua configuração antes que os problemas apareçam.

Neste tópico, você visualizará um procedimento de verificação para garantir que tudo esteja funcionando corretamente antes de você iniciar sua configuração em uma rede ativa.

Verificar as interfaces Frame Relay

Depois de configurar um PVC Frame Relay e ao solucionar um problema, verifique se o Frame Relay está funcionando corretamente nessa interface usando o comando show interfaces.

Lembre-se de que, com o Frame Relay, o roteador geralmente é considerado um dispositivo DTE. No entanto, um roteador Cisco pode ser configurado como um switch Frame Relay. Em tais casos, o roteador torna-se um dispositivo DCE quando é configurado como um switch Frame Relay.

O comando show interfaces mostra como o encapsulamento está configurado, além de informações de status úteis da Camada 1 e da Camada 2, incluindo:

Tipo de LMI DLCI LMI Tipo de DTE/DCE de Frame Relay

A primeira etapa é sempre confirmar se as interfaces estão configuradas corretamente. A figura mostra um exemplo de saída do comando show interfaces. Entre outras coisas, você pode visualizar detalhes sobre o encapsulamento, o DLCI na interface serial Frame Relay e o DLCI usado para a LMI. Você deve confirmar se esses valores são os esperados. Caso contrário, poderá ser necessário fazer alterações.

Clique no botão LMI na figura para verificar o seu desempenho.

A próxima etapa é analisar algumas estatísticas de LMI usando o comando show frame-relay lmi. Na saída do comando, procure todos os itens "Invalid" diferentes de zero. Isso ajuda a isolar o problema como um problema de comunicação Frame Relay entre o switch da operadora e o seu roteador.

A figura exibe um exemplo de saída do comando que mostra o número de mensagens de status trocadas entre o roteador local e o switch Frame Relay local.

Agora analise as estatísticas da interface.

Clique no botão Status de PVC na figura para verificar.

Use o comando show frame-relay pvc [interface interface] [dlci] para exibir as estatísticas de PVC e de tráfego. Esse comando também é útil para exibir o número de pacotes BECN e FECN recebidos pelo roteador. O status do PVC pode ser ativo, inativo ou deletado.

O comando show frame-relay pvc exibe o status de todos os PVCs configurados no roteador. Você também pode especificar um PVC em particular. Clique em Status do PVC na figura para ver um exemplo da saída do comando show frame-relay pvc 102.

Depois que tiver coletado todas as estatísticas, use o comando clear counters para reiniciar os contadores de estatísticas. Aguarde de 5 a 10 minutos depois de limpar os contadores para emitir o comando show novamente. Observe todos os erros adicionais. Se você precisar entrar em contato com a operadora, essas estatísticas o ajudarão a solucionar os problemas.

A tarefa final é confirmar se o comando frame-relay inverse-arp determinou um endereço IP remoto a um DLCI local. Use o comando show frame-relay map para exibir as entradas de mapa atuais e as informações sobre as conexões.

Clique no botão ARP inverso na figura.

A saída do comando mostra as seguintes informações:

10.140.1.1 é o endereço IP do roteador remoto, dinamicamente aprendido pelo processo de ARP inverso.

100 é o valor decimal do DLCI local. 0 x 64 é a conversão hexadecimal do número de DLCI, 0 x 64 = 100 decimal. 0 x 1840 é o valor como apareceria no cabo devido à maneira como os bits de

DLCI são difundidos no campo de endereço do quadro Frame Relay. Broadcast/multicast estão habilitados no PVC. O status do PVC é ativo.

Para limpar mapas Frame Relay dinamicamente criados usando o ARP inverso, use o comando clear frame-relay-inarp. Clique no botão Limpar mapas para visualizar um exemplo dessa etapa.

Exibir meio visual

3.4.3 Identificação e solução de problemas de configuração do Frame Relay

Página 1:

Se o procedimento de verificação indicar que a sua configuração Frame Relay não está funcionando corretamente, você precisará solucionar esses problemas.

Use o comando debug frame-relay lmi para determinar se o roteador e o switch Frame Relay estão enviando e recebendo pacotes LMI corretamente.

Veja a figura e examine a saída do comando de uma troca LMI.

"out" é uma mensagem de status LMI enviada pelo roteador. "in" é uma mensagem recebida do switch Frame Relay. Uma mensagem completa de status LMI é "tipo 0" (não mostrada na figura). Uma troca LMI é um "tipo 1". "dlci 100, status 0x2" significa que o status do DLCI 100 é ativo (não mostrado

na figura).

Quando é feita uma solicitação ARP inverso, o roteador atualiza sua tabela de mapas com três possíveis estados de conexão LMI. Esses estados são: estado ativo, estado inativo e estado deletado

Estados ATIVOS indicam um circuito fim-a-fim (DTE para DTE) bem-sucedido.

O estado INATIVO indica uma conexão bem-sucedida com o switch (DTE para DCE) sem um DTE detectado na outra extremidade do PVC. Isso pode ocorrer devido a uma configuração residual ou incorreta no switch.

O estado DELETADO indica que o DTE está configurado para um DLCI que o switch não reconhece como válido para essa interface.

Os possíveis valores do campo de status são:

0 x 0 - O switch tem o DLCI programado. Porém, por alguma razão, ele não é utilizável. Pode ser que a outra extremidade do PVC esteja inativa.

0 x 2 - O switch Frame Relay tem o DLCI e tudo funciona. 0 x 4 - O switch Frame Relay não tem o DLCI programado para o roteador, mas

ele foi programado em algum momento no passado. Outros motivos podem ser: os DLCIs foram invertidos no roteador, ou o PVC foi excluído pela operadora na nuvem Frame Relay.

Exibir meio visual



3.5.1 Frame Relay básico

Página 1:

Neste laboratório, você irá aprender a configurar o encapsulamento Frame Relay em links seriais usando a rede mostrada no diagrama de topologia. Você também aprenderá a configurar um roteador como um switch frame relay. Há padrões Cisco e padrões abertos que se aplicam ao Frame Relay. Você aprenderá ambos. Preste atenção especial na seção de laboratório em que você divide intencionalmente as configurações de Frame Relay. Isso o ajudará no laboratório de solução de problemas associado a este capítulo.

Exibir meio visual

3.5.2 Configuração avançada de Frame Relay

Página 1:

Neste laboratório, você irá configurar o Frame Relay usando a rede mostrada no diagrama de topologia. Se você precisar de assistência, consulte o laboratório de Frame Relay básico. No entanto, tente fazer o máximo possível.

Exibir meio visual

3.5.3 Identificação e solução de problemas de Frame Relay

Página 1:

Neste laboratório, você irá praticar a solução de problemas em um ambiente de Frame Relay configurado incorretamente. Carregue ou peça ao instrutor para carregar as configurações abaixo em seus roteadores. Localize e repare todos os erros nas configurações e estabeleça a conectividade fim-a-fim. Sua configuração final deve corresponder ao diagrama de topologia e à tabela de endereçamento.

Exibir meio visual

3.6 Resumo


Página 1:

O Frame Relay fornece mais largura de banda, confiabilidade e flexibilidade do que as linhas alugadas ou particulares. O Frame Relay reduziu os custos de rede usando menos equipamento, menos complexidade e fornecendo uma implementação mais fácil. Por esses motivos, o Frame Relay se tornou a tecnologia WAN mais usada no mundo.

Uma conexão Frame Relay entre um dispositivo DTE na extremidade da rede local e um dispositivo DCE na extremidade da operadora possui um componente de camada de enlace e um componente de camada física. O Frame Relay recebe pacotes de dados e os encapsula em um quadro Frame Relay. Em seguida, ele transmite o quadro à camada física para ser enviado pelo cabo. A conexão pela rede da operadora é um VC identificado por um DLCI. Vários VCs podem ser multiplexados com um FRAD. As

redes Frame Relay geralmente usam uma topologia de malha parcial otimizada para os requisitos de fluxo de dados da base de clientes da operadora.

O Frame Relay usa o ARP inverso para mapear DCLIs para os endereços IP de locais remotos. O mapeamento de endereço dinâmico depende do ARP inverso para determinar um endereço de protocolo de rede de próximo salto para um valor de DLCI local. O roteador de Frame Relay envia solicitações ARP inverso em seu PVC para descobrir o endereço de protocolo do dispositivo remoto conectado à rede Frame Relay. Os roteadores DTE do Frame Relay usam a LMI para fornecer informações de status sobre sua conexão com o switch DCE. As extensões de LMI fornecem informações de rede adicionais.

As duas primeiras tarefas da configuração do Frame Relay em um roteador Cisco são: habilitar o encapsulamento de Frame Relay na interface e, em seguida, configurar o mapeamento estático ou dinâmico. Depois disso, há várias tarefas opcionais que podem ser concluídas conforme for necessário, incluindo configuração da LMI, dos VCs, modelagem de tráfego e personalização do Frame Relay na sua rede. Monitorar a manutenção das conexões Frame Relay é a tarefa final.

A configuração do Frame Relay deve considerar o problema de split horizon que ocorre quando vários VCs convergem em uma única interface física. O Frame Relay pode dividir uma interface física em várias interfaces virtuais chamadas subinterfaces. A configuração da subinterface também foi explicada e praticada.

A configuração do Frame Relay é afetada pela maneira como as operadoras cobram pelas conexões usando unidades de taxas de acesso e taxas de informações garantidas (CIR). Uma vantagem desses esquemas de cobrança é que a capacidade de rede que não estiver sendo usada será disponibilizada ou compartilhada com todos os clientes, geralmente sem nenhum custo adicional. Isso permite que os usuários estourem o tráfego por períodos curtos.

A configuração do controle de fluxo em uma rede Frame Relay também é afetada pelos esquemas de cobrança das operadoras. Você pode configurar as filas e modelar o tráfego de acordo com a CIR. Os DTEs podem ser configurados para controlar o congestionamento na rede adicionando bits BECN e FECN aos endereços de quadro. Os DTEs também podem ser configurados para definir um bit qualificado para descarte, que indica que o quadro pode ser descartado antes de outros quadros, se houver congestionamento. Os quadros enviados que excederem a CIR são marcados como "qualificado para descarte" (DE), o que significa que eles poderão ser descartados se houver congestionamento na rede Frame Relay.

Finalmente, depois de configurar o Frame Relay, você aprendeu a verificar e solucionar os problemas das conexões.

Exibir meio visual


Página 3:

Esta atividade permite praticar uma variedade de habilidades, incluindo a configuração do Frame Relay, o PPP com o CHAP, o roteamento padrão e estático, o VTP e a VLAN. Como há aproximadamente 150 componentes classificados nesta atividade, talvez você não veja o aumento no percentual de conclusão sempre que configura um comando classificado. Você pode clicar em Verificar resultados e em Itens de avaliação para verificar se inseriu corretamente um comando classificado. São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.



Exibir meio visual




4 Segurança de rede



Página 1:

A segurança foi colocada à frente do gerenciamento de rede e da implementação. O desafio geral da segurança é encontrar um equilíbrio entre dois requisitos importantes: a necessidade de abrir redes para dar suporte a cada vez mais oportunidades de negócios e a necessidade de proteger informações privadas, pessoais e comerciais estratégicas.

A aplicação de uma política de segurança efetiva é o passo mais importante que uma organização pode dar para proteger sua rede. Ela fornece diretrizes sobre as atividades a serem realizadas e os recursos utilizados para proteger a rede de uma organização.

A segurança da Camada 2 não é abordada neste capítulo. Para obter informações sobre as medidas de segurança da Camada 2, consulte o curso CCNA Exploration: Comutação de rede local e rede sem fio.

Exibir meio visual

4.1 Introdução à segurança de rede

4.1.1 Por que a segurança de rede é importante?

Página 1:

Por que a segurança de rede é importante?

As redes de computadores cresceram em tamanho e importância muito rapidamente. Se a segurança da rede for comprometida, talvez haja consequências sérias, como a perda de privacidade, o roubo de informações e até mesmo a responsabilização legal. Para tornar a situação ainda mais desafiadora, os tipos de ameaças em potencial à segurança de rede estão sempre evoluindo.

Na medida em que o comércio eletrônico e os aplicativos da Internet continuam crescendo, encontrar o equilíbrio entre o isolamento e a abertura é essencial. Além disso, o crescimento do comércio móvel e das redes sem fio exige que as soluções em segurança sejam totalmente integradas, mais transparentes e flexíveis.

Neste capítulo, você fará um tour por todo o mundo da segurança de rede. Você obterá informações sobre tipos diferentes de ameaças, sobre o desenvolvimento de políticas de segurança organizacionais, as técnicas de atenuação e as ferramentas do software IOS Cisco para ajudar na proteção de redes. O capítulo termina com uma análise do gerenciamento de imagens do software IOS Cisco. Embora aparentemente esse não seja um problema de segurança, as imagens e as configurações do software IOS Cisco podem ser excluídas. Dispositivos comprometidos dessa forma oferecem riscos à segurança.

Exibir meio visual

Página 2:

A crescente ameaça à segurança

Com o passar dos anos, as ferramentas e os métodos de ataque à rede evoluíram. Conforme mostrado na figura, em 1985 um atacante precisava contar com computador, programação e conhecimento de rede sofisticados para utilizar ferramentas rudimentares e ataques básicos. Com o passar do tempo, os métodos e as ferramentas dos atacantesatacantes melhoraram, e eles já não precisavam do mesmo nível sofisticado de conhecimento. Isso reduziu efetivamente os requisitos iniciais para os atacantes. Pessoas que antes não participariam de crimes digitais agora podem fazer isso.

Como os tipos de ameaças, ataques e explorações evoluíram, vários termos foram criados para descrever os indivíduos envolvidos. Alguns dos termos mais comuns são os seguintes:

White hat– um indivíduo que procura vulnerabilidades em sistemas ou redes e, em seguida, informa essas vulnerabilidade aos proprietários do sistema para que que elas possam ser corrigidas. Eles são totalmente contrários à violação de sistemas de computadores. Um white hat normalmente se concentra na proteção de sistemas de TI, enquanto um black hat (o oposto) gostaria de invadi-los.

Hacker – termo geral historicamente utilizado para descrever um especialista em programação de computador. Mais recentemente, esse termo passou a ser mais utilizado de modo negativo para descrever um indivíduo que tenta obter acesso não autorizado a recursos de rede com má intenção.

Black hat – outro termo para indivíduos que utilizam seu conhecimento de sistemas de computadores para invadir sistemas ou redes para os quais não têm autorização, normalmente tendo em vista ganhos pessoais ou financeiros. Cracker é um exemplo de black hat.

Cracker – termo mais preciso para descrever alguém que tenta obter acesso não autorizado a recursos de rede com má intenção.

Phreaker – indivíduo que manipula a rede telefônica para que ela execute uma função não permitida. Uma meta comum do phreaking é invadir a rede telefônica, normalmente por meio de um telefone público, fazer chamadas de longa distância gratuitamente.

Spammer – indivíduo que envia grandes quantidades de mensagens de email não solicitadas. Os spammers normalmente utilizam vírus para assumir o controle de computadores domésticos e os utilizam para enviar mensagens em massa.

Phisher – utiliza email ou outros meios para levar outras pessoas a fornecer informações confidenciais, como números de cartão de crédito ou senhas. Um phisher se mascara como uma parte confiável que teria uma necessidade legítima pelas informações confidenciais.

Pense como um atacante

A meta do atacanteatacante é comprometer uma rede-alvo ou um aplicativo em execução em uma rede. Muitos atacantes utilizam esse processo em sete etapas para obter informações e realizar um ataque.

Etapa 1. Executar a análise de presença (reconhecimento). A página Web de uma empresa pode levar a informações, como os endereços IP de servidores. Com eles, um atacante pode criar uma imagem do perfil de segurança ou do "mapa" da empresa.

Etapa 2. Enumerar informações. Um atacante pode expandir o mapa, monitorando o tráfego da rede com um sniffer de pacotes, como o Wireshark, que acaba localizando informações como os números de versão dos servidores FTP e dos servidores de email. Uma referência cruzada com bancos de dados de vulnerabilidades expõe os aplicativos da empresa a explorações em potencial.

Etapa 3. Manipular usuários para obter acesso. Às vezes, os funcionários escolhem senhas que são facilmente descobertas. Em outros casos, os funcionários podem ser induzidos por atacantes talentosos a fornecer informações confidenciais relacionadas ao acesso.

Etapa 4. Escalonar privilégios. Depois de obter acesso básico, os atacantes utilizam suas habilidades para aumentar seus privilégios de rede.

Etapa 5. Obter senhas e segredos adicionais. Com maiores privilégios de acesso, os atacantes utilizam seus talentos para obter acesso a informações confidenciais, mais bem guardadas.

Etapa 6. Instalar backdoors. Os backdoors proporcionam ao atacante uma forma de entrar no sistema sem ser detectado. O backdoor mais comum é uma porta de escuta TCP ou UDP aberta.

Etapa 7. Otimizar o sistema comprometido. Depois que um sistema é comprometido, um atacante o utiliza para preparar ataques a outros hosts na rede.

Exibir meio visual

Página 3:

Tipos de crimes digitais

Como as medidas de segurança melhoraram com o passar dos anos, a frequência de alguns dos tipos mais comuns de ataques diminuiu, embora novos tenham surgido. A concepção de soluções em segurança de rede começa com uma avaliação do escopo completo do crime digital. Estas são as ações mais comuns de crimes digitais relatados que têm implicações na segurança de rede:

Violação interna ao acesso da rede Vírus Roubo de dispositivo móvel Phishing no qual uma organização é representada de maneira fraudulenta como

o remetente Uso indevido de mensagens instantâneas Negação de serviço Acesso não autorizado a informações Bots dentro da organização Roubo de dados do cliente ou do funcionário Violação da rede sem fio Invasão ao sistema Fraude financeira Detecção de senha Key logging Desfiguração de site Uso indevido de um aplicativo público da Web

Roubo de informações proprietárias Exploração do servidor DNS de uma organização Fraude em telecomunicação Sabotagem

Nota: em determinados países, algumas dessas atividades talvez não sejam crime, mas, ainda assim, constituem um problema.

Exibir meio visual

Página 4:

Redes abertas x fechadas

O desafio geral da segurança para administradores de rede é equilibrar duas necessidades importantes: manter redes abertas para dar suporte a cada vez mais requisitos de negócios e proteger informações privadas, pessoais e comerciais estratégicas.

Os modelos de segurança de rede seguem uma escala progressiva da permissão a qualquer serviço, a menos que ele seja expressamente negado, até a negação, por padrão, de serviços, a menos que eles sejam considerados necessários. No caso da rede aberta, os riscos à segurança são evidentes. No caso da rede fechada, as regras para o que é permitido são definidas na forma de uma política por um indivíduo ou grupo na organização.

Uma alteração feita na política de acesso pode ser tão simples quanto pedir a um administrador de rede que habilite um serviço. Dependendo da empresa, para que o administrador tenha permissão para habilitar o serviço, uma alteração pode exigir uma emenda à política de segurança corporativa. Por exemplo, uma política de segurança pode desaprovar o uso dos serviços de mensagens instantâneas (IM), mas a demanda por parte dos funcionários pode levar a empresa a alterar a política.

Uma alternativa extrema para o gerenciamento da segurança é fechar totalmente uma rede ao mundo externo. Uma rede fechada só fornece conectividade a partes e sites reconhecidamente confiáveis. Uma rede fechada não permite uma conexão a redes públicas. Como não há nenhuma conectividade externa, as redes projetadas dessa forma

são consideradas protegidas de ataques externos. No entanto, ainda existem ameaças internas. Uma rede fechada faz pouco para impedir ataques de dentro da empresa.

Exibir meio visual

Página 5:

Desenvolvendo uma política de segurança

O primeiro passo que qualquer organização deve dar para proteger seus dados e ela própria de uma responsabilização é desenvolver uma política de segurança. Política é um conjunto de princípios que orientam processos de tomada de decisões e permitem aos líderes de uma organização delegar autoridade com confiança. A RFC2196 afirma que "política de segurança é uma declaração formal das regras que as pessoas que recebem acesso à tecnologia e aos ativos de informações de uma organização devem seguir". Uma política de segurança pode ser tão simples quanto uma política de uso aceitável resumida para recursos de rede, ou pode ter várias centenas de páginas e detalhar todos os elementos de conectividade e as políticas associadas.

Uma política de segurança atinge estas metas:

Informa usuários, equipe e gerentes de seus requisitos obrigatórios para proteger a tecnologia e os ativos de informações

Especifica os mecanismos por meio dos quais esses requisitos podem ser atendidos

Fornece uma linha de base para adquirir, configurar e auditar sistemas de computadores e redes em conformidade com a política

A organização de uma política de segurança poderá ser um desafio, se realizada sem orientação. Por isso, a Organização Internacional para Padronização (ISO) e a Comissão de eletrotécnica internacional (IEC) publicaram um documento padrão sobre a segurança chamado ISO/IEC 27002. Esse documento se refere especificamente à tecnologia da informação e descreve um código de conduta para o gerenciamento de segurança das informações.

O ISO/IEC 27002 deve ser uma base comum e uma diretriz prática para o desenvolvimento de padrões de segurança organizacionais e de práticas efetivas para o gerenciamento da segurança. O documento consiste em 12 seções:

Avaliação de risco Política de segurança Organização da segurança das informações Gerenciamento de ativos Segurança de recursos humanos Segurança física e ambiental Gerenciamento da comunicação e das operações Controle de acesso Aquisição, desenvolvimento e manutenção dos sistemas de informações Gerenciamento de incidentes de segurança das informações Gerenciamento da continuidade dos negócios Conformidade

Este capítulo aborda a seção da política de segurança. Para obter mais informações sobre todas as seções, visite http://en.wikipedia.org/wiki/ISO/IEC_27002. O desenvolvimento do documento da política de segurança de rede é abordado nos tópicos 4.1.5 "O ciclo de segurança de rede" e 4.1.6 "A política de segurança da empresa".

Exibir meio visual

4.1.2 Ameaças comuns à segurança

Página 1:

Vulnerabilidades

Durante a abordagem da segurança de rede, três fatores comuns são vulnerabilidade, ameaça e ataque.

Vulnerabilidade é o nível de fragilidade inerente a todas as redes e dispositivos. Isso inclui roteadores, switches, desktops, servidores e até mesmo dispositivos de segurança.

Ameaças são as pessoas interessadas e qualificadas para usufruir de todas as fraquezas relacionadas à segurança. Esses indivíduos devem continuar procurando novas proezas e vulnerabilidades.

As ameaças utilizam várias ferramentas, scripts e programas para iniciar ataques contra redes e dispositivos de rede. Normalmente, os dispositivos de rede sob ataque são as extremidades, como servidores e desktops.

Há três vulnerabilidades principais:

Vulnerabilidades tecnológicas Falhas na configuração Falhas na política de segurança

Clique no botão Tecnologia na figura.

O computador e as tecnologias de rede têm vulnerabilidades intrínsecas na segurança. Entre elas estão o protocolo TCP/IP, o sistema operacional e as vulnerabilidades no equipamento de rede.

Clique no botão Configuração na figura.

Os administradores ou os engenheiros de rede precisam saber quais são as falhas na configuração e configurar corretamente os dispositivos de computação e de rede para compensá-las.

Clique no botão Política na figura.

Haverá riscos à segurança de rede se os usuários não seguirem a política de segurança. Algumas falhas comuns na política de segurança e como essas falhas são exploradas estão listadas na figura.

Exibir meio visual

Página 2:

Ameaças à infraestrutura física

Ao pensar em segurança de rede, ou mesmo em segurança de computador, você talvez imagine atacantes explorando vulnerabilidades do software. Uma classe de ameaça menos conhecida, mas não menos importante, é a segurança física dos dispositivos. Um atacante poderá negar o uso dos recursos de rede se esses recursos puderem ser comprometidos fisicamente.

As quatro classes de ameaças físicas são:

Ameaças ao hardware – dano físico em servidores, roteadores, switches, instalação de cabeamento e estações de trabalho

Ameaças ao ambiente – temperaturas extremas (muito quente ou muito frio) ou umidade extrema (muito molhado ou muito seco)

Ameaças elétricas – picos de tensão, tensão de alimentação insuficiente (quedas de energia), energia não condicionada (ruído) e perda de energia total

Ameaças à manutenção – mau processamento dos principais componentes elétricos (descarga eletrostática), falta de peças críticas sobressalentes,cabeamento ruim e sem rotulação

Alguns desses problemas devem ser resolvidos com uma política organizacional. Alguns deles estão sujeitos a uma boa liderança e ao bom gerenciamento na organização. As consequências da falta de sorte poderão se dar em uma rede, se a segurança física não estiver suficientemente preparada.

Aqui estão algumas formas de atenuar ameaças físicas:

Atenuação da ameaça ao hardware Atenuação da ameaça ao ambiente Atenuação da ameaça elétrica Atenuação da ameaça mecânica

Clique no botão Hardware na figura.

Atenuação da ameaça ao hardware

Tranque o wiring closet e só permita o acesso para o pessoal autorizado. Impeça o acesso por qualquer placa móvel no teto, no chão, pela janela, pela tubulação ou ponto de entrada que não seja o ponto de acesso protegido. Use o controle de acesso eletrônico e registre todas as tentativas de entrada. Monitore as instalações com câmeras de segurança.

Clique no botão Ambiental na figura.

Atenuação da ameaça ao ambiente

Crie um ambiente de operação apropriado por meio do controle de temperatura, de umidade, do fluxo de ar, de alarmes remotos do ambiente, além da gravação e da monitoração.

Clique no botão Elétrico na figura.

Atenuação da ameaça elétrica

Limite os problemas elétricos de alimentação, instalando sistemas de no-break e geradores, seguindo um plano de manutenção preventiva, instalando fontes de alimentação redundantes e utilizando alarmes remotos e monitoração.

Clique no botão Manutenção na figura.

Atenuação da ameaça de manutenção

Atenuação da ameaça de manutenção – use cabos limpos, rotule os cabos e os componentes essenciais, use procedimentos para descarga eletrostática, guarde peças sobressalentes essenciais e controle o acesso a portas de console.

Exibir meio visual

Página 3:

Ameaças a redes

No início deste capítulo, foram listados os crimes digitais mais comuns com implicações na segurança de rede. Esses crimes podem ser agrupados em quatro classes principais de ameaças a redes:

Ameaças não estruturadas

As ameaças não estruturadas consistem, em sua maioria, em indivíduos inexperientes utilizando ferramentas facilmente disponíveis para hackers, como scripts de shell e crackers de senha. Mesmo ameaças não estruturadas executadas apenas com a intenção de testar as habilidades de um atacante podem causar sérios danos a uma rede. Por exemplo, se o site de uma empresa for hackeado, a reputação dessa empresa poderá ser abalada. Mesmo que o site seja separado das informações privadas que ficam protegidas por um firewall, o público não tomará conhecimento disso. O que o público vê é que o site talvez não seja um ambiente seguro para se fazer negócios.

Ameaças estruturadas

As ameaças estruturadas vêm de indivíduos ou grupos muito motivados e tecnicamente competentes. Essas pessoas conhecem as vulnerabilidade do sistema e utilizam técnicas sofisticadas de hackers para invadir negócios sem que haja suspeitas. Elas invadem os computadores de empresas e governos para cometer fraudes, destruir ou alterar registros, ou simplesmente bagunçar. Esses grupos normalmente estão envolvidos em grandes fraudes e casos de roubos informados a agências de repressão ao crime. Sua técnica é tão complexa e sofisticada que apenas investigadores especialmente treinados compreendem o que está acontecendo.

Em 1995, Kevin Mitnick foi condenado por acessar computadores interestaduais nos Estados Unidos para fins criminais. Ele invadiu o banco de dados do Departamento de Trânsito da Califórnia, assumiu o controle dos hubs de comutação telefônicos de Nova York e da Califórnia e roubou números de cartões de crédito. Ele inspirou o filme "Jogos de Guerra" de 1983.

Ameaças externas

As ameaças externas podem decorrer de indivíduos ou organizações trabalhando fora de uma empresa sem acesso autorizado aos sistemas de computadores ou à rede. Eles fazem seu trabalho em uma rede principalmente pela Internet ou servidores de acesso dial-up. As ameaças externas podem variar em termos de gravidade, dependendo da experiência do atacante: amador (não estruturada) ou especialista (estruturada).

Ameaças internas

As ameaças internas ocorrem quando alguém tem acesso autorizado à rede com uma conta ou acesso físico. Assim como acontece com ameaças externas, a gravidade de uma ameaça interna depende da experiência do atacante.

Exibir meio visual

Página 4:

Engenharia social

A invasão mais fácil não envolve nenhuma habilidade com computador. Se um intruso conseguir levar um membro de uma organização a fornecer informações importantes, como o local de arquivos ou senhas, o processo de invasão será muito mais facilitado. Esse tipo de ataque é chamado de engenharia social e atinge vulnerabilidades pessoais que podem ser detectadas por atacantes talentosos. Ela pode incluir sensibilizações ao ego de um funcionário ou pode ser uma pessoa disfarçada, ou com documento falsificado, que leva uma pessoa a fornecer informações confidenciais.

O phishing é um tipo de ataque de engenharia social que envolve o uso do email ou de outros tipos de mensagens em uma tentativa de levar outras pessoas a fornecer

informações confidenciais, como números de cartão de crédito ou senhas. O phisher se mascara como uma parte confiável aparentemente com uma necessidade legítima quanto às informações confidenciais.

Normalmente, as fraudes de phishing envolvem o envio de spams que aparentam ser de instituições bancárias ou sites de leilões conhecidos. A figura mostra a réplica de um email assim. A empresa real utilizada como isca neste exemplo foi alterada. Estes emails contêm hiperlinks que aparentam ser legítimos, mas que, na verdade, levam os usuários a um site falso configurado pelo phisher para capturar suas informações. O site aparenta pertencer à parte falsificada no email. Quando o usuário insere as informações, elas são registradas para uso do phisher.

Os ataques de phishing podem ser evitados instruindo-se usuários e implementando-se diretrizes para relatórios quando eles receberem emails suspeitos. Os administradores também podem bloquear o acesso a determinados sites e configurar filtros que bloqueiem emails suspeitos.

Exibir meio visual

4.1.3 Tipos de ataques a redes

Página 1:

Tipos de ataques a redes

Há quatro classes principais de ataques.

Reconhecimento

Reconhecimento é a detecção não autorizada e o mapeamento de sistemas, serviços ou vulnerabilidade. Ele também é conhecido como coleta de informações e, na maioria dos casos, antecede outro tipo de ataque. O reconhecimento é semelhante a um ladrão que investiga a vizinhança em busca de casas vulneráveis à invasão, como uma residência desocupada, portas fáceis de abrir ou janelas abertas.

Acesso

Acesso ao sistema é a possibilidade de um intruso obter acesso a um dispositivo no qual ele não tem uma conta ou uma senha. A entrada ou o acesso a sistemas normalmente envolvem a execução de uma invasão, um script ou uma ferramenta que explore uma vulnerabilidade conhecida do sistema ou do aplicativo que está sendo atacado.

Negação de serviços

A negação de serviço (DOS) acontece quando um atacante desabilita ou danifica redes, sistemas ou serviços com a intenção de negar serviços a determinados usuários. Os ataques DoS envolvem a falha do sistema ou a redução de sua velocidade até o ponto em que fique inutilizável. Mas o DoS também pode ser tão simples quanto excluir ou danificar informações. Na maioria dos casos, a execução do ataque envolve a simples execução de uma invasão ou script. Por essas razões, os ataques DoS são os mais temidos.

Worms, vírus e cavalos-de-Troia

Um software malicioso pode ser inserido em um host para danificar ou corromper um sistema, se replicar, ou negar acesso a redes, sistemas ou serviços. Os nomes comuns desse tipo de software são worms, vírus e cavalos-de-Troia.

Exibir meio visual

Página 2:

Ataques de reconhecimento

Os ataques de reconhecimento podem consistir em:

Consultas de informações de Internet Varreduras de ping Verificações de porta Sniffers de pacote

Os atacantes externos podem utilizar ferramentas da Internet, como os utilitários nslookup e whois, para determinar facilmente o espaço do endereço IP atribuído a uma determinada corporação ou entidade. Depois que o espaço do endereço IP é determinado, um atacante pode executar ping publicamente nos endereços IP disponíveis para identificar os endereços ativos. Para ajudar a automatizar essa etapa, um atacante pode utilizar uma ferramenta de varredura de ping, como fping ou gping, que executa ping sistematicamente em todos os endereços de rede em um determinado intervalo ou sub-rede. Isso é semelhante a consultar uma seção de uma agenda telefônica e ligar para todos os números para saber quem atenderá.

Quando os endereços IP ativos são identificados, o intruso utiliza um scanner de porta para determinar quais serviços de rede ou portas estão ativos nos endereços IP ativos. Scanner de porta é um software, como Nmap ou Superscan, projetado para pesquisar portas abertas em um host de rede. O scanner de porta consulta as portas para determinar o tipo de aplicativo e a versão, bem como o tipo e a versão do sistema operacional (OS) em execução no host de destino. Com base nessas informações, o intruso pode determinar se existe uma vulnerabilidade que possa ser explorada. Conforme mostrado na figura, uma ferramenta de exploração de rede, como Nmap, pode ser utilizada para realizar a detecção de host, a verificação de porta e as detecções de versão e do OS. Muitas dessas ferramentas estão disponíveis e são fáceis de utilizar.

Os atacantes internos podem tentar "interceptar" o tráfego da rede.

Detecção de rede e detecção de pacotes são termos comuns para interceptação. As informações coletadas com a interceptação podem ser utilizadas para realizar outros ataques à rede.

Dois usos comuns da interceptação são estes:

Coleta de informações – os intrusos na rede conseguem identificar nomes de usuário, senhas ou informações transportadas em um pacote.

Roubo de informações – o roubo pode ocorrer à medida que os dados são transmitidos pela rede interna ou externa. O intruso na rede também pode roubar dados de computadores em rede, obtendo acesso não autorizado. Entre os exemplos estão a invasão ou a interceptação em instituições financeiras e a obtenção de números de cartão de crédito.

Um exemplo de dados suscetíveis à interceptação é o SNMP versão 1 das strings comunitárias, enviadas em texto não criptografado. SNMP é um protocolo de gerenciamento que fornece um meio para que dispositivos de rede coletem informações sobre seu status e as enviem para um administrador. Um intruso pode interceptar consultas SNMP e coletar dados importantes sobre a configuração do equipamento de rede. Outro exemplo é a captura de nomes de usuário e senhas na medida em que eles atravessam uma rede.

Um método comum para interceptar a comunicação é capturar o TCP/IP ou outros pacotes de protocolo e decodificar o conteúdo utilizando um analisador de protocolo ou utilitário semelhante. Um exemplo desse programa é o Wireshark, que você tem utilizado muito ao longo de todos os cursos do Exploration. Depois de serem capturados, os pacotes podem ser examinados em busca de informações vulneráveis.

Três dos métodos mais efetivos para contra-atacar a interceptação são os seguintes:

Utilizar redes comutadas, e não hubs, para que o tráfego não seja encaminhado para todas as extremidades ou hosts de rede.

Utilizar uma criptografia que atenda às necessidades de segurança dos dados da organização sem que haja a imposição de uma carga excessiva sobre os recursos ou os usuários do sistema.

Implementar e aplicar uma diretiva de política que proíba a utilização de protocolos com suscetibilidades conhecidas à interceptação. Por exemplo, como o SNMP versão 3 pode criptografar community strings, uma empresa pode proibir a utilização do SNMP versão 1, mas permitir o SNMP versão 3.

A criptografia fornece proteção para dados suscetíveis a ataques de interceptação, crackers de senha ou manipulação. Praticamente toda empresa tem transações que poderiam ter consequências negativas se fossem exibidas por um interceptador. A criptografia assegura que, quando dados confidenciais passarem por um meio suscetível à interceptação, eles não poderão ser alterados ou observados. A descriptografia é necessária quando os dados alcançam o host de destino.

Um método de criptografia é chamado de criptografia apenas de payload. Este método criptografa a seção de payload (seção de dados) depois de um protocolo (UDP) ou cabeçalho TCP. Isso permite a roteadores e switches com IOS Cisco ler as informações da camada de rede e encaminhar o tráfego como qualquer outro pacote IP. A criptografia apenas de payload permite à comutação de fluxo e a todos os recursos da lista de acesso funcionar com o tráfego criptografado assim como funcionariam com o

tráfego de texto sem formatação, o que preserva qualidade de serviço (QoS) desejada para todos os dados.

Exibir meio visual

Página 3:

Ataques de acesso

Os ataques de acesso exploram vulnerabilidades conhecidas em serviços de autenticação, FTP e da Web para obter acesso a contas da Web, bancos de dados e outras informações confidenciais.

Ataques de senha

Os ataques de senha podem ser implementados utilizando-se um sniffer de pacotes para obter contas de usuário e senhas transmitidas como texto não criptografado. Os ataques de senha normalmente se referem a tentativas repetidas de login em um recurso compartilhado, como um servidor ou roteador, para identificar uma conta de usuário, senha ou ambos. Essas tentativas repetidas são chamadas de ataques de dicionário ou ataques de força bruta.

Para realizar um ataque de dicionário, os atacantes podem utilizar ferramentas como L0phtCrack ou Cain. Esses programas tentam fazer o login repetidamente como um usuário utilizando palavras derivadas de um dicionário. Os ataques de dicionário normalmente são bem-sucedidos porque os usuários têm uma tendência de escolher senhas simples, que tenham palavras curtas, únicas ou que sejam variações simples fáceis de adivinhar, como adicionar o número 1 a uma palavra.

Outro método de ataque de senha utiliza tabelas de arco-íris. Tabela de arco-íris é uma série de senhas pré-computadas criada compilando-se cadeias de possíveis senhas de texto sem formatação. Cada cadeia é desenvolvida começando-se por um "chute" escolhido aleatoriamente da senha de texto sem formatação e aplicando-se variações a ela sucessivamente. O software de ataque aplicará as senhas na tabela de arco-íris até determinar a senha. Para realizar um ataque de tabela de arco-íris, os atacantes podem utilizar uma ferramenta como L0phtCrack.

Uma ferramenta de ataque de força bruta é mais sofisticada porque pesquisa exaustivamente utilizando combinações de conjuntos de caracteres para computar todas as possíveis palavras-chave formadas por esses caracteres. A desvantagem é que se precisa de mais tempo para realizar esse tipo de ataque. As ferramentas de ataque de força bruta se notabilizaram por determinar senhas simples em menos de um minuto. Senhas maiores, mais complexas, podem demorar dias ou semanas para serem determinadas.

Os ataques de senha podem ser atenuados, instruindo-se os usuários a utilizar senhas complexas e especificando-se tamanhos mínimos de senha. Os ataques de força bruta podem ser atenuados, restringindo-se o número de tentativas de login malsucedidas. No entanto, um ataque de força bruta também pode ser realizado off-line. Por exemplo, se detectasse uma senha criptografada, interceptando ou acessando um arquivo de configuração, um atacante poderia tentar determinar a senha sem efetivamente estar conectado ao host.

Exploração de confiança

A meta de um ataque de exploração de confiança é comprometer um host confiável, utilizando-o para preparar ataques em outros hosts de uma rede. Se um host da rede de uma empresa for protegido por um firewall (host interno), mas puder ser acessado por um host confiável fora do firewall (host externo), o host interno poderá ser atacado por meio do host externo confiável.

Os meios utilizados por atacantes para obter acesso ao host externo confiável, bem como os detalhes da exploração de confiança, não são abordados neste capítulo. Para obter informações sobre a exploração de confiança, consulte o curso Networking Academy Network Security.

Os ataques baseados na exploração de confiança podem ser atenuados por meio de restrições rígidas quanto aos níveis de confiança em uma rede, por exemplo, VLANs privadas podem ser implantadas em segmentos de serviço público nos quais há vários servidores públicos disponíveis. Sistemas fora de um firewall jamais devem ser totalmente confiáveis por sistemas dentro de um firewall. Essa confiança deve ser limitada a protocolos específicos, devendo ser autenticada por algo que não seja um endereço IP, sempre que possível.

Redirecionamento de porta

Um ataque de redirecionamento de porta é um tipo de ataque de exploração de confiança que utiliza um host comprometido para transmitir tráfego por meio de um firewall que, do contrário, estaria bloqueado.

Considere um firewall com três interfaces e um host em cada uma delas. O host externo pode alcançar o host no segmento de serviços públicos, mas não o host interno. Esse segmento acessível publicamente é normalmente chamado de zona desmilitarizada. O host no segmento de serviços públicos pode alcançar o host tanto externo quanto interno. Se pudessem comprometer o host do segmento de serviços públicos, os atacantes conseguiriam instalar um software para redirecionar o tráfego do host externo diretamente para o host interno. Embora nenhuma comunicação viole as regras implementadas no firewall, o host externo agora tem conectividade com o host interno por meio do processo de redirecionamento de porta no host de serviços públicos. Um exemplo de um utilitário que pode fornecer esse tipo de acesso é o netcat.

O redirecionamento de porta pode ser atenuado principalmente por meio do uso de modelos confiáveis próprios, específicos da rede (conforme mencionado anteriormente). Quando um sistema está sob ataque, um sistema de detecção de invasão baseado em host pode ajudar a detectar um atacante e impedir a instalação desses utilitários em um host.

Ataque de interceptação

Um ataque de interceptação (MITM) é realizado por atacantes que conseguem se posicionar entre dois hosts legítimos. O atacante pode permitir a ocorrência das transações normais entre os hosts e só manipular periodicamente a conversa entre os dois.

Há muitas formas com as quais um atacante consegue ficar entre dois hosts. Os detalhes desses métodos estão além do escopo deste curso, mas uma descrição resumida de um método popular, o proxy transparente, ajuda a ilustrar a natureza dos ataques MITM.

Em um ataque de proxy transparente, um atacante pode capturar uma vítima com um email de phishing ou desfigurando um site. Dessa forma, a URL de um site legítimo recebe a URL adicional dos atacantes (antecedido). Por exemplo, http:www.legitimate.com se torna http:www.attacker.com/http://www.legitimate.com.

1. Quando uma vítima solicita uma página Web, o host da vítima faz a solicitação ao host do atacante.

2. O host do atacante recebe a solicitação e busca a página real no site legítimo.

3. O atacante pode alterar a página Web legítima e desfigurar qualquer dado desejado.

4. O atacante encaminha a página solicitada à vítima.

Outras classificações de ataques MITM são potencialmente ainda mais perigosas. Se conseguirem ficar em uma posição estratégica, os atacantes poderão roubar informações, sequestrar uma sessão em andamento para obter acesso a recursos de rede privada, realizar ataques DoS, danificar dados transmitidos ou introduzir novas informações em sessões de rede.

A atenuação de ataques MITM de WAN é obtida utilizando-se túneis VPN, que permitem ao atacante ver apenas o texto criptografado, indecifrável. Os ataques MITM de rede local utilizam ferramentas como ettercap e envenenamento ARP. Grande parte da atenuação de ataques MITM de rede local normalmente pode ser feita configurando-se a segurança de porta nos switches de rede local.

Exibir meio visual

Página 4:

Ataques DoS

Os ataques DoS são a forma mais conhecida de ataque e está entre os mais difíceis de eliminar. Mesmo na comunidade de atacantes, os ataques DoS são considerados triviais e ruins porque não exigem muito esforço para que sejam executados. Mas por conta da facilidade em sua implementação e dos danos potencialmente significativos, os ataques DoS merecem atenção especial dos administradores de segurança.

Os ataques DoS assumem muitas formas. Eles acabam impedindo as pessoas autorizadas de utilizar um serviço, consumindo recursos do sistema. Estes são alguns exemplos das ameaças DoS mais comuns:

Clique no botão Ping da morte na figura.

O ataque de ping da morte ganhou popularidade ainda nos anos 90. Ele usufruía as vulnerabilidades nos sistemas operacionais mais antigos. Esse ataque modificava a porção IP de um cabeçalho do pacote de ping para indicar que havia mais dados no pacote do que existia efetivamente. Um ping normalmente tem 64 ou 84 bytes, enquanto um ping da morte pode ter até 65.536 bytes. Enviar um ping desse tamanho pode travar um computador alvo mais antigo. A maioria das redes não é mais suscetível a esse tipo de ataque.

Clique no botão Envio SYN na figura.

Um ataque de envio SYN explora o handshake tridirecional TCP. Isso envolve o envio de várias solicitações SYN (mais de 1.000) para um servidor de destino. O servidor responde com a resposta SYN-ACK habitual, mas o host mal-intencionado nunca responde com o ACK final para concluir o handshake. Isso trava o servidor até que ele acaba ficando sem recursos e não consegue responder a uma solicitação válida de host.

Entre outros tipos de ataques DOS estão:

Bombardeamentos de email – os programas enviam emails em massa para indivíduos, listas ou domínios, monopolizando os serviços de email.

Applets mal-intencionados – esses ataques são programas Java, JavaScript ou ActiveX que causam a destruição ou o travamento dos recursos do computador.

Ataques DDoS

Os ataques de negação de serviço distribuído (DDoS) foram projetados para saturar links de rede com dados ilegítimos. Esses dados podem sobrecarregar um link da Internet, o que causa o descarte de tráfego legítimo. O DDoS utiliza métodos de ataque

semelhantes a ataques DoS padrão, mas funciona em uma escala muito maior. Normalmente, centenas ou milhares de pontos de ataque tentam sobrecarregar um destino.

Clique no botão DDoS na figura.

Normalmente, há três componentes em um ataque de DDoS.

Há um cliente que normalmente é a pessoa que inicia o ataque. Gerenciador é um host comprometido no qual o programa atacante está em

execução e cada gerenciador é capaz de controlar vários agentes Agente é um host comprometido no qual o programa atacante está em execução,

sendo o responsável pela geração de um fluxo de pacotes com destino à vítima desejada

Entre os exemplos de ataques DDoS estão os seguintes:

Ataque SMURF Tribe flood network (TFN) Stacheldraht MyDoom

Clique no botão Ataque Smurf na figura.

O ataque Smurf utiliza mensagens de ping transmitidas falsificadas para inundar um sistema desejado. Ele começa com um atacante enviando um grande número de solicitações de eco ICMP para o endereço de broadcast de rede utilizando endereços IP de origem falsificados válidos. Um roteador poderia executar a função de broadcast da Camadas 3 para a Camada 2, e a maioria dos hosts responderá, cada um, com uma resposta de eco ICMP, multiplicando o tráfego pelo número de hosts que respondem. Em uma rede de broadcast multiacesso, talvez haja centenas de máquinas respondendo a todos os pacotes de eco.

Por exemplo, consideremos que a rede tenha 100 hosts e que o atacante tenha um link T1 de alto desempenho. O atacante envia um fluxo de 768 kb/s em solicitações de eco ICMP com um endereço de origem falsificado da vítima para o endereço de broadcast de uma rede de destino (chamado de um site de reflexo). Esses pacotes de ping chegam ao site de reflexo na rede de broadcast de 100 hosts, e cada um deles pega e responde o pacote, o que cria 100 respostas de ping de saída. Um total de 76,8 megabits por segundo (Mb/s) de largura de banda é utilizado de saída no site de reflexo depois que o tráfego é multiplicado. Em seguida, ele é enviado para a vítima ou para a origem falsificada dos pacotes de origem.

A desativação do recurso de broadcast direcionado na infraestrutura de rede impede a rede de ser utilizada como um site de reflexo. O recurso de broadcast direcionado é desativado por padrão no software IOS Cisco desde a versão 12.0.

Os ataques DoS e DDoS podem ser atenuados, implementando-se a antifalsificação especial e as listas de controle de acesso anti-DoS. Os ISPs também podem implementar taxa de tráfego, limitando a quantidade de tráfego não essencial que atravessa segmentos de rede. Um exemplo comum é limitar a quantidade de tráfego ICMP permitido em uma rede, porque esse tráfego só é utilizado para fins de diagnóstico.

Os detalhes da operação desses ataques estão além do escopo deste curso. Para obter mais informações, consulte o curso Networking Academy Network Security.

Exibir meio visual

Página 5:

Ataques de código malicioso

As principais vulnerabilidade para estações de trabalho de usuário final são worms, vírus e ataques de cavalo-de-Troia.

Um worm executa código e instala cópias na memória do computador infectado, o que pode, por sua vez, infectar outros hosts.

Vírus é um software malicioso anexado a outro programa com a finalidade de executar uma determinada função indesejável em uma estação de trabalho.

Um cavalo-de-Troia é diferente de um worm ou vírus apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, é uma ferramenta de ataque.

Worms

A anatomia de um ataque de worm é a seguinte:

A vulnerabilidade de habilitação – um worm se instala, explorando vulnerabilidades conhecidas em sistemas, como usuários finais ingênuos que abrem anexos de executáveis não verificados em emails.

Mecanismo de propagação – depois de obter acesso a um host, um worm se copia para esse host e, em seguida, escolhe novos destinos.

Payload – depois que um host é infectado por um worm, o atacante tem acesso ao host, normalmente como um usuário privilegiado. Os atacantes poderiam utilizar uma exploração local para escalonar seu nível de privilégio até administrador.

Normalmente, worms são programas autossuficientes que atacam um sistema e tentam explorar uma vulnerabilidade específica no destino. Assim que houver a exploração bem-sucedida da vulnerabilidade, o worm copia seu programa do host de ataque para o sistema recém-explorado para começar tudo novamente. Em janeiro de 2007, um worm infectou a conhecida comunidade MySpace. Usuários confiáveis habilitaram a propagação do worm, que começou a se replicar nos sites dos usuários com a desfiguração "w0rm.EricAndrew".

A atenuação de ataques de worm exige diligência por parte da equipe administradora do sistema e de rede. A coordenação entre as equipes de administração do sistema, de engenharia da rede e das operações de segurança é essencial na resposta efetiva a um incidente de worm. Estas são as etapas recomendadas para a atenuação de ataques de worm:

Contenção – contenha a difusão do worm na rede e dentro dela. Isole as partes não infectadas da rede.

Inoculação – comece aplicando patches a todos os sistemas e, se possível, verificando se há sistemas vulneráveis.

Quarentena – monitore todas as máquina infectadas dentro da rede. Desconecte, remova ou bloqueie máquinas infectadas na rede.

Tratamento – Limpe e aplique um patch a todos os sistemas infectados. Alguns worms podem exigir reinstalações completas para limpar o sistema.

Vírus e cavalos-de-Troia

Vírus é um software malicioso anexado a outro programa para executar uma determinada função indesejável em uma estação de trabalho. Um exemplo é um programa anexado ao command.com (o interpretador principal de sistemas Windows) e exclui determinados arquivos, além de infectar todas as outras versões de command.com que conseguir localizar.

Um cavalo-de-Troia é diferente apenas porque todo o aplicativo foi escrito para ser semelhante a alguma coisa, quando, na verdade, é uma ferramenta de ataque. Um exemplo de um cavalo-de-Troia é um aplicativo que executa um simples jogo em uma estação de trabalho. Enquanto o usuário está ocupado com o jogo, o cavalo-de-Troia envia uma cópia para todos os endereços na agenda de endereços do usuário. Os outros usuários recebem o jogo e o executam, o que difunde o cavalo-de-Troia para os endereços em todas as agendas de endereços.

Um vírus normalmente exige um mecanismo de entrega – um vetor – como um arquivo zip ou algum outro arquivo executável anexado a um email, para transportar o código do vírus de um sistema para outro. O principal elemento que distingue um worm de um vírus de computador é essa interação humana necessária à facilitação da difusão de um vírus.

Esses tipos de aplicativos podem ser contidos por meio do uso efetivo de software antivírus no nível do usuário e, possivelmente, no nível da rede. Um software antivírus pode detectar a maioria dos vírus e muitos aplicativos de cavalo-de-Troia, além de impedir sua difusão na rede. Manter-se atualizado em relação aos desenvolvimento mais recentes quanto a esses tipos de ataques também pode levar a uma postura mais efetiva relacionada a esses ataques. Na medida em que novos vírus ou aplicativos de cavalo-de-Troia são liberados, as empresas precisam se manter atualizadas quanto às versões mais atuais do software antivírus.

Sub7, ou subseven, é um cavalo-de-Troia comum que instala um programa backdoor em sistemas de usuários. Ele é conhecido tanto por ataques não estruturados quanto estruturados. Por ser uma ameaça não estruturada, atacantes inexperientes podem utilizar o programa de forma que os cursores do mouse desapareçam. Como uma ameaça estruturada, os crackers podem utilizá-lo para instalar keystroke loggers (programas que registram todas as teclas pressionadas pelo usuário) para capturar informações confidenciais.

Exibir meio visual

4.1.4 Técnicas de atenuação gerais

Página 1:

Segurança baseada em host e em servidor

Dispositivo fortalecido

Quando um novo sistema operacional é instalado em um computador, as configurações de segurança são definidas de acordo com os valores padrão. Na maioria dos casos, esse nível de segurança é inadequado. Existem alguns passos simples que devem ser dados e que se aplicam à maioria dos sistemas operacionais:

Nomes de usuário e senhas padrão devem ser alterados imediatamente. O acesso a recursos do sistema deve ser restrito apenas aos indivíduos com

autorização para utilizá-los. Qualquer serviço e aplicativo desnecessário deve ser desativado e desinstalado,

quando possível.

A seção 4.2, "Protegendo roteadores Cisco", descreve um dispositivo fortalecido com mais detalhes.

É essencial proteger hosts de rede, como PCs de estação de trabalho e servidores. Esses hosts precisam ser protegidos quando adicionados à rede, devendo ser atualizados com patches de segurança assim que essas atualizações forem disponibilizadas. Passos adicionais podem ser dados para proteger esses hosts. Antivírus, firewall e detecção de

invasão são ferramentas importantes que podem ser utilizadas para proteger hosts de rede. Como muitos recursos de negócio podem estar em um único servidor de arquivos, é especialmente importante que os servidores sejam acessíveis e estejam disponíveis.

Software antivírus

Instale um software antivírus de host para se proteger de vírus conhecidos. Um software antivírus pode detectar a maioria dos vírus e muitos aplicativos de cavalo-de-Troia, além de impedir sua difusão na rede.

O software antivírus faz isso de duas formas:

Ele verifica arquivos, comparando seu conteúdo com vírus conhecidos de um dicionário de vírus. As correspondências são sinalizadas de maneira definida pelo usuário final.

Ele monitora processos suspeitos em execução em um host que possam indicar infecção. Essa monitoração pode incluir capturas de dados, monitoração de porta e outros métodos.

O software antivírus comercial, em sua maioria, utiliza todas essas abordagens.

Clique no botão Antivírus na figura.

Atualize o software antivírus sempre.

Firewall pessoal

Computadores pessoais conectados à Internet por meio de uma conexão dial-up, DSL ou modems a cabo são tão vulneráveis quanto redes corporativas. Os firewalls pessoais residem no PC do usuário e tentam impedir ataques. Os firewalls pessoais não foram projetados para implementações de rede local, como firewalls baseados em dispositivo

ou servidor, e eles podem impedir o acesso à rede se instalados com outros clientes de rede, serviços, protocolos ou adaptadores.

Clique no botão Firewalls pessoais na figura.

Entre alguns dos fornecedores de firewall pessoal estão McAfee, Norton, Symantec e Zone Labs.

Patches do sistema operacional

A maneira mais efetiva de atenuar um worm e suas variantes é baixando atualizações de segurança do fornecedor do sistema operacional e aplicar o patch a todos os sistemas vulneráveis. Isso é difícil com sistemas de usuário sem controle na rede local, e ainda mais problemático caso esses sistemas estejam conectados remotamente à rede por meio de uma rede virtual privada (VPN) ou servidor de acesso remoto (RAS). A administração de vários sistemas envolve a criação de uma imagem de software padrão (sistema operacional e aplicativos aprovados com autorização para serem utilizados em sistemas de clientes implantados) implantada em sistemas novos ou melhorados. Essas imagens talvez não contenham os patches mais recentes, e o processo de recriação contínuo da imagem para integrar o patch mais recente pode se tornar rapidamente algo demorado administrativamente. Aplicar patches a todos os sistemas exige que esses sistemas estejam de alguma forma conectados à rede, o que talvez não seja possível.

Uma solução para o gerenciamento de patches de segurança críticos é criar um servidor de patches central com o qual todos os sistemas devem se comunicar após um determinado período. Qualquer patch não aplicado a um host é baixado automaticamente no servidor de patches e instalado sem a intervenção do usuário.

Além de executar atualizações de segurança do fornecedor do OS, a determinação de quais dispositivos são exploráveis pode ser simplificada pela utilização de ferramentas de auditoria de segurança que procuram vulnerabilidades.

Clique no botão Patches do OS na figura.

Exibir meio visual

Detecção de invasão e prevenção

Os sistemas de detecção de invasão detectam ataques a uma rede e enviam logs a uma console de gerenciamento. Os sistemas de prevenção de invasão (IPSs) impedem ataques à rede e devem fornecer os seguintes mecanismos de defesa ativos, além da detecção:

Prevenção – impede a execução do ataque detectado. Reação – imuniza o sistema contra ataques futuros de uma origem maliciosa.

Qualquer tecnologia pode ser implementada em um nível de rede ou de host, ou ambos, tendo em vista a máxima proteção.

Sistemas de detecção de invasão baseados em host

A invasão baseada em host costuma ser implementada como uma tecnologia interna ou passiva, dependendo do fornecedor.

A tecnologia passiva, a primeira geração da tecnologia, é chamada de sistema de detecção de invasão baseado em host (HIDS). O HIDS envia logs a uma console de gerenciamento após a ocorrência do ataque e do dano.

A tecnologia interna, chamada de sistema de prevenção de invasão baseado em host (HIPS), na verdade, interrompe o ataque, impede o dano e bloqueia a propagação dos worms e dos vírus.

A detecção ativa pode ser definida para fechar a conexão de rede ou parar os serviços afetados automaticamente. A ação corretiva pode ser feita imediatamente. A Cisco fornece o HIPS utilizando o software Cisco Security Agent.

O software do HIPS deve ser instalado em cada host, no servidor ou no desktop, para monitorar a atividade realizada no host. Esse software é chamado de software agente. O software agente executa a análise da detecção de invasão e a prevenção. O software agente também envia logs e alertas para um servidor centralizado de gerenciamento/política.

A vantagem do HIPS é que ele pode monitorar processos do sistema operacional e proteger recursos essenciais do sistema, inclusive arquivos que talvez só existam nesse determinado host. Isso significa que ele pode notificar os gerentes de rede quando algum processo externo tentar modificar um arquivo de sistema de forma que possa incluir um programa backdoor.

A figura ilustra uma implantação de HIPS típica. Os agentes são instalados em servidores publicamente acessíveis, além de servidores de aplicativos e de email corporativo. O agente informa eventos a um servidor de console central localizado dentro do firewall corporativo. Como alternativa, os agentes no host podem enviar logs como email para um administrador.

Exibir meio visual

Página 3:

Mecanismos de segurança comuns e aplicativos

A segurança é uma das principais considerações durante o planejamento de uma rede. Antes, o dispositivo que vinha à mente quando o assunto era segurança de rede era o firewall. Um firewall, por si só, deixou de ser apropriado à proteção de uma rede. É necessária uma abordagem integrada envolvendo firewall, prevenção de invasão e VPN.

Uma abordagem integrada em relação à segurança, além dos dispositivos necessários para que ela aconteça, segue estes componentes básicos:

Controle de ameaça – controla o acesso à rede, isola sistemas infetados, impede intrusões e protege ativos, contra-atacando tráfego malicioso, como worms e vírus. Os dispositivos que fornecem soluções em controle de ameaça são:

Mecanismos de segurança Cisco série ASA 5500 Adaptive Roteadores de serviços integrados (ISRs) Network Admission Control, controle de admissão de rede Cisco Security Agent for Desktops Sistemas de prevenção de invasão Cisco

Comunicações seguras – protege extremidades da rede com VPN. Os dispositivos que permitem a uma organização implantar VPN são roteadores Cisco ISR com a solução em VPN do IOS Cisco e os switches Cisco 5500 ASA e Cisco Catalyst 6500.

Controle de admissão de rede (NAC) – fornece um método baseado em funções para impedir o acesso não autorizado a uma rede. A Cisco oferece um dispositivo NAC.

Software IOS Cisco em roteadores de serviços integrados (ISRs) Cisco

A Cisco fornece muitas das medidas de segurança obrigatórias para os clientes dentro do software IOS Cisco. O software IOS Cisco fornece serviços internos IOS Cisco Firewall, IPsec, SSL VPN e IP.

Mecanismo de segurança Cisco série ASA 5500 Adaptive

Houve um momento em que o firewall PIX era o dispositivo que uma rede segura implantaria. O PIX evoluiu até chegar a uma plataforma que integra muitos recursos de segurança diferentes, chamada de Cisco Adaptive Security Appliance (ASA). O Cisco ASA integra firewall, segurança de voz, SSL e IPsec VPN, IP e serviços de segurança de conteúdo em um único dispositivo.

Sensores Cisco IPS série 4200

Para redes maiores, um sistema de prevenção de invasão interno é fornecido pelos sensores Cisco IP série 4200. Esse sensor identifica, classifica e interrompe o tráfego malicioso na rede.

Dispositivo Cisco NAC

O dispositivo Cisco NAC utiliza a infraestrutura de rede para aplicar a conformidade com a política de segurança em todos os dispositivos que procuram acessar recursos de computação em rede.

Cisco Security Agent (CSA)

O software Cisco Security Agent fornece recursos de proteção contra ameaças para sistemas de computação em servidor, desktop e ponto de serviço (POS). O CSA defende esses sistemas contra ataques determinados, spyware, rootkits e ataques day-zero.

A cobertura aprofundada desses dispositivos está além do escopo deste curso. Consulte os cursos CCNP: Implementação de redes remotas convergidas seguras e Segurança de rede 1 e 2 para obter mais informações.

Exibir meio visual

4.1.5 O ciclo de segurança de rede

Página 1:

A maior parte dos incidentes de segurança ocorre porque os administradores de sistema não implementam as contramedidas disponíveis, e os atacantes ou os funcionários insatisfeitos exploram a omissão. Por isso, o problema não é apenas alguém confirmar a existência de uma vulnerabilidade técnica e localizar uma contramedida que funcione. Também é essencial verificar se a contramedida está implantada e funcionando corretamente.

Para auxiliar na conformidade de uma política de segurança, o Ciclo de segurança, um processo contínuo se mostrou uma abordagem efetiva. O Ciclo de segurança incentiva novos testes e a reaplicação de medidas de segurança atualizadas regularmente.

Para começar o processo do Ciclo de segurança, primeiro desenvolva uma política de segurança que permita a aplicação de medidas de segurança. A política de segurança inclui o seguinte:

Identifica os objetivos de segurança da organização. Documenta os recursos a serem protegidos. Identifica a infraestrutura de rede com mapas atuais e inventários. Identifica os recursos essenciais que precisam ser protegidos, como pesquisa e

desenvolvimento, finanças e recursos humanos. Isso se chama análise de risco.

A política de segurança é o ponto no qual as quatro etapas do Ciclo de segurança se baseiam. As etapas são proteger, monitorar, testar e melhorar.

Etapa 1. Proteger

Proteja a rede, aplicando a política de segurança e implementando as seguintes soluções em segurança:

Proteção contra ameaças Inspeção stateful e filtragem de pacote – filtre o tráfego da rede para permitir

somente tráfego e serviços válidos.

Nota: a inspeção stateful se refere a um firewall que mantém informações sobre o estado de uma conexão em uma tabela de estados de forma que ele possa reconhecer alterações feitas na conexão que poderiam indicar que um atacante está tentando capturar uma sessão ou manipular uma conexão.

Sistemas de prevenção de invasão – implantados nos níveis de rede e de host para parar o tráfego malicioso ativamente.

Patches de vulnerabilidade – aplique correções ou medidas para parar a exploração quanto a vulnerabilidades conhecidas.

Desabilitar serviços desnecessários – quanto menos serviços habilitados, mais difícil será para os atacantes obter acesso.

Conectividade segura

VPNs – criptografe tráfego da rede para impedir a divulgação indesejável a indivíduos sem autorização ou maliciosos.

Confiança e identidade – implemente restrições plenas quanto a níveis de confiança dentro de uma rede. Por exemplo, sistemas fora de um firewall jamais devem ser totalmente confiáveis por sistemas dentro de um firewall.

Autenticação – só dê acesso a usuários autorizados. Um exemplo disso é a utilização de senhas únicas.

Aplicação da política – assegure-se de que os usuários e os dispositivos finais estejam em conformidade com a política corporativa.

Etapa 2. Monitorar

A monitoração de segurança envolve métodos ativo e passivo de detecção das violações à segurança. O método ativo mais utilizado é auditar arquivos de log em nível de host. A maioria dos sistemas operacionais inclui funcionalidade de auditoria. Os administradores de sistema devem habilitar o sistema de auditoria em todos os hosts na rede e devem parar para verificar e interpretar as entradas do arquivo de log.

Entre os métodos passivos estão a utilização de dispositivos IDS para detectar invasões automaticamente. Esse método requer menos atenção por parte dos administradores de segurança da rede do que os métodos ativos. Esses sistemas podem detectar violações à segurança em tempo real, podendo ser configurados para responder automaticamente antes que um intruso cause algum dano.

Um benefício a mais de monitoração da rede é verificar se as medidas de segurança implementadas na etapa 1 do Ciclo de segurança foram configuradas e estão funcionando corretamente.

Etapa 3. Testar

Na fase de testes do Ciclo de segurança, as medidas de segurança são testadas de maneira proativa. Especificamente, a funcionalidade das soluções em segurança implementadas na etapa 1 e os métodos de auditoria do sistema e de detecção de invasão implementados na etapa 2 são verificados. Ferramentas de avaliação de

vulnerabilidade, como SATAN, Nessus ou Nmap, são úteis para testar as medidas de segurança da rede periodicamente nos níveis de rede e de host.

Etapa 4. Melhorar

A fase de melhoria do Ciclo de segurança envolve a análise dos dados coletados durante as fases de monitoração e testes. Essa análise contribui com o desenvolvimento e a implementação de mecanismos de melhoria que aumentam a política de segurança e os resultados ao adicionar itens à etapa 1. Para manter uma rede a mais segura possível, o ciclo de segurança deve ser repetido continuamente, porque novas vulnerabilidades e riscos à rede estão surgindo todos os dias.

Com as informações coletadas das fases de monitoração e de testes, os IDSs podem ser utilizados para implementar melhorias à segurança. A política de segurança deve ser ajustada na medida em que novas vulnerabilidades e riscos à segurança são detectados.

Exibir meio visual

4.1.6 A política de segurança corporativa

Página 1:

O que é uma política de segurança?

Uma política de segurança é um conjunto de diretrizes determinadas para proteger a rede de ataques, tanto dentro quanto fora de uma empresa. A formação de uma política começa com perguntas. Como a rede ajuda a organização a atingir sua visão, missão e plano estratégico? Que implicações os requisitos da empresa têm sobre a segurança da rede, e como esses requisitos se traduzem na aquisição de equipamento especializado e nas configurações carregadas nos dispositivos?

Uma política de segurança beneficia uma organização das seguintes formas:

Fornece um meio para auditar a segurança de rede existente e comparar os requisitos com o que está implantado.

Planeje melhorias de segurança, inclusive equipamento, software e procedimentos.

Define as funções e as responsabilidades dos executivos, administradores e usuários da empresa.

Define qual comportamento é e qual não é permitido. Define um processo para tratar incidentes de segurança na rede. Habilita a implementação de segurança global e a aplicação, funcionando como

um padrão entre sites. Cria uma base para ação legal se necessário.

Uma política de segurança é um documento vivo, o que significa que ele jamais é concluído, sendo continuamente atualizado conforme os requisitos de tecnologia e de funcionário mudam. Ele funciona como uma ponte entre os objetivos do gerenciamento e os requisitos de segurança específicos.

Exibir meio visual

Página 2:

Funções de uma política de segurança

Uma política de segurança abrangente cumpre estas funções essenciais:

Protege as pessoas e as informações Estabelece as regras para o comportamento esperado por parte de usuários,

administradores de sistema e equipes de gerenciamento e segurança Autoriza a equipe de segurança a monitorar, testar e investigar Define e autoriza as consequências de violações

A política de segurança é para todos, inclusive funcionários, contratados, fornecedores e clientes que tenham acesso à rede. No entanto, a política de segurança deve tratar cada um desses grupos de maneira diferente. Cada grupo só deve ver a parte da política apropriada ao seu trabalho e a seu nível de acesso à rede.

Por exemplo, uma explicação do porquê algo está sendo feito nem sempre é necessária. Você pode supor que a equipe técnica já sabe por que um determinado requisito foi incluído. Não é provável que os gerentes se interessem pelos aspectos técnicos de um requisito específico; eles talvez só queiram uma visão geral ou o princípio que sustenta

o requisito. No entanto, quando sabem por que um controle de segurança específico foi incluído, os usuários finais tendem mais a cumprir a política. Por isso, não é provável que um documento atenda às necessidades de todo o público-alvo de uma grande organização.

Exibir meio visual

Página 3:

Componentes de uma política de segurança

O SANS Institute (http://www.sans.org) fornece diretrizes desenvolvidas em acordo com vários líderes do setor, inclusive a Cisco, para desenvolver políticas de segurança abrangentes para grandes e pequenas organizações. Nem todas as organizações precisam de todas essas políticas.

Estas são as políticas de segurança gerais que uma organização pode invocar:

Declaração de autoridade e escopo – define quem na organização patrocina a política de segurança, quem é responsável por implementá-la e quais áreas são abrangidas pela política.

Política de utilização aceitável (AUP) – define a utilização aceitável do equipamento e dos serviços de computação, além das medidas de segurança do funcionário apropriadas para proteger recursos corporativos e informações proprietárias.

Identificação e política de autenticação – define quais tecnologias a empresa utiliza para assegurar que apenas pessoal autorizado tenha acesso a seus dados.

Política de acesso à Internet – define o que a empresa irá ou não tolerar em relação à utilização da conectividade com a Internet por funcionários e convidados.

Política de acesso ao campus – define a utilização aceitável dos recursos de tecnologia no campus por funcionários e convidados.

Política de acesso remoto – define como os usuários remotos podem utilizar a infraestrutura de acesso remoto da empresa.

Procedimento de tratamento de incidentes – especifica quem responderá a incidentes de segurança e como com eles serão tratados.

Além dessas seções de política de segurança principais, entre algumas outras que podem ser necessárias em determinadas organizações estão:

Política de solicitação de acesso à conta – formaliza a conta e o processo de solicitação de acesso dentro da organização. Os usuários e os administradores de sistema que ignoram os processos padrão para solicitações de conta e acesso podem estar sujeitos à ação legal dentro da organização.

Política de avaliação de aquisição – define as responsabilidades referentes a aquisições corporativas e define os requisitos mínimos de uma avaliação de aquisição que o grupo de segurança das informações deve realizar.

Política de auditoria – define políticas de auditoria para assegurar a integridade das informações e dos recursos. Isso inclui um processo para investigar incidentes, assegurar a conformidade em relação às políticas de segurança e monitorar a atividade do usuário e do sistema

Política de importância das informações – define os requisitos para classificar e proteger informações da maneira apropriada segundo o seu nível de importância.

Política de senha – define os padrões para criar, proteger e alterar senhas fortes. Política de avaliação de risco – define os requisitos e fornece a autoridade para

a equipe de segurança da informação identificar, avaliar e solucionar riscos à infraestrutura de informações associada à realização do negócio.

Política de servidor Web global – define os padrões exigidos por todos os hosts da Web.

Com a ampla utilização do email, uma organização talvez também queira aplicar políticas relacionadas especificamente a email, como:

Política de email encaminhado automaticamente – documenta a política que restringe o encaminhamento automático de email para um destino externo sem aprovação prévia do gerente ou do diretor apropriado.

Política de email – define padrões de conteúdo para impedir a maculação da imagem pública da organização.

Política de spam – define como o spam deve ser informado e tratado.

Entre as políticas de acesso remoto podem estar:

Política de acesso dial-up – define o acesso dial-up apropriado e sua utilização por pessoal autorizado.

Política de acesso remoto – define os padrões para conexão com a rede da organização de qualquer host ou rede externa com a organização.

Política de segurança VPN – define os requisitos para conexões VPN com a rede da organização.

É preciso observar que os usuários que desafiem ou violem as regras de uma política de segurança podem estar sujeitos à ação disciplinar, incluindo até mesmo demissão.

Exibir meio visual


4.2 Protegendo roteadores Cisco

4.2.1 Problemas de segurança do roteador

Página 1:

A função dos roteadores na segurança de rede

Você sabe que pode criar uma rede local, conectando dispositivos com switches de rede local da Camada 2. Dessa forma, você pode utilizar um roteador para rotear tráfego entre redes diferentes com base em endereços IP da Camada 3.

A segurança do roteador é um elemento essencial em qualquer implantação de segurança. Os roteadores são alvos definitivos para os atacantes de rede. Se um atacante conseguir comprometer e acessar um roteador, isso poderá ajudá-lo. A compreensão das funções que os roteadores realizam na rede ajuda a entender suas vulnerabilidades.

Os roteadores realizam as seguintes funções:

Anunciam redes e filtram quem pode utilizá-las. Fornecem acesso a segmentos de rede e sub-redes.

Exibir meio visual

Página 2:

Os roteadores são os alvos

Como fornecem gateways para outras redes, os roteadores são alvos óbvios, estando sujeitos a vários ataques. Aqui estão alguns exemplos de vários problemas de segurança:

O comprometimento do controle de acesso pode expor detalhes da configuração de rede, o que facilita ataques a outros componentes da rede.

O comprometimento das tabelas de rotas pode afetar o desempenho, negar serviços de comunicação da rede e expor dados confidenciais.

A configuração incorreta de um filtro de tráfego de roteador pode expor componentes internos da rede a verificações e ataques, o que facilita para os atacantes evitar a detecção.

Como os atacantes podem comprometer roteadores de formas diferentes, não há nenhuma abordagem única que os administradores de rede possam utilizar para combatê-los. As formas de comprometimento dos roteadores são semelhantes aos tipos de ataques que você aprendeu anteriormente neste capítulo, inclusive ataques de exploração de confiança, falsificação IP, captura de sessão e ataques MITM.

Nota: esta seção aborda como proteger roteadores. A maioria das práticas recomendadas discutidas também pode ser utilizada para proteger switches. No entanto, esta seção não aborda ameaças da Camada 2, como endereço MAC com ataques de inundação e STP, porque eles são abordados no CCNA Exploration: Comutação de rede local e rede sem fio.

Exibir meio visual

Página 3:

Protegendo a sua rede

Proteger os roteadores no perímetro da rede é uma etapa inicial importante na proteção da rede.

Pense na segurança do roteador segundo estas categorias:

Segurança física Atualizar o IOS do roteador sempre que isso for aconselhável Fazer o backup da configuração e do IOS do roteador Reforçar o roteador para eliminar o abuso potencial de portas e serviços não

utilizados

Para fornecer segurança física, coloque o roteador em um sala trancada, acessível apenas a pessoal autorizado. Está sala também não deve apresentar qualquer interferência eletrostática ou magnética e ter controles de temperatura e umidade. Para reduzir a possibilidade de DoS devido a uma falta de energia, instale um UPS e mantenha componentes sobressalentes à disposição.

Os dispositivos físicos utilizados na conexão com o roteador devem ser armazenados em uma instalação bloqueada ou devem permanecer em posse de um indivíduo confiável para que não sejam comprometidos. Um dispositivo livremente à disposição pode ter cavalos-de-Troia ou outro tipo de arquivo executável armazenados.

Provisione o roteador com a quantidade de memória máxima possível. A disponibilidade de memória pode ajudar na proteção contra alguns ataques DoS, ao mesmo tempo em que dá suporte a vários serviços de segurança.

Os recursos de segurança em um sistema operacional evoluem com o passar do tempo. No entanto, a versão mais recente de um sistema operacional talvez não seja a mais estável disponível. Para obter o melhor desempenho em termos de segurança do seu sistema operacional, utilize o release estável mais recente que atenda aos requisitos de recursos da sua rede.

Sempre tenha uma cópia de backup de uma configuração e do IOS disponível em caso de falha de um roteador. Mantenha uma cópia segura da imagem do sistema operacional do roteador e do arquivo de configuração do roteador em um servidor TFTP para fins de backup.

Proteja o roteador para torná-lo o mais seguro possível. Um roteador tem muitos serviços habilitados por padrão. Muitos desses serviços são desnecessários e talvez sejam utilizados por um atacante na coleta de informações ou na exploração. Você deve proteger a configuração do seu roteador, desabilitando serviços desnecessários.

Exibir meio visual

4.2.2 Aplicando recursos de segurança do IOS Cisco a roteadores

Página 1:

Para configurar recursos de segurança em um roteador, você precisa de um plano para todas as etapas de configuração da segurança do IOS Cisco.

A figura mostra as etapas para proteger um roteador. As cinco primeiras etapas são abordadas neste capítulo. Embora sejam discutidas no próximo capítulo, as listas de controle de acesso (ACLs) formam uma tecnologia essencial, devendo ser configuradas para controlar e filtrar o tráfego da rede.

Exibir meio visual

4.2.3 Gerenciar a segurança do roteador

Página 1:

A segurança básica do roteador consiste em configurar senhas. Uma senha forte é o elemento mais importante no controle do acesso seguro a um roteador. Por essa razão, senhas fortes devem ser configuradas sempre.

Entre as boas práticas de senha estão as seguintes:

Não anote e deixe as senhas em locais óbvios, como sua mesa ou em seu monitor.

Evite palavras de dicionários, nomes, números de telefone e datas. A utilização de palavras de dicionários torna as senhas vulneráveis a ataques de dicionário.

Combine letras, números e símbolos. Inclua pelo menos uma letra minúscula, uma letra maiúscula, um dígito e um caracter especial.

Escreva incorretamente uma palavra em uma senha de maneira deliberada. Por exemplo, Smith pode ser escrito Smyth ou também incluir números, como 5mYth. Outro exemplo pode ser Security escrito como 5ecur1ty.

Crie senhas extensas. A prática recomendada é ter pelo menos oito caracteres. Você pode aplicar o tamanho mínimo utilizando um recurso disponível em roteadores Cisco, discutido posteriormente neste tópico.

Altere as senhas com a maior frequência possível. Você deve ter uma política que defina quando e com que frequência as senhas devem ser alteradas. A

alteração frequente de senhas tem duas vantagens. Essa prática limita a chance de um hacker conseguir quebrar uma senha e limita a exposição depois que uma senha foi comprometida.

Nota: os espaços à esquerda da senha são ignorados, mas todos os espaços após o primeiro caractere, não.

Frases de acesso

Um método recomendado para a criação de senhas complexas fortes é utilizar frases de acesso. Uma frase de acesso é, basicamente, uma oração ou frase que funciona como uma senha mais segura. Tenha certeza de que a frase seja grande o suficiente para dificilmente ser adivinhada, mas fácil o bastante para ser lembrada e digitada com precisão.

Utilize uma oração, uma citação de um livro ou uma letra de música da qual você consiga se lembrar facilmente como base para a sua senha ou frase de acesso. A figura fornece exemplos de frases de acesso.

Exibir meio visual

Página 2:

Por padrão, o software IOS Cisco deixa senhas em texto sem formatação quando elas são digitadas em um roteador. Isso não é seguro porque qualquer pessoa que esteja passando atrás de você enquanto estiver observando a configuração de um roteador pode olhar por cima do seu ombro e ver a senha.

A utilização dos comandos enable password ou username username password password resultaria na exibição dessas palavras-chave durante a observação da configuração em execução.

Por exemplo:

R1(config)# username Student password cisco123R1(config)# do show run | include usernameusername Student password 0 cisco123R1(config)#

O 0 exibido na configuração em execução indica que a senha não está oculta.

Por essa razão, todas as senhas devem ser criptografadas em um arquivo de configuração. O IOS Cisco fornece dois esquemas para proteção de senha:

Criptografia simples chamada esquema tipo 7. Ela utiliza o algoritmo de criptografia definido pela Cisco e ocultará a senha utilizando um algoritmo de criptografia simples.

Criptografia complexa chamada esquema tipo 5. Ela utiliza um hash MD5 mais seguro.

A criptografia tipo 7 pode ser utilizada pelos comandos enable password, username e line password que incluem vty, console e porta auxiliar. Ela não oferece muita proteção porque só oculta a senha que utiliza um algoritmo de criptografia simples. Embora não seja tão segura quanto a criptografia tipo 5, ela ainda é melhor que não ter criptografia.

Para criptografar senhas utilizando a criptografia tipo 7, utilize o comando de configuração global service password-encryption conforme exibido na figura. Esse comando impede que senhas exibidas na tela sejam legíveis.

Por exemplo:

R1(config)# service password-encryptionR1(config)# do show run | include usernameusername Student password 7 03075218050061R1(config)#

O 7 exibido na configuração em execução indica que a senha está oculta. Na figura, você pode ver que a senha da linha console agora está oculta.

Clique no botão Configurar senha na figura.

A Cisco recomenda que a criptografia Tipo 5 seja utilizada em lugar da Tipo 7 sempre que possível. A criptografia MD5 é um método de criptografia forte. Ela deve ser utilizada sempre que possível. Ela é configurada, substituindo-se a palavra-chave password por secret.

Por isso, para proteger o nível EXEC privilegiado o máximo possível, sempre configure o comando enable secret conforme mostrado na figura. Também tenha certeza de que a enable secret seja exclusiva e de que não corresponda a nenhuma outra senha de usuário.

Um roteador sempre utilizará a enable secret sem detrimento da enable password. Por essa razão, o comando enable password jamais deve ser configurado, porque pode fornecer a senha de um sistema.

Nota: se você se esquecer da senha do modo EXEC privilegiado, será preciso executar o procedimento de recuperação de senha. Esse procedimento será abordado posteriormente neste capítulo.

Os nomes de usuário do banco de dados local também devem ser configurados utilizando-se o comando de configuração global username username secret password. Por exemplo:

R1(config)# username Student secret ciscoR1(config)# do show run | include usernameusername Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/R1(config)#

Nota: alguns processos talvez não possam utilizar senhas criptografadas tipo 5. Por exemplo, PAP utiliza senhas de texto não criptografado, não podendo utilizar senhas criptografadas MD5.

Clique no botão Tamanho da senha na figura.

O software IOS Cisco release 12.3(1) e posteriores permitem aos administradores definir o tamanho mínimo em caracteres para todas as senhas do roteador utilizando o comando de configuração global security passwords min-length, conforme mostrado na figura. Esse comando fornece melhor acesso de segurança ao roteador, permitindo especificar um tamanho de senha mínimo, eliminando senhas comuns que prevaleçam na maioria das redes, como "laboratório" e "cisco".

Esse comando afeta todas as novas senha de usuário, senhas de habilitar e segredos, além de senhas da linha criadas depois que o comando foi executado. O comando não afeta senhas de roteador existentes.

Exibir meio visual

4.2.4 Protegendo o acesso administrativo remoto a roteadores

Página 1:

Protegendo o acesso administrativo a roteadores

Os administradores de rede podem se conectar local ou remotamente a um roteador ou switch. Por ser seguro, o acesso local pela porta console é o modo preferencial para um administrador se conectar a um dispositivo. Na medida em que as empresas ficam maiores e o número de roteadores e switches na rede cresce, a carga de trabalho do administrador para se conectar localmente a todos os dispositivos pode se tornar excessiva.

O acesso administrativo remoto é mais prático do que o acesso local para administradores que tenham muitos dispositivos para gerenciar. No entanto, se ele não for implementado com segurança, um atacante poderá coletar informações confidenciais importantes. Por exemplo, a implementação do acesso administrativo remoto utilizando Telnet pode ser muito insegura porque Telnet encaminha todo o tráfego de rede em texto não criptografado. Um atacante poderia capturar o tráfego da rede enquanto um administrador tivesse feito login remotamente em um roteador e detectar as senhas ou as informações de configuração do roteador. Por isso, o acesso administrativo remoto deve ser configurado com precauções de segurança adicionais.

Para proteger o acesso administrativo a roteadores e switches, primeiro você protegerá as linhas administrativas (VTY, AUX) e, em seguida, configurará o dispositivo de rede para criptografar o tráfego em um túnel SSH.

Exibir meio visual

Página 2:

Acesso administrativo remoto com Telnet e SSH

Ter acesso remoto a dispositivos de rede é essencial para gerenciar uma rede de maneira efetiva. O acesso remoto normalmente envolve a permissão de Telnet, Shell Seguro (SSH), HTTP, HTTP Seguro (HTTPS) ou conexões SNMP no roteador em um computador nas mesmas redes interconectadas do roteador.

Se o acesso remoto for obrigatório, as suas opções serão as seguintes:

Estabelecer uma rede de gerenciamento dedicada. A rede de gerenciamento deve incluir apenas hosts de administração identificados e conexões com dispositivos de infraestrutura. Isso poderia ser obtido utilizando-se uma VLAN de gerenciamento ou uma rede física adicional à qual conectar os dispositivos.

Criptografar todo o tráfego entre o computador do administrador e o roteador. Em qualquer um dos casos, um filtro de pacote pode ser configurado para permitir apenas os hosts de administração identificados e o protocolo para acessar o roteador. Por exemplo, só permita o endereço IP do host de administração iniciar uma conexão SSH com os roteadores na rede.

O acesso remoto não se aplica apenas à linha VTY do roteador, mas também às linhas TTY e à porta auxiliar (AUX). As linhas TTY fornecem acesso assíncrono a um roteador utilizando um modem. Embora sejam menos comuns do que já foram, elas ainda existem em algumas instalações. Proteger essas portas é até mesmo mais importante do que proteger portas de terminal locais.

A melhor forma de proteger um sistema é assegurar que sejam aplicados controles apropriados a todas as linhas, inclusive VTY, TTY e AUX.

Os administradores devem ter certeza de que os logins em todas as linhas sejam controlados utilizando um mecanismo de autenticação, mesmo em máquinas teoricamente inacessíveis em redes não confiáveis. Isso é especialmente importante para linhas VTY e linhas conectadas a modems ou outros dispositivos de acesso remoto.

Os logins podem ser totalmente evitados em qualquer linha, configurando-se o roteador com os comandos login e no password. Essa é a configuração padrão para VTYs, mas não para TTYs e a porta AUX. Por isso, se essas linhas não forem obrigatórias, assegure-se de que elas sejam configuradas com a combinação de comandos login e no password.

Clique no botão Impedir logins para exibir um exemplo.

Controlando VTYs

Por padrão, todas as linhas VTY são configuradas para aceitar qualquer tipo de conexão remota. Por razões de segurança, as linhas VTY devem ser configuradas para aceitar apenas as conexões com os protocolos efetivamente necessários. Isso é feito com o comando transport input. Por exemplo, uma VTY que só deve receber sessões Telnet seria configurada com transport input telnet e uma VTY que permitisse sessões Telnet e SSH teria transport input telnet ssh configurado.

Clique no botão Acesso VTY na figura.

O primeiro exemplo de configuração exibe como configurar a VTY para aceitar apenas as conexões Telnet e SSH, e o segundo exemplo exibe como configurar a VTY para aceitar apenas conexões SSH. Se a imagem do IOS Cisco em um roteador der suporte a SSH, será altamente recomendável habilitar apenas esse protocolo.

Um dispositivo Cisco tem um número limitado de linhas VTY, normalmente cinco. Quando todas as VTYs estiverem em uso, mais nenhuma conexão remota adicional poderá ser estabelecida. Isso cria a oportunidade para um ataque DoS. Se um atacante conseguir abrir sessões remotas em todas as VTYs do sistema, o administrador legítimo talvez não consiga fazer login. O atacante não precisa fazer login para conseguir isso. As sessões podem ser simplesmente abandonadas no prompt de login.

Uma forma de reduzir essa exposição é configurando a última linha VTY para aceitar conexões apenas de uma única estação de trabalho administrativa específica, enquanto as demais VTYs podem aceitar conexões de qualquer endereço em uma rede corporativa. Isso assegura que pelo menos uma linha VTY esteja disponível para o administrador. Para implementar isso, as ACLs, com o comando ip access-class na última linha VTY, devem ser configuradas. Essa implementação é abordada no Capítulo 5.

Outra tática útil é configurar timeouts VTY utilizando o comando exec-timeout. Isso impede uma sessão ociosa de consumir a VTY indefinidamente. Embora sua efetividade contra ataques deliberados seja relativamente limitada, ela fornece alguma proteção contra sessões abandonadas ociosas acidentalmente. Da mesma forma, habilitar keepalives TCP em conexões de entrada utilizando o comando service tcp-keepalives-in pode ajudar na proteção contra ataques maliciosos e sessões abandonadas causadas por falhas em sistemas remotos.

Clique no botão VTY protegido na figura.

A configuração exibe como definir o executive timeout como 3 minutos e habilitar keepalives TCP.

Exibir meio visual

Página 3:

Implementando SSH em acesso administrativo remoto seguro

Tradicionalmente, o acesso administrativo remoto em roteadores era configurado utilizando-se Telnet na porta TCP 23. No entanto, o Telnet foi desenvolvido quando a segurança não era um problema. Por essa razão, todo o tráfego Telnet é encaminhado em texto claro.

O SSH substituiu o Telnet como a prática recomendada para fornecer à administração do roteador com conexões que dão suporte à privacidade forte e à integridade da sessão. O SSH utiliza a porta TCP 22. Ele fornece funcionalidade semelhante à de uma conexão

Telnet de saída, exceto pela conexão ser criptografada. Com autenticação e criptografia, o SSH permite uma comunicação segura em uma rede não segura.

Nem todas as imagens do IOS Cisco dão suporte ao SSH. Somente imagens criptográficas podem. Normalmente, essas imagens têm IDs de imagem k8 ou k9 em seus nomes. Os nomes de imagem são abordados na Seção 5.

O recurso de acesso à linha de terminal SSH permite aos administradores configurar roteadores com acesso seguro e executar as seguintes tarefas:

Conecte-se a um roteador que tenha várias linhas de terminal conectadas a consoles ou portas seriais de outros roteadores, switches e dispositivos.

Simplifique a conectividade com um roteador em qualquer lugar, conectando-se com segurança ao servidor de terminal em uma determinada linha.

Permita que modems conectados a roteadores sejam utilizados em discagens com segurança.

Exija autenticação em todas as linhas por meio de um nome de usuário e senha definidos localmente, ou um servidor de segurança, como um servidor TACACS+ ou RADIUS.

Os roteadores Cisco são capazes de agir como o cliente e o servidor SSH. Por padrão, essas duas funções são habilitadas no roteador quando o SSH é habilitado. Como cliente, um roteador pode executar SSH em outro roteador. Como servidor, um roteador pode aceitar conexões clientes SSH.

Exibir meio visual

Página 4:

Configurando a segurança SSH

Para habilitar o SSH no roteador, os seguintes parâmetros devem ser configurados:

Hostname Nome de domínio Chaves assimétricas (Asymmetrical keys)

Autenticação local (Local authentication)

Entre os parâmetros de configuração opcionais estão:

Timeouts Novas tentativas (Retries)

As seguintes etapas configuram o SSH em um roteador.

Etapa 1: Definir parâmetros do roteador

Configure o hostname do roteador com o comando hostname hostname no modo de configuração global.

Etapa 2: Definir o nome de domínio

Deve haver um nome de domínio para habilitar o SSH. Neste exemplo, digite o comando ip domain-name no modo de configuração global.

Etapa 3: Gerar chaves assimétricas

Você precisa criar uma chave que o roteador utilize para criptografar o seu tráfego de gerenciamento SSH com o comando crypto key generate rsa no modo de configuração global. O roteador responde com uma mensagem que mostra a convenção de nomenclatura para as chaves. Escolha o tamanho do módulo da chave no intervalo entre 360 e 2.048 para as suas Chaves de finalidade geral. Escolher um módulo de chave maior que 512 pode demorar alguns minutos. Como prática recomendada, a Cisco recomenda a utilização de um tamanho de módulo mínimo de 1.024. Você deve saber que um módulo maior demora mais para ser gerado e utilizado, embora ofereça maior segurança.

Você pode obter mais informações sobre o comando crypto key no curso Segurança de rede.

Etapa 4: Configurar autenticação local e vty

Você deve definir um usuário local e atribuir uma comunicação SSH a linhas vty conforme mostrado na figura.

Etapa 5: Configurar timeouts SSH (opcional)

Os timeouts fornecem segurança adicional à conexão, encerrando conexões prolongadas, inativas. Utilize os comandos ip ssh time-out seconds e authentication-retries integer para habilitar timeouts e novas tentativas de autenticação. Defina o timeout SSH como 15 segundos e o número de novas tentativas como 2.

Para se conectar a um roteador configurado com SSH, você precisa utilizar um aplicativo cliente SSH, como PuTTY ou TeraTerm. Você deve ter certeza para escolher a opção SSH e de que ela utiliza a porta TCP 22.

Clique no botão Utilizar SSH na figura.

Utilizando o TeraTerm para se conectar com segurança ao roteador R2 com SSH, depois que a conexão é iniciada, R2 exibe um prompt do nome de usuário, seguido por um prompt de senha. Supondo que as credenciais corretas sejam fornecidas, o TeraTerm exibe o prompt do modo EXEC usuário do roteador R2.

Exibir meio visual


4.2.5 Registrando a atividade do roteador em log

Os logs permitem verificar se um roteador está funcionando corretamente ou determinar se ele foi comprometido. Em alguns casos, um log pode mostrar os tipos de testes ou de ataques feitos contra o roteador ou à rede protegida.

A configuração do registro em log (syslog) no roteador deve ser feita cuidadosamente. Envie os logs do roteador para um host de log designado. O host de log deve ser conectado a uma rede confiável ou protegida ou à interface de um roteador isolada e dedicada. Proteja o host de log, removendo todos os serviços desnecessários e contas. Roteadores oferecem suporte a níveis diferentes de registro em log. Os oito níveis vão de 0, emergências que indicam que o sistema está instável, a 7 para depurar mensagens que incluam todas as informações sobre o roteador.

Os logs podem ser encaminhados para vários locais, inclusive a memória do roteador ou um servidor de syslog dedicado. Um servidor de syslog fornece uma solução melhor, porque todos os dispositivos de rede podem encaminhar seus logs para uma estação central na qual um administrador possa examiná-los. Um exemplo de um aplicativo para servidores de syslog é o Kiwi Syslog Daemon.

Também considere o envio dos logs para um segundo dispositivo de armazenamento, por exemplo, uma mídia de gravação única ou uma impressora dedicada, para lidar com cenários de pior caso (por exemplo, um comprometimento do host de log).

A coisa mais importante a ser lembrada sobre o registro em log é que os logs devem ser examinados regularmente. Verificando os logs regularmente, você pode ter a sensação do comportamento normal da sua rede. Uma sólida compreensão da operação normal e de seu reflexo nos logs ajuda a identificar condições de ataque ou anormalias.

Registros de data e hora precisos são importantes no registro em log. Registros de data e hora permitem rastrear ataques à rede com mais credibilidade. Todos os roteadores são capazes de manter seu próprio horário, mas isso normalmente não basta. Em vez de fazer isso, direcione o roteador para pelo menos dois servidores de horário confiáveis diferentes para assegurar a disponibilidade das informações sobre isso. Um servidor Network Time Protocol (NTP) talvez precise ser configurado para fornecer uma origem de horário sincronizado para todos os dispositivos. A configuração dessa opção está além do escopo deste curso.

Por exemplo:

R2(config)#service timestamps ?debug Timestamp debug messageslog Timestamp log messages<cr>R2(config)#service timestamps

Posteriormente neste capítulo você obterá informações sobre o comando debug. A saída do comando debug também pode ser enviada para logs.

Exibir meio visual

4.3 Serviços de rede do roteador seguros

4.3.1 Serviços e interfaces vulneráveis do roteador

Página 1:

Serviços e interfaces vulneráveis do roteador

Os roteadores Cisco dão suporte a vários serviços de rede nas camadas 2, 3, 4 e 7, conforme a descrição na figura. Alguns desses serviços são os protocolos da camada de aplicativo que permitem aos usuários e aos processos do host se conectar ao roteador. Outros são configurações e processos automáticos que devem dar suporte a configurações herdadas ou especializadas que ofereçam riscos à segurança. Alguns desses serviços podem ser restringidos ou desabilitados para aumentar a segurança sem diminuir a utilização operacional do roteador. A prática de segurança geral para roteadores deve ser utilizada para dar suporte apenas ao tráfego e aos protocolos de que uma rede precisa.

A maioria dos serviços listados nesta seção não é obrigatória normalmente. A tabela na figura descreve os serviços gerais vulneráveis de roteador e lista as práticas recomendadas associadas a esses serviços.

A desativação de um serviço de rede no próprio roteador não o impede de dar suporte a uma rede na qual esse protocolo é empregado. Por exemplo, uma rede pode exigir serviços TFTP para fazer backup dos arquivos de configuração e das imagens do IOS.

Esse serviço costuma ser fornecido por um servidor TFTP dedicado. Em certas instâncias, um roteador também poderia ser configurado como um servidor TFTP. No entanto, isso é muito incomum. Por isso, na maioria dos casos, o serviço TFTP no roteador deve ser desabilitado.

Em muitos casos, o software IOS Cisco dá suporte à desativação completa de um serviço ou à restrição do acesso a determinados segmentos de rede ou a conjuntos de hosts. Se uma porção específica de uma rede precisar de um serviço, mas o resto não, os recursos de restrição deverão ser empregados para limitar o escopo do serviço.

A desativação de um recurso de rede automático normalmente impede um determinado tipo de tráfego de rede de ser processado pelo roteador, ou o impede de atravessar o roteador. Por exemplo, o roteamento de origem IP é um recurso IP pouco utilizado que pode ser utilizado em ataques à rede. A menos que seja obrigatório à operação da rede, o roteamento de origem IP deve ser desabilitado.

Nota: o CDP é aproveitado em algumas implementações de telefonia IP. Isso precisa ser considerado antes da ampla desabilitação do serviço.

Exibir meio visual

Página 2:

Há vários comandos obrigatórios para desabilitar serviços. A saída do comando show running-config na figura fornece uma configuração de exemplo de vários serviços que foram desabilitados.

Os serviços que normalmente devem ser desabilitados estão listados abaixo. São alguns deles:

Serviços pequenos, como echo, discard e chargen – utilize o comando no service tcp-small-servers ou no service udp-small-servers.

BOOTP – utilize o comando no ip bootp server. Finger – utilize o comando no service finger. HTTP – utilize o comando no ip http server. SNMP – utilize o comando no snmp-server.

Também é importante desabilitar serviços que permitam a determinados pacotes passar pelo roteador, enviar pacotes especiais ou serem utilizados na configuração do roteador remoto. Os comandos correspondentes para desabilitar esses serviços são:

Protocolo de detecção da Cisco (CDP, Cisco Discovery Protocol) – utilize o comando no cdp run.

Configuração remota – utilize o comando no service config. Roteamento de origem – utilize o comando no ip source-route. Roteamento classless – utilize o comando no ip classless.

As interfaces no roteador podem ficar mais seguras utilizando-se determinados comandos no modo de configuração de interface:

Interfaces não utilizadas – utilize o comando shutdown. Negar ataques SMURF – utilize o comando no ip directed-broadcast. Roteamento ad hoc – utilize o comando no ip proxy-arp.

Exibir meio visual

Página 3:

Vulnerabilidades SNMP, NTP e DNS

A figura descreve três serviços de gerenciamento que também devem ser protegidos. Os métodos para desabilitar ou ajustar as configurações desses serviços estão além do escopo deste curso. Esses serviços são abordados no curso CCNP: Implementação de redes remotas convergidas seguras.

As descrições e as diretrizes para proteger esses serviços estão listadas abaixo.

SNMP

SNMP é o protocolo IP para monitoração remota automatizada e administração. Há várias versões do SNMP com propriedades de segurança diferentes. As versões do SNMP anteriores à versão 3 transmitem informações em texto não criptografado. Normalmente, o SNMP versão 3 deve ser utilizado.

NTP

Os roteadores Cisco e os demais hosts utilizam o NTP para manter seus horários e datas precisos. Se possível, os administradores de rede devem configurar todos os roteadores como parte de uma hierarquia NTP, o que torna um roteador o temporizador mestre e fornece seu horário para os demais roteadores na rede. Se uma hierarquia NTP não estiver disponível na rede, você deverá desabilitar o NTP.

A desabilitação do NTP em uma interface não impede as mensagens NTP de atravessar o roteador. Para rejeitar todas as mensagens NTP em uma determinada interface, utilize uma lista de acesso.

DNS

O software IOS Cisco dá suporte à procura de nomes de host com o Sistema de Nome de Domínio (DNS). O DNS fornece o mapeamento entre nomes, como central.mydomain.com para endereços IP, como 14.2.9.250.

Infelizmente, o protocolo DNS básico não oferece nenhuma autenticação ou garantia de integridade. Por padrão, as consultas de nome são enviadas para o endereço de broadcast 255.255.255.255.

Se um ou mais servidores de nomes estiverem disponíveis na rede e for desejável utilizar nomes em comandos do IOS Cisco, defina explicitamente os endereços do servidor de nome utilizando o comando de configuração global ip name-server addresses. Do contrário, desative a resolução de nome DNS com o comando no ip domain-lookup. Também é uma ideia boa dar um nome ao roteador, utilizando o comando hostname. O nome dado ao roteador é exibido no prompt.

Exibir meio visual

4.3.2 Protegendo os protocolos de roteamento

Página 1:

Visão geral da autenticação do protocolo de roteamento

Como administrador de rede, você precisa saber que os seus roteadores correm o risco de serem atacados tanto quanto os seus sistemas de usuário final. Qualquer pessoa com um sniffer de pacotes, como o Wireshark, pode ler as informações que se propagam entre os roteadores. Em geral, os sistemas de roteamento podem ser atacados de duas formas:

Situação de interrupção de mesmo nível Falsificação das informações de roteamento

A situação de interrupção de mesmo nível é a menos crítica dos dois ataques porque os protocolos de roteamento se corrigem, o que faz a interrupção durar um pouco menos do que o próprio ataque.

Uma classe mais sutil de ataque tem como alvo as informações transportadas dentro do protocolo de roteamento. As informações de roteamento falsificadas normalmente podem ser utilizadas para fazer os sistemas enganar (mentir) uns aos outros, causar um DoS ou fazer o tráfego seguir um caminho que normalmente não seguiria. As consequências da falsificação das informações de roteamento são as seguintes:

1. Redirecionar o tráfego para criar loops de roteamento, conforme o mostrado na figura

2. Redirecionar o tráfego para que ele possa ser monitorado em um link inseguro

3. Redirecionar o tráfego para descartá-lo

Uma maneira direta de atacar o sistema de roteamento é atacar os roteadores que executem os protocolos de roteamento, obter acesso aos roteadores e inserir informações falsas. Saiba que qualquer pessoa que esteja "escutando" pode capturar atualizações de roteamento.

Clique no botão Reproduzir na figura para exibir uma animação de um ataque de loop de roteamento.

A animação mostra um exemplo de um ataque que cria um loop de roteamento. Um atacante conseguiu se conectar diretamente ao link entre os roteadores R2 e R3. O atacante injeta informações de roteamento falsas destinadas exclusivamente ao roteador R1, o que indica que o R3 é o destino preferido para a rota do host 192.168.10.10/32. Embora tenha uma entrada na tabela de roteamento para a rede 192.168.10.0/24 diretamente conectada, R1 adicionará a rota injetada à sua tabela de roteamento por conta da máscara de sub-rede maior. Uma rota com uma máscara de sub-rede compatível maior é considerada superior a uma rota com uma máscara de sub-rede menor. Consequentemente, quando receber um pacote, um roteador escolherá a máscara de sub-rede maior por ser uma rota mais precisa até o destino.

Quando o PC3 enviar um pacote para o PC1 (192.168.10.10/24), R1 não encaminhará o pacote para o PC1. Em vez disso, ele roteará o pacote para o roteador R3, porque, até onde se sabe, o melhor caminho para 192.168.10.10/32 é pelo R3. Quando obtiver o pacote, R3 irá olhar sua tabela de roteamento e encaminhar o pacote novamente para R1, o que cria o loop.

A melhor maneira de proteger informações de roteamento na rede é autenticar pacotes de protocolo de roteamento utilizando o algoritmo MD5 (message digest 5). Um algoritmo como MD5 permite aos roteadores comparar assinaturas que devem ser todas iguais.

Clique no botão Proteger atualização na figura.

A figura mostra como cada roteador na cadeia de atualização cria uma assinatura. Entre os três componentes desse sistema estão:

1. Algoritmo de criptografia, que normalmente é de conhecimento público

2. Chave utilizada no algoritmo de criptografia, que é um segredo compartilhado pelos roteadores que autenticam seus pacotes

3. Conteúdo do próprio pacote

Clique no botão Operação na figura.

Clique em Reproduzir para exibir uma animação.

Na animação, vemos como cada roteador autentica as informações de roteamento. Geralmente, o originador das informações de roteamento produz uma assinatura utilizando a chave e roteando dados a serem enviados como entradas para o algoritmo de criptografia. Em seguida, os roteadores que recebem esses dados de roteamento podem repetir o processo utilizando a mesma chave, os dados recebidos e os mesmos dados de roteamento. Se a assinatura que o receptor computa for igual à assinatura do remetente, os dados e a chave deverão ser iguais aos transmitidos pelo remetente, e a atualização será autenticada.

RIPv2, EIGRP, OSPF, IS-IS e BGP, todos, dão suporte a várias formas de autenticação MD5.

Exibir meio visual

Página 2:

Configurando o RIPv2 com autenticação do protocolo de roteamento

A topologia na figura está exibindo uma rede configurada com o protocolo de roteamento RIPv2. O RIPv2 dá suporte à autenticação do protocolo de roteamento. Para proteger atualizações de roteamento, cada roteador deve ser configurado para dar suporte à autenticação. As etapas para proteger atualizações RIPv2 são as seguintes:

Etapa 1. Impedir a propagação da atualização de roteamento RIP

Etapa 2. Impedir a recepção não autorizada de atualizações RIP

Etapa 3. Verificar a operação do roteamento RIP

Impedir a propagação da atualização de roteamento RIP

Você precisa impedir um intruso com “escuta” na rede de receber atualizações às quais não tem direito. Você faz isso, forçando todas as interfaces no roteador no modo passivo e carregando apenas as interfaces obrigatórias para o envio e o recebimento de atualizações RIP. Uma interface no modo passivo recebe mas não envia atualizações. Você deve configurar interfaces no modo passivo em todos os roteadores na rede.

Clique no botão Config e em Etapa 1.

A figura mostra os comandos de configuração para controlar as interfaces que participarão das atualizações de roteamento. As atualizações de roteamento jamais devem ser anunciadas em interfaces que não estejam conectadas a outros roteadores. Por exemplo, as interfaces de rede local no roteador R1 não se conectam a outros roteadores e, por isso, não devem anunciar atualizações de roteamento. Apenas a interface S0/0/0 no roteador R1 deve anunciar atualizações de roteamento.

Na saída do comando na tela, o comando passive-interface default desabilita anúncios de roteamento em todas as interfaces. Isso também inclui a interface S0/0/0. O comando no passive-interface s0/0/0 permite à interface S0/0/0 enviar e receber atualizações RIP.

Clique no botão Topologia e em Etapa 2.

Impedir a recepção não autorizada de atualizações RIP

Na figura, o intruso é impedido de interceptar atualizações RIP porque a autenticação MD5 foi habilitada nos roteadores, R1, R2 e R3; os roteadores que estão participando das atualizações RIP.


A saída do comando mostra os comandos para configurar a autenticação do protocolo de roteamento no roteador R1. Os roteadores R2 e R3 também precisam ser configurados com esses comandos nas interfaces apropriadas.

O exemplo mostra comandos para criar uma cadeia de chaves chamada RIP_KEY. Embora várias chaves possam ser consideradas, nosso exemplo mostra apenas uma. A Chave 1 é configurada para conter uma string de chave chamada cisco. A string da chave é semelhante a uma senha, e os roteadores que trocam chaves de autenticação devem ser configurados com a mesma string. A interface S0/0/0 é configurada para dar suporte à autenticação MD5. A cadeia RIP_KEY e a atualização de roteamento são processadas utilizando-se o algoritmo MD5 para produzir uma assinatura exclusiva.

Quando R1 é configurado, os demais roteadores receberão as atualizações de roteamento com uma assinatura exclusiva e, consequentemente, não poderão mais decifrar as atualizações de R1. Essa condição permanecerá até cada roteador na rede ser configurado com a autenticação do protocolo de roteamento.

Clique no botão Topologia e em Etapa 3.

Verificar a operação do roteamento RIP

Depois de configurar todos os roteadores na rede, você precisará verificar a operação do roteamento RIP.


Utilizando o comando show ip route, a saída do comando confirma se o roteador R1 se autenticou com os outros roteadores e conseguiu adquirir as rotas dos roteadores R2 e R3.

Exibir meio visual

Visão geral da autenticação do protocolo de roteamento para EIGRP e OSPF

A autenticação do protocolo de roteamento também deve ser configurada para outros protocolos de roteamento como EIGRP e OSPF. Para obter detalhes sobre a autenticação do protocolo de roteamento para EIGRP e OSPF, consulte CCNP2: Implementação de redes remotas convergidas seguras.

Clique no botão EIGRP na figura.

EIGRP

A figura mostra os comandos utilizados para configurar a autenticação do protocolo de roteamento no EIGRP no roteador R1. Esses comandos são bem parecidos com os que você utilizou na autenticação RIPv2 MD5. As etapas para configurar a autenticação do protocolo de roteamento EIGRP no roteador R1 são as seguintes:

Etapa 1. A área realçada superior mostra como criar uma cadeia de chaves a ser utilizada por todos os roteadores em sua rede. Esses comandos criam uma cadeia de chaves chamada EIGRP_KEY e colocam seu terminal no modo de configuração da cadeia de chaves, um número de chave 1 e valor da string de chave cisco.

Etapa 2. A área realçada inferior mostra como habilitar a autenticação MD5 em pacotes EIGRP que atravessam uma interface.

Clique no botão OSPF na figura.

OSPF

A figura mostra os comandos utilizados para configurar a autenticação do protocolo de roteamento para o OSPF na interface S0/0/0 do roteador R1. O primeiro comando especifica a chave a ser utilizada na autenticação MD5. O próximo comando habilita a autenticação MD5.

Exibir meio visual

Página 4:

Esta atividade abrange a autenticação simples e a autenticação MD5 do OSPF (message digest 5). Você pode habilitar a autenticação no OSPF para trocar as informações sobre atualização de roteamento de uma maneira segura. Com a autenticação simples, a senha é enviada em texto não criptografado pela rede. A autenticação simples é utilizada quando os dispositivos dentro de uma área não conseguem dar suporte à autenticação MD5, a mais segura. Com a autenticação usando MD5, a senha não é enviada pela rede. MD5 é considerado o modo de autenticação OSPF mais seguro. Quando configurar a autenticação, você deve configurar uma área inteira com o mesmo tipo de autenticação. Nesta atividade, você irá configurar a autenticação simples entre R1 e R2 e a autenticação MD5 entre R2 e R3.




Exibir meio visual

4.3.3 Bloqueando seu roteador com Cisco Auto Secure

Página 1:

O Cisco AutoSecure utiliza um único comando para desabilitar processos e serviços não essenciais, o que elimina potenciais ameaças à segurança. Você pode configurar o AutoSecure no modo EXEC privilegiado utilizando o comando auto secure em um destes dois modos:

Modo interativo – este modo solicita a você opções para habilitar e desabilitar serviços e outros recursos de segurança. Este é o modo padrão.

Modo não interativo – este modo executa o comando auto secure automaticamente com as configurações padrão recomendadas pela Cisco. Esse modo é habilitado com a opção de comando no-interact.

Clique no botão Saída do roteador na figura.

Executar o AutoSecure em um roteador Cisco

A saída do comando na tela mostra uma saída parcial de uma configuração do Cisco AutoSecure. Para iniciar o processo de proteção de um roteador, emita o comando auto secure. O Cisco AutoSecure solicitará vários itens, incluindo:

Especificidades de interface Banners Senhas SSH Recursos de firewall do IOS

Nota: O Cisco Router and Security Device Manager (SDM) fornece um recurso semelhante ao do comando Cisco AutoSecure. Esse recurso é descrito na seção "Utilizando o Cisco SDM".

Exibir meio visual

4.4 Utilizando o Cisco SDM

4.4.1 Visão geral do Cisco SDM

Página 1:

O que é o Cisco SDM?

O Cisco Router e Security Device Manager (SDM) é uma ferramenta de gerenciamento de dispositivos baseada na Web, fácil de utilizar, projetada para configurar recursos de segurança, de rede local e WAN em roteadores, baseados no software IOS Cisco.

A figura mostra a tela principal do SDM. A interface ajuda os administradores de rede de pequenas a médias empresas a executar operações do dia-a-dia. Ela fornece assistentes inteligentes fáceis de utilizar, automatiza o gerenciamento de segurança do roteador e ajuda por meio de ajuda e tutoriais online abrangentes.

O Cisco SDM dá suporte a um amplo conjunto de releases do software IOS Cisco. Ele já vem pré-instalado por padrão em todos os novos roteadores de serviços integrados da Cisco. Se não estiver pré-instalado, você terá que instalá-lo. Os arquivos do SDM podem ser instalados no roteador, em um PC ou em ambos. Uma vantagem de instalar o SDM no PC é que isso economiza memória do roteador, além de permitir utilizar o SDM para gerenciar outros roteadores na rede. Se o Cisco SDM estiver pré-instalado no roteador, a Cisco recomendará utilizar o Cisco SDM para executar a configuração inicial.

Exibir meio visual

Página 2:

Recursos do Cisco SDM

O Cisco SDM simplifica a configuração do roteador e da segurança por meio da utilização de vários assistentes inteligentes para habilitar a configuração eficiente dos parâmetros da rede virtual privada (VPN) e do firewall do IOS Cisco. Esse recurso permite aos administradores implantar rápida e facilmente, além de configurar e monitorar, roteadores de acesso Cisco.

Os assistentes inteligentes do Cisco SDM orientam os usuários etapa a etapa pelo fluxo de trabalho da configuração de segurança, configurando sistematicamente as interfaces de rede local e WAN, firewall, IPS e VPNs.

Os assistentes inteligentes do Cisco SDM podem detectar configurações incorretas de maneira inteligente e propor correções, como permitir o tráfego DHCP por um firewall caso a interface WAN seja endereçada por DHCP. A ajuda online interna do Cisco

SDM contém informações em segundo plano apropriadas, além de procedimentos etapa a etapa para ajudar os usuários a inserir os dados corretos no Cisco SDM.

Exibir meio visual

4.4.2 Configurando o seu roteador para dar suporte ao Cisco SDM

Página 1:

O Cisco SDM deve ser instalado em todos os novos roteadores Cisco. Se você tiver um roteador que já esteja sendo utilizado mas sem o Cisco SDM, você poderá instalar e executá-lo sem interromper o tráfego da rede. Para instalá-lo em um roteador operacional, você deve verificar se algumas definições de configuração estão presentes no arquivo de configuração do roteador. A figura mostra uma topologia na qual o administrador do sistema instalará o Cisco SDM no roteador R1.

Para configurar o Cisco SDM em um roteador que já esteja em utilização, sem interromper o tráfego da rede, siga estas etapas:

Etapa 1. Acessar a interface CLI do roteador utilizando Telnet ou a conexão de console

Etapa 2: Habilitar os servidores HTTP e HTTPS no roteador

Etapa 3. Criar uma conta de usuário definida com um nível de privilégio 15 (habilitar privilégios).

Etapa 4. Configurar SSH e Telnet para login local e nível de privilégio15.


A saída do comando na tela mostra um exemplo da configuração necessária para assegurar que você possa instalar e executar o Cisco SDM em um roteador de produção sem interromper o tráfego da rede.

Exibir meio visual

4.4.3 Iniciando o Cisco SDM

Página 1:

O Cisco SDM fica armazenado na memória flash do roteador. Ele também pode ser armazenado em um PC local. Para iniciar o Cisco SDM, utilize o protocolo HTTPS e coloque o endereço IP do roteador no navegador. A figura mostra o navegador com um endereço https://198.162.20.1 e a página iniciar do Cisco SDM. O prefixo http:// poderá ser utilizado se o SSL não estiver disponível. Quando a caixa de diálogo de nome de usuário e senha for exibida (não mostrada), digite um nome de usuário e uma senha para a conta privilegiada (nível de privilégio 15) no roteador. Depois que a página inicial for exibida, um applet Java do Cisco SDM assinado será exibido, devendo permanecer aberto enquanto o Cisco SDM estiver em execução. Por ser um applet Java do Cisco SDM assinado, talvez você seja solicitado a aceitar um certificado. O alerta de segurança do certificado é exibido no canto direito inferior da figura.

Nota: a sequência de etapas do login pode variar, dependendo da execução do Cisco SDM em um computador pessoal ou diretamente em um roteador Cisco ISR.

Exibir meio visual

4.4.4 A interface do Cisco SDM

Página 1:

Visão geral da página inicial do Cisco SDM

Depois que o Cisco SDM for iniciado e você fizer login, a primeira página exibida será a página de visão geral.

Essa página exibe o modelo do roteador, a memória total, as versões da memória flash, do IOS e do SDM, além do hardware instalado e um resumo de alguns recursos de segurança, como o status do firewall e o número de conexões VPN ativas.

Mais especificamente, ele fornece informações básicas sobre o hardware do roteador, o software e a configuração:

Barra de menus – a parte superior da tela tem uma barra de menus típica com File, Edit, View, Tools e itens do menu Help.

Tool – abaixo da barra de menus, estão os assistentes SDM e os modos que você pode escolher.

Informações do roteador – o modo atual é exibido no lado esquerdo sob a barra de ferramentas.

Nota: a barra de menus, a barra de ferramenta e o modo atual são sempre exibidos na parte superior de cada tela. As outras áreas da tela são alteradas de acordo com o modo e a função que você está executando.

Visão geral da configuração – resume os parâmetros da configuração. Para exibir a configuração em execução, clique no botão View Running-Config.

Exibir meio visual

Página 2:

Sobre a área do roteador

Quando clicar nos botões na figura, você poderá ver os detalhes associados a cada um dos seguintes elementos da GUI (interface gráfica do usuário):

About Your Router (Sobre o seu roteador) – a área da homepage do Cisco SDM que mostra informações básicas sobre o hardware e o software do roteador e inclui os seguintes elementos:

Host Name (Nome do host) – esta área mostra o nome de host configurado para o roteador, que é RouterX

Hardware – esta área mostra o número do modelo do roteador, a quantidade disponível e o total de RAM e a quantidade da memória flash disponível.

Software – esta área descreve as versões do software IOS Cisco e do Cisco SDM em execução no roteador.

A barra Feature Availability, localizada na parte inferior da guia About Your Router, mostra os recursos disponíveis na imagem do IOS Cisco que o roteador está utilizando. Se o indicador ao lado de cada recurso estiver verde, ele estará

disponível. Se estiver vermelho, ele não estará disponível. As marca de seleção mostram que o recurso está configurado no roteador. Na figura, o Cisco SDM mostra que IP, firewall, VPN, IP e NAC estão disponíveis, mas apenas o IP está configurado.

Exibir meio visual

Página 3:

Área de visão geral da configuração

A figura mostra a área de visão geral da configuração da homepage do Cisco SDM. Quando clicar nos botões na figura, você poderá ver os detalhes associados a cada um dos seguintes elementos da interface gráfica do usuário:

Interfaces and Connections (Interfaces e conexões) – esta área exibe informações relacionadas à interface e à conexão, inclusive o número de conexões ativadas e desativadas, o número total de interfaces de rede local e WAN presentes no roteador, e o número de interfaces de rede local e WAN configuradas atualmente no roteador. Ela também exibe informações de DHCP.

Firewall Policies (Políticas de firewall) – esta área exibe informações relacionadas a firewall, inclusive se um firewall estiver ativado, o número de interfaces confiáveis (dentro), não confiáveis (fora) e DMZ. Ela também exibe o nome da interface à qual um firewall foi aplicado, se a interface foi projetada como uma interface interna ou externa, e se a regra NAT foi aplicada a essa interface.

VPN – esta área exibe informações relacionadas à VPN, inclusive o número de conexões VPN ativas, o número de conexões VPN ponto a ponto configuradas e o número de clientes VPN ativos.

Routing (Roteamento) – esta área exibe o número de rotas estáticas e quais protocolos de roteamento estão configurados.

Exibir meio visual

4.4.5 Assistentes do Cisco SDM

Página 1:

O Cisco SDM fornece vários assistentes para ajudar a configurar um roteador Cisco ISR. Quando uma tarefa é escolhida na área de tarefas na interface gráfica do usuário do Cisco SDM, o painel de tarefas permite escolher um assistente. A figura mostra várias

telas da interface gráfica do usuário do Cisco SDM para o assistente NAT básico. O NAT será discutido posteriormente no curso Serviços de endereçamento IP.

Consulte http://www.cisco.com/go/sdm para obter as informações mais recentes sobre os assistentes do Cisco SDM e as interfaces de suporte.

Exibir meio visual

4.4.6 Bloqueando um roteador com o Cisco SDM

Página 1:

O assistente de bloqueio em uma etapa do Cisco SDM implementa praticamente todas as configurações de segurança oferecidas pelo Cisco AutoSecure. O assistente de bloqueio em uma etapa é acessado pela interface gráfica do usuário Configure, clicando-se na tarefa Security Audit. O assistente de bloqueio em uma etapa testa a configuração do seu roteador para problemas de segurança potenciais e faz automaticamente todas as alterações na configuração necessárias para corrigir todos os problemas encontrados.

Não considere que a rede esteja segura só porque você executou um bloqueio em uma etapa. Além disso, nem todos os recursos do Cisco AutoSecure são implementados no Cisco SDM. Entre os recursos do AutoSecure são implementados de maneira diferente no Cisco SDM estão os seguintes:

Desabilita o SNMP e não configura o SNMP versão 3. Habilita e configura SSH em imagens do IOS Cisco criptografadas Não habilite o Service Control Point ou desabilite outro acesso e serviços de

transferência de arquivos como FTP.

Clique nos botões na figura para explorar as etapas do assistente de bloqueio em uma etapa Cisco.

Exibir meio visual

4.5 Gerenciamento seguro do roteador

4.5.1 Mantendo imagens do software IOS Cisco

Página 1:

Periodicamente, o roteador exige que as atualizações sejam carregadas no sistema operacional ou no arquivo de configuração. Essas atualizações são necessárias para corrigir vulnerabilidades de segurança conhecidas, dar suporte a novos recursos que permitem políticas de segurança mais avançadas ou melhorar o desempenho.

Nota: Nem sempre é uma ideia boa atualizar para a versão mais recente do software IOS Cisco. Muitas vezes esse release não é estável.

Há determinadas diretrizes que você deve seguir ao alterar o software IOS Cisco em um roteador. As alterações são classificadas como atualizações. Uma atualização substitui um release por outro sem atualizar o conjunto de recursos. O software pode ser atualizado para corrigir um bug ou substituir um release para o qual não haja mais suporte. As atualizações são gratuitas.

Uma atualização substitui um release por outro que tenha um conjunto de recursos melhorado. O software pode ser melhorado para adicionar novos recursos ou tecnologias, ou substituir um release para o qual não haja mais suporte. As atualizações não são gratuitas. Cisco.com oferece diretrizes para ajudar a determinar que método se aplica.

A Cisco recomenda seguir um processo de migração de quatro fases para simplificar as operações e o gerenciamento da rede. Ao seguir um processo que pode ser repetido, você também pode aproveitar os custos reduzidos em operações, gerenciamento e treinamento. As quatro fases são:

Planejar – definir metas, identificar recursos, hardware e software da rede de perfil e criar uma programação preliminar a fim de migrar para novos releases.

Projetar – escolha novos releases do IOS Cisco e criar uma estratégia a fim de migrar para eles.

Implementar – programe e execute a migração. Operar – monitore o progresso da migração e faça cópias de backup das

imagens em execução na sua rede.

Há várias ferramentas disponíveis em Cisco.com para ajudar na migração do software IOS Cisco. Você pode utilizar as ferramentas para obter informações sobre releases, conjuntos de recursos, plataformas e imagens. As seguintes ferramentas não exigem um login em Cisco.com:

Cisco IOS Reference Guide – abrange os fundamentos da família de software IOS Cisco

Documentos técnicos do software IOS Cisco – documentação de cada release do software IOS Cisco

Cisco Feature Navigator – localiza versões que dão suporte a um conjunto de recursos de software e hardware e compara releases

As seguintes ferramentas exigem contas de login válidas no Cisco.com:

Download do software – downloads do software IOS Cisco Conjunto de ferramentas para bug – procura correções de software

conhecidas com base na versão do software, no conjunto de recursos e palavras-chave

Software Advisor – compara releases, os recursos do software IOS Cisco e do OS Cisco Catalyst em busca de releases, além de descobrir qual release do software dá suporte a um determinado dispositivo de hardware

IOS Cisco Upgrade Planner – localiza releases por hardware, release e conjunto de recursos, além de fazer o download de imagens do software IOS Cisco

Para obter uma listagem completa das ferramentas disponíveis em Cisco.com, vá para http://www.cisco.com/en/US/support/tsd_most_requested_tools.html.

Exibir meio visual

4.5.2 Gerenciando imagens do IOS Cisco

Página 1:

Sistemas de arquivos e dispositivos IOS Cisco

A disponibilidade da rede talvez esteja em risco caso uma configuração do roteador ou do sistema operacional esteja comprometida. Os atacantes que obtêm acesso a

dispositivos de infraestrutura podem alterar ou excluir arquivos de configuração. Eles também podem carregar imagens do IOS incompatíveis ou excluir a imagem atual. As alterações são solicitadas automaticamente ou sempre que o dispositivo for reinicializado.

Para atenuar esses problemas, você precisa ser capaz de salvar, fazer backup e restaurar a configuração e as imagens do IOS. Para isso, você aprende a realizar algumas operações de gerenciamento de arquivo no software IOS Cisco.

Os dispositivos do IOS Cisco fornecem um recurso chamado IOS Cisco Integrated File System (IFS). Esse sistema permite criar, navegar e manipular diretórios em um dispositivo Cisco. Os diretórios disponíveis dependem da plataforma.

Por exemplo, a figura exibe a saída do comando show file systems que lista todos os sistemas de arquivos disponíveis em um roteador Cisco 1841. Esse comando fornece informações detalhadas, como a memória disponível e livre, o tipo do sistema de arquivos e suas permissões. Entre as permissões estão somente leitura (ro), somente gravação (wo) e leitura e gravação (rw).

Embora haja vários sistemas de arquivos listados, os que nos interessam serão os sistemas de arquivos tftp, memória flash e nvram. O restante dos sistemas de arquivos listados está além do escopo deste curso.

Entre os sistemas de arquivos de rede estão FTP, trivial FTP (TFTP) ou Protocolo de cópia remota (RCP, Remote Copy Protocol). Este curso aborda o TFTP.

Observe que o sistema de arquivos da memória flash também tem uns asteriscos que o precedem, o que indica que se trata do sistema de arquivos padrão atual. Lembre-se de que, como o IOS inicializável está localizado na memória flash, o símbolo de sustenido (#) adicionado à listagem da memória flash indica se tratar de um disco inicializável.

Clique no botão Memória flash na figura.

Esta figura lista o conteúdo do sistema de arquivos padrão atual, que, neste caso, é a memória flash, conforme indicação pelos asteriscos que precedem a listagem na figura anterior. Há vários arquivos localizados na memória flash, mas é a última listagem que interessa especificamente. Trata-se do nome da imagem do arquivo do IOS atual em execução na memória RAM.

Clique no botão NVRAM na figura.

Para exibir o conteúdo da NVRAM, você deve alterar o sistema de arquivos padrão atual utilizando o comando de alteração de diretório cd. O comando do diretório de trabalho atual pwd verifica se estamos no diretório da NVRAM. Por fim, o comando dir lista o conteúdo da NVRAM. Embora haja vários arquivos de configuração listados, o que nos interessa especificamente é o arquivo de configuração de inicialização.

Exibir meio visual

Página 2:

Prefixos de URL para dispositivos Cisco

Quando um administrador de rede quiser transferir arquivos em um computador, o sistema operacional oferecerá uma estrutura de arquivos visível para especificar origens e destinos. Os administradores não têm sugestões visuais ao trabalhar na CLI de um roteador. O comando show file systems no tópico anterior exibiu os vários sistemas de arquivos disponíveis na plataforma Cisco 1841.

Os locais dos arquivos são especificados no Cisco IFS utilizando a convenção de URL. As URLs utilizadas pelas plataformas IOS Cisco são semelhantes ao formato que você conhece da Web.

Por exemplo, TFTP na figura é: tftp://192.168.20.254/configs/backup-config.

A expressão "tftp:" é chamada de prefixo. Tudo o que estiver depois das duas barras (//) define o local. 192.168.20.254 é o local do servidor TFTP. "configs" é o diretório mestre.

"backup-config" é o nome de um arquivo.

O prefixo da URL especifica o sistema de arquivos. Passe o mouse sobre os vários botões na figura para exibir os prefixos mais comuns e a sintaxe associada a cada um deles.

Exibir meio visual

Página 3:

Comandos para gerenciar arquivos de configuração

A boa prática para manter a disponibilidade do sistema é assegurar que você sempre tenha cópias de backup dos arquivos de configuração de inicialização e dos arquivos de imagem do IOS. O comando copy do IOS Cisco é utilizado para mover arquivos de configuração de um componente ou dispositivo para outro, como RAM, NVRAM ou um servidor TFTP. A figura realça a sintaxe do comando.

A seguir, exemplos da utilização comum do comando copy. Os exemplos listam dois métodos para realizar as mesmas tarefas. O primeiro exemplo é uma sintaxe simples e o segundo exemplo fornece um exemplo mais explícito.

Copie a configuração em execução da RAM para a configuração de inicialização na NVRAM:

R2# copy running-config startup-config

R2# copy system:running-config nvram:startup-config

Copie a configuração em execução da RAM para um local remoto:

R2# copy running-config tftp:

R2# copy system:running-config tftp:

Copie uma configuração de uma origem remota para a configuração em execução:

R2# copy tftp: running-config

R2# copy tftp: system:running-config

Copie uma configuração de uma origem remota para a configuração de inicialização:

R2# copy tftp: startup-config

R2# copy tftp: nvram:startup-config

Exibir meio visual

Página 4:

Convenções de nomenclatura do arquivo do IOS Cisco

O arquivo de imagem do IOS Cisco se baseia em uma convenção de nomenclatura especial. O nome do arquivo de imagem do IOS Cisco contém várias partes, cada uma com um significado específico. É importante que você compreenda essa convenção de nomenclatura ao atualizar e escolher um IOS.

Por exemplo, o nome de arquivo na figura é explicado da seguinte forma:

A primeira parte, c1841, identifica a plataforma na qual a imagem é executada. Nesse exemplo, a plataforma é Cisco 1841.

A segunda parte, ipbase, especifica o conjunto de recursos. Nesse caso, "ipbase" se refere à imagem de rede IP básica. Entre outras possibilidades do conjunto de recursos estão:

i – designa o conjunto de recursos IP

j – designa o conjunto de recursos enterprise (todos os protocolos)

s – designa um conjunto de recursos PLUS (enfileiramento extra, manipulação ou traduções)

56i – designa a criptografia DES IPsec de 56 bits

3 – designa o firewall/IDS

k2 – designa a criptografia IPsec 3DES (168 bits)

A terceira parte, mz, indica onde a imagem é executada e se o arquivo está compactado. Nesse exemplo, "mz" indica que o arquivo é executado na RAM e está compactado.

A quarta parte, 12.3-14.T7, é o número de versão.

A parte final, bin, é a extensão do arquivo. A extensão .bin indica que esse é um arquivo executável binário.

Exibir meio visual

4.5.3 Imagens do IOS Cisco gerenciadas pelo TFTP

Utilizando servidores TFTP para gerenciar imagens do IOS Cisco

As redes interconectadas de produção normalmente abrangem grandes áreas e contêm vários roteadores. É uma tarefa importante de um administrador sempre atualizar as imagens do IOS Cisco sempre que explorações e vulnerabilidades forem detectadas. Também é uma boa prática assegurar que todas as suas plataformas estejam executando a mesma versão de software IOS Cisco sempre que possível. Por fim, para qualquer rede, é sempre prudente reter uma cópia de backup da imagem do software IOS Cisco caso a imagem do sistema no roteador seja corrompida ou apagada acidentalmente.

Roteadores muito espalhados precisam de uma origem ou local de backup para imagens do software IOS Cisco. A utilização de um servidor TFTP de rede permite uploads e downloads de imagem e configuração pela rede. O servidor TFTP de rede pode ser outro roteador, uma estação de trabalho ou um sistema de host.

Na medida em que uma rede cresce, o armazenamento das imagens do software IOS Cisco e dos arquivos de configuração no servidor TFTP central permite controlar o número e o nível de revisão das imagens do IOS Cisco, além dos arquivos de configuração que devem ser mantidos.

Antes de alterar uma imagem do IOS Cisco no roteador, você precisa concluir estas tarefas:

Determinar a memória obrigatória para a atualização e, se necessário, instalar a memória adicional.

Configurar e testar o recurso de transferência de arquivos entre o host do administrador e o roteador.

Programar a indisponibilidade obrigatória, normalmente fora do horário comercial, para o roteador executar a atualização.

Quando você estiver pronto para fazer a atualização, execute estas etapas:

Desativar todas as interfaces no roteador em que não precisa haver a atualização.

Fazer backup do sistema operacional atual e do arquivo de configuração atual para um servidor TFTP.

Carregar a atualização no sistema operacional ou no arquivo de configuração. Testar para confirmar se a atualização funciona corretamente. Se os testes

tiverem êxito, você poderá reabilitar as interfaces que desabilitou. Se os testes não tiverem êxito, faça o backup da atualização, determine o que saiu errado e recomece.

Um grande desafio para operadores de rede de rede será minimizar a indisponibilidade depois que um roteador for comprometido e o sistema operacional e os dados de configuração tiverem sido apagados do backup. O operador deve recuperar uma cópia arquivada (se houver) da configuração e deve restaurar uma imagem funcional no roteador. A recuperação deve ser executada para todos os roteadores afetados, que adiciona indisponibilidade total à rede.

Lembre-se de que o recurso de configuração flexível do software IOS Cisco permite um roteador proteger e manter uma cópia funcional da imagem do sistema operacional em execução e a configuração para que esses arquivos consigam suportar tentativas maliciosas de apagar o conteúdo do backup (NVRAM e memória flash).

Exibir meio visual

4.5.4 Fazendo backup e atualizando a imagem do software

Página 1:

Fazendo backup da imagem do software IOS

Entre as tarefas básicas de gerenciamento estão gravar backups dos seus arquivos de configuração, bem como fazer download e instalar arquivos de configuração melhorados quando houver orientação para isso. Um arquivo de imagem de backup do software é criado copiando-se o arquivo de imagem de um roteador para um servidor TFTP na rede.

Para copiar um software de imagem do IOS Cisco da memória flash para o servidor TFTP em rede, você deve seguir estas etapas sugeridas.

Clique nos botões Topologia e Config na figura na medida em que avança cada etapa.

Etapa 1. Executar ping no servidor TFTP para ter certeza de que você possui acesso a ele.

Etapa 2. Verificar se o servidor TFTP tem espaço em disco suficiente para acomodar a imagem do software IOS Cisco. Utilize o comando show flash: no roteador para determinar o tamanho do arquivo de imagem do IOS Cisco.

O comando show flash: é uma ferramenta importante para coletar informações sobre a memória do roteador e o arquivo de imagem. Ele pode determinar o seguinte:

Quantidade total de memória flash no roteador Memória flash disponível Nome de todos os arquivos armazenados na memória flash

Com as etapas 1 e 2 concluídas, agora faça o backup da imagem do software.

Etapa 3. Copiar o arquivo de imagem do sistema atual do roteador para o servidor TFTP na rede, utilizando o comando copy flash: tftp: no modo EXEC privilegiado. O comando exige que você digite o endereço IP do host remoto e o nome dos arquivos de imagem de origem e de destino.

Durante o processo de cópia, pontos de exclamação (!) indicam o progresso. Cada ponto de exclamação significa que um segmento UDP foi transferido com êxito.

Exibir meio visual

Página 2:

Atualizando imagens do software IOS Cisco

A atualização de um sistema para versão de software mais nova exige o carregamento de um arquivo de imagem do sistema diferente no roteador. Utilize o comando copy tftp: flash: para fazer o download da nova imagem a partir do servidor TFTP na rede.

Clique no botão Config na figura.

O comando solicita a você digitar o endereço IP do host remoto e o nome dos arquivos de imagem de origem e de destino. Digite o nome do arquivo apropriado da imagem de atualização da mesma forma como ele é exibido no servidor.

Depois que essas entradas forem confirmadas, o prompt Erase flash: será exibido. Apagar a memória flash libera espaço para a nova imagem. Apague a memória flash se não houver espaço suficiente para mais de uma imagem do IOS Cisco. Se nenhuma memória flash livre estiver disponível, a rotina de exclusão será obrigatória antes da cópia de novos arquivos. O sistema informa essas condições e solicita uma resposta.

Cada ponto de exclamação (!) significa que um segmento UDP foi transferido com êxito.

Nota: verifique se a imagem do IOS Cisco carregada é apropriada à plataforma do roteador. Se a imagem do IOS Cisco errada estiver carregada, o roteador não poderá ser inicializado, o que exige a intervenção do monitor ROM (ROMmon).

Exibir meio visual

Página 3:

Nesta atividade, você irá configurar o acesso a um servidor TFTP e carregar uma imagem mais nova e mais avançada do IOS Cisco. Embora o Packet Tracer simule a atualização da imagem do IOS Cisco em um roteador, o Packet Tracer não simula o backup de uma imagem do IOS Cisco no servidor TFTP. Além disso, embora a imagem de atualização seja mais avançada, essa simulação do Packet Tracer não refletirá a atualização, habilitando comandos mais avançados. O mesmo conjunto de comandos do Packet Tracer ainda estará em vigor.




Exibir meio visual

4.5.5 Recuperando imagens de software

Página 1:

Restaurando imagens do software IOS Cisco

Um roteador não pode funcionar sem seu software IOS Cisco. Caso o IOS seja excluído ou corrompido, um administrador deve copiar uma imagem para o roteador para que ele volte a ficar operacional

Um método para realizar isso seria utilizar a imagem do IOS Cisco salva anteriormente no servidor TFTP. No exemplo da figura, foi feito o backup da imagem do IOS de R1 em um servidor TFTP conectado a R2. R1 não pode chegar a esse servidor TFTP em seu estado atual.

Quando um IOS em um roteador for excluído acidentalmente da memória flash, o roteador continuará operacional porque o IOS está em execução na RAM. No entanto, é essencial que o roteador não seja reinicializado neste momento porque ele não seria capaz de localizar um IOS válido na memória flash.

Na figura, o IOS do roteador R1 foi excluído acidentalmente da memória flash. Infelizmente, o roteador foi reinicializado e não consegue mais carregar um IOS. Agora ele carrega o prompt do ROMmon por padrão. Enquanto estiver nesse estado, o roteador R1 precisa recuperar o IOS, que foi copiado para o servidor TFTP conectado ao R2. Nesse cenário, o TFTP será conectado diretamente ao roteador R1. Com as preparações no servidor TFTP, realize o procedimento a seguir.

Etapa 1. Conecte os dispositivos.

Conecte o PC do administrador de sistema à porta de console do roteador afetado.

Conecte o servidor TFTP à primeira porta Ethernet do roteador. Na figura, como R1 é um Cisco 1841, a porta é Fa0/0. Habilite o servidor TFTP e configure-o com um endereço IP estático 192.168.1.1/24.

Etapa 2. Inicializar o roteador e definir as variáveis do ROMmon.

Como o roteador não tem uma imagem válida do IOS Cisco, o roteador inicializa automaticamente no modo ROMmon. Há pouquíssimos comandos disponíveis no modo ROMmon. Você pode exibir esses comandos, digitando-se ? no prompt de comando rommon>.

Você deve inserir todas as variáveis listadas na figura. Quando você inserir as variáveis no ROMmon, esteja atento ao seguinte:

Os nomes de variável diferenciam maiúsculas de minúsculas. Não inclua nenhum espaço antes ou depois do símbolo =. Sempre que possível, utilize um editor de texto para recortar e colar as variáveis

na janela do terminal. Toda a linha deve ser digitada com precisão. As teclas de navegação não são operacionais.

Agora o Roteador R1 deve ser configurado com os valores apropriados para se conectar ao servidor TFTP. A sintaxe dos comandos do ROMmon é muito crucial. Embora os endereços IP, a máscara de sub-rede e o nome da imagem na figura sejam apenas exemplos, é essencial que a sintaxe exibida seja seguida durante a configuração do roteador. Lembre-se de que as variáveis reais irão mudar de acordo com a sua configuração.

Quando você tiver inserido as variáveis, passe à próxima etapa.

Etapa 3. Digitar o comando tftpdnld no prompt do modo ROMmon.

O comando exibe as variáveis de ambiente obrigatórias e adverte que todos os dados existentes na memória flash serão apagados. Digite y para continuar e pressione Enter. O roteador tenta se conectar ao servidor TFTP para iniciar o download. Quando conectado, o download começa conforme a indicação pelos pontos de exclamação (!). Cada ! indica que um segmento UDP foi recebido pelo roteador.

Você pode utilizar o comando reset para reiniciar o roteador com a nova imagem do IOS Cisco.

Exibir meio visual

Página 2:

Utilizando xmodem para restaurar uma imagem do IOS Cisco

A utilização do comando tftpdnld é uma forma muito rápida de copiar o arquivo de imagem. Outro método para restaurar uma imagem do IOS Cisco para um roteador é utilizando Xmodem. No entanto, a transferência de arquivos é realizada utilizando-se o cabo de console e, por isso, é muito lenta quando comparada com o comando tftpdnld.

Se a imagem do IOS Cisco for perdida, o roteador entrará no modo ROMmon durante a inicialização. O ROMmon dá suporte a Xmodem. Com esse recurso, o roteador pode se comunicar com um aplicativo de emulação de terminal, como HyperTerminal, no PC de um administrador de sistema. Um administrador de sistema que tenha uma cópia da imagem do IOS Cisco em um PC pode restaurá-la no roteador, estabelecendo uma conexão de console entre o PC e o roteador e executando o Xmodem no HyperTerminal.

As etapas que o administrador segue são mostradas na figura.

Etapa 1. Conectar o PC do administrador de sistema à porta console no roteador afetado. Abra uma sessão de emulação de terminal entre o roteador R1 e o PC do administrador de sistema.

Etapa 2. Inicializar o roteador e emitir o comando xmodem no prompt de comando do modo ROMmon.

A sintaxe do comando é xmodem [-cyr] [filename]. A opção cyr varia de acordo com a configuração. Por exemplo, -c especifica CRC-16, y especifica o protocolo Ymodem e r copia a imagem para a RAM. O nome de arquivo é o do arquivo a ser transferido.

Aceite todos os prompts quando solicitado, conforme mostrado na figura.

Etapa 3. A figura mostra o processo de envio de um arquivo utilizando HyperTerminal. Neste caso, escolha Transfer > Send File.

Etapa 4. Navegue até o local da imagem do IOS Cisco que você deseja transferir e escolha o protocolo Xmodem. Clique em Send. Uma caixa de diálogo é exibida com o status do download. Demora vários segundos para que o host e o roteador comecem a transferência das informações.

Assim que o download começa, os campos Pacote e Decorrido são incrementados. Anote o indicador de tempo restante estimado. O tempo de download poderia ser muito maior se você alterasse a velocidade da conexão do HyperTerminal e do roteador de 9.600 b/s para 115.000 b/s.

Quando a transferência for concluída, o roteador será reiniciado automaticamente com o novo IOS Cisco.

Exibir meio visual

4.5.6 Identificação e solução de problemas de configurações do IOS Cisco

Página 1:

Comandos de identificação e solução de problemas do IOS Cisco

Quando você tiver uma imagem do IOS Cisco válida em execução em todos os roteadores na rede e todas as configurações tiverem backup, você poderá ajustar as configurações manualmente para dispositivos individuais a fim de melhorar o desempenho na rede.

Dois comandos muito utilizados na administração de rede diária são show e debug. A diferença entre os dois é significativa. Um comando show lista os parâmetros configurados e seus valores. O comando debug permite rastrear a execução de um processo. Utilize o comando show para verificar as configurações. Utilize o comando debug para identificar o tráfego que passa pelas interfaces e processado pelo roteador.

A figura resume as características dos comandos show e debug. O melhor momento para obter informações sobre a saída gerada por esses comandos será quando uma rede estiver totalmente operacional. Dessa forma, você conseguirá reconhecer o que está faltando ou está incorreto ao utilizar os comandos para identificar e solucionar problemas de uma rede.

Exibir meio visual

Página 2:

Utilizando o comando show

O comando show exibe informações estáticas. Utilize os comandos show ao coletar fatos para isolar problemas em redes interconectadas, inclusive problemas com interfaces, nós, mídias, servidores, clientes ou aplicativos. Você também pode usá-lo sempre para confirmar se as alterações feitas na configuração foram implementadas.

A figura fornece um exemplo do comando show protocols. O guia de comandos do IOS Cisco lista 1.463 comandos show. Quando você estiver no prompt de comando, digite show ? para obter uma lista de comandos show disponíveis para o nível e o modo de operação.

Exibir meio visual

Página 3:

Utilizando o comando debug

Ao configurar um roteador, os comandos que você digita iniciam muito mais processos do que os que você vê na linha de código simples. Por isso, o rastreamento das suas

configurações digitadas linha por linha não revela todas as possibilidades de erro. Em vez disso, você precisa de uma forma de capturar dados dos dispositivos à medida que cada etapa em um processo em execução é iniciado.

Por padrão, o roteador envia a saída dos comandos debug e as mensagens de erro do sistema para a console. Lembre-se de que você pode redirecionar a saída do comando debug para um servidor syslog.

Nota: a saída do comando de depuração recebe prioridade alta na fila de processos da CPU e, por isso, pode interferir em processos de produção normais em uma rede. Por isso, utilize comandos debug durante momentos de inatividade e somente para identificar e solucionar problemas específicos.

O comando debug exibe dados e eventos dinâmicos. Utilize o debug para verificar o fluxo do tráfego de protocolo em busca de problemas, bugs em protocolo ou configurações incorretas. O comando debug fornece um fluxo de informações sobre o tráfego visto (ou não) em uma interface, mensagens de erro geradas por nós na rede, pacotes de diagnóstico específicos de protocolo e outros dados de identificação e solução de problemas. Utilize comandos debug quando as operações no roteador ou na rede precisarem ser exibidas para determinar se eventos ou pacotes estão funcionando corretamente.

Todos os comandos debug são digitados no modo EXEC privilegiado, e a maioria dos comandos debug não tem nenhum argumento. Para listar e ver uma descrição resumida de todas as opções de comando de depuração, digite debug ? no modo EXEC privilegiado.

Cuidado: é importante desativar a depuração quando você terminar a identificação e solução de problemas. A melhor forma de assegurar que não haja nenhuma operação de depuração prolongada é utilizando o comando no debug all.

Exibir meio visual

Página 4:

Considerações durante a utilização do comando debug

Um caso é utilizar comandos debug para identificar e solucionar problemas em uma rede de laboratório sem o tráfego do aplicativo de usuário final. Outro caso é utilizar os comandos debug em uma rede de produção da qual usuários dependem para o fluxo de dados. Sem as precauções apropriadas, o impacto de um comando debug poderia piorar as coisas.

Com a utilização apropriada, seletiva e temporária dos comandos debug, você pode obter informações possivelmente úteis sem precisar de um analisador de protocolo ou de outra ferramenta de terceiros.

Outras considerações para a utilização dos comandos debug são as seguintes:

Quando as informações necessárias do comando debug são interpretadas e a depuração (e qualquer outra configuração relacionada, se houver) for concluída, o roteador poderá retomar sua comutação mais rápidamente. A solução de problemas pode ser reiniciada, um melhor plano de ação pode ser criado e o problema da rede, resolvido.

Saiba que os comandos debug podem gerar muito mais dados do que a pouca utilização para um determinado problema. Normalmente, o conhecimento do protocolo ou dos protocolos em depuração é obrigatório para a interpretação apropriada das saídas do comando debug.

Ao utilizar ferramentas de identificação e solução de problemas debug, lembre-se de que os formatos da saída do comando variam de acordo com cada protocolo. Alguns geram uma única linha de saída do comando por pacote, outros geram várias linhas de saída do comando por pacote. Alguns comandos debug geram grandes quantidades de saída de comando; outros só geram saída de comando ocasional. Alguns geram linhas de texto e outros geram informações no formato de campo.

Exibir meio visual

Página 5:

Comandos relacionados ao comando debug

Para utilizar as ferramentas de depuração efetivamente, você deve considerar o seguinte:

Impacto que uma ferramenta de identificação e solução de problemas tem no desempenho do roteador

Utilização mais seletiva e concentrada da ferramenta de diagnóstico Como minimizar o impacto da identificação e solução de problemas em outros

processos que competem pelos recursos no dispositivo de rede Como parar a ferramenta de identificação e solução de problemas quando o

diagnóstico for concluído para que o roteador possa retomar sua comutação mais eficiente

Para otimizar a utilização eficiente do comando debug, estes comandos podem ajudar:

O comando service timestamps é utilizado para adicionar um registro de data e hora a uma mensagem de depuração ou log. Esse recurso pode fornecer informações importantes sobre quando houve elementos de depuração e o tempo entre os eventos.

O comando show processes exibe a utilização da CPU para cada processo. Esses dados podem influenciar decisões sobre a utilização de um comando debug se indicarem que o sistema de produção já está sendo muito utilizado na adição de um comando debug.

O comando no debug all desabilita todos os comandos debug. Esse comando pode liberar recursos do sistema depois que você conclui a depuração.

O comando terminal monitor exibe a saída do comando debug e as mensagens de erro do sistema do terminal e da sessão atuais. Ao executar Telnet em um dispositivo e emitir um comando debug, você não verá nenhuma saída do comando, a menos que esse comando seja digitado.

Exibir meio visual

4.5.7 Recuperando uma senha de roteador

Página 1:

Sobre a recuperação de senha

Você já se esqueceu da senha de um roteador? Talvez não, mas algum dia na sua carreira, você certamente conhecerá alguém que se esquecerá e precisará recuperá-la.

A primeira coisa que precisa saber sobre a recuperação de senha é que, por razões de segurança, você deve ter acesso físico ao roteador. Você conecta o seu PC ao roteador por meio de um cabo de console.

As senhas enable password e enable secret password protegem o acesso aos modos EXEC privilegiado e de configuração. A enable password pode ser recuperada, mas a enable secret é criptografada, devendo ser substituída por uma nova senha.

O registro de configuração é um conceito sobre qual você obterá mais informações posteriormente nos seus estudos. O registro de configuração é semelhante às configuração da BIOS do seu PC, que controlam o processo de inicialização. Entre outras coisas, a BIOS informa ao PC que disco rígido inicializar. Em um roteador, um registro de configuração, representado por um único valor hexadecimal, informa ao roteador que etapas específicas executar quando ligá-lo. Os registros de configuração têm muitas utilizações e a recuperação de senha costuma ser a mais utilizada.

Exibir meio visual

Página 2:

Procedimento de recuperação de senha do roteador

Para recuperar a senha de um roteador, faça o seguinte:

Preparar o dispositivo

Etapa 1. Conectar-se à porta de console.

Etapa 2. Mesmo perdida a enable password, ainda assim você teria acesso ao modo EXEC usuário. Digite show version no prompt e grave a definição do registro de configuração.

R>#show version<saída do comando show omitida>Configuration register is 0x2102R1>

O registro de configuração normalmente é definido como 0x2102 ou 0x102. Se não puder mais acessar o roteador (porque um login ou uma senha TACACS foi perdido), você poderá supor tranquilamente que o registro de configuração esteja definido como 0x2102.

Etapa 3. Utilizar a chave liga/desliga para desligar o roteador e ligá-lo novamente.

Etapa 4. Emita um sinal de break no terminal em 60 segundos após ligar o roteador no ROMmon. Um sinal de break é enviado utilizando uma sequência de chaves de interrupção apropriada ao programa terminal e ao sistema operacional.

Clique no botão Ignorar inicialização na figura.

Etapa 5. Digitar confreg 0x2142 no prompt rommon 1>. Isso faz o roteador ignorar a configuração de inicialização na qual a enable password esquecida é armazenada.

Etapa 6. Digitar reset no prompt rommon 2>. O roteador é reinicializado, mas ignora a configuração salva.

Etapa 7. Digitar no depois de cada pergunta de configuração ou pressionar Ctrl-C para ignorar o procedimento de configuração inicial.

Etapa 8. Digitar enable no prompt Router>. Isso leva você ao modo enable, devendo ser capaz de ver o prompt Router#.

Clique no botão Acessar NVRAM na figura.

Etapa 9. Digitar copy startup-config running-config para copiar o conteúdo da NVRAM para a memória RAM. Tome cuidado! Não digite copy running-config startup-config, ou você apagará a sua configuração de inicialização.

Etapa 10. Digitar show running-config. Nessa configuração, o comando shutdown é exibido em todas as interfaces porque todas elas estão desativadas no momento. Mas o mais importante é que agora você pode ver as senhas (enable password, enable secret, vty, console) nos formatos criptografado ou não-criptografado. Você pode reutilizar senhas não-criptografadas. Você deve alterar senhas criptografadas para uma nova senha.

Clique no botão Redefinir senhas na figura.

Etapa 11. Digitar configure terminal. O prompt R1(config)# é exibido.

Etapa 12. Digitar enable secret password para alterar a senha enable secret. Por exemplo:

R1(config)# enable secret cisco

Etapa 13. Emitir o comando no shutdown em todas as interfaces desejadas. Você pode emitir um comando show ip interface brief para confirmar se a configuração da sua interface está correta. Todas as interfaces que você deseja usar devem ser exibidas como ativadas.

Etapa 14. Digitar config-register configuration_register_setting. configuration_register_setting é o valor registrado na Etapa 2 ou 0x2102. Por exemplo:

R1(config)#config-register 0x2102

Etapa 15. Pressionar Ctrl-Z ou digitar end para sair do modo de configuração. O prompt R1# é exibido.

Etapa 16. Digitar copy running-config startup-config para confirmar as alterações.

Agora você concluiu a recuperação de senha. A digitação do comando show version irá confirmar que o roteador utilizará a definição do registro de configuração configurado na próxima reinicialização.

Exibir meio visual


4.6.1 Configuração básica de segurança

Página 1:

Neste laboratório, você irá aprender a configurar a segurança básica de rede usando a rede mostrada no diagrama de topologia. Você saberá como configurar a segurança do roteador de três maneiras diferentes: utilizando a CLI, o recurso auto-secure e o Cisco SDM. Você também aprenderá a gerenciar o software IOS Cisco.

Exibir meio visual

4.6.2 Configuração avançada de segurança

Página 1:

Neste laboratório, você irá configurar a segurança usando a rede mostrada no diagrama de topologia. Se você precisar de assistência, consulte o laboratório básico de segurança. No entanto, tente fazer o máximo possível. Para este laboratório, não use a proteção por senha ou login em nenhuma linha de console porque isso pode causar o logout acidental. No entanto, você ainda deve proteger a linha de console usando outros meios. Utilize ciscoccna em todas as senhas deste laboratório.

Exibir meio visual

4.6.3 Identificação e solução de problemas de configuração de segurança

Página 1:

Sua empresa contratou recentemente um novo engenheiro de rede que criou alguns problemas de segurança na rede com configurações incorretas e omissões. Seu chefe lhe pediu para corrigir os erros que o novo engenheiro cometeu ao configurar os roteadores. Enquanto corrige os problemas, verifique se todos os dispositivos estão seguros, mas ainda acessíveis para administradores, e que todas as redes são alcançáveis. Todos os roteadores devem ser acessíveis com SDM do PC1. Verificar se um dispositivo é seguro usando ferramentas como Telnet e ping. O uso não autorizado dessas ferramentas deve ser bloqueado. Por outro lado, o uso autorizado deve ser permitido. Para este

laboratório, não use a proteção por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário.

Exibir meio visual



Página 1:

A importância da segurança de rede não pode ser subestimada. Este capítulo enfatizou a importância de desenvolver uma política de segurança efetiva e de aceitar o que ela exige que você faça. Você conhece as ameaças à sua rede, tanto internas quanto externas, e sabe as etapas básicas que você precisa executar para se proteger dessas ameaças. Além disso, agora você compreende os requisitos para equilibrar segurança em relação a acesso.

Os ataques de rede vêm de todas as direções e de muitas formas. Os ataques de senha são fáceis de iniciar e fáceis de se conter. As táticas da engenharia social exigem que os usuários desenvolvam um determinado nível de desconfiança e cuidado. Quando consegue acesso à rede, um atacante podem literalmente abrir todos os trincos. Mas os atacantes nem sempre obtêm acesso para acabar com tudo. Os ataques de negação de serviço podem ser iniciados, sobrecarregando os recursos de rede ao ponto em que não conseguem mais funcionar. Worms, vírus e cavalos-de-Troia podem penetrar redes e continuar se espalhando e infectando os dispositivos.

Uma das principais tarefas na proteção de uma rede é proteger os roteadores. Os roteadores são o gateway da rede, sendo os alvos óbvios. Conversas administrativas básicas incluindo segurança física, manutenção do IOS e backup dos arquivos de configuração já são um começo. O software IOS Cisco fornece vários recursos de segurança para proteger roteadores e bloquear acessosos por portas e serviços utilizados, e a maioria deles pode ser feito utilizando-se o recurso de bloqueio em uma etapa do Cisco SDM.

Exibir meio visual


Esta atividade é uma revisão cumulativa do capítulo que abrange o roteamento e a autenticação de OSPF e a atualização da imagem do IOS Cisco.




Exibir meio visual




5 ACLs

5.0 Introdução

5.0.1 Introdução

Página 1:

Segurança de rede é um assunto enorme, e grande parte dele está além do escopo deste curso. No entanto, uma das habilidades mais importantes das quais um administrador de rede precisa é dominar as listas de controle de acesso (ACLs). Os administradores utilizam as ACLs a fim de parar o tráfego ou permitir apenas o tráfego especificado enquanto interrompe todo o restante do tráfego em suas redes. Este capítulo inclui uma oportunidade para desenvolver o seu domínio de ACLs com uma série de lições, atividades e exercícios de laboratório.

Os designers de rede utilizam firewalls para proteger redes do uso não autorizado. Os firewalls são soluções em hardware ou software que aplicam políticas de segurança de rede. Considere uma trava na porta de um quarto dentro de um edifício. A trava só permite que usuários autorizados com uma chave ou cartão de acesso abram a porta. Da mesma forma, um firewall filtra pacotes não autorizados ou potencialmente perigosos para que não entrem na rede. Em um roteador Cisco, você pode configurar um firewall simples que forneça recursos de filtragem de tráfego básicos utilizando ACLs.

Uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços ou protocolos de camada superior. As ACLs fornecem uma forma eficiente de controlar o tráfego dentro e fora da sua rede. Você pode configurar as ACLs para todos os protocolos de rede roteados.

A razão mais importante para configurar as ACLs é fornecer segurança para a sua rede. Este capítulo explica como utilizar ACLs padrão e estendidas como parte de uma solução em segurança e ensina como configurá-las em um roteador Cisco. Dicas, considerações, recomendações e diretrizes gerais sobre como utilizar ACLs são incluídas.

Exibir meio visual

5.1 Utilizando as ACLs para proteger redes

5.1.1 Uma conversa TCP

Página 1:

As ACLs permitem controlar o tráfego dentro e fora da sua rede. Esse controle pode ser tão simples quanto permitir ou negar hosts de rede ou endereços. No entanto, as ACLs também podem ser configuradas para controlar o tráfego da rede com base na porta TCP utilizada. Para compreender como uma ACL funciona com o TCP, permita-nos observar o diálogo que ocorre durante uma conversa TCP quando você faz o download de uma página da Web no seu computador.

Quando você solicita dados de um servidor Web, o IP cuida da comunicação entre o PC e o servidor. O TCP cuida da comunicação entre o seu navegador (aplicativo) e o software do servidor de rede. Quando você envia um email, observa uma página da Web ou faz o download de um arquivo, o TCP é responsável por dividir os dados em pacotes IP para que eles sejam enviados, além de montar os dados a partir dos pacotes quando eles chegam. O processo TCP é muito semelhante a uma conversa na qual dois nós em uma rede concordam em transmitir dados entre um e o outro.

Lembre-se de que o TCP fornece um serviço de fluxo de bytes confiável, orientado à conexão. O termo orientado a conexão significa que os dois aplicativos que utilizam o TCP devem estabelecer uma conexão TCP para que eles possam trocar dados. TCP é um protocolo em full duplex, o que significa que cada conexão TCP dá suporte a um par de fluxos de bytes, cada um com fluxo em uma direção. O TCP inclui um mecanismo de controle de fluxo para cada fluxo de bytes que permite ao receptor limitar quantos dados o remetente pode transmitir. O TCP também implementa um mecanismo de controle de congestionamento.

Clique no botão Reproduzir na figura para exibir a animação.

A animação mostra como ocorre uma conversa TCP/IP. Os pacotes TCP são marcados com flags que denotam sua finalidade: SYN inicia (sincroniza) a sessão; ACK é uma confirmação (ACK) de que o pacote aguardado foi recebido e FIN encerra a sessão. SYN/ACK confirma que a transferência foi sincronizada. Entre os segmentos de dados TCP estão o protocolo de nível mais alto necessário ao direcionamento dos dados de aplicativo para o aplicativo correto.

Clique no botão Números de porta TCP/UDP na figura.

O segmento de dados TCP também identifica a porta correspondente ao serviço solicitado. Por exemplo, HTTP é a porta 80, SMTP é a porta 25 e FTP é a porta 20 e 21. A figura mostra exemplos de portas UDP e TCP.

Clique nos botões da figura para explorar portas TCP/UDP.

Exibir meio visual

5.1.2 Filtragem de pacote

Página 1:

A filtragem de pacote, às vezes chamada de filtragem de pacote estática, controla o acesso a uma rede, analisando os pacotes de entrada e de saída e transmitindo ou paralisando-os com base em critérios informados.

Um roteador funciona como um filtro de pacote ao encaminhar ou negar pacotes de acordo com as regras de filtragem. Quando um pacote chega ao roteador de filtragem de pacote, o roteador extrai determinadas informações do cabeçalho do pacote e toma decisões de acordo com as regras do filtro quanto à possibilidade do pacote ser transmitido ou descartado. A filtragem de pacote funciona na camada de rede do modelo de referência OSI ou na camada de Internet do TCP/IP.

Por ser um dispositivo da Camada 3, um roteador de filtragem de pacote utiliza regras para determinar se deve permitir ou negar tráfego com base nos endereços IP de origem e de destino, na porta de origem e na porta de destino, além do protocolo do pacote. Essas regras são definidas utilizando-se listas de controle de acesso ou ACLs.

Lembre-se de que uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços IP ou protocolos de camada superior. A ACL pode extrair as seguintes informações do cabeçalho do pacote, testá-lo em relação às suas regras e tomar decisões "permitir" ou "negar" com base em:

Endereço IP de origem Endereço IP de destino Tipo de mensagem ICMP

A ACL também pode extrair informações de camada superior e testá-las em relação às suas regras. Entre as informações da camada superior estão:

Porta de origem TCP/UDP Porta de destino TCP/UDP

Clique nos botões da figura para obter uma visão geral de como uma ACL permite ou nega um pacote. Embora as animações exibam a filtragem de pacote que ocorre na Camada 3, é preciso observar que a filtragem também poderia ocorrer na Camada 4.

Exibir meio visual

Página 2:

Exemplo de filtragem de pacote

Para compreender o conceito de como um roteador utiliza a filtragem de pacote, imagine que um segurança foi colocado diante de uma porta fechada. As instruções do segurança são para permitir apenas as pessoas cujos nomes estão em uma lista para passar pela porta. O segurança está filtrando as pessoas com base nos critérios da presença de seus nomes na lista autorizada.

Por exemplo, você poderia dizer, "Só permita acesso à Web para usuários da rede A. Negue acesso à Web para usuários da rede B, mas permita a eles todos os demais acessos". Consulte a figura para examinar o caminho de decisão utilizado pelo filtro de pacote para realizar essa tarefa.

Para esse cenário, o filtro de pacote observa todos os pacotes da seguinte forma:

Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele terá permissão para passar. Todos os demais acessos são negados para esses usuários.

Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele será bloqueado. No entanto, todos os demais acessos são permitidos.

Este é apenas um simples exemplo. Você pode configurar várias regras para ainda permitir ou negar serviços a usuários específicos. Você também pode filtrar pacotes no nível de porta utilizando uma ACL estendida, abordada na Seção 3.

Exibir meio visual

5.1.3 O que é ACL?

Página 1:

ACL é um script de configuração de roteador que controla se um roteador permite ou nega a passagem a pacotes com base nos critérios encontrados no cabeçalho de pacote. As ACLs estão entre os objetos mais utilizados no software IOS Cisco. As ACLs também são utilizadas para selecionar tipos de tráfego a ser analisado, encaminhado ou processado de outras formas.

Na medida em que cada pacote passa por uma interface com uma ACL associada, a ACL é verificada de cima para baixo, uma linha por vez, procurando um padrão correspondente ao pacote de entrada. A ACL aplica uma ou mais políticas de segurança corporativas, aplicando uma regra de permissão ou negação para determinar o destino do pacote. As ACLs podem ser configuradas para controlar o acesso a uma rede ou sub-rede.

Por padrão, um roteador não tem nenhuma ACL configurada e, por isso, não filtra o tráfego. O tráfego que entra no roteador é roteado de acordo com a tabela de roteamento. Se você não utilizar as ACLs no roteador, todos os pacotes que puderem ser roteados pelo roteador passarão pelo roteador até o próximo segmento de rede.

Aqui estão algumas diretrizes para utilizar ACLs:

Utilize as ACLs em roteadores de firewall colocados entre as suas redes interna e externa, como a Internet.

Utilize as ACLs em um roteador colocado entre duas partes da sua rede para controlar o tráfego que entra ou sai de uma determinada parte da sua rede interna.

Configure as ACLs em roteadores de borda (roteadores situados nas extremidades das suas redes). Isso fornece um buffer muito básico da rede externa ou entre uma área menos controlada da sua própria rede e uma área mais confidencial da sua rede.

Configure as ACLs para cada protocolo de rede configurado nas interfaces do roteador de borda. Você pode configurar as ACLs em uma interface para filtrar o tráfego de entrada, o tráfego de saída ou ambos.

Clique no botão ACLs em um roteador na figura.

Os três Ps

Uma regra geral para aplicar as ACLs em um roteador pode ser lembrada, basta memorizar os três Ps. Você pode configurar uma ACL por protocolo, por direção, por interface:

Uma ACL por protocolo – para controlar o fluxo de tráfego em uma interface, uma ACL deve ser definida para cada protocolo habilitado na interface.

Uma ACL por direção – as ACLs controlam o tráfego em uma direção por vez em uma interface. Duas ACLs separadas devem ser criadas para controlar os tráfegos de entrada e de saída.

Uma ACL por interface – as ACLs controlam o tráfego de uma interface, por exemplo, Fast Ethernet 0/0.

Escrever ACLs pode ser uma tarefa desafiante e complexa. Cada interface pode ter vários protocolos e direções definidas. O roteador no exemplo tem duas interfaces configuradas para IP, AppleTalk e IPX. Esse roteador pode exigir 12 ACLs separadas: uma ACL para cada protocolo, duas para cada direção e duas para o número de portas.

As ACLs executam as seguintes tarefas:

Limitam o tráfego da rede para aumentar o desempenho da rede. Por exemplo, se a política corporativa não permitir tráfego de vídeo na rede, as ACLs que bloqueiam o tráfego de vídeo poderão ser configuradas e aplicadas. Isso reduziria muito a carga de rede e aumentaria o desempenho da rede.

Fornecer controle de fluxo do tráfego. As ACLs podem restringir a entrega das atualizações de roteamento. Se as atualizações não forem obrigatórias por conta das condições de rede, a largura de banda será preservada.

Forneça um nível básico de segurança para o acesso à rede. As ACLs podem permitir a um host acessar uma parte da rede e impedir outro host de acessar a mesma área. Por exemplo, o acesso à rede de recursos humanos pode ser restringido para selecionar os usuários.

Decida que tipos de tráfego encaminhar ou bloquear nas interfaces do roteador. Por exemplo, uma ACL pode permitir tráfego de email, mas bloqueia todo o tráfego de Telnet.

Controle as áreas que um cliente pode acessar em uma rede. Os hosts na tela para permitir ou negar acesso a serviços de rede. As ACLs

podem permitir ou negar a um usuário o acesso a tipos de arquivo, como FTP ou HTTP.

As ACLs inspecionam pacotes de rede com base em critérios, como endereço de origem, endereço de destino, protocolos e números de porta. Além de permitir ou negar tráfego, uma ACL pode classificar o tráfego para habilitar o processamento por prioridades na linha. Esse recurso é semelhante a ter uma passagem VIP para um show ou evento esportivo. A passagem VIP oferece privilégios a convidados selecionados não oferecidos a proprietários de entradas, como poder entrar em uma área restrita e ser escoltado até seus assentos.

Exibir meio visual

5.1.4 Operação ACL

Página 1:

Como as ACLs funcionam

As ACLs definem o conjunto de regras que dão controle adicional para pacotes que entram por interfaces de entrada, pacotes retransmitidos pelo roteador e pacotes que saem pelas interfaces de saída do roteador. As ACLs não funcionam em pacotes com origem no próprio roteador.

As ACLs são configuradas para se aplicar ao tráfego de entrada ou ao tráfego de saída.

ACLs de entrada – os pacotes de entrada são processados antes de serem roteados para a interface de saída. Uma ACL de entrada será eficiente porque evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for permitido pelos testes, o pacote será processado para roteamento.

ACLs de saída – os pacotes de entrada são roteados para a interface de saída e, em seguida, processados pela ACL de saída.

As instruções ACL funcionam em ordem sequencial. Elas avaliam pacotes em relação à ACL, de cima para baixo, uma instrução por vez.

A figura mostra a lógica de uma ACL de entrada. Se o cabeçalho de um pacote corresponder a uma instrução ACL, as demais instruções na lista serão ignoradas e o pacote será permitido ou negado conforme determinação da instrução correspondente. Se o cabeçalho de um pacote não corresponder a uma instrução ACL, o pacote será testado em relação à próxima instrução da lista. Esse processo de comparação continua até o término da lista.

Uma instrução incluída no final abrange todos os pacotes para os quais as condições não se mostraram verdadeiras. Essa condição de teste final corresponde a todos os demais pacotes e resultados em uma instrução "negar". Em vez de continuar dentro ou fora de uma interface, o roteador ignora todos esses pacotes restantes. Essa instrução final

costuma ser conhecida como "negar qualquer instrução implicitamente" ou "negar todo o tráfego". Por conta dessa instrução, uma ACL deve ter pelo menos uma instrução de permissão; do contrário, a ACL bloqueia todo o tráfego.

Você pode aplicar uma ACL a várias interfaces. No entanto, talvez só haja uma ACL por protocolo, direção e interface.

Clique no botão ACLs de saída na figura.

A figura mostra a lógica de uma ACL de saída. Para que um pacote seja encaminhado para uma interface de saída, o roteador verifica a tabela de roteamento para ver se o pacote pode ser roteado. Se não puder ser roteado, o pacote será ignorado. Em seguida, o roteador verifica se a interface de saída é agrupada em uma ACL. Os exemplos de operação de ACL de saída são os seguintes:

Se a interface de saída não for agrupada em uma ACL de saída, o pacote será enviado diretamente para a interface de saída.

Se a interface de saída for agrupada em uma ACL de saída, o pacote não será enviado pela interface de saída até ser testado pela combinação de instruções ACL associadas a essa interface. Com base nos testes ACL, o pacote é permitido ou negado.

Para listas de saída, "permitir" significa enviar o pacote para o buffer de saída e "negar" significa descartá-lo.

Exibir meio visual

Página 2:

A ACL e o roteamento e os processos ACL em um roteador

A figura mostra a lógica do roteamento e dos processos ACL em um roteador. Quando um pacote chega a uma interface do roteador, o processo do roteador é o mesmo, independentemente das ACLs serem utilizadas ou não. À medida que um quadro entra em uma interface, o roteador verifica se o destino do endereço da Camada 2 de destino corresponde ao seu ou se o quadro é de broadcast.

Se o endereço do quadro for aceito, as informações do quadro serão removidas e o roteador verificará se há uma ACL na interface de entrada. Se houver uma ACL, o pacote agora será testado em relação às instruções na lista.

Se o pacote corresponder a uma instrução, ele será aceito ou rejeitado. Se for aceito na interface, o pacote será verificado em relação às entradas da tabela de roteamento para determinar a interface de destino e comutado para essa interface.

Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver uma ACL, o pacote será testado em relação às instruções na lista.

Se corresponder a uma instrução, o pacote será aceito ou rejeitado.

Se não houver nenhuma ACL ou o pacote for aceito, o pacote será encapsulado no novo protocolo da Camada 2 e encaminhado pela interface para o próximo dispositivo.

A instrução implícita do critério "Negar todo o tráfego"

Ao final de toda lista de acesso, há uma instrução implícita do critério "negar todo o tráfego". Ela também é conhecida às vezes como a instrução "deny any implícito". Por isso, se não corresponder a nenhuma das entradas ACL, um pacote será bloqueado automaticamente. "negar todo o tráfego" implícito é o comportamento padrão das ACLs, não podendo ser alterado.

Existe uma advertência chave associada a esse comportamento "negar tudo": para a maioria dos protocolos, se definir uma lista de acesso de entrada para a filtragem de tráfego, você deverá incluir instruções de critérios da lista de acesso explícitas para permitir atualizações de roteamento. Se não fizer, você poderá efetivamente perder a comunicação com a interface quando as atualizações de roteamento forem bloqueadas pela instrução implícita "negar todo o tráfego" ao final da lista de acesso.

Exibir meio visual

5.1.5 Tipos de ACLs Cisco

Página 1:

Há dois tipos de ACLs Cisco, padrão e estendida.

ACLs padrão

As ACLs padrão permitem a você permitir ou negar tráfego de endereços IP de origem. O destino do pacote e as portas envolvidas não importam. O exemplo permite todo o tráfego da rede 192.168.30.0/24. Por conta da "negar tudo" implícita ao final, todo os demais tráfegos são bloqueados com essa ACL. As ACLs padrão são criadas no modo de configuração global.

Clique no botão ACL estendida na figura.

ACLs estendidas

As ACLs estendidas filtram pacotes IP com base em vários atributos, por exemplo, tipo de protocolo, endereço IP de origem, endereço IP de destino, portas TCP e UDP de origem, portas TCP e UDP de destino e informações do tipo de protocolo opcionais para maior granularidade de controle. Na figura, a ACL 103 permite tráfego com origem em qualquer endereço na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). As ACLs estendidas são criadas no modo de configuração global.

Os comandos para ACLs são explicados nos próximos tópicos.

Exibir meio visual

5.1.6 Como uma ACL padrão funciona

Página 1:

Uma ACL padrão é uma coleção sequencial de condições para permitir e negar que se aplicam a endereços IP. O destino do pacote e as portas envolvidas não são abordados.

O processo de decisão está mapeado na figura. O software IOS Cisco testa endereços em relação às condições individualmente. A primeira correspondência determina se o software aceita ou rejeita o endereço. Como o software para de testar condições depois da primeira correspondência, a ordem das condições é essencial. Se nenhuma condição corresponder, o endereço será rejeitado.

As duas tarefas principais envolvidas na utilização das ACLs são as seguintes:

Etapa 1. Criar uma lista de acesso, especificando um número da lista de acesso ou nome e condições de acesso.

Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal.

Exibir meio visual

5.1.7 Numerando e nomeando ACLs

Página 1:

Utilizar ACLs numeradas é um método efetivo para determinar o tipo de ACL em redes menores com tráfego definido de maneira mais homogênea. No entanto, um número não informa a finalidade da ACL. Por essa razão, começando pelo IOS Cisco release 11.2, você pode utilizar um nome para identificar uma ACL Cisco.

A figura sumariza a regra para designar as ACLs numeradas e as ACLs nomeadas.

Em relação a ACLs numeradas, caso você esteja se perguntando por que os números de 200 a 1.299 são ignorados, é porque esses números são utilizados por outros protocolos. Este curso só aborda ACLs IP. Por exemplo, os números de 600 a 699 são utilizados por AppleTalk, e os números de 800 a 899 são utilizados por IPX.

Exibir meio visual

5.1.8 Onde colocar ACLs

Página 1:

A localização apropriada de uma ACL para filtrar tráfego indesejável faz a rede operar com mais eficiência. As ACLs podem agir como firewalls para filtrar pacotes e eliminar o tráfego indesejável. Onde você coloca as ACLs pode reduzir o tráfego desnecessário. Por exemplo, o tráfego a ser negado em um destino remoto não deve utilizar recursos de rede ao longo da rota até esse destino.

Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficiência. As regras básicas são:

Localize as ACLs estendidas mais próximas da origem do tráfego negado. Dessa forma, o tráfego indesejável é filtrado sem atravessar a infraestrutura de rede.

Como as ACLs padrão não especificam endereços de destino, coloque-as o mais próximo possível do destino.

Consideremos um exemplo de onde colocar as ACLs na nossa rede. A interface e o local de rede se baseiam naquilo que você deseja que a ACL faça.

Na figura, o administrador deseja impedir o tráfego com origem na rede 192.168.10.0/24 de chegar à rede 192.168.30.0/24. Uma ACL na interface de saída de R1 também nega a R1 a possibilidade de enviar tráfego a outros locais. A solução é colocar uma ACL padrão na interface de entrada de R3 a fim de parar todo o tráfego do endereço de origem 192.168.10.0/24. Uma ACL padrão só atende às necessidades porque se preocupa com os endereços IP de origem.

Clique no botão ACL estendida na figura.

Considere que os administradores só podem colocar as ACLs em dispositivos que eles controlem. Por isso, o local deve ser determinado dentro do contexto de até onde o controle do administrador de rede se estende. Nesta figura, o administrador das redes 192.168.10.0/24 e 192.168.11.0/24 (conhecidas como Dez e Onze, respectivamente, neste exemplo) deseja negar o tráfego Telnet e FTP de Onze para a rede

192.168.30.0/24 (Trinta, neste exemplo). Ao mesmo tempo, outro tráfego deve ter permissão para deixar Dez.

Há várias formas de fazer isso. Uma ACL estendida em R3 que bloqueasse Telnet e FTP em Onze realizaria a tarefa, mas o administrador não controla R3. Além disso, essa solução ainda permite ao tráfego indesejado cruzar toda a rede apenas para ser bloqueado no destino. Isso afeta a eficiência geral da rede.

Uma solução é utilizar uma ACL estendida de saída que especifique os endereços de origem e de destino (Onze e Trinta, respectivamente) e diga "O tráfego Telnet e FTP de Onze não pode ir para Trinta". Coloque essa ACL estendida na porta de saída S0/0/0 de R1.

Uma desvantagem dessa solução é que esse tráfego de Dez também estaria sujeito a algum processamento por parte da ACL, embora o tráfego Telnet e FTP seja permitido.

A melhor solução é se aproximar da origem e colocar uma ACL estendida na interface de entrada Fa0/2 de R1. Isso assegura que pacotes de Onze não entram em R1 e, subsequentemente, não podem cruzar Dez ou mesmo entrar em R2 ou R3. O tráfego com outros endereços de destino e portas ainda é permitido em R1.

Exibir meio visual

5.1.9 Diretrizes gerais para criar ACLs

Página 1:

Práticas recomendadas ACL

A utilização das ACLs exige atenção a detalhes e muito cuidado. Equívocos podem sair caros em termos de indisponibilidade, identificação e solução de problemas e um serviço de rede ruim. Antes de começar a configurar uma ACL, o planejamento básico é obrigatório. A figura apresenta diretrizes que formam a base de uma lista de práticas recomendadas da ACL.

Exibir meio visual

Exibir meio visual

5.2 Configurando ACLs padrão

5.2.1 Inserindo instruções de critérios

Página 1:

Antes de começar a configurar uma ACL padrão, revisaremos conceitos importantes da ACL abordados na Seção 1.

Lembre-se de que, ao entrar no roteador, o tráfego é comparado com instruções ACL com base na ordem em que ocorrem as entradas no roteador. O roteador continua processando as instruções ACL até que haja uma correspondência. Por essa razão, você deve ter a entrada ACL mais utilizada na parte superior da lista. Se nenhuma correspondência for encontrada quando o roteador chegar ao final da lista, o tráfego será negado porque as ACLs têm uma negação implícita para todo o tráfego que não atenda a nenhum dos critérios testados. Uma ACL única com apenas uma entrada de negação tem o efeito de negar todo o tráfego. Você deve ter pelo menos uma instrução de permissão em uma ACL, ou todo o tráfego será bloqueado.

Por exemplo, as duas ACLs (101 e 102) na figura têm o mesmo efeito. A rede 192.168.10.0 teria permissão para acessar a rede 192.168.30.0, mas 192.168.11.0, não.

Exibir meio visual

5.2.2 Configurando uma ACL padrão

Página 1:

Lógica da ACL padrão

Na figura, os pacotes que chegam por Fa0/0 são verificados em relação aos seus endereços de origem:

access-list 2 deny host 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Se forem permitidos, os pacotes serão roteados pelo roteador para uma interface de saída. Se não forem permitidos, os pacotes serão ignorados na interface de entrada.

Exibir meio visual

Página 2:

Configurando ACLs padrão

Para configurar ACLs padrão numeradas em um roteador Cisco, você deve primeiro criar a ACL padrão e ativar a ACL em uma interface.

O comando no modo de configuração global access-list define uma ACL padrão com um número no intervalo de 1 a 99. O software IOS Cisco release 12.0.1 estendeu esses números, permitindo de 1300 a 1999 fornecer um máximo de 799 ACLs padrão possíveis. Esses números adicionais são conhecidos como ACLs IP expandidas.

A sintaxe completa do comando ACL padrão é a seguinte:

Router(config)#access-list access-list-number [deny | permit | remark] source [source-wildcard] [log]

A sintaxe completa do comando da ACL padrão para filtrar um determinado host é a seguinte:

Router(config)#access-list access-list-number [deny | permit] source [log]

A figura fornece uma explicação detalhada da sintaxe de uma ACL padrão.

Por exemplo, para criar uma ACL numerada designada 10 que permitisse a rede 192.168.10.0 /24, você digitaria:

R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255

Clique no botão Remover ACL na figura.

A forma no desse comando remove uma ACL padrão. Na figura, a saída do comando show access-list exibe as ACLs atuais configuradas no roteador R1.

Para remover a ACL, o comando no modo de configuração global no access-list é utilizado. A emissão do comando show access-list confirma se a lista de acesso 10 foi removida.

Clique no botão Comentário na figura.

Normalmente, os administradores criam ACLs e compreendem perfeitamente todas as finalidades de cada instrução dentro da ACL. No entanto, quando uma ACL for revista mais tarde, talvez não seja tão óbvia quanto já foi.

A palavra-chave remark é utilizada na documentação e facilita muito a compreensão das listas de acesso. Cada comentário é limitado a 100 caracteres. A ACL na figura,

embora bastante simples, é utilizada para fornecer um exemplo. Durante a revisão da ACL na configuração, o comentário também é exibido.

O próximo tópico explica como utilizar a máscara curinga para identificar redes específicas e hosts.

Exibir meio visual

5.2.3 Máscara curinga ACL

Página 1:

Mascaramento curinga

Entre as instruções ACLs estão máscaras, também chamadas de máscaras curinga. Máscara curinga é uma string de dígitos binários que informam ao roteador que partes do número da sub-rede observar. Embora não tenham nenhuma relação funcional com máscaras de sub-rede, as máscaras curinga fornecem uma função semelhante. A máscara determina a proporção de um endereço IP de origem ou de destino a ser aplicada à correspondência de endereço. Os números 1 e 0 na máscara identificam como tratar os bits de endereço IP correspondentes. No entanto, eles são utilizados para fins diferentes, seguindo regras diferentes.

As máscaras curinga e de sub-rede têm 32 bits e utilizam 1s e 0s binários. As máscaras de sub-rede utilizam 1s e 0s binários para identificar a rede, a sub-rede e a porção de host de um endereço IP. As máscaras curinga utilizam 1s e 0s binário para filtrar endereços IP individuais ou grupos e permitir ou negar acesso a recursos com base em um endereço IP. Definindo máscaras curinga com cuidado, você pode permitir ou negar um ou vários endereços IP

As máscaras curinga e de sub-rede são diferentes quanto à forma com que comparam 1s e 0s binários. As máscaras curinga utilizam as seguintes regras para comparar 1s e 0s binários:

Bit da máscara curinga 0 – comparar o valor do bit correspondente no endereço Bit da máscara curinga 1 – ignorar o valor do bit correspondente no endereço

A figura explica como máscaras curinga diferentes filtram endereços IP. Ao observar o exemplo, lembre-se de que o 0 binário significa uma correspondência e que o 1 binário significa ignorar.

Nota: as máscaras curinga costumam ser conhecidas como máscaras inversas. A razão é que, diferentemente de uma máscara de sub-rede na qual o 1 binário é igual a uma correspondência e 0 binário, não, o inverso é verdadeiro.

Clique no botão Exemplo de máscara curinga na figura.

Utilizando uma máscara curinga

A tabela na figura mostra os resultados da aplicação de uma máscara curinga 0.0.255.255 a um endereço IP de 32 bits. Lembre-se de que um 0 binário indica um valor correspondente.

Exibir meio visual

Página 2:

Máscaras curinga correspondentes a sub-redes IP

O cálculo da máscara curinga pode ser um pouco confuso inicialmente. A figura fornece três exemplos de máscaras curinga.

O primeiro exemplo que a máscara curinga estipula é de que todo bit no IP 192.168.1.1 deve corresponder exatamente. A máscara curinga equivale à máscara de sub-rede 255.255.255.255.

No segundo exemplo, a máscara curinga estipula que qualquer coisa corresponderá. A máscara curinga equivale à máscara de sub-rede 0.0.0.0.

No terceiro exemplo, a máscara curinga estipula que corresponderá a qualquer host dentro da rede 192.168.1.0 /24. A máscara curinga equivale à máscara de sub-rede 255.255.255.0.

Esses exemplos foram bastante simples e diretos. No entanto, o cálculo de máscaras curinga pode ficar um pouco mais difícil.

Clique no botão Máscara curinga 2 na figura.

Os dois exemplos na figura são mais complicados do que os três últimos que você exibiu. No exemplo 1, os dois primeiros octetos e os quatro primeiros bits do terceiro octeto devem corresponder exatamente. Os últimos quatro bits no terceiro octeto e o último octeto podem ser qualquer número válido. Isso resulta em uma máscara que verifica de 192.168.16.0 a 192.168.31.0

O Exemplo 2 mostra uma máscara curinga que corresponde aos dois primeiros octetos, e o bit menos significativo no terceiro octeto. O último octeto e os sete primeiros bits no terceiro octeto podem ser qualquer número válido. O resultado é uma máscara que permitiria ou negaria todos os hosts de sub-redes ímpares dentro da rede principal 192.168.0.0.

O cálculo das máscaras curinga pode ser difícil, mas você pode fazer isso facilmente, subtraindo a máscara de sub-rede de 255.255.255.255.

Clique no botão Exemplo 1 na figura.

Por exemplo, suponhamos que você queira permitir o acesso a todos os usuários da rede 192.168.3.0. Subtraia a máscara de sub-rede, que é 255.255.255.0 de 255.255.255.255, conforme a indicação na figura. A solução produz a máscara curinga 0.0.0.255.


Agora suponhamos que você queira permitir o acesso à rede para os 14 usuários da sub-rede 192.168.3.32 /28. Como a máscara da sub-rede IP é 255.255.255.240, use 255.255.255.255 e subtraia da máscara de sub-rede 255.255.255.240. Desta vez, a solução produz a máscara curinga 0.0.0.15.


Neste terceiro exemplo, suponhamos que você queira apenas comparar as redes 192.168.10.0 e 192.168.11.0. Novamente, você usa 255.255.255.255 e subtrai a máscara de sub-rede normal, que, neste caso, seria 255.255.254.0. O resultado é 0.0.1.255.

Ainda que você possa obter o mesmo resultado com duas instruções, como:

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255


É muito mais eficiente configurar a máscara curinga como:


Isso pode não parecer mais eficiente, mas quando você considera se quis comparar a rede 192.168.16.0 a 192.168.31.0 da seguinte forma:

R1(config)# access-list 10 permit 192.168.16.0 0.0.0.255R1(config)# access-list 10 permit 192.168.17.0 0.0.0.255R1(config)# access-list 10 permit 192.168.18.0 0.0.0.255R1(config)# access-list 10 permit 192.168.19.0 0.0.0.255R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255R1(config)# access-list 10 permit 192.168.21.0 0.0.0.255R1(config)# access-list 10 permit 192.168.22.0 0.0.0.255R1(config)# access-list 10 permit 192.168.23.0 0.0.0.255

R1(config)# access-list 10 permit 192.168.24.0 0.0.0.255R1(config)# access-list 10 permit 192.168.25.0 0.0.0.255R1(config)# access-list 10 permit 192.168.26.0 0.0.0.255R1(config)# access-list 10 permit 192.168.27.0 0.0.0.255R1(config)# access-list 10 permit 192.168.28.0 0.0.0.255R1(config)# access-list 10 permit 192.168.29.0 0.0.0.255R1(config)# access-list 10 permit 192.168.30.0 0.0.0.255R1(config)# access-list 10 permit 192.168.31.0 0.0.0.255

Você pode ver que a configuração da seguinte máscara curinga a torna mais eficiente:


Exibir meio visual

Página 3:

Palavras-chave de máscara curinga

Trabalhar com representações decimais de bits de máscara curinga binários pode ser entediante. Para simplificar essa tarefa, as palavras-chave host e any ajudam a identificar as utilizações mais comuns da máscara curinga. Essas palavras-chave eliminam a entrada de máscaras curinga durante a identificação de um host específico ou rede. Elas também facilitam a leitura de uma ACL, fornecendo dicas visuais sobre a origem ou destino dos critérios.

A opção host substitui a máscara 0.0.0.0. Essa máscara informa que todos os bits de endereço IP devem corresponder ou apenas um host é correspondente.

A opção any substitui o endereço IP e a máscara 255.255.255.255. Essa máscara diz para ignorar todo o endereço IP ou aceitar qualquer endereço.

Exemplo 1: Processo de máscara curinga com um único endereço IP

No exemplo, em vez de inserir 192.168.10.10 0.0.0.0, você pode utilizar host 192.168.10.10.

Exemplo 2: Processo de máscara curinga com a correspondência de qualquer endereço IP

No exemplo, em vez de inserir 0.0.0.0 255.255.255.255, você pode utilizar a palavra-chave any sozinha.

Exibir meio visual

Página 4:

As palavras-chave any e host

Nesta figura, temos dois exemplos. O Exemplo 1 está exibindo como utilizar a opção any para substituir 0.0.0.0 para o endereço IP com uma máscara curinga 255.255.255.255.

O Exemplo 2 está exibindo como utilizar a opção host para substituir a máscara curinga.

Exibir meio visual

5.2.4 Aplicando ACLs padrão a interfaces

Página 1:

Procedimentos de configuração da ACL padrão

Depois de ser configurada, a ACL padrão é vinculada a uma interface utilizando-se o comando ip access-group:

Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}

Para remover uma ACL de uma interface, primeiro digite o comando no ip access-group na interface e, em seguida, o comando global no access-list para remover toda a ACL.

A figura lista as etapas e a sintaxe para configurar e aplicar uma ACL padrão numerada em um roteador.

Clique no botão Exemplo 1 na figura para obter um exemplo de uma ACL que permita uma única rede.

Essa ACL só permite ao tráfego da rede de origem 192.168.10.0 ser encaminhado por S0/0/0. O tráfego das redes que não sejam 192.168.10.0 é bloqueado.

A primeira linha identifica a ACL como lista de acesso 1. Ela permite o tráfego correspondente aos parâmetros selecionados. Nesse caso, o endereço IP e a máscara curinga que identificam a rede de origem são 192.168.10.0 0.0.0.255. Lembre-se de que há uma instrução negar tudo implícita equivalente ao adicionar a linha access-list 1 deny 0.0.0.0 255.255.255.255.

O comando de configuração da interface ip access-group 1 out vincula a ACL 1 à interface Serial 0/0/0 como um filtro de saída.

Por isso, a ACL 1 só permite a hosts da rede 192.168.10.0 /24 sair do roteador R1. Ela nega qualquer outra rede, inclusive a rede 192.168.11.0.

Clique no botão Exemplo 2 na figura para obter um exemplo de uma ACL que negue um host específico.

Essa ACL substitui o exemplo anterior, mas também bloqueia o tráfego de um endereço específico. O primeiro comando exclui a versão anterior da ACL 1. A próxima instrução da ACL nega o host de PC1 localizado em 192.168.10.10. Qualquer outro host na rede 192.168.10.0 /24 é permitido. Mais uma vez, as instruções negar implícitas correspondem a todas as demais redes.

A ACL é novamente reaplicada à interface S0/0/0 em uma direção de saída.

Clique no botão Exemplo 3 na figura para obter um exemplo de uma ACL que negue um host específico e permita algumas sub-redes.

Essa ACL substitui o exemplo anterior, mas ainda bloqueia o tráfego do PC1 de host. Ela também permite a todo o outro tráfego de rede local sair do roteador R1.

Os dois primeiros comandos são iguais aos do exemplo anterior. O primeiro comando exclui a versão anterior da ACL 1 e a próxima instrução da ACL nega o host de PC1 localizado em 192.168.10.10.

A terceira linha é nova e permite todos os hosts das redes 192.168.x.x /16. Isso agora significa que todos os hosts da rede 192.168.10.0 /24 ainda correspondem, mas agora os hosts da rede 192.168.11.0, também.

A ACL é novamente reaplicada à interface S0/0/0 em uma direção de saída. Por isso, ambas as redes locais conectadas ao roteador R1 podem deixar a interface S0/0/0 com exceção do host de PC1.

Exibir meio visual

Página 2:

Utilizando uma ACL para controlar o acesso VTY

A Cisco recomenda a utilização de SSH em conexões administrativas para roteadores e switches. Se a imagem do software IOS Cisco em seu roteador não dá suporte a SSH, você pode melhorar parcialmente a segurança das linhas administrativas, restringindo o acesso a VTY. Restringir o acesso a VTY é uma técnica que permite definir quais endereços IP têm permissão de acesso Telnet ao processo EXEC do roteador. Você pode controlar qual estação de trabalho administrativa ou rede gerencia o seu roteador com uma ACL e uma instrução access-class para as suas linhas VTY. Você também

pode utilizar essa técnica com SSH mais melhorar ainda mais a segurança do acesso administrativo.

O comando access-class no modo de configuração da linha restringe conexões de entrada e de saída entre um VTY específico (em um dispositivo Cisco) e os endereços em uma lista de acesso.

As listas de acesso padrão e estendida se aplicam a pacotes que percorrem um roteador. Elas não foram projetadas para bloquear pacotes com origem dentro do roteador. Por padrão, uma ACL estendida de Telnet de saída não impede sessões Telnet iniciadas por roteador.

A filtragem do tráfego Telnet é normalmente considerada uma função da ACL IP estendida porque filtra um protocolo de nível mais alto. No entanto, como você está utilizando o comando access-class para filtrar sessões Telnet de entrada ou de saída pelo endereço de origem e aplicar filtragem a linhas VTY, você pode utilizar instruções ACL padrão para controlar acesso a VTY.

A sintaxe do comando access-class é:

access-class access-list-number {in [vrf-also] | out}

O parâmetro in restringe conexões de entrada entre um dispositivo Cisco e os endereços na lista de acesso, e o parâmetro out restringe conexões de saída entre um determinado dispositivo Cisco e os endereços na lista de acesso.

Um exemplo que permite VTY 0 e 4 é mostrado na figura. Por exemplo, a ACL na figura é configurada para permitir a redes 192.168.10.0 e 192.168.11.0 acessar VTYs de 0 a 4. Todas as demais redes têm acesso negado a VTYs.

O seguinte deve ser considerado durante a configuração das listas de acesso em VTYs:

As restrições idênticas devem ser definidas em todos os VTYs, porque um usuário pode tentar se conectar a um deles.

Exibir meio visual

5.2.5 Editando ACLs numeradas

Página 1:

Editando ACLs numeradas

Durante a configuração de uma ACL, as instruções são adicionadas na ordem em que são inseridas no final da ACL. No entanto, não há nenhum recurso de edição interno que permita editar uma alteração em uma ACL. Você não pode inserir ou excluir linhas de maneira seletiva.

É altamente recomendável que qualquer ACL seja criada em um editor de texto, como o Bloco de Notas da Microsoft. Isso permite a você criar ou editar a ACL e, em seguida, colá-la no roteador. Em relação a uma ACL existente, você poderia utilizar o comando show running-config para exibir a ACL, copiar e colá-la no editor de texto, fazer as alterações necessárias e recarregá-la.

Por exemplo, suponhamos que o endereço IP de host na figura tenha sido digitado incorretamente. Em vez do host 192.168.10.100, deveria ter sido o host 192.168.10.11. Aqui estão as etapas para editar e corrigir a ACL 20:

Etapa 1. Exibir a ACL utilizando o comando show running-config. O exemplo na figura utiliza a palavra-chave include para exibir apenas as instruções ACL.

Etapa 2. Realçar a ACL, copiar e colá-la para o Bloco de Notas da Microsoft. Edite a lista conforme exigido. Quando a ACL for exibida corretamente no Bloco de Notas da Microsoft, realce-a e copie.

Etapa 3. No modo de configuração global, desabilite a lista de acesso utilizando o comando no access-list 20. Do contrário, as novas instruções seriam adicionadas à ACL existente. Em seguida, cole a nova ACL na configuração do roteador.

Deve-se mencionar que durante a utilização do comando no access-list, nenhuma ACL está protegendo a sua rede. Além disso, lembre-se de que, se cometer um erro na nova lista, você terá que desabilitá-la e identificar e solucionar o problema. Nesse caso, mais uma vez, a sua rede não tem nenhuma ACL durante o processo de correção.

Exibir meio visual

Página 2:

Comentando ACLs

Você pode utilizar a palavra-chave remark para incluir comentários sobre entradas em qualquer ACL padrão ou estendida. Os comentários simplificam a compreensão e a verificação da ACL. Cada linha de comentário é limitada a 100 caracteres.

O comentário pode ficar antes ou depois de uma instrução permit ou deny. Você deve manter a consistência quanto ao local onde coloca o comentário para que fique claro o que cada um descreve em relação a instruções permit ou deny. Por exemplo, seria confuso ter alguns comentários antes das instruções permit ou deny associadas e outros depois.

Para incluir um comentário sobre as ACLs padrão ou estendida numeradas por IP, utilize o comando de configuração global access-list access-list number remark remark. Para remover o comentário, utilize a forma no desse comando.

No primeiro exemplo, a ACL padrão permite o acesso à estação de trabalho que pertence a Jones e nega acesso à estação de trabalho que pertence a Smith.

Para uma entrada em uma ACL nomeada, utilize o comando de configuração remark. Para remover o comentário, utilize a forma no desse comando. O segundo exemplo mostra uma ACL nomeada estendida. Lembre-se da definição anterior de ACLs estendidas, de que elas são utilizadas para controlar números de porta específicos ou serviços. No segundo exemplo, o comentário diz que a estação de trabalho de Jones não tem permissão para utilizar Telnet de saída.

Exibir meio visual

5.2.6 Criando ACLs nomeadas padrão

Página 1:

Nomear uma ACL facilita a compreensão de sua função. Por exemplo, uma ACL para negar FTP poderia se chamar NO_FTP. Quando você identifica a sua ACL com um nome em vez de um número, o modo de configuração e a sintaxe do comando são um pouco diferentes.

A figura mostra as etapas para criar uma ACL nomeada padrão.

Etapa 1. Começando no modo de configuração global, utilizar o comando ip access-list para criar uma ACL nomeada. Os nomes de ACL são alfanuméricos, devendo ser exclusivos e não começar com um número.

Etapa 2. No modo de configuração da ACL nomeada, utilizar as instruções permit ou deny para especificar uma ou mais condições e determinar se um pacote foi encaminhado ou ignorado.

Etapa 3. Retornar ao modo EXEC privilegiado com o comando end.


Na figura, a saída do comando da tela mostra os comandos utilizados para configurar uma ACL nomeada padrão no roteador R1, a interface Fa0/0 que nega ao host 192.168.11.10 acesso à rede 192.168.10.0.

Usar maiúsculas em nomes da ACL não é obrigatório, mas os destaca durante a exibição da saída do comando running-config.

Exibir meio visual

5.2.7 Monitorando e verificando ACLs

Página 1:

Quando você concluir a configuração de uma ACL, utilize os comandos show do IOS Cisco para verificar a configuração. Na figura, o exemplo superior mostra a sintaxe do IOS Cisco para exibir o conteúdo de todas as ACLs. O exemplo inferior mostra o resultado da emissão do comando show access-lists no roteador R1. Os nomes de ACL em maiúsculas, VENDAS e ENG, se destacam na saída do comando na tela.

Lembre-se de que você começou configurando as ACLs inicialmente; você quis implementar as políticas de segurança da sua organização. Agora que você verificou se as ACLs estão configuradas conforme desejado, a próxima etapa é confirmar se as ACLs funcionam conforme planejado.

As diretrizes discutidas anteriormente nesta seção sugerem que você configure as ACLs em uma rede de teste e implemente as ACLs testadas na rede de produção. Embora uma discussão sobre como preparar um cenário de teste da ACL esteja além do escopo deste curso, você precisa saber que confirmar se as suas ACLs funcionam conforme o planejado pode ser um processo complexo e demorado.

Exibir meio visual

5.2.8 Editando ACLs nomeadas

Página 1:

As ACLs nomeadas têm uma grande vantagem sobre as ACLs numeradas por serem mais fáceis de editar. Começando pelo software IOS Cisco release 12.3, as ACLs IP nomeadas permitem excluir entradas individuais em uma ACL específica. Você pode usar números de sequência para inserir instruções em qualquer lugar da ACL nomeada. Se estiver utilizando uma versão anterior do software IOS Cisco, você só poderá adicionar instruções na parte inferior da ACL nomeada. Como pode excluir entradas individuais, você pode modificar a sua ACL sem ter que excluir e, em seguida, reconfigurar toda a ACL.

O exemplo na figura mostra uma ACL aplicada à interface S0/0/0 de R1. Ela restringiu o acesso ao servidor Web. Observando este exemplo, você pode ver duas coisas que ainda não viu neste curso:


Na primeira saída do comando show, você pode ver que a ACL nomeada WEBSERVER tem três linhas numeradas que indicam regras de acesso para o servidor Web.

Conceder acesso a outra estação de trabalho na lista requer apenas a inserção de uma linha numerada. No exemplo, a estação de trabalho com o endereço IP 192.168.11.10 está sendo adicionada.

A saída do comando show verifica se a nova estação de trabalho agora tem permissão.

Exibir meio visual

Página 2:

As ACLs padrão são scripts de configuração de roteador que controlam se um roteador permite ou nega pacotes com base no endereço de origem. Esta atividade vai ensinar a definir critérios de filtragem, configurar as ACLs padrão, aplicar as ACLs a interfaces de roteador e verificar e testar a implementação da ACL.




Exibir meio visual

5.3 Configurando ACLs estendidas

5.3.1 ACLs estendidas

Página 1:

Testando pacotes com ACLs estendidas

Para obter um controle de filtragem de tráfego mais preciso, você pode utilizar ACLs estendidas numeradas de 100 a 199 e de 2.000 a 2.699, fornecendo um total de 800 ACLs estendidas possíveis. As ACLs estendidas também podem ser nomeadas.

As ACLs estendidas são mais utilizadas que as ACLs padrão porque fornecem um intervalo maior de controle e, por isso, acrescentam à sua solução de segurança. Assim como as ACLs padrão, as ACLs estendidas verificam os endereços do pacote de origem, mas também verificam o endereço de destino, protocolos e números de porta (ou serviços). Isso proporciona um número maior de critérios nos quais a ACL se baseia. Por exemplo, uma ACL estendida pode permitir tráfego de email simultaneamente de uma rede para um destino específico enquanto nega transferências de arquivos e navegação na Web.

A figura mostra o caminho de decisão lógico utilizado por uma ACL estendida criada para filtragem com base nos endereços de origem e de destino, no protocolo e nos números de porta. Neste exemplo, a ACL filtra primeiro o endereço de origem e, em seguida, a porta e o protocolo da origem. Em seguida, ela filtra o endereço de destino, a porta e o protocolo do destino e toma uma decisão final de permitir ou negar.

Lembre-se de que, como as entradas são processadas em ACLs uma depois da outra, uma decisão 'Não' não necessariamente equivale a 'Negar'. Na medida em que você passa pelo caminho de decisão lógico, observe que um 'Não' significa ir para a próxima entrada até que todas as entradas sejam testadas. Somente quando todas as entradas foram processadas é que a decisão 'Permitir' ou 'Negar' é finalizada.

A próxima página fornece um exemplo de uma ACL estendida.

Exibir meio visual

Página 2:

Testando portas e serviços

A possibilidade de filtrar com base no protocolo e no número da porta permite criar ACLs estendidas muito específicas. Utilizando o número de porta apropriado, você pode especificar um aplicativo, configurando o número de porta ou o nome de uma porta bem conhecida.

A figura mostra alguns exemplos de como um administrador especifica um número de porta TCP ou UDP, colocando-o no final da instrução da ACL estendida. Operações lógicas podem ser utilizadas, como igual (eq), diferente (neq), maior que (gt) e menor que (lt).

Clique no botão Portas na figura.

A figura mostra como gerar uma lista dos números de porta e palavras-chave que você pode utilizar enquanto cria uma ACL utilizando R1(config)#access-list 101 permit tcp any eq ? .

Exibir meio visual

5.3.2 Configurando ACLs estendidas

Página 1:

As etapas procedurais para configurar as ACLs estendidas são iguais a ACLs padrão: você primeiro cria a ACL estendida e só então a ativa em uma interface. No entanto, a sintaxe do comando e os parâmetros são mais complexos para dar suporte aos recursos adicionais fornecidos por ACLs estendidas.

A figura mostra a sintaxe do comando comum para ACLs estendidas. O campo de rolagem fornece detalhes das palavras-chave e dos parâmetros. Na medida em que avança neste capítulo, há explicações e exemplos que ampliarão ainda mais a sua compreensão.

Clique no botão Configurando ACLs estendidas na figura.

A figura mostra um exemplo de como você poderia criar uma ACL estendida específica para as suas necessidades de rede. Neste exemplo, o administrador de rede precisa restringir o acesso à Internet para permitir apenas a navegação no site. A ACL 103 se aplica ao tráfego que deixa a rede 192.168.10.0 e a ACL 104 ao tráfego que chega à rede.

A ACL 103 atende à primeira parte do requisito. Ela permite ao tráfego proveniente de qualquer endereço na rede 192.168.10.0 ir para qualquer destino, estando sujeito à limitação do tráfego chegar apenas até as portas 80 (HTTP) e 443 (HTTPS).

A natureza de HTTP exige que esse tráfego volte na rede, mas o administrador de rede quer restringir esse tráfego a trocas HTTP nos sites solicitados. A solução em segurança deve negar qualquer outro tráfego que chega até a rede. A ACL 104 faz isso bloqueando todo o tráfego de entrada, exceto pelas conexões estabelecidas. HTTP estabelece conexões que começam pela solicitação original e passam pela troca de mensagens ACK, FIN e SYN.

Observe que o exemplo utiliza o parâmetro established.

Esse parâmetro permite a respostas trafegar com origem na rede 192.168.10.0 /24 e retornar à entrada em s0/0/0. Uma correspondência ocorrerá se o datagrama TCP tiver os bits ACK ou de redefinição (RST) definidos, o que indica que o pacote pertence a uma conexão existente. Com o parâmetro established, o roteador permitirá apenas ao tráfego estabelecido voltar e bloquear todos os demais tráfegos.

Exibir meio visual

5.3.3 Aplicando ACLs estendidas a interfaces

Página 1:

Nos diga como configurar uma lista de acesso estendida, aproveitando o exemplo anterior. Lembre-se de que nós queremos permitir aos usuários navegar em sites seguros e não seguros. Primeiro considere se o tráfego que você deseja filtrar está entrando ou saindo. A tentativa de acessar sites na Internet é tráfego saindo. Receber emails na Internet é tráfego entrando na empresa. No entanto, durante a consideração de como aplicar uma ACL a uma interface, entrar e sair ganham significados diferentes, dependendo do ponto de vista.

No exemplo da figura, R1 tem duas interfaces. Ela tem uma porta serial, S0/0/0, e uma porta Fast Ethernet, Fa0/0. O tráfego de Internet que chega entra pela interface S0/0/0, mas sai pela interface Fa0/0 para alcançar PC1. O exemplo aplica a ACL à interface serial em ambas as direções.

Clique no botão Negar FTP na figura.

Este é um exemplo da negação de tráfego FTP na sub-rede 192.168.11.0 para a sub-rede 192.168.10.0, mas que permite todo o tráfego restante. Observe a utilização de máscaras curinga. Lembre-se de que, como o FTP exige as portas 20 e 21, você precisa especificar ambas eq 20 e eq 21 para negar FTP.

Com ACLs estendidas, você pode escolher utilizar números de porta como os do exemplo ou chamar uma porta bem conhecida pelo nome. Em um exemplo anterior de uma ACL estendida, as instruções foram anotadas da seguinte forma:

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data

Observe que para FTP, ftp e ftp-data devem ser mencionados.

Clique no botão Negar Telnet na figura.

Este exemplo nega tráfego Telnet de 192.168.11.0, mas permite todo o tráfego IP restante de qualquer outra origem para qualquer destino de entrada em Fa0/1. Observe a utilização das palavras-chave any, o que significa de qualquer lugar para qualquer lugar.

Exibir meio visual

5.3.4 Criando ACLs estendidas nomeadas

Página 1:

Você pode criar ACLs estendidas nomeadas basicamente da mesma forma como criou ACLs padrão nomeadas. Os comandos para criar uma ACL nomeada são diferentes para ACLs padrão e estendidas.

Começando no modo EXEC privilegiado, siga estas etapas para criar uma ACL estendida utilizando nomes.

Etapa 1. Começando no modo de configuração global, utilizar o comando ip access-list extended name para definir uma ACL estendida nomeada.

Etapa 2. No modo de configuração da ACL nomeada, especificar as condições que você deseja permitir ou negar.

Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando show access-lists [number | name].

Etapa 4. Como opção e etapa recomendada, salvar as suas entradas no arquivo de configuração com o comando copy running-config startup-config.

Para remover uma ACL estendida nomeada, utilize o comando no modo de configuração global no ip access-list extended name.

A figura mostra a versão nomeada da ACL criada anteriormente.

Exibir meio visual

Página 2:

As ACLs estendidas são scripts de configuração de roteador que controlam se um roteador permite ou nega pacotes com base no endereço de origem ou de destino, bem como protocolos ou portas. As ACLs estendidas dão mais flexibilidade e granularidade do que as ACLs padrão. Esta atividade vai ensinar a definir critérios de filtragem, configurar as ACLs estendidas, aplicar as ACLs a interfaces de roteador, e verificar e testar a implementação da ACL.




Exibir meio visual

5.4 Configurar ACLs complexas

5.4.1 O que são ACLs complexas?

Página 1:

Tipos de ACLs complexas

As ACLs padrão e estendidas podem se tornar a base para ACLs complexas, que fornecem funcionalidade adicional. A tabela na figura sumariza as três categorias de ACLs complexas.

Exibir meio visual

5.4.2 ACLs dinâmicas

Página 1:

O que são ACLs dinâmicas?

O lock-and-key é um recurso de segurança de filtragem de tráfego que utiliza ACLs dinâmicas, às vezes conhecidas como ACLs lock-and-key. O lock-and-key só está disponível para tráfego IP. As ACLs dinâmicas dependem da conectividade Telnet, da autenticação (local ou remota) e das ACLs estendidas.

A configuração da ACL dinâmica começa com a aplicação de uma ACL estendida para bloquear tráfego no roteador. Os usuários que desejam atravessar o roteador são bloqueados pela ACL estendida até utilizarem Telnet para se conectar ao roteador e serem autenticados. A conexão Telnet é descartada, e uma ACL dinâmica de entrada única é adicionada à ACL estendida existente. Isso permite o tráfego durante um período específico; timeouts ociosos e absolutos são possíveis.

Quando utilizar ACLs dinâmicas

Algumas razões comuns para utilizar as ACLs dinâmicas são as seguintes:

Quando você quiser que um usuário remoto específico ou grupo de usuários remotos acesse um host dentro da sua rede, ao mesmo tempo em que conectam nos hosts remotos via Internet. Lock-and-key autentica o usuário e permite acesso limitado pelo seu roteador de firewall a um host ou sub-rede durante um período finito.

Quando você deseja que um subconjunto de hosts em uma rede local acesse um host em uma rede remota protegida por um firewall. Com lock-and-key, você só pode habilitar o acesso ao host remoto para o conjunto desejado de hosts locais. Lock-and-key exige que os usuários se autentiquem por meio de um servidor AAA, TACACS+ ou outro servidor de segurança antes de permitir a seus hosts acessar os hosts remotos.

Benefícios de ACLs dinâmicas

As ACLs dinâmicas têm os seguintes benefícios de segurança em relação a ACLs padrão e estendidas estáticas:

Utilização de um mecanismo de desafio para autenticar usuários individuais. Gerenciamento simplificado em grandes redes interconectadas. Em muitos casos, a redução do volume do processamento do roteador

obrigatório para ACLs. Redução da oportunidade para invasões à rede por hackers. Criação de acesso de usuário dinâmico por um firewall, sem comprometer outras

restrições de segurança configuradas.

Na figura, o usuário em PC1 é um administrador que exige acesso backdoor à rede 192.168.30.0 /24 localizada no roteador R3. Uma ACL dinâmica foi configurada para permitir a FTP e HTTP acesso no roteador R3, mas apenas por um tempo limitado.

Exibir meio visual

Exemplos de ACL dinâmica

Considere um requisito para que um administrador de rede em PC1 obtenha acesso periódico à rede (192.168.30.0 /24) pelo roteador R3. Para facilitar esse requisito, uma ACL dinâmica é configurada na interface serial S0/0/1 no roteador R3.

Embora uma descrição detalhada da configuração para uma ACL dinâmica esteja além do escopo deste curso, é útil revisar as etapas de configuração.

Clique no botão Config na figura para exibir um exemplo de uma configuração de ACL dinâmica.

Passe o mouse sobre cada Etapa na figura para revisar as etapas de configuração da ACL dinâmica.

Exibir meio visual

5.4.3 ACLs reflexivas

Página 1:

O que são ACLs reflexivas?

As ACLs reflexivas forçam o tráfego de resposta do destino de um pacote de saída conhecido recente a ir para a origem desse pacote de saída. Isso dá mais controle sobre o tráfego no qual você tem permissão na sua rede e aumenta os recursos das listas de acesso estendidas.

Os administradores de rede utilizam ACLs reflexivas para permitir tráfego IP para sessões com origem em sua rede enquanto negam tráfego IP para sessões com origem fora da rede. Essas ACLs permitem ao roteador gerenciar tráfego de sessão dinamicamente. O roteador examina o tráfego de saída e, quando vê uma nova conexão,

adiciona uma entrada a uma ACL temporária para permitir respostas. As ACLs reflexivas contêm apenas entradas temporárias. Essas entradas são criadas automaticamente quando uma nova sessão IP começa, por exemplo, com um pacote de saída, e as entradas são removidas automaticamente quando a sessão termina.

As ACLs reflexivas fornecem uma forma de filtragem de sessão mais real que uma ACL estendida utilizando o parâmetro established apresentado anteriormente. Embora sejam semelhantes em termos conceituais ao parâmetro established, as ACLs reflexivas também funcionam com UDP e ICMP, que não têm bits ACK ou RST. A opção established também não funciona com aplicativos que alteram dinamicamente a porta de origem do tráfego de sessão. A instrução permit established só verifica bits ACK e RST, e não endereços de origem e destino.

As ACLs reflexivas não são aplicadas diretamente a uma interface, mas são "aninhadas" em uma ACL IP nomeada estendida que se aplicada à interface.

As ACLs reflexivas só podem ser definidas com ACLs IP nomeadas estendidas. Elas não podem ser definidas com ACLs numeradas ou nomeadas padrão ou com outras ACLs de protocolo. As ACLs reflexivas podem ser utilizadas com outras ACLs estendidas estáticas e padrão.

Benefícios de ACLs reflexivas

As ACLs reflexivas têm os seguintes benefícios:

Ajudam a proteger a sua rede contra hackers de rede e podem ser incluídas em uma defesa de firewall.

Fornecem um nível de segurança contra spoofing e determinados ataques DoS. As ACLs reflexivas são muito mais difíceis de falsificar porque mais critérios de filtro devem corresponder para que um pacote tenha permissão. Por exemplo, os endereços de origem e de destino e os números de porta, e não apenas os bits ACK e RST, são verificados.

Simples de utilizar e, em comparação com ACLs básicas, fornecem maior controle sobre quais pacotes entram na sua rede.

Exibir meio visual

Exemplo de ACL reflexiva

A figura mostra um exemplo no qual o administrador precisa de uma ACL reflexiva que permita tráfego de saída e de entrada ICMP, enquanto permite apenas tráfego TCP iniciado dentro da rede. Suponhamos que todo o restante do tráfego seja negado. A ACL reflexiva é aplicada à interface de saída de R2.


Embora a configuração completa de ACLs reflexivas esteja além do escopo deste curso, a figura mostra um exemplo das etapas obrigatórias para configurar uma ACL reflexiva.

Passe o mouse sobre cada Etapa na figura para revisar as etapas de configuração da ACL reflexiva.

Exibir meio visual

5.4.4 ACLs baseada no tempo

Página 1:

O que são ACLs baseadas em tempo?

As ACLs baseadas em tempo são semelhantes a ACLs estendidas em termos de função, mas permitem o controle de acesso com base na hora. Para implementar ACLs baseadas em hora, você cria um intervalo que define horas específicas do dia e da semana. Você identifica o intervalo com um nome e se refere a ele por uma função. As restrições de hora são impostas na própria função.

As ACLs baseadas em tempo têm muitos benefícios, como:

Oferece ao administrador de rede mais controle sobre a permissão ou a negação de acesso a recursos.

Permite aos administradores de rede controlar mensagens de registro em log. As entradas ACL podem registrar o tráfego em log em determinadas horas do dia, mas não constantemente. Por isso, os administradores podem simplesmente negar acesso sem analisar os muitos logs gerados durante horários de pico.

Exibir meio visual

Página 2:

Exemplo de ACL baseada em tempo

Embora os detalhes da configuração completa de ACLs baseadas em tempo estejam além do escopo deste curso, o seguinte exemplo mostra as etapas obrigatórias. No exemplo, uma conexão Telnet é permitida da rede interna para a rede externa às segundas, quartas e sextas durante o horário comercial.


Etapa 1. Definir o intervalo para implementar a ACL e dar a ela um nome EVERYOTHERDAY, neste caso.

Etapa 2. Aplicar o intervalo à ACL.

Etapa 3. Aplicar a ACL à interface.

O intervalo depende do relógio de sistema do roteador. O recurso funciona melhor com a sincronização Network Time Protocol (NTP), mas o relógio do roteador pode ser utilizado.

Exibir meio visual

5.4.5 Identificação e solução de problemas de ACL comuns

A utilização dos comandos show descritos anteriormente revela a maioria dos erros ACL mais comuns antes que eles causem problemas na sua rede. Felizmente, você está utilizando um bom procedimento de teste para proteger a sua rede de erros durante o estágio de desenvolvimento da sua implementação de ACL.

Ao observar uma ACL, verifique-a em relação às regras aprendidas sobre como criar ACLs corretamente. A maioria dos erros ocorre porque essas regras básicas são ignoradas. Na verdade, os erros mais comuns são inserir instruções ACL na ordem errada e não aplicar critérios apropriados às suas regras.

Vejamos uma série de problemas comuns e as soluções. Clique em cada exemplo à medida que lê essas explicações.

Clique no botão Erro n° 1 na figura.

O host 192.168.10.10 não tem nenhuma conectividade com 192.168.30.12. Você consegue ver o erro na saída do comando show access-lists?

Solução – observar a ordem das instruções ACL. O host 192.168.10.10 não tem nenhuma conectividade telnet com 192.168.30.12 por conta da ordem da regra 10 na lista de acesso. Como o roteador processa as ACLs de cima para baixo, a instrução 10 nega o host 192.168.10.10, logo, a instrução 20 não é processada. As instruções 10 e 20 devem ser invertidas. A última linha permite todo o restante do tráfego não TCP em IP (ICMP, UDP etc.).


A rede 192.168.10.0 /24 não pode utilizar TFTP para se conectar à rede 192.168.30.0 /24. Você consegue ver o erro na saída do comando show access-lists?

Solução – a rede 192.168.10.0 /24 não pode utilizar TFTP para se conectar à rede 192.168.30.0 /24 porque TFTP utiliza o protocolo de transporte UDP. A instrução 30 na lista de acesso 120 permite todo o restante do tráfego TCP. Como utiliza UDP, o TFTP é negado implicitamente. A instrução 30 deve ser ip any any.

Essa ACL funcionará se for aplicada a Fa0/0 de R1 ou S0/0/1 de R3, ou S0/0/0 ou R2 na direção de entrada. No entanto, com base na regra sobre como colocar as ACLs estendidas mais próximas da origem, a melhor opção está em Fa0/0 de R1 porque ela permite filtrar tráfego indesejável sem atravessar a infraestrutura de rede.


A rede 192.168.10.0 /24 pode utilizar Telnet para se conectar a 192.168.30.0 /24, mas essa conexão não deve ser permitida. Analise a saída do comando show access-lists e veja se você consegue encontrar uma solução. Onde você aplicaria essa ACL?

Solução – a rede 192.168.10.0 /24 pode utilizar Telnet para se conectar à rede 192.168.30.0 /24, porque o número da porta Telnet na instrução 10 da lista de acesso 130 está listado na posição errada. Atualmente, a instrução 10 nega qualquer origem com um número de porta que seja igual à Telnet que tenta estabelecer uma conexão com qualquer endereço IP. Se quiser negar tráfego de entrada Telnet em S0/0/1, você deve negar o número de porta de destino que seja igual a Telnet, por exemplo, deny tcp any any eq telnet.


O host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, mas essa conexão não deve ser permitida. Analise a saída do comando show access-lists.

Solução – o host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, porque não há regras que neguem o host 192.168.10.10 ou sua rede como a origem. A instrução 10 da lista de acesso 140 nega a interface do roteador da qual o tráfego sairia. No entanto, como esses pacotes saem do roteador, eles têm um endereço de origem 192.168.10.10, e não o endereço da interface do roteador.

Assim como na solução do Erro 2, essa ACL deve ser se aplicada à Fa0/0 de R1 na direção de entrada.


O host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10, mas essa conexão não deve ser permitida. Observe a saída do comando show access-lists e procure o erro.

Solução – o host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10 porque a direção na qual a lista de acesso 150 é aplicada a uma interface em R2 está incorreta. A instrução 10 nega o endereço de origem 192.168.30.12, mas esse endereço só seria a origem se o tráfego fosse de saída em S0/0/0 ou de entrada em S0/0/1.

Exibir meio visual



5.5.1 Listas de controle de acesso básico

Página 1:

Uma parte essencial da segurança de rede é poder controlar que tipo de tráfego está sendo permitido para alcançar a sua rede e de onde esse tráfego está vindo. Este laboratório ensinará como configurar listas de controle de acesso básicas e estendidas e atingir essa meta.

Exibir meio visual

Página 2:





Exibir meio visual

5.5.2 Listas de controle de acesso avançado

Página 1:

No laboratório Lista de controle de acesso básica, você configurou listas de controle de acesso básicas e estendidas pela primeira vez como uma medida de segurança da rede. Neste laboratório, tente configurar a maior segurança de rede possível sem consultar o laboratório Básico. Isso permitirá a você avaliar o quanto aprendeu no laboratório Básico. Quando necessário, verifique o seu trabalho utilizando o laboratório Básico ou a resposta fornecida por seu instrutor.

Exibir meio visual

Página 2:





Exibir meio visual

5.5.3 Identificação e solução de problemas de listas de controle de acesso

Página 1:

Você trabalha para um provedor de serviços regional que recentemente passou por várias falhas na segurança. O seu departamento foi solicitado a proteger os roteadores de borda do cliente para que apenas os PCs de gerenciamento local possam acessar as linhas VTY. Para resolver esse problema, você configurará as ACLs em R2 de forma que as redes diretamente conectadas a R3 não consigam se comunicar com redes diretamente conectadas a R1, mas ainda assim permitam todo o restante do tráfego.

Exibir meio visual


5.6.1 Sumarização

Página 1:

ACL é um script de configuração de roteador que utiliza filtragem de pacote para controlar se um roteador permite ou nega a passagem a pacotes com base nos critérios encontrados no cabeçalho de pacote. As ACLs também são utilizadas para selecionar tipos de tráfego a serem analisados, encaminhados ou processados de outras formas. As ACLs estão entre os objetos mais utilizados no software IOS Cisco.

Há tipos diferentes de ACLs – padrão, estendida, nomeada e numerada. Neste capítulo, você aprendeu a finalidade de cada um desses tipos de ACL e onde elas precisam ser colocadas na sua rede. Você aprendeu a configurar as ACLs em interfaces de entrada e de saída. Os tipos de ACL especiais, dinâmicas, reflexivas e baseadas em tempo, foram descritas. Foram realçadas as diretrizes e as práticas recomendadas para desenvolver ACLs funcionais e efetivas.

Com o conhecimento e as habilidades aprendidas neste capítulo, agora você pode configurar ACLs padrão, estendidas e complexas, além de verificar, identificar e solucionar problemas dessas configurações com confiança, mas com cuidado.

Exibir meio visual

Exibir meio visual

Página 3:

Nesta atividade, você demonstrará a sua capacidade de configurar ACLs que aplicam cinco políticas de segurança. Além disso, você irá configurar o roteamento PPP e OSPF. Os dispositivos já estão configurados com endereçamento IP.




Exibir meio visual




6 Serviços de funcionário remoto



Página 1:

Trabalho remoto é o trabalho longe de um local de trabalho tradicional, geralmente um escritório em casa. As razões para escolher o trabalho remoto são variadas e incluem desde a conveniência pessoal até permitir oportunidades para que funcionários lesionados ou isolados continuem trabalhando durante os períodos de convalescença.

Trabalho remoto é um termo amplo que se refere à condução de um trabalho através da conexão com um local de trabalho a partir de uma localização remota, com a ajuda das telecomunicações. Um trabalho remoto eficiente é possível por causa das conexões de Internet banda larga, redes virtuais privadas (VPN) e tecnologias mais avançadas, incluindo Voice over IP (VoIP, Voz sobre IP) e videoconferência. O trabalho remoto pode economizar o dinheiro que seria gasto em viagens, infra-estrutura e suporte das instalações.

Empresas modernas empregam pessoas que não podem viajar para trabalhar diariamente ou que acreditam que trabalhar em um escritório em casa é mais prático. Essas pessoas, chamadas de funcionários remotos, devem conectar-se à rede da empresa de forma que possam trabalhar em seus escritórios em casa.

Este capítulo explica como as organizações podem fornecer conexões de rede remota seguras, rápidas e confiáveis para os funcionários remotos.

Exibir meio visual

6.1 Requisitos de negócios para serviços de funcionário remoto

6.1.1 Os requisitos de negócios para serviços de funcionário remoto

Página 1:

É cada vez maior o número de empresas que acreditam ser benéfico ter funcionários remotos. Com os avanços nas tecnologias de banda larga e sem fio, trabalhar longe do escritório não apresenta mais os desafios que apresentava no passado. Os funcionários podem trabalhar remotamente quase como se eles estivessem em suas baias ou na sala ao lado. As organizações podem distribuir dados, voz, vídeo e aplicativos em tempo real de modo lucrativo, estendidos em uma única conexão de rede comum por toda sua força de trabalho, não importando o quão remota e espalhada ela esteja.

Os benefícios do trabalho à distância se estendem muito além da capacidade de os negócios renderem lucros. O trabalho à distância afeta a estrutura social das sociedades e pode ter efeitos positivos sobre o ambiente.

Para as operações de negócios do cotidiano, convém ser capaz de manter a continuidade no caso de fatores como clima, tráfego, congestionamento, desastres naturais ou outros eventos imprevisíveis atrapalharem os funcionários de chegar ao local de trabalho. Em uma escala mais ampla, a capacidade dos negócios de prestar mais serviços em todos os

fusos horários e fronteiras internacionais foi enormemente aprimorada utilizando os funcionários remotos. A redução e a terceirização de soluções são mais fáceis de implementar e gerenciar.

De uma perspectiva social, as opções de trabalho remoto aumentam as oportunidades de emprego para diversos grupos, incluindo pais com filhos pequenos, deficientes e pessoas que moram em áreas remotas. Os funcionários remotos desfrutam de um tempo em família com maior qualidade, menor stress causado pelas viagens e, no geral, proporcionam aos seus chefes uma maior produtividade, satisfação e conservação. Na era da mudança de clima, o trabalho remoto é uma outra maneira de as pessoas reduzirem sua emissão de gás carbônico.

Ao criar arquiteturas de rede que suportam uma solução de trabalho remoto, os programadores devem equilibrar os requisitos organizacionais para segurança, gerenciamento de infra-estrutura, escalabilidade e acessibilidade com relação às necessidades práticas dos funcionários remotos para a facilidade de uso, velocidades de conexão e confiabilidade do serviço.

Para permitir que os negócios e os funcionários remotos operem de modo efetivo, nós devemos equilibrar a seleção das tecnologias e criar cuidadosamente os serviços de trabalho à distância.

Exibir meio visual

6.1.2 A solução do funcionário remoto

Página 1:

As organizações precisam de redes seguras, confiáveis e econômicas para conectar as sedes sociais, filiais e fornecedores. Com o número crescente de funcionários remotos, as empresas têm uma necessidade cada vez maior de maneiras seguras, confiáveis e econômicas de conectar-se a pessoas trabalhando em pequenos escritórios e escritórios em casa (small offices, home offices), e outros locais remotos, com recursos nos locais corporativos.

A figura ilustra as topologias de conexão remota que as redes modernas utilizam para conectar-se a locais remotos. Em alguns casos, os locais remotos se conectam somente ao local da sede, enquanto, em outros casos, os locais remotos se conectam a diversos locais. A filial na figura se conecta aos locais da sede e de parceiros, enquanto o funcionário remoto possui uma única conexão com a sede.

Clique no botão Opções na figura.

A figura exibe três tecnologias de conexão remota disponíveis para as que organizações suportem serviços de funcionários remotos:

As tecnologias de Camada 2 de WAN privadas tradicionais, incluindo Frame Relay, ATM e linhas alugadas, fornecem muitas soluções de conexão remota. A segurança destas conexões depende da operadora.

As Redes Virtuais Privadas (VPNs) IPsec oferecem uma conectividade flexível e escalável. As conexões ponto a ponto podem fornecer uma conexão segura, rápida e confiável aos funcionários remotos. Esta é a opção mais comum para os funcionários remotos, combinada com o acesso remoto por banda larga, a fim de estabelecer uma VPN segura sobre a Internet pública. (Um meio menos confiável de conectividade que utiliza a Internet é uma conexão discada.)

O termo banda larga refere-se a sistemas de comunicação avançados capazes de fornecer uma transmissão de serviços de alta velocidade, tais como dados, voz e vídeo, através da Internet e outras redes. A transmissão é fornecida por uma grande variedade de tecnologias, incluindo a DSL (Digital subscriber line, DSL) e a tecnologia de cabo de fibra ótica, cabo coaxial, sem fio e satélite. As velocidades de transmissão de dados do serviço de banda larga geralmente ultrapassam os 200 kilobits por segundo (kbps), ou 200.000 bits por segundo, em pelo menos uma direção: downstream (da Internet para o computador do usuário) ou upstream (do computador do usuário para a Internet).

Este capítulo descreve como cada uma destas tecnologias opera e apresenta algumas das etapas necessárias para assegurar que as conexões de funcionários remotos sejam seguras.

Exibir meio visual

Página 2:

Para conectar-se efetivamente às redes de suas organizações, os funcionários remotos precisam de dois conjuntos principais de componentes: componentes de escritório em casa e componentes corporativos. A opção de adicionar componentes de telefonia IP está se tornando mais comum à medida que as operadoras estendem os serviços de banda larga para mais áreas. Os componentes de Voice over IP (VoIP, Voz sobre IP) e de videoconferência se tornarão, em breve, partes esperadas do conjunto de ferramentas dos funcionários remotos.

Conforme mostrado na figura, o trabalho à distância necessita dos seguintes componentes:

Componentes de escritório em casa - Os componentes necessários de um escritório em casa são um laptop ou computador desktop, acesso de banda larga (cabo ou DSL) e um roteador de VPN ou software de cliente de VPN instalado no computador. Componentes adicionais podem incluir um ponto de acesso sem fio. Ao viajar, os funcionários remotos precisam de uma conexão de Internet e um cliente de VPN para conectar-se à rede corporativa por qualquer conexão discada, de rede ou de banda larga disponível.

Componentes corporativos - Os componentes corporativos são os roteadores habilitados para VPN, concentradores de VPN, mecanismos de segurança multifuncionais, autenticação e dispositivos de gerenciamento centrais para uma agregação e conclusão flexíveis das conexões de VPN.

Normalmente, a prestação de suporte para VoIP e videoconferência exige melhorias para estes componentes. Os roteadores precisam da funcionalidade de Qualidade de Serviço (Quality of Service, QoS). O QoS refere-se à capacidade de uma rede de fornecer um melhor serviço para o tráfego de rede selecionado, conforme necessário para os aplicativos de voz e vídeo. Uma discussão mais aprofundada sobre o QoS está além do escopo deste curso.

A figura mostra um túnel de VPN criptografado que conecta o funcionário remoto à rede corporativa. Este é o coração das conexões seguras e confiáveis do funcionário remoto. Uma VPN é uma rede de dados privada que utiliza a infra-estrutura de telecomunicação pública. A segurança de VPN mantém a privacidade utilizando um protocolo de tunelamento e procedimentos de segurança.

Este curso apresenta o protocolo IPsec (Segurança de IP) como a abordagem escolhida para criar túneis de VPN seguros. Ao contrário das abordagens de segurança anteriores, que aplicam a segurança na camada de Aplicativos do modelo de Interconexão de Sistemas Abertos (OSI), o IPsec funciona na camada de rede ou processamento de pacote.

Exibir meio visual

6.2 Serviços de banda larga

6.2.1 Conectando os funcionários remotos à WAN

Página 1:

Os funcionários remotos geralmente utilizam diversos aplicativos (por exemplo, email, aplicativos da web, aplicativos importantes para o trabalho, colaboração em tempo real, voz, vídeo e videoconferência) que exigem uma conexão com uma largura de banda alta. A escolha da tecnologia de rede de acesso e a necessidade de assegurar uma largura de banda satisfatória são as primeiras considerações a serem feitas ao conectar os funcionários remotos.

As conexões por cabo residencial, DSL e banda larga sem fio são as três opções que fornecem uma largura de banda alta para os funcionários remotos. A baixa largura de banda fornecida por uma conexão de modem discada normalmente não é suficiente, embora seja útil para um acesso móvel durante viagens. Uma conexão discada de modem somente deve ser considerada quando as outras opções não estiverem disponíveis.

Os funcionários remotos precisam de uma conexão a um ISP para acessar a Internet. Os ISPs oferecem diversas opções de conexão. Os principais métodos de conexão utilizados por escritórios em casa e pequenas empresas são:

Acesso discado - Uma opção barata que utiliza qualquer linha telefônica e um modem. Para conectar-se ao ISP, um usuário liga para o número de telefone de acesso ISP. A conexão discada é a opção de conexão mais lenta, utilizada geralmente por funcionários móveis em áreas onde não estão disponíveis opções de conexão de velocidade mais alta.

DSL - Normalmente mais caro que a discada, mas proporciona uma conexão mais rápida. A conexão DSL também utiliza linhas telefônicas, mas, diferentemente do acesso discado, ele fornece uma conexão contínua com a Internet. O DSL utiliza um modem de alta velocidade especial que separa o sinal de DSL do sinal de telefone e fornece uma conexão Ethernet com um computador host ou rede local.

Modem a cabo - Oferecido por provedores de serviços de televisão a cabo. O sinal de Internet é levado no mesmo cabo coaxial que leva a televisão a cabo. Um modem a cabo especial separa o sinal da Internet dos outros sinais levados no cabo e fornece uma conexão Ethernet com um computador host ou rede local.

Satélite - Oferecido por provedores de serviços de satélite. O computador é conectado através da Ethernet a um modem de satélite que transmite sinais de radiofreqüência ao ponto de presença (point of presence, POP) mais próximo dentro da rede de satélite.

Nesta seção, você aprenderá como os serviços de banda larga, tais como o DSL, cabo e conexão de banda larga sem fio, estendem as redes da empresa para permitir o acesso dos funcionários remotos.

Exibir meio visual

6.2.2 Cabo

Página 1:

Acessar a Internet por uma rede a cabo é uma opção popular utilizada pelos funcionários remotos para acessar a rede de sua empresa. O sistema a cabo utiliza um cabo coaxial que leva os sinais de freqüência de rádio (RF) através da rede. O cabo coaxial é o primeiro meio utilizado para criar sistemas de TV a cabo.

A televisão a cabo surgiu na Pensilvânia em 1948. John Walson, o proprietário de uma loja de eletrodomésticos em uma pequena cidade montanhesca, precisava resolver problemas de recepção pelos quais seus clientes passavam ao tentar receber sinais de TV da Filadélfia pelas montanhas. Walson ergueu uma antena em um poste de eletricidade no topo de uma montanha que permitiu que ele demonstrasse as televisões em sua loja com broadcasts provenientes das três estações da Filadélfia. Ele conectou a antena à sua loja de eletrodomésticos por um cabo e modificou os otimizadores de sinal. Em seguida, ele conectou diversos clientes seus que estavam localizados pelo caminho do cabo. Este foi o primeiro sistema de televisão de antena comunitária (CATV, community antenna television) nos Estados Unidos.

A empresa de Walson cresceu ao longo dos anos e ele ficou conhecido como o fundador da indústria de televisão a cabo. Ele também foi o primeiro operador de cabo a utilizar microondas para importar estações de televisão distantes, o primeiro a utilizar o cabo coaxial para aprimorar a qualidade da imagem e o primeiro a distribuir a programação de televisão paga.

A maioria das operadoras a cabo utilizam antenas parabólicas para reunir os sinais de TV. No início, os sistemas eram unidirecionais, com amplificadores em cascata colocados em série ao longo da rede para compensar a perda de sinal. Estes sistemas utilizavam grampos para juntar os sinais de vídeo dos troncos principais para as casas dos assinantes por meio dos cabos de derivação.

Os sistemas de cabo modernos fornecem uma comunicação bidirecional entre os assinantes e o operador de cabo. As operadores a cabo oferecem agora serviços de

telecomunicações avançados, incluindo acesso de alta velocidade à Internet, televisão a cabo digital e serviço de telefone residencial. As operadoras a cabo geralmente implantam redes coaxiais de fibra híbrida (HFC) para permitir uma transmissão de dados de alta velocidade para os modems a cabo localizados em um escritório em casa.

A figura ilustra os componentes de um típico sistema a cabo moderno.

Passe o mouse sobre cada componente na figura para ver uma descrição sobre o que eles fazem.

Exibir meio visual

Página 2:

O espectro eletromagnético abrange uma grande variedade de freqüências.

A frequência é a taxa na qual os ciclos (ou voltagem) atuais ocorrem, computada como o número de "ondas" por segundo. Comprimento de onda é a velocidade de propagação do sinal eletromagnético dividida por sua freqüência em ciclos por segundo.

As ondas de rádio, geralmente chamadas de RF, constituem uma parte do espectro eletromagnético entre aproximadamente 1 quilohertz (kHz) e 1 terahertz. Quando os usuários ajustam um rádio ou TV para localizar diferentes estações de rádio ou canais de TV, eles estão ajustando diferentes freqüências eletromagnéticas por esse espectro de RF. O mesmo princípio se aplica ao sistema a cabo.

A indústria da TV a cabo utiliza uma parte do espectro eletromagnético de RF. Dentro do cabo, freqüências diferentes levam canais de TV e dados. Na extremidade do assinante, equipamentos como TVs, VCRs e conversores de TVs de alta definição são ajustados para determinadas freqüências que permitem que o usuário veja o canal ou, utilizando um modem a cabo, tenha acesso à Internet de alta velocidade.

Uma rede a cabo é capaz de transmitir sinais no cabo em ambas as direções ao mesmo tempo. Utiliza-se o seguinte escopo de freqüência:

Downstream - A direção de uma transmissão de sinal RF (canais de TV e dados) da origem (headend) para o destino (assinantes). A transmissão da origem para o destino é chamada de caminho de encaminhamento (forward path). As freqüências downstream estão no intervalo de 50 a 860 megahertz (MHz).

Upstream - A direção da transmissão de sinal RF dos assinantes para o headend, retorno ou caminho reverso. As freqüências de upstream estão no intervalo de 5 a 42 MHz.

Exibir meio visual

Página 3:

O DOCSIS (Data-over-Cable Service Interface Specification, Especificação de Interface de Serviço de Dados sobre Cabo) é um padrão internacional desenvolvido pela CableLabs, um consórcio de pesquisa e desenvolvimento sem fins lucrativos para as tecnologias relacionadas a cabo. A CableLabs testa e certifica os dispositivos de fornecedores de equipamento a cabo, como modems a cabo e sistemas de terminação de modem a cabo, e concede o status de certificado ou qualificado pela DOCSIS.

A DOCSIS define os requisitos de interface de suporte de comunicações e operação para um sistema de dados a cabo e permite a adição de transferência de dados de alta velocidade a um sistema de CATV existente. As operadoras a cabo empregam a DOCSIS para fornecer acesso à Internet através de sua infra-estrutura coaxial de fibra híbrida (HFC) existente.

A DOCSIS especifica os requisitos de OSI de Camadas 1 e 2:

Camada física - Para os sinais de dados que a operadora a cabo pode utilizar, a DOCSIS especifica as larguras de canal (larguras de banda de cada canal) como 200 kHz, 400 kHz, 800 kHz, 1,6 MHz, 3,2 MHz e 6,4 MHz. A DOCSIS também especifica as técnicas de modulação (o modo de utilizar o sinal RF para comunicar os dados digitais).

Camada MAC - Define um método de acesso determinístico: método de acesso múltiplo por divisão de tempo (Time-division multiple access, TDMA) ou método de acesso múltiplo por divisão de código síncrono (Synchronous code division multiple access, S-CDMA).

Para compreender os requisitos de camada MAC para a DOCSIS, convém explicar como as diversas tecnologias de comunicação dividem o acesso por canal. O TDMA divide o acesso por tempo. O acesso múltiplo de divisão por freqüência (Frequency-division multiple access, FDMA) divide o acesso por freqüência. O acesso múltiplo por

divisão de código (CDMA) emprega uma tecnologia de amplo espectro e um esquema de codificação especial nos quais cada transmissor recebe um código específico.

Uma analogia que ilustra estes conceitos começa com uma sala representando um canal. A sala está cheia de pessoas que precisam falar umas com as outras. Em outras palavras, elas precisam de um acesso ao canal. Uma solução é permitir que as pessoas falem em turnos (divisão por tempo). Outra solução é que cada pessoa fale em tons diferentes (divisão por freqüência). Em CDMA, eles falariam em idiomas diferentes. Pessoas falando no mesmo idioma podem se entender, mas não as outras pessoas. Em CDMA de rádio, utilizado por muitas redes de telefonia celular norte-americanas, cada grupo de usuários possui um código compartilhado. Muitos códigos ocupam o mesmo canal, mas somente os usuários associados com um código específico podem se entender. O S-CDMA é uma versão proprietária de CDMA desenvolvida pela Terayon Corporation para a transmissão de dados através de redes por cabo coaxial. O S-CDMA espalha os dados digitais para ambas as direções com uma ampla banda de freqüência e permite que vários assinantes conectados à rede transmitam e recebam dados simultaneamente. O S-CDMA é seguro e extremamente resistente a ruídos.

Os planos para bandas de alocação de freqüência diferem entre os sistemas a cabo norte-americanos e europeus. O Euro-DOCSIS é adaptado para ser utilizado na Europa. As principais diferenças entre o DOCSIS e o Euro-DOCSIS estão relacionadas às larguras de banda do canal. Os padrões técnicos de TV variam pelo mundo, o que afeta o modo como as variantes de DOCSIS se desenvolvem. Os padrões de TV internacionais incluem o NTSC na América do Norte e em partes do Japão; PAL na maior parte da Europa, Ásia, África, Austrália, Brasil e Argentina, e o SECAM na França e em alguns países da Europa oriental.

Mais informações estão disponíveis nos seguintes sites:

Sobre o DOCSIS: http://www.cablemodem.com/specifications Sobre o Euro-DOCSIS: http://www.eurocablelabs.com

Exibir meio visual

Página 4:

Prestar serviços através de uma rede a cabo exige diferentes freqüências de rádio. As freqüências downstream estão na faixa de 50 a 860 MHz, e as freqüências upstream estão no intervalo de 5 a 42 MHz.

São necessários dois tipos de equipamento para enviar sinais de modem digitais upstream e downstream em um sistema a cabo:

O sistema de terminação de modem por cabo (Cable modem termination system, CMTS) no headend da operadora a cabo

Modem a cabo (CM) na extremidade do assinante

Passe o mouse sobre os componentes na figura e observe a função que cada um desempenha.

Um CMTS de headend comunica-se com os CMs localizados nas casas dos assinantes. O headend é, na verdade, um roteador com bancos de dados para prestar serviços na Internet para assinantes a cabo. A arquitetura é relativamente simples, utilizando uma rede coaxial ótica combinada na qual a fibra ótica substitui a rede coaxial com a menor largura de banda.

Uma malha de cabos de tronco de fibra conecta o headend aos nós onde ocorre a conversão de sinal ótico para sinal RF. A fibra leva o mesmo conteúdo de banda larga para as conexões de Internet, serviço de telefonia e fluxo de vídeo que o cabo coaxial leva. Os cabos alimentadores coaxiais são originados do nó que leva os sinais de RF aos assinantes.

Em uma rede HFC moderna, são conectados geralmente 500 a 2.000 assinantes de dados ativos a um segmento de rede a cabo, todos compartilhando a largura de banda upstream e downstream. A largura de banda real para o serviço de Internet por uma linha de CATV pode ser de até 27 Mb/s no caminho de download para o assinante e de aproximadamente 2,5 Mb/s de largura de banda no caminho de carregamento. Baseado na arquitetura de rede a cabo, nas práticas de aprovisionamento do operador de cabo e na carga de tráfego, um assinante individual pode obter, normalmente, uma velocidade de acesso entre 256 kb/s e 6 Mb/s.

Quando ocorre um congestionamento da rede devido ao excesso de uso, a operadora a cabo pode colocar uma largura de banda adicional para obter serviços de dados alocando um canal de TV adicional para dados de alta velocidade. Esta adição pode dobrar efetivamente a largura de banda de downstream disponível para os assinantes. Outra opção é reduzir o número de assinantes atendidos por cada segmento de rede.

Para reduzir o número de assinantes, a operadora a cabo realiza mais uma divisão na rede colocando as conexões de fibra ótica mais próximas e mais profundas na vizinhança.

Exibir meio visual

6.2.3 DSL

Página 1:

O DSL é um meio de fornecer conexões de alta velocidade através de fios de cobre instalados. Nesta seção, nós observamos o DSL como uma das principais soluções disponíveis para o funcionário remoto.

Há muitos anos, a Bell Labs identificou que uma conversação de voz típica através de um loop local exigia uma largura de banda de somente 300 Hz a 3 kHz. Por muitos anos, as redes de telefonia não utilizaram uma largura de banda acima de 3 kHz. Os avanços na tecnologia permitiram que o DSL utilizasse uma largura de banda adicional de 3 kHz até 1 MHz para fornecer os serviços de dados de alta velocidade através das linhas de cobre comuns.

Por exemplo, o DSL assimétrico (ADSL) utiliza um intervalo de freqüência de aproximadamente 20 kHz a 1 MHz. Felizmente, são necessárias somente pequenas mudanças na infra-estrutura das empresas de telefonia existentes para fornecer os dados da largura de banda alta aos assinantes. A figura mostra uma representação da alocação do espaço de largura de banda em um fio de cobre para ADSL. A área azul identifica o intervalo de freqüência utilizado pelo serviço de telefonia de grau de voz, geralmente chamado de serviço de telefone antigo simples (Plain old telephone service, POTS). Os outros espaços coloridos representam o espaço de freqüência utilizado pelos sinais DSL de upstream e downstream.

Os dois tipos básicos de tecnologias DSL são assimétricos (ADSL) e simétricos (SDSL). Todas as formas de serviço DSL são classificadas como ADSL ou SDSL, e existem diversas variedades de cada tipo. O ADSL fornece uma maior largura de banda de downstream do que largura de banda de carregamento para o usuário. O SDSL fornece a mesma capacidade em ambas as direções.

As diferentes variedades de DSL fornecem larguras de banda diferentes, algumas com recursos que excedem os recursos de uma linha alugada T1 ou E1. As taxas de transferência são dependentes do comprimento real do loop local e do tipo e condição

de seu cabeamento. Para obter um serviço satisfatório, o loop deve ter menos do que 5,5 quilômetros (3,5 milhas).

Exibir meio visual

Página 2:

As operadoras implantam as conexões DSL na última etapa de uma rede de telefonia local, chamada de loop local ou última milha. A conexão é configurada entre um par de modems em qualquer extremidade de um fio de cobre que se estende entre o CPE (Customer premises equipment, Equipamento do usuário) e o DSLAM (Digital subscriber line access multiplexer, Multiplexador de acesso à linha digital do assinante). Um DSLAM é o dispositivo localizado no escritório central (Central office, CO) da operadora e concentra as conexões de diversos assinantes de DSL.

Clique no botão Conexões DSL na figura.

A figura mostra o principal equipamento necessário para fornecer uma conexão de DSL com um escritório em casa. Os dois componentes principais são o transceiver DSL e o DSLAM:

Transceiver - Conecta o computador do funcionário remoto ao DSL. Normalmente o transceiver é um modem DSL conectado ao computador utilizando um cabo USB ou Ethernet. Os transceivers DSL mais novos podem ser integrados em roteadores pequenos com portas de switch 10/100 múltiplas, adequadas para serem usadas no escritório em casa.

DSLAM - Situado no CO da operadora, o DSLAM combina as conexões DSL individuais de usuários em um link da alta capacidade para um ISP e, desse modo, para a Internet.

Clique no botão Roteador DSL e DSLAM na figura.

A vantagem que o DSL tem sobre a tecnologia a cabo é que o DSL não é um meio compartilhado. Cada usuário tem uma conexão direta separada para o DSLAM. A adição de usuários não impede o desempenho, a menos que a conexão da Internet do DSLAM para o ISP, ou a Internet, fique saturada.

Exibir meio visual

O principal benefício do ADSL é a capacidade de fornecer serviços de dados junto com serviços de voz POTS.

Quando a operadora coloca a voz analógica e o ADSL no mesmo fio, a operadora divide os canais POTS do modem ADSL utilizando filtros ou separadores. Esta configuração garante um serviço de telefonia regular ininterrupto mesmo se o ADSL falhar. Quando os filtros ou separadores estiverem posicionados, o usuário pode utilizar a linha telefônica e a conexão ADSL simultaneamente, sem efeitos adversos em qualquer serviço.

Os sinais ADSL distorcem a transmissão de voz e são divididos ou filtrados no equipamento do cliente. Existem duas maneiras de separar o ADSL da voz no equipamento do cliente, utilizando um microfiltro ou um separador.

Um microfiltro é um filtro de baixa passagem passivo com duas extremidades. Uma extremidade se conecta ao telefone e a outra se conecta à tomada do telefone. Esta solução elimina a necessidade de um técnico visitar o local e permite que o usuário utilize qualquer tomada na casa para voz ou serviço ADSL.

Os separadores POTS separam o tráfego DSL do tráfego POTS. O separador POTS é um dispositivo passivo. No caso de uma falha de energia, o tráfego de voz ainda vai para o switch de voz no CO da operadora. Os separadores estão localizados no CO e, em algumas implantações, no equipamento do cliente. No CO, o separador de POTS separa o tráfego de voz, destinado às conexões POTS, e o tráfego de dados destinado ao DSLAM.

A figura mostra o loop local terminando no equipamento do cliente no ponto de demarcação. O dispositivo real é o dispositivo de interface de rede (NID, Network interface device). Este ponto é normalmente onde a linha telefônica entra no equipamento do cliente. Neste momento, um separador pode ser anexado à linha telefônica. O separador bifurca a linha telefônica: uma ponta fornece a instalação elétrica de telefone original para os telefones e a outra ponta se conecta ao modem ADSL. O separador age como um filtro de baixa passagem, permitindo que somente as freqüências de 0 a 4 kHz passem para o telefone ou saiam dele. Instalar o separador POTS ao NID geralmente significa que um técnico deve ir para o local do cliente.

Devido a este trabalho e suporte técnico adicional, a maioria das instalações em casa utilizam hoje microfiltros, conforme mostrado na figura. O uso de microfiltros também apresenta a vantagem de fornecer uma conectividade mais ampla em toda a residência. Considerando que o separador POTS separa os sinais ADSL e de voz no NID, normalmente existe somente uma saída ADSL disponível na casa.

Clique no botão Microfiltros na figura.

A figura mostra um layout de DSL de escritório em casa típico utilizando microfiltros. Nesta solução, o usuário pode instalar microfiltros de linha em cada telefone, ou instalar microfiltros embutidos na parede no lugar de tomadas de telefone normais. Ao passar o mouse sobre os microfiltros no gráfico, serão mostradas fotos de produtos da Cisco.

Clique no botão Separador na figura.

Se a operadora instalasse um separador, ele seria colocado entre o NID e o sistema de distribuição telefônica interno. Um fio iria diretamente para o modem DSL e o outro levaria o sinal de voz aos telefones. Ao passar o mouse sobre a caixa de separador no gráfico, um esquema de instalação elétrica típico será revelado.

Exibir meio visual

6.2.4 Banda larga sem fio

Página 1:

O acesso de banda larga por ADSL ou cabo proporciona aos funcionários remotos conexões mais rápidas do que a discada, mas, até recentemente, os PCs de escritório em casa tinham que conectar-se a um modem ou um roteador pelo cabo (Ethernet) Cat 5. Os sistemas de rede sem fio, ou Wi-Fi (wireless fidelity), aprimoraram esta situação, não somente no escritório em casa, mas também nos diversos prédios de empresas.

Utilizando os padrões de rede 802.11, os dados viajam de local para local em ondas de rádio. O que torna o sistema de rede 802.11 relativamente fácil de implantar é que ele utiliza o espectro de rádio não licenciado para enviar e receber os dados. A maioria das transmissões de rádio e TV são reguladas pelo governo e exigem uma licença de uso.

A partir de 2007, os fabricantes de computador iniciaram a criação de adaptadores de rede sem fio na maioria dos laptops. Como o preço dos chipsets para Wi-Fi continua caindo, ele está se tornando uma opção de sistema de rede muito econômica também para computadores desktop.

Os benefícios do Wi-Fi estão além de não ter de utilizar ou instalar conexões de rede com fios. O sistema de rede sem fio fornece mobilidade. As conexões sem fio fornecem maior flexibilidade e produtividade ao funcionário remoto.

Exibir meio visual

Página 2:

Até recentemente, havia a necessidade de uma limitação significativa do acesso sem fio para estar dentro do intervalo de transmissão local (geralmente menos que 100 pés) de um roteador para rede sem fio ou ponto de acesso sem fio que possuísse uma conexão conectada por fios com a Internet. Quando um trabalhador deixava o escritório ou casa, o acesso sem fio não estava prontamente disponível.

Porém, com os avanços na tecnologia, o alcance das conexões sem fio foi estendido. O conceito de hotspots aumentou o acesso a conexões sem fio pelo mundo. Um hotspot é a área coberta por um ou mais pontos de acesso interconectados. Locais de concentração de público, como cafés, parques e bibliotecas, criaram hotspots de Wi-Fi, esperando aumentar os negócios. Ao sobrepor os pontos de acesso, os hotspots podem abranger muitas milhas quadradas.

Novos desenvolvimentos em tecnologia de banda larga sem fio estão aumentando a disponibilidade sem fio. São alguns deles:

Wi-Fi municipal WiMAX Internet por satélite

Os governos municipais também se juntaram à revolução Wi-Fi. As cidades estão implantando redes municipais sem fio, trabalhando geralmente com operadoras. Algumas dessas redes fornecem acesso à Internet de alta velocidade sem custos ou por

um preço consideravelmente menor do que o de outros serviços de banda larga. Outras cidades reservam suas redes Wi-Fi para uso oficial, fornecendo à polícia, aos bombeiros e aos funcionários públicos um acesso remoto à Internet e a redes municipais.

Clique no botão Único roteador na figura.

A figura mostra uma implantação doméstica típica utilizando um único roteador para rede sem fio. Esta implantação utiliza o modelo hub-and-spoke. Se o único roteador para rede sem fio falhar, toda a conectividade é perdida. Passe seu mouse sobre a caixa de texto.

Clique no botão Malha na figura.

A maioria das redes municipais sem fio utiliza uma topologia em malha em vez de um modelo hub-and-spoke. Uma malha é uma série de pontos de acesso (transmissores de rádio), como mostrado na figura. Cada ponto de acesso está no intervalo e pode comunicar-se com pelo menos dois outros pontos de acesso. A malha cobre sua área com sinais de radiofreqüência. Os sinais viajam de ponto de acesso para ponto de acesso por esta nuvem.

Uma rede em malha possui diversas vantagens sobre os hotspots de único roteador. A instalação é mais fácil e pode ser mais barata porque existem menos fios. A implantação sobre uma área urbana grande é mais rápida. De um ponto de vista operacional, ela é mais confiável. No caso de falha de um nó, outros nós na malha compensarão.

Clique no botão WiMAX na figura.

O WiMAX (Interoperabilidade Mundial para Acesso Microondas, Worldwide Interoperability for Microwave Access) é a tecnologia de telecomunicações destinada a fornecer dados sem fio por longas distâncias em uma variedade de modos, de links de ponto a ponto até o acesso de tipo de celular móvel completo. O WiMAX opera em velocidades mais altas, sobre maiores distâncias e para um maior número de usuários que o Wi-Fi. Devido a sua maior velocidade (largura de banda) e preços de componentes em queda, prevê-se que o WiMAX suplantará em breve as redes de malha municipais para implantações sem fio.

Uma rede WiMAX consiste em dois componentes principais:

Uma torre que é semelhante em conceito a uma torre de telefonia celular. Uma torre de WiMAX única pode fornecer cobertura para uma área de 3.000 milhas quadradas, ou quase 7.500 quilômetros quadrados.

Um receptor de WiMAX, semelhante em tamanho e forma a uma placa de PCMCIA, ou incorporado a um laptop ou outro dispositivo sem fio.

Uma estação de torre WiMAX se conecta diretamente à Internet utilizando uma conexão de largura de banda alta (por exemplo, uma linha de T3). Uma torre também pode conectar-se a outras torres de WiMAX utilizando os links de microondas de linha de visão. O WiMAX é capaz, dessa forma, de abranger áreas rurais fora do alcance do cabo de "última milha" e tecnologias de DSL.

Clique no botão Satélite na figura.

Os serviços de Internet por Satélite são utilizados em locais em que o acesso à Internet por terra não está disponível, ou para instalações temporárias que se movem continuamente. O acesso à Internet utilizando satélites está disponível mundiamente, inclusive para embarcações no mar, aviões em vôo e veículos em movimento por terra.

Existem três maneiras de conectar-se à Internet utilizando satélites: multicast unidirecional, retorno terrestre unidirecional e bidirecional.

Os sistemas de Internet por satélite de multicast unidirecional são utilizados para distribuição de dados, áudio e vídeo por multicast IP. Embora a maioria dos protocolos IP exijam uma comunicação bidirecional, para o conteúdo da Internet, incluindo páginas da web, os serviços de internet por satélite unidirecional podem ser páginas enviadas para armazenamento local em instalações de usuários finais pela Internet por satélite. Não é possível obter uma interatividade completa.

Os sistemas de internet por satélite de retorno terrestre unidirecional utilizam acesso discado tradicional para enviar dados de saída por um modem e receber downloads do satélite.

A Internet por satélite bidirecional envia dados de locais remotos por meio de um satélite para um hub, o qual envia os dados para a Internet. A antena

parabólica em cada local deve ser precisamente posicionada para evitar uma interferência com outros satélites.

A figura ilustra um satélite de sistema de internet bidirecional. As velocidades de upload são de aproximadamente um décimo da velocidade de download, que está na faixa de 500 kb/s.

O principal requisito de instalação é que a antena tenha uma visão clara em direção ao equador, onde a maioria dos satélites em órbita estão estacionados. Árvores e chuvas fortes podem afetar a recepção dos sinais.

A Internet por satélite bidirecional utiliza a tecnologia de multicast IP, que permite que um satélite sirva a até 5.000 canais de comunicação simultaneamente. O multicast IP envia dados de um ponto para muitos pontos ao mesmo tempo enviando dados em um formato compactado. A compactação reduz o tamanho dos dados e a largura de banda.

Exibir meio visual

Página 3:

O sistema de rede sem fio obedece a uma variedade de padrões que os roteadores e os receptores utilizam para comunicar-se entre si. Os padrões mais comuns estão incluídos no padrão de rede local sem fio IEEE 802.11 (WLAN, wireless local area network), que abrange as bandas do espectro (não licenciado) público de 5 GHz e 2,4 GHz.

Os termos 802.11 e Wi-Fi parecem intercambiáveis, mas isso está incorreto. Wi-Fi é uma certificação de interoperabilidade orientada para a indústria baseada em um subconjunto de 802.11. A especificação de Wi-Fi surgiu pois a demanda do mercado levou a Wi-Fi Alliance a começar a certificar os produtos antes de as emendas ao padrão 802.11 serem concluídas. O padrão 802.11, desde então, alcançou e ultrapassou o Wi-Fi.

Do ponto de vista dos funcionários remotos, as abordagens de acesso mais populares para a conectividade são as definidas nos protocolos IEEE 802.11b e IEEE 802.11g. Originalmente, a segurança era intencionalmente fraca nestes protocolos por causa dos requisitos de exportação restritos de diversos governos. O padrão mais recente, 802.11n, é uma emenda proposta integrada nos padrões 802.11 anteriores, adicionando entradas múltiplas e saídas múltiplas (multiple-input multiple-output, MIMO).

O padrão 802.16 (ou WiMAX) permite transmissões de até 70 Mb/s e possui um intervalo de até 30 milhas (50 km). Ele pode operar em bandas licenciadas ou não licenciadas do espectro de 2 a 6 GHz.

Exibir meio visual

Página 4:

Nesta atividade, você demonstrará a sua capacidade de adicionar dispositivos de banda larga e conexões ao Packet Tracer. Embora não possa configurar DSL e modems a cabo, você pode simular uma conectividade fim-a-fim para dispositivos de funcionário remoto.




Exibir meio visual

6.3 Tecnologia de VPN

6.3.1 VPNs e seus benefícios

Página 1:

A Internet é uma rede IP mundial, publicamente acessível. Por causa de sua vasta proliferação global, ela se tornou um modo atraente de interconectar locais remotos. Porém, o fato de ela ser uma infra-estrutura pública expõe as empresas e suas redes internas a riscos de segurança. Felizmente, a tecnologia de VPN permite que as organizações criem redes privadas sobre a infra-estrutura de Internet pública que mantêm a confidencialidade e a segurança.

As organizações utilizam as VPNs para fornecer uma infra-estrutura de WAN virtual que conecta as filiais, os escritórios em casa, os locais de parceiros de negócios e os

funcionários remotos a toda sua rede corporativa ou à parte dela. Para que permaneça privado, o tráfego é criptografado. Em vez de utilizar uma conexão de Camada 2 dedicada, tal como uma linha alugada, uma VPN utiliza conexões virtuais que são roteadas pela Internet.

Foi apresentada, no início deste curso, uma analogia que envolvia conseguir bilhetes com prioridade para um show em estádio. Uma extensão para essa analogia ajudará a explicar como uma VPN funciona. Imagine o estádio como um local público da mesma maneira que a Internet é um local público. Quando o show acaba, o público sai pelos corredores e saídas públicas, esbarrando-se e empurrando-se uns aos outros ao longo do caminho. Pequenos roubos são ameaças pelas quais se pode passar.

Imagine como os artistas saem. Seus seguranças juntam seus braços e formam cordões pela multidão e protegem as celebridades desses empurrões e esbarrões. De fato, estes cordões formam túneis. As celebridades são levadas através de túneis até suas limusines, que os levam protegidos aos seus destinos. Esta seção descreve como as VPNs funcionam dessa mesma maneira, empacotando os dados e movendo-os seguramente pela Internet através de túneis protetores. É essencial compreender a tecnologia de VPN para ser capaz de implementar serviços seguros de funcionário remoto em redes de empresa.

Analogia: cada rede local é uma ilha

Utilizaremos outra analogia para ilustrar o conceito de VPN de um ponto de vista diferente. Imagine que você vive em uma ilha em um oceano enorme. Existem milhares de outras ilhas ao seu redor, algumas muito próximas e outras mais distantes. O modo normal de viajar é levar uma barca de sua ilha para qualquer ilha que você deseje visitar. Viajar em uma barca significa que você não tem quase nenhuma privacidade. Qualquer coisa que você fizer pode ser visto por outra pessoa.

Suponha que cada ilha representa uma rede local privada e que o oceano é a Internet. Viajar pela barca é semelhante a quando você se conecta a um servidor web ou a outro dispositivo pela Internet. Você não tem controle sobre os fios e os roteadores que compõem a Internet, assim como você não tem nenhum controle sobre as outras pessoas na barca. Isto o deixa vulnerável a problemas de segurança caso você tente conectar-se entre duas redes privadas utilizando um recurso público.

Sua ilha decide construir uma ponte para outra ilha de forma que haja um modo mais fácil, mais seguro e direto de as pessoas viajarem entre as duas. A construção e a manutenção da ponte são caras, mesmo que a ilha para a qual você está se conectando seja muito próxima. Mas a necessidade de um caminho confiável e seguro é tão grande que você a constrói mesmo assim. Sua ilha gostaria de conectar-se a uma segunda ilha que está muito mais distante, mas você decide que isso sairá muito caro.

Esta situação é muito parecida com ter uma linha alugada. As pontes (linhas alugadas) estão separadas do oceano (Internet), mas, ainda assim, elas podem conectar as ilhas (redes locais). Muitas empresas escolheram esta rota por causa da necessidade de segurança e confiabilidade na conexão de seus escritórios remotos. Entretanto, se os escritórios forem muito distantes, o custo poderá ser proibitivamente alto - assim como tentar criar uma ponte que atravessa uma grande distância.

Desse modo, como a VPN se ajusta a esta analogia? Nós poderíamos dar a cada habitante das ilhas seu próprio submarino pequeno com estas propriedades:

Rápido Fácil de levar com você onde você for Capaz de escondê-lo completamente de qualquer outro barco ou submarino Confiável Poucos custos para adicionar submarinos à sua frota depois que o primeiro for

comprado

Embora eles estejam viajando no oceano junto com outro tráfego, os habitantes de nossas duas ilhas poderiam viajar de um lado para o outro sempre que desejassem, com privacidade e segurança. É essencialmente dessa maneira que uma VPN funciona. Cada membro remoto de sua rede pode comunicar-se de uma maneira segura e confiável utilizando a Internet como o meio para conectar-se à rede local privada. Uma VPN pode crescer a fim de acomodar mais usuários e locais diferentes de forma muito mais fácil do que uma linha alugada. Na realidade, a escalabilidade é uma vantagem principal que as VPNs têm sobre as linhas alugadas comuns. Diferente das linhas alugadas, onde o custo aumenta proporcionalmente às distâncias envolvidas, as localizações geográficas de cada escritório pouco importam na criação de uma VPN.

Exibir meio visual

Página 2:

As organizações que utilizam VPNs beneficiam-se de um aumento na flexibilidade e na produtividade. Locais e funcionários remotos podem conectar-se de modo seguro à rede corporativa de quase qualquer lugar. Os dados em uma VPN são criptografados e tornam-se indecifráveis a qualquer um que não tenha permissão para fazê-lo. As VPNs trazem hosts remotos para dentro do firewall, dando-lhes quase os mesmos níveis de acesso para os dispositivos de rede como se eles estivessem em um escritório corporativo.

A figura mostra as linhas alugadas em vermelho. As linhas azuis representam as conexões baseadas em VPN. Considere estes benefícios ao utilizar as VPNs:

Economia de custo - As organizações podem utilizar um transporte de Internet econômico e externo para conectar escritórios remotos e usuários ao site corporativo principal. Isto elimina links de WAN dedicados caros e bancos de modem. Utilizando a banda larga, as VPNs reduzem os custos de conectividade ao mesmo tempo em que aumentam a largura de banda de conexão remota.

Segurança - Criptografia e protocolos de autenticação avançados protegem os dados de acessos não autorizados.

Escalabilidade - As VPNs utilizam a infra-estrutura de Internet dentro dos ISPs e operadoras, facilitando a adição de novos usuários pelas organizações. As organizações, grandes e pequenas, podem adicionar uma grande quantidade de capacidade sem adicionar uma infra-estrutura significativa.

Exibir meio visual

6.3.2 Tipos de VPNs

Página 1:

As organizações utilizam as VPNs ponto a ponto a fim de conectar locais espalhados da mesma maneira que uma linha alugada ou conexão de Frame Relay é utilizada. Como a maioria das organizações agora têm acesso à Internet, é conveniente tirar proveito dos benefícios das VPNs ponto a ponto. Conforme ilustrado na figura, as VPNs ponto a ponto também suportam intranets de empresas e extranets de parceiros de negócios.

Com efeito, uma VPN ponto a ponto é uma extensão de um sistema de rede WAN clássico. As VPNs ponto a ponto conectam redes inteiras umas às outras. Por exemplo, elas podem conectar uma rede de filial a uma rede da sede da empresa.

Em uma VPN ponto a ponto, os hosts enviam e recebem o tráfego de TCP/IP através de um gateway de VPN que pode ser um roteador, dispositivo de firewall PIX ou um Mecanismo de Segurança Adaptável (ASA). O gateway de VPN é responsável por encapsular e criptografar o tráfego de saída para todo o tráfego de um local específico e por enviá-lo por um túnel de VPN sobre a Internet para um gateway de VPN de mesmo nível no local designado. Ao receber, o gateway de VPN de mesmo nível retira os cabeçalhos, descriptografa o conteúdo e retransmite o pacote para o host designado dentro de sua rede privada.

Exibir meio visual

Página 2:

Os usuários móveis e funcionários à distância utilizam amplamente as VPNs de acesso remoto. No passado, as corporações suportavam os usuários remotos utilizando redes discadas. Acessar a corporação geralmente envolvia uma chamada de longa distância e tarifas de interurbano.

A maioria dos funcionários remotos agora tem acesso à Internet de suas casas e pode estabelecer VPNs remotas utilizando conexões de banda larga. Da mesma forma, um funcionário móvel pode fazer uma chamada local para um ISP local a fim de acessar a corporação pela Internet. De fato, isto marca uma evolução em redes discadas. As VPNs de acesso remoto podem suportar as necessidades dos funcionários à distância, usuários móveis, bem como extranet para transações de comércio eletrônico.

Em uma VPN de acesso remoto, cada host geralmente possui um software de cliente de VPN. Sempre que o host tenta enviar algum tráfego, o software de cliente de VPN encapsula e criptografa esse tráfego antes de enviá-lo pela Internet para o gateway de VPN na extremidade da rede designada. Ao receber, o gateway de VPN trata os dados da mesma maneira que trataria os dados de uma VPN ponto a ponto.

Exibir meio visual

6.3.3 Componentes da VPN

Página 1:

Uma VPN cria uma rede privada sobre uma infra-estrutura de rede pública enquanto mantém a confidencialidade e a segurança. As VPNs utilizam protocolos de tunelamento criptográfico para fornecer proteção contra detecção de pacotes, autenticação de remetentes e integridade da mensagem.

A figura ilustra uma topologia de VPN típica. Os componentes necessários para estabelecer esta VPN incluem:

Uma rede existente com servidores e estações de trabalho Uma conexão com a Internet Gateways de VPN, tais como roteadores, firewalls, concentradores de VPN e

ASAs, que agem como pontos de extremidade para estabelecer, gerenciar e controlar as conexões de VPN

Software apropriado para criar e gerenciar túneis de VPN

A chave para a efetividade da VPN é a segurança. As VPNs protegem os dados encapsulando-os ou criptografando-os. A maioria das VPNs pode fazer os dois.

O encapsulamento também pode ser chamado de tunelamento, uma vez que o encapsulamento transmite os dados de forma transparente de rede para rede através de uma infra-estrutura de rede compartilhada.

A criptografia codifica os dados em um formato diferente utilizando uma chave secreta. A descriptografia decodifica os dados criptografados no formato não criptografado original.

O encapsulamento e a criptografia são discutidos em mais detalhes posteriormente neste curso.

Exibir meio visual

6.3.4 Características de VPNs seguras

Página 1:

As VPNs utilizam técnicas de criptografia avançadas e tunelamento para permitir que as organizações estabeleçam conexões de rede seguras, fim-a-fim e privadas pela Internet.

A base de uma VPN segura é a confidencialidade e integridade dos dados e a autenticação:

Confidencialidade dos dados - Uma preocupação de segurança comum é proteger os dados de interceptadores. Como um recurso de design, a confidencialidade de dados procura proteger o conteúdo das mensagens da intercepção por fontes não autenticadas ou não autorizadas. As VPNs obtêm a confidencialidade utilizando mecanismos de encapsulamento e criptografia.

Integridade de dados - Os receptores não têm nenhum controle sobre o caminho pelo qual os dados passaram e, portanto, não sabem se os dados foram vistos ou alterados enquanto viajava pela Internet. Existe sempre a possibilidade de os dados terem sido modificados. A integridade de dados garante que não ocorra nenhuma falsificação ou alteração aos dados enquanto eles viajam entre a origem e o destino. As VPNs normalmente utilizam hashes para assegurar a integridade dos dados. Um hash é como uma checksum ou selo que garante que ninguém leu o conteúdo, mas ele é mais potente. Os hashes são explicados no próximo tópico.

Autenticação - A autenticação garante que uma mensagem venha de uma origem autêntica e vá para um destino autêntico. A identificação de usuário proporciona ao usuário a confiança de que a parte com a qual ele estabelece as comunicações é quem ele realmente pensa. As VPNs podem utilizar senhas, certificados digitais, smart cards e biométrica para estabelecer a identidade dos participantes na outra extremidade de uma rede.

Exibir meio visual

6.3.5 Tunelamento de VPN

Página 1:

Incorporar recursos de confidencialidade de dados apropriados a uma VPN assegura que somente as origens e os destinos determinados sejam capazes de interpretar o conteúdo original das mensagens.

O tunelamento permite o uso de redes públicas como a Internet para levar os dados para usuários como se os usuários tivessem acesso a uma rede privada. O tunelamento encapsula um pacote inteiro dentro de outro pacote e envia o novo pacote composto sobre uma rede. Esta figura lista as três classes de protocolos utilizadas pelo tunelamento.

Para ilustrar o conceito de tunelamento e as classes de protocolos de tunelamento, considere um exemplo de um envio de um cartão de natal por correio tradicional. O cartão de natal tem uma mensagem dentro. O cartão é o protocolo de passagem. O remetente coloca o cartão dentro de um envelope (protocolo de encapsulamento) com o endereçamento apropriado escrito. O remetente coloca o envelope em uma caixa de correio para entrega. O sistema postal (protocolo de operadora) escolhe e entrega o envelope para a caixa de correio do destinatário. Os dois pontos de extremidade no

sistema da operadora são as "interfaces de túnel." O destinatário remove o cartão de natal (extrai o protocolo de passagem) e lê a mensagem.

Clique no botão Encapsulamento na figura para exibir uma ilustração do processo de encapsulamento.

Esta figura ilustra uma mensagem de email que viaja pela Internet sobre uma conexão de VPN. O PPP leva a mensagem ao dispositivo de VPN, onde a mensagem é encapsulada dentro de um pacote de Encapsulamento de Rota Genérico (GRE, Generic Route Encapsulation). O GRE é um protocolo de tunelamento desenvolvido pela Cisco Systems que pode encapsular uma ampla variedade de tipos de pacote de protocolo dentro de túneis IP, criando um link ponto a ponto virtual para roteadores da Cisco em pontos remotos sobre uma rede IP interconectada. Na figura, o endereçamento de origem e destino externo do pacote é atribuído para "interfaces de túnel" e é colocado em condição de roteamento através da rede. Quando um pacote composto alcança a interface de túnel de destino, o pacote interno é extraído.

Exibir meio visual

6.3.6 Integridade de dados da VPN

Página 1:

Se os dados de texto simples forem transportados pela Internet pública, eles poderão ser interceptados e lidos. Para manter os dados privados, eles precisam ser criptografados. A criptografia de VPN criptografa os dados e os torna ilegíveis para receptores não autorizados.

Para que a criptografia funcione, o remetente e o receptor devem conhecer as regras utilizadas para transformar a mensagem original em seu formato codificado. As regras de criptografia de VPN incluem um algoritmo e uma chave. Um algoritmo é uma função matemática que combina uma mensagem, texto, dígitos ou os três com uma chave. A saída de dados é uma cadeia de códigos ilegível. A descriptografia é extremamente difícil ou impossível sem a chave correta.

No exemplo, Gail deseja enviar um documento financeiro a Jeremy pela Internet. Gail e Jeremy concordaram previamente com uma chave secreta compartilhada. Na extremidade de Gail, o software de cliente de VPN combina o documento com a chave secreta compartilhada e a passa através de um algoritmo de criptografia. A saída de dados é um texto de códigos indecifrável. O texto de códigos é enviado por um túnel de

VPN sobre a Internet. Na outra extremidade, a mensagem é recombinada com a mesma chave secreta compartilhada e processada pelo mesmo algoritmo de criptografia. A saída de dados é o documento financeiro original que agora está legível para Jeremy.

Exibir meio visual

Página 2:

O grau de segurança proporcionado por qualquer algoritmo de criptografia depende do tamanho da chave. Para qualquer tamanho de chave determinado, o tempo necessário para processar todas as possibilidades para decodificar o texto codificado é uma função de potência de computação do computador. Portanto, quanto menor a chave, mais fácil é a decodificação, mas, ao mesmo tempo, mais fácil é transmitir a mensagem.

Alguns do algoritmos de criptografia e tamanho de chaves mais comuns utilizados são:

Algoritmo de criptografia padrão de dados (DES) - Desenvolvido pela IBM, o DES utiliza uma chave de 56 bits, assegurando uma criptografia de alto desempenho. O DES é um sistema de criptografia de chave simétrica. As chaves simétricas e assimétricas são explicadas abaixo.

Algoritmo DES triplo (3DES) - Uma variante mais nova do DES que criptografa com uma chave, decodifica com outra chave diferente e, em seguida, criptografa uma última vez com outra chave. O 3DES proporciona uma potência significativamente maior ao processo de criptografia.

Criptografia padrão avançada (AES) - O Instituto Nacional de Padrões e Tecnologia (NIST) adotou o AES para substituir a criptografia de DES existente em dispositivos criptográficos. O AES proporciona uma segurança mais forte do que o DES e é mais eficiente que o 3DES do ponto de vista computacional. O AES oferece três tamanhos de chave diferentes: chaves de 128, 192, e 256 bits.

Rivest, Shamir e Adleman (RSA) - Um sistema de criptografia de chave assimétrica. As chaves utilizam um tamanho de bits de 512, 768, 1024 ou maior.

Criptografia simétrica

Os algoritmos de criptografia, tais como DES e 3DES, exigem uma chave secreta compartilhada para executar criptografia e descriptografia. Cada um dos dois computadores deve conhecer a chave para decodificar as informações. Com a criptografia de chave simétrica, também chamada de criptografia de chave secreta, cada computador criptografa as informações antes de enviá-las pela rede para o outro computador. A criptografia de chave simétrica exige o conhecimento de quais

computadores se comunicarão de modo que a mesma chave possa ser configurada em cada computador.

Por exemplo, um remetente cria uma mensagem codificada onde cada letra é substituída pela letra que está duas letras abaixo no alfabeto: "A" se torna "C" e "B" se torna "D", e assim por diante. Neste caso, o palavra SECRET se torna UGETGV. O remetente já contou ao destinatário que a chave secreta é "trocar por 2 antes”. Quando o destinatário receber a mensagem UGETGV, o computador do destinatário decodificará a mensagem deslocando-se para duas letras antes e calculando SECRET. Qualquer outra pessoa que veja a mensagem enxergará somente a mensagem criptografada, que não tem sentido a menos que a pessoa saiba a chave secreta.

A pergunta é: como ambos os dispositivos de criptografia e descriptografia possuem a chave secreta compartilhada? Você pode utilizar o email, mensageiro ou correio noturno para enviar as chaves secretas compartilhadas aos administradores dos dispositivos. Outro método mais fácil e seguro é a criptografia assimétrica.

Criptografia assimétrica

A criptografia assimétrica utiliza diferentes chaves para criptografia e descriptografia. Conhecer uma das chaves não permite que um hacker deduza a segunda chave e decodifique as informações. Uma chave criptografa a mensagem, enquanto uma segunda chave descriptografa a mensagem. Não é possível criptografar e descriptografar com a mesma chave.

A criptografia de chave pública é uma variante da criptografia assimétrica que utiliza uma combinação de uma chave privada e uma chave pública. O destinatário fornece uma chave pública a qualquer remetente com quem o destinatário deseja se comunicar. O remetente utiliza uma chave privada combinada com a chave pública do destinatário para criptografar a mensagem. Além disso, o remetente deve compartilhar sua chave pública com o destinatário. Para descriptografar uma mensagem, o destinatário utilizará a chave pública do remetente com sua própria chave privada.

Exibir meio visual

Página 3:

Os hashes contribuem com a integridade e autenticação de dados assegurando que pessoas não autorizadas não adulterem as mensagens transmitidas. Um hash, também chamado de resumo de mensagem (message digest), é um número gerado a partir de uma cadeia de texto. O hash é menor que o próprio texto. Ele é gerado utilizando uma fórmula de tal modo que seja extremamente improvável que outro texto produza o mesmo valor de hash.

O remetente original gera um hash da mensagem e o envia com a própria mensagem. O destinatário descriptografa a mensagem e o hash, gera outro hash da mensagem recebida e compara os dois hashes. Se eles forem os mesmos, o destinatário poderá ficar razoavelmente seguro de que a integridade da mensagem não foi afetada.

Na figura, alguém está tentando enviar um cheque de US$100 para Jeremy. Na extremidade remota, Alex Jones (um provável criminoso) está tentando trocar o cheque para $1.000. Como o cheque passou pela Internet, ele foi alterado. Tanto o destinatário quanto a quantia em dólar foram alterados. Neste caso, se um algoritmo de integridade de dados fosse utilizado, os hashes não seriam correspondentes e a transação não seria mais válida.

Os dados de VPN são transportados pela Internet pública. Como mostrado, há um potencial para que esses dados sejam interceptados e modificados. Para se proteger dessa ameaça, os hosts podem adicionar um hash à mensagem. Se o hash transmitido corresponder ao hash recebido, a integridade da mensagem terá sido preservada. Entretanto, se não houver nenhuma correspondência, a mensagem foi alterada.

As VPNs utilizam um código de autenticação de mensagem para verificar a integridade e a autenticidade de uma mensagem, sem utilizar nenhum mecanismo adicional. Um HMAC (Keyed Hashed Message Authentication Code, Código de Autenticação de Mensagem com Chave de Hash) é um algoritmo de integridade de dados que garante a integridade da mensagem.

Um HMAC possui dois parâmetros: uma entrada de mensagem e uma chave secreta conhecidas somente pelo remetente e receptores pretendidos. O remetente da mensagem utiliza uma função HMAC para gerar um valor (o código de autenticação da mensagem), formado pela compactação da chave secreta e da entrada da mensagem. O código de autenticação da mensagem é enviado junto com a mensagem. O receptor computa o código de autenticação da mensagem na mensagem recebida utilizando a mesma chave e função HMAC que o remetente utilizou e compara o resultado computado com o código de autenticação de mensagem recebido. Se houver correspondência entre os dois valores, a mensagem será recebida corretamente e o

receptor terá a segurança de que o remetente é um membro da comunidade de usuários que compartilham a chave. A potência criptográfica do HMAC depende da potência criptográfica da função de hash, do tamanho e da qualidade da chave, e do tamanho da saída de dados de hash produzida em bits.

Existem dois algoritmos HMAC comuns:

Message Digest 5 (MD5) - Utiliza uma chave secreta compartilhada de 128 bits. A mensagem de tamanho variável e chave secreta compartilhada de 128 bits são combinadas e executadas pelo algoritmo hash de HMAC-MD5. A saída de dados é um hash de 128 bits. O hash é acrescentado à mensagem original e encaminhado à extremidade remota.

Algoritmo de Hash seguro 1 (SHA-1) - Utiliza uma chave secreta de 160 bits. A mensagem de tamanho variável e chave secreta compartilhada de 160 bits são combinadas e executadas pelo algoritmo hash de HMAC-SHA-1. A saída de dados é um hash de 160 bits. O hash é acrescentado à mensagem original e encaminhado à extremidade remota.

Clique no botão Autenticação de VPN na figura.

Ao administrar os negócios à longa distância, é necessário saber quem está na outra extremidade do telefone, email ou fax. O mesmo vale para redes de VPN. O dispositivo da outra extremidade do túnel de VPN deve ser autenticado antes de o caminho de comunicação ser considerado seguro. Existem dois métodos de autenticação do ponto (peer):

Chave pré-compartilhada (PSK, Pre-shared key) - Uma chave secreta que é compartilhada entre os dois participantes utilizando um canal seguro antes de precisar ser utilizada. As PSKs utilizam algoritmos criptográficos de chave simétrica. Uma PSK é colocada em cada ponto manualmente e utilizada para autenticar esse ponto. Em cada extremidade, a PSK é combinada com outras informações para formar a chave de autenticação.

Assinatura de RSA - Utiliza a troca de certificados digitais para autenticar os pontos. O dispositivo local produz um hash e o criptografa com sua chave privada. O hash criptografado (assinatura digital) é anexado à mensagem e encaminhado à extremidade remota. Na extremidade remota, o hash criptografado é descriptografado utilizando a chave pública da extremidade local. Se o hash descriptografado corresponder ao hash recomputado, a assinatura será genuína.

Observe uma demonstração de RSA para obter um exemplo de criptografia de RSA.

Exibir meio visual

6.3.7 Protocolos de segurança IPsec

Página 1:

O IPsec é o conjunto de aplicações de protocolo para proteger as comunicações de IP, que fornece criptografia, integridade e autenticação. O IPsec explicita a transmissão de mensagens necessária para proteger as comunicações de VPN, mas confia nos algoritmos existentes.

Existem dois protocolos de estrutura IPsec principais.

Cabeçalho de autenticação (AH, Authentication header) - Utilizado quando não se exige ou permite a confidencialidade. O AH fornece a autenticação e a integridade de dados e para pacotes IP transmitidos entre dois sistemas. Ele verifica se as mensagens transmitidas de R1 para R2 não foram modificadas durante o trânsito. Ele também verifica se a origem dos dados era R1 ou R2. O AH não fornece a confidencialidade de dados (criptografia) dos pacotes. Se for utilizado sozinho, o protocolo AH fornece uma fraca proteção. Conseqüentemente, ele é utilizado com o protocolo ESP para fornecer a criptografia de dados e recursos de segurança de monitoramento contra adulterações.

Payload de segurança de encapsulamento (ESP, Encapsulating Security Payload) - Fornece confidencialidade e autenticação através da criptografia do pacote IP. A criptografia do pacote IP oculta os dados e as identidades da origem e do destino. O ESP autentica o pacote IP interno e o cabeçalho de ESP. A autenticação proporciona a autenticação da origem de dados e a integridade dos dados. Embora a criptografia e a autenticação sejam opcionais no ESP, no mínimo uma delas deve ser selecionada.

Clique no botão Estrutura IPsec na figura.

O IPsec conta com os algoritmos existentes para implementar a criptografia, a autenticação e a troca de chaves. Alguns dos algoritmos padrão que o IPsec utiliza são:

DES - Criptografa e descriptografa os dados do pacote. 3DES - Fornece uma potência de criptografia significativa sobre o DES de 56

bits. AES – Proporciona uma criptografia mais potente, dependendo do tamanho de

chave utilizada, bem como uma melhor produtividade. MD5 - Autentica os dados do pacote, utilizando uma chave secreta

compartilhada de 128 bits. SHA-1 - Autentica os dados do pacote, utilizando uma chave secreta

compartilhada de 160 bits. DH - Permite que os dois participantes estabeleçam uma chave secreta

compartilhada utilizada pela criptografia e pelos algoritmos hash, por exemplo, o DES e MD5, sobre um canal de comunicações não seguro.

A figura mostra como o IPsec é configurado. O IPsec fornece a estrutura e o administrador escolhe os algoritmos utilizados para implementar os serviços de segurança dentro dessa estrutura. Existem quatro quadrados da estrutura de IPsec a serem preenchidos.

Ao configurar um gateway de IPsec para fornecer serviços de segurança, escolha primeiro um protocolo IPsec. As escolhas são: ESP ou ESP com AH.

O segundo quadrado será um algoritmo de criptografia se o IPsec for implementado com ESP. Escolha o algoritmo de criptografia apropriado para o nível desejado de segurança: DES, 3DES ou AES.

O terceiro quadrado é a autenticação. Escolha um algoritmo de autenticação para fornecer a integridade dos dados: MD5 ou SHA.

O último quadrado é o grupo de algoritmos Diffie-Hellman (DH). Que estabelece o compartilhamento das informações da chave entre os pontos. Escolha qual grupo utilizar: DH1 ou DH2.

Exibir meio visual





Página 1:

Neste capítulo, você aprendeu sobre a importância crescente dos funcionários remotos. Você pode descrever os requisitos de uma organização para fornecer serviços de funcionário remoto em termos do que o funcionário remoto precisa e do que a organização precisa para fornecer uma conectividade confiável e econômica. Entre os modos preferidos para conectar os funcionários remotos, você pode descrever como utilizar os serviços de banda larga, inclusive o DSL, cabo e sem fio. Além disso, você sabe como a tecnologia de VPN pode ser utilizada para fornecer serviços de funcionário remoto seguros nas organizações, incluindo a importância, os benefícios, a função e o impacto da tecnologia de VPN, bem como os tipos de acesso, componentes, tunelamento e criptografia.

Exibir meio visual


Página 3:

Esta atividade exige que você configure uma rota padrão bem como um roteamento dinâmico utilizando o RIP versão 2. Você também adicionará dispositivos de banda larga à rede. Por fim, você irá configurar as ACLs em dois roteadores para controlar o tráfego de rede.




Exibir meio visual




7 Serviços de endereçamento IP


7.0.1 Introdução

Página 1:

A Internet e as tecnologias relacionadas ao IP passaram por um rápido crescimento. Uma razão para o crescimento deve-se, em parte, à flexibilidade do design original. Entretanto, este design não previu a popularidade da Internet e a demanda resultante por endereços IP. Por exemplo, cada host e cada dispositivo na Internet exige um endereço do exclusivo IP versão 4 (IPv4). Devido ao drástico crescimento, o número de endereços IP disponíveis está se esgotando.

Para lidar com o esgotamento dos endereços IP, foram desenvolvidas diversas soluções de curto prazo. As duas soluções de curto prazo são os endereços privados e a Tradução de Endereço de Rede (NAT, Network Address Translation).

Um host interno normalmente recebe seu endereço IP, máscara de sub-rede, endereço IP de gateway padrão, endereço IP de servidor DNS e outras informações de um servidor de Protocolo de Configuração de Host Dinâmico (DHCP, Dynamic Host Configuration Protocol). Em vez de fornecer hosts internos com endereços IP de Internet válidos, o servidor DHCP geralmente fornece endereços IP de um conjunto privado de endereços. O problema é que estes hosts ainda podem exigir endereços IP válidos para acessar os recursos da Internet. É aí que entra a NAT.

A NAT permite que os hosts de rede internos obtenham temporariamente um endereço IP de Internet legítimo enquanto acessam os recursos da Internet. Quando o tráfego solicitado retorna, o endereço IP legítimo é adaptado e disponibilizado para a solicitação seguinte da Internet feita por um host interno. Usando a NAT, os administradores de rede precisam somente de um ou poucos endereços IP para serem fornecidos aos hosts pelo roteador, em vez de um endereço IP exclusivo para cada cliente que entra na rede. Embora pareça ineficiente, o processo é, na verdade, muito eficiente, porque o tráfego do host acontece de forma muito rápida.

Embora os endereços privados com o DHCP e a NAT tenham ajudado a reduzir a necessidade de endereços IP, estima-se que nós esgotaremos os endereços IPv4 exclusivos por volta de 2010. Por essa razão, em meados dos anos 90, o IETF solicitou propostas para um novo esquema de endereçamento IP. O grupo de trabalho IP Next Generation (IPng, Última Geração de IP) reagiu. Por volta do ano de 1996, o IETF começou a liberar diversas RFCs definindo o IPv6.

O principal recurso do IPv6 sendo adotado hoje em dia é o maior espaço de endereço: os endereços no IPv6 possuem um tamanho de 128 bits contra os 32 bits do IPv4.

Este capítulo descreve como implementar o DHCP, a NAT e o IPv6 em redes corporativas.

Exibir meio visual

7.1 DHCP

7.1.1 Apresentando o DHCP

Página 1:

O que é DHCP?

Cada dispositivo que se conecta a uma rede precisa de um endereço IP. Os administradores de rede atribuem endereços IP estáticos a roteadores, servidores e a outros dispositivos de rede cujas localizações (físicas e lógicas) não tendem a mudar. Os administradores digitam os endereços IP estáticos manualmente quando configuram os dispositivos para entrar na rede. Os endereços estáticos também permitem que os administradores gerenciem tais dispositivos remotamente.

Porém, os computadores em uma organização mudam frequentemente de localização, tanto física quanto logicamente. Os administradores não conseguem atribuir novos endereços IP cada vez que um funcionário se muda para um escritório ou cubículo diferente. Os clientes com desktop não exigem um endereço estático. Em vez disso, uma estação de trabalho pode utilizar qualquer endereço dentro de um intervalo de endereços. Esse intervalo está normalmente dentro de uma sub-rede IP. Uma estação de trabalho dentro de uma sub-rede específica pode receber qualquer endereço dentro de um intervalo específico. Atribui-se um valor a outros itens, tais como a máscara de sub-

rede, o gateway padrão e o servidor do Sistema de Resolução de Nome de Domínio (DNS, Domain Name System), valor esse que é igual para a sub-rede ou para toda a rede administrada. Por exemplo, todos os hosts dentro da mesma sub-rede receberão endereços IP de host diferentes, mas receberão a mesma máscara de sub-rede e o mesmo endereço IP de gateway padrão.

Você viu no CCNA Exploration, Fundamentos de rede, que o DHCP realiza o processo de atribuir novos endereços IP de modo quase transparente. O DHCP atribui endereços IP e outras informações de configuração de rede importantes dinamicamente. Como os clientes com desktop geralmente compõem o lote de nós de rede, o DHCP é uma ferramenta que economiza tempo e extremamente útil para os administradores de rede. A RFC 2131 descreve o DHCP.

Os administradores normalmente preferem que um servidor de rede ofereça serviços de DHCP, porque tais soluções são escaláveis e relativamente fáceis de gerenciar. Entretanto, em uma filial pequena ou local de SOHO, um roteador Cisco pode ser configurado para prestar serviços de DHCP sem a necessidade de um servidor dedicado caro. Um conjunto de recursos do IOS Cisco chamado Easy IP oferece um servidor DHCP completo e opcional.

Exibir meio visual

7.1.2 Operação de DHCP

Página 1:

Operação de DHCP

A tarefa mais importante realizada por um servidor DHCP é fornecer endereços IP aos clientes. O DHCP inclui três mecanismos de alocação de endereço diferentes para fornecer flexibilidade ao atribuir endereços IP:

Alocação manual: O administrador atribui um endereço IP pré-alocado ao cliente e o DHCP somente comunica o endereço IP ao dispositivo.

Alocação automática: O DHCP atribui automaticamente um endereço IP estático permanente a um dispositivo, selecionando-o de um conjunto de endereços disponíveis. Não existe empréstimo e o endereço é atribuído permanentemente a um dispositivo.

Alocação dinâmica: O DHCP atribui ou empresta automática e dinamicamente um endereço IP a partir de um conjunto de endereços por um período limitado

escolhido pelo servidor, ou até que o cliente diga ao servidor DHCP que não precisa mais do endereço.

Esta seção aborda a alocação dinâmica.

O DHCP trabalha em um modo cliente/servidor e funciona como qualquer outra relação de cliente/servidor. Quando um PC se conecta a um servidor DHCP, o servidor atribui ou empresta um endereço IP a esse PC. O PC se conecta à rede com esse endereço IP emprestado até que tal empréstimo expire. O host deve entrar em contato com o servidor DHCP periodicamente para estender o empréstimo. Este mecanismo de empréstimo assegura que os hosts que se mudam ou se desligam não se prendam a endereços dos quais não precisam. O servidor DHCP devolve esses endereços ao conjunto de endereços e os realoca conforme o necessário.

Clique no botão Detecção na figura.

Quando o cliente inicializa ou deseja entrar de outro modo na rede, ele conclui quatro etapas para obtenção de um empréstimo. Na primeira etapa, o cliente transmite uma mensagem DHCPDISCOVER em broadcast. A mensagem DHCPDISCOVER localiza os servidores DHCP na rede. Como o host não tem nenhuma informação de IP válida na inicialização, ele utilizará os endereços de broadcast de L2 e L3 para comunicar-se com o servidor.

Clique no botão Oferta na figura.

Quando o servidor DHCP recebe uma mensagem DHCDISCOVER, ele localiza um endereço IP disponível para empréstimo, cria uma entrada de ARP consistindo no endereço MAC do host solicitante e o endereço IP emprestado, e transmite uma oferta de associação com uma mensagem DHCPOFFER. A mensagem DHCPOFFER é enviada como um unicast, utilizando o endereço MAC de L2 do servidor como o endereço de origem e o endereço de L2 do cliente como o destino.

Nota: Sob certas circunstâncias, a troca de mensagens do DHCP do servidor pode ser transmitida por broadcast e não por unicast.

Clique no botão Solicitação na figura.

Quando o cliente recebe o DHCPOFFER do servidor, ele retorna uma mensagem DHCPREQUEST. Essa mensagem tem dois objetivos: emprestar a origem, a renovação e a verificação. Quando usado para emprestar uma origem, o DHCPREQUEST do cliente está solicitando que as informações de IP sejam verificadas logo após sua atribuição. A mensagem fornece a verificação de erros para assegurar que a atribuição ainda seja válida. O DHCPREQUEST também serve como um aviso de aceitação de associação para o servidor selecionado e uma recusa implícita a quaisquer outros servidores que possam ter enviado uma oferta de associação para o host.

Muitas redes corporativas utilizam diversos servidores DHCP. A mensagem DHCPREQUEST é enviada na forma de broadcast para informar este servidor DHCP e qualquer outro servidor DHCP sobre a oferta aceita.

Clique no botão Confirmação na figura.

Ao receber a mensagem DHCPREQUEST, o servidor verifica as informações de empréstimo, cria uma nova entrada de ARP para o empréstimo do cliente e responde com uma mensagem DHCPACK de unicast. A mensagem DHCPACK é uma duplicata da mensagem DHCPOFFER, exceto por uma mudança no campo de tipo de mensagem. Quando o cliente recebe a mensagem DHCPACK, ele registra as informações de configuração e executa uma busca de ARP para o endereço atribuído. Caso não receba uma resposta, ele saberá que o endereço IP é válido e começa a usá-lo como seu.

Os clientes emprestam as informações do servidor por um período definido administrativamente. Os administradores configuram os servidores DHCP para definir os tempos limite dos empréstimos em intervalos diferentes. A maioria dos ISPs e grandes redes utiliza durações de empréstimo padrão de até três dias. Quando o empréstimo expira, o cliente deve solicitar outro endereço, embora já receba normalmente a atribuição do mesmo endereço.

A mensagem DHCPREQUEST também abrange o processo de DHCP dinâmico. As informações de IP enviadas no DHCPOFFER podem ter sido oferecidas a outro cliente durante a alocação dinâmica. Cada servidor DHCP cria conjuntos de endereços IP e parâmetros associados. Os conjuntos são dedicados a sub-redes IP lógicas e individuais. Os conjuntos permitem a resposta de diversos servidores DHCP e a mobilidade dos

clientes de IP. Caso haja resposta de diversos servidores, um cliente poderá escolher apenas uma das ofertas.

Exibir meio visual

7.1.3 BOOTP e DHCP

Página 1:

BOOTP e DHCP

O Protocolo Boostrap (BOOTP, Bootstrap Protocol), definido na RFC 951, é o antecessor do DHCP e compartilha algumas características operacionais. O BOOTP é um modo de fazer o download do endereço e inicializar as configurações para estações de trabalho sem disco. Uma estação de trabalho sem disco não possui um disco rígido ou um sistema operacional. Por exemplo, muitos sistemas de caixa registradora automatizados em seu supermercado local são exemplos de estações de trabalho sem disco. O DHCP e o BOOTP são baseados em cliente/servidor e usam as portas UDP 67 e 68. Essas portas são conhecidas ainda como portas de BOOTP.

O DHCP e BOOTP possuem dois componentes, conforme mostrado na figura. O servidor é um host com um endereço IP estático que aloca, distribui e gerencia o IP e as atribuições dos dados de configuração. Cada alocação (o IP e os dados de configuração) é armazenada no servidor em um conjunto de dados chamado de associação. O cliente é qualquer dispositivo que utiliza o DHCP como um método para obter o endereçamento IP ou informações de configuração de suporte.

Para entender as diferenças funcionais entre o BOOTP e o DHCP, considere os quatro parâmetros de IP básicos necessários para unir uma rede:

Endereço IP Endereço de gateway Máscara de sub-rede Endereço do servidor DNS

Existem três diferenças principais entre o DHCP e o BOOTP:

A principal diferença é que o BOOTP foi criado para a pré-configuração manual das informações de host em um banco de dados de servidor, enquanto o DHCP permite uma alocação dinâmica de endereços de rede e configurações para hosts recentemente anexados. Quando um cliente de BOOTP solicita um endereço IP, o servidor de BOOTP procura uma tabela predefinida para uma entrada que corresponda ao endereço MAC para o cliente. Se houver uma entrada, o endereço IP correspondente a essa entrada será devolvido ao cliente. Isso significa que a associação entre o endereço MAC e o endereço IP já deve ter sido configurada no servidor de BOOTP.

O DHCP permite a recuperação e a realocação de endereços de rede através de um mecanismo de empréstimo. Especificamente, o DHCP define os mecanismos pelos quais podem ser atribuídos aos clientes um endereço IP por um período de empréstimo finito. Este período de empréstimo permite uma nova atribuição posterior do endereço IP a outro cliente, ou que o cliente obtenha outra atribuição caso se mude para outra sub-rede. Os clientes também podem renovar os empréstimos e manter o mesmo endereço IP. O BOOTP não utiliza empréstimos. Seus clientes reservaram o endereço IP que não pode ser atribuído a qualquer outro host.

O BOOTP fornece uma quantidade limitada de informações a um host. O DHCP fornece parâmetros de configuração de IP adicionais, tais como o WINS e o nome de domínio.

Exibir meio visual

Página 2:

Formato de mensagem DHCP

Os desenvolvedores de DHCP precisaram manter a compatibilidade com o BOOTP e, consequentemente, utilizaram o mesmo formato de mensagem BOOTP. Entretanto, como o DHCP possui mais funcionalidades que o BOOTP, o campo de opções do DHCP foi adicionado. Ao comunicar-se com clientes de BOOTP mais antigos, o campo de opções do DHCP é ignorado.

A figura mostra o formato de uma mensagem de DHCP. Os campos são:

Código de operação (OP, Operation Code) - Especifica o tipo genérico da mensagem. Um valor de 1 indica uma mensagem de solicitação; um valor de 2 indica uma mensagem de resposta.

Tipo de hardware - Identifica o tipo de hardware utilizado na rede. Por exemplo, 1 é a Ethernet, 15 é o Frame Relay e 20 é uma linha serial. Esses são os mesmos códigos utilizados nas mensagens de ARP.

Tamanho do endereço de hardware - 8 bits para especificar o tamanho do endereço.

Saltos - Definido como 0 por um cliente antes de transmitir uma solicitação e utilizado por agentes de retransmissão para controlar o encaminhamento de mensagens do DHCP.

Identificador de transações - Identificação de 32 bits gerada pelo cliente para permitir a correspondência da solicitação com as respostas recebidas dos servidores DHCP.

Segundos - Número de segundos decorridos desde que um cliente começou a obter ou renovar um empréstimo. Servidores DHCP ocupados utilizam este número para priorizar as respostas quando diversas solicitações do cliente estiverem pendentes.

Flags (sinalizadores) - Apenas um dos 16 bits é utilizado, o qual é a flag (sinalizador) de broadcast. Um cliente que não conhece seu endereço IP ao enviar uma solicitação, define a flag em 1. Esse valor diz ao servidor DHCP ou agente de retransmissão que recebe a solicitação que ele deve enviar a resposta em forma de broadcast.

Endereço IP do cliente - O cliente coloca seu próprio endereço IP neste campo somente se tiver um endereço IP válido enquanto estiver no estado associado; caso contrário, ele define o campo em 0. O cliente somente pode utilizar esse campo quando seu endereço for realmente válido e utilizável, não durante o processo de obtenção de um endereço.

Seu endereço IP - O endereço IP que o servidor atribui ao cliente. Endereço IP do servidor - Endereço do servidor que o cliente deve utilizar para

a próxima etapa no processo de bootstrap, que pode ou não ser o servidor que envia essa resposta. O servidor de origem sempre inclui seu próprio endereço IP em um campo especial chamado de opção de DHCP do Identificador de Servidor.

Endereço IP de gateway - Faz o roteamento das mensagens de DHCP quando os agentes de retransmissão de DHCP estão envolvidos. O endereço de gateway facilita as comunicações de solicitações e respostas de DHCP entre o cliente e um servidor que estejam em sub-redes ou redes diferentes.

Endereço de hardware de cliente - Especifica a camada física do cliente. Nome de servidor - O servidor que envia uma mensagem DHCPOFFER ou

DHCPACK pode opcionalmente colocar seu nome neste campo. Esse nome pode ser um apelido de texto simples ou um nome de domínio de DNS, tal como dhcpserver.netacad.net.

Nome de arquivo de inicialização - Utilizado opcionalmente por um cliente para solicitar um tipo específico de arquivo de inicialização em uma mensagem DHCPDISCOVER. Utilizado por um servidor em uma mensagem DHCPOFFER para especificar por completo um diretório de arquivos de inicialização e um nome de arquivo.

Opções - Contém as opções de DHCP, incluindo os diversos parâmetros necessários para a operação básica de DHCP. Esse campo varia em tamanho. Tanto o cliente quanto o servidor podem utilizar esse campo.

Exibir meio visual

Métodos de detecção e oferta de DHCP

Estas figuras fornecem detalhes do conteúdo do pacote das mensagens de detecção e oferta do DHCP.

Quando um cliente deseja entrar na rede, ele solicita os valores de endereçamento do servidor DHCP da rede. Se um cliente estiver configurado para receber suas configurações de IP dinamicamente, ele transmitirá uma mensagem DHCPDISCOVER em sua sub-rede física local quando for inicializado ou quando perceber uma conexão de rede ativa. Como o cliente não tem como saber a sub-rede para a qual ele pertence, o DHCPDISCOVER será um broadcast de IP (endereço IP de destino de 255.255.255.255). O cliente não possui um endereço IP configurado, desse modo o endereço IP de origem de 0.0.0.0 é utilizado. Como pode ver na figura, o endereço IP do cliente (CIADDR), o endereço de gateway padrão (GIADDR) e a máscara de sub-rede estão marcadas com pontos de interrogação.

Clique no botão Oferta de DHCP na figura.

O servidor DHCP gerencia a alocação dos endereços IP e responde às solicitações de configuração dos clientes.

Quando o servidor DHCP recebe a mensagem DHCPDISCOVER, ele responde com uma mensagem DHCPOFFER. Esta mensagem contém as informações de configuração iniciais para o cliente, incluindo o endereço MAC do cliente, seguido pelo endereço IP que o servidor oferece, a máscara de sub-rede, a duração do empréstimo e o endereço IP do servidor DHCP que faz a oferta. A máscara de sub-rede e o gateway padrão são especificados no campo de opções: opções de máscara de sub-rede e de roteador, respectivamente. A mensagem DHCPOFFER pode ser configurada para incluir outras informações, como o tempo de renovação do empréstimo, o servidor de nomes de domínio e o Nome Serviço NetBIOS (Microsoft Windows Internet Name Service [Microsoft WINS]).

O servidor determina a configuração com base no endereço de hardware do cliente, conforme especificado no campo CHADDR.

Conforme mostrado no diagrama, o servidor DHCP respondeu à mensagem DHCPDISCOVER atribuindo os valores ao CIADDR e à máscara de sub-rede.

Os administradores configuraram os servidores DHCP para que atribuam os endereços de conjuntos predefinidos. A maioria dos servidores DHCP também permitem que o administrador defina especificamente quais endereços MAC do cliente podem ser atendidos e os atribui sempre ao mesmo endereço IP automaticamente.

O DHCP utiliza o Protocolo de Datagrama do Usuário (UDP, User Datagram Protocol) como seu protocolo de transporte. O cliente envia mensagens ao servidor na porta 67. O servidor envia mensagens ao cliente na porta 68.

O cliente e o servidor confirmam as mensagens e o processo é concluído. O cliente somente define o CIADDR quando um host estiver em um estado associado, o que significa que o cliente confirmou e está utilizando o endereço IP.

Para obter mais informações sobre o DHCP, veja a seção "Cisco IOS DHCP Server" no site: http://www.cisco.com/en/US/docs/ios/12_0t/12_ot1/feature/guide/Easyip2.html (em inglês).

Exibir meio visual

7.1.4 Configurando um servidor DHCP

Página 1:

Configurando um servidor DHCP

Roteadores Cisco que executam o software IOS Cisco fornecem suporte completo para que um roteador atue como um servidor DHCP. O servidor DHCP do IOS Cisco atribui e gerencia endereços IP de conjuntos de endereços especificados dentro do roteador para clientes DHCP.

As etapas para configurar um roteador como um servidor DHCP são as seguintes:

Etapa 1. Definir um intervalo de endereços que o DHCP não deve alocar. Esses endereços são endereços estáticos geralmente reservados para a interface do roteador, endereço IP de gerenciamento de switch, servidores e impressoras de rede locais.

Etapa 2. Criar o conjunto de endereços DHCP utilizando o comando ip dhcp pool.

Etapa 3. Configurar as especificidades do conjunto.

Você deve especificar os endereços IP que o servidor DHCP não deve atribuir aos clientes. Normalmente, alguns endereços IP pertencem a dispositivos de rede estáticos, tais como servidores ou impressoras. O DHCP não deve atribuir esses endereços IP a outros dispositivos. Uma prática recomendada é configurar endereços excluídos no modo de configuração global antes de criar o conjunto de endereços DHCP. Isto garante que o DHCP não atribuirá acidentalmente os endereços reservados. Para excluir os endereços específicos, utilize o comando ip dhcp excluded-address.

Clique no botão Conjunto de endereços DHCP na figura.

A configuração de um servidor DHCP envolve a definição de um conjunto de endereços a serem atribuídos. O comando ip dhcp pool cria um conjunto com o nome especificado e coloca o roteador no modo de configuração de DHCP, o qual é identificado pelo prompt Router(dhcp-config)#.

Clique no botão Tarefas DHCP na figura.

Esta figura relaciona as tarefas para concluir a configuração do conjunto de endereços DHCP. Algumas delas são opcionais, enquanto as outras devem ser configuradas.

Você deve configurar os endereços disponíveis e especificar o número e máscara de rede da sub-rede do conjunto de endereços de DHCP. Utilize o comando network para definir o intervalo de endereços disponíveis.

Você também deve definir o gateway padrão ou o roteador a serem utilizados pelos clientes com o comando default-router. Normalmente, o gateway é a interface de rede local do roteador. É necessário um endereço, mas você pode listar até oito endereços.

Os comandos seguintes do conjunto de endereços DHCP são considerados opcionais. Por exemplo, você pode configurar o endereço IP do servidor DNS que está disponível para um cliente DHCP usando o comando dns-server. Quando configurado, é necessário um endereço, mas você pode listar até oito endereços.

Outros parâmetros incluem a configuração da duração do empréstimo de DHCP. A configuração padrão é definitiva, mas você pode alterá-la usando o comando lease. Você também pode configurar um servidor NetBIOS WINS disponível para um cliente DHCP da Microsoft. Normalmente, isto seria configurado em um ambiente que suporta os clientes anteriores ao Windows 2000. Como a maioria das instalações agora possuem clientes com o sistema operacional do Windows mais recente, esse parâmetro não é exigido.

Clique no botão Exemplo de DHCP na figura.

Esta figura exibe um exemplo de configuração com os parâmetros de DHCP básicos configurados no roteador R1.

Desabilitando o DHCP

O serviço de DHCP é habilitado por padrão nas versões do software IOS Cisco que podem suportá-lo. Para desabilitar o serviço, utilize o comando no service dhcp. Utilize o comando de configuração global service dhcp para reabilitar o processo do servidor DHCP. Habilitar o serviço não terá efeito algum se os parâmetros não estiverem configurados.

Exibir meio visual

Página 2:

Verificando o DHCP

Para ilustrar como um roteador Cisco pode ser configurado para fornecer serviços de DHCP, consulte a figura. O PC1 não foi ativado e, desse modo, não possui um endereço IP.

O roteador R1 foi configurado com os seguintes comandos:

ip dhcp excluded-address 192.168.10.1 192.168.10.9ip dhcp excluded-address 192.168.10.254ip dhcp pool LAN-POOL-1network 192.168.10.0 255.255.255.0default-router 192.168.10.1domain-name span.com

Para verificar a operação do DHCP, utilize o comando show ip dhcp binding. Esse comando exibe uma lista de todas as associações de endereços IP a endereços MAC que foram fornecidas pelo serviço de DHCP.

Para verificar quais mensagens estão sendo recebidas ou enviadas pelo roteador, utilize o comando show ip dhcp server statistics. Esse comando exibe informações de contagem relacionadas ao número de mensagens de DHCP que foram enviadas e recebidas.

Clique no botão DHCP-1 na figura.

Como você pode ver na figura, atualmente não existem associações ou estatísticas sendo exibidas.

Agora, suponha que o PC1 foi ativado e concluiu seu processo de inicialização.


Observe que as informações de associação mostram agora que o endereço IP da 192.168.10.10 foi associado a um endereço MAC. As estatísticas também exibem a atividade do DHCPDISCOVER, DHCPREQUEST, DHCPOFFER e DHCPACK.

Clique no botão Cliente DHCP na figura.

O comando ipconfig /all exibe os parâmetros configurados do TCP/IP no PC1. Como o PC1 foi conectado ao segmento de rede 192.168.10.0 /24, ele recebeu automaticamente um endereço IP, um sufixo DNS e o gateway padrão daquele conjunto. Não é exigida nenhuma configuração de interface DHCP. Se um PC for conectado a um segmento de rede que tenha um conjunto de endereços DHCP disponível, ele poderá obter um endereço IP automaticamente.

Assim, como o PC2 recebe um endereço IP? O roteador R1 teria que ser configurado para fornecer um conjunto de endereços DHCP de 192.168.11.0 /24 conforme segue:

ip dhcp excluded-address 192.168.11.1 192.168.11.9ip dhcp excluded-address 192.168.11.254ip dhcp pool LAN-POOL-2network 192.168.11.0 255.255.255.0default-router 192.168.11.1domain-name span.com

Quando o PC2 concluir seu processo de inicialização, ele recebe um endereço IP para o segmento de rede para o qual está conectado.


Observe que as associações de DHCP agora indicam que dois hosts receberam endereços IP. As estatísticas de DHCP também refletem a troca de mensagens de DHCP.

Outro comando útil para exibir os diversos conjuntos é o comando show ip dhcp pool.

Clique no botão Conjuntos de endereços DHCP na figura.

Esse comando resume as informações do conjunto de endereços DHCP.

Exibir meio visual

7.1.5 Configurando um cliente DHCP

Página 1:

Configurando um cliente DHCP

Geralmente, pequenos roteadores de banda larga para uso local, tais como roteadores Linksys, podem ser configurados para conectar-se a um ISP utilizando um DSL ou um modem a cabo. Na maioria dos casos, pequenos roteadores locais são configurados para adquirir um endereço IP automaticamente de seus ISPs. Por exemplo, a figura mostra a página de configuração de WAN padrão para um roteador WRVS4400N Linksys. Observe que o tipo de conexão da Internet é definido como Configuração Automática - DHCP. Isso significa que, quando o roteador está conectado a um modem a cabo, por exemplo, ele será um cliente DHCP e solicitará um endereço IP do ISP.

Às vezes, os roteadores Cisco em SOHO e filiais devem ser configurados de uma maneira semelhante. O método utilizado depende do ISP. Entretanto, em sua configuração mais simples, a interface Ethernet é utilizada para se conectar a um modem a cabo. Para configurar uma interface Ethernet como um cliente DHCP, o comando ip address dhcp deverá ser configurado.

Clique no botão Cliente DHCP na figura.

Na figura, suponha que um ISP foi configurado para fornecer a alguns clientes endereços IP do intervalo da 209.165.201.0 / 27. A saída do comando confirma o endereço atribuído.

Exibir meio visual

7.1.6 Retransmissão DHCP

Página 1:

O que é a retransmissão DHCP?

Em uma rede hierárquica complexa, os servidores da empresa ficam geralmente em uma farm de servidores. Esses servidores podem fornecer os serviços de DHCP, DNS, TFTP e FTP aos clientes. O problema é que os clientes de rede geralmente não estão na mesma sub-rede que tais servidores. Portanto, os clientes devem localizar os servidores para receber os serviços, e esses serviços geralmente são localizados com o uso de mensagens de broadcast.

Na figura, PC1 está tentando adquirir um endereço IP do servidor DHCP localizado em 192.168.11.5. Neste cenário, o roteador R1 não está configurado como um servidor DHCP.

Clique no botão Problema de host na figura.

Na figura, o PC1 está tentando renovar seu endereço IP. Para fazê-lo, o comando ipconfig /release é emitido. Observe que o endereço IP é lançado e o endereço atual é 0.0.0.0. Em seguida o comando ipconfig /renew é emitido. Esse comando faz o host iniciar a transmissão de uma mensagem DHCPDISCOVER por broadcast. No entanto, PC1 não pode localizar o servidor DHCP. O que acontece quando o servidor e o cliente estão separados por um roteador e, desse modo, não estão no mesmo segmento de rede? Lembre-se de que os roteadores não encaminham broadcasts.

Nota: Alguns clientes do Windows possuem um recurso chamado Endereçamento IP privado automático (APIPA, Automatic Private IP Addressing). Com esse recurso, um computador com Windows pode atribuir automaticamente a si mesmo um endereço IP no intervalo de 169.254.x.x no caso de um servidor DHCP não estar disponível ou não existir na rede.

Para piorar as coisas, o DHCP não é o único serviço essencial que utiliza os broadcasts. Por exemplo, os roteadores Cisco e outros dispositivos podem utilizar broadcasts para

localizar os servidores TFTP ou para localizar um servidor de autenticação, como o servidor TACACS.

Para solucionar esse problema, um administrador poderia adicionar servidores DHCP a todas as sub-redes. Entretanto, a execução desses serviços em vários computadores cria uma sobrecarga de custo e administrativa.

Uma solução mais simples é configurar o recurso de endereço auxiliar do IOS Cisco nos roteadores e switches intermediários. Essa solução habilita os roteadores para que encaminhem broadcasts de DHCP aos servidores DHCP. Quando um roteador encaminha atribuições de endereços/solicitações de parâmetros, ele está agindo como um agente de retransmissão de DHCP.

Por exemplo, PC1 transmitiria uma solicitação por broadcast para localizar um servidor DHCP. Se o roteador R1 estivesse configurado como um agente de retransmissão de DHCP, ele interceptaria essa solicitação e a encaminharia ao servidor DHCP localizado na sub-rede 192.168.11.0.

Para configurar o roteador R1 como um agente de retransmissão de DHCP, você precisa configurar a interface mais próxima do cliente com o comando de configuração de interface ip helper-address. Esse comando retransmite as solicitações de broadcast para os principais serviços a um endereço configurado. Configure o endereço IP auxiliar na interface que recebe o broadcast.

Clique no botão Configuração de retransmissão na figura.

O roteador R1 agora está configurado como um agente de retransmissão de DHCP. Ele aceita as solicitações de broadcast para o serviço de DHCP e então as encaminha como unicast ao endereço IP 192.168.11.5.

Clique no botão Renovação de host na figura.

Como você pode ver, o PC1 agora pode adquirir um endereço IP do servidor DHCP.

O DHCP não é o único serviço que pode ser configurado no roteador para que ele faça a retransmissão. Por padrão, o comando ip helper-address encaminha os seguintes oito serviços de UDP:

Porta 37: Tempo Porta 49: TACACS Porta 53: DNS Porta 67: Servidor DHCP/BOOTP Porta 68: Cliente DHCP/BOOTP Porta 69: TFTP Porta 137: serviço de nomes NetBIOS Porta 138: serviço de datagrama NetBIOS

Para especificar as portas adicionais, utilize o comando ip forward-protocol para especificar exatamente quais tipos de pacotes de broadcast serão encaminhados.

Exibir meio visual

7.1.7 Configurando um servidor DHCP usando o SDM

Página 1:

Configurando um servidor DHCP usando o SDM

Os roteadores Cisco também podem ser configurados como um servidor DHCP utilizando o SDM. Neste exemplo, o roteador R1 será configurado como o servidor DHCP nas interfaces Fa0/0 e Fa0/1.

Clique no botão Tarefas de DHCP na figura.

A função do servidor DHCP é habilitada em Additional Tasks [Tarefas adicionais] na guia Configure [Configurar]. Na lista de tarefas, clique na pasta DHCP e selecione Conjuntos de endereços DHCP para adicionar um novo conjunto. Clique em Adicionar para criar o novo conjunto de endereços DHCP.

Clique no botão Adicionar conjunto na figura.

A janela Adicionar conjunto de endereços DHCP contém as opções necessárias para configurar o conjunto de endereços IP do DHCP. Os endereços IP designados pelo servidor DHCP são tirados de um conjunto comum. Para configurar o conjunto, especifique o endereço IP inicial e o endereço IP final do intervalo.

O SDM Cisco configura o roteador para que ele exclua automaticamente o endereço IP da interface de rede local do conjunto. Você não deve usar o endereço IP de rede ou sub-rede ou o endereço de broadcast na rede no intervalo de endereços que você especificar.

Se você precisar excluir os outros endereços IP no intervalo, poderá fazê-lo ajustando os endereços IP inicial e final. Por exemplo, se você precisar excluir os endereços IP de 192.168.10.1 até 192.168.10.9, definirá o endereço IP inicial como 192.168.10.10. Isso permite que o roteador comece a atribuição de endereços com 192.168.10.10.

As outras opções disponíveis são:

Servidor DNS 1 e Servidor DNS 2 - O servidor DNS é, geralmente, um servidor que mapeia um nome de dispositivo conhecido com seu endereço IP. Se você tiver um servidor DNS configurado para sua rede, digite aqui o endereço IP para o servidor. Se houver outro servidor DNS na rede, você poderá digitar neste campo o endereço IP para esse servidor.

Servidor WINS 1 e Servidor WINS 2 - Relembra que a configuração WINS geralmente está em ambientes que suportam clientes anteriores ao Windows 2000.

Importar todas as opções de DHCP para o banco de dados do servidor DHCP - Permite importar as opções de DHCP de um servidor de nível mais alto e é usado geralmente em conjunto com um servidor DHCP da Internet. Essa opção permite que você receba informações de níveis mais altos sem ter que fazer essa configuração para esse conjunto.

Clique no botão Conjuntos de endereços DHCP na figura.

Esta tela fornece um resumo dos conjuntos configurados em seu roteador. Neste exemplo, dois conjuntos foram configurados, um para cada interface Fast Ethernet no roteador R1.

Exibir meio visual

7.1.8 Identificação e solução de problemas de DHCP

Página 1:

Identificação e solução de problemas de configuração de DHCP

Podem surgir problemas no DHCP por diversos motivos, tais como defeitos de software nos sistemas operacionais, nos drivers da placa de rede ou nos agentes de retransmissão DHCP/BOOTP, mas os mais comuns são os problemas de configuração. Devido ao número de áreas potencialmente problemáticas, é necessário uma abordagem sistemática para identificar e solucionar os problemas.

Identificação e solução de problemas – Tarefa 1: Solucionar conflitos de endereços IP

O empréstimo de um endereço IP pode expirar para um cliente que ainda esteja conectado a uma rede. Se o cliente não renovar o empréstimo, o servidor DHCP poderá atribuir novamente aquele endereço IP para outro cliente. Quando o cliente fizer a reinicialização, um endereço IP será solicitado. Se o servidor DHCP não responder rapidamente, o cliente usará o último endereço IP. Ocorre, assim, uma situação em que dois clientes utilizam o mesmo endereço IP, criando um conflito.

O comando show ip dhcp conflict exibe todos os conflitos de endereço registrados pelo servidor DHCP. O servidor usa o comando ping para detectar os conflitos. O cliente usa o Protocolo de resolução de endereços (ARP, Address Resolution Protocol) para detectar os clientes. Se um conflito de endereços for detectado, o endereço será removido do conjunto e não será atribuído até que um administrador solucione o conflito.

Este exemplo exibe o método de detecção e hora da detecção para todos os endereços IP oferecidos pelo servidor DHCP que entraram em conflito com outros dispositivos.

R2# show ip dhcp conflict

IP address Detection Method Detection time

192.168.1.32 Ping Feb 16 2007 12:28 PM

192.168.1.64 Gratuitous ARP Feb 23 2007 08:12 AM

Identificação e solução de problemas - Tarefa 2: Verificar a conectividade física

Primeiro, use o comando show interfaceinterface para confirmar se a interface do roteador que está agindo como o gateway padrão para o cliente está operacional. Se o estado da interface não estiver ativo, a porta não transmitirá o tráfego, inclusive as solicitações do cliente DHCP.

Identificação e solução de problemas – Tarefa 3: Teste de conectividade de rede configurando uma estação de trabalho do cliente com um endereço IP estático

Ao identificar e solucionar qualquer problema do DHCP, verifique a conectividade da rede configurando um endereço IP estático em uma estação de trabalho do cliente. Se a estação de trabalho não puder alcançar os recursos de rede com um endereço IP estaticamente configurado, isso significará que a fonte do problema não é o DHCP. Neste ponto, a identificação e solução de problemas de conectividade de rede é necessária.

Identificação e solução de problemas – Tarefa 4: Verificar configurações de porta do switch (Portfast STP e outros comandos)

Se o cliente DHCP não puder obter um endereço IP do servidor DHCP na inicialização, tente obter um endereço IP do servidor DHCP forçando manualmente o cliente a enviar uma solicitação DHCP.

Se houver um switch entre o cliente e o servidor DHCP, verifique que se a porta possui uma PortFast STP habilitada e se o entroncamento/distribuição de canais está desabilitado. A configuração padrão é a PortFast desabilitada e o entroncamento/distribuição em canais automático, se aplicável. Essas mudanças de configuração solucionam os problemas mais comuns do cliente DHCP que ocorrem na instalação inicial de um switch Catalyst. Rever a seção “CCNA Exploration: Comutação de rede local e de rede sem fio” pode auxiliar na resolução desse problema.

Identificação e solução de problemas – Tarefa 5: Distinguir se os clientes DHCP obtêm o endereço IP na mesma sub-rede ou VLAN que o servidor DHCP

É importante distinguir se o DHCP está funcionando corretamente quando o cliente estiver na mesma sub-rede ou VLAN que o servidor DHCP. Se o DHCP estiver funcionando corretamente, o problema poderá ser o agente de retransmissão do DHCP/BOOTP. Se o problema persistir mesmo com o teste do DHCP na mesma sub-rede ou VLAN que o servidor DHCP, o problema poderá estar, de fato, no servidor DHCP.

Exibir meio visual

Página 2:

Verificar a configuração de retransmissão DHCP/BOOTP do roteador

Quando o servidor DHCP estiver localizado em uma rede local separada do cliente, a interface do roteador que estiver de frente para o cliente deverá ser configurada para retransmitir as solicitações DHCP. Isso é realizado configurando o endereço IP auxiliar. Se o endereço IP auxiliar não for configurado corretamente, as solicitações do cliente DHCP não serão encaminhadas ao servidor DHCP.

Siga as seguintes etapas para verificar a configuração do roteador:

Etapa 1. Verifique se o comando ip helper-address está configurado na interface correta. Ele deve estar presente na interface de entrada da rede local que contém as estações de trabalho do cliente DHCP e deve ser direcionado ao servidor DHCP correto. Na figura, a saída do comando show running-config verifica se o endereço IP de retransmissão DHCP está denominando o endereço do servidor DHCP em 192.168.11.5.

Etapa 2. Verifique se o comando de configuração global no service dhcp não foi configurado. Esse comando desabilita o servidor DHCP e a funcionalidade de retransmissão no roteador. O comando service dhcp não aparece na configuração porque ele é a configuração padrão.

Exibir meio visual

Página 3:

Verificar se o roteador está recebendo solicitações DHCP usando os comandos debug.

Em roteadores configurados como servidores DHCP, o processo de DHCP falhará se o roteador não receber as solicitações do cliente. Como uma tarefa de identificação e solução de problemas, verifique se o roteador está recebendo a solicitação DHCP do cliente. Essa etapa de identificação e solução de problemas envolve a configuração de uma lista de controle de acesso para a saída do comando de depuração. A lista de controle de acesso da depuração não atrapalha o roteador.

No modo de configuração global, crie a seguinte lista de controle de acesso:

access-list 100 permit ip host 0.0.0.0 host 255.255.255.255

Inicie a depuração usando o ACL 100 como o parâmetro de definição. No modo exec, digite o seguinte comando debug:

debug ip packet detail 100

A saída do comando na figura mostra que o roteador está recebendo as solicitações DHCP do cliente. O endereço IP de origem é 0.0.0.0 porque o cliente ainda não tem um endereço IP. O destino é 255.255.255.255 porque a mensagem de detecção do DHCP do cliente é um broadcast. As portas de origem e destino de UDP, 68 e 67, são as portas típicas usadas para o DHCP.

Essa saída do comando mostra somente um resumo do pacote e não o pacote em si. Portanto, não será possível determinar se o pacote está correto. No entanto, o roteador recebeu um pacote de broadcast com as portas IP e UDP de origem e destino corretas para o DHCP.

Verificar se o roteador está recebendo e encaminhando as solicitações DHCP usando o comando debug ip dhcp server packet

Um comando útil para identificar e solucionar os problemas da operação de DHCP é o comando debug ip dhcp server events. Esse comando reporta os eventos do servidor, como as atribuições de endereço e as atualizações do banco de dados. Ele também é usado para decodificar as recepções e as transmissões do DHCP.

Exibir meio visual

Página 4:

O DHCP atribui endereços IP e outras informações de configuração de rede importantes dinamicamente. Os roteadores Cisco podem usar o conjunto de recursos do IOS Cisco, Easy IP, como um servidor DHCP opcional com todos os recursos. Por padrão, o Easy IP empresta configurações por 24 horas. Nesta atividade, você irá configurar os serviços DHCP em dois roteadores e testar a sua configuração.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF abaixo.



Exibir meio visual

7.2 Dimensionando redes com NAT

7.2.1 Endereçamento IP privado e público

Página 1:

Todos os endereços de Internet públicos devem ser registrados com um Registro de internet regional (RIR, Regional Internet Registry). As organizações podem emprestar os endereços públicos de um ISP. Somente o proprietário registrado de um endereço público de internet pode atribuir esse endereço a um dispositivo de rede.

Você deve ter observado que todos os exemplos neste curso utilizam um número um pouco restrito de endereços IP. Você também deve ter observado a semelhança entre esses números e os números que você usou em uma rede pequena para exibir as páginas de instalação da web de muitas marcas de impressoras, do DSL e de roteadores a cabo, bem como de outros periféricos. Eles são endereços de internet privados reservados retirados dos três blocos mostrados na figura. Esses endereços podem ser usados somente em redes internas e privadas. A RFC 1918 especifica que os endereços privados não devem ser roteados pela Internet. Os endereços privados são descritos, às vezes, como " não roteáveis." Entretanto, os pacotes com endereços privados podem ser roteados dentro de redes interconectadas privadas.

Diferentemente dos endereços IP públicos, os endereços IP privados são um bloco reservado de números que podem ser usados por qualquer um. Isso significa que duas redes ou dois milhões de redes podem usar os mesmos endereços privados. Para proteger a estrutura de endereços da Internet pública, os ISPs geralmente configuram os roteadores de borda para impedir que o tráfego endereçado exclusivamente a eles seja encaminhado pela Internet.

Ao fornecer um maior espaço de endereços do que a maioria das organizações pode obter através de um RIR, o endereçamento privado confere às empresas uma flexibilidade considerável no design da rede. Isso permite a obtenção de esquemas de endereçamento operacional e administrativamente convenientes, além de um crescimento mais fácil.

Entretanto, como não é possível rotear endereços privados pela Internet e como não existem endereços públicos suficientes para permitir que as organizações forneçam um host para todos, as redes precisam que um mecanismo traduza os endereços privados

para endereços públicos na extremidade de sua rede que funcionar em ambas as direções. Na ausência de um sistema de tradução, os hosts privados de um roteador na rede de uma organização não podem conectar-se a hosts privados de um roteador em outras organizações pela Internet.

A Tradução de endereços de rede (NAT, Network Address Translation) fornece esse mecanismo. Antes da NAT, um host com um endereço privado não podia acessar a Internet. Usando a NAT, as empresas individuais podem designar a alguns ou todos os seus hosts com endereços privados e usar a NAT para fornecer acesso à Internet.

Para obter uma visão mais detalhada sobre o desenvolvimento do sistema RIR, acesse o artigo do Cisco Internet Protocol Journal no site http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_4-4/regional_internet_registries.html.

Exibir meio visual

7.2.2 O que é NAT?

Página 1:

O que é NAT?

A NAT é como a recepcionista de um grande escritório. Suponha que você deixou instruções com a recepcionista para que ela não encaminhe nenhuma ligação a menos que você peça. Mais tarde, você liga para um cliente potencial e deixa uma mensagem para que ele retorne a ligação. Você diz à recepcionista que você está esperando uma ligação desse cliente e pede para que ela faça a transferência da chamada.

O cliente liga para o número principal para seu escritório, que é o único número que ele conhece. Quando o cliente disser à recepcionista quem ele procura, a recepcionista verificará uma tabela de pesquisa que corresponde seu nome ao seu ramal. A recepcionista sabe que você pediu essa chamada; portanto, ela encaminha a pessoa que efetuou a chamada para seu ramal.

Assim, enquanto o servidor DHCP designa os endereços IP dinâmicos para os dispositivos dentro da rede, os roteadores habilitados pela NAT retêm um ou muitos endereços IP de Internet válidos fora da rede. Quando o cliente enviar pacotes pela rede,

a NAT traduzirá o endereço IP interno do cliente para um endereço externo. Para usuários externos, todo o tráfego destinado para a rede e proveniente dela possui o mesmo endereço IP ou vem do mesmo conjunto de endereços.

A NAT tem muitos usos, mas o principal é salvar os endereços IP, permitindo que as redes usem os endereços IP privados. A NAT traduz endereços privados, não roteáveis e internos em endereços públicos e externos. A NAT tem um benefício adicional de proporcionar um nível maior de privacidade e segurança para uma rede porque ela oculta endereços IP internos de redes externas.

Um dispositivo habilitado para NAT funciona normalmente na borda de uma rede stub. Em nosso exemplo, o R2 é o roteador de borda. Uma rede stub é uma rede que tem uma única conexão com sua rede vizinha. Como visto no ISP, o R2 forma uma rede stub.

Quando um host dentro da rede stub, por exemplo PC1, PC2 ou PC 3, deseja transmitir um pacote para um host externo, esse pacote é encaminhado para R2, o roteador de gateway de borda. O R2 executa o processo de NAT, traduzindo o endereço privado interno do host para um endereço público, roteável e externo.

Na terminologia de NAT, a rede interna é o conjunto de redes que estão sujeitas à tradução. A rede externa se refere a todos os outros endereços. Os endereços IP possuem designações diferentes dependendo de estarem na rede privada ou na rede pública (Internet) e de o tráfego estar chegando ou saindo.

Clique no botão Terminologia na figura.

A figura mostra como referir-se às interfaces ao configurar a NAT. Suponha que o roteador R2 foi configurado para fornecer os recursos da NAT. Ele possui um conjunto de endereços publicamente disponíveis para emprestar aos hosts internos. Esta seção utiliza os seguintes termos ao discutir a NAT:

Endereço local interno - Geralmente não é um endereço IP atribuído por um RIR ou operadora, sendo mais provavelmente um endereço privado da RFC 1918. Na figura, o endereço IP 192.168.10.10 está atribuído ao PC1 host na rede interna.

Endereço global interno - Um endereço público válido que o host interno recebe quando sai do roteador da NAT. Quando o tráfego de PC1 é destinado para o servidor web em 209.165.201.1, o roteador R2 deverá traduzir o endereço. Nesse caso, o endereço IP 209.165.200.226 é usado como o endereço global interno para o PC1.

Endereço global externo - Endereço IP público válido atribuído a um host na Internet. Por exemplo, o servidor web pode ser alcançado no endereço IP 209.165.201.1.

Endereço local externo - O endereço IP local atribuído a um host na rede externa. Na maioria das situações, esse endereço será idêntico ao endereço global externo do dispositivo externo.

Nota: Neste curso, faremos referência ao endereço local interno, ao endereço global interno e ao endereço global externo. O uso do endereço local externo está fora do escopo deste curso.

O "interno" de uma configuração de NAT não é sinônimo de endereços particulares como eles são definidos pela RFC 1918. Embora os endereços "internos" sejam, geralmente, endereços privados, a NAT pode fazer a tradução entre endereços públicos "externos" e "internos".

Exibir meio visual

Página 2:

Como a NAT funciona?

Neste exemplo, um host interno (192.168.10.10) deseja se comunicar com um servidor web externo (209.165.201.1). Ele envia um pacote a R2, o gateway de borda configurado para NAT da rede.

Use os controles na figura para iniciar a animação.

R2 lê o endereço IP de origem do pacote e verifica se o pacote corresponde aos critérios especificados para tradução. R2 possui uma ACL que identifica a rede interna como hosts válidos para tradução. Portanto, ele traduz um endereço IP local interno para um endereço IP global interno que, neste caso, é 209.165.200.226. Ele armazena esse mapeamento de endereço local para endereço global na tabela de NAT.

Em seguida, o roteador envia o pacote a seu destino. Quando o servidor web responde, o pacote volta ao endereço global de R2 (209.165.200.226).

R2 consulta a sua tabela de NAT e verifica que esse era um endereço IP que foi traduzido anteriormente. Portanto, ele traduz o endereço global interno para o endereço local interno, e o pacote é encaminhado ao PC1 no endereço IP 192.168.10.10. Se ele não localizar um mapeamento, o pacote será descartado.

Mapeamento dinâmico e mapeamento estático

Existem dois tipos de tradução NAT: dinâmica e estática.

A NAT dinâmica utiliza um conjunto de endereços públicos e os atribui por ordem de chegada. Quando um host com um endereço IP privado solicitar acesso à Internet, a NAT dinâmica escolherá um endereço IP do conjunto que não estiver mais sendo usado por outro host. Esse é o mapeamento descrito até então.

A NAT estática usa um mapeamento exclusivo de endereços globais e locais, e tais mapeamentos permanecem constantes. A NAT estática é particularmente útil para servidores web ou hosts que devam ter um endereço consistente que possa ser acessado da Internet. Esses hosts internos podem ser servidores corporativos ou dispositivos de redes interconectadas.

Tanto a NAT estática como a dinâmica exigem que endereços públicos suficientes estejam disponíveis para atender ao número total de sessões de usuário simultâneas.

Para observar de outra maneira como a NAT dinâmica funciona, acesse http://www.cisco.com/warp/public/556/nat.swf.

Exibir meio visual

Página 3:

Sobrecarga de NAT

A sobrecarga de NAT (chamada à vezes de Tradução de endereço de porta ou PAT) mapeia diversos endereços IP privados para um único endereço IP público ou para alguns endereços. Isso é o que a maioria dos roteadores locais fazem. Seu ISP atribui um endereço a seu roteador, mas vários membros de sua família podem navegar na Internet simultaneamente.

Com a sobrecarga de NAT, vários endereços podem ser mapeados para um ou alguns endereços porque cada endereço privado também é acompanhado por um número de porta. Quando um cliente abrir uma sessão de TCP/IP, o roteador de NAT atribuirá um número de porta ao seu endereço de origem. A sobrecarga de NAT garante que os clientes utilizem um número de porta TCP diferente para cada sessão do cliente com um servidor na Internet. Quando uma resposta voltar do servidor, o número de porta de origem, que se torna o número de porta de destino na viagem de retorno, determinará para qual cliente o roteador irá rotear os pacotes. Ele também validará se os pacotes de entrada foram solicitados, acrescentando um grau de segurança à sessão.

Clique nos controles para iniciar e pausar a animação.

Essa animação ilustra o processo. A sobrecarga de NAT utiliza números de porta de origem exclusivos no endereço IP global interno para fazer a distinção entre as traduções. Como o NAT processa cada pacote, ele usa um número de porta (neste exemplo, 1331 e 1555) para identificar o cliente do qual o pacote foi originado. O endereço de origem (SA, source address) é o endereço IP local interno com o número de porta atribuído de TCP/IP anexado. O endereço de destino (DA, destination address) é o endereço IP local externo com o número de porta de serviço anexado, neste caso a porta 80: HTTP.

No roteador de gateway de borda (R2), a sobrecarga de NAT altera o SA para o endereço IP global interno do cliente, novamente com o número de porta anexado. O DA é o mesmo endereço, mas agora está sendo chamado de endereço IP global externo. Quando o servidor web responder, o mesmo caminho será seguido, mas ao contrário.

Os números de porta são codificados em 16 bits. O número total de endereços internos que pode ser traduzido para um endereço externo pode ser, teoricamente, de 65.536 por cada endereço IP. Porém, na realidade, o número de endereços internos que pode ser atribuído a um único endereço IP é cerca de 4.000.

Clique no botão Próxima porta disponível na figura.

No exemplo anterior, os números de porta de cliente nos dois SAs, 1331 e 1555, não se alteram no gateway de borda. Esse cenário não é muito provável, pois existe uma grande chance de que esses números possam já ter sido anexados às outras sessões em andamento.

A sobrecarga de NAT tenta preservar a porta de origem inicial. Porém, se essa porta de origem já estiver sendo usada, a sobrecarga de NAT atribuirá o primeiro número de porta disponível do início do grupo de portas apropriado: 0-511, 512-1023 ou 1024-65535. Quando não houver mais nenhuma porta disponível e houver mais de um endereço IP externo configurado, a sobrecarga de NAT irá para o próximo endereço IP para tentar alocar a porta de origem inicial novamente. Esse processo continuará até que as portas disponíveis e os endereços IP externos acabem.

Na figura, ambos os hosts escolheram o mesmo número de porta 1444. Isso é aceitável para o endereço interno, porque ambos têm endereços IP privados exclusivos. Entretanto, no gateway de borda, os números de porta precisam ser alterados, caso contrário os dois pacotes dos dois hosts deixariam o R2 com o mesmo endereço de origem. A sobrecarga de NAT deu ao segundo endereço o primeiro número de porta disponível que, neste caso, é o 1445.

Diferenças entre a NAT e a sobrecarga de NAT

Um resumo das diferenças entre a NAT e a sobrecarga de NAT facilitará sua compreensão. A NAT geralmente só traduz os endereços IP em uma correspondência de 1:1 entre os endereços IP publicamente expostos e os endereços privativamente retidos. A sobrecarga de NAT modifica o endereço IP privado e o número de porta do remetente. A sobrecarga de NAT escolhe os números de porta vistos pelos hosts na rede pública.

A NAT roteia os pacotes de entrada para seus destinos internos recorrendo ao endereço IP de origem de entrada dado pelo host na rede pública. Com a sobrecarga de NAT, geralmente existe somente um ou muito poucos endereços IP publicamente expostos. Os pacotes de entrada da rede pública são roteados aos seus destinos na rede privada por

meio da consulta na tabela no dispositivo de sobrecarga de NAT que monitora os pares de portas públicas e privadas. Isso é chamado de monitoramento de conexão.

Exibir meio visual

7.2.3 Benefícios e desvantagens de usar a NAT

Página 1:

Benefícios e desvantagens de usar a NAT

A NAT oferece muitos benefícios e vantagens. Porém, existem algumas desvantagens de usá-la, inclusive a falta de suporte para alguns tipos de tráfego.

Os benefícios de usar a NAT incluem:

A NAT conserva o esquema de endereçamento legalmente registrado, permitindo a privatização das intranets. A NAT conserva os endereços através da multiplexação de nível de porta de aplicativo. Com sobrecarga de NAT, os hosts internos podem compartilhar um único endereço IP público para todas as comunicações externas. Neste tipo de configuração, são necessários muito poucos endereços externos para suportar os muitos hosts internos.

A NAT aumenta a flexibilidade das conexões com a rede pública. Diversos conjuntos, conjuntos de backup e conjuntos de balanceamento de carga podem ser implementados para assegurar conexões de redes públicas confiáveis.

A NAT fornece uma consistência para esquemas de endereçamento de rede internos. Em uma rede sem endereços IP privados e NAT, a mudança de endereços IP públicos exige a renumeração de todos os hosts na rede existente. Os custos para renumerar hosts podem ser significativos. O NAT permite que o esquema existente permaneça enquanto suporta um novo esquema de endereçamento público. Isso significa que uma organização poderia mudar os ISPs e não precisaria mudar nenhum de seus clientes internos.

O NAT oferece segurança de rede. Como as redes privadas não anunciam seus endereços ou topologia interna, elas permanecem razoavelmente seguras quando usadas juntamente com a NAT para obter o acesso externo controlado. Porém, a NAT não substitui os firewalls.

Entretanto, a NAT apresenta algumas desvantagens. Vários problemas são criados pelo fato de os hosts na Internet parecerem comunicar-se diretamente com o dispositivo de NAT, em vez de comunicar-se com o host real dentro da rede privada. Teoricamente,

um endereço IP globalmente exclusivo pode representar hosts endereçados privativamente. Isso pode ser vantajoso do ponto de vista da privacidade e segurança mas, na prática, existem desvantagens.

A primeira desvantagem afeta o desempenho. A NAT aumenta os atrasos da comutação porque a tradução de cada endereço IP dentro dos cabeçalhos do pacote é demorada. O primeiro pacote é comutado por processo, o que significa que ele sempre passa pelo caminho mais lento. O roteador deve observar todos os pacotes para decidir se eles precisam de tradução. O roteador precisa alterar o cabeçalho de IP e, possivelmente, alterar o cabeçalho de TCP ou UDP. Se existir uma entrada de cache, os pacotes restantes passam através do caminho que foi comutado rapidamente; caso contrário, eles também são atrasados.

Muitos protocolos e aplicativos de Internet dependem da funcionalidade fim-a-fim, com pacotes inalterados encaminhados da origem ao destino. Com a alteração dos endereços fim-a-fim, a NAT evita alguns aplicativos que utilizam o endereçamento IP. Por exemplo, alguns aplicativos de segurança, como as assinaturas digitais, falham porque o endereço IP de origem muda. Os aplicativos que usam endereços físicos em vez de um nome de domínio qualificado não alcançam os destinos que são traduzidos através do roteador de NAT. Às vezes, esse problema pode ser evitado implementando mapeamentos de NAT estáticos.

A capacidade de rastreamento IP fim-a-fim também é perdida. Torna-se muito mais difícil rastrear pacotes que passam por muitas mudanças de endereço ao longo dos diversos saltos da NAT, dificultando a identificação e solução de problemas. Por outro lado, os hackers que querem determinar a origem de um pacote acham difícil rastrear ou obter a origem ou o endereço de destino.

O uso da NAT também complica os protocolos de tunelamento, como o IPsec, porque ela modifica os valores nos cabeçalhos que interferem nas verificações de integridade feitas pelo IPsec e por outros protocolos de tunelamento.

Os serviços que exigem a iniciação de conexões de TCP da rede externa ou protocolos sem estado, como os que usam o UDP, podem ser interrompidos. A menos que o roteador de NAT se esforce especificamente para suportar esses protocolos, os pacotes de entrada não poderão chegar ao seu destino. Alguns protocolos podem acomodar uma instância de NAT entre os hosts participantes (FTP no modo passivo, por exemplo), mas falham quando ambos os sistemas são separados da Internet pela NAT.

Exibir meio visual

7.2.4 Configurando a NAT estática

Página 1:

NAT estática

Lembre-se de que a NAT estática é um mapeamento exclusivo entre um endereço interno e um endereço externo. A NAT estática permite conexões iniciadas por dispositivos externos para dispositivos internos. Por exemplo, você pode desejar mapear um endereço global interno para um endereço local interno específico que está atribuído ao seu servidor web.

A configuração das traduções de NAT estáticas é uma tarefa simples. É necessário definir os endereços a serem traduzidos e, em seguida, configurar a NAT nas interfaces apropriadas. Os pacotes que chegam em uma interface do endereço IP definido estão sujeitos à tradução. Os pacotes que chegam em uma interface externa, destinados para o endereço IP identificado, estão sujeitos à tradução.

A figura explica os comandos para cada etapa. Você digita as traduções estáticas diretamente na configuração. Diferentemente das traduções dinâmicas, essas traduções sempre estão na tabela de NAT.


A figura é uma configuração de NAT estática simples aplicada em ambas as interfaces. O roteador sempre traduz os pacotes do host dentro da rede com o endereço privado de 192.168.10.254 em um endereço externo de 209.165.200.254. O host na Internet direciona as solicitações da web ao endereço IP público 209.165.200.254, e o roteador R2 sempre encaminha esse tráfego ao servidor em 192.168.10.254.

Exibir meio visual

7.2.5 Configurando a NAT dinâmica

Página 1:

Configurando a NAT dinâmica

Enquanto a NAT estática fornece um mapeamento permanente entre um endereço interno e um endereço público específico, a NAT dinâmica mapeia os endereços IP privados para endereços públicos. Esses endereços IP públicos vêm de um conjunto de NAT. A configuração de NAT dinâmica é diferente da NAT estática, mas também apresenta algumas semelhanças. Assim como a NAT estática, ela exige que a configuração identifique cada interface como uma interface interna ou externa. Entretanto, em vez de criar um mapa estático para um único endereço IP, utiliza-se um conjunto de endereços globais internos.

Clique no botão Comandos na figura para ver as etapas e configurar a NAT dinâmica.

Para configurar a NAT dinâmica, você precisa de uma ACL para permitir somente os endereços que devem ser traduzidos. Ao desenvolver sua ACL, lembre-se de que há um “negar todos” implícito no final de cada ACL. Uma ACL muito permissiva pode levar a resultados imprevisíveis. A Cisco não aconselha configurar as listas de controle de acesso indicadas pelos comandos NAT com o comando permit any. O uso do comando permit any pode fazer com que a NAT consuma muitos recursos do roteador, o que pode levar a problemas de rede.


Essa configuração permite a tradução para todos os hosts nas redes 192.168.10.0 e 192.168.11.0 quando elas gerarem o tráfego que entrar em S0/0/0 e sair de S0/1/0. Esses hosts são traduzidos para um endereço disponível no intervalo de 209.165.200.226 - 209.165.200.240.

Exibir meio visual

7.2.6 Configurando a sobrecarga de NAT

Página 1:

Configurando a sobrecarga de NAT para um único endereço IP público

Existem duas maneiras possíveis de configurar a sobrecarga, dependendo de como o ISP aloca os endereços IP públicos. Em primeiro lugar, o ISP aloca um endereço IP público para a organização e, em seguida, aloca mais de um endereço IP público.

A figura mostra as etapas a serem seguidas para configurar a sobrecarga de NAT com um único endereço IP. Com somente um endereço IP público, a configuração da sobrecarga geralmente atribui esse endereço público à interface externa que se conecta ao ISP. Todos os endereços internos são traduzidos para o único endereço IP ao deixar a interface externa.

Clique no botão Comandos na figura para ver as etapas para configurar a sobrecarga de NAT.

A configuração é semelhante à NAT dinâmica. A diferença é que, em vez de um conjunto de endereços, a palavra-chave interface é usada para identificar o endereço IP externo. Portanto, nenhum conjunto de NAT foi definido. A palavra-chave sobrecarga permite adicionar o número da porta à tradução.


Este exemplo mostra como a sobrecarga de NAT é configurada. No exemplo, todos os hosts da rede 192.168.0.0 /16 (correspondentes à ACL 1) que enviam o tráfego através do roteador R2 para a Internet são traduzidos para o endereço IP 209.165.200.225 (endereço IP S0/1/0 da interface). Como a palavra-chave sobrecarga foi usada, os fluxos de tráfego foram identificados pelos números de porta.

Exibir meio visual

Página 2:

Configurando a sobrecarga de NAT para um conjunto de endereços IP públicos

No cenário onde o ISP fornecer mais de um endereço IP público, a sobrecarga de NAT será configurada para usar um conjunto. A principal diferença entre essa configuração e a configuração para a NAT dinâmica e exclusiva é que ela usa a palavra-chave

sobrecarga. Lembre-se de que a palavra-chave sobrecarga permite a tradução de endereço de porta.

Clique no botão Comandos na figura para ver as etapas da configuração da sobrecarga de NAT usando um conjunto de endereços.


Neste exemplo, a configuração estabelece a tradução de sobrecarga para o conjunto de NAT, NAT-POOL2. O conjunto de NAT contém os endereços 209.165.200.226 - 209.165.200.240 e é traduzido usando PAT. Os hosts na rede 192.168.0.0 /16 estão sujeitos à tradução. Por fim, as interfaces interna e externa são identificadas.

Exibir meio visual

7.2.7 Configurando o encaminhamento de porta

Página 1:

Encaminhamento de porta

O encaminhamento de porta (às vezes chamado de tunelamento) é o ato de encaminhar uma porta de rede de um nó de rede para outro. Essa técnica permite que um usuário externo alcance uma porta em um endereço IP privado (dentro de uma rede local) do endereço externo através de um roteador habilitado pela NAT.

Geralmente, os programas e as principais operações de compartilhamento de arquivos ponto a ponto, como o FTP de serviço e de saída da web, exigem que as portas do roteador sejam encaminhadas ou abertas para permitir o funcionamento desses aplicativos. Como a NAT oculta os endereços internos, o ponto a ponto só funciona no sentido contrário onde a NAT pode mapear as solicitações de saída de registro em relação às respostas de entrada.

O problema é que a NAT não permite que as solicitações sejam iniciadas do exterior. Essa situação pode ser resolvida com uma intervenção manual. O encaminhamento de

porta permite identificar as portas específicas que podem ser encaminhadas para os hosts internos.

Lembre-se de que os aplicativos de software da Internet interagem com portas de usuário que precisam estar abertas ou disponíveis para esses aplicativos. Diferentes aplicativos usam diferentes portas. Por exemplo, a Telnet usa a porta 23, o FTP usa as portas 20 e 21, o HTTP usa a porta 80 e o SMTP usa a porta 25. Isso torna previsível a identificação dos serviços de rede pelos aplicativos e roteadores. Por exemplo, o HTTP opera pela porta 80, que é conhecida. Quando você digita o endereço http://cisco.com, o navegador exibe o site da Cisco Systems, Inc. Observe que nós não precisamos especificar o número de porta HTTP para as solicitações de página porque o aplicativo supõe a porta 80.

Configurando o encaminhamento de porta

O encaminhamento de porta permite que os usuários na Internet acessem os servidores internos usando o endereço de porta de WAN e o número de porta externo correspondente. Quando os usuários enviam esses tipos de solicitações para seu endereço IP de porta de WAN pela Internet, o roteador encaminha essas solicitações aos servidores apropriados em sua rede local. Por questões de segurança, os roteadores de banda larga não permitem, por padrão, que seja encaminhada nenhuma solicitação de rede externa para um host interno.

Por exemplo, a figura está exibindo a janela Encaminhamento de porta simples de um roteador de SOHO de classe de negócios, Linksys WRVS4400N. Atualmente, o encaminhamento de porta não está configurado.

Clique no botão Exemplo de encaminhamento de porta na figura.

Você pode habilitar o encaminhamento de porta para os aplicativos e especificar o endereço local interno para o qual encaminhar as solicitações. Por exemplo, na figura, as solicitações de serviço do HTTP que chegam ao Linksys são encaminhadas, neste momento, para o servidor web com o endereço local interno de 192.168.1.254. Se o endereço IP WAN externo do roteador de SOHO for 209.165.200.158, o usuário externo poderá digitar http://209.165.200.158 e o roteador de Linksys redirecionará a solicitação de HTTP para o servidor web interno no endereço IP 192.168.1.254, usando o número de porta 80 padrão.

Nós podemos especificar uma porta diferente da porta padrão 80. Entretanto, o usuário externo teria que saber o número de porta específico a ser usado.

A abordagem que você adota para configurar o encaminhamento de porta depende da marca e modelo do roteador de banda larga na rede. Porém, existem algumas etapas genéricas a serem seguidas. Se as instruções fornecidas pelo seu ISP ou que vieram com o roteador não fornecerem uma orientação adequada, o site www.portforward.com oferece guias para diversos roteadores de banda larga. Você pode seguir as instruções para adicionar ou excluir portas conforme o necessário para que as necessidades de qualquer aplicativo que você deseja aceitar ou rejeitar sejam atendidas.

Exibir meio visual

7.2.8 Verificando, identificando e solucionando problemas das configurações de NAT

Página 1:

Verificando a NAT e a sobrecarga de NAT

É importante verificar a operação de NAT. Existem vários comandos de roteador úteis para exibir e apagar as traduções de NAT. Este tópico explica como verificar a operação de NAT usando as ferramentas disponíveis nos roteadores Cisco.

Um dos comandos mais úteis ao verificar a operação de NAT é o comando show ip nat translations. Antes de usar os comandos show para verificar a NAT, você deve apagar as entradas de tradução dinâmica que ainda estejam presentes porque, por padrão, as traduções dinâmicas de endereço expiram da tabela de tradução NAT após um período de falta de uso.

Na figura, o roteador R2 foi configurado para fornecer a sobrecarga de NAT aos clientes de 192.168.0.0 /16. Quando os hosts internos saem do roteador R2 para a Internet, eles são traduzidos para o endereço IP da interface serial com um número de porta de origem exclusivo.

Suponha que os dois hosts na rede interna acessaram os serviços da web pela Internet.

Clique no botão Traduções de NAT na figura.

Observe que a saída do comando show ip nat translations exibe os detalhes das duas atribuições de NAT. Adicionar verbose ao comando exibirá as informações adicionais sobre cada tradução, inclusive há quanto tempo a entrada foi criada e usada.

O comando exibe todas as traduções estáticas que foram configuradas, além das traduções dinâmicas que foram criadas pelo tráfego. Cada tradução é identificada através do protocolo e através dos endereços locais e globais, internos e externos.

Clique no botão Estatísticas de NAT na figura.

O comando show ip nat statistics exibe informações sobre o número total de traduções ativas, os parâmetros de configuração de NAT, quantos endereços estão no conjunto e quantos foram alocados.

Na figura, os hosts iniciaram o tráfego da web, além do tráfego ICMP.

Como alternativa, use o comando show run e procure a NAT, a lista de comandos de acesso, a interface ou comandos de conjunto com os valores exigidos. Examine-os cuidadosamente e corrija os erros que encontrar.

Por padrão, a tradução expira depois de 24 horas, a menos que os temporizadores sejam reconfigurados com o comando ip nat translation timeouttimeout_ seconds no modo de configuração global.

Clique no botão NAT apagado na figura.

Às vezes é útil apagar as entradas dinâmicas antes do tempo padrão. Isso é especialmente verdadeiro ao testar a configuração de NAT. Para apagar as entradas

dinâmicas antes de o tempo limite expirar, use comando global clear ip nat translation.

A tabela na figura está exibindo os vários modos de apagar as traduções de NAT. Você pode especificar qual tradução apagar ou pode apagar todas as traduções da tabela usando o comando global clear ip nat translation *, como mostrado no exemplo.

Somente as traduções dinâmicas são apagadas da tabela. As traduções estáticas não podem ser apagadas da tabela de tradução.

Exibir meio visual

Página 2:

Identificação e solução de problemas de configuração da NAT e da sobrecarga de NAT

Quando você tiver problemas de conectividade IP em um ambiente de NAT, geralmente é difícil determinar suas causas. A primeira etapa da resolução do problema é excluir a NAT como a causa. Siga estas etapas para verificar se a NAT está funcionando como esperado:

Etapa 1. Com base na configuração, defina claramente o que a NAT deve alcançar. Isso pode revelar um problema com a configuração.

Etapa 2. Verifique se as traduções corretas se encontram na tabela usando o comando show ip nat translations.

Etapa 3. Use os comandos clear e debug para verificar se a NAT está funcionando conforme o esperado. Verifique se as entradas dinâmicas são recriadas depois de serem apagadas.

Etapa 4. Observe detalhadamente o que acontece com o pacote e verifique se os roteadores possuem as informações de roteamento corretas para mover o pacote.

Use o comando debug ip nat para verificar a operação do recurso de NAT exibindo as informações sobre os pacotes que são traduzidos pelo roteador. O comando debug ip nat detailed gera uma descrição de cada pacote considerado para tradução. Esse comando também exibe informações sobre certos erros ou condições de exceção, como a falha para alocar um endereço global.

A figura apresenta uma amostra da saída do comando debug ip nat. Na saída do comando, é possível observar que o host interno 192.168.10.10 iniciou o tráfego para o host externo 209.165.200.254 e foi traduzido para o endereço 209.165.200.225.

Ao decodificar a saída do comando da depuração, observe o que os símbolos e valores seguintes indicam:

* - O asterisco próximo à NAT indica que a tradução está ocorrendo no caminho de comutação rápida. O primeiro pacote em uma conversação sempre é comutado por processo, o que é mais lento. Se existir uma entrada de cache, os pacotes restantes passam através do caminho que foi comutado rapidamente.

s= - Refere-se ao endereço IP de origem. a.b.c.d---> w.x.y.z - Indica que o endereço de origem a.b.c.d é traduzido para

w.x.y.z. d= - Refere-se ao endereço IP de destino. [xxxx] - O valor em colchetes é o número de identificação IP. Essas informações

podem ser úteis para a depuração porque elas habilitam a correlação com outros rastros de pacote de analisadores de protocolo.

Você pode ver as seguintes demonstrações sobre como verificar, identificar e solucionar problemas da NAT nestes locais:

Flash Animation Case Study: Can Ping Host, but Cannot Telnet: Animação em flash com duração de sete minutos sobre por que um dispositivo pode executar ping no host, mas não pode usar a telnet: http://www.cisco.com/warp/public/556/index.swf.

Flash Animation Case Study: Cannot Ping Beyond NAT: Animação em flash com duração de dez minutos sobre como um dispositivo não pode executar ping além da NAT: http://www.cisco.com/warp/public/556/TS_NATcase2/index.swf.

Exibir meio visual

Página 3:

A NAT traduz endereços privados, não roteáveis e internos em endereços públicos, roteáveis. A NAT tem um benefício adicional de proporcionar um nível de privacidade e segurança para uma rede porque ela oculta endereços IP internos de redes externas. Nesta atividade, você configurará a NAT dinâmica e estática.




Exibir meio visual

7.3 IPv6

7.3.1 Motivos para usar o IPv6

Página 1:

Por que precisamos de mais espaço de endereço

Para compreender os problemas de endereçamento IP que atingem os administradores de rede, considere que o espaço de endereço do IPv4 fornece, aproximadamente, 4.294.967.296 endereços exclusivos. Desses, apenas 3,7 bilhões de endereços podem ser atribuídos porque o sistema de endereçamento do IPv4 separa os endereços em classes e reserva os endereços para multicast, teste e outros usos específicos.

Com base nos números de janeiro de 2007, aproximadamente 2,4 bilhões dos endereços de IPv4 disponíveis já foram atribuídos a usuários finais ou ISPs. Isso deixa aproximadamente 1,3 bilhão de endereços ainda disponíveis do espaço de endereços do

IPv4. Apesar desse número aparentemente grande, o espaço de endereços do IPv4 está acabando.

Clique no botão Reproduzir na figura para ver a rapidez desses acontecimentos durante os últimos 14 anos.

Na última década, a comunidade da Internet analisou o esgotamento dos endereço do IPv4 e publicou pilhas de relatórios. Alguns relatórios preveem o esgotamento dos endereços de IPv4 por volta de 2010 e outros dizem que isso não acontecerá até 2013.

Clique no botão Redução na figura para ver como o espaço de endereços disponíveis está sendo reduzido.

O crescimento da Internet, aliado ao aumento do poder da computação, aumentou o alcance dos aplicativos baseados em IP.

Clique no botão Por que o IPv6 na figura e pense sobre o que está levando a uma mudança para o IPv6.

O conjunto de números está sendo reduzido pelos seguintes motivos:

Crescimento da população - A população da Internet está crescendo. Em novembro de 2005, a Cisco estimou que havia 973 milhões de usuários aproximadamente. Esse número dobrou desde então. Além disso, os usuários ficam online por mais tempo, reservando os endereços IP por períodos mais longos e entrando em contato com cada vez mais pontos diariamente.

Usuários móveis - A indústria produziu mais de um bilhão de telefones celulares. Foram produzidos mais de 20 milhões de dispositivos móveis habilitados para IP, inclusive assistentes digitais pessoais (PDAs, personal digital assistants), canetas digitais, blocos de notas e leitores de códigos de barra. Cada vez mais dispositivos móveis habilitados para IP ficam online todos os dias. Os telefones celulares antigos não precisavam de endereços IP, mas os novos precisam.

Transporte - Haverá mais de um bilhão de automóveis por volta de 2008. Os modelos mais novos são habilitados para IP para permitir que a monitoração remota forneça uma manutenção e suporte em tempo hábil. A Lufthansa já

fornece a conectividade da Internet em seus voos. Mais operadoras, incluindo os navios, fornecerão serviços semelhantes.

Equipamentos eletrônicos - Os dispositivos mais novos permitem a monitoração remota usando a tecnologia IP. São exemplos os gravadores de vídeo digital (DVRs, Digital Video Recorder), que fazem o download de guias de programas e os atualizam pela Internet. As redes locais podem conectar esses dispositivos.

Exibir meio visual

Página 2:

Motivos para usar o IPv6

O movimento para mudar do IPv4 para o IPv6 já começou, especialmente na Europa, Japão e na região da Ásia-Pacífico. Essas áreas estão esgotando seus endereços IPv4 distribuídos, o que torna o IPv6 ainda mais atraente e necessário. O movimento foi oficialmente iniciado no Japão no ano 2000, quando o governo japonês determinou a incorporação do IPv6 e definiu o prazo final para 2005 para que se atualizassem os sistemas existentes em todos os negócios e no setor público. A Coreia, China e Malásia tiveram iniciativas semelhantes.

Em 2002, a IPv6 Task Force da Comunidade Europeia formou uma aliança estratégica para encorajar a adoção do IPv6 em todo o mundo. A IPv6 Task Force norte-americana começou a exigir que os mercados norte-americanos adotassem o IPv6. Os primeiros avanços significativos nos Estados Unidos são provenientes do Departamento de Defesa Norte-Americano (DoD, U.S Department of Defense). Prevendo o futuro e conhecendo as vantagens de dispositivos habilitados para IP, o DoD designou, já em 2003, que todos os novos equipamentos comprados, além de serem habilitados para IP, fossem habilitados também para o IPv6. Na realidade, todos os órgãos públicos norte-americanos devem começar a usar o IPv6 em suas redes principais por volta de 2008, e eles estão trabalhando para cumprir com esse prazo.

A capacidade de dimensionar as redes para as demandas futuras requer um fornecimento ilimitado de endereços IP e uma mobilidade aprimorada que o DHCP e a NAT sozinhos não conseguem atingir. O IPv6 satisfaz os requisitos cada vez mais complexos do endereçamento hierárquico que o IPv4 não fornece.

Devido à enorme base instalada do IPv4 no mundo, não é difícil avaliar que a transição das implantações do IPv4 para o IPv6 seja um desafio. Entretanto existe uma variedade

de técnicas, inclusive uma opção de configuração automática, para fazer a transição de modo mais fácil. O mecanismo de transição usado por você dependerá das necessidades de sua rede.

A figura compara as representações binárias e alfanuméricas dos endereços do IPv4 e do IPv6. Um endereço IPv6 é um valor binário de 128 bits que pode ser exibido como 32 dígitos hexadecimais. O IPv6 deve fornecer endereços suficientes para as necessidades do crescimento futuro da Internet por muitos anos. Existem endereços IPv6 suficientes para alocar mais do que o espaço de endereços de Internet do IPv4 inteiro a todas as pessoas do mundo.

Clique no botão Perspectiva na figura.

Então, o que aconteceu com o IPv5? O IPv5 foi usado para definir um protocolo experimental de streaming em tempo real. Para evitar qualquer confusão, foi decidido não usar o IPv5 e nomear o novo protocolo IP como IPv6.

Exibir meio visual

Página 3:

O IPv6 não existiria não fosse o esgotamento reconhecido de endereços IPv4 disponíveis. Porém, além do maior espaço de endereços IP, o desenvolvimento do IPv6 apresentou oportunidades para aplicar as lições aprendidas a partir das limitações do IPv4 para criar um protocolo com recursos novos e aprimorados.

Uma arquitetura de cabeçalho e uma operação de protocolo simplificados se traduzem em gastos operacionais reduzidos. Os recursos de segurança integrados significam práticas de segurança mais fáceis, extremamente ausentes em muitas redes atuais. Entretanto, talvez a melhoria mais significativa oferecida pelo IPv6 sejam os recursos de autoconfiguração que ele possui.

A Internet está evoluindo rapidamente de uma coleção de dispositivos fixos para uma rede fluida de dispositivos móveis. O IPv6 permite que os dispositivos móveis adquiram e façam a transição rapidamente entre endereços conforme eles se movem entre redes externas, sem que haja necessidade de um agente externo. (Um agente externo é um roteador que pode funcionar como o ponto de anexo para um dispositivo móvel quando for de sua rede local para uma rede externa.)

A autoconfiguração de endereço também significa uma conectividade de rede plug and play mais sólida. A autoconfiguração suporta clientes que tenham qualquer combinação de computadores, impressoras, câmeras digitais, rádios digitais, telefones IP, dispositivos domésticos habilitados para a Internet e brinquedos eletrônicos conectados às suas redes locais. Muitos fabricantes já integram o IPv6 em seus produtos.

Muitos dos aprimoramentos oferecidos pelo IPv6 são explicados nesta seção, incluindo:

Endereçamento IP aprimorado Cabeçalho simplificado Mobilidade e segurança Riqueza de transição

Endereçamento IP aprimorado

Um espaço maior de endereço oferece vários aprimoramentos, incluindo:

Melhor acessibilidade e flexibilidade globais. Melhor agregação de prefixos de IP anunciados nas tabelas de roteamento. Hosts multihome . Multihoming é uma técnica para aumentar a confiabilidade da

conexão da Internet de uma rede IP. Com o IPv6, um host pode ter vários endereços IP sobre um link upstream físico. Por exemplo, um host pode conectar-se a vários ISPs.

A autoconfiguração, que pode incluir endereços de camada de enlace de dados no espaço de endereço.

Mais opções de plug and play para mais dispositivos. Reendereçamento público-para-privado e fim-a-fim sem tradução de endereços.

Ele torna a rede ponto a ponto (P2P) mais funcional e mais fácil de ser implantada.

Mecanismos simplificados para renumeração e modificação do endereço.

Clique no botão Cabeçalho simples na figura.

A figura compara a estrutura de cabeçalho de IPv6 simplificada ao cabeçalho de IPv4. O cabeçalho de IPv4 possui 20 octetos e 12 campos de cabeçalho básicos, seguidos por um campo de opções e uma porção de dados (normalmente o segmento de Camada de transporte). O cabeçalho de IPv6 possui 40 octetos, três campos de cabeçalho básicos de IPv4 e cinco campos de cabeçalho adicionais.

O cabeçalho simplificado de IPv6 oferece várias vantagens com relação ao IPv4:

Melhor eficiência de roteamento para desempenho e escalabilidade de taxa de encaminhamento

Ausência de broadcasts e, desse modo, ausência de ameaças de broadcast storms Sem necessidade de processar checksums Mecanismos de cabeçalho de extensão simplificados e mais eficientes Rótulos de fluxo para processamento por fluxo sem a necessidade de abrir o

pacote interno de transporte para identificar os diversos fluxos de tráfego

Mobilidade e segurança aprimoradas

A mobilidade e a segurança ajudam a garantir a conformidade com a funcionalidade dos padrões de IP móveis e Segurança IP (IPsec). A mobilidade permite que as pessoas com dispositivos de rede móveis, muitas com conectividade sem fio, movam-se entre as redes.

O padrão de IP móvel da IETF está disponível para o IPv4 e o IPv6. Ele permite que os dispositivos móveis se movam em conexões de rede estabelecidas sem interrupções. O dispositivos móveis usam um endereço secundário para obter essa mobilidade. Com o IPv4, esses endereços são configurados manualmente. Com o IPv6, as configurações são dinâmicas, dando uma mobilidade integrada aos dispositivos habilitados para Ipv6.

O IPsec está disponível para IPv4 e IPv6. Embora as funcionalidades sejam essencialmente idênticas em ambos os ambientes, o IPsec é obrigatório no IPv6, tornando a Internet do IPv6 mais segura.

Riqueza de transição

O IPv4 não desaparecerá do dia para a noite. Ao contrário, ele coexistirá com o IPv6 e será gradualmente substituído por ele. Por essa razão, o IPv6 foi criado com técnicas de migração para abranger todos os casos concebíveis de atualização do IPv4. Porém, no final das contas, muitas foram rejeitadas pela comunidade tecnológica.

Existem atualmente três abordagens principais.

Pilha dupla Tunelamento 6to4 NAT-PT, tunelamento ISATAP e tunelamento Teredo (métodos de último caso)

Algumas dessas abordagens serão discutidas com mais detalhes posteriormente nesse capítulo.

O conselho atual para fazer a transição para o IPv6 é "Pilha dupla onde puder, túnel onde precisar!"

Exibir meio visual

7.3.2 Endereçamento IPv6

Página 1:

Representação de endereço IPv6

Você conhece o endereço IPv4 de 32 bits como uma série de quatro campos de 8 bits, separada por pontos. Porém, endereços IPv6 maiores, de 128 bits, precisam de uma representação diferente por causa de seu tamanho. Os endereços IPv6 usam dois-pontos para separar as entradas em uma série de hexadecimal de 16 bits.

Clique no botão Representação na figura.

A figura mostra o endereço 2031:0000:130F:0000:0000:09C0:876A:130B. O IPv6 não requer uma notação de cadeia de endereços explícita. A figura mostra como encurtar o endereço aplicando as seguintes diretrizes:

Os zeros à esquerda em um campo são opcionais. Por exemplo, o campo 09C0 é igual ao 9C0 e o campo 0000 é igual a 0. Assim 2031:0000: 130F:0000:0000:09C0:876A:130B podem ser escritos como 2031:0: 130F:0000:0000:9C0: 876A:130B.

Os campos sucessivos de zeros podem ser representados como dois sinais de dois-pontos "::”. Entretanto, este método de taquigrafia só pode ser usado uma vez em cada endereço. Por exemplo, 2031:0:130F:0000:0000:9C0:876A:130B pode ser escrito como 2031:0:130F::9C0:876A:130B.

Um endereço especificado é escrito como "::" porque contém somente zeros.

Usando o "::", a notação reduz bastante o tamanho da maioria dos endereços, como mostrado. Um analista de endereços identifica o número de zeros faltantes separando duas partes quaisquer de um endereço e digitando 0s até que os 128 bits estejam completos.

Clique no botão Exemplos na figura para obter alguns exemplos adicionais.

Exibir meio visual

Página 2:

Endereço de unicast global do IPv6

O IPv6 possui um formato de endereço que permite eventualmente uma maior agregação para o ISP. Endereços de unicast globais consistem geralmente de um prefixo de roteamento global de 48 bits e uma ID de sub-rede de 16 bits. As organizações individuais podem usar um campo de sub-rede de 16 bits para criar sua própria hierarquia de endereçamento local. Esse campo permite que uma organização use até 65.535 sub-redes individuais.

Na parte superior da figura, podemos ver como a hierarquia adicional é acrescentada ao prefixo de roteamento global de 48 bits com o prefixo de registro, prefixo de ISP e prefixo do site.

O endereço de unicast global atual que é atribuído pelo IANA usa o intervalo de endereços iniciado com o valor binário 001 (2000::/3), que é 1/8 do espaço total do endereço IPv6 e que é o maior bloco de endereços atribuídos. O IANA está alocando o espaço de endereços IPv6 nos intervalos de 2001::/16 para os cinco registros RIR (ARIN, RIPE NCC, APNIC, LACNIC e AfriNIC).

Para obter mais informações, consulte a RFC 3587, Formato de endereços de unicast de IPv6, que substitui a RFC 2374.

Endereços reservados

O IETF reserva uma porção do espaço de endereços IPv6 para vários usos, presentes e futuros. Os endereços reservados representam 1/256 do espaço de endereço IPv6 total. Alguns dos outros tipos de endereços IPv6 são originados deste bloco.

Endereços privados

Um bloco de endereços IPv6 é reservado para endereços privados, assim como é feito no IPv4. Esses endereços privados são locais somente para um link ou local específico e, portanto, nunca são roteados para fora de uma rede corporativa específica. Os endereços privados possuem um valor de primeiro octeto de "FE" em notação hexadecimal, com o próximo dígito hexadecimal sendo um valor de 8 para F.

Esses endereços são divididos ainda em dois tipos, com base no escopo.

Endereços locais de site são endereços semelhantes à Alocação de endereços para internet privada no IPv4 da RFC 1918 de hoje. O escopo desses endereços é um site ou organização inteiros. Entretanto, o uso dos endereços locais é problemático e está sendo substituído desde 2003 pela RFC 3879. Em hexadecimais, os endereços locais começam com "FE" e então de "C" até "F" para o terceiro dígito hexadecimal.

Endereços de enlace locais são novos para o conceito de endereçamento com IP na Camada de rede. Esses endereços têm um escopo menor do que os endereços locais de site. Eles se referem somente a um link físico específico (rede física).

Os roteadores não encaminham datagramas utilizando endereços de enlace locais, nem mesmo dentro da organização. Eles servem somente para comunicação local em um segmento de rede físico específico. Eles são usados para comunicações de link como a configuração de endereço automática, detecção de vizinho e detecção de roteador. Muitos protocolos de roteamento do IPv6 também usam endereços de enlace locais. Os endereços de enlace locais começam com "FE" e, assim, possuem um valor de "8" para "B" para o terceiro dígito hexadecimal.

Endereço de loopback

Assim como ocorre no IPv4, foi fornecido um endereço IPv6 de loopback especial para testes. Os datagramas enviados para esse endereço retornam para o dispositivo de origem. Entretanto, existe apenas um endereço no IPv6 para essa função, e não um bloco inteiro. O endereço de loopback é 0:0:0:0:0:0:0:1, normalmente expresso com o uso da compressão do zero com o ":: 1."

Endereço não especificado

No IPv4, um endereço IP somente com zeros tem um significado especial. Ele se refere ao próprio host e é usado quando um dispositivo não souber seu próprio endereço. No IPv6, esse conceito foi formalizado, e o endereço somente com zeros (0:0:0:0:0:0:0:0) recebe o nome de endereço "não especificado." Ele é usado normalmente no campo de origem de um datagrama, o qual é enviado por um dispositivo que busca ter seu endereço IP configurado. É possível aplicar a compressão de endereços a esse endereço. Como somente contém zeros, ele se tornará simplesmente "::".

Exibir meio visual

Página 3:

Gerenciamento de endereços IPv6

Os endereços do IPv6 usam identificadores de interface para identificar as interfaces em um link. Considere-os como a "porção de host" de um endereço IPv6. Os identificadores de interface devem ser exclusivos em um link específico. Os identificadores de interface são sempre de 64 bits e são derivados dinamicamente de um endereço de Camada 2 (endereço MAC).

Você pode atribuir uma ID de endereço IPv6 estática ou dinamicamente:

Atribuição estática usando uma ID de interface manual Atribuição estática usando uma ID de interface EUI-64 Configuração automática sem estado DHCP para IPv6 (DHCPv6)

Atribuição de ID de interface manual

Uma maneira de atribuir um endereço IPv6 estaticamente a um dispositivo é atribuir o prefixo (rede) e a porção da ID de interface (host) do endereço IPv6. Para configurar um endereço IPv6 em uma interface do roteador Cisco, use o comando ipv6 address ipv6-address/prefix-length no modo de configuração de interface. O exemplo seguinte mostra a atribuição de um endereço IPv6 à interface de um roteador Cisco:

RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::72/64

Atribuição de ID de interface EUI-64

Outra maneira de atribuir um endereço IPv6 é configurar a porção do prefixo (rede) do endereço IPv6 e derivar a porção da ID de interface (host) do endereço MAC de camada 2 do dispositivo, conhecido como a ID de interface EUI-64.

Clique no botão EUI-64 na figura.

O padrão EUI-64 explica como expandir os endereços MAC do IEEE 802 de 48 para 64 bits inserindo o 0xFFFE de 16 bits no meio do 24º bit do endereço MAC, a fim de criar um identificador de interface de 64 bits exclusivo.

Para configurar um endereço IPv6 em uma interface do roteador Cisco e habilitar o processamento de IPv6 usando o EUI-64 nessa interface, use o comando ipv6 address ipv6-prefix/prefix-length eui-64 no modo de configuração de interface. O exemplo seguinte mostra a atribuição de um endereço EUI-64 à interface de um roteador Cisco:

RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64

Configuração automática sem estado

A configuração automática configura automaticamente o endereço IPv6. No IPv6, presume-se que os dispositivos que não sejam do PC, bem como os terminais de computador, serão conectados à rede. O mecanismo de configuração automática foi introduzido para permitir que a rede plug-and-play desses dispositivos ajudem a reduzir a sobrecarga de administração.

DHCPv6 (sem estado)

O DHCPv6 permite que os servidores DHCP transmitam os parâmetros de configuração, como os endereços de rede IPv6, para os nós do IPv6. Ele oferece o recurso de alocação automática de endereços de rede reutilizáveis e uma flexibilidade de configuração adicional. Esse protocolo é um correspondente sem estado da configuração automática de endereços sem estado do IPv6 (RFC 2462) e pode ser usado separado da configuração automática de endereços sem estado do IPv6, ou simultaneamente a ela, para obter os parâmetros de configuração.

Para obter mais informações sobre a atribuição de endereços IPv6, acesse o site: http://www.netbsd.org/docs/network/ipv6/.

Exibir meio visual

7.3.3 Estratégias de transição do IPv6

Página 1:

Estratégias de transição do IPv6

A transição do IPv4 não exige melhorias concomitantes em todos os nós. Muitos mecanismos de transição permitem uma integração tranquila do IPv4 e IPv6. Outros mecanismos que permitem que os nós de IPv4 se comuniquem com os nós de IPv6 estão disponíveis. Situações diferentes exigem estratégias diferentes. A figura ilustra a riqueza de estratégias de transição disponíveis.

Lembre-se do conselho: "Pilha dupla onde puder, túnel onde precisar." Esses dois métodos são as técnicas mais comuns para fazer a transição de IPv4 para IPv6.

Empilhamento duplo

O empilhamento duplo é um método de integração no qual um nó possui implementação e conectividade a uma rede IPv4 e a uma rede IPv6. Essa é a opção recomendada e envolve a execução de IPv4 e IPv6 ao mesmo tempo. Os roteadores e os switches são configurados para suportar ambos os protocolos, sendo que o IPv6 é o protocolo preferido.

Tunelamento

A segunda técnica de transição mais importante é o tunelamento. Existem várias técnicas de tunelamento disponíveis, incluindo:

Tunelamento manual de IPv6 sobre IPv4 - Um pacote de IPv6 é encapsulado dentro do protocolo IPv4. Esse método exige roteadores de pilha dupla.

Tunelamento dinâmico 6to4 – Estabelece a conexão das ilhas de IPv6 automaticamente através de uma rede IPv4, normalmente a Internet. Ele aplica automaticamente um prefixo de IPv6 válido e exclusivo a cada ilha de IPv6, permitindo a rápida implantação do IPv6 em uma rede corporativa sem que ocorra a recuperação de endereço dos ISPs ou dos registros.

Outras técnicas de tunelamento menos populares, que estão além do escopo deste curso, incluem:

Protocolo de endereçamento automático de túnel intra-site (ISATAP, Intra-Site Automatic Tunnel Addressing Protocol) – Mecanismo de tunelamento de sobreposição automática que usa a rede de IPv4 subjacente como uma camada de enlace para o IPv6. Os túneis do ISATAP permitem que os hosts de pilha dupla individuais de IPv4 ou IPv6 dentro de um local se comuniquem com outros hosts em um link virtual, criando uma rede de IPv6 que utiliza a infraestrutura de IPv4.

Tunelamento Teredo - Uma tecnologia de transição de IPv6 que fornece o tunelamento automático de host para host em vez de um tunelamento de gateway. Essa abordagem transmite o tráfego unicast de IPv6 quando os hosts de pilha dupla (hosts que executam tanto o IPv6 quanto o IPv4) estão localizados atrás de um ou de vários NATs de IPv4.

Tradução do protocolo NAT (NAT-PT)

O software IOS Cisco Release 12.3(2)T e mais recente (com o conjunto de recursos apropriado) também inclui o NAT-PT entre IPv6 e IPv4. Essa tradução permite a comunicação direta entre hosts que usam versões diferentes do protocolo IP. Essas traduções são mais complexas do que a NAT de IPv4. Neste momento, essa técnica de tradução é a opção menos favorável e deve ser usada como o último recurso.

Exibir meio visual

7.3.4 Pilha dupla do IOS Cisco

Página 1:

Pilha dupla do IOS Cisco

O empilhamento duplo é um método de integração que permite que um nó tenha conectividade a uma rede IPv4 e a uma rede IPv6 simultaneamente. Cada nó possui duas pilhas de protocolo com a configuração na mesma interface ou em várias interfaces.

A abordagem da pilha dupla para a integração de IPv6, na qual os nós possuem tanto as pilhas de IPv4 quanto as de IPv6, será um dos métodos de integração mais comumente usados. Um nó de pilha dupla escolhe qual pilha usar com base no endereço de destino do pacote. Um nó de pilha dupla deve preferir o IPv6 quando ele estiver disponível. Os aplicativos antigos exclusivos de IPv4 continuam funcionando como antes. Os aplicativos novos e modificados tiram proveito de ambas as camadas de IP.

Uma nova interface de programação de aplicativos (API, Application Programming Interface) foi definida para suportar os endereços de IPv4 e de IPv6 e solicitações de DNS. Uma API facilita a troca de mensagens ou de dados entre dois ou mais aplicativos de software diferentes. Um exemplo de uma API é a interface virtual entre duas funções de software, como um processador de textos e uma planilha. A API é integrada aos aplicativos de software para traduzir o IPv4 em IPv6 e vice-versa, usando o mecanismo de conversão de IP. Os novos aplicativos podem usar o IPv4 e o IPv6.

A experiência de portar os aplicativos de IPv4 para IPv6 sugere que, para a maioria dos aplicativos, há uma alteração mínima em alguns pontos localizados dentro do código-fonte. Essa técnica é bastante conhecida e tem sido aplicada nas últimas outras transições de protocolo. Ela permite melhorias de aplicativos graduais, uma por uma, para o IPv6.

Clique no botão Configurando a interface de IPv6 na figura.

O software IOS Cisco Release 12.2(2)T e mais recente (com o conjunto de recursos apropriado) são habilitados para o IPv6. Logo após a configuração do IPv4 e IPv6 básicos na interface, a interface sofre o empilhamento duplo e encaminha o tráfego de IPv4 e de IPv6 naquela interface. Observe que um endereço de IPv4 e um endereço de IPv6 foram configurados.

O uso do IPv6 em um roteador do IOS Cisco exige que você use o comando de configuração global ipv6 unicast-routing. Esse comando habilita o encaminhamento de datagramas de IPv6.

Você deve configurar todas as interfaces que encaminham o tráfego de IPv6 com um endereço de IPv6 usando o comando de interface ipv6 addressIPv6-address [/prefix length].

Exibir meio visual

7.3.5 Tunelamento de IPv6

Página 1:

Tunelamento de IPv6

O tunelamento é um método de integração onde um pacote de IPv6 é encapsulado dentro de outro protocolo, como o IPv4. Esse método permite a conexão das ilhas de IPv6 sem que haja a necessidade de converter as redes intermediárias para o IPv6. Quando o IPv4 for usado para encapsular o pacote de IPv6, um tipo de protocolo de 41 será especificado no cabeçalho de IPv4, e o pacote incluirá um cabeçalho de IPv4 de 20 bytes sem opções, um cabeçalho de IPv6 e a payload. Ele também exige roteadores de pilha dupla.

O tunelamento apresenta estes dois problemas. A unidade máxima de transmissão (MTU, Maximum Transmission Unit) será diminuída efetivamente em 20 octetos se o cabeçalho de IPv4 não contiver nenhum campo opcional. Além disso, é geralmente difícil identificar e solucionar problemas de uma rede tunelada.

O tunelamento é uma técnica de integração e transição intermediária e não deve ser considerada como uma solução final. Uma arquitetura de IPv6 nativa será o objetivo final.

Exibir meio visual

Página 2:

Túnel IPv6 manualmente configurado

Um túnel manualmente configurado equivale a um link permanente entre dois domínios de IPv6 sobre um backbone de IPv4. A utilização principal é para conexões estáveis que exigem uma comunicação regular segura entre dois roteadores de extremidade ou entre um sistema final e um roteador de extremidade, ou para a conexão com redes IPv6 remotas. Os roteadores finais devem ter passado por empilhamento duplo, e a configuração não pode mudar dinamicamente conforme as necessidades da rede e do roteamento precisem de mudanças.

Os administradores configuram um endereço IPv6 estático manualmente em uma interface de túnel e atribuem endereços IPv4 estáticos configurados manualmente à origem do túnel e ao destino do túnel. O host ou roteador em cada extremidade de um túnel configurado deve suportar as pilhas do protocolo IPv4 e IPv6. Os túneis

manualmente configurados podem ser configurados entre roteadores de borda ou entre um roteador de borda e um host.

Exibir meio visual

7.3.6 Considerações de roteamento com o IPv6

Página 1:

Configurações de roteamento com o IPv6

Assim como o roteamento entre domínios com endereços classless (CIDR, Classless Interdomain Routing) do IPv4, o IPv6 usa o roteamento de correspondência com o prefixo mais longo. O IPv6 utiliza versões modificadas da maioria dos protocolos de roteamento comuns para lidar com os endereços IPv6 mais longos e com estruturas de cabeçalho diferentes.

Espaços de endereços maiores abrem espaço para alocações de endereço grandes para os ISPs e as organizações. Um ISP agrega todos os prefixos de seus clientes em um único prefixo e anuncia esse único prefixo para a Internet de IPv6. O espaço de endereços aumentado é suficiente para permitir que as organizações definam um único prefixo para toda a sua rede.

Mas como isso afeta o desempenho do roteador? Uma breve revisão de como um roteador funciona em uma rede ajudará a ilustrar como o IPv6 afeta o roteamento. Conceitualmente, um roteador possui três áreas funcionais:

O plano de controle trata da interação do roteador com os outros elementos de rede, fornecendo as informações necessárias para tomar as decisões e para controlar a operação global do roteador. Este plano executa processos tais como os protocolos de roteamento e o gerenciamento de rede. Essas funções são geralmente complexas.

O plano de dados lida com o encaminhamento de pacotes de uma interface física ou lógica para outra. Ele envolve diferentes mecanismos de comutação como a comutação de processo e o Cisco Express Forwarding (CEF) em roteadores do software IOS Cisco.

Os serviços aprimorados incluem recursos avançados aplicados ao encaminhar dados, como a filtragem de pacotes, qualidade de serviço (QoS, Quality of Service), criptografia, tradução e auditoria.

O IPv6 apresenta essas funções com novos desafios específicos.

Plano de controle do IPv6

A habilitação do IPv6 em um roteador inicia os processos operacionais de seu plano de controle especificamente para o IPv6. As características do protocolo moldam o desempenho desses processos e a quantidade de recursos necessários para operá-los:

Tamanho de endereço do IPv6 - O tamanho do endereço afeta as funções de processamento de informações de um roteador. Sistemas que usam uma CPU de 64 bits, um barramento ou uma estrutura de memória, podem transmitir os endereços de origem e destino de IPv4 em um único ciclo de processamento. Para o IPv6, os endereços de origem e destino exigem quatro ciclos de dois ciclos cada para processar as informações de endereço de origem e de destino. Como resultado, é provável que os roteadores que confiam exclusivamente no processamento de software funcionem mais lentamente do que quando estão em um ambiente de IPv4.

Endereços de nó de IPv6 múltiplos - Como os nós de IPv6 podem utilizar vários endereços de unicast de IPv6, o consumo de memória do cache de Detecção de vizinho pode ser afetado.

Protocolos de roteamento de IPv6 - Os protocolos de roteamento de IPv6 são semelhantes aos seus correspondentes do IPv4 mas, como um prefixo do IPv6 é quatro vezes maior do que um prefixo de IPv4, as atualizações de roteamento precisam levar mais informações.

Tamanho da tabela de roteamento - O maior espaço de endereços do IPv6 leva a redes maiores e a uma Internet muito maior. Isso implica em tabelas de roteamento maiores e em requisitos de memória maiores para suportá-los.

Plano de dados do IPv6

O plano de dados encaminha pacotes IP com base nas decisões feitas pelo plano de controle. O mecanismo de encaminhamento analisa as informações de pacote IP relevantes e faz uma busca para fazer a correspondência das informações analisadas com as políticas de encaminhamento definidas pelo plano de controle. O IPv6 afeta o desempenho das funções de análise e busca:

Cabeçalhos de extensão de IPv6 de análise - Os aplicativos, incluindo o IPv6 móvel, geralmente usam informações de endereço IPv6 nos cabeçalhos de extensão, aumentando assim seu tamanho. Esses campos adicionais exigem um processamento adicional. Por exemplo, um roteador que usa as ACLs para filtrar as informações de Camada 4 precisa aplicar as ACLs aos pacotes com cabeçalhos de extensão, bem como aos que não têm esses cabeçalhos. Se o tamanho do cabeçalho de extensão exceder o tamanho fixo do registro do hardware do roteador, haverá falha na comutação do hardware, e os pacotes poderão ser colocados na comutação de software ou poderão ser ignorados. Isto afeta gravemente o desempenho de encaminhamento do roteador.

Pesquisa de endereço IPv6 - O IPv6 executa uma pesquisa de pacotes que entram no roteador para localizar a interface de saída correta. No IPv4, o processo de decisão de encaminhamento analisa um endereço de destino de 32 bits. No IPv6, a decisão de encaminhamento poderia exigir possivelmente uma análise de um endereço de 128 bits. A maioria dos roteadores de hoje executa pesquisas utilizando um circuito integrado específico de aplicativo (ASIC, application-specific integrated circuit) com uma configuração fixa que executa as funções para as quais eles foram criados originalmente – o IPv4. Isso pode resultar novamente na colocação dos pacotes em um processamento de software mais lento ou fazer com que eles sejam todos ignorados.

Exibir meio visual

Página 2:

Protocolo de roteamento RIPNg

As rotas do IPv6 usam os mesmos protocolos e técnicas que o IPv4. Embora os endereços sejam mais longos, os protocolos usados no roteamento de IPv6 são simplesmente extensões lógicas dos protocolos usados no IPv4.

A RFC 2080 define a última geração do Protocolo de informações de roteamento (RIPng, Routing Information Protocol next generation) como um protocolo de roteamento simples baseado em RIP. O RIPng não é nem mais potente e nem menos potente do que o RIP, porém ele fornece uma maneira simples de ativar uma rede de IPv6 sem a necessidade de criar um novo protocolo de roteamento.

O RIPng é um protocolo de roteamento do vetor de distância com um limite de 15 saltos que usa o split horizon e as atualizações de poison reverse para evitar os loops de roteamento. Sua simplicidade vem do fato de ele não exigir nenhum conhecimento global da rede. Somente os roteadores vizinhos trocam mensagens locais.

O RIPng inclui as seguintes características:

Baseia-se no RIP versão 2 (RIPv2) do IPv4 e é semelhante ao RIPv2 Utiliza o IPv6 para o transporte Inclui o prefixo de IPv6 e o endereço IPv6 do próximo salto Utiliza o grupo multicast FF02::9 como o endereço de destino para atualizações

de RIP (semelhante à função de broadcast executada pelo RIP no IPv4) Envia atualizações na porta UDP 521 É suportado pelo IOS Cisco Release 12.2 (2) T e mais recentes

Em implantações que sofreram empilhamento dual, são necessários o RIP e o RIPng.

Exibir meio visual

7.3.7 Configurando os endereços IPv6

Página 1:

Habilitando o IPv6 em roteadores Cisco

Existem duas etapas básicas para ativar o IPv6 em um roteador. Primeiro, você deve ativar o encaminhamento de tráfego IPv6 no roteador e, em seguida, você deve configurar cada interface que exija o IPv6.

Por padrão, o encaminhamento de tráfego do IPv6 está desabilitado em um roteador Cisco. Para ativá-lo entre as interfaces, é necessário configurar o comando global ipv6 unicast-routing.

O comando ipv6 address pode configurar um endereço IPv6 global. O endereço de enlace local será configurado automaticamente quando um endereço for atribuído à interface. Você deve especificar o endereço IPv6 de 128 bits inteiro ou deve especificar o uso do prefixo de 64 bits usando a opção eui-64.

Exibir meio visual

Exemplo de configuração do endereço IPv6

Você pode especificar completamente o endereço IPv6 ou pode computar o identificador de host (64 bits mais à direta) do identificador de EUI-64 da interface. No exemplo, o endereço IPv6 da interface é configurado usando o formato EUI-64.

Como alternativa, você pode especificar completamente o endereço IPv6 inteiro para atribuir um endereço a uma interface do roteador usando o comando ipv6 addressipv6-address/prefix-length no modo de configuração de interface.

A configuração de um endereço IPv6 em uma interface configura automaticamente o endereço de enlace local para essa interface.

Exibir meio visual

Página 3:

Resolução de nome IPv6 do IOS Cisco

Existem duas maneiras de realizar a resolução de nome no processo de software do IOS Cisco:

Definir um nome estático para um endereço IPv6 usando o comando ipv6 host name [port] ipv6-address1 [ipv6-address2...ipv6-address4]. Você pode definir até quatro endereços IPv6 para um nome de host. A opção de porta se refere à porta Telnet a ser usada para o host associado.

Especificar o servidor DNS usado pelo roteador com o comando ip name-serveraddress. O endereço pode ser um endereço IPv4 ou IPv6. É possível especificar até seis servidores DNS com esse comando.

Exibir meio visual

7.3.8 Configurando o RIPng com IPv6

Página 1:

Configurar o RIPng com IPv6

Ao configurar os protocolos de roteamento suportados no IPv6, é necessário criar o processo de roteamento, habilitar o processo de roteamento nas interfaces e personalizar o protocolo de roteamento para sua rede privada.

Antes de configurar o roteador para que ele execute o RIP de IPv6, faça a habilitação global usando o comando de configuração global ipv6 unicast-routing e habilite o IPv6 nas interfaces em que o RIP de IPv6 deverá ser habilitado.

Para habilitar o roteamento RIPng no roteador, use o comando de configuração global ipv6 router rip name. O parâmetro name (nome) identifica o processo RIP. Este nome de processo é usado posteriormente ao configurar o RIPng nas interfaces participantes.

Para o RIPng, em vez de usar o comando network para identificar quais interfaces devem executar o RIPng, você usa o comando ipv6 rip name enable no modo de configuração de interface para habilitar o RIPng em uma interface. O parâmetro name (nome) deve corresponder ao parâmetro de nome no comando ipv6 router rip.

A habilitação do RIP em uma interface cria dinamicamente um processo de "router rip" se necessário.

Exibir meio visual

Página 2:

Exemplo: RIPng para configuração de IPv6

O exemplo mostra uma rede de dois roteadores. O roteador R1 está conectado à rede padrão. Nos roteadores R2 e R1, o nome RT0 identifica o processo de RIPng. O RIPng é habilitado na primeira interface Ethernet do roteador R1 usando o comando ipv6 rip

RT0 enable. O roteador R2 mostra que o RIPng está habilitado nas interfaces Ethernet usando o comando ipv6 rip RT0 enable.

Essa configuração permite que as interfaces Ethernet 1 no roteador R2 e Ethernet 0 de ambos os roteadores troquem informações de roteamento de RIPng.

Exibir meio visual

7.3.9 Verificando, identificando e solucionando problemas de RIPng

Página 1:

Verificando, identificando e solucionando problemas de RIPng para o IPv6

Depois de configurar o RIPng, é necessário fazer uma verificação. A figura relaciona os vários comandos show que podem ser usados.

Clique no botão Identificação e solução de problemas na figura.

Se você descobrir que o RIPng não está funcionando corretamente durante a verificação, será preciso identificar e solucionar o problema.

A figura relaciona os comandos usados para identificar e solucionar os problemas de RIPng.

Exibir meio visual



7.4.1 Configuração básica DHCP e NAT

Página 1:

Neste laboratório, você irá configurar os serviços DHCP e NAT IP. Um roteador é o servidor DHCP. O outro roteador encaminha solicitações DHCP ao servidor. Você também definirá as configurações de NAT estáticas e dinâmicas, inclusive a sobrecarga de NAT. Quando você concluir as configurações, verifique a conectividade entre os endereços internos e externos.

Exibir meio visual

Página 2:

Esta atividade é uma variação do laboratório 7.4.1. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer não substitui um experimento em laboratório prático com equipamentos reais.




Exibir meio visual

7.4.2 Configuração avançada DHCP e NAT

Página 1:

Neste laboratório, configure os serviços de endereço IP usando a rede mostrada no diagrama de topologia. Se você precisar de assistência, consulte o laboratório de configuração básico de DHCP e NAT. No entanto, tente fazer o máximo possível.

Exibir meio visual





Exibir meio visual

7.4.3 Identificação e solução de problemas de DHCP e NAT

Página 1:

Os roteadores da sua empresa foram configurados por um engenheiro de rede sem experiência. Vários erros na configuração resultaram em problemas de conectividade. Seu chefe lhe pediu para identificar e solucionar os problemas, corrigir os erros de configuração e documentar seu trabalho. Com seus conhecimentos de DHCP, NAT e métodos de teste padrão, identifique e corrija os erros. Certifique-se de que todos os clientes tenham total conectividade.

Exibir meio visual

Página 2:





Exibir meio visual


7.5.1 Resumo

Página 1:

Este capítulo tratou das principais soluções do problema da diminuição do espaço de endereços de Internet. Você aprendeu a usar o DHCP para atribuir endereços IP privados dentro de sua rede. Isso conserva o espaço de endereços públicos e impede uma sobrecarga administrativa considerável gerenciando acréscimos, mudanças e alterações. Você aprendeu a implementar o NAT e a sobrecarga de NAT para conservar o espaço de endereços públicos e criar intranets seguras privadas sem afetar sua conexão de ISP. Entretanto, a NAT possui desvantagens no que se refere a seus efeitos negativos no desempenho do dispositivo, segurança, mobilidade e conectividade fim-a-fim.

No geral, a capacidade de dimensionar as redes para as demandas futuras requer um fornecimento ilimitado de endereços IP e uma mobilidade aprimorada que o DHCP e a NAT sozinhos não conseguem atingir. O IPv6 satisfaz os requisitos cada vez mais complexos do endereçamento hierárquico que o IPv4 não fornece. O aparecimento do IPv6 não lida somente com o esgotamento dos endereços IPv4 e deficiências de NAT, ele fornece novos e melhores recursos. Na breve introdução ao IPv6 nesta lição, você aprendeu como os endereços IPv6 são estruturados, como eles irão aprimorar a segurança e a mobilidade da rede e como o mundo do IPv4 fará a transição para o IPv6.

Exibir meio visual


Nesta atividade final, você irá configurar PPP, OSPF, DHCP, NAT e roteamento padrão para ISP. Em seguida, você verificará sua configuração.




Exibir meio visual




8 Identificação e solução de problemas de rede



Página 1:

Quando uma rede está funcionando, os administradores têm que monitorar seu desempenho para garantir a produtividade da organização. De vez em quando, podem ocorrer quedas da rede. Muitas vezes elas são planejadas e o impacto disso na organização é gerenciado facilmente. Muitas vezes elas não são planejadas e o impacto disso na organização pode ser grave. No caso de quedas inesperadas da rede, os administradores devem ser capazes de identificar e solucionar problemas, e restabelecer o funcionamento total da rede. Neste capítulo, você aprenderá um processo sistemático para identificar e solucionar problemas de quedas de rede.

Exibir meio visual

8.1 Estabelecendo a linha de base de desempenho da rede

8.1.1 Documentando a sua rede

Página 1:

Documentando a sua rede

Para diagnosticar e corrigir problemas de rede com eficiência, um engenheiro de rede precisa saber como ela foi criada e o qual o desempenho esperado sob condições normais de funcionamento. Estas informações são chamadas de linha de base de rede e são capturadas em documentação como tabelas de configuração e diagramas de topologia.

A documentação de configuração de rede fornece um diagrama lógico da rede e informações detalhadas sobre cada componente. Estas informações devem ser mantidas em um único local, ou como cópia impressa ou na rede em um site protegido. A documentação de rede deve incluir esses componentes:

Tabela de configuração de rede Tabela de configuração de sistema final Diagrama de topologia da rede

Tabela de configuração de rede

Contém registros precisos e atualizados do hardware e do software usados em uma rede. A tabela de configuração de rede deve proporcionar ao engenheiro de rede todas as informações necessárias para identificar e corrigir a falha da rede.

Clique no botão Documentação de roteador e switch na figura.

A tabela na figura ilustra o conjunto de dados que deve ser incluído para todos os componentes:

Tipo de dispositivo, designação de modelo Nome da imagem IOS Hostname de rede do dispositivo Local do dispositivo (edifício, andar, sala, rack, painel) Se for um dispositivo modular, inclua todos os tipos de módulo e em qual slot de

módulo eles estão localizados Endereços de camada de enlace de dados Endereços de camada de rede Qualquer outra informação importantes sobre aspectos físicos do dispositivo

Clique no botão Documentação de sistema final na figura.

Tabela de configuração de sistema final

Contém registros de linha de base do hardware e do software usados em dispositivos de sistema final como servidores, consoles de gerenciamento de rede e estações de trabalho desktop. Um sistema final configurado incorretamente pode prejudicar o desempenho global de uma rede.

Para fins de identificação e solução de problemas, as informações seguintes devem ser documentadas:

Nome do dispositivo (propósito) Sistema operacional e versão Endereço IP Máscara de sub-rede Gateway padrão, servidor DNS e servidor de endereços WINS Toda aplicativo de rede de largura de banda alta que o sistema final execute

Clique no botão Diagrama de topologia de rede na figura.

Diagrama de topologia da rede

Representação gráfica de uma rede, que ilustra como cada dispositivo em uma rede é conectado e sua arquitetura lógica. Um diagrama de topologia compartilha muitos dos mesmos componentes como, por exemplo, a tabela de configuração de rede. Cada dispositivo de rede deve ser representado no diagrama com notação consistente ou um símbolo gráfico. Além disso, cada conexão lógica e física deve ser representada usando uma linha simples ou outro símbolo apropriado. Também podem ser ilustrados os protocolos de roteamento.

O diagrama de topologia deve incluir pelo menos o seguinte:

Símbolos para todos os dispositivos e para o modo como eles são conectados Tipos de interface e números Endereços IP Máscaras de sub-rede

Exibir meio visual

8.1.2 Documentando a sua rede

Página 1:

Processo de documentação de rede

A figura mostra o processo de documentação de rede.

Passe o mouse sobre cada estágio na figura para aprender mais sobre o processo.

Quando você documentar sua rede, poderá ter que reunir informações diretamente de roteadores e switches. Os comandos úteis ao processo de documentação de rede incluem:

O comando ping é usado para testar a conectividade com dispositivos vizinhos antes de fazer o logon neles. Fazer ping em outros PCs na rede também inicia o processo de detecção automática do endereço MAC.

O comando telnet é usado para fazer o logon remotamente em um dispositivo para acessar informações de configuração.

O comando show ip interface brief é usado para exibir o status para cima ou para baixo e o endereço IP de todas as interfaces em um dispositivo.

O comando show ip route é usado para exibir a tabela de roteamento em um roteador a fim de conhecer os vizinhos diretamente conectados, mais dispositivos remotos (através de rotas conhecidas) e os protocolos de roteamento que foram configurados.

O comando show cdp neighbor detail é usado para obter informações detalhadas sobre dispositivos vizinhos Cisco diretamente conectados.

Exibir meio visual

Página 2:

Esta atividade abrange as etapas necessárias para descobrir uma rede que usa principalmente os comandos telnet, show cdp neighbors detail e show ip route. Esta é a Parte I de uma atividade de duas partes.

A topologia visualizada ao abrir a atividade do Packet Tracer não revela todos os detalhes da rede. Os detalhes foram ocultados usando a função de cluster do Rastreador de pacote. A infra-estrutura de rede foi recolhida e a topologia do arquivo mostra somente os dispositivos finais. Sua tarefa é utilizar seu conhecimento de rede e comandos de detecção para obter informações sobre toda a topologia de rede e documentá-la.




Exibir meio visual

8.1.3 Por que estabelecer uma linha de base de rede é importante?

Para estabelecer uma linha de base de desempenho da rede é preciso reunir os principais dados de desempenho de portas e dispositivos essenciais para o funcionamento da rede. Estas informações ajudam a determinar a "personalidade" da rede e fornecem respostas às perguntas seguintes:

Como é o desempenho da rede durante um dia normal ou comum? Quais são as áreas subutilizadas e saturadas? Onde ocorre a maioria dos erros? Que limites devem ser definidos para os dispositivos que precisam ser

monitorados? A rede consegue atender às políticas identificadas?

Um administrador de rede precisa medir o desempenho inicial e a disponibilidade de dispositivos de rede e links críticos para poder determinar a diferença entre comportamento anormal e desempenho correto da rede à medida que ela cresce ou que mudem os padrões de tráfego. A linha de base também ajuda a identificar se o design de rede atual pode atender às políticas exigidas. Sem uma linha de base, não existe padrão para medir a natureza ótima de tráfego da rede e níveis de congestionamento.

Além disso, a análise posterior a uma linha de base inicial tende a revelar problemas ocultos. Os dados reunidos revelam a verdadeira natureza do congestionamento ou congestionamento em potencial em uma rede. A reunião também pode revelar áreas na rede que são subutilizadas e muito freqüentemente podem levar a um novo design da rede com base em observações de qualidade e capacidade.

Exibir meio visual

8.1.4 Etapas para estabelecer uma linha de base de rede

Página 1:

Planejando a primeira linha de base

Como a linha de base de desempenho da rede inicial prepara as condições para medir os efeitos de alterações da rede e os esforços subseqüentes de solução de problemas, é importante planejar isso com cuidado. Aqui estão as etapas recomendadas para planejar a primeira linha de base de rede:

Etapa 1. Determine os tipos de dados que devem ser reunidos

Ao definir a linha de base, comece selecionando algumas variáveis que representam as políticas definidas. Se forem selecionados pontos de dados demais, a quantidade de dados poderá ser excessiva, dificultando a análise dos dados reunidos. Comece simplesmente e ajuste com o tempo. Geralmente, algumas medidas iniciais recomendadas são utilização de interface e utilização de CPU. A figura mostra algumas capturas de tela de interface e dados de utilização de CPU, como exibido por um sistema de gerenciamento de rede chamado de WhatsUp Gold.

Clique no botão Dispositivos e portas de interesse na figura.

Etapa 2. Identifique dispositivos e portas de interesse

O próximo passo é identificar os principais dispositivos e portas que devem ter os dados de desempenho medidos. Dispositivos e Portas de Interesse são:

Portas de dispositivo de rede que conectam-se a outros dispositivos de rede Servidores Usuários principais Outros elementos considerados críticos para o funcionamento

Na topologia mostrada na figura, o administrador de rede destacou os dispositivos e as portas de interesse para monitorar durante o teste de linha de base. Os dispositivos de interesse incluem roteadores R1, R2 e R3, PC1 (o terminal do Administrador) e SRV1 (o servidor Web/TFTP). As portas de interesse incluem as portas de R1, R2 e R3 que se conectam a outros roteadores ou a switches, e do roteador R2, a porta que se conecta a SRV1 (Fa0/0).

Ao escolher corretamente as portas, os resultados serão concisos e a carga de gerenciamento de rede será minimizada. Lembre-se de que uma interface em um roteador ou switch pode ser uma interface virtual, como uma interface virtual do switch (SVI).

Este passo será mais fácil se você configurou os campos de descrição de porta do dispositivo para indicar o que se conecta à porta. Por exemplo, para uma porta de roteador que se conecta ao switch de distribuição no grupo de trabalho de Engenharia, você poderia configurar a descrição "Switch de distribuição de LAN da Engenharia."

Clique no botão Determine a duração da linha de base na figura.

Etapa 3. Determine a duração da linha de base

É importante que o período de tempo e as informações de linha de base reunidas sejam suficientes para estabelecer uma imagem típica da rede. Este período deve ser de pelo menos sete dias para capturar tendências diárias ou semanais. Tendências semanais têm a mesma importância que tendências diárias e horárias.

A figura mostra exemplos de várias capturas de tela de tendências de utilização de CPU capturados em períodos diários, semanais, mensais e anuais. As tendências de semana de trabalho são muito curtas para revelar com precisão a natureza recorrente da onda de utilização que ocorre todos os fins de semana, nas noites de sábado, quando uma grande operação de backup de banco de dados consome largura de banda da rede. Este padrão recorrente é revelado na tendência mensal. A tendência anual mostrada no exemplo tem uma duração muito longa para fornecer detalhes significativos de desempenho de linha de base. Uma linha de base precisa durar não mais que seis semanas, a menos que tendências específicas de longo prazo precisem ser medidas. Geralmente, uma linha de base de duas a quatro semanas é suficiente.

Você não deve executar uma medição de linha de base durante horários de padrões de tráfego incomuns porque os dados forneceriam uma imagem inexata do funcionamento normal da rede. Por exemplo, você obteria uma medida inexata do desempenho da rede se executasse uma medição de linha de base em um feriado ou durante um mês em que a maioria da empresa estivesse de férias.

A análise de linha de base da rede deve ser realizada regularmente. Realize uma análise anual da rede inteira ou seções diferentes de linha de base da rede de uma maneira rotativa. A análise deve ser administrada para entender regularmente como a rede é afetada por crescimento e outras alterações.

Exibir meio visual

Página 2:

Medição de dados de desempenho da rede

Um software sofisticado de gerenciamento de rede é usado geralmente para definir a linha de base de redes grandes e complexas. Por exemplo, o módulo Fluke Network SuperAgent permite que os administradores automaticamente criem e revisem relatórios usando o recurso Intelligent Baselines (Linhas de Base Inteligentes). Esse recurso compara níveis de desempenho atual com observações históricas e pode identificar automaticamente problemas de desempenho e aplicações que não fornecem níveis esperados de serviço.

Clique no botão Comandos manuais na figura.

Em redes mais simples, as tarefas de linha de base devem exigir uma combinação de coleta manual de dados e inspetores simples de protocolo de rede. Estabelecer uma linha de base inicial ou realizar uma análise de monitoramento de desempenho pode exigir muitas horas ou dias para refletir com precisão o desempenho da rede. O software de gerenciamento de rede ou inspetores de protocolo e farejadores podem ser executados continuamente durante o processo de reunião de dados. Reunir dados manualmente usando comandos show em dispositivos de rede individuais é extremamente demorado e deve ser limitado a dispositivos de rede de missão crítica.

Exibir meio visual

8.2 Metodologias e Ferramentas de Identificação e Solução de Problemas

8.2.1 Uma abordagem geral para identificar e solucionar problemas

Página 1:

Engenheiros de rede, administradores e pessoal de suporte estão cientes de que identificação e solução de problemas é um processo que leva o maior percentual de seu tempo. Usar técnicas eficientes de identificação e solução de problemas é uma forma de reduzir o tempo global gasto na tarefa quando se trabalha em um ambiente de produção.

Duas abordagens extremas quase sempre resultam em decepção, atraso ou falha. Em um extremo está a abordagem teorista ou científica. No outro extremo está a abordagem não prática ou pré-histórica.

A científica analisa e reanalisa a situação até que a causa exata à raiz do problema seja identificada e corrigida com precisão cirúrgica. Se por um lado, esse processo é relativamente confiável, poucas empresas podem permitir que suas redes fiquem sem funcionar pelas horas ou dias necessários para essa análise exaustiva.

O primeiro instinto da abordagem pré-histórica é começar a trocar placas, cabos, hardware e software até que a rede volte a funcionar miraculosamente. Isso não significa que a rede está funcionando corretamente, apenas que está funcionando. Essa abordagem pode até obter mais rapidamente uma alteração nos sintomas, porém não é muito confiável e a causa raiz do problema pode ainda estar presente.

Como ambas abordagens são extremas, a melhor deve ser o meio termo entre as duas, usando elementos de ambos. É importante analisar a rede como um todo em vez de isoladamente. Uma abordagem sistemática minimiza a confusão e evita o desperdício de tempo gasto com tentativa e erro.

Exibir meio visual

8.2.2 Usando modelos de camadas para identificar e solucionar problemas

Página 1:

OSI em comparação com modelos de camadas de TCP/IP

Os modelos lógicos de rede, como OSI e TCP/IP, separam funcionalidade de rede em camadas modulares. Ao identificar e solucionar problemas, esses modelos de camadas podem ser aplicados à rede física para isolar problemas de rede. Por exemplo, se os sintomas sugerirem um problema de conexão física, o técnico de rede tentará consertar o circuito que funciona na camada Física. Se o circuito funcionar corretamente, o técnico analisará as áreas em outra camada que possa estar causando o problema.

Modelo de referência OSI

O modelo OSI utiliza uma linguagem comum para engenheiros de rede e é usado geralmente para identificar e solucionar problemas de rede. Os problemas são geralmente descritos em termos de uma determinada camada do modelo OSI.

O modelo de referência OSI descreve como as informações de um software em um computador movem-se através da rede para um software em outro computador.

As camadas superiores (5-7) do modelo OSI lidam com problemas de aplicações e geralmente são implementadas somente no software. A camada de Aplicativo é a mais próxima do usuário final. Os processos de camada de Usuários e de Aplicativo interagem com aplicativos de software que contêm um componente de comunicação.

As camadas inferiores (1-4) do modelo OSI lidam com problemas de transporte de dados. As camadas 3 e 4 são geralmente implementadas somente em software. A camada Física (Camada 1) e a camada de enlace (Camada 2) são implementadas em hardware e software. A camada Física é a mais próxima do meio de rede físico, como o cabeamento de rede, e é responsável por colocar informações no meio.

Modelo TCP/IP

Assim como o modelo de rede OSI, o modelo de rede TCP/IP também divide a arquitetura de rede em camadas modulares. A figura mostra como o modelo de rede TCP/IP mapeia para as camadas do modelo de rede OSI. Esse mapeamento próximo permite que a suíte de protocolos TCP/IP comuniquem-se com êxito com tantas tecnologias de rede.

A camada de Aplicativo na suíte TCP/IP na verdade combina as funções das 3 camadas do modelo OSI: Sessão, Apresentação e Aplicativo. A camada de Aplicativo fornece comunicação entre aplicações como FTP, HTTP e SMTP em hosts separados.

As camadas de Transporte de TCP/IP e OSI correspondem diretamente em função. A camada de Transporte é responsável por trocar segmentos entre dispositivos em uma rede TCP/IP.

A camada de Internet TCP/IP relaciona-se com a camada de rede OSI. A camada de Internet é responsável por colocar mensagens em um formato fixo para permitir que os dispositivos lidem com eles.

A Camada de Acesso à Rede TCP/IP corresponde às camadas de Enlace e Físicas OSI. A camada de acesso à rede comunica-se diretamente com os meios de rede e fornece uma interface entre a arquitetura da rede e a camada de Internet.

Clique no botão Dispositivos nas camadas de OSI na figura.

Passe o mouse sobre cada dispositivo para saber de quais Camadas OSI você geralmente precisa para identificar e solucionar problemas naquele tipo de dispositivo.

Exibir meio visual

8.2.3 Procedimentos gerais de identificação e solução de problemas

Página 1:

As fases do processo geral de identificação e solução de problemas são:

Fase 1 Reunir sintomas - Identificação e solução de problemas começa com o processo de reunir e documentar sintomas da rede, sistemas finais e usuários. Além disso, o administrador de rede determina quais componentes de rede foram afetados e como a funcionalidade da rede foi alterada em comparação com a linha de base. Sintomas podem aparecer em muitos formulários diferentes, inclusive alertas do sistema de gerenciamento de rede, mensagens de console e reclamações de usuário. Ao reunir sintomas, as perguntas devem ser usadas como um método de localizar o problema em um intervalo menor de possibilidades.

Fase 2 Isolar o problema - O problema não é de fato isolado até que um único problema, ou um conjunto de problemas relacionados, seja identificado. Para fazer isso, o administrador de rede examina as características dos problemas nas camadas lógicas da rede de forma que a causa mais provável possa ser selecionada. Nesta fase, o administrador de rede pode reunir e documentar mais sintomas dependendo das características do problema que são identificadas.

Fase 3 Corrigir o problema - Após isolar e identificar a causa, o administrador de rede tenta corrigir o problema implementando, testando e documentando uma solução. Se o administrador de rede determinar que a ação corretiva criou outro

problema, a solução tentada será documentada, as alterações serão removidas e o administrador de rede voltará a reunir sintomas e isolar o problema.

Essas fases não são mutuamente exclusivas. A qualquer ponto no processo, pode ser necessário voltar a fases anteriores. Por exemplo, pode ser necessário reunir mais sintomas enquanto estiver isolando um problema. Além disso, ao tentar corrigir um problema, outro problema não identificado poderá ser criado. Como resultado, seria necessário reunir os sintomas, isolar e corrigir o novo problema.

Uma política de identificação e solução de problemas deve ser estabelecida para cada fase. Uma política fornece uma maneira consistente de executar cada fase. É parte da política documentar todas as informações importantes.

Exibir meio visual

8.2.4 Métodos de identificação e solução de problemas

Página 1:

Métodos de identificação e solução de problemas

Seguem os três métodos principais para identificar e solucionar problemas de rede:

De baixo para cima De cima para baixo Dividir e conquistar

Cada abordagem tem suas vantagens e desvantagens. Este tópico descreve os três métodos e fornece diretrizes para escolher o melhor método para uma situação específica.

Método de identificação e solução de problemas de baixo para cima

Nesse método, você deve iniciar com os componentes físicos da rede e subir pelas camadas do modelo OSI até que a causa do problema seja identificada. Esta é uma abordagem interessante quando desconfia-se que o problema seja físico. A maior parte dos problemas de rede estão nos níveis inferiores; portanto, implementar a abordagem De baixo para cima geralmente tem resultados efetivos. A figura mostra a abordagem De baixo para cima para identificar e solucionar problemas.

A desvantagem com a abordagem de solução de problemas De baixo para cima é que ela exige que você verifique cada dispositivo e interface na rede até que a possível causa do problema seja localizada. Lembre-se de que devem ser documentadas todas as conclusões e todas as possibilidades, de modo que possa haver bastante documentação associada a esta abordagem. Um desafio maior é determinar quais dispositivos devem ser examinados primeiro.

Clique no botão Mét. de cima para baixo na figura.

Método de identificação e solução de problemas de cima para baixo

Nesse método, você deve iniciar com os aplicativos de usuário final e descer pelas camadas do modelo OSI até que a causa do problema tenha sido identificada. Os aplicativos de usuário final de um sistema final são testados antes que se examinem partes mais específicas da rede. Use esta abordagem para problemas mais simples ou quando você suspeita que o problema seja com o software.

A desvantagem da abordagem De cima para baixo é que exige verificação de todos os aplicativos da rede até que a possível causa do problema seja localizada. Cada conclusão e possibilidade devem ser documentadas, e o desafio é determinar qual aplicativo deve ser examinado primeiro.

Clique no botão Mét. dividir e conquistar na figura.

Método de identificação e solução de problemas dividir e conquistar

Quando você utilizar a abordagem Dividir e conquistar para identificar e solucionar um problema de rede, selecione uma camada e teste em ambas as direções da camada inicial.

Nessa abordagem, inicie reunindo a experiência de usuário sobre o problema, documente os sintomas e em seguida, usando essas informações, faça uma suposição informada sobre em qual camada OSI você deve iniciar sua investigação. Após verificar que uma camada está funcionando corretamente, presuma que as camadas abaixo dela também estejam funcionando e analise as camadas OSI acima. Se uma camada de OSI não estiver funcionando corretamente, analise as camadas debaixo do modelo de camadas OSI.

Por exemplo, se os usuários não puderem acessar o servidor Web e você puder executar ping no servidor, então você saberá que o problema é acima da Camada 3. Se você não puder executar ping no servidor, o problema deverá ser em uma camada de OSI inferior.

Exibir meio visual

Página 2:

Diretrizes para selecionar um método de identificação e solução de problemas

Para solucionar problemas de rede rapidamente, selecione o método mais eficaz de identificação e solução de problemas. Examine a figura. Use o processo mostrado na figura para poder selecionar o método de identificação e solução de problemas mais eficiente.

Veja um exemplo de como você poderia escolher um método de solução de problemas para um problema específico. Dois roteadores IP não estão trocando informações de roteamento. Da última vez que este tipo de problema ocorreu, era um problema de protocolo. Então você escolhe o método de identificação e solução de problemas Dividir e conquistar. Sua análise revela que existe conectividade entre os roteadores. Portanto, você inicia seus esforços de identificação e solução de problemas pela camada física ou de enlace, confirma a conectividade e começa a testar as funções relacionadas a TCP/IP na próxima camada para cima no modelo OSI, a camada de rede.

Exibir meio visual

8.2.5 Reunindo sintomas

Página 1:

Reunindo sintomas

Para determinar o escopo do problema, reúna (documente) os sintomas. A figura mostra um gráfico de fluxo desse processo. Cada etapa neste processo é descrita aqui brevemente:

Etapa 1. Analise os sintomas existentes - Analise os sintomas reunidos de protocolos de problemas, usuários ou sistemas finais afetados para formar uma definição do problema.

Etapa 2. Determine a propriedade - Se o problema estiver dentro de seu sistema, você poderá passar para a próxima fase. Se o problema estiver fora do limite de seu controle, por exemplo, conectividade de Internet perdida fora do sistema autônomo, você precisará entrar em contato com o administrador do sistema externo antes de reunir outros sintomas de rede.

Etapa 3. Restrinja o escopo - Determine se o problema está no núcleo, na distribuição ou na camada de acesso da rede. Na camada identificada, analise os sintomas existentes e use seu conhecimento da topologia de rede para determinar quais equipamentos são a provável causa.

Etapa 4. Reúna sintomas de dispositivos suspeitos - Usando uma abordagem de solução de problemas em camadas, reúna sintomas de hardware e software dos dispositivos suspeitos. Inicie com o que tiver maior probabilidade, use o conhecimento e a experiência para determinar se é mais provável que seja um problema de configuração de hardware ou software.

Etapa 5. Documente os sintomas - muitas vezes o problema pode ser resolvido usando os sintomas documentados. Se não puder, comece a fase de isolamento do processo geral de identificação e solução de problemas.

Clique no botão Comandos na figura.

Use os comandos do Cisco IOS para reunir sintomas sobre a rede. A tabela na figura descreve os comandos comuns do Cisco IOS que você pode usar para reunir os sintomas de um problema na rede.

Embora o comando debug seja uma ferramenta importante para reunir sintomas, ele gera uma quantidade grande de tráfego de mensagem de console e o desempenho de um dispositivo de rede pode ser afetado consideravelmente. Avise aos usuários que o desempenho da rede pode ser afetado devido a esse esforço de identificação e solução de problemas. Lembre-se de desabilitar a depuração quando acabar.

Exibir meio visual

Página 2:

Questionando usuários finais

Quando você questiona usuários finais sobre um problema de rede, use técnicas interrogativas efetivas. Deste modo, você obterá as informações necessárias para documentar com eficácia os sintomas de um problema. A tabela na figura fornece algumas diretrizes e alguns exemplos de perguntas a serem feitas ao usuário final.

Exibir meio visual

8.2.6 Ferramentas para identificação e solução de problemas

Página 1:

Ferramentas de identificação e solução de problemas de software

Uma ampla variedade de ferramentas de software e hardware está disponível para facilitar o processo. Estas ferramentas podem ser usadas para reunir e analisar sintomas de problemas de rede e geralmente possuem funções de monitoramento e relatório que podem ser usadas para estabelecer a linha de base de rede.

Ferramentas NMS

As ferramentas de sistema de gerenciamento de rede (NMS) incluem monitoramento de dispositivo, configuração e gerenciamento de falha. A figura mostra um exemplo de tela do software What's Up Gold da NMS. Estas ferramentas podem ser usadas para investigar e corrigir problemas de rede. O software de monitoramento de rede exibe graficamente uma perspectiva física dos dispositivos de rede, permitindo que os gerentes de rede monitorem dispositivos remotos sem de fato precisarem verificá-los fisicamente. O software de gerenciamento de dispositivo apresenta status dinâmico, estatísticas e informações de configuração para produtos comutados. Exemplos de ferramentas de gerenciamento de rede geralmente usadas são CiscoView, HP Openview, Solar Winds e What's Up Gold.

Clique no botão Base de conhecimento na figura para ver o exemplo de um site da base de conhecimento.

Bases de conhecimento

Bases de conhecimento online de fornecedores de dispositivos de rede têm se tornado fontes indispensáveis de informações. Quando bases de conhecimento de fornecedor são combinadas com mecanismos de pesquisa de Internet como Google, um administrador de rede tem acesso a um conjunto vasto de informações baseadas em experiência.

A figura mostra a página Tools & Resources (Ferramentas e recursos) da Cisco em http://www.cisco.com. Esta é uma ferramenta grátis que fornece informações sobre hardware e software relacionados à Cisco. Contém procedimentos de identificação e solução de problemas, guias de implementação e artigos originais na maioria dos aspectos da tecnologia de redes.

Clique no botão Ferramentas da linha de base na figura para ver alguns exemplos.

Ferramentas da linha de base

Existem muitas ferramentas usadas para automatizar a documentação de rede e o processo de linha de base. Estas ferramentas estão disponíveis para os sistemas operacionais Windows, Linux e AIX. A figura mostra uma captura de tela do

SolarWinds LANsurveyor e software CyberGauge. Ferramentas de linha de base ajudam a realizar tarefas de documentação de linha de base. Por exemplo, eles podem ajudá-lo a desenhar diagramas de rede, manter atualizada a documentação de software e hardware de rede e medir o uso de largura de banda de rede da linha de base.

Clique no botão de Analisador de protocolo na figura para ver um exemplo de um aplicativo típico de analisador de protocolo.

Analisadores de protocolo

Um analisador de protocolo decodifica as várias camadas de protocolo em um quadro registrado e apresenta estas informações em um formato relativamente fácil de usar. A figura mostra uma captura de tela do analisador de protocolo Wireshark. As informações exibidas por um analisador de protocolo incluem a parte física, o enlace de dados, o protocolo e as descrições para cada quadro. A maioria dos analisadores de protocolo podem filtrar tráfego que atenda a um determinado critério de forma que, por exemplo, todo o tráfego para e de um dispositivo específico possa ser capturado.

Exibir meio visual

Página 2:

Ferramentas de identificação e solução de problemas de hardware

Clique nos botões na figura para ver exemplos de várias ferramentas de identificação e solução de problemas de hardware.

Módulo de análise de rede

Um módulo de análise de rede (NAM) pode ser instalado nos switches da série 6500 do Cisco Catalyst e nos roteadores da série 7600 da Cisco a fim de fornecer uma representação gráfica do tráfego de roteadores e switches locais e remotos. O NAM é uma interface incorporada baseada em navegador que gera relatórios no tráfego que consome recursos de rede críticos. Além disso, o NAM pode capturar e decodificar pacotes e rastrear tempos de resposta para informar à rede ou ao servidor o aplicativo que está com problema.

Multímetro digital

Multímetros digitais (DMMs) são instrumentos de teste usados para medir diretamente valores elétricos de voltagem, corrente e resistência. Em identificação e solução de problemas de rede, a maioria dos testes de multimídia envolve verificação de níveis de voltagem de fonte de alimentação e verificação de que os dispositivos de rede estão recebendo energia.

Testadores de cabo

Testadores de cabos são dispositivos portáteis especializados criados para testar diversos tipos de cabeamento de comunicação de dados. Testadores de cabos podem ser usados para detectar fios quebrados, fios cruzados, conexões em curto e conexões emparelhadas incorretamente. Estes dispositivos podem ser testadores de continuidade baratos, testadores de cabos de preço mediano ou reflectômetros de domínio de tempo caros (TDRs).

Os TDRs são usados para definir a distância até uma interrupção em um cabo. Estes dispositivos enviam sinais ao longo do cabo e esperam que eles sejam refletidos. O tempo entre enviar o sinal e recebê-lo é convertido em uma medida de distância. O TDR normalmente vem com os testadores de cabo de dados. Os TDRs usados para testar cabos de fibra óptica são conhecidos como como reflectômetros ópticos de domínio de tempo (OTDRs).

Analisadores de cabo

Analisadores de cabo são dispositivos portáteis multifuncionais usados para testar e certificar cabos de cobre e fibra para diferentes serviços e padrões. As ferramentas mais sofisticadas incluem diagnósticos avançados de identificação e solução de problemas que medem a distância até o defeito de desempenho (NEXT, RL), identificam ações corretivas e exibem graficamente diafonia e comportamento de impedância. Os analisadores de cabo geralmente também incluem software para PC. Depois que os dados de campo são reunidos, o dispositivo portátil pode fazer upload de seus dados, e são criados relatórios precisos e atualizados.

Analisadores de rede portáteis

Dispositivos portáveis usados para identificar e solucionar problemas de redes comutadas e VLANs. Ao conectar o analisador de rede em qualquer lugar da rede, o engenheiro de rede pode ver a porta do switch na qual o dispositivo está conectado, e a utilização média e de pico. O analisador também pode ser usado para descobrir a configuração de VLAN, identificar os principais faladores da rede, analisar o tráfego da rede e visualizar detalhes da interface. O dispositivo normalmente é capaz de gerar uma saída para um PC que tenha software de monitoramento de rede instalado para obter uma análise mais detalhada, e identificação e solução de problemas.

Exibir meio visual

Página 3:

Atividade de pesquisa

A seguir, veja links para várias ferramentas de identificação e solução de problemas.

Ferramentas de software

Sistemas de gerenciamento de rede:

http://www.ipswitch.com/products/whatsup/index.asp?t=demo

http://www.solarwinds.com/products/network_tools.aspx

Ferramentas da linha de base:

http://www.networkuptime.com/tools/enterprise/

Bases de conhecimento:

http://www.cisco.com

Analisadores de protocolo:

http://www.flukenetworks.com/fnet/en-us/products/OptiView+Protocol+Expert/

Ferramentas de hardware

Cisco Network Analyzer Module (NAM):

http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/3.5/user/guide/user.html

Testadores de cabo:

http://www.flukenetworks.com/fnet/en-us/products/CableIQ+Qualification+Tester/Demo.htm

Analisadores de cabo:

http://www.flukenetworks.com/fnet/en-us/products/DTX+CableAnalyzer+Series/Demo.htm

Analisadores de rede:

http://www.flukenetworks.com/fnet/en-us/products/OptiView+Series+III+Integrated+Network+Analyzer/Demos.htm

Exibir meio visual

8.3 Problemas comuns na implementação de WAN

8.3.1 Comunicações de WAN

Página 1:

Um provedor de comunicações ou uma operadora comum geralmente possui os enlaces de dados que compõem uma WAN. Os links estão disponíveis para assinantes mediante o pagamento de uma taxa e são usados para interconectar LANs ou conectar a redes remotas. A velocidade de transferência de dados da WAN (largura de banda) está consideravelmente mais lenta que a largura de banda da LAN comum. Os encargos para a provisão de link são o elemento de custo principal; portanto a implementação de WAN deve objetivar fornecer a máxima largura de banda a um custo aceitável. Considerando-se a pressão do usuário para fornecer mais acesso de serviço a altas velocidades e a pressão do gerenciamento para reduzir custos, determinar uma configuração ótima de WAN não é uma tarefa fácil.

As WANs transportam vários tipos de tráfego, como voz, dados e vídeo. O design selecionado deve fornecer capacidade suficiente e horas de trânsito para atender os requisitos da empresa. Entre outras especificações, o design deve considerar a topologia das conexões entre os vários sites, a natureza dessas conexões e capacidade de largura de banda.

As WANs mais antigas consistiram geralmente em enlaces de dados que conectam diretamente mainframes remotos. As WANs de hoje conectam LANs geograficamente separadas. As tecnologias WAN funcionam nas três camadas inferiores do modelo de referência OSI. Estações de usuário final, servidores e roteadores comunicam-se por LANs e os enlaces de dados da WAN finalizam em roteadores locais.

Os roteadores determinam o caminho mais apropriado ao destino dos dados a partir dos cabeçalhos de camada de rede e transferem os pacotes para a conexão de enlace de dados apropriada para entrega na conexão física. Os roteadores também podem fornecer gerenciamento de qualidade de serviço (QoS) que atribui prioridades aos diferentes fluxos de tráfego.

Exibir meio visual

8.3.2 Etapas em design de WAN

Página 1:

As empresas instalam conectividade WAN para atender ao requisito comercial estratégico de mover dados entre filiais externas. Como a conectividade WAN é importante para o negócio e caro, você precisa criar a WAN de uma maneira sistemática. Esta figura mostra as etapas para o design de WAN.

Cada vez que uma modificação a uma WAN existente é considerada, essas etapas devem ser seguidas. Porém, como muitas WANs evoluíram com o passar do tempo, algumas das diretrizes discutidas aqui podem não ter sido consideradas. As modificações de WAN podem ocorrer devido à expansão de servidores WAN da empresa ou à acomodação de novas práticas e métodos comerciais.

Essas são as etapas para criar ou modificar uma WAN:

Etapa 1. Localize as LANS - Estabeleça os pontos de extremidade de origem e destino que se conectarão pela WAN.

Etapa 2. Analise o tráfego - Descubra qual tráfego de dados deve ser transportado, sua origem e seu destino. As WANs transportam uma variedade de tipos de tráfego com requisitos variados para largura de banda, latência e atraso. Para cada par de pontos de extremidade e para cada tipo de tráfego, é necessário fornecer informações sobre as características do tráfego.

Etapa 3. Planeje a topologia - A topologia é influenciada por considerações geográficas, mas também por requisitos como disponibilidade. Um requisito de alto nível para disponibilidade exige links extras que fornecem caminhos de dados alternativos para redundância e balanceamento de carga.

Etapa 4. Estime a largura de banda exigida - O tráfego nos links pode ter requisitos variados para latência e atraso.

Etapa 5. Escolha a tecnologia WAN - Selecione as tecnologias de link adequadas.

Etapa 6. Avalie despesas - Quando todos os requisitos são estabelecidos, os custos operacionais e de instalação para a WAN podem ser determinados e comparados com a necessidade comercial que orienta a implementação de WAN.

Como mostrado na figura, as etapas de design descritas aqui não são um processo linear. Várias iterações dessas etapas podem ser necessárias antes de finalizar um design. Para manter o ótimo desempenho da WAN, é necessário monitorar e reavaliar continuamente.

Exibir meio visual

8.3.3 Considerações sobre o tráfego de WAN

Página 1:

A tabela na figura mostra a ampla variedade de tipos de tráfego e seus requisitos variados de largura de banda, latência e atraso que os links de WAN exigem para transportar.

Para determinar as condições de fluxo de tráfego e controle de tempo de um link de WAN, você precisa analisar as características específicas de tráfego para cada LAN que está conectada à WAN. A determinação das características de tráfego pode envolver consulta aos usuários da rede e avaliação de suas necessidades.

Exibir meio visual

8.3.4 Considerações sobre a topologia WAN

Página 1:

Depois de estabelecer pontos de extremidade de LAN e características de tráfego, a próxima etapa para implementar uma WAN é criar uma topologia satisfatória. Criar uma topologia de WAN essencialmente consiste no seguinte:

Selecione um padrão de interconexão ou layout para os links entre os vários locais

Selecione as tecnologias para que esses links satisfaçam os requisitos de empresa a um custo aceitável

Clique nos botões na figura para exibir um exemplo de cada tipo de topologia de WAN.

Muitas WANs usam uma topologia em estrela. À medida em que a empresa cresce e são adicionadas novas filiais, elas são conectadas com a matriz, criando uma topologia em estrela tradicional. Os pontos de extremidade em estrela muitas vezes são conectados de maneira cruzada, criando uma malha ou topologia de malha parcial. Isto propicia muitas combinações possíveis para interconexões. Ao criar, reavaliar ou modificar uma WAN, selecione uma topologia que atenda os requisitos de design.

Ao selecionando um layout, há vários fatores para considerar. Mais links aumentam o custo dos serviços da rede, mas ter vários caminhos entre destinos aumenta a confiabilidade. Acrescentar mais dispositivos de rede ao caminho de dados aumenta a latência e diminui a confiabilidade. Geralmente, cada pacote deve ser completamente recebido em um nó antes de ser transmitido ao próximo.

Clique no botão Hierárquico na figura.

Quando muitos locais devem ser agrupados, é recomendada uma solução hierárquica. Por exemplo, imagine uma empresa que tem filiais em todos os países da União européia e tem uma filial em todas as cidades com mais de 10.000 habitantes. Cada filial tem uma LAN e decidiram interconectar as filiais. Uma rede de malha obviamente não é viável porque seriam centenas de milhares de links.

A solução é implementar uma topologia hierárquica. Agrupe as LANs em cada área e interconecte-as para formar uma região; em seguida, interconecte as regiões para formar o núcleo da WAN. A área poderia se basear no número de locais a serem conectados com um limite superior entre 30 e 50. A área teria uma topologia estrela, com os hubs das estrelas vinculados para formar a região. As regiões poderiam ser geográficas, conectando entre três e 10 áreas e o hub de cada região poderia ser vinculado de ponto a ponto.

Uma hierarquia de três camadas é geralmente útil quando o tráfego da rede espelha a estrutura de filial da empresa e é dividido em regiões, áreas e filiais. Também é útil quando existe um serviço central para o qual todas as filiais devem ter acesso, mas os níveis de tráfego são insuficientes para justificar a conexão direta de uma filial com o serviço.

A LAN no centro da área pode ter servidores que fornecem serviços locais e também baseados em área. Dependendo dos volumes de tráfego e tipos, as conexões de acesso podem ser dialup, alugadas ou de frame relay. O Frame Relay facilita a formação em malha para obter redundância sem exigir conexões físicas adicionais. Links de distribuição podem ser Frame Relay ou ATM e o núcleo da rede pode ser ATM ou linha alugada.

Ao planejar redes mais simples, uma topologia hierárquica ainda deve ser considerada porque pode fornecer melhor escalabilidade de rede. O hub ao centro de um modelo de duas camadas também é um núcleo, mas sem outros roteadores de núcleo conectados a ele. Da mesma maneira, em uma solução de camada única, o hub de área funciona como o hub regional e o hub de núcleo. Isto permite o crescimento fácil e rápido no futuro, porque o design básico pode ser replicado para adicionar novas áreas de serviço.

Exibir meio visual

Página 2:

Tecnologias de conexão WAN

Uma WAN privada típica usa uma combinação de tecnologias que normalmente são escolhidas com base no tipo de tráfego e volume. São usados ISDN, DSL, Frame Relay ou linhas alugadas para conectar filiais individuais em uma área. São usados Frame Relay, ATM ou linhas alugadas para conectar áreas externas ao backbone. ATM ou linhas alugadas formam o backbone de WAN. As tecnologias que exigem o estabelecimento de uma conexão antes de poder transmitir dados, como telefone básico, ISDN ou X.25, não são adequadas para WANs que exigem tempo de resposta rápido ou baixa latência.

Diferentes partes de uma empresa podem ser diretamente conectadas com linhas alugadas ou com um link de acesso ao ponto-de-presença (POP) mais próximo de uma rede compartilhada. Frame Relay e ATM são exemplos de redes compartilhadas. As linhas alugadas são geralmente mais caras que links de acesso, mas estão disponíveis a praticamente qualquer largura de banda e possuem latência e atraso muito baixos.

Redes ATM e de Frame Relay transportam tráfego de vários clientes usando os mesmos links internos. A empresa não tem nenhum controle sobre o número de links ou saltos que os dados devem atravessar na rede compartilhada. Ela não pode controlar o tempo que os dados devem esperar em cada nó antes de mover para o próximo link. Esta incerteza em latência e atraso torna essas tecnologias inadequadas para alguns tipos de tráfego de rede. Porém, as desvantagens de uma rede compartilhada podem geralmente ser compensadas pelo custo reduzido. Como vários clientes estão compartilhando o link, o custo para cada é geralmente menor que o custo de um link direto da mesma capacidade.

Embora ATM seja uma rede compartilhada, ele foi criado para produzir latência e atraso mínimos através de links internos de alta velocidade que enviam unidades de dados facilmente gerenciáveis, chamadas de células. As células de ATM têm um comprimento fixo de 53 bytes, 48 bytes para dados e 5 bytes para o cabeçalho. O ATM é usado amplamente para transportar tráfego que não tolera atrasos.

O Frame Relay também pode ser usado para tráfego que não tolera atrasos, geralmente usando mecanismos de QoS para dar prioridade para os dados mais importantes.

Exibir meio visual

Página 3:

Muitas WANs de empresa têm conexões com a Internet. Embora a Internet possa representar um problema de segurança, ela fornece uma alternativa para o tráfego entre filiais. Parte do tráfego que deve ser considerado durante o design vai ou vem da Internet. Implementações comuns devem fazer cada rede na empresa conectar-se a um ISP diferente ou fazer todas as redes de empresa conectarem-se a um único ISP a partir de uma conexão de camada de núcleo.

Exibir meio visual

8.3.5 Considerações sobre largura de banda WAN

Página 1:

Lembre-se de que uma rede suporta as necessidades comerciais de uma empresa. Muitas empresas dependem da transferência de dados em alta velocidade entre locais remotos. Consequentemente, é crucial possuir largura de banda mais alta para transmitir mais dados em um determinado tempo. Quando a largura de banda é inadequada, a

competição entre vários tipos de tráfego faz os tempos de resposta aumentarem, o que reduz a produtividade dos funcionário e reduz a velocidade de processos baseados em web que são críticos para a empresa.

A figura mostra como links de WAN são geralmente classificados como de velocidade alta ou baixa.

Exibir meio visual

8.3.6 Problemas comuns na implementação de WAN

Página 1:

A figura resume os problemas comuns de implementação de WAN e as perguntas que você precisa fazer antes de efetivamente implementar uma WAN.

Exibir meio visual

8.3.7 Estudo de caso: Diagnóstico de WAN a partir de uma perspectiva de ISPs

Página 1:

O gráfico ilustra as perguntas típicas que a equipe de suporte técnico de um ISP deve fazer a um cliente que está pedindo suporte.

Uma proporção significativa das chamadas de suporte recebidas por um ISP refere-se à lentidão da rede. Para solucionar esse problemas com eficácia, você deve isolar os componentes individuais e testar cada um como segue:

Host de PC individual - Um número grande de aplicações de usuário abertas ao mesmo tempo no PC pode ser responsável pela lentidão que está sendo atribuída à rede. Ferramentas como o Gerenciador de Tarefas em um Windows PC podem ajudar a determinar a utilização da CPU.

LAN - Se o cliente tiver um software de monitoramento de rede na LAN, o gerente de rede pode informar se a largura de banda na LAN está alcançando 100 por cento de utilização com frequência. Esse é um problema que a empresa do cliente precisaria

resolver internamente. Esse é o motivo por que é tão importante conhecer a linha de base de rede e realizar um monitoramento contínuo.

Link da extremidade da rede do usuário à extremidade do ISP - Teste o link do roteador de extremidade do cliente para o roteador de extremidade do ISP pedindo para o cliente fazer o logon no roteador e enviar cem pings de 1500 bytes (pings de estresse) para o endereço IP do roteador de extremidade do ISP. O cliente não pode corrigir esse problema. É responsabilidade do ISP comunicar-se com o provedor de link para corrigir isso.

Backbone do ISP - O representante de serviço do cliente do ISP pode realizar pings de estresse a partir da extremidade do roteador de ISP para o roteador de extremidade do cliente. Eles também podem executar pings de estresse em cada link pelo qual circula o tráfego do cliente. Ao isolar e testar cada link, o ISP pode determinar qual link está causando o problema.

Servidor sendo acessado - Em alguns casos, a lentidão atribuída à rede pode ser causada por congestionamento do servidor. Esse problema é o mais difícil de diagnosticar e deve ser a última opção a ser investigada depois de eliminar todas as outras.

Exibir meio visual

Página 2:

Nesta atividade, você e outro aluno criarão a rede exibida no diagrama de topologia. Você configurará o NAT, DHCP e OSPF e então verificará a conectividade. Quando a rede estiver funcionando completamente, um aluno apresentará diversos erros. Em seguida, o outro aluno usará técnicas de solução de problemas para isolar e resolver o problema. Em seguida, os alunos inverterão as funções e repetirão o processo. Esta atividade pode ser feita em equipamento real ou com o Packet Tracer.

Exibir meio visual

8.4 Solução de problemas da rede

8.4.1 Interpretando diagramas de rede para identificar problemas

Página 1:

É quase impossível solucionar qualquer tipo de problema de conectividade de rede sem um diagrama de rede que descreve endereços IP, rotas IP, dispositivos como firewalls e switches, e assim por diante. Geralmente, topologias lógicas e físicas ajudam a identificar e solucionar problemas.

Diagrama físico de rede

Um diagrama físico de rede mostra o layout físico dos dispositivos conectado à rede. É necessário saber como os dispositivos são conectados fisicamente para identificar e solucionar problemas na camada Física, como cabeamento ou problemas de hardware. As informações registradas no diagrama geralmente incluem:

Tipo de dispositivo Modelo e fabricante Versão do sistema operacional Tipo de cabo e identificador Especificação do cabo Tipo de conector Pontos de extremidade de cabeamento

A figura mostra um exemplo de um diagrama físico de rede que fornece informações sobre o local físico dos dispositivos de rede, os tipos de cabeamento entre eles, e os números de identificação de cabo. Estas informações seriam usadas principalmente para identificar e solucionar problemas físicos com dispositivos ou cabeamento. Além do diagrama físico de rede, alguns administradores incluem fotografias reais dos wiring closets como parte da documentação de rede.

Diagrama lógico de rede

Um diagrama lógico de rede mostra como os dados são transferidos na rede. Símbolos representam elementos de rede como roteadores, servidores, hubs, hosts, concentradores de VPN e dispositivos de segurança. As informações registradas em um diagrama lógico de rede podem incluir:

Identificadores de dispositivo Endereço IP e sub-rede

Identificadores de interface Tipo de conexão DLCI para circuitos virtuais VPNs ponto a ponto Protocolos de roteamento Rotas estáticas Protocolos de enlace de dados Tecnologias WAN usadas

Clique no botão Lógico na figura para ver um exemplo de um diagrama lógico de rede.

A figura mostra a mesma rede, mas, dessa vez, fornece informações lógicas como endereços IP de dispositivo específicos, números de rede, números de porta, tipos de sinal e atribuições de DCE para links seriais. Estas informações podem ser usadas para identificar e solucionar problemas em todas as camadas de OSI.

Exibir meio visual

8.4.2 Identificação e solução de problemas de camada física

Página 1:

Sintomas de problemas de camada física

A camada Física transmite bits de um computador para outro e regula a transmissão de um fluxo de bits pelo meio físico. A camada Física é a única camada com propriedades tangíveis fisicamente, como fios, placas e antenas.

Falhas e condições abaixo do ideal na camada Física não só incomodam os usuários, mas também afetam a produtividade da empresa inteira. Redes que experimentam essas condições geralmente passam por paradas bruscas. Como as camadas superiores do modelo OSI dependem da camada Física para funcionar, um técnico de rede deve ter a capacidade de isolar e corrigir problemas com eficácia nesta camada.

Um problema de camada Física ocorre quando as propriedades físicas da conexão são inferiores, fazendo os dados serem transferidos a uma taxa que é consistentemente menor que a taxa de fluxo de dados estabelecida na linha de base. Se houver um

problema que faça a rede operar abaixo da ideal na camada Física, a rede poderá continuar funcionando, mas o desempenho será intermitente ou consistentemente abaixo do nível especificado na linha de base.

Os sintomas comuns de problemas de rede na camada Física incluem:

Desempenho abaixo da linha de base - Se o desempenho for insatisfatório o tempo todo, o problema provavelmente estará relacionado a uma configuração pobre, à capacidade inadequada em algum lugar, ou a algum outro problema sistêmico. Se o desempenho variar e não for sempre insatisfatório, o problema será relacionado provavelmente a uma condição de erro ou está sendo afetado por tráfego de outras origens. As razões mais comuns para o desempenho lento ou baixo incluem servidores sobrecarregados ou subutilizados, configurações inadequadas de roteador ou switch, congestionamento de tráfego em um link da baixa capacidade e perda de quadro crônica.

Perda de conectividade - Se um cabo ou dispositivo falhar, o sintoma mais óbvio é perda de conectividade entre os dispositivos que se comunicam por aquele link ou com o dispositivo ou interface com falha, como indicado por um teste de ping simples. Perda intermitente de conectividade pode indicar uma conexão solta ou oxidada.

Alta contagem de colisão - Problemas de domínio de colisão afetam o meio local e rompem comunicações com dispositivos de infra-estrutura, servidores locais ou serviços de Camada 2 ou Camada 3. Colisões são normalmente um problema mais significativo em meios compartilhados do que em portas de switch. A média de contagens de colisão em meios compartilhados geralmente deve estar abaixo de 5 por cento, embora esse número seja conservador. Confira que se as informações são baseadas na média e não no pico das colisões. Problemas referentes a colisões podem ser geralmente rastreados até uma única origem. Pode ser um cabo com defeito em uma única estação, um cabo de uplink com defeito em um hub ou porta em um hub, ou um link exposto a ruído elétrico externo. Uma fonte de ruído próxima a um cabo ou hub pode causar colisões até mesmo quando não houver tráfego aparente. Se as colisões piorarem proporcionalmente ao nível do tráfego, se a quantidade de colisões chegar a 100 por cento ou se não houver nenhum tráfego bom, isso significará falha no sistema de cabo.

Gargalos de rede ou congestionamento - Se um roteador, interface ou cabo falharem, protocolos de roteamento poderão redirecionar o tráfego para outras rotas que não são criadas para transportar a capacidade adicional. Isto pode resultar em congestionamento ou gargalos nessas partes da rede.

Taxas altas de utilização de CPU - São um sintoma de que um dispositivo, como um roteador, switch ou servidor, está funcionando em ou está excedendo seus limites de design. Se isso não for resolvido rapidamente, a sobrecarga de CPU pode causar falha ou parada do dispositivo.

Console mensagens de erro - Mensagens de erro reportadas no console do dispositivo indicam um problema de camada Física.

Exibir meio visual

Página 2:

Causas de problemas de camada física

As situações que geralmente causam problemas de rede na camada Física incluem:

Alimentação

Problemas relacionados à alimentação são a principal razão de falha de rede. A alimentação CA principal flui para um módulo de transformador CA a CC externo ou interno para dentro de um dispositivo. O transformador fornece corrente de CC modulada corretamente, que age para dar alimentação a circuitos de dispositivo, conectores, portas e as ventoinhas usadas para resfriamento do dispositivo. Se houver suspeita de problema relacionado à alimentação, geralmente é feita uma inspeção física do módulo de alimentação. Verifique o funcionamento das ventoinhas e confira se estão desobstruídas as passagens de ar do chassi. Se outras unidades próximas também pararam de funcionar, poderá estar havendo uma falha da fonte de alimentação principal.

Falhas de hardware

Placas de rede defeituosas (NIC) podem ser a causa de erros de transmissão de rede devido a recentes colisões, quadros curtos e jabber. Jabber é geralmente definido como a condição na qual um dispositivo de rede transmite continuamente dados aleatórios sem sentido pela rede. Outras causas prováveis de jabber são arquivos de driver da placa de rede defeituosos ou corrompidos, cabeamento incorreto ou problemas de aterramento.

Falhas de cabeamento

Muitos problemas podem ser corrigidos simplesmente reconectando-se os cabos que ficaram parcialmente desconectados. Ao executar uma inspeção física, verifique se há

cabos danificados, tipos de cabo impróprios e conectores RJ-45 mal instalados. Cabos suspeitos devem ser testados ou trocados por um cabo em perfeito estado de funcionamento.

Verifique se há conexões entre dispositivos ou portas de hub e switch que estejam usando cabos crossover incorretamente. Os cabos de pares separados não funcionam quando estão com defeito, dependendo da velocidade de Ethernet, o comprimento do segmento separado e a distância de qualquer extremidade.

Os problemas com cabos de fibra óptica podem ser causados por conectores sujos, curvas excessivamente apertadas e conexões RX/TX trocadas quando polarizada.

Os problemas com cabo coaxial geralmente ocorrem nos conectores. Quando o condutor do centro na extremidade do cabo coaxial não está reto e com o comprimento correto, não é obtida uma conexão boa.

Atenuação

Um bitstream de dados atenuado é quando a amplitude dos bits é reduzida enquanto trafega por um cabo. Se a atenuação for severa, o dispositivo receptor nem sempre poderá distinguir com êxito os bits de componente do fluxo um do outro. Isto resulta em uma transmissão adulterada e em uma solicitação do dispositivo receptor para nova transmissão do tráfego perdido pelo remetente. A atenuação poderá ser causada se um comprimento de cabo exceder o limite de design para o meio (por exemplo, um cabo Ethernet é limitado a 100 metros, ou 328 pés, para garantir um desempenho bom), ou quando há uma conexão pobre que é o resultado de um cabo solto, sujo ou com contatos oxidados.

Ruído

A interferência eletromagnética local (EMI) geralmente é conhecida como ruído. Há quatro tipos de ruído que são muito significativos para redes de dados:

Ruído de impulso que é causado por flutuações de voltagem ou picos de corrente induzidos no cabeamento.

Ruído aleatório (branco) que é gerado por muitas fontes, como estações de rádio FM, rádio da polícia, seguranças de prédios e ondas de rádio de aviação para aterrissagem automatizada.

Diafonia estrangeira que é o ruído induzido por outros cabos no mesmo caminho.

Diafonia próxima (NEXT) que é o ruído que se origina da diafonia de outros cabos adjacentes ou ruído de cabos elétricos próximos, dispositivos com motores elétricos de grande porte, ou qualquer coisa que inclua um transmissor mais avançado que um telefone celular.

Erros de configuração de interface

Muitas coisas podem ser configuradas incorretamente em uma interface para causar esse tipo de erro, causando uma perda de conectividade com segmentos de rede anexados. Exemplos de erros de configuração que afetam a camada Física incluem:

Links seriais reconfigurados como assíncronos em vez de síncronos Clock rate incorreto Fonte de clock incorreta Interface não ligada

Limites de design excedidos

Um componente pode estar operando de maneira não ideal na camada Física porque está sendo utilizado a uma taxa média mais alta do que ele é configurado para operar. Ao solucionar problemas desse tipo, fica evidente que os recursos para o dispositivo estão operando na capacidade máxima ou próximo a ela e há um aumento no número de erros de interface.

Sobrecarga CPU

Os sintomas incluem processos com altos percentuais de utilização de CPU, descartes das filas de entrada, desempenho lento, serviços de roteador como o Telnet e ping lentos ou não respondem, ou não há nenhuma atualização de roteamento. Uma das causas de

sobrecarga de CPU em um roteador é o alto tráfego. Se algumas interfaces forem sobrecarregadas regularmente com tráfego, redesenhe o fluxo de tráfego na rede ou atualize o hardware.

Exibir meio visual

Página 3:

Para isolar problemas nas camadas Físicas, faça o seguinte:

Verifique se há cabos ou conexões com defeito

Verifique se o cabo da interface de origem está conectado e se está em boas condições. Seu testador de cabo pode revelar um fio aberto. Por exemplo, na figura, o testador Fluke CableIQ revelou que os fios 7 e 8 estão apresentando falha. Para testar a integridade de um cabo, alterne os cabos suspeitos com um cabo que esteja funcionando com certeza. Se estiver em dúvida sobre a conexão estar funcionando, remova o cabo, faça uma inspeção física do cabo e da interface, e reconecte o cabo. Use um testador de cabo nas tomadas que deseja testar para verificar se estão cabeadas corretamente.

Verifique se o padrão de cabeamento correto é consistente ao longo da rede

Verifique se o cabo correto está sendo utilizado. Um cabo crossover pode ser necessário para conexões diretas entre alguns dispositivos. Verifique se o cabo está cabeado corretamente. Por exemplo, na figura, o testador Fluke CableIQ detectou que, embora um cabo estivesse bom para Fast Ethernet, ele não é qualificado para suportar 1000BASE-T porque os fios 7 e 8 não foram conectados corretamente. Esses fios não são necessários para Fast Ethernet, mas são necessários para Gigabit Ethernet.

Verifique se os dispositivos estão cabeados corretamente

Verifique se todos os cabos estão conectados às portas ou interfaces corretas. Verifique se as conexões cruzadas estão corrigidas para o local correto. Esse é o motivo pelo qual um wiring closet deve ser limpo e organizado: poupa muito tempo.

Verifique se as configurações de interface estão corretas

Verifique se todas as portas de switch estão definidas na VLAN correta e se estão configurados corretamente o spanning tree, a velocidade e as configurações bidirecionais. Confirme se as portas ou interfaces ativa não estão desligadas.

Verifique as estatísticas de funcionamento e as taxas de erros de dados

Use os comandos show da Cisco para verificar estatísticas como colisões, erros de entrada e saída. As características destas estatísticas variam, dependendo dos protocolos usados na rede.

Exibir meio visual

8.4.3 Identif. e solução de problemas da camada de enlace de dados

Página 1:

Sintomas de problemas da camada de enlace de dados

Identificar e solucionar problemas de Camada 2 pode ser um processo difícil. A configuração e a operação destes protocolos são críticas para criar uma rede funcional e bem ajustada.

Problemas de camada de enlace causam sintomas comuns que ajudam a identificar problemas de Camada 2. Reconhecer esses sintomas ajuda a reduzir o número de possíveis causas. Os sintomas comuns de problemas de rede na camada de enlace de dados incluem:

Não há funcionalidade ou conectividade na camada de rede ou acima

Alguns problemas de Camada 2 podem interromper a troca de quadros por um link, enquanto outros só degradam o desempenho da rede.

A rede está funcionando abaixo dos níveis de desempenho de linha de base

Há dois tipos distintos de funcionamento não ideal de Camada 2 que podem ocorrer em uma rede:

Quadros trafegam por um caminho ilógico ao seu destino, mas chegam. Um exemplo de um problema que pode levar os quadros a trafegarem por um caminho não ideal é uma topologia de spanning-tree de Camada 2 mal projetada. Neste caso, a rede deve experimentar uso de alta largura de banda em links que não devem ter aquele nível de tráfego.

Alguns quadros são ignorados. Esses problemas podem ser identificados por estatísticas de contador de erro e mensagens de erro de console que aparecem no switch ou roteador. Em um ambiente de Ethernet, um toque estendido ou contínuo revelará também se os quadros estiverem sendo ignorados.

Broadcasts em excesso

Os sistemas operacionais modernos usam broadcasts extensivamente para detectar serviços de rede e outros hosts. Onde são observados broadcasts excessivos, é importante identificar a origem dos broadcasts. Geralmente, difusões excessivas são o resultado de uma das situações seguintes:

Aplicativos configurados ou programados incorretamente Domínios de broadcast grandes de Camada 2 Problemas de rede adjacentes, como loops de STP ou alternância de rota.

Mensagens da console

Em algumas instâncias, um roteador reconhece que um problema de Camada 2 ocorreu e envia mensagens de alerta à console. Normalmente, um roteador faz isto quando detecta um problema para interpretar quadros de entrada (encapsulamento ou problemas de enquadramento) ou quando keepalives são esperados, mas não chegam. A mensagem de console mais comum que indica um problema de Camada 2 é uma mensagem de que o protocolo de linha está inativo.

Exibir meio visual

Página 2:

Causas de problemas da camada de enlace de dados

Os problemas na camada de enlace que geralmente resultam em problemas de conectividade de rede ou desempenho incluem:

Erros de encapsulamento

Um erro de encapsulamento ocorre porque os bits colocados pelo remetente em um campo específico não são o que o receptor espera ver. Esta condição ocorre quando o encapsulamento em uma extremidade de um link de WAN é configurado diferentemente do encapsulamento usado na outra extremidade.

Erros de mapeamento de endereço

Em topologias como ponto-a-multiponto, Frame Relay ou Ethernet broadcast, é essencial que um endereço de destino de Camada 2 apropriado seja dado ao quadro. Isto assegura sua chegada ao destino correto. Para obter isto, o dispositivo de rede deve corresponder um endereço de destino de Camada 3 com o endereço de Camada 2 correto usando mapas estáticos ou dinâmicos.

Ao usar mapas estáticos em Frame Relay, um mapa incorreto é um engano comum. Erros simples de configuração podem resultar em uma incompatibilidade de informações de endereçamento de Camada 2 e Camada 3.

Em um ambiente dinâmico, o mapeamento das informações de Camada 2 e Camada 3 pode falhar pelas seguintes razões:

Os dispositivos podem ter sido especificamente configurados para não responder a solicitações ARP ou ARP inverso.

As informações de Camada 2 ou Camada 3 que são armazenadas em cache podem ter se alterado fisicamente.

As respostas inválidas de ARP são recebidas devido a uma configuração incorreta ou um ataque de segurança.

Erros de enquadramento

Quadros normalmente funcionam em grupos de bytes de 8 bits. Um erro de enquadramento ocorre quando um quadro não termina em um limite de byte de 8 bits. Quando isto acontece, o receptor pode ter problemas que determinam onde um quadro termina e outro quadro inicia. Dependendo da gravidade do problema de enquadramento, a interface pode ser capaz de interpretar alguns dos quadros. Muitos quadros inválidos podem impedir keepalives válidos de serem trocados.

Erros de enquadramento podem ser causados por uma linha serial ruidosa, um cabo projetado de modo inadequado (muito longo ou não blindado corretamente) ou um relógio de linha de unidade do serviço de canal (CSU) incorretamente configurado.

Falhas ou loops de STP

O propósito do Protocolo Spanning Tree (STP) é transformar uma topologia física redundante em uma topologia em árvore através do bloqueio de portas redundantes. A maioria das problemas de STP gira em torno desses problemas:

Encaminhar loops que ocorrem quando nenhuma porta em uma topologia redundante é bloqueada e o tráfego é encaminhado indefinidamente em círculos. Quando o encaminhamento de loop inicia, isso normalmente congestiona os links de largura de banda mais baixa no caminho. Se todos os links forem da mesma largura de banda, todos estarão congestionados. Este congestionamento causa perda de pacote e leva a uma rede com baixo desempenho no domínio de L2 afetado.

Envios excessivos devido a uma taxa alta alterações na topologia de STP. A função do mecanismo de alteração de topologia é corrigir as tabelas de encaminhamento de Camada 2 depois que a topologia de encaminhamento foi alterada. Isto é necessário para evitar uma interrupção de conectividade porque, depois de uma alteração de topologia, alguns endereços MAC previamente

acessíveis por portas particulares podem ficar acessíveis por portas diferentes. Uma alteração de topologia deve ser um evento raro em uma rede bem configurada. Quando um link em uma porta de switch fica ativo ou inativo, eventualmente há uma alteração de topologia quando o estado de STP da porta muda para ou de encaminhar. Porém, quando uma porta oscila (entre os estados ativo e inativo), isso causa mudanças repetitivas de topologia e inundação.

A convergência lenta de STP ou reconvergência podem ser causadas por uma incompatibilidade entre a topologia real e a documentada, um erro de configuração, como uma configuração inconsistente de temporizadores de STP, uma CPU de switch sobrecarregada durante a convergência, ou um defeito de software.

Exibir meio visual

Página 3:

Identificação e solução de problemas de Camada 2 (PPP)

A dificuldade para identificar e solucionar problemas de tecnologias de Camada 2, como PPP e Frame Relay, é a indisponibilidade de ferramentas adequadas para Camada 3 comuns, como ping, para ajudar a identificar problemas além de constatar que a rede está inativa. Somente através de um entendimento completo dos protocolos e de sua operação, o técnico de rede consegue escolher a metodologia adequada de identificação e solução de problemas e os comandos Cisco IOS certos para solucionar o problema de uma maneira eficiente.

A maioria das problemas que ocorrem com PPP envolve negociação de link. Os passos para identificar e solucionar problemas de PPP estão a seguir:

Etapa 1. Verifique se o encapsulamento apropriado está sendo usado nas duas extremidades, usando o comando show interfaces serial. Na figura para Etapa 1, a saída de comando revela que R2 foi configurado incorretamente para usar encapsulamento HDLC.

Etapa 2. Confirme que as negociações do Protocolo de Controle de Link (LCP) tiveram sucesso verificando a saída para mensagem do LCP aberto.

Clique no botão Etapa 2 na figura.

Na figura, o encapsulamento em R2 foi alterado a PPP. A saída do comando show interfaces serial mostra a mensagem LCP aberto, que indica que as negociações de LCP tiveram sucesso.

Etapa 3. Verifique a autenticação em ambos os lados do link usando o comando debug ppp authentication.


Na figura, a saída do comando debug ppp authentication mostra que R1 não pode autenticar R2 usando CHAP, porque o nome de usuário e a senha para R2 não foram configurados em R1.

Consulte o Capítulo 2, "PPP" para obter mais detalhes sobre como identificar e solucionar implementações de PPP.

Exibir meio visual

Página 4:

Identificação e solução de problemas de Camada 2 (Frame Relay)

Para identificar e solucionar problemas de rede Frame Relay, divida a tarefa em quatro etapas:

Etapa 1. Verifique a conexão física entre o CSU/DSU (unidade de serviço de dados) e o roteador. Na figura, as conexões físicas entre os roteadores R2 e R3 e os CSU/DSU correspondentes podem ser verificadas usando um testador de cabo e conferindo se todos os LEDs de status na unidade de CSU/DSU estão verdes. Na figura, algumas luzes de status para o CSU/DSU no R3 estão vermelhas, indicando um problema de conectividade potencial entre o CSU/DSU e roteador R3.

Etapa 2. Verifique se o roteador e o provedor de Frame Relay estão trocando informações de LMI corretamente usando o comando show frame-relay lmi.


Na figura, a saída do comando show frame-relay lmi no R2 não mostra erros ou mensagens perdidas. Isto indica que R2 e o switch do provedor de Frame Relay estão trocando informações de LMI corretamente.

Etapa 3. Verifique se o status de PVC está ativo usando o comando show frame-relay pvc.


Na figura, a saída do comando show frame-relay pvc no R2 verifica que o status de PVC está ativo.

Etapa 4. Verifique se o encapsulamento de Frame Relay corresponde nos dois roteadores, usando o comando show interfaces serial.


Na figura, a saída do comando show interfaces serial nos roteadores R2 e R3 mostra que existe uma incompatibilidade de encapsulamento entre eles. O R3 foi configurado incorretamente para usar o encapsulamento de HDLC em vez de Frame Relay.

Para obter detalhes adicionais sobre como identificar e solucionar problemas de implementações de Frame Relay, consulte o Capítulo 3, "Frame Relay".

Exibir meio visual

Identificação e solução de problemas de Camada 2 (Loops de STP)

Se você suspeitar que um loop de STP esteja causando um problema de Camada 2, verifique se o protocolo Spanning Tree está sendo executado nos dois switches. Um switch somente deverá ter STP desabilitado se não fizer parte de uma topologia fisicamente com loops. Para verificar operação de STP, use o comando show spanning-tree em cada switch. Se você descobrir que aquele STP não está funcionando, você pode habilitá-lo usando o comando spanning-tree vlan ID.

Siga essas etapas para identificar e solucionar problemas de loops de encaminhamento:

Etapa 1. Identifique que um loop de STP está ocorrendo.

Quando um loop de encaminhamento tiver se desenvolvido na rede, estes são os sintomas habituais:

Perda de conectividade para, de e pelas regiões de rede afetadas Alta utilização de CPU em roteadores conectados a segmentos afetados ou

VLANs Alta utilização de link (geralmente 100 por cento) Alta utilização de backplane de switch (comparado com a utilização de linha de

base) Mensagens de Syslog que indicam looping de pacote na rede (por exemplo,

mensagens duplicadas de endereço IP de Protocolo de roteador de espera a quente)

Mensagens de Syslog que indicam reaprendizado constante de endereço ou de mensagens de atraso de endereço MAC

Aumento no número de descartes de saída em muitas interfaces

Etapa 2. Descubra a topologia (escopo) do loop.

A prioridade mais alta é parar o loop e restaurar a operação da rede. Para parar o loop, você deve saber quais portas estão envolvidas. Observe as portas com a mais alta utilização de link (pacotes por segundo). O comando show interface exibe a utilização para cada interface. Tenha certeza de registrar estas informações antes de continuar para o próximo passo. Caso contrário, poderia ser difícil determinar no futuro a causa do loop.

Etapa 3. Quebre o loop.

Feche ou desconecte as portas envolvidas uma de cada vez. Depois que você desabilitar ou desconectar cada porta, verifique se a utilização de backplane de switch está de volta ao nível normal. Documente seus resultados. Lembre-se de que algumas portas podem não estar sustentando o loop, mas estão enviando o tráfego que chega com o loop. Quando você fecha essas portas de envio, só reduz a utilização de blackplane a uma quantidade pequena, mas você não interrompe o loop.

Etapa 4. Localize e corrija a causa do loop.

Determinar por que o loop começou é geralmente a parte mais difícil do processo, porque as razões podem variar. Também é difícil formalizar um procedimento exato que funciona em todos os casos. Primeiro, investigue o diagrama de topologia para localizar um caminho redundante.

Para cada switch no caminho redundante, verifique se há esses problemas:

O switch conhece a raiz de STP correta? A porta de raiz é identificada corretamente? As unidades de dados de protocolo da bridge (BPDUs) são recebidas

regularmente na porta de raiz e em portas que deveriam supostamente bloquear? As BPDUs são enviadas regularmente em portas designadas não-raiz?

Etapa 5. Restaure a redundância.

Depois de encontrar o dispositivo ou link que está causando o loop e o problema for resolvido, restaure os links redundantes que foram desconectados.

Nós só mencionamos rapidamente o assunto de identificar e solucionar problemas de loops de STP. Identificar e solucionar problemas de loops e outros problemas de STP é uma discussão complexa e detalhada que está além do escopo deste curso. No entanto, se você desejar saber mais sobre identificação e solução de problemas de STP, consulte as observações técnicas excelentes visitando: http://cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080136673.shtml#troubleshoot.

Exibir meio visual

8.4.4 Identificação e solução de problemas de camada de rede

Página 1:

Sintomas de problemas de camada de rede

Problemas de camada de rede incluem todos os problemas que envolvem um protocolo de Camada 3, protocolos roteados e protocolos de roteamento. Este tópico concentra-se principalmente em protocolos de roteamento de IP.

Problemas na camada de rede podem causar falhas de rede ou desempenho abaixo do nível ideal. Falha de rede é quando a rede está quase ou completamente sem funcionar, afetando todos os usuários e as aplicações que usam a rede. Estas falhas normalmente são notadas rapidamente pelos usuários e pelos administradores de rede, e são obviamente críticas à produtividade de uma empresa. Problemas de otimização de rede normalmente envolvem um subconjunto de usuários, aplicações, destinos ou um tipo específico de tráfego. Problemas de otimização em geral podem ser mais difíceis de detectar e até mais difíceis de isolar e diagnosticar, porque eles normalmente envolvem várias camadas ou até mesmo o próprio computador host. Determinar que o problema é de camada de rede pode levar muito tempo.

Exibir meio visual

Página 2:

Solução de problemas da camada 3

Na maioria das redes, rotas estáticas são usadas em combinação com protocolos de roteamento dinâmico. A configuração imprópria de rotas estáticas pode levar a um roteamento abaixo do nível ideal e, em alguns casos, criar loops de roteamento ou partes da rede podem ficar inalcançáveis.

Identificar e solucionar problemas de protocolos de roteamento dinâmico exige uma compreensão completa de como funcionam os protocolos de roteamento específicos. Alguns problemas são comuns a todos os protocolos de roteamento, enquanto outros são específicos do protocolo de roteamento individual.

Não há nenhum modelo para resolver problemas de Camada 3. Problemas de roteamento são resolvidos com um processo metódico, usando uma série de comandos para isolar e diagnosticar o problema.

Aqui estão algumas áreas para explorar ao diagnosticar um possível problema que envolve protocolos de roteamento:

Problemas gerais de rede

Geralmente uma mudança na topologia, como um link inativo, pode ter outros efeitos em outras áreas da rede que podem não ser óbvios no momento. Isto pode incluir a instalação de novas rotas, estáticas ou dinâmicas, remoção de outras rotas, e assim por diante.

Alguns itens devem ser considerados:

Algo mudou na rede recentemente? Há alguém trabalhando na infra-estrutura de rede nesse momento?

Problemas de conectividade

Verifique se há algum problema nos equipamentos e na conectividade, inclusive problemas de alimentação como interrupções e problemas ambientais como superaquecimento. Verifique também se há problemas de Camada 1, como problemas de cabeamento, portas incorretas e problemas de ISP.

Problemas de vizinhança

Se o protocolo de roteamento estabelecer uma adjacência com um vizinho, verifique se há problemas com os roteadores que formam as relações de vizinhança.

Banco de dados de topologia

Se o protocolo de roteamento usar uma tabela de topologia ou banco de dados, procure na tabela algo inesperado, como entradas faltando ou inesperadas.

Tabela de roteamento

Procure na tabela de roteamento algo inesperado, como rotas faltando ou inesperadas. Use comandos debug para exibir atualizações de roteamento e manutenção de tabela de roteamento.

Exibir meio visual

8.4.5 Identificação e solução de problemas de camada de transporte

Página 1:

Problemas comuns de lista de acesso

Problemas de rede podem ocorrer devido a problemas de camada de Transporte no roteador, particularmente na extremidade da rede onde as tecnologias de segurança podem estar examinando e modificando o tráfego. Esse tópico discute duas das tecnologias de segurança de camada de Transporte mais comumente implementadas.

Elas são as Listas de Controle de Acesso (ACLs) e a Tradução de Endereço de Rede (NAT).

Clique no botão Problemas de lista de acesso na figura.

Os problemas mais comuns com ACLs são causados por configuração imprópria. Há oito áreas onde as configurações incorretas geralmente ocorrem:

Seleção de fluxo de tráfego

A configuração incorreta de roteador mais comum está aplicando a ACL ao tráfego incorreto. O tráfego é definido pela interface do roteador pela qual o tráfego está passando e também pela direção na qual este tráfego está passando. Uma ACL deve ser aplicada à interface correta e a direção correta de tráfego deve ser selecionada para funcionar corretamente. Se o roteador estiver executando ACLs e NAT, a ordem na qual cada uma destas tecnologias é aplicada a um fluxo de tráfego será importante:

O tráfego de entrada é processado pela ACL de entrada antes de ser processado pela NAT de fora para dentro.

O tráfego de saída é processado pela ACL de saída depois de ser processado pela NAT de dentro para fora.

Ordem de elementos de controle de acesso

Os elementos em uma ACL devem ser de específico para geral. Embora uma ACL possa ter um elemento para permitir especificamente um fluxo de tráfego determinado, os pacotes nunca corresponderão àquele elemento se eles estiverem sendo negados por outro elemento anterior na lista.

Negar tudo implicitamente

Em uma situação onde a segurança alta não é exigida na ACL, esquecer este elemento de controle de acesso implícito pode ser a causa de uma configuração incorreta de ACL.

Endereços e máscaras curinga

Máscaras curinga complexas fornecem melhorias significativas em eficiência, mas são mais sujeitas a erros de configuração. Um exemplo de uma máscara curinga complexa é usar o endereço 10.0.32.0 e a máscara curinga 0.0.32.15 para selecionar os primeiros 15 endereços de host na rede 10.0.0.0 ou na rede 10.0.32.0.

Seleção de protocolo de camada de transporte

Ao configurar as ACLs, é importante que somente os protocolos de camada de transporte corretos sejam especificados. Muitos engenheiros de rede, quando não têm certeza se um fluxo de tráfego específico usa uma porta TCP ou uma porta UDP, configuram ambas. Especificar ambas abre um buraco pelo firewall, possivelmente dando aos invasores uma avenida de acesso à rede. Também introduz um elemento adicional na ACL, de forma que a ACL leva mais tempo para processar, introduzindo mais latência nas comunicações da rede.

Portas de origem e destino

Controlar o tráfego corretamente entre dois hosts requer elementos de controle de acesso simétricos para ACLs de entrada e de saída. As informações de endereço e porta para tráfego gerado por um host que responde são uma imagem espelhada das informações de endereço e porta para o tráfego gerado pelo host que iniciou.

Uso da palavra-chave established

A palavra-chave established aumenta a segurança fornecida por uma ACL. Porém, se a palavra-chave for aplicada a uma ACL de saída, resultados inesperados poderão ocorrer.

Protocolos incomuns

ACLs configuradas incorretamente geralmente causam problemas para protocolos menos comuns que TCP e UDP. Protocolos incomuns que estão ganhando popularidade são VPN e protocolos de criptografia.

Solução de problemas de listas de controle de acesso

Um comando útil para exibir o funcionamento de ACL é a palavra-chave log em entradas de ACL. Esta palavra-chave instrui o roteador a colocar uma entrada no log de sistema sempre que aquela condição de entrada é correspondida. O evento registrado inclui detalhes do pacote que correspondeu ao elemento de ACL.

A palavra-chave log é especialmente útil para identificar e solucionar problemas, e também fornece informações sobre tentativas de invasão que são bloqueadas pela ACL.

Exibir meio visual

Página 2:

Problemas NAT comuns

O maior problema com todas as tecnologias de NAT é a interoperabilidade com outras tecnologias de rede, principalmente os que contêm ou derivam informações de endereçamento de rede de host no pacote. Algumas destas tecnologias incluem:

BOOTP e DHCP - Ambos os protocolos gerenciam a atribuição automática de endereços IP a clientes. Lembre-se de que o primeiro pacote que o cliente novo envia é um pacote IP de broadcast de solicitação DHCP. O pacote de solicitação DHCP tem um endereço IP de origem de 0.0.0.0. Como o NAT exige um endereço IP válido de destino e origem, BOOTP e DHCP podem ter dificuldade para funcionar em um roteador que executa o NAT estático ou dinâmico. Configurar o recurso de ajuda de IP pode ajudar a resolver este problema.

DNS e WINS - Como um roteador que executa NAT dinâmico altera regularmente a relação entre endereços de entrada e saída já que as entradas de tabela expiram e são recriadas, um servidor DNS ou WINS fora do roteador de

NAT não tem uma representação precisa da rede dentro do roteador. Configurar o recurso de ajuda de IP pode ajudar a resolver este problema.

SNMP - Da mesma maneia que ocorre com os pacotes de DNS, o NAT não pode alterar as informações de endereçamento armazenadas na payload de dados do pacote. Por causa disto, uma estação de gerenciamento de SNMP em um lado de um roteador de NAT pode talvez não ser capaz de contactar os agentes de SNMP no outro lado do roteador de NAT. Configurar o recurso de ajuda de IP pode ajudar a resolver este problema.

Protocolos de tunelamento e criptografia - Os protocolos de criptografia e tunelamento geralmente exigem que o tráfego seja gerado de uma porta UDP ou TCP específica, ou use um protocolo na camada de Transporte que não pode ser processado pelo NAT. Por exemplo, os protocolos de tunelamento de IPsec e os protocolos genéricos de encapsulamento de roteamento usados por implementações de VPM não podem ser processados pelo NAT. Se os protocolos de criptografia e tunelamento devem ser executados por um roteador NAT, o administrador de rede poderá criar uma entrada NAT estática para a porta necessária para um único endereço IP na parte de dentro do roteador NAT.

Se os protocolos de criptografia e tunelamento devem ser executados por um roteador NAT, o administrador de rede poderá criar uma entrada NAT estática para a porta necessária para um único endereço IP na parte de dentro do roteador NAT.

Um dos erros de configuração de NAT mais comuns é esquecer que o NAT afeta tanto o tráfego de entrada como o de saída. Um administrador de rede sem experiência poderia configurar uma entrada de NAT estática para redirecionar o tráfego de entrada para um host de backup específico interno. Esta instrução de NAT estática também altera o endereço de origem do tráfego daquele host, resultando possivelmente em comportamentos indesejáveis e inesperados ou em operação abaixo do nível ideal.

Temporizadores configurados de modo inadequado também podem resultar em comportamento de rede inesperado e operação abaixo do nível ideal de NAT dinâmico. Se os temporizadores de NAT forem muito curtos, as entradas na tabela de NAT poderão expirar antes de as respostas serem recebidas, de forma que os pacotes são descartados. A perda de pacotes gera novas transmissões, consumindo mais largura de banda. Se os temporizadores forem muito longos, as entradas poderão ficar na tabela de NAT mais tempo que o necessário, consumindo o conjunto de conexão disponível. Em redes ocupadas, isto poderá levar a problemas de memória no roteador e os hosts poderão não ser capazes de estabelecer conexões se a tabela de NAT dinâmica estiver cheia.

Consulte o Capítulo 7, "Serviços de endereçamento IP" para obter detalhes adicionais sobre como identificar e solucionar problemas de configuração de NAT.

Exibir meio visual

8.4.6 Identificação e solução de problemas de camada de aplicativo

Página 1:

Visão geral da camada de aplicativo

A maioria dos protocolos de camada de aplicativo fornece serviços de usuário. Os protocolos de camada de aplicativo são usados normalmente para gerenciamento de rede, transferência de arquivos, serviços de arquivo distribuídos, emulação de terminal e email. Porém, são adicionados freqüentemente novos serviços de usuário, como VPNs, VoIP, e assim por diante.

Os mais conhecidos e implementados protocolos de camada de aplicativo de TCP/IP incluem:

Telnet - Permite que os usuários estabeleçam conexões de sessão de terminal com hosts remotos.

HTTP - Suporta a troca de texto, imagens gráficas, som, vídeo e outros arquivos de multimídia na Web.

FTP - Executa transferências de arquivo interativas entre hosts. TFTP - Executa transferências de arquivo interativas básicas normalmente entre

hosts e dispositivos de rede. SMTP - Suporta serviços básicos de entrega de mensagem. POP - Conecta-se a servidores de email e baixa email. Protocolo de gerenciamento de rede comum (SNMP) - Reune informações de

gerenciamento de dispositivos de rede. DNS - Mapeia endereços IP para os nomes atribuídos a dispositivos de rede. Sistema de arquivos de rede (NFS) - Permite que computadores montem

unidades em hosts remotos e os operem como se elas fossem unidades locais. Originalmente desenvolvido pela Sun Microsystems, ele se combina com dois outros protocolos de camada de aplicativo, representação de dados externa (XDR) e chamada de procedimento remoto (RPC), para permitir acesso transparente a recursos de rede remota.

Clique no botão Protocolos e portas de aplicativos na figura para exibir uma lista de protocolos de aplicativo e as portas associadas.

Exibir meio visual

Sintomas de problemas da camada de aplicativo

Os problemas de camada de aplicativo impedem que os serviços sejam fornecidos aos programas. Um problema na camada de aplicativo pode resultar em recursos inalcançáveis ou inutilizáveis quando as camadas física, de enlace de dados, de rede e de transporte estiverem funcionando. É possível ter conectividade de rede total, mas o aplicativo simplesmente não pode fornecer dados.

Outro tipo de problema na camada de aplicativo ocorre quando as camadas física, de enlace de dados, de rede e de transporte estão funcionando, mas a transferência de dados e as solicitações para serviços de rede de um único serviço de rede ou aplicativo não atende as expectativas normais de um usuário.

Um problema na camada de aplicativo pode fazer os usuários reclamarem que a rede ou o aplicativo específica com a qual eles estão trabalhando está lenta ou mais lenta que o habitual para transferir dados ou solicitar serviços de rede.

A figura mostra alguns dos possíveis sintomas de problemas de camada de aplicativo.

Exibir meio visual

Página 3:

Identificação e solução de problemas de aplicativo

O mesmo processo geral de identificação e solução de problemas que é usado para isolar problemas nas camadas inferiores também pode ser usado para isolar problemas na camada de aplicativo. Os conceitos são os mesmos, mas o foco tecnológico agora envolve coisas como conexões recusadas ou expiradas, listas de acesso e problemas de DNS.

As etapas para solucionar problemas de camada de aplicativo são as seguintes:

Etapa 1. Execute ping no gateway padrão.

Se for bem-sucedido, isso significa que os serviços de Camada 1 e Camada 2 estão funcionando corretamente.

Etapa 2. Verificar a conectividade fim-a-fim.

Use um ping estendido se estiver tentando fazer ping de um roteador Cisco. Se for bem-sucedido, isso significa que a Camada 3 está funcionando corretamente. Se as Camadas 1-3 estão funcionando corretamente, o problema deve existir em uma camada mais alta.

Etapa 3. Verifique a lista de acesso e a operação NAT.

Para identificar e solucionar problemas de listas de controle de acesso, siga os passos seguintes:

Use o comando show access-list. Existe algum ACL que poderia estar parando tráfego? Observe quais listas de acesso têm correspondências.

Desmarque os contadores de lista de acesso com o comando clear access-list counters e tente estabelecer uma conexão novamente.

Verifique os contadores de lista de acesso. Algum deles aumentou? Eles deveriam aumentar?

Para identificar e solucionar problemas do NAT, siga os passos seguintes:

Use o comando show ip nat translations. Há alguma tradução? As traduções são como o esperado?

Desmarque as traduções de NAT com o comando clear ip nat translation * e tente acessar o recurso externo novamente.

Use o comando debug ip nat e examine a saída.

Observe o arquivo de configuração em execução. Os comandos ip nat inside e ip nat outside estão localizados nas interfaces corretas? O conjunto NAT está configurado corretamente? A ACL está identificando os hosts corretamente?

Se as ACLs e a NAT estão funcionando como o esperado, o problema deve ser em uma camada mais alta.

Etapa 4. Identifique e solucione problemas de conectividade de protocolo de camada superior.

Embora possa haver conectividade de IP entre uma origem e um destino, problemas ainda podem existir para um protocolo de camada superior específico, como FTP, HTTP ou Telnet. Estes protocolos estão no topo do transporte IP básico, mas estão sujeitos a problemas específicos de protocolo em relação a filtros de pacote e firewalls. É possível que tudo exceto email funcione entre uma determinada origem e um destino.

Identificar e solucionar um problema de conectividade de protocolo de camada superior exige um entendimento do processo do protocolo. Estas informações normalmente estão localizadas no RFC mais recente para o protocolo ou na página da Web do desenvolvedor.

Exibir meio visual

Página 4:

Corrigindo problemas de camada de aplicativo

As etapas para corrigir problemas de camada de aplicativo são as seguintes:

Etapa 1: Faça backup. Antes de continuar, verifique se uma configuração válida foi salva em algum dispositivo no qual a configuração possa ser modificada. Isto facilita a recuperação a um estado inicial conhecido.

Etapa 2: Faça uma mudança de configuração inicial de hardware ou software. Se a correção exigir mais de uma alteração, faça uma alteração de cada vez.

Etapa 3: Avalie e documente cada alteração e os resultados. Se os resultados de qualquer etapa de solução de problemas não forem bem-sucedidos, desfaça imediatamente as alterações. Se o problema for intermitente, espere para ver se o problema ocorre novamente antes de avaliar o efeito de qualquer alteração.

Etapa 4: Determine se a alteração resolve o problema. Verifique se a alteração de fato resolve o problema sem introduzir nenhum problema novo. A rede deve voltar à operação de linha de base e nenhum sintoma novo ou antigo deve ser observado. Se o problema não for resolvido, desfaça todas as alterações. Se forem descobertos problemas novos ou adicionais, modifique o plano de correção.

Etapa 5: Pare quando o problema for resolvido. Pare de fazer alterações quando o problema original for resolvido.

Etapa 6: Se necessário, obtenha assistência de recursos externos. Pode ser de um colega de trabalho, um consultor ou o Cisco Technical Assistance Center (TAC). Em ocasiões raras, pode necessário realizar um core dump, para criar uma saída de comando que um especialista da Cisco Systems pode analisar.

Etapa 7: Documente. Depois que o problema for resolvido, documente a solução.

Exibir meio visual

Página 5:

Para concluir esta atividade com êxito, você precisa da documentação final da Atividade PT 8.1.2: Detecção de rede e documentação concluída anteriormente neste capítulo. Esta documentação deve ter uma tabela de endereçamento e um diagrama de topologia precisos. Se você não tiver essa documentação, peça a seu instrutor versões precisas.




Exibir meio visual

8.5 Laboratórios do Capítulo

8.5.1 Identificação e solução de problemas de rede da empresa 1

Página 1:

Foi solicitado que você corrija os erros de configuração na rede da empresa. Para este laboratório, não use a proteção por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário.

Observação: Como este laboratório é cumulativo, você usará todo o conhecimento e as técnicas de solução de problemas aprendidas no material anterior para concluir este laboratório com êxito.

Exibir meio visual

Página 2:

Esta atividade é uma variação do Laboratório 8.5.1. O Packet Tracer pode não suportar todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser considerada equivalente à conclusão do laboratório prático. O Packet Tracer não substitui um experimento em laboratório prático com equipamentos reais.




Exibir meio visual


Página 1:

Para este laboratório, não use a proteção por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Utilize ciscoccna em todas as senhas deste laboratório.


Exibir meio visual

Página 2:





Exibir meio visual


Página 1:

Para este laboratório, não use a proteção por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário.


Exibir meio visual

Página 2:





Exibir meio visual



Página 1:

Neste capítulo, você aprendeu que uma linha de base de rede é necessária para identificar e solucionar problemas de forma eficaz. Para criar uma linha de base, é necessário primeiro garantir que a documentação de rede esteja atualizada e precisa. Uma documentação de rede apropriada inclui uma tabela de configuração de rede para todos os dispositivos e um diagrama de topologia que reflete o estado atual da rede. Quando a rede tiver sido documentada completamente, uma medição de linha de base de desempenho da rede deve ser realizada por um período de várias semanas a um mês para estabelecer a personalidade da rede. A primeira linha de base é criada durante um momento de funcionamento normal e estável.

O modo mais eficaz de solucionar problemas é realizar uma abordagem sistemática usando um modelo de camadas, como o modelo OSI ou o modelo TCP/IP. Três métodos geralmente usados para identificar e solucionar problemas inclui De baixo para cima, De cima para baixo, e Dividir e conquistar. Cada método tem suas vantagens e desvantagens e você aprendeu as diretrizes para escolher qual método deve aplicar. Você também aprendeu sobre as várias ferramentas de software e hardware que são usadas por profissionais de rede para reunir sintomas e solucionar problemas de rede.

Embora eles funcionem principalmente nas três primeiras camadas de OSI, as WANs têm problemas de implementação que podem afetar a operação do resto da rede. Você aprendeu sobre algumas das considerações para implementar as WANs e os problemas comuns que as WANs introduzem nas redes, como ameaças de segurança, problemas de largura de banda, latência e problemas de QoS.

Por fim, você explorou os sintomas e as causas de problemas comuns em cada camada de OSI, e as etapas para identificar e solucionar os problemas.

Exibir meio visual


Página 3:

Nesta atividade de habilidades CCNA abrangente, a Corporação XYZ usa uma combinação de Frame Relay e PPP para conexões WAN. O roteador HQ fornece acesso ao farm de servidores e à Internet através do NAT. O HQ também usa uma ACL básica de firewall para filtrar o tráfego de entrada. Cada roteador de filial é configurado para o roteamento inter-VLAN e DHCP. O roteamento é obtido por meio de EIGRP, bem como rotas estáticas e padrão. As VLANs, o VTP e o STP são configurados em cada uma das redes comutadas. A segurança de porta é habilitada, e o acesso sem fio é fornecido. Seu trabalho é implementar com êxito todas estas tecnologias, aproveitando o que você aprendeu ao longo dos quatro cursos de exploração até esta atividade final.




Exibir meio visual




CCNA Exploration - 4 Modulo - Acessando a WAN

Documents

Transcript of CCNA Exploration - 4 Modulo - Acessando a WAN